CN118300788A - 一种密码中间件、方法、设备及存储介质 - Google Patents
一种密码中间件、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN118300788A CN118300788A CN202410667428.5A CN202410667428A CN118300788A CN 118300788 A CN118300788 A CN 118300788A CN 202410667428 A CN202410667428 A CN 202410667428A CN 118300788 A CN118300788 A CN 118300788A
- Authority
- CN
- China
- Prior art keywords
- cryptographic
- password
- virtualized
- container
- middleware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000002955 isolation Methods 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000013507 mapping Methods 0.000 claims description 14
- 238000007726 management method Methods 0.000 claims description 10
- 238000013468 resource allocation Methods 0.000 claims description 4
- 210000002464 muscle smooth vascular Anatomy 0.000 description 29
- 238000001418 vibrating-sample magnetometry Methods 0.000 description 29
- 238000005516 engineering process Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000002085 persistent effect Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种密码中间件、方法、设备及存储介质,涉及虚拟化技术领域,所述密码中间件为基于Kubernetes的中间件,包括:主控模块,用于从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;代理模块,用于获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。这样一来,本申请可以实现容器级别的密码隔离,支持容器集群在弹性快速扩展与收缩时对密码机使用的需求;容器中的应用程序使用密码时可以满足一个容器对应一个密码的安全需求。
Description
技术领域
本发明涉及虚拟化技术领域,特别涉及一种密码中间件、方法、设备及存储介质。
背景技术
云计算主要通过虚拟化的技术方案为用户提供按需的服务。IaaS(Infrastructure as a service,基础架构即服务)云服务主要是提供虚拟机,当前的云密码方案主要是云服务器密码机通过虚拟密码机来提供虚拟机级别的密码隔离与应用方案;而云服务器密码机也存在成本高,无法提供容器级别的密码隔离,无法满足容器集群对密码机的需求。为保障云基础设施及云管理的安全,云计算需要建立以密码为核心的更加高效的云安全保障体系,同时还应为云租户提供云密码支撑服务,满足云上信息系统的安全需求。
由此可见,如何实现容器级别密码安全隔离是本领域要解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种密码中间件、方法、设备及存储介质,可以实现容器级别的密码隔离,支持容器集群在弹性快速扩展与收缩时对密码机使用的需求;容器中的应用程序使用密码时可以满足一个容器对应一个密码的安全需求。其具体方案如下:
第一方面,本申请提供了一种密码中间件,所述密码中间件为基于Kubernetes的中间件,包括:
主控模块,用于从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;
代理模块,用于获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
可选的,所述密码中间件还包括:
管理模块,用于管理所述主控模块,并根据获取到的操作指令对所述主控模块进行配置,以便所述主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为工作节点与相关容器生成虚拟化密码机数据影像。
可选的,所述主控模块,包括:
密码资源申请单元,用于通过预设接口获取容器对应的密码配置文件,以基于所述密码配置文件从预设密码资源池中申请相应的密码资源;
数据影像生成单元,用于采用NameSpace的隔离模式,并利用所述密码配置文件和所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像。
可选的,所述密码中间件还包括:
