CN109361517B - 一种基于云计算的虚拟化云密码机***及其实现方法 - Google Patents

一种基于云计算的虚拟化云密码机***及其实现方法 Download PDF

Info

Publication number
CN109361517B
CN109361517B CN201810953183.7A CN201810953183A CN109361517B CN 109361517 B CN109361517 B CN 109361517B CN 201810953183 A CN201810953183 A CN 201810953183A CN 109361517 B CN109361517 B CN 109361517B
Authority
CN
China
Prior art keywords
virtual
cipher
machine
management
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810953183.7A
Other languages
English (en)
Other versions
CN109361517A (zh
Inventor
王泉景
宋博
周晓刚
陈能
白志强
宋靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XI'AN DEAN INFORMATION TECHNOLOGY Co.,Ltd.
Original Assignee
Xi'an Dean Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Dean Information Technology Co ltd filed Critical Xi'an Dean Information Technology Co ltd
Priority to CN201810953183.7A priority Critical patent/CN109361517B/zh
Publication of CN109361517A publication Critical patent/CN109361517A/zh
Application granted granted Critical
Publication of CN109361517B publication Critical patent/CN109361517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种基于云计算的虚拟化云密码机***,包括物理模块、代理服务模块、虚拟密码机和安全API接口,所述代理服务模块一端与物理模块建立双向通信连接,另一端与通过虚拟化技术隔离出来的若干个相互独立的虚拟密码机建立双向通信连接,所述安全API接口,用于封装密码操作和内部的密钥管理,从而为虚拟密码机的客户端调用密码运算提供通道。本发明实现了将密码算法运算、资源管理以及密钥管理机制结合起来,使得密码技术的使用更集中、规范,也更易于管理,同时通过网络远程为用户分配密码机资源,并利用加密技术一次一密保证传输安全,从而确保了客户数据得到最高的安全性,确保了密钥的安全性。

Description

一种基于云计算的虚拟化云密码机***及其实现方法
技术领域
本发明涉及一种信息安全密码的技术领域,具体地说,是涉及一种基于云计算的虚拟化云密码机***及其实现方法。
背景技术
云计算是分布式计算、并行计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物,是一种按时、按量收取费用的网络服务形式,与传统的依赖于桌面资源的模式相比,在云中提供的计算资源属于社会基础设施的一部分,并且对信息技术和应用程序等会产生深厚的影响。云计算的不断发展正在改变着软件工程、网络核心和终端的资源配置以及信息与知识的兼并,云计算被看做继个人计算机的变革、互联网变革之后的第三次IT浪潮,它将带来生活、生产方式的商业模式的根本性改变,云计算深入地影响着个人,因此,云计算成为了当前全社会关注的热点。
此外,信息安全频繁地被作为国家安全重要组成部分提及,体现了我国不断加强对信息安全的重视程度,同时也凸显了信息安全问题的紧迫性。在我国早期的金融证券、数字认证、大型企业等商用密码应用领域,利用传统密码机对数据的安全进行保证。密码机是整个业务***安全的基础,同时由于安全合规的要求,一直以来都是以黑盒子的形式出现,并且其管理和使用有一套既定的模式,现有的密码机是针对企业或者政府部门设计的,已经不能满足云计算的需求,并且现有的密码机采用通用计算机加密码卡的方式实现的,这种方式有以下缺点:计算性能较低,通用计算机的CPU没有针对通信和密码进行优化;现有的密码卡通常不支持多线程加密模式,在多用户频繁切换加密请求的环境中,性能很低,通常在1Gbps以下;不支持在线更换密码算法,如果应用在云计算环境中,将极大提高***升级和维护的时间和成本;仅能采用简单的堆叠来进行扩展,堆叠时没有任务调度,多台密码机或多块密码卡之间没有状态同步和切换,无法实现线性扩展。
因此,在现有密码***无法满足云计算安全要求的情况下,为了推进云计算的建设,满足云计算环境的密码服务需求,针对涉密信息***信息安全工程中多类密码算法、多种密码务设备并存的现实,我们从应用、配置、管理、安全等方面开展面向云计算的高性能综合密码***研发与产业化工作和多密码服务的体系框架研究,研制能为业务***提供统一的云码服务、为管理***提供统一的云密码机设备管理接口的高性能综合密码***。
发明内容
本发明的目的在于提供一种基于云计算的虚拟化云密码机***及其实现方法,本发明使得密码技术的使用更集中、规范,也更易于管理,从而确保了客户数据能得到最高的安全性,确保了密钥的安全性。
为实现上述目的,本发明采用的技术方案如下:
一种基于云计算的虚拟化云密码机***,包括物理模块、代理服务模块、虚拟密码机和安全API接口,所述代理服务模块一端与物理模块建立双向通信连接,另一端与通过虚拟化技术隔离出来的若干个相互独立的虚拟密码机建立双向通信连接,其中,
所述物理模块包括数据库、***权限管理单元和虚拟密码机管理单元,并分别对所述***权限管理单元和所述虚拟密码机管理单元提供管理权限,进而将管理数据存储于所述数据库,并以密码服务的形式提供数据读取;
所述代理服务模块连接有密码卡,用于随机密钥的生成;
所述虚拟密码机包括密码运算服务模块、密钥管理单元和权限管理单元,并分别对所述密钥管理单元和所述权限管理单元提供管理权限;
所述密钥管理单元和所述权限管理单元与所述密码运算服务模块连接,用于对客户的密钥信息进行管理与分配;
所述虚拟密码机控制所述密码运算服务模块,用于密码运算服务,进而所述虚拟密码机的管理端通过网络协议对密码运算进行数据读取;
所述安全API接口与所述虚拟密码机连接,用于封装密码操作和内部的密钥管理,进而为所述虚拟密码机的客户端调用密码运算提供通道。
进一步地,所述虚拟密码机的管理端利用https协议与所述虚拟密码机建立通信链接,并通过ukey进行访问。
再进一步地,所述密码卡具有PCI-E接口,通过PCI-E接口服务连接至所述代理服务模块,实现随机密钥的数据交互。
再进一步地,所述密码运算服务模块包括:SM1对称分组密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法和SM4分组密码算法。
