【技术实现步骤摘要】
本专利技术涉及密码设备集群的信息安全,特别涉及一种基于密码芯片部署的多租户隔离系统及方法。
技术介绍
1、密码运算资源是网络安全、数据安全的基石,多租户场景下如何实现密码资源的隔离,对于保护每个租户的密码运算资源的安全和隔离性至关重要。
2、针对多租户场景下的现有密码运算资源隔离方法包括:
3、密码卡虚拟化实现资源隔离方法:使用软件或硬件对密码存储资源进行逻辑划分实现资源隔离,限制每个虚拟密码卡的调用频率实现算力隔离。该方法虽然在密码卡进行了逻辑上的划分,但这并不是真正的物理隔离。这意味着在底层硬件上,所有的虚拟密码卡仍然共享相同的物理资源。一旦底层硬件出现漏洞或被攻击,所有虚拟密码卡都可能受到影响,并不是真正的隔离。
4、集中式多租户密码服务方法:通过部署集中式密码服务,密码服务背靠密码机集群,统一对外提供密码服务,该方法的优点是控制灵活,支持高可用,缺点是密码存储资源和算力高度共享,一旦某个部分出现故障或遭到攻击,整个系统的安全性和稳定性都会受到影响。
5、因此,如何提供一种能够从根本上实现各租户密码资源的严格隔离,有效提高租户密码应用安全性的多租户隔离系统及方法是本领域技术人员亟待解决的技术问题。
技术实现思路
1、本专利技术针对上述研究现状和存在的问题,提供了一种基于密码芯片部署的多租户隔离系统及方法,从芯片级实现各租户密码资源的完全隔离,提高了租户密码应用的安全性。
2、本专利技术提供的一种基于密码芯片部署的多租
3、所述租户应用服务器上运行有若干个租户应用虚拟机,且每个所述租户应用虚拟机配置有唯一的vlan id;
4、所述密码服务器上设有密码卡,所述密码卡上设有预先构建的密码芯片分配表和多个密码芯片,每个所述密码芯片拥有独立的密码存储资源和运算资源;所述密码芯片分配表用于存储vlan id和密码芯片的唯一绑定关系,所述密码卡根据所述密码芯片分配表向发送加密请求的租户应用虚拟机分配相应密码芯片的调用权限。
5、优选的,所述租户应用服务器上安装有物理网卡和网卡配置工具:其中,
6、所述物理网卡通过网络与所述密码服务器的密码卡进行互联;所述租户应用虚拟机基于所述物理网卡创建vlan子网卡的逻辑接口,所述租户应用虚拟机依次通过vlan子网卡和所述物理网卡与所述密码卡构建互联通道;
7、所述网卡配置工具通过pci总线与所述物理网卡连接,用于配置所述租户应用虚拟机中vlan子网卡的vlan id。
8、优选的,所述密码服务器上安装有密码卡配置工具:其中,
9、所述密码卡配置工具通过pci总线与所述密码卡连接,用于修改更新所述密码芯片分配表,为租户分配所述密码芯片。
10、优选的,所述密码卡包括总控模块、网络芯片和pci总线芯片;其中,
11、所述pci总线芯片用于接收通过pci总线传输的所述密码卡配置工具的配置指令,并传递至所述总控模块;
12、所述网络芯片与所述密码卡连接,用于接收通过网络传输的加密请求,并传递至所述总控模块,所述加密请求赋有所述租户应用虚拟机的vlan id;
13、所述总控模块与所述pci总线芯片、所述网络芯片连接,用于根据所述配置指令更新所述密码芯片分配表,完成密码芯片分配表的配置;以及从所述网络芯片读取加密请求识别并解析vlan id,根据所述密码芯片分配表查询所述vlan id对应的密码芯片,把加密请求发送给所述vlan id对应的密码芯片。
14、优选的,所述多个密码芯片通过密码芯片总线与所述总控模块连接。
15、优选的,所述网络为指定加密网络。
16、本专利技术提供的一种基于密码芯片部署的多租户隔离方法,应用于租户应用服务器,所述租户应用服务器和密码服务器通过网络进行互联;所述租户应用服务器上运行有若干个租户应用虚拟机;所述密码服务器上设有密码卡,所述密码卡上设有预先构建的密码芯片分配表和多个密码芯片,每个所述密码芯片拥有独立的密码存储资源和运算资源;
17、接收租户应用虚拟机的vlan id配置指令,配置租户应用虚拟机vlan子网卡的vlan id并保存,便于供所述密码卡预先构建密码芯片分配表,所述密码芯片分配表用于存储vlan id和密码芯片的唯一绑定关系,每个所述密码芯片拥有独立的密码存储资源和运算资源;
18、接收租户应用虚拟机的ip地址配置指令,将租户应用虚拟机中配置文件的ip地址配置为指向所述密码卡的网口ip,便于所述租户应用虚拟机调用所述密码卡中相应的所述密码芯片。
19、本专利技术提供的一种基于密码芯片部署的多租户隔离方法,应用于密码服务器,所述密码服务器和租户应用服务器通过网络进行互联;所述密码服务器上设有密码卡,所述密码卡上设有预先构建的密码芯片分配表和多个密码芯片,每个所述密码芯片拥有独立的密码存储资源和运算资源;所述租户应用服务器上运行有若干个租户应用虚拟机,且每个所述租户应用虚拟机配置有唯一的vlan id;
20、接收租户应用虚拟机的vlan id;
21、接收密码芯片分配表修改指令,为所述vlan id分配密码芯片,构建所述vlan id和所述密码芯片的唯一绑定关系,存储于所述密码芯片分配表。
22、本专利技术提供的一种根据所述的基于密码芯片部署的多租户隔离系统的多租户隔离方法,应用于租户应用服务器,包括如下步骤:
23、基于租户应用虚拟机的待加密数据生成加密请求;
24、将所述加密请求通过网络发送至所述密码卡,且在发送时为所述加密请求自动赋上所述租户应用虚拟机的vlan id,便于所述密码卡识别并解析所述vlan id,根据所述密码芯片分配表查询所述vlan id对应的密码芯片,并将待加密数据发送至所述密码芯片执行加密运算。
25、优选的,还包括如下步骤:
26、调用密码卡运算api接口库;
27、密码卡运算api接口调用密码卡设备驱动;
28、密码卡设备驱动通过所述网络调用所述密码服务器上相应的密码芯片。
29、本专利技术提供的一种根据所述的基于密码芯片部署的多租户隔离系统的多租户隔离方法,应用于密码服务器,包括如下步骤:
30、接收租户应用虚拟机发送的基于待加密数据生成的加密请求,所述加密请求赋有所述租户应用虚拟机的vlan id;
31、识别并解析所述vlan id,根据所述密码芯片分配表查询所述vlan id对应的密码芯片,并将待加密数据发送至所述密码芯片执行加密运算;
32、所述密码芯片完成加密运算后通过网络返回运算结果给所述租户应用虚拟机。
33、相较现有技术具有以下有益效果:
34、本专利技术通过在硬件层面实现密码运算资源的严格隔离本文档来自技高网...
【技术保护点】
1.一种基于密码芯片部署的多租户隔离系统,其特征在于,包括租户应用服务器和密码服务器,所述租户应用服务器和所述密码服务器通过网络进行互联;
2.根据权利要求1所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述租户应用服务器上安装有物理网卡和网卡配置工具:其中,
3.根据权利要求1所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述密码服务器上安装有密码卡配置工具:其中,
4.根据权利要求3所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述密码卡包括总控模块、网络芯片和PCI总线芯片;其中,
5.根据权利要求4所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述多个密码芯片通过密码芯片总线与所述总控模块连接。
6.一种基于密码芯片部署的多租户隔离方法,其特征在于,应用于租户应用服务器,所述租户应用服务器和密码服务器通过网络进行互联;所述租户应用服务器上运行有若干个租户应用虚拟机;所述密码服务器上设有密码卡,所述密码卡上设有预先构建的密码芯片分配表和多个密码芯片,每个所述密码芯片拥有独立的
7.一种基于密码芯片部署的多租户隔离方法,其特征在于,应用于密码服务器,所述密码服务器和租户应用服务器通过网络进行互联;所述密码服务器上设有密码卡,所述密码卡上设有预先构建的密码芯片分配表和多个密码芯片,每个所述密码芯片拥有独立的密码存储资源和运算资源;所述租户应用服务器上运行有若干个租户应用虚拟机,且每个所述租户应用虚拟机配置有唯一的Vlan ID;
8.一种根据权利要求1-5中任一项所述的基于密码芯片部署的多租户隔离系统的多租户隔离方法,其特征在于,应用于租户应用服务器,包括如下步骤:
9.根据权利要求8所述的多租户隔离方法,其特征在于,还包括如下步骤:
10.一种根据权利要求1-5中任一项所述的基于密码芯片部署的多租户隔离系统的多租户隔离方法,其特征在于,应用于密码服务器,包括如下步骤:
...【技术特征摘要】
1.一种基于密码芯片部署的多租户隔离系统,其特征在于,包括租户应用服务器和密码服务器,所述租户应用服务器和所述密码服务器通过网络进行互联;
2.根据权利要求1所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述租户应用服务器上安装有物理网卡和网卡配置工具:其中,
3.根据权利要求1所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述密码服务器上安装有密码卡配置工具:其中,
4.根据权利要求3所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述密码卡包括总控模块、网络芯片和pci总线芯片;其中,
5.根据权利要求4所述的一种基于密码芯片部署的多租户隔离系统,其特征在于,所述多个密码芯片通过密码芯片总线与所述总控模块连接。
6.一种基于密码芯片部署的多租户隔离方法,其特征在于,应用于租户应用服务器,所述租户应用服务器和密码服务器通过网络进行互联;所述租户应用服务器上运行有若干个租户应用虚拟机;所...
【专利技术属性】
技术研发人员:吕兴胜,刘会议,杨国强,李风杰,
申请(专利权)人:三未信安科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。