一种基于通道隔离的虚拟化云密码服务系统及其实现方法与流程

1.本发明涉及一种密码工程领域，具体地说，是涉及一种基于通道隔离的虚拟化云密码服务系统及其实现方法。


背景技术：

2.随着云计算技术的发展，越来越多的传统应用向云端迁移。利用云计算环境特有的高可靠性、高伸缩性，实现数据集中管理和硬件资源的高效利用。
3.传统应用借助密码机等硬件设备保障应用的信息安全，但在云计算环境中使用普通密码设备有诸多问题，如普通的密码设备使用方式不符合云环境、不能确保租户隔离安全、设备运维困难等。
4.为应对云计算环境下普通密码设备使用中的问题，满足密码运算能力动态扩展、租户密码运算能力弹性配置和海量租户密钥支持等需求，我们研制了云密码服务系统，该系统为应用系统提供密码设备统一管理、密码资源统一调度、密码服务负载均衡和基于通道隔离的虚拟密码机等功能的。


技术实现要素：

5.本发明的目的在于提供一种基于通道隔离的虚拟化云密码服务系统及其实现方法，本发明使得密码资源的调用按通道隔离，确保了租户密钥数据和密码服务得到了更强的安全性，从而保障了虚拟密码机的安全性。
6.为实现上述目的，本发明采用的技术方案如下：
7.一种基于通道隔离的虚拟化云密码服务系统，包括云密码服务子系统和云密码管理子系统。
8.所述云密码服务子系统是基于通道隔离的虚拟化密码资源池，包括物理密码卡、基于通道的字符设备和虚拟密码机。
9.所述的物理密码卡是具有pci-e接口，实现密钥存储和密码计算的密码设备。
10.所述基于通道的字符设备是将pci-e物理密码卡的dma隔离成多个独立通道，每个通道对应驱动层的一个字符设备，该字符设备通过linux设备挂载技术配置到虚拟密码机上。
11.所述虚拟密码机通过挂载的字符设备调用密码卡实现密钥存取和密码计算，并向租户提供安全隔离的密码运算服务。
12.所述云密码管理子系统是向系统管理员提供密码设备及资源管理服务，向租户管理员提供虚拟密码机的弹性配置服务。
13.基于上述结构，本发明还公开了一种基于通道隔离的虚拟化云密码服务系统的实现方法，包括如下步骤：
14.(1)云密码管理子系统发出物理密码卡初始化指令，初始化物理密码卡，对物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；
15.(2)云密码管理子系统发出云密码服务系统的初始化指令，初始化云密码服务系统，对系统的管理员进行身份验证，并产生系统的用户密钥，使系统进入工作状态；
16.(3)云密码管理子系统发出虚拟密码机创建指令，创建虚拟密码机，并利用云密码服务子系统将特定通道对应到驱动层的字符设备，然后将字符设备挂载到虚拟密码机上；
17.(4)云密码管理子系统发出虚拟密码机初始化指令，初始化虚拟密码机，对虚拟密码机的管理员进行身份验证，并产生虚拟密码机的设备密钥，使虚拟密码机进入工作状态；
18.(5)虚拟密码机配置用户密钥，通过字符设备操作物理密码卡产生虚拟密码机的用户密钥，并按租户安全加密存储。
19.(6)虚拟密码机在配置用户密钥后对租户或应用提供密码服务；
20.与现有技术相比，本发明具有以下有益效果：
21.(1)本发明的云密码服务系统采用了独有的基于通道的虚拟化和隔离机制，在实现用户密钥硬件隔离的同时保障了业务性能；
22.(2)本发明提供了基于通道隔离的虚拟化云密码服务系统，在高性能物理密码卡的支撑下可以创建最多128个虚拟密码机；
23.(3)本发明的云密码服务系统具有开创性的实现了物理密码卡与硬件平台的无关性，更适应云上的分布式部署模式，适应性更强；
24.(4)本发明的云密码服务系统采用基于容器的轻量化安全隔离机制，该隔离机制多种措施并举的保障租户间不能非法访问；
25.(5)本发明的云密码服务系统提供了管理员远程管理物理密码卡和虚拟密码机的能力，实现高效管理密码资源；
26.(6)本发明全面支持国产密码算法和国产硬件平台，遵循了我国相关的行业标准。
附图说明
27.图1为本发明的云密码服务系统实现方法流程图；
28.图2为本发明的云密码服务系统结构图；
具体实施方式
29.下面结合附图说明和实施例对本发明作进一步说明，本发明的方式包括但不仅限于以下实施例。
30.如图1所示，本发明公开的一种基于通道隔离的虚拟化云密码服务系统的实现方法，包括如下步骤：
31.步骤1：云密码管理子系统发出物理密码卡初始化指令，初始化物理密码卡，对物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；
32.步骤2：云密码管理子系统发出云密码服务系统的初始化指令，初始化云密码服务系统，对系统的管理员进行身份验证，并产生系统的用户密钥，使系统进入工作状态；
33.步骤3：云密码管理子系统发出虚拟密码机创建指令，创建虚拟密码机，并利用云密码服务子系统将特定通道对应到驱动层的字符设备，然后将字符设备挂载到虚拟密码机上；
34.步骤4：云密码管理子系统发出虚拟密码机初始化指令，初始化虚拟密码机，对虚拟密码机的管理员进行身份验证，并产生虚拟密码机的设备密钥，使虚拟密码机进入工作状态；
35.步骤5：虚拟密码机配置用户密钥，通过字符设备操作物理密码卡产生虚拟密码机的用户密钥，并按租户安全加密存储。
36.步骤6：虚拟密码机在配置用户密钥后对租户或应用提供密码服务；
37.本发明基于通道隔离实现虚拟化物理密码卡，将密码资源池化，使得密码资源的使用更高效，也使管理员更易于管理，同时通过多种措施并举的隔离机制保障了租户的密钥安全隔离，从而确保了密码服务调用获得最高的安全性。


技术特征：
1.一种基于通道隔离的虚拟化云密码服务系统及其实现方法，其特征在于，包括云密码服务子系统和云密码管理子系统；所述云密码服务子系统是基于通道隔离的虚拟化密码资源池，包括物理密码卡、基于通道的字符设备和虚拟密码机；所述的物理密码卡是具有pci-e接口，实现密钥存储和密码计算的密码设备；所述基于通道的字符设备是将pci-e物理密码卡的dma隔离成多个独立通道，每个通道对应驱动层的一个字符设备，该字符设备通过linux设备挂载技术配置到虚拟密码机上；所述虚拟密码机通过挂载的字符设备调用密码卡实现密钥存取和密码计算，并向租户提供安全隔离的密码运算服务；所述云密码管理子系统是向系统管理员提供密码设备及资源管理服务，向租户管理员提供虚拟密码机的弹性配置服务。2.根据权利要求1所述的一种基于通道隔离的虚拟化云密码服务系统的实现方法，其特征在于，包括如下步骤，步骤1：云密码管理子系统发出物理密码卡初始化指令，初始化物理密码卡，对物理密码卡的管理员进行身份验证，并产生物理密码卡的设备密钥，使物理密码卡进入工作状态；步骤2：云密码管理子系统发出云密码服务系统的初始化指令，初始化云密码服务系统，对系统的管理员进行身份验证，并产生系统的用户密钥，使系统进入工作状态；步骤3：云密码管理子系统发出虚拟密码机创建指令，创建虚拟密码机，并利用云密码服务子系统将特定通道对应到驱动层的字符设备，然后将字符设备挂载到虚拟密码机上；步骤4：云密码管理子系统发出虚拟密码机初始化指令，初始化虚拟密码机，对虚拟密码机的管理员进行身份验证，并产生虚拟密码机的设备密钥，使虚拟密码机进入工作状态；步骤5：虚拟密码机配置用户密钥，通过字符设备操作物理密码卡产生虚拟密码机的用户密钥，并按租户安全加密存储。步骤6：虚拟密码机在配置用户密钥后对租户或应用提供密码服务。

技术总结
一种基于通道隔离的虚拟化云密码服务系统及其实现方法，本发明属于密码工程领域，用于解决云计算环境下普通密码设备使用的难题。本发明的要点在于将PCI-E物理密码卡的DMA隔离成多个独立通道，每个通道对应驱动层的一个字符设备，并通过Linux设备挂载技术配置到虚拟密码机上。虚拟密码机通过字符设备调用密码卡实现密钥存取和密码计算，并向租户提供安全隔离的密码运算服务。本发明基于通道隔离实现虚拟化物理密码卡，将密码资源池化，使得密码资源的使用更高效，也使管理员更易于管理，同时通过多种措施并举的隔离机制保障了租户的密钥安全隔离，从而确保了密码服务调用获得最高的安全性。高的安全性。高的安全性。


技术研发人员：刘歆 林惠民 王亮 王天顺 赵善
受保护的技术使用者：中安网脉（北京）技术股份有限公司
技术研发日：2021.10.12
技术公布日：2022/1/18