[发明专利]一种密码设备虚拟化的方法及设备

权利要求书

1.一种虚拟化的密码设备，其特征在于，包含物理密码设备、管理模块、多个虚拟密码机和虚拟主控密码机，所述虚拟主控密码机为一个特殊的虚拟机或容器，该虚拟机或容器加载物理密码设备密码运算部件和密钥存储部件的驱动程序，负责接收虚拟密码机的密码运算或密钥相关请求并调用物理密码运算部件或物理密钥存储部件；

所述管理模块被配置用于虚拟密码机的管理操作；

每个所述虚拟密码机包含虚拟密码运算模块、虚拟密钥存储模块和虚拟机间安全通信模块；

所述虚拟主控密码机包含密码主控模块和虚拟机间安全通信模块；

所述物理密码设备以虚拟密码机为最小服务单位为用户提供密码服务，所述物理密码设备接收到用户的密码服务请求，为用户分配一个或多个虚拟密码机，虚拟密码机的虚拟密码运算模块和虚拟密钥存储模块，经数据交换安全通道向虚拟主控密码机转发用户的密码服务请求；虚拟主控密码机经数据交换安全通道接收虚拟密码机提交的密码服务请求；调用物理密码运算部件和物理密钥存储部件，生成密码服务结果；虚拟主控密码机经数据交换安全通道向虚拟密码机传回密码服务结果，虚拟密码机通过物理密码设备向用户返回密码服务结果。

2.如权利要求1所述的一种虚拟化的密码设备，其特征在于，所述虚拟密码机与虚拟主控密码机通过虚拟交换机，使用相同的逻辑VLAN ID，进行数据与命令互交；不同虚拟密码机与虚拟主控密码机之间的数据与命令互交以不同的逻辑VLAN ID进行区别。

3.如权利要求1所述的一种虚拟化的密码设备，其特征在于，所述管理模块运行于物理密码设备的操作系统或虚拟机监视器VMM或容器引擎；所述管理模块负责虚拟密码机的启动、镜像加载、迁移、停止、关闭、资源回收和空间清理。

4.一种密码设备的虚拟化方法，其特征在于，包含以下步骤：

S1，物理密码设备上电，启动管理模块；

S2，管理模块配置基准密码运算和密钥存储容量，以及虚拟密码机最大数量；

S3，管理模块启动若干虚拟密码机；

S4，管理模块启动虚拟主控密码机，所述虚拟主控密码机为一个特殊的虚拟机或容器，该虚拟机或容器加载物理密码设备密码运算部件和密钥存储部件的驱动程序，负责接收虚拟密码机的密码运算或密钥相关请求并调用物理密码运算部件或物理密钥存储部件；

S5，虚拟化的密码设备为用户提供服务；

S5中所述为用户提供服务包含如下子步骤：

S51，物理密码设备接收到用户的密码服务请求，为用户分配一个或多个虚拟密码机；

S52，虚拟密码机的虚拟密码运算模块和虚拟密钥存储模块，经数据交换安全通道向虚拟主控密码机转发用户的密码服务请求；

S53，虚拟主控密码机经数据交换安全通道接收虚拟密码机提交的密码服务请求；调用物理密码运算部件和物理密钥存储部件，生成密码服务结果；

S54，虚拟主控密码机经数据交换安全通道向虚拟密码机传回密码服务结果，虚拟密码机通过物理密码设备向用户返回密码服务结果；

S55，密码服务完成。

5.如权利要求4所述的一种密码设备的虚拟化方法，其特征在于，S3中所述启动虚拟密码机方法包含如下子步骤：

S31，将物理密码设备的软件系统打包，用虚拟密码运算模块替换镜像文件中的密码运算部件的驱动程序，同时用虚拟密钥存储模块替换镜像文件中的密钥存储部件的驱动程序，形成新镜像文件；

S32，管理模块启动虚拟机或容器；

S33，管理模块该虚拟机或容器加载步骤S31中的新镜像文件；

S34，虚拟密码机启动完成。

6.如权利要求4所述的一种密码设备的虚拟化方法，其特征在于，S4中所述启动虚拟主控密码机的方法包含如下子步骤：

S41，物理密码设备启动虚拟机或容器；

S42，管理模块为该虚拟机或容器加载物理密码设备的密码运算部件；加载物理密码设备的密钥存储部件的驱动程序；

S43，虚拟主控密码机启动完成。

7.如权利要求4所述的一种密码设备的虚拟化方法，其特征在于，所述数据交换安全通道的建立步骤如下：

S61，该虚拟密码机向虚拟主控密码机注册，注册失败则返回错误信息，注册成功则执行下一步；

S62，虚拟主控密码机加载一个虚拟网络接口，与注册成功的虚拟密码机同时向虚拟交换机申请逻辑VLAN；虚拟交换机分配一个逻辑VLAN ID，所述虚拟网络接口与虚拟密码机配置此逻辑VLAN ID，建立起数据交换安全通道。