CN112367347B - 加密设备访问方法、装置和计算机可读存储介质 - Google Patents
加密设备访问方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN112367347B CN112367347B CN202010989753.5A CN202010989753A CN112367347B CN 112367347 B CN112367347 B CN 112367347B CN 202010989753 A CN202010989753 A CN 202010989753A CN 112367347 B CN112367347 B CN 112367347B
- Authority
- CN
- China
- Prior art keywords
- middleware
- session connection
- channel number
- encryption
- encryption equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种加密设备访问方法、装置和介质,属于信息安全领域。该方法包括:适配中间件接收中间件发送的第一加密设备访问请求,第一加密设备访问请求中包括会话连接值;获取会话连接值对应的通道号,通道号用于标识适配中间件与加密设备之间的连接通道,会话连接值是基于中间件的标识和通道号生成的;若获取到会话连接值对应的通道号,则将第二加密设备访问请求发送给通道号对应的加密设备,第二加密设备访问请求中包括通道号和所述会话连接值。即使中间件非法获取到会话连接值,也由于无法提供通道号不能与加密设备建立连接,提高了加密设备的安全性。
Description
技术领域
本公开涉及信息安全领域,特别涉及一种加密设备访问方法、装置和计算机可读存储介质。
背景技术
随着网络技术的发展,人们对网络的依赖性越来越严重,网络安全也就成为当今网络社会的焦点。网络加密为网络中数据传输提供了安全保证,网络加密是通过加密设备对网络传输中的各种原始的数据信息(即明文)按照某种特定的加密算法变换成与明文完全不同的数据信息,实现网络中相互安全传递的技术。
加密设备在使用过程中,密码服务中间件通过加密设备支持的标准应用程序接口(Application Programming Interface,API)与加密设备建立会话连接,密码服务中间件通过标准API中建立会话连接的接口函数从加密设备中获取一个随机数作为会话值,将会话值作为输入参数获取加密设备的密码服务和明文信息,明文信息是指加密设备的身份信息、生产厂家信息等非加密信息。
在实现本公开的过程中,发明人发现相关技术至少存在以下问题:任何密码服务中间件只要支持加密设备的API,就可以从该加密设备中获取密码服务和明文信息,从而影响加密设备的安全性。
发明内容
本公开实施例提供了一种加密设备访问方法、装置和计算机设备,能够避免任何密码服务中间件都能直接访问加密设备,安全性较低的问题。所述技术方案如下:
一方面,本公开实施例提供了一种加密设备访问方法,所述方法包括:
适配中间件接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值;
获取所述会话连接值对应的通道号,所述通道号用于标识所述适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的;
若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
可选地,所述方法还包括:
接收加密设备申请请求,所述加密设备申请请求包括所述中间件的标识;
根据所述中间件的标识,为所述中间件确定加密设备;
与所述加密设备建立连接通道,并保存所述连接通道的通道号;
向所述中间件返回第一响应消息,所述第一响应消息用于指示加密设备申请成功。
可选地,在接收中间件发送的第一加密设备访问请求之前,所述方法还包括:
响应于所述中间件发送的加密设备申请请求,与所述加密设备建立连接通道,并保存所述连接通道的通道号;
响应于所述中间件发送的密码服务申请请求,基于所述连接通道与所述加密设备建立会话连接,并向所述中间件返回所述会话连接值。
可选地,所述加密设备申请请求包括所述中间件的标识;在接收到所述加密设备申请请求之后,且在与所述加密设备建立连接通道之前,所述方法还包括:
在白名单中查找所述中间件的标识,所述白名单中包括已注册中间件的标识;
若在所述白名单中查找到所述中间件的标识,则根据中间件的标识获取所述中间件的配置信息;
确定与所述中间件的配置信息匹配的加密设备。
可选地,所述方法还包括:
响应于第一注册请求,为所述中间件分配标识,所述第一注册请求是所述中间件发送的;获取所述中间件的配置信息;将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中;
或者,所述方法还包括:响应于第二注册请求,对中间件的身份进行认证,所述第二注册请求是所述中间件发送的;若所述认证结果为所述中间件的身份通过认证,则为所述中间件分配标识;获取所述中间件的配置信息;将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中。
