[发明专利]防止密码机设备非法复制的方法和系统及密码机设备

说明书

本发明公开了一种防止密码机设备非法复制的方法和系统及密码机设备。该方法包括：通过第一密码机设备中的管理模块从云端服务器获得注册命令包，将注册命令包中的与第一密码机设备对应的第一用户ID写入第一密码机设备中的加密模块；在将第二密码机设备复制到第一密码机设备之前，通过加密模块基于第一用户ID对第一校验数据进行校验，在校验结果表明第一用户ID与第二用户ID相同时允许进行复制，否则禁止进行复制。本发明能够有效防止密码机设备的非法复制。

技术领域

本发明涉及信息安全技术领域，特别涉及一种防止密码机设备非法复制的方法和系统及密码机设备。

背景技术

服务器密码机设备具有数据加解密、签名、验签、MAC、杂凑等功能，因此，可以为用户解决敏感信息机密性、完整性、有效性和不可抵赖等安全性问题。在使用过程中，服务器密码机设备利用管理员锁来对设备进行管理，例如管理员身份认证，或者利用管理员锁来完成设备的初始化和密钥恢复等操作。

进一步地，为了适应业务扩展的需求，服务器密码机设备也支持横向扩展，即可以通过使用管理员锁，利用一台已有的服务器密码机设备作为模板复制出具备相同核心数据的服务器密码机设备，以实现负载均衡或分布式部署。

然而，由于管理员锁有可能被盗或丢失，因此，亟需一种验证手段来解决服务器密码机设备非法复制的问题。

发明内容

有鉴于此，本发明的一个目的在于提供一种防止密码机设备非法复制的方法和系统及密码机设备，能够有效防止密码机设备的非法复制。

本发明的一个方面提供一种防止密码机设备非法复制的方法，应用于第一密码机设备，该方法包括：通过第一密码机设备中的管理模块从云端服务器获得注册命令包，将注册命令包中的与第一密码机设备对应的第一用户ID写入第一密码机设备中的加密模块；在将第二密码机设备复制到第一密码机设备之前，通过加密模块基于第一用户ID对第一校验数据进行校验，在校验结果表明第一用户ID与第二用户ID相同时允许进行复制，否则禁止进行复制，第一校验数据是第二密码机设备的管理员锁基于与第二密码机设备对应的第二用户ID生成的。

在本发明的一个实施例中，在将第二密码机设备复制到第一密码机设备之前，该方法还包括：所述加密模块从第二密码机设备的管理员锁获得种子码，相应的，通过加密模块基于第一用户ID对第一校验数据进行校验，包括：通过加密模块基于第一用户ID和种子码对第一校验数据进行校验，第一校验数据是第二密码机设备的管理员锁基于第二用户ID和种子码生成的。

在本发明的一个实施例中，所述加密模块从第二密码机设备的管理员锁获得种子码，包括：所述加密模块从第二密码机设备的管理员锁获得种子码密文和密钥密文，种子码密文是管理员锁使用第一对称密钥对包括所述种子码的数据进行加密生成的，密钥密文是管理员锁使用加密模块的公钥对第一对称密钥加密生成的。

在本发明一个实施例中，所述加密模块还从第二密码机设备的管理员锁获得第一数字签名，并使用所述管理员锁的公钥基于所述种子码对第一数字签名进行验签。

在本发明的一个实施例中，在通过密码机设备中的管理模块从云端服务器获得注册命令包之前，该方法还包括：通过管理模块向云端服务器发送注册请求包，以便云端服务器对注册请求包进行验证，其中，注册请求包包括第一密码机设备的设备ID和加密模块的加密芯片ID，以便云端服务器对第一密码机设备及其使用者之间的第一所属关系和第一密码机设备与加密模块之间的第二所属关系进行校验。

在本发明的一个实施例中，该方法还包括：通过管理模块将第一密码机设备的设备ID发送给管理员锁，相应的，通过加密模块基于第一用户ID对第一校验数据进行校验，包括：通过加密模块基于第一用户ID和设备ID对第一校验数据进行校验，第一校验数据是第二密码机设备的管理员锁基于第二用户ID和设备ID生成的。