[发明专利]一种分布式密码服务方法和系统

说明书

本发明公开了一种分布式密码服务系统，系统包括：主控服务器、本地服务代理服务器和多个密码机，以上单元通过以太网方式连接组网，实现相互访问。所述主控服务器，包含有主控模块，同时还包含有密码机状态表和第一用户‑密码机映射表；所述密码机，为密码服务的具体执行模块；包含有密钥同步和迁移模块、密码机服务模块和第二用户‑密码机映射表；所述本地服务代理服务器，具有密码服务调用接口；包含有本地服务代理模块与第三用户‑密码机映射表。本发明采用分布式方式，避免了入口瓶颈，具有负荷分担的功能，同时能为用户提供安全透明、可用性高的集群式密码服务。

技术领域

本发明涉及信息安全领域，尤其涉及一种分布式密码服务方法和系统。

背景技术

密码服务：采用软件或专有硬件实现的对称加解密、非对称加解密、完整性校验、数字签名和验证等密码算法和密钥的生成、存储、分发、销毁等密钥生命周期管理操作。

密码设备（密码机）：为用户提供数据的对称/非对称加密解密、数据的完整性校验、数字签名和验证、密钥的生成和存储等密码相关服务的独立设备。密码设备具有密码运算部件和密钥存储部件两大组成部分。

分布式系统：建立在网络之上的由软件进行控制和管理的系统，由多个独立的分布节点组成，具有高度的内聚性和透明性。每一个分布节点高度自治，有本地的管理系统；每一个分布节点对用户都是透明的，用户的调用接口面向的是整个系统，不区分具体调用的分布节点。

随着互联网和云计算的发展，传统密码设备的独占式使用方式已经不再适应新的需求，密码设备需要实现集群化、服务化、虚拟化的新特点。将多台密码设备组成一个整体，以资源池的方式对外提供服务，是解决云计算等开放式环境中对大规模密码服务需求的较好方案。但目前的该类解决方案，一方面，一般都采用密码运算和密钥存储分离的方式，密钥存放在和系统独立的数据库中，对用户环境要求较高，安全和可靠性存在风险；另一方面，采用统一的调用入口容易成为性能瓶颈，而将入口设备集群化又会导致系统复杂度急剧膨胀。

发明内容

为了解决上述问题，本发明提出一种分布式密码服务系统，把多台密码设备组成为资源池形式进行统一的管理和调度，为用户提供安全透明的集群式高性能密码服务。

具体的技术方案是，一种分布式密码服务的方法，包含以下步骤：

S1，主控服务器接收到本地服务代理提交的用户密码请求，对用户进行身份鉴别，并分配系统全局唯一的用户ID；

S2，主控服务器根据密码机状态表，为注册成功的用户分配至少两个密码机，其中一个密码机为主密码机，其余为从密码机；并将该用户与密码机的映射关系更新至第一用户-密码机映射表，并对所有密码机和该用户的本地服务代理推送；

S3，主密码机更新存储于本地的第二用户-密码机映射表，执行用户初始化操作，为该用户生成密码服务相关信息并存储在本地，同时将该密码服务相关信息同步到从密码机；

S4，本地服务代理根据存储于本地的最新的第三用户-密码机映射表，为用户定向到主密码机；

S5，主密码机调用密码运算部件和密钥存储部件，为用户提供密码服务；

S6，服务完成。

优选的，所述第一用户-密码机映射表、第二用户-密码机映射表、第三用户-密码机映射表的建立与维护方法为：

1）所述的第一用户-密码机映射表由主控服务器建立，并进行维护和更新；

2）主控服务器同步推送最新第一用户-密码机映射表至密码机，密码机接收后形成第二用户-密码机映射表存储于本地；