[发明专利]基于Docker的云密码服务调用方法及中间件系统

说明书

基于Docker的云密码服务调用方法及中间件系统，包括管理平台、云服务密码机、微服务子系统、密码应用；管理平台是运营者和租户的交互平台，用于云服务密码机的管理、微服务子系统的管理；云服务密码机用于虚拟出VSM资源；当密码应用请求密码运算时，微服务子系统用于密码应用与VSM之间的网络通信数据的代理与转发，同时接收并转发密码应用的数据信息以及产生的日志信息到管理平台；租户通过密码应用请求密码运算。通过管理平台、云服务密码机、微服务子系统的共同作用，使租户的密码应用在调用密码运算的时候，实现整个系统具备统一的密码资源调用审计日志功能，同时密码应用连接VSM之前先进行一次安全校验，具备较高的安全性。

技术领域

本发明涉及网络技术与安全技术领域，特别涉及基于Docker的云密码服务调用方法及中间件系统。

背景技术

随着云计算技术的的普及，基于云计算的各种数据及业务也面临形形色色的安全威胁，为了解决这些威胁，加解密技术成为了保障安全的重要工具，而云服务密码机(CHSM)是为了适应云计算环境而产生的核心密码产品之一，为云计算环境的信息安全发挥着越来越重要的作用。典型的云平台管理系统及云服务密码机(CHSM)的关系如图1所示。

一个云平台管理系统管理着多台云服务密码机(CHSM)，每个云服务密码机(CHSM)可以虚拟出多个虚拟密码机(VSM)，每个虚拟密码机(VSM)就是可以出租出去的资源，其作用相当于一台物理实体密码机。

当前国内云服务密码机(CHSM)产品的规范化、标准化程度不高，各厂家产品之间兼容性、API调用接口等差异较大，这对云服务密码机(CHSM)出租业务带来了不少问题。例如：

1)云密码服务出租方往往只能和一家CHSM厂家深度绑定，切换不同CHSM供应商困难很大；

2)当同时使用多个厂家CHSM时，获取到的密码服务调用审计日志信息差异很大，有些甚至没有，对安全运维会造成很大困扰；

3)VSM网络地址(IP和端口)需要暴露给租户，以供租户通过网络方式访问，公开VSM的网络地址较容易遭到网络攻击；

4)租户应用密码运算量较大时，需要同时租用多个VSM进行负载均衡，此时往往需要从租户密码应用程序来解决，导致了密码应用的复杂性，且不易灵活扩展。

发明内容

本发明针对现有技术中的不足，提供基于Docker的云密码服务调用方法及中间件系统。

为实现上述目的，本发明采用以下技术方案：

一种基于Docker的云密码调用方法，包括以下步骤：

租户向运营者申请密码服务，运营者通过管理平台在云服务密码机中为租户开通一定数量的VSM；

租户通过管理平台将所分配到的VSM资源组合成一个或多个VSM组，并通过管理平台针对每个VSM组在微服务子系统中分配微服务实例给租户，同时通过管理平台将属于同一VSM组中的VSM设置相同的主密钥；

租户通过管理平台创建密码应用信息，并将密码应用与VSM组进行绑定关联，同时为密码应用分配在VSM组中的VSM上生成的主密钥编号；

租户结合SDK包对密码应用进行代码设计并进行文件配置，具体为：租户的密码应用调用SDK开发包对应的API函数进行代码修改，并完成接口对接的配置参数设置；

租户的密码应用调用密码运算服务，微服务子系统接收请求并将密码应用信息以及密码应用产生的调用日志传输给管理平台；

管理平台对密码应用进行安全性验证；

管理平台验证通过后，微服务子系统调用VSM运算接口进行密码运算，并将运算结果反馈给密码应用。

进一步地，所述文件配置的具体配置内容包括：