[发明专利]一种提供密码资源的方法、系统及宿主机

说明书

本申请实施例提供一种提供密码资源的方法、系统及宿主机，所述宿主机上至少运行一个虚拟机，所述宿主机包括：运行于所述虚拟机的虚拟密码模块；虚拟密码后端模块，被配置为将密码功能组件的密码功能映射至所述虚拟密码模块，其中，所述密码功能包括密码计算或密钥管理。本申请实施例的虚拟密码模块所呈现的密码计算、密钥管理都是在宿主机侧的密码资源中完成，因而更容易实现合规性，更容易进行安全控制。

技术领域

本申请涉及密码处理领域，具体而言涉及一种提供密码资源的方法、系统及宿主机。

背景技术

随着云计算的不断发展，虚拟化技术也越发得到广泛应用。利用虚拟化技术，可以在单一的物理平台上模拟并运行多台客户虚拟机(VM)。虚拟化技术能够将计算机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部分是不受现有资源的架设方式，地域或物理组态所限制。

虚拟化是云计算的核心技术。云计算是与信息技术、软件、互联网相关的一种服务，将各种计算资源共享，形成资源池，称为“云服务”，能够为租户提供按需服务、按使用量计费，具备高度可扩展性的服务。

另一方面，在云计算和虚拟化技术中，越来越需要使用密码技术保证安全性。例如通过密码学中的密码算法实现应用系统所需的数据加密、完整性验证、数字签名等应用。但是由于VM本身是虚拟化出的一种呈现，所以无法象在实体计算机上一样，直接在VM上部署合规可靠的密码模块，实现密钥的安全产生、安全管理以及安全的密码计算。

因此如何在虚拟机上部署合规可靠的密码功能成了亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种提供密码资源的方法、系统及宿主机，采用本申请实施例的技术方案能够在云计算和虚拟化场景下，将实体机(或称为宿主机)侧各种类型的异构密码能力映射到运行于实体机上的虚拟机中(例如，具有各种类型的异构密码能力的密码功能组件在实体机中的呈现形式为一个Linux内核模块或虚拟的PCI设备)；采用本申请实施例的技术方案可以通过租用带有密码模块的虚拟机，并使用密码模块的功能为业务系统提供密码功能或服务，可以将其封装为各种应用接口或网络服务，形成虚拟化形式的密码产品(例如，云签名验证服务器、云密码机、云证书管理系统、云电子发票、云VPN等)；使用本申请实施例的技术方案，虚拟机中的虚拟密码模块向外所呈现的密码计算、密钥管理都是在实体机侧的密码资源中完成，因而更容易实现合规性，更容易进行安全控制。

第一方面，本申请实施例提供一种宿主机，其上至少运行一个虚拟机，所述宿主机包括：运行于所述虚拟机的虚拟密码模块；虚拟密码后端模块，被配置为将由密码功能组件实现的密码功能映射至所述虚拟密码模块，其中，所述密码功能包括密码计算或者密钥管理。

本申请实施例虚拟机中的虚拟密码模块所呈现的密码计算、密钥管理都是在宿主机侧的密码资源中完成，因而更容易实现合规性，更容易进行安全控制。

在一些实施中，所述虚拟密码模块包括：驱动模块，被配置为驱动所述虚拟密码后端模块和所述密码功能组件完成所述密码计算或者密钥管理；管理模块，被配置为启动初始化操作以使所述密码功能组件至少产生主密钥；应用程序接口，被配置为接收来自于用户的密码服务指令并接收来自于所述密码功能组件的密码信息。

本申请实施例部署在虚拟机中的虚拟密码模块可以使得相关人员通过管理模块完成密钥管理相关的操作，可以使用户通过应用程序接口发出密码服务指令并进一步由驱动模块驱动虚拟密码后端模块和密码功能组件以从密码功能组件中获取所需的密码服务。

在一些实施例中，所述虚拟密码后端模块运行于虚拟化容器中，其中，所述虚拟机运行与所述虚拟化容器中。

本申请实施例通过虚拟化容器可以隔离密码映射操作的全流程，保证了密码服务的安全可靠。