CN101478538A - 管理安全设备的存储方法、装置或系统 - Google Patents
管理安全设备的存储方法、装置或系统 Download PDFInfo
- Publication number
- CN101478538A CN101478538A CNA2008102422144A CN200810242214A CN101478538A CN 101478538 A CN101478538 A CN 101478538A CN A2008102422144 A CNA2008102422144 A CN A2008102422144A CN 200810242214 A CN200810242214 A CN 200810242214A CN 101478538 A CN101478538 A CN 101478538A
- Authority
- CN
- China
- Prior art keywords
- safety means
- memory block
- smart card
- key
- counting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种管理安全设备的存储装置,包括:加密模块用于通过保护密钥加密安全设备的私钥;密码写入模块用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;解密模块用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。进而减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,导致设备无法正常工作的问题发生的几率。
Description
技术领域
本发明涉及数据存储安全领域,尤其涉及管理安全设备的存储方法、装置或系统。
背景技术
智能卡是本身带有CPU、EEPROM、随机数发生器和密码算法的,能够进行计算和存储的卡片,市场上有多种种形态:智能IC卡、USB KEY(电子钥匙)、射频智能卡等等。
对于VPN网关(Virtual Private Network,虚拟专用网络)、加密机等安全设备,其管理的安全也十分重要。许多设备厂商通过USB KEY或者智能IC卡对安全设备进行管理。安全设备中往往会存有证书私钥、预共享密钥或者其他的重要的敏感信息。这些敏感信息一旦被恶意攻击者获取,安全设备的安全性也不复存在。因此,像证书私钥、预共享密钥以及其他重要敏感信息一定要安全存储,加密存储是一种常用的做法。
对预置在安全设备的私钥、预共享密钥或者其他机密信息进行加密存储也需要考虑这些加密密钥的安全保存问题,单纯设备本身而言,这个问题是无法解决的。因此,多数厂商借助智能卡来存储安全设备机密信息的密钥。
在应用时,智能卡的持有者将智能卡插入安全设备,经过认证后,智能卡中的密钥(我们称之为保护密钥)安全传送到安全设备,安全设备使用保护密钥解密机密信息,设备正常工作。
从安全上考虑,保护密钥往往由安全设备自身产生,将机密信息加密后可以存放在智能卡中。
在将保护写入到智能卡的过程中,可能会存在安全设备突然断电、死机或者卡片被突然拔走的情况。这样,很可能保护密钥不能成功写入智能卡,这样就造成了致命的后果:安全设备的机密信息无法解密,因此安全设备无法正常工作。
发明内容
本发明实施例提供管理安全设备的存储方法、装置或系统,使得保护密钥写入智能卡中。
本发明实施例一方面提供一种管理安全设备的存储方法,包括以下步骤:
通过保护密钥加密安全设备的私钥;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第一计数标识位;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第二计数标识位;
根据第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例另一方面提供一种管理安全设备的存储装置,包括
加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例另一方面提供一种管理安全设备的存储系统,包括安全设备和智能卡,其特征在于:
智能卡用于存储用于加密安全设备私钥的保护密钥,包括智能卡第一存储区和智能卡第二存储区;
安全设备用于存储通过智能卡保护密钥加密后的安全设备的私钥,包括:加密模块、密码写入模块和解密模块;
其中,加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
本发明实施例通过管理安全设备的存储方法、装置或系统,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种管理安全设备的存储方法流程图;
图2为本发明实施例一种管理安全设备的存储装置结构示意图;
图3为本发明实施例一种管理安全设备的存储装置内部密码写入模块结构示意图;和
图4为本发明实施例一种管理安全设备的存储系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在使用S SL(Secure Sockets Layer,安全套接层)协议的VPN(Virtual PrivateNetwork,虚拟专用网)网关系统中,在安全设备如SSL VPN网关提供正常的SSL VPN服务之前,安全设备需要预置设备证书以及其对应的证书私钥。设备证书和证书私钥是在SSL握手过程用于协商会话密钥的。如果证书私钥以明文的方式存储于安全设备的Flash中(为了描述方便,我们将安全设备上的存储设备以Flash为例来进行说明,用EEPROM或者硬盘效果同),非常不安全,容易被攻击者采用探测或者其他手段获得。一旦安全设备的证书私钥泄漏,攻击者通过侦听SSL握手,很容易获得会话主密钥,解密经SSL加密的会话。这样,SSL VPN网关无法继续提供安全的通讯功能。
安全起见,SSLVPN网关生成保护密钥Kguard(我们将用于加密安全设备机密信息的保护密钥记为Kguard),通过保护密钥Kguard将证书私钥加密,并将加密后的证书私钥存储于SSL VPN网关的存储设备上如:Flash中。另外将Kguard存储在智能卡上。应用时,只有插入智能卡,用户输入正确的用户名和口令,智能卡才正常工作。智能卡正常工作后,SSL VPN网关从智能卡获取Kguard,解密证书私钥,这样就能够提供正常的SSL VPN服务了。设备正常工作后,智能卡可以拔出。
