量子密码服务资源池
量子密码服务资源池是集量子密码设备、量子密码系统、量子密码服务、量子密码管理于一体的密码综合服务管理平台,为云平台、大数据平台等业务集中化应用场景提供一站式密码服务,降低密码应用接入的复杂度,减轻应用系统开发人员工作量,引导业务系统合规、正确、有效应用密码,提升密码应用安全性及管理效率,节约密码合规性服务成本,更好推进密码合规性用。
量子密码服务平台采用高内聚、低耦合的模块化设计方法,依托密码控制平面和密码服务平面相分离的体系结构,实现密码资源按需部署、按需分配、 按需接入、按需扩展的动态弹性部署模式。
分类:
分享
描述
量子密码服务资源池包括量子密码基础平台、量子密码控制平面和量子密码服务平面三个组成。
1 量子密码基础平台
量子密码基础平台包括密码设备资源池和密码基础设施两个部分。
量子密码设备资源池提供基本密码计算和密钥管理的密码设备,可以包括服务器密码机、云服务器密码机、签名验签服务器、SSL和IPSec VPN设备等。
量子密码基础平台包括密码设备资源池和密码基础设施两个部分。
量子密码设备资源池提供基本密码计算和密钥管理的密码设备,可以包括服务器密码机、云服务器密码机、签名验签服务器、SSL和IPSec VPN设备等。
量子密码设备资源遵循相应的商用密码标准,提供密码密码运算和密钥管理等功能。量子密码资源池支持不同厂家密码设备的接入。通过密码控制平面和密码服务平面的管理,密码资源池支持密码设备的动态扩展和故障漂移。
量子密码基础设施设备提供基础的密码服务支撑能力,包括证书管理系统、密钥管理系统、授权管理系统、动态口令管理、时间戳服务、电子签章管理等。
量子密码基础设施可以采用信息系统网络中已有的部分或全部系统,也可以根据建设管理需要新建系统。量子密码服务资源池遵循商用密码标准,支持不同厂家的密码基础设施接入。
量子密码基础设施设备提供基础的密码服务支撑能力,包括证书管理系统、密钥管理系统、授权管理系统、动态口令管理、时间戳服务、电子签章管理等。
量子密码基础设施可以采用信息系统网络中已有的部分或全部系统,也可以根据建设管理需要新建系统。量子密码服务资源池遵循商用密码标准,支持不同厂家的密码基础设施接入。
2 量子密码控制平面
量子密码控制平面通过对密码租户、租户应用、密码需求以及密码设备的统一管理,采用软件定义服务及密码资源自动编排技术,为不同租户(应用系统)分配相匹配的密码资源,并生成密码资源访问控制策略,用于密码服务平面资源使用过程中的细粒度访问控制决策。
量子密码控制平面主要包括密码应用系统统一管理、密码设备统一管理、密码资源统一管理等功能,以密码资源安全为核心、资源利用最大化为原则,为应用系统按需分配密码资源,并支撑应用系统密码资源需求的动态扩展。提供密码服务和密码资源安全功能,满足云平台、大数据环境中云资源迁移需求。部署在云平台环境下,控制平面可为云平台管理系统提供资源管理接口。
量子密码控制平面通过对密码租户、租户应用、密码需求以及密码设备的统一管理,采用软件定义服务及密码资源自动编排技术,为不同租户(应用系统)分配相匹配的密码资源,并生成密码资源访问控制策略,用于密码服务平面资源使用过程中的细粒度访问控制决策。
量子密码控制平面主要包括密码应用系统统一管理、密码设备统一管理、密码资源统一管理等功能,以密码资源安全为核心、资源利用最大化为原则,为应用系统按需分配密码资源,并支撑应用系统密码资源需求的动态扩展。提供密码服务和密码资源安全功能,满足云平台、大数据环境中云资源迁移需求。部署在云平台环境下,控制平面可为云平台管理系统提供资源管理接口。
3 量子密码服务平面
量子密码服务平面为每个租户(应用)提供相互隔离的密码服务环境,根据密码控制平面生成的访问控制策略,在为租户提供各类密码服务的同时,确保租户对自身密码资源的独占性。
量子密码服务平面采用虚拟机或微服务架构,为每个租户提供独立的密码服务环境,同时对租户隐藏具体密码设备信息,租户仅可对已分配的密码资源进行管理及使用,并不掌握执行密码运算的具体对象,也不能直接访问具体密码设备。通过密码服务及密码资源访问控制策略建立起应用系统与密码设备之间数据流平面。
量子密码服务平面包括各类应用 API 接口、API 接口对应的密码服务、密码服务运行环境、密码基础平台。其中密码基础平台包括密码设备资源及密码基础设施。
量子密码服务平面为每个租户(应用)提供相互隔离的密码服务环境,根据密码控制平面生成的访问控制策略,在为租户提供各类密码服务的同时,确保租户对自身密码资源的独占性。
量子密码服务平面采用虚拟机或微服务架构,为每个租户提供独立的密码服务环境,同时对租户隐藏具体密码设备信息,租户仅可对已分配的密码资源进行管理及使用,并不掌握执行密码运算的具体对象,也不能直接访问具体密码设备。通过密码服务及密码资源访问控制策略建立起应用系统与密码设备之间数据流平面。
量子密码服务平面包括各类应用 API 接口、API 接口对应的密码服务、密码服务运行环境、密码基础平台。其中密码基础平台包括密码设备资源及密码基础设施。
量子密码设备资源由密码资源池提供,主要包括服务器密码机、云服务器密码机、签名验签服务器、SSLVPN 等加密签名密码设备。 量子密码基础设施为密码应用提供基础类支撑,量子密码资源池可调用由第三方提供的密码基础设施,也可由资源池统一部署一个或多个密码基础设施。量子密码基础设施也可为其它用户(不是本密码资源池租户或应用)提供密码支撑服务。
应用部署场景
为确保产品与服务的可持续性和安全性,量子密码资源池采用独立部署的方式。云平台、数据中心或者应用系统集中的网络中,量子密码资源池作为独立密码系统接入到业务系统中心交换机中,提供密码资源服务。对于远程采用传输层安全保护的业务系统数据,采用 SDN 技术,将数据从中心交换机引流进入量子密码资源池VPN设备中处理后,传递到相应业务系统进一步处理。
租户或应用系统接入量子密码服务资源池一般采用 “密码需求分析”+“密码方案设计”+“业务系统密码改造”+“密码资源配置”+“租户密码资源管理”几个步骤。
为确保产品与服务的可持续性和安全性,量子密码资源池采用独立部署的方式。云平台、数据中心或者应用系统集中的网络中,量子密码资源池作为独立密码系统接入到业务系统中心交换机中,提供密码资源服务。对于远程采用传输层安全保护的业务系统数据,采用 SDN 技术,将数据从中心交换机引流进入量子密码资源池VPN设备中处理后,传递到相应业务系统进一步处理。
租户或应用系统接入量子密码服务资源池一般采用 “密码需求分析”+“密码方案设计”+“业务系统密码改造”+“密码资源配置”+“租户密码资源管理”几个步骤。
