CN116095149B - 云环境下密码服务应用配额的方法、系统、介质及设备 - Google Patents

云环境下密码服务应用配额的方法、系统、介质及设备 Download PDF

Info

Publication number
CN116095149B
CN116095149B CN202310084091.0A CN202310084091A CN116095149B CN 116095149 B CN116095149 B CN 116095149B CN 202310084091 A CN202310084091 A CN 202310084091A CN 116095149 B CN116095149 B CN 116095149B
Authority
CN
China
Prior art keywords
service
password
application
quota
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310084091.0A
Other languages
English (en)
Other versions
CN116095149A (zh
Inventor
李柏利
张大伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Unita Information Technology Co ltd
Original Assignee
Beijing Unita Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Unita Information Technology Co ltd filed Critical Beijing Unita Information Technology Co ltd
Priority to CN202310084091.0A priority Critical patent/CN116095149B/zh
Publication of CN116095149A publication Critical patent/CN116095149A/zh
Application granted granted Critical
Publication of CN116095149B publication Critical patent/CN116095149B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种云环境下密码服务应用配额的方法、系统、介质及设备,其中,所述系统包括密码服务模块、应用管理模块和云密码资源池/云服务器密码机,密码服务模块分别与应用管理模块和云密码资源池/云服务器密码机通信连接;密码服务模块和应用管理模块均设有人机交互单元。本发明解决了云环境下租户不同应用系统对密码服务不同的功能和性能的需求的问题,使租户可根据实际需求按需弹性地、安全共享地定制和使用云密码服务。

