加密管理方法及装置、控制集群与流程

本申请涉及网络安全技术领域，尤其涉及一种加密管理方法及装置、控制集群。

背景技术：

在金融等行业的重要系统中，为实现数据信息安全，硬件加密机是需要使用的重要设备之一，作为一种外接设备，硬件加密机如果出现故障，可能会引起系统应用的异常，因此需要确保硬件加密机的高可用性。现有技术采用的硬件加密机的技术方案中，将两台硬件加密机分别作为主加密机和备加密机，由管理员将主加密机的密钥导出、导入到备加密机设备中。正常情况下，应用系统连接到主加密机，以实现加密业务，当主加密机发生故障时，切换到备加密机，从而确保加密业务的高可用。

由于主加密机和备加密机之间的秘钥同步还存在如下问题：当主加密机发生故障时，切换导致加密的业务中断时间较长，当备加密机也发生故障的情况下并且短时间内无法恢复时，会造成加密业务的中断。

技术实现要素：

有鉴于此，本申请提供一种新的技术方案，可以保证云加密业务出现故障的情况下，快速切换云加密业务，确保云加密业务的高可用。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种加密管理方法，包括：

当检测到第一机发生故障时，获取所述第一加密机对应的第一备份文件；

确定当前能够用于提供加密业务的第二加密机；

将所述第一备份文件发送至所述第二加密机，以供所述第二加密机通过所述第一备份文件提供云加密业务。

根据本申请的第二方面，提出了一种加密管理装置，包括：

获取模块，用于当检测到第一加密机发生故障时，获取所述第一加密机对应的第一备份文件；

第一确定模块，用于确定当前能够用于提供加密业务的第二加密机；

第一发送模块，用于将所述获取模块获取到的所述第一备份文件发送至所述第一确定模块确定的所述第二加密机，以供所述第二加密机通过所述第一备份文件提供加密业务。

根据本申请的第三方面，提出了一种控制集群，所述控制集群包括多台服务器，所述多台服务器中的每台服务器包括：

处理器；用于存储所述处理器可执行指令的存储器；网络接口；

其中，所述处理器，用于当检测到第一加密机发生故障时，获取所述第一加密机对应的第一备份文件；确定当前能够用于提供加密业务的第二加密机；

所述网络接口，用于将所述第一备份文件发送至所述第二加密机，以供所述第二加密机通过所述第一备份文件提供加密业务。

由以上技术方案可见，本申请当检测到第一加密机发生故障时，将第一备份文件发送至第二加密机，以供第二加密机通过第一备份文件提云加密业务，从而可以确保第一加密机的加密业务出现故障的情况下，快速将第一加密机提供的加密业务切换到第二加密机上，进而确保加密业务的高可用；此外，整个恢复过程为自动化处理过程，因此不需要人工干预，提高了加密业务的实时性和自动化程度。

附图说明

图1a示出了根据本发明的示例性实施例一的加密管理方法的流程示意 图；

图1b示出了根据本发明的示例性实施例一的加密管理方法的场景示意图；

图2示出了根据本发明的示例性实施例二的加密管理方法的流程示意图；

图3示出了根据本发明的示例性实施例三的加密管理方法的流程示意图；

图4示出了根据本发明的示例性实施例四的加密管理方法的流程示意图；

图5示出了根据本发明的示例性实施例五的加密管理方法的流程示意图；

图6示出了根据本发明的一示例性实施例的控制集群中的服务器的结构示意图；

图7示出了根据本发明的示例性实施例一的加密管理装置的结构示意图；

图8示出了根据本发明的示例性实施例二的加密管理装置的结构示意图；

图9示出了根据本发明的示例性实施例三的加密管理装置的结构示意图；

图10示出了根据本发明的示例性实施例四的加密管理装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一 些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请中的硬件加密机(hardwaresecuritymodule，简称为hsm)是通过国家商用密码主管部门鉴定并批准使用的主机加密设备，虚拟加密机(virtualhardwaresecuritymodule，简称为vsm)是指通过虚拟化技术将1台硬件加密机虚拟化成多台虚拟加密机，虚拟加密机相互之间相互隔离，不会互相影响，保证虚拟加密机的安全性。