基于上述结构,本发明还公开了一种的基于云计算的虚拟化云密码机***的实现方法,包括如下步骤:
(1)物理模块发出的启动指令,启动并初始化密码卡,并循环对管理员或操作员的身份进行验证,直到验证通过,进而启动后台的服务主程序与启动***监控程序,并进入业务等待状态;
(2)物理模块发出的设置管理程序的指令,进而利用远程管理对管理程序进行配置,并存储于数据库,配置完成后退出管理程序;
(3)虚拟密码机接收到启动后台服务程序的指令,启动代理服务模块的密码卡,并循环对管理员或操作员的身份进行验证,直到验证通过,进而启动业务服务守候进程与启动***监控程序,并进入业务等待状态;
(4)虚拟密码机接收启动管理程序的指令,利用远程管理对虚拟密码机的管理程序进行配置,并存储于数据库,配置完成后退出管理程序;
(5)虚拟密码机的管理端发出启动服务子进程进行密码运算服务的请求,并通过虚拟密码机分析请求报文和运算类型,从而调用代理服务模块的密码卡进行密码运算,并将处理结果返回虚拟密码机;
(6)虚拟密码机再将处理结果返回虚拟密码机的管理端,从而完成此次密码运算服务,并将处理数据存储于物理模块的数据库内。
进一步地,所述步骤(5)中的通过虚拟密码机分析请求报文,判断此请求报文是否合法,合法,则虚拟密码机分析请求类型,不合法,则通过虚拟密码机组织响应报文。
再进一步地,所述步骤(5)中的通过虚拟密码机分析运算类型,判断此运算类型是否能识别,能识别,则虚拟密码机发送运算指令到代理服务模块,不能识别,则通过虚拟密码机组织响应报文。
与现有技术相比,本发明具有以下有益效果:
(1)本发明提供了基于云计算的虚拟化云密码机***,在一台高性能的云密码机上可以实现最多20个虚拟密码机,虚拟密码机以文件镜象形式存在于硬件密码机中或云存储中,云平台管理端可调用云密码服务平台的接口实现远程创建虚拟加密机镜象,远程调用不同的虚拟密码机镜象,实现虚拟密码机的自动化部署、启用、卸载、销毁等;
(2)本发明的虚拟密码机之间的采用了安全隔离,保证每个实例的独立性,当云加密平台物理设备故障时,虚拟密码机可“漂移”到其他物理平台,保证密码服务的高可用性;
(3)本发明的云密码机***使用了丰富的密码运算资源池,根据业务需求可实现虚拟化实例对密码资源占用的动态分配,云端业务的密码服务请求高峰时,云密码服务平台可实现动态增加密码运算资源以满足业务请求,当业务量降低时,释放多余的密码运算资源,这极大的节省了云计算平台的设备资源投入,解决了传统的密码机无法提供弹性的运算能力,要解决业务高峰问题只能增加设备投入,而业务进入访问低谷时,更多的设备处于空闲状态的问题;
(4)本发明的云密码机***解决了国家对密码业务的要求,金融数据计算、身份验证、签名验签等密码业务不能存在于一台设备中的问题,该***可通过虚拟化技术可以创建合规的各类密码机镜象,虚拟化实例根据业务需求可被设计成不同的业务类型,通过专有的安全隔离技术使金融数据计算加密类型、身份认证类型、签名验签服务类等以虚拟化实例的模式同时运行于一个硬件平台之中,这样即节省了设备投资,又减化了设备运行管理、又满足了不同的业务需求;
(5)本发明的云密码机***在提供了丰富的密码运算资源的同时,也提供了海量的密钥存储,基中对称密钥存储可达20万条,非对称密钥可达20万对。虚拟密码机的密钥存储也大大超过普通硬件加密机,基于云计算的密码机的海量存储,虚拟化实例可以设为不同的密钥存储量,更灵活、方便地满足业务需求;
(6)本发明具有较强的安全管理机制与创新性的备份恢复机制:通过管理员和操作员的分级权限管理,使得用户在需要时,可以获得最大的安全保证,在备份恢复过程中,采用(3,5)门限算法,既提高了安全性,也增强了易用性;
(7)本发明提供了安全密钥存储与程序保护机制:除公钥之外,云密码机内密钥绝不允许以明文形式输出设备外,使得用户的密钥得到最安全的保护;
(8)本发明还提供了支持国产密码算法:相比国外密码设备,该云密码机***支持我国自主的SM1、SM2、SM3、SM4密码算法,遵循了我国相关的行业标准。
附图说明
图1为本发明的方法流程图。
图2为本发明的***结构示意图。