Description

云环境下密码服务应用配额的方法、系统、介质及设备
技术领域
本发明涉及网络安全技术领域,具体地说是一种云环境下密码服务应用配额的方法、系统、介质及设备。
背景技术
传统的密码服务模式是以硬件的方式直接提供密码服务,多个应用系统通过密码硬件设备提供的密码运算接口使用密码服务,这种模式下多个应用系统间必须以抢占式的方式共享硬件资源提供的密码服务能力,造成密码资源浪费和不可控。随着云环境下密码服务(以下简称云密码服务)的出现和种类越来越丰富,租户应用系统根据实际的功能和性能需要选择合适的密码服务种类并按需分配密码服务能力的趋势越来越明显。相较于传统的密码服务模式,云环境多租户模式通过云密码资源池或云服务器密码机为租户的应用系统提供密码服务能力,每个租户都可以按照实际需要动态灵活地为密码应用分配密码计算资源。怎么提供统一的按需分配、弹性扩展的密码功能服务以及降低租户使用密码服务的难度成为一个新的问题。
发明内容
为此,本发明所要解决的技术问题在于提供一种云环境下密码服务应用配额的方法、系统、介质及设备,解决了云环境下租户不同应用系统对密码服务不同的功能和性能的需求的问题,使租户可根据实际需求按需弹性地、安全共享地定制和使用云密码服务。
为解决上述技术问题,本发明提供如下技术方案:
云环境下密码服务应用配额的方法,租户利用云密码资源池或云服务器密码机为新应用系统提供密码服务时,需要对新应用系统分配密码服务应用配额,具体步骤如下:
S1)租户通过密码服务模块的人机交互单元向密码服务模块提交密码服务申请,其中,密码服务申请中至少包括租户信息和服务信息,其中,租户信息包括租户名称和租户ID,服务信息包括服务类型、服务规格、使用时长和服务生效时间;
S2)密码服务模块接收到合法的密码服务申请后,由密码服务模块对该密码服务申请进行审批并分配密码运算用资源,审批通过,则密码服务模块为该租户生成固定总能力的虚拟密码服务并将审批通过的消息通知该租户,反之,则密码服务模块将审批拒绝的消息通知该租户;
S3)在接收到审批通过的消息之后,该租户通过应用管理模块的人机交互单元创建需要使用密码服务的新的应用系统;
S4)该租户利用应用管理模块的人机交互单元向应用管理模块提交为步骤S3)中新建的应用系统分配一个以上的该应用系统需要使用的密码服务的密码服务应用配额请求,分配方式为独占配额或共享配额的方式;
S5)应用管理模块收到该租户的密码服务应用配额请求后,通过下式计算出该应用系统使用密码服务的最大频率值并将该应用系统使用密码服务的最大频率值发送到密码服务模块:
当分配方式为独占配额的方式时:
Ex≤1-(E1+E2+E3+…+En)
Sx=P*Ex
式中,Ex为新的应用系统使用密码服务的最大百分比;
En为第n个以独占配额方式使用密码服务的现有应用系统使用密码服务的最大百分比,n为正整数;
Sx为新的应用系统使用密码服务的最大频率值;
P为密码服务总能力;
当分配方式为共享配额的方式时:
Ex=1-(E1+E2+E3+…+En)
S=P-P*(E1+E2+…+En)
其中,S为新的应用系统以共享配额的方式使用密码服务的最大频率值;
S6)密码服务模块接收到密码服务应用配额请求后,为该应用系统分配访问和使用指定密码服务的权限并保存该应用系统使用密码服务的最大频率值;
S7)云环境下的租户使用该应用系统访问密码服务时,密码服务模块收到该应用系统请求后,查询该应用系统可使用密码服务的最大频率值,并根据当前已使用密码服务能力动态控制该应用系统使用密码服务的频率,具体操作为:该应用系统通过密码服务模块访问和使用密码服务,密码服务模块收到该应用系统的请求后,先判断该应用系统是否具备使用此密码服务的权限,如果不具备权限则直接拒绝该请求,反之,再判断该应用系统使用频率是否已超过配额计算得到的最大频率值限制,如果未超过则直接处理该密码服务请求,否则,将该请求放入等待队列进行排队。
