【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种可信介质的在线验证方法及装置。
技术介绍
随着移动存储介质越来越轻便、存储容量越来越大,在企业信息安全建设中移动存储介质出现的安全使用问题越来越突出。因此,当前企事业单位迫切需要一套完整的移动存储介质管理方案,以从根本上解决现有技术中移动存储介质的安全使用问题。现有技术对可信移动存储介质进行在线管理时,能够对移动存储介质使用的整个生命周期进行管理。例如,可以先通过可信移动存储介质管理注册中心为新购买的移动存储介质通过注册(打标签)完成授权,然后,通过可信移动存储介质管理客户端对移动存储介质接入进行控制,从而做到企业信息资产、涉密信息等不被移动存储介质非法拷贝,实现对移动存储介质信息的安全管理。具体地,可信移动存储介质管理系统在使用可信移动存储介质前,可信移动存储介质管理服务器需要验证接入的可信移动存储介质是否为本系统中授权的可信移动存储介质,同时可信移动存储介质客户端也需要验证服务器是否为本系统中部署的服务器,而非第三方部署的服务器。双方验证通过后,客户端才会根据服务器下发的存储策略加载可信移动存储介质,实现数据的安全读写。在双方互验过程中,会在验证请求报文和验证响应报文中携带双方互信标识,也就是可信移动存储介质的特征信息和服务器部署时生成的企业特征信息。从安全角度出发,双方互信标识应当进行加密处理,通常使用如下的两种加密方法:(I)固定密钥,即客户端和服务器在交互过程使用固定的密码;(2)使用证书动态协商密钥,对报文进行整体加密处理。但是,如果使用固定密钥,一旦密钥泄露,报文容易被伪造,且固定密钥对于所有系统 ...
【技术保护点】
一种可信介质的在线验证方法,应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中,其特征在于,可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息,服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息,所述方法包括:客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器,以供服务器用私钥A对验证请求报文进行解密,并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对,来验证可信介质的合法性;客户端接收服务器在验证可信介质合法后发送的验证响应报文,所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成;客户端用私钥B对验证响应报文进行解密,将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对,来验证服务器的合法性。
【技术特征摘要】
1.一种可信介质的在线验证方法,应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中,其特征在于,可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息,服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息,所述方法包括: 客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器,以供服务器用私钥A对验证请求报文进行解密,并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对,来验证可信介质的合法性; 客户端接收服务器在验证可信介质合法后发送的验证响应报文,所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成; 客户端用私钥B对验证响应报文进行解密,将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对,来验证服务器的合法性。2.按权利要求1所述的方法,其特征在于: 所述验证请求报文中还包括可信介质标识,以供服务器根据可信介质标识获取对应的可信介质特征信息、私钥A和公钥B ;和/或, 所述验证响应报文中还包括存储策略,以供客户端在验证服务器合法后,根据存储策略加载指定的可信介质。3.按权利要求1所述的方法,其特征在于: 所述验证可信介质的合法性包括:所述服务器对验证请求报文解密成功,并且解密得到的可信介质特征信息与服务器中存储的可信介质特征信息比对一致,则确定可信介质合法; 所述验证服务器的合法性包括:所述客户端对验证响应报文解密成功,并且解密得到的企业特征信息与可信介质中存储的企业特征信息比对一致,则确定服务器合法。4.一种可信介质的在线验证方法,应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中,其特征在于,可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息,服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息,所述方法包括: 服务器接收客户端发送的验证请求报文,所述验证请求报文由客户端用公钥A对可信介质特征信息加密形成; 服务器用私钥A对验证请求报文进行解密,将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对,来验证可信介质的合法性; 服务器在验证可信介质合法后,用公钥B对企业特征信息进行加密形成验证响应报文发送给客户端,以供客户端用私钥B对验证响应报文进行解密,并将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对,来验证服务器的合法性。5.按权利要求4所述的方法,其特征在于: 所述验证请求报文中还包括可信介质标识,以供服务器根据可信介质标识获取对应的可信介质特征信息、私钥A和公钥B ;和/或, 所述验证响应报文中还包括存储策略, 以供客户端在验证服务器合法后,根据存储策略加载指定的可信介质。6.按权利要求4所述的方法,其特征在于: 所述验证可...
【专利技术属性】
技术研发人员:罗友春,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。