由于Kguard由SSL VPN网关生成的,使用Kguard来加密SSL VPN网关私钥等机密信息,并将Kguard和加密后的私钥重新分别写入到智能卡和SSLVPN网关Flash中。如果在写入智能卡和写入SSL VPN网关Flash过程中被中断,则会导致密钥不匹配的现象。
请参阅图1所示,本发明实施例1提供一种管理SSLVPN网关之类安全设备的存储方法,以解决如果在写入智能卡和写入SSLVPN网关Flash过程中被中断,则会导致密钥不匹配的现象的问题。包括以下步骤:
步骤101:安全设备通过保护密钥Kguard加密安全设备的私钥。
步骤102:根据保护密钥Kguard和安全设备的私钥得到关联智能卡和安全设备的第一计数标识位Num1。具体的:安全设备将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增。这里第一计数标识位Num1初始值可以为0,进而第一计数标识位递增加1后变为1。
步骤103:根据保护密钥Kguard和安全设备的私钥得到关联智能卡和安全设备的第二计数标识位Num2。具体的:安全设备将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增。这里第二计数标识位Num1初始值可以为0,进而第二计数标识位递增加1后变为1。
步骤104:根据第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。具体的:安全设备解密时,比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位大于或者等于第二计数标识位及Num1≥Num2,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。可选的,如果第一计数标识位小于第二计数标识位及及Num1<Num2,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于安全设备第二存储区的加密后的安全设备的私钥。
这里步骤102和步骤103执行的顺序互相调换,并不会实质影线步骤104的发生。本发明实施例通过管理安全设备的存储方法,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可选的:步骤102和\或步骤103中,预设智能卡第一存储区和安全设备第一存储区的位置关联,这里可以也可以理解为智能卡与安全设备通过位置信息产生对应关系,默认在以后安全设备解密时,要通过智能卡上存储的保护密钥Kguard解密安全设备对应位置上存储的私钥。步骤102和\或步骤103中所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增可以理解为第一计数标识位加1。对应的,所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增也可以理解为第二计数标识位加1。这里第一计数标识位和所述第二计数标识位取值范围为0或1。当第一计数标识位或所述第二计数标识位取值为0时,在准备将保护密钥写入智能卡和准备将加密后的安全设备的私钥写入安全设备前,第一计数标识位或所述第二计数标识位加1成为1;当第一计数标识位或所述第二计数标识位取值为1时,在准备将保护密钥写入智能卡和准备将加密后的安全设备的私钥写入安全设备前,第一计数标识位或所述第二计数标识位加1成为0。第一计数标识位和第二计数标识位是对应同步递增,进而在步骤104解密时,如果第一计数标识位大于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。另外,如果第一计数标识位小于第二计数标识位,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于安全设备第二存储区的加密后的安全设备的私钥。
可以理解本实施例中步骤102和步骤103中的存储顺序可以如下:第一计数标识位递增;然后写第一计数标识位关联的保护密钥到智能卡;然后写第一计数标识位关联的加密后的安全设备的私钥到安全设备;然后第二计数标识位递增;然后写第二计数标识位关联的保护密钥到智能卡;然后写第二计数标识位关联的加密后的安全设备的私钥到安全设备。
可以理解本实施例中第一计数标识位和第二计数标识位是对应同步递减的。本发明实施例2提供具体步骤可以如下述:
步骤101:通过保护密钥加密安全设备的私钥;
步骤102可以如下述:将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减;
步骤103可以为:将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减;
步骤104可以为:解密时,比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位小于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
可以理解步骤103中:预设智能卡第一存储区和安全设备第一存储区的位置关联;所述保护密钥写入智能卡第一存储区前且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减1。所述保护密钥写入智能卡第二存储区前且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减1。解密时,如果第一计数标识位小于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
同样步骤102和步骤103执行的顺序互相调换,并不会实质影响步骤104的发生。本发明实施例通过管理安全设备的存储方法,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
请参阅图2,本发明实施例3提供一种管理安全设备的存储装置300。管理安全设备的存储装置300包括:加密模块310、密码写入模块320、解密模块330。
加密模块310用于通过保护密钥加密安全设备的私钥;
密码写入模块320用于根据保护密钥和加密模块310得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块330用于根据密码写入模块320得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
