一种基于信创环境的电子政务国产云密码服务平台的制作方法

1.本发明涉及密码安全技术领域，具体来说，涉及一种基于信创环境的电子政务国产云密码服务平台。


背景技术：

2.在网络信息时代，密码作为保障网络和信息安全最重要、最有效、最可靠的手段，是国家重要的战略资源，密码技术是网络空间安全的核心技术，是国家安全的基础支撑。密码建设既是新基建的重要内容，也为其它新基建提供了安全保障。2020年，我国密码领域第一部综合性、基础性法律的正式施行，标志着我国密码管理正式走向法制化、规范化。
[0003]“信创”即信息技术应用与创新，作为我国发展核心信息技术、培育产业生态及推动建立中国标准、中国体系、中国方案的重要举措，既是历史的必然，也是加快“新基建”进度的必要条件。随着信创工作的推进，国产芯片、整机、操作系统、数据库、密码、安全等领域已有较为成熟的产品可投入使用，产业生态也不断，应用场景不断丰富。
[0004]
信创与密码的应用从根本上来说都是为了解决信息安全问题。目前，国内电子政务各类系统使用的密码产品大部分采用的为软加密或直接采用国外进口产品，并且安全系统的运行环境基于传统wintel架构，不符合我国信息化建设自主可控的总体要求，同时也无法保障敏感信息的传输安全和存储安全。
[0005]
针对相关技术中的问题，目前尚未提出有效的解决方案。


技术实现要素：

[0006]
针对相关技术中的问题，本发明提出一种基于信创环境的电子政务国产云密码服务平台，以克服现有相关技术所存在的上述技术问题。
[0007]
为此，本发明采用的具体技术方案如下：一种基于信创环境的电子政务国产云密码服务平台，包括密码服务调用及监管平台、国产密码资源池模块及信创运行环境；其中，密码服务调用及监管平台用于为外部系统提供基于国密算法的密码服务，屏蔽业务应用对各类安全服务的直接调用，提供统一服务支撑，提高各类应用对于密码服务调用效率；还用于开发密码资源统一管理与调度体系，通过制定统一的密码监管体系，为密码设备、密码服务、应用授权提供统一的运维、监控、管理、审计运维监管服务，实现统一安全策略管理；通过制定统一的状态监控接口、日志服务接口与上层管理体系对接，实现密码服务运行状态、密码服务运行日志的监管数据实时上报；还用于对接密码服务调度及监管体系与外部应用，外部应用通过服务调度及监管体系提供的服务和接口与系统连接，体系根据应用的安全等级和密码安全保护需求为其分配密码资源，同时，体系将对各接入应用进行实时监控和管理，避免密码安全问题的出现；国产密码资源池模块用于将国产化密码设备进行统一部署，以集群方式搭建密码
资源池，建设后所有密码服务都将从资源池中获取服务资源，还用于根据业务承载量和功能更新灵活调控资源池，为密码安全服务提供支撑；信创运行环境用于以国产信创终端、服务器、操作系统、数据库、中间件的信创产品构建运行稳定、性能优异的基础运行环境，为后续技术架构的设计提供基础计算、存储资源支撑；信创运行环境包括信创终端、信创服务器、麒麟/统信操作系统、国产数据库及国产中间件。
[0008]
进一步的，密码服务调用及监管平台包括登录验证模块、密码资源管控模块、密码服务管理模块、统一密钥管理模块及应用管理模块；登录验证模块用于外部应用设备的注册及登录，还用于基于账号密码结合鼠标及键盘敲击节奏进行登录的综合认证；密码资源管控模块用于为密码计算资源池、密码服务资源池和密码接口资源池提供统一的运行监管服务；还用于支持密码资源利用率监控、密码服务状态监控、密码服务资源动态伸缩、密码使用状态审计的功能，为用户呈现实时、动态的密码资源管控服务；密码服务管理模块用于建设统一的密码服务体系，对服务器密码机、签名验签服务器、时间戳服务器、ca数字证书认证系统、密钥管理系统的典型密码基础设施进行统一管理；还用于提供开放、统一的密码服务接口，供电子签章的密码应用类软件接入和统一管理；同时，用于通过建设统一的密码服务资源池和密码接口资源池，为业务系统提供统一密码服务申请、统一密码服务授权、统一密码资源调度和统一密码服务审计功能；统一密钥管理模块用于统一密钥管理服务基于云密钥服务的设计服务理念，为授权应用提供统一的密钥管理服务；应用管理模块用于提供应用接入管理、应用权限管控、应用信息管理及应用状态监控服务。