为对本申请进行进一步说明，提供下列实施例：

图1a示出了根据本发明的示例性实施例一的加密管理方法的流程示意图，图1b示出了根据本发明的示例性实施例一的加密管理方法的场景示意图；如图1a所示，包括如下步骤：

步骤101，当检测到第一加密机发生故障时，获取第一加密机对应的第一备份文件。

步骤102，确定当前能够用于提供加密业务的第二加密机。

步骤103，将第一备份文件发送至第二加密机，以供第二加密机通过第一备份文件提供加密业务。

上述步骤101中，在一实施例中，控制集群可以接收第一加密机上报的 心跳消息，根据心跳消息确定第一加密机是否发生故障，在另一实施例中，控制集群可以通过调用远程接口(api)来确定第一加密是否发生故障，在再一实施例中，控制集群可以通过心跳消息和调用远程api相结合的方式来双重确认第一加密机是否发生故障。在一实施例中，控制集群可以先找到存储第一加密机的第一备份文件的存储位置，从该存储位置获取第一备份文件。在一实施例中，第一备份文件记录有第一加密机的密钥，该第一加密机的内容已经加密，为不可读的状态，从而可以确保第一备份文件的安全性。

上述步骤102中，控制集群可以控制多台硬件加密机，多台硬件加密机中的每一台硬件加密机均可以通过虚拟化技术虚拟化成多台虚拟加密机，由于多台虚拟加密机中的一部分虚拟加密机还可以为其它用户提供加密业务，因此控制集群需要从多台虚拟加密机中确定当前尚未为其它用户提供加密业务的第二加密机，并且被第二加密机能够提供加密业务。

上述步骤103中，在一实施例中，控制集群可以将第一备份文件发送至第二加密所在的硬件加密机，硬件加密机再将第一备份文件转发给第二加密机。

在一个示例性场景中，如图1b所示，在隔离网络区域10内，控制集群20包含有多台服务器21、…、服务器2n，其中，n为控制集群20内的服务器的数量，http服务模块211为加密机系统40中的硬件加密机41、…、硬件加密机4m中的虚拟加密机411、…、4m1提供管理各自虚拟加密机的服务器的服务器地址，例如，服务器21用于管理虚拟加密机411。

当用户在管理客户端通过虚拟私有云(virtuaprivateclouds，简称为vpc)50连接到加密机系统40时，以虚拟加密机411为用户提供加密业务为例进行示例性说明，当虚拟加密机411(可视为本申请中的第一加密机)出现故障时，控制集群20确定当前管理的虚拟加密机411、…、4m1中能够为用户提供加密业务的虚拟加密机，例如，虚拟加密机421(可视为本申请中的第二加密机)能够为该用户提供加密业务，则控制集群20从存储设备30处获取到虚拟加密机411对应的第一备份文件，将该第一备份文件通过硬 件加密机42的控制模块下发到虚拟加密机421中，从而可以使用户在管理客户端通过vpc50连接到虚拟加密机421，虚拟加密机421通过第一备份文件提供加密业务。

由上述描述可知，本发明实施例通过上述步骤101-步骤103，当检测到第一加密机发生故障时，将第一备份文件发送至第二加密机，以供第二虚密机通过第一备份文件提供加密业务，从而可以确保第一加密机的云密业务出现故障的情况下，快速将第一加密机提供的加密业务切换到第二加密机上，进而确保加密业务的高可用；此外，整个恢复过程为自动化处理过程，因此不需要人工干预，提高了加密业务的实时性和自动化程度。

图2示出了根据本发明的示例性实施例二的加密管理方法的流程示意图；本实施例以如何获取第一加密机对应的第一备份文件为例并结合图1b进行示例性说明，如图2所示，包括如下步骤：