具体的:加密模块310:用于通过使用SSL协议的VPN安全设备生成保护密钥,根据所述保护密钥加密安全设备的私钥。密码写入模块320与加密模块310连接。密码写入模块320内设具有第一计数标识位Num1的第一组存储区321和具有第二计数标识位Num2的第二组存储区323;所述第一组存储区321存储第一组根据保护密钥加密后的安全设备的私钥,通过第一计数标识位Num1关联存储于智能卡第一存储区的保护密钥和存储于第一组存储区321的加密后的安全设备的私钥,在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递增。所述第二组存储区323存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位Num2关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区323的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323的前,第二计数标识位Num2递增。解密模块330与密码写入模块320连接,解密时,解密模块330用于比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位Num1大于或者等于第二计数标识位Num2,使用第一计数标识位Num1关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区321的加密后的安全设备的私钥。
可选的,解密模块330还用于在第一计数标识位Num1小于第二计数标识位Num2时,使用第二计数标识位Num2关联的存储于智能卡第二存储区的保护密钥解密存储于第二组存储区323的加密后的安全设备的私钥。
可选的,密码写入模块320还用于:在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递增加1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323前,第二计数标识位Num2递增加1。
本发明实施例通过管理安全设备的存储装置根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可以理解本实施例3中一种管理安全设备的存储装置也可以通过计数标识位递减的方式实现保护密钥和安全设备的私钥加解密过程。本发明实施例3中,密码写入模块320在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递减;所述第二组存储区323存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位Num2关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区323的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位Num2递减。解密模块330在解密时,用于比较当前状态下第一计数标识位Num1和第二计数标识位Num2的大小,如果第一计数标识位Num1小于或者等于第二计数标识位Num2,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区321的加密后的安全设备的私钥。
当然,这里密码写入模块320在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区321前,第一计数标识位Num1递减1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区323前,第二计数标识位Num2递减1。
请参阅图4,本发明实施例4揭露了一种管理安全设备的存储系统,包括安全设备400和智能卡500。智能卡500用于存储用于加密安全设备400私钥的保护密钥,包括智能卡第一存储区510和智能卡第二存储区530;
安全设备400用于存储通过智能卡500保护密钥加密后的安全设备400的私钥,包括:加密模块410、密码写入模块420和解密模块430。
其中,加密模块410:用于通过保护密钥加密安全设备的私钥;
密码写入模块420:用于根据保护密钥和加密模块410得到的安全设备400的私钥分别获得关联智能卡500和安全设备400的第一计数标识位和第二计数标识位;
解密模块430:用于根据密码写入模块420得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
具体的,加密模块410:可用于通过使用SSL协议的VPN安全设备400生成保护密钥,根据保护密钥加密安全设备400的私钥。密码写入模块420:与加密模块410连接,密码写入模块420内设具有第一计数标识位的第一组存储区421和具有第二计数标识位的第二组存储区423;所述第一组存储区421存储第一组根据保护密钥加密后的安全设备400的私钥,通过第一计数标识位关联存储于智能卡500第一存储区510的保护密钥和存储于第一组存储区421的加密后的安全设备400的私钥,在保护密钥写入智能卡500第一存储区510前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递增;所述第二组存储区423存储第二组根据保护密钥加密后的安全设备400的私钥,通过第二计数标识位关联存储于智能卡500第二存储区530的保护密钥和存储于第二组存储区423的加密后的安全设备400的私钥,在保护密钥写入智能卡500第二存储区530前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递增。解密模块430与密码写入模块420连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位大于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡500第一存储区510的保护密钥解密存储于第一组存储区421的加密后的安全设备400的私钥。
可选的,密码写入模块420还用于保护密钥写入智能卡500第一存储区510前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递增加1。在保护密钥写入智能卡500第二存储区530前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递增加1。