映射表建立模块,用于根据所述密码配置文件对不同工作节点上的容器与所述虚拟化密码机数据影像建立映射表,以便根据所述映射表为相关容器提供密码服务。
可选的,所述密码中间件还包括:
存储模块,用于为所述虚拟化密码机数据影像分配隔离的存储区域,以便保存所述虚拟化密码机数据影像。
可选的,所述存储模块,包括:
硬件资源分配单元,用于当所述主控模块为基于硬件的独立载体,则为所述虚拟化密码机数据影像分配相关的硬件资源,以便保存所述虚拟化密码机数据影像。
可选的,所述密码中间件还包括:
工作节点判断模块,用于当发生容器漂移时,判断原容器与漂移的目标容器是否在同一工作节点;
第一密码机生成模块,用于当所述原容器与所述目标容器在同一工作节点时,通过所述代理模块利用所述原容器对应的虚拟化密码机数据影像生成虚拟化密码机;
第二密码机生成模块,用于当所述原容器与所述目标容器不在同一工作节点时,通过所述主控模块将所述原容器对应的虚拟化密码机数据影像下发至所述目标容器所在的工作节点,以便所述代理模块利用所述工作节点上的该虚拟化密码机数据影像生成虚拟化密码机。
第二方面,本申请提供了一种密码服务提供方法,应用于基于Kubernetes的密码中间件,包括:
通过所述密码中间件中的主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;
通过所述密码中间件中的代理模块获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如上述的密码服务提供方法。
第四方面,本申请提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现如上述的密码服务提供方法
由此可见,本申请的密码中间件应用于Kubernetes,包括主控模块和代理模块,其中,主控模块用于从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;代理模块用于获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。这样一来,本申请可以为容器生成虚拟化密码机,实现容器级别的密码隔离,弥补了在容器虚拟化应用上存在重大安全隐患;并且本申请支持容器集群在弹性快速扩展与收缩时对密码机使用的需求;容器中的应用程序使用密码时可以做到一个容器对应一个密码的安全要求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种密码中间件结构示意图;
图2为本申请公开的一种具体的密码中间件结构示意图;
图3为本申请公开的一种具体的密码服务提供方法流程图;
图4为本申请公开的另一种具体的密码服务提供方法流程图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,本发明实施例公开了一种密码中间件,所述密码中间件为基于Kubernetes的中间件,包括:
主控模块11,用于从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像。
本申请中,密码中间件是在K8S(Kubernetes,一种容器编排平台)控制节点和工作节点上分别设置主控模块和代理模块的用于提供密码服务的组件;密码中间件的主控模块设置于K8S的控制节点,密码中间件的代理模块设置于K8S的工作节点,如图2所示为一种云密码中间件部署图。主控模块可以从预设密码资源池获取密码资源,并为每个容器生成所需的密码资源的虚拟化密码机数据影像(Virtual Security Module data image)。在一种具体的实施例中,密码中间件还可以包括:管理模块,用于管理所述主控模块,并根据获取到的操作指令对所述主控模块进行配置,以便所述主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为工作节点与相关容器生成虚拟化密码机数据影像。具体的,密码中间件中的管理模块可以创建、配置并管理主控模块,实现对密码中间件主控模块的添加、删除、配置、启动、停止、监控等功能。
在一种具体的实施例中,所述主控模块,可以包括:密码资源申请单元,用于通过预设接口获取容器对应的密码配置文件,以基于所述密码配置文件从预设密码资源池中申请相应的密码资源;数据影像生成单元,用于采用NameSpace的隔离模式,并利用所述密码配置文件和所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像。具体的,主控模块在申请密码资源时,密码资源申请单元可以通过预设接口获取容器对应的密码配置文件,该密码配置文件对应相关容器所需的密码资源;密码资源申请单元可以基于该密码配置文件从预设密码资源池中申请相应的密码资源。进一步的,主控模块在生成虚拟密码机数据影像时,数据影像生成单元可以采用NameSpace(Linux内核提供的技术)的隔离模式为不同工作节点上的Pod(为k8s的最小调度单元,里面会包含一个或多个容器)与容器(Docker)生成所需的密码资源的虚拟化密码机数据影像(其中,Virtual SecurityModule,VSM,虚拟密码机)。
进一步的,在另一种具体的实施例中,密码中间件还可以包括:映射表建立模块,用于根据所述密码配置文件对不同工作节点上的容器与所述虚拟化密码机数据影像建立映射表,以便根据所述映射表为相关容器提供密码服务。具体的,密码中间件中需要映射表建立模块将不同工作节点上的容器与主控模块申请的虚拟化密码机数据影像之间建立映射关系,可以通过唯一识别的ID(Identity document,身份标识)来建立映射表,便于后续基于该映射表提供密码服务。
可以理解的是,密码中间件还可以包括:存储模块,用于为所述虚拟化密码机数据影像分配隔离的存储区域,以便保存所述虚拟化密码机数据影像。具体的,通过该存储模块可以为主控模块申请的虚拟化密码机数据影像分配隔离的存储区域,保证数据安全隔离。进一步的,该存储模块可以包括:硬件资源分配单元,用于当所述主控模块为基于硬件的独立载体,则为所述虚拟化密码机数据影像分配相关的硬件资源,以便保存所述虚拟化密码机数据影像。具体的,当主控模块为基于硬件的独立载体时,可以通过硬件资源分配单元为主控模块分配相关的硬件资源,以便保存相关的虚拟化密码机数据影像。
代理模块12,用于获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
本申请中,密码中间件的代理模块可以接收主控模块下发到工作节点的虚拟化密码机数据影像,并利用这些虚拟化密码机数据影像为相关容器生成虚拟化密码机VSM,提供给容器使用。在具体的实施例中,密码中间件还可以包括:工作节点判断模块,用于当发生容器漂移时,判断原容器与漂移的目标容器是否在同一工作节点;第一密码机生成模块,用于当所述原容器与所述目标容器在同一工作节点时,通过所述代理模块利用所述原容器对应的虚拟化密码机数据影像生成虚拟化密码机;第二密码机生成模块,用于当所述原容器与所述目标容器不在同一工作节点时,通过所述主控模块将所述原容器对应的虚拟化密码机数据影像下发至所述目标容器所在的工作节点,以便所述代理模块利用所述工作节点上的该虚拟化密码机数据影像生成虚拟化密码机。具体的,通过工作节点判断单元可以判断容器发生漂移时的原容器和漂移的目标容器是否处于同一工作节点;可以理解的是,当容器在集群内发生漂移时,为其服务的VSM也应做相应的安全漂移。因此,可以把原容器的VSM数据影像备份到工作节点的代理模块和主控模块,如果目标容器和原容器在同一工作节点上,则代理模块可以直接为其装配数据影像后生成VSM。相应的,如果目 标容器和原容器在不同的工作节点上,则主控模块可以通过目标工作节点的代理模块为该容器装配数据影像生成VSM,再把原工作节点的代理模块上的数据影像备份删除。
由此可见,本申请的密码中间件是在K8S控制节点和工作节点上分别设置主控模块和代理模块的用于提供密码服务的组件,监控模块可以为容器生成虚拟化密码机,实现容器级别的密码隔离,弥补了在容器虚拟化应用上存在重大安全隐患;并且本申请支持容器集群在弹性快速扩展与收缩时对密码机使用的需求;容器中的应用程序使用密码时可以做到一个容器对应一个密码的安全要求。
参见图3所示,本申请实施例公开了一种密码服务提供方法,应用于基于Kubernetes的密码中间件,包括:
步骤S11、通过所述密码中间件中的主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像。
本实施例中,密码中间件的主控模块和代理模块是分别部署在K8S控制节点和工作节点上的组件,密码中间件可以通过配置文件读取容器所需的密码配置,然后通过主控模块可以从预设密码资源池中申请与密码配置相对应的密码资源;进一步的,利用申请的密码资源以及读取到的密码配置可以为不同工作节点上的相关容器生成虚拟化密码机数据影像。换句话说,密码中间件首先计算容器集群所需的总的密码资源,然后通过安全通道在预设密码资源池中申请相应数量的密码资源;之后根据配置需求为不同工作节点与Pod上的容器生成虚拟密码机VSM数据镜像。
步骤S12、通过所述密码中间件中的代理模块获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
将VSM数据镜像下发给中间件代理模块后,中间件代理模块可以装载VSM数据影像并为工作节点上对应的容器生成VSM,以提供密码服务给容器,工作节点上的VSM支持持久性存储、网络协议栈、文件系统、进程管理的独立运行和相互隔离。
在一种具体的实施例中,如图4所示,首先把云密码中间件主控模块和代理模块分别部署到K8S管理节点和工作节点上,同时主控模块通过API Server(ApplicationProgramming Interface,程序接口)与K8S其他核心模块Carontroller Manager(集群内部的管理控制中心)、Scheduler(集群默认的调度器)和Etcd(集群的首要数据存储)进行通信以感知容器集群的动态状态。中间件主控模块通过配置文件读取容器所需密码配置,配置文件是K8S使用的YAML(YAML Ain't Markup Language,一种数据序列化语言)格式,对工作节点上的容器需要的密码资源进行描述。中间件主控模块计算容器集群所需要总的密码资源,并通过安全通道在云密码资源池申请相应数量密码资源。中间件主控模块根据配置需求为不同工作节点与Pod上的容器生成虚拟密码机VSM数据镜像。如果中间件主控模块是基于独立硬件载体,则为VSM数据影像分配使用的硬件资源。无论软件还是硬件方案,给VSM数据影像分配安全隔离的持久性存储,持久性存储区域可采用加密文件系统和文件/目录访问控制等技术进行安全隔离保护。进一步的,主控模块可以根据配置文件对不同工作节点上的容器与VSM数据影像通过唯一识别的ID建立映射表,该过程可以结合CGroup(Linux内核提供的技术)和NameSpace技术;可以理解的是,NameSpace和 CGroup等技术可以为应用提供一个独立的虚拟运行环境,实现了容器间的安全隔离及各容器资源控制。其中,NameSpace技术实现了容器间的进程、用户、网络、文件系统空间安全隔离;而CGroup技术提供了各容器使用的CPU、内存、网络、IO(Input output,输入输出)等物理资源配额管理功能。之后的VSM数据镜像将被主控模块通过预先设置的安全通道下发给密码中间件的代理模块。代理模块可以装载VSM数据影像并为工作节点上对应的容器生成VSM,提供密码服务给容器,工作节点上的VSM支持持久性存储、网络协议栈、文件系统、进程管理的独立运行和相互隔离。
需要指出的是,云密码中间件主控模块和代理模块都推荐符合国标GB/T 37092对软件/固件安全的规定。VSM的创建可以是基于容器的颗粒度,也可以是基于Pod的颗粒度。VSM的密码资源可以同时支持容器及Pod系统间的鉴权与安全通信,也可以给容器的用户给密码服务,可以在Dockerfile(用来构建镜像的文本文件)中增加扩展命令提供容器中的程序使用VSM的密码资源。使用容器级VSM提代的密码服务可以保障应用程序需要用到一个容器对应一个密码的安全要求。进一步的,容器的销毁时,工作节点上代理模块需要把VSM数据影像备份到主控模块,再把VSM删除,VSM数据影像备份在定时时间内不会被再次激活后,主控模块删除该数据影像备份,并释放相应的密码资源。并且,K8S的容器集群管理的一个特点是容器大量快速的创建/销毁,扩容/收缩,云密码中间件主控模块可以根据配置文件向密码资源提供申请资源,以应对大量容器创建所需要的VSM,同一种需要大量创建的容器的VSM数据影像在主控模块可以使用Redis(Remote Dictionary Server缓存数据库)缓存以提高访问及下载效率。
由此可见,本申请密码中间件的监控模块可以为容器生成虚拟化密码机,实现容器级别的密码隔离,代理模块可以生成虚拟密码机,为容器提供密码服务,弥补了在容器虚拟化应用上存在重大安全隐患;并且,也尽可能节省了硬件资源的投入。进一步的,本申请支持容器集群在弹性快速扩展与收缩时对密码机使用的需求;容器中的应用程序使用密码时可以做到一个容器对应一个密码的安全要求。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备 20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的密码服务提供方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的密码服务提供方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的密码服务提供方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种密码中间件,其特征在于,所述密码中间件为基于Kubernetes的中间件,包括:
主控模块,用于从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;
代理模块,用于获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
2.根据权利要求1所述的密码中间件,其特征在于,还包括:
管理模块,用于管理所述主控模块,并根据获取到的操作指令对所述主控模块进行配置,以便所述主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为工作节点与相关容器生成虚拟化密码机数据影像。
3.根据权利要求1所述的密码中间件,其特征在于,所述主控模块,包括:
密码资源申请单元,用于通过预设接口获取容器对应的密码配置文件,以基于所述密码配置文件从预设密码资源池中申请相应的密码资源;
数据影像生成单元,用于采用NameSpace的隔离模式,并利用所述密码配置文件和所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像。
4.根据权利要求3所述的密码中间件,其特征在于,还包括:
映射表建立模块,用于根据所述密码配置文件对不同工作节点上的容器与所述虚拟化密码机数据影像建立映射表,以便根据所述映射表为相关容器提供密码服务。
5.根据权利要求1所述的密码中间件,其特征在于,还包括:
存储模块,用于为所述虚拟化密码机数据影像分配隔离的存储区域,以便保存所述虚拟化密码机数据影像。
6.根据权利要求5所述的密码中间件,其特征在于,所述存储模块,包括:
硬件资源分配单元,用于当所述主控模块为基于硬件的独立载体,则为所述虚拟化密码机数据影像分配相关的硬件资源,以便保存所述虚拟化密码机数据影像。
7.根据权利要求1至6任一项所述的密码中间件,其特征在于,还包括:
工作节点判断模块,用于当发生容器漂移时,判断原容器与漂移的目标容器是否在同一工作节点;
第一密码机生成模块,用于当所述原容器与所述目标容器在同一工作节点时,通过所述代理模块利用所述原容器对应的虚拟化密码机数据影像生成虚拟化密码机;
第二密码机生成模块,用于当所述原容器与所述目标容器不在同一工作节点时,通过所述主控模块将所述原容器对应的虚拟化密码机数据影像下发至所述目标容器所在的工作节点,以便所述代理模块利用所述工作节点上的该虚拟化密码机数据影像生成虚拟化密码机。
8.一种密码服务提供方法,其特征在于,应用于基于Kubernetes的密码中间件,包括:
通过所述密码中间件中的主控模块从预设密码资源池申请相应的密码资源,并利用所述密码资源为不同工作节点的相关容器生成虚拟化密码机数据影像;
通过所述密码中间件中的代理模块获取下发到所述工作节点的所述虚拟化密码机数据影像,并基于所述虚拟化密码机数据影像为所述容器生成虚拟化密码机,以便利用所述虚拟化密码机为所述容器提供密码服务。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求8所述的密码服务提供方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求8所述的密码服务提供方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410667428.5A CN118300788A (zh) | 2024-05-28 | 2024-05-28 | 一种密码中间件、方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410667428.5A CN118300788A (zh) | 2024-05-28 | 2024-05-28 | 一种密码中间件、方法、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118300788A true CN118300788A (zh) | 2024-07-05 |
Family
ID=91684041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410667428.5A Pending CN118300788A (zh) | 2024-05-28 | 2024-05-28 | 一种密码中间件、方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118300788A (zh) |
-
2024
- 2024-05-28 CN CN202410667428.5A patent/CN118300788A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110198231B (zh) | 用于多租户的容器网络管理方法和系统以及中间件 | |
CN111934918B (zh) | 对同一容器集群内的容器实例的网络隔离方法和装置 | |
US20170373931A1 (en) | Method for updating network service descriptor nsd and apparatus | |
CN111857873A (zh) | 一种实现云原生容器网络的方法 | |
CN111787126B (zh) | 容器创建方法、服务器及存储介质 | |
CN113821170B (zh) | 一种分布式存储系统,一种访问方法及组件 | |
KR20130114575A (ko) | 프로비저닝 서비스를 위한 리더 중재 | |
CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
CN113849266A (zh) | 多Kubernetes集群的业务部署方法及装置 | |
CN113254156A (zh) | 一种容器组部署方法、装置、电子设备及存储介质 | |
CN114301914B (zh) | 一种云边协同方法、装置及存储介质 | |
CN115639954A (zh) | 一种数据传输方法、装置、设备及介质 | |
CN114650170A (zh) | 跨集群资源管理方法、装置、设备和存储介质 | |
CN114745757B (zh) | 一种集群切换方法、装置、设备及介质 | |
CN102377589A (zh) | 实现权限管理控制的方法及终端 | |
CN112035062A (zh) | 云计算的本地存储的迁移方法、计算机设备及存储介质 | |
CN118300788A (zh) | 一种密码中间件、方法、设备及存储介质 | |
WO2022001755A1 (zh) | 一种用户云桌面数据漫游和共享的方法及装置 | |
CN115185637A (zh) | PaaS组件管理端和虚拟机代理的通信方法及装置 | |
CN112910796B (zh) | 流量管理方法、装置、设备、存储介质以及程序产品 | |
CN114666161A (zh) | 一种组件安全策略管理方法、装置、设备及存储介质 | |
CN114338124A (zh) | 云密码计算服务的管理方法、系统、电子设备及存储介质 | |
CN113093995A (zh) | 一种云盘数据的迁移方法和系统 | |
CN107959674B (zh) | 网关设备、对第三方ldap服务器用户的访问控制方法及系统 | |
CN113687962A (zh) | 一种请求处理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication |