本发明专利技术公开了一种基于虚拟化技术的云密码服务平台及其工作流程,所述平台包括管理中心及若干节点。所述中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,虚拟密码机及镜像管理、应用密钥的全生命周期管理。所述节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个容器负责特定应用的密码运算服务。本发明专利技术解决了密码机在传统应用模式中的各种弊端,提高密码服务性能,实现密码服务组合式、按需分配,满足云计算下对密码服务的高性能、高可用性的应用需求。
【技术实现步骤摘要】
本专利技术属于信息安全密码
,其涉及一种基于虚拟化技术的云密码服务平台及其工作流程。
技术介绍
虚拟化是一个广义的术语,是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。虚拟化使用软件方法重新定义划分IT资源,可以实现IT资源的动态分配、灵活调度、跨域共享,提高IT资源利用率,使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求。当前传统的密码机使用模式可归结为两种模式:直连和代理。直连模式:应用系统自行管理与多台密码机之间的连接,探测连接是否可用,并在多个连接中实现负载均衡,因此对应用系统提出了较大的挑战,使用模式复杂。代理模式:由一个访问代理连接密码机集群中的机器,访问代理实现密码机的连接、可用性、负载均衡等功能,应用系统实现与访问代理进行连接即可。但访问代理需要额外的机器、人力进行部署和维护;代理本身的稳定性直接影响了密码服务的稳定性;代理如果配置部署不合适,容易形成性能瓶颈。此外,上述两种模式从整体上缺乏统一、有效的密码机集中管理和维护,且密码机不能重复使用,造成极大的物力和人力资源浪费。随着信息系统业务的不断发展,密码机在业务系统中的应用不断增加,密码机的种类和数量也随之不断增长。同时,随着越来越多系统向着云上迁移,应用系统由传统固定的资源分配,变为可动态伸缩、迁移。这一系列变化均对密码机的管理系统提出了更强的计算能力、更高的安全强度、更自动化的便捷管理的需求。不同密码机的管理方式、应用模式、设备形态等存在较大差异,缺乏有效的设备集中管理和维护手段,且传统密码机由各个应用独享不能重复使用,造成物力和人力资源浪费。因此,面对众多的密码机如何统一、集中管理与维护,如何为上层密码应用主体提供密码安全服务将成为系统建设的重点。
技术实现思路
为解决上述问题,本专利技术提供了一种基于虚拟化技术的云密码服务平台,包括管理中心及若干节点。管理中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,虚拟密码机及镜像管理、应用密钥的全生命周期管理。节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个容器负责特定应用的密码运算服务。上述的基于虚拟化技术的云密码服务平台的集中密码服务工作流程,所述流程包括如下步骤:步骤一:管理中心录入各个节点的基本信息,对其进行注册。步骤二:管理中心录入应用基本信息,所述基本信息包括IP地址,以形成应用IP白名单。步骤三:管理中心根据应用需求,在节点中创建并分配合适数目的容器,将虚机镜像下发至节点的虚拟密码机,节点利用虚拟化技术完成虚机镜像在虚拟密码机中的装载,节点中形成多个虚拟的、为应用定制化的专用密码机。步骤四:管理中心为应用产生密钥,形成应用与密钥的映射关系,并将密码机本地主密钥加密存储在数据库中;管理中心根据实际需求,选择应用所需要的密码服务功能、运算资源和密钥存储资源。步骤五:管理中心选择指定的虚拟密码机,将密文的密钥、应用与密钥的映射关系传送至节点。步骤六:节点接收信息,利用节点的本地主密钥进行解密,获取密钥明文。步骤七:节点将密钥明文、应用与密钥映射关系装载到指定虚拟密码机的内存中。步骤八:HA根据管理中心提供的应用IP白名单,验证请求合法性,并均衡的发送至可用的节点的虚拟密码机中。步骤九:节点的虚拟密码机对密码服务请求进行密码运算。步骤十:节点的虚拟密码机将密码运算结果按原路返回给应用,并等待接收下一次密码服务请求。进一步的,节点的基本信息包括厂商、型号、名称、IP地址、端口。进一步的,应用的基本信息还包括应用账号、应用名称、端口。进一步的,步骤二中,管理中心还对外提供API接口,供应用动态伸缩时自动更新白名单,以管理应用的合法请求来源。进一步的,管理中心以图形化方式呈现节点中各容器的运行状态。进一步的,管理中心负责节点容器的统一管理和维护,包括容器的修改、克隆、销毁。本专利技术的有益效果为:1.统一接入。对上层云服务应用提供统一、通用、友好的访问接口,针对同一种业务功能、不同型号的密码机应采用相同的对外接口,实现上层云服务应用对密码机的透明引用,屏蔽上层多种业务逻辑处理,将应用不关心的后台实现细节、参数等加以屏蔽或自动处理,以简化上层云服务应用的使用。2.按需分配。根据实际应用需要实现密码按需服务、资源动态分配,灵活支持高峰期的业务密码服务需求。3.高性能。在云服务环境中,能够实时处理云平台中大量数据产生的密码服务需求,支持高并发访问、高运算速度、高密钥存储容量等特性。4.高可用性。为云服务环境中各个应用提供不间断、高可用的密码运算服务,避免了单一密码机的单点故障。5.高利用率。整合密码机资源,形成密码机集群,提高密码硬件资源的利用率,增加投资回报率。6.高隔离性。在为云服务环境中多个应用提供密码服务时,为防止多个应用同时使用时产生交叉影响,在计算资源使用、数据访问等层面提供良好的隔离措施,杜绝多个应用同时使用时产生的交叉感染问题。7.运营管理。提供统一的密钥管理及密码安全服务,集中的密码机监控和管理,及时掌握运营状况,并降低运营成本和管理工作量。附图说明图1是本专利技术工作流程图。具体实施方式本专利技术所述基于虚拟化技术的云密码服务平台包括管理中心及若干节点包括管理中心及若干节点。管理中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,容器及镜像管理、应用密钥的全生命周期管理等主要功能。节点由多个相对独立的物理节点(密码机)构成,每个节点上通过虚拟化技术隔离出不同的容器(虚拟密码机),每个容器负责特定应用的密码运算服务。图1所示为本专利技术所述云密码服务平台的工作过程展示,下面对各关键工作步骤详细说明。步骤一:管理中心录入各个节点的基本信息,对其进行注册。管理中心录入节点(密码机)基本信息(厂商、型号、名称、IP地址、端口等;根据这些信息完成对节点的注册工作;注册工作使得管理中心能够实现对节点的统一管理和维护。步骤二:管理中心录入应用基本信息,以形成应用IP白名单。管理中心录入应用基本信息,包括应用账号、应用名称、IP地址、端口等),形成应用IP白名单。优选的,管理端还对外提供API接口,供应用动态伸缩时本文档来自技高网...
【技术保护点】
一种基于虚拟化技术的云密码服务平台,其特征在于,包括管理中心及若干节点,所述中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,虚拟密码机及镜像管理、应用密钥的全生命周期管理;所述节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个容器负责特定应用的密码运算服务。
【技术特征摘要】
1.一种基于虚拟化技术的云密码服务平台,其特征在于,包括管理中心及若干节点,
所述中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管
理,虚拟密码机及镜像管理、应用密钥的全生命周期管理;
所述节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚
拟密码机,每个容器负责特定应用的密码运算服务。
2.如权利要求1所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,所
述流程包括如下步骤:
步骤一:管理中心录入各个节点的基本信息,对其进行注册;
步骤二:管理中心录入应用基本信息,所述基本信息包括IP地址,以形成应用IP白名
单;
步骤三:管理中心根据应用需求,在节点中创建并分配合适数目的容器,将虚机镜像下
发至节点的虚拟密码机,节点利用虚拟化技术完成虚机镜像在虚拟密码机中的装载,节点
中形成多个虚拟的、为应用定制化的专用密码机;
步骤四:管理中心为应用产生密钥,形成应用与密钥的映射关系,并将密码机本地主密
钥加密存储在数据库中;管理中心根据实际需求,选择应用所需要的密码服务功能、运算资
源和密钥存储资源;
步骤五:管理中心选择指定的虚拟密码机,将密文的密钥、应用与密钥的映射关系传送
至节点;
步骤六:节点接收信息,利...
【专利技术属性】
技术研发人员:廖成军,李元正,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。