可选的,解密模块430还用于在第一计数标识位小于第二计数标识位时,使用第二计数标识位关联的存储于智能卡500第二存储区530的保护密钥解密存储于智能卡500第一存储区510的加密后的安全设备400的私钥。
本发明实施例通过管理安全设备的存储系统根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
可以理解本实施例4中一种管理安全设备的存储系统也可以通过计数标识位递减的方式实现保护密钥和安全设备的私钥加解密过程。本发明实施例4中密码写入模块420在保护密钥写入智能卡500第一存储区前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递减。在所述第二组存储区423存储第二组根据保护密钥加密后的安全设备400的私钥,通过第二计数标识位关联存储于智能卡500第二存储区的保护密钥和存储于第二组存储区423的加密后的安全设备400的私钥,在保护密钥写入智能卡500第二存储区前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递减。解密模块430与密码写入模块420连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位小于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡500第一存储区的保护密钥解密存储于第一组存储区421的加密后的安全设备400的私钥。
可选的,密码写入模块420还用于在保护密钥写入智能卡500第一存储区前且加密后的安全设备400的私钥写入第一组存储区421前,第一计数标识位递减1;在保护密钥写入智能卡500第二存储区前且加密后的安全设备400的私钥写入第二组存储区423前,第二计数标识位递减1。
同样,本发明实施例通过管理安全设备的存储系统根据计数标识位的比较判断决定保护密钥和安全设备的私钥加解密过程,减少了由于安全设备偶然故障带来保护密钥无法正常写入智能卡,进而智能卡已存的保护密钥无法正常解密安全设备私钥,导致设备无法正常工作的问题发生的几率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
Claims (13)
1、一种管理安全设备的存储方法,其特征在于,包括以下步骤:
通过保护密钥加密安全设备的私钥;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第一计数标识位;
根据保护密钥和所述安全设备的私钥得到关联智能卡和安全设备的第二计数标识位;
根据第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
2、根据权利要求1所述的管理安全设备的存储方法,其特征在于,具体包括以下步骤:
通过保护密钥加密安全设备的私钥;
将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前,且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增;
将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前,且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增;
解密时,比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位大于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
3、根据权利要求2所述的管理安全设备的存储方法,其特征在于,还包括以下步骤:
预设智能卡第一存储区和安全设备第一存储区的位置关联;所述保护密钥写入智能卡第一存储区前,且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递增加1;所述保护密钥写入智能卡第二存储区前,且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递增加1;所述第一计数标识位和所述第二计数标识位取值范围为0或1;
解密时,如果第一计数标识位大于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
4、根据权利要求2所述的管理安全设备的存储方法,其特征在于,如果第一计数标识位小于第二计数标识位,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于安全设备第二存储区的加密后的安全设备的私钥。
5、根据权利要求1所述的管理安全设备的存储方法,其特征在于,具体包括以下步骤:
通过保护密钥加密安全设备的私钥;
将所述保护密钥写入智能卡第一存储区,将加密后的安全设备的私钥写入安全设备的第一存储区,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于安全设备第一存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第一存储区前,且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减;
将所述保护密钥写入智能卡第二存储区,将加密后的安全设备的私钥写入安全设备的第二存储区,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于安全设备第二存储区的加密后的安全设备的私钥;在所述保护密钥写入智能卡第二存储区前,且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减;
解密时,比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位小于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
6、根据权利要求5所述的管理安全设备的存储方法,其特征在于,还包括以下步骤:
