基于注册机制的安全资源独立保护方法与流程

本发明属于数据信息安全应用领域，采用软件和硬件协同工作，涉及一种基于注册机制的安全资源独立保护方法。该方法可应用于宿主机应用的安全资源独立保护场景，尤其适用于云平台服务中的虚拟机中虚拟应用的安全资源独立保护场景。

背景技术：

1、随着技术的不断提高，有线和无线网络的传输性能越来越高，信息资源的安全共享、安全存储、访问的安全性和独立性要求越来越高。如何利用高效的有线和无线网络为用户提供安全的、可靠的、保密性好的云平台服务是当前云平台服务领域需要迫切解决的问题。

2、云平台服务是一项基于互联网、面向大众提供的、基于云存储技术的文件存储、访问、备份、共享、管理、协作服务、基于计算能力的计算型服务，为用户提供海量存储资源、网络资源和计算服务。

3、目前负责云平台安全服务的硬件设备由部署于云平台服务器的安全卡实现，该安全卡能给为云平台提供高性能的安全处理能力，但是由于安全卡为统一架构的安全卡，内部部署一套安全资源，对所有的云平台服务均采用一套资源进行安全处理，致使云平台服务资源安全保护单一，无法独立进行保护的缺陷。

4、因此，云平台服务资源的安全性、独立性是今后云平台服务首要解决的问题。

技术实现思路

1、为克服现有技术的不足，针对目前云平台服务存在的资源安全的独立性问题，本发明旨在提出一种基于注册机制的安全资源独立保护方法，该方法采用软件和硬件协同实现安全资源的独立保护。为此，本发明采取的技术方案是，基于注册机制的安全资源独立保护方法，流程如下：

2、(1)宿主计算机上的应用程序首先采集宿主计算机机的软硬件信息，包括操作系统版本、cpu型号、硬盘序列号、网络mac地址；采集应用软件信息，包括软件存放地址、软件大小；

3、(2)宿主计算机上的应用程序将采集后的软硬件信息及应用软件信息通过安全卡api接口的创建会话函数发送至安全卡；其中：

4、安全卡包括处理单元、安全处理单元、管理单元、存储单元、噪声单元接电源单元；

5、接口处理单元实现安全卡与云平台硬件服务器之间的高速接口；安全处理单元实现安全卡的高速安全服务功能；管理单元实现安全卡的硬件自检、安全自检、安全资源的加密存储、应用注册响应、应用授权管理功能；噪声单元为安全卡提供白噪声；存储单元实现安全卡的固件存储、安全资源的加密存储、日志存储存储功能；接口处理单元和安全处理单元合并使用1片高速性能fpga实现，管理单元选择嵌入式cpu或者是mcu实现，存储单元选择nor flash或者是nandflash实现；

6、安全卡驱动实现宿主计算机操作系统与安全卡之间的通信，完成服务器应用与安全卡实体的数据传输功能；

7、安全卡软件接口api为用户提供调用安全卡的安全服务功能接口，用户的应用可基于该api接口进行开发，该接口只适用于直接部署在宿主计算机上的用户应用，该接口api内部实现杂凑算法和应用注册函数，实现云平台硬件服务器系统信息、应用信息基于算法机制的采集、注册功能；

8、配置管理软件实现安全卡的用户管理、安全卡自检、应用授权、日志查询功能，云平台硬件服务器的应用调用注册api接口后，管理员登录配置管理软件对注册的应用绑定安全资源、进行授权后，被授权的应用才可以调用安全卡的安全服务功能；

9、(3)安全卡接收到创建会话函数后，对收到的软硬件信息及应用软件信息进行杂凑运算生成应用标识；

10、(4)安全卡管理单元查询该应用标识是否已在安全卡内部注册授权，如果已经注册授权，怎生成会话号，为本次会话绑定安全资源，并将生成的会话号返回到创建会话函数；如果安全卡管理单元未查询到该应用标识的注册授权信息，则返回到创建会话函数创建会话失败；

11、(5)应用创建会话成功后，安全卡内部的安全资源被调用。

12、宿主计算机为云平台硬件服务器，安全卡驱动、安全卡软件接口api、配置管理软件、安全卡服务软件以及部署于云平台虚拟机中的虚拟安全卡驱动、安全卡虚拟软件接口api，都部署于云平台硬件服务器，其中：

13、安全卡服务软件

14、安全卡服务软件是云平台硬件服务器上虚拟机应用与安全卡实体通信的桥梁，实现虚拟安全卡驱动与安全卡驱动之间的通信功能；

15、虚拟安全卡驱动

16、虚拟安全卡驱动实现虚拟机操作系统与安全卡之间的通信，完成虚拟应用与安全卡实体的数据传输功能；

17、安全卡虚拟软件接口api

18、安全卡虚拟软件接口api为虚拟机用户提供调用安全卡的安全服务功能接口，虚拟机用户的应用可基于该api接口进行开发，该接口只适用于部署在云平台硬件服务器上的虚拟机用户应用，该接口api中实现杂凑算法和应用注册函数，实现宿主机虚拟机系统信息、虚拟机应用信息基于算法机制的采集、注册功能。

19、云平台虚拟应用业务调用流程如下：

20、(1)虚拟应用采集虚拟机的软硬件信息包括：操作系统版本、cpu型号、硬盘序列号、网络mac地址；采集虚拟应用软件信息包括：软件存放地址、软件大小；

21、(2)虚拟机应用将采集后的软硬件信息及应用软件信息通过虚拟安全驱动、安全卡服务软件、安全卡驱动发送给安全卡通过安全卡api接口的创建会话函数发送至安全卡；

22、(3)安全卡接收到创建会话函数后，对收到的软硬件信息及应用软件信息进行杂凑运算生成应用标识；

23、(4)安全卡管理单元查询该应用标识是否已在安全卡内部注册授权，如果已经注册授权，怎生成会话号，为本次会话绑定安全资源，并将生成的会话号返回到创建会话函数；如果安全卡管理单元未查询到该应用标识的注册授权信息，则返回到创建会话函数创建会话失败；

24、(5)虚拟机应用创建会话成功后，建立安全卡内部的安全资源对应关系；

25、(6)虚拟机应用创建会话成功后，即可通过会话号调用安全卡内部属于本应用的安全资源进行相应的安全服务调用。

26、本发明的特点及有益效果是：

27、本发明采用基于算法机制的系统及应用信息采集注册机制，能够彻底解决传统的安全卡被宿主机的应用非法调用，应用无法使用独立的安全资源的短板，有效保障宿主机应用的安全资源的独立性、安全性。该发明尤其在云平台服务中具有广泛的应用前景。

技术特征：

1.一种基于注册机制的安全资源独立保护方法，其特征是，步骤如下：

2.如权利要求1所述的基于注册机制的安全资源独立保护方法，其特征是，宿主计算机为云平台硬件服务器，安全卡驱动、安全卡软件接口api、配置管理软件、安全卡服务软件以及部署于云平台虚拟机中的虚拟安全卡驱动、安全卡虚拟软件接口api，都部署于云平台硬件服务器，其中：

3.如权利要求1所述的基于注册机制的安全资源独立保护方法，其特征是，云平台虚拟应用业务调用流程如下：

技术总结
本发明涉及计算机数据信息安全应用领域，为提出一种基于注册机制的安全资源独立保护方法，该方法采用软件和硬件协同实现安全资源的独立保护。为此，本发明采取的技术方案是，基于注册机制的安全资源独立保护方法，流程如下：宿主计算机上的应用程序首先采集宿主计算机机的软硬件信息，包括操作系统版本、CPU型号、硬盘序列号、网络MAC地址；采集应用软件信息，包括软件存放地址、软件大小；宿主计算机上的应用程序将采集后的软硬件信息及应用软件信息通过安全卡API接口的创建会话函数发送至安全卡。本发明主要应用于计算机数据信息安全应用场合。

技术研发人员：吴淑艳,苏锦秀,李得泉,毕顺利,徐经纬,袁静,宋颖硕,张照松,王润鑫,刘佳敏,牛晓东
受保护的技术使用者：天津光电聚能通信股份有限公司
技术研发日：
技术公布日：2024/1/13