一種基于容器虛擬化技術(shù)的密碼機(jī)、實(shí)現(xiàn)及工作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全密碼技術(shù)領(lǐng)域,尤其是一種基于容器虛擬化技術(shù)的密碼機(jī)、實(shí)現(xiàn)及工作方法。
【背景技術(shù)】
[0002]容器虛擬化技術(shù)是一種由Linux內(nèi)核支持的輕量級操作系統(tǒng)虛擬化方式,以接近物理機(jī)的運(yùn)行效率提供虛擬化功能,與傳統(tǒng)的虛擬化技術(shù)相比,具有與宿主機(jī)共享內(nèi)核,啟動(dòng)速度快,性能損失極小等特點(diǎn)。容器虛擬化技術(shù)使用Linux內(nèi)核提供的NameSpace和CGroup等技術(shù)為應(yīng)用提供一個(gè)獨(dú)立的虛擬運(yùn)行環(huán)境,實(shí)現(xiàn)了容器間的安全隔離及各容器資源控制。其中,NameSpace技術(shù)為實(shí)現(xiàn)了容器間的進(jìn)程、用戶、網(wǎng)絡(luò)、文件系統(tǒng)空間安全隔離;而CGroup技術(shù)提供了各容器使用的CPU、內(nèi)存、網(wǎng)絡(luò)、10等物理資源配額管理功能。
[0003]密碼技術(shù)是信息安全的技術(shù)基礎(chǔ),密碼機(jī)是密碼技術(shù)安全應(yīng)用的基礎(chǔ)和信息化安全的核心。隨著我國信息化產(chǎn)業(yè)高速全面發(fā)展,作為信息安全基礎(chǔ)核心的密碼設(shè)備,在一直為信息產(chǎn)業(yè)與現(xiàn)代化服務(wù)業(yè)發(fā)展提供安全的密碼技術(shù)的同時(shí),也面臨越來越高的高可用性和資源利用率要求。
[0004]隨著信息系統(tǒng)業(yè)務(wù)的不斷發(fā)展,密碼設(shè)備在信息系統(tǒng)業(yè)務(wù)中的不斷增加,密碼設(shè)備種類和數(shù)量也隨之不斷增長。密碼機(jī)在實(shí)際應(yīng)用過程中,單臺(tái)密碼設(shè)備提供了特定生產(chǎn)環(huán)境下有限的密碼服務(wù),服務(wù)類型單一,資源利用率較低。當(dāng)需要其它密碼服務(wù)時(shí),通常只能通過添置相應(yīng)的密碼設(shè)備提供服務(wù),而不能重用原有密碼設(shè)備,造成資源進(jìn)一步浪費(fèi)。
【發(fā)明內(nèi)容】
[0005]本發(fā)明所要解決的技術(shù)問題是:針對現(xiàn)有技術(shù)存在的問題,提供一種基于容器虛擬化技術(shù)的密碼機(jī)、實(shí)現(xiàn)及工作方法,用于提高設(shè)備資源利用率,提升密碼設(shè)備的高可用性,并增強(qiáng)設(shè)備按需服務(wù)能力。
[0006]本發(fā)明采用的技術(shù)方案如下:
一種基于容器虛擬化技術(shù)的密碼機(jī)實(shí)現(xiàn)方法包括:
步驟1: Lunix系統(tǒng)工具制作vHSM用戶態(tài)環(huán)境所需的根文件系統(tǒng)和密碼機(jī)應(yīng)用,并將其壓縮形成vHSM鏡像;
步驟2:將vHSM鏡像拷貝到目標(biāo)物理密碼機(jī),由vHSM管理模塊解壓并安裝到指定目標(biāo)物理密碼機(jī)的目錄中;
步驟3:通過vHSM管理模塊進(jìn)行vHSM容器配置,指定vHSM使用的硬件資源配額;步驟4:通過vHSM管理模塊進(jìn)行vHSM應(yīng)用配置,指定vHSM密碼機(jī)應(yīng)用的運(yùn)行設(shè)定(設(shè)定指的是協(xié)議設(shè)置、端口設(shè)定、防火墻設(shè)置等);
步驟5: vHSM管理模塊根據(jù)步驟3與步驟4創(chuàng)建vHSM (虛擬密碼機(jī)),并運(yùn)行vHSM。
[0007]步驟6:重復(fù)上述步驟1到步驟5,在目標(biāo)物理密碼機(jī)中部署并運(yùn)行多個(gè)vHSM ;
進(jìn)一步的,所述vHSM容器配置指的是由vHSM管理模塊寫入到宿主機(jī)文件系統(tǒng),且只vHSM允許管理模塊讀寫。
[0008]進(jìn)一步的,所述vHSM應(yīng)用配置,由管理模塊寫入到vHSM文件系統(tǒng)中,且只允許該vHSM讀取和管理模塊寫入。
[0009]進(jìn)一步的,所述步驟5具體過程是:vHSM管理模塊從已安裝的vHSM鏡像,依據(jù)步驟3的容器配置創(chuàng)建vHSM,并依據(jù)步驟4的應(yīng)用配置在該vHSM中啟動(dòng)密碼機(jī)應(yīng)用。
[0010]進(jìn)一步的,所述Lunix系統(tǒng)的宿主機(jī)內(nèi)核包括NameSpace和CGroup功能。
[0011]進(jìn)一步的,所述步驟3中vHSM管理模塊進(jìn)行vHSM容器配置時(shí),CPU、內(nèi)存、網(wǎng)絡(luò)使用CGroup方式進(jìn)行配額;加密卡采用預(yù)先固定分派的方式進(jìn)行配額。
[0012]—種基于容器虛擬化技術(shù)的密碼機(jī)工作方法包括:
步驟一:目標(biāo)物理密碼機(jī)上電后啟動(dòng)Linux操作系統(tǒng);Linux操作系統(tǒng)啟動(dòng)成功后,調(diào)用Linux系統(tǒng)系統(tǒng)初始化腳本;在系統(tǒng)初始化腳本中以后臺(tái)方式啟動(dòng)vHSM管理模塊;步驟二:vHSM管理模塊檢查Linux操作系統(tǒng)中已安裝的vHSM就緒狀態(tài),對vHSM的鏡像是否安裝、容器是否配置、應(yīng)用是否配置進(jìn)行檢查;
步驟三:vHSM管理模塊啟動(dòng)所有通過檢查的vHSM ;vHSM啟動(dòng)成功后,開始為應(yīng)用主體提供指定密碼服務(wù);
步驟四:vHSM管理模塊創(chuàng)建監(jiān)控線程,線程創(chuàng)建成功后,開始監(jiān)控多個(gè)vHSM ;
步驟五:管理模塊循環(huán)等待管理員的指令,并進(jìn)行響應(yīng);管理員指令包含了 vHSM的添加、刪除、配置、啟動(dòng)、停止;
進(jìn)一步的,所述vHSM添加功能是指管理模塊將vHSM鏡像解壓安裝到指定目錄;刪除功能是指管理模塊刪除vHSM的鏡像安裝目錄和容器配置;啟動(dòng)功能是指管理模塊根據(jù)vHSM對應(yīng)的容器配置創(chuàng)建vHSM容器,并在容器中啟動(dòng)密碼機(jī)應(yīng)用;停止功能是指管理模塊停止指定vHSM的密碼機(jī)應(yīng)用,并銷毀該vHSM容器。
[0013]一種基于容器虛擬化技術(shù)的密碼機(jī)包括:
創(chuàng)建模塊,通過Lunix系統(tǒng)工具制作vHSM用戶態(tài)環(huán)境所需的根文件系統(tǒng)和密碼機(jī)應(yīng)用,并將其壓縮形成vHSM鏡像;并將vHSM鏡像拷貝到目標(biāo)物理密碼機(jī)
vHSM管理模塊,用于根據(jù)創(chuàng)建模塊,將vHSM鏡像解壓并安裝到指定目標(biāo)物理密碼機(jī)的目錄中;然后進(jìn)行vHSM容器配置及vHSM應(yīng)用配置,并根據(jù)vHSM容器配置及vHSM應(yīng)用配置創(chuàng)建vHSM ;最后管理vHSM的添加、刪除、配置、啟動(dòng)、停止、監(jiān)控功能。
[0014]綜上所述,由于采用了上述技術(shù)方案,本發(fā)明的有益效果是:
在單臺(tái)物理加密機(jī)上實(shí)現(xiàn)多個(gè)安全隔離的vHSM,可以提供多種類型的密碼服務(wù),極大提高了密碼機(jī)的可用性;通過在物理密碼機(jī)上合理配置各vHSM使用的硬件資源配額,尤其是加密卡配額,充分利用密碼機(jī)的各種硬件資源,從而大幅度降低用戶的硬件設(shè)施成本投入;同時(shí)由于vHSM是根據(jù)用戶實(shí)際應(yīng)用需求進(jìn)行資源配置,因此也增強(qiáng)了密碼機(jī)的按需服務(wù)能力。
[0015]與原密碼機(jī)相比,密碼機(jī)應(yīng)用沒有直接在Lunix操作系統(tǒng)中運(yùn)行,而是在使用容器技術(shù)創(chuàng)建的安全隔離的vHSM空間中運(yùn)行。同時(shí)在系統(tǒng)中增加了 vHSM管理模塊實(shí)現(xiàn)對物理密碼機(jī)上的所有vHSM的管理。
[0016]本發(fā)明中基于容器的密碼機(jī),其應(yīng)用主體直接面對vHSM,而不再直接與物理密碼機(jī)進(jìn)行交互;多個(gè)應(yīng)用主體可以與運(yùn)行在同一物理密碼機(jī)上的多個(gè)獨(dú)立的vHSM進(jìn)行交互。同時(shí),由于運(yùn)行在vHSM中的密碼機(jī)應(yīng)用只改變了加密卡的使用方式,沒有改變與應(yīng)用主體的交互流程,因此應(yīng)用主體無需做任何改動(dòng)。
[0017]管理員通過與vHSM管理模塊交互,實(shí)現(xiàn)vHSM的添加、刪除、配置、啟動(dòng)、停止等管理功能。管理員操作的vHSM添加功能是指管理模塊將vHSM鏡像解壓安裝到指定目錄;刪除功能是指管理模塊刪除vHSM的鏡像安裝目錄和容器配置;啟動(dòng)功能是指管理模塊根據(jù)vHSM對應(yīng)的容器配置創(chuàng)建vHSM容器,并在容器中啟動(dòng)密碼機(jī)應(yīng)用;停止功能是指管理模塊停止指定vHSM的密碼機(jī)應(yīng)用,并銷毀該vHSM容器。
[0018]特別的,配置功能包含容器配置功能和應(yīng)用配置功能。管理員對vHSM的容器配置,由管理模塊寫入到宿主機(jī)文件系統(tǒng),且只允許管理模塊讀寫;管理員對vHSM的應(yīng)用配置,由管理模塊寫入到vHSM文件系統(tǒng)中,且只允許該vHSM讀取和管理模塊寫入。
[0019]vHSM管理模塊還會(huì)對所有投入運(yùn)行的vHSM進(jìn)行監(jiān)控,及時(shí)發(fā)現(xiàn)vHSM的異常狀態(tài)或異常退出情況,重啟該vHSM并記錄日志。
【附圖說明】
[0020]本發(fā)明將通過例子并參照附圖的方式說明,其中:
圖1是基于容器虛擬化技術(shù)的密碼機(jī)原理框圖。
[0021]圖2是基于容器虛擬