CN116488811B - 一种密码边界的划分方法 - Google Patents
一种密码边界的划分方法 Download PDFInfo
- Publication number
- CN116488811B CN116488811B CN202310739528.XA CN202310739528A CN116488811B CN 116488811 B CN116488811 B CN 116488811B CN 202310739528 A CN202310739528 A CN 202310739528A CN 116488811 B CN116488811 B CN 116488811B
- Authority
- CN
- China
- Prior art keywords
- dividing
- password
- boundary
- list
- technical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000000638 solvent extraction Methods 0.000 claims abstract description 31
- 238000005516 engineering process Methods 0.000 claims abstract description 13
- 230000007246 mechanism Effects 0.000 claims description 36
- 230000007704 transition Effects 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 claims description 8
- 230000006378 damage Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 4
- 238000005192 partition Methods 0.000 description 11
- 238000000576 coating method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000011248 coating agent Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密码边界的划分方法,属于密码技术领域。一种密码边界的划分方法,包括:建立划分对象的功能清单、技术清单和部件清单;绘制划分对象的有限状态;根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件;若划分对象满足预设条件,则按照第一预设方式和第二预设方式分别对划分对象进行密码边界的划分;将第一预设方式和第二预设方式的划分结果做集合并操作得到最终的密码边界。本发明能使密码边界划分清晰到部件、程序、文件、代码级别,提高了密码边界划分的准确性,能避免因边界划分不准确导致检测无法通过的风险。
Description
技术领域
本发明属于密码技术领域,特别是涉及一种密码边界的划分方法。
背景技术
密码是保护网络安全、数据安全的基石,因此密码是否合格直接影响了网络和数据的安全。密码有硬件形态、软件形态、固件形态、不同形态组合成的混合形态。不仅如此,有的密码不限制使用场景,而有的密码则有限定的使用场景,使得使用场景和密码高度绑定,也导致使用场景和密码之间的边界难以清晰划分。检测密码的第一步是准确划分密码边界,然后按照相应的技术标准和要求对密码边界内的部分进行检测,但是目前还没有明确的、准确的划分密码边界的方法,由此为检测带来了多种问题。
发明内容
本发明的目的在于克服现有技术的不足,提供一种密码边界的划分方法。
本发明的目的是通过以下技术方案来实现的:一种密码边界的划分方法,包括:
建立划分对象的功能清单、技术清单和部件清单;
绘制划分对象的有限状态;
根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件;
若划分对象满足预设条件,则按照第一预设方式和第二预设方式分别对划分对象进行密码边界的划分;
将第一预设方式和第二预设方式的划分结果做集合并操作得到最终的密码边界。
