(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106602.6 (22)申请日 2022.09.13 (71)申请人 中安网脉 （北京） 技 术股份有限公司 地址 100071 北京市丰台区五圈南路3 0号 院1号楼B座8-10层 (72)发明人 刘歆　郭磊　王亮　王天顺　 (74)专利代理 机构 北京君有知识产权代理事务 所(普通合伙) 11630 专利代理师 焦丽雅 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G06F 21/45(2013.01) G06F 21/33(2013.01) G06F 21/34(2013.01) (54)发明名称 一种虚拟云密码服 务系统及方法 (57)摘要 本发明涉及一种虚拟云密码服务系统及方 法。 所述虚拟云密码服务系统包括计算设备、 云 服务端、 物理密码卡； 所述物理密码卡通过专用 接口连接计算设备； 所述计算设备安装有云密码 管理系统， 所述云密码管理系统用于创建虚拟密 码机； 所述计算设备通过安全网络连接云服务 端;所述云服务端包括虚拟密码机接口， 所述虚 拟密码机连接所述虚拟密码机接口； 所述云服务 端还包括虚拟密码服务模块， 用于向云服务端的 其他有密码使用需求的应用提供密码服 务。 权利要求书2页 说明书5页 附图2页 CN 115189896 A 2022.10.14 CN 115189896 A 1.一种虚拟云密码服务系统， 其特征在于， 所述虚拟云密码服务系统包括计算设备、 云 服务端、 物理密码卡； 所述物理密码卡 通过专用接口连接计算设备； 所述计算设备安装有云密码管理系统， 所述云密码管理系统用于创建虚拟密码机； 所述计算设备通过安全网络连接云服 务端； 所述云服 务端包括虚拟密码机 接口， 所述虚拟密码机连接所述虚拟密码机 接口； 所述云服务端还包括虚拟密码服务模块， 用于向云服务端的其他有密码使用需求的应 用提供密码服 务。 2.根据权利要求1所述的一种虚拟云密码服务系统， 其特征在于， 所述云密码管理系统 发出物理密码卡初始化指令， 初始化所述物理密码卡； 所述物理密码卡的管理员通过计算设备在所述云密码管理系统中进行鉴权操作， 所述 云密码管理系统对所述物理密码卡的管理员进行身份验证， 并产生物理密码卡的设备密 钥， 使物理密码卡进入工作状态； 所述云密码管理系统获取 所述物理密码卡的设备密钥。 3.根据权利要求1所述的一种虚拟云密码服务系统， 其特征在于， 所述虚拟密码服务模 块包括服务管理单 元和应用程序连接单 元； 所述服务管理单元连接所述虚拟密码机接口， 获取所述虚拟密码机的资源， 包括数字 证书、 公钥， 并通过所述安全网络， 获取所述物理密码卡提供的数字签名服务、 加密和/或解 密服务； 所述服务管理单元连接还连接所述应用程序连接单元， 通过所述服务管理单元遮蔽物 理密码卡的结构和操作细节， 并为所述应用程序连接服 务提供服务调用接口。 4.根据权利要求3所述的一种虚拟云密码服务系统， 其特征在于， 所述服务管理单元遮 蔽物理密码卡的结构和操作细节， 并为所述应用程序连接服务提供服务调用接口， 具体包 括： 将物理密码卡抽象为一个Token,通过一个符合安全服务框架的CSP动态连接库文件， 将 这个Token对应的CS P签名文件导入注 册表， 从而使得CryptoAPI能够调用密码服 务。 5.根据权利要求3所述的一种虚拟云密码服务系统， 其特征在于， 所述应用程序连接单 元用于向云服 务端的其 他有密码使用需求的应用提供 标准API， 从而实现密码调用; 所述应用程序连接单元向服务管理单元提供指定的密码服务系统层接口协议， 所述服 务管理单 元依照该密码服 务系统层接口协议与所述应用程序连接单 元进行信息交 互。 6.根据权利要求5所述的一种虚拟云密码服务系统， 其特征在于， 所述计算设备和所述 云服务端中均安装所述物理密码卡的驱动程序； 所述虚拟密码机 中安装物理密码卡模拟器， 用于实现所述计算设备中的物理密码卡驱 动程序与所述云服 务端中的物理密码卡驱动程序的通信。 7.根据权利要求6所述的一种虚拟云密码服务系统， 其特征在于， 所述云服务端包括多 个租户， 所述云服务端还包括密码运算资源调 度模块， 用于对密码资源进 行调度管理， 避免 同一个租户的不同密码虚拟机对应于同一个物理密码卡； 所述密码运算资源调度模块对各个租户进行密码服务资源的实时分配， 从而确保仅在 所述租户提出密码服 务需求时， 才提供相互之间完全隔离的密码运 算服务。 8.根据权利要求7所述的一种虚拟云密码服务系统， 其特征在于， 所述密码运算资源调权　利　要　求　书 1/2 页 2 CN 115189896 A 2度模块， 用于创建租户、 向租户分配虚拟密码机、 对虚拟密码 机进行开启/停止控制； 在发生 故障时， 所述密码运算资源调度模块能够向所述计算设备发送报警， 通知物理密码卡的管 理员。 9.根据权利要求7所述的一种虚拟云密码服务系统， 其特征在于， 所述物理密码卡和所 述虚拟密码机均为多个， 并且所述虚拟密码机的数量等于云密码服务租户的数量， 并且大 于所述物理密码卡的数量。 10.一种虚拟云密码服务方法， 采用如权利要求1 ‑9中任一项所述的虚拟云密码服务系 统， 其特征在于， 所述虚拟云密码服 务方法包括下列步骤： S1. 所述计算设备通过安全网络与所述云服务端建立安全连接， 所述云密码管理系统 发出物理密码卡初始化指令， 初始化物理密码卡； S2.所述云密码管理系统对物理密码卡的管理员进行身份验证， 并产生物理密码卡的 设备密钥， 使物理密码卡进入工作状态； S3. 所述云密码管理系统发出虚拟密码机创建指令， 创建虚拟密码机； S4. 所述云服 务端中有密码使用需求的应用向应用程序连接单 元发送密码服 务请求； S5. 所述应用程序 连接单元将所述密码服务请求发送到服务管理单元， 所述服务管理 单元调用所述虚拟密码机； S6. 所述虚拟密码机根据所述密码服务请求生产密码验证参数， 并将密码验证参数发 送到所述 服务管理单 元； S7. 所述服务管理单元通过所述安全网络， 将所述密码验证参数发送到所述云密码管 理系统； S8. 所述云密码管理系统将所述密码验证参数通过所述专用接口发送到所述物理密 码卡； S9. 所述物理密码卡执 行密码运 算， 并向所述云密码管理系统发送验证结果信息； S10. 所述云密码管理系统将验证结果通过所述安全网络发送到所述云服务端， 并通 过所述虚拟密码服 务模块发送到所述云服 务端中有密码使用需求的应用， 完成密码服 务。权　利　要　求　书 2/2 页 3 CN 115189896 A 3