本发明专利技术属于信息安全密码技术领域,尤其是一种基于容器虚拟化技术的密码机、实现及工作方法。本发明专利技术针对现有技术存在的问题,提供一种基于容器虚拟化技术的密码机、实现及工作方法,用于提高设备资源利用率,提升密码设备的高可用性,并增强设备按需服务能力。本发明专利技术通过vHSM管理模块将vHSM镜像解压并安装到指定目标物理密码机的目录中;并进行vHSM容器配置及应用配置,指定vHSM使用的硬件资源配额;通过vHSM管理模块进行vHSM应用配置,指定vHSM密码机应用的运行设定;然后vHSM管理模块根据vHSM容器配置及应用配置创建vHSM,并运行vHSM。
【技术实现步骤摘要】
本专利技术属于信息安全密码
,尤其是。
技术介绍
容器虚拟化技术是一种由Linux内核支持的轻量级操作系统虚拟化方式,以接近物理机的运行效率提供虚拟化功能,与传统的虚拟化技术相比,具有与宿主机共享内核,启动速度快,性能损失极小等特点。容器虚拟化技术使用Linux内核提供的NameSpace和CGroup等技术为应用提供一个独立的虚拟运行环境,实现了容器间的安全隔离及各容器资源控制。其中,NameSpace技术为实现了容器间的进程、用户、网络、文件系统空间安全隔离;而CGroup技术提供了各容器使用的CPU、内存、网络、10等物理资源配额管理功能。密码技术是信息安全的技术基础,密码机是密码技术安全应用的基础和信息化安全的核心。随着我国信息化产业高速全面发展,作为信息安全基础核心的密码设备,在一直为信息产业与现代化服务业发展提供安全的密码技术的同时,也面临越来越高的高可用性和资源利用率要求。随着信息系统业务的不断发展,密码设备在信息系统业务中的不断增加,密码设备种类和数量也随之不断增长。密码机在实际应用过程中,单台密码设备提供了特定生产环境下有限的密码服务,服务类型单一,资源利用率较低。当需要其它密码服务时,通常只能通过添置相应的密码设备提供服务,而不能重用原有密码设备,造成资源进一步浪费。
技术实现思路
本专利技术所要解决的技术问题是:针对现有技术存在的问题,提供,用于提高设备资源利用率,提升密码设备的高可用性,并增强设备按需服务能力。本专利技术采用的技术方案如下: 一种基于容器虚拟化技术的密码机实现方法包括: 步骤1: Lunix系统工具制作vHSM用户态环境所需的根文件系统和密码机应用,并将其压缩形成vHSM镜像; 步骤2:将vHSM镜像拷贝到目标物理密码机,由vHSM管理模块解压并安装到指定目标物理密码机的目录中; 步骤3:通过vHSM管理模块进行vHSM容器配置,指定vHSM使用的硬件资源配额;步骤4:通过vHSM管理模块进行vHSM应用配置,指定vHSM密码机应用的运行设定(设定指的是协议设置、端口设定、防火墙设置等); 步骤5: vHSM管理模块根据步骤3与步骤4创建vHSM (虚拟密码机),并运行vHSM。步骤6:重复上述步骤1到步骤5,在目标物理密码机中部署并运行多个vHSM ; 进一步的,所述vHSM容器配置指的是由vHSM管理模块写入到宿主机文件系统,且只vHSM允许管理模块读写。进一步的,所述vHSM应用配置,由管理模块写入到vHSM文件系统中,且只允许该vHSM读取和管理模块写入。进一步的,所述步骤5具体过程是:vHSM管理模块从已安装的vHSM镜像,依据步骤3的容器配置创建vHSM,并依据步骤4的应用配置在该vHSM中启动密码机应用。进一步的,所述Lunix系统的宿主机内核包括NameSpace和CGroup功能。进一步的,所述步骤3中vHSM管理模块进行vHSM容器配置时,CPU、内存、网络使用CGroup方式进行配额;加密卡采用预先固定分派的方式进行配额。—种基于容器虚拟化技术的密码机工作方法包括: 步骤一:目标物理密码机上电后启动Linux操作系统;Linux操作系统启动成功后,调用Linux系统系统初始化脚本;在系统初始化脚本中以后台方式启动vHSM管理模块;步骤二:vHSM管理模块检查Linux操作系统中已安装的vHSM就绪状态,对vHSM的镜像是否安装、容器是否配置、应用是否配置进行检查; 步骤三:vHSM管理模块启动所有通过检查的vHSM ;vHSM启动成功后,开始为应用主体提供指定密码服务; 步骤四:vHSM管理模块创建监控线程,线程创建成功后,开始监控多个vHSM ; 步骤五:管理模块循环等待管理员的指令,并进行响应;管理员指令包含了 vHSM的添加、删除、配置、启动、停止; 进一步的,所述vHSM添加功能是指管理模块将vHSM镜像解压安装到指定目录;删除功能是指管理模块删除vHSM的镜像安装目录和容器配置;启动功能是指管理模块根据vHSM对应的容器配置创建vHSM容器,并在容器中启动密码机应用;停止功能是指管理模块停止指定vHSM的密码机应用,并销毁该vHSM容器。一种基于容器虚拟化技术的密码机包括: 创建模块,通过Lunix系统工具制作vHSM用户态环境所需的根文件系统和密码机应用,并将其压缩形成vHSM镜像;并将vHSM镜像拷贝到目标物理密码机 vHSM管理模块,用于根据创建模块,将vHSM镜像解压并安装到指定目标物理密码机的目录中;然后进行vHSM容器配置及vHSM应用配置,并根据vHSM容器配置及vHSM应用配置创建vHSM ;最后管理vHSM的添加、删除、配置、启动、停止、监控功能。综上所述,由于采用了上述技术方案,本专利技术的有益效果是: 在单台物理加密机上实现多个安全隔离的vHSM,可以提供多种类型的密码服务,极大提高了密码机的可用性;通过在物理密码机上合理配置各vHSM使用的硬件资源配额,尤其是加密卡配额,充分利用密码机的各种硬件资源,从而大幅度降低用户的硬件设施成本投入;同时由于vHSM是根据用户实际应用需求进行资源配置,因此也增强了密码机的按需服务能力。与原密码机相比,密码机应用没有直接在Lunix操作系统中运行,而是在使用容器技术创建的安全隔离的vHSM空间中运行。同时在系统中增加了 vHSM管理模块实现对物理密码机上的所有vHSM的管理。本专利技术中基于容器的密码机,其应用主体直接面对vHSM,而不再直接与物理密码机进行交互;多个应用主体可以与运行在同一物理密码机上的多个独立的vHSM进行交互。同时,由于运行在vHSM中的密码机应用只改变了加密卡的使用方式,没有改变与应用主体的交互流程,因此应用主体无需做任何改动。管理员通过与vHSM管理模块交互,实现vHSM的添加、删除、配置、启动、停止等管理功能。管理员操作的vHSM添加功能是指管理模块将vHSM镜像解压安装到指定目录;删除功能是指管理模块删除vHSM的镜像安装目录和容器配置;启动功能是指管理模块根据vHSM对应的容器配置创建vHSM容器,并在容器中启动密码机应用;停止功能是指管理模块停止指定vHSM的密码机应用,并销毁该vHSM容器。特别的,配置功能包含容器配置功能和应用配置功能。管理员对vHSM的容器配置,由管理模块写入到宿主机文件系统,且只允许管理模块读写;管理员对vHSM的应用配置,由管理模块写入到vHSM文件系统中,且只允许该vHSM读取和管理模块写入。vHSM管理模块还会对所有投入运行的vHSM进行监控,及时发现vHSM的异常状态或异常退出情况,重启该vHSM并记录日志。【附图说明】本专利技术将通过例子并参照附图的方式说明,其中: 图1是基于容器虚拟化技术的密码机原理框图。图2是基于容器虚拟当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于容器虚拟化技术的密码机实现方法,其特征在于包括:步骤1: 通过Lunix系统工具制作vHSM用户态环境所需的根文件系统和密码机应用,并将其压缩形成vHSM镜像;步骤2:将vHSM镜像拷贝到目标物理密码机,由vHSM管理模块解压并安装到指定目标物理密码机的目录中;步骤3:通过vHSM管理模块进行vHSM容器配置,指定vHSM使用的硬件资源配额;步骤4:通过vHSM管理模块进行vHSM应用配置,指定vHSM密码机应用的运行设定;步骤5: vHSM管理模块根据步骤3与步骤4创建vHSM,并运行vHSM。
【技术特征摘要】
【专利技术属性】
技术研发人员:唐伟,熊文杰,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。