进一步地,所述功能清单包括划分对象宣称能实现的全部密码功能和/或服务清单,所述技术清单包括划分对象的功能和服务执行的技术标准、以及划分对象的功能和服务执行的技术要求,所述部件清单包括划分对象实现密码功能和/或服务所依附的部件。
进一步地,绘制划分对象的有限状态,包括:
绘制有限状态转换图和有限状态转换表,所述有限状态包括电源开启/关闭状态、初始化状态、密码主管状态、关键安全参数数据状态、用户状态、核准的状态、自测试状态和错误状态。
进一步地,根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件,包括:
根据技术清单逐一核对技术标准和技术要求,判断是否能实现宣称的全部密码功能和/或服务,若否,则划分对象不满足预设条件;
判断划分对象是否同时具备功能清单中的至少一种功能、技术清单中的至少一种技术标准或技术要求、以及部件清单中的至少一种部件,若否,则划分对象不满足预设条件;
判断划分对象是否有有限状态转换图和有限状态转换表,若否,则划分对象不满足预设条件;
根据技术清单判断部件清单中的部件是否都满足技术标准或技术要求,若否,则划分对象不满足预设条件;
判断功能清单是否包括预设功能中的至少一种,若否,则划分对象不满足预设条件;
判断技术清单是否包括使用了的所有密码技术,若否,则划分对象不满足预设条件;
判断部件清单中的部件是否包含了所有支撑功能清单和技术清单的部件,若否,则划分对象不满足预设条件。
进一步地,所述第一预设方式包括依据功能和有限状态划分密码边界,所述第二预设方式包括依据支撑机制划分密码边界、依据使用场景划分密码边界、以及依据敏感安全参数划分密码边界中的至少一种。
进一步地,依据功能和有限状态划分密码边界,包括:
按照划分对象的功能清单逐一运行,将运行过程中直接参与计算和/或密钥管理的部件划分到密码边界内,将运行过程中未直接参与计算和/或密钥管理的部件划分为附属部分;
按照划分对象的有限状态逐一运行,将运行过程中直接参与的部件划分到密码边界内。
进一步地,依据支撑机制划分密码边界,包括:
将所有起到直接支撑划分对象提供功能和/或服务的机制划分到密码边界内;
将所有起到直接支撑划分对象提供功能和/或服务的机制对应的措施划分到密码边界内;
将所有起到直接支撑安全防护作用的机制和对应的措施划到密码边界内。
进一步地,依据使用场景划分密码边界,包括:
收集密码应用的场景,以及应用场景的重要性,对比密码标准判断密码应定义的安全等级;
获取场景向密码输入的数据类型,运行划分对象,推演和/或监测数据进入密码后的作用,判断是否直接用于密码计算和/或密钥管理,如果是,则该数据的输入密码的通道划分到密码边界内,使用场景划分到密码边界内或划分为附属部分;
变更使用场景,运行划分对象,判断划分对象是否是特定的应用于该场景,如果是特定的场景,则将该场景划分到密码边界内或划分为附属部分、限定密码的使用范围。
进一步地,依据敏感安全参数划分密码边界,包括:
根据功能清单、支撑机制和使用场景识别参与密码计算和/或密钥管理的所有敏感安全参数;
将敏感安全参数的产生或输入、存储、传输、使用、备份、输出、更新、销毁所依托的部件划分到密码边界内;
其中,输入和输出如果采用了安全机制,则划分到密码边界内或划分为附属部分。
进一步地,根据多种预设方式的划分结果生成最终的密码边界,包括:
将多种预设方式的划分结果做集合并操作,得到最终的密码边界。
本发明的有益效果是:本方法通过建立清单、有限状态,从密码提供的功能、密码运行的支撑机制、密码使用的场景、密码运行的敏感安全参数等四个方面进行划分,并进行综合判断,得到密码边界。该方法能使密码边界划分清晰到部件、程序、文件、代码级别,提高了密码边界划分的准确性,能避免因边界划分不准确导致检测无法通过的风险。同时,由于有明确的划分路线和依据,考虑了技术标准,能直接指导后续的密码检测依据的标准。
附图说明
图1为本发明中密码边界的划分方法的一种实施例的流程图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本发明提供一种密码边界的划分方法:
如图1所示,一种密码边界的划分方法,包括步骤S100至步骤S500。以下详细说明。
步骤S100.建立划分对象的功能清单、技术清单和部件清单。
所述功能清单包括划分对象宣称能实现的全部密码功能和/或服务清单。
所述技术清单包括划分对象的功能和服务执行的技术标准、以及划分对象的功能和服务执行的技术要求。