可选地,所述响应于第二注册请求,对中间件的身份进行认证,包括:响应于所述第二注册请求,为所述中间件分配临时标识;根据所述临时标识和所述配置信息为所述中间件分配虚拟加密设备;通过标准测试接口调用所述虚拟加密设备,以获得所述标准测试接口的返回值;基于所述返回值和所述虚拟加密设备产生的测试数据中的输出值生成所述认证结果。
示例性地,所述会话连接值是对所述中间件的标识、所述通道号和随机数进行摘要算法得到的。
另一方面,本公开实施例提供了一种加密设备访问装置,包括:
接收模块,用于接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值;
获取模块,用于获取所述会话连接值对应的通道号,所述通道号用于标识所述适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的;
发送模块,用于若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
可选地,所述装置还包括:
连接通道建立模块,用于响应于所述中间件发送的加密设备申请请求,与所述加密设备建立连接通道;
保存模块,用于保存所述连接通道的通道号;
会话连接建立模块,用于响应于所述中间件发送的密码服务申请请求,基于所述连接通道与所述加密设备建立会话连接,并向所述中间件返回所述会话连接值。
另一方面,本公开实施例提供了一种加密设备访问装置,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器存储有计算机指令,处理器通过执行计算机指令,从而执行如上述实施例中的加密设备访问方法。
另一方面,本公开实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如上述实施例中的加密设备访问方法。
本公开实施例提供的技术方案至少包括以下的有益效果是:在收到第一加密设备访问请求之后,首先获取第一加密设备访问请求中的会话连接值,并获取会话连接值对应的通道号,将会话连接值和对应的通道号一起携带在第二加密设备访问请求中发送给加密设备,以请求加密设备提供的密码服务。也就是说,只有同时获得会话连接值和通道号,才能成功访问加密设备,这样,即使有中间件非法获取到会话连接值,也由于无法提供通道号不能与加密设备建立会话连接,从而避免了任何密码服务中间件都能直接访问加密设备导致密码信息泄漏的问题,提高加密设备的安全性。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例的应用场景图;
图2是本公开实施例提供的加密设备访问方法的流程示意图;
图3是本公开实施例提供的加密设备访问方法的流程示意图;
图4是本公开实施例提供的另一中间件注册过程的流程示意图;
图5是本公开实施例提供的加密设备访问装置的结构示意图;
图6是本公开实施例提供的加密设备访问装置的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合附图对本公开实施方式作进一步地详细描述。
图1显示了本公开实施例的应用场景。如图1所示,本公开实施例适用于连接有加密设备12的计算机设备11。示例性地,计算机设备包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。加密设备12可以通过外设物理接口与计算机设备11连接。外设物理接口包括但不限于串行通信接口、通用串行总线(Universal Serial Bus,简称USB)接口或者高速串行计算机扩展总线(peripheral component interconnect express,简称PCIE)接口。
该计算机设备11中安装有需要使用密码服务的中间件(下文中将简称为中间件)和用于管理需要使用密码服务的中间件的应用程序,下文中将该应用程序简称为适配中间件。
图2是本公开一实施例提供的加密设备访问方法的流程示意图,如图2所示,该加密设备访问方法执行主体可以为计算机设备中的用于管理需要使用密码服务的中间件的应用程序,该方法包括以下步骤:
步骤S201:适配中间件接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值。
步骤S202:获取所述会话连接值对应的通道号,所述通道号用于标识所述适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的。
步骤S203:若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
本公开实施例通过在收到第一加密设备访问请求之后,首先获取第一加密设备访问请求中的会话连接值,并获取会话连接值对应的通道号,将会话连接值和对应的通道号一起携带在第二加密设备访问请求中发送给加密设备,以请求加密设备提供的密码服务。也就是说,只有同时获得会话连接值和通道号,才能成功访问加密设备,这样,即使有中间件非法获取到会话连接值,也由于无法提供通道号不能与加密设备建立会话连接,从而避免了任何密码服务中间件都能直接访问加密设备导致密码信息泄漏的问题,提高加密设备的安全性。
图3是本公开另一实施例提供的加密设备访问方法的流程示意图,如图3所示,该加密设备访问方法执行主体可以为计算机设备,该方法包括以下步骤:
步骤S301:中间件发送第一注册请求给适配中间件。
在中间件安装到计算机设备之后,需要先进行注册,注册完成后才能使用密码服务。
