CN111818081A - 虚拟加密机管理方法、装置、计算机设备和存储介质 - Google Patents

Abstract

本申请涉及云计算、云安全和虚拟化技术，特别涉及一种虚拟加密机管理方法、***、计算机设备和存储介质。该方法包括：接收用户端通过专用网络发送的业务请求；业务请求携带第一目标网络地址，第一目标网络地址是在部署虚拟加密机时分配的、且为虚拟加密机用于对外通信的专用网络下的网络地址；根据第一目标网络地址获取与虚拟加密机对应的安全组；通过安全组对业务请求进行过滤；将过滤后的业务请求根据第二目标网络地址进行转发，以将过滤后的业务请求发送至虚拟加密机；第二目标网络地址是硬件加密机虚拟出虚拟加密机时分配的、且为虚拟加密机对内通信的专用网络下的网络地址。采用本方法可避免因收到无效请求或遭受攻击而影响加密机性能。

Description

虚拟加密机管理方法、装置、计算机设备和存储介质

技术领域

本申请涉及云加密技术领域，特别是涉及一种虚拟加密机管理方法、装置、计算机设备和存储介质。

背景技术

在常见的保密通信场景中，通常采用硬件加密机进行私有化部署，然后对部署的加密机进行访问以实现相应的业务服务，如通过加密机分发的密钥对相应业务数据进行加密或签名，以确保业务数据的安全。然而，通过直接对加密机进行访问的方式，可能会使加密机收到众多无效的请求，以及容易使加密机遭受攻击而导致加密机的性能下降。

发明内容

基于此，有必要针对上述技术问题，提供一种能够避免因收到无效请求或遭受攻击而导致加密机性能下降的虚拟加密机管理方法、装置、计算机设备和存储介质。

一种虚拟加密机管理方法，所述方法包括：

接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；

根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；

通过所述安全组对所述业务请求进行过滤；

依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。

一种虚拟加密机管理***，所述***包括：

服务器，用于在接收到加密机部署请求时，从加密机资源池中选取虚拟加密机，根据所述虚拟加密机的加密机标识获取专用网络下的用于对外通信的第一目标网络地址，并建立所述第一目标网络地址与所述虚拟加密机之间的关联关系；以及，在硬件加密机虚拟出所述虚拟加密机时，根据所述加密机标识获取所述专用网络下的用于对内通信的第二目标网络地址，并建立所述第二目标网络地址与所述虚拟加密机之间的关联关系；根据所述虚拟加密机的网络隔离需求配置安全组；

网络设备，用于接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址；确定与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；

根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；

通过所述安全组对所述业务请求进行过滤；

依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；

根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；

通过所述安全组对所述业务请求进行过滤；

依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。

上述虚拟加密机管理方法、装置、计算机设备和存储介质，部署虚拟加密机，并在专用网络中为该虚拟加密机分配对外通信的第一目标网络地址以及对内通信的第二目标网络地址，以便用户端利用该第一目标网络地址发送业务请求，并通过第二目标网络地址将业务请求转发至虚拟加密机，从而避免用户端直接访问加密机，从而可以保证虚拟加密机的安全。此外，在将业务请求发送至虚拟加密机之前，还利用安全组对各业务请求进行过滤，从而可以避免恶意请求的入侵，以及避免无关或无效的无效请求的泛滥，保证了虚拟加密机的网络吞吐能力，有利于提高虚拟加密机的性能。

附图说明

图1为一个实施例中虚拟加密机管理方法的应用环境图；

图2为一个实施例中虚拟加密机管理方法的流程示意图；

图3为一个实施例中下发安全组步骤的流程示意图；

图4为一个实施例中显示虚拟加密机的页面示意图；

图5为一个实施例中选取安全组的界面示意图；

图6为一个实施例中安全组在VPC网络下利用出入站规则对VSM流量进行控制的结构示意图；

图7为一个实施例中虚拟加密机与VIP地址通信的结构示意图；

图8为另一个实施例中虚拟加密机管理方法的流程示意图；

图9为一个实施例中虚拟加密机发生异常时进行迁移步骤的流程示意图；

图10a为一个实施例中部署虚拟加密机步骤的流程示意图；

图10b为一个实施例中部署虚拟加密机步骤的流程示意图；

图11为一个实施例中加密机配置页面的示意图；

图12为一个实施例中***架构的结构示意图；

图13为一个实施例中用户端的架构的结构示意图；

图14为另一个实施例中部署虚拟加密机步骤的流程示意图；

图15为一个实施例中运营端的架构的结构示意图；

图16为一个实施例中业务流的架构的结构示意图；

图17为一个实施例中远程连接云端CVM的界面示意图；

图18为一个实施例中CVM管控虚拟加密机的登陆页面的页面示意图；

图19为一个实施例中部署加密机的装置的结构框图；

图20为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在本申请中，涉及到了云计算、云安全和虚拟化技术领域，首先分别对云计算、云安全和虚拟化技术进行介绍：

云计算(cloud computing)是一种计算模式，它将计算任务分布在大量计算机构成的资源池上，使各种应用***能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。

作为云计算的基础能力提供商，会建立云计算资源池(简称云平台，一般称为IaaS(Infrastructure as a Service，基础设施即服务)平台，在资源池中部署多种类型的虚拟资源，供外部客户选择使用。云计算资源池中主要包括：计算设备(为虚拟化机器，包含操作***)、存储设备、网络设备。

按照逻辑功能划分，在IaaS(Infrastructure as a Service，基础设施即服务)层上可以部署PaaS(Platform as a Service，平台即服务)层，PaaS层之上再部署SaaS(Software as a Service，软件即服务)层，也可以直接将SaaS部署在IaaS上。PaaS为软件运行的平台，如数据库、web容器等。SaaS为各式各样的业务软件，如web门户网站、***器等。一般来说，SaaS和PaaS相对于IaaS是上层。

云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全主要研究方向包括：1)云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2)安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3)云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

虚拟化技术(Virtualization)是一种资源管理(优化)技术，将计算机的各种物理资源(如CPU、内存以及磁盘空间、网络适配器等I/O设备)予以抽象、转换，然后呈现出来的一个可供分割并任意组合为一个或多个虚拟计算机的配置环境。虚拟化技术打破了计算机内部实体结构间不可切割的障碍，使用户能够以比原本更好的配置方式来应用这些计算机硬件资源。而这些资源的虚拟形式将不受现有架设方式，地域或物理配置所限制。虚拟化技术是一个广义的术语，根据不同的对象类型可以细分为：

