发明内容
本发明实施例提供管理安全设备的存储方法、装置或系统,使得保护密钥写入智能卡中。
本发明实施例一方面提供一种管理安全设备的存储方法,包括以下步骤:
通过保护密钥加密安全设备的私钥;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第一计数标识位;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第二计数标识位;
根据第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例另一方面提供一种管理安全设备的存储装置,包括
加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例另一方面提供一种管理安全设备的存储系统,包括安全设备和智能卡,其特征在于:
智能卡用于存储用于加密安全设备私钥的保护密钥,包括智能卡第一存储区和智能卡第二存储区;
安全设备用于存储通过智能卡保护密钥加密后的安全设备的私钥,包括:加密模块、密码写入模块和解密模块;
其中,加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例通过管理安全设备的存储方法、装置或系统,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在使用S SL(Secure Sockets Layer,安全套接层)协议的VPN(Virtual PrivateNetwork,虚拟专用网)网关系统中,在安全设备如SSL VPN网关提供正常的SSL VPN服务之前,安全设备需要预置设备证书以及其对应的证书私钥。设备证书和证书私钥是在SSL握手过程用于协商会话密钥的。如果证书私钥以明文的方式存储于安全设备的Flash中(为了描述方便,我们将安全设备上的存储设备以Flash为例来进行说明,用EEPROM或者硬盘效果同),非常不安全,容易被攻击者采用探测或者其他手段获得。一旦安全设备的证书私钥泄漏,攻击者通过侦听SSL握手,很容易获得会话主密钥,解密经SSL加密的会话。这样,SSL VPN网关无法继续提供安全的通讯功能。
安全起见,SSLVPN网关生成保护密钥Kguard(我们将用于加密安全设备机密信息的保护密钥记为Kguard),通过保护密钥Kguard将证书私钥加密,并将加密后的证书私钥存储于SSL VPN网关的存储设备上如:Flash中。另外将Kguard存储在智能卡上。应用时,只有插入智能卡,用户输入正确的用户名和口令,智能卡才正常工作。智能卡正常工作后,SSL VPN网关从智能卡获取Kguard,解密证书私钥,这样就能够提供正常的SSL VPN服务了。设备正常工作后,智能卡可以拔出。
由于Kguard由SSL VPN网关生成的,使用Kguard来加密SSL VPN网关私钥等机密信息,并将Kguard和加密后的私钥重新分别写入到智能卡和SSLVPN网关Flash中。如果在写入智能卡和写入SSL VPN网关Flash过程中被中断,则会导致密钥不匹配的现象。
请参阅图1所示,本发明实施例1提供一种管理SSLVPN网关之类安全设备的存储方法,以解决如果在写入智能卡和写入SSLVPN网关Flash过程中被中断,则会导致密钥不匹配的现象的问题。包括以下步骤:
步骤101:安全设备通过保护密钥Kguard加密安全设备的私钥。
步骤102:根据保护密钥Kguard和安全设备的私钥得到关联智能卡和安全设备的第一计数标识位Num1。具体的:安全设备将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增。这里第一计数标识位Num1初始值可以为0,进而第一计数标识位递增加1后变为1。
步骤103:根据保护密钥Kguard和安全设备的私钥得到关联智能卡和安全设备的第二计数标识位Num2。具体的:安全设备将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增。这里第二计数标识位Num1初始值可以为0,进而第二计数标识位递增加1后变为1。
步骤104:根据第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。具体的:安全设备解密时,比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位大于或者等于第二计数标识位及Num1≥Num2,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。可选的,如果第一计数标识位小于第二计数标识位及及Num1<Num2,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于安全设备第二存储区的加密后的安全设备的私钥。
这里步骤102和步骤103执行的顺序互相调换,并不会实质影线步骤104的发生。本发明实施例通过管理安全设备的存储方法,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可选的:步骤102和\或步骤103中,预设智能卡第一存储区和安全设备第一存储区的位置关联,这里可以也可以理解为智能卡与安全设备通过位置信息产生对应关系,默认在以后安全设备解密时,要通过智能卡上存储的保护密钥Kguard解密安全设备对应位置上存储的私钥。步骤102和\或步骤103中所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增可以理解为第一计数标识位加1。对应的,所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增也可以理解为第二计数标识位加1。这里第一计数标识位和所述第二计数标识位取值范围为0或1。当第一计数标识位或所述第二计数标识位取值为0时,在准备将保护密钥写入智能卡和准备将加密后的安全设备的私钥写入安全设备前,第一计数标识位或所述第二计数标识位加1成为1;当第一计数标识位或所述第二计数标识位取值为1时,在准备将保护密钥写入智能卡和准备将加密后的安全设备的私钥写入安全设备前,第一计数标识位或所述第二计数标识位加1成为0。第一计数标识位和第二计数标识位是对应同步递增,进而在步骤104解密时,如果第一计数标识位大于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。另外,如果第一计数标识位小于第二计数标识位,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于安全设备第二存储区的加密后的安全设备的私钥。
可以理解本实施例中步骤102和步骤103中的存储顺序可以如下:第一计数标识位递增;然后写第一计数标识位关联的保护密钥到智能卡;然后写第一计数标识位关联的加密后的安全设备的私钥到安全设备;然后第二计数标识位递增;然后写第二计数标识位关联的保护密钥到智能卡;然后写第二计数标识位关联的加密后的安全设备的私钥到安全设备。
可以理解本实施例中第一计数标识位和第二计数标识位是对应同步递减的。本发明实施例2提供具体步骤可以如下述:
步骤101:通过保护密钥加密安全设备的私钥;
步骤102可以如下述:将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减;
步骤103可以为:将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减;
步骤104可以为:解密时,比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位小于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
可以理解步骤103中:预设智能卡第一存储区和安全设备第一存储区的位置关联;所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减1。所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减1。解密时,如果第一计数标识位小于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
同样步骤102和步骤103执行的顺序互相调换,并不会实质影响步骤104的发生。本发明实施例通过管理安全设备的存储方法,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
请参阅图2,本发明实施例3提供一种管理安全设备的存储装置300。管理安全设备的存储装置300包括:加密模块310、密码写入模块320、解密模块330。
加密模块310用于通过保护密钥加密安全设备的私钥;