所述部件清单包括划分对象实现密码功能和/或服务所依附的部件,例如,硬件、程序、代码、文件等,其中,软件和固件归为程序或代码。
一般的,在建立划分对象的功能清单、技术清单和部件清单之前,需要手机划分对象的基础资料,比如:收集划分对象的技术和安全设计资料,没有技术设计资料和/或安全设计资料的,则收集划分对象的全部资料;收集划分对象使用的使用场景资料,包括使用场景的重要性和对密码的要求。
步骤S200.绘制划分对象的有限状态。
在一些实施例中,绘制划分对象的有限状态,包括:绘制有限状态转换图和有限状态转换表,所述有限状态包括电源开启/关闭状态、初始化状态、密码主管状态、关键安全参数数据状态、用户状态、核准的状态、自测试状态和错误状态。
如果划分对象除了有限状态外还有其他状态,则其他状态也应进行绘制。其他状态可以是旁路状态、不活动状态等。
具体的,根据划分对象的资料,绘制限状态转换图,生产有限状态转换表。如果不具备有限状态或者有限状态有缺少,则输出警告,输出警告需要划分对象提供支撑不具备或缺少的依据;若无相应的依据,则将输出的警告转为错误。
步骤S300.根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件。
在一些实施例中,根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件,包括:
步骤S310.根据技术清单逐一核对技术标准和技术要求,判断是否能实现宣称的全部密码功能和/或服务,若否,则划分对象不满足预设条件。
当划分对象不能实现宣称的全部密码功能和/或服务时,输出错误,并提醒错误内容。划分对象需将宣称的功能和服务修改到和技术标准或技术要求一致,否则终止密码边界的划分。
步骤S320.判断划分对象是否同时具备功能清单中的至少一种功能、技术清单中的至少一种技术标准或技术要求、以及部件清单中的至少一种部件,若否,则划分对象不满足预设条件。
当划分对象不满足“具备功能清单中的至少一种功能、技术清单中的至少一种技术标准或技术要求、以及部件清单中的至少一种部件”时,输出错误。划分对象应进行修改,然后重新划分密码边界,否则终止密码边界的划分。
步骤S330.判断划分对象是否有有限状态转换图和有限状态转换表,若否,则划分对象不满足预设条件。
当划分对象没有有限状态转换图和有限状态转换表时,输出错误。划分对象应进行修改,然后重新划分密码边界,否则终止密码边界的划分。
步骤S340.根据技术清单判断部件清单中的部件是否都满足技术标准或技术要求,若否,则划分对象不满足预设条件。
当部件清单中的部件不能全部满足技术标准或技术要求时,输出错误。划分对象应进行修改,然后重新划分密码边界,否则终止密码边界的划分。
例如,GM/T 0028《密码模块安全技术要求》中对安全二级的密码要求可采用拆卸存迹的涂层或封条实现有拆卸证据,那么部件中就应该有符合这样要求的涂层或封条。
步骤S350.判断功能清单是否包括预设功能中的至少一种,若否,则划分对象不满足预设条件。
所述预设功能包括分组密码、流密码、非对称密码、消息鉴别码、杂凑函数、鉴别、密钥管理、随机数生成和安全传输。
当功能清单不包括预设功能中的任意一种时,输出错误,终止密码边界的划分。等划分对象修改后重复该步骤。
步骤S360.判断技术清单是否包括使用了的所有密码技术,若否,则划分对象不满足预设条件。
具体的,判断技术清单内容是否全面,技术清单的内容无限制,但应包括使用了的所有密码技术。如果技术清单不全面,则输出警告,等划分对象修改后重复该步骤。如果划分对象不做修改,则删除缺少的部分。技术标准或要求如有:ZUC、SM2、SM3、SM4、SM9、AES、SHA256、IPSec、SSL等技术标准或要求。
步骤S370.判断部件清单中的部件是否包含了所有支撑功能清单和技术清单的部件,若否,则划分对象不满足预设条件。
如果技术清单未包含所有支撑功能清单和技术清单的部件,则输出警告,等划分对象修改后重复该步骤。如果划分对象不做修改,则删除缺少的部分。部件内容有随机数发生器、安全芯片、密码卡、电路、程序、代码、文件等。
步骤S400.若划分对象满足预设条件,则按照第一预设方式和第二预设方式分别对划分对象进行密码边界的划分。
在一些实施例中,所述第一预设方式包括依据功能和有限状态划分密码边界,所述第二预设方式包括依据支撑机制划分密码边界、依据使用场景划分密码边界、以及依据敏感安全参数划分密码边界中的至少一种。