预设智能卡第一存储区和安全设备第一存储区的位置关联;所述保护密钥写入智能卡第一存储区前,且所述加密后的安全设备的私钥写入安全设备的第一存储区前,第一计数标识位递减1;所述保护密钥写入智能卡第二存储区前,且所述加密后的安全设备的私钥写入安全设备的第二存储区前,第二计数标识位递减1;所述第一计数标识位和所述第二计数标识位取值范围为0或1;
解密时,如果第一计数标识位小于或者等于第二计数标识位,使用智能卡第一存储区的保护密钥解密存储于安全设备第一存储区的加密后的安全设备的私钥。
7、一种管理安全设备的存储装置,其特征在于:包括
加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
8、根据权利要求7所述的管理安全设备的存储装置,其特征在于,
密码写入模块:与加密模块连接,密码写入模块内设具有第一计数标识位的第一组存储区和具有第二计数标识位的第二组存储区;所述第一组存储区存储第一组根据保护密钥加密后的安全设备的私钥,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于第一组存储区的加密后的安全设备的私钥,在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区前,第一计数标识位递增;所述第二组存储区存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位递增;
解密模块:与密码写入模块连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位大于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区的加密后的安全设备的私钥。
9、根据权利要求8所述的管理安全设备的存储装置,其特征在于,解密模块还用于在第一计数标识位小于第二计数标识位时,使用第二计数标识位关联的存储于智能卡第二存储区的保护密钥解密存储于第二组存储区的加密后的安全设备的私钥。
10、根据权利要求8所述的管理安全设备的存储装置,其特征在于,密码写入模块还用于:在保护密钥写入智能卡第一存储区且加密后的安全设备的私钥写入第一组存储区的前,第一计数标识位递增加1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位递增加1,所述第一计数标识位和所述第二计数标识位取值范围为0或1。
11、一种管理安全设备的存储系统,包括安全设备和智能卡,其特征在于:
智能卡用于存储用于加密安全设备私钥的保护密钥,包括智能卡第一存储区和智能卡第二存储区;
安全设备用于存储通过智能卡保护密钥加密后的安全设备的私钥,包括:加密模块、密码写入模块和解密模块;
其中,加密模块:用于通过保护密钥加密安全设备的私钥;
密码写入模块:用于根据保护密钥和加密模块得到的安全设备的私钥分别获得关联智能卡和安全设备的第一计数标识位和第二计数标识位;
解密模块:用于根据密码写入模块得到的第一计数标识位和第二标识位确定使用第一计数标识位关联的智能卡和安全设备进行安全设备加解密或者使用第二标识位关联的智能卡和安全设备进行安全设备加解密。
12、根据权利要求11所述的管理安全设备的存储系统,其特征在于:
密码写入模块:与加密模块连接,密码写入模块内设具有第一计数标识位的第一组存储区和具有第二计数标识位的第二组存储区;所述第一组存储区存储第一组根据保护密钥加密后的安全设备的私钥,通过第一计数标识位关联存储于智能卡第一存储区的保护密钥和存储于第一组存储区的加密后的安全设备的私钥,在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区前,第一计数标识位递增;所述第二组存储区存储第二组根据保护密钥加密后的安全设备的私钥,通过第二计数标识位关联存储于智能卡第二存储区的保护密钥和存储于第二组存储区的加密后的安全设备的私钥,在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位递增;
解密模块:与密码写入模块连接,解密时,用于比较当前状态下第一计数标识位和第二计数标识位的大小,如果第一计数标识位大于或者等于第二计数标识位,使用第一计数标识位关联的存储于智能卡第一存储区的保护密钥解密存储于第一组存储区的加密后的安全设备的私钥。
13、根据权利要求12所述的管理安全设备的存储系统,其特征在于,密码写入模块还用于:在保护密钥写入智能卡第一存储区前且加密后的安全设备的私钥写入第一组存储区前,第一计数标识位递增加1;在保护密钥写入智能卡第二存储区前且加密后的安全设备的私钥写入第二组存储区前,第二计数标识位递增加1,所述第一计数标识位和所述第二计数标识位取值范围为0或1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102422144A CN101478538B (zh) | 2008-12-31 | 2008-12-31 | 管理安全设备的存储方法、装置或系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102422144A CN101478538B (zh) | 2008-12-31 | 2008-12-31 | 管理安全设备的存储方法、装置或系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478538A true CN101478538A (zh) | 2009-07-08 |
| CN101478538B CN101478538B (zh) | 2012-06-06 |
Family
ID=40839170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102422144A Expired - Fee Related CN101478538B (zh) | 2008-12-31 | 2008-12-31 | 管理安全设备的存储方法、装置或系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101478538B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103370113A (zh) * | 2012-12-12 | 2013-10-23 | 华为技术有限公司 | 数据存储方法及系统 |
