一種基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)及其工作流程的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全密碼技術(shù)領(lǐng)域���,其涉及一種基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)及其工作流程���。
【背景技術(shù)】
[0002]虛擬化是一個(gè)廣義的術(shù)語(yǔ),是指計(jì)算元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行�,是一個(gè)為了簡(jiǎn)化管理,優(yōu)化資源的解決方案���。這種把有限的固定的資源根據(jù)不同需求進(jìn)行重新規(guī)劃以達(dá)到最大利用率的思路�,在IT領(lǐng)域就叫做虛擬化技術(shù)�。虛擬化使用軟件方法重新定義劃分IT資源���,可以實(shí)現(xiàn)IT資源的動(dòng)態(tài)分配�、靈活調(diào)度���、跨域共享��,提高IT資源利用率��,使IT資源能夠真正成為社會(huì)基礎(chǔ)設(shè)施�,服務(wù)于各行各業(yè)中靈活多變的應(yīng)用需求。
[0003]當(dāng)前傳統(tǒng)的密碼機(jī)使用模式可歸結(jié)為兩種模式:直連和代理�。直連模式:應(yīng)用系統(tǒng)自行管理與多臺(tái)密碼機(jī)之間的連接,探測(cè)連接是否可用�����,并在多個(gè)連接中實(shí)現(xiàn)負(fù)載均衡��,因此對(duì)應(yīng)用系統(tǒng)提出了較大的挑戰(zhàn)�����,使用模式復(fù)雜���。代理模式:由一個(gè)訪問(wèn)代理連接密碼機(jī)集群中的機(jī)器�����,訪問(wèn)代理實(shí)現(xiàn)密碼機(jī)的連接�、可用性����、負(fù)載均衡等功能,應(yīng)用系統(tǒng)實(shí)現(xiàn)與訪問(wèn)代理進(jìn)行連接即可����。但訪問(wèn)代理需要額外的機(jī)器��、人力進(jìn)行部署和維護(hù);代理本身的穩(wěn)定性直接影響了密碼服務(wù)的穩(wěn)定性;代理如果配置部署不合適����,容易形成性能瓶頸����。此外,上述兩種模式從整體上缺乏統(tǒng)一�����、有效的密碼機(jī)集中管理和維護(hù)���,且密碼機(jī)不能重復(fù)使用,造成極大的物力和人力資源浪費(fèi)����。
[0004]隨著信息系統(tǒng)業(yè)務(wù)的不斷發(fā)展,密碼機(jī)在業(yè)務(wù)系統(tǒng)中的應(yīng)用不斷增加��,密碼機(jī)的種類(lèi)和數(shù)量也隨之不斷增長(zhǎng)����。同時(shí)��,隨著越來(lái)越多系統(tǒng)向著云上迀移���,應(yīng)用系統(tǒng)由傳統(tǒng)固定的資源分配,變?yōu)榭蓜?dòng)態(tài)伸縮��、迀移����。這一系列變化均對(duì)密碼機(jī)的管理系統(tǒng)提出了更強(qiáng)的計(jì)算能力、更高的安全強(qiáng)度�����、更自動(dòng)化的便捷管理的需求���。不同密碼機(jī)的管理方式�����、應(yīng)用模式��、設(shè)備形態(tài)等存在較大差異�,缺乏有效的設(shè)備集中管理和維護(hù)手段,且傳統(tǒng)密碼機(jī)由各個(gè)應(yīng)用獨(dú)享不能重復(fù)使用��,造成物力和人力資源浪費(fèi)����。因此,面對(duì)眾多的密碼機(jī)如何統(tǒng)一�����、集中管理與維護(hù)��,如何為上層密碼應(yīng)用主體提供密碼安全服務(wù)將成為系統(tǒng)建設(shè)的重點(diǎn)����。
【發(fā)明內(nèi)容】
[0005]為解決上述問(wèn)題,本發(fā)明提供了一種基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)�����,包括管理中心及若干節(jié)點(diǎn)�。
[0006]管理中心負(fù)責(zé)應(yīng)用的基本配置�����、審核、運(yùn)算邏輯���,應(yīng)用入口管理��、節(jié)點(diǎn)的注冊(cè)�����、維護(hù)和管理�,虛擬密碼機(jī)及鏡像管理��、應(yīng)用密鑰的全生命周期管理����。
[0007]節(jié)點(diǎn)由多個(gè)相對(duì)獨(dú)立的密碼機(jī)構(gòu)成,每個(gè)節(jié)點(diǎn)上通過(guò)虛擬化技術(shù)隔離出不同的虛擬密碼機(jī)��,每個(gè)容器負(fù)責(zé)特定應(yīng)用的密碼運(yùn)算服務(wù)�����。
[0008]上述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的集中密碼服務(wù)工作流程����,所述流程包括如下步驟:
步驟一:管理中心錄入各個(gè)節(jié)點(diǎn)的基本信息����,對(duì)其進(jìn)行注冊(cè)����。
[0009]步驟二:管理中心錄入應(yīng)用基本信息,所述基本信息包括IP地址����,以形成應(yīng)用IP白名單。
[0010]步驟三:管理中心根據(jù)應(yīng)用需求�����,在節(jié)點(diǎn)中創(chuàng)建并分配合適數(shù)目的容器�,將虛機(jī)鏡像下發(fā)至節(jié)點(diǎn)的虛擬密碼機(jī),節(jié)點(diǎn)利用虛擬化技術(shù)完成虛機(jī)鏡像在虛擬密碼機(jī)中的裝載�����,節(jié)點(diǎn)中形成多個(gè)虛擬的��、為應(yīng)用定制化的專(zhuān)用密碼機(jī)����。
[0011]步驟四:管理中心為應(yīng)用產(chǎn)生密鑰,形成應(yīng)用與密鑰的映射關(guān)系����,并將密碼機(jī)本地主密鑰加密存儲(chǔ)在數(shù)據(jù)庫(kù)中;管理中心根據(jù)實(shí)際需求�,選擇應(yīng)用所需要的密碼服務(wù)功能、運(yùn)算資源和密鑰存儲(chǔ)資源���。
[0012]步驟五:管理中心選擇指定的虛擬密碼機(jī)����,將密文的密鑰�����、應(yīng)用與密鑰的映射關(guān)系傳送至節(jié)點(diǎn)��。
[0013]步驟六:節(jié)點(diǎn)接收信息�����,利用節(jié)點(diǎn)的本地主密鑰進(jìn)行解密���,獲取密鑰明文�����。
[0014]步驟七:節(jié)點(diǎn)將密鑰明文�����、應(yīng)用與密鑰映射關(guān)系裝載到指定虛擬密碼機(jī)的內(nèi)存中���。
[0015]步驟八:HA根據(jù)管理中心提供的應(yīng)用IP白名單����,驗(yàn)證請(qǐng)求合法性���,并均衡的發(fā)送至可用的節(jié)點(diǎn)的虛擬密碼機(jī)中�。
[0016]步驟九:節(jié)點(diǎn)的虛擬密碼機(jī)對(duì)密碼服務(wù)請(qǐng)求進(jìn)行密碼運(yùn)算�。
[0017]步驟十:節(jié)點(diǎn)的虛擬密碼機(jī)將密碼運(yùn)算結(jié)果按原路返回給應(yīng)用,并等待接收下一次密碼服務(wù)請(qǐng)求���。進(jìn)一步的���,節(jié)點(diǎn)的基本信息包括廠商、型號(hào)、名稱(chēng)��、IP地址���、端口。
[0018]進(jìn)一步的��,應(yīng)用的基本信息還包括應(yīng)用賬號(hào)���、應(yīng)用名稱(chēng)�、端口��。
[0019]進(jìn)一步的�,步驟二中,管理中心還對(duì)外提供API接口����,供應(yīng)用動(dòng)態(tài)伸縮時(shí)自動(dòng)更新白名單,以管理應(yīng)用的合法請(qǐng)求來(lái)源���。
[0020]進(jìn)一步的���,管理中心以圖形化方式呈現(xiàn)節(jié)點(diǎn)中各容器的運(yùn)行狀態(tài)。
[0021]進(jìn)一步的,管理中心負(fù)責(zé)節(jié)點(diǎn)容器的統(tǒng)一管理和維護(hù)����,包括容器的修改、克隆��、銷(xiāo)毀��。
[0022]本發(fā)明的有益效果為:
1.統(tǒng)一接入��。對(duì)上層云服務(wù)應(yīng)用提供統(tǒng)一�、通用、友好的訪問(wèn)接口�,針對(duì)同一種業(yè)務(wù)功能、不同型號(hào)的密碼機(jī)應(yīng)采用相同的對(duì)外接口�����,實(shí)現(xiàn)上層云服務(wù)應(yīng)用對(duì)密碼機(jī)的透明引用����,屏蔽上層多種業(yè)務(wù)邏輯處理,將應(yīng)用不關(guān)心的后臺(tái)實(shí)現(xiàn)細(xì)節(jié)�、參數(shù)等加以屏蔽或自動(dòng)處理,以簡(jiǎn)化上層云服務(wù)應(yīng)用的使用��。
[0023]2.按需分配。根據(jù)實(shí)際應(yīng)用需要實(shí)現(xiàn)密碼按需服務(wù)�、資源動(dòng)態(tài)分配,靈活支持高峰期的業(yè)務(wù)密碼服務(wù)需求���。
[0024]3.高性能����。在云服務(wù)環(huán)境中���,能夠?qū)崟r(shí)處理云平臺(tái)中大量數(shù)據(jù)產(chǎn)生的密碼服務(wù)需求,支持高并發(fā)訪問(wèn)���、高運(yùn)算速度��、高密鑰存儲(chǔ)容量等特性�����。
[0025]4.高可用性�。為云服務(wù)環(huán)境中各個(gè)應(yīng)用提供不間斷����、高可用的密碼運(yùn)算服務(wù)����,避免了單一密碼機(jī)的單點(diǎn)故障���。
[0026]5.高利用率��。整合密碼機(jī)資源�����,形成密碼機(jī)集群����,提高密碼硬件資源的利用率�����,增加投資回報(bào)率�����。
[0027]6.高隔離性�。在為云服務(wù)環(huán)境中多個(gè)應(yīng)用提供密碼服務(wù)時(shí),為防止多個(gè)應(yīng)用同時(shí)使用時(shí)產(chǎn)生交叉影響����,在計(jì)算資源使用�����、數(shù)據(jù)訪問(wèn)等層面提供良好的隔離措施�����,杜絕多個(gè)應(yīng)用同時(shí)使用時(shí)產(chǎn)生的交叉感染問(wèn)題����。
[0028]7.運(yùn)營(yíng)管理����。提供統(tǒng)一的密鑰管理及密碼安全服務(wù)��,集中的密碼機(jī)監(jiān)控和管理��,及時(shí)掌握運(yùn)營(yíng)狀況����,并降低運(yùn)營(yíng)成本和管理工作量。
【附圖說(shuō)明】
[0029]圖1是本發(fā)明工作流程圖����。
【具體實(shí)施方式】
[0030]本發(fā)明所述基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)包括管理中心及若干節(jié)點(diǎn)包括管理中心及若干節(jié)點(diǎn)�����。
[0031]管