[发明专利]一种可信介质的在线验证方法及装置

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种可信介质的在线验证方法及装置。

背景技术

随着移动存储介质越来越轻便、存储容量越来越大，在企业信息安全建设中移动存储介质出现的安全使用问题越来越突出。因此，当前企事业单位迫切需要一套完整的移动存储介质管理方案，以从根本上解决现有技术中移动存储介质的安全使用问题。

现有技术对可信移动存储介质进行在线管理时，能够对移动存储介质使用的整个生命周期进行管理。例如，可以先通过可信移动存储介质管理注册中心为新购买的移动存储介质通过注册（打标签）完成授权，然后，通过可信移动存储介质管理客户端对移动存储介质接入进行控制，从而做到企业信息资产、涉密信息等不被移动存储介质非法拷贝，实现对移动存储介质信息的安全管理。

具体地，可信移动存储介质管理系统在使用可信移动存储介质前，可信移动存储介质管理服务器需要验证接入的可信移动存储介质是否为本系统中授权的可信移动存储介质，同时可信移动存储介质客户端也需要验证服务器是否为本系统中部署的服务器，而非第三方部署的服务器。双方验证通过后，客户端才会根据服务器下发的存储策略加载可信移动存储介质，实现数据的安全读写。

在双方互验过程中，会在验证请求报文和验证响应报文中携带双方互信标识，也就是可信移动存储介质的特征信息和服务器部署时生成的企业特征信息。从安全角度出发，双方互信标识应当进行加密处理，通常使用如下的两种加密方法：

（1）固定密钥，即客户端和服务器在交互过程使用固定的密码；

（2）使用证书动态协商密钥，对报文进行整体加密处理。

但是，如果使用固定密钥，一旦密钥泄露，报文容易被伪造，且固定密钥对于所有系统使用相同的密钥，在知道可信移动存储介质标识时很容易伪造报文，欺骗对方，从而造成数据泄密；如果使用证书动态协商密钥，在应用时需要部署证书，对报文整体加密，部署实现比较复杂。

为方便描述，在以下内容中用可信介质代表可信移动存储介质。

发明内容

有鉴于此，本发明的目的是提供一种可信介质的在线验证方法及装置，能够提高可信介质使用的安全性。

为实现上述目的，本发明提供技术方案如下：

一种可信介质的在线验证方法，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，其中可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述方法包括：

客户端用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；

客户端接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；

客户端用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。

一种可信介质的在线验证装置，应用于包括可信介质管理客户端、可信介质管理服务器和可信介质的系统中，所述装置为客户端，所述可信介质中存储有服务器下发的第一非对称密钥的公钥A、第二非对称密钥的私钥B、企业特征信息和可信介质特征信息，服务器中存储有第一非对称密钥的私钥A、第二非对称密钥的公钥B、企业特征信息和可信介质特征信息，所述装置包括：

第一发送单元，用于用公钥A对可信介质特征信息加密形成验证请求报文发送给服务器，以供服务器用私钥A对验证请求报文进行解密，并将解密得到的可信介质特征信息与服务器中存储的可信介质特征信息进行比对，来验证可信介质的合法性；

第一接收单元，用于接收服务器在验证可信介质合法后发送的验证响应报文，所述验证响应报文由服务器用公钥B对企业特征信息进行加密形成；

第一验证单元，用于用私钥B对验证响应报文进行解密，将解密得到的企业特征信息与可信介质中存储的企业特征信息进行比对，来验证服务器的合法性。

与现有技术相比，本发明的技术方案通过引入两对非对称密钥，对可信介质在线验证过程中的互信标识进行加密处理，提高了可信移动存储介质管理系统中报文会话的安全性，进而提高了可信介质使用的安全性。

附图说明

图1是根据本发明实施例的可信介质的在线验证方法流程图；