| US9418027B2 (en) | 2011-07-18 | 2016-08-16 | Hewlett Packard Enterprise Development Lp | Secure boot information with validation control data specifying a validation technique |
| CN109039609A (zh) * | 2018-08-24 | 2018-12-18 | 深圳美图创新科技有限公司 | 密钥导入终端的方法及终端 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1365214A (zh) * | 2001-01-09 | 2002-08-21 | 深圳市中兴集成电路设计有限责任公司 | 一种基于公开密钥体制的密钥管理方法 |
| CN1710955A (zh) * | 2004-06-18 | 2005-12-21 | 罗姆股份有限公司 | 设备密钥保护方法、加密及解密装置、视频发送及接收装置 |
| CN101110831B (zh) * | 2007-08-24 | 2010-12-01 | 中兴通讯股份有限公司 | 一种数字密钥保护方法 |
-
2008
- 2008-12-31 CN CN2008102422144A patent/CN101478538B/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9418027B2 (en) | 2011-07-18 | 2016-08-16 | Hewlett Packard Enterprise Development Lp | Secure boot information with validation control data specifying a validation technique |
| CN103370113A (zh) * | 2012-12-12 | 2013-10-23 | 华为技术有限公司 | 数据存储方法及系统 |
| CN103370113B (zh) * | 2012-12-12 | 2016-03-09 | 华为技术有限公司 | 数据存储方法及系统 |
| CN109039609A (zh) * | 2018-08-24 | 2018-12-18 | 深圳美图创新科技有限公司 | 密钥导入终端的方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101478538B (zh) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100487715C (zh) | 一种数据安全存储系统和装置及方法 | |
| US10454674B1 (en) | System, method, and device of authenticated encryption of messages | |
| WO2021164166A1 (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
| EP2267628A2 (en) | Token passing technique for media playback devices | |
| US9143317B2 (en) | Protecting against white box attacks using column rotation | |
| CN101465727B (zh) | 一种保证通信安全的方法、网络设备、装置和通信系统 | |
| US10250387B1 (en) | Quantum computer resistant algorithm cryptographic key generation, storage, and transfer device | |
| JP2009103774A (ja) | 秘密分散システム | |
| CN112560058B (zh) | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 | |
| CN110996319B (zh) | 一种对软件服务做激活授权管理的系统及方法 | |
| US10027639B2 (en) | IC chip performing access control based on encrypted ID | |
| CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN108537537A (zh) | 一种安全可信的数字货币钱包系统 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| CN104868998A (zh) | 一种向电子设备供应加密数据的系统、设备和方法 | |
| US9571273B2 (en) | Method and system for the accelerated decryption of cryptographically protected user data units | |
| US20140108818A1 (en) | Method of encrypting and decrypting session state information | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| CN101478538B (zh) | 管理安全设备的存储方法、装置或系统 | |
| CN105701390A (zh) | 加密终端远程管理的方法、加密终端及管理器 | |
| CN103164661A (zh) | 用于对终端中的数据进行管理的装置及方法 | |
| CN110932853B (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 | |
| CN102270182B (zh) | 基于同步用户和主机认证的加密可移动存储设备 | |
| CN106953917A (zh) | 数据同步方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120606 Termination date: 20161231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |