[发明专利]一种服务器密码机业务处理方法及系统

说明书

本发明公开了一种服务器密码机的业务处理方法及系统，涉及密码机技术领域。本发明通过第一目标设备发送的密钥请求获取其所在的集群和设备编码，对其设备编码进行解密，得到得到第一目标设备的标号，根据所述标号确定其对应密钥的第二目标设备，最后从第二目标设备中调取所述第一目标设备的密钥并下发给第一目标设备。本发明实现了密钥的异地安全存储，使用时通过密码机进行编码解密才能够获取，增强了密钥权限控制的复杂度，提升了密钥的安全性，且所有的解密过程均在密码机中进行，进一步提升了密钥的安全性。

技术领域

本发明涉及密码机技术领域，具体涉及一种服务器密码机业务处理方法及系统。

背景技术

密码机是具有加解密、数字签名、身份认证、随机数生成等功能的服务设备，可用于对应用系统的敏感业务数据进行加密和解密处理，或用于对用户所请求的密码学任务进行处理。

密钥是密码算法或协议中需要特别安全保护的数据，通常有软密钥和硬密钥两种密钥形式，软密钥以文件形式存在计算机或服务器中，硬密钥保存在专用的硬件密码机内。软密钥存在安全性较低的问题。硬密钥的安全性较高，密钥的产生、使用均在硬件内部实现，密钥不导出，计算过程也不出现在CPU、内存中。但是通用的密码机对密钥调用的权限控制比较单一，主要是靠口令或者IP地址白名单，容易被攻击者利用。

发明内容

针对现有技术中的缺陷，本发明提供一种服务器密码机业务处理方法及系统。

第一方面，一种服务器密码机的业务处理方法，包括以下方法：

步骤1，获取第一目标设备的密钥请求，所述密钥请求包括第一目标设备所在集群和设备编码；

步骤2，调取所述设备编码对应的编码密钥密文，对所述编码密钥密文进行解密，得到编码密钥，利用编码密钥对所述设备编码进行解密，得到第一目标设备的标号，所述标号用于表示目标设备在集群中的位置；

步骤3，根据所述标号确定第二目标设备，获取第二目标设备中存储的第一目标设备的设备密钥；

步骤4，将所述设备密钥发送给第一目标设备。

在本发明实施例中，步骤2中，调取所述设备编码对应的编码密钥密文，对所述编码密钥密文进行解密，得到编码密钥的方法包括：

步骤21，调取所述编码密钥密文对应的第一编码密钥密文，利用第一编码密钥对所述第一编码密钥密文进行解密，得到第二编码密钥，其中，所述第一编码密钥存储在安全芯片中；

步骤22，调取所述编码密钥密文对应的第二密钥密文，利用所述第二编码密钥对所述第二密钥密文进行解密，得到编码密钥。

在本发明实施例中，所述第一编码密文存储在第一存储器中，所述第二编码密文存储在第二存储器中。

在本发明实施例中，步骤3中，根据所述标号确定第二目标设备包括：根据所述标号所述目标设备之前的一个或者多个设备为第二目标设备。

在本发明实施例中，步骤3中，获取第二目标设备中存储的第一目标设备的设备密钥包括：

步骤31，在所述第二目标设备为一个时，获取所述第二目标设备的数字证书对密钥机生成的随机数进行加密，得到加密随机数并将所述加密随机数发送给第二目标设备；

步骤32，第二目标设备对所述加密随机数进行解密，得到随机数，利用随机数对第二目标设备中存储的第一目标设备的设备密钥密文进行加密，将加密后的设备密钥密文发送给密码机；

步骤33，密码机利用随机数对加密后的设备密钥密文进行解密，得到设备密钥密文，利用第二目标设备的数字证书对所述设备密钥密文进行解密，得到设备密钥。

在本发明实施例中，步骤3中，获取第二目标设备中存储的第一目标设备的设备密钥包括：