一种实现加密机应用的高可用性的方法和系统的制作方法
【专利摘要】本发明提供一种实现加密机应用的高可用性的方法和系统。所述方法用于包括应用服务器和加密机的系统中,每个应用服务器包括应用模块、消息中间件和至少一个安全服务模块,消息中间件依次连接,安全服务模块中定义有主用和备用加密机的逻辑分组。所述方法包括:应用模块接收通讯请求并将其转发至消息中间件;消息中间件解析通讯请求,将其发送至安全服务模块,安全服务模块按照对加密机的逻辑分组,将通讯请求封装后发至主用加密机,且在主用加密机不可用时,将请求发至备用加密机,成功收到加密机应答后,返回应答消息。利用本发明的方法和系统,可以应用对加密机应用的高可用性。
【专利说明】—种实现加密机应用的高可用性的方法和系统
【技术领域】
[0001]本发明涉及一种满足可靠性并提升加密机利用率的技术,尤其涉及一种实现加密机应用的高可用性的方法和系统 。
【背景技术】
[0002]在金融信息处理系统中,为实现数据信息安全,加密机是需要使用的重要设备之一,作为一种外接设备,加密机设备如果出现故障,可能会引起系统应用的异常。
[0003]因此,需面对加密机可能因故障或版本升级等原因引起的停机,在实现冗余备份时,常用的方式有:
I)另外使用一个加密机进行冷备,在主用加密机故障时,转为使用冷备加密。
[0004]2)使用多个进程分别连接至多个加密机,这此进程从同一消息队列中取出请求消息进行处理,当一个加密机故障时,其对应的进程停止运行,但仍有其它进程处理消息请求。
[0005]对于以上方式在使用过程中,分别存在以下缺点:方式I)下,当主机故障后,切换时间较长或可能切换后仍不成功,另一方面也存在闲置资源未充分使用;方式2)下,其中一个加密机停机后,对系统功能暂无影响,但由于使用此加密机的应用进程也随之停止,联机应用的处理能力也会有所下降;
除此之外,现有方式下,加密机设备故障恢复后,往往需要对应用进行人工干预(如重启应用等),才能恢复使用。
【发明内容】
[0006]有鉴于此,本发明提供一种实现加密机应用的高可用性的方法及系统。
[0007]本发明提供了以下技术方案:
1.一种实现加密机应用的高可用性的方法,其特征在于,所述方法用于包括应用服务器和加密机HSM-1,...HSM-n的系统中,其中η>1,应用服务器的数量在I到η之间,每个应用服务器包括应用模块、消息中间件和至少一个安全服务模块,消息中间件依次连接,安全服务模块i,j中分别定义有主用和备用加密机的逻辑分组GRP-1〈HSM-k,HSM-m>,GRP-j<HSM-p, HSM_q>,其中 I < i, j, k, m, p, q ^ n, k ^ m, k ^ p, p ^ q, m ^ q,所述方法包括:
A应用模块接收通讯请求并将其转发至消息中间件;
B消息中间件解析通讯请求,将其发送至一个安全服务模块;
C安全服务模块封装所述通讯请求;
D安全服务模块确定其和当前加密机之间是否存在长连接,如果存在,则将封装后的通讯请求发送至当前加密机并执行步骤F,否则执行步骤E ;
E安全服务模块尝试连接逻辑定分组中的主用加密机,如果连接成功,则将封装后的通讯请求发送至主用加密机并执行步骤F,否则尝试连接备用加密机,如果连接成功,则将封装后的通讯请求发送至备用加密机并执行步骤F,否则返回失败的应答消息;
F安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息;
G安全服务模块确定是否成功从所连接的加密机接收应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。 [0008]2.如技术方案I所述的方法,其特征在于,当I≤i〈n时,k=i, m=i+l;当i=n时,k=n, m=l;当 I < j〈n 时,p=j, q=j+l;当 j=n 时,p=n, q=l。
[0009]3.如技术方案I或2所述的方法,其特征在于,所述步骤F包括:
Fl安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则执行步骤F2 ;
F2安全服务模块断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤F3,否则返回失败的应答消息;
F3安全服务模块发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息。
[0010]4.如技术方案1-3之一所述的方法,其特征在于,所述步骤G包括:
Gll安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则执行步骤G12 ;
G12安全服务模块断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤G13,否则返回失败的应答消息;
G13安全服务模块发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G14,否则返回失败的应答消息;
G14安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
[0011]5.如技术方案1-4之一所述的方法,其特征在于,步骤G包括:
G21安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G22,否则返回失败的应答消息;
G22安全服务模块确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G23,否则返回成功的应答消息;
G23安全服务模块尝试连接至主用加密机,如果成功,则执行步骤G24,否则返回成功的应答消息;
G24安全服务模块断开与备用加密机的连接并返回成功的应答消息。
[0012]6.如技术方案1-5之一所述的方法,其特征在于,步骤G包括:
G31安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则执行步骤G35 ;
G32安全服务模块确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G33,否则返回成功的应答消息;
G33安全服务模块尝试连接至主用加密机,如果成功,则执行步骤G34,否则返回成功的应答消息;
G34安全服务模块断开与备用加密机的连接并返回成功的应答消息;G35连接至逻辑分组中的另一加密机并发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G36,否则返回失败的应答消息;
G36安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则返回失败的应答消息。
[0013]7.如技术方案1-6之一所述的方法,其特征在于,步骤E还包括:安全服务模块在尝试连接备用加密机失败后,返回执行步骤E,直至失败M次后才返回失败的应答消息,其中M为自然数。
[0014]8.一种实现加密机应用的高可用性的方法,其特征在于,所述系统包括应用服务器和加密机HSM-1,...,HSM-n,其中η>1,应用服务器的数量在I到η之间,每个应用服务器包括应用模块、消息中间件和至少一个安全服务模块,消息中间件依次连接,安全服务模块i,j中分别定义有主用和备用加密机的逻辑分组GRP-1〈HSM-k,HSM-m>, GRP-j〈HSM_p,HSM_q>,其中I≤i, j, k, m, p, q≤n, k关m, k关p, P关q, m关q,其中所述系统被配置为:
A应用模块接收通讯请求并将其转发至消息中间件;
B消息中间件解析通讯请求,将其发送至一个安全服务模块;
C安全服务模块封装所述通讯请求;
D安全服务模块确定其和当前加密机之间是否存在长连接,如果存在,则将封装后的通讯请求发送至当前加密机并执行步骤F,否则执行步骤E ;
E安全服务模块尝试连接逻辑定分组中的主用加密机,如果连接成功,则将封装后的通讯请求发送至主用加密机并执行步骤F,否则尝试连接备用加密机,如果连接成功,则将封装后的通讯请求发送至备用加密机并执行步骤F,否则返回失败的应答消息;
F安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息;
G安全服务模块确定是否成功从所连接的加密机接收应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
[0015]9.如技术方案8所述的系统,其特征在于,当I < i〈n时,k=i, m=i+l;当i=n时,k=n, m=l;当 I < j〈n 时,p=j, q=j+l;当 j=n 时,p=n, q=l。
[0016]10.如技术方案8-9之一所述的系统,其特征在于,所述安全服务模块在所述步骤F中被配置为:
Fl确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则执行步骤F2 ;F2断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤F3,否则返回失败的应答消息;
F3发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息。
[0017]11.如技术方案8-10之一所述的系统,其特征在于,所述安全服务模块在所述步骤G中被配置为:
Gll确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则执行步骤G12;
G12断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤G13,否则返回失败的应答消息;
G13发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G14,否则返回失败的应答消息;