在一些实施例中,依据功能和有限状态划分密码边界,包括:
按照划分对象的功能清单逐一运行,将运行过程中直接参与计算和/或密钥管理的部件划分到密码边界内,将运行过程中未直接参与计算和/或密钥管理的部件划分为附属部分。对于直接参与计算和/或密钥管理的部件,无论是独立的一个部件还是由多个独立部件,都划分到密码边界内;独立部件之间的信道或信息传递所依托的部件都应该划到密码边界内。对于不直接支撑密码计算和/或密钥管理的部件,可以划分到密码边界内,也可以不划分到密码边界内。比如,操作系统、计算平台、数据库,如果不划分到密码边界内,则将其划分为附属部分。
按照划分对象的有限状态逐一运行,将运行过程中直接参与的部件划分到密码边界内。对于直接参与的部件,无论是独立的一个部件还是由多个独立部件,都划分到密码边界内。
在一些实施例中,依据支撑机制划分密码边界,包括:
将所有起到直接支撑划分对象提供功能和/或服务的机制、以及该机制对应的措施划分到密码边界内。具体包括:显示密码信息的机制,比如,显示版本号的屏幕、界面,以及相应的程序、代码、文件;显示密码状态的机制,比如,显示正常或异常的屏幕,发出提醒异常的蜂鸣声的部件,以及相应的程序、代码、文件;为支持密码计算和/或密钥管理的信息输入输出的物理硬件和端口、软件和接口,比如,输入PIN码的键盘、显示输入提醒的屏幕或软件界面,以及相应的程序、代码、文件;其他直接支持密码运行的机制和措施,以及相应的程序、代码、文件;电源和连接线可以划到密码边界内,比如,插头、电池,如果不划分到密码边界内,将其划分为附属部分。
将所有起到直接支撑安全防护作用的机制和对应的措施划到密码边界内。具体包括:(1)防止物理破坏、环境失效保护的机制和措施;比如,防止物理破坏的物理硬件外壳,高温失效保护措施,以及相应的程序、代码、文件。(2)使密码内部敏感信息传输成为安全信道的机制和措施;比如,密码协议和依附的部件,以及相应的程序、代码、文件。(3)维护密码的机制,以及维护密码人员的鉴别机制和措施;比如,密码初始化、密码配置等需要的鉴别方式和依附的部件,录入鉴别身份信息的屏幕、键盘、界面,以及相应的程序、代码、文件。(4)保护密码内部软件和/或固件完整性和机制和措施,比如,密码杂凑算法程序、代码、文件、数字签名和验签的程序、代码、文件。(5)敏感安全参数管理,包括随机数生成的机制和措施,敏感安全参数的建立、输入输出、存储、置零的机制和措施;比如,产生随机数的随机数发生器,计算参数,敏感安全参数存储的介质,以及相应的程序、代码、文件。(6)存储敏感安全参数密文的机制和措施可以不归入密码边界内,如果不划分到密码边界内,将其划分为附属部分。(7)自测试的机制和措施,执行自测试的程序和/或代码、文件。(8)防止侧信道攻击的机制和措施;比如,乱序执行的程序、代码、文件,屏蔽电磁泄露的涂层,以及相应的程序、代码、文件。(9)本步骤的(1)至(7)中密码不提供的功能和/或服务,可以缺失。(10)本步骤的(1)中,如果有起防止物理破坏作用的物理硬件外壳包裹所有部件,则将硬件外壳作为密码边界;比如,服务器密码机的机箱和与之配套的Ukey作为密码边界;如果有硬件部件未被起保护作用的硬件外壳包裹,则被包裹部分的硬件外壳和不被包裹的硬件部件共同作为密码边界,该无硬件外壳包裹的部件所带的软件、固件也被划到密码边界内。(11)如果划分对象由程序、代码、文件组成,不具备硬件,则实现功能、有限状态、支撑和安全防护的程序、代码、文件作为密码边界。
在一些实施例中,依据使用场景划分密码边界,包括:
收集密码应用的场景,以及应用场景的重要性,对比密码标准判断密码应定义的安全等级。比如,密码产品参照密码模块安全技术要求,密码应用参照信息系统密码应用基本要求。
获取场景向密码输入的数据类型,运行划分对象,推演和/或监测数据进入密码后的作用,判断是否直接用于密码计算和/或密钥管理,如果是,则该数据的输入密码的通道划分到密码边界内,使用场景划分到密码边界内或划分为附属部分。
变更使用场景,运行划分对象,判断划分对象是否是特定的应用于该场景,如果是特定的场景,则将该场景划分到密码边界内或划分为附属部分、限定密码的使用范围。
在一些实施例中,依据敏感安全参数划分密码边界,包括:
根据功能清单、支撑机制和使用场景识别参与密码计算和/或密钥管理的所有敏感安全参数。