图3为本发明的云密码机***启动流程图。
图4为本发明的云密码机***管理配置流程图。
图5为本发明的虚拟密码机启动流程图。
图6为本发明的虚拟密码机服务管理配置流程图。
图7为本发明的虚拟密码机业务处理流程。
具体实施方式
下面结合附图说明和实施例对本发明作进一步说明,本发明的方式包括但不仅限于以下实施例。
实施例
如图1所示,本发明公开的一种基于云计算的虚拟化云密码机***的实现方法,包括如下步骤:
(1)储于数据库,配置完成后退出管理程序;
(2)虚拟密码机接收到启动后台服务程序的指令,启动代理服务模块的密码卡,并循环对管理员或操作员的身份进行验证,直到验证通过,进而启动业务服务守候进程与启动***监控程序,并进入业务等待状态;
(3)虚拟密码机接收启动管理程序的指令,利用远程管理对虚拟密码机的管理程序进行配置,并存储于数据库,配置完成后退出管理程序;
(4)虚拟密码机的管理端发出启动服务子进程进行密码运算服务的请求,并通过虚拟密码机分析请求报文和运算类型,从而调用代理服务模块的密码卡进行密码运算,并将处理结果返回虚拟密码机;
(5)虚拟密码机再将处理结果返回虚拟密码机的管理端,从而完成此次密码运算服务,并将处理数据存储于物理模块的数据库内。
所述步骤(5)中的通过虚拟密码机分析请求报文,判断此请求报文是否合法,合法,则虚拟密码机分析请求类型,不合法,则通过虚拟密码机组织响应报文。
所述步骤(5)中的通过虚拟密码机分析运算类型,判断此运算类型是否能识别,能识别,则虚拟密码机发送运算指令到代理服务模块,不能识别,则通过虚拟密码机组织响应报文。
本实施例中,所述密码卡与所述虚拟密码机均具有秘密共享机制的备份和恢复功能。具体为:把备份/恢复密钥在密码卡内分割成五个密钥碎片,分别存入五张备份IC卡或智能Ukey内,备份完毕后将设备内备份密钥销毁,五张备份IC卡或智能Ukey交由五个备份管理员分别保管,当***发生故障时,五张备份IC卡或智能Ukey中的三张就可以重组备份密钥,将备份信息解密恢复到密码卡内,从而提高了密钥管理的安全性。
本实施例中,如图3所示,云密码机***具体启动流程如下:
(1)云密码机加电后,首先启动linux Centos7操作***,然后从指定配置文件中读取所需的运行参数;
(2)建立密码卡设备节点并加载驱动程序;
(3)通过与密码卡相连的IC卡读卡器循环验证操作员IC卡直至验证通过;
(4)启动业务服务守候进程即SERVER主程序,产生异常时将错误信息写入日志文件并退出本次启动;
(5)SERVER主程序完成启动后,启动***监控程序,并进入业务等待状态。
本实施例中,如图4所示,云密码机***管理流程具体操作如下,其中下文中虚拟密码机均用VSM表示:
(1)启动云密码机管理页面并建立https连接;
(2)如果设备尚未初始化则需进行设备初始化,然后初始化3-5个管理员;
(3)登录半数以上管理员获取管理权限;
(4)权限管理包括管理员管理和操作员管理,管理员管理包括管理员初始化、增加/删除、登录/登出等操作,操作员管理包括操作员初始化、登录/登出、增加等操作;
(5)服务管理包括启动/停止后台服务和设置服务连接密码等操作;
(6)设备管理包括查看/配置网络、服务器升级等操作;
(7)VSM管理包括VSM部署、启用、卸载、销毁的操作;
(8)完成配置后断开网络连接,退出管理程序。
本实施例中,如图5所示,虚拟密码机具体启动流程如下,其中:
(1)虚拟密码机接到启动命令后,启动密码卡代理服务,与云密码机代理服务建立链接;
(2)通过与密码卡相连的IC卡读卡器循环验证操作员IC卡直至验证通过;
(3)启动业务服务守候进程即SERVER主程序,产生异常时将错误信息写入日志文件并退出本次启动;
(4)SERVER主程序完成启动后,启动***监控程序,并进入业务等待状态。
本实施例中,如图6所示,虚拟密码机服务管理流程具体操作如下,其中下文中虚拟密码机均用VSM表示:
对VSM的管理主要分为设备管理、配置管理、日志管理、监控管理和权限管理几种,均以以下流程进行:
(1)启动VSM管理页面并建立https连接;
(2)如果设备尚未初始化则需进行设备初始化,然后初始化3-5个管理员;
(3)登录半数以上管理员获取管理权限;
