密码服务平台的搭建部署方法、装置、终端及存储介质与流程

1.本发明属于系统平台建设技术领域，具体涉及一种密码服务平台的搭建部署方法、装置、终端及存储介质。


背景技术：

2.随着信息技术的快速发展，密码安全作为信息安全的核心越来越受到企业的重视。中大型企业单位内业务系统多样，与外部系统对接采用的安全合法校验方式也不尽相同，同时部分系统数字证书、密钥、算法的管理分散，没有统一管理，存在安全隐患。另一方面，随着国产密码算法的稳步推广，传统密钥将迎来逐步被替换。目前，缺少统一的进行管理的密码服务平台。
3.此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种密码服务平台的搭建部署方法、装置、终端及存储介质，是非常有必要的。


技术实现要素：

4.针对现有技术的上述现有缺少统一管理密码安全的服务平台的缺陷，本发明提供一种密码服务平台的搭建部署方法、装置、终端及存储介质，以解决上述技术问题。
5.第一方面，本发明提供一种密码服务平台的搭建部署方法，包括如下步骤：
6.s1.进行密码服务平台环境部署，搭建平台服务的前端web系统和后端服务器系统，对接专业ca机构及运算类设备；
7.s2.密码服务平台提供个人和企业注册服务，并保存个人和企业注册信息；
8.s3.密码服务平台提供证书维护类服务，接收个人和企业的证书申请，对接专业ca机构进行对应证书申请、换发及吊销，并对已申请证书提供查询；
9.s4.密码服务平台提供运算类服务，对运算类设备进行维护，对密码服务平台自身的密钥证书及外部系统导入的密钥证书进行统一管理，进行密码类运算并支持运算路由；
10.s5.设置定时任务组件，定期检测密码服务器平台与专业ca机构及运算类设备的连通性。
11.进一步地，步骤s1具体步骤如下：
12.s11.为密码服务器平台部署主流类linux系统；
13.s12.采用java前后端框架编写前端web系统，采用c/c 编写后端服务器系统，并设置前端web系统与后台服务器系统及对外接口的通信格式为json格式；
14.s13.后台服务器系统对接专业ca机构，进行证书申请和换发，实现可信证书的下发申请；
15.s14.后台服务器系统对接运算类设备进行密码运算。主流类linux系统包括centos系统、redhat系统及aix系统。运算类设备与软件算法互为主备，保证运算类服务的稳定性。
16.进一步地，步骤s2具体步骤如下：
17.s21.在密码服务平台的后端服务器系统创建个及企业用户数据表；
18.s22.密码服务平台的前端web系统提供维护类接口，进行个人及企业用户登录、退出、密码修改以及个人信息维护。
19.进一步地，步骤s3具体步骤如下：
20.s31.密码服务平台的前端web系统提供证书申请、换发、吊销、导入及查询接口；
21.s32.证书申请接口获取个人或企业用户填写的个人信息，并将个人信息组装成证书申请报文后发送到后台服务器系统，后台服务器系统对接专业ca机构，提交证书申请报文完成证书的申请，再向前端web系统返回申请证书的下载；
22.s33.个人或企业用户登录个人中心，通过证书查询接口获取已申请证书信息；
23.s34.证书换发接口获取到个人或企业用户的证书临期换发请求，并将证书临期换发请求组装成证书换发报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书换发报文发送到专业ca机构进行证书换发；
24.s35.证书吊销接口获取个人或企业用户的证书吊销请求，并将证书吊销请求组装成证书吊销报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书吊销报文发送专业ca机构，完成证书作废。
25.进一步地，步骤s4具体步骤如下：
26.s41.密码服务平台对接专业的签名验签服务器或加密机设备作为运算类设备，并通过维护接口将运算类设备维护到系统设备表；
27.s42.密码服务平台对自身的密钥证书通过系统对接方式进行统一管理；
28.s43.密码服务平台通过密钥导入接口导入外部系统密钥，并为导入的外部系统密钥选择路由算法；
29.s44.密钥服务平台对自身密钥证书及导入的外部系统密钥进行密码运算，并选择签名验签服务器、加密机设备及软件算法进行运算路由。
