本申請涉及云計算、云安全和虛擬化技術，特別涉及一種虛擬加密機管理方法、系統、計算機設備和存儲介質。該方法包括：接收用戶端通過專用網絡發送的業務請求；業務請求攜帶第一目標網絡地址，第一目標網絡地址是在部署虛擬加密機時分配的、且為虛擬加密機用于對外通信的專用網絡下的網絡地址；根據第一目標網絡地址獲取與虛擬加密機對應的安全組；通過安全組對業務請求進行過濾；將過濾后的業務請求根據第二目標網絡地址進行轉發，以將過濾后的業務請求發送至虛擬加密機；第二目標網絡地址是硬件加密機虛擬出虛擬加密機時分配的、且為虛擬加密機對內通信的專用網絡下的網絡地址。采用本方法可避免因收到無效請求或遭受攻擊而影響加密機性能。

技術領域

本申請涉及云加密技術領域，特別是涉及一種虛擬加密機管理方法、裝置、計算機設備和存儲介質。

背景技術

在常見的保密通信場景中，通常采用硬件加密機進行私有化部署，然后對部署的加密機進行訪問以實現相應的業務服務，如通過加密機分發的密鑰對相應業務數據進行加密或簽名，以確保業務數據的安全。然而，通過直接對加密機進行訪問的方式，可能會使加密機收到眾多無效的請求，以及容易使加密機遭受攻擊而導致加密機的性能下降。

發明內容

基于此，有必要針對上述技術問題，提供一種能夠避免因收到無效請求或遭受攻擊而導致加密機性能下降的虛擬加密機管理方法、裝置、計算機設備和存儲介質。

一種虛擬加密機管理方法，所述方法包括：

接收用戶端通過專用網絡發送的業務請求；所述業務請求攜帶第一目標網絡地址，所述第一目標網絡地址是在部署虛擬加密機時分配的、且為所述虛擬加密機用于對外通信的所述專用網絡下的網絡地址；

根據所述第一目標網絡地址獲取與所述虛擬加密機對應的安全組；所述安全組是在部署所述虛擬加密機時，根據所述虛擬加密機的網絡隔離需求配置的；

通過所述安全組對所述業務請求進行過濾；

依據所述第一目標網絡地址獲取第二目標網絡地，將過濾后的業務請求根據所述第二目標網絡地址進行轉發，以將所述過濾后的業務請求發送至所述虛擬加密機；所述第二目標網絡地址是硬件加密機虛擬出所述虛擬加密機時分配的、且為所述虛擬加密機對內通信的所述專用網絡下的網絡地址。

一種虛擬加密機管理系統，所述系統包括：

服務器，用于在接收到加密機部署請求時，從加密機資源池中選取虛擬加密機，根據所述虛擬加密機的加密機標識獲取專用網絡下的用于對外通信的第一目標網絡地址，并建立所述第一目標網絡地址與所述虛擬加密機之間的關聯關系；以及，在硬件加密機虛擬出所述虛擬加密機時，根據所述加密機標識獲取所述專用網絡下的用于對內通信的第二目標網絡地址，并建立所述第二目標網絡地址與所述虛擬加密機之間的關聯關系；根據所述虛擬加密機的網絡隔離需求配置安全組；

網絡設備，用于接收用戶端通過專用網絡發送的業務請求；所述業務請求攜帶第一目標網絡地址；確定與所述虛擬加密機對應的安全組；所述安全組是在部署所述虛擬加密機時，根據所述虛擬加密機的網絡隔離需求配置的；通過所述安全組對所述業務請求進行過濾；依據所述第一目標網絡地址獲取第二目標網絡地，將過濾后的業務請求根據所述第二目標網絡地址進行轉發，以將所述過濾后的業務請求發送至所述虛擬加密機。

一種計算機設備，包括存儲器和處理器，所述存儲器存儲有計算機程序，所述處理器執行所述計算機程序時實現以下步驟：

接收用戶端通過專用網絡發送的業務請求；所述業務請求攜帶第一目標網絡地址，所述第一目標網絡地址是在部署虛擬加密機時分配的、且為所述虛擬加密機用于對外通信的所述專用網絡下的網絡地址；

根據所述第一目標網絡地址獲取與所述虛擬加密機對應的安全組；所述安全組是在部署所述虛擬加密機時，根據所述虛擬加密機的網絡隔離需求配置的；

通過所述安全組對所述業務請求進行過濾；