上述方法,密码服务审批时,密码服务模块根据服务规格为租户分配支撑密码运算的密码设备资源,并将密码设备和生成的虚拟密码服务进行绑定。
上述方法,在步骤S3)中,租户创建新的应用系统时,新的应用系统包括应用基本信息和应用其他信息,其中,应用基本信息包括应用名称、应用类型、等保等级、密码测评、认证方式和功能说明,应用其他信息由租户自定义。
上述方法,在步骤S6)中,在为该应用系统分配访问和使用指定密码服务的权限前,密码服务模块需对密码服务能力的现有可用额度进行判断,当密码服务能力现有可用额度大于或等于该应用系统使用密码服务最大百分比时,密码服务模块以独占配额或共享配额的方式为该应用系统分配访问和使用指定密码服务的权限,并向应用管理模块反馈应用配额信息,反之,密码服务模块则向租户反馈以独占配额的方式分配失败的信息,由租户更改分配方式或者调整该应用系统使用密码服务最大百分比,然后再由密码服务模块为该应用系统分配访问和使用指定密码服务的权限;其中,应用配额信息应包含应用信息、服务信息及配额方式和配额数值,应用信息包括应用ID和应用名称;服务信息包括虚拟服务ID、服务类型和服务规格;配额方式指独占配额或共享配额;配额数值,如果是独占分配则需要指定1%~100%的数值,共享配额方式无需指定配额数值。
上述方法,在步骤S6)中,通过配额方式和配额数量计算该应用系统可使用密码服务能力的最大频率值,并对现有应用系统已使用的密码服务额度进行重新计算,计算方式为:
当密码服务模块以独占配额的方式为该应用系统分配密码服务且Ex≤1-(E1+E2+…+En)时,该应用系统可独占使用的密码服务最大频率值Sx=P*Ex,其他独占配额应用可独占使用密码服务最大频率值不变,Sn=P*En,而其他共享配额应用可共享使用密码服务能力需要重新计算,S=P-P*(E1+E2+…+En+Ex);
当密码服务模块以共享配额的方式为该应用系统分配密码服务时,当前配额应用可共享使用密码服务能力:S=P-P*(E1+E2+…+En),其他独占配额应用可独占使用密码服务能力不变,无需重新计算。
上述方法,在步骤S2)中,当租户新建的应用系统类型与现有应用系统类型不同,则密码服务模块为新建的应用系统生成的虚拟密码服务与现有应用系统所用的虚拟密码服务不同,并存储应用是否可访问和使用该密码服务,以及使用该密码服务的最大频率值。
上述方法,在步骤S2)中,当一个密码服务模块为不同租户提供密码服务时,密码服务模块为不同租户的相同的应用系统提供不同的虚拟密码服务。
利用上述云计算环境下密码服务应用配额的方法进行云计算环境下密码服务应用配额的系统,包括:
密码服务模块,用于对密码服务申请进行审批并为租户生成固定总能力的虚拟密码服务以及为租户新建的应用系统分配访问和使用指定密码服务的权限,同时用于为租户的应用系统提供密码服务并对该应用系统使用密码服务的频率进行控制;
应用管理模块,用于创建新的应用系统、提交密码服务应用配额请求以及计算该应用系统使用密码服务的最大频率值;
云密码资源池/云服务器密码机,用于为应用系统提供密码服务;
密码服务模块分别与应用管理模块和云密码资源池/云服务器密码机通信连接;密码服务模块和应用管理模块均设有人机交互单元。
计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法。
计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,所述计算机程序被处理器执行时实现上述方法。
