虚拟加密机管理方法、装置、计算机设备和存储介质制造方法及图纸

本申请涉及云计算、云安全和虚拟化技术，特别涉及一种虚拟加密机管理方法、系统、计算机设备和存储介质。该方法包括：接收用户端通过专用网络发送的业务请求；业务请求携带第一目标网络地址，第一目标网络地址是在部署虚拟加密机时分配的、且为虚拟加密机用于对外通信的专用网络下的网络地址；根据第一目标网络地址获取与虚拟加密机对应的安全组；通过安全组对业务请求进行过滤；将过滤后的业务请求根据第二目标网络地址进行转发，以将过滤后的业务请求发送至虚拟加密机；第二目标网络地址是硬件加密机虚拟出虚拟加密机时分配的、且为虚拟加密机对内通信的专用网络下的网络地址。采用本方法可避免因收到无效请求或遭受攻击而影响加密机性能。

【技术实现步骤摘要】
虚拟加密机管理方法、装置、计算机设备和存储介质
本申请涉及云加密
，特别是涉及一种虚拟加密机管理方法、装置、计算机设备和存储介质。
技术介绍
在常见的保密通信场景中，通常采用硬件加密机进行私有化部署，然后对部署的加密机进行访问以实现相应的业务服务，如通过加密机分发的密钥对相应业务数据进行加密或签名，以确保业务数据的安全。然而，通过直接对加密机进行访问的方式，可能会使加密机收到众多无效的请求，以及容易使加密机遭受攻击而导致加密机的性能下降。
技术实现思路
基于此，有必要针对上述技术问题，提供一种能够避免因收到无效请求或遭受攻击而导致加密机性能下降的虚拟加密机管理方法、装置、计算机设备和存储介质。一种虚拟加密机管理方法，所述方法包括：接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。一种虚拟加密机管理系统，所述系统包括：服务器，用于在接收到加密机部署请求时，从加密机资源池中选取虚拟加密机，根据所述虚拟加密机的加密机标识获取专用网络下的用于对外通信的第一目标网络地址，并建立所述第一目标网络地址与所述虚拟加密机之间的关联关系；以及，在硬件加密机虚拟出所述虚拟加密机时，根据所述加密机标识获取所述专用网络下的用于对内通信的第二目标网络地址，并建立所述第二目标网络地址与所述虚拟加密机之间的关联关系；根据所述虚拟加密机的网络隔离需求配置安全组；网络设备，用于接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址；确定与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机。一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；通过所述安全组对所述业务请求进行过滤；依据所述第一目标网络地址获取第二目标网络地，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。上述虚拟加密机管理方法、装置、计算机设备和存储介质，部署虚拟加密机，并在专用网络中为该虚拟加密机分配对外通信的第一目标网络地址以及对内通信的第二目标网络地址，以便用户端利用该第一目标网络地址发送业务请求，并通过第二目标网络地址将业务请求转发至虚拟加密机，从而避免用户端直接访问加密机，从而可以保证虚拟加密机的安全。此外，在将业务请求发送至虚拟加密机之前，还利用安全组对各业务请求进行过滤，从而可以避免恶意请求的入侵，以及避免无关或无效的无效请求的泛滥，保证了虚拟加密机的网络吞吐能力，有利于提高虚拟加密机的性能。附图说明图1为一个实施例中虚拟加密机管理方法的应用环境图；图2为一个实施例中虚拟加密机管理方法的流程示意图；图3为一个实施例中下发安全组步骤的流程示意图；图4为一个实施例中显示虚拟加密机的页面示意图；图5为一个实施例中选取安全组的界面示意图；图6为一个实施例中安全组在VPC网络下利用出入站规则对VSM流量进行控制的结构示意图；图7为一个实施例中虚拟加密机与VIP地址通信的结构示意图；图8为另一个实施例中虚拟加密机管理方法的流程示意图；图9为一个实施例中虚拟加密机发生异常时进行迁移步骤的流程示意图；图10a为一个实施例中部署虚拟加密机步骤的流程示意图；图10b为一个实施例中部署虚拟加密机步骤的流程示意图；图11为一个实施例中加密机配置页面的示意图；图12为一个实施例中系统架构的结构示意图；图13为一个实施例中用户端的架构的结构示意图；图14为另一个实施例中部署虚拟加密机步骤的流程示意图；图15为一个实施例中运营端的架构的结构示意图；图16为一个实施例中业务流的架构的结构示意图；图17为一个实施例中远程连接云端CVM的界面示意图；图18为一个实施例中CVM管控虚拟加密机的登陆页面的页面示意图；图19为一个实施例中部署加密机的装置的结构框图；图20为一个实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。在本申请中，涉及到了云计算、云安全和虚拟化
，首先分别对云计算、云安全和虚拟化技术进行介绍：云计算(cloudcomputing)是一种计算模式，它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云本文档来自技高网...

【技术保护点】
1.一种虚拟加密机管理方法，其特征在于，所述方法包括：/n接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；/n根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；/n通过所述安全组对所述业务请求进行过滤；/n依据所述第一目标网络地址获取第二目标网络地址，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。/n

【技术特征摘要】
1.一种虚拟加密机管理方法，其特征在于，所述方法包括：
接收用户端通过专用网络发送的业务请求；所述业务请求携带第一目标网络地址，所述第一目标网络地址是在部署虚拟加密机时分配的、且为所述虚拟加密机用于对外通信的所述专用网络下的网络地址；
根据所述第一目标网络地址获取与所述虚拟加密机对应的安全组；所述安全组是在部署所述虚拟加密机时，根据所述虚拟加密机的网络隔离需求配置的；
通过所述安全组对所述业务请求进行过滤；
依据所述第一目标网络地址获取第二目标网络地址，将过滤后的业务请求根据所述第二目标网络地址进行转发，以将所述过滤后的业务请求发送至所述虚拟加密机；所述第二目标网络地址是硬件加密机虚拟出所述虚拟加密机时分配的、且为所述虚拟加密机对内通信的所述专用网络下的网络地址。


2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
接收加密机部署请求；所述加密机部署请求携带基础参数和网络参数；
根据所述加密机部署请求从加密机资源池中选取虚拟加密机，并对所选取的虚拟加密机配置所述基础参数和所述网络参数，得到已部署的虚拟加密机；
其中，所述加密机资源池是由不同类型的虚拟加密机所形成；所述基础参数用于确定所述虚拟加密机的部署数量和使用区域；所述网络参数用于确定所述用户端访问所述虚拟加密机时所采用的专用网络。


3.根据权利要求1所述的方法，其特征在于，所述方法还包括：
获取所述虚拟加密机的运行信息；
若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机。


4.根据权利要求3所述的方法，其特征在于，所述若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机包括：
若已部署的虚拟加密机为至少两个、且根据所述运行信息确定所述已部署的虚拟加密机中处于使用状态的所述虚拟加密机发生异常，则
在所述已部署的虚拟加密机中选取未发生异常的目标虚拟加密机；
将与所述虚拟加密机之间的通信连接进行迁移，以与所述目标虚拟加密机建立通信连接；所述通信连接是基于所述专用网络建立的连接。


5.根据权利要求3所述的方法，其特征在于，所述若根据所述运行信息确定所述虚拟加密机发生异常，将基于所述专用网络与所述虚拟加密机之间的通信连接迁移至未发生异常的目标虚拟加密机包括：
若已部署的虚拟加密机为至少一个、且根据所述运行信息确定所述虚拟加密机发生异常，则
从加密机资源池中选取未发生异常的目标虚拟加密机；
将与所述虚拟加密机之间的通信连接进行迁移，以与所述目标虚拟加密机建立通信连接。


6.根据权利要求2所述的方法，其特征在于，所述对所选取的虚拟加密机配置所述基础参数和所述网络参数之后，所述方法还包括：
读取所述虚拟加密机的索引信息；
根据所述索引信息获取加密机标识；
根据所述加密机标识确定第一目标网络地址，并建立所述第一目标网络地址与所述虚拟加密机之间的关联关系。


7.根据权利要求6所述的方法，其特征在于，所述建立所述第一目标网络地址与所述虚拟加密机之间的关联关系之后，所述方法还包括：
获取第一端口配置请求；
在与所述虚拟加密机的服务端口对应的候选标识中，根据所述第一端口配置请求选取第一公开标识，所述第一公开标识用于表示所述用户端通过所述第一目标网络地址和服务端口号访问所述服务端口；
所述接收用户端通过专用网络发送的业务请求包括：
基于所述虚拟加密机的服务端口接收用户端通过专用网络发送的业务请求。

【专利技术属性】
技术研发人员：陈阳欣，董志强，李滨，姬生利，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44