[0009]
进一步的，登录验证模块包括用户注册模块、用户登录模块及综合验证模块；用户注册模块用于外部应用设备的注册；用户登录模块用于外部应用设备使用账号及密码进行登陆；综合验证模块用于利用账号密码结合鼠标及键盘敲击节奏对外部应用设备的登录进行综合认证。
[0010]
进一步的，综合验证模块包括账号密码验证模块、鼠标及键盘敲击节奏采集模块、敲击节奏建模模块、敲击节奏差值计算模块、敲击节奏识别模块、账号密码及敲击节奏综合认证模块；账号密码验证模块用于对用户输入的账号及密码进行验证；鼠标及键盘敲击节奏采集模块用于采集用户敲击鼠标及键盘的节奏；敲击节奏建模模块用于对用户敲击鼠标及键盘的节奏进行建模；敲击节奏差值计算模块用于根据用户的敲击节奏模型计算节奏的方差与合理值的差值；敲击节奏识别模块用于对用户再次登陆时鼠标及键盘的敲击节奏进行识别；账号密码及敲击节奏综合认证模块用于利用账号密码结合鼠标及键盘敲击节奏对外部应用设备的登录进行综合认证。
[0011]
进一步的，密码资源管控模块包括密码设备管理模块、密码资产监控模块、密码服务监控模块、密码服务状态集中展示模块及日志审计模块。
[0012]
进一步的，密码服务管理模块包括密码应用服务模块、结构化数据加密模块、非结构化数据加密模块、密码应用用户管理模块及密码资源调度管理模块。
[0013]
进一步的，统一密钥管理模块包括密钥生成模块、密钥存储模块、密钥分发模块、导入与导出模块、密钥属性管理模块、策略管理模块、权限管理模块、密钥使用模块、备份恢复模块、密钥归档模块、密钥销毁模块、密钥库管理模块、认证管理模块及系统管理模块。
[0014]
进一步的，应用管理模块包括应用接入管理模块、应用权限管控模块、应用信息管理模块及应用状态监控模块。
[0015]
进一步的，国产密码资源池模块包括云服务器密码机、签名验签服务器、时间戳服务器及安全网关。
[0016]
本发明的有益效果为：1）通过在信创建设和密码建设的双重驱动下基于信创国产化软硬件环境，针对电子政务领域开发云密码服务平台，通过建立统一的密码服务平台和密码监管平台，实现信息系统中密码设备和密码服务的集中管理，并可对外提供统一密码资源服务。
[0017]
2）本发明通过构建云密码服务平台使用的基础设施和密码安全产品均为国产化产品，构建从底层设施到上层应用全信创运行环境，实现对典型密码硬件设备和虚拟密码计算资源的统一管理、调度、监控。通过国密标准的sdf接口，实现对密码计算资源的调用。云密码服务统一管理体系集成标准的密钥管理系统，并通过统一的对外密码服务接口，为应用系统提供密钥管理、数据加解密、hmac完整性保护、签名验签、证书认证、时间戳等密码服务。面向应用系统提供统一密码服务申请、统一密码服务授权、统一密码服务配属、统一密码服务审计功能，同时云密码服务统一管理体系支持与上级管理体系对接，实现上级体系对密码服务的统一管理。
[0018]
3）本发明在信创环境上针对电子政务领域搭建云密码服务平台，实现密码服务的统一管控与对外提供，通过与此平台的对接，各类基于信创环境部署的应用系统可直接获得全面的密码保护。通过体系统一对外提供服务的方式，相较于传统的每个应用系统单独建设密码防护体系的方式，能够大量节省建设资金，提高资源利用率，降低密码管理成本。此平台能够广泛应用于金融、交通、能源等关键行业，保障网络时代的信息安全与数据安全。
[0019]
4）本发明通过账号密码结合敲击键盘及鼠标的节奏的来实现身份识别，采用生物特征识别的方式，不仅使得他人无法模仿，提高其安全性，而且不需要任何专属硬件设备，纯软件实现，降低其识别成本，同时，对用户原有的登陆流程不产生任何影响，用户无感知，可以更好地满足用户的使用需求。
附图说明
[0020]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]