示例性地,有一部分中间件是由上级单位或者任务需求进行授权安装,这部分的中间件在安装后就具有访问加密设备的权限,在管理人员安装这部分中间件后,中间件生成第一注册请求后将第一注册请求发送给适配中间件。
相应地,适配中间件接收该第一注册请求。
步骤S302:适配中间件响应于第一注册请求,为中间件分配标识。
在本公开实施例中,中间件的标识可以是指适配中间件分配给中间件的功能号,功能号是指中间件的身份标识号码。
适配中间件可以根据中间件的功能号确定中间件的版本信息、支持的密码体制代码号以及支持的API接口标准代码号,再根据版本信息、支持的密码体制代码号以及支持的API接口标准代码从加密设备列表中确定该中间件支持的加密设备,该加密设备即为中间件待访问的加密设备,加密设备列表可以是预先配置的,该加密设备列表包括计算级设备能够使用的所有加密设备。
示例性地,中间件的功能号是适配中间件在该中间件注册成功后分配的,注册成功表示适配中间件确定该中间件具有访问加密设备的权限。该功能号的取值范围可以为0x100000~0x7fffffff,例如,在其他实施例中,适配中间件确定该中间件具有访问加密设备的权限,将0x101000作为功能号分配给该中间件。
步骤S303:适配中间件获取中间件的配置信息。
在本公开实施例中,在适配中间件分配标识给中间件后,获取该中间件的配置信息,该配置信息包括中间件的版本信息、支持的密码体制代码号、支持的API接口标准代码号以及安装路径等信息。
示例性地,配置信息记录在中间件的配置文件中,该中间件的配置文件是管理人员安装完新的中间件后生成的,中间件的配置文件统一保存在该计算机设备的系统目录下,适配中间件可以从该中间件的配置文件中获取该中间件的配置信息。
步骤S304:适配中间件将中间件的标识和中间件的配置信息对应保存在白名单中。
在本公开实施例中,适配中间件将中间件的标识和配置信息对应保存在白名单,该白名单中包括所有已注册中间件的标识。
步骤S305:中间件向适配中间件发送加密设备申请请求。
该加密设备申请请求中包括该中间件的标识。
相应地,适配中间件接收该加密设备申请请求。
步骤S306:适配中间件确定该加密设备申请请求中的中间件的标识是否存在于白名单中。若中间件的标识存在于白名单中,则执行步骤307;若中间件的标识不存在于白名单中,则执行步骤311b,然后退出当前流程。
白名单中包括已注册中间件的标识。例如,适配中间件在白名单中查找所述中间件的标识。
步骤S307:适配中间件根据中间件的标识获取中间件的配置信息。
例如,从白名单中获取中间件的配置信息。
步骤S308:适配中间件确定与中间件的配置信息匹配的加密设备。
在本公开实施例中,适配中间件根据配置信息中的中间件的版本信息、支持的密码体制代码号和支持的API接口标准代码号确定匹配的加密设备,匹配的加密设备是指该加密设备支持该中间件的版本、密码体制以及API接口。
步骤S309:适配中间件与加密设备建立连接通道,连接通道具有通道号。
示例性地,适配中间件通过打开设备函数(handle=opendevice())打开加密设备,即建立连接通道。
步骤S310:适配中间件和加密设备分别保存通道号。
在本公开实施例中,适配中间件与中间件待访问的加密设备建立本次连接通道,适配中间件将本次协商的连接通道的通道号储存在自身的存储设备中并发送给加密设备,加密设备也对应将通道号存储在自身的设备中。
步骤S311a:适配中间件向中间件返回第一响应消息。
该第一响应消息用于指示加密设备申请成功。
步骤S311b:适配中间件向中间件返回第二响应消息。
该第二响应消息用于指示加密设备申请失败。
步骤S312:中间件向适配中间件发送密码服务申请请求。
该密码服务申请请求中携带中间件的标识。
相应地,适配中间件接收该密码服务申请请求。
步骤S313:适配中间件与加密设备建立会话连接,并生成会话连接值。
示例性地,加密设备适配软件通过opensession(handle,…)函数建立会话连接。
在本公开实施例中,适配中间件根据中间件的标识(功能号)、本次连接通道的通道号加载加密设备的密码设备服务库,通过加密设备支持的API接口与加密设备的密码设备服务库建立会话连接,根据中间件的标识、通道号生成会话连接值。
示例性地,适配中间件将中间件的功能号、本次连接通道号作为输入数据,根据一定策略计算出来的数值作为会话连接值。例如,对所述标识、所述通道号和随机数进行摘要算法得到会话连接值。
加密设备接收加密设备适配软件发送的会话连接值,并对应保存该会话连接值和相应的通道号。加密设备根据本次会话连接值建立相应的上下文,该上下文可以是储存了会话连接值和通道号、中间计算结果及密码资源配置等信息的一组值。
步骤S314:适配中间件向中间件返回会话连接值。
适配中间件将会话连接值发送给中间件,会话连接值用于作为中间件访问加密设备的输入参数。
步骤S315:加密设备保存会话连接值以及通道号。
步骤S316:中间件向适配中间件发送第一加密设备访问请求。
该第一加密设备访问请求中携带会话连接值。相应地,适配中间件接收该第一加密设备访问请求。
该第一加密设备访问请求用于获取加密设备提供的密码服务,包括但不限于信息加密、解密等。
步骤S317:适配中间件确定是否存在该会话连接值对应通道号。
步骤S318:若存在通道号,则适配中间件将携带对应的会话连接值和通道号的第二加密设备访问请求发送给加密设备。
相应地,加密设备接收该第二加密设备访问请求。