将敏感安全参数的产生或输入、存储、传输、使用、备份、输出、更新、销毁所依托的部件划分到密码边界内;其中,输入和输出如果采用了安全机制,则划分到密码边界内或划分为附属部分。
步骤S500.将第一预设方式和第二预设方式的划分结果做集合并操作得到最终的密码边界。
在一些实施例中,根据多种预设方式的划分结果生成最终的密码边界,包括:将多种预设方式的划分结果做集合并操作,得到最终的密码边界。
例如,将依据功能和有限状态划分密码边界得到的密码边界记为第一密码边界,将依据支撑机制划分密码边界得到的密码边界记为第二密码边界,将依据使用场景划分密码边界得到的密码边界记为第三密码边界,将依据敏感安全参数划分密码边界得到的密码边界记为第四密码边界。将第一密码边界与第二密码边界、第三密码边界和第四密码边界做集合并操作,得到最终的密码边界,此时得到的最终的密码边界的准确性第一;将第一密码边界与第二密码边界、第三密码边界和第四密码边界中的一个或两个做集合并操作,得到最终的密码边界,此时得到的最终的密码边界的准确性第二。
最后输出最终的密码边界,密码边界的准确性,以及划分对象的功能清单、技术清单和部件清单等。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (4)
1.一种密码边界的划分方法,其特征在于,包括:
建立划分对象的功能清单、技术清单和部件清单;
绘制划分对象的有限状态;
根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件;
若划分对象满足预设条件,则按照第一预设方式和第二预设方式分别对划分对象进行密码边界的划分;
将第一预设方式和第二预设方式的划分结果做集合并操作得到最终的密码边界;
所述功能清单包括划分对象宣称能实现的全部密码功能和/或服务清单,所述技术清单包括划分对象的功能和服务执行的技术标准、以及划分对象的功能和服务执行的技术要求,所述部件清单包括划分对象实现密码功能和/或服务所依附的部件;
绘制划分对象的有限状态,包括:
绘制有限状态转换图和有限状态转换表,所述有限状态包括电源开启/关闭状态、初始化状态、密码主管状态、关键安全参数数据状态、用户状态、核准的状态、自测试状态和错误状态;
根据功能清单、技术清单和部件清单判断划分对象是否满足预设条件,包括:
根据技术清单逐一核对技术标准和技术要求,判断是否能实现宣称的全部密码功能和/或服务,若否,则划分对象不满足预设条件;
判断划分对象是否同时具备功能清单中的至少一种功能、技术清单中的至少一种技术标准或技术要求、以及部件清单中的至少一种部件,若否,则划分对象不满足预设条件;
判断划分对象是否有有限状态转换图和有限状态转换表,若否,则划分对象不满足预设条件;
根据技术清单判断部件清单中的部件是否都满足技术标准或技术要求,若否,则划分对象不满足预设条件;
判断功能清单是否包括预设功能中的至少一种,若否,则划分对象不满足预设条件;
判断技术清单是否包括使用了的所有密码技术,若否,则划分对象不满足预设条件;
判断部件清单中的部件是否包含了所有支撑功能清单和技术清单的部件,若否,则划分对象不满足预设条件;
所述第一预设方式包括依据功能和有限状态划分密码边界,所述第二预设方式包括依据支撑机制划分密码边界、依据使用场景划分密码边界、以及依据敏感安全参数划分密码边界中的至少一种;
依据功能和有限状态划分密码边界,包括:
按照划分对象的功能清单逐一运行,将运行过程中直接参与计算和/或密钥管理的部件划分到密码边界内,将运行过程中未直接参与计算和/或密钥管理的部件划分为附属部分;
按照划分对象的有限状态逐一运行,将运行过程中直接参与的部件划分到密码边界内;
依据支撑机制划分密码边界,包括:
将所有起到直接支撑划分对象提供功能和/或服务的机制划分到密码边界内;
将所有起到直接支撑划分对象提供功能和/或服务的机制对应的措施划分到密码边界内;
将所有起到直接支撑安全防护作用的机制和对应的措施划到密码边界内。
2.根据权利要求1所述的一种密码边界的划分方法,其特征在于,依据使用场景划分密码边界,包括:
收集密码应用的场景,以及应用场景的重要性,对比密码标准判断密码应定义的安全等级;
获取场景向密码输入的数据类型,运行划分对象,推演和/或监测数据进入密码后的作用,判断是否直接用于密码计算和/或密钥管理,如果是,则该数据的输入密码的通道划分到密码边界内,使用场景划分到密码边界内或划分为附属部分;
