[发明专利]一种云密码计算平台及计算服务方法

说明书

本发明公开了一种云密码计算平台及计算服务方法。本方法为：1)将n台物理密码机开机组成密码机集群连接至资源管理模块；2)同步该n台密码机的主密钥，使其共享密码机主密钥K_m；3)将收到密钥生成请求发送给一密码机A；4)密码机A用K_m对请求中的用户身份处理生成对应的用户主密钥K_i；5)密码机A生成算法密钥AK_i，用K_i对AK_i加密并将其发送给资源管理模块；6)当用户i请求进行计算服务j时，利用密钥[AK_i]K_i其加入用户请求加解密或签名验签的请求中并发送密码机B；7)密码机B根据请求中的身份和K_m解密得到K_i，利用K_i对[AK_i]K_i进行解密并利用AK_i完成计算服务j。

技术领域

本发明涉及网络空间安全领域，尤其涉及一种可进行资源管理的云密码计算平台及计算服务方法。

背景技术

云计算：云计算是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源，是分布式计算技术的一种，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。

密码计算设备：为用户提供数据的对称/非对称加解密、数据完整性校验、数字签名和验证以及密钥的生成等密码计算服务的设备。

内存数据库：内存数据库，顾名思义就是将数据放在内存中直接操作的数据库。相对于磁盘，内存的数据读写速度要高出几个数量级，将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能。通过使用内存数据库，可以实现保持高性能的前提下对流量进行精确控制和资源调度

统一认证架构：统一认证架构是一种通用的架构，它提供了一种通用的鉴权机制，可以将用户接入移动网络时所用的移动认证基础设施用于对新服务的访问授权控制，从而避免为每一种新服务都提供独有的鉴权机制。移动终端和服务提供商都可以通过统一认证架构得到相互之间的最新的可信任信息(即标识符和共享密钥)，从而可以相互认证。

云密码服务：云密码服务将密码服务与云计算平台进行结合，通过调度加密机集群动态扩充密码运算能力，使密码运算速度大大提高，系统稳定性得到极大增强，更好的为用户提供集中化、虚拟化、透明化的密码运算服务。云密码服务不仅可面向具有高安全性和高性能需求的电子商务、电子政务领域应用，提高了系统整体的稳健性、高效性和成熟性；而且可应用于各种“云”、“中心”、“云节点”，解决数据的本地存储、网络传输、身份认证、数据完整性等安全问题，防止网上的各种欺诈行为发生。当前的密码云服务方案，在一台物理密码机上通过虚拟化技术运行多台虚拟密码机，其优势在于灵活地切割了密码运算能力，而缺点在于其单台物理密码机计算能力决定了整个平台的计算上限。

发明内容

本发明公开了一种新型的云密码计算平台及计算服务方法。所述的云密码计算平台，包含物理密码机集群、资源管理模块、接入认证模块和数据存储模块。物理密码机对外提供密码计算能力，主要包括国密sm2、sm3、sm4密码运算并使用自身主密钥、用户主密钥和算法密钥实现三层密钥体制进行保护，接入认证模块主要通过第三方统一认证的方式对密码计算请求方的身份进行确认，数据存储模块则对需要储存的各类信息进行存储，资源管理模块配置于云密码计算平台资源管理服务器中用于将物理密码机抽象为密码计算能力并按照用户申请的计算能力将物理密码机虚拟化为虚拟密码机，结合接入认证模块和数据存储模块对密码计算请求进行资源调度、性能控制、请求转发和负载均衡。

此外，本发明还提供了一种结合物理密码机集群和数据存储模块通过资源管理模块对外提供密码计算服务的方法，其步骤包括：

一.n台物理密码机开机组成物理密码机集群连接至资源管理模块。