G14确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
[0018]12.如技术方案8-11之一所述的系统,其特征在于,所述安全服务模块在步骤G中被配置为:
G21确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G22,否则返回失败的应答消息;
G22确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G23,否则返回成功的应答消息;
G23尝试连接至主用加密机,如果成功,则执行步骤G24,否则返回成功的应答消息; G24断开与备用加密机的连接并返回成功的应答消息。
[0019]13.如技术方案8-12之一所述的系统,其特征在于,所述安全服务模块步骤G中被配置为:
G31确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则执行步骤G35 ;
G32确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G33,否则返回成功的应答消息;
G33尝试连接至主用加密机,如果成功,则执行步骤G34,否则返回成功的应答消息; G34断开与备用加密机的连接并返回成功的应答消息;
G35连接至逻辑分组中的另一加密机并发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G36,否则返回失败的应答消息;
G36确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则返回失败的应答消息。
[0020]14.如技术方案8-13之一所述的系统,其特征在于,所述安全服务模块在步骤E还被配置为:在尝试连接备用加密机失败后,返回执行步骤E,直至失败M次后才返回失败的应答消息,其中M为自然数。
[0021]利用本发明的方法及系统,可以应用对加密机应用的高可用性。减少外部加密机设备故障对联机应用的影响,在保持应用原有高性能的前提下,提高应用系统的可用性。
【专利附图】
【附图说明】
[0022]图1为根据本发明实施例的实现加密机高可用性的系统;以及 图2为根据本发明实施例的实现加密机高可用性的方法。
【具体实施方式】
[0023]下面将结合附图详细描述本发明的优选实施例,在附图中相同的参考标号表示相同的元件。
[0024]本发明提供了一种实现加密机应用的高可用性的系统和方法,更大程度避免因加密机故障引起的系统不可用。在使用多个形成冗余关系的加密机时,相互间形成互备,每个加密机均处于主用状态,同时也作为另一加密机的备份,在另一加密机出现故障或其它不可用的情况时,能代替其行使相应的功能;另外,也会在故障的加密机恢复后,能自动切换,恢复成原来的使用方式。从整体上提高应用系统的健壮性与高可用性,同时,也让备用的加密机不再处于闲置状态,提高资源使用率。
[0025]图1为根据本发明实施例的实现加密机应用的高可用性的系统。图2为根据本发明实施例的实现加密机应用的高可用性的方法。以下结合图1和2来描述根据本发明的实现加密机应用的高可用性的系统和方法。 [0026]如图1所示,系统包括应用服务器1,...,η和加密机HSM-1,...,HSM-n, η>1,每个应用服务器1,...,η分别包括应用模块APP-1,...,ΑΡΡ-η、消息中间件-1...η和安全服务模块SEC-1,SEC-n。消息中间件_1,...,消息中间件_n依次连接以便在消息中间件-1...η之间进行通讯。其中消息中间件按自身的负载均衡策略,将接收到的通讯请求发送给其中的一个安全服务模块处理。鉴于本领域技术人员能够知道如何按自身的负载均衡策略,将接收到的通讯请求发送给其中的一个安全服务模块进行处理,因此本文在此不再赘述。
[0027]安全服务模块i,j中分别定义有主用和备用加密机的逻辑分组GRP-1〈HSM_k,HSM-m>, GRP-j<HSM-p, HSM_q>。其中 I < i, j, k, m, p, q ^ n, k ^ m, k ^ p, p ^ q,
m q o
[0028]优选地,当I < i〈n 时,k=i, m=i+l;当 i=n 时,k=n, m=l;当 I < j〈n 时,p=j,q=j+l ;当 j=n 时,p=n, q=l。
[0029]下面将详细描述根据本发明的实现加密机应用的高可用的方法。
[0030]如图2所示,在步骤200,假设应用模块APP-1接收到通讯请求并将其转发至消息中间件-1。显而易见地,也可以由其它应用模块来接收通讯请求。
[0031]在步骤202,消息中间件-1解析该通讯请求,将其转发至一个安全服务模块。
[0032]在此,假设消息中间件按自身的负载均衡策略将其发送至安全服务模块SEC-1。然而,本领域技术人员会知道,通讯请求的转发并非局限于消息中间件所在的应用服务器。例如,通讯请求也可能通过应用模块APP-1,消息中间件-1、消息中间件-2而被转发至安全服务模块SEC-2。
[0033]在步骤204,安全服务模块SEC-1确定在安全服务模块SEC-1和当前加密机之间是否存在长连接,如果存在,则执行步骤206,否则执行步骤208。
[0034]在步骤206,安全服务模块SEC-1根据加密机指令要求封装该通讯请求并将封装后的通讯请求通过网络通讯发送至加密机。
[0035]在步骤208,安全服务模块SEC-1尝试连接主(备)用加密机。
[0036]在步骤210,安全服务模块SEC-1确定连接是否成功,如果成功,则执行步骤206,否则执行步骤212。
[0037]在步骤212,安全服务模块SEC-1返回失败的应答消息。
[0038]具体而言,安全服务模块SEC-1尝试连接逻辑定分组中的主用加密机HSM-1,如果连接成功,则执行步骤206 (将封装后的通讯请求发送至主用加密机HSM-1 ),否则尝试连接备用加密机HSM-2,如果连接成功,则执行步骤206 (将封装后的通讯请求发送至备用加密机HSM-2),否则返回执行步骤208,直至失败M次后才执行步骤212,其中M为自然数。
[0039]优选地,也可以在安全服务模块SEC-1第一次尝试连接主(备)用加密机失败后,直接返回失败的应答消息。
[0040]在步骤214,安全服务模块SEC-1确定发送是否成功,如果成功,则执行步骤216,否则执行步骤218。
[0041]在步骤216,安全服务模块SEC-1确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤224,否则执行步骤234。
[0042]在步骤218,安全服务模块SEC-1断开所连接的加密机和安全服务模块的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤220,否则执行步骤242。
[0043]在步骤220,安全服务模块SEC-1发送封装后的通讯请求至所连接的加密机。
[0044]在步骤222,安全服务模块SEC-1确定发送封装后的通讯请求是否成功,如果成功,则执行步骤216,否则执行步骤242。
[0045]在步骤224,安全服务模块确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤226,否则执行步骤230。
[0046]在步骤226,安全服务模块尝试连接至主用加密机,
在步骤228,安全服务模块确定连接是否成功,如果成功,则执行步骤232,否则执行步骤 230。
[0047]在步骤230,安全服务模块返回成功的应答消息。
[0048]在步骤232,安全服务模块与断开备用加密机的连接。
[0049]在步骤234,安全服务模块SEC-1断开所连接的加密机和安全服务模块的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤236,否则执行步骤242。
[0050]在步骤236,安全服务模块SEC-1发送封装后的通讯请求至所连接的加密机。
[0051]在步骤238,安全服务模块SEC-1确定发送封装后的通讯请求是否成功,如果成功,则执行步骤240,否则执行步骤242。
[0052]在步骤240,安全服务模块SEC-1确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤224,否则执行步骤242。
[0053]在步骤242,安全服务模块SEC-1返回失败的应答消息。
[0054]为了简化描述的目的,在本发明中仅以应用模块APP-1为例阐述了本发明。然而,本发明并不局限于应用模块APP-1,其同样可以适用于其它应用模块,而不脱离本发明的范围。
[0055]为了简化描述的目的,在本发明中仅示意性地示出了在每个服务器中包括一个安全服务模块。然而,本发明并不局限于此,每个服务器中可以含有多个安全服务模块,本领域技术人员可以根据实际需要来确定所含有的安全服务模块的数量,例如为2个、3个...。优选地,每个服务器中含有η个安全服务模块。
[0056]为了简化描述的目的,在本发明中仅示意性地示出了在每个服务器中包括一个应用模块。然而,本发明并不局限于此,每个服务器中可以含有多个应用模块,本领域技术人员可以根据实际需要来确定所含有的应用模块的数量,例如为2个、3个...。
[0057]为了简化描述的目的,在本发明中仅示意性地示出了根据本发明的实现加密机应用的高可用性系统包括η个应用服务器。然而,本发明并不局限于此,本领域技术人员可以根据实际需要来调整应用服务器的数量,该应用服务服务器的数量在I到η之间,即最小为一个,最大为η个。例如可以仅包括一个应用服务器、2个应用服务器...,直至η个应用服务器。
[0058]在本发明中只定义两个加密机为一个分组,其目的是为了缩短异常情况下应用与加密机通讯时的超时返回时间。然而,本发明并不局限将一个分组定义为仅包括两个加密机,也即增多一个分组中的加密机(多余2个)。虽然可用性提高了,但异常情况下的处理时效性将变差。
[0059]鉴于这些教导,熟悉本领域的技术人员将容易想到本发明的其它实施例、组合和修改。例如,本领域的技术人员可以根据实际需要来删除、合并、分解图中所示的步骤、元件。因此,当结合上述说明和附图进行阅读时,本发明仅仅由权利要求限定。
【权利要求】
1.一种实现加密机应用的高可用性的方法,其特征在于,所述方法用于包括应用服务器和加密机HSM-1,...HSM-n的系统中,其中η>1,应用服务器的数量在I到η之间,每个应用服务器包括应用模块、消息中间件和至少一个安全服务模块,消息中间件依次连接,安全服务模块i,j中分别定义有主用和备用加密机的逻辑分组GRP-1〈HSM-k,HSM-m>,GRP-j<HSM-p, HSM_q>,其中 I < i, j, k, m, p, q ^ n, k ^ m, k ^ p, p ^ q, m ^ q,所述方法包括: A应用模块接收通讯请求并将其转发至消息中间件; B消息中间件解析通讯请求,将其发送至一个安全服务模块; C安全服务模块封装所述通讯请求; D安全服务模块确定其和当前加密机之间是否存在长连接,如果存在,则将封装后的通讯请求发送至当前加密机并执行步骤F,否则执行步骤E ; E安全服务模块尝试连接逻辑定分组中的主用加密机,如果连接成功,则将封装后的通讯请求发送至主用加密机并执行步骤F,否则尝试连接备用加密机,如果连接成功,则将封装后的通讯请求发送至备用加密机并执行步骤F,否则返回失败的应答消息; F安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息; G安全服务模块确定是否成功从所连接的加密机接收应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
2.如权利要求1所述的方法,其特征在于,当I≤i〈n时,k=i,m=i+l;当i=n时,k=n,m=l;当 I ≤j〈n 时,P=j, q=j+l;当 j=n 时,p=n, q=l。
3.如权利要求1或2所述的方法,其特征在于,所述步骤F包括: Fl安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则执行步骤F2 ; F2安全服务模块断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤F3,否则返回失败的应答消息; F3安全服务模块发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息。
4.如权利要求1或2所述的方法,其特征在于,所述步骤G包括: Gll安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则执行步骤G12 ; G12安全服务模块断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤G13,否则返回失败的应答消息; G13安全服务模块发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G14,否则返回失败的应答消息; G14安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
5.如权利要求1或2所述的方法,其特征在于,步骤G包括: G21安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G22,否则返回失败的应答消息;G22安全服务模块确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G23,否则返回成功的应答消息; G23安全服务模块尝试连接至主用加密机,如果成功,则执行步骤G24,否则返回成功的应答消息; G24安全服务模块断开与备用加密机的连接并返回成功的应答消息。
6.如权利要求1或2所述的方法,其特征在于,步骤G包括: G31安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则执行步骤G35 ; G32安全服务模块确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G33,否则返回成功的应答消息; G33安全服务模块尝试连接至主用加密机,如果成功,则执行步骤G34,否则返回成功的应答消息; G34安全服务模块断开与备用加密机的连接并返回成功的应答消息; G35连接至逻辑分组中的另一加密机并发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G36,否则返回失败的应答消息; G36安全服务模块确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则返回失败的应答消息。
7.如权利要求1 或2所述的方法,其特征在于,步骤E还包括:安全服务模块在尝试连接备用加密机失败后,返回执行步骤E,直至失败M次后才返回失败的应答消息,其中M为自然数。
8.一种实现加密机应用的高可用性的方法,其特征在于,所述系统包括应用服务器和加密机HSM-1,...,HSM-n,其中η>1,应用服务器的数量在I到η之间,每个应用服务器包括应用模块、消息中间件和至少一个安全服务模块,消息中间件依次连接,安全服务模块i,j中分别定义有主用和备用加密机的逻辑分组GRP-1〈HSM-k,HSM-m>, GRP-j〈HSM_p,HSM_q>,其中1≤i, j, k, m, p, q≤n, k关m, k关p, P关q, m关q,其中所述系统被配置为: A应用模块接收通讯请求并将其转发至消息中间件; B消息中间件解析通讯请求,将其发送至一个安全服务模块; C安全服务模块封装所述通讯请求; D安全服务模块确定其和当前加密机之间是否存在长连接,如果存在,则将封装后的通讯请求发送至当前加密机并执行步骤F,否则执行步骤E ; E安全服务模块尝试连接逻辑定分组中的主用加密机,如果连接成功,则将封装后的通讯请求发送至主用加密机并执行步骤F,否则尝试连接备用加密机,如果连接成功,则将封装后的通讯请求发送至备用加密机并执行步骤F,否则返回失败的应答消息; F安全服务模块确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息; G安全服务模块确定是否成功从所连接的加密机接收应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
9.如权利要求8所述的系统,其特征在于,当1< i〈n时,k=i, m=i+l;当i=n时,k=n,m=l;当 ≤ j〈n 时,p=j, q=j+l;当 j=n 时,p=n, q=l。
10.如权利要求8或9所述的系统,其特征在于,所述安全服务模块在所述步骤F中被配置为: Fl确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则执行步骤F2 ;F2断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤F3,否则返回失败的应答消息; F3发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G,否则返回失败的应答消息。
11.如权利要求8或9所述的系统,其特征在于,所述安全服务模块在所述步骤G中被配置为: Gll确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则执行步骤G12; G12断开与所连接的加密机的连接,尝试连接至逻辑分组中的另一加密机,如果成功,则执行步骤G13,否则返回失败的应答消息; G13发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G14,否则返回失败的应答消息; G14确定是否成功从所连接的加密机接收到应答消息,如果是,则返回成功的应答消息,否则返回失败的应答消息。
12.12.如权利要求8或9所述的系统,其特征在于,所述安全服务模块在步骤G中被配置为: G21确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G22,否则返回失败的应答消息; G22确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G23,否则返回成功的应答消息; G23尝试连接至主用加密机,如果成功,则执行步骤G24,否则返回成功的应答消息; G24断开与备用加密机的连接并返回成功的应答消息。
13.如权利要求8或9所述的系统,其特征在于,所述安全服务模块步骤G中被配置为: G31确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则执行步骤G35 ; G32确定当前所连接的加密机是否为备用加密机且达到回切检测时间,如果为是,则执行步骤G33,否则返回成功的应答消息; G33尝试连接至主用加密机,如果成功,则执行步骤G34,否则返回成功的应答消息; G34断开与备用加密机的连接并返回成功的应答消息; G35连接至逻辑分组中的另一加密机并发送封装后的通讯请求,确定发送封装后的通讯请求是否成功,如果成功,则执行步骤G36,否则返回失败的应答消息; G36确定是否成功从所连接的加密机接收到应答消息,如果是,则执行步骤G32,否则返回失败的应答消息。
14.如权利要求8或9所述的系统,其特征在于,所述安全服务模块在步骤E还被配置为:在尝试连接备用加密机失败后,返回执行步骤E,直至失败M次后才返回失败的应答消息,其中 M为自然数。
【文档编号】H04L29/06GK103546427SQ201210238615
【公开日】2014年1月29日 申请日期:2012年7月11日 优先权日:2012年7月11日
【发明者】刘宾, 冀乃庚, 李筑埭 申请人:中国银联股份有限公司