变更使用场景,运行划分对象,判断划分对象是否是特定的应用于该场景,如果是特定的场景,则将该场景划分到密码边界内或划分为附属部分、限定密码的使用范围。
3.根据权利要求1所述的一种密码边界的划分方法,其特征在于,依据敏感安全参数划分密码边界,包括:
根据功能清单、支撑机制和使用场景识别参与密码计算和/或密钥管理的所有敏感安全参数;
将敏感安全参数的产生或输入、存储、传输、使用、备份、输出、更新、销毁所依托的部件划分到密码边界内;
其中,输入和输出如果采用了安全机制,则划分到密码边界内或划分为附属部分。
4.根据权利要求1所述的一种密码边界的划分方法,其特征在于,根据多种预设方式的划分结果生成最终的密码边界,包括:
将多种预设方式的划分结果做集合并操作,得到最终的密码边界。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310739528.XA CN116488811B (zh) | 2023-06-21 | 2023-06-21 | 一种密码边界的划分方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310739528.XA CN116488811B (zh) | 2023-06-21 | 2023-06-21 | 一种密码边界的划分方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116488811A CN116488811A (zh) | 2023-07-25 |
CN116488811B true CN116488811B (zh) | 2023-09-05 |
Family
ID=87219926
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310739528.XA Active CN116488811B (zh) | 2023-06-21 | 2023-06-21 | 一种密码边界的划分方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116488811B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024767A (zh) * | 2021-11-25 | 2022-02-08 | 郑州信大信息技术研究院有限公司 | 密码定义网络安全体系构建方法、体系架构及数据转发方法 |
CN114866228A (zh) * | 2022-03-24 | 2022-08-05 | 北京安御道合科技有限公司 | 一种实现软密码模块的方法、系统、存储介质及终端 |
CN115630355A (zh) * | 2022-10-31 | 2023-01-20 | 鼎铉商用密码测评技术(深圳)有限公司 | 密码模块的安全评测方法、安全评测设备以及存储介质 |
CN116232593A (zh) * | 2023-05-05 | 2023-06-06 | 杭州海康威视数字技术股份有限公司 | 多密码模组敏感数据分类分级与保护方法、设备及系统 |
CN116260595A (zh) * | 2023-05-15 | 2023-06-13 | 豪符密码检测技术(成都)有限责任公司 | 一种云密码检测方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10033702B2 (en) * | 2015-08-05 | 2018-07-24 | Intralinks, Inc. | Systems and methods of secure data exchange |
US11115187B2 (en) * | 2018-09-07 | 2021-09-07 | Korea University Research And Business Foundation | Apparatus and method for block ciphers for real-time data transmission |
-
2023
- 2023-06-21 CN CN202310739528.XA patent/CN116488811B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024767A (zh) * | 2021-11-25 | 2022-02-08 | 郑州信大信息技术研究院有限公司 | 密码定义网络安全体系构建方法、体系架构及数据转发方法 |
