[发明专利]密码资源池系统、加密方法、电子设备及存储介质

说明书

本发明提供了一种密码资源池系统、加密方法、电子设备及存储介质，该系统包括：密码计算池CCP，所述密码计算池CCP是由一个内部网络域的多台通用服务器组成，所述通用服务器上部署软件密码单元S‑CCU，在所述CCP中，以S‑CCU分组为单位进行主密钥申请和使用，所述S‑CCU完成密码运算；系统级密钥管理系统S‑KMS，所述S‑KMS用以向所述S‑CCU提供密钥产生、密钥分发及密钥销毁服务，并基于该系统实现了数据的加密方法，其将密钥的安全产生、安全存储和安全使用分离开来，优化密码计算资源，提高了密码运算的效率，提高了系统的安全性，降低对专用密码设备如密码机、签名验签服务器的依赖，降低了密码服务的成本。

技术领域

本发明涉及计算机安全技术领域，特别是一种密码资源池系统、加密方法、电子设备及存储介质。

背景技术

随着云计算的飞速发展，越来越多的云上应用系统对密码的需求越来越显著，以云服务方式提供密码服务的需求也随之应运而生，如：云密码资源池服务、云密钥管理服务、云电子签名服务、电子合同服务和云加密存储服务等。

典型的做法是将密码设备集中成密码资源池，通过硬件虚拟化技术，将密码设备虚拟成各个相互独立的虚拟密码设备，通过密码资源调度系统进行密码资源的分配、管理和统一调度，并对外提供统一的密码服务。密码资源池是云密码服务的重要基础设施，是云计算环境中使用密码功能的根本支撑，是云密钥管理系统等云密码应用系统的安全基础。

通常，业务系统都需要使用硬件密码设备如服务器密码机、签名验签服务器等来提供密码功能。当前，随着业务的发展，大型客户通常有多套业务系统需要密码设备提供密码功能，因此，整合密码机提供统一密码服务，使密码计算设备能够最大限度复用，为更多业务提供服务的做法是一种趋势。

现有的密码系统主要存在如下缺陷：

传统密码设备的密钥一般是由设备产生不允许导出的，这也使特定业务的密码请求只能由包含特定密钥的密码机才能处理，在该业务高峰时段，即便其它密码机处于空闲状态也无法起到任何帮助作用。

现有技术中将所有业务需要的密钥同步在所有密码机上，使所有密码机能够同时为多个业务系统服务，则会带来密钥安全存储、安全管理和安全隔离的问题，影响系统安全性。

另外，对于大型客户的业务系统，密码服务需要大量的密码设备如密码机、签名验签服务器，这也很大程度上拉高了业务系统的成本。

发明内容

本发明针对上述现有技术中的缺陷，提出了如下技术方案。

一种密码资源池系统，该系统包括：密码计算池CCP，所述密码计算池CCP是由一个内部网络域的多台通用服务器组成，所述通用服务器上部署软件密码单元S-CCU，在所述CCP中，以S-CCU分组为单位进行主密钥申请和使用，所述S-CCU利用所述通用服务器的CPU和操作系统的安全隔离特性形成一个隔绝的安全计算环境，完成密码运算；系统级密钥管理系统S-KMS，所述S-KMS包括系统级硬件密码设备、系统级密钥库和系统级密钥管理单元，所述系统级硬件密码设备用以安全产生所述CCP中的所述S-CCU的主密钥PMK，所述系统级密钥库用以安全存储所述PMK，所述系统级密钥管理单元用以向所述S-CCU提供密钥产生、密钥分发及密钥销毁服务。

更进一步地，所述系统还包括：应用级密钥管理系统A-KMS，所述A-KMS包括应用级硬件密码设备、应用级密钥库和应用级密钥管理单元，所述应用级硬件密码设备用以安全产生用户应用系统定义的密钥，所述应用级密钥库用以安全存储所述应用系统定义的密钥，所述应用级密钥管理单元用以向所述用户应用系统提供所需的密钥产生、密钥分发及密码销毁服务。

更进一步地，所述系统还包括：安全随机熵分发服务单元S-EDS，所述S-EDS包括熵分发服务系统和随机数计算设备，所述随机数计算设备用以产生随机噪声源作为熵数据，所述熵分发服务系统根据接收的熵请求，将所述随机数计算设备生成的熵数据分发给请求者。