1.本发明涉及计算机技术领域,特别涉及一种密码服务系统。
背景技术:
2.随着密码基础设施和密码应用技术的发展,密码安全相关设备的种类和数量越来越多,给运维管理带来了较大的难度。在密码服务系统较复杂的场景下,如何优化基础架构,提高部署运维灵活性,是本发明要解决的技术问题。
技术实现要素:
3.为了解决上述技术问题中的至少一个,本公开提供了一种密码服务系统。
4.第一方面,本发明实施例提供了一种密码服务系统,包括:用户交互层、密码应用服务层、业务服务层和系统资源层;
5.所述用户交互层包括密码管控模块、监控预警模块、数据分析模块、密钥管理模块、考核评估模块和密码设备管理模块的前端交互功能;
6.所述密码应用服务层包括统一证书管理服务模块、数据加解密服务模块、统一认证服务模块、统一签验服务模块、统一密钥管理服务和传输加解密服务模块,采用restfull接口实现;
7.所述业务服务层包括密钥管理模块、密码管控模块、监控预警模块、统计分析模块、通用密码资源调度模块、考核评估模块、密码设备管理模块的后台实现;
8.所述系统资源层包括密码机模块、数据库模块、redis缓存模块。
9.可选地,所述用户交互层采用b/s模式,通过html和ajax技术展示。
10.可选地,所述密码应用服务层为外部应用提供统一的密码应用调用接口。
11.可选地,所述业务服务层运行于java应用服务器上,并通过调用服务接入层restful服务组合实现复杂业务逻辑及业务流程。
12.可选地,所述系统资源层支持各类非对称密码运算和对称密码运算。
13.可选地,所述密钥管理模块,包括:创建密钥模块、密钥归档模块、dek密钥管理模块、kek密钥管理模块、预激活密钥管理模块、应用主密钥管理模块、密钥模板管理模块、密钥取证模块;
14.所述密码管控模块,包括:待办任务模块、密码管理业务模块、密码应用台账管理模块;
15.所述监控预警模块,包括:资源总览模块、信息发布模块、证书到期预警模块、异常行为监控预警模块、预警通知模块、服务接口调用监控模块、监控预警策略配置模块、设备状态监控预警模块;
16.所述统计分析模块,包括:日志审计模块、应用——服务量统计分析模块、设备——服务量统计分析模块、服务接口——服务量统计分析模块;
17.所述通用密码资源调度模块,包括:适配负载模块;
18.所述考核评估模块,包括:自评估模块、模板管理模块、评估考核模块、权重配置模块、考核项配置模块;
19.所述密码设备管理模块,包括:密码机管理模块、密码应用设备管理模块。
20.第二方面,本发明实施例提供了一种可读存储介质,其上具有可执行指令,当可执行指令被执行时,使得计算机执行包含上述模块的程序。
21.第三方面,本发明实施例提供了一种计算设备,包括:一个或多个处理器、存储器,以及一个或多个程序,其中,所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行包含上述模块的程序。
22.与现有技术相比,本发明至少具有以下有益效果:
23.通过各层对系统资源的划分,隔离层间变化,降低资源和子系统耦合,支持物理上部署运维的灵活性。逻辑模型综合了业务和技术视角来描述,提出每个层次实现的典型技术要求,以便于后续系统实现。
具体实施方式
24.为使本发明实施例的目的、技术方案和优点更加清楚,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
25.本发明实施例提供了一种密码服务系统,包括:用户交互层、密码应用服务层、业务服务层和系统资源层;
26.所述用户交互层包括密码管控模块、监控预警模块、数据分析模块、密钥管理模块、考核评估模块和密码设备管理模块的前端交互功能;
27.所述密码应用服务层包括统一证书管理服务模块、数据加解密服务模块、统一认证服务模块、统一签验服务模块、统一密钥管理服务和传输加解密服务模块,采用restfull接口实现;
28.所述业务服务层包括密钥管理模块、密码管控模块、监控预警模块、统计分析模块、通用密码资源调度模块、考核评估模块、密码设备管理模块的后台实现;
29.所述系统资源层包括密码机模块、数据库模块、redis缓存模块。
30.可选地,所述用户交互层采用b/s模式,通过html和ajax技术展示。
31.可选地,所述密码应用服务层为外部应用提供统一的密码应用调用接口。
32.可选地,所述业务服务层运行于java应用服务器上,并通过调用服务接入层restful服务组合实现复杂业务逻辑及业务流程。
33.可选地,所述系统资源层支持各类非对称密码运算和对称密码运算。
34.可选地,所述密钥管理模块,包括:创建密钥模块、密钥归档模块、dek密钥管理模块、kek密钥管理模块、预激活密钥管理模块、应用主密钥管理模块、密钥模板管理模块、密钥取证模块;
35.所述密码管控模块,包括:待办任务模块、密码管理业务模块、密码应用台账管理模块;
36.所述监控预警模块,包括:资源总览模块、信息发布模块、证书到期预警模块、异常
行为监控预警模块、预警通知模块、服务接口调用监控模块、监控预警策略配置模块、设备状态监控预警模块;
37.所述统计分析模块,包括:目志审计模块、应用——服务量统计分析模块、设备——服务量统计分析模块、服务接口——服务量统计分析模块;
38.所述通用密码资源调度模块,包括:适配负载模块;
39.所述考核评估模块,包括:自评估模块、模板管理模块、评估考核模块、权重配置模块、考核项配置模块;
40.所述密码设备管理模块,包括:密码机管理模块、密码应用设备管理模块。
41.本发明提供的系统具有如下特点:
42.1、用户交互层关注用户与系统人机交互,业务界面展现。前端展现采用b/s模式,通过html+ajax技术实现客户端页面的展示。各类管理员通过用户交互层来实现对密码服务系统各项服务的操作和管理。
43.采用此种设计实现前后端解耦,前端服务器放的是css、js、图片等系列静态资源,负责控制页面引用,跳转以及调用后端接口等职责;后端服务器则负责接口数据的处理、数据的提交、应答等职责。
44.2、密码应用服务层为外部应用提供了统一的密码应用调用接口。
45.密码应用服务层是以通用密码资源调度、成熟密码服务支撑为基础,以应用系统对于密码服务的需求为出发点,针对密码设备、成熟密码服务支撑系统提供的密码服务进行高度抽象、归纳和总结,封装出各类接口服务,对外提供统一的restful接口。
46.密码服务系统的后台实现包括业务功能层和业务支撑层两部分。
47.3、业务功能层提供服务的组合、调用和控制能力,以实现业务流程和组合服务功能的定义、运行和管理。业务功能层主要采用java语言实现,所有业务逻辑以业务微服务组件的形式部署运行于java应用服务器上,并通过调用服务接入层restful服务组合实现复杂业务逻辑及业务流程。
48.4、该层构建各类密码服务支撑所需的产品和系统,减少业务系统使用密码算法的复杂度。可以根据业务系统的需求进行动态扩充,提升密码服务的种类、能力和水平。业务支撑层包括电子印章系统、身份认证网关、签名服务器,时间戳服务器等。
49.5、系统资源层是密码服务系统整体框架的核心和基础,主要由各类密码机和密码资源管理系统组成,其中密码机主要是负责密钥的生成和存储以及相关的密码运算,支持常见的非对称密码运算和对称密码运算,涵盖国内通用的密码算法。在密码服务资源层部署通用密码资源调度模块,针对密码机资源的进行统一调配、监控,同时针对密钥和底层密码运算进行统一管理,承担密码服务资源层的管理和对密码服务支撑层提供服务。
50.应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、cd-rom、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
51.在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至
少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
52.以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
53.应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例中。然而,并不应将该发明的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面发明的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
54.本领域那些技术人员应当理解在本文所发明的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
55.本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书中发明的所有特征以及如此发明的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书中发明的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
56.此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
57.此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
58.如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
59.尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限
定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的发明是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。