步骤201，当检测到第一加密机发生故障时，确定第一加密机对应的备份文件的存储位置。

步骤202，当第一加密机对应的备份文件具有多个存储位置时，确定多个存储位置存储对应的备份文件的多个存储时间。

步骤203，从多个存储时间中确定距离当前时间点最近的存储时间，从距离当前时间点最近的存储时间对应的存储位置获取第一加密机对应的第一备份文件。

步骤204，确定当前能够用于提供加密业务的第二加密机。

步骤205，将第一备份文件发送至第二加密机，以供第二加密机通过第一备份文件提供加密业务。

步骤206，控制第一加密机断开与虚拟私有云的连接，并控制第二加密机与虚拟私有云建立连接，以供用户通过虚拟私有云登录第二加密机。

在上述步骤201-步骤203中，如图1b所示，当用户通过虚拟加密机411进行加密业务的过程中，如果用户对虚拟加密机411的第一备份文件有更新，则可以对第一备份文件通过控制集群20进行备份，在用户不断使用虚拟加密 机411的过程中，其可能会在不同时间点备份的第一备份文件，进而会导致存储设备30上有多个存储位置均存储有第一备份文件，例如，存储设备30在时间点2016.02.11对第一备份文件进行了第一次备份，在时间点2016.03.13对第一备份文件进行了第二次备份，由于时间点2016.03.13距离当前时间点最近，因此可以确定该时间点对应的文件的版本为用户最近一次修改的文件，因此从时间点2016.03.13对应的存储位置获取虚拟加密机411对应的第一备份文件。

步骤204和步骤205的相关描述可以参见上述图1a的相关描述，在此不再详述。

上述步骤206中，当在虚拟加密机421上恢复用户的加密业务后，控制集群20可以向vpc50发送断开与虚拟加密机411连接并建立与虚拟加密机421连接的指令，从而控制用户在管理客户端通过vpc50连接到虚拟加密机421。

本实施例在具有上述实施例的有益技术效果的基础上，通过从多个存储时间中确定距离当前时间点最近的存储时间，从距离当前时间点最近的存储时间对应的存储位置获取第一加密机对应的第一备份文件，从而可以根据备份的时间点来确定用户当前有效的第一备份文件；通过控制第一加密机断开与虚拟私有云的连接，并控制第二加密机与虚拟私有云建立连接，确保了用户加密业务的无缝切换，并缩短了切换时间。

图3示出了根据本发明的示例性实施例三的加密管理方法的流程示意图；本实施例以如何确定当前能够用于提供加密业务的第二加密机并结合图1b进行示例性说明，如图3所示，包括如下步骤：

步骤301，当检测到第一加密机发生故障时，获取第一加密机对应的第一备份文件。

步骤302，从当前管理的全部加密机中确定当前心跳正常的至少一台加密机。

步骤303，从至少一台加密机中确定当前能够用于提供加密业务的第二 加密机。

步骤304，将第一备份文件发送至第二加密机，以供第二加密机通过第一备份文件提供加密业务。

步骤305，控制第一加密机断开与虚拟私有云的连接，并控制第二加密机与虚拟私有云建立连接，以供用户通过虚拟私有云登录第二加密机。

步骤301、步骤304-步骤305的描述可以参见上述相关实施例的描述，在此不再详述。

在上述步骤302和步骤303中，如图1b所示，控制集群20可以从当前管理的全部虚拟加密机(即，虚拟加密机411、…、4m1)中确定当前心跳正常的至少一台虚拟加密(例如，虚拟加密机431、虚拟加密机441、虚拟加密机451)，从上述虚拟加密机431、虚拟加密机441、虚拟加密机451中随机选择一台可用的虚拟加密机作为第二加密机即可。

