[发明专利]一种密码设备虚拟化的方法及设备

说明书

本发明公开了一种密码设备虚拟化的方法及设备。一种虚拟化的密码设备，包含物理密码设备、管理模块、多个虚拟密码机和一个虚拟主控密码机；所述管理模块被配置用于虚拟密码机的管理操作；每个所述虚拟密码机包含虚拟密码运算模块、虚拟密钥存储模块和虚拟机间安全通信模块；所述虚拟主控密码机包含密码主控模块和虚拟机间安全通信模块；所述物理密码设备以虚拟密码机为最小服务单位为用户提供密码服务。同时也公布了此虚拟化的密码设备的建立方法。本发明满足了多种用户的弹性需求，同时提高了密码设备的安全性。

技术领域

本发明涉及信息安全领域，尤其涉及一种密码设备虚拟化的方法及设备。

背景技术

虚拟化：是指通过虚拟化技术将一台计算机虚拟为多台计算机，在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效。

云计算：是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是互联网和底层基础设施的抽象表示。云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的资源网络访问，资源包括网络、服务器、存储、应用软件、各种计算和数据服务等。

虚拟机：指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机监视器（Virtual Machine Monitor, VMM）是虚拟机技术的核心，它是一层位于操作系统和计算机硬件之间的代码，用来将硬件平台分割成多个虚拟机，它运行在特权模式，主要作用是隔离并且管理上层运行的多个虚拟机。仲裁它们对底层硬件的访问，并为每个客户操作系统虚拟一套独立于实际硬件的虚拟硬件环境（处理器、内存、I/O设备等）。虚拟机所运行的物理设备称为宿主机，宿主机可以运行自己的操作系统并对虚拟机进行管理。

容器：一种轻量级的虚拟化技术，容器为应用程序提供了隔离的运行空间，每个容器内都包含一个独享的完整的用户环境空间，并且一个容器内的变动不会影响其他容器的运行环境。容器之间共享一个操作系统内核，使用一些特殊的系统机制如Linux操作系统的namespaces来进行空间隔离。容器引擎（如Docker，类似于VMM）负责容器的全生命周期管理。

密码设备：为用户提供数据的对称/非对称加密解密、数据的完整性校验、数字签名和验证、密钥的生成和存储等密码相关服务的独立设备。密码设备具有密码运算部件和密钥存储部件两大组成部分。

由于云计算具有按需计算、弹性伸缩和多用户的特点，如果按照传统的使用方式，密码设备专属于某一个用户，就会出现密码运算能力忙闲不均的情况，可能多数时段密码运算能力过剩，业务高峰时段密码运算能力又不满足实时需求。针对这种情况，可以把一台物理的密码设备虚拟成多个逻辑上独立的密码设备，提供给不同的用户使用，对特定用户可以根据需要动态分配多个虚拟密码设备，忙时增加，闲时减少。由于多个用户使用同一台密码设备，必须解决密钥和密码运算过程及结果的隔离问题，以及对同一个密码运算部件和密钥存储部件的共享访问问题。

发明内容

为了解决上述问题，本发明提出一种把提供密码运算和密钥管理等密码相关服务的密码设备，虚拟成多个逻辑独立的虚拟密码设备的方法及设备。

具体的技术方案是：

一种虚拟化的密码设备，其主要结构包含物理密码设备、管理模块、多个虚拟密码机和一个虚拟主控密码机；

其中，管理模块被配置用于虚拟密码机的管理操作；

每个虚拟密码机包含虚拟密码运算模块、虚拟密钥存储模块和虚拟机间安全通信模块；虚拟主控密码机包含密码主控模块和虚拟机间安全通信模块；物理密码设备以虚拟密码机为最小服务单位为用户提供密码服务。