一种硬件加密机的管理方法、系统及终端设备与流程
本申请涉及信息安全技术领域,尤其涉及一种硬件加密机的管理方法、系统、终端设备及可读存储介质。
背景技术:
为了在云平台上为用户提供更加安全的、隔离的网络环境,云平台提供虚拟私有云vpc(virtualprivatecloud)技术,以便用户(租用云平台的企业或个人)可以在云平台上搭建专属的vpc环境,从而隔离线下网络环境。
通俗来讲,vpc相当于一个网络容器,在vpc环境内可以创建虚拟机,以借助于虚拟机来实现云产品实例。虚拟机为通过软件模拟的、具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。比如:在vpc环境内创建一个虚拟机,以在该虚拟机上模拟服务器,还可以在vpc环境内创建另外一个虚拟机,以在该虚拟机上模拟硬件加密机。在这里,硬件加密机用于为服务器与终端设备之间的数据传输提供密钥服务。
在硬件加密机使用一段时间后需要对硬件加密机执行硬件加密机的软件程序或加密指令等管控操作,以实现更新管控操作,目前对硬件加密机执行管控操作时依赖于终端设备接入的具有密码验证功能的存储设备ukey。如图1所示,用户可以在云平台的vpc环境内搭建虚拟专用网络vpn(virtualprivatenetwork),终端设备通过vpn拨入vpc环境,以便终端设备利用接入的ukey来管控硬件加密机。
可是,若vpn是用户自行搭建的,则vpn的安全性和稳定性不能保证,且,需要专业技术人员花费较长时间来搭建vpn,其过程较为复杂。若vpn是用户从云平台上购买的,则需要花费较高成本。但是,在云平台的vpc环境内搭建硬件加密机后,硬件加密机处于vpc环境内,而用于管控硬件加密机的终端设备位于线下网络环境,线下网络环境与vpc环境不兼容,导致终端设备无法管控vpc环境内的硬件加密机。
技术实现要素:
鉴于此,本申请提供一种硬件加密机的管理方法、系统、终端设备及可读存储介质,可以简单方便地实现管控vpc环境内的硬件加密机的目的。
为实现上述目的,本申请实施方式提供一种硬件加密机的管理方法,包括:
所述终端设备检测到具有密码验证功能的存储设备接入后,与虚拟机建立通信链路,通过所述通信链路接收并显示所述虚拟机的运行界面;其中,所述虚拟机是在虚拟私有云环境内已搭建的虚拟机;
所述终端设备在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,实现所述具有密码验证功能的存储设备管控硬件加密机。
可选地,所述虚拟机是带有公网ip地址的虚拟机。
可选地,所述终端设备在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序的步骤包括:
所述终端设备检测在所述虚拟机内是否安装有启动硬件加密机管控软件,获得检测结果;
所述终端设备根据所述检测结果在所述虚拟机的运行界面上启动安装所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序。
可选地,所述终端设备根据所述检测结果在所述虚拟机的运行界面上启动安装所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,包括:
所述检测结果为在所述虚拟机内安装有启动硬件加密机管控软件,所述终端设备在所述虚拟机的运行界面上启动安装所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序。
可选地,所述终端设备根据所述检测结果在所述虚拟机的运行界面上启动安装所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,包括:
所述检测结果为在所述虚拟机内未安装有启动硬件加密机管控软件,所述终端设备通过所述虚拟机的运行界面将所述硬件加密机管控软件挂载在所述虚拟机上,启动所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序。
可选地,所述方法还包括:
所述终端设备在所述虚拟私有云环境内构建带有公网ip地址的虚拟机。
可选地,所述终端设备与虚拟机建立通信链路的步骤包括:
所述终端设备接收远程桌面连接指令,并根据所述远程桌面连接指令获取公网ip地址;
所述终端设备向云平台发送包含所述公网ip地址的远程桌面连接请求;
所述终端设备根据所述远程桌面连接请求建立与所述虚拟机之间的通信链路。
可选地,所述终端设备通过所述通信链路接收并显示所述虚拟机的运行界面的步骤包括:
所述终端设备获取用户名和密码;
所述终端设备根据用户名和密码生成连接凭据,并将所述连接凭据通过所述通信链路发送至虚拟机;
在所述虚拟机根据所述连接凭据对所述用户名和密码验证成功后,所述终端设备接收并显示所述虚拟机的运行界面。
可选地,在所述虚拟机的运行界面上利用所述ukey管控硬件加密机后,还包括:
在所述vpc环境内释放所述虚拟机。
为实现上述目的,本申请实施方式提供一种硬件加密机的管理系统,包括:
云平台和终端设备;其中,
所述云平台,用于搭建有虚拟私有云环境;在所述虚拟私有云环境中设置有硬件加密机以及与所述硬件加密机相连的虚拟机;
所述终端设备,用于检测到具有密码验证功能的存储设备接入后,与虚拟机建立通信链路,通过所述通信链路接收并显示所述虚拟机的运行界面;在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,实现所述具有密码验证功能的存储设备管控硬件加密机。
可选地,所述虚拟机是带有公网ip地址的虚拟机。
为实现上述目的,本申请实施方式提供一种终端设备,包括:
端口,用于接入具有密码验证功能的存储设备;
通信模块,用于所述终端设备与所述虚拟机进行数据交互;
显示模块,用于显示所述虚拟机的运行界面;
处理器,用于在检测到具有密码验证功能的存储设备接入后,启动所述通信模块,建立处理器与虚拟机之间的通信链路,通过所述通信链路接收所述虚拟机的运行界面,并启动所述显示模块;在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,实现所述具有密码验证功能的存储设备管控硬件加密机。
可选地,所述处理器还用于在所述远程控制所述虚拟机在硬件加密机管控软件上管控硬件加密机后,在所述vpc环境内释放所述虚拟机。
为实现上述目的,本申请实施方式提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述的硬件加密机的管理方法。
为实现上述目的,本申请实施方式提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现上述所述的硬件加密机的管理方法的步骤。
通过以上技术手段,可以实现以下有益效果:
本技术方案在vpc环境中搭建虚拟机,并且,终端设备与虚拟机建立通信链路,以便在终端设备上远程控制虚拟机时利用接入在终端设备的ukey来管控vpc环境中的硬件加密机。本技术方案无需在vpc环境中搭建vpn,所以可以避免在vpc环境搭建vpn的缺点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为传统地一种硬件加密机的管理系统示意图;
图2为本申请实施例公开的一种硬件加密机的管理系统示意图;
图3为本申请实施例公开的一种硬件加密机的管理方法的示意图;
图4为本申请实施例公开的终端设备与虚拟机建立连接的方法流程图;
图5为终端设备通过所述通信链路接收并显示所述虚拟机的运行界面流程图;
图6为基于图2所示的管理系统执行的硬件加密机的管理方法示意图;
图7为本申请实施例公开的终端设备的结构示意图;
图8为本申请实施例公开的一种电子设备示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
术语解释:
硬件加密机:hardwaresecuritymodule,简称hsm。硬件加密机用于实现各种密码算法,安全保存密钥,例如:ca的根密钥等。
ukey:一种通过usb(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。
虚拟私有云:virtualprivatecloud,简称vpc。虚拟私有云是一个公共云计算资源的动态配置池,需要使用加密协议、隧道协议和其他安全程序,在民营企业和云服务提供商之间传输数据。一个虚拟私有云基本上把云服务提供商的多租户架构变成单租户架构。基于云计算环境构建出一个隔离的专有网络,为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。
虚拟专用网络:virtualprivatenetwork,简称vpn。虚拟专用网络使企业能在价格低廉的共享基础设施上,以与专有网络提供的相同策略建立一种安全的广域网业务。
虚拟机:virtualmachine,简称vm。通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
远程桌面协议:remotedesktopprotocol,简称rdp协议。rdp协议是一个多通道(multi-channel)的协议,让终端设备连上提供终端机服务的电脑,该电脑为服务器端或称“远程电脑”。
挂载(mounting)是指由操作系统使一个存储设备(诸如硬盘等)上的计算机文件和目录可供用户通过计算机的文件系统访问的一个过程。一般来说,当计算机关机时,每个已挂载存储都将经历一次卸载,以确保所有排队的数据被写入,并保证介质上文件系统结构的完整性。
为了便于本领域技术人员了解本申请的应用场景,本申请提供了一种硬件加密机的管理系统。
参见图2,在vpc环境内,硬件加密机的管理系统包括:终端设备,与所述终端设备相连的云平台。可以理解的是,终端设备的数量可以根据实际情况而定,图2仅以一台终端设备为例进行示意说明。
云平台可以提供vpc技术,租用云平台的用户可以在云平台上搭建专属的vpc环境。参见图2,用户可以在vpc环境内可以搭建虚拟机,和与虚拟机相连的硬件加密机。
通常情况下,vpc环境具有专属的网络环境,vpc环境与线下网络环境隔离,为了与线下网络环境下的终端设备通信,实现利用线下网络环境中的终端设备管控vpc环境内的硬件加密机的目的,在vpc环境内搭建带有公网ip地址的虚拟机,在虚拟机带有公网ip地址后,便意味着线下网络环境中的终端设备可以通过公网ip地址访问虚拟机,这样可以实现终端设备与vpc环境内的虚拟机通信。
基于上述分析,本技术方案在ukey接入终端设备后,所述终端设备与虚拟机建立通讯链路,所述终端设备接收并显示所述虚拟机的运行界面;其中,所述虚拟机是在vpc环境内已搭建的虚拟机;在所述虚拟机的运行界面上启动硬件加密机管控软件并加载ukey的驱动程序;在所述虚拟机的运行界面上利用所述ukey管控硬件加密机。
本技术方案中,终端设备远程控制虚拟机时利用接入在终端设备的ukey来管控vpc环境中的硬件加密机,无需在vpc环境中搭建vpn,所以可以避免在vpc环境搭建vpn的缺点。
基于上述描述,本申请提供了一种硬件加密机的管理方法,参见图3,包括以下步骤:
步骤301:所述终端设备检测到具有密码验证功能的存储设备接入后,与虚拟机建立通信链路,通过所述通信链路接收并显示所述虚拟机的运行界面;其中,所述虚拟机是在虚拟私有云环境内已搭建的虚拟机。
用户通过终端设备向云平台发送搭建虚拟机的指令,并可以设置虚拟机带有公网ip地址,用户可以设定公网ip地址。云平台在接收到指令后设置一个虚拟机并为虚拟机赋予用户设定的公网ip地址。
由于后续会利用虚拟机来管控硬件加密机,所以终端设备可以向虚拟机发送硬件加密机管控软件,以便在虚拟机内安装硬件加密机管控软件。当然,虚拟机内不安装硬件加密机管控软件,借助于终端设备中的硬件加密机管控软件来管控硬件加密机也是可以实现的。
由于vpc环境内的虚拟机是软件虚拟的计算机环境,无法接入ukey。因此,本技术方案仍然在终端设备上接入ukey。
在远程桌面连接之前,终端设备和虚拟机均需要开启远程桌面连接功能。用户可以将ukey插入终端设备的usb端口,终端设备检测到ukey正确接入终端设备后,将终端设备与云平台的vpc环境内的带有公网ip地址的虚拟机建立远程桌面连接,从而建立了终端设备与虚拟机之间的通信链路。
根据本申请的一个实施例,参见图4,终端设备与虚拟机建立远程桌面连接的过程可以包括以下步骤:
s401:所述终端设备接收远程桌面连接指令,并根据所述远程桌面连接指令获取公网ip地址。
终端设备接收用户输入的远程桌面连接指令,然后,响应远程桌面连接指令弹出远程桌面的对话框,以便用户输入虚拟机的公网ip地址。
s402:所述终端设备向云平台发送包含所述公网ip地址的远程桌面连接请求;
在用户向对话框内输入公网ip地址后,终端设备接收虚拟机的公网ip地址,并组成包含公网ip地址的远程桌面连接请求。然后,发送至公网ip地址对应的虚拟机。
s403:所述终端设备根据所述远程桌面连接请求建立与所述虚拟机之间的通信链路。
虚拟机在接收远程桌面连接请求后,确认自身已开启远程桌面连接功能后,确认可以进行远程桌面连接。
为了保证虚拟机的运行界面开放至正确设备,需要终端设备提供连接凭据。终端设备会弹出一个由用户输入连接凭据的对话框,连接凭据可以是虚拟机的用户名和密码。如图5所示,为终端设备通过所述通信链路接收并显示所述虚拟机的运行界面流程图。
s501:所述终端设备获取用户名和密码;
s502:根据用户名和密码生成连接凭据,并将所述连接凭据通过所述通信链路发送至虚拟机。
在用户向对话框输入用户名和密码后,终端设备组成包含用户名和密码的连接凭据,并将连接凭据发送至虚拟机。
s503:在所述虚拟机根据所述连接凭据对所述用户名和密码验证成功后,所述终端设备接收并显示所述虚拟机的运行界面。
虚拟机在接收用户名和密码后,验证终端设备发送的用户名和密码是否和本身的用户名和密码一致,若一致的话,则确定终端设备可以远程控制虚拟机。虚拟机会运行界面发送至终端设备,终端设备会接收并显示虚拟机的运行界面。
步骤302:所述终端设备在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,实现所述具有密码验证功能的存储设备管控硬件加密机。
在本技术方案中,所述终端设备在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序的步骤包括:
所述终端设备检测在所述虚拟机内是否安装有启动硬件加密机管控软件,获得检测结果;
所述终端设备根据所述检测结果在所述虚拟机的运行界面上启动安装所述硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序。
具体地,检查结果分两种情况:第一种情况:在所述虚拟机内安装有启动硬件加密机管控软件的情况下,启动安装在虚拟机内的硬件加密机管控软件,并通过windows的rdp协议加载ukey的驱动程序。第二种情况:在所述虚拟机内未安装有启动硬件加密机管控软件的情况下,控制所述终端设备安装的硬件加密机管控软件挂载在所述虚拟机上,启动所述硬件加密机管控软件,并通过windows的rdp协议加载ukey的驱动程序。
通过上述内容可知本申请具有以下有益效果:
本技术方案在vpc环境中搭建虚拟机,并且,终端设备与虚拟机建立通信链路,以便在终端设备上远程控制虚拟机时利用接入在终端设备的ukey来管控vpc环境中的硬件加密机。本技术方案无需在vpc环境中搭建vpn,所以可以避免在vpc环境搭建vpn的缺点。
如图6所示,为基于图2所示的管理系统执行的硬件加密机的管理方法示意图。包括:
s601:终端设备向云平台的vpc环境发送搭建带有公网ip地址的虚拟机的指令。
s602:云平台接收指令并在vpc环境内搭建带有公网ip地址的虚拟机。
s603:所述终端设备检测到具有密码验证功能的存储设备接入后,与虚拟机建立通信链路,通过所述通信链路接收并显示所述虚拟机的运行界面。
s604:在所述虚拟机的运行界面上启动硬件加密机管理软件并加载ukey的驱动程序。
s605:在所述虚拟机的运行界面上利用所述ukey管控硬件加密机。
s606:终端设备通过远程桌面向vpc环境发送释放虚拟机指令。
由于对硬件加密机的管控频率较低,所以在终端设备远程控制虚拟机管控硬件加密机结束后,终端设备可以向vpc环境发送释放虚拟机指令,以便释放vpc环境内的虚拟机,从而降低运行成本。下次再管控硬件加密机时,可以重复执行s601-s606。
当然,在不考虑运行成本的情况下,在终端设备远程控制虚拟机管控硬件加密机结束后可以不释放虚拟机,即不执行s606。这样,下次管控硬件加密机时,可以直接使用已有的虚拟机,执行s604-s605即可,省去搭建硬件加密机和建立远程桌面连接的过程。
参见图7,本申请还提供了一种终端设备,包括:
端口,用于接入具有密码验证功能的存储设备;
通信模块,用于所述终端设备与所述虚拟机进行数据交互;
显示模块,用于显示所述虚拟机的运行界面;
处理器,用于在检测到具有密码验证功能的存储设备接入后,启动所述通信模块,建立处理器与虚拟机之间的通信链路,通过所述通信链路接收所述虚拟机的运行界面,并启动所述显示模块;在所述虚拟机的运行界面上启动硬件加密机管控软件并加载具有密码验证功能的存储设备的驱动程序,实现所述具有密码验证功能的存储设备管控硬件加密机。
终端设备的处理过程可以参见图3实施例中的具体描述过程,在此不再赘述。
如图8所示,为本申请实施例提出的一种电子设备示意图。包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述的硬件加密机的管理方法。
本说明书实施方式提供的硬件加密机的管理方法,其存储器和处理器实现的具体功能,可以与本说明书中的前述实施方式相对照解释,并能够达到前述实施方式的技术效果,这里便不再赘述。
在本实施方式中,所述存储器可以包括用于存储信息的物理装置,通常是将信息数字化后再以利用电、磁或者光学等方法的媒体加以存储。本实施方式所述的存储器又可以包括:利用电能方式存储信息的装置,如ram、rom等;利用磁能方式存储信息的装置,如硬盘、软盘、磁带、磁芯存储器、磁泡存储器、u盘;利用光学方式存储信息的装置,如cd或dvd。当然,还有其他方式的存储器,例如量子存储器、石墨烯存储器等等。
在本实施方式中,所述处理器可以按任何适当的方式实现。例如,所述处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(applicationspecificintegratedcircuit,asic)、可编程逻辑控制器和嵌入微控制器的形式等等。
在本实施例中,本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现上述所述的硬件加密机的管理方法的步骤。
由上可见,本技术方案提供了vpc环境内硬件加密机的管控方法、系统及终端设备,其中方法包括:在ukey正确接入终端设备后,远程桌面连接上vpc环境内已搭建的带有公网ip地址的虚拟机,接收并显示虚拟机的运行界面,远程控制所述虚拟机启动硬件加密机管控软件并加载ukey,远程控制所述虚拟机利用所述ukey管控硬件加密机。本申请在vpc环境中构建带有公网ip地址的虚拟机,并且,终端设备远程桌面连接至虚拟机,以便在终端设备远程控制虚拟机利用接入在终端设备的ukey来管控vpc环境中的硬件加密机。本申请不再在vpc环境中搭建vpn,所以可以避免在vpc环境搭建vpn的缺点。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(programmablelogicdevice,pld)就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logiccompiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(hardwaredescriptionlanguage,hdl),而hdl也并非仅有一种,而是有许多种,如abel(advancedbooleanexpressionlanguage)、ahdl(alterahardwaredescriptionlanguage)、confluence、cupl(cornelluniversityprogramminglanguage)、hdcal、jhdl(javahardwaredescriptionlanguage)、lava、lola、myhdl、palasm、rhdl(rubyhardwaredescriptionlanguage)等,目前最普遍使用的是vhdl(very-high-speedintegratedcircuithardwaredescriptionlanguage)与verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现客户端和服务器以外,完全可以通过将方法步骤进行逻辑编程来使得客户端和服务器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种客户端和服务器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施方式或者实施方式的某些部分所述的方法。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。尤其,针对客户端和服务器的实施方式来说,均可以参照前述方法的实施方式的介绍对照解释。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施方式描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
- 还没有人留言评论。精彩留言会获得点赞!