一种可信介质的在线验证方法及装置制造方法及图纸

本发明专利技术提供一种可信介质的在线验证方法及装置，属于网络通信技术领域。所述方法包括：客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；客户端接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；客户端用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。本发明专利技术能够提高可信介质使用的安全性。

【技术实现步骤摘要】

本专利技术涉及网络通信
，尤其涉及一种可信介质的在线验证方法及装置。
技术介绍
随着移动存储介质越来越轻便、存储容量越来越大，在企业信息安全建设中移动存储介质出现的安全使用问题越来越突出。因此，当前企事业单位迫切需要一套完整的移动存储介质管理方案，以从根本上解决现有技术中移动存储介质的安全使用问题。现有技术对可信移动存储介质进行在线管理时，能够对移动存储介质使用的整个生命周期进行管理。例如，可以先通过可信移动存储介质管理注册中心为新购买的移动存储介质通过注册(打标签)完成授权，然后，通过可信移动存储介质管理客户端对移动存储介质接入进行控制，从而做到企业信息资产、涉密信息等不被移动存储介质非法拷贝，实现对移动存储介质信息的安全管理。具体地，可信移动存储介质管理系统在使用可信移动存储介质前，可信移动存储介质管理服务器需要验证接入的可信移动存储介质是否为本系统中授权的可信移动存储介质，同时可信移动存储介质客户端也需要验证服务器是否为本系统中部署的服务器，而非第三方部署的服务器。双方验证通过后，客户端才会根据服务器下发的存储策略加载可信移动存储介质，实现数据的安全读写。在双方互验过程中，会在验证请求报文和验证响应报文中携带双方互信标识，也就是可信移动存储介质的特征信息和服务器部署时生成的企业特征信息。从安全角度出发，双方互信标识应当进行加密处理，通常使用如下的两种加密方法:(I)固定密钥，即客户端和服务器在交互过程使用固定的密码；(2)使用证书动态协商密钥，对报文进行整体加密处理。但是，如果使用固定密钥，一旦密钥泄露，报文容易被伪造，且固定密钥对于所有系统使用相同的密钥，在知道可信移动存储介质标识时很容易伪造报文，欺骗对方，从而造成数据泄密；如果使用证书动态协商密钥，在应用时需要部署证书，对报文整体加密，部署实现比较复杂。为方便描述，在以下内容中用可信介质代表可信移动存储介质。
技术实现思路
有鉴于此，本专利技术的目的是提供一种可信介质的在线验证方法及装置，能够提高可信介质使用的安全性。为实现上述目的，本专利技术提供技术方案如下:一种可信介质的在线验证方法，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其中可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述方法包括:客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；客户端接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；客户端用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。一种可信介质的在线验证装置，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，所述装置为客户端，所述可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，月艮务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述装置包括:第一发送单元，用于用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；第一接收单元，用于接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；第一验证单元，用于用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。与现有技术相比，本专利技术的技术方案通过引入两对非对称密钥，对可信介质在线验证过程中的互信标识进行加密处理，提高了可信移动存储介质管理系统中报文会话的安全性，进而提高了可信介质使用的安全性。附图说明图1是根据本专利技术实施例的可信介质的在线验证方法流程图；图2是根据本专利技术实施例的可信移动存储介质管理系统的结构图。具体实施例方式在安装有可信介质管理客户端的计算机中使用可信介质时，客户端需要和可信介质管理服务器通信，将可信介质的特征信息发送给服务器验证，服务器根据验证结果，将存储策略及企业特征信息下发给客户端，客户端接收到存储策略后和企业特征信息后，需要将该企业特征信息与可信介质中保存的企业特征信息进行比对，借此判断服务器的合法性，比对成功后根据服务器下发的存储策略加载插入的可信介质。在线验证时，如果交互报文没有保护，或者只是进行简单的加密，交互报文很容易被伪造，这大大降低了可信介质使用的安全性，需要一种简单有效的办法解决验证报文会话安全问题。为解决该问题，本专利技术实施例利用可信介质可以保存数据的特性，在每个可信介质中引入两对非对称密钥，传输验证报文时使用公钥加密，只有拥有私钥的对方才能解开，从而有效解决了可信介质在验证过程中的会话安全。以下结合附图对本专利技术进行详细描述。图1是根据本专利技术实施例的可信介质的在线验证方法流程图，所述方法应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其中，所述客户端具体是指安装有可以使用可信介质的客户端软件的计算机，所述服务器具体是指安装有可以对可信介质进行身份验证的服务器软件的计算机。参照图1，所述在线验证方法可以包括如下步骤:步骤101，服务器根据可信介质的注册请求，生成可信介质特征信息、第一非对称密钥和第二非对称密钥，第一非对称密钥包括公钥A和私钥A，第二非对称密钥包括公钥B和私钥B，并将企业特征信息、可信介质特征信息、公钥A和私钥B下发到可信介质；可信介质可以通过安装有客户端软件的计算机进行注册(打标签)，也可以通过注册中心进行注册。以通过注册中心进行注册为例，管理员在注册中心插入可信介质，注册中心向服务器发送注册请求，服务器收到注册请求后，生成两对非对称密钥，分别为第一非对称密钥和第二非对称密钥，第一非对称密钥包括公钥A和私钥A，第二非对称密钥包括公钥B和私钥B，另外，服务器还会生成可信介质的特征信息。进一步地，所述安装有客户端软件的计算机或者注册中心即可以为所有注册的可信介质生成相同的非对称密钥；也可以为每个注册的可信介质分配不同的非对称密钥，以更加充分的保证报文交互的安全。服务器保存私钥A、公钥B以及可信介质特征信息(如果是为每个可信介质分配不同的非对称密钥，则还保存可信介质的标识信息，这样，服务器可以根据标识信息查询与可信介质对应的密钥和特征信息)，并将如下信息发送给注册中心:企业特征信息；可信介质标签信息，包括可信介质特征信息，如果是为每个可信介质分配不同的非对称密钥，则还包括可信介质的标识信息；公钥A ；私钥B。注册中心接收到这些信息后，将这些信息保存到可信介质的特定区域，于是，普通移动存储介质就成为了加密的移动存储介质。注册完成后，可信介质只能被客户端加载后使用，其它系统无法本文档来自技高网...

【技术保护点】
一种可信介质的在线验证方法，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其特征在于，可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述方法包括：客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；客户端接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；客户端用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。

【技术特征摘要】
1.一种可信介质的在线验证方法，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其特征在于，可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述方法包括: 客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性； 客户端接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成； 客户端用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。2.按权利要求1所述的方法，其特征在于: 所述验证请求报文中还包括可信介质标识，以供服务器根据可信介质标识获取对应的可信介质特征信息、私钥A和公钥B ;和/或， 所述验证响应报文中还包括存储策略，以供客户端在验证服务器合法后，根据存储策略加载指定的可信介质。3.按权利要求1所述的方法，其特征在于: 所述验证可信介质的合法性包括:所述服务器对验证请求报文解密成功，并且解密得到的可信介质特征信息与服务器中存储的可信介质特征信息比对一致，则确定可信介质合法; 所述验证服务器的合法性包括:所述客户端对验证响应报文解密成功，并且解密得到的企业特征信息与可信介质中存储的企业特征信息比对一致，则确定服务器合法。4.一种可信介质的在线验证方法，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其特征在于，可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述方法包括: 服务器接收客户端发送的验证请求报文，所述验证请求报文由客户端用公钥A对可信介质特征信息加密形成； 服务器用私钥A对验证请求报文进行解密，将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性； 服务器在验证可信介质合法后，用公钥B对企业特征信息进行加密形成验证响应报文发送给客户端，以供客户端用私钥B对验证响应报文进行解密，并将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。5.按权利要求4所述的方法，其特征在于: 所述验证请求报文中还包括可信介质标识，以供服务器根据可信介质标识获取对应的可信介质特征信息、私钥A和公钥B ;和/或， 所述验证响应报文中还包括存储策略， 以供客户端在验证服务器合法后，根据存储策略加载指定的可信介质。6.按权利要求4所述的方法，其特征在于: 所述验证可...

【专利技术属性】
技术研发人员：罗友春，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：