(4)权限管理包括管理员管理和操作员管理,管理员管理包括管理员初始化、增加/删除、登录/登出等操作,操作员管理包括操作员初始化、登录/登出、增加等操作;
(5)服务管理包括启动/停止后台服务和设置服务连接密码等操作;
(6)设备管理包括查看/配置网络、服务器升级等操作;
(7)密钥管理包括SM2密钥的生成、删除、备份等操作;
(8)完成配置后断开网络连接,退出管理程序。
本实施例中,如图7所示,虚拟密码机业务处理流程如下,其中下文中虚拟密码机均用VSM表示:
虚拟密码机提供的非对称密钥的签名/验证、对称密钥的加密/解密、生成密钥、生成真随机数等业务请求,均以以下流程进行:(以下为虚拟密码机的一次业务处理流程)
(1)VSM正常启动后,处于业务等待状态,服务进程负责监听VSM业务主机请求,一直处于READY状态并不参与具体的业务处理流程;
(2)服务进程接收到VSM业务主机请求后,启动服务子进程进行实际的业务处理;
(3)VSM分析请求报文,如果为非法报文则将根据错误信息组织响应报文,如果报文合法,则分析运算类型;
(4)运算类型不可识别,则将根据错误信息组织响应报文;
(5)VSM运算类型可识别则根据运算类型进行各种密码运算:主要提供SM2 椭圆曲线算法的签名/验证、SM1/SM4分组算法加密/解密、SM3杂凑算法运算及随机数生成等功能;
(6)将请求报文转发给云密码机的代理服务;
(7)代理服务分析请求报文,如果为非法报文则将根据错误信息组织响应报文,如果报文合法,则分析运算类型;
(8)运算类型不可识别,则将根据错误信息组织响应报文返回VSM;
(9)代理服务运算类型可识别则根据运算类型进行各种密码运算:主要提供SM2椭圆曲线算法的签名/验证、SM1/SM4分组算法加密/解密、SM3杂凑算法运算及随机数生成等功能;
(10)代理服务将处理结果返回VSM;
(11)VSM将处理结果返回VSM业务主机;
(12)关闭服务子进程完成本次业务处理。
基于上述方法,本发明还提供了一种基于云计算的虚拟化云密码机***,如图2所示,包括物理模块、代理服务模块、虚拟密码机和安全API接口,所述代理服务模块一端通过socket协议与物理模块建立双向通信连接,另一端通过socket协议与通过虚拟化技术隔离出来的若干个相互独立的虚拟密码机建立双向通信连接,其中,
所述物理模块包括数据库、***权限管理单元和虚拟密码机管理单元,并分别对所述***权限管理单元和所述虚拟密码机管理单元提供管理权限,进而将管理数据存储于所述数据库,并以密码服务的形式提供数据读取;
所述代理服务模块连接有密码卡,用于随机密钥的生成;
所述虚拟密码机包括密码运算服务模块、密钥管理单元和权限管理单元,并分别对所述密钥管理单元和所述权限管理单元提供管理权限;
所述密钥管理单元和所述权限管理单元与所述密码运算服务模块连接,用于对客户的密钥信息进行管理与分配;
所述虚拟密码机控制所述密码运算服务模块,用于密码运算服务,进而所述虚拟密码机的管理端通过网络协议对密码运算进行数据读取;
所述安全API接口与所述虚拟密码机连接,用于封装密码操作和内部的密钥管理,进而为所述虚拟密码机的客户端调用密码运算提供通道。
所述虚拟密码机的管理端利用https协议与所述虚拟密码机建立通信链接,并通过ukey进行访问。
所述密码卡具有PCI-E接口,通过PCI-E接口服务连接至所述代理服务模块,实现随机密钥的数据交互。
所述密码运算服务模块包括:SM1对称分组密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法和SM4分组密码算法。
本发明基于云计算的云加密服务,将基本密码算法运算、资源管理以及密钥管理机制结合起来,使得密码技术的使用更集中、规范,也更易于管理,同时通过网络远程为用户分配密码机资源,并利用加密技术一次一密保证传输安全,从而确保了客户数据能得到最高的安全性,确保了密钥的安全性。
上述实施例仅为本发明的优选实施方式之一,不应当用于限制本发明的保护范围,但凡在本发明的主体设计思想和精神上作出的毫无实质意义的改动或润色,其所解决的技术问题仍然与本发明一致的,均应当包含在本发明的保护范围之内。