图1是根据本发明实施例的一种基于信创环境的电子政务国产云密码服务平台的结构框图；图2是根据本发明实施例的一种基于信创环境的电子政务国产云密码服务平台中综合验证模块的结构框图；图3是根据本发明实施例的一种基于信创环境的电子政务国产云密码服务平台中服务调度的流程图。
[0022]
图中：1、密码服务调用及监管平台；11、登录验证模块；111、用户注册模块；112、用户登录模块；113、综合验证模块；1131、账号密码验证模块；1132、鼠标及键盘敲击节奏采集模块；1133、敲击节奏建模模块；1134、敲击节奏差值计算模块；1135、敲击节奏识别模块；1136、账号密码及敲击节奏综合认证模块；12、密码资源管控模块；121、密码设备管理模块；122、密码资产监控模块；123、密码服务监控模块；124、密码服务状态集中展示模块；125、日志审计模块；13、密码服务管理模块；131、密码应用服务模块；132、结构化数据加密模块；133、非结构化数据加密模块；134、密码应用用户管理模块；135、密码资源调度管理模块；14、统一密钥管理模块；141、密钥生成模块；142、密钥存储模块；143、密钥分发模块；144、导入与导出模块；145、密钥属性管理模块；146、策略管理模块；147、权限管理模块；148、密钥使用模块；149、备份恢复模块；1410、密钥归档模块；1411、密钥销毁模块；1412、密钥库管理模块；1413、认证管理模块；1414、系统管理模块；15、应用管理模块；151、应用接入管理模块；152、应用权限管控模块；153、应用信息管理模块；154、应用状态监控模块；2、国产密码资源池模块；21、云服务器密码机；22、签名验签服务器；23、时间戳服务器；24、安全网关；3、信创运行环境；31、信创终端；32、信创服务器；33、麒麟/统信操作系统；34、国产数据库；35、国产中间件。
具体实施方式
[0023]
为进一步说明各实施例，本发明提供有附图，这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理，配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点，图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。
[0024]
根据本发明的实施例，提供了一种基于信创环境的电子政务国产云密码服务平台。本发明针对电子政务领域通过国产化产品构建云密码服务体系，底层设施采用国产服务器、存储等信创产品，密码资源池构建采用密码服务器、签名验签服务器、身份认证系统等国产软硬件密码产品，所有密码产品均支持国密算法，支持sm1、sm2、sm3、sm4、sm7、sm9等多种国密算法，支撑不同用户、不同业务系统的需求。
[0025]
现结合附图和具体实施方式对本发明进一步说明，如图1-3所示，根据本发明实施例的一种基于信创环境的电子政务国产云密码服务平台，包括密码服务调用及监管平台1、国产密码资源池模块2及信创运行环境3；其中，密码服务调用及监管平台1用于为外部系统提供基于国密算法的密码服务。安全服务调度与监管体系屏蔽业务应用对各类安全服务的直接调用，提供统一服务支撑，如图3所示，各个安全服务对外提供服务接口，以信息描述的方式（包括地址、描述、访问方
法）注册到安全支撑服务框架上，以供各类应用查阅、调用，避免各类应用直接与安全服务交互，提高各类应用对于密码服务调用效率；还用于开发密码资源统一管理与调度体系，通过制定统一的密码监管体系，为密码设备、密码服务、应用授权提供统一的运维、监控、管理、审计等运维监管服务，实现统一安全策略管理；通过制定统一的状态监控接口、日志服务接口与上层管理体系对接，实现密码服务运行状态、密码服务运行日志的监管等数据实时上报；还用于对接密码服务调度及监管体系与外部应用，外部应用通过服务调度及监管体系提供的服务和接口与系统连接，体系根据应用的安全等级和密码安全保护需求为其分配密码资源，