加密设备在接收到该访问请求后,对第二加密设备访问请求中的通道号和会话连接值进行校验,如果通道号和会话连接值通过校验,则确定第二加密设备访问请求对应的结果。校验方式包括但不限于在本地查找相同的通道号和会话连接值的组合,如果查找到相同的通道号和会话连接值的组合,表示通过校验;如果没有查找到相同的通道号和会话连接值的组合,表示未通过校验。
步骤319:加密设备将第二加密设备访问请求对应的结果返回给适配中间件。
步骤320:适配中间件收到该结果之后,将该结果返回给中间件。
在本公开实施例中,中间件在接收到会话连接值后通过适配中间件与加密设备建立会话连接,中间件将会话连接值作为本次会话的输入参数,适配中间件根据中间件的输入参数将会话连接值和通道号发送给加密设备。加密设备根据该会话连接值和通道号获取密码服务的上下文,执行相应的密码服务,并将执行结果返回给中间件。其他中间件即使通过非法手段获取到会话连接值,也会因为无法提供相应的功能号不能与加密设备建立会话连接。
可选地,该方法还可以包括:
响应于注销请求,将中间件的标识和中间件的配置信息从白名单中删除,并回收中间件的标识,注销请求是中间件发送的。
示例性地,管理人员在卸载中间件或者收回中间件的访问加密设备的权限时中间件生成注销请求,中间件生成注销请求后并将注销请求发送给适配中间件,适配中间件将该中间件的标识和该中间件的配置信息从白名单中删除,并回收该中间件的标识,从而节省计算机的资源,并且对中间件的访问权限进行限定。
本公开实施例通过识别中间件的标识确定该中间件的标识存在于白名单中,根据中间件的标识获取中间件的配置信息,然后根据中间件确定匹配的加密设备,与该加密设备建立连接通道和会话连接,将生成的会话连接值发送给中间件,加密设备根据会话连接值和通道号提供密码服务和明文信息,即使有中间件非法获取到会话连接值,也由于无法提供通道号不能与加密设备建立会话连接,从而避免了任何密码服务中间件都能直接访问加密设备导致密码信息泄漏的问题,提高加密设备的安全性。
可替代地,除了上述步骤S301至步骤S304中的注册过程之外,部分中间件还可以采用以下步骤进行注册。图4是本公开另一实施例提供的中间件注册过程的流程示意图,如图4所示,该加密设备访问方法执行主体可以为计算机设备中的适配中间件,该过程包括以下步骤:
步骤S401:中间件发送第二注册请求给适配中间件。
在中间件安装到计算机设备之后,需要先进行注册,注册完成后才能使用密码服务。
示例性地,有一部分中间件没有直接授权访问加密设备,所以需要对这部分中间件的身份进行认证,确定中间件是否有访问加密设备的权限,在管理人员安装这部分中间件后,中间件生成第二注册请求后将第二注册请求发送给适配中间件。
相应地,适配中间件接收该第二注册请求。
步骤S402:适配中间件响应于第二注册请求,对中间件的身份进行认证。
若认证结果为中间件的身份通过认证,则执行步骤S503;若认证结果为中间件的身份未通过认证,则退出当前流程。
在本公开实施例中,若认证结果为中间件的身份通过认证,则说明该中间件身份认证成功,具有访问加密设备的权限。适配中间件分配标识给中间件。在其他实施例中,若认证结果为中间件的身份未通过认证,则说明该中间件身份认证不成功,不具有访问加密设备的权限,将禁止访问信息写入该中间的配置信息中,该禁止访问信息是指禁止该中间件访问加密设备的信息。
步骤S403:适配中间件为中间件分配标识。
该标识可以是指功能号。关于功能号的描述可以参见前述步骤S101,在此省略详细描述。
步骤S404:适配中间件获取中间件的配置信息。
步骤S405:适配中间件将中间件的标识和中间件的配置信息对应保存在白名单中。
示例性地,该步骤S402可以包括:响应于所述第二注册请求,为所述中间件分配临时标识;根据所述临时标识和所述配置信息为所述中间件分配虚拟加密设备;通过标准测试接口调用所述虚拟加密设备,以获得所述标准测试接口的返回值;基于所述返回值和所述虚拟加密设备产生的测试数据中的输出值生成所述认证结果。
该临时标识可以为临时功能号,临时功能号的取值范围与前述功能号的取值范围不同,例如临时功能号的取值范围为1~0xffff,而功能号的取值范围可以为0x100000~0x7fffffff,这样,适配中间件能够区分出已完成注册的中间件和未完成注册的中间件。
在本公开实施例中,为所述中间件分配临时标识,包括从预定的取值范围内选择一个临时标识,发送给所述中间件。
根据所述临时标识和所述配置信息为所述中间件分配虚拟加密设备,包括:接收中间件发送的访问请求,该访问请求中携带中间件对应的标识;若该标识属于该临时标识的取值范围,则根据所述配置信息为中间件分配虚拟加密设备。
该虚拟加密设备与中间件支持相同的API接口标准,适配中间件根据虚拟加密设备的API接口标准加载对应的密码服务库。适配中间件调用该标准测试接口进行功能测试,将标准测试接口的返回值与虚拟加密设备的输出值进行比较,如果标准测试接口的返回值与虚拟加密设备的输出值相同,则表示中间件通过认证;如果标准测试接口的返回值与虚拟加密设备的输出值不同,则表示中间件未通过认证。
虚拟加密设备输出的测试数据除了包括虚拟加密设备的输出值以外,还包括虚拟加密设备的处理过程数据,测试数据保存在指定的本地临时文件中。
在本公开实施例中,虚拟加密设备是一个应用层的动态库,用于模拟加密设备。该动态库与物理接口相同、支持的密码体制代码号以及支持的API接口标准代码号的加密设备是相同的。该动态库由适配中间件安装时自带。中间件向适配中间件申请获取到的虚拟加密设备的设备句柄由适配中间件动态生成。该设备句柄与虚拟设备一一对应,用于关联对应的虚拟设备。