密码写入模块320用于根据保护密钥和加密模块310得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块330用于根据密码写入模块320得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
具体的:加密模块310:用于通过使用SSL协议的VPN安全设备生成保护密钥,根据所述保护密钥加密安全设备的私钥。密码写入模块320与加密模块310连接。密码写入模块320内设具有第一计数标识位Num1的第一组存储区321和具有第二计数标识位Num2的第二组存储区323;所述第一组存储区321存储第一组根据保护密钥加密后的安全设备的私钥,通过第一计数标识位Num1关联存储于智能卡第一存储区的保护密钥和存储于第一组存储区321的加密后的安全设备的私钥,在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递增。所述第二组存储区323存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位Num2关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区323的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323的前,第二计数标识位Num2递增。解密模块330与密码写入模块320连接,解密时,解密模块330用于比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位Num1大于或者等于第二计数标识位Num2,使用第一计数标识位Num1关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区321的加密后的安全设备的私钥。
可选的,解密模块330还用于在第一计数标识位Num1小于第二计数标识位Num2时,使用第二计数标识位Num2关联的存储于智能卡第二存储区的保护密钥解密存储于第二组存储区323的加密后的安全设备的私钥。
可选的,密码写入模块320还用于:在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递增加1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323前,第二计数标识位Num2递增加1。
本发明实施例通过管理安全设备的存储装置根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可以理解本实施例3中一种管理安全设备的存储装置也可以通过计数标识位递减的方式实现保护密钥和安全设备的私钥加解密过程。本发明实施例3中,密码写入模块320在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递减;所述第二组存储区323存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位Num2关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区323的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位Num2递减。解密模块330在解密时,用于比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位Num1小于或者等于第二计数标识位Num2,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区321的加密后的安全设备的私钥。
当然,这里密码写入模块320在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递减1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323前,第二计数标识位Num2递减1。
请参阅图4,本发明实施例4揭露了一种管理安全设备的存储系统,包括安全设备400和智能卡500。智能卡500用于存储用于加密安全设备400私钥的保护密钥,包括智能卡第一存储区510和智能卡第二存储区530;
安全设备400用于存储通过智能卡500保护密钥加密后的安全设备400的私钥,包括:加密模块410、密码写入模块420和解密模块430。
其中,加密模块410:用于通过保护密钥加密安全设备的私钥;
密码写入模块420:用于根据保护密钥和加密模块410得到的安全设备400的私钥分别获得关联智能卡500和安全设备400的第一计数标识位和第二计数标识位;
解密模块430:用于根据密码写入模块420得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
具体的,加密模块410:可用于通过使用SSL协议的VPN安全设备400生成保护密钥,根据保护密钥加密安全设备400的私钥。密码写入模块420:与加密模块410连接,密码写入模块420内设具有第一计数标识位的第一组存储区421和具有第二计数标识位的第二组存储区423;所述第一组存储区421存储第一组根据保护密钥加密后的安全设备400的私钥,通过第一计数标识位关联存储于智能卡500第一存储区510的保护密钥和存储于第一组存储区421的加密后的安全设备400的私钥,在保护密钥写入智能卡500第一存储区510前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递增;所述第二组存储区423存储第二组根据保护密钥加密后的安全设备400的私钥,通过第二计数标识位关联存储于智能卡500第二存储区530的保护密钥和存储于第二组存储区423的加密后的安全设备400的私钥,在保护密钥写入智能卡500第二存储区530前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递增。解密模块430与密码写入模块420连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位大于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡500第一存储区510的保护密钥解密存储于第一组存储区421的加密后的安全设备400的私钥。
可选的,密码写入模块420还用于保护密钥写入智能卡500第一存储区510前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递增加1。在保护密钥写入智能卡500第二存储区530前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递增加1。
可选的,解密模块430还用于在第一计数标识位小于第二计数标识位时,使用第二计数标识位关联的存储于智能卡500第二存储区530的保护密钥解密存储于智能卡500第一存储区510的加密后的安全设备400的私钥。
本发明实施例通过管理安全设备的存储系统根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可以理解本实施例4中一种管理安全设备的存储系统也可以通过计数标识位递减的方式实现保护密钥和安全设备的私钥加解密过程。本发明实施例4中密码写入模块420在保护密钥写入智能卡500第一存储区前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递减。在所述第二组存储区423存储第二组根据保护密钥加密后的安全设备400的私钥,通过第二计数标识位关联存储于智能卡500第二存储区的保护密钥和存储于第二组存储区423的加密后的安全设备400的私钥,在保护密钥写入智能卡500第二存储区前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递减。解密模块430与密码写入模块420连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位小于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡500第一存储区的保护密钥解密存储于第一组存储区421的加密后的安全设备400的私钥。
可选的,密码写入模块420还用于在保护密钥写入智能卡500第一存储区前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递减1;在保护密钥写入智能卡500第二存储区前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递减1。
同样,本发明实施例通过管理安全设备的存储系统根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。