[发明专利]HSM加密信息同步实现方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种HSM(HardwareSecurityModule， 硬件安全模块)加密信息同步实现方法、装置和系统。

背景技术

目前HLR网元中对于用户鉴权信息中的关键信息是通过软件加密方式保存 的，这种加密方式容易造成密钥的泄漏以及加密数据的破解，无法满足运营商 对数据安全性更高的要求，为此，引入了HSM，将目前的软加密方式修改为硬 加密方式。

HSM用于在安全应用中保护关键性的密钥并且对敏感保护操作进行加速， 其设备通过国际安全组织FIPS和CC的标准认证。HSM硬件加解密相比于软 件加解密存在如下优势：

1.内存保护：HSM使用专用的内部内存来保存机密的加解密密钥。入侵者 无法访问HSM内部内存。

2.完整性确保：加解密模块安装在防篡改HSM上。

3.反向工程：加解密模块安装在防篡改HSM上，无法从外部访问。

4.依赖操作系统安全性：HSM提供自己的微控制器和加解密处理器。加解 密模块不依赖于操作系统安全性。

5.密钥存储：HSM提供防篡改空间来管理密钥。密钥产生、密钥使用、密 钥存储和密钥销毁全部在HSM内完成，密钥无法从外部访问。

6.性能：HSM配备专用目的加解密处理器来进行所有加解密操作。

HSM密钥是进行HSM硬件加解密的基础，密钥生成由HSM硬件自身完成， 用户无法知悉密钥的具体内容，也无法指定生成某一特定内容的密钥。

在实际工程实施过程中同一个HLR(HomeLocationRegister，归属位置寄 存器)局点需要部署多个HSM硬件模块，如果该HLR局点存在容灾局的话， 也需要在对应的容灾局点部署HSM硬件模块。用户在访问HSM进行加解密时 是随机选择一个可用的HSM硬件模块的，为了实现同一用户数据在不同的HSM 硬件中加解密数据都相同，需要这些HSM硬件中存储的密钥一致。目前的实现 方法是：

1.首先选择一个HSM硬件模块来生成用于加解密的密钥数据；

2.将上述生成的密钥数据备份到一个特定的HSM备份服务器中；

3.将HSM备份服务器中的密钥数据恢复到其他HSM模块中。

该方法存在如下两个不足：

1.运营商对安全性要求高，需要使用HSM硬件加解密时，需采购用于密钥 同步的HSM备份服务器，增加了成本；

2.执行密钥的同步操作时，涉及到HSM备份服务器与现有HSM所在PC 服务器的连接操作，需要现场操作，无法远程处理。

发明内容

鉴于上述问题，提出了本发明，以便提供一种解决上述问题的HSM加密信 息同步实现方法、装置和系统。

依据本发明的一个方面，提供一种HSM加密信息同步实现方法，包括：

目标HSM所属服务器通过目标HSM生成密钥K，并将所述密钥K发送至 源HSM所属服务器；

目标HSM所属服务器接收源HSM所属服务器发送的密钥密文；所述密钥 密文为源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密 钥进行加密得到的密钥密文；

目标HSM所属服务器将所述密钥密文发送至目标HSM，以使目标HSM解 密得到源HSM的密钥信息。

可选地，本发明所述方法中，所述目标HSM所属服务器通过目标HSM生 成密钥K，具体包括：

所述目标HSM所属服务器获取源HSM的唯一标识信息，并指示目标HSM 利用所述源HSM的唯一标识信息和目标HSM的硬件信息，生成密钥K。

可选地，本发明所述方法中，所述源HSM的唯一标识信息、密钥K和/或 密钥密文以文件的形式在目标HSM所属服务器和源HSM所属服务器间传递。

可选地，本发明所述方法中，所述源HSM的唯一标识信息包括：源HSM 的认证信息；所述密钥K为对称密钥。

依据本发明的另一个方面，提供一种HSM加密信息同步实现方法，包括：

源HSM所属服务器接收目标HSM所属服务器发送的密钥K；

源HSM所属服务器指示源HSM利用所述密钥K对源HSM生成的各密钥 进行加密得到密钥密文；