密码运算方法及系统技术方案

本申请涉及一种密码运算方法及系统。本申请实施例提供的密码运算方法包括：调度主机在每次接收到模块构建申请时，根据模块构建申请构建虚拟硬件安全模块，并将虚拟硬件安全模块的模块信息存储于数据库；调度主机在接收到密码运算请求之后，从数据库存储的多个虚拟硬件安全模块的模块信息中确定出与密码运算请求对应的目标模块信息，并将目标模块信息中包括的部分密码运算信息，以及密码运算请求中携带的待处理数据发送给资源分配模块；资源分配模块从多个硬件安全模块中选取出目标硬件模块，以使目标硬件模块完成密码运算。本申请实施例提供的密码运算方法及系统能够充分利用多个硬件安全模块的运算能力，同时，能够降低密码运算系统的搭建成本。

【技术实现步骤摘要】
密码运算方法及系统
本申请涉及密码运算领域，具体而言，涉及一种密码运算方法及系统。
技术介绍
对于网络信息的保护而言，密码保护是目前最安全最有效、最可靠、最经济的信息保护技术，几乎所有的网络信息系统均采用密码技术进行保护。现阶段，大多数密码运算系统基于硬件安全模块构建，每个硬件安全模块提供一套内部密钥(以下称“卡内密钥”)，一般包括设备密钥、用户密钥、密钥保护密钥等类型，卡内密钥具有以下技术特性：1)唯一性：除专用配置外(例如，密码设备集群)，不同密码设备的卡内密钥各不相同；2)专用性：卡内密钥专属于指定的硬件设备，其明文不会暴露在指定硬件设备的外部。由于单个硬件安全模块仅能支持一套卡内密钥，使得卡内密钥成为十分稀缺的资源，一方面，当应用程序需要使用大量的硬件安全模块时需要投入大量的硬件成本，另一方面，当卡内密钥被某些应用程序占用，但这些应用程序的密码运算量较小时，其它的应用程序便无法申请卡内密钥，也会导致硬件安全模块的运算能力被浪费。
技术实现思路
本申请的目的在于，提供一种密码运算方法及系统，以解本文档来自技高网...

【技术保护点】
1.一种密码运算方法，其特征在于，应用于密码运算系统，所述密码运算系统包括调度主机和目标资源池，所述目标资源池包括资源分配模块和多个硬件安全模块，所述密码运算方法包括：/n所述调度主机在每次接收到模块构建申请时，根据所述模块构建申请构建虚拟硬件安全模块，并将所述虚拟硬件安全模块的模块信息存储于数据库；/n所述调度主机在接收到密码运算请求之后，从所述数据库存储的多个虚拟硬件安全模块的模块信息中确定出与所述密码运算请求对应的目标模块信息，并将所述目标模块信息中包括的部分密码运算信息，以及所述密码运算请求中携带的待处理数据发送给所述资源分配模块；/n所述资源分配模块从所述多个硬件安全模块中选取出目标...

【技术特征摘要】
1.一种密码运算方法，其特征在于，应用于密码运算系统，所述密码运算系统包括调度主机和目标资源池，所述目标资源池包括资源分配模块和多个硬件安全模块，所述密码运算方法包括：
所述调度主机在每次接收到模块构建申请时，根据所述模块构建申请构建虚拟硬件安全模块，并将所述虚拟硬件安全模块的模块信息存储于数据库；
所述调度主机在接收到密码运算请求之后，从所述数据库存储的多个虚拟硬件安全模块的模块信息中确定出与所述密码运算请求对应的目标模块信息，并将所述目标模块信息中包括的部分密码运算信息，以及所述密码运算请求中携带的待处理数据发送给所述资源分配模块；
所述资源分配模块从所述多个硬件安全模块中选取出目标硬件模块，以使所述目标硬件模块根据所述目标模块信息中包括的部分密码运算信息和所述待处理数据完成密码运算，获得运算结果，并将所述运算结果发送给所述调度主机。


2.根据权利要求1所述的密码运算方法，其特征在于，所述调度主机根据所述模块构建申请构建虚拟硬件安全模块，并将所述虚拟硬件安全模块的模块信息存储于数据库，包括：
所述调度主机从所述多个硬件安全模块中选取出第一硬件安全模块，以使所述第一硬件安全模块利用指定的第一目标池保护密钥生成所述虚拟硬件安全模块的顶层保护密钥密文；
所述调度主机从所述多个硬件安全模块中选取出第二硬件安全模块，以使所述第二硬件安全模块利用所述第一目标池保护密钥和所述虚拟硬件安全模块的顶层保护密钥密文生成所述虚拟硬件安全模块的多条卡内密钥密文；
所述调度主机将所述虚拟硬件安全模块的顶层保护密钥密文、所述虚拟硬件安全模块的多条卡内密钥密文和所述第一目标池保护密钥共同作为所述虚拟硬件安全模块对应的整体密码运算信息，并将所述虚拟硬件安全模块对应的整体密码运算信息，以及所述虚拟硬件安全模块的模块序号共同作为所述虚拟硬件安全模块的模块信息存储于数据库。


3.根据权利要求2所述的密码运算方法，其特征在于，所述调度主机从所述多个硬件安全模块中选取出第一硬件安全模块，以使所述第一硬件安全模块利用指定的第一目标池保护密钥生成所述虚拟硬件安全模块的顶层保护密钥密文，包括：
所述调度主机从所述多个硬件安全模块中选取出第一硬件安全模块，以使所述第一硬件安全模块通过所述第一目标池保护密钥对第一随机数进行加密运算，生成所述虚拟硬件安全模块的顶层保护密钥密文。


4.根据权利要求2所述的密码运算方法，其特征在于，所述调度主机从所述多个硬件安全模块中选取出第二硬件安全模块，以使所述第二硬件安全模块利用所述第一目标池保护密钥和所述虚拟硬件安全模块的顶层保护密钥密文生成所述虚拟硬件安全模块的多条卡内密钥密文，包括：
所述调度主机从所述多个硬件安全模块中选取出第二硬件安全模块，以使所述第二硬件安全模块通过所述第一目标池保护密钥对所述虚拟硬件安全模块的顶层保护密钥密文进行解密运算，获得所述虚拟硬件安全模块的顶层保护密钥明文，以通过所述虚拟硬件安全模块的顶层保护密钥明文分别对多个第二随机数进行加密运算，生成所述虚拟硬件安全模块的多条卡内密钥密文。


5.根据权利要求2所述的密码运算方法，其特征在于，所述调度主机根据所述模块构建申请构建虚拟硬件安全模块，并将所述虚拟硬件安全模块的模块信息存储于数据库，还包括：
所述调度主机从预设的至少一个硬件安全模块资源池中指定出一个硬件安全模块资源池，作为所述目标资源池。


6.根据权利要求2所述的密码运算方法，其特征在于，所述调度主机根据所述模块构建申请构建虚拟硬件安全模块，并将所述虚拟硬件安全模块的模块信息存储于数据库，还包括：
所述调度主机根据所述模块构建申请构建容器，用以作为所述虚拟硬件安全模块的运行环境，并将所述...

【专利技术属性】
技术研发人员：郭井龙，刘伟，李巍，
申请(专利权)人：北京数字认证股份有限公司，
类型：发明
国别省市：北京;11