Claims (6)

1.一种基于云计算的虚拟化云密码机***,其特征在于,包括物理模块、代理服务模块、虚拟密码机和安全API接口,所述代理服务模块一端与物理模块建立双向通信连接,另一端与通过虚拟化技术隔离出来的若干个相互独立的虚拟密码机建立双向通信连接,其中,所述物理模块包括数据库、***权限管理单元和虚拟密码机管理单元,并分别对所述***权限管理单元和所述虚拟密码机管理单元提供管理权限,进而将管理数据存储于所述数据库,并以密码服务的形式提供数据读取;
所述代理服务模块连接有密码卡,用于随机密钥的生成;
所述虚拟密码机包括密码运算服务模块、密钥管理单元和权限管理单元,并分别对所述密钥管理单元和所述权限管理单元提供管理权限;
所述密钥管理单元和所述权限管理单元与所述密码运算服务模块连接,用于对客户的密钥信息进行管理与分配;
所述虚拟密码机控制所述密码运算服务模块,用于密码运算服务,进而所述虚拟密码机的管理端通过网络协议对密码运算进行数据读取;
所述安全API接口与所述虚拟密码机连接,用于封装密码操作和内部的密钥管理,进而为所述虚拟密码机的客户端调用密码运算提供通道;
所述基于云计算的虚拟化云密码机***的实现方法,包括如下步骤:
(1)物理模块发出的启动指令,启动并初始化密码卡,并循环对管理员或操作员的身份进行验证,直到验证通过,进而启动后台的服务主程序与启动***监控程序,并进入业务等待状态;
(2)物理模块发出的设置管理程序的指令,进而利用远程管理对管理程序进行配置,并存储于数据库,配置完成后退出管理程序;
(3)虚拟密码机接收到启动后台服务程序的指令,启动代理服务模块的密码卡,并循环对管理员或操作员的身份进行验证,直到验证通过,进而启动业务服务守候进程与启动***监控程序,并进入业务等待状态;
(4)虚拟密码机接收启动管理程序的指令,利用远程管理对虚拟密码机的管理程序进行配置,并存储于数据库,配置完成后退出管理程序;
(5)虚拟密码机的管理端发出启动服务子进程进行密码运算服务的请求,并通过虚拟密码机分析请求报文和运算类型,从而调用代理服务模块的密码卡进行密码运算,并将处理结果返回虚拟密码机;
(6)虚拟密码机再将处理结果返回虚拟密码机的管理端,从而完成此次密码运算服务,并将处理数据存储于物理模块的数据库内。
2.根据权利要求1所述的基于云计算的虚拟化云密码机***,其特征在于,所述虚拟密码机的管理端利用https协议与所述虚拟密码机建立通信链接,并通过ukey进行访问。
3.根据权利要求1所述的基于云计算的虚拟化云密码机***,其特征在于,所述密码卡具有PCI-E接口,通过PCI-E接口服务连接至所述代理服务模块,实现随机密钥的数据交互。
4.根据权利要求1所述的基于云计算的虚拟化云密码机***,其特征在于,所述密码运算服务模块包括:SM1对称分组密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法和SM4分组密码算法。
5.根据权利要求1所述的基于云计算的虚拟化云密码机***,其特征在于,所述步骤(5)中的通过虚拟密码机分析请求报文,判断此请求报文是否合法,合法,则虚拟密码机分析请求类型,不合法,则通过虚拟密码机组织响应报文。
6.根据权利要求1所述的基于云计算的虚拟化云密码机***,其特征在于,所述步骤(5)中的通过虚拟密码机分析运算类型,判断此运算类型是否能识别,能识别,则虚拟密码机发送运算指令到代理服务模块,不能识别,则通过虚拟密码机组织响应报文。
CN201810953183.7A 2018-08-21 2018-08-21 一种基于云计算的虚拟化云密码机***及其实现方法 Active CN109361517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810953183.7A CN109361517B (zh) 2018-08-21 2018-08-21 一种基于云计算的虚拟化云密码机***及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810953183.7A CN109361517B (zh) 2018-08-21 2018-08-21 一种基于云计算的虚拟化云密码机***及其实现方法

Publications (2)

Publication Number Publication Date
CN109361517A CN109361517A (zh) 2019-02-19
CN109361517B true CN109361517B (zh) 2021-09-07

Family

ID=65350211

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810953183.7A Active CN109361517B (zh) 2018-08-21 2018-08-21 一种基于云计算的虚拟化云密码机***及其实现方法

Country Status (1)

Country Link
CN (1) CN109361517B (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109936580A (zh) * 2018-11-26 2019-06-25 西安得安信息技术有限公司 面向智能终端及应用***的密码管理服务平台
CN110061983B (zh) * 2019-04-09 2020-11-06 苏宁云计算有限公司 一种数据处理方法及***
CN110300105B (zh) * 2019-06-24 2022-01-04 超越科技股份有限公司 一种网络密码机的远程密钥管理方法
CN110321695B (zh) * 2019-07-11 2021-07-20 成都卫士通信息产业股份有限公司 大数据***密码服务方法、装置
CN110837634B (zh) * 2019-10-24 2023-10-27 杭州安存网络科技有限公司 基于硬件加密机的电子签章方法
CN110851328B (zh) * 2019-11-12 2023-03-21 成都三零嘉微电子有限公司 一种密码卡在pkcs#11应用时异常掉电的检测方法
CN111245813B (zh) * 2020-01-07 2022-04-29 北京数字认证股份有限公司 密码资源池***、加密方法、电子设备及存储介质
CN111726227B (zh) * 2020-07-01 2023-12-12 上海瀚之友信息技术服务有限公司 一种企业内部公共服务的抽象接入平台实现方法及装置
CN112653701B (zh) * 2020-12-24 2023-03-14 北京安信天行科技有限公司 一种应用密码安全使用监测方法及***
CN113821305B (zh) * 2021-09-15 2023-02-10 ***数智科技有限公司 基于Docker的云密码服务调用方法及中间件***
CN113949551A (zh) * 2021-10-12 2022-01-18 中安网脉(北京)技术股份有限公司 一种基于通道隔离的虚拟化云密码服务***及其实现方法
CN114244565B (zh) * 2021-11-16 2023-09-19 广东电网有限责任公司 密钥分发方法、装置、设备及存储介质
CN114116059B (zh) * 2021-11-26 2023-08-22 北京江南天安科技有限公司 多级链式解压缩结构密码机的实现方法及密码计算设备
CN114741169B (zh) * 2022-03-30 2024-02-13 天津大学 负荷聚合公共服务平台异构密码计算服务多任务调度方法
CN115102786A (zh) * 2022-07-25 2022-09-23 江苏航天七零六信息科技有限公司 一种基于信创环境的电子政务国产云密码服务平台
CN115189896B (zh) * 2022-09-13 2023-01-03 中安网脉(北京)技术股份有限公司 一种虚拟云密码服务***及方法
CN116260595B (zh) * 2023-05-15 2023-07-25 豪符密码检测技术(成都)有限责任公司 一种云密码检测方法及***
CN116361776B (zh) * 2023-05-30 2023-08-25 三未信安科技股份有限公司 一种密码卡资源池化管理***、方法、存储介质及产品
CN117596000B (zh) * 2024-01-19 2024-03-22 三未信安科技股份有限公司 一种云服务器密码机主机与虚拟密码机通讯方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8488779B2 (en) * 2011-07-25 2013-07-16 Grey Heron Technologies, Llc Method and system for conducting high speed, symmetric stream cipher encryption
CN103634339A (zh) * 2012-08-22 2014-03-12 ***股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN105871540A (zh) * 2016-03-24 2016-08-17 北京江南天安科技有限公司 一种基于宿主机的密码机及密码运算实现方法
CN107623699A (zh) * 2017-10-23 2018-01-23 山东渔翁信息技术股份有限公司 一种基于云环境的加密***
CN108228316A (zh) * 2017-12-26 2018-06-29 成都卫士通信息产业股份有限公司 一种密码设备虚拟化的方法及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8488779B2 (en) * 2011-07-25 2013-07-16 Grey Heron Technologies, Llc Method and system for conducting high speed, symmetric stream cipher encryption
CN103634339A (zh) * 2012-08-22 2014-03-12 ***股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN105871540A (zh) * 2016-03-24 2016-08-17 北京江南天安科技有限公司 一种基于宿主机的密码机及密码运算实现方法
CN107623699A (zh) * 2017-10-23 2018-01-23 山东渔翁信息技术股份有限公司 一种基于云环境的加密***
CN108228316A (zh) * 2017-12-26 2018-06-29 成都卫士通信息产业股份有限公司 一种密码设备虚拟化的方法及设备

