CN103916363A - 加密机的通讯安全管理方法和系统 - Google Patents

加密机的通讯安全管理方法和系统 Download PDF

Info

Publication number
CN103916363A
CN103916363A CN201210592240.6A CN201210592240A CN103916363A CN 103916363 A CN103916363 A CN 103916363A CN 201210592240 A CN201210592240 A CN 201210592240A CN 103916363 A CN103916363 A CN 103916363A
Authority
CN
China
Prior art keywords
encryption equipment
administrator account
password
random
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201210592240.6A
Other languages
English (en)
Other versions
CN103916363B (zh
Inventor
邵波
郭宝安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN201210592240.6A priority Critical patent/CN103916363B/zh
Publication of CN103916363A publication Critical patent/CN103916363A/zh
Application granted granted Critical
Publication of CN103916363B publication Critical patent/CN103916363B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明实施例提供了一种加密机的通讯安全管理方法和系统。该方法主要包括网络客户端接收到加密机发送的带有随机数的数据包后,利用管理员帐号的口令加密随机数,将管理员帐号的标识和加密后的随机数发送到加密机;加密机根据管理员帐号的标识获取预先存储的管理员帐号的口令,利用管理员帐号的口令对加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定所述网络客户端和加密机之间的连接安全。本发明实施例,保证了加密机和网络客户端之间的网络通讯传输安全性,保证了加密机体系的安全,为加密机进行后续的用户证书导入等处理提供了安全保证。

Description

加密机的通讯安全管理方法和系统
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种加密机的通讯安全管理方法和系统。
背景技术
[0002] PKI (Public Key Infrastructure,公钥基础设施)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。加密机是基于PKI体系的高性能加密设备,能提供高速数据加密/解密、数字签名/验证、密钥管理、身份认证等密码服务。
[0003]目前,大部分加密机的功能是通过串口在本地生成加密机密钥,或者假定假设前提就是所使用的网络是局域网或者专用网,调用专用的API (Application ProgrammingInterface,应用程序编程接口)来进行非对称加解密密钥操作,但现实中往往由于内部网络的问题造成很多的安全隐患。因此,需要一种有效的加密机的安全管理机制。
发明内容
[0004] 本发明的实施例提供了一种加密机的通讯安全管理方法和系统,以保证加密机的网络通信安全。
[0005] 一种加密机的通讯安全管理方法,包括:
[0006] 网络客户端和加密机建立连接,所述加密机发送带有随机数的数据包给所述网络客户端;
[0007] 所述网络客户端接收到所述带有随机数的数据包后,利用所述管理员帐号的口令加密所述随机数,将所述管理员帐号的标识和加密后的随机数发送到所述加密机;
[0008] 所述加密机收到网络客户端传来的管理员帐号的标识和加密后的随机数后,根据所述管理员帐号的标识获取预先存储的所述管理员帐号的口令,利用所述管理员帐号的口令对所述加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定所述网络客户端和加密机之间的连接安全;否则,确定所述网络客户端和加密机之间的连接不安全。
[0009] 由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过双因子的方法实现了加密机和网络客户端之间的通信认证,保证了加密机和网络客户端之间的网络通讯传输安全性,保证了加密机体系的安全,为加密机进行后续的用户证书导入等处理提供了安全保证。
附图说明
[0010] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。[0011] 图1为本发明实施例一提供的一种加密机的通讯安全管理方法的处理流程示意图;
[0012] 图2为本发明实施例二提供的一种加密机的通讯安全管理系统的结构示意图。具体实施方式
[0013] 为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0014] 实施例一
[0015] 该实施例提供的一种加密机的通讯安全管理方法的处理流程示意图如图1所示,包括如下的处理步骤:
[0016] 步骤11、加密机在初始化后,通过串口连接生成多个管理员帐号。
[0017] 本发明实施例中的加密机是一个加密机服务器,是基于PKI体系的高性能税控专用加密设备,能为新一代防伪税控系统提供高速数据加密/解密、数字签名/验证、密钥管理、身份认证等密码服务。
[0018] 加密机最初进行初始化后,通过串口连接生成多个管理员帐号,每个管理员帐号对应一个口令,在加密机存储区中存储各个管理员帐号和口令。上述多个管理员帐号可以包括一个超级管理员帐号和至少3个普通管理员帐号。在加密机中需要通过网络导入一些CA (certificate authority,认证中心)证书、用户证书等,并通过CRL (CertificateRevocation List,证书作废表)来建立PKI证书体系。为了保证加密机网络通讯的安全性,需要进行网络连接身份验证,保证网络通讯的安全。
[0019] 步骤12、在本发明实施例中,通过串口登录3个以上的管理员账号或者登录超级管理员账号,加密机才能为客户端提供服务。
[0020] 加密机上插入代表已经登录的管理员或者超级管理员身份的IC (IntegrateCircuit,集成电路)卡,加密机内部已经有服务等待客户端连接。
[0021] 步骤13、在网络客户端的软件界面上选择所插入IC卡对应的管理员帐号或者超级管理员帐号的ID (标识)选项,并输入所选择的管理员帐号的口令。
[0022] 在口令验证通过后,网络客户端和加密机建立网络连接。
[0023] 步骤14、加密机发送携带随机数的数据包给连接的网络客户端。在实际应用中,上述数据包中还可以携带时间戳,该时间戳主要起防止抓获数据包重放攻击的作用,到一定能够时间,数据包就失效了,也是一种安全的机制。有时间戳
[0024] 步骤15、网络客户端接收到上述带有随机数的数据包后,利用输入的管理员帐号的口令加密上述随机数。
[0025] 然后,网络客户端将所选择的管理员帐号的ID和加密后的随机数发送到加密机。
[0026] 步骤16、加密机收到网络客户端传来的管理员帐号的ID和加密后的随机数后,首先取出管理员帐号的ID,然后从加密机存储区取出该管理员帐号的ID对应的管理员帐号的口令。
[0027] 加密机利用上述管理员帐号的口令对加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定上述网络客户端和加密机之间的连接安全;否则,确定上述网络客户端和加密机之间的连接不安全,断开上述网络客户端和加密机之间的连接。
[0028] 通过上述过程,就实现了加密机和网络客户端之间的认证,保证了加密机网络连接安全性,后续通过网络客户端软件,可以将CA根证书,CRL文件以及代表usbkey的用户证书安全的导入到加密机中。
[0029] 实施例二
[0030] 该实施例提供的一种加密机的通讯安全管理系统的结构示意图如图2所示,包括如下的模块:
[0031] 网络客户端21,用于和加密机建立连接,接收到加密机发送的随机数后,利用所述管理员帐号的口令加密所述随机数,将所述管理员帐号的标识和加密后的随机数发送到所述加密机;
[0032] 加密机22,用于发送带有时间戳的随机数给所述网络客户端;接收到网络客户端传来的管理员帐号的标识和加密后的随机数后,根据所述管理员帐号的标识获取预先存储的所述管理员帐号的口令,利用所述管理员帐号的口令对所述加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定所述网络客户端和加密机之间的连接安全;否则,确定所述网络客户端和加密机之间的连接不安全。
[0033] 具体的,所述的加密机22,还用于在进行初始化后,通过串口连接生成多个管理员帐号,每个管理员帐号对应一个口令,在加密机存储区中存储各个管理员的帐号和口令,所述多个管理员帐号包括一个超级管理员帐号和至少3个普通管理员帐号。
[0034] 具体的,所述的网络客户端21,还用于在至少3个所述普通管理员帐号或者所述超级管理员帐号登录加密机后,在网络客户端的软件界面上选择已经在加密机上登录的某个管理员帐号,并输入所述某个管理员帐号的口令,在口令验证通过后,和所述加密机建立连接。
[0035] 本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0036] 本领域普通技术人员可以理解:实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中,也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0037] 用本发明实施例的系统加密机的通讯安全管理的具体过程与前述方法实施例类似,此处不再赘述。
[0038] 综上所述,本发明实施例通过双因子的方法实现了加密机和网络客户端之间的通信认证,保证了加密机和网络客户端之间的网络通讯传输安全性,保证了加密机体系的安全,为加密机进行后续的用户证书导入等处理提供了安全保证。
[0039] 本发明实施例通过只有在多个管理员帐号或者超级管理员帐号登录的情况下,力口密机才能给用户提供服务的机制,进一步保证了加密机体系的安全。
[0040] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种加密机的通讯安全管理方法,其特征在于,包括: 网络客户端和加密机建立连接,所述加密机发送带有随机数的数据包给所述网络客户端; 所述网络客户端接收到所述带有随机数的数据包后,利用所述管理员帐号的口令加密所述随机数,将所述管理员帐号的标识和加密后的随机数发送到所述加密机; 所述加密机收到网络客户端传来的管理员帐号的标识和加密后的随机数后,根据所述管理员帐号的标识获取预先存储的所述管理员帐号的口令,利用所述管理员帐号的口令对所述加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定所述网络客户端和加密机之间的连接安全;否则,确定所述网络客户端和加密机之间的连接不安全。
2.根据权利要求1所述的加密机的通讯安全管理方法,其特征在于,所述的方法还包括: 加密机最初进行初始化后,通过串口连接生成多个管理员帐号,每个管理员帐号对应一个口令,在加密机存储区中存储各个管理员的帐号和口令,所述多个管理员帐号包括一个超级管理员帐号和至少3个普通管理员帐号。
3.根据权利要求2所述的加密机的通讯安全管理方法,其特征在于,所述的网络客户端和加密机建立连接,包括: 在至少3个所述普通管理员帐号或者所述超级管理员帐号登录加密机后,在网络客户端的软件界面上选择已经在加密机上登录的某个管理员帐号,并输入所述某个管理员帐号的口令,在口令验证通过后,所述网络客户端和所述加密机建立连接。
4.根据权利要求1所述的加密机的通讯安全管理方法,其特征在于,所述的数据包中还携带时间戳。
5.一种加密机的通讯安全管理系统,其特征在于,包括: 网络客户端,用于和加密机建立连接,接收到加密机发送的带有随机数的数据包后,利用所述管理员帐号的口令加密所述随机数,将所述管理员帐号的标识和加密后的随机数发送到所述加密机; 加密机,用于发送带有随机数的数据包给所述网络客户端;接收到网络客户端传来的管理员帐号的标识和加密后的随机数后,根据所述管理员帐号的标识获取预先存储的所述管理员帐号的口令,利用所述管理员帐号的口令对所述加密后的随机数进行解密,将解密结果和发送的随机数进行对比,如果比较结果为一致,则确定所述网络客户端和加密机之间的连接安全;否则,确定所述网络客户端和加密机之间的连接不安全。
6.根据权利要求5所述的加密机的通讯安全管理系统,其特征在于: 所述的加密机,还用于在进行初始化后,通过串口连接生成多个管理员帐号,每个管理员帐号对应一个口令,在加密机存储区中存储各个管理员的帐号和口令,所述多个管理员帐号包括一个超级管理员帐号和至少3个普通管理员帐号。
7.根据权利要求6所述的加密机的通讯安全管理系统,其特征在于: 所述的网络客户端,还用于在至少3个所述普通管理员帐号或者所述超级管理员帐号登录加密机后,在网络客户端的软件界面上选择已经在加密机上登录的某个管理员帐号,并输入所述某个管理员帐号的口令,在口令验证通过后,和所述加密机建立连接。
CN201210592240.6A 2012-12-30 2012-12-30 加密机的通讯安全管理方法和系统 Active CN103916363B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210592240.6A CN103916363B (zh) 2012-12-30 2012-12-30 加密机的通讯安全管理方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210592240.6A CN103916363B (zh) 2012-12-30 2012-12-30 加密机的通讯安全管理方法和系统

