[发明专利]一种基于云计算技术的电子发票安全中间件构建方法

权利要求书

1.一种基于云计算技术的电子发票安全中间件构建方法，其特征在于，采用云计算技术来构造云计算应用平台的安全中间件云安全服务，服务包括云证书数据库服务、云目录服务LDAP、云证书状态查询服务OCSP、云端安全服务器设备管理服务、云签名和验签服务、云加密和解密服务、云身份认证服务，通过云计算技术中的资源调度服务，对其中存在业务高峰、低谷的签名和验签服务、加密和解密服务、身份认证服务进行计算资源平衡；通过云安全设备管理服务，对云端安全KEY设备、云端安全服务器设备进行发行和管理，云端安全KEY设备采用专用通信协议，从云安全服务进行证书、算法灌装；内有安全审计日志功能，对所有计算操作进行记录；对外发布API接口，为电子发票用户提供线下的、可移动的安全服务；

云端安全服务器设备只能单线程进行单一任务处理，适用于业务分散的纳税人用户，云端安全服务器设备采用标准目录服务LDAP、证书状态查询服务OCSP与云安全服务进行证书同步，为电子发票用户提供基于局域网的安全服务，可多线程批量处理用户的安全服务请求，适用于业务集中的用户；云安全服务、云端安全KEY设备、云端安全服务器共同组成云安全中间件，完成基于云计算技术的安全中间件服务。

2.根据权利要求1所述的方法，其特征在于：构建云计算应用平台，包括云资源调度服务器、云应用服务器、云存储服务器、云门限加密服务器、云审计监控服务器，云计算应用平台提供IAAS、PAAS、SAAS层云服务，支持通用分布式计算或计算语言系统运行。

3.根据权利要求1所述的方法，其特征在于：在云计算应用平台基础上，构建云安全服务，该云安全服务包括云证书数据库服务、云目录服务LDAP、云证书状态查询服务OCSP、云安全设备管理服务、云签名和验签服务、云加密和解密服务、云身份认证服务；云安全服务运行在云平台SAAS层。

4.根据权利要求3所述的方法，其特征在于：云安全服务采用分布式计算语言开发，可被云平台的SAAS层资源调度模块拆分为代码段或子程序，以形成代码镜像进行分布式计算或者形成服务负载均衡。

5.根据权利要求3所述的方法，其特征在于：云安全服务支持基于PKI的安全体系；支持PKCS#11公钥加密标准；支持X.509格式的安全证书管理；支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装；以SOA形式对外发布签名和验签、加密和解密、身份认证接口服务API。

6.根据权利要求1所述的方法，其特征在于：云端安全KEY设备，由证书灌装区、算法灌装区、安全审计区及COS等几部分组成；其中证书灌装区由COS通过专用通信协议进行X.509格式证书灌装，证书灌装完成后只能在安全KEY设备内进行实用，不可在设备外读取；算法灌装区与云安全服务支持的算法相同，可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装，被应用于签名和验签、加密和解密、身份认证服务；安全审计区用于记录安全审计日志。

7.根据权利要求6所述的方法，其特征在于：云端安全KEY设备只能单线程进行单一安全任务处理，不可以同时对多个安全服务请求进行响应。

8.根据权利要求1所述的方法，其特征在于：云端安全服务器设备，由云端证书数据库服务、云端目录服务LDAP、云端证书状态查询服务OCSP、云端安全审计服务、（签名和验签、加密和解密、身份认证的云端算法服务组成；由云端目录服务LDAP、云端证书状态查询服务OCSP与云安全服务进行证书及状态同步；证书由云端证书数据库服务进行统一管理，只可在设备内使用，不可在设备外读取；云端算法服务与云安全服务支持算法相同，可支持SM1、SM2、SM3、SM4、RSA、3DES算法灌装，被应用于签名和验签、加密和解密、身份认证服务；所有安全服务器的操作，由云端安全审计服务授权并进行纪录。

9.根据权利要求8所述的方法，其特征在于：云端安全服务器设备多线程批量处理用户的安全服务请求，同时处理多笔安全服务业务。

10.根据权利要求1所述的方法，其特征在于：纳税人在使用安全服务之前，需要到云安全服务的“云安全设备管理服务”模块中进行注册，并选择所使用的安全设备及安全服务类型，由云安全服务统一管理。