Hsm加密信息同步实现方法、装置和系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种HSM(Hardware Security Module,硬件安全模块)加密信息同步实现方法、装置和系统。
【背景技术】
[0002]目前HLR网元中对于用户鉴权信息中的关键信息是通过软件加密方式保存的,这种加密方式容易造成密钥的泄漏以及加密数据的破解,无法满足运营商对数据安全性更高的要求,为此,引入了 HSM,将目前的软加密方式修改为硬加密方式。
[0003]HSM用于在安全应用中保护关键性的密钥并且对敏感保护操作进行加速,其设备通过国际安全组织FIPS和CC的标准认证。HSM硬件加解密相比于软件加解密存在如下优势:
[0004]1.内存保护:HSM使用专用的内部内存来保存机密的加解密密钥。入侵者无法访问HSM内部内存。
[0005]2.完整性确保:加解密模块安装在防篡改HSM上。
[0006]3.反向工程:加解密模块安装在防篡改HSM上,无法从外部访问。
[0007]4.依赖操作系统安全性:HSM提供自己的微控制器和加解密处理器。加解密模块不依赖于操作系统安全性。
[0008]5.密钥存储:HSM提供防篡改空间来管理密钥。密钥产生、密钥使用、密钥存储和密钥销毁全部在HSM内完成,密钥无法从外部访问。
[0009]6.性能:HSM配备专用目的加解密处理器来进行所有加解密操作。
[0010]HSM密钥是进行HSM硬件加解密的基础,密钥生成由HSM硬件自身完成,用户无法知悉密钥的具体内容,也无法指定生成某一特定内容的密钥。
[0011]在实际工程实施过程中同一个HLR(Home Locat1n Register,归属位置寄存器)局点需要部署多个HSM硬件模块,如果该HLR局点存在容灾局的话,也需要在对应的容灾局点部署HSM硬件模块。用户在访问HSM进行加解密时是随机选择一个可用的HSM硬件模块的,为了实现同一用户数据在不同的HSM硬件中加解密数据都相同,需要这些HSM硬件中存储的密钥一致。目前的实现方法是:
[0012]1.首先选择一个HSM硬件模块来生成用于加解密的密钥数据;
[0013]2.将上述生成的密钥数据备份到一个特定的HSM备份服务器中;
[0014]3.将HSM备份服务器中的密钥数据恢复到其他HSM模块中。
[0015]该方法存在如下两个不足:
[0016]1.运营商对安全性要求高,需要使用HSM硬件加解密时,需采购用于密钥同步的HSM备份服务器,增加了成本;
[0017]2.执行密钥的同步操作时,涉及到HSM备份服务器与现有HSM所在PC服务器的连接操作,需要现场操作,无法远程处理。
【发明内容】
[0018]鉴于上述问题,提出了本发明,以便提供一种解决上述问题的HSM加密信息同步实现方法、装置和系统。
[0019]依据本发明的一个方面,提供一种HSM加密信息同步实现方法,包括:
[0020]目标HSM所属服务器通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;
[0021]目标HSM所属服务器接收源HSM所属服务器发送的密钥密文;所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文;
[0022]目标HSM所属服务器将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息。
[0023]可选地,本发明所述方法中,所述目标HSM所属服务器通过目标HSM生成密钥K,具体包括:
[0024]所述目标HSM所属服务器获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K。
[0025]可选地,本发明所述方法中,所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
[0026]可选地,本发明所述方法中,所述源HSM的唯一标识信息包括:源HSM的认证信息;所述密钥K为对称密钥。
[0027]依据本发明的另一个方面,提供一种HSM加密信息同步实现方法,包括:
[0028]源HSM所属服务器接收目标HSM所属服务器发送的密钥K ;
[0029]源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文;
[0030]源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器,以使目标HSM解密得到源HSM的密钥信息。
[0031 ] 可选地,本发明所述方法中,源HSM所属服务器接收目标HSM所属服务器发送的密钥K前还包括:
[0032]源HSM所属服务器访问源HSM,获取源HSM的唯一标识信息,并将所述源HSM的唯一标识信息发送至目标HSM所属服务器,以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。
[0033]依据本发明的第三个方面,提供一种服务器,所述服务器内安装有HSM,所述服务器包括:
[0034]密钥生成模块,用于在所述服务器为目标HSM所属服务器时,通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;
[0035]密文生成模块,用于在所述服务器为源HSM所属服务器时,指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器;
[0036]解密模块,用于当所述服务器为目标HSM所属服务器时,将源HSM所属服务器发送的密钥密文转发至目标HSM,以使目标HSM解密得到源HSM的密钥信息。
[0037]可选地,本发明所述服务器中,所述密钥生成模块,具体用于获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K0
[0038]可选地,本发明所述服务器中,所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
[0039]依据本发明的第四个方面,提供一种HSM加密信息同步实现系统,包括:源HSM所属服务器,以及若干目标HSM所属服务器;
[0040]所述目标HSM所属服务器,用于通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;以及接收源HSM所属服务器发送的密钥密文,将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息;
[0041]所述源HSM所属服务器,用于指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器。
[0042]可选地,本发明所述系统中,所述目标HSM所属服务器,具体用于获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,并利用获取的信息生成密钥K。
[0043]本发明有益效果如下:
[0044]本发明所述方案实现了多个HSM硬件之间的密钥同步,该同步方式避免了采购专用的备份设备,降低了采购成本。同时可以方便的实现远程操作,提高工程效率和降低维护成本。
【附图说明】
[0045]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0046]图1为本发明实施例一提供的HSM加密信息同步实现方法的流程图;
[0047]图2为本发明实施例二提供的HSM加密信息同步实现方法的流程图;
[0048]图3为本发明实施例所述方法应用的系统架构图;
[0049]图4为本发明实施例实现密钥同步的具体协作流程图;
[0050]图5为本发明实施例提供的一种服务器的结构框图;
[0051]图6为本发明实施例提供的HSM加密信息同步实现系统的结构框图。
【具体实施方式】
[0052]针对已有的多个HSM硬件模块之间的密钥同步方案存在增加运营商采购成本和操作复杂性的问题,本发明提供一种HSM加密信息同步实现方法、装置和系统。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053]实施例一
[0054]本发明实施例提供一种HSM加密信息同步实现方法,该方法从目标HSM所属服务器侧阐述同步过程,如图1所示,包括如下步骤:
[0055]步骤S101,目标HSM所属服务器通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;
[0056]优选地,本实施例中,目标HSM所属服务器获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K。
[0057]其中,源HSM的唯一标识信息优选但不限于为源HSM的认证信息。
[0058]步骤S102,目标HSM所属服务器接收源HSM所属服务器发送的密钥密文;所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文;
[0059]步骤S103,目标HSM所属服务器将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息。
[0060]优选地,本实施例中,源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
[0061]实施例二
[0062]本发明实施例提供一种HSM加密信息同步实现方法,该方法从源HSM所属服务器侧阐述同步过程,如图2所示,包括如下步骤:
[0063]步骤S201,源HSM所属服务器接收目标HSM所属服务器发送的密钥K ;
[0064]优选地,源HSM所属服务器接收目标HSM所属服务器发送的密钥K前,源HSM所属服务器