[发明专利]一种分布式密码服务方法和系统

权利要求书

1.一种分布式密码服务的方法，其特征在于，包含以下步骤：

S1，主控服务器接收到本地服务代理提交的用户密码请求，对用户进行身份鉴别，并分配系统全局唯一的用户ID；

S2，主控服务器根据密码机状态表，为注册成功的用户分配至少两个密码机，其中一个密码机为主密码机，其余为从密码机；并将该用户与密码机的映射关系更新至第一用户-密码机映射表，并对所有密码机和该用户的本地服务代理推送；

S3，主密码机更新存储于本地的第二用户-密码机映射表，执行用户初始化操作，为该用户生成密码服务相关信息并存储在本地，同时将该密码服务相关信息同步到从密码机；

S4，本地服务代理根据存储于本地的最新的第三用户-密码机映射表，为用户定向到主密码机；

S5，主密码机调用密码运算部件和密钥存储部件，为用户提供密码服务；

S6，服务完成。

2.如权利要求1所述的一种分布式密码服务的方法，其特征在于，所述第一用户-密码机映射表、第二用户-密码机映射表、第三用户-密码机映射表的建立与维护方法为：

1）所述的第一用户-密码机映射表由主控服务器建立，并进行维护和更新；

2）主控服务器同步推送最新第一用户-密码机映射表至密码机，密码机接收后形成第二用户-密码机映射表存储于本地；

3）本地服务代理服务器的第三用户-密码机映射表的时间戳与密码机的第二用户-密码机映射表的时间戳进行比对，如果不是最新，则从主控服务器拉取最新的第一用户-密码机映射表，形成第三用户-密码机映射表存储于本地。

3.如权利要求1所述的一种分布式密码服务的方法，其特征在于，S2中所述的为用户分配密码机的方法为：主控服务器根据密码机状态表中的各密码机的工作状态和负载情况，选择负载最轻的密码机；主控服务器还能够控制密码机之间的负载迁移；还控制主从密码机之间的同一用户的密码服务相关信息的同步。

4.如权利要求3所述的一种分布式密码服务的方法，其特征在于，密码机负载的计算公式如下：CPU占用率×CPU权重+内存占用率×内存权重+网络带宽占用率×网络带宽权重+网络连接占用率×网络连接权重+密码运算部件占用率×密码运算部件权重+密钥存储部件占用率×密码存储部件权重；当密码机在密码机负载中任一指标的占用率超过第一阈值，或者三个以上指标超过第二阈值，主控服务器就对该密码机进行负载转移，同时修改用户-密码机映射表，进行密钥迁移。

5.如权利要求3所述的一种分布式密码服务的方法，其特征在于，所述负载迁移和信息的同步采用了以下安全方法：密码机在同步和迁移密钥时，将待同步和迁移的用户密钥采用临时产生的数据加密密钥加密保护，该临时密钥又用同步或迁移目的密码机的公钥加密后传输到目的密码机，从而实现密钥同步和迁移过程的安全保护。

6.应用如权利要求1-5中任一项所述的分布式密码服务的方法的一种分布式密码服务系统，其特征在于，包括：主控服务器、若干密码机和若干本地服务代理，以上所述的主控服务器、若干密码机和本地服务代理通过网络通信方式相互访问；

所述主控服务器，包含主控模块，该模块用于负责用户和密码机的注册、密码机状态监控和密码机状态表维护、第一用户-密码机映射表的维护、密钥迁移调度、主从服务器的数据同步和状态切换；同时还包含密码机状态表和第一用户-密码机映射表；

所述密码机，包含密码机服务模块，该模块用于提供密码服务调用；包含有密钥同步和迁移模块，该模块用于用户密钥的同步和转移；同时还包含第二用户-密码机映射表；

所述本地服务代理，包含本地服务代理模块，该模块负责向用户提供密码服务调用接口，代理用户向主控服务器的注册和初始化启动过程，调用密码机的密码服务；同时还包含有第三用户-密码机映射表。

7.如权利要求6所述的一种分布式密码服务系统，其特征在于，所述主控服务器采用主备双机冗余结构，主备双机的数据和运行状态是同步的。