一种用于确定密码安全等级的方法及系统技术方案

本发明专利技术公开了一种用于确定密码安全等级的方法及系统，包括：服务端对用户端的网络环境进行网络安全性检测，并在网络安全性检测通过后接收并审核用户端发送的用于申请用户身份证书的证书申请材料；当所述证书申请材料通过审核后，服务端根据所述证书申请材料制作用户身份证书，并将所述用户身份证书发送至用户端；服务端接收用户端的检测请求，根据所述检测请求的请求数据确定检测模板，根据所述检测请求和检测模板确定检测任务，并进行检测任务的分配；服务端建立与客户端的通信关系，根据所述检测任务确定测试特征数据，根据所述测试特征数据确定密码安全等级结果。本发明专利技术解决了现有检测工具不全面、不标准的弊端，提高了密码检测的检测效率。

【技术实现步骤摘要】
一种用于确定密码安全等级的方法及系统
本专利技术涉及密码安全
，并且更具体地，涉及一种用于确定密码安全等级的方法及系统。
技术介绍
随着《密码法》的普及，让很多企业对密码应用的安全标准上升一个新的台阶。在(征求意见稿)要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定：“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外，在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。开展密码安全性评估工作，是国家网络安全和密码相关法律法规提出的明确要求，是法定责任和义务。密码安全性评估工作，不仅对规范密码应用具有重大意义，同时对维护网络和信息系统密码安全，切实保障网络安全，有效应对各类网络安全风险，也具有不可替代的重要作用。目前密码测评均需要线下操作，费事费力，且市面密码测评工具繁多，标准各不也不近相同。
技术实现思路
本专利技术提出一种用于确定密码安全等级的方法及系统，以解决如何确定密码的安全等级的问题。为了解决上述问题，根据本专利技术的一个方面，提供了一种用于确定密码安全等级的方法，所述方法包括：服务端对用户端的网络环境进行网络安全性检测，并在网络安全性检测通过后接收并审核用户端发送的用于申请用户身份证书的证书申请材料；当所述证书申请材料通过审核后，服务端根据所述证书申请材料制作用户身份证书，并将所述用户身份证书发送至用户端；服务端接收用户端的检测请求，根据所述检测请求的请求数据确定检测模板，根据所述检测请求和检测模板确定检测任务，并进行检测任务的分配；其中，用户端的用户通过认证设备进行登录，并且利用所述认证设备中存储的用户身份证书的私钥对所述请求数据进行签名；服务端建立与客户端的通信关系，根据所述检测任务确定测试特征数据，根据所述测试特征数据确定密码安全等级结果，并将所述密码安全等级结果反馈至用户端。优选地，其中所述方法还包括：服务端将制作完成的用户身份证书存储于所述认证设备中，并在用户端的用户通过所述认证设备进行登录时，基于双向认证协议验证用户的用户身份证书的真实性。优选地，其中所述方法还包括：服务端利用测试人员的身份证书中的私钥对检测过程中的文件进行签名，以用于追溯完整的检测日志。优选地，其中所述根据所述检测任务确定测试特征数据，利用所述测试特征数据确定密码安全等级结果，包括：根据所述检测任务确定不同检测项对应的测试特征数据；根据不同检测项对应的测试特征数据，利用预设的密码安全等级检测工具进行密码生成的随机数检测、算法检测、数据传输的网络抓包分析和服务接口的压力测试，以确定密码安全等级结果。优选地，其中所述方法还包括：在检测完成后，服务端将通信数据与检测任务进行绑定，并存储至服务端的数据库中；其中，所述通信数据包括经过用户和测试人员利用各自的身份证书中的私钥进行签名后的通信文字、文件和图像数据。根据本专利技术的另一个方面，提供了一种用于确定密码安全等级的系统，所述系统包括：网络安全性检测单元，用于利用服务端对用户端的网络环境进行网络安全性检测，并在网络安全性检测通过后接收并审核用户端发送的用于申请用户身份证书的证书申请材料；身份证书制作单元，用于当所述证书申请材料通过审核后，利用服务端根据所述证书申请材料制作用户身份证书，并将所述用户身份证书发送至用户端；检测任务确定单元，用于利用服务端接收用户端的检测请求，根据所述检测请求的请求数据确定检测模板，根据所述检测请求和检测模板确定检测任务，并进行检测任务的分配；其中，用户端的用户通过认证设备进行登录，并且利用所述认证设备中存储的用户身份证书的私钥对所述请求数据进行签名；密码安全等级确定单元，用于利用服务端建立与客户端的通信关系，根据所述检测任务确定测试特征数据，根据所述测试特征数据确定密码安全等级结果，并将所述密码安全等级结果反馈至用户端。优选地，其中所述系统还包括：身份证书存储单元，用于利用服务端将制作完成的用户身份证书存储于所述认证设备中；身份证书验证单元，用于利用服务端在用户端的用户通过所述认证设备进行登录时，基于双向认证协议验证用户的用户身份证书的真实性。优选地，其中所述系统还包括：签名单元，用于利用服务端利用测试人员的身份证书中的私钥对检测过程中的文件进行签名，以用于追溯完整的检测日志。优选地，其中所述密码安全等级确定单元，根据所述检测任务确定测试特征数据，利用所述测试特征数据确定密码安全等级结果，包括：根据所述检测任务确定不同检测项对应的测试特征数据；根据不同检测项对应的测试特征数据，利用预设的密码安全等级检测工具进行密码生成的随机数检测、算法检测、数据传输的网络抓包分析和服务接口的压力测试，以确定密码安全等级结果。优选地，其中所述系统还包括：存储单元，用于在检测完成后，利用服务端将通信数据与检测任务进行绑定，并存储至服务端的数据库中；其中，所述通信数据包括经过用户和测试人员利用各自的身份证书中的私钥进行签名后的通信文字、文件和图像数据。本专利技术提供了一种用于确定密码安全等级的方法及系统，其中用户线上提交产品或系统检测申请，检测过程完全线上处理；用户需要先申请认证设备获得身份证书，才能提交申请材料，对于所有提供的材料、文档、文件等，均需使用认证设备中的私钥进行签名，能够防止文件签名、篡改和抵赖；测试人员对检测过程中的每一步都需要使用其身份证书中的私钥签名，可追溯完整的检测日志；整个测试过程，用户完全线上可见、可查询、可反馈，与测评人员实时沟通，在线上沟通结束之后，由用户与测试人员共同使用各自证书的私钥进行签名后与检测任务绑定并存储。本专利技术对用户而言，无需将产品或系统提交至现场进行审核，提高了便捷性；成功提交检测申请及其材料之后，检测过程全程可见，可线上与测评人员沟通答疑，极大提高了检测效果和效率；对于用户提交的任何材料，均使用了用户私钥进行签名，确保了材料真实可靠，具有法律效力；测评人员对于检测过程的每一步，均使用了证书私钥签名，确保了检测过程可审计，提高了合规性。附图说明通过参考下面的附图，可以更为完整地理解本专利技术的示例性实施方式：图1为根据本专利技术实施方式的用于确定密码安全等级的方法100的流程图；图2为根据本专利技术实施方式的用于确定密码安全等级的系统的功能架构图；图3为根据本专利技术实施方式的用于本文档来自技高网...

【技术保护点】
1.一种用于确定密码安全等级的方法，其特征在于，所述方法包括：/n服务端对用户端的网络环境进行网络安全性检测，并在网络安全性检测通过后接收并审核用户端发送的用于申请用户身份证书的证书申请材料；/n当所述证书申请材料通过审核后，服务端根据所述证书申请材料制作用户身份证书，并将所述用户身份证书发送至用户端；/n服务端接收用户端的检测请求，根据所述检测请求的请求数据确定检测模板，根据所述检测请求和检测模板确定检测任务，并进行检测任务的分配；其中，用户端的用户通过认证设备进行登录，并且利用所述认证设备中存储的用户身份证书的私钥对所述请求数据进行签名；/n服务端建立与客户端的通信关系，根据所述检测任务确定测试特征数据，根据所述测试特征数据确定密码安全等级结果，并将所述密码安全等级结果反馈至用户端。/n

【技术特征摘要】
1.一种用于确定密码安全等级的方法，其特征在于，所述方法包括：
服务端对用户端的网络环境进行网络安全性检测，并在网络安全性检测通过后接收并审核用户端发送的用于申请用户身份证书的证书申请材料；
当所述证书申请材料通过审核后，服务端根据所述证书申请材料制作用户身份证书，并将所述用户身份证书发送至用户端；
服务端接收用户端的检测请求，根据所述检测请求的请求数据确定检测模板，根据所述检测请求和检测模板确定检测任务，并进行检测任务的分配；其中，用户端的用户通过认证设备进行登录，并且利用所述认证设备中存储的用户身份证书的私钥对所述请求数据进行签名；
服务端建立与客户端的通信关系，根据所述检测任务确定测试特征数据，根据所述测试特征数据确定密码安全等级结果，并将所述密码安全等级结果反馈至用户端。


2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
服务端将制作完成的用户身份证书存储于所述认证设备中，并在用户端的用户通过所述认证设备进行登录时，基于双向认证协议验证用户的用户身份证书的真实性。


3.根据权利要求1所述的方法，其特征在于，所述方法还包括：
服务端利用测试人员的身份证书中的私钥对检测过程中的文件进行签名，以用于追溯完整的检测日志。


4.根据权利要求1所述的方法，其特征在于，所述根据所述检测任务确定测试特征数据，利用所述测试特征数据确定密码安全等级结果，包括：
根据所述检测任务确定不同检测项对应的测试特征数据；
根据不同检测项对应的测试特征数据，利用预设的密码安全等级检测工具进行密码生成的随机数检测、算法检测、数据传输的网络抓包分析和服务接口的压力测试，以确定密码安全等级结果。


5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
在检测完成后，服务端将通信数据与检测任务进行绑定，并存储至服务端的数据库中；其中，所述通信数据包括经过用户和测试人员利用各自的身份证书中的私钥进行签名后的通信文字、文件和图像数据。


6.一种用于确定密码安全等级的系统，其特征在于，所述系统包括：
网络安全性检测单元，用于利用服务端...

【专利技术属性】
技术研发人员：梁宵，李孝猛，张梦，耿方，赵菁淳，董亮亮，牟森，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京;11