本发明专利技术提供了一种离线状态下安全使用可信移动存储介质的方法及其系统。客户端在离线状态下插入可信移动存储介质,申请在离线状态下使用可信移动存储介质,并输出此移动存储介质的离线申请文件,客户端将离线申请文件发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件发送给可信移动存储介质客户端。客户端拿到离线授权文件后,在离线的状态下,加载该离线授权文件后,完成双方验证后根据存储策略加载指定的可信移动存储介质。通过本发明专利技术方案,在解决离线状态下双方验证问题的同时,又保证了安全使用可信移动存储介质。
【技术实现步骤摘要】
一种离线安全使用可信移动存储介质的方法及系统
本专利技术涉及网络通信领域,尤其涉及一种离线安全使用需在线验证的可信移动存储介质的方法及系统。
技术介绍
随着移动存储介质越来越轻便、存储容量越来越大,在企事业信息安全建设过程中移动存储介质的安全使用问题越来越突出。因此,当前企事业单位迫切需要一套完整的移动存储介质管理方案,以从根本上解决现有技术中移动存储介质的安全使用问题。现有技术对可信移动存储介质进行在线管理时,能够对移动存储介质使用的整个生命周期进行管理。例如:为新购买的移动存储介质通过注册(打标签)完成授权,对移动存储介质接入进行控制,进而做到企业信息资产、涉密信息等不被移动存储介质非法拷贝,实现对移动存储介质信息安全管理。具体地,在可信移动存储介质客户端运行时,插入可信移动存储介质后,事先和可信移动存储介质管理服务器通信,将可信移动存储介质中的标签信息发给服务器验证,服务器根据验证结果,将存储策略及服务器标识下发给客户端,客户端拿到存储策略和服务器标识后,需要将服务器标识和可信移动存储介质中的服务器标识进行比对,借此判断可信移动存储介质管理服务器的合法性,比对成功后再根据存储策略加载插入的可信移动存储介质,进而实现数据的安全读写。当客户端和服务器无法相互通信验证对方身份时,无法正常使用可信移动存储介质。然而,现有的可信移动存储介质管理系统都需要以在线为基本使用条件,只有在线时,可信移动存储介质管理服务器才能验证接入的可信移动存储介质是否为本系统中授权的可信移动存储介质,同时可信移动存储介质客户端也才能验证可信移动存储介质管理服务器是否为本系统中部署的服务器,而非第三方部署的服务器。而在离线状态下因无法和服务器通信,可信移动存储介质无法使用。虽然有些解决方案中不进行双方互为验证,只验证使用密码来解决可信移动存储介质离线使用问题,但此种解决方案显然不够安全,一旦密码泄露,则可信移动存储介质的使用就变得完全不可控。
技术实现思路
有鉴于此,本专利技术提供一种离线安全使用可信移动存储介质的方法及系统,以解决现有技术中无法有效解决离线状态下安全使用可信移动存储介质的问题。本专利技术提供的一种离线安全使用可信移动存储介质的方法,其中所述方法应用于包括可信移动存储介质客户端、可信移动存储介质管理服务器以及可行移动存储介质构成的系统中,所述方法包括如下步骤:步骤1、客户端在离线状态下插入可信移动存储介质,申请离线状态下使用可信移动存储介质,输出该可信移动存储介质的离线申请文件;步骤2、客户端将离线申请文件发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件发送给可信移动存储介质客户端;步骤3、客户端获得离线授权文件后,在离线的状态下,加载该离线授权文件,并在完成双方验证后根据存储策略加载指定的可信移动存储介质。本专利技术提供的一种离线安全使用可信移动存储介质的系统,包括可信移动存储介质客户端、可信移动存储介质管理服务器以及可行移动存储介质,其中,所述客户端在离线状态下插入可信移动存储介质,申请离线状态下使用可信移动存储介质,输出该可信移动存储介质的离线申请文件;所述客户端将离线申请文件发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件发送给可信移动存储介质客户端;所述客户端获得离线授权文件后,在离线的状态下,加载该离线授权文件,并在完成双方验证后根据存储策略加载指定的可信移动存储介质。与现有的技术相比,本专利技术技术方案通过引入了离线申请文件、离线使用授权文件,并通过这两个文件作为媒介,完成可信移动存储介质客户端及管理服务器之间的双方身份验证,因而有效地解决了在离线状态下无法安全使用需在线验证可信移动存储介质的问题。附图说明图1是本专利技术提供的离线安全使用可信移动存储介质的方法流程图。图2是本专利技术可信移动存储介质管理服务器生存离线授权文件流程图。图3是本专利技术在离线的状态下安全使用可信移动存储介质流程图。图4是本专利技术可信移动存储介质在离线状态下进行客户端和管理服务器验证工作流程图。具体实施方式为了解决离线状态下能够安全使用需在线验证的可信移动存储介质的问题。本专利技术方案采用的核心思想为:客户端在离线状态下插入可信移动存储介质,申请在离线状态下使用可信移动存储介质,并输出此移动存储介质的离线申请文件,客户端将离线申请文件通过QQ、Email等途径发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件通过QQ、Email等途径发送给可信移动存储介质客户端。客户端拿到离线授权文件后,在离线的状态下,加载该离线授权文件后,完成双方验证后根据存储策略加载指定的可信移动存储介质。通过本专利技术方案,在解决离线状态下双方验证问题的同时,又保证了安全使用可信移动存储介质。需要说明的是,在本专利技术技术方案中,所述客户端具体是指安装有在离线状态下可以使用可信移动存储介质的客户端软件的个人电脑或者其他终端装置。为节约篇幅,以下不再针对客户端作特别的解释和说明。为了本专利技术方案更加清楚和明白,以下结合本专利技术具体实施例加以说明。如图1所示,为本专利技术离线安全使用可信移动存储介质的方法流程图。该方法应用于包括可信移动存储介质客户端、可信移动存储介质管理服务器以及可行移动存储介质构成的系统中,所述方法包括如下步骤:步骤1、客户端在离线状态下插入可信移动存储介质,申请离线状态下使用可信移动存储介质,输出该可信移动存储介质的离线申请文件。当在离线状态下,需使用在线验证的可信移存储介质时,申请者在客户端插入需在线验证的可信移动存储介质后,通过可信移动存储介质客户端提供的离线申请功能,申请可信移动存储介质离线使用,从客户端获取离线申请文件的相关信息。在本专利技术实施例中,离线申请文件的相关信息具体包括:可信移动存储介质的标签信息以及使用可信移动存储介质客户端的机器相关信息,如MAC地址、硬盘序列号、计算机名称等。在成功收集到上述这些信息后,可信移动存储介质客户端使用事先约定好的密钥对这些信息进行加密,生成离线申请文件,同时在可信介质标签中记录申请离线使用标识及使用次数,此时的使用次数一般为0。需要说明的是,在某些特定的应用场景下,也可以通过有效使用时间段代替离线使用次数限制。步骤2、客户端将离线申请文件发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件发送给可信移动存储介质客户端。具体地,申请者通过QQ、Email等途径由客户端机器向可信移动存储介质服务器发送离线申请文件,当然,在本专利技术技术方案中,申请者也可以不通过客户端机器而通过其他终端机器向可信移动存储介质服务器发送离线申请文件。当管理员在可信移动存储介质管理服务器端获取到客户端发送来的离线申请文件后,进行如下处理:首先,打开可信移动存储介质管理服务器端提供的离线授权功能,上传客户端发送过来的离线申请文件;其次,在可信移动存储介质管理服务器端用事先约定好的解密密钥解密所述离线申请文件;最后,在对所述离线申请文件解密成功后,验证其可信移动存储介质的标签信息是为本系统中部署可信移动存储介质的标签,如果不符合要求,则不生成授权文件;而当可信移动存本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种离线安全使用可信移动存储介质的方法,其中所述方法应用于包括可信移动存储介质客户端、可信移动存储介质管理服务器以及可信移动存储介质构成的系统中,其特征在于,所述方法包括如下步骤:步骤1、客户端在离线状态下插入可信移动存储介质,申请离线状态下使用可信移动存储介质,输出该可信移动存储介质的离线申请文件;其中,所述离线申请文件包括:可信移动存储介质的标签信息和使用可信移动存储介质客户端的机器相关信息;步骤2、客户端将离线申请文件通过其他终端机器发送给可信移动存储介质管理服务器,可信移动存储介质管理服务器审核离线申请文件成功后,将离线授权文件发送给可信移动存储介质客户端;其中,所述离线授权文件中的授权信息包括:使用次数、是否只读授权和服务器标识;其中,可信移动存储介质管理服务器审核离线申请文件成功包括:验证其可信移动存储介质的标签信息为本系统中部署可信移动存储介质的标签;步骤3、客户端获得离线授权文件后,在离线的状态下,加载该离线授权文件,并在完成双方验证后根据所述离线授权文件的存储策略加载指定的可信移动存储介质。2.如权利要求1所述的方法,其特征在于,所述步骤2具体为:首先,打开可信移动存储介质管理服务器端提供的离线授权功能,上传客户端发送过来的离线申请文件;其次,在可信移动存储介质管理服务器端用事先约定好的解密密钥解密所述离线申请文件;最后,在对所述离线申请文件解密成功后,验证其可信移动存储介质的标签信息是为本系统中部署可信移动存储介质的标签,如果不符合要求,则不生成授权文件;而当可信移动存储介质的标签信息符合要求时,由管理员决定是否完成离线使用授权,如允许离线使用,则将解密获取的标签信息外加授权信息一同按事先约定好的密钥对这些信息进行加密,生成离线使用授权文件。3.如权利要求1所述的方法,其特征在于,所述步骤3具体为:首先,在申请离线状态下使用可信存储介质的客户端中插入申请离线状态下使用的可信移动存储介质;接着,打开可信移动存储介质客户端,请求对可信移动存储介质进行离线状态下使用,并将对应该可信移动存储介质的离线使用授权文件加载;最后,可信移动存储介质客户端在获取到离线使用授权文件后,完成双方互信工作,并根据离线使用授权文件获得的存储策略加载可信移动存储介质。4.如权利要求3所述的方法,其特征在于,所述可信移动存储介质完成客户端和管理服务器端的双方互信步骤具体包括:按事先约定好的密钥解密离线使用授权文件,获取授权相关信息;获取插入可信移动存储介质中的标签信息、离线申请标识、离线使用次数信息中的至少一个;验证使用可信移动存储介质客户端的机器是否符合要求;验证插入的可信移动存储介质和授权的可信移动存储介质的标签是否一致;验证服务器标识是否和插入的可信移动存储介质中的服务器标识是否一致;验证离线使用次数是否达到上限。5.一种离线安...
【专利技术属性】
技术研发人员:罗友春,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。