同时，体系将对各接入应用进行实时监控和管理，避免密码安全问题的出现；具体的，密码服务调用及监管平台1包括登录验证模块11、密码资源管控模块12、密码服务管理模块13、统一密钥管理模块14及应用管理模块15；登录验证模块11用于外部应用设备的注册及登录，还用于基于账号密码结合鼠标及键盘敲击节奏进行登录的综合认证；登录验证模块11包括用户注册模块111、用户登录模块112及综合验证模块113；用户注册模块111用于外部应用设备的注册；用户登录模块112用于外部应用设备使用账号及密码进行登陆；综合验证模块113用于利用账号密码结合鼠标及键盘敲击节奏对外部应用设备的登录进行综合认证。
[0026]
综合验证模块113包括账号密码验证模块1131、鼠标及键盘敲击节奏采集模块1132、敲击节奏建模模块1133、敲击节奏差值计算模块1134、敲击节奏识别模块1135、账号密码及敲击节奏综合认证模块1136；账号密码验证模块1131用于对用户输入的账号及密码进行验证；鼠标及键盘敲击节奏采集模块1132用于采集用户敲击鼠标及键盘的节奏；具体的，用户敲击鼠标及键盘的节奏的采集包括以下步骤：对用户初始创建用户名和密码时每个字符的按下时间戳及弹起的系统时间戳进行采集，并存入数据库；对所述用户点击验证图片或验证码时敲击鼠标的节奏与力度进行采集，并存入所述数据库。
[0027]
敲击节奏建模模块1133用于对用户敲击鼠标及键盘的节奏进行建模；具体的，对用户敲击鼠标及键盘的节奏进行建模包括以下步骤：根据每个用户在创建初始密码时的敲击模型以及随后一段时间敲击键盘输入密码的行为进行建模；根据每个用户对应敲击鼠标的节奏、时间间隔及鼠标敲击力度进行建模。
[0028]
敲击节奏差值计算模块1134用于根据用户的敲击节奏模型计算节奏的方差与合理值的差值；敲击节奏识别模块1135用于对用户再次登陆时鼠标及键盘的敲击节奏进行识别；具体的，识别时主要用于识别键盘敲击节奏是否属于节奏模型中键盘敲击的合理偏差值范围内。
[0029]
账号密码及敲击节奏综合认证模块1136用于利用账号密码结合鼠标及键盘敲击节奏对外部应用设备的登录进行综合认证。
[0030]
密码资源管控模块12用于为密码计算资源池、密码服务资源池和密码接口资源池提供统一的运行监管服务；还用于支持密码资源利用率监控、密码服务状态监控、密码服务
资源动态伸缩、密码使用状态审计等功能，为用户呈现实时、动态的密码资源管控服务；密码资源管控模块12包括密码设备管理模块121、密码资产监控模块122、密码服务监控模块123、密码服务状态集中展示模块124及日志审计模块125。
[0031]
密码服务管理模块13用于建设统一的密码服务体系，对服务器密码机、签名验签服务器、时间戳服务器、ca数字证书认证系统、密钥管理系统等典型密码基础设施进行统一管理；还用于提供开放、统一的密码服务接口，供电子签章等密码应用类软件接入和统一管理；同时，用于通过建设统一的密码服务资源池和密码接口资源池，为业务系统提供统一密码服务申请、统一密码服务授权、统一密码资源调度和统一密码服务审计功能；密码服务管理模块13包括密码应用服务模块131、结构化数据加密模块132、非结构化数据加密模块133、密码应用用户管理模块134及密码资源调度管理模块135。
[0032]
统一密钥管理模块14用于统一密钥管理服务基于云密钥服务的设计服务理念，为授权应用提供统一的密钥管理服务。云密钥管理服务是指基于密码资源池基础设施，为服务商、密码租用用户提供密钥托管相关的支持活动，如密钥托管服务、密钥安全隔离和存储服务、密钥安全访问服务、密钥的策略控制服务、基于托管密钥的简单加解密服务、密钥使用的日志记录服务、密钥高可用服务等。
[0033]
统一密钥管理模块14包括密钥生成模块141、密钥存储模块142、密钥分发模块143、导入与导出模块144、密钥属性管理模块145、策略管理模块146、权限管理模块147、密钥使用模块148、备份恢复模块149、密钥归档模块1410、密钥销毁模块1411、密钥库管理模块1412、认证管理模块1413及系统管理模块1414。
[0034]
所述应用管理模块15用于提供应用接入管理、应用权限管控、应用信息管理及应用状态监控服务；所述应用管理模块15包括应用接入管理模块151、应用权限管控模块152、应用信息管理模块153及应用状态监控模块154。
[0035]
国产密码资源池模块2用于将国产化密码设备进行统一部署，以集群方式搭建密码资源池，建设后所有密码服务都将从资源池中获取服务资源，密码资源池中部署的设备和产品主要包含云服务器密码机、签名验签服务器、时间戳服务器、ipsec vpn网关、ssl vpn网关、安全认证网关（ipsec/ssl）等，可根据业务承载量和功能更新灵活调控资源池，为密码安全服务提供支撑；具体的，国产密码资源池模块2包括云服务器密码机21、签名验签服务器22、时间戳服务器23及安全网关24。
[0036]
信创运行环境3用于以国产信创终端、服务器、操作系统、数据库、中间件等信创产品构建运行稳定、性能优异的基础运行环境，为后续技术架构的设计提供基础计算、存储资源支撑。
[0037]
具体的，信创运行环境3包括信创终端31、信创服务器32、麒麟/统信操作系统33、国产数据库34及国产中间件35。
[0038]
根据本发明的另一个实施例，提供了一种基于信创环境的电子政务国产云密码服务平台的构建方法，该方法包括以下步骤：s1、构建底层全国产化基础平台，包括计算设备、网络设备、存储设备和各类基础软件产品；
s2、构建国产密码资源池，通过集群方式构建国产化密码资源池；s3、开发密码资源管控模块，对各类国产化密码资源进行统一监管；s4、开发密码服务管理模块，为业务系统提供统一密码服务申请、服务授权、资源调度和统一服务审计功能；s5、开发统一密钥管理模块，为授权应用提供统一的密钥管理服务；s6、开发密码资源统一管理与调度平台，提供统一的运维、监控、管理、审计等运维监管服务，实现统一安全策略管理；s7、对接密码服务调度及监管体系与外部应用；s8、云密码服务平台为外部系统提供基于国密算法的密码服务。
[0039]
综上所述，借助于本发明的上述技术方案，通过在信创建设和密码建设的双重驱动下基于信创国产化软硬件环境，针对电子政务领域开发云密码服务平台，通过建立统一的密码服务平台和密码监管平台，实现信息系统中密码设备和密码服务的集中管理，并对外提供统一密码资源服务。
[0040]
此外，本发明通过构建云密码服务平台使用的基础设施和密码安全产品均为国产化产品，构建从底层设施到上层应用全信创运行环境，实现对典型密码硬件设备和虚拟密码计算资源的统一管理、调度、监控。通过国密标准的sdf接口，实现对密码计算资源的调用。云密码服务统一管理体系集成标准的密钥管理系统，并通过统一的对外密码服务接口，为应用系统提供密钥管理、数据加解密、hmac完整性保护、签名验签、证书认证、时间戳等密码服务。面向应用系统提供统一密码服务申请、统一密码服务授权、统一密码服务配属、统一密码服务审计功能，同时云密码服务统一管理体系支持与上级管理体系对接，实现上级体系对密码服务的统一管理。
[0041]
此外，本发明在信创环境上针对电子政务领域搭建云密码服务平台，实现密码服务的统一管控与对外提供，通过与此平台的对接，各类基于信创环境部署的应用系统可直接获得全面的密码保护。通过体系统一对外提供服务的方式，相较于传统的每个应用系统单独建设密码防护体系的方式，能够大量节省建设资金，提高资源利用率，降低密码管理成本。此平台能够广泛应用于金融、交通、能源等关键行业，保障网络时代的信息安全与数据安全。
[0042]
此外，本发明通过账号密码结合敲击键盘及鼠标的节奏的来实现身份识别，采用生物特征识别的方式，不仅使得他人无法模仿，提高其安全性，而且不需要任何专属硬件设备，纯软件实现，降低其识别成本，同时，对用户原有的登陆流程不产生任何影响，用户无感知，可以更好地满足用户的使用需求。
[0043]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。