一种可扩展的信息安全服务系统及方法
【技术领域】
[0001]本发明涉及数据安全领域,特别涉及一种可扩展的信息安全服务系统及方法。
【背景技术】
[0002]在软件保护中通常涉及加解密处理,甚至在软件常规的运行逻辑中也经常包含有涉及加解密的算法过程。如果将加解密算法完全实现于软件端,可能存在密钥被窃取的风险,因此通常的方法是使用加密锁等硬件设备来实现加解密功能。
[0003]加密锁等信息安全硬件设备为人们带来了很多便利,其便于携带,安全性也比较高。然而,其便于携带的特点也造成了容易遗失的问题。而且,即使其便于携带,人们也未必会时时将之带在身边,故而有时会出现需要加解密操作时手边未备有加密锁的情况。此夕卜,当将同一信息安全设备用于多个客户端的加解密时,会产生操作较为繁琐的问题。
【发明内容】
[0004]有鉴于此,本发明提出了一种可扩展的信息安全服务系统和方法,其使得客户端不需要专门配备信息安全硬件设备,通过网络服务即可完成对数据的信息安全处理,并且后期能够扩展服务容量。
[0005]本发明的可扩展的信息安全服务系统包括:网络接口,其通过网络接收来自服务请求端的信息安全服务请求;处理模块,其配置为对所述网络接口收到的信息安全服务请求进行解析,并将其中的待处理数据和对应的处理指令发送给管理模块;所述管理模块,其配置为管理多个信息安全设备,并在收到处理模块发来的待处理数据和处理指令时,根据所述多个信息安全设备的工作状态选择其中一个信息安全设备为目标设备,将所述待处理数据和处理指令发送给该目标设备;所述多个信息安全设备,其各配置为在从所述管理模块收到所述待处理数据和处理指令时,根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述管理模块,其中,所述管理模块还配置为将所述经处理的数据发送给所述处理模块,并且所述处理模块还配置为将所述经处理的数据通过所述网络接口发送给所述服务请求端。
[0006]本发明的可扩展的信息安全服务方法包括:由网络接口接收来自服务请求端的信息安全服务请求;由处理模块对所述网络接口收到的信息安全服务请求进行解析,并将其中的待处理数据和对应的处理指令发送给管理模块;所述管理模块在收到处理模块发来的待处理数据和处理指令时,根据其所管理的多个信息安全设备的工作状态选择其中一个信息安全设备为目标设备,将所述待处理数据和处理指令发送给该目标设备;所述目标设备根据所述处理指令对所述待处理数据进行信息安全处理并将经处理的数据返回给所述管理模块;所述管理模块将所述经处理的数据发送给所述处理模块,且所述处理模块将所述经处理的数据通过所述网络接口发送给所述服务请求端。
[0007]通过本发明的信息服务系统和方法,客户端不需要关心加解密的具体实现过程,也不需要管理单独的信息安全设备,而是只需要直接通过网络服务来完成所需的信息安全处理;多个客户端可共享同一网络接口,方便云端部署架构和方案;加解密服务所使用的密钥可在云端进行统一升级管理,具有很强的操作性和便利性;此外,设备节点的数量与服务容量基本处于线性关系,在所需加解密服务量提高时可以通过增加设备节点来提高服务容量,具有很好的可扩展性。
【附图说明】
[0008]图1为本发明的可扩展的信息安全服务系统的一个实施例的结构示意图;
[0009]图2为本发明的可扩展的信息安全服务系统的另一个实施例的结构示意图;
[0010]图3为本发明的可扩展的信息安全服务系统的又一个实施例的结构示意图;
[0011]图4为本发明的可扩展的信息安全服务方法的一个实施例的流程示意图。
【具体实施方式】
[0012]下面参照附图对本发明的实施例进行详细说明。
[0013]图1为本发明的可扩展的信息安全服务系统的一个实施例的结构示意图。如图所示,本发明的基于网络的信息安全服务系统包括网络接口、处理模块、管理模块和多个信息安全设备。其中管理模块管理多个信息安全设备,能够获知各信息安全设备的工作状态或工作进程。该信息安全服务系统通过互联网(例如通过HTTP/HTTPS)与服务请求端进行交互。
[0014]网络接口可通过网络接收到来自服务请求端的信息安全服务请求,并将该请求发送给处理模块。网络接口可以通过例如Nginx来实现。
[0015]处理模块对网络接口收到的信息安全服务请求进行解析,获得其中的待处理数据和对应的服务请求类型,根据服务请求类型生成处理指令,将待处理数据和处理指令重新打包成二进制数据包或者处理为数据帧发送给管理模块。服务请求类型可以是加密请求或者解密请求,处理指令则相应地为加密指令或者解密指令。处理指令可以例如是设置在该发送的数据帧中的预定字段中的标识符。
[0016]管理模块接收到处理模块发来的数据包或数据帧后,根据各信息安全设备的工作状态选择其中一个设备作为目标设备,将收到的数据发给该目标设备。所选择的设备可以是多个信息安全设备中的当前空闲的设备,或者如果当前没有空闲的设备,则可以选择将有可能空闲的设备,例如按照其当前的工作进程判断其将在预定时间内空闲的一个信息安全设备为所述目标设备。
[0017]作为该目标设备的信息安全设备接收到处理模块发来的数据后,根据其中的处理指令对其中的待处理数据进行相应的信息安全处理,并将经处理的数据返回给管理模块,管理模块再将该经处理的数据发送给处理模块。信息安全设备中可以预先存储用于进行信息安全处理的密钥和算法,管理员可以通过管理模块对各信息安全设备进行密钥、算法和/或参数的设置。
[0018]处理模块接收到经处理的数据后,将该经处理的数据重组为预定通信格式的数据后通过网络接口发送给服务请求端,完成本次服务。
[0019]通过本实施例的信息安全服务系统,服务请求端不需要关心加解密的具体实现过程,也不需要自行管理加密锁等信息安全设备,而是只需要直接通过网络服务来完成所需的信息安全处理。加解密服务所使用的密钥可在云端进行统一升级管理,具有很强的操作性和便利性。此外,设备节点的数量与服务容量基本处于线性关系,在所需加解密服务量提高时可以通过增加设备节点来提高服务容量,具有很好的可扩展性。而且,对于信息安全设备提供的功能也容易扩展,比如可以考虑数据量较小的存储设计。
[0020]在本发明的一个实施例中,管理员在通过管理模块对各信息安全设备进行设置时,通过向信息安全设备发送管理请求来进行设置。管理请求中可以包括管理员的身份验证信息,各信息安全设备在收到管理请求时先验证管理员的身份,在通过对该身份验证信息的验证后接受管理请求中的设置数据,以便增强信息安全设备中密钥数据等的安全性。
[0021]以下参照图2给出关于管理员身份验证的另一个实施例。
[0022]图2为本发明的可扩展的信息安全服务系统的另一个实施例的结构示意图。
[0023]如图2所示,本发明的信息安全服务系统还包括验证设备,其可设置在信息安全设备群一侧并连接到管理模块。验证设备可以用来作