[发明专利]一种基于分散式的密码服务平台

说明书

本发明公开了一种基于分散式的密码服务平台，属于网络安全技术领域，包括密码设备资源层、核心服务层，接口层和业务服务层，本发明采用多点分布式方式进行架构设计，应用服务模块、密码资源池、密钥管理模块（数据库模块），同时，他们之间的通信采用了自定义安全通道，安全通道建立过程采用了国密SM2‑SM3‑SM4算法套件完成，安全属性高。

技术领域

本发明涉及网络安全技术领域，具体是一种基于分散式的密码服务平台。

背景技术

随着密码应用及国产密码算法在电子政务、金融、电力、交通、医疗等各个领域的显著推广，安全应用方案的部署日益增多，密钥管理作为安全应用系统中的重要组成部分也变得越来越重要和复杂，密钥管理不善可能使组织机构遭受不必要的安全风险。

然而，企业通常针对不同的业务用途选择不同的独立云密码服务平台，不同密钥管理产品通常都有一套自己的密钥生成、分配、保存和密钥生命周期的管理方法，且各个产品之间没有统一的密钥使用接口规范。企业的安全管理者陷入了管理不同厂商不同产品密钥的大量手动工作，阻碍了企业部署加密应用的进程。同时在一些业务场景中，企业对不同业务系统之间的密钥使用限制等策略要求以及更多的密钥数量等需求也对云密码服务平台提出了更高的要求，同时在云环境中实时性、高频次、海量级的密钥管理和统一数据加解密需求对于云密码服务平台也是一个极大的挑战。

为了解决企业面临的上述问题，本设计制定云密码服务平台产品目标：实现对称密钥、非对称密钥等加密对象统一管理、提供密钥细粒度访问策略控制、提供密码运算服务功能，实现密钥管理服务实时高可用，提高易用性的同时保证其安全性。

发明内容

本发明的目的在于提供一种基于分散式的密码服务平台，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于分散式的密码服务平台，包括：

密码设备资源层，由云密码资源池作为密码基础支撑，云密码服务平台构成，资源池底层由云服务器密码机、服务器密码机、签名验签服务器产品构成，通过云密码服务平台统一为云上租户提供虚拟密码服务；政务云平台通过云密码服务平台为云上租户分配虚拟密码机，为云上租户提供通用密码运算服务，云上租户通过本地部署密码服务中间件向云密码服务平台发起密码服务请求；云密码服务平台调用该云上租户相应的虚拟密码机提供密码运算服务，同时，云密码服务平台为云上租户分配密码资源后，通过配置云上租户VPC与云密码资源池VPC网络联通，配合云密码服务平台对云上租户侧的资源隔离、安全通道及认证机制，确保云上租户只能访问到自己被分配的虚拟密码资源，从而实现不同用户的密码服务隔离；

核心服务层，用于从业务规划角度助力各种应用业务完成与密码技术的结合与应用，从规范的角度实现密码资源统一管理与调度、密码服务统一管控、密钥集中管理；

接口层，对外提供各类多样的密码服务能力，提供对称密码服务和公钥密码服务，为上层提供基于数据在保密性、完整性、身份鉴别、抗抵赖基本功能；

业务服务层，采用密码支撑层和密码服务层提供的服务来满足云密码服务平台上各类业务应用系统密码应用合规性需求，实现政务云平台对密码合规性保障的能力。

作为本发明的进一步技术方案：所述虚拟密码服务，由分配给各云上租户的密码子系统实现。

作为本发明的进一步技术方案：所述密码子系统均由虚拟密码机、物理密码机和相应API 接口组成，对用户传输数据或者存储数据提供密钥加密、解密、签名、验签密码运算功能。

作为本发明的进一步技术方案：所述本地部署密码服务中间件部署于云上租户业务应用系统服务器。

作为本发明的进一步技术方案：所述核心服务层包括应用管理、密码资源池管理、密钥管理、密码服务管理、多云上租户管理、统计分析、审计管理、运维监控核心功能。