WO2016078382A1 - Hsm加密信息同步实现方法、装置和系统 - Google Patents

Abstract

本发明公开了一种HSM加密信息同步实现方法、装置和系统，所述方法包括：目标HSM所属服务器通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；目标HSM所属服务器接收源HSM所属服务器发送的密钥密文；所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文；目标HSM所属服务器将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息。本发明所述同步方案避免了采购专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

Description

HSM加密信息同步实现方法、装置和系统 技术领域

本发明涉及通信技术领域，尤其涉及一种HSM(Hardware Security Module，硬件安全模块)加密信息同步实现方法、装置和系统。

背景技术

目前HLR网元中对于用户鉴权信息中的关键信息是通过软件加密方式保存的，这种加密方式容易造成密钥的泄漏以及加密数据的破解，无法满足运营商对数据安全性更高的要求，为此，引入了HSM，将目前的软加密方式修改为硬加密方式。

HSM用于在安全应用中保护关键性的密钥并且对敏感保护操作进行加速，其设备通过国际安全组织FIPS和CC的标准认证。HSM硬件加解密相比于软件加解密存在如下优势：

1.内存保护：HSM使用专用的内部内存来保存机密的加解密密钥。入侵者无法访问HSM内部内存。

2.完整性确保：加解密模块安装在防篡改HSM上。

3.反向工程：加解密模块安装在防篡改HSM上，无法从外部访问。

4.依赖操作系统安全性：HSM提供自己的微控制器和加解密处理器。加解密模块不依赖于操作系统安全性。

5.密钥存储：HSM提供防篡改空间来管理密钥。密钥产生、密钥使用、密钥存储和密钥销毁全部在HSM内完成，密钥无法从外部访问。

6.性能：HSM配备专用目的加解密处理器来进行所有加解密操作。

HSM密钥是进行HSM硬件加解密的基础，密钥生成由HSM硬件自身完成，用户无法知悉密钥的具体内容，也无法指定生成某一特定内容的密钥。

在实际工程实施过程中同一个HLR(Home Location Register，归属位置寄存器)局点需要部署多个HSM硬件模块，如果该HLR局点存在容灾局的话，也需要在对应的容灾局点部署HSM硬件模块。用户在访问HSM进行加解密时是随机选择一个可用 的HSM硬件模块的，为了实现同一用户数据在不同的HSM硬件中加解密数据都相同，需要这些HSM硬件中存储的密钥一致。目前的实现方法是：

1.首先选择一个HSM硬件模块来生成用于加解密的密钥数据；

2.将上述生成的密钥数据备份到一个特定的HSM备份服务器中；

3.将HSM备份服务器中的密钥数据恢复到其他HSM模块中。

该方法存在如下两个不足：

1.运营商对安全性要求高，需要使用HSM硬件加解密时，需采购用于密钥同步的HSM备份服务器，增加了成本；

2.执行密钥的同步操作时，涉及到HSM备份服务器与现有HSM所在PC服务器的连接操作，需要现场操作，无法远程处理。

发明内容

本发明实施例提供了一种HSM加密信息同步实现方法、装置和系统，以至少解决上述问题之一。

依据本发明实施例的一个方面，提供了一种HSM加密信息同步实现方法，包括：

目标HSM所属服务器通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

目标HSM所属服务器接收源HSM所属服务器发送的密钥密文；所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文；

目标HSM所属服务器将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息。

可选地，本发明实施例所述方法中，所述目标HSM所属服务器通过目标HSM生成密钥K，具体包括：

所述目标HSM所属服务器获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。

可选地，本发明实施例所述方法中，所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

可选地，本发明实施例所述方法中，所述源HSM的唯一标识信息包括：源HSM的认证信息；所述密钥K为对称密钥。

依据本发明实施例的另一个方面，提供了一种HSM加密信息同步实现方法，包括：

源HSM所属服务器接收目标HSM所属服务器发送的密钥K；

源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文；

源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器，以使目标HSM解密得到源HSM的密钥信息。

可选地，本发明实施例所述方法中，源HSM所属服务器接收目标HSM所属服务器发送的密钥K前还包括：

源HSM所属服务器访问源HSM，获取源HSM的唯一标识信息，并将所述源HSM的唯一标识信息发送至目标HSM所属服务器，以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。

依据本发明实施例的第三个方面，提供了一种服务器，所述服务器内安装有HSM，所述服务器包括：

密钥生成模块，设置为在所述服务器为目标HSM所属服务器时，通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

密文生成模块，设置为在所述服务器为源HSM所属服务器时，指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器；

解密模块，设置为当所述服务器为目标HSM所属服务器时，将源HSM所属服务器发送的密钥密文转发至目标HSM，以使目标HSM解密得到源HSM的密钥信息。

可选地，本发明实施例所述服务器中，所述密钥生成模块，设置为获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。

可选地，本发明实施例所述服务器中，所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

依据本发明实施例的第四个方面，提供一种HSM加密信息同步实现系统，包括：源HSM所属服务器，以及若干目标HSM所属服务器；

所述目标HSM所属服务器，设置为通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；以及接收源HSM所属服务器发送的密钥密文，将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息；

所述源HSM所属服务器，设置为指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器。

可选地，本发明实施例所述系统中，所述目标HSM所属服务器，设置为获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，并利用获取的信息生成密钥K。

本发明实施例的有益效果如下：

本发明所述方案实现了多个HSM硬件之间的密钥同步，该同步方式避免了采购专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的HSM加密信息同步实现方法的流程图；

图2为本发明实施例二提供的HSM加密信息同步实现方法的流程图；

图3为本发明实施例所述方法应用的系统架构图；

图4为本发明实施例实现密钥同步的具体协作流程图；

图5为本发明实施例提供的一种服务器的结构框图；

图6为本发明实施例提供的HSM加密信息同步实现系统的结构框图。

具体实施方式

针对已有的多个HSM硬件模块之间的密钥同步方案存在增加运营商采购成本和操作复杂性的问题，本发明提供一种HSM加密信息同步实现方法、装置和系统。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例提供一种HSM加密信息同步实现方法，该方法从目标HSM所属服务器侧阐述同步过程，如图1所示，包括如下步骤：

步骤S101，目标HSM所属服务器通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

优选地，本实施例中，目标HSM所属服务器获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。

其中，源HSM的唯一标识信息优选但不限于为源HSM的认证信息。

步骤S102，目标HSM所属服务器接收源HSM所属服务器发送的密钥密文；所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文；

步骤S103，目标HSM所属服务器将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息。

优选地，本实施例中，源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

实施例二

本发明实施例提供一种HSM加密信息同步实现方法，该方法从源HSM所属服务器侧阐述同步过程，如图2所示，包括如下步骤：

步骤S201，源HSM所属服务器接收目标HSM所属服务器发送的密钥K；

优选地，源HSM所属服务器接收目标HSM所属服务器发送的密钥K前，源HSM所属服务器访问源HSM，获取源HSM的唯一标识信息，并将所述源HSM的唯一标识信息发送至目标HSM所属服务器，以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。

其中，源HSM的唯一标识信息优选但不限于为源HSM的认证信息。

步骤S202，源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文；

步骤S203，源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器，以使目标HSM解密得到源HSM的密钥信息。

本实施例所述方法中，源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

综上所述，可知，本实施例所述的同步方式避免了采购专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

为了更清楚的阐述本发明，下面结合图3～4给出本发明一个较佳的实施例，并结合对实施例的描述，进一步给出本发明的技术细节，使其能够更好地说明本发明提供的方法的具体实现过程。

本实施例提供一种HSM加密信息同步实现方法，该方法基于HSM硬件模块提供的开放接口，通过文件的方式来进行HSM硬件之间的密钥同步。如图3所示，本实施例中，源HSM安装在一台PC服务器中，以下简称“源HSM所属服务器”，该服务器内安装有密钥同步工具；目标HSM安装在另外一个PC服务器中，以下简称“目标HSM所属服务器”，该服务器内也安装有密钥同步工具。

如图4所示，本实施例所述方法具体包括如下步骤：

步骤1：源HSM所属PC服务器中的密钥同步工具使用接口CA_GetTokenCertificates访问源HSM，获取源HSM的认证信息。

步骤2：密钥同步工具将源HSM的认证信息保存为文件，传送到目标HSM所属PC服务器中。

步骤3：目标HSM所属PC服务器中的密钥同步工具使用接口CA_GenerateCloningKEV访问目标HSM，完成目标HSM的同步操作初始化，并指示目标HSM使用源HSM的认证信息和目标HSM的硬件信息生成一个对称密钥。

步骤4：密钥同步工具将该对称密钥保存为文件，传送到源HSM所属PC服务器中。

步骤5：源HSM所属PC服务器中的密钥同步工具获取源HSM的所有密钥数据的句柄，并通知源HSM对源HSM中每个密钥进行加密，得到密钥密文。

步骤6：密钥同步工具将加密得到的密钥密文保存为文件，待所有密钥处理完后将文件传送到目标HSM所属PC服务器中；

步骤7：目标HSM所属PC服务器中的密钥同步工具使用接口CA_CloneAsTarget访问目标HSM，将密钥密文发送给目标HSM，由目标HSM对密钥密文进行解密，恢复源HSM的密钥到目标HSM中。

实施例三

本发明实施例提供一种服务器，所述服务器内安装有HSM，如图5所示，包括：

密钥生成模块510，设置为在所述服务器为目标HSM所属服务器时，通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

密文生成模块520，设置为在所述服务器为源HSM所属服务器时，指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器；

解密模块530，设置为当所述服务器为目标HSM所属服务器时，将源HSM所属服务器发送的密钥密文转发至目标HSM，以使目标HSM解密得到源HSM的密钥信息。

优选地，本实施例中，密钥生成模块510，设置为获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。

优选地，本实施例中，源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

其中，源HSM的唯一标识信息优选但不限于为源HSM的认证信息。

本实施例所述的安装有HSM的服务器对原有服务器做了功能扩展，实现了多个HSM硬件之间的密钥同步，该同步方式避免了采购专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

实施例四

本发明实施例提供一种HSM加密信息同步实现系统，如图6所示，包括：源HSM所属服务器，以及若干目标HSM所属服务器；

所述目标HSM所属服务器，设置为通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；以及接收源HSM所属服务器发送的密钥密文，将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息；

所述源HSM所属服务器，设置为指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器。

优选地，目标HSM所属服务器获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，并利用获取的信息生成密钥K。

其中，源HSM的唯一标识信息优选但不限于为源HSM的认证信息。

本实施例所述系统实现了多个HSM硬件之间的密钥同步，该同步方式避免了采购专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

工业实用性

如上所述，本发明实施例提供的一种HSM加密信息同步实现方法、装置和系统具有以下有益效果：实现了多个HSM硬件之间的密钥同步，该同步方式避免了采购 专用的备份设备，降低了采购成本。同时可以方便的实现远程操作，提高工程效率和降低维护成本。

Claims (10)

1. 一种硬件安全模块HSM加密信息同步实现方法，包括：

   目标HSM所属服务器通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

   目标HSM所属服务器接收源HSM所属服务器发送的密钥密文；所述密钥密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到的密钥密文；

   目标HSM所属服务器将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息。
2. 如权利要求1所述的方法，其中，所述目标HSM所属服务器通过目标HSM生成密钥K，具体包括：

   所述目标HSM所属服务器获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。
3. 如权利要求2所述的方法，其中，所述源HSM的唯一标识信息、密钥K和/或密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。
4. 如权利要求2或3所述的方法，其中，

   所述源HSM的唯一标识信息包括：源HSM的认证信息；

   所述密钥K为对称密钥。
5. 一种硬件安全模块HSM加密信息同步实现方法，包括：

   源HSM所属服务器接收目标HSM所属服务器发送的密钥K；

   源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文；

   源HSM所属服务器将所述密钥密文发送至目标HSM所属服务器，以使目标HSM解密得到源HSM的密钥信息。
6. 如权利要求5所述的方法，其中，源HSM所属服务器接收目标HSM所属服务器发送的密钥K前还包括：

   源HSM所属服务器访问源HSM，获取源HSM的唯一标识信息，并将所述源HSM的唯一标识信息发送至目标HSM所属服务器，以使目标HSM所属服务器侧基于源HSM的唯一标识信息生成密钥K。
7. 一种服务器，所述服务器内安装有HSM，包括：

   密钥生成模块，设置为在所述服务器为目标HSM所属服务器时，通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；

   密文生成模块，设置为在所述服务器为源HSM所属服务器时，指示源HSM利用目标HSM所属服务器发送的密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器；

   解密模块，设置为当所述服务器为目标HSM所属服务器时，将源HSM所属服务器发送的密钥密文转发至目标HSM，以使目标HSM解密得到源HSM的密钥信息。
8. 如权利要求7所述的服务器，其中，所述密钥生成模块，设置为获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。
9. 一种HSM加密信息同步实现系统，包括：源HSM所属服务器，以及若干目标HSM所属服务器；

   所述目标HSM所属服务器，设置为通过目标HSM生成密钥K，并将所述密钥K发送至源HSM所属服务器；以及接收源HSM所属服务器发送的密钥密文，将所述密钥密文发送至目标HSM，以使目标HSM解密得到源HSM的密钥信息；

   所述源HSM所属服务器，设置为指示源HSM利用所述密钥K对源HSM生成的各密钥进行加密得到密钥密文，并将所述密钥密文发送至目标HSM所属服务器。
10. 如权利要求9所述的系统，所述目标HSM所属服务器，设置为获取源HSM的唯一标识信息，并指示目标HSM利用所述源HSM的唯一标识信息和目标HSM的硬件信息，并利用获取的信息生成密钥K。

Images