本发明专利技术公开了一种服务器密码机的业务处理方法及系统,涉及密码机技术领域。本发明专利技术通过第一目标设备发送的密钥请求获取其所在的集群和设备编码,对其设备编码进行解密,得到得到第一目标设备的标号,根据所述标号确定其对应密钥的第二目标设备,最后从第二目标设备中调取所述第一目标设备的密钥并下发给第一目标设备。本发明专利技术实现了密钥的异地安全存储,使用时通过密码机进行编码解密才能够获取,增强了密钥权限控制的复杂度,提升了密钥的安全性,且所有的解密过程均在密码机中进行,进一步提升了密钥的安全性。步提升了密钥的安全性。步提升了密钥的安全性。
【技术实现步骤摘要】
一种服务器密码机业务处理方法及系统
[0001]本专利技术涉及密码机
,具体涉及一种服务器密码机业务处理方法及系统。
技术介绍
[0002]密码机是具有加解密、数字签名、身份认证、随机数生成等功能的服务设备,可用于对应用系统的敏感业务数据进行加密和解密处理,或用于对用户所请求的密码学任务进行处理。
[0003]密钥是密码算法或协议中需要特别安全保护的数据,通常有软密钥和硬密钥两种密钥形式,软密钥以文件形式存在计算机或服务器中,硬密钥保存在专用的硬件密码机内。软密钥存在安全性较低的问题。硬密钥的安全性较高,密钥的产生、使用均在硬件内部实现,密钥不导出,计算过程也不出现在CPU、内存中。但是通用的密码机对密钥调用的权限控制比较单一,主要是靠口令或者IP地址白名单,容易被攻击者利用。
技术实现思路
[0004]针对现有技术中的缺陷,本专利技术提供一种服务器密码机业务处理方法及系统。
[0005]第一方面,一种服务器密码机的业务处理方法,包括以下方法:
[0006]步骤1,获取第一目标设备的密钥请求,所述密钥请求包括第一目标设备所在集群和设备编码;
[0007]步骤2,调取所述设备编码对应的编码密钥密文,对所述编码密钥密文进行解密,得到编码密钥,利用编码密钥对所述设备编码进行解密,得到第一目标设备的标号,所述标号用于表示目标设备在集群中的位置;
[0008]步骤3,根据所述标号确定第二目标设备,获取第二目标设备中存储的第一目标设备的设备密钥;
[0009]步骤4,将所述设备密钥发送给第一目标设备。
[0010]在本专利技术实施例中,步骤2中,调取所述设备编码对应的编码密钥密文,对所述编码密钥密文进行解密,得到编码密钥的方法包括:
[0011]步骤21,调取所述编码密钥密文对应的第一编码密钥密文,利用第一编码密钥对所述第一编码密钥密文进行解密,得到第二编码密钥,其中,所述第一编码密钥存储在安全芯片中;
[0012]步骤22,调取所述编码密钥密文对应的第二密钥密文,利用所述第二编码密钥对所述第二密钥密文进行解密,得到编码密钥。
[0013]在本专利技术实施例中,所述第一编码密文存储在第一存储器中,所述第二编码密文存储在第二存储器中。
[0014]在本专利技术实施例中,步骤3中,根据所述标号确定第二目标设备包括:根据所述标号所述目标设备之前的一个或者多个设备为第二目标设备。
[0015]在本专利技术实施例中,步骤3中,获取第二目标设备中存储的第一目标设备的设备密
钥包括:
[0016]步骤31,在所述第二目标设备为一个时,获取所述第二目标设备的数字证书对密钥机生成的随机数进行加密,得到加密随机数并将所述加密随机数发送给第二目标设备;
[0017]步骤32,第二目标设备对所述加密随机数进行解密,得到随机数,利用随机数对第二目标设备中存储的第一目标设备的设备密钥密文进行加密,将加密后的设备密钥密文发送给密码机;
[0018]步骤33,密码机利用随机数对加密后的设备密钥密文进行解密,得到设备密钥密文,利用第二目标设备的数字证书对所述设备密钥密文进行解密,得到设备密钥。
[0019]在本专利技术实施例中,步骤3中,获取第二目标设备中存储的第一目标设备的设备密钥包括:
[0020]步骤301,在所述第二目标设备为多个时,获取所述第二目标设备的数字证书对密钥机生成的随机数进行加密,得到加密随机数并将所述加密随机数发送给第二目标设备;
[0021]步骤302,第二目标设备对所述加密随机数进行解密,得到随机数,利用随机数对第二目标设备中存储的第一目标设备的设备密钥参数密文进行加密,将加密后的设备密钥参数密文发送给密码机;
[0022]步骤303,密码机利用随机数对加密后的设备密钥参数密文进行解密,得到设备密钥参数密文,利用第二目标设备的数字证书对所述设备密钥参数密文进行解密,得到设备密钥参数;
[0023]步骤34,根据从多个第二目标设备中获取的多个密钥参数,获取第一目标设备的设备密钥。
[0024]第二方面,一种服务器密码机的业务处理系统,包括:
[0025]请求获取模块,用于获取第一目标设备的密钥请求,所述密钥请求包括第一目标设备所在集群和设备编码;
[0026]第一解密模块,用于调取所述设备编码对应的编码密钥密文,对所述编码密钥密文进行解密,得到编码密钥,利用编码密钥对所述设备编码进行解密,得到第一目标设备的标号,所述标号用于表示目标设备在集群中的位置;
[0027]第二解密模块,用于根据所述标号确定第二目标设备,获取第二目标设备中存储的第一目标设备的设备密钥;
[0028]密钥下发模块,用于将所述设备密钥发送给第一目标设备。
[0029]本专利技术的有益效果体现在:
[0030]综上,本专利技术提供了一种服务器密码机的业务处理方法,通过第一目标设备发送的密钥请求获取其所在的集群和设备编码,对其设备编码进行解密,得到得到第一目标设备的标号,根据所述标号确定其对应密钥的第二目标设备,最后从第二目标设备中调取所述第一目标设备的密钥并下发给第一目标设备。本专利技术实现了密钥的异地安全存储,使用时通过密码机进行编码解密才能够获取,增强了密钥权限控制的复杂度,提升了密钥的安全性,且所有的解密过程均在密码机中进行,进一步提升了密钥的安全性。
附图说明
[0031]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体
实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
[0032]图1为本专利技术实施例所提供的一种密码机服务器业务处理方法的流程图;
[0033]图2为本专利技术实施例所提供的一种服务器密码机业务处理方法中步骤2的子流程图;
[0034]图3为本专利技术实施例所提供的一种服务器密码机业务处理方法中步骤3的一子流程图;
[0035]图4为本专利技术实施例所提供的一种服务器密码机业务处理方法中步骤3的另一流程图;
[0036]图5为本专利技术实施例所提供的一种服务器密码机业务处理系统的结构示意图。
具体实施方式
[0037]下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,因此只作为示例,而不能以此来限制本专利技术的保护范围。
[0038]需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。
[0039]密码机是具有加解密、数字签名、身份认证、随机数生成等功能的服务设备,可用于对应用系统的敏感业务数据进行加密和解密处理,或用于对用户所请求的密码学任务进行处理。
[0040]密码机可以包括处理器、安全芯片、内存储器和外存储器。处理器例如可以使用通用CPU来实现,用于指令本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务器密码机的业务处理方法,其特征在于,包括以下方法:步骤1,获取第一目标设备的密钥请求,所述密钥请求包括第一目标设备所在集群和设备编码;步骤2,调取所述设备编码对应的编码密钥密文,对所述编码密钥密文进行解密,得到编码密钥,利用编码密钥对所述设备编码进行解密,得到第一目标设备的标号,所述标号用于表示目标设备在集群中的位置;步骤3,根据所述标号确定第二目标设备,获取第二目标设备中存储的第一目标设备的设备密钥;步骤4,将所述设备密钥发送给第一目标设备。2.根据权利要求1所述的一种服务器密码机的业务处理方法,其特征在于,步骤2中,调取所述设备编码对应的编码密钥密文,对所述编码密钥密文进行解密,得到编码密钥的方法包括:步骤21,调取所述编码密钥密文对应的第一编码密钥密文,利用第一编码密钥对所述第一编码密钥密文进行解密,得到第二编码密钥,其中,所述第一编码密钥存储在安全芯片中;步骤22,调取所述编码密钥密文对应的第二密钥密文,利用所述第二编码密钥对所述第二密钥密文进行解密,得到编码密钥。3.根据权利要求2所述的一种服务器密码机的业务处理方法,其特征在于,所述第一编码密文存储在第一存储器中,所述第二编码密文存储在第二存储器中。4.根据权利要求1所述的一种服务器密码机的业务处理方法,其特征在于,步骤3中,根据所述标号确定第二目标设备包括:根据所述标号所述目标设备之前的一个或者多个设备为第二目标设备。5.根据权利要求4所述的一种服务器密码机的业务处理方法,其特征在于,步骤3中,获取第二目标设备中存储的第一目标设备的设备密钥包括:步骤31,在所述第二目标设备为一个时,获取所述第二目标设备的数字证书对密钥机生成的随机数进行加密,得到加密随机数并将所述加密随机数发送给第二目标设备;步骤32,第二目标...
【专利技术属性】
技术研发人员:张敏,胡洪金,崔焕,
申请(专利权)人:北京神州安付科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。