Publications (2)

Publication Number Publication Date
CN103916363A true CN103916363A (zh) 2014-07-09
CN103916363B CN103916363B (zh) 2018-04-27

Family

ID=51041770

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210592240.6A Active CN103916363B (zh) 2012-12-30 2012-12-30 加密机的通讯安全管理方法和系统

Country Status (1)

Country Link
CN (1) CN103916363B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104079414A (zh) * 2014-07-18 2014-10-01 成都卫士通信息产业股份有限公司 一种带有身份鉴别机制的加密机认证方法及装置
CN106230587A (zh) * 2016-08-05 2016-12-14 浪潮软件股份有限公司 一种长连接防重放攻击的方法
CN106778251A (zh) * 2015-11-20 2017-05-31 北京计算机技术及应用研究所 防止重放攻击的口令鉴别方法
CN106850597A (zh) * 2017-01-18 2017-06-13 北京云知科技有限公司 一种分布式加密方法及系统
CN107070648A (zh) * 2017-03-01 2017-08-18 北京信安世纪科技有限公司 一种密钥保护方法及pki系统
CN107733658A (zh) * 2017-10-26 2018-02-23 湖南国科微电子股份有限公司 一种pin码设置方法、认证方法及存储设备
CN108848107A (zh) * 2018-07-04 2018-11-20 成都立鑫新技术科技有限公司 一种安全传输网络信息的方法
CN109218293A (zh) * 2018-08-21 2019-01-15 西安得安信息技术有限公司 一种分布式密码服务平台密钥管理的使用方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075874A (zh) * 2007-06-28 2007-11-21 腾讯科技(深圳)有限公司 认证方法和认证系统
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
WO2012053885A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method for creating and verifying digital signature in a server

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075874A (zh) * 2007-06-28 2007-11-21 腾讯科技(深圳)有限公司 认证方法和认证系统
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
WO2012053885A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method for creating and verifying digital signature in a server

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104079414A (zh) * 2014-07-18 2014-10-01 成都卫士通信息产业股份有限公司 一种带有身份鉴别机制的加密机认证方法及装置
CN106778251A (zh) * 2015-11-20 2017-05-31 北京计算机技术及应用研究所 防止重放攻击的口令鉴别方法
CN106230587A (zh) * 2016-08-05 2016-12-14 浪潮软件股份有限公司 一种长连接防重放攻击的方法
CN106850597A (zh) * 2017-01-18 2017-06-13 北京云知科技有限公司 一种分布式加密方法及系统
CN107070648A (zh) * 2017-03-01 2017-08-18 北京信安世纪科技有限公司 一种密钥保护方法及pki系统
CN107733658A (zh) * 2017-10-26 2018-02-23 湖南国科微电子股份有限公司 一种pin码设置方法、认证方法及存储设备
CN108848107A (zh) * 2018-07-04 2018-11-20 成都立鑫新技术科技有限公司 一种安全传输网络信息的方法
CN109218293A (zh) * 2018-08-21 2019-01-15 西安得安信息技术有限公司 一种分布式密码服务平台密钥管理的使用方法
CN109218293B (zh) * 2018-08-21 2021-09-21 西安得安信息技术有限公司 一种分布式密码服务平台密钥管理的使用方法

Also Published As

Publication number Publication date
CN103916363B (zh) 2018-04-27

Similar Documents

Publication Publication Date Title
CN103916363A (zh) 加密机的通讯安全管理方法和系统
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
EP3286867B1 (en) Method, apparatus, and system for cloud-based encryption machine key injection
CN101605137B (zh) 安全分布式文件系统
EP2991267A1 (en) Apparatus for providing puf-based hardware otp and method for authenticating 2-factor using same
CN101483654A (zh) 实现认证及数据安全传输的方法及系统
CN105162797A (zh) 一种基于视频监控系统的双向认证方法
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
CN101115060B (zh) 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法
CN105656862A (zh) 认证方法及装置
CN105142134A (zh) 参数获取以及参数传输方法和装置
CN102739403A (zh) 动态令牌的身份认证方法及装置
CN103051459B (zh) 安全卡的交易密钥的管理方法和装置
CN106789845A (zh) 一种网络数据安全传输的方法
CN102025503A (zh) 一种集群环境下数据安全实现方法和一种高安全性的集群
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN105516210A (zh) 终端安全接入认证的系统及方法
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和系统
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN103312671B (zh) 校验服务器的方法和系统
CN104915689B (zh) 一种智能卡信息处理方法
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN104486322A (zh) 终端接入认证授权方法及终端接入认证授权系统
CN202918498U (zh) 一种sim卡卡套、移动终端及数字签名认证系统
KR101680536B1 (ko) 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant