[发明专利]一种集群环境下密码服务网络并行化的方法与系统

说明书

本发明属于数据处理技术领域，公开了一种集群环境下密码服务网络并行化的方法与系统，方法为：在多密码模块‑多密码服务器下，客户端通过密码请求分发控制单元向密码服务器提交密码服务请求，由密码服务器选取本单元上响应最快的密码模块完成密码请求处理并返回处理结果；系统包括密码服务中间件、密码服务控制调度单元、密码计算单元、密码模块、接口协议模块。本发明构建了集群密码服务的新模式，为系统提供高可用、低延迟、可扩展和高性能的信息传输密码服务；本发明支持多个密码服务单元(每个密码服务单元上含多个密码模块)和多个密码模块同时工作，提高了密码服务的并行处理能力和性能。

技术领域

本发明属于数据处理技术领域，尤其涉及一种集群环境下密码服务网络并行化的方法与系统。

背景技术

随着经济的持续发展以及各行业规模的扩大，对大量数据的处理和存储需求显著增长，数据中心行业得到了飞速发展。目前，数据中心已经广泛应用于金融、电信、交通、政府和军队等各个行业中。数据中心的核心思想是将信息系统的资源池化，形成计算、网络和存储等资源池，然后根据“按需分配”的策略，以虚拟机和数据服务等方式提供给用户使用。

在数据中心环境下，有大量用户登录系统和访问系统资源的操作，这些操作需要加解密和签名/验签服务，才能保证登录和资源访问操作的安全性，现有信息系统多采用密码服务软件系统(如：证书中心，加解密算法服务器等)来实现大量的加解密和签名/验签服务。在一些对密码服务有特殊要求的应用领域(如：政府和军事等)，要求使用硬件密码模块完成密码服务，并且不同模块内的密码资源相同且统一采用离线的方式更新密码资源。在这种情况下，就无法通过纯软件的方式(密码服务软件系统)满足这些特殊应用领域数据中心的密码服务需求。

在如上描述的特殊应用领域的数据中心中，通常采用硬件密码模块完成密码服务请求的处理。硬件密码模块是一块密码芯片，其单次运算时间虽然较短，但其密码处理过程是串行的，单块密码芯片不支持密码处理的并发执行。为了解决密码处理并发执行的问题，现有一些产品和技术引入“双机热备”的概念，将两台加密服务器(每台加密服务器中含有多块密码芯片)设置为“主备”工作模式，这样既能通过加密服务器同时使用多块密码芯片，又能通过“主备”工作的加密服务器保证数据中心密码服务的可靠性。

但是在“双机热备”模式下，加密服务器的数量和单台加密服务器使用密码芯片的数量均受限制，当有大量密码服务请求时，其密码服务处理能力和时延仍不能满足数据中心的要求。

综上所述，现有技术存在的问题是：

在对密码服务有高安全性和其它特殊要求的应用领域中，纯软件的密码服务系统和“双(密码)机热备”不能满足数据中心等集群环境下对大量密码服务请求处理的高性能和实时性要求，因此需要一种集群环境下高可用、低延迟、可扩展和高性能的密码服务网络并行化方法。

发明内容

针对现有技术存在的问题，本发明提供了一种集群环境下密码服务网络并行化的方法与系统，该方法在保证密码服务系统可靠性和低延时的前提下，通过增强密码服务系统的可扩展性，从而提高了密码服务系统对密码服务请求的并行处理能力。

本发明是这样实现的，一种集群环境下密码服务网络并行化的方法，包括：

在多密码模块-多密码服务器下，当客户端提交密码服务请求时，首先由密码服务控制调度单元(以下亦简称：控制节点)接收密码服务请求；一方面，采用双密码服务控制调度单元形成“主备工作模式”分发客户端的密码服务请求；另一方面，处于“主工作模式”的密码服务控制调度单元采用“先检测密码计算单元是否可用，再转发密码服务请求”(以下简称“先检测，再转发”)的策略，选取检测响应时间最短的密码计算单元(以下亦简称：密码服务器)作为转发密码服务请求的对象，并忽略其它密码计算单元的检测响应；