平台虚拟化(Platform Virtualization)：针对计算机和操作***的虚拟化。

资源虚拟化(Resource Virtualization)：针对特定的***资源的虚拟化，如内存、存储、网络资源等。

应用程序虚拟化(Application Virtualization)：包括仿真、模拟、解释技术等，如Java虚拟机(JVM)。

采用虚拟化技术虚拟出不同类型的多个虚拟加密机，形成加密机资源池，用户可以向云平台申请该加密机资源池中的虚拟加密机。

此外，在阐述本申请提供的虚拟加密机管理方法之前，对所涉及的名词概念进行解释，具体如下：

云加密机，是指基于国密局认证的硬件加密机(Hardware Security Module，HSM)，利用虚拟化技术虚拟出对应类型的虚拟加密机，通过该虚拟出来的虚拟加密机可进行弹性化、高可用和高性能的数据加解密、密钥管理等云上数据安全服务。

云服务器(CVM)，是可扩展的计算服务，支持用户自定义资源：CPU、内存、硬盘、网络和安全等等，并可以根据业务需求发生变化。

私有云网络(Virtual Private Cloud，VPC)，是专属云上网络空间，为云平台或云***上的资源提供网络服务，不同私有云网络间完全逻辑隔离。私有云网络作为用户在云上的专属网络空间，用户可以通过软件定义网络的方式进行管理，以实现互联网协议(Internet Protocol，IP)地址、子网、路由表、网络访问控制列表(Access Control Lists，ACL)、流日志等功能的配置管理。私有云网络还支持多种方式连接互联网，如弹性IP、NAT网关等，并提供多种计费方式和带宽包帮用户节约成本。可以通过虚拟专用网络(VirtualPrivate Network，VPN)连接或专线接入连通云上用户本地的数据中心，灵活构建混合云。

分布式防火墙(Distributed Firewall，DFW)，是一种以安全组的形式，提供有状态的数据包过滤功能的虚拟防火墙，它用于设置单台或多台云资源的网络访问控制，是重要的网络安全隔离手段；同时也是用户之间云资源进行完全隔离的有效手段。分布式防火墙以安全组作为一个逻辑上的单位，可以提供给用户将同一地域内具有相同网络安全隔离需求的云资源实例加到同一个安全组内。用户可以通过安全组策略对云资源实例的出入流量进行安全过滤。其中，云资源实例包括但不限于：云服务器、弹性网卡实例、云加密机等。

本申请中的云平台所支持的虚拟加密机(virtual security module，VSM)类型：

金融数据加密机(EVSM)：满足《GM/T 0045-2016金融数据加密机技术规范》要求，可用于金融支付领域，确保金融数据安全，并符合金融磁条卡、IC卡业务特点，主要实现PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码管理功能的云加密实例。

通用服务器加密机(GVSM)：满足《GM/T 0030-2014服务器加密机技术规范》要求，提供国际和国内通用的密码服务接口，能独立或并行为多个应用实体提供密码服务和密钥管理服务的云加密实例。

签名验证服务器加密机(SVSM)：满足《GM/T 0029-2014签名验签服务器技术规范》要求，提供基于PKI体系和数字证书的数字签名、验证签名等运算功能，可以保证关键业务信息的真实性、完整性和不可否认性。

本申请提供的虚拟加密机管理方法，可以应用于如图1所示的应用环境中。其中，用户端102通过专用网络与云平台104进行通信。云平台104接收用户端102通过专用网络发送的业务请求；该业务请求携带第一目标网络地址，该第一目标网络地址是在部署虚拟加密机时分配的、且为虚拟加密机用于对外通信的专用网络下的网络地址；确定与虚拟加密机对应的安全组；该安全组是在部署虚拟加密机时，根据虚拟加密机的网络隔离需求配置的；通过所确定的安全组对业务请求进行过滤；将过滤后的业务请求根据第二目标网络地址进行转发，以将过滤后的业务请求发送至虚拟加密机；该第二目标网络地址是硬件加密机虚拟出虚拟加密机时分配的、且为虚拟加密机对内通信的专用网络下的网络地址。

其中，用户端102可以是用户侧的终端，如智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等；此外，该用户端102还可以是用户侧的服务设备，如业务服务器。

云平台104可以是由服务器、网络设备和加密机构成的云服务平台，可以提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务。该服务器可以是云服务器，可以支持用户自定义资源(如自定义CPU、内存、硬盘、网络和安全等等)的使用，并可以根据需求发生变化。该网络设备可以是专用网络中的设备，如VPC安全接入网关、VPC网关(即专用网络网关)、专用网络网关母机和底层物理网关等。该加密机可以是虚拟加密机或硬件加密机，该硬件加密机可以虚拟出多个虚拟加密机，而且虚拟加密机在进行业务服务时，运行于硬件加密机。该硬件加密机可以是由多个不同类型的硬件加密机所构成的加密机集群。

在一个实施例中，如图2所示，提供了一种虚拟加密机管理方法，该方法可以由云平台104执行，或由终端102与云平台104协同执行。以该方法应用于图1中的云平台104为例进行说明，该方法包括以下步骤：

S202，接收用户端通过专用网络发送的业务请求。

其中，该业务请求携带第一目标网络地址。第一目标网络地址可以是IP地址，是在部署虚拟加密机时分配的、且为虚拟加密机用于对外通信的专用网络下的网络地址。例如，该第一目标网络地址可以是在专用网络中为虚拟加密机申请的IP地址，该IP地址可称为VIP地址，可暴露给用户。在业务请求中，包含有作为目的地址的第一目标网络地址和源地址，该源地址为用户端的网络地址。

该业务请求可以是用于向云平台请求业务服务的数据请求包。在该业务请求中，可以携带业务数据，该业务数据可以指用于接受云平台服务的数据。如该业务请求携带待加密数据，以便云平台中的虚拟加密机对该待加密数据进行加密；又如该业务请求携带数字签名，以便云平台中的虚拟加密机对该数字签名进行验证。

该专用网络为私有云网络(即VPC网络)，在实际应用中，该专用网络可以是虚拟专用网络。

S204，根据所述第一目标网络地址获取与虚拟加密机对应的安全组。

其中，上述安全组是在部署虚拟加密机时，根据虚拟加密机的网络隔离需求配置的，是分布式防火墙的组成单位。安全组是一个逻辑上的分组，可以将同一使用区域内具有相同网络安全隔离需求的虚拟加密机加到同一个安全组内，可以通过安全组的策略对虚拟加密机的出入流量进行安全过滤。分布式防火墙由多个安全组构成，提供有数据包过滤功能，用于设置单台或多台虚拟加密机的网络访问控制，是网络安全隔离手段以及用户之间虚拟加密机进行完全隔离的有效手段。

在一个实施例中，云平台根据业务请求确定所要访问的虚拟加密机，根据该虚拟加密机的网络隔离需求获取对应的安全组。在部署虚拟加密机时，可以配置多个安全组，当用户端通过业务请求访问虚拟加密机时，可以通过配置的一个或多个安全组对业务请求进行过滤。

在一个实施例中，安全组的配置步骤包括：云平台接收安全组配置请求；根据安全组配置请求选择所要配置的至少一个安全组；建立虚拟加密机与安全组之间的关联关系，即将虚拟加密机添加至安全组的保护范围，以便对访问该虚拟加密机的数据包进行过滤。

在一个实施例中，当在加密机配置页面选取完虚拟加密机的基础参数和网络参数时，用户端返回控制台页面。此时，该控制台页面上展示有虚拟加密机的信息以及安全组的配置入口。该虚拟加密机的信息包括但不限于虚拟加密机的标识或名称、状态、内网IP地址、专用网络、类型、可用区、到期时间和硬件加密机的型号。

在一个实施例中，当检测到控制台页面上只针对配置入口的触发指令时，用户端进入安全组配置页面，该安全组配置页面中展示有多种安全组；当接收到用户端发送的安全组选择指令时，云平台根据该安全组选择指令选取指定的安全组，然后将所选择的安全组进行下发，如下发到对应服务器的服务中。

在一个实施例中，云平台可以将用户已部署的、具有相同网络安全隔离需求的虚拟加密机添加至下发的同一个安全组。

其中，上述将具有相同网络安全隔离需求的虚拟加密机添加至同一个安全组的步骤，指的是：将具有相同网络安全隔离需求的虚拟加密机纳入同一个安全组的保护范围，以使用该安全组对出入该虚拟加密机的额数据包进行安全过滤。

作为一个示例，对于安全组的配置和下发，其流程可以参考图3，用户通过用户端选定虚拟加密机后，点击配置安全组(如图4所示)，云平台获取所有的安全组，并将选取的安全组发送给用户端，以使用户端通过安全组配置页面显示所有的安全组，用户可在所有显示的安全组中选择所需要的安全组(如图5所示)；用户在点击确定按钮之后，产生下发指令，云平台将所选择的安全组进行下发。安全组在下发之后，该安全组在VPC网络下利用其出入站规则对VSM流量进行控制，具体可参考图6。其中，出入站规则可以指安全组对应的安全策略，即对业务请求进行何种方式的过滤，已滤除无效或具有安全隐患的请求。

其中，如图6所示，安全组可以对来自于SubnetB的数据包进行安全过滤，当通过安全过滤时，该数据包才能发送至虚拟加密机。此外，安全组还可以对虚拟加密机发送的数据包进行安全过滤，当通过安全过滤时，该数据包才能发送至SubnetB。

S206，通过安全组对业务请求进行过滤。

其中，对业务请求进行过滤是指将不符合访问条件的业务请求过滤掉，只保留符合访问条件的业务请求。

在一个实施例中，S206具体可以包括：在业务请求中，云平台通过该安全组将不符合预设业务类型的业务请求进行过滤。例如，对于金融业务类型，云平台将非金融业务类型的业务请求进行过滤，从而可以通过安全组阻止非金融业务类型的业务请求访问虚拟加密机。

在一个实施例中，S206具体可以包括：在业务请求中，云平台通过该安全组将源地址不属于部署时所设置的使用区域的业务请求进行过滤。例如，在部署虚拟加密机时，设置了该虚拟加密机的使用区域为X城市，那么，若云平台接收到Y城市的用户端所发送的业务请求时，可以通过安全组将该业务请求过滤掉，从而可以阻止来源于Y城市的业务请求访问该虚拟加密机。

在一个实施例中，S206具体可以包括：云平台通过该安全组对业务请求进行过滤，以滤除具有风险的业务请求。例如，该业务请求中，包含了具有安全隐患的木马或病毒程序，云平台则通过安全组将该业务请求过滤掉，从而可以阻止具有安全隐患的业务请求访问虚拟加密机。

S208，依据第一目标网络地址获取第二目标网络地址，将过滤后的业务请求根据第二目标网络地址进行转发，以将过滤后的业务请求发送至虚拟加密机。

其中，该第二目标网络地址是硬件加密机虚拟出虚拟加密机时分配的、且为虚拟加密机对内通信的专用网络下的网络地址。云平台中的硬件加密机在虚拟出虚拟加密机时，可以对该虚拟加密机绑定一个RSIP地址以用作该虚拟加密机的内部通信地址。第一目标网络地址和第二目标网络地址是一对网络地址，第一目标网络地址是虚拟加密机用来对外通信的，而第二目标网络地址是虚拟加密机用来对内通信的，即用户端可以通过暴露的第一目标网络地址向虚拟加密机发送业务请求，该业务请求到达专用网络网关时，通过对内通信的第二目标网络地址对该业务请求进行转发，从而实现对虚拟加密机的访问。

在一个实施例中，在过滤后的业务请求中，云平台将目的地址由原来的第一目标网络地址替换为第二目标网络地址，从而利用该第二目标网络地址对过滤后的业务请求进行转发，从而将过滤后的业务请求发送至虚拟加密机，实现对虚拟加密机的访问。

对用户端而言，访问第一目标网络地址即是访问了虚拟加密机，而真正的虚拟加密机则是通过第二目标网络地址与第一目标网络地址进行通信。例如，如图7所示，用户通过对外暴露的VIP地址访问虚拟加密机，云平台中的VPC网关在接收到用户的业务请求时，通过设置的VPC侧路由转发策略和UnderLay路由转发策略将业务请求发送至虚拟加密机的RSIP地址，实现对虚拟加密机的访问，从而获得虚拟加密机提供的服务。

为了更加清楚直观地了解上述虚拟加密机管理方法，结合具体的场景进行阐述，用户端通过VPN与云平台建立通信连接，结合图1、图7和图8，该虚拟加密机管理方法包括：

S802，用户端通过虚拟专用网络发送业务请求。

其中，该业务请求中携带了VIP地址，如图7所示，该VIP地址为192.168.1.1，其子网掩码的位数为24。

S804，VPC安全接入网关在接收到业务请求时，将该业务请求转发给云服务器(CVM)。

S806，云服务器接收到业务请求时，通过SubnetA网络将该业务请求发送至VPC网关。

S808，VPC网关在接收到携带VIP地址的业务请求后，通过安全组对接收的业务请求进行安全过滤。

S810，VPC网关利用RSIP地址将过滤后的业务请求通过专用网络网关(VPC-GW)母机和UnderLay物理网关转发至虚拟加密机。

其中，在转发过滤后的业务请求之前，将业务请求中的VIP地址更换为RSIP地址，然后利用RSIP地址转发该过滤后的业务请求。如图7所示，RSIP地址为10.1.1.1，其子网掩码的位数为24。

上述实施例中，部署虚拟加密机，并在专用网络中为该虚拟加密机分配对外通信的第一目标网络地址以及对内通信的第二目标网络地址，以便用户端利用该第一目标网络地址发送业务请求，并通过第二目标网络地址将业务请求转发至虚拟加密机，从而避免用户端直接访问加密机，从而可以保证虚拟加密机的安全。此外，在将业务请求发送至虚拟加密机之前，还利用安全组对各业务请求进行过滤，从而可以避免恶意请求的入侵，以及避免无关或无效的无效请求的泛滥，保证了虚拟加密机的网络吞吐能力，有利于提高虚拟加密机的性能。

在一个实施例中，如图9所示，该方法还可以包括：

S902，获取虚拟加密机的运行信息。

其中，运行信息可以是虚拟加密机在运行过程中所产生的信息，根据该运行信息可以判断虚拟加密机是否发生异常。

S904，根据运行信息判断虚拟加密机是否发生异常。

S906a，若已部署的虚拟加密机为至少两个、且根据运行信息确定已部署的虚拟加密机中处于使用状态的虚拟加密机发生异常，在已部署的虚拟加密机中选取未发生异常的目标虚拟加密机。

其中，通信连接是基于专用网络建立的连接。

S908a，将与处于使用状态的虚拟加密机之间的通信连接进行迁移，以与目标虚拟加密机建立通信连接。

S906b，若已部署的虚拟加密机为至少一个、且根据运行信息确定虚拟加密机发生异常，从加密机资源池中选取未发生异常的目标虚拟加密机。

其中，当前所要访问的虚拟加密机即为已部署的虚拟加密机。

S908b，将与虚拟加密机之间的通信连接进行迁移，以与目标虚拟加密机建立通信连接。

在一个实施例中，云平台根据运行信息判断虚拟加密机是否发生异常，若是，则将基于专用网络与虚拟加密机之间的通信连接进行迁移，以使云平台中的专用网络网关与未发生异常的目标虚拟加密机进行通信连接。在迁移之后，将迁移后的目标虚拟加密机的第一目标网络地址告知用户端，以使用户端使用目标虚拟加密机的第一目标网络发送业务请求，然后基于目标虚拟加密机的第二目标网络转发业务请求，从而实现对目标虚拟加密机的访问。

在一个实施了中，上述将基于专用网络与虚拟加密机之间的通信连接进行迁移的步骤，具体可以包括：云平台中的专用网络网关基于专用网络建立与未发生异常的目标虚拟加密机之间的通信连接，并断开与虚拟加密机之间的通信连接。

在一个实施例中，若根据运行信息确定虚拟加密机发生异常，云平台可以向用户端和/或运营端发送提示信息，以便用户端和/或运营端进行提示。其中，该提示的呈现形式可以是以文本方式显示，和/或以语音方式播报，和/或以闪烁虚拟加密机的标识等方式。

其中，加密机资源池是由不同类型的虚拟加密机所形成，如分别由EVSM、GVSM和SVSM等类型的多个虚拟加密机所组成。不同类型的虚拟加密机可以是同一个硬件加密机虚拟而成，或由不同类型的硬件加密机虚拟而成。

上述实施例中，当处于使用状态的虚拟加密机发生异常时，可以及时地进行迁移，以及时与未发生异常的目标虚拟加密机进行通信连接，做到以最小代价保证用户的业务服务最快恢复。此外，还可以在发生异常时，实时进行提示，以便可以及时地进行异常排查。

在一个实施例中，如图10a所示，该方法还可以包括：

S1002，接收加密机部署请求。

在一个实施例中，云平台接收用户端从加密机配置页面触发的、携带配置参数的加密机部署请求。其中，该配置参数包括加密机类型、虚拟加密机的基础参数和网络参数。

其中，加密机配置页面可以是用于选择基础参数和网络参数的页面。基础参数包括使用区域(也即可用地域)和部署数量以及其它默认参数等；网络参数如专用网络参数和子网参数，例如，如图11所示，该专用网络参数可以是vpc-kohin2n|test_chsm_vpc，子网参数如可以是subnet-n0ball4|test_chsm_subnet。

其它默认参数包括虚拟加密机的运算性能、加密算法以及虚拟加密机对应的硬件加密机的生厂商标识和型号等。该运算性能包括但不限于：数据通信协议(如TCP/IP)、最大并发连接数(如64)、SM1加密运算性能(如4000次/秒)、SM2签名运算性能(如2300次/秒)、SM2验签运算性能(如1600次/秒)、RSA2048公钥运算性能(如2400次/秒)和RSA2048私钥运算性能(如200次/秒)。加密算法包括但不限于：对称算法(如SM1/SM4/DES/3DES/AES)、非对称算法(如SM2、RSA1024、RSA 2048)和摘要算法(如SM3、SH1/SHA256/SHA384)，如图11所示。

在一个实施例中，用户端登录加密机提供方的管理网页，在该管理网页中查找到云加密机产品，当接收到对该云加密机产品的触发指令时，进入控制台页面，在该控制台页面选择加密机的使用区域，然后在检测到新建指令时，进入加密机配置页面，以便在该加密机配置页面选择对应的配置参数。或者，当接收到对该云加密机产品的触发指令时，直接进入加密机配置页面。

其中，该管理网页可以是加密机提供方的官方网站对应的页面。

在一个实施例中，上述在该加密机配置页面选择对应的配置参数的步骤之后，该方法还可以包括：在选择完部署数量和使用区域之后，云平台根据数量、地域和虚拟加密机的类型中的至少一种数据确定待转移的数额；当在加密机配置页面触发确认按钮(如图11中的立即开通按钮)时，从用户账户中转移数额的数值资源至指定账户。

其中，该数值资源可以指：用于在获得虚拟加密机以进行业务服务时，所要支付的等价资源。该数值资源具体可以是支付虚拟加密机的资金，该资金可以是电子红包、电子购物券和电子货币等。

具体地，上述根据数量、类型和地域中的至少一种数据确定待转移的数额的步骤，具体可以包括：云平台根据部署数量确定待转移的数额，或根据加密机类型确定待转移的数额，或根据虚拟加密机使用的地域确定待转移的数额，或根据部署数量和加密机类型确定待转移的数额，或根据部署数量和使用的地域确定待转移的数额，或根据加密机类型和使用的地域确定待转移的数额，或根据部署数量、加密机类型和使用的地域确定待转移的数额。

S1004，从加密机部署请求中提取加密机类型、基础参数和网络参数。

S1006，根据加密机类型从加密机资源池中选取虚拟加密机。

在一个实施例中，当部署数量为一个时，云平台根据加密机部署请求中携带的加密机类型从加密机资源池中选取虚拟加密机。

在一个实施例中，当部署数量为至少两个时，云平台根据加密机部署请求中携带的加密机类型，从加密机资源池中选取由不同的硬件加密机虚拟而成的虚拟加密机。从而使用户部署的虚拟加密机离散分布，以便在加密机运行过程中，当其中一个硬件加密机发生异常时，只会影响该硬件加密机虚拟而成的虚拟加密机，而由其它硬件加密机虚拟而成的虚拟加密机正常运行，不会影响到整个业务的执行。

S1008，根据加密机部署请求对所选取的虚拟加密机配置基础参数和网络参数，得到已部署的虚拟加密机。

其中，加密机资源池是由不同类型的虚拟加密机所形成。该基础参数用于确定虚拟加密机的部署数量和使用区域；该网络参数用于确定用户端访问虚拟加密机时所采用的专用网络。

在一个实施例中，云平台根据加密机部署请求携带的基础参数，对所选取的虚拟加密机配置使用区域、部署数量等。云平台根据加密机部署请求携带的网络参数，为所选取的虚拟加密机选择对应类型的专用网络，如虚拟专用网络，从而得到已部署的虚拟加密机。

在一个实施例中，S1008之后，该方法还可以包括：云平台读取虚拟加密机的索引信息；根据索引信息获取加密机标识；根据加密机标识确定第一目标网络地址，并建立第一目标网络地址与虚拟加密机之间的关联关系。

其中，索引信息是用于索引虚拟加密机的信息。在部署了虚拟加密机(即购买了该虚拟加密机，并配置了基础参数和网络参数)之后，云平台还会为该虚拟加密机分配用于外部通信的第一目标网络地址，以及配置路由转发策略。加密机标识可以指虚拟加密机在云加密***上的唯一标志符。

在一个实施例中，云平台在分配第一目标网络地址之前，获取专用网络对应的专用网络参数和子网参数，将加密机标识与专用网络参数和子网参数进行绑定，从而可以确定该部署的虚拟加密机应用于专用网络参数和子网参数对应的专用网络。然后，云平台向虚拟加密机分配与专用网络参数对应的专用网络下的第一目标网络地址。

在一个实施例中，该方法还包括：云平台获取第一端口配置请求，在与虚拟加密机的服务端口对应的候选标识中，根据第一端口配置请求选取第一公开标识，即通过第一目标网络地址向用户端暴露虚拟加密机的服务端口，该第一公开标识用于表示用户端可以通过第一目标网络地址和服务端口号访问服务端口。S202具体可以包括：云平台基于虚拟加密机的服务端口接收用户端通过专用网络发送的业务请求。其中，该业务请求中还包含端口号，该端口号为服务端口号或管控端口号。

在一个实施例中，该方法还包括：云平台获取第二端口配置请求；在与虚拟加密机的管控端口对应的候选标识中，根据第二端口配置请求选取第二公开标识；其中，第二公开标识用于表示用户端通过第一目标网络地址和管控端口号访问管控端口；管控端口用于接收用户端发送的管控请求，管控请求用于用户端对虚拟加密机进行管理和控制。其中，分配第一目标网络地址过程也属于虚拟加密机的部署过程。上述对虚拟加密机的管控端口配置第二公开标识的步骤，即为云平台通过第一目标网络地址向用户端暴露虚拟加密机的管控端口。

在一个实施例中，S1008之后，该方法还可以包括：云平台接收安全组配置请求；根据安全组配置请求选择所要配置的至少一组安全组；将虚拟加密机添加至该安全组。其中，安全组的配置过程也属于虚拟加密机的部署过程。

在一个实施例中，云平台将已部署的、具有相同网络隔离需求的其它虚拟加密机添加至该安全组。

在一个实施例中，云平台确定该虚拟加密机的使用区域，当其它用户端部署虚拟加密机时，还可以将该使用区域内其它用户端部署的、且网络安全隔离需求相同的虚拟加密机添加至该安全组。

在一个实施例中，云平台接收用户端通过专用网络发送的业务请求之前，接收用户端发送的用于添加路由转发策略的策略添加请求；根据策略添加请求在路由表中添加第一路由转发策略和第二路由转发策略；其中，第一路由转发策略，用于将发送至第一目标网络地址的业务请求转发至网络设备中的专用网络网关母机；第二路由转发策略，用于根据第二目标网络地址将业务请求从专用网络网关母机向虚拟加密机进行转发。

为了更加清楚地了解加密机的部署(包括配置虚拟加密机的基础参数、网络参数、目标网络地址和安全组)，这里以EVSM为例进行阐述，如图10b所示，具体内容如下所述：

S1012，用户端登录加密机的官方网站，查找到加密机产品。

在登录加密机的官方网站之后，在该官方网站的相应页面中找到加密机产品，并点击或触摸该加密机产品，从而进入控制台页面，在该控制台页面选择加密机的使用区域(即可用地域)，然后在检测到新建指令时，进入加密机配置页面。如图11所示，若在该控制台页面选择加密机的使用区域为重庆，则在加密机配置页面中显示使用区域为重庆；此外，在加密机配置页面中还可以对使用区域进行重新选择。

S1014，用户端根据实际的业务需求选取对应类型的虚拟加密机。

其中，不同类型的虚拟加密机包括：金融数据加密机(EVSM)、通用服务器加密机(GVSM)和签名验证服务器(SVSM)。

如图11所示，在加密机配置页面中，用户可以根据实际的业务需求选择加密机类型，所选择的加密机类型为金融数据加密机EVSM；此外，用户还可以选择私有云网络，该私有云网络的专用网络参数为vpc-kohin2n|test_chsm_vpc，相应子网的子网参数为subnet-n0ball4|test_chsm_subnet。其中，该私有云网络是专属云上网络空间，为云上资源(如虚拟加密机)提供网络服务，不同私有云网络间完全逻辑隔离。

在加密机配置页面中，用户可以选择虚拟加密机的部署数量，在确定部署数量之后，将会根据部署数量确定费用，或者根据可用地域、加密机类型和使用时长中的任一种和部署数量确定费用。

S1016，云平台对虚拟加密机进行初始化。

用户可以在VPC网络中为虚拟加密机申请IP地址(即上述的第一目标网络地址)，该IP地址可称为VIP地址，可暴露给用户。此外，虚拟加密机在初始化时，可以对应有一个内网IP地址(也称为RSIP地址，即上述的第二目标网络地址)。然后，用户可以为虚拟加密机添加VPC路由转发策略、添加底层(UnderLay)路由转发策略以及下发安全组。其中，安全组是网络安全隔离手段，同时也是用户之间云资源进行完全隔离的有效手段，该安全组中设置了出入站规则，即何种数据可以进出虚拟加密机，以及来自于什么源地址的数据可以进出入虚拟加密机，从而将业务侧认为无效或无关的数据进行过滤，保证虚拟加密机的访问安全。

S1018，云平台通过虚拟加密机为用户提供业务服务。

对用户而言，访问VIP即是访问了虚拟加密机，而真正的虚拟加密机则通过其初始化时内置的RSIP地址与VIP地址通信，如图7所示，用户通过对外暴露的VIP地址访问虚拟加密机，云平台中的VPC网关在接收到用户的业务请求时，通过设置的VPC侧路由转发策略(即上述的第一路由转发策略)和UnderLay路由转发策略(即上述的第二路由转发策略)将业务请求发送至虚拟加密机的RSIP地址，从而实现利用虚拟加密机提供服务。

上述实施例中，在需要部署虚拟加密机时，通过加密机配置页面即可按照预设业务得到对应的虚拟加密机，无需进行任何的硬件评估，操作简单。此外，通过加密机配置页面选择虚拟加密机的基础参数和网络参数，通过云平台进行参数配置，然后为配置了参数后的虚拟加密机设置安全组，即可完成虚拟加密机的整个部署流程，无需对虚拟加密机进行任何调试即可使用，有效地提高了加密机的部署效率。为虚拟加密机设置安全组，可以确保业务数据的安全，同时可以避免无关或无效的广播/多播数据包的泛滥，保证了虚拟加密机的网络吞吐能力。

作为一个示例，从***架构和该***架构下的租户端、运营端和业务平台阐述上述部署加密机的方案。其中，***架构如图12所示，该***架构中包括租户端、运营端和云平台，该云平台包括业务流端和硬件加密机。该业务流端包含云服务器(CVM)、VPC网络下的网络设备和由硬件加密机所虚拟的虚拟加密机。

其中，用户端(也即租户端)的架构可以灵活支持多地域、多机型的用户交互体验，用户可以轻松查看，管理海量的虚拟加密机；此外，也可以对该虚拟加密机进行访问以获得对应的业务服务。其中，该租户端的架构如图13所示。租户端的架构包括租户端控制台、云应用接口、租户端控制台后台服务、VPC模块、DFW模块、HSM模块、DB(database，数据库)模块、计费模块和购买模块。

此外，租户端提供了对用户侧加密机快速部署的能力，用户在点击创建资源后，租户端可以快速地将用户的虚拟加密机部署到位，部署的过程如图14所示，具体内容如下所述：

(1)根据部署数量和使用时长确定部署费用。

询价确认是指用户在选定好所要购买的加密机类型、部署数量以及所要部署的使用区域后，进行价格确认的步骤，这个步骤是为用户分配虚拟加密机的前置步骤，需要用户主动在加密机配置页面(如图11所示的页面)进行确认点击；云平台中的虚拟加密机部署简单，且每台虚拟加密机费用相比较于传统的硬件加密机更优惠，更节省运维成本。

(2)检查加密机资源池中的加密机数量是否足够

云平台使用加密机虚拟化技术，能够在一次性虚拟化多种类型的虚拟加密机形成加密机资源池。用户在需要部署时，云平台判断加密机资源池中的加密机数量是否大于或等于部署数量是否足够，若是，则直接从该资源池中快速分配虚拟加密机，无需等待，加密机资源池拓展方便且灵活，相较于硬件加密机采购初始化需要以天为单位的时间成本，云平台的资源分配时间可以实现秒级分配，便捷高效。

同时，在部署虚拟加密机时，云平台根据加密机资源池中各虚拟加密机的分布情况，自动为用户分配虚拟加密机，确保用户在购买多台虚拟加密机时，能够让用户的虚拟加密机离散化分布(即由不同硬件加密机所虚拟出来的虚拟加密机)，以尽可能保证当其中一台虚拟加密机宕机时，用户其它的虚拟加密机仍可以提供业务服务。

在每次初始化加密机资源池时，云平台能够自动分配与虚拟加密机一一绑定的内网IP地址，该IP地址用作虚拟加密机唯一对外服务的通信地址。

每台虚拟加密机都有独特的服务端口与管控端口，且仅通过内网IP地址对外暴露其服务端口和管控端口，而其它不相干的端口一律不对外暴露，从根源上尽可能保证加密机本身的安全，避免被入侵或因为过多无效报文产生的报文洪水导致加密机性能下降。

(3)在数据库中更改虚拟加密机的状态

云平台将已分配的虚拟加密机更改为已售卖状态(也即分配状态)。对于已售卖的虚拟加密机均会做索引记录，以方便对云平台中处于已售卖状态、未售卖状态、已退还状态和已故障状态进行对账盘点，可以实现为每一笔购买请求订单快速筛选分配的虚拟加密机。

(4)读取处于已售卖状态的虚拟加密机的索引信息

检索当前处于已售卖状态的虚拟加密机的索引信息，获取其在云平台的唯一标识，为申请VIP地址做准备。

(5)在VPC网络中为虚拟加密机申请VIP地址

鉴于虚拟加密机的特殊性(敏感性、保密性)，云平台获取VPC网络下的VIP地址(即上述的第一目标网络地址)，并建立VIP地址与虚拟加密机之间的关联关系，即通过VPC网络申请VIP地址，并将该VIP地址暴露给用户。对于用户而言，访问VIP地址即是访问了虚拟加密机，而真正的虚拟加密机则通过内网IP地址(简称RSIP，即上述的第二目标网络地址)与VIP地址通信。此外，用户可以通过VPC网络和DFW的灵活组合，设置更安全、更适用于业务场景的虚拟加密机管理策略。

(6)为虚拟加密机添加VPC侧的路由转发策略(即第一路由转发策略)

生成第一路由转发策略，为虚拟加密机添加由VIP地址到VPC-GW母机的第一路由转发策略，为VIP地址到UnderLay网络打通路由策略；这一步骤将会设定能够访问到UnderLay的VIP地址及其端口，仅将必要的业务流量转发的UnderLay网络层，为VPC网络访问UnderLay网络提供基础，同时也有效的避免了无关或无效的网络广播/多播报文在VPC网络内的泛滥，保证了VPC网络的吞吐性能。

(7)为虚拟加密机添加底层的路由转发策略(即第二路由转发策略)

生成第二路由转发策略，该第二路由转发策略用于为VIP地址与VSM内置的RSIP地址之间实现通信，这一步将会精细化的限定访问到虚拟加密机的VIP地址以及其端口，避免虚拟加密机接收到无效的网络广播/多播报文，进一步保证了VPC网络吞吐的性能。

(8)选取并下发安全组

在分配完成虚拟加密机以及打通VPC网络后，可以根据业务特性选取安全组并下发，以过滤更多无效或无关的网络报文，进一步的提高虚拟加密机对业务能力的吞吐性能，保证虚拟加密机的访问安全。安全组在下发之后，该安全组在VPC网络下利用其出入站规则对VSM流量进行控制，具体可参考图6。

运营端的架构采用全局架构设计模式，如图15所示，该运营端的架构中包括运营端控制台、云应用接口、运营端工具服务(Cloud HSM-Tools-Service)、运营端控制台后台服务(Cloud HSM-Console-Server)、CloudHsm-Monitor客户端、VPC模块、DFW模块、HSM模块和DB模块。其中，运营端工具服务为运营端的架构的核心。

该运营端的架构中，对外可以提供基于Web页面交互的运营端控制台，方便运维人员查看、管理资源。此外，在极端异常情况下，如果用户的虚拟加密机出现故障时，对用户的虚拟加密机进行迁移，做到以最小代价保证用户的服务最快恢复。

同时，运营端架构中的Cloud HSM-Monitor客户端，能够实时准确的监控当前加密机***的各模块运行状态，获取虚拟加密机的运行信息，并在发生异常时可以及时发出告警。

对于业务流的架构，如图16所示，该架构中包括CVM、VPC网络、EVSM、GVSM和SVSM。通过统一VPC网络下的CVM来访问虚拟加密机，与租户端购买虚拟加密机等流程完全解耦，使得业务流与控制流分离，进一步避免的敏感数据的泄漏风险。此外，可以通过图17的方式远程连接云端CVM，以及通过图18的登录页面登录加密机***。

通过上述实施例的方案，用户可以根据业务需要快速部署虚拟加密机，弹性的增加和缩减部署数量，从容应对业务高峰压力，节约资源和成本，用户可基于VPC安全网络实现可靠、高效的数据加密和密钥管理，实现与云端资源无缝对接。此外，与传统的硬件加密机部署方案相比，可以具有以下优势，如表1所示：

表1

应该理解的是，虽然图2、8-10的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2、8-10中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图19所示，提供了一种虚拟加密机管理***，该***即云平台，具体包括：服务器1902、网络设备1904和硬件加密机1906，其中：

服务器1902，用于在接收到加密机部署请求时，从加密机资源池中选取虚拟加密机，并根据虚拟加密机的加密机标识获取专用网络下的用于对外通信的第一目标网络地址，并建立第一目标网络地址与虚拟加密机之间的关联关系；以及，在硬件加密机1906虚拟出虚拟加密机时，根据加密机标识获取专用网络下的用于对内通信的第二目标网络地址，并建立第二目标网络地址与虚拟加密机之间的关联关系；根据虚拟加密机的网络隔离需求配置安全组；

网络设备1904，用于接收用户端通过专用网络发送的业务请求；业务请求携带第一目标网络地址；确定与虚拟加密机对应的安全组；安全组是在部署虚拟加密机时，根据虚拟加密机的网络隔离需求配置的；通过安全组对业务请求进行过滤；依据第一目标网络地址获取第二目标网络地址，将过滤后的业务请求根据第二目标网络地址进行转发，以将过滤后的业务请求发送至虚拟加密机；

硬件加密机1906，用于虚拟出至少两个虚拟加密机。

在一个实施例中，网络设备1904还用于在业务请求中，通过安全组将不符合预设业务类型的业务请求进行过滤；或者，在业务请求中，通过安全组将源地址不属于部署时所设置的使用区域的业务请求进行过滤；或者，通过安全组对业务请求进行过滤，以滤除具有风险的业务请求。

上述实施例中，部署虚拟加密机，并在专用网络中为该虚拟加密机分配对外通信的第一目标网络地址以及对内通信的第二目标网络地址，以便用户端利用该第一目标网络地址发送业务请求，并通过第二目标网络地址将业务请求转发至虚拟加密机，从而避免用户端直接访问加密机，从而可以保证虚拟加密机的安全。此外，在将业务请求发送至虚拟加密机之前，还利用安全组对各业务请求进行过滤，从而可以避免恶意请求的入侵，以及避免无关或无效的无效请求的泛滥，保证了虚拟加密机的网络吞吐能力，有利于提高虚拟加密机的性能。

在一个实施例中，服务器1902还用于接收加密机部署请求；加密机部署请求携带基础参数和网络参数；根据加密机部署请求从加密机资源池中选取虚拟加密机，并对所选取的虚拟加密机配置基础参数和网络参数，得到已部署的虚拟加密机；其中，加密机资源池是由不同类型的虚拟加密机所形成；基础参数用于确定虚拟加密机的部署数量和使用区域；网络参数用于确定用户端访问虚拟加密机时所采用的专用网络。

在一个实施例中，硬件加密机1906，用于运行虚拟加密机；

服务器1902，用于获取虚拟加密机在运行时产生的运行信息，当根据运行信息确定虚拟加密机发生异常时，向专用网络网关发送迁移指令；

网络设备1904还用于根据迁移指令，将基于专用网络与虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机。

在一个实施例中，网络设备1904还用于若已部署的虚拟加密机为至少两个、且根据运行信息确定已部署的虚拟加密机中处于使用状态的虚拟加密机发生异常，则在已部署的虚拟加密机中选取未发生异常的目标虚拟加密机；将与虚拟加密机之间的通信连接进行迁移，以与目标虚拟加密机建立通信连接；通信连接是基于专用网络建立的连接。

在一个实施例中，网络设备1904还用于若已部署的虚拟加密机为至少一个、且根据运行信息确定虚拟加密机发生异常，则从加密机资源池中选取未发生异常的目标虚拟加密机；将与虚拟加密机之间的通信连接进行迁移，以与目标虚拟加密机建立通信连接。

上述实施例中，当处于使用状态的虚拟加密机发生异常时，可以及时地进行迁移，以及时与未发生异常的目标虚拟加密机进行通信连接，做到以最小代价保证用户的业务服务最快恢复。此外，还可以在发生异常时，实时进行提示，以便可以及时地进行异常排查。

在一个实施例中，服务器1902还用于读取虚拟加密机的索引信息；根据索引信息获取加密机标识；根据加密机标识确定第一目标网络地址，并建立第一目标网络地址与虚拟加密机之间的关联关系。

在一个实施例中，服务器1902还用于获取第一端口配置请求；在与虚拟加密机的服务端口对应的候选标识中，根据第一端口配置请求选取第一公开标识，第一公开标识用于表示用户端通过第一目标网络地址和服务端口号访问服务端口；

网络设备1904还用于基于虚拟加密机的服务端口接收用户端通过专用网络发送的业务请求。

在一个实施例中，服务器1902还用于获取第二端口配置请求；在与虚拟加密机的管控端口对应的候选标识中，根据第二端口配置请求选取第二公开标识；其中，第二公开标识用于表示用户端通过第一目标网络地址和管控端口号访问管控端口；管控端口用于接收用户端发送的管控请求，管控请求用于用户端对虚拟加密机进行管理和控制。

在一个实施例中，服务器1902还用于接收安全组配置请求；根据安全组配置请求选择所要配置的至少一个安全组；建立虚拟加密机与安全组之间的关联关系。

在一个实施例中，网络设备1904还用于接收用户端发送的用于添加路由转发策略的策略添加请求；根据策略添加请求在路由表中添加第一路由转发策略和第二路由转发策略；其中，第一路由转发策略，用于将发送至第一目标网络地址的业务请求转发至专用网络网关母机；第二路由转发策略，用于根据第二目标网络地址将业务请求从专用网络网关母机向虚拟加密机进行转发。

上述实施例中，在需要部署虚拟加密机时，通过加密机配置页面即可按照预设业务得到对应的虚拟加密机，无需进行任何的硬件评估，操作简单。此外，通过加密机配置页面选择虚拟加密机的基础参数和网络参数，通过云平台进行参数配置，然后为配置了参数后的虚拟加密机设置安全组，即可完成虚拟加密机的整个部署流程，无需对虚拟加密机进行任何调试即可使用，有效地提高了加密机的部署效率。为虚拟加密机设置安全组，可以确保业务数据的安全，同时可以避免无关或无效的广播/多播数据包的泛滥，保证了虚拟加密机的网络吞吐能力。

关于虚拟加密机管理装置的具体限定可以参见上文中对于虚拟加密机管理方法的限定，在此不再赘述。上述部署加密机的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是云平台或云平台中的专用网络网关或其它设备，其内部结构图可以如图20所示。该计算机设备包括通过***总线连接的处理器、存储器和通信接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机程序被处理器执行时以实现一种虚拟加密机管理方法。

本领域技术人员可以理解，图20中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (15)

1.一种虚拟加密机管理方法，其特征在于，所述方法包括：

接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；

根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；

通过所述安全组对所述业务请求进行过滤；

依据所述第一目标网络地址获取第二目标网络地址，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收加密机部署请求；所述加密机部署请求携带基础参数和网络参数；

根据所述加密机部署请求从加密机资源池中选取虚拟加密机，并对所选取的虚拟加密机配置所述基础参数和所述网络参数，得到已部署的虚拟加密机；

其中，所述加密机资源池是由不同类型的虚拟加密机所形成；所述基础参数用于确定所述虚拟加密机的部署数量和使用区域；所述网络参数用于确定所述用户端访问所述虚拟加密机时所采用的专用网络。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取所述虚拟加密机的运行信息；

若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机。

4.根据权利要求3所述的方法，其特征在于，所述若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机包括：

若已部署的虚拟加密机为至少两个、且根据所述运行信息确定所述已部署的虚拟加密机中处于使用状态的所述虚拟加密机发生异常，则

在所述已部署的虚拟加密机中选取未发生异常的目标虚拟加密机；

将与所述虚拟加密机之间的通信连接进行迁移，以与所述目标虚拟加密机建立通信连接；所述通信连接是基于所述专用网络建立的连接。

5.根据权利要求3所述的方法，其特征在于，所述若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机包括：

若已部署的虚拟加密机为至少一个、且根据所述运行信息确定所述虚拟加密机发生异常，则

从加密机资源池中选取未发生异常的目标虚拟加密机；

将与所述虚拟加密机之间的通信连接进行迁移，以与所述目标虚拟加密机建立通信连接。

6.根据权利要求2所述的方法，其特征在于，所述对所选取的虚拟加密机配置所述基础参数和所述网络参数之后，所述方法还包括：

读取所述虚拟加密机的索引信息；

根据所述索引信息获取加密机标识；

根据所述加密机标识确定第一目标网络地址，并建立所述第一目标网络地址与所述虚拟加密机之间的关联关系。

7.根据权利要求6所述的方法，其特征在于，所述建立所述第一目标网络地址与所述虚拟加密机之间的关联关系之后，所述方法还包括：

获取第一端口配置请求；

在与所述虚拟加密机的服务端口对应的候选标识中，根据所述第一端口配置请求选取第一公开标识，所述第一公开标识用于表示所述用户端通过所述第一目标网络地址和服务端口号访问所述服务端口；

所述接收用户端通过专用网络发送的业务请求包括：

基于所述虚拟加密机的服务端口接收用户端通过专用网络发送的业务请求。

8.根据权利要求7所述的方法，其特征在于，所述建立所述第一目标网络地址与所述虚拟加密机之间的关联关系之后，所述方法还包括：

获取第二端口配置请求；

在与所述虚拟加密机的管控端口对应的候选标识中，根据所述第二端口配置请求选取第二公开标识；

其中，所述第二公开标识用于表示所述用户端通过所述第一目标网络地址和管控端口号访问所述管控端口；所述管控端口用于接收所述用户端发送的管控请求，所述管控请求用于所述用户端对所述虚拟加密机进行管理和控制。

9.根据权利要求2所述的方法，其特征在于，所述对所选取的虚拟加密机配置所述基础参数和所述网络参数之后，所述方法还包括：

接收安全组配置请求；

根据所述安全组配置请求选择所要配置的至少一个安全组；

建立所述虚拟加密机与所述安全组之间的关联关系。

10.根据权利要求1所述的方法，其特征在于，所述接收用户端通过专用网络发送的业务请求之前，所述方法还包括：

接收所述用户端发送的用于添加路由转发策略的策略添加请求；

根据所述策略添加请求在路由表中添加第一路由转发策略和第二路由转发策略；

其中，所述第一路由转发策略，用于将发送至所述第一目标网络地址的业务请求转发至专用网络网关母机；所述第二路由转发策略，用于根据所述第二目标网络地址将所述业务请求从所述专用网络网关母机向所述虚拟加密机进行转发。

11.根据权利要求1所述的方法，其特征在于，所述通过所选取的安全组对所述业务请求进行过滤包括：

在所述业务请求中，通过所述安全组将不符合预设业务类型的业务请求进行过滤；或者，

在所述业务请求中，通过所述安全组将源地址不属于部署时所设置的使用区域的业务请求进行过滤；或者，

通过所述安全组对所述业务请求进行过滤，以滤除具有风险的业务请求。

12.一种虚拟加密机管理***，其特征在于，所述***包括：

服务器，用于在接收到加密机部署请求时，从加密机资源池中选取虚拟加密机，根据所述虚拟加密机的加密机标识获取专用网络下的用于对外通信的第一目标网络地址，并建立所述第一目标网络地址与所述虚拟加密机之间的关联关系；以及，在硬件加密机虚拟出所述虚拟加密机时，根据所述加密机标识获取所述专用网络下的用于对内通信的第二目标网络地址，并建立所述第二目标网络地址与所述虚拟加密机之间的关联关系；根据所述虚拟加密机的网络隔离需求配置安全组；

网络设备，用于接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址；确定与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机。

13.根据权利要求12所述的***，其特征在于，所述硬件加密机，用于运行所述虚拟加密机；

所述服务器，用于获取所述虚拟加密机在运行时产生的运行信息，当根据所述运行信息确定所述虚拟加密机发生异常时，向所述专用网络网关发送迁移指令；

所述网络设备，用于根据所述迁移指令，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机。

14.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至11中任一项所述的方法的步骤。

15.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至11中任一项所述的方法的步骤。

Images