CN114866228A (zh) * | 2022-03-24 | 2022-08-05 | 北京安御道合科技有限公司 | 一种实现软密码模块的方法、系统、存储介质及终端 |
CN115630355A (zh) * | 2022-10-31 | 2023-01-20 | 鼎铉商用密码测评技术(深圳)有限公司 | 密码模块的安全评测方法、安全评测设备以及存储介质 |
CN116232593A (zh) * | 2023-05-05 | 2023-06-06 | 杭州海康威视数字技术股份有限公司 | 多密码模组敏感数据分类分级与保护方法、设备及系统 |
CN116260595A (zh) * | 2023-05-15 | 2023-06-13 | 豪符密码检测技术(成都)有限责任公司 | 一种云密码检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
密码应用安全技术研究及软件密码模块检测的讨论;魏荣 等;密码学报(第03期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116488811A (zh) | 2023-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113167B (zh) | 一种智能终端的信息保护方法、系统以及可读存储介质 | |
CN103905461B (zh) | 一种基于可信第三方的云服务行为可信证明方法和系统 | |
KR101948721B1 (ko) | 파일 해시 값을 이용한 파일 위변조 검사 방법 및 단말 장치 | |
CN107391298A (zh) | 数据存储状态检测方法、装置及计算机可读存储介质 | |
CN111898148A (zh) | 一种基于区块链的信息监管方法及装置 | |
CN109978688A (zh) | 分布式共识系统之访问控制方法及其契约产生器与服务器 | |
CN111556059A (zh) | 异常检测方法、异常检测装置及终端设备 | |
KR102162044B1 (ko) | 블록체인 기반의 사용자 인증 방법 및 그 시스템 | |
CN107609410B (zh) | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 | |
CN107133520A (zh) | 云计算平台的可信度量方法和装置 | |
WO2021012978A1 (zh) | 检测硬件的方法、装置、设备及存储介质 | |
CN111914029A (zh) | 基于区块链的医疗数据调用方法、装置、电子设备及介质 | |
CN106547648A (zh) | 一种备份数据处理方法及装置 | |
CN110598377A (zh) | 基于区块链的软件序列号管理方法以及装置 | |
CN109117643B (zh) | 系统处理的方法以及相关设备 | |
CN111222181B (zh) | Ai模型的监管方法、系统、服务器及存储介质 | |
CN109889477A (zh) | 基于可信密码引擎的服务器启动方法及装置 | |
US20060251253A1 (en) | Cryptographically signed network identifier | |
CN104965701B (zh) | 获取应用信息的方法及装置 | |
CN116488811B (zh) | 一种密码边界的划分方法 | |
CN106888094B (zh) | 一种签名方法及服务器 | |
CN106372523A (zh) | 一种modem文件安全保护方法及系统 | |
CN111723379B (zh) | 可信台区智能终端的可信保护方法、系统、设备及存储介质 | |
CN115659346A (zh) | 一种多方安全计算平台的功能测试方法及装置 | |
CN111190824B (zh) | 监测方法、装置、终端设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |