WO2009067879A1 - Procédé et système de mise à jour à distance pour dispositif de sécurité d'informations - Google Patents

Description

信息安全设备的远程升级方法及系统 技术领域

本发明涉及远程升级技术， 特别涉及一种信息安全设备的远程升级 方法和一种信息安全设备的远程升级系统。 发明背景

信息安全设备的远程升级是指： 远端源设备将升级信息传输至信息 安全设备的升级接口， 信息安全设备利用其升级接口接收到的该升级信 息实现对其内部程序或数据的升级， 而不需要专业人员到信息安全设备 所在的现场进行本地升级操作。

其中，远端源设备可以为存储了升级信息的任意设备，例如服务器、

PC机、 或其他的信息安全设备； 远端源设备可以称为升级方， 信息安 全设备则可以称为被升级方。

由于信息安全设备是用于软件保护、 硬件保护以及身份认证等的硬 件设备， 因此， 必须保证信息安全设备的内部程序和数据的可信性和完 整性。

然而， 现有信息安全设备的远程升级过程中， 作为被升级方的信息 安全设备只是通过其升级接口接收来自远端源设备的升级信息， 并利用 接收到的升级信息进行内部程序或数据的升级， 而没有对接收到的升级 信息进行足够的合法性验证， 从而会使得网络中的攻击者（例如黑客、 或恶意用户） 能够通过升级接口对信息安全设备进行攻击或破坏。

例如， 在升级信息的传输过程中， 攻击者（例如黑客、 或恶意用户） 可能截获并篡改升级信息， 并将篡改后的升级信息发送至信息安全设 备， 或者直接伪造升级信息发送至信息安全设备的升级接口， 而信息安 全设备通过其升级接口接收到被篡改或伪造的升级信息后， 如果没有可 靠的合法性认证， 则被篡改或伪造的升级信息会对其内部的程序或数据 造成破坏， 并可能造成严重的安全风险。

而且， 如果升级信息在传输过程中出错， 而没有可靠的验证方法的 话， 则信息安全设备也会利用出错的升级信息实现对其内部程序或数据 的升级， 从而可能导致升级错误。

可见， 现有信息安全设备的远程升级的可信性和可靠性不高， 无法 避免攻击者通过升级接口对信息安全设备发起的攻击和破坏， 从而保证 信息安全设备内部的程序或数据的安全性， 也无法保证升级信息在传输 过程中出错所导致的升级错误。 发明内容

有鉴于此， 本发明提供了一种信息安全设备的远程升级方法、 以及 一种信息安全设备的远程升级系统， 能够提高信息安全设备的远程升级 的可信性和可靠性。

本发明提供的一种信息安全设备的远程升级方法， 包括： 远端源设备对待传输至信息安全设备的升级信息进行安全处理， 并 将经安全处理的升级信息发送至信息安全设备；

信息安全设备对接收到的升级信息进行合法性验证， 并在合法性验 证通过后利用该升级信息执行升级。

本发明提供的一种信息安全设备的远程升级系统， 包括： 远端源设 备和信息安全设备，

所述远端源设备， 对待传输至信息安全设备的升级信息进行安全处 理， 并将经安全处理的升级信息发送至所述信息安全设备；

所述信息安全设备， 对接收到的升级信息进行合法性验证， 并在合 法性验证通过后利用该升级信息执行升级。

由上述技术方案可见， 本发明由作为升级方的远端源设备对升级信 息进行安全处理， 并由作为被升级方的信息安全设备对接收到的升级信 息进行合法性验证， 只有在验证通过才利用该升级信息进行内部程序或 数据的升级， 从而确保了信息安全设备不会利用被攻击者篡改或伪造的 升级信息对其内部的程序或数据升级， 避免了攻击者利用升级接口对信 息安全设备进行攻击和破坏， 从而保证了信息安全设备的远程升级的可 信性和可靠性。 同时， 也避免了升级信息在传输过程中出错所导致的升 级错误。 附图简要说明

图 1为本发明中信息安全设备的远程升级方法的示例性流程图。 图 为本发明方法实施例一中信息安全设备的远程升级方法的流程 图。

图 3为本发明方法实施例二中信息安全设备的远程升级方法的流程 图。

图 4为本发明系统实施例一中信息安全设备的远程升级系统的结构 图。

图 5为本发明系统实施例二中信息安全设备的远程升级系统的结构 图。 实施本发明的方式

为使本发明的目的、 技术方案及优点更加清楚明白， 以下参照附图 并举实施例， 对本发明进一步详细说明。

图 1为本发明中信息安全设备的远程升级方法的示例性流程图。 如 图 1所示， 本发明中信息安全设备的远程升级方法包括： 步骤 101 , 远端源设备对待传输至信息安全设备的升级信息进行安 全处理。

较佳地， 本步骤中的安全处理可包括签名处理， 签名处理后即可得 到附加签名的升级信息， 即能够升级信息的防篡改。 其中， 签名处理可 利用任意一种签名算法及对应的签名密钥来实现， 例如信息认证码

( MAC ) 算法， 即密钥相关的单向散列函数， 或杂凑信息验证码 ( HMAC )、 非对称加密算法（RSA )、 椭圆曲线加密算法（ECC )等各 种签名算法； 签名算法和签名密钥预先设置于远端源设备中， 对应的验 签算法和验签密钥则预先设置于信息安全设备中。

可选地， 本步骤中的安全处理还可包括在签名处理之后执行的加密 处理， 以将附加签名的升级信息由明文处理为密文。 其中， 加密处理可 利用数据加密标准（DES )、 三重数据加密标准（TDES )、 高级加密标准 ( AES )、 RSA、 ECC 等加密算法； 加密算法和加密密钥预先设置于远 端源设备中， 对应的解密算法和解密密钥则预先设置于信息安全设备 中。

步骤 102, 远端源设备将经安全处理的升级信息传输至信息安全设 备的升级接口。

步骤 103, 信息安全设备对其升级接口接收到的升级信息进行合法 性验证， 并在合法性验证通过后利用该升级信息执行升级。

如果在步骤 101执行的安全处理仅包括签名处理， 则本步骤中的合 法性验证过程即可包括： 信息安全设备利用预先设置的对应验签算法和 验签密钥， 对其升级接口接收到升级信息进行验签处理， 如果升级信息 中的附加签名错误或未附加签名 （例如接收到的升级信息被攻击者篡改 或为攻击者伪造的升级信息、 或升级信息在传输过程中出错）， 则确定 步骤 103所述的合法性验证失败。

如果在步骤 101执行的安全处理还包括在签名处理之后执行的加密 处理， 则本步骤中的合法性验证过程包括： 信息安全设备利用预先设置 的对应解密算法和解密密钥， 先对其升级接口接收到的升级信息进行解 密， 如果解密成功， 则再利用预先设置的对应验签算法和验签密钥， 对 其升级接口接收到升级信息进行验签处理， 如果验签处理通过， 则确定 步骤 103所述的合法性验证成功； 如果升级信息中的附加签名错误或未 附加签名 （例如接收到的升级信息被攻击者篡改或为攻击者伪造的升级 信息、 或升级信息在传输过程中出错）， 则确定步骤 103 所述的合法性 验证失败。

至此， 本流程结束。

由上述流程可见， 本发明中信息安全设备的远程升级方法中， 由作 为升级方的远端源设备对升级信息进行安全处理， 并由作为被升级方的 信息安全设备对接收到的升级信息进行合法性验证， 只有在合法性验证 通过才利用该升级信息进行内部程序或数据的升级， 从而确保了信息安 全设备不会利用被攻击者篡改或伪造的升级信息对其内部的程序或数 据升级， 避免了攻击者利用升级接口对信息安全设备进行攻击和破坏， 从而保证了信息安全设备的远程升级的可信性和可靠性。 同时， 也避免 了升级信息在传输过程中出错所导致的升级错误。

下面， 结合具体实施例， 对上述方法进行进一步说明。

方法实施例一

本实施例中， 以安全处理包括签名处理、 合法性验证过程包括验签 处理为例。

图 为本发明方法实施例一中信息安全设备的远程升级方法的流程 图。 如图 2所示， 本实施例中信息安全设备的远程升级方法包括： 步骤 201 , 远端源设备对待传输至信息安全设备的升级信息进行签 名处理， 得到附加签名的升级信息。

本步骤中， 签名处理可利用任意一种签名算法及对应的签名密钥来 实现， 例如 MAC算法， 或 HMAC、 RSA、 ECC等各种公开密钥算法； 签名算法和签名密钥预先设置于远端源设备中， 对应的验签算法和验签 密钥则预先设置于信息安全设备中； 如果签名算法为一种对称算法， 则 远端信息源与信息安全设备共享用于签名和验签的密钥； 设置于远端源 设备中的签名密钥、 设置于信息安全设备中的验签密钥， 也可以通过远 端源设备与信息安全设备通过网络协商来确定。

步骤 202, 远端源设备将附加签名的升级信息传输至信息安全设备 的升级接口。

步骤 203 , 信息安全设备对其升级接口接收到的升级信息进行验签 处理， 如果验签处理通过， 则执行步骤 204, 否则， 执行步骤 205。

步骤 204, 利用升级信息执行升级， 并结束本流程。

步骤 205, 输出错误信息， 并结束本流程。

至此， 本流程结束。

由上述流程可见， 本实施例中信息安全设备的远程升级方法中， 由 作为升级方的远端源设备对升级信息进行包括了签名处理的安全处理， 得到附加签名的升级信息发送至信息安全设备， 并由作为被升级方的信 息安全设备对接收到的升级信息进行包括了验签处理的合法性验证， 只 有在合法性验证通过时才利用该升级信息进行内部程序或数据的升级， 从而确保了信息安全设备不会利用被攻击者篡改或伪造的升级信息对 其内部的程序或数据升级， 避免了攻击者利用升级接口对信息安全设备 进行攻击和破坏， 从而保证了信息安全设备的远程升级的可信性和可靠 性。 同时， 也避免了升级信息在传输过程中出错所导致的升级错误。 方法实施例二

本实施例中， 以安全处理包括签名处理和加密处理、 合法性验证过 程包括解密处理和险签处理为例。

图 3为本发明方法实施例二中信息安全设备的远程升级方法的流程 图。 如图 3所示， 本实施例中信息安全设备的远程升级方法包括： 步骤 301 , 远端源设备对待传输至信息安全设备的升级信息进行签 名处理， 得到附加签名的升级信息。

本步骤中， 签名处理可利用任意一种签名算法及对应的签名密钥来 实现， 例如 MAC算法， 或 HMAC、 RSA、 ECC等各种签名算法； 签名 算法和签名密钥预先设置于远端源设备中， 对应的验签算法和验签密钥 则预先设置于信息安全设备中； 如果签名算法为一种对称算法， 则远端 信息源与信息安全设备共享用于签名和验签的密钥； 设置于远端源设备 中的签名密钥、 设置于信息安全设备中的验签密钥， 也可以通过远端源 设备与信息安全设备通过网络协商来确定。

步骤 302, 远端源设备对附加签名的升级信息进行加密处理， 得到 附加签名的密文升级信息。

本步骤中， 加密处理可利用 DES、 TDES、 AES、 RSA、 ECC等加 密算法； 加密算法和加密密钥预先设置于远端源设备中， 对应的解密算 法和解密密钥则预先设置于信息安全设备中。 以 RSA算法为例，远端源 设备中的加密密钥为 RSA密钥对中的私钥，信息安全设备中的解密密钥 则为 RSA密钥对中的公钥。

步骤 303 , 远端源设备将附加签名的密文升级信息传输至信息安全 设备的升级接口。

步骤 304, 信息安全设备对其升级接口接收到的升级信息进行解密 处理， 在解密成功后执行步骤 305。 步骤 305 , 信息安全设备对解密后的升级信息进行验签处理， 如果 验签处理通过， 则执行步骤 306, 否则， 执行步骤 307。

步骤 306, 利用升级信息执行升级， 并结束本流程。

步骤 307, 输出错误信息， 并结束本流程。

至此， 本流程结束。

由上述流程可见， 本实施例中信息安全设备的远程升级方法中， 由 作为升级方的远端源设备对升级信息进行包括了签名处理和加密处理 的安全处理， 得到附加签名的密文升级信息发送至信息安全设备， 并由 作为被升级方的信息安全设备对接收到的升级信息进行包括了解密处 理和验签处理的合法性验证， 只有在合法性验证通过时才利用该升级信 息进行内部程序或数据的升级， 从而确保了信息安全设备不会利用被攻 击者篡改或伪造的升级信息对其内部的程序或数据升级， 避免了攻击者 利用升级接口对信息安全设备进行攻击和破坏， 从而保证了信息安全设 备的远程升级的可信性和可靠性。 同时， 也避免了升级信息在传输过程 中出错所导致的升级错误。

相比于方法实施例一， 本实施例中远端源设备传输的附加签名的升 级信息为密文， 不但能够防篡改， 还能够保证升级信息不可见。

除以上两个方法实施例之外， 根据网络环境和用户需求， 安全处理 所包括的具体处理过程也可以采用其他方式， 例如只包括加密处理等。

以上是对本发明中信息安全设备的远程升级方法的详细说明。下面， 再对本发明中信息安全设备的远程升级系统进行说明。

本发明中信息安全设备的远程升级系统包括： 远端源设备和信息安 全设备。

远端源设备， 对待传输至信息安全设备的升级信息进行安全处理， 并将经安全处理的升级信息传输至信息安全设备的升级接口。 信息安全设备， 对接收到的升级信息进行合法性验证， 并在合法性 验证通过后利用该升级信息执行升级。

实际应用中， 较佳地， 安全处理可包括签名处理， 签名处理后即可 得到附加签名的升级信息， 即能够升级信息的防篡改。 其中， 签名处理 可利用任意一种签名算法及对应的签名密钥来实现， 例如 MAC算法， 或 HMAC、 RSA、 ECC等各种签名算法； 签名算法和签名密钥预先设置 于远端源设备中， 对应的验签算法和验签密钥则预先设置于信息安全设 可选地， 安全处理还可包括在签名处理之后执行的加密处理， 以将 附加签名的升级信息由明文处理为密文。 其中， 加密处理可利用 DES、 TDES、 AES、 RSA、 ECC 等加密算法； 加密算法和加密密钥预先设置 于远端源设备中， 对应的解密算法和解密密钥则预先设置于信息安全设 备中。 信息安全设备所执行的合法性验证则对应地为解密处理和验签处 理。

由上述系统可见， 由作为升级方的远端源设备对升级信息进行安全 处理， 并由作为被升级方的信息安全设备对接收到的升级信息进行合法 性验证， 只有在合法性验证通过才利用该升级信息进行内部程序或数据 的升级， 从而确保了信息安全设备不会利用被攻击者篡改或伪造的升级 信息对其内部的程序或数据升级， 避免了攻击者利用升级接口对信息安 全设备进行攻击和破坏， 从而保证了信息安全设备的远程升级的可信性 和可靠性。 同时， 也避免了升级信息在传输过程中出错所导致的升级错 误。

下面， 结合具体实施例， 对上述系统进行进一步说明。

系统实施例一

本实施例中， 以安全处理包括签名处理、 合法性验证过程包括验签 处理为例。

图 4为本发明系统实施例一中信息安全设备的远程升级系统的结构 图。 如图 4所示， 本实施例中信息安全设备的远程升级系统包括： 远端 源设备和信息安全设备。

具体来说， 远端源设备中可以包括： 升级信息配置单元、 实现安全 处理的签名处理单元、 信息传输单元。

升级信息配置单元中设置了待发送给信息安全设备的升级信息。 签名处理单元，对待发送给信息安全设备的升级信息进行签名处理， 得到附加签名的升级信息。

其中，签名处理可利用任意一种签名算法及对应的签名密钥来实现， 例如 MAC算法， 或 HMAC、 RSA、 ECC等各种签名算法； 签名算法和 签名密钥预先设置于远端源设备中， 对应的验签算法和验签密钥则预先 设置于信息安全设备中； 如果签名算法为一种对称算法， 则远端信息源 与信息安全设备共享用于签名和验签的密钥； 设置于远端源设备中的签 名密钥、 设置于信息安全设备中的验签密钥， 也可以通过远端源设备与 信息安全设备通过网络协商来确定。

信息传输单元， 将附加签名的升级信息传输至信息安全设备的升级 接口。

对应地， 本实施例中的信息安全设备包括： 升级接口、 实现合法性 验证的验签处理单元、 以及升级处理单元。

升级接口， 接收来自外部的升级信息， 该升级信息可能为来自远端 源设备的附加签名的升级信息， 也可能为来自攻击者的升级信息。

验签处理单元， 对升级接口接收到的升级信息进行验签处理， 将验 签处理通过的升级信息输出至升级处理单元。

升级处理单元， 利用接收到的升级信息执行升级。 由上述系统可见， 本实施例由作为升级方的远端源设备对升级信息 进行包括了签名处理的安全处理， 得到附加签名的升级信息发送至信息 安全设备， 并由作为被升级方的信息安全设备则对接收到的升级信息进 行包括了验签处理的合法性验证， 只有在合法性验证通过时才利用该升 级信息进行内部程序或数据的升级， 从而确保了信息安全设备不会利用 被攻击者篡改或伪造的升级信息对其内部的程序或数据升级， 避免了攻 击者利用升级接口对信息安全设备进行攻击和破坏， 从而保证了信息安 全设备的远程升级的可信性和可靠性。 同时， 也避免了升级信息在传输 过程中出错所导致的升级错误。

系统实施例二

本实施例中， 以安全处理包括签名处理和加密处理、 合法性验证过 程包括解密处理和险签处理为例。

图 5为本发明系统实施例二中信息安全设备的远程升级系统的结构 图。 如图 5所示， 本实施例中信息安全设备的远程系统方法包括： 远端 源设备和信息安全设备。

具体来说， 远端源设备中可以包括： 升级信息配置单元、 实现安全 处理的签名处理单元和加密处理单元、 以及信息传输单元。

升级信息配置单元中设置了待发送给信息安全设备的升级信息。 签名处理单元，对待传输至信息安全设备的升级信息进行签名处理， 得到附加签名的升级信息。

其中，签名处理可利用任意一种签名算法及对应的签名密钥来实现， 例如 MAC算法， 或 HMAC、 RSA、 ECC等各种签名算法； 签名算法和 签名密钥预先设置于远端源设备中， 对应的验签算法和验签密钥则预先 设置于信息安全设备中； 如果签名算法为一种对称算法， 则远端信息源 与信息安全设备共享用于签名和验签的密钥； 设置于远端源设备中的签 名密钥、 设置于信息安全设备中的验签密钥， 也可以通过远端源设备与 信息安全设备通过网络协商来确定。

加密处理单元， 对附加签名的升级信息进行加密处理， 得到附加签 名的密文升级信息。

其中， 加密处理可利用 DES、 TDES、 AES、 RSA、 ECC等加密算 法； 加密算法和加密密钥预先设置于远端源设备中， 对应的解密算法和 解密密钥则预先设置于信息安全设备中。以 RSA算法为例，远端源设备 中的加密密钥为 RSA密钥对中的私钥，信息安全设备中的解密密钥则为 RSA密钥对中的公钥。

信息传输单元， 将附加签名的密文升级信息传输至信息安全设备的 升级接口。

对应地， 本实施例中的信息安全设备包括： 升级接口、 实现合法性 验证的解密处理单元和验签处理单元、 以及升级处理单元。

解密处理单元， 对升级接口接收到的升级信息进行解密处理， 将解 密成功后的升级信息输出至验签处理单元。

验签处理单元， 对解密后的升级信息进行验签处理， 将验签处理通 过的升级信息输出至升级处理单元。

升级处理单元， 利用升级信息执行升级。

由上述系统可见， 本实施例由作为升级方的远端源设备对升级信息 进行包括了签名处理和加密处理的安全处理， 得到附加签名的密文升级 信息发送至信息安全设备， 并由作为被升级方的信息安全设备对接收到 的升级信息进行包括了解密处理和验签处理的合法性验证， 只有在合法 性验证通过时才利用该升级信息进行内部程序或数据的升级， 从而确保 了信息安全设备不会利用被攻击者篡改或伪造的升级信息对其内部的 程序或数据升级， 避免了攻击者利用升级接口对信息安全设备进行攻击 和破坏，从而保证了信息安全设备的远程升级的可信性和可靠性。 同时， 也避免了升级信息在传输过程中出错所导致的升级错误。

相比于系统实施例一， 本实施例中远端源设备中实现安全处理的功 能单元除了签名处理单元之外， 还包括加密处理单元， 且远端源设备传 输的附加签名的升级信息为密文， 不但能够防篡改， 还能够保证升级信 息不可见。

除以上两个系统实施例之外， 根据网络环境和用户需求， 远端源设 备也可以采用其他功能单元用以实现安全处理。

以上所述仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换以 及改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求书

1、 一种信息安全设备的远程升级方法， 其特征在于， 该方法包括： 远端源设备对待传输至信息安全设备的升级信息进行安全处理， 并 将经安全处理的升级信息发送至信息安全设备；

信息安全设备对接收到的升级信息进行合法性验证， 并在合法性验 证通过后利用该升级信息执行升级。

2、 如权利要求 1所述的方法， 其特征在于， 所述安全处理包括： 签 名处理；

所述合法性验证包括： 验签处理。

3、如权利要求 2所述的方法， 其特征在于， 利用如下算法执行所述 签名处理和验签处理： 信息认证码 MAC算法、 杂凑信息验证码 HMAC 算法、 非对称加密算法 RSA算法或椭圆曲线加密算法 ECC算法。

4、如权利要求 2或 3所述的方法， 其特征在于， 在所述签名处理之 后， 所述安全处理进一步包括： 加密处理；

在所述验签处理之前， 所述合法性验证进一步包括： 解密处理。

5、如权利要求 4所述的方法， 其特征在于， 利用如下算法执行所述 加密处理和解密处理：数据加密标准 DES算法、三重数据加密标准 TDES 算法、 高级加密标准 AES算法、 RSA算法或 ECC算法。

6、一种信息安全设备的远程升级系统， 该系统包括： 远端源设备和 信息安全设备， 其特征在于，

所述远端源设备， 对待传输至信息安全设备的升级信息进行安全处 理， 并将经安全处理的升级信息发送至所述信息安全设备；

所述信息安全设备， 对接收到的升级信息进行合法性验证， 并在合 法性验证通过后利用该升级信息执行升级。

7、 如权利要求 6所述的系统， 其特征在于， 所述远端源设备包括： 升级信息配置单元、 实现安全处理的签名处理单元和信息传输单元， 其 中，

所述升级信息配置单元中设置了待发送给所述信息安全设备的升级 信息；

所述签名处理单元， 对所述待发送给信息安全设备的升级信息进行 签名处理， 得到附加签名的升级信息；

所述信息传输单元， 将所述附加签名的升级信息传输至所述信息安 全设备；

所述信息安全设备包括： 升级接口、 实现合法性验证的验签处理单 元以及升级处理单元， 其中，

所述升级接口， 接收来自外部的升级信息；

所述验签处理单元， 对所述升级接口接收到的升级信息进行验签处 理， 将险签处理通过的升级信息输出至所述升级处理单元；

所述升级处理单元， 利用接收到的升级信息执行升级。

8、如权利要求 7所述的系统， 其特征在于， 所述签名处理单元和所 述验签处理单元利用如下算法分别执行所述签名处理和验签处理： 信息 认证码 MAC算法、杂凑信息验证码 HMAC算法、非对称加密算法 RSA 算法或椭圆曲线加密算法 ECC算法。

9、如权利要求 7或 8所述的系统， 其特征在于， 所述远端源设备在 所述签名处理单元与所述信息传输单元之间， 进一步包括加密处理单 元；

所述加密处理单元， 将所述签名处理单元得到的附加签名的升级信 息进行加密处理后传输至所述信息传输单元；

所述信息安全设备在所述升级接口与所述验签处理单元之间， 进一 步包括解密处理单元；

所述解密处理单元， 将所述升级接口接收到的升级信息进行解密处 理， 并将成功解密的升级信息输出至所述验签处理单元进行验签处理。

10、 如权利要求 9所述的系统， 其特征在于， 所述加密处理单元和 所述解密处理单元利用如下算法分别执行所述加密处理和解密处理： 数 据加密标准 DES算法、 三重数据加密标准 TDES算法、 高级加密标准 AES算法、 RSA算法或 ECC算法。