本發明提出了一種基于PKI認證的影子加密機系統，涉及內網數據加密技術領域。該系統包括硬件密碼機、光源模塊、PKI模塊和影子密碼機，影子密碼機包括主程模塊和黑盒密鑰模塊，通過光源模塊將硬件密碼機映射至影子密碼機。根據業務容器信息向PKI模塊申請證書。業務側請求加解密服務，主程模塊調用黑盒密鑰模塊。黑盒密鑰模塊通過根證書驗證證書和證書內容，進行密碼運算，對結果封裝。該主程模塊接收到數據結果后，驗證簽名和證書內容，根據證書撤銷列表驗證證書狀態，驗證成功后將驗證結果返回至業務側。實現了硬件加密機通過PKI體系進行映射軟件影子密碼機的目的，在保證安全性的前提下，提高大批量、高并發環境下的數據加解密。

技術領域

本發明涉及內網數據加密技術領域，具體而言，涉及一種基于PKI認證的影子加密機系統。

背景技術

隨著互聯網的發展，越來越多的信息被暴露在網上，一些不法分子利用網絡技術等手段非法竊取敏感信息進行違法行為，為了更好的保護信息，加密技術應運而生，目前最安全的加密技術是基于硬件的加密，例如加密機，私鑰或者密鑰在硬件內部，不出卡，所有的運算由硬件電路實現。但是隨著云時代的到來和信息的指數級增長，加密機成為一個瓶頸，性能和擴容能力的提高受到了影響。

發明內容

本發明的目的在于提供一種基于PKI認證的影子加密機系統，其能夠在保證安全性的前提下，提高大批量、高并發環境下的非核心敏感數據的加解密，提高系統性能和擴容能力。

本發明的實施例是這樣實現的：

第一方面，本申請實施例提供一種基于PKI認證的影子加密機系統，其包括硬件密碼機、光源模塊、PKI模塊和至少一個影子密碼機，任一影子密碼機包括主程模塊和至少一個黑盒密鑰模塊，通過光源模塊將硬件密碼機映射至多個影子密碼機；

業務側安裝影子密碼機，獲取并根據業務容器信息向PKI模塊發起證書申請請求，以得到PKI模塊簽發的證書；

當業務側請求加解密服務時，通過對應的主程模塊調用對應的黑盒密鑰模塊，同時輸入組裝數據、增加簽名、附上證書；

黑盒密鑰模塊接收到輸入的所有數據后，通過內置的根證書驗證該證書和證書內容，同時驗證簽名，當簽名通過后，進行密碼運算得到運算數據結果，對運算數據結果進行封裝，并加入對應秘鑰索引的私鑰簽名；

該主程模塊接收到運算數據結果后進行驗證，驗證簽名和證書內容，同時根據證書撤銷列表驗證證書狀態，驗證成功后將驗證結果返回至業務側。

在本發明的一些實施例中，當硬件密碼機的密鑰改變時，PKI模塊吊銷對應黑盒密鑰模塊的證書，并向對應主程模塊更新簽發的證書信息。

在本發明的一些實施例中，通過PKI模塊查詢證書狀態。

在本發明的一些實施例中，上述黑盒密鑰模塊接收到輸入的所有數據后，通過內置的根證書驗證該證書和證書內容的步驟包括：

通過內置的根證書驗證證書時效性、光源的心跳簽名，以及是否支持改密鑰索引。

在本發明的一些實施例中，上述光源模塊與硬件密碼機通過PKI模塊單向通信，光源模塊與影子密碼機通過PKI模塊單向通信。

第二方面，本申請實施例提供一種電子設備，其包括存儲器，用于存儲一個或多個程序；處理器。當一個或多個程序被處理器執行時，實現如上述第一方面中任一項的系統。

第三方面，本申請實施例提供一種計算機可讀存儲介質，其上存儲有計算機程序，該計算機程序被處理器執行時實現如上述第一方面中任一項的系統。

相對于現有技術，本發明的實施例至少具有如下優點或有益效果：