30.进一步地，步骤s44具体步骤如下：
31.s441.密钥服务平台选择要进行密码运算的密钥种类，并确定需要进行的密码运算；密钥种类包括自身密钥证书及导入的外部系统密钥；密钥运算包括加密、解密、签名以及验签类运算；
32.s442.密钥服务平台根据路由表选择签名验签服务器、加密机设备及软件算法，按照选择的密钥种类进行选定的密码运算。在路由表中约定签名验签服务器、加密机设备及软件算法为第一路由、第二路由及第三路由，优先选择第一路由进行密码运算，第一路由失败，则选择第二路由进行密码运算，依次类推。软件算法优先级最低，使用openssl库实现。各种运算类设备之间运算结果相同认证，互为主备，提供运算稳定性。密码运算支持加密、解密、签名、验签类运算，并实现国密算法的支持。
33.进一步地，步骤s5具体步骤如下：
34.s51.设置定时任务组件；
35.s52.定时任务组件与专业ca机构约定第一心跳报文，通过第一心跳报文定期检测密码服务平台与专业ca机构的连通性；
36.s53.定时任务组件与运算类设备约定第二心跳报文，通过第二心跳报文定期检测运算类设备的运行状况。
37.第二方面，本发明提供一种密码服务平台的搭建部署装置，包括：
38.密码服务平台环境部署模块，用于进行密码服务平台环境部署，搭建平台服务的前端web系统和后端服务器系统，对接专业ca机构及运算类设备；
39.注册模块，用于密码服务平台提供个人和企业注册服务，并保存个人和企业注册信息；
40.证书维护模块，用于密码服务平台提供证书维护类服务，接收个人和企业的证书申请，对接专业ca机构进行对应证书申请、换发及吊销，并对已申请证书提供查询；
41.密码运算模块，用于密码服务平台提供运算类服务，对运算类设备进行维护，对密码服务平台自身的密钥证书及外部系统导入的密钥证书进行统一管理，进行密码类运算并支持运算路由；
42.自检模块，用于设置定时任务组件，定期检测密码服务器平台与专业ca机构及运算类设备的连通性。
43.进一步地，密码服务平台环境部署模块包括：
44.主流系统部署单元，用于为密码服务器平台部署主流类linux系统；
45.前后端框架编写单元，用于采用java前后端框架编写前端web系统，采用c/c 编写后端服务器系统，并设置前端web系统与后台服务器系统及对外接口的通信格式为json格式；
46.ca机构对接单元，用于后台服务器系统对接专业ca机构，进行证书申请和换发，实现可信证书的下发申请；
47.运算类设备对接单元，用于后台服务器系统对接运算类设备进行密码运算。
48.进一步地，注册模块包括：
49.数据表创建单元，用于在密码服务平台的后端服务器系统创建个及企业用户数据表；
50.个人信息维护单元，用于密码服务平台的前端web系统提供维护类接口，进行个人及企业用户登录、退出、密码修改以及个人信息维护。
51.进一步地，证书维护模块包括：
52.接口提供单元，用于密码服务平台的前端web系统提供证书申请、换发、吊销、导入及查询接口；
53.证书申请单元，用于通过证书申请接口获取个人或企业用户填写的个人信息，并将个人信息组装成证书申请报文后发送到后台服务器系统，后台服务器系统对接专业ca机构，提交证书申请报文完成证书的申请，再向前端web系统返回申请证书的下载；
54.证书查询单元，用于个人或企业用户登录个人中心，通过证书查询接口获取已申请证书信息；
55.证书换发单元，用于通过证书换发接口获取到个人或企业用户的证书临期换发请求，并将证书临期换发请求组装成证书换发报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书换发报文发送到专业ca机构进行证书换发；
56.证书吊销单元，用于通过证书吊销接口获取个人或企业用户的证书吊销请求，并将证书吊销请求组装成证书吊销报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书吊销报文发送专业ca机构，完成证书作废。
57.进一步地，密码运算模块包括：
58.运算类设备维护单元，用于密码服务平台对接专业的签名验签服务器或加密机设备作为运算类设备，并通过维护接口将运算类设备维护到系统设备表；
59.自身密钥管理单元，用于密码服务平台对自身的密钥证书通过系统对接方式进行统一管理；
60.外部密钥导入单元，用于密码服务平台通过密钥导入接口导入外部系统密钥，并为导入的外部系统密钥选择路由算法；
61.密码运算单元，用于密钥服务平台对自身密钥证书及导入的外部系统密钥进行密码运算，并选择签名验签服务器、加密机设备及软件算法进行运算路由。
62.进一步地，自检模块包括：
63.定时任务设置单元，用于设置定时任务组件；
64.ca机构连通性检测单元，用于定时任务组件与专业ca机构约定第一心跳报文，通过第一心跳报文定期检测密码服务平台与专业ca机构的连通性；
65.运算类设备检测单元，用于定时任务组件与运算类设备约定第二心跳报文，通过第二心跳报文定期检测运算类设备的运行状况。
66.第三方面，提供一种终端，包括处理器和存储器；其中，
67.该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述权利要求第一方面述的方法。
68.第四方面，提供了一种计算机存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。
69.本发明的有益效果在于：
70.本发明提供的密码服务平台的搭建部署方法、装置、终端及存储介质，通过密码服务平台实现密钥证书的统一管理，实现与外部系统的统一对接，提高了安全性，并提供了国密算法，符合国密化改造的趋势。
71.此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。
72.由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。
附图说明
73.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
74.图1是本发明的密码服务平台的搭建部署方法实施例1流程示意图。
75.图2是本发明的密码服务平台的搭建部署方法实施例2流程示意图。
76.图3是本发明的密码服务平台的搭建部署装置示意图。
77.图中，1-密码服务平台环境部署模块；1.1-主流系统部署单元；1.2-前后端框架编写单元；1.3-ca机构对接单元；1.4-运算类设备对接单元；2-注册模块；2.1-数据表创建单元；2.2-个人信息维护单元；3-证书维护模块；3.1-接口提供单元；3.2-证书申请单元；3.3-证书查询单元；3.4-证书换发单元；3.5-证书吊销单元；4-密码运算模块；4.1-运算类设备
维护单元；4.2-自身密钥管理单元；4.3-外部密钥导入单元；4.4-密码运算单元；5-自检模块；5.1-定时任务设置单元；5.2-ca机构连通性检测单元；5.3-运算类设备检测单元。
具体实施方式
78.为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
79.实施例1：
80.如图1所示，本发明提供一种密码服务平台的搭建部署方法，包括如下步骤：
81.s1.进行密码服务平台环境部署，搭建平台服务的前端web系统和后端服务器系统，对接专业ca机构及运算类设备；
82.s2.密码服务平台提供个人和企业注册服务，并保存个人和企业注册信息；
83.s3.密码服务平台提供证书维护类服务，接收个人和企业的证书申请，对接专业ca机构进行对应证书申请、换发及吊销，并对已申请证书提供查询；
84.s4.密码服务平台提供运算类服务，对运算类设备进行维护，对密码服务平台自身的密钥证书及外部系统导入的密钥证书进行统一管理，进行密码类运算并支持运算路由；
85.s5.设置定时任务组件，定期检测密码服务器平台与专业ca机构及运算类设备的连通性。
86.实施例2：
87.如图2所示，本发明提供一种密码服务平台的搭建部署方法，包括如下步骤：
88.s1.进行密码服务平台环境部署，搭建平台服务的前端web系统和后端服务器系统，对接专业ca机构及运算类设备；具体步骤如下：
89.s11.为密码服务器平台部署主流类linux系统；
90.s12.采用java前后端框架编写前端web系统，采用c/c 编写后端服务器系统，并设置前端web系统与后台服务器系统及对外接口的通信格式为json格式；
91.s13.后台服务器系统对接专业ca机构，进行证书申请和换发，实现可信证书的下发申请；
92.s14.后台服务器系统对接运算类设备进行密码运算；主流类linux系统包括centos系统、redhat系统及aix系统。运算类设备与软件算法互为主备，保证运算类服务的稳定性；
93.s2.密码服务平台提供个人和企业注册服务，并保存个人和企业注册信息；具体步骤如下：
94.s21.在密码服务平台的后端服务器系统创建个及企业用户数据表；
95.s22.密码服务平台的前端web系统提供维护类接口，进行个人及企业用户登录、退出、密码修改以及个人信息维护；
96.s3.密码服务平台提供证书维护类服务，接收个人和企业的证书申请，对接专业ca机构进行对应证书申请、换发及吊销，并对已申请证书提供查询；具体步骤如下：
97.s31.密码服务平台的前端web系统提供证书申请、换发、吊销、导入及查询接口；
98.s32.证书申请接口获取个人或企业用户填写的个人信息，并将个人信息组装成证书申请报文后发送到后台服务器系统，后台服务器系统对接专业ca机构，提交证书申请报文完成证书的申请，再向前端web系统返回申请证书的下载；
99.s33.个人或企业用户登录个人中心，通过证书查询接口获取已申请证书信息；
100.s34.证书换发接口获取到个人或企业用户的证书临期换发请求，并将证书临期换发请求组装成证书换发报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书换发报文发送到专业ca机构进行证书换发；
101.s35.证书吊销接口获取个人或企业用户的证书吊销请求，并将证书吊销请求组装成证书吊销报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书吊销报文发送专业ca机构，完成证书作废；
102.s4.密码服务平台提供运算类服务，对运算类设备进行维护，对密码服务平台自身的密钥证书及外部系统导入的密钥证书进行统一管理，进行密码类运算并支持运算路由；具体步骤如下：
103.s41.密码服务平台对接专业的签名验签服务器或加密机设备作为运算类设备，并通过维护接口将运算类设备维护到系统设备表；
104.s42.密码服务平台对自身的密钥证书通过系统对接方式进行统一管理；
105.s43.密码服务平台通过密钥导入接口导入外部系统密钥，并为导入的外部系统密钥选择路由算法；
106.s44.密钥服务平台对自身密钥证书及导入的外部系统密钥进行密码运算，并选择签名验签服务器、加密机设备及软件算法进行运算路由；具体步骤如下：
107.s441.密钥服务平台选择要进行密码运算的密钥种类，并确定需要进行的密码运算；密钥种类包括自身密钥证书及导入的外部系统密钥；密钥运算包括加密、解密、签名以及验签类运算；
108.s442.密钥服务平台根据路由表选择签名验签服务器、加密机设备及软件算法，按照选择的密钥种类进行选定的密码运算；在路由表中约定签名验签服务器、加密机设备及软件算法为第一路由、第二路由及第三路由，优先选择第一路由进行密码运算，第一路由失败，则选择第二路由进行密码运算，依次类推。软件算法优先级最低，使用openssl库实现。各种运算类设备之间运算结果相同认证，互为主备，提供运算稳定性。密码运算支持加密、解密、签名、验签类运算，并实现国密算法的支持；
109.s5.设置定时任务组件，定期检测密码服务器平台与专业ca机构及运算类设备的连通性；具体步骤如下：
110.s51.设置定时任务组件；
111.s52.定时任务组件与专业ca机构约定第一心跳报文，通过第一心跳报文定期检测密码服务平台与专业ca机构的连通性；
112.s53.定时任务组件与运算类设备约定第二心跳报文，通过第二心跳报文定期检测运算类设备的运行状况。
113.实施例3：
114.如图3所示，本发明提供一种密码服务平台的搭建部署装置，包括：
115.密码服务平台环境部署模块1，用于进行密码服务平台环境部署，搭建平台服务的前端web系统和后端服务器系统，对接专业ca机构及运算类设备；密码服务平台环境部署模块1包括：
116.主流系统部署单元1.1，用于为密码服务器平台部署主流类linux系统；
117.前后端框架编写单元1.2，用于采用java前后端框架编写前端web系统，采用c/c 编写后端服务器系统，并设置前端web系统与后台服务器系统及对外接口的通信格式为json格式；
118.ca机构对接单元1.3，用于后台服务器系统对接专业ca机构，进行证书申请和换发，实现可信证书的下发申请；
119.运算类设备对接单元1.4，用于后台服务器系统对接运算类设备进行密码运算；
120.注册模块2，用于密码服务平台提供个人和企业注册服务，并保存个人和企业注册信息；注册模块2包括：
121.数据表创建单元2.1，用于在密码服务平台的后端服务器系统创建个及企业用户数据表；
122.个人信息维护单元2.2，用于密码服务平台的前端web系统提供维护类接口，进行个人及企业用户登录、退出、密码修改以及个人信息维护；
123.证书维护模块3，用于密码服务平台提供证书维护类服务，接收个人和企业的证书申请，对接专业ca机构进行对应证书申请、换发及吊销，并对已申请证书提供查询；证书维护模块3包括：
124.接口提供单元3.1，用于密码服务平台的前端web系统提供证书申请、换发、吊销、导入及查询接口；
125.证书申请单元3.2，用于通过证书申请接口获取个人或企业用户填写的个人信息，并将个人信息组装成证书申请报文后发送到后台服务器系统，后台服务器系统对接专业ca机构，提交证书申请报文完成证书的申请，再向前端web系统返回申请证书的下载；
126.证书查询单元3.3，用于个人或企业用户登录个人中心，通过证书查询接口获取已申请证书信息；
127.证书换发单元3.4，用于通过证书换发接口获取到个人或企业用户的证书临期换发请求，并将证书临期换发请求组装成证书换发报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书换发报文发送到专业ca机构进行证书换发；
128.证书吊销单元3.5，用于通过证书吊销接口获取个人或企业用户的证书吊销请求，并将证书吊销请求组装成证书吊销报文发送到后台服务器系统，后台服务器系统将后台证书状态置为不可用，并将证书吊销报文发送专业ca机构，完成证书作废；
129.密码运算模块4，用于密码服务平台提供运算类服务，对运算类设备进行维护，对密码服务平台自身的密钥证书及外部系统导入的密钥证书进行统一管理，进行密码类运算并支持运算路由；密码运算模块4包括：
130.运算类设备维护单元4.1，用于密码服务平台对接专业的签名验签服务器或加密机设备作为运算类设备，并通过维护接口将运算类设备维护到系统设备表；
131.自身密钥管理单元4.2，用于密码服务平台对自身的密钥证书通过系统对接方式进行统一管理；
132.外部密钥导入单元4.3，用于密码服务平台通过密钥导入接口导入外部系统密钥，并为导入的外部系统密钥选择路由算法；
133.密码运算单元4.4，用于密钥服务平台对自身密钥证书及导入的外部系统密钥进行密码运算，并选择签名验签服务器、加密机设备及软件算法进行运算路由；
134.自检模块5，用于设置定时任务组件，定期检测密码服务器平台与专业ca机构及运算类设备的连通性；自检模块5包括：
135.定时任务设置单元5.1，用于设置定时任务组件；
136.ca机构连通性检测单元5.2，用于定时任务组件与专业ca机构约定第一心跳报文，通过第一心跳报文定期检测密码服务平台与专业ca机构的连通性；
137.运算类设备检测单元5.3，用于定时任务组件与运算类设备约定第二心跳报文，通过第二心跳报文定期检测运算类设备的运行状况。
138.实施例4：
139.本发明提供一种终端，包括处理器和存储器；其中，该存储器用于存储计算机程序，该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述实施例1或实施例2所述的方法。
140.实施例5：
141.本发明提供一种存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例1或实施例2所述的方法。
142.尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述，但本发明并不限于此。在不脱离本发明的精神和实质的前提下，本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换，而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。