本发明专利技术公开了一种基于密码系统虚拟化切片的多用途密码系统,将密码系统中的每个密码设备虚拟成多个逻辑密码功能,将服务于相同等级相同域的逻辑密码功能共同形成一个密码系统虚拟化切片,从而在同一套共享密码系统物理基础设施上形成面向不同用途密码应用、不同用户域的多个不同的虚拟密码系统。本发明专利技术创造了使用“密码系统虚拟化切片”来满足不同密码用途的方法,既确保了密码系统的延续性、灵活性和可扩展性,解决了传统密码系统的专一化、静态化的问题;又将密码系统与密码应用之间进行了解耦和,将传统密码系统针对不同密码应用需要堆叠搭建所带来的巨大人力、物力以及财力投入大幅度降低。
【技术实现步骤摘要】
一种基于密码系统虚拟化切片的多用途密码系统
本专利技术涉及一种基于密码系统虚拟化切片的多用途密码系统。
技术介绍
信息安全对于以军队、公安、电力以及银行等为代表的垂直行业及关键领域应用,信息安全就显得更加重要。密码仍然是确保我国各垂直行业及关键领域应用信息安全最重要的技术手段。然而我国传统的密码应用模式没有紧紧跟上信息技术ICT融合的大趋势,以5G网络为代表的新型信息系统对密码应用的要求与对密码对外提供服务能力之间的矛盾日益显著,存在的问题主要体现为以下两个方面:其一,信息技术的ICT融合主要体现为虚拟化、服务化、差异化以及动态化等特征,从密码的使用角度,传统密码系统仍然只能提供物理的、本地的、单一的以及静态的密码能力,无法提供虚拟化、服务化、差异化以及动态化的密码服务能力,这属于密码系统自身能力上的“硬伤”。其二,我国不同垂直行业及关键领域所建保密系统的密码体制不同,呈现各种不同“烟囱”;即便是某个特定行业内,根据行业用户编制体制和行业应用要求,在其行业内还需要进一步划分为不同的安全保密等级(简称“级”)和不同的用户范围域(简称“域”),这些不同“级”和不同“域”也成为了不同的“烟囱”。按照目前传统思路,这些不同的“烟囱”由于所需要用到的密码算法及协议、安全等级等均不相同,往往需要通过构建不同的物理密码系统来实现,将耗费大量的研发、建设以及管理投入。这属于密码系统与密码应用之间紧耦合带来的问题。可见,密码技术已经无法适应信息技术ICT融合的趋势,迫切需要在密码对外提供服务的模式上进行革新,以满足当前和未来的应用需求。随着当前最新最热的5G移动通信系统的出现,正好为解决上述两个方面的问题带来了契机。5G最有代表性的特征是引入了“网络切片”的概念,其核心思想是通过虚拟化和服务化的技术,在同一个物理网络上虚拟出多个逻辑网络,以满足各种差异性和动态性的使用需求,这个理念正好为密码技术自身应用模式的革新创造了条件。
技术实现思路
为了克服现有技术的上述缺点,本专利技术提供了一种基于密码系统虚拟化切片的多用途密码系统,借鉴“网络切片”的思想,定义“密码系统虚拟化切片”的概念,通过在同一套密码系统的物理基础设施之上,构建面向不同用途密码应用的不同的虚拟密码系统,面向不同用途在逻辑上提供差异化的密码能力(包括安全等级、用户域范围、密码算法及协议、随机数及密钥产生及管理等),替代以传统方式构建的各种不同的物理密码系统,确保密码系统的持续性、灵活性和可扩展性,有效跟上信息技术潮流,适应ICT融合趋势,并解决传统密码系统面向不同用途情况下研发、建设以及管理投入大的问题,快速、高效适应不同垂直行业或不同应用的密码需求,能够很好适应未来的发展和变化。本专利技术解决其技术问题所采用的技术方案是:一种基于密码系统虚拟化切片的多用途密码系统,将密码系统中的每个密码设备虚拟成多个逻辑密码功能,将相同等级相同域的逻辑密码功能按照密码应用方式共同形成一个密码系统虚拟化切片,从而得到多个共享同一套密码系统物理基础设施的、面向不同用途密码应用的不同的虚拟密码系统。与现有技术相比,本专利技术的积极效果是:本专利技术通过采用一种基于密码系统虚拟化切片解决多用途密码应用的系统,创造了使用“密码系统虚拟化切片”来满足不同密码用途的方法,既确保了密码系统的延续性、灵活性和可扩展性,解决了传统密码系统的专一化、静态化配置的问题;又将密码系统与密码应用之间进行了解耦和,将传统密码系统针对不同密码应用需要堆叠搭建所带来的巨大人力、物力以及财力投入大幅度降低。适用于安全保密要求较高、业务应用方式灵活的行业,包括电力、金融等关键行业。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为密码设备虚拟化概念示意图;图2为密码功能服务化概念示意图;图3为基于密码功能服务的系统集成示意图;图4为密码系统虚拟化切片模板结构;图5为基于密码系统化切片用于解决多用途密码应用的典型系统。具体实施方式针对传统密码系统提供能力的模式静态、单一,以及研发、建设和管理投入大的问题,本专利技术提供了一种基于密码系统虚拟化切片用于解决多用途密码应用的方法,本专利技术还公开了一种基于密码系统虚拟化切片用于解决多用途密码应用的典型系统,既解决密码系统自身能力上的“硬伤”,又能够消除密码系统与密码应用之间的紧耦合关系,在确保密码技术自身的发展的同时、还确保其与通信网络技术、计算机技术以及安全技术等各自的独立发展演进。本专利技术包含具体内容如下:借鉴网络切片的定义:“网络切片是一组带有特定无线配置和传输配置的网络功能的集合,可为运营商在同一套物理设备上提供多个端到端的虚拟网络,这些网络功能可以灵活部署在网络的任何节点(接入、边缘、核心),以便适配运营商期望的任何商业模式。5G系统用不同的网络切片来应对不同的需求。”可见,网络切片本质上是一组逻辑上独占特定资源的功能集合。在密码领域,这个理念同样适用,可以按照不同用途的密码应用对密码系统的物理基础设施进行逻辑上的资源划分,形成独占特定密码设备资源的密码功能合集(包括密码物理设备、密码服务功能、密码算法及协议、密码管理功能等),这些密码功能合集可能体现为针对不同场景或不同安全等级等因素密码算法与协议的区别、也可能体现为针对军队编制体制及具体军事应用用户域的区别。我们定义“密码系统虚拟化切片”为:“一组带有特有计算、存储以及密码资源配置的密码功能的集合,可为用户在同一套物理设备上提供多个虚拟密码系统,这些密码功能可以灵活部署在密码系统所属数据中心的任何节点(入口、核心、边缘),以便适配用户期望的任何密码应用模式和场景。”密码系统虚拟化切片还将涉及到以下几个概念。密码设备虚拟化机制,主要是借鉴传统云计算等为代表的成熟虚拟化技术思想,将门卫式或调用式密码设备虚拟化成多个门卫式或调用式虚拟密码设备。如图1所示。密码功能服务化机制,主要是借鉴服务化和NFV(网络功能虚拟化)思想,将本地化的密码功能封装成网络化的密码功能服务,如图2所示,便于密码功能服务自身的集成以及密码功能服务与宿主系统其它服务功能的集成,如图3所示。密码功能服务编排机制,主要是借鉴网络切片及MANO(切片编排策略)思想,将不同的虚拟密码功能服务按照一定的规则关联和编排起来,形成面向不同用途密码应用的密码系统虚拟化切片模板。该模板包含一系列虚拟密码功能实体,这些虚拟密码功能实体之间的逻辑联系以及这些虚拟密码功能实体间信息流转发的方向图。在编排和生成密码系统虚拟化切片CSS(CipherSystemSlice)时,需要定义编排CSS的模板结构,定义提供特定服务的虚拟密码系统拓扑,包括组成CSS的VCF、VCF与VCF之间的虚拟链路VL、VCF之间的VCF转发图VCFFG(VCFForwardGraph),以及CS所需要的客户化参数等元素。如图4所示。综上所述,本方法借鉴其他领域成熟的虚拟化、服务化以及网络切片等技术的思想,在密码领域构建全新的密码系统虚拟化切片,以便用同一套物理基础设施构建面向不同用途的各种的逻辑密码系统。本专利技术实施例涉及一种基于密码系统虚拟化切片用于解决多用途密码应用的典型系统。具体包括:门卫式密码设备、调用式密码设备、密码管理设备、保密应用数据中心、密码网关设备以及各种逻辑密码功能服务,各物本文档来自技高网...
【技术保护点】
一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:将密码系统中的每个密码设备虚拟成多个逻辑密码功能,将相同等级相同域的逻辑密码功能共同形成一个密码系统虚拟化切片,从而得到多个共享同一套密码系统物理基础设施的、面向不同用途密码应用的不同的虚拟密码系统。
【技术特征摘要】
1.一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:将密码系统中的每个密码设备虚拟成多个逻辑密码功能,将相同等级相同域的逻辑密码功能共同形成一个密码系统虚拟化切片,从而得到多个共享同一套密码系统物理基础设施的、面向不同用途密码应用的不同的虚拟密码系统。2.根据权利要求1所述的一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:所述密码设备包括门卫式密码设备、密码管理设备、保密应用数据中心和密码网关设备。3.根据权利要求2所述的一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:在所述门卫式密码设备上虚拟出多个逻辑门卫式密码功能;在所述密码管理设备上虚拟出多个逻辑密码管理功能;在所述保密应用数据中心上虚拟出多个逻辑业务服务功能;在所述密码网关设备上虚拟出多个逻辑密码网关功能。4.根据权利要求3所述的一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:所述逻辑业务服务功能由保密业务数据中心的调用式密码设备上虚拟出的多个逻辑调用式密码设备和多个业务服务功能共同形成。5.根据权利要求4所述的一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:所述逻辑门卫式密码功能在逻辑密码系统中提供民用非密网络与特殊行业涉密网络之间基于密码的门卫式隔离功能。6.根据权利要求4所述的一种基于密码系统虚拟化切片的多用途密码系统,其特征在于:所述逻辑密码管理功能在逻...
【专利技术属性】
技术研发人员:王俊,田永春,陈福莉,郭斌,
申请(专利权)人:中国电子科技集团公司第三十研究所,成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。