本发明涉及计算机信息安全技术领域,特别是涉及一种云密码服务方法、平台、系统及计算机可读存储介质。
背景技术:
云服务指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是it和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。
其中,云密码服务为通过互联网进行流通的一种商品。但是,目前的云密码服务平台的对应硬件密码设备仅能对应一个实例。或者说,云密码服务平台中的一台硬件密码服务设备仅能为一个应用系统提供服务。另外,目前的云密码服务平台对应的服务的接口的类型也相对单一,常见的云密码服务平台的访问接口皆相同,即向支持该服务接口的应用系统提供服务。如此,便导致目前的云密码服务平台的效率较低,支持的应用系统范围较小。
综上所述,如何有效地提升云密码服务平台的效率和服务范围等问题,是目前本领域技术人员急需解决的技术问题。
技术实现要素:
本发明的目的是提供一种云密码服务方法、平台、系统及计算机可读存储介质,以提升云密码服务平台的效率和服务范围。
为解决上述技术问题,本发明提供如下技术方案:
一种云密码服务方法,包括:
虚拟化目标密码设备,获得目标虚拟密码设备,为所述目标虚拟设备配置一个或多个调用接口;
当接收到目标应用系统发送的密码服务请求时,通过所述调用接口将所述目标应用系统与所述目标虚拟密码设备建立密码服务连接。
优选地,所述目标密码设备通过密码模块进行的密码运算,所述密码模块为可虚拟化的密码模块。
优选地,在所述虚拟化目标密码设备,获得目标虚拟密码设备,为所述目标虚拟设备配置一个或多个调用接口之后,还包括:
对所述目标虚拟密码设备进行备份;
当所述目标虚拟密码设备损坏时,通过备份数据恢复所述虚拟密码设备。
优选地,通过所述调用接口将所述目标应用系统与所述目标虚拟密码设备建立密码服务连接,包括:
通过所述目标应用系统对应的预设授权文件中的设备信息与对应目标虚拟密码设备建立网络链接,所述虚拟密码设备通过服务接口向所述目标应用系统提供密码服务。
一种云密码服务平台,包括:
密码设备管理模块,用于虚拟化目标密码设备,获得目标虚拟密码设备,为所述目标虚拟设备配置一个或多个调用接口;
云密码服务模块,用于当接收到目标应用系统发送的密码服务请求时,通过所述调用接口将所述目标应用系统与所述目标虚拟密码设备建立密码服务连接。
优选地,所述目标密码设备通过密码模块进行的密码运算,所述密码模块为可虚拟化的密码模块。
优选地,还包括:备份恢复模块,用于在所述虚拟化目标密码设备,获得目标虚拟密码设备,为所述目标虚拟设备配置一个或多个调用接口之后,对所述目标虚拟密码设备进行备份,并,当所述目标虚拟密码设备损坏时,通过备份数据恢复所述虚拟密码设备。
优选地,所述云密码服务模块,具体用于通过所述目标应用系统对应的预设授权文件中的设备信息与对应目标虚拟密码设备建立网络链接,所述虚拟密码设备通过服务接口向所述目标应用系统提供密码服务。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述云密码服务方法的步骤。
一种云密码服务系统,包括:
如上述的云密码服务平台和应用系统,所述应用系统通过所述云密码服务平台的所述调用接口与所述云密码服务平台建立服务连接。
应用本发明实施例所提供的方法,虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口,当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。将目标密码设备虚拟化,可将原来的一台硬件密码设备虚拟为多台目标虚拟密码设备,可对外连接多个实例。也就是说,同一个硬件密码设备,经虚拟化之后,可向更多数量的应用系统提供密码服务。另外,一个目标虚拟密码设备配置一个或多个调用接口,即可以通过调用接口调用目标虚拟密码设备中的计算资源等。另外,当调用接口的类型各不相同时,还可以为支撑不同调用接口的应用系统提供密码服务。提升了云密码服务效率和服务范围。
相应于上述云密码服务方法,本发明还提供了一种云密码服务平台、系统及计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种云密码服务方法的实施流程图;
图2为本发明实施例中一种云密码服务平台的结构示意图;
图3为本发明实施例中一种云密码服务系统的结构示意图。
具体实施方式
本发明的核心是提供一种云密码服务方法,该方法可以应用于本发明提供的一种云密码服务平台中。该方法包括:虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口,当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。将目标密码设备虚拟化,可将原来的一台硬件密码设备虚拟为多台目标虚拟密码设备,可对外连接多个实例。也就是说,同一个硬件密码设备,经虚拟化之后,可向更多数量的应用系统提供密码服务。另外,一个目标虚拟密码设备配置一个或多个调用接口,即可以通过调用接口调用目标虚拟密码设备中的计算资源等。另外,当调用接口的类型各不相同时,还可以为支撑不同调用接口的应用系统提供密码服务。提升了云密码服务效率和服务范围。
相应地,本发明还提供了一种云密码服务系统及计算机可读存储介质,具有上述技术效果,在此不再赘述。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例中一种云密码服务方法的流程图,该方法包括以下步骤:
s101、虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口;
在本实施例中,目标密码设备可以为用于计算密码的服务器或芯片,将目标虚拟设备虚拟化,将原来的一台目标密码设备虚拟为一台或多台目标虚拟密码设备。为目标虚拟设备配置一个或多个调用接口,需要说明的是,调用接口之间的接口类型可以为相同的类型也可以为不同的类型。
具体的,目标密码设备可以为采用支持虚拟化的密码模块作为密码运算部件。如,可以将一块物理密码模块可以虚拟出多个密码模块。即每个目标密码设备可以映射一个或多个密码模块作为密码运算部件。云密码服务平台创建目标虚拟密码设备,并能够通过虚拟机管理功能对虚拟密码设备进行克隆、镜像,在虚拟密码设备损坏的情况下通过镜像快速恢复密码设备。
在执行步骤s101之前,还可以先接入目标密码设备。具体的,在目标密码设备配置默认ip地址,然后根据目标密码设备的默认ip地址,通过预设的密码设备的管理接口将密码设备接入到云密码服务平台中。云密码服务平台将修改目标密码设备的ip,即配置实际需要的ip地址吗,并通过密码设备管理接口监控密码设备运行状态。
将目标密码设备虚拟化并配置好调用接口之后,可以执行步骤s102的操作。
s102、当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。
当接口到目标应用系统发送的密码服务请求时,可以通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。然后通过该连接,目标虚拟密码设备可以向目标应用系统提供如密码计算、密钥生成与分发等密码服务。其中,密码服务请求可以包含所需的密码服务的时长、密码服务的安全等级、请求提供服务的对象等信息。
其中,目标密码设备通过密码模块进行的密码运算,密码模块为可虚拟化的密码模块。即,在本发明实施例中,目标密码设备可以为具有可虚拟化的密码模块的设备,其中,密码模块为可虚拟化的密码模块。密码模块可以具体为密码卡。例如,可将一块物理密码卡虚拟化为多个密码卡,以为更多的实例提供密码服务。当然,在本发明的其他实施例中,密码模块还可以仅为目标密码设备中的一个功能化子单元。
在本发明的一个实施例中,可以通过目标应用系统对应的预设授权文件中的设备信息与对应目标虚拟密码设备建立网络链接,虚拟密码设备通过服务接口向目标应用系统提供密码服务。在本实施例中可以为每一个目标应用系统预先设置对应的授权文件,该授权文件中可以携带设备信息。通过该设备信息可以与对应的目标虚拟密码设备建立网络链接,虚拟密码设备可以通过服务接口应用于系统提供密码服务。
在本发明的一个具体实施例中,在虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口之后,还可以包括:
步骤一、对目标虚拟密码设备进行备份;
步骤二、当目标虚拟密码设备损坏时,通过备份数据恢复虚拟密码设备。
为便于描述,下面将上述两个步骤结合起来进行说明。
在本实施例中,还可以在步骤s101之后,将目标虚拟密码设备进行备份,具体的备份方式可以为复制或者镜像的方式。在目标虚拟设备损坏时,可以通过备份数据将虚拟密码设备进行恢复,不影响对应的密码服务。可以提升用户体验。
在本发明的一个具体实施例中,在向目标应用系统分配目标密码设备时,可以进行如下操作:云密码服务平台可以管理一组密码设备资源。在云密码服务平台中注册应用系统信息,云密码服务平台根据应用系统信息给应用系统分配指定的目标密码设备并生成授权文件,授权文件中带有给应用系统分配的密码设备ip等相关信息,并带有平台的数字签名。
当在实际应用中,目标应用系统与目标密码设备建立服务连接时,目标应用系统可以获取授权文件,并根据授权文件中的密码设备信息使用指定的目标密码设备。然后云密码服务平台可以向目标应用系统提供目标密码设备对应的调用接口。在目标应用系统调用目标密码设备时,通过授权文件中的设备信息与指定的密码设备建立网络连接,该目标密码设备通过服务接口方式为目标应用系统提供密码服务。
具体的,在目虚拟密码设备向目标应用系统提供密码服务时,可以先为用户分配操作权限。例如,用户可以登录到云密码服务平台,可以选择属于自己的密码设备,并选择需要生产的密钥号、密钥类型等生成密钥。如果用户分配的密码设备有多台,可以通过平台提供的密钥同步功能将一台密码设备的密钥同步到其他密码设备上。还可以为用户提供密钥备份恢复功能,用户在生产密钥后可以使用备份功能将密钥备份出来。一旦密码设备损坏,可以通过恢复功能将密钥恢复到密码设备中。
应用本发明实施例所提供的方法,虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口,当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。将目标密码设备虚拟化,可将原来的一台硬件密码设备虚拟为多台目标虚拟密码设备,可对外连接多个实例。也就是说,同一个硬件密码设备,经虚拟化之后,可向更多数量的应用系统提供密码服务。另外,一个目标虚拟密码设备配置一个或多个调用接口,即可以通过调用接口调用目标虚拟密码设备中的计算资源等。另外,当调用接口的类型各不相同时,还可以为支撑不同调用接口的应用系统提供密码服务。提升了云密码服务效率和服务范围。
相应于上面的方法实施例,本发明实施例还提供了一种云密码服务平台,下文描述的云密码服务平台与上文描述的云密码服务方法可相互对应参照。
参见图2所示,该平台包括以下模块:
密码设备管理模块201,用于虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口;
云密码服务模块202,用于当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。
应用本发明实施例所提供的平台,虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口,当接收到目标应用系统发送的密码服务请求时,通过调用接口将目标应用系统与目标虚拟密码设备建立密码服务连接。将目标密码设备虚拟化,可将原来的一台硬件密码设备虚拟为多台目标虚拟密码设备,可对外连接多个实例。也就是说,同一个硬件密码设备,经虚拟化之后,可向更多数量的应用系统提供密码服务。另外,一个目标虚拟密码设备配置一个或多个调用接口,即可以通过调用接口调用目标虚拟密码设备中的计算资源等。另外,当调用接口的类型各不相同时,还可以为支撑不同调用接口的应用系统提供密码服务。提升了云密码服务效率和服务范围。
在本发明的一种具体实施方式中,目标密码设备通过密码模块进行的密码运算,密码模块为可虚拟化的密码模块。
在本发明的一种具体实施方式中,还包括:备份恢复模块,用于在虚拟化目标密码设备,获得目标虚拟密码设备,为目标虚拟设备配置一个或多个调用接口之后,对目标虚拟密码设备进行备份,并,当目标虚拟密码设备损坏时,通过备份数据恢复虚拟密码设备。
在本发明的一种具体实施方式中,云密码服务模块202,具体用于通过目标应用系统对应的预设授权文件中的设备信息与对应目标虚拟密码设备建立网络链接,虚拟密码设备通过服务接口向目标应用系统提供密码服务。
为便于理解本发明提供的云密码服务平台,下面结合具体的应用场景为例,对本发明实施例所提供的云密码服务平台进行详细说明。
在本实施例中,云密码服务平台的密码设备实现虚拟化,密码服务以实例的方式提供。云密码服务平台根据用户对密码设备的功能和性能需求,可以为每个实例分配一台多多台虚拟密码设备。云服务中的计费服务系统为云环境中的云租用户开通分配好的密码服务实例。云租用户在开通服务后,能够调用密码服务接口进行密码运算。云密码服务平台为每个实例分配一个授权文件,密码服务实例根据用户的授权文件调用相应的虚拟密码设备。云密码服务平台通过判读授权文件内容的真实性和租用期限决定是否为云租用户提供密码服务。其中,一个实例具体可以为一个应用系统。
该云密码服务平台的主要包括:
密码设备管理:为云密码服务平台的电信运维管理人员提供,以实现对底层服务器密码机等密码资源池进行生命周期集中管理,包括设备类型注册、设备类型信息修改、设备注册、设备信息查询、设备接入/移除云密码服务平台等。
应用系统管理:为云密码服务平台的电信方运维管理人员和云租户提供。具体的,电信方运维方管理人员通过统一的界面实现对云租户所要接入的应用系统进行全生命周期的集中管理,包括应用系统服务开通、续期、暂停/恢复、终止,确保只有通过认证和授权的云租户应用系统才能够使用云密码服务平台提供的密码服务,防止未经授权的应用系统非法进行数据处理。应用系统服务开通时将根据云租户申请信息分配相应性能的虚拟加密机计算资源,以及根据业务类型选择使用的相关密码服务(如数字签名、数据加解密等)。云租户在购买可信服务后,主要负责应用系统的新增、应用系统信息修改、应用系统删除等日常管理维护操作。应用系统一旦删除将无法再继续获取云密码服务平台提供的接口服务。
密钥管理:主要为云密码服务平台相关密钥的生成、分发、密钥同步等功能。其中云租户负责生成自己的密钥,电信方运维管理人员负责生成云密码服务平台的密钥,电信方运维人员在任何时刻都无法获取用户密钥。
证书管理:云密码服务平台的证书类型可以分为平台证书、用户证书(云密码服务平台的运维管理员和云租户管理员)、应用系统证书,业务功能包括证书申请、制作、查询、更新、变更、注销、下载、续期、导入等功能,支持第三方ca证书和crl导入。其中平台证书和应用系统证书主要用于实现ssl加密通信,用户证书主要用于与平台相关管理人员身份强认证。
系统配置管理:主要包括云密码服务平台参数配置(如名称、网络地址等)、虚拟资源池管理和用户权限管理等功能。
密码策略管理:主要实现平台算法的配置管理,包括算法增加、算法修改、算法查询、算法删除等功能,算法类型支持sm1、sm2、sm3和sm4等算法。
机构签章管理:签章管理主要包括政府部门组织结构管理、机构签章管理、用户管理、签章应用统计及系统管理等功能。
用户权限管理:主要实现云密码服务平台管理员、云租户管理员等用户的新增、授权、查询、修改、删除等管理功能。其中,可以分为超级管理员、管理员和日志审计员三类用户。超级管理员拥有最高权限,由其生成平台管理员和云租户管理员,云租户管理员可以维护本部门相关人员的管理。
资源运维和监控:对接入云密码服务平台的密码设备运行状态以及平台自身的进行状态等进行全生命周期监控,并对云密码服务平台各类资源数据进行多维度统计,方便管理人员直观、准确的了解平台运行状况。
可信服务统计分析:自动记录密码服务调用的时间、应用系统信息、可信服务类型等,平台管理员和审计员可查看密码服务总体调用情况,各管理员可查看本部门的密码服务整体调用情况。
日志管理:主要包括云密码服务平台的系统日志记录、查询和审计功能。系统支持单条审计和批量审计。日志记录内容包括各类操作的时间、操作人员、事件、操作详情等。
备份恢复:主要提供密钥备份/恢复、数据库备份/恢复功能,其中云密码服务平台的管理人员负责平台自身密钥的备份和恢复及平台数据的备份和恢复;云租户管理人员负责自己所购买的虚拟密码资源池相关的密钥备份和恢复。
需要说明的是,本发明提供的云密码服务平台,至少有一台物理密码设备,将其虚拟化之后可以得到至少一台虚拟密码设备,一个虚拟密码设备可以配置一个或多个服务接口,其中,服务接口的类型可各不相同。
本实施例中的云密码服务平台可以为云环境提供可信身份、可信行为、可信数据、可信时间等可信服务。另外,云密码服务平台和密码设备均可以采用虚拟化部署,还可以通过虚拟化技术、密码中间件技术、负载均衡技术和故障迁移技术,实现资源动态分配,统一管控其他各类密码设备,实现设备注册、接入、监控等,并为应用系统授权分配相关的密码服务。增加了提供密码服务的对象的种类和数目。
相应于上面的方法实施例,本发明实施例还提供了一种云密码服务系统,下文描述的一种云密码服务系统与上文描述的一种云密码服务方法可相互对应参照。
请参考图3,该系统包括如上述云密码服务平台和应用系统,应用系统通过云密码服务平台的调用接口与云密码服务平台建立服务连接。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,下文描述的一种计算机可读存储介质与上文描述的一种云密码服务方法可相互对应参照。
一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的云密码服务方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的平台而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。