图5是本公开一实施例提供的适配中间件的结构示意图,该装置可以通过软件、硬件或者两者的结合实现成为装置中的部分或者全部。如图5所示,适配中间件包括:接收模块501、第一获取模块502和发送模块503。
接收模块501用于接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值。第一获取模块502用于获取所述会话连接值对应的通道号,所述通道号用于标识所述适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的。发送模块503用于若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
可选地,所述装置还包括:连接通道建立模块504、保存模块505和会话连接建立模块506;连接通道建立模块504用于响应于所述中间件发送的加密设备申请请求,与所述加密设备建立连接通道;保存模块505用于保存所述连接通道的通道号;会话连接建立模块506用于响应于所述中间件发送的密码服务申请请求,基于所述连接通道与所述加密设备建立会话连接,并向所述中间件返回所述会话连接值。
可选地,所述加密设备申请请求包括所述中间件的标识;所述装置还包括:查找模块507,用于在白名单中查找所述中间件的标识,所述白名单中包括已注册中间件的标识;第二获取模块508,用于若在所述白名单中查找到所述中间件的标识,则根据中间件的标识获取所述中间件的配置信息;确定模块509,用于确定与中间件的配置信息匹配的加密设备。
可选地,该装置还包括:第一注册模块510,第一注册模块510用于响应于第一注册请求,为所述中间件分配标识,所述第一注册请求是所述中间件发送的;获取所述中间件的配置信息;将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中。
可选地,该装置还包括第二注册模块511,第二注册模块511用于响应于第二注册请求,对中间件的身份进行认证,所述第二注册请求是所述中间件发送的;若所述认证结果为所述中间件的身份通过认证,则为所述中间件分配标识;获取所述中间件的配置信息;将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中。
可选地,所述第二注册模块511用于响应于所述第二注册请求,为所述中间件分配临时标识;根据所述临时标识和所述配置信息为所述中间件分配虚拟加密设备;通过标准测试接口调用所述虚拟加密设备,以获得所述标准测试接口的返回值;基于所述输出值和所述虚拟加密设备产生的测试数据生成所述认证结果。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图6是本公开一实施例提供的一种加密设备访问装置的结构示意图。如图6所示,所述加密设备访问装置可以为计算机设备600包括中央处理单元(CPU)601、包括随机存取存储器(RAM)602和只读存储器(ROM)603的系统存储器604,以及连接系统存储器604和中央处理单元601的系统总线605。所述计算机设备600还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)606,和用于存储操作系统613、应用程序614和其他程序模块615的大容量存储设备607。
所述基本输入/输出系统606包括有用于显示信息的显示器608和用于用户输入信息的诸如鼠标、键盘之类的输入设备609。其中所述显示器608和输入设备609都通过连接到系统总线605的输入输出控制器610连接到中央处理单元601。所述基本输入/输出系统606还可以包括输入输出控制器610以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器610还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备607通过连接到系统总线605的大容量存储控制器(未示出)连接到中央处理单元601。所述大容量存储设备607及其相关联的计算机可读介质为加密设备访问装置600提供非易失性存储。也就是说,所述大容量存储设备607可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器604和大容量存储设备607可以统称为存储器。
根据本发明的各种实施例,所述计算机设备600还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机设备600可以通过连接在所述系统总线605上的网络接口单元611连接到网络612,或者说,也可以使用网络接口单元611来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,中央处理器601通过执行该一个或一个以上程序来实现图2至图4所示的加密设备访问方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由计算机设备的处理器执行以完成本发明各个实施例所示的加密设备访问方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本公开的可选实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种加密设备访问方法,其特征在于,包括:
适配中间件接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值;
获取所述会话连接值对应的通道号,所述通道号用于标识所述适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的;
若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
2.根据权利要求1所述的方法,其特征在于,在接收中间件发送的第一加密设备访问请求之前,所述方法还包括:
响应于所述中间件发送的加密设备申请请求,与所述加密设备建立连接通道,并保存所述连接通道的通道号;
响应于所述中间件发送的密码服务申请请求,基于所述连接通道与所述加密设备建立会话连接,并向所述中间件返回所述会话连接值。
3.根据权利要求2所述的方法,其特征在于,所述加密设备申请请求包括所述中间件的标识;在接收到所述加密设备申请请求之后,且在与所述加密设备建立连接通道之前,所述方法还包括:
在白名单中查找所述中间件的标识,所述白名单中包括已注册中间件的标识;
若在所述白名单中查找到所述中间件的标识,则根据中间件的标识获取所述中间件的配置信息;
确定与所述中间件的配置信息匹配的加密设备。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
响应于第一注册请求,为所述中间件分配标识,所述第一注册请求是所述中间件发送的;
获取所述中间件的配置信息;
将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中;
或者,所述方法还包括:
响应于第二注册请求,对中间件的身份进行认证,所述第二注册请求是所述中间件发送的;
若所述认证结果为所述中间件的身份通过认证,则为所述中间件分配标识;
获取所述中间件的配置信息;
将所述中间件的标识和所述中间件的配置信息对应保存在所述白名单中。
5.根据权利要求4所述的方法,其特征在于,所述响应于第二注册请求,对中间件的身份进行认证,包括:
响应于所述第二注册请求,为所述中间件分配临时标识;
根据所述临时标识和所述配置信息为所述中间件分配虚拟加密设备;
通过标准测试接口调用所述虚拟加密设备,以获得所述标准测试接口的返回值;
基于所述返回值和所述虚拟加密设备产生的测试数据中的输出值生成所述认证结果。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述会话连接值是对所述中间件的标识、所述通道号和随机数进行摘要算法得到的。
7.一种加密设备访问装置,其特征在于,包括:
接收模块,用于接收中间件发送的第一加密设备访问请求,所述第一加密设备访问请求中包括会话连接值;
获取模块,用于获取所述会话连接值对应的通道号,所述通道号用于标识适配中间件与所述加密设备之间的连接通道,所述会话连接值是基于所述中间件的标识和所述通道号生成的;
发送模块,用于若获取到所述会话连接值对应的通道号,则将第二加密设备访问请求发送给所述通道号对应的加密设备,所述第二加密设备访问请求中包括所述通道号和所述会话连接值,所述通道号和所述会话连接值用于供所述加密设备对所述第二加密设备访问请求进行验证。
8.根据权利要求7所述的装置,其特征在于,还包括:
连接通道建立模块,用于响应于所述中间件发送的加密设备申请请求,与所述加密设备建立连接通道;
保存模块,用于保存所述连接通道的通道号;
会话连接建立模块,用于响应于所述中间件发送的密码服务申请请求,基于所述连接通道与所述加密设备建立会话连接,并向所述中间件返回所述会话连接值。
9.一种加密设备访问装置,其特征在于,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器存储有计算机指令,处理器通过执行计算机指令,从而执行如权利要求1-6任一项所述的加密设备访问方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-6任一项所述的加密设备访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010989753.5A CN112367347B (zh) | 2020-09-18 | 2020-09-18 | 加密设备访问方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010989753.5A CN112367347B (zh) | 2020-09-18 | 2020-09-18 | 加密设备访问方法、装置和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112367347A CN112367347A (zh) | 2021-02-12 |
| CN112367347B true CN112367347B (zh) | 2022-08-23 |
Family
ID=74516616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010989753.5A Active CN112367347B (zh) | 2020-09-18 | 2020-09-18 | 加密设备访问方法、装置和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112367347B (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8000680B2 (en) * | 2006-01-11 | 2011-08-16 | Samsung Electronics Co., Ltd | Security management method and apparatus in multimedia middleware, and storage medium therefor |
| CN103974248B (zh) * | 2013-01-24 | 2018-10-12 | 中国移动通信集团公司 | 在能力开放系统中的终端安全性保护方法、装置及系统 |
| CN108476216B (zh) * | 2016-03-31 | 2021-01-22 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法 |
| US10560476B2 (en) * | 2017-02-22 | 2020-02-11 | International Business Machines Corporation | Secure data storage system |
| US11025672B2 (en) * | 2018-10-25 | 2021-06-01 | Palantir Technologies Inc. | Approaches for securing middleware data access |
| CN109583154A (zh) * | 2018-12-04 | 2019-04-05 | 北京华大智宝电子系统有限公司 | 一种基于Web中间件访问智能密码钥匙的系统及方法 |
| CN110719265B (zh) * | 2019-09-23 | 2021-08-17 | 腾讯科技(深圳)有限公司 | 一种实现网络安全通信的方法、装置及设备 |
-
2020
- 2020-09-18 CN CN202010989753.5A patent/CN112367347B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112367347A (zh) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912938B (zh) | 入网终端接入验证方法、装置、存储介质及电子设备 | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US7904952B2 (en) | System and method for access control | |
| CN111526111B (zh) | 登录轻应用的控制方法、装置和设备及计算机存储介质 | |
| CN108400875B (zh) | 基于键值的授权认证方法、系统、电子设备、存储介质 | |
| CN112507295A (zh) | 数据处理方法及系统 | |
| CN109150811B (zh) | 一种实现可信会话的方法及装置、计算设备 | |
| CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
| CN113032805B (zh) | 一种数据访问方法、装置、电子设备及存储介质 | |
| CN106576239B (zh) | 一种安全单元中内容管理的方法及装置 | |
| CN103119559A (zh) | 信息生成系统及其方法 | |
| CN112367347B (zh) | 加密设备访问方法、装置和计算机可读存储介质 | |
| CN110971609A (zh) | Drm客户端证书的防克隆方法、存储介质及电子设备 | |
| CN110830479A (zh) | 基于多卡的一键登录方法、装置、设备及存储介质 | |
| KR101445708B1 (ko) | 보안 시스템, 이를 위한 단말기 및 보안 방법 | |
| CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
| CN114329534A (zh) | 权限确定方法、装置、计算机设备和计算机可读存储介质 | |
| CN112270000A (zh) | 密码服务提供方法、装置和计算机可读存储介质 | |
| JP4729457B2 (ja) | 自動分析装置 | |
| CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 | |
| US11711366B2 (en) | Scalable onboarding for internet-connected devices | |
| US20110214159A1 (en) | Computer system | |
| CN117492872B (zh) | 环境配置方法、装置、系统及存储介质 | |
| CN114329574B (zh) | 基于域管平台的加密分区访问控制方法、系统及计算设备 | |
| CN115250186B (zh) | 网络连接认证方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |