CN116418522A - 一种基于虚拟化技术的云服务器密码机系统 - Google Patents
一种基于虚拟化技术的云服务器密码机系统 Download PDFInfo
- Publication number
- CN116418522A CN116418522A CN202111648893.7A CN202111648893A CN116418522A CN 116418522 A CN116418522 A CN 116418522A CN 202111648893 A CN202111648893 A CN 202111648893A CN 116418522 A CN116418522 A CN 116418522A
- Authority
- CN
- China
- Prior art keywords
- cipher
- cloud server
- virtual
- machine
- crypto
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000002457 bidirectional effect Effects 0.000 claims description 5
- 230000006378 damage Effects 0.000 claims description 4
- 230000008676 import Effects 0.000 claims description 4
- 238000000034 method Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 238000002955 isolation Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 239000008358 core component Substances 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003153 chemical reaction reagent Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于虚拟化技术的云服务器密码机系统,包括云服务器密码机,所述云服务器密码机包括宿主机操作系统和虚拟机操作系统,所述虚拟机操作系统内设置有SR‑IOV虚拟化单元。通过设置虚拟密码机、宿主机操作系统和管理服务程序模块,云服务器密码机支持多台虚拟密码机,动态分配和管理会话数量,有效的利用系统资源,提高运行效率,支持应用程序配置多个虚拟密码机,实现负载均衡,支持多个应用服务共享虚拟密码机,云服务器密码机同时采用IP地址白名单和连接密码两种方式对主机访问进行限制,只允许合法的应用主机对设备进行访问,通过完善的身份认证机制,支持多用户之间的设备及管理隔离,支持多应用调用的效果。
Description
技术领域
本发明涉及密码机领域,特别是涉及一种基于虚拟化技术的云服务器密码机系统。
背景技术
近年来在国内主流IT厂商的推动下,国内建设了较多的省级、地市级私有云计算中心,政府自建云计算中心为政府各部门提供应用部署平台,云上存储大量的政府级敏感数据,对敏感数据的加密处理也是政府级云计算中心的标配工作,因此迫切需要大量的云服务器密码机,SR-IOV是PCI-SIG的一个IOV的规范,目的是提供一种标准规范,通过为虚拟机提供独立的内存空间、中断、DMA流,来绕过VMM实现数据移动。通过SR-IOV,一个PCIe设备不仅在I/O通道层面实现了硬件虚拟化,还在设备内部实现了硬件虚拟化这种虚拟化技术具有最高的性能和效率,目前的云服务器密码机使用过程中,对硬件的利用效率无法得到充分的使用,使其对于防止各种欺诈行为力度较低。
发明内容
为了克服现有技术的不足,本发明提供一种基于虚拟化技术的云服务器密码机系统,主要是利用SR-IOV虚拟化技术,实现在一台物理密码机上,提供多台虚拟密码机,每台虚拟密码机均可对主机应用层数据加密、解密、消息来源正确性验证、密钥管理等,充分发挥硬件资源性能,为云环境下的计算机网络系统提供安全保密数据通信服务,防止各种欺诈行为发生。
为解决上述技术问题,本发明提供如下技术方案:一种基于虚拟化技术的云服务器密码机系统,包括云服务器密码机,所述云服务器密码机包括宿主机操作系统和虚拟机操作系统,所述虚拟机操作系统内设置有SR-IOV虚拟化单元,所述SR-IOV虚拟化单元包括若干个虚拟密码机,所述虚拟密码机包括管理服务程序模块,所述SR-IOV虚拟化单元的输出端通过应用接口与宿主机操作系统的输入端电连接,所述宿主机操作系统的输出端发送socket请求数据包至SR-IOV虚拟化单元的输入端,所述云服务器密码机与加密传输模块双向电连接,所述加密传输模块与云计算服务器端双向电连接,所述云服务器密码机的输入端与管理中心的输出端电连接,所述管理中心的输入端与管理端口的输出端电连接,所述管理端口的输出端设置有监控报警模块。
作为本发明的一种优选技术方案,所述云服务器密码机使用智能密码钥匙登录和身份认证,通过加密通道由用户远程进行密钥管理操作,支持密钥生成、密钥导入、销毁和更新。
作为本发明的一种优选技术方案,所述云计算服务器端的应用程序和虚拟密码机之间的业务调用采用加密通道。
作为本发明的一种优选技术方案,所述云服务器密码机由统一的管理中心进行设备管理和监控,与用户密钥管理权限分离。
作为本发明的一种优选技术方案,所述云服务器密码机提供高速的SM4对称加解密运算,高速的SM2密钥对生成速度,且具备多台虚拟机算力的平均分配。
作为本发明的一种优选技术方案,所述宿主机操作系统包括物理密码机,所述SR-IOV虚拟化单元将物理密码机的一个物理密码卡虚拟出多个虚拟密码卡并分别分配给若干个虚拟密码机。
作为本发明的一种优选技术方案,所述虚拟密码机包括用户管理模块、秘钥管理模块、密码运算模块、日志查询模块、白名单管理模块、设备初始化模块、设备状态模块和查询模块,所述虚拟密码机采用初始化管理员、超级管理员、管理员和操作员三种权限。
作为本发明的一种优选技术方案,所述虚拟密码机权限控制、密钥及用户信息均在物理层进行隔离处理。
与现有技术相比,本发明能达到的有益效果是:
1、通过设置虚拟密码机、宿主机操作系统和管理服务程序模块,云服务器密码机支持多台虚拟密码机,每台虚拟机可独立提供密码服务,核心部件密码卡能够在KVM和XEN虚拟机环境下应用,可以支持多个虚拟机同时访问密码卡,SR-IOV技术的使用提供了硬件资源的在多虚拟机环境下高效的共享手段,提升了密码卡性能的同时并降低了多虚拟机环境下的密码卡集成成本,各虚拟机间权限控制、密钥及用户信息均在物理层进行隔离,保证了应用云密码卡时各虚拟机间的独立性与安全性,支持高并发网络请求连接,稳定会话连接数可达到两万个,并且支持连接池机制,动态分配和管理会话数量,有效的利用系统资源,提高运行效率,支持应用程序配置多个虚拟密码机,实现负载均衡,支持多个应用服务共享虚拟密码机,云服务器密码机同时采用IP地址白名单和连接密码两种方式对主机访问进行限制,只允许合法的应用主机对设备进行访问,通过完善的身份认证机制,支持多用户之间的设备及管理隔离,支持多应用调用的效果。
附图说明
图1为本发明系统的结构示意图;
图2为本发明密码卡通过SR-IOV虚拟化技术虚拟出虚拟密码卡分配给虚拟密码机的示意图;
图3为本发明云服务器密码机的工作流程图;
图4为本发明云服务器密码机的工作状态转换图;
图5为本发明管理服务程序模块示意图。
其中:1、云服务器密码机;2、宿主机操作系统;3、虚拟机操作系统;4、虚拟密码机;5、管理服务程序模块;6、应用接口;7、管理中心;8、管理端口;9、监控报警模块;10、加密传输模块;11、云计算服务器端;12、SR-IOV虚拟化单元。
具体实施方式
为了使本发明实现的技术手段;创作特征;达成目的与功效易于明白了解,下面结合具体实施例,进一步阐述本发明,但下述实施例仅仅为本发明的优选实施例,并非全部。基于实施方式中的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得其它实施例,都属于本发明的保护范围。下述实施例中的实验方法,如无特殊说明,均为常规方法,下述实施例中所用的材料;试剂等,如无特殊说明,均可从商业途径得到。
实施例
如图1-5所示,本发明提供一种基于虚拟化技术的云服务器密码机系统,包括云服务器密码机1,云服务器密码机1包括宿主机操作系统2和虚拟机操作系统3,云服务器密码机1使用智能密码钥匙登录和身份认证,通过加密通道由用户远程进行密钥管理操作,支持密钥生成、密钥导入、销毁和更新,云服务器密码机1提供高速的SM4对称加解密运算,高速的SM2密钥对生成速度,且具备多台虚拟机算力的平均分配,虚拟机操作系统3内设置有SR-IOV虚拟化单元12,SR-IOV虚拟化单元12包括若干个虚拟密码机4,虚拟密码机4包括管理服务程序模块5,虚拟密码机4包括用户管理模块、秘钥管理模块、密码运算模块、日志查询模块、白名单管理模块、设备初始化模块、设备状态模块和查询模块,虚拟密码机4采用初始化管理员、超级管理员、管理员和操作员三种权限,虚拟密码机4权限控制、密钥及用户信息均在物理层进行隔离处理,SR-IOV虚拟化单元12的输出端通过应用接口6与宿主机操作系统2的输入端电连接,宿主机操作系统2的输出端发送socket请求数据包至SR-IOV虚拟化单元12的输入端,宿主机操作系统2包括物理密码机,SR-IOV虚拟化单元12将物理密码机的一个物理密码卡虚拟出多个虚拟密码卡并分别分配给若干个虚拟密码机4,云服务器密码机1与加密传输模块10双向电连接,加密传输模块10与云计算服务器端11双向电连接,云计算服务器端11的应用程序和虚拟密码机4之间的业务调用采用加密通道,云服务器密码机1的输入端与管理中心7的输出端电连接,云服务器密码机1使用智能密码钥匙登录和身份认证,通过加密通道由用户远程进行密钥管理操作,支持密钥生成、密钥导入、销毁和更新,云服务器密码机1由统一的管理中心7进行设备管理和监控,与用户密钥管理权限分离,管理中心7的输入端与管理端口8的输出端电连接,管理端口8的输出端设置有监控报警模块9,云计算服务器端11的应用程序和虚拟密码机4之间的业务调用采用加密通道。
支持连接池机制,动态分配和管理会话数量,有效的利用系统资源,提高运行效率,支持应用程序配置多个虚拟密码机4,实现负载均衡,支持多个应用服务共享虚拟密码机4。
云服务器密码机1支持多台虚拟密码机4,每台虚拟机可独立提供密码服务,核心部件密码卡能够在KVM和XEN虚拟机环境下应用。
云服务器密码机1可以支持多个虚拟机同时访问密码卡,SR-IOV技术的使用提供了硬件资源的在多虚拟机环境下高效的共享手段,提升了密码卡性能的同时并降低了多虚拟机环境下的密码卡集成成本。
云服务器密码机1同时采用IP地址白名单和连接密码两种方式对主机访问进行限制,只允许合法的应用主机对设备进行访问,通过完善的身份认证机制,支持多用户之间的设备及管理隔离
各虚拟机间权限控制、密钥及用户信息均在物理层进行隔离,保证了应用云密码卡时各虚拟机间的独立性与安全性,支持高并发网络请求连接,稳定会话连接数可达到两万个。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征之“上”或之“下”可以包括第一和第二特征直接接触,也可以包括第一和第二特征不是直接接触而是通过它们之间的另外的特征接触。而且,第一特征在第二特征“之上”、“上方”和“上面”包括第一特征在第二特征正上方和斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”包括第一特征在第二特征正下方和斜下方,或仅仅表示第一特征水平高度小于第二特征。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (8)
1.一种基于虚拟化技术的云服务器密码机系统,包括云服务器密码机(1),其特征在于:所述云服务器密码机(1)包括宿主机操作系统(2)和虚拟机操作系统(3),所述虚拟机操作系统(3)内设置有SR-IOV虚拟化单元(12),所述SR-IOV虚拟化单元(12)包括若干个虚拟密码机(4),所述虚拟密码机(4)包括管理服务程序模块(5),所述SR-IOV虚拟化单元(12)的输出端通过应用接口(6)与宿主机操作系统(2)的输入端电连接,所述宿主机操作系统(2)的输出端发送socket请求数据包至SR-IOV虚拟化单元(12)的输入端,所述云服务器密码机(1)与加密传输模块(10)双向电连接,所述加密传输模块(10)与云计算服务器端(11)双向电连接,所述云服务器密码机(1)的输入端与管理中心(7)的输出端电连接,所述管理中心(7)的输入端与管理端口(8)的输出端电连接,所述管理端口(8)的输出端设置有监控报警模块(9)。
2.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述云服务器密码机(1)使用智能密码钥匙登录和身份认证,通过加密通道由用户远程进行密钥管理操作,支持密钥生成、密钥导入、销毁和更新。
3.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述云计算服务器端(11)的应用程序和虚拟密码机(4)之间的业务调用采用加密通道。
4.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述云服务器密码机(1)由统一的管理中心(7)进行设备管理和监控,与用户密钥管理权限分离。
5.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述云服务器密码机(1)提供高速的SM4对称加解密运算,高速的SM2密钥对生成速度,且具备多台虚拟机算力的平均分配。
6.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述宿主机操作系统(2)包括物理密码机,所述SR-IOV虚拟化单元(12)将物理密码机的一个物理密码卡虚拟出多个虚拟密码卡并分别分配给若干个虚拟密码机(4)。
7.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述虚拟密码机(4)包括用户管理模块、秘钥管理模块、密码运算模块、日志查询模块、白名单管理模块、设备初始化模块、设备状态模块和查询模块,所述虚拟密码机(4)采用初始化管理员、超级管理员、管理员和操作员三种权限。
8.根据权利要求1所述的一种基于虚拟化技术的云服务器密码机系统,其特征在于:所述虚拟密码机(4)权限控制、密钥及用户信息均在物理层进行隔离处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111648893.7A CN116418522A (zh) | 2021-12-30 | 2021-12-30 | 一种基于虚拟化技术的云服务器密码机系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111648893.7A CN116418522A (zh) | 2021-12-30 | 2021-12-30 | 一种基于虚拟化技术的云服务器密码机系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116418522A true CN116418522A (zh) | 2023-07-11 |
Family
ID=87051503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111648893.7A Pending CN116418522A (zh) | 2021-12-30 | 2021-12-30 | 一种基于虚拟化技术的云服务器密码机系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116418522A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117596000A (zh) * | 2024-01-19 | 2024-02-23 | 三未信安科技股份有限公司 | 一种云服务器密码机主机与虚拟密码机通讯方法及系统 |
