本发明涉及信息安全领域,具体涉及一种密码资源池、密码资源池管理方法、管理平台及管理系统。
背景技术:
云计算具有按需计算、弹性伸缩和多租户的特点,资源池实现了计算资源、存储资源、网络资源等软硬件资源的动态分配和调度使用,满足了云计算基础设施的需求。当在云计算环境之中部署密码设备时,为了适应云计算环境的以上特点,需要把多个密码设备(物理或虚拟密码设备)组成资源池,由云计算管理平台进行统一的调度。
分布式协调服务系统,如zookeeper或etcd,是基于共识算法的、分布式的应用程序协调服务,为分布式应用服务提供一致性服务,包括配置维护、域名服务、分布式同步、组服务等。分布式协调服务系统是云计算中常用的信息同步方式。
目前在云计算环境中部署密码设备,将密码设备组成资源池并与计算资源、存储资源、网络资源等各种软硬件资源一样无差别的由云管理平台进行调度和管理,在一定程度上对密码设备自身的特殊性有所忽视,同时要求用户对密码设备有较深入的了解,在安全性和易用性上面都存在不足。
基于密码设备自身的特殊性,为了保障其安全性,同时降低用户使用密码设备的难度,亟需对密码资源池进行独立的管理,并对不同的用户提供统一的调用入口。
技术实现要素:
有鉴于此,本申请提供一种对多个逻辑上独立的密码设备组成的密码资源池进行统一的管理调度,对外提供统一的密码服务的密码资源池、密码资源池管理方法、管理平台及管理系统,解决上述存在的问题。
为解决以上技术问题,本发明提供的技术方案是一种密码资源池管理方法,所述密码资源池包括至少一个密码设备,所述管理方法包括:
设定所述密码资源池的标准密码服务单元;
接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
将所述密码资源池与分布式协调服务系统进行信息同步;
接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;
若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
优选地,所述管理方法还包括:
建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
优选地,所述管理方法还包括:
当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述管理方法还包括:
当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
优选地,所述从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中的方法,包括:
从所述公共密码服务对象中优先提取与所述密码服务客户端对应的独立密码服务对象中包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述管理方法还包括:
接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
本发明还提供一种密码资源池管理平台,所述密码资源池包括至少一个密码设备,所述密码资源池管理平台包括密码资源池设置模块、密码设备监控模块、信息同步模块和密码服务客户端管理模块,其中:
所述密码资源池设置模块,用于设定所述密码资源池的标准密码服务单元;
所述密码设备监控模块,用于接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
所述信息同步模块,用于将所述密码资源池与分布式协调服务系统进行信息同步;
所述密码服务客户端管理模块,用于接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
优选地,所述密码服务客户端管理模块,还用于建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
优选地,所述密码资源池管理平台还包括:
密码服务客户端监控模块,用于当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述密码服务客户端监控模块,还用于当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
优选地,所述密码资源池管理平台还包括:
密码设备管理模块,用于接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
本发明还提供一种密码资源池,包括至少一个密码设备,还包括上述方案所述的密码资源池管理平台。
本发明还提供一种密码资源池管理系统,包括至少一个上述方案所述的密码资源池。
本申请与现有技术相比,其有益效果详细说明如下:本发明实施例提供的密码资源池、密码资源池管理方法、管理平台及管理系统,通过设定密码资源池的标准密码服务单元;接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;将密码资源池与分布式协调服务系统进行信息同步;接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池的方法,解决了由云管理平台进行调度和管理密码资源池存在的安全性和易用性问题,实现了对若干个密码设备组成的密码资源池的统一调度管理和状态监控,以及接受不同密码服务客户端对密码服务的统一调用。
附图说明
图1为本发明实施例一密码资源池管理方法流程示意图;
图2为本发明实施例二密码资源池管理方法流程示意图;
图3为本发明实施例三密码资源池管理方法流程示意图;
图4为本发明实施例四密码资源池管理平台结构示意图;
图5为本发明实施例五密码资源池管理平台结构示意图;
图6为本发明实施例六密码资源池管理平台结构示意图;
图7为本发明实施例应用的密码资源池管理系统结构示意图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。
如图1所示,本发明实施例一提供了一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
s11:设定密码资源池的标准密码服务单元;
s12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
s13:将密码资源池与分布式协调服务系统进行信息同步;
s14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
s15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池。
需要说明的是,该密码资源池管理方法把多个逻辑上独立的密码设备组成的独立密码资源池进行统一的调度,对外提供统一的密码服务。
步骤s11中,按照对称加解密、非对称加解密、签名验签等密码运算指标(一般以每秒交易数(tps)或运算量(bps)表示)和密钥存储指标(一般以密钥对的数量表示)设定最小密码服务单元,该最小密码服务单元即为设定的密码资源池的标准密码服务单元,该标准密码服务单元包括密码运算指标和密钥存储指标。
步骤s12中,接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息。在设定了密码资源池的标准密码服务单元后,资源池中的密码设备根据自身的密码运算、密钥存储能力和标准密码服务单元设定的指标,以标准密码服务单元为标准调度单位,为每个标准密码服务单元启动容器运行密码服务代理,并以标准密码服务单元为单位上报空闲的标准密码服务单元以及正在运行的标准密码服务单元的使用率。
步骤s13中,将密码资源池与分布式协调服务系统进行信息同步,例如,可以将密码资源池的实例通过zookeeper或etcd等分布式协调服务系统的名字服务节点进行注册,通过与分布式协调服务系统的信息同步,更新密码资源池在分布式协调系统的状态信息,同时获得分布式协调服务系统上的密码服务客户端的密码服务资源申请信息和密码设备注册申请信息。密码资源池管理平台在云计算环境中可以部署多个实例,每个实例管理和调度一定数量的密码设备所构成的密码资源池,构成多个密码资源池并注册到分布式协调服务系统,形成密码资源池列表。
步骤s14中,接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请。密码服务客户端的密码服务资源申请也是以对称加解密、非对称加解密、签名验签等密码运算指标和密钥对数量等密钥存储指标来表示。不同的用户通过不同的密码服务客户端远程调用密码服务,密码服务客户端程序运行于用户的程序空间,负责从分布式协调服务系统的密码资源池列表中随机选择一个密码资源池进行密码运算和密钥存储资源的申请,进一步建立ssl(安全套接层协议)连接,并监控其状态。
这里,可以根据密码资源池中空闲的标准密码服务单元数量决定是否接受密码服务客户端的密码服务资源申请,对于超过密码资源池自身密码服务能力的申请进行拒绝。例如,如果空闲的标准密码服务单元的密码运算能力之和和密钥存储能力之和能够满足密码服务客户端的密码服务资源申请中的密码运算指标和密钥存储指标需求,则可以接受密码服务客户端的密码服务资源申请;如果空闲的标准密码服务单元的密码运算能力之和或者密钥存储能力之和小于密码服务客户端的密码服务资源申请中的密码运算指标或密钥存储指标需求,则拒绝该密码服务客户端的密码服务资源申请。
密码服务客户端在密码服务资源申请被拒绝或者当前连接的密码资源池因故障断开时,重新获取密码资源池列表并重新进行密码服务资源申请,建立新的连接。
步骤s15中,若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象。这里需要为每一个接受密码服务资源申请的密码服务客户端建立对应的独立密码服务对象,独立密码服务对象包括和该密码服务客户端建立的安全通道(ssl)、分配给该密码服务客户端的若干个标准密码服务单元建立的连接池、调用不同厂家密码设备的密码服务适配层以及对各种密码服务调用的历史/实时统计数据。例如,可以根据密码服务客户端的密码服务资源申请中的密码运算指标和密钥存储指标需求对标准密码服务单元中相应指标的最大倍数决定分配给密码服务客户端的标准密码服务单元数量。
如图2所示,本发明实施例二提供了另一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
s11:设定密码资源池的标准密码服务单元;
s12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
s13:将密码资源池与分布式协调服务系统进行信息同步;
s14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
s15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给该密码服务客户端的若干个标准密码服务单元建立的连接池;
s16:建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池;
s17:当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中;
s18:当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。
需要说明的是,实施例二与实施例一相比增加了步骤s16至s18,具体区别如下:
步骤s16中,建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。通过设置公共密码服务对象,既可以方便对空闲标准密码服务单元的管理,也可以用于补充独立密码服务对象的密码服务能力,实现了标准密码服务单元的灵活调度。
步骤s17中,当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。例如,当密码服务客户端的密码运算请求超过该密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元的密码运算能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入该密码服务客户端对应的独立密码服务对象中,为该密码服务客户端提供密码服务。
这里,优先提取与密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入该密码服务客户端对应的独立密码服务对象中。
步骤s18中,当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。例如,当密码服务客户端对应的独立密码服务对象中所包含的空闲密码服务单元连接闲置一段时间之后,可以根据密码服务资源请求将预设最低运算阈值之上部分的空闲标准密码服务单元放入公共密码服务对象之中。
如图3所示,本发明实施例三提供了另一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
s11:设定密码资源池的标准密码服务单元;
s12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
s13:将密码资源池与分布式协调服务系统进行信息同步;
s14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
s15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池;
s16:建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池;
s17:当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中;
s18:当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中;
s19:接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受密码设备的注册申请。
需要说明的是,实施例三与实施例二相比增加了步骤19,具体区别如下:
步骤s19中,接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受密码设备的注册申请。密码设备从分布式协调服务系统获取密码资源池列表,并随机选择密码资源池进行注册申请。密码资源池管理平台对于超过自身处理能力的密码设备的注册申请进行拒绝。例如,当密码资源池管理平台空闲的内存、cpu和网络连接等资源已经低于一定的阈值,拒绝该密码设备的注册申请。当密码资源池管理平台空闲的内存、cpu和网络连接等资源高于一定的阈值,接受该密码设备的注册申请,建立与该密码设备的连接。密码设备在注册申请被拒绝或者当前连接的密码资源池因故障断开时,重新获取密码资源池列表并重新选择其他密码资源池进行注册申请,建立新的连接。
如图4所示,本发明实施例四提供了一种密码资源池管理平台,该密码资源池包括至少一个密码设备,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、信息同步模块和密码服务客户端管理模块,其中:
密码资源池设置模块,用于设定密码资源池的标准密码服务单元;
密码设备监控模块,用于接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
信息同步模块,用于将密码资源池与分布式协调服务系统进行信息同步;
密码服务客户端管理模块,用于接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受该密码服务客户端的密码服务资源申请;若接受该密码服务客户端的密码服务资源申请,建立该密码服务客户端对应的独立密码服务对象;独立密码服务对象包括和分配给该密码服务客户端的若干个标准密码服务单元建立的连接池。
如图5所示,本发明实施例五在实施例四的基础上,提供了另一种密码资源池管理平台,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、信息同步模块、密码服务客户端管理模块和密码服务客户端监控模块,与实施例四的密码资源池管理平台相比,区别如下:
密码服务客户端管理模块,还用于建立密码资源池的公共密码服务对象,公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
密码资源池管理平台还包括密码服务客户端监控模块。该密码服务客户端监控模块,用于当密码服务客户端的密码资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。这里,优先提取与密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。
密码服务客户端监控模块,还用于当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。
如图6所示,本发明实施例六在实施例五的基础上,提供了另一种密码资源池管理平台,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、密码设备管理模块、信息同步模块、密码服务客户端管理模块和密码服务客户端监控模块,与实施例五的密码资源池管理平台相比,区别如下:
密码资源池管理平台还包括密码设备管理模块,该密码设备管理模块,用于接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受该密码设备的注册申请。
如图7所示,本发明实施例七为一种将本发明实施例的密码资源池管理平台应用在密码资源池管理系统的系统结构图。该密码资源池管理系统包括若干个密码资源池、若干个密码服务客户端、zookeeper集群和云管理平台。其中每个密码资源池包括密码资源池管理平台和若干个密码设备。
在云计算环境下,将所有的密码设备以及密码资源池管理平台统一划入一个独立的分区(availablezone),密码资源池管理平台作为每个密码资源池的调度器,实现所在云管理平台的管理规范和命令、服务、消息接口,接受云管理平台的管理和调度。密码资源池管理平台包括管理监控模块和信息同步模块,管理监控模块包括密码设备监控模块、密码设备管理模块、密码服务客户端管理模块和密码服务客户端监控模块。其中:
各密码资源池管理平台将各密码资源池的不同实例通过zookeeper或etcd等分布式协调服务系统的名字服务节点进行注册,并根据用户对密码运算和密钥存储的最低或平均需求,按照对称加解密、非对称加解密、签名验签等密码运算指标(以每秒交易数(tps)和运算量(bps)表示)以及密钥存储指标(密钥对数量)设定最小密码服务单元,即标准密码服务单元。密码资源池管理平台在云计算环境中可以部署多个实例,每个密码资源池管理平台实例管理和调度一定数量的密码设备,构成多个密码资源池实例。
密码设备从zookeeper或etcd等分布式协调服务系统的名字服务节点获取在线的密码资源池列表,并根据就近原则(同一机柜优先)随机选择密码资源池进行注册。密码设备根据标准密码服务单元中设定的密码运算和密钥存储能力指标以及本密码设备自身的密码运算部件和密钥存储部件最大能力指标,计算本密码设备支持的标准密码服务单元的最大数量(密码运算部件和密钥存储部件最大能力也是以对称加解密、非对称加解密、签名验签等密码运算指标和密钥对存储数量等密钥存储指标来表示,密码设备根据以上各项对标准密码服务单元中相应指标的最大倍数得出本密码设备支持的标准密码服务单元最大数量)并启动相同数量的容器运行密码服务代理。密码服务代理运行于密码设备上的容器中,接受所属密码资源池的密码资源池管理平台发过来的密码服务调用,对密码设备上的密码运算部件和密钥存储部件进行调用。密码服务代理根据标准密码服务单元的指标定义,对密码服务客户端请求的对称加解密、非对称加解密、签名验签等密码运算进行流控,超出标准密码服务单元处理能力的交易和数据将被排队等待并通知所属密码资源池的资源池管理平台从公共密码服务对象中进行调剂。
用户向云管理平台进行身份鉴别并申请密码服务资源,获得授权后得到密码资源使用令牌,该令牌包含用户身份、ip地址、密码运算和密钥存储资源需求等信息。用户再通过密码服务客户端从zookeeper或etcd等分布式协调服务系统获取在线的密码资源池列表,并随机选择密码资源池进行密码运算和密钥存储资源的申请。
密码资源池管理平台验证密码服务客户端提交的令牌,根据该密码资源池的空闲标准密码服务单元数量决定是否接受该密码服务客户端的密码服务资源申请,接受申请就为该密码服务客户端建立独立密码服务对象,并从注册到该密码资源池的密码设备中随机选择相应数量尚未分配的标准密码服务单元,建立到各标准密码服务单元对应的密码服务代理的连接并放入连接池待用。密码服务客户端和该密码资源池的密码资源池管理平台建立ssl连接进行密码服务的调用。
密码服务客户端和密码资源池管理平台建立ssl安全连接,通过密码服务客户端应用程序->密码服务客户端api->ssl通道->独立密码服务对象->密码服务代理->密码运算部件的调用链进行用户业务需要的密码服务调用。密码服务客户端负责与密码资源池管理平台建立安全并长期存在的ssl连接通道,将用户的应用通过密码服务客户端api传递的命令及参数、数据通过ssl通道传递给密码资源池管理平台并传回处理结果。命令传输方式采用rest或soap格式,参数与数据采用json或xml编码。用户的应用通过密码服务客户端api以及ssl通道传递到密码资源池管理平台的命令及参数、数据,在密码资源池管理平台通过调用密码服务适配层,根据所调用的不同厂家密码设备提供的不同接口和数据包格式进行转换和封装,然后通过独立密码服务对象中预先建立好的永久连接ssl通道传递给密码设备上的密码服务单元处理并传回处理结果。
本发明实施例的密码资源池管理平台,能够把多个逻辑上独立的密码设备组成密码资源池进行统一的调度和管理,接受云管理平台的调度和管理,接受不同用户的密码服务的调用,既保障了密码资源池的安全性,提高了密码服务的可用性,同时也降低了用户使用密码设备的难度。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。