本发明的技术方案取得了如下有益的技术效果:
1.本发明采用云环境下虚拟密码服务的方式提供密码服务,可降低租户使用密码服务的难度,并降低建设密码基础设施的成本。
2.本发明采用密码服务应用配额方法,租户可根据实际的功能需求动态灵活地使用不同类型的云密码服务,满足租户日益丰富的密码应用需求。
3.本发明采用独占和共享配额的方式,为租户提供弹性和抢占式的密码服务,使租户应用系统可按需使用密码服务,有效地减少了租户建设密码应用的成本。
附图说明
图1为本发明中云环境下密码服务应用配额系统的工作原理图;
图2为云环境下密码服务应用配额系统进行密码服务应用配额的流程图;
图3为独享配额时应用系统密码服务应用配额计算原理图;
图4为共享配额时应用系统密码服务应用配额计算原理图;
图5为可进行云环境下密码服务应用配额的计算机原理图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,利用云环境下密码服务应用配额的方法进行云环境下密码服务应用配额的系统,包括密码服务模块、应用管理模块和云服务器密码机,密码服务模块分别与应用管理模块和云服务器密码机通信连接;密码服务模块和应用管理模块均设有人机交互单元。其中,密码服务模块,用于对密码服务申请进行审批并为租户生成固定总能力的虚拟密码服务以及为租户新建的应用系统分配访问和使用指定密码服务的权限,同时用于为租户的应用系统提供密码服务并对该应用系统使用密码服务的频率进行控制;应用管理模块,用于创建新的应用系统、提交密码服务应用配额请求以及计算该应用系统使用密码服务的最大频率值;云密码资源池或云服务器密码机,用于为应用系统提供密码服务。
当前,一个云环境下的密码服务系统通常会为多个租户的多个应用系统提供密码服务,当一个租户想利用云环境下的密码服务系统为其新的应用系统提供密码服务时,需要密码服务系统为租户新的应用系统分配使用密码服务能力的权限及密码运算能力。当一个云环境下的密码服务系统其密码运算能力被部分占用的情况下,在密码服务系统为租户新的应用系统分配使用密码服务能力的权限及密码运算能力时,就应当考虑现有的应用系统已经使用或占用的密码运算能力,因此,需要对租户新的应用系统进行密码服务应用配额。
租户利用本系统中的云服务器密码机为新应用系统提供密码服务时,需要对新应用系统分配密码服务应用配额,如图2所示,具体步骤如下:
S1)租户通过密码服务模块的人机交互单元向密码服务模块提交密码服务申请;其中,密码服务申请中至少包括租户信息和服务信息,其中,租户信息包括租户名称和租户ID,服务信息包括服务类型、服务规格、使用时长和服务生效时间;
S2)密码服务模块接收到合法的密码服务申请后,由密码服务模块对该密码服务申请进行审批并分配密码运算用资源,审批通过,则密码服务模块为该租户生成固定总能力的虚拟密码服务并将审批通过的消息通知该租户,反之,则密码服务模块将审批拒绝的消息通知该租户;密码服务审批时,密码服务模块根据服务规格为租户分配支撑密码运算的密码设备资源,并将密码设备和生成的虚拟密码服务进行绑定;当租户新建的应用系统类型与现有应用系统类型不同,则密码服务模块为新建的应用系统生成的虚拟密码服务与现有应用系统所用的虚拟密码服务不同,并存储应用是否可访问和使用该密码服务,以及使用该密码服务的最大频率值;当一个密码服务模块为不同租户提供密码服务时,密码服务模块为不同租户的相同的应用系统提供不同的虚拟密码服务;
S3)在接收到审批通过的消息之后,该租户通过应用管理模块的人机交互单元创建需要使用密码服务的新的应用系统;租户创建新的应用系统时,新的应用系统包括应用基本信息和应用其他信息,其中,应用基本信息包括应用名称、应用类型、等保等级、密码测评、认证方式和功能说明,应用其他信息由租户自定义;
S4)该租户利用应用管理模块的人机交互单元向应用管理模块提交为步骤S3)中新建的应用系统分配一个以上的该应用系统需要使用的密码服务的密码服务应用配额请求,分配方式为独占配额或共享配额的方式;
S5)应用管理模块收到该租户的密码服务应用配额请求后,通过下式计算出该应用系统使用密码服务的最大频率值并将该应用系统使用密码服务的最大频率值发送到密码服务模块:
当分配方式为独占配额的方式时:
Ex≤1-(E1+E2+E3+…+En)
Sx=P*Ex
式中,Ex为新的应用系统使用密码服务的最大百分比;
En为第n个以独占配额方式使用密码服务的现有应用系统使用密码服务的最大百分比,n为正整数;
Sx为新的应用系统使用密码服务的最大频率值,即新的应用系统可以使用的密码服务能力最大值;
P为密码服务总能力;
当分配方式为共享配额的方式时:
Ex=1-(E1+E2+E3+…+En)
S=P-P*(E1+E2+…+En)
其中,S为新的应用系统以共享配额的方式使用密码服务的最大频率值;
S6)密码服务模块接收到密码服务应用配额请求后,为该应用系统分配访问和使用指定密码服务的权限并保存该应用系统使用密码服务的最大频率值;
S7)云环境下的租户使用该应用系统访问密码服务时,密码服务模块收到该应用系统请求后,查询该应用系统可使用密码服务的最大频率值,并根据当前已使用密码服务能力动态控制该应用系统使用密码服务的频率,具体操作为:该应用系统通过密码服务模块访问和使用密码服务,密码服务模块收到该应用系统的请求后,先判断该应用系统是否具备使用此密码服务的权限,如果不具备权限则直接拒绝该请求,反之,再判断该应用系统使用频率是否已超过配额计算得到的最大频率值限制,如果未超过则直接处理该密码服务请求,否则,将该请求放入等待队列进行排队。
其中,在步骤S6)中,在为该应用系统分配访问和使用指定密码服务的权限前,密码服务模块需对密码服务能力的现有可用额度进行判断,当密码服务能力现有可用额度大于或等于该应用系统使用密码服务最大百分比时,密码服务模块以独占配额或共享配额的方式为该应用系统分配访问和使用指定密码服务的权限,并向应用管理模块反馈应用配额信息,反之,密码服务模块则向租户反馈以独占配额的方式分配失败的信息,由租户更改分配方式或者调整该应用系统使用密码服务最大百分比,然后再由密码服务模块为该应用系统分配访问和使用指定密码服务的权限;其中,应用配额信息应包含应用信息、服务信息及配额方式和配额数值,应用信息包括应用ID和应用名称;服务信息包括虚拟服务ID、服务类型和服务规格;配额方式指独占配额或共享配额;配额数值,如果是独占分配则需要指定1%~100%的数值,共享配额方式无需指定配额数值。
通过配额方式和配额数量计算该应用系统可使用密码服务能力的最大频率值,并对现有应用系统已使用的密码服务额度进行重新计算,计算方式为:
当密码服务模块以独占配额的方式为该应用系统分配密码服务且Ex≤1-(E1+E2+…+En)时,该应用系统可独占使用的密码服务最大频率值Sx=P*Ex,其他独占配额应用可独占使用密码服务最大频率值不变,Sn=P*En,而其他共享配额应用可共享使用密码服务能力需要重新计算,S=P-P*(E1+E2+…+En+Ex);
当密码服务模块以共享配额的方式为该应用系统分配密码服务时,当前配额应用可共享使用密码服务能力:S=P-P*(E1+E2+…+En),其他独占配额应用可独占使用密码服务能力不变,无需重新计算,如图4所示。