| CN117592039A (zh) * | 2024-01-18 | 2024-02-23 | 三未信安科技股份有限公司 | 一种灵活管理的硬件虚拟化系统及方法 |
-
2021
- 2021-12-30 CN CN202111648893.7A patent/CN116418522A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117592039A (zh) * | 2024-01-18 | 2024-02-23 | 三未信安科技股份有限公司 | 一种灵活管理的硬件虚拟化系统及方法 |
| CN117592039B (zh) * | 2024-01-18 | 2024-03-22 | 三未信安科技股份有限公司 | 一种灵活管理的硬件虚拟化系统及方法 |
| CN117596000A (zh) * | 2024-01-19 | 2024-02-23 | 三未信安科技股份有限公司 | 一种云服务器密码机主机与虚拟密码机通讯方法及系统 |
| CN117596000B (zh) * | 2024-01-19 | 2024-03-22 | 三未信安科技股份有限公司 | 一种云服务器密码机主机与虚拟密码机通讯方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9578034B2 (en) | Trusted peripheral device for a host in a shared electronic environment | |
| CN101842784B (zh) | 共享多功能装置和在共享多功能装置内分派和隔离功能的方法 | |
| US9948616B2 (en) | Apparatus and method for providing security service based on virtualization | |
| CN109361517A (zh) | 一种基于云计算的虚拟化云密码机系统及其实现方法 | |
| US11841985B2 (en) | Method and system for implementing security operations in an input/output device | |
| CN112035902B (zh) | 一种面向高速高并发应用的加密模组 | |
| CN116418522A (zh) | 一种基于虚拟化技术的云服务器密码机系统 | |
| US10462182B2 (en) | Thin agent-based SSL offloading | |
| CN106127059B (zh) | 一种arm平台上可信密码模块的实现和服务方法 | |
| CN104951688B (zh) | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 | |
| JP4087149B2 (ja) | ディスク装置共有システム、及び計算機 | |
| WO2006116931A1 (fr) | Methode garantissant la securite des donnees d'un reseau de stockage et systeme pour celle-ci | |
| CN109104275A (zh) | 一种hsm设备 | |
| CN111158857B (zh) | 数据加密方法、装置、设备及存储介质 | |
| EP3020178A1 (en) | Universal serial bus (usb) device access | |
| WO2023273647A1 (zh) | 虚拟化可信平台模块实现方法、安全处理器及存储介质 | |
| CN111818081A (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN106874065A (zh) | 一种支持硬件虚拟化的系统 | |
| CN112035900B (zh) | 一种高性能密码卡以及其通信方法 | |
| CN116841691B (zh) | 加密硬件的配置方法、数据机密计算方法及相关设备 | |
| WO2024098594A1 (zh) | 代码保护系统、方法、虚拟系统架构、芯片及电子设备 | |
| WO2014166418A1 (zh) | 一种实现虚拟安全载体vse的方法 | |
| WO2023041025A1 (zh) | 基于云技术的计算节点及基于云技术的实例管理方法 | |
| CN112241307A (zh) | 一种虚拟机创建方法、装置及相关设备 | |
| CN112311768A (zh) | 非http协议应用的策略中心、控制系统、方法、介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |