本發(fā)明屬于互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，具體公開了一種基于PKCS#11標(biāo)準(zhǔn)的多進程并發(fā)處理系統(tǒng)及其方法。該方法包括庫文件獲取應(yīng)用程序的包名并驗證該應(yīng)用程序簽名的合法性，根據(jù)簽名合法性來決定是否將該應(yīng)用程序的包名發(fā)送至安全中心服務(wù)；安全中心服務(wù)接收應(yīng)用程序的包名并與安全應(yīng)用名匹配，根據(jù)匹配情況發(fā)出多進程共同訪問請求以及分配存儲預(yù)設(shè)的優(yōu)先級；其中在多進程共同訪問請求時，檢查多進程的預(yù)設(shè)優(yōu)先級來決定是否進行進程獨占或隊列管理；響應(yīng)多進程共同訪問的加解密服務(wù)的令牌。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種基于PKCS#11標(biāo)準(zhǔn)的多進程并發(fā)處理系統(tǒng)及其方法。

背景技術(shù)

在安全加密系統(tǒng)，PKCS#11標(biāo)準(zhǔn)是一種公鑰加密標(biāo)準(zhǔn)(PKCS，Pubic-KeyCryptography Standards)中一份子，它詳細規(guī)定了一套稱為Cryptoki的編程接口，可用于各種可移植的安全設(shè)備。PKCS#11規(guī)范的提出主要有兩個目的：一個目的是屏蔽各種安全實現(xiàn)之間的差異，向用戶提供統(tǒng)一的接口，使安全服務(wù)的具體實現(xiàn)方法對用戶透明化；另一目的是使用戶可以在多個安全服務(wù)具體實現(xiàn)之間共享資源，使一個設(shè)備可以被多個應(yīng)用程序訪問，一個而應(yīng)用程序也可以訪問多個設(shè)備。

如圖1所示，PKCS#11標(biāo)準(zhǔn)的一般加密模型為：最上層為需要加解密服務(wù)的各個應(yīng)用程序(Process)，它們會調(diào)用統(tǒng)一的Cryptoki的編程接口；中間層為需要根據(jù)實際需求定義恰當(dāng)?shù)脑O(shè)備競爭和同步機制；最下層為提供加解密服務(wù)的安全設(shè)備，一般統(tǒng)一命名為令牌(Token)。該PKCS#11標(biāo)準(zhǔn)的一般加密模型充分體現(xiàn)了PKCS#11標(biāo)準(zhǔn)的設(shè)計思路，及安全操作的透明化和多進程、多設(shè)備的交叉訪問。但是它沒有定義具體的設(shè)備競爭與同步處理方法，比如：當(dāng)多個應(yīng)用的進程同時訪問一個加密設(shè)備，即多進程并發(fā)的時候，需要自行設(shè)計恰當(dāng)?shù)臋C制。籍此，PKCS#11標(biāo)準(zhǔn)僅定義了通用的編程接口，也僅支持單進程訪問，沒有多進程并發(fā)的處理方法，無法滿足多個應(yīng)用同時使用加密服務(wù)的需求。

發(fā)明內(nèi)容

針對上述現(xiàn)有技術(shù)存在的不足，本發(fā)明的目的是提供了一種能支持多應(yīng)用且同時使用加密服務(wù)的基于PKCS#11標(biāo)準(zhǔn)的多進程并發(fā)處理系統(tǒng)及其方法，從而實現(xiàn)在多進程條件下能夠同時響應(yīng)每個進程的加解密需求。

為了實現(xiàn)上述目的，本發(fā)明所采用的技術(shù)方案如下：

一種基于PKCS#11標(biāo)準(zhǔn)的多進程并發(fā)訪問方法，所述多進程通過庫文件與安全中心服務(wù)建立本地鏈接，所述訪問方法包括：

步驟一、庫文件獲取應(yīng)用程序的包名并驗證該應(yīng)用程序簽名的合法性，根據(jù)簽名合法性來決定是否將該應(yīng)用程序的包名發(fā)送至安全中心服務(wù)；

步驟二、安全中心服務(wù)接收應(yīng)用程序的包名并與安全應(yīng)用名匹配，根據(jù)匹配情況發(fā)出多進程共同訪問請求以及分配存儲預(yù)設(shè)的優(yōu)先級；其中在多進程共同訪問請求時，檢查多進程的預(yù)設(shè)優(yōu)先級來決定是否進行進程獨占或隊列管理；

步驟三、響應(yīng)多進程共同訪問的加解密服務(wù)的令牌。

作為優(yōu)選的，所述步驟二的具體步驟包括：判斷多個進程名與所述庫文件的安全應(yīng)用名是否匹配；若匹配，則分配存儲預(yù)設(shè)的優(yōu)先級；若不匹配，則結(jié)束訪問。

作為進一步優(yōu)選的，所述步驟二的具體步驟還包括：安全中心服務(wù)先將存儲的優(yōu)先級賦給Cryptoki命令后再檢查是否有獨占標(biāo)記；若無獨占標(biāo)記，則進程按照預(yù)設(shè)優(yōu)先級進行插隊；若有獨占標(biāo)記，則安全中心服務(wù)檢查是否為當(dāng)前進程獨占，其中若是則將該進程加入隊列，若不是則拒絕加入隊列。

作為更進一步優(yōu)選的，所述步驟二的具體步驟還包括：當(dāng)應(yīng)用進程需要獨占令牌資源并向安全中心服務(wù)發(fā)起獨占請求時，安全中心服務(wù)先檢查該應(yīng)用進程的優(yōu)先級，若無獨占資格則拒絕，若有獨占資格則繼續(xù)檢查安全中心服務(wù)的獨占標(biāo)記；若已被獨占則拒絕，若無獨占則將該進程的當(dāng)前優(yōu)先級臨時緩存并將優(yōu)先級設(shè)置為最大，再將獨占標(biāo)記設(shè)置為鏈接編號。