本发明中,密码服务能力指云环境下利用云密码资源池或云服务器密码机为租户提供不同类型的密码服务以满足租户应用系统的密码功能需求的能力;同时具备限制租户应用系统访问和使用密码服务的频率,以满足租户多个应用系统共同使用密码服务的性能需求。密码服务能力由服务类型和服务规格组成,其中服务类型包括密码计算服务、签名验签服务等;服务规格指应用系统访问和使用密码服务的最大频率值,用TPS(TransactionPerSecond)进行标识,TPS原指系统每秒处理事务请求数量,在本发明中指的是密码服务每秒处理租户应用系统的密码运算请求的数量。
应用配额指的是密码服务模块使租户应用系统具备访问和使用某种云密码服务的能力,并限制该应用系统使用密码服务的最大能力,配额方式分为独占配额和共享配额。其中,独占配额指密码服务模块对该应用系统使用某种密码服务以独占的形式进行配额,并指定该应用系统可使用密码服务的最大能力占比,最低使用1%,最高使用100%,该应用系统的应用独占配额不可被其他应用系统抢占,即使该应用系统没有正在使用该部分密码服务能力。共享配额指对密码服务模块对该应用系统使用某种密码服务以独占的形式进行配额,但不指定该应用系统可使用密码服务的具体能力,可使用密码服务能力的最大值由密码服务的总能力减去其他应用系统的独占配额总和得出,可以被多个应用系统共享使用,并且多个应用系统以抢占的方式使用该部分的密码服务能力。
假设现有应用系统包括n个应用系统,以独占方式使用密码服务能力的应用系统记作A1、A2…An,以共享方式使用密码服务的应用系统记作B1、B2…Bn,现有应用系统A1、A2…An分别独占的密码服务能力的配额为E1、E2…En,其中,E1+E2+…+En≤1,则现有应用系统使用的密码服务能力通过下式计算得到:
现有应用系统An的独占额度Sn(TPS)=P*En
应用B1、B2、Bn的共享额度S(TPS)=P-P*(E1+E2+…+En),如果E1+E2+…+En=1,则S=0,表示无剩余配额可被以共享方式使用密码服务的应用系统共享使用。
基于上述云环境下密码服务应用配额的方法,相应的,本实例中还提供一种存储有计算机程序的计算机可读存储介质,该计算机程序被处理器执行时实现如下步骤:密码服务模块接收密码服务申请并对密码服务申请进行审批,在密码服务申请审批通过后为租户生成固定总能力的虚拟密码服务并将审批通过的消息通知该租户,该租户则通过应用管理模块创建需要使用密码服务的新的应用系统并提交为该应用系统分配一个以上的该应用系统需要使用的密码服务的密码服务应用配额请求,然后由应用管理模块计算出该应用系统使用密码服务的最大频率值并将该应用系统使用密码服务的最大频率值发送至密码服务模块,而密码服务模块接收到密码服务应有配额请求后,为该应用系统分配访问和使用指定密码服务的权限并保存该应用系统使用密码服务的最大频率值。
如图5所示,基于上述工控系统未知威胁发现方法以及计算机可读存储介质,本实施例中,还提供了一种计算机设备,其包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其中可读存储介质与处理器均设置在总线上,处理器执行计算机程序时实现如下步骤:密码服务模块接收密码服务申请并对密码服务申请进行审批,在密码服务申请审批通过后为租户生成固定总能力的虚拟密码服务并将审批通过的消息通知该租户,该租户则通过应用管理模块创建需要使用密码服务的新的应用系统并提交为该应用系统分配一个以上的该应用系统需要使用的密码服务的密码服务应用配额请求,然后由应用管理模块计算出该应用系统使用密码服务的最大频率值并将该应用系统使用密码服务的最大频率值发送至密码服务模块,而密码服务模块接收到密码服务应有配额请求后,为该应用系统分配访问和使用指定密码服务的权限并保存该应用系统使用密码服务的最大频率值。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。

Claims (10)

1.云环境下密码服务应用配额的方法,其特征在于,租户利用云密码资源池或云服务器密码机为新应用系统提供密码服务时,需要对新应用系统分配密码服务应用配额,具体步骤如下:
S1)租户通过密码服务模块的人机交互单元向密码服务模块提交密码服务申请,其中,密码服务申请中至少包括租户信息和服务信息,其中,租户信息包括租户名称和租户ID,服务信息包括服务类型、服务规格、使用时长和服务生效时间;
S2)密码服务模块接收到合法的密码服务申请后,由密码服务模块对该密码服务申请进行审批并分配密码运算用资源,审批通过,则密码服务模块为该租户生成固定总能力的虚拟密码服务并将审批通过的消息通知该租户,反之,则密码服务模块将审批拒绝的消息通知该租户;
S3)在接收到审批通过的消息之后,该租户通过应用管理模块的人机交互单元创建需要使用密码服务的新的应用系统;
S4)该租户利用应用管理模块的人机交互单元向应用管理模块提交为步骤S3)中新建的应用系统分配一个以上的该应用系统需要使用的密码服务的密码服务应用配额请求,分配方式为独占配额或共享配额的方式;
S5)应用管理模块收到该租户的密码服务应用配额请求后,通过下式计算出该应用系统使用密码服务的最大频率值并将该应用系统使用密码服务的最大频率值发送到密码服务模块:
当分配方式为独占配额的方式时:
Ex≤1-(E1+E2+E3+…+En)
Sx=P*Ex
式中,Ex为新的应用系统使用密码服务的最大百分比;
En为第n个以独占配额方式使用密码服务的现有应用系统使用密码服务的最大百分比,n为正整数;
Sx为新的应用系统使用密码服务的最大频率值;
P为密码服务总能力;
当分配方式为共享配额的方式时:
Ex=1-(E1+E2+E3+…+En)
S=P-P*(E1+E2+…+En)
其中,S为新的应用系统以共享配额的方式使用密码服务的最大频率值;
S6)密码服务模块接收到密码服务应用配额请求后,为该应用系统分配访问和使用指定密码服务的权限并保存该应用系统使用密码服务的最大频率值;
S7)云环境下的租户使用该应用系统访问密码服务时,密码服务模块收到该应用系统请求后,查询该应用系统可使用密码服务的最大频率值,并根据当前已使用密码服务能力动态控制该应用系统使用密码服务的频率,具体操作为:该应用系统通过密码服务模块访问和使用密码服务,密码服务模块收到该应用系统的请求后,先判断该应用系统是否具备使用此密码服务的权限,如果不具备权限则直接拒绝该请求,反之,再判断该应用系统使用频率是否已超过配额计算得到的最大频率值限制,如果未超过则直接处理该密码服务请求,否则,将该请求放入等待队列进行排队。
2.根据权利要求1所述的方法,其特征在于,密码服务审批时,密码服务模块根据服务规格为租户分配支撑密码运算的密码设备资源,并将密码设备和生成的虚拟密码服务进行绑定。
3.根据权利要求1所述的方法,其特征在于,在步骤S3)中,租户创建新的应用系统时,新的应用系统包括应用基本信息和应用其他信息,其中,应用基本信息包括应用名称、应用类型、等保等级、密码测评、认证方式和功能说明,应用其他信息由租户自定义。
4.根据权利要求1所述的方法,其特征在于,在步骤S6)中,在为该应用系统分配访问和使用指定密码服务的权限前,密码服务模块需对密码服务能力的现有可用额度进行判断,当密码服务能力现有可用额度大于或等于该应用系统使用密码服务最大百分比时,密码服务模块以独占配额或共享配额的方式为该应用系统分配访问和使用指定密码服务的权限,并向应用管理模块反馈应用配额信息,反之,密码服务模块则向租户反馈以独占配额的方式分配失败的信息,由租户更改分配方式或者调整该应用系统使用密码服务最大百分比,然后再由密码服务模块为该应用系统分配访问和使用指定密码服务的权限;其中,应用配额信息应包含应用信息、服务信息及配额方式和配额数值,应用信息包括应用ID和应用名称;服务信息包括虚拟服务ID、服务类型和服务规格;配额方式指独占配额或共享配额;配额数值,如果是独占分配则需要指定1%~100%的数值,共享配额方式无需指定配额数值。
5.根据权利要求4所述的方法,其特征在于,在步骤S6)中,通过配额方式和配额数量计算该应用系统可使用密码服务能力的最大频率值,并对现有应用系统已使用的密码服务额度进行重新计算,计算方式为:
当密码服务模块以独占配额的方式为该应用系统分配密码服务且Ex≤1-(E1+E2+…+En)时,该应用系统可独占使用的密码服务最大频率值Sx=P*Ex,其他独占配额应用可独占使用密码服务最大频率值不变,Sn=P*En,而其他共享配额应用可共享使用密码服务能力需要重新计算,S=P-P*(E1+E2+…+En+Ex);
当密码服务模块以共享配额的方式为该应用系统分配密码服务时,当前配额应用可共享使用密码服务能力:S=P-P*(E1+E2+…+En),其他独占配额应用可独占使用密码服务能力不变,无需重新计算。
6.根据权利要求4所述的方法,其特征在于,在步骤S2)中,当租户新建的应用系统类型与现有应用系统类型不同,则密码服务模块为新建的应用系统生成的虚拟密码服务与现有应用系统所用的虚拟密码服务不同,并存储应用是否可访问和使用该密码服务,以及使用该密码服务的最大频率值。
7.根据权利要求4所述的方法,其特征在于,在步骤S2)中,当一个密码服务模块为不同租户提供密码服务时,密码服务模块为不同租户的相同的应用系统提供不同的虚拟密码服务。
8.利用权利要求1~7任一所述的云环境下密码服务应用配额的方法进行云环境下密码服务应用配额的系统,其特征在于,包括:
密码服务模块,用于对密码服务申请进行审批并为租户生成固定总能力的虚拟密码服务以及为租户新建的应用系统分配访问和使用指定密码服务的权限,同时用于为租户的应用系统提供密码服务并对该应用系统使用密码服务的频率进行控制;
应用管理模块,用于创建新的应用系统、提交密码服务应用配额请求以及计算该应用系统使用密码服务的最大频率值;
云密码资源池/云服务器密码机,用于为应用系统提供密码服务;
密码服务模块分别与应用管理模块和云密码资源池/云服务器密码机通信连接;密码服务模块和应用管理模块均设有人机交互单元。
9.计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任一所述的方法。
10.计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任一所述的方法。
CN202310084091.0A 2023-01-18 2023-01-18 云环境下密码服务应用配额的方法、系统、介质及设备 Active CN116095149B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310084091.0A CN116095149B (zh) 2023-01-18 2023-01-18 云环境下密码服务应用配额的方法、系统、介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310084091.0A CN116095149B (zh) 2023-01-18 2023-01-18 云环境下密码服务应用配额的方法、系统、介质及设备

Publications (2)

Publication Number Publication Date
CN116095149A CN116095149A (zh) 2023-05-09
CN116095149B true CN116095149B (zh) 2023-09-19

Family

ID=86204245

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310084091.0A Active CN116095149B (zh) 2023-01-18 2023-01-18 云环境下密码服务应用配额的方法、系统、介质及设备

Country Status (1)

Country Link
CN (1) CN116095149B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461678A (zh) * 2014-11-03 2015-03-25 中国科学院信息工程研究所 一种在虚拟化环境中提供密码服务的方法和系统
CN105678156A (zh) * 2016-01-04 2016-06-15 成都卫士通信息产业股份有限公司 一种基于虚拟化技术的云密码服务平台及其工作流程
CN107682285A (zh) * 2017-09-27 2018-02-09 国云科技股份有限公司 一种异构云平台统一资源授权方法
CN108574599A (zh) * 2017-12-14 2018-09-25 成都卫士通信息产业股份有限公司 密码资源池、密码资源池管理方法、管理平台及管理系统
CN115086015A (zh) * 2022-06-10 2022-09-20 深圳市东进技术股份有限公司 基于OAuth认证的云密码服务平台及密码资源分配方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105184154B (zh) * 2015-09-15 2017-06-20 中国科学院信息工程研究所 一种在虚拟化环境中提供密码运算服务的系统和方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104461678A (zh) * 2014-11-03 2015-03-25 中国科学院信息工程研究所 一种在虚拟化环境中提供密码服务的方法和系统
CN105678156A (zh) * 2016-01-04 2016-06-15 成都卫士通信息产业股份有限公司 一种基于虚拟化技术的云密码服务平台及其工作流程
CN107682285A (zh) * 2017-09-27 2018-02-09 国云科技股份有限公司 一种异构云平台统一资源授权方法
CN108574599A (zh) * 2017-12-14 2018-09-25 成都卫士通信息产业股份有限公司 密码资源池、密码资源池管理方法、管理平台及管理系统
CN115086015A (zh) * 2022-06-10 2022-09-20 深圳市东进技术股份有限公司 基于OAuth认证的云密码服务平台及密码资源分配方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
何明 ; 王海D ; 沈军 ; .云数据中心密码服务技术研究.广东通信技术.2017,(11),全文. *
张晏 ; 岑荣伟 ; 沈宇超 ; 国强 ; .云计算环境下密码资源池系统的应用.信息安全研究.2016,(06),全文. *

Also Published As

Publication number Publication date
CN116095149A (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
US8533775B2 (en) Hierarchical policy management
US7784053B2 (en) Management of virtual machines to utilize shared resources
US9037512B2 (en) Information technology resource allocation and utilization tracking in a cloud-based system
US5421011A (en) Method and system for access and accounting control in a data processing system by using a single resource account for a user or a group of users
US7721292B2 (en) System for adjusting resource allocation to a logical partition based on rate of page swaps and utilization by changing a boot configuration file
US8180941B2 (en) Mechanisms for priority control in resource allocation
US7032222B1 (en) Method and system for determining resource allocation to users by granting request based on user associated different limits and resource limit
CN110597639B (zh) Cpu分配控制方法、装置、服务器及存储介质
US6996647B2 (en) Token swapping for hot spot management
US20050160428A1 (en) Application-aware system that dynamically partitions and allocates resources on demand
US20020059427A1 (en) Apparatus and method for dynamically allocating computer resources based on service contract with user
US20020161817A1 (en) Apparatus and method for scheduling processes on a fair share basis
US10178103B2 (en) System and method for accessing a service
JP4833220B2 (ja) ローカル権限によるクライアントリソース分割のための方法、システム、およびプログラム
CN109343958B (zh) 计算资源分配方法、装置、电子设备、存储介质
Goel et al. Approximate majorization and fair online load balancing
JP4094560B2 (ja) リソース分割サーバ及びリソース分割サーバプログラム
CN115865502A (zh) 权限管控方法、装置、设备及存储介质
CN116095149B (zh) 云环境下密码服务应用配额的方法、系统、介质及设备
CN116633880A (zh) 一种多云平台的kubenetes多租户资源隔离分配方法
Jebalia et al. A fair resource allocation approach in cloud computing environments
CN115168017A (zh) 一种任务调度云平台及其任务调度方法
CN114266072A (zh) 一种权限分配控制方法、装置、电子设备及存储介质
JP2002318700A (ja) 仮想計算機システムの運用管理情報提供制御方法および仮想計算機システム
CN114707179A (zh) 集群系统的资源授权方法、装置、介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant