一种虚拟云密码服务系统及方法技术方案

本发明专利技术涉及一种虚拟云密码服务系统及方法。所述虚拟云密码服务系统包括计算设备、云服务端、物理密码卡；所述物理密码卡通过专用接口连接计算设备；所述计算设备安装有云密码管理系统，所述云密码管理系统用于创建虚拟密码机；所述计算设备通过安全网络连接云服务端;所述云服务端包括虚拟密码机接口，所述虚拟密码机连接所述虚拟密码机接口；所述云服务端还包括虚拟密码服务模块，用于向云服务端的其他有密码使用需求的应用提供密码服务。其他有密码使用需求的应用提供密码服务。其他有密码使用需求的应用提供密码服务。

【技术实现步骤摘要】
一种虚拟云密码服务系统及方法


[0001]本专利技术涉及一种密码工程领域，具体地说，是涉及一种虚拟云密码服务系统及方法。

技术介绍

[0002]随着云计算技术的发展，越来越多的传统应用向云端迁移。利用云计算环境特有的高可靠性、高伸缩性，实现数据集中管理和硬件资源的高效利用。
[0003]传统应用借助密码机等硬件设备保障应用的信息安全，但在云计算环境中使用普通密码设备有诸多问题，如普通的密码设备使用方式不符合云环境、不能确保租户隔离安全、设备运维困难等。在云计算环境下使用传统密码机还存在诸多其他问题。例如，在本地计算设备上能够正常使用的物理密码卡，在转换到云计算环境后，由于云计算环境的硬件并不支持物理密码卡，将无法正常使用，而且本地计算设备的物理密码卡可能被不安全地映射到云计算环境中。如何克服现有技术的上述缺陷，成为本
亟待解决的课题。

技术实现思路

[0004]为克服上述现有技术的不足，本专利技术提供了一种虚拟云密码服务系统及方法，具体采用如下技术方案：一种虚拟云密码服务系统，包括计算设备、云服务端、物理密码卡；所述物理密码卡通过专用接口连接计算设备；所述计算设备安装有云密码管理系统，所述云密码管理系统用于创建虚拟密码机；所述计算设备通过安全网络连接云服务端；所述云服务端包括虚拟密码机接口，所述虚拟密码机连接所述虚拟密码机接口；所述云服务端还包括虚拟密码服务模块，用于向云服务端的其他有密码使用需求的应用提供密码服务。
[0005]进一步，所述云密码管理系统发出物理密码卡初始化指令，初始化所述物理密码卡；所述物理密码卡的管理员通过计算设备在所述云密码管理系统中进行鉴权操作，所述云密码管理系统对物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；所述云密码管理系统获取所述物理密码卡的设备密钥。
[0006]进一步，所述虚拟密码服务模块包括服务管理单元和应用程序连接单元；所述服务管理单元连接所述虚拟密码机接口，获取所述虚拟密码机的资源，包括数字证书、公钥，并通过所述安全网络，获取所述物理密码卡提供的数字签名服务、加密和/或解密服务；所述服务管理单元连接还连接所述应用程序连接单元，通过所述服务管理单元遮
蔽物理密码卡的结构和操作细节，并为所述应用程序连接服务提供服务调用接口。
[0007]进一步，所述服务管理单元遮蔽物理密码卡的结构和操作细节，并为所述应用程序连接服务提供服务调用接口，具体包括：将物理密码卡抽象为一个Token,通过一个符合安全服务框架的CSP动态连接库文件，将这个Token对应的CSP签名文件导入注册表，从而使得CryptoAPI能够调用密码服务。
[0008]进一步，所述应用程序连接单元用于向云服务端的其他有密码使用需求的应用提供标准API，从而实现密码调用;所述应用程序连接单元向服务管理单元提供指定的密码服务系统层接口协议，所述服务管理单元依照该密码服务系统层接口协议与所述应用程序连接单元进行信息交互。
[0009]进一步，所述计算设备和所述云服务端中均安装所述物理密码卡的驱动程序；所述虚拟密码机中安装物理密码卡模拟器，用于实现所述计算设备中的物理密码卡驱动程序与所述云服务端中的物理密码卡驱动程序的通信。
[0010]进一步，所述云服务端包括多个租户，所述云服务端还包括密码运算资源调度模块，用于对密码资源进行调度管理，避免同一个租户的不同密码虚拟机对应于同一个物理密码卡；所述密码运算资源调度模块对各个租户进行密码服务资源的实时分配，从而确保仅在所述租户提出密码服务需求时，才提供相互之间完全隔离的密码运算服务。
[0011]进一步，所述密码运算资源调度模块，用于创建租户、向租户分配虚拟密码机、对虚拟密码机进行开启/停止控制；在发生故障时，所述密码运算资源调度模块能够向所述计算设备发送报警，通知物理密码卡的管理员。
[0012]进一步，所述物理密码卡和所述虚拟密码机均为多个，并且所述虚拟密码机的数量等于云密码服务租户的数量，并且大于所述物理密码卡的数量。
[0013]本专利技术还涉及一种虚拟云密码服务方法，采用如上所述的虚拟云密码服务系统，所述虚拟云密码服务方法包括下列步骤：S1. 所述计算设备通过安全网络与所述云服务端建立安全连接，所述云密码管理系统发出物理密码卡初始化指令，初始化物理密码卡；S2.所述云密码管理系统对物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；S3. 所述云密码管理系统发出虚拟密码机创建指令，创建虚拟密码机；S4. 所述云服务端中有密码使用需求的应用向应用程序连接单元发送密码服务请求；S5. 所述应用程序连接单元将所述密码服务请求发送到服务管理单元，所述服务管理单元调用所述虚拟密码机；S6. 所述虚拟密码机根据所述密码服务请求生产密码验证参数，并将密码验证参数发送到所述服务管理单元；S7. 所述服务管理单元通过所述安全网络，将所述密码验证参数发送到所述云密码管理系统；S8. 所述云密码管理系统将所述密码验证参数通过所述专用接口发送到所述物理密码卡；
S9. 所述物理密码卡执行密码运算，并向所述云密码管理系统发送验证结果信息；S10. 所述云密码管理系统将验证结果通过所述安全网络发送到所述云服务端，并通过所述虚拟密码服务模块发送到所述云服务端中有密码使用需求的应用，完成密码服务。
[0014]本专利技术的技术方案提供一种虚拟云密码服务系统及方法，能够在云计算环境下使用正常使用连接到本地计算设备的物理密码卡，而无需将本地计算设备的物理密码卡映射到云计算环境中，从而提高安全性。
附图说明
[0015]图1为本专利技术的虚拟云密码服务系统结构图。
[0016]图2为本专利技术的虚拟云密码服务方法流程图。
具体实施方式
[0017]下面结合附图对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。
[0018]除非另有指明，本文使用的所有技术和科学术语具有与本申请所属
的普通技术人员通常理解的相同含义。需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0019]如附图1所示，本专利技术实施例1涉及一种虚拟云密码服务系统，包括计算设备、云服务端、物理密码卡。
[0020]物理密码卡通过专用接口连接计算设备，所述计算设备安装有云密码管理系统，所述云密码管理系统发出物理密码卡初始化指令，初始化物理密码卡。物理密码卡的管理员通过计算设备在所述云密码管理系统中进行鉴权操作，所述云密码管理系统对物理密码卡的管理员进行身份验证，并产生物理密码卡本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟云密码服务系统，其特征在于，所述虚拟云密码服务系统包括计算设备、云服务端、物理密码卡；所述物理密码卡通过专用接口连接计算设备；所述计算设备安装有云密码管理系统，所述云密码管理系统用于创建虚拟密码机；所述计算设备通过安全网络连接云服务端；所述云服务端包括虚拟密码机接口，所述虚拟密码机连接所述虚拟密码机接口；所述云服务端还包括虚拟密码服务模块，用于向云服务端的其他有密码使用需求的应用提供密码服务。2.根据权利要求1所述的一种虚拟云密码服务系统，其特征在于，所述云密码管理系统发出物理密码卡初始化指令，初始化所述物理密码卡；所述物理密码卡的管理员通过计算设备在所述云密码管理系统中进行鉴权操作，所述云密码管理系统对所述物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；所述云密码管理系统获取所述物理密码卡的设备密钥。3.根据权利要求1所述的一种虚拟云密码服务系统，其特征在于，所述虚拟密码服务模块包括服务管理单元和应用程序连接单元；所述服务管理单元连接所述虚拟密码机接口，获取所述虚拟密码机的资源，包括数字证书、公钥，并通过所述安全网络，获取所述物理密码卡提供的数字签名服务、加密和/或解密服务；所述服务管理单元连接还连接所述应用程序连接单元，通过所述服务管理单元遮蔽物理密码卡的结构和操作细节，并为所述应用程序连接服务提供服务调用接口。4.根据权利要求3所述的一种虚拟云密码服务系统，其特征在于，所述服务管理单元遮蔽物理密码卡的结构和操作细节，并为所述应用程序连接服务提供服务调用接口，具体包括：将物理密码卡抽象为一个Token,通过一个符合安全服务框架的CSP动态连接库文件，将这个Token对应的CSP签名文件导入注册表，从而使得CryptoAPI能够调用密码服务。5.根据权利要求3所述的一种虚拟云密码服务系统，其特征在于，所述应用程序连接单元用于向云服务端的其他有密码使用需求的应用提供标准API，从而实现密码调用;所述应用程序连接单元向服务管理单元提供指定的密码服务系统层接口协议，所述服务管理单元依照该密码服务系统层接口协议与所述应用程序连接单元进行信息交互。6.根据权利要求5所述的一种虚拟云密码服务系统，其特征在于，所述计算设备和所述云服务端中均安装所述物理密码卡的驱动程序；所述虚拟密码机中安装物理密码卡模拟器，用于实现所述计算设备中的...

【专利技术属性】
技术研发人员：刘歆，郭磊，王亮，王天顺，
申请(专利权)人：中安网脉北京技术股份有限公司，
类型：发明
国别省市：