智能化密码服务平台

本发明涉及信息系统安全技术领域，特别涉及智能化密码服务平台。

在面对复杂的网络安全环境，密码技术已广泛的应用于网络安全身份认证、数字签名、数据信息加密等各个业务环节。密码服务系统作为安全应用系统中的重要组成部分也变得越来越重要和复杂。目前，密码服务系统主要是同厂商、同类型以及同型号的设备进行组网集运行。但是由于各类密码服务系统的建设周期不统一，会使用不同厂商、不同类型以及不同型号的设备，导致需要针对性开发部署多套密码服务系统，服务能力弱、可扩展性差，无法满足业务发展规模的不断扩展。

为此，需要具有较高扩展性，能够灵活组网的智能化密码服务平台。

本发明提供了智能化密码服务平台，能够提高扩展性，实现灵活组网，以支持不同厂商密码设备。

为了解决上述技术问题，本申请提供如下技术方案：

智能化密码服务平台，包括服务网关、同步模块、通用服务器、反向代理服务器和若干密码设备；

同步模块用于在密码设备接入网络后，将相同类型的密码设备进行关键资源同步；

通用服务器部署有虚拟模块和负载均衡模块，负载均衡模块用于连接关键资源同步后的密码设备，虚拟模块用于通过虚拟化技术，将密码设备的物理资源虚拟成不同类型的资源云；

服务网关用于获取第三方应用服务接口的调用申请；还用于对调用申请进行解析，根据解析后的结果确定面向不同资源云的服务请求；

负载均衡模块还用于接收服务请求之后，进行负载均衡判断，确定发送的密码设备；

反向代理服务器用于接收服务请求，转发至对应的密码设备；

密码设备用于接收到服务请求之后，对服务请求做出响应；将响应结果通过反向代理服务器发送至资源云，负载均衡模块还用于将响应结果发送至服务网关；服务网关还用于将响应结果通过服务接口发送至对应第三方应用。

基础方案原理及有益效果如下：

本方案中，虚拟模块基于虚拟化技术，将密码设备资源组合成异构的资源云，可以整合不同厂商，不同类型的密码设备，对外提供统一接口服务，并按类型提供资源云。密码设备可以灵活组网，便于利旧，不浪费已有资源，节约成本，同时屏蔽密码设备资源组成的细节，可以提高运行效率，降低运维复杂度。

进一步，还包括学习数据库，服务网关还用于将服务接口调用数据发送至学习数据库存储；学习数据库还用于获取密码设备的设备状态数据并存储。

通过旁路引流，将服务接口调用情况，直接保存到学习数据库，避免了从数据主干道获取时增加系统的负担。

进一步，还包括调度模块，调度模块预存有AI模型，调度模块用于通过服务接口调用数据和设备状态数据对AI模型进行训练，使AI模型得到密码设备的资源趋势情况；调度模块还用于通过AI模型预测未来一段时间内，资源云负载情况及设备资源负载情况；

负载均衡模块还用于进行负载均衡判断时，根据不同类型密码设备预设的负载均衡算法得到初步结果，然后将初步结果和AI模型得到的预测结果进行对比修正，得到最优结果，确定发送的密码设备。

通过AI模型对未来一段时间内，资源云负载情况及设备资源负载情况的预测，进行智能化的动态调度，实现负载均衡，还可以提高系统可靠性，延长设备寿命，还能减少运维时间，降低设备能耗。

进一步，所述调度模块还用于在训练的数据达到设定数量之后，根据实际结果与预测结果的差异对AI模型进行修正。

以提高AI模型预测的准确性。

进一步，所述虚拟模块还用于创建资源云的缓存，密码设备还用于将响应结果通过反向代理服务器发送至资源云的缓存，负载均衡模块还用于将缓存中的响应结果发送至服务网关。

通过设置缓存，可以提高系统的请求响应速度，增大TPS值。

进一步，所述服务网关还用于判断调用申请是否超过并发限制，若超过，停止接收调用申请。

可以限制系统的TPS值，避免因为超过系统并发响应数，造成系统崩溃。

进一步，所述资源云包括加密服务云，签名验签云和动态口令云中的一种或多种。

图1为实施例一智能化密码服务平台的逻辑框图。

下面通过具体实施方式进一步详细说明：

实施例一

如图1所示，本实施例的智能化密码服务平台，包括服务网关、同步模块、通用服务器、反向代理服务器、学习数据库、调度模块和若干密码设备。

同步模块用于在密码设备接入网络后，将相同类型的密码设备进行关键资源同步。例如加密机，密码卡等涉及到密钥同步；时间戳，签名验签等涉及到证书同步，其他的密码设备视设备的性质等确定需要同步的关键资源。

通用服务器部署有虚拟模块和负载均衡模块。负载均衡模块用于连接关键资源同步后的密码设备。虚拟模块用于通过虚拟化技术，将密码设备的物理资源资源池化之后形成资源池，将资源池虚拟成不同类型的资源云，以屏蔽下层实现。虚拟模块还用于创建资源云的缓存。资源云包括加密服务云，签名验签云和动态口令云中的一种或多种，本实施例中，包括上述全部。本实施例中，负载均衡模块运行于通用服务器上，在其他实施例中，还可以根据情况构建负载均衡集，用于热备和性能扩展。负载均衡模块里采用流水线技术，配合缓存机制，可以提高系统的并发能力。

服务网关作为服务入口，用于获取第三方应用服务接口的调用申请；还用于对调用申请进行解析，根据解析后的结果确定调用的内部接口，即面向不同资源云的服务请求。具体的，服务网关根据调用申请判断是否为授权请求，若为非授权请求，拒绝调用申请，实现调用权限控制，即允许授权请求调用，不允许未授权调用。服务网关还进行调用申请的并发限制：如果调用申请超过并发限制，停止接收调用申请，以限制系统的TPS值，避免因为超过系统并发响应数，造成系统崩溃。

服务网关还用于将服务接口调用数据发送至学习数据库存储，实现旁路引流，避免了从数据主干道获取调用数据时增加系统的负担。

学习数据库还用于获取密码设备的设备状态数据。

调度模块预存有AI模型，调度模块用于通过服务接口调用数据和设备状态数据对AI模型进行训练，使AI模型得到密码设备的资源趋势情况，从而能够预测未来一段时间内，资源云负载情况及设备资源负载情况，以优化负载均衡配置。调度模块还用于在训练的数据达到设定数量之后，根据实际结果与预测结果的差异对AI模型进行修正，以提高AI模型预测精准率。本实施例中，设定数量为10万条级。

负载均衡模块还用于接收服务请求之后，进行负载均衡判断：根据不同类型密码设备预设的负载均衡算法得到初步结果，然后将初步结果和AI模型得到的预测结果进行对比修正，得到最优结果，以确定发送的密码设备；然后进行服务请求分发。最优结果即最小的资源开销，满足最大的需求，得到最满意的结果，换句话说就是利益最大。

本实施例中，负载均衡算法通过获取密码设备资源的监控结果，具体使用最小压力算法得到初步结果。以某个服务器密码机为例，在X月X日12时，系统收到了一次服务请求，此时负载均衡模块通过最小压力算法得到A设备目前压力最小，此时初步结果就是计划将请求转发到A设备；但根据AI模型预测所得，A设备由于资源空余严重，后续会通过动态资源池机制，自动关闭，下线，因此对比之后会将此请求转移到其他设备上；又如，虽然A设备此时压力较小，但是所需的请求超过了A的容量，而虽然B设备此时压力并不是最小的，但是B设备在预测所得下一个时刻资源能得到释放，那么此时系统依然会在请求转发给B设备。

反向代理服务器用于接收服务请求，转发至对应的密码设备；

密码设备用于接收到服务请求之后，对服务请求做出响应，将响应结果通过反向代理服务器发送至资源云的缓存，负载均衡模块还用于将缓存中的响应结果发送至服务网关；服务网关将响应结果通过服务接口发送至对应第三方应用。本实施例中，设置缓存的目的在于提高系统的请求响应速度，增大TPS(服务器每秒处理的事务数)值。

具体的，学习数据库还用于对设备状态数据进行分类并存储。本实施例中，分类后的设备状态数据包括设备负载数据和设备故障数据。

AI模型包括若干类型，本实施中包括接口调用预测模型、设备状态预测模型、故障与问题处置模型、负载均衡配置模型等。本实施例中，上述模型通过聚类分析模型和时间序列模型相结合的方式构建。

调度模块用于通过学习数据库内的服务接口调用数据对接口调用预测模型进行训练，使接口调用预测模型得到服务接口按照时间分布的调用趋势情况，从而能够对未来一段时间的接口调用趋势进行预测。

调度模块还用于根据接口调用预测模型的预测结果进行分析，得到全天各时间段接口服务调用频率情况，接口并发情况，数据流量情况，以及对峰值时段预警。还用于对调用状态异常次数超过设定值的IP或者第三方应用进行告警。

调度模块还用于从学习数据库读取设备状态数据。具体的，通过设备负载数据对设备状态预测模型进行训练，使设备状态预测模型得到密码设备的资源趋势情况，从而能够预测未来一段时间内设备资源负载情况。

调度模块还用于根据设备状态预测模型的预测结果进行分析，得到密码设备全天运行情况，包括设备资源负载情况，高峰时段，闲置时段，各时段CPU利用率，各时段内存占用量，TPS。从而能够对高峰时段进行预警。

调度模块还用于通过设备故障数据对故障与问题处置模型进行训练，使故障与问题处置模型得到密码设备的故障趋势情况，从而能够预测未来一段时间内设备故障概率。

调度模块还用于通过故障与问题处置模型的预测结果，即未来一段时间内设备故障概率，判断设备故障概率是否高于阈值，若高于阈值，在发生系统错误前进行异常告警。

调度模块还用于通过服务接口调用数据和设备负载数据对负载均衡配置模型进行训练，使负载均衡配置模型得到密码设备的资源趋势情况，从而能够预测未来一段时间内，资源云负载情况及设备资源负载情况。负载均衡模块还用于根据负载均衡配置模型的预测结果对资源云的负载均衡方案进行动态配置调整，达到资源使用的最优化。未来一段时间可以根据实际情况进行设置，例如3小时，6小时，12小时，24小时，48小时，72小时，168小时等。考虑到周末及节假日的带来的数据波动，还可以增加修正因素，加以修正。

使用本实施例的密码服务平台，处理响应过程如下：

通过统一的服务接口接收第三方应用的调用申请；对调用申请进行解析，根据解析后的结果确定调用的内部接口，将第三方应用的服务请求转发至对应内部接口的资源云；

服务请求转发至资源云之后，该服务请求立刻断开连接，释放资源(本实施例的断开连接基于流水线技术，预先建立的连接池中连接不会被释放，下同)，用于其他服务请求。

然后负载均衡模块根据不同类型密码设备预设的负载均衡算法得到初步结果，然后将初步结果和负载均衡配置模型得到的预测结果进行对比修正，确定对应的密码设备，然后进行服务请求分发，服务请求分发之后，断开连接，释放资源。

反向代理服务器将服务请求发送至对应的密码设备；

密码设备收到服务请求后，进行相应处理，一方面设备状态预测模型可以在此过程评估，给出处理完成时间的预测结果，并发送预测结果至负载均衡模块；另一方面密码设备将服务请求处理完成之后，通过反向代理服务器将处理结果返回至资源云的缓存。

负载均衡模块接收预测结果后，预先建立与服务网关的连接，然后从缓存里读取处理结果返回至上层服务网关，再由服务网关通过服务接口发送至第三方应用。

本实施例的方案，对内整合不同厂商，不同类型的密码设备，基于虚拟化技术，将密码设备资源组合成异构的资源云；对外提供统一接口服务，并按类型提供资源云。密码设备可以灵活组网，便于利旧，不浪费已有资源，节约成本，屏蔽密码设备资源组成的细节，可以提高运行效率，降低运维复杂度。

通过AI模型，实现负载均衡，达到智能化动态调度的目的，提高系统可靠性，延长设备寿命，还能减少运维时间，降低设备能耗。

实施例二

本实施例与实施例一的区别在于，本实施例中，在平台构建和运行的初始阶段，相同类型的密码设备在关键资源同步之后，通过虚拟模块形成资源池。

在系统运行过程中，通过设备负载数据得到不同密码设备的资源消耗情况以及系统总体资源使用情况；本实施例中，系统总体资源使用情况指同类型密码设备的资源消耗情况的汇总。

调度模块通过此类数据对负载均衡配置模型进行深度学习，通过负载均衡配置模型预测得出不同密码设备在未来一段时间的设备资源负载情况和系统总体资源使用情况。

如果预测到的系统总体资源，减去当前系统总体资源乘以系统安全冗余系数的积，得到的差，大于某台密码设备的资源容量时，虚拟模块还用于将该台密码设备设置为空余设备，负载均衡模块用于将该密码设备上的服务请求转移到其他密码设备上，从而将该设备关闭，节约能源和设备损耗；系统安全冗余系数用于确保资源不会达到100％使用率，初始为1.2～1.3。

如果当前系统总体资源除以系统安全冗余系数的商，减去预测的未来一段时间使用的系统总体资源的差小于0，虚拟模块还用于发出资源不足预警，自动将处于关闭状态下的密码设备启动，增加系统资源。

综上所述，通过负载均衡配置模型的预测结果，实现自动启/停密码设备，达到了动态构建资源池目的。

实施例三

本实施例与实施例二的区别在于，本实施例中，调度模块还用于根据预测的未来一段时间系统总体资源使用情况，判断是否需要扩展密码设备；例如系统总体资源使用情况一直处于满负荷状态，即判断需要扩展密码设备。预测需要扩展后才进行评分，能够使评分最能反应当前的设备状态。

如果需要扩展密码设备，根据预测的不同密码设备在未来一段时间的设备资源负载情况确定评分的密码设备顺序。本实施例中，按照设备资源负载情况的从高到低进行排序，可以单台密码设备进行评分，也可以多台密码设备同时进行评分。调度模块还用于标记评分中的密码设备，负载均衡模块还用于接收服务请求后，优先将服务请求分发至评分中的密码设备，当评分中的密码设备不能处理服务请求时，再通过负载均衡判断确定发送的密码设备。

调度模块还用于根据各密码设备的设备故障数据对密码设备进行评分，根据同类型密码设备评分的由高到低的顺序生成设备建议表，在进行扩展时，能够供相关人员参考，以选择合适厂商合适型号的设备。例如，故障得分X＝-(a*λ1)-(b*λ2)-(c*λ3)+(d*λ4)，其中a为单位工作时长总故障次数，b为单位工作时长中故障修复总时长，c为单位工作时长中高峰时段故障次数，d故障与问题处置模型对设备故障概率预测的准确率；λ1、λ2、λ3、λ4均为权重系数，可以根据实际情况进行单独设置；本实施例中，单位工作时长为500小时。

以上的仅是本发明的实施例，该发明不限于此实施案例涉及的领域，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知方法不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。