技術領域

本發明涉及一種密碼設備的遠程管理方法及系統，屬于信息安全領域。

背景技術

傳統密碼設備管理是基于本地管理模式的，管理終端設備與密碼設備通過串口線纜或網線物理連接，通過串口終端或專用軟件對密碼設備進行配置和密鑰管理以及狀態查詢，認證設備與密碼設備物理連接。隨著當前應用規模的擴大以及分布式或集約化等部署方式的改變，傳統管理方式與數據中心管理策略相背，管理成本逐漸增高。

如圖1所示，當前應用模式下，安全管理員需要進入部署密碼設備數據中心內，通過物理連接方式對密碼設備進行管理操作，密碼設備具備智能IC卡讀卡器和USB接口，以及RS232串口或專用管理網口，在進行設備或密鑰管理時首先要使用管理終端通過串口或網絡線纜連接到密碼設備，并在管理終端上打開控制臺程序或GUI管理程序，需要身份認證或導入導出密鑰管理操作時，需要將智能IC卡插入智能卡讀卡器中，或將USB Key插入USB接口中。

發明內容

本發明所要解決的技術問題是提供一種解決密碼設備遠程管理的安全性問題，可方便、靈活、安全的對位于數據中心的密碼設備進行遠程管理的密碼設備的遠程管理方法及系統。

本發明解決上述技術問題的技術方案如下：一種密碼設備的遠程管理方法，具體包括以下步驟：

步驟1：對密碼設備、PED輸入設備和秘鑰設備進行初始化；

步驟2：管理終端與PED輸入設備和密碼設備分別建立連接；

步驟3：PED輸入設備驗證所述密碼設備的身份，如通過驗證，執行步驟4；否則，結束；

步驟4：PED輸入設備與密碼設備之間建立安全連接，PED輸入設備根據完成初始化的秘鑰設備獲得授權；

步驟5：PED輸入設備根據授權對秘鑰設備進行管理操作。

本發明的有益效果是：可以實現對密碼設備及密鑰的遠程管理，使密碼設備的管理不再局限于數據中心內，在不降低安全性的前提下，增加了密碼設備管理的靈活性，幫助用戶降低運維成本。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述步驟1具體包括以下步驟：

步驟1.1：根據密碼設備的唯一序列號和密碼設備產生的公鑰簽發數字證書，并將數字證書安裝到密碼設備中；

步驟1.2：根據PED輸入設備的唯一序列號和PED輸入設備產生的公鑰簽發PED數字證書，并將PED數字證書安裝到PED輸入設備中；

步驟1.3：將秘鑰設備插入密碼設備，秘鑰設備獲得密碼設備中的數字證書。

進一步，所述秘鑰設備包括智能IC卡和/或USB Key。

進一步，所述步驟2中管理終端通過USB接口與PED輸入設備建立連接；所述管理終端通過互聯網或其他廣域網與密碼設備建立連接。

進一步，所述步驟3中PED輸入設備通過PED數字證書驗證所述密碼設備的數字證書實現對密碼設備的身份驗證；所述步驟4中PED輸入設備根據秘鑰設備中的數字證書獲得授權。

本發明解決上述技術問題的技術方案如下：一種密碼設備的遠程管理系統，包括管理終端、密碼設備、PED輸入設備和秘鑰設備；

所述管理終端與PED輸入設備和密碼設備分別建立連接；

所述PED輸入設備驗證所述密碼設備的身份；通過驗證后，所述PED輸入設備與所述密碼設備之間建立安全連接；

所述秘鑰設備通過密碼設備獲得授權；

所述PED輸入設備根據授權對秘鑰設備進行管理操作。

本發明的有益效果是：可以實現對密碼設備及密鑰的遠程管理，使密碼設備的管理不再局限于數據中心內，在不降低安全性的前提下，增加了密碼設備管理的靈活性，幫助用戶降低運維成本。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，所述密碼設備的唯一序列號和密碼設備產生的公鑰簽發數字證書，并將數字證書安裝到密碼設備中；

所述PED輸入設備的唯一序列號和PED輸入設備產生的公鑰簽發PED數字證書，并將PED數字證書安裝到PED輸入設備中；

所述秘鑰設備插入所述密碼設備，所述秘鑰設備獲得密碼設備中的數字證書。

進一步，所述秘鑰設備包括智能IC卡和/或USB Key。

進一步，所述管理終端通過USB接口與PED輸入設備建立連接；所述管理終端通過互聯網或其他廣域網與密碼設備建立連接。

進一步，所述PED輸入設備通過PED數字證書驗證所述密碼設備的數字證書實現對密碼設備的身份驗證；所述PED輸入設備根據秘鑰設備中的數字證書獲得授權。