[发明专利]面向云环境的模块化密码服务方法

说明书

本发明涉及一种面向云环境的模块化密码服务处理系统，其中，该系统包括：密码管理系统用于负责整个云环境下密钥管理、密码资源管理、证书管理、监控审计的软硬件系统，配有一台或多台HSM；密码安全防护系统用于在云环境的某个安全域内负责所有密码安全模块的密钥管理与服务的软硬件系统；密码安全模块集成在云环境的某个业务应用节点内部负责向其提供密码服务的软件模块；且各个密码安全模块均从属于特定的相对应的密码安全防护系统。本发明还涉及一种相应的方法，采用了本发明的面向云环境的模块化密码服务处理系统，能够解决现有云环境下密码技术保护数据安全解决方案存在的待加密数据传输中泄露风险、数据保护效率低、规模同比扩大投入成本不断增加等问题。

技术领域

本发明涉及信息网络安全技术领域，尤其涉及密码技术领域，具体是指一种面向云环境的模块化密码服务处理系统及其方法。

背景技术

密码技术是数据安全防护最重要的手段。现有信息系统使用密码技术保护数据安全的方法，大多是配备硬件安全模块(Hardware Security Module，HSM)，将需保护的数据推送给HSM，由HSM实施加密，该方式存在以下问题：进入HSM前，待加密数据在网络链路中明文传输，增加了数据泄露风险；每次数据加密所需时间为数据传输到HSM的时间与HSM加密时间之和，导致数据保护效率低；随着信息规模扩大，HSM也需随着系统硬件资源的扩大同比例扩大HSM集群规模，投入成本不断增加。目前云环境下密码技术保护数据安全的解决方案，大多是将HSM虚拟化为多个虚拟安全模块(virtual Hardware Security Module,vHSM)，HSM集群转换为vHSM集群形成的密码资源池，为每个应用分配一个或多个vHSM，该方法提高了密码资源利用效率，但非云环境所面临的待加密数据传输中泄露风险、数据保护效率低、规模同比扩大投入成本不断增加等问题仍然存在。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现在云环境中安全、高效、经济的密码防护服务的面向云环境的模块化密码服务处理系统及其方法。

为了实现上述目的，本发明的面向云环境的模块化密码服务处理系统及其方法如下：

该面向云环境的模块化密码服务处理系统，其主要特点是，所述的系统包括：设置有面向云环境的密码服务架构，所述的密码服务架构具体包括：密码管理系统，密码安全防护系统以及密码安全模块，其中，

所述的密码管理系统设置在所述的密码服务架构的密码系统层，用于负责整个云环境下密钥管理、密码资源管理、证书管理、监控审计的软硬件系统，配有一台或多台HSM；

所述的密码安全防护系统设置在所述的密码服务架构的密码系统层，用于在云环境的某个安全域内负责所有密码安全模块的密钥管理与服务的软硬件系统，并与所述的HSM相集成；

所述的密码安全模块设置在所述的密码服务架构的业务应用层，其集成在云环境的某个业务应用节点内部，并用于负责向其提供密码服务的软件模块；

且各个所述的密码安全模块均从属于特定的相对应的密码安全防护系统。

该基于上述系统实现面向云环境的模块化密码服务处理方法，其主要特点是，所述的方法包括：在系统内部对所述的密码安全模块进行管理处理；针对应用系统内部不同业务应用节点间通信时的密码防护处理以及在不同应用系统的业务应用节点之间通信时的密码防护处理。

较佳地，所述的在系统内部对所述的密码安全模块进行管理处理，具体包括：密码安全模块注册、密码安全模块运行、密码安全模块注销，其中，

所述的密码安全模块注册的具体处理流程包括：所述的密码安全模块分发集成到所属业务应用节点后，根据业务应用节点提供或采集的节点信息，生成模块标识和代表自身的非对称密钥对，形成包含模块标识和公钥信息的注册请求并向所述的密码管理系统提交，所述的密码管理系统对注册请求进行审核，待审核通过后签发模块数字证书，将所属密码安全防护系统信息和模块数字证书返回给所述的密码安全模块。