技術領域

本發明涉及網絡通信技術領域，尤其涉及一種可信介質的在線驗證方法及裝置。

背景技術

隨著移動存儲介質越來越輕便、存儲容量越來越大，在企業信息安全建設中移動存儲介質出現的安全使用問題越來越突出。因此，當前企事業單位迫切需要一套完整的移動存儲介質管理方案，以從根本上解決現有技術中移動存儲介質的安全使用問題。

現有技術對可信移動存儲介質進行在線管理時，能夠對移動存儲介質使用的整個生命周期進行管理。例如，可以先通過可信移動存儲介質管理注冊中心為新購買的移動存儲介質通過注冊（打標簽）完成授權，然后，通過可信移動存儲介質管理客戶端對移動存儲介質接入進行控制，從而做到企業信息資產、涉密信息等不被移動存儲介質非法拷貝，實現對移動存儲介質信息的安全管理。

具體地，可信移動存儲介質管理系統在使用可信移動存儲介質前，可信移動存儲介質管理服務器需要驗證接入的可信移動存儲介質是否為本系統中授權的可信移動存儲介質，同時可信移動存儲介質客戶端也需要驗證服務器是否為本系統中部署的服務器，而非第三方部署的服務器。雙方驗證通過后，客戶端才會根據服務器下發的存儲策略加載可信移動存儲介質，實現數據的安全讀寫。

在雙方互驗過程中，會在驗證請求報文和驗證響應報文中攜帶雙方互信標識，也就是可信移動存儲介質的特征信息和服務器部署時生成的企業特征信息。從安全角度出發，雙方互信標識應當進行加密處理，通常使用如下的兩種加密方法：

（1）固定密鑰，即客戶端和服務器在交互過程使用固定的密碼；

（2）使用證書動態協商密鑰，對報文進行整體加密處理。

但是，如果使用固定密鑰，一旦密鑰泄露，報文容易被偽造，且固定密鑰對于所有系統使用相同的密鑰，在知道可信移動存儲介質標識時很容易偽造報文，欺騙對方，從而造成數據泄密；如果使用證書動態協商密鑰，在應用時需要部署證書，對報文整體加密，部署實現比較復雜。

為方便描述，在以下內容中用可信介質代表可信移動存儲介質。

發明內容

有鑒于此，本發明的目的是提供一種可信介質的在線驗證方法及裝置，能夠提高可信介質使用的安全性。

為實現上述目的，本發明提供技術方案如下：

一種可信介質的在線驗證方法，應用于包括可信介質管理客戶端、可信介質管理服務器和可信介質的系統中，其中可信介質中存儲有服務器下發的第一非對稱密鑰的公鑰A、第二非對稱密鑰的私鑰B、企業特征信息和可信介質特征信息，服務器中存儲有第一非對稱密鑰的私鑰A、第二非對稱密鑰的公鑰B、企業特征信息和可信介質特征信息，所述方法包括：

客戶端用公鑰A對可信介質特征信息加密形成驗證請求報文發送給服務器，以供服務器用私鑰A對驗證請求報文進行解密，并將解密得到的可信介質特征信息與服務器中存儲的可信介質特征信息進行比對，來驗證可信介質的合法性；

客戶端接收服務器在驗證可信介質合法后發送的驗證響應報文，所述驗證響應報文由服務器用公鑰B對企業特征信息進行加密形成；

客戶端用私鑰B對驗證響應報文進行解密，將解密得到的企業特征信息與可信介質中存儲的企業特征信息進行比對，來驗證服務器的合法性。

一種可信介質的在線驗證裝置，應用于包括可信介質管理客戶端、可信介質管理服務器和可信介質的系統中，所述裝置為客戶端，所述可信介質中存儲有服務器下發的第一非對稱密鑰的公鑰A、第二非對稱密鑰的私鑰B、企業特征信息和可信介質特征信息，服務器中存儲有第一非對稱密鑰的私鑰A、第二非對稱密鑰的公鑰B、企業特征信息和可信介質特征信息，所述裝置包括：

第一發送單元，用于用公鑰A對可信介質特征信息加密形成驗證請求報文發送給服務器，以供服務器用私鑰A對驗證請求報文進行解密，并將解密得到的可信介質特征信息與服務器中存儲的可信介質特征信息進行比對，來驗證可信介質的合法性；

第一接收單元，用于接收服務器在驗證可信介質合法后發送的驗證響應報文，所述驗證響應報文由服務器用公鑰B對企業特征信息進行加密形成；

第一驗證單元，用于用私鑰B對驗證響應報文進行解密，將解密得到的企業特征信息與可信介質中存儲的企業特征信息進行比對，來驗證服務器的合法性。

與現有技術相比，本發明的技術方案通過引入兩對非對稱密鑰，對可信介質在線驗證過程中的互信標識進行加密處理，提高了可信移動存儲介質管理系統中報文會話的安全性，進而提高了可信介質使用的安全性。

附圖說明

圖1是根據本發明實施例的可信介質的在線驗證方法流程圖；