Also Published As

Publication number Publication date
CN109361517A (zh) 2019-02-19

Similar Documents

Publication Publication Date Title
CN109361517B (zh) 一种基于云计算的虚拟化云密码机***及其实现方法
US11586757B2 (en) Systems and methods for a cryptographic file system layer
AU2019381268B2 (en) Systems and methods for distributed data storage and delivery using blockchain
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
EP2834768B1 (en) Systems and methods for securing and restoring virtual machines
CN108462710B (zh) 认证授权方法、装置、认证服务器及机器可读存储介质
WO2021164166A1 (zh) 一种业务数据保护方法、装置、设备及可读存储介质
WO2020042798A1 (zh) 密码运算、创建工作密钥的方法、密码服务平台及设备
CN112615829A (zh) 一种终端接入认证方法及***
CN103780609A (zh) 一种云数据的处理方法、装置和云数据安全网关
JP4087149B2 (ja) ディスク装置共有システム、及び計算機
CN109729000B (zh) 一种即时通信方法及装置
CN117240625B (zh) 一种涉及防篡改的数据处理方法、装置及电子设备
CN103973715A (zh) 一种云计算安全***和方法
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
CN103888429A (zh) 虚拟机启动方法、相关设备和***
CN114244568A (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN113377784A (zh) 一种基于中间件的数据处理方法、***和存储介质
CN111190700B (zh) 针对虚拟化设备的跨域安全访问与资源控制方法
CN116366364A (zh) 一种用于云电脑的终端数据处理方法及***
CN111464543B (zh) 一种基于云平台的教学信息安全防护***
CN114154182A (zh) 信息的加密方法及装置、存储介质、电子装置
CN205430310U (zh) 一种数据存储装置
CN117997656B (zh) 一种工控数据全生命周期安全管控***
CN104105090A (zh) 终端和云***服务器以及其交互方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210615

Address after: Room 10701-7941, 7th floor, Ruiji building, 15 Gaoxin 2nd Road, Zhangba Street office, Gaoxin District, Xi'an City, Shaanxi Province, 710000

Applicant after: XI'AN DEAN INFORMATION TECHNOLOGY Co.,Ltd.

Address before: Room 22101, unit 2, Huixin ibc1 building, No.1 zhangbayi Road, high tech Zone, Yanta District, Xi'an City, Shaanxi Province, 710061

Applicant before: XI'AN DEAN INFORMATION TECHNOLOGY Co.,Ltd.

Applicant before: SHANDONG DEAN INFORMATION TECHNOLOGY Co.,Ltd.

Applicant before: BEIJING DEAN INFORMATION TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant