访问源HSM,获取源HSM的唯一标识信息,并将所述源HSM的唯一标识信息发送至目标HSM所属服务器,以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。
[0065]其中,源HSM的唯一标识信息优选但不限于为源HSM的认证信息。
[0066]步骤S202,源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文;
[0067]步骤S203,源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器,以使目标HSM解密得到源HSM的密钥信息。
[0068]本实施例所述方法中,源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
[0069]综上所述,可知,本实施例所述的同步方式避免了采购专用的备份设备,降低了采购成本。同时可以方便的实现远程操作,提高工程效率和降低维护成本。
[0070]为了更清楚的阐述本发明,下面结合图3?4给出本发明一个较佳的实施例,并结合对实施例的描述,进一步给出本发明的技术细节,使其能够更好地说明本发明提供的方法的具体实现过程。
[0071]本实施例提供一种HSM加密信息同步实现方法,该方法基于HSM硬件模块提供的开放接口,通过文件的方式来进行HSM硬件之间的密钥同步。如图3所示,本实施例中,源HSM安装在一台PC服务器中,以下简称“源HSM所属服务器”,该服务器内安装有密钥同步工具;目标HSM安装在另外一个PC服务器中,以下简称“目标HSM所属服务器”,该服务器内也安装有密钥同步工具。
[0072]如图4所示,本实施例所述方法具体包括如下步骤:
[0073]步骤1:源HSM所属PC服务器中的密钥同步工具使用接口 CA_GetTokenCertificates访问源HSM,获取源HSM的认证信息。
[0074]步骤2:密钥同步工具将源HSM的认证信息保存为文件,传送到目标HSM所属PC服务器中。
[0075]步骤3:目标HSM所属PC服务器中的密钥同步工具使用接口 CA_GenerateCloningKEV访问目标HSM,完成目标HSM的同步操作初始化,并指示目标HSM使用源HSM的认证信息和目标HSM的硬件信息生成一个对称密钥。
[0076]步骤4:密钥同步工具将该对称密钥保存为文件,传送到源HSM所属PC服务器中。
[0077]步骤5:源HSM所属PC服务器中的密钥同步工具获取源HSM的所有密钥数据的句柄,并通知源HSM对源HSM中每个密钥进行加密,得到密钥密文。
[0078]步骤6:密钥同步工具将加密得到的密钥密文保存为文件,待所有密钥处理完后将文件传送到目标HSM所属PC服务器中;
[0079]步骤7:目标HSM所属PC服务器中的密钥同步工具使用接口 CA_CloneAsTarget访问目标HSM,将密钥密文发送给目标HSM,由目标HSM对密钥密文进行解密,恢复源HSM的密钥到目标HSM中。
[0080]实施例三
[0081]本发明实施例提供一种服务器,所述服务器内安装有HSM,如图5所示,包括:
[0082]密钥生成模块510,用于在所述服务器为目标HSM所属服务器时,通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;
[0083]密文生成模块520,用于在所述服务器为源HSM所属服务器时,指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器;
[0084]解密模块530,用于当所述服务器为目标HSM所属服务器时,将源HSM所属服务器发送的密钥密文转发至目标HSM,以使目标HSM解密得到源HSM的密钥信息。
[0085]优选地,本实施例中,密钥生成模块510,具体用于获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K。
[0086]优选地,本实施例中,源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
[0087]其中,源HSM的唯一标识信息优选但不限于为源HSM的认证信息。
[0088]本实施例所述的安装有HSM的服务器对原有服务器做了功能扩展,实现了多个HSM硬件之间的密钥同步,该同步方式避免了采购专用的备份设备,降低了采购成本。同时可以方便的实现远程操作,提高工程效率和降低维护成本。
[0089]实施例四
[0090]本发明实施例提供一种HSM加密信息同步实现系统,如图6所示,包括:源HSM所属服务器,以及若干目标HSM所属服务器;
[0091]所述目标HSM所属服务器,用于通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;以及接收源HSM所属服务器发送的密钥密文,将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息;
[0092]所述源HSM所属服务器,用于指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器。
[0093]优选地,目标HSM所属服务器获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,并利用获取的信息生成密钥K。
[0094]其中,源HSM的唯一标识信息优选但不限于为源HSM的认证信息。
[0095]本实施例所述系统实现了多个HSM硬件之间的密钥同步,该同步方式避免了采购专用的备份设备,降低了采购成本。同时可以方便的实现远程操作,提高工程效率和降低维护成本。
[0096]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1.一种硬件安全模块HSM加密信息同步实现方法,其特征在于,包括: 目标HSM所属服务器通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;目标HSM所属服务器接收源HSM所属服务器发送的密钥密文;所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文;目标HSM所属服务器将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息。2.如权利要求1所述的方法,其特征在于,所述目标HSM所属服务器通过目标HSM生成密钥K,具体包括: 所述目标HSM所属服务器获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K。3.如权利要求2所述的方法,其特征在于,所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。4.如权利要求2或3所述的方法,其特征在于, 所述源HSM的唯一标识信息包括:源HSM的认证信息; 所述密钥K为对称密钥。5.一种硬件安全模块HSM加密信息同步实现方法,其特征在于,包括: 源HSM所属服务器接收目标HSM所属服务器发送的密钥K ; 源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文; 源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器,以使目标HSM解密得到源HSM的密钥信息。6.如权利要求5所述的方法,其特征在于,源HSM所属服务器接收目标HSM所属服务器发送的密钥K前还包括: 源HSM所属服务器访问源HSM,获取源HSM的唯一标识信息,并将所述源HSM的唯一标识信息发送至目标HSM所属服务器,以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。7.一种服务器,所述服务器内安装有HSM,其特征在于,包括: 密钥生成模块,用于在所述服务器为目标HSM所属服务器时,通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器; 密文生成模块,用于在所述服务器为源HSM所属服务器时,指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器; 解密模块,用于当所述服务器为目标HSM所属服务器时,将源HSM所属服务器发送的密钥密文转发至目标HSM,以使目标HSM解密得到源HSM的密钥信息。8.如权利要求7所述的服务器,其特征在于,所述密钥生成模块,具体用于获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,生成密钥K。9.一种HSM加密信息同步实现系统,其特征在于,包括:源HSM所属服务器,以及若干目标HSM所属服务器; 所述目标HSM所属服务器,用于通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;以及接收源HSM所属服务器发送的密钥密文,将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息; 所述源HSM所属服务器,用于指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文,并将所述密钥密文发送至目标HSM所属服务器。10.如权利要求9所述的系统,其特征在于,所述目标HSM所属服务器,具体用于获取源HSM的唯一标识信息,并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息,并利用获取的信息生成密钥K。
【专利摘要】本发明公开了一种HSM加密信息同步实现方法、装置和系统,所述方法包括:目标HSM所属服务器通过目标HSM生成密钥K,并将所述密钥K发送至源HSM所属服务器;目标HSM所属服务器接收源HSM所属服务器发送的密钥密文;所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文;目标HSM所属服务器将所述密钥密文发送至目标HSM,以使目标HSM解密得到源HSM的密钥信息。本发明所述同步方案避免了采购专用的备份设备,降低了采购成本。同时可以方便的实现远程操作,提高工程效率和降低维护成本。
【IPC分类】H04L9/08, H04L12/04
【公开号】CN105681027
【申请号】
【发明人】文金亮
【申请人】中兴通讯股份有限公司
【公开日】2016年6月15日
【申请日】2014年11月20日...