在一实施例中，控制集群20可以以加密机机器池的方式管理当前尚未为用户提供加密业务的虚拟加密机，例如，虚拟加密机431、虚拟加密机441、虚拟加密机451目前尚未为用户提供加密业务，则可以将虚拟加密机431、虚拟加密机441、虚拟加密机451以加密机机器池的形式对其进行管理。当加密机系统40中有大量的虚拟加密机出现故障时，控制集群可以快速从加密机机器池中确定需要切换的虚拟加密机。

本实施例在具有上述实施例的有益技术效果的基础上，通过从当前管理的全部加密机中确定当前心跳正常的至少一台加密机，从至少一台加密机中确定当前能够用于提供加密业务的第二加密机，只需要从可用的至少一台加密机中随机找出一台加密机即可，从而可以避免事先准备主-备加密机，并且使硬件加密机在最大程度上得到复用。

图4示出了根据本发明的示例性实施例四的加密管理方法的流程示意图；本实施例以如何检测第一加密机发生故障为例并结合图1b进行示例性说明，如图4所示，包括如下步骤：

步骤401，监测当前管理的全部加密机各自对应的心跳消息。

步骤402，当通过心跳消息确定对应的加密机发生故障时，通过调用该对应的加密机的远程接口确定该加密机是否发生故障。

步骤403，当通过调用远程接口确定该加密机发生故障时，将该加密机确定为第一加密机，执行获取第一加密机对应的备份文件的步骤。

如图1b所示，虚拟加密机411、…、4m1可以通过各自对应的上报模块将各自的心跳消息发送至控制集群20，控制集群20通过监控接收到的心跳信息判断各台虚拟加密机是否正常工作，例如，每隔1秒钟接收到各台虚拟加密机的心跳消息，当发现连着3秒钟均为接收到其中一台虚拟加密机(例如，虚拟加密机411)的心跳消息，为了防止虚拟加密机由于网络超时或者丢包等现象导致误报心跳消息，当控制集群20通过心跳消息确定虚拟加密机411发生故障时，控制集群20可以通过调用虚拟加密机411对应的远程接确定虚拟加密机411是否发生故障，当通过虚拟加密机411对应的远程接确定虚拟加密机411发生故障时，则可根据上述实施例的方法流程切换虚拟加密机411。

本实施例中，通过心跳消息以及调用远程接口的方式双重检测虚拟加密机是否发生故障，从而可以防止虚拟加密机由于网络超时或者丢包等现象导致误报心跳消息的现象发生，避免对虚拟加密机进行不必要的切换，降低控制集群的处理复杂度。

图5示出了根据本发明的示例性实施例五的加密管理方法的流程示意图；本实施例以如何对虚拟加密机的文件进行备份为例并结合图1b进行示例性说明，如图5所示，包括如下步骤：

步骤501，向第二加密机发送控制指令，控制指令中携带有用于管理第二加密机的服务器的服务器地址。

步骤502，当第二加密机将第一备份文件更新为第二备份文件时，接收第二加密机根据服务器地址返回的第二备份文件。

步骤503，将第二备份文件存储在第二加密机对应的存储位置。

在上述步骤501中，http服务模块211可以用于管理加密机系统40中的 各个虚拟加密机的服务器的服务器地址，例如，http服务模块211确定虚拟加密机421下由服务器21管理，则控制集群20向虚拟加密机421下发控制指令，该控制指令中携带有管理虚拟加密机421的服务器21的服务器地址。

在上述步骤502中，当用户在管理客户端通过vpc50连接到虚拟加密机421时，如果虚拟加密机421内的密钥发生变更，虚拟加密机421对变更后的秘钥制作为第二备份文件；虚拟加密机422通过其上报模块将第二备份文件上传至硬件加密机42，硬件加密机42接收到虚拟加密机421上报的第二备份文件后，通过硬件加密机42对应的上报模块将第二备份文件上传到控制集群20中。

在上述步骤503中，控制集群20可以根据用户以及当前的时间点等信息，将虚拟加密机421的第二备份文件保存至存储设备30上该虚拟加密机421对应的存储位置。

本实施例中，当第二加密机将第一备份文件更新为第二备份文件时，接收第二加密机根据服务器地址返回的第二备份文件，将第二备份文件存储在第二加密机对应的存储位置，从而可以实时地将虚拟加密机的备份文件上传至相应的存储位置，实现了对虚拟加密机的实时备份，确保了虚拟加密机的密钥不会被丢失。

对应于上述的实现云加密业务的方法，本申请还提出了图6所示的根据本发明的一示例性实施例的服务器的示意结构图。请参考图6，在硬件层面，该服务器包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上实现云加密业务的装置。当然，除了软件实现方式之外，本申请并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

其中，处理器，用于当检测到第一加密机发生故障时，获取第一加密机对应的第一备份文件；确定当前能够用于提供云加密业务的第二加密机；

网络接口，用于将第一备份文件发送至第二加密机，以供第二加密机通过第一备份文件提供云加密业务。

图7示出了根据本发明的示例性实施例一的加密管理装置的结构示意图；如图7所示，该实现云加密业务的装置可以包括：获取模块71、第一确定模块72、第一发送模块73。其中：

获取模块71，用于当检测到第一加密机发生故障时，获取第一加密机对应的第一备份文件；

第一确定模块72，用于确定当前能够用于提供加密业务的第二加密机；

第一发送模块73，用于将获取模块71获取到的第一备份文件发送至第一确定模块72确定的第二加密机，以供第二加密机通过第一备份文件提供加密业务。

图8示出了根据本发明的示例性实施例二的加密管理装置的结构示意图；如图8所示，在上述图7所示实施例的基础上，获取模块71可包括：

第一确定单元711，用于确定第一加密机对应的备份文件的存储位置；

第二确定单元712，用于当第一确定单元711确定的第一加密机对应的备份文件具有多个存储位置时，确定多个存储位置存储对应的备份文件的多个存储时间；

第三确定单元713，用于从第二确定单元712确定的多个存储时间中确定距离当前时间点最近的存储时间，从距离当前时间点最近的存储时间对应的存储位置获取第一加密机对应的第一备份文件。

图9示出了根据本发明的示例性实施例三的加密管理装置的结构示意图；如图9所示，在上述图7或者图8所示实施例的基础上，第一确定模块72可包括：

第四确定单元721，用于从当前管理的全部加密机中确定当前心跳正常的至少一台加密机；

第五确定单元722，用于从第四确定单元721确定的至少一台加密机中确定当前能够用于提供加密业务的第二加密机。

在一实施例中，装置还可包括：

监测模块74，用于监测当前管理的全部加密机各自对应的心跳消息；

调用模块75，用于当通过监测模块74监测到的心跳消息确定对应的加密机发生故障时，通过调用该对应的加密机的远程接口确定该加密机是否发生故障；

当通过调用模块75调用远程接口确定该加密机发生故障时，将该加密机确定为第一加密机，获取模块71可执行获取第一加密机对应的备份文件的步骤。

图10示出了根据本发明的示例性实施例四的加密管理装置的结构示意图；如图10所示，在上述图7至图9任一所示实施例的基础上，装置还可包括：

控制模块76，用于控制第一加密机断开与虚拟私有云的连接，并控制第一确定模块72确定的第二加密机与虚拟私有云建立连接，以供用户通过虚拟私有云登录第二加密机。

在一实施例中，装置还可包括：

第二发送模块77，用于向第一确定模块72确定的第二加密机发送控制指令，控制指令中携带有用于管理第二加密机的服务器的服务器地址；

接收模块78，用于当第二加密机将第一备份文件更新为第二发送模块77发送的第二备份文件时，接收第二加密机根据服务器地址返回的第二备份文件；

存储模块79，用于将接收模块78接收到的第二备份文件存储在第二加密机对应的存储位置。

上述实施例可见，本申请通过控制集群可以实现加密机的自动化恢复以及备份，从而确保服务的高可用；通过实时将加密机的备份文件上传至控制集群以保存，实现加密机的实时备份，从而可确保加密机的密钥不丢失。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性 变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。