一种基于云计算技术的电子***安全中间件构建方法
技术领域
本发明涉及金融税控领域,具体地说是一种基于云计算技术的电子***安全中间件构建方法。
背景技术
目前,电子***以其低成本、易用、易维护等优势,已经成为全国***改革的必然趋势,但是其基于传统架构的安全支撑体系,在***建设过程中却不断地暴露出计算资源分配失衡、重复投资建设、***耦合度高等问题,甚至无法满足用户的大分散、小集中的业务分布模型,例如:
A.由于电子******属于交易型业务***,因此其存在业务高峰期、低谷期持续更迭的情况。在业务高峰期,其安全支撑体系业务请求急剧增加,***压力升高,不堪重负;而在业务低谷期,由于其安全支撑体系业务请求急剧减少,***大量计算资源又被闲置,造成资源浪费;
B.对于电子***用户大分散、小集中的业务分布模型,传统安全支撑体系由于缺乏必要的灵活性,因此无法进行有效支撑:对于绝大部分业务分散的纳税人,需要的是单线程的线上/线下安全服务;对于小部分业务集中的纳税人,需要的则是多线程的安全服务。传统安全架构体系的模式化建设方式,无法满足这种灵活多变的业务需求;
C.传统安全架构体系下,***间耦合度非常高,造成实施、维护非常复杂,无法进行热维护。
这些问题的存在,造成了电子***在推广过程中的迟滞,已经严重影响到***推广及客户满意度,成为制约电子***快速发展的瓶颈。
该发明提出了一种新的,使用云计算技术封装安全中间件的方法。通过该方法,使用云计算架构来构建安全中间件体系,利用其SAAS层的动态调整资源能力,保证安全计算服务合理分配计算资源;利用分布式计算技术,实现对基于PKI的安全服务重构,以进行计算调度和负载均衡;利用云端设备,针对不同业务分布模型的纳税人提供单线程(或多线程)的线上(或线下)安全服务;通过SOA服务方式,对外发布安全中间件服务接口(签名、验签、加密、解密、安全认证、安全时间等),降低***耦合度。以解决传统安全体系在电子***应用过程中所面临的问题。
发明内容
本发明涉及一种在税务行业内,使用云计算技术构建电子***安全中间件服务的方法,具体的说一种使用云计算技术构造安全中间件云安全服务,对云端安全KEY设备、安全服务器设备进行发行和管理,同时通过云计算技术中的资源调度服务,对其中存在业务高峰、低谷的服务模块进行计算资源平衡;采用专用通信协议向云端安全KEY设备进行证书、算法灌装,并通过设备对外发布API接口,为电子***用户提供线下的、可移动、单线程的安全服务;通过标准目录服务(LDAP)、证书状态查询服务(OCSP)对云端安全服务器设备进行证书同步,为电子***用户提供基于局域网的、多线程安全服务;由云安全服务、云端KEY设备、云端安全服务器共同组成云安全中间件的一种方法。
本发明的目的是按以下方式实现的,采用云计算技术来构造云计算应用平台的安全中间件云安全服务,服务包括云证书数据库服务、云目录服务LDAP、云证书状态查询服务OCSP、云端安全服务器设备管理服务、云签名和验签服务、云加密和解密服务、云身份认证服务,通过云计算技术中的资源调度服务,对其中存在业务高峰、低谷的签名和验签服务、加密和解密服务、身份认证服务进行计算资源平衡;通过云安全设备管理服务,对云端安全KEY设备、云端安全服务器设备进行发行和管理,云端安全KEY设备采用专用通信协议,从云安全服务进行证书、算法灌装;内有安全审计日志功能,对所有计算操作进行记录;对外发布API接口,为电子***用户提供线下的、可移动的安全服务;
云端安全服务器设备只能单线程进行单一任务处理,适用于业务分散的纳税人用户,云端安全服务器设备采用标准目录服务LDAP、证书状态查询服务OCSP与云安全服务进行证书同步,为电子***用户提供基于局域网的安全服务,可多线程批量处理用户的安全服务请求,适用于业务集中的用户;云安全服务、云端安全KEY设备、云端安全服务器共同组成云安全中间件,完成基于云计算技术的安全中间件服务。
构建云计算应用平台,包括云资源调度服务器、云应用服务器、云存储服务器、云门限加密服务器、云审计监控服务器,云计算应用平台提供IAAS、PAAS、SAAS层云服务,支持通用分布式计算或计算语言***运行。
在云计算应用平台基础上,构建云安全服务,该云安全服务包括云证书数据库服务、云目录服务LDAP、云证书状态查询服务OCSP、云安全设备管理服务、云签名和验签服务、云加密和解密服务、云身份认证服务;云安全服务运行在云平台SAAS层。
云安全服务采用分布式计算语言开发,可被云平台的SAAS层资源调度模块拆分为代码段或子程序,以形成代码镜像进行分布式计算或者形成服务负载均衡。
云安全服务支持基于PKI的安全体系;支持PKCS#11公钥加密标准;支持X.509格式的安全证书管理;支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装;以SOA形式对外发布签名和验签、加密和解密、身份认证接口服务API。
云端安全KEY设备,由证书灌装区、算法灌装区、安全审计区及COS等几部分组成;其中证书灌装区由COS通过专用通信协议进行X.509格式证书灌装,证书灌装完成后只能在安全KEY设备内进行实用,不可在设备外读取;算法灌装区与云安全服务支持的算法相同,可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装,被应用于签名和验签、加密和解密、身份认证服务;安全审计区用于记录安全审计日志。
云端安全KEY设备只能单线程进行单一安全任务处理,不可以同时对多个安全服务请求进行响应。
云端安全服务器设备,由云端证书数据库服务、云端目录服务LDAP、云端证书状态查询服务OCSP、云端安全审计服务、(签名和验签、加密和解密、身份认证的云端算法服务组成;由云端目录服务LDAP、云端证书状态查询服务OCSP与云安全服务进行证书及状态同步;证书由云端证书数据库服务进行统一管理,只可在设备内使用,不可在设备外读取;云端算法服务与云安全服务支持算法相同,可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装,被应用于签名和验签、加密和解密、身份认证服务;所有安全服务器的操作,由云端安全审计服务授权并进行纪录。
云端安全服务器设备多线程批量处理用户的安全服务请求,同时处理多笔安全服务业务。
纳税人在使用安全服务之前,需要到云安全服务的“云安全设备管理服务”模块中进行注册,并选择所使用的安全设备及安全服务类型,由云安全服务统一管理。
本发明的有益效果是:解决传统安全体系在电子***应用过程中所存在的计算资源分配失衡、重复投资建设、***耦合度高、无法有效满足业务分布模型等问题。
附图说明
图1是基于云计算技术的电子***安全中间件架构示意图;
图2是本发明所使用的云端KEY设备结构示意图;
图3是本法名所使用的云端安全服务器设备结构示意图。
具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
一种基于云计算技术的电子***安全中间件构建方法,是采用云计算技术来构造安全中间件云安全服务,包括云证书数据库服务、云目录服务LDAP、云证书状态查询服务OCSP、云安全设备管理服务、云签名和验签服务、云加密和解密服务、云身份认证服务等;通过云计算技术中的资源调度服务,对其中存在业务高峰、低谷的签名和验签服务、加密和解密服务、身份认证服务进行计算资源平衡;通过云安全设备管理服务,对云端安全KEY设备、安全服务器设备进行发行和管理。云端安全KEY设备采用专用通信协议,从云安全服务进行证书、算法灌装;内用安全审计日志功能,对所有计算操作进行纪录;对外发布API接口,为电子***用户提供线下的、可移动的安全服务;该设备只能单线程进行单一任务处理,适用于业务分散的纳税人用户。云端安全服务器设备采用标准目录服务LDAP、证书状态查询服务OCSP与云安全服务进行证书同步,为电子***用户提供基于局域网的安全服务,可多线程批量处理用户的安全服务请求,适用于业务集中的用户。由云安全服务、云端安全KEY设备、云端安全服务器共同组成云安全中间件,共同完成构建基于云计算技术的安全中间件服务的目的,其实现步骤如下:
1) 构建云计算应用平台,包括云资源调度服务器、云应用服务器、云存储服务器、云门限加密服务器、云审计监控服务器等,该平台提供IAAS、PAAS、SAAS层云服务,支持通用分布式计算或计算语言***运行;
2) 在云计算应用平台基础上,构建云安全服务,该云安全服务包括云证书数据库服务、云目录服务(LDAP)、云证书状态查询服务(OCSP)、云安全设备管理服务、云签名(验签)服务、云加密(解密)服务、云身份认证服务;云安全服务运行在云平台SAAS层;
3) 云安全服务采用分布式计算语言开发,可被云平台的SAAS层资源调度模块拆分为代码段或子程序,以形成代码镜像进行分布式计算或者形成服务负载均衡;
4) 云安全服务支持基于PKI的安全体系;支持PKCS#11公钥加密标准;支持X.509格式的安全证书管理;支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装;以SOA形式对外发布签名(验签)、加密(解密)、身份认证接口服务API;
5) 云端安全KEY设备,由证书灌装区、算法灌装区、安全审计区及COS等几部分组成;其中证书灌装区由COS通过专用通信协议进行X.509格式证书灌装,证书灌装完成后只能在安全KEY设备内进行实用,不可在设备外读取;算法灌装区与云安全服务支持的算法相同,可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装,被应用于签名和验签、加密和解密)、身份认证服务;安全审计区用于纪录安全审计日志;
6) 云端安全KEY设备只能单线程进行单一安全任务处理,不可以同时对多个安全服务请求进行响应;
7) 云端安全服务器设备,由云端证书数据库服务、云端目录服务LDAP、云端证书状态查询服务OCSP、云端安全审计服务、签名和验签、加密和解密、身份认证的云端算法服务组成;由云端目录服务LDAP、云端证书状态查询服务OCSP与安全服务进行证书及状态同步;证书由云端证书数据库服务进行统一管理,只可在设备内使用,不可在设备外读取;云端算法服务与云安全服务支持算法相同,可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装,被应用于签名和验签、加密和解密、身份认证服务;所有安全服务器的操作,由云端安全审计服务授权并进行纪录;
8) 云端安全服务器设备可以多线程批量处理用户的安全服务请求,同时处理多笔安全服务业务;
9) 纳税人在使用安全服务之前,需要到云安全服务的“云安全设备管理服务”模块中进行注册,并选择所使用的安全设备及安全服务类型,由云安全服务统一管理;
10) 纳税人在进行电子***业务时,根据所选中间件的安全服务类型,直接调用统一SOA API即可完成包括身份认证、签名验签、加密解密、安全时间等在内的各项服务。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。