一种基于云环境的加密系统的制作方法

本发明涉及信息安全技术领域，特别是涉及一种基于云环境的加密系统。

背景技术：

随着云计算技术的快速发展，各个厂家越来越倾向于在云环境中部署各种应用端，以达到节约成本、集中管理等目的。在云环境下不同厂家部署的应用端一般都处于不同的虚拟局域网中，以保证不同厂家的应用端的数据隔离。

在实际应用中，可以通过物理加密机为云环境下的应用端提供密码服务，即作为通信发送方的应用端通过物理加密机对待传输的数据进行加密操作后，发送给通信接收方。

在现有技术中，需要在每个虚拟局域网下均部署至少一个物理加密机。但是，如果有的虚拟局域网中的应用端数量较少，或者业务量较小，将会使得该虚拟局域网中的物理加密机得不到高效利用，造成较大的硬件成本和维护成本的浪费。

技术实现要素：

本发明的目的是提供一种基于云环境的加密系统，以节约较多的硬件成本和维护成本。

为解决上述技术问题，本发明提供如下技术方案：

一种基于云环境的加密系统，包括多个虚拟加密机和多个应用端，每个应用端至少对应一个虚拟加密机，每个虚拟加密机均配置有服务端口；

针对每个应用端，该应用端用于通过对应的虚拟加密机的服务端口访问该虚拟加密机获得相应的密码服务。

在本发明的一种具体实施方式中，还包括加密机管理中心，每个虚拟加密机还配置有管理端口；

所述加密机管理中心，用于通过每个虚拟加密机的管理端口对相应的虚拟加密机进行配置和监控。

在本发明的一种具体实施方式中，每个虚拟加密机部署于宿主机上。

在本发明的一种具体实施方式中，所述宿主机上安装有支持kvm虚拟化技术的linux操作系统。

在本发明的一种具体实施方式中，每个虚拟加密机中均配置有一个支持虚拟化技术的密码卡。

在本发明的一种具体实施方式中，

所述加密机管理中心，具体用于通过每个虚拟加密机的管理端口对相应的虚拟加密机进行服务ip的配置、应用端访问虚拟加密机的权限授权、虚拟加密机的状态监控。

在本发明的一种具体实施方式中，

针对每个应用端，该应用端还用于向所述加密机管理中心发送权限申请信息；

所述加密机管理中心，还用于根据审查结果，确定是否向该应用端返回授权文件。

在本发明的一种具体实施方式中，所述权限申请信息包括密码运算的能力大小信息和时间信息。

在本发明的一种具体实施方式中，

针对每个应用端，该应用端还用于向所述加密机管理中心发送状态查询请求；

所述加密机管理中心，还用于向该应用端返回虚拟加密机的状态信息。

在本发明的一种具体实施方式中，

针对每个应用端，该应用端还用于根据所述加密机管理中心返回的所述虚拟加密机的状态信息，确定是否向所述加密机管理中心申请增加对应的虚拟加密机的数量。

应用本发明实施例所提供的技术方案，基于云环境的加密系统包括的每个应用端至少对应一个虚拟加密机，每个虚拟加密机均配置有服务端口，针对每个应用端，该应用端可以通过对应的虚拟加密机的服务端口访问该虚拟加密机获得相应的密码服务。一个物理设备通过虚拟化技术可以配置出多个虚拟加密机，虚拟加密机与应用端配合，可以为各应用端提供相应的密码服务，这样可以节约较多的硬件成本和维护成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中基于云环境的加密系统的一种结构示意图；

图2为本发明实施例中基于云环境的加密系统的另一种结构示意图；

图3为本发明实施例中基于云环境的加密系统中各部分连接示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1所示，为本发明实施例所提供的一种基于云环境的加密系统的结构示意图，该系统可以包括多个虚拟加密机110和多个应用端120，每个应用端120至少对应一个虚拟加密机110，每个虚拟加密机110均配置有服务端口；针对每个应用端120，该应用端120用于通过对应的虚拟加密机110的服务端口访问该虚拟加密机110获得相应的密码服务。

在本发明实施例中，基于云环境的加密系统包括多个虚拟加密机110和多个应用端120，每个应用端120至少对应一个虚拟加密机110，根据实际部署或客户租用情况，同一厂家的多个应用端120可以对应一个或多个虚拟加密机110，即一个虚拟加密机110可以为一个或多个应用端120提供密码服务。

每个虚拟加密机110均配置有服务端口，针对每个应用端120，该应用端120可以通过对应的虚拟加密机110的服务端口访问该虚拟加密机110获得相应的密码服务。具体的，每个虚拟加密机110可部署于宿主机上，一个宿主机可以部署多个虚拟加密机110。宿主机为部署虚拟加密机110的底层物理设备，如图2所示，可以通过一个宿主机中的hypervisor为其上部署的多个虚拟加密机110分配硬件资源和密码卡。宿主机上可以安装有支持kvm虚拟化技术的linux操作系统，每个虚拟加密机110中均配置有一个支持虚拟化技术的密码卡。

在实际应用中，在宿主机的linux操作系统上使用kvm虚拟化技术可以预制虚拟出多个虚拟设备。使用支持虚拟化技术的密码卡，为每个虚拟设备分配一个虚拟密码卡。在每个虚拟设备中部署加密机服务程序，使用虚拟密码卡进行基础密码运算，每个虚拟设备即可作为一个虚拟加密机110为应用端120提供密码服务。

参见图2、图3所示，在本发明的一个实施例中，该系统还可以包括加密机管理中心130，每个虚拟加密机110还配置有管理端口；加密机管理中心130，用于通过每个虚拟加密机110的管理端口对相应的虚拟加密机110进行配置和监控。

在本发明实施例中，每个虚拟加密机110还配置有管理端口，用于与加密机管理中心130通信。加密机管理中心130可以通过每个虚拟加密机110的管理端口对相应的虚拟加密机110进行配置和监控。具体的，加密机管理中心130可以通过每个虚拟加密机110的管理端口对相应的虚拟加密机110进行服务ip的配置、应用端访问虚拟加密机的权限授权、虚拟加密机的状态监控。

每个虚拟加密机110均配置有服务端口和管理端口，服务端口用于应用端120与虚拟加密机110之间的通信，管理端口用于加密机管理中心130与虚拟加密机110之间的通信，通过不同的端口，可以将服务与配置隔离开，既可以适应于云环境下的网络隔离，又可以达到集中管理和调度虚拟加密机110的目的，节约配置和维护成本。

在本发明的一种具体实施方式中，针对每个应用端120，该应用端120还用于向加密机管理中心130发送权限申请信息；加密机管理中心130，还用于根据审查结果，确定是否向该应用端120返回授权文件。

应用端120根据实际需求，可以向加密机管理中心130发送权限申请信息，权限申请信息可以包括密码运算的能力大小信息和时间信息等。加密机管理中心130可以对接收到的权限申请信息进行审查，根据审查结果，确定是否向该应用端120返回授权文件。如果审查结果为通过，则加密机管理中心130可以向该应用端120返回授权文件。该应用端120获得授权文件后，可以调用相应的虚拟加密机110进行密码运算。如果该应用端120未获得某个虚拟加密机110对应的授权文件，则该应用端120对该虚拟加密机110的访问权限将受限。

在本发明的一种具体实施方式中，针对每个应用端120，该应用端120还可以用于向加密机管理中心130发送状态查询请求；加密机管理中心130，还用于向该应用端120返回虚拟加密机110的状态信息。

加密机管理中心130通过各虚拟加密机110的管理端口与各虚拟加密机110通信，对各虚拟加密机110进行配置和管理。针对每个应用端120，该应用端120可以向加密机管理中心130发送针对虚拟加密机110的状态查询请求，加密机管理中心130向该应用端120返回监测到的虚拟加密机110的状态信息。该应用端120还可以根据加密机管理中心130返回的虚拟加密机110的状态信息，确定是否向加密机管理中心130申请增加对应的虚拟加密机110的数量，以获得更多的密码服务能力。

在本发明实施例中，通过虚拟化技术，可以将一个物理加密机虚拟出多个虚拟加密机110，每个虚拟加密机110都可以单独提供密码服务。在云环境下，不同的厂家的应用端120处于不同的虚拟局域网中，虚拟加密机110可以为各应用端120提供密码服务，且不相互干涉。

应用本发明实施例所提供的技术方案，基于云环境的加密系统包括的每个应用端至少对应一个虚拟加密机，每个虚拟加密机均配置有服务端口，针对每个应用端，该应用端可以通过对应的虚拟加密机的服务端口访问该虚拟加密机获得相应的密码服务。一个物理设备通过虚拟化技术可以配置出多个虚拟加密机，虚拟加密机与应用端配合，可以为各应用端提供相应的密码服务，这样可以节约较多的硬件成本和维护成本。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。