本实用新型专利技术公开一种用于云服务器的密钥管理装置,包括:包括主机设备,连接到主机设备的密码卡,以及USB key;所述主机设备包括机箱、主板、CPU、内存卡、硬盘、电源、网卡;主机设备的机箱具有前面板,前面板上设置有指示灯,电源灯、工作灯、IC卡灯、告警灯,安全状态锁指示灯;所述机箱上设置有密钥销毁按钮、机箱盖锁、USB key;所述密码卡通过PCI‑E接口与密钥管理装置的主机设备连接,所述密码卡上设置有安全存储芯片,以及设置有掉电保护电路;述USB key是从外部插到机箱上的一个硬件;网卡作为网络端口用于连接外部主机。采用本实用新型专利技术可实现密码设备的有效管理和维护,满足云计算环境、传统计算环境中数据加密保护、密钥管理及身份认证等安全需求。
【技术实现步骤摘要】
一种用于云服务器的密钥管理装置
本技术公布了一种用于云服务器的密钥管理装置,特别是针对支持数据保护、电子签章、数字签名和金融运用等多业务功能云服务器密钥管理装置内虚拟密钥管理装置(VirtualSecurityMode,VSM)及其集群中所含密钥的管理装置。
技术介绍
一方面随着国产密码算法的推广应用,基于国产密码算法的密码服务在金融、能源、电力、电子政务、交通、教育、保险等重要领域和重要信息系统的应用需求越来越迫切。另一方面随着安全意识和要求的不断提高,基于IntelCPU及套片的服务主机及基于windows、非国产Linux操作系统的主机服务也带来另外的风险,特别是潜在的后门和陷阱风险,这对我国很多重要应用场景造成一定的潜在风险。
技术实现思路
针对现有密钥管理装置的不足,提出了一种用于云服务器的密钥管理装置,特别是针对支持数据保护、电子签章、数字签名和金融运用等多业务功能云服务器及其集群中所含密钥的管理装置。本技术的技术方案为:一种用于云服务器的密钥管理装置,包括:包括主机设备,连接到主机设备的密码卡,以及USBkey;所述主机设备包括机箱、主板、CPU、内存卡、硬盘、电源、网卡;主机设备的机箱具有前面板,前面板上设置有指示灯,电源灯、工作灯、IC卡灯、告警灯,安全状态锁指示灯;所述机箱上设置有密钥销毁按钮、机箱盖锁、USBkey;所述密码卡通过PCI-E接口与密钥管理装置的主机设备连接,所述密码卡上设置有安全存储芯片,以及设置有掉电保护电路;r>所述USBkey是从外部插到机箱上的一个硬件,其上有存储器用于存储用户私钥;网卡作为网络端口用于连接外部主机。进一步的,所述密钥管理装置的机箱前面板上的指示灯连接到主板,用于指示所述密钥管理装置是否启动设备监控进程。进一步的,所述密钥管理装置的机箱上设置有密钥销毁按钮,通过线路连接到主板。进一步的,所述密钥管理装置的机箱还包括机箱盖锁,只有通过机箱相匹配的钥匙才能打开相应的机箱盖,进行相应的拆卸操作,增加在物理安全性。进一步的,所述IC卡灯通过电路连接到主板。进一步的,所述安全状态锁指示灯通过电路连接到主板,用于指示当前安全状态。优选的,所述密钥销毁按钮,用于清除内部存储的所有密钥数据。优选的,所述安全状态锁指示灯,用于指示当前设备的安全状态,控制设备的安全操作:在避免死锁的方法中,允许进程动态地申请资源,系统在进行资源分配之前,先计算资源分配的安全性。若分配不会导致系统进入不安全状态,则将资源分配给进程;否则,此时安全状态锁指示灯亮起,进程等待。优选地,密钥管理装置采用印制电路板设计(PrintedCircuitBoard,PCB):采用多层电路板设计,采用低压内核芯片。PCB设计采用优化设计方案,具备多层独立地线和电源层。同时各关键部件均采用金属外壳接地的屏蔽盖,具有较好的电磁兼容性,能有效减少电磁辐射和信号干扰。优选地,元器件选型选用具有安全功能的器件:如安全处理器、智能IC卡。优选地密钥存储部件,采用芯片内部支持存储区安全访问控制功能的密码芯片,密码卡上设计有掉电保护电路,可以很好地保证密钥的安全。优选地,所述密钥管理装置还包含密钥销毁机制设计,密钥管理装置通过VSM客户端进行关机操作即可实现清除内部存储的所有密钥数。优选地,密钥管理装置的机箱设计,采用优质重工业钢和整体式外壳结构,坚固耐用。优选地,所述密钥管理装置通讯层还包含TCP/IP通讯模块和串口通讯模块。处理客户端连接请求,通讯报文的接收和发送,进行报文的最基础的合法性判断(两字节长度与后续的报文长度是否一致):TCP/IP通讯模块,为设备管理服务提供阻塞式的SOCKET通讯接口,为主机密码服务提供非阻塞的SOCKET通讯接口;密钥管理装置仅提供必要的物理通信接口,包括:管理网口,用于连接设备管理客户端,提供设备管理配置和设备诊断等功能。主机服务网口,用于连接业务系统主机,提供TCP/IP协议的主机密码服务。密码卡(5)驱动模块,主要实现密码卡(5)与主机系统间的命令数据透明传递。设备的运算接口模块通过驱动将数据传递给密码卡(5),密码卡(5)完成运算后,将运算结果返回给驱动程序,驱动程序将运算结果再返回给密码卡(5)运算接口模块。密码卡(5)通过PCI-E接口与云服务器密钥管理装置主机进行通讯,其驱动进行了严格的管理和标识,所有密码卡(5)的驱动都集成在整体软件架构的最低一层,外部用户无法直接访问到驱动层,而需要通过接口层和服务层的认证。驱动层支持透明传输上层应用系统和设备缓存区之间的数据,不截获、解析应用系统中的数据结构。优选地,密钥管理装置随机附带多张空白Ukey,客户可根据系统的安全需求制定相应的Ukey卡管理规定,如客户可自行定义Ukey的类型,为Ukey进行格式化(个人化)操作,包括Ukey的生成日期、用户标识、发卡机构标识、保护口令等。优选地,所述密钥管理装置还包含防拆撬工艺设计,为了防止非法拆卸机箱和暴力拆撬机箱,在云服务器密钥管理装置的机箱工艺设计上增加了机箱锁,只有通过机箱相匹配的钥匙才能打开相应的机箱盖,进行相应的拆卸操作。从而使云服务器密钥管理装置在物理安防工艺设计上增加了相应的防护措施。有益效果:该密钥管理装置是基于PCI-E密码卡搭建的应用安全设备,其主要功能特点有:严格的管理控制机制:支持基于智能USBkey的分级权限管理功能,通过身份合法性认证后才能操控或使用该设备,提高密码设备自身的安全性。支持多种操作系统:应用系统客户端与密码机之间采用TCP/IP协议进行通信,可支持多种主流操作系统的应用主机。密钥管理装置内依据规范进行严格的随机数自检,包括出厂检测、上电自检、周期自检及每次使用的单次检测,任何一类检测失败将通过告警灯对外警示,且在接收到相关密码运算请求时也将拒绝服务,返回随机数检测失败错误。与通用的密钥管理装置相比,本技术针对云环境下多模态海量密钥专门设计了管理装置,本技术同时支持国产密码SM1/2/3/4,支持对称密钥以密钥角色和算法标识来控制密钥的安全使用,支持密钥管理和主机指令服务,特别是海量密钥管理的并行处理等诸多优点。云服务器密钥管理装置可按需将VSM分配给业务系统使用,并可弹性调整VSM的性能,从而实现密码计算资源的集约利用、动态伸缩,以及密码设备的有效管理和维护,满足云计算环境、传统计算环境中数据加密保护、金融支付、密钥管理及身份认证等安全需求。附图说明图1为本技术装置的硬件结构图;图2为新型实例硬件逻辑框图。图中:1、主板;2、网卡;3、本地硬件;4、电源;5、密码卡;6、机箱盖锁;7、内存卡;8、硬盘;9、指示灯;10、密钥销毁按钮;11、安全状态锁指示灯;12、USBkey。具体实施方式下面将结合本本文档来自技高网...
【技术保护点】
1.一种用于云服务器的密钥管理装置,其特征在于,包括:/n包括主机设备,连接到主机设备的密码卡,以及USB key;/n所述主机设备包括机箱、主板、CPU、内存卡、硬盘、电源、网卡;/n主机设备的机箱具有前面板,前面板上设置有指示灯,电源灯、工作灯、IC卡灯、告警灯,安全状态锁指示灯;/n所述机箱上设置有密钥销毁按钮、机箱盖锁、USB key;/n所述密码卡通过PCI-E接口与密钥管理装置的主机设备连接,所述密码卡上设置有安全存储芯片,以及设置有掉电保护电路;/n所述USB key是从外部插到机箱上的一个硬件,其上有存储器用于存储用户私钥;/n网卡作为网络端口用于连接外部主机。/n
【技术特征摘要】
1.一种用于云服务器的密钥管理装置,其特征在于,包括:
包括主机设备,连接到主机设备的密码卡,以及USBkey;
所述主机设备包括机箱、主板、CPU、内存卡、硬盘、电源、网卡;
主机设备的机箱具有前面板,前面板上设置有指示灯,电源灯、工作灯、IC卡灯、告警灯,安全状态锁指示灯;
所述机箱上设置有密钥销毁按钮、机箱盖锁、USBkey;
所述密码卡通过PCI-E接口与密钥管理装置的主机设备连接,所述密码卡上设置有安全存储芯片,以及设置有掉电保护电路;
所述USBkey是从外部插到机箱上的一个硬件,其上有存储器用于存储用户私钥;
网卡作为网络端口用于连接外部主机。
2.根据权利要求1所述的一种用于云服务器的密钥管理装置,其特征在于:所述密钥管理装置的机箱前面板上的指示灯连接到主板,用于指示所述密钥管理装置是否启动设备监控进...
【专利技术属性】
技术研发人员:许盛伟,封化民,刘飚,江继军,
申请(专利权)人:北京电子科技学院,
类型:新型
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。