Hsm加密信息同步實現(xiàn)方法、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種HSM(Hardware Security Module,硬件安全模塊)加密信息同步實現(xiàn)方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]目前HLR網(wǎng)元中對于用戶鑒權(quán)信息中的關(guān)鍵信息是通過軟件加密方式保存的,這種加密方式容易造成密鑰的泄漏以及加密數(shù)據(jù)的破解,無法滿足運營商對數(shù)據(jù)安全性更高的要求,為此,引入了 HSM,將目前的軟加密方式修改為硬加密方式。
[0003]HSM用于在安全應(yīng)用中保護關(guān)鍵性的密鑰并且對敏感保護操作進行加速,其設(shè)備通過國際安全組織FIPS和CC的標(biāo)準(zhǔn)認(rèn)證。HSM硬件加解密相比于軟件加解密存在如下優(yōu)勢:
[0004]1.內(nèi)存保護:HSM使用專用的內(nèi)部內(nèi)存來保存機密的加解密密鑰。入侵者無法訪問HSM內(nèi)部內(nèi)存。
[0005]2.完整性確保:加解密模塊安裝在防篡改HSM上。
[0006]3.反向工程:加解密模塊安裝在防篡改HSM上,無法從外部訪問。
[0007]4.依賴操作系統(tǒng)安全性:HSM提供自己的微控制器和加解密處理器。加解密模塊不依賴于操作系統(tǒng)安全性。
[0008]5.密鑰存儲:HSM提供防篡改空間來管理密鑰。密鑰產(chǎn)生、密鑰使用、密鑰存儲和密鑰銷毀全部在HSM內(nèi)完成,密鑰無法從外部訪問。
[0009]6.性能:HSM配備專用目的加解密處理器來進行所有加解密操作。
[0010]HSM密鑰是進行HSM硬件加解密的基礎(chǔ),密鑰生成由HSM硬件自身完成,用戶無法知悉密鑰的具體內(nèi)容,也無法指定生成某一特定內(nèi)容的密鑰。
[0011]在實際工程實施過程中同一個HLR(Home Locat1n Register,歸屬位置寄存器)局點需要部署多個HSM硬件模塊,如果該HLR局點存在容災(zāi)局的話,也需要在對應(yīng)的容災(zāi)局點部署HSM硬件模塊。用戶在訪問HSM進行加解密時是隨機選擇一個可用的HSM硬件模塊的,為了實現(xiàn)同一用戶數(shù)據(jù)在不同的HSM硬件中加解密數(shù)據(jù)都相同,需要這些HSM硬件中存儲的密鑰一致。目前的實現(xiàn)方法是:
[0012]1.首先選擇一個HSM硬件模塊來生成用于加解密的密鑰數(shù)據(jù);
[0013]2.將上述生成的密鑰數(shù)據(jù)備份到一個特定的HSM備份服務(wù)器中;
[0014]3.將HSM備份服務(wù)器中的密鑰數(shù)據(jù)恢復(fù)到其他HSM模塊中。
[0015]該方法存在如下兩個不足:
[0016]1.運營商對安全性要求高,需要使用HSM硬件加解密時,需采購用于密鑰同步的HSM備份服務(wù)器,增加了成本;
[0017]2.執(zhí)行密鑰的同步操作時,涉及到HSM備份服務(wù)器與現(xiàn)有HSM所在PC服務(wù)器的連接操作,需要現(xiàn)場操作,無法遠(yuǎn)程處理。
【發(fā)明內(nèi)容】
[0018]鑒于上述問題,提出了本發(fā)明,以便提供一種解決上述問題的HSM加密信息同步實現(xiàn)方法、裝置和系統(tǒng)。
[0019]依據(jù)本發(fā)明的一個方面,提供一種HSM加密信息同步實現(xiàn)方法,包括:
[0020]目標(biāo)HSM所屬服務(wù)器通過目標(biāo)HSM生成密鑰K,并將所述密鑰K發(fā)送至源HSM所屬服務(wù)器;
[0021]目標(biāo)HSM所屬服務(wù)器接收源HSM所屬服務(wù)器發(fā)送的密鑰密文;所述密鑰密文為源HSM所屬服務(wù)器指示源HSM利用所述密鑰K對源HSM生成的各密鑰進行加密得到的密鑰密文;
[0022]目標(biāo)HSM所屬服務(wù)器將所述密鑰密文發(fā)送至目標(biāo)HSM,以使目標(biāo)HSM解密得到源HSM的密鑰信息。
[0023]可選地,本發(fā)明所述方法中,所述目標(biāo)HSM所屬服務(wù)器通過目標(biāo)HSM生成密鑰K,具體包括:
[0024]所述目標(biāo)HSM所屬服務(wù)器獲取源HSM的唯一標(biāo)識信息,并指示目標(biāo)HSM利用所述源HSM的唯一標(biāo)識信息和目標(biāo)HSM的硬件信息,生成密鑰K。
[0025]可選地,本發(fā)明所述方法中,所述源HSM的唯一標(biāo)識信息、密鑰K和/或密鑰密文以文件的形式在目標(biāo)HSM所屬服務(wù)器和源HSM所屬服務(wù)器間傳遞。
[0026]可選地,本發(fā)明所述方法中,所述源HSM的唯一標(biāo)識信息包括:源HSM的認(rèn)證信息;所述密鑰K為對稱密鑰。
[0027]依據(jù)本發(fā)明的另一個方面,提供一種HSM加密信息同步實現(xiàn)方法,包括:
[0028]源HSM所屬服務(wù)器接收目標(biāo)HSM所屬服務(wù)器發(fā)送的密鑰K ;
[0029]源HSM所屬服務(wù)器指示源HSM利用所述密鑰K對源HSM生成的各密鑰進行加密得到密鑰密文;
[0030]源HSM所屬服務(wù)器將所述密鑰密文發(fā)送至目標(biāo)HSM所屬服務(wù)器,以使目標(biāo)HSM解密得到源HSM的密鑰信息。
[0031 ] 可選地,本發(fā)明所述方法中,源HSM所屬服務(wù)器接收目標(biāo)HSM所屬服務(wù)器發(fā)送的密鑰K前還包括:
[0032]源HSM所屬服務(wù)器訪問源HSM,獲取源HSM的唯一標(biāo)識信息,并將所述源HSM的唯一標(biāo)識信息發(fā)送至目標(biāo)HSM所屬服務(wù)器,以使目標(biāo)HSM所屬服務(wù)器側(cè)基于源HSM的唯一標(biāo)識信息生成密鑰K。
[0033]依據(jù)本發(fā)明的第三個方面,提供一種服務(wù)器,所述服務(wù)器內(nèi)安裝有HSM,所述服務(wù)器包括:
[0034]密鑰生成模塊,用于在所述服務(wù)器為目標(biāo)HSM所屬服務(wù)器時,通過目標(biāo)HSM生成密鑰K,并將所述密鑰K發(fā)送至源HSM所屬服務(wù)器;
[0035]密文生成模塊,用于在所述服務(wù)器為源HSM所屬服務(wù)器時,指示源HSM利用目標(biāo)HSM所屬服務(wù)器發(fā)送的密鑰K對源HSM生成的各密鑰進行加密得到密鑰密文,并將所述密鑰密文發(fā)送至目標(biāo)HSM所屬服務(wù)器;
[0036]解密模塊,用于當(dāng)所述服務(wù)器為目標(biāo)HSM所屬服務(wù)器時,將源HSM所屬服務(wù)器發(fā)送的密鑰密文轉(zhuǎn)發(fā)至目標(biāo)HSM,以使目標(biāo)HSM解密得到源HSM的密鑰信息。
[0037]可選地,本發(fā)明所述服務(wù)器中,所述密鑰生成模塊,具體用于獲取源HSM的唯一標(biāo)識信息,并指示目標(biāo)HSM利用所述源HSM的唯一標(biāo)識信息和目標(biāo)HSM的硬件信息,生成密鑰K0
[0038]可選地,本發(fā)明所述服務(wù)器中,所述源HSM的唯一標(biāo)識信息、密鑰K和/或密鑰密文以文件的形式在目標(biāo)HSM所屬服務(wù)器和源HSM所屬服務(wù)器間傳遞。
[0039]依據(jù)本發(fā)明的第四個方面,提供一種HSM加密信息同步實現(xiàn)系統(tǒng),包括:源HSM所屬服務(wù)器,以及若干目標(biāo)HSM所屬服務(wù)器;
[0040]所述目標(biāo)HSM所屬服務(wù)器,用于通過目標(biāo)HSM生成密鑰K,并將所述密鑰K發(fā)送至源HSM所屬服務(wù)器;以及接收源HSM所屬服務(wù)器發(fā)送的密鑰密文,將所述密鑰密文發(fā)送至目標(biāo)HSM,以使目標(biāo)HSM解密得到源HSM的密鑰信息;
[0041]所述源HSM所屬服務(wù)器,用于指示源HSM利用所述密鑰K對源HSM生成的各密鑰進行加密得到密鑰密文,并將所述密鑰密文發(fā)送至目標(biāo)HSM所屬服務(wù)器。
[0042]可選地,本發(fā)明所述系統(tǒng)中,所述目標(biāo)HSM所屬服務(wù)器,具體用于獲取源HSM的唯一標(biāo)識信息,并指示目標(biāo)HSM利用所述源HSM的唯一標(biāo)識信息和目標(biāo)HSM的硬件信息,并利用獲取的信息生成密鑰K。
[0043]本發(fā)明有益效果如下:
[0044]本發(fā)明所述方案實現(xiàn)了多個HSM硬件之間的密鑰同步,該同步方式避免了采購專用的備份設(shè)備,降低了采購成本。同時可以方便的實現(xiàn)遠(yuǎn)程操作,提高工程效率和降低維護成本。
【附圖說明】
[0045]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0046]圖1為本發(fā)明實施例一提供的HSM加密信息同步實現(xiàn)方法的流程圖;
[0047]圖2為本發(fā)明實施例二提供的HSM加密信息同步實現(xiàn)方法的流程圖;
[0048]圖3為本發(fā)明實施例所述方法應(yīng)用的系統(tǒng)架構(gòu)圖;
[0049]圖4為本發(fā)明實施例實現(xiàn)密鑰同步的具體協(xié)作流程圖;
[0050]圖5為本發(fā)明實施例提供的一種服務(wù)器的結(jié)構(gòu)框圖;
[0051]圖6為本發(fā)明實施例提供的HSM加密信息同步實現(xiàn)系統(tǒng)的結(jié)構(gòu)框圖。
【具體實施方式】
[0052]針對已有的多個HSM硬件模塊之間的密鑰同步方案存在增加運營商采購成本和操作復(fù)雜性的問題,本發(fā)明提供一種HSM加密信息同步實現(xiàn)方法、裝置和系統(tǒng)。下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0053]實施例一
[0054]本發(fā)明實施例提供一種HSM加密信息同步實現(xiàn)方法,該方法從目標(biāo)HSM所屬服務(wù)器側(cè)闡述同步過程,如圖1所示,包括如下步驟:
[0055]步驟S101,目標(biāo)HSM所屬服務(wù)器通過目標(biāo)HSM生成密鑰K,并將所述密鑰K發(fā)送至源HSM所屬服務(wù)器;
[0056]優(yōu)選地,本實施例中,目標(biāo)HSM所屬服務(wù)器獲取源HSM的唯一標(biāo)識信息,并指示目標(biāo)HSM利用所述源HSM的唯一標(biāo)識信息和目標(biāo)HSM的硬件信息,生成密鑰K。
[0057]其中,源HSM的唯一標(biāo)識信息優(yōu)選但不限于為源HSM的認(rèn)證信息。
[0058]步驟S102,目標(biāo)HSM所屬服務(wù)器接收源HSM所屬服務(wù)器發(fā)送的密鑰密文;所述密鑰密文為源HSM所屬服務(wù)器指示源HSM利用所述密鑰K對源HSM生成的各密鑰進行加密得到的密鑰密文;
[0059]步驟S103,目標(biāo)HSM所屬服務(wù)器將所述密鑰密文發(fā)送至目標(biāo)HSM,以使目標(biāo)HSM解密得到源HSM的密鑰信息。
[0060]優(yōu)選地,本實施例中,源HSM的唯一標(biāo)識信息、密鑰K和/或密鑰密文以文件的形式在目標(biāo)HSM所屬服務(wù)器和源HSM所屬服務(wù)器間傳遞。
[0061]實施例二
[0062]本發(fā)明實施例提供一種HSM加密信息同步實現(xiàn)方法,該方法從源HSM所屬服務(wù)器側(cè)闡述同步過程,如圖2所示,包括如下步驟:
[0063]步驟S201,源HSM所屬服務(wù)器接收目標(biāo)HSM所屬服務(wù)器發(fā)送的密鑰K ;
[0064]優(yōu)選地,源HSM所屬服務(wù)器接收目標(biāo)HSM所屬服務(wù)器發(fā)送的密鑰K前,源HSM所屬服務(wù)器