理中心負(fù)責(zé)應(yīng)用的基本配置、審核��、運(yùn)算邏輯���,應(yīng)用入口管理�、節(jié)點(diǎn)的注冊(cè)、維護(hù)和管理���,容器及鏡像管理���、應(yīng)用密鑰的全生命周期管理等主要功能。節(jié)點(diǎn)由多個(gè)相對(duì)獨(dú)立的物理節(jié)點(diǎn)(密碼機(jī))構(gòu)成����,每個(gè)節(jié)點(diǎn)上通過(guò)虛擬化技術(shù)隔離出不同的容器(虛擬密碼機(jī)),每個(gè)容器負(fù)責(zé)特定應(yīng)用的密碼運(yùn)算服務(wù)���。
[0032]圖1所示為本發(fā)明所述云密碼服務(wù)平臺(tái)的工作過(guò)程展示�,下面對(duì)各關(guān)鍵工作步驟詳細(xì)說(shuō)明����。
[0033]步驟一:管理中心錄入各個(gè)節(jié)點(diǎn)的基本信息,對(duì)其進(jìn)行注冊(cè)��。
[0034]管理中心錄入節(jié)點(diǎn)(密碼機(jī))基本信息(廠商�����、型號(hào)���、名稱�、IP地址��、端口等;根據(jù)這些信息完成對(duì)節(jié)點(diǎn)的注冊(cè)工作�����;注冊(cè)工作使得管理中心能夠?qū)崿F(xiàn)對(duì)節(jié)點(diǎn)的統(tǒng)一管理和維護(hù)�。
[0035]步驟二:管理中心錄入應(yīng)用基本信息,以形成應(yīng)用IP白名單�。
[0036]管理中心錄入應(yīng)用基本信息,包括應(yīng)用賬號(hào)�����、應(yīng)用名稱���、IP地址����、端口等)��,形成應(yīng)用IP白名單��。
[0037]優(yōu)選的,管理端還對(duì)外提供API接口��,供應(yīng)用動(dòng)態(tài)伸縮時(shí)自動(dòng)更新白名單�,以管理應(yīng)用的合法請(qǐng)求來(lái)源。
[0038]步驟三:管理中心根據(jù)應(yīng)用需求�����,在節(jié)點(diǎn)中創(chuàng)建并分配合適數(shù)目的容器���,將虛擬鏡像下發(fā)至節(jié)點(diǎn)容器�,節(jié)點(diǎn)利用虛擬化技術(shù)完成虛機(jī)鏡像在容器中的罐裝及加載;在節(jié)點(diǎn)中形成多個(gè)虛擬的��、為應(yīng)用定制化的專用密碼機(jī)����。
[0039]管理中心負(fù)責(zé)節(jié)點(diǎn)容器的統(tǒng)一管理和維護(hù),包括容器的修改�����、克隆���、銷毀����,管理中心以圖形化方式呈現(xiàn)節(jié)點(diǎn)中各容器的運(yùn)行狀態(tài)。
[0040]步驟四:管理中心為應(yīng)用產(chǎn)生密鑰數(shù)據(jù)���,形成應(yīng)用與密鑰的映射關(guān)系����,并將密碼機(jī)本地主密鑰加密存儲(chǔ)在數(shù)據(jù)庫(kù)中�。
[0041]管理中心根據(jù)實(shí)際需求���,選擇應(yīng)用所需要的密碼服務(wù)功能���、運(yùn)算資源和密鑰存儲(chǔ)資源等。
[0042]步驟五:管理中心選擇指定的容器�,將密文的密鑰、應(yīng)用與密鑰的映射關(guān)系傳送至節(jié)點(diǎn)��。
[0043]步驟六:節(jié)點(diǎn)接收信息��,利用節(jié)點(diǎn)的本地主密鑰進(jìn)行解密�,獲取密鑰明文。
[0044]步驟七:節(jié)點(diǎn)將密鑰明文����、應(yīng)用與密鑰映射關(guān)系裝載到指定容器的內(nèi)存中��。
[0045]管理中心還提供各節(jié)點(diǎn)之間的密鑰同步處理機(jī)制����。即以管理中心為核心�����,從節(jié)點(diǎn)I中獲取各容器中的密鑰及算法處理;選擇需求同步的節(jié)點(diǎn)2��,將從節(jié)點(diǎn)I中獲取各容器的密鑰及算法處理直接裝載到指定的節(jié)點(diǎn)2中��,實(shí)現(xiàn)節(jié)點(diǎn)I與節(jié)點(diǎn)2之間的密鑰同步����。
[0046]步驟八:HA(High Available高可用性集群)根據(jù)管理中心提供的應(yīng)用IP白名單,驗(yàn)證請(qǐng)求合法性�,并均衡的發(fā)送至可用的節(jié)點(diǎn)的虛擬密碼機(jī)中。
[0047]步驟九:節(jié)點(diǎn)容器對(duì)密碼服務(wù)請(qǐng)求進(jìn)行密碼運(yùn)算操作處理�。
[0048]步驟十:節(jié)點(diǎn)容器將的密碼運(yùn)算結(jié)果按原路返回給應(yīng)用,并等待接收下一次密碼服務(wù)請(qǐng)求��。
【主權(quán)項(xiàng)】
1.一種基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái),其特征在于�,包括管理中心及若干節(jié)點(diǎn), 所述中心負(fù)責(zé)應(yīng)用的基本配置�、審核、運(yùn)算邏輯�����,應(yīng)用入口管理���、節(jié)點(diǎn)的注冊(cè)���、維護(hù)和管理�����,虛擬密碼機(jī)及鏡像管理���、應(yīng)用密鑰的全生命周期管理���; 所述節(jié)點(diǎn)由多個(gè)相對(duì)獨(dú)立的密碼機(jī)構(gòu)成,每個(gè)節(jié)點(diǎn)上通過(guò)虛擬化技術(shù)隔離出不同的虛擬密碼機(jī)���,每個(gè)容器負(fù)責(zé)特定應(yīng)用的密碼運(yùn)算服務(wù)�����。2.如權(quán)利要求1所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的工作流程��,其特征在于����,所述流程包括如下步驟: 步驟一:管理中心錄入各個(gè)節(jié)點(diǎn)的基本信息,對(duì)其進(jìn)行注冊(cè)����; 步驟二:管理中心錄入應(yīng)用基本信息,所述基本信息包括IP地址��,以形成應(yīng)用IP白名單���; 步驟三:管理中心根據(jù)應(yīng)用需求�����,在節(jié)點(diǎn)中創(chuàng)建并分配合適數(shù)目的容器�����,將虛機(jī)鏡像下發(fā)至節(jié)點(diǎn)的虛擬密碼機(jī)���,節(jié)點(diǎn)利用虛擬化技術(shù)完成虛機(jī)鏡像在虛擬密碼機(jī)中的裝載�����,節(jié)點(diǎn)中形成多個(gè)虛擬的�、為應(yīng)用定制化的專用密碼機(jī)����; 步驟四:管理中心為應(yīng)用產(chǎn)生密鑰,形成應(yīng)用與密鑰的映射關(guān)系��,并將密碼機(jī)本地主密鑰加密存儲(chǔ)在數(shù)據(jù)庫(kù)中�;管理中心根據(jù)實(shí)際需求��,選擇應(yīng)用所需要的密碼服務(wù)功能�、運(yùn)算資源和密鑰存儲(chǔ)資源; 步驟五:管理中心選擇指定的虛擬密碼機(jī)���,將密文的密鑰�、應(yīng)用與密鑰的映射關(guān)系傳送至節(jié)點(diǎn)�; 步驟六:節(jié)點(diǎn)接收信息,利用節(jié)點(diǎn)的本地主密鑰進(jìn)行解密,獲取密鑰明文�; 步驟七:節(jié)點(diǎn)將密鑰明文、應(yīng)用與密鑰映射關(guān)系裝載到指定虛擬密碼機(jī)的內(nèi)存中�����; 步驟八:HA根據(jù)管理中心提供的應(yīng)用IP白名單���,驗(yàn)證請(qǐng)求合法性���,并均衡的發(fā)送至可用的節(jié)點(diǎn)的虛擬密碼機(jī)中; 步驟九:節(jié)點(diǎn)的虛擬密碼機(jī)對(duì)密碼服務(wù)請(qǐng)求進(jìn)行密碼運(yùn)算��; 步驟十:節(jié)點(diǎn)的虛擬密碼機(jī)將密碼運(yùn)算結(jié)果按原路返回給應(yīng)用�����,并等待接收下一次密碼服務(wù)請(qǐng)求�����。3.如權(quán)利要求1所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的工作流程�,其特征在于,節(jié)點(diǎn)的基本信息包括廠商��、型號(hào)、名稱�、IP地址、端口�����。4.如權(quán)利要求2所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的工作流程����,其特征在于,應(yīng)用的基本信息還包括應(yīng)用賬號(hào)����、應(yīng)用名稱、端口�����。5.如權(quán)利要求2所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)工作流程��,其特征在于�,步驟二中���,管理中心還對(duì)外提供API接口�����,供應(yīng)用動(dòng)態(tài)伸縮時(shí)自動(dòng)更新白名單��,以管理應(yīng)用的合法請(qǐng)求來(lái)源����。6.如權(quán)利要求2所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的工作流程,其特征在于����,管理中心以圖形化方式呈現(xiàn)節(jié)點(diǎn)中各容器的運(yùn)行狀態(tài)。7.如權(quán)利要求2所述的基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)的工作流程���,其特征在于���,管理中心負(fù)責(zé)節(jié)點(diǎn)容器的統(tǒng)一管理和維護(hù),包括容器的修改�����、克隆��、銷毀����。
【專利摘要】本發(fā)明公開了一種基于虛擬化技術(shù)的云密碼服務(wù)平臺(tái)及其工作流程���,所述平臺(tái)包括管理中心及若干節(jié)點(diǎn)。所述中心負(fù)責(zé)應(yīng)用的基本配置���、審核�����、運(yùn)算邏輯����,應(yīng)用入口管理�����、節(jié)點(diǎn)的注冊(cè)����、維護(hù)和管理,虛擬密碼機(jī)及鏡像管理�����、應(yīng)用密鑰的全生命周期管理��。所述節(jié)點(diǎn)由多個(gè)相對(duì)獨(dú)立的密碼機(jī)構(gòu)成���,每個(gè)節(jié)點(diǎn)上通過(guò)虛擬化技術(shù)隔離出不同的虛擬密碼機(jī)���,每個(gè)容器負(fù)責(zé)特定應(yīng)用的密碼運(yùn)算服務(wù)。本發(fā)明解決了密碼機(jī)在傳統(tǒng)應(yīng)用模式中的各種弊端����,提高密碼服務(wù)性能,實(shí)現(xiàn)密碼服務(wù)組合式��、按需分配�����,滿足云計(jì)算下對(duì)密碼服務(wù)的高性能�、高可用性的應(yīng)用需求。
【IPC分類】G06F21/45, G06F21/60
【公開號(hào)】CN105678156
【申請(qǐng)?zhí)枴緾N201610000454
【發(fā)明人】廖成軍, 李元正
【申請(qǐng)人】成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司
【公開日】2016年6月15日
【申請(qǐng)日】2016年1月4日