专利名称:基于“黑匣子”技术的网络安全平台实现方法
技术领域:
本发明涉及信息安全领域,是采用飞机飞行记录仪——“黑匣子”概念,记录下作为“公正”的第三方公正数据,来代替国际安全平台PKI/CA体制中的CA认证中心公正的第三方功能,建立起一套完整的网络安全平台,适用于电子商务、银行、工商、税务、政府、国防等。
背景技术:
目前,国内外一些密码设备厂商生产的用于网络安全平台产品,都是基于PKI/CA体制的网络安全平台,由CA认证中心负责对用户密码和证书的生产、分发和管理,CA认证中心还起到“公正”的第三方作用,该技术需要建立CA认证中心,系统建立投入大,为认证双方提供常年的密钥和证书的维护和管理的成本高,尤其是每年用户需要交高额的服务费,导致该技术的普及应用难度较大。
发明内容
基于“黑匣子”技术的网络安全平台实现方法,是运用计算机、密码和网络技术,在网络服务器端设置“黑匣子”,摘取并记录下客户机与网络服务器之间的身份认证、加密传输和数字签名等过程中的公正数据,将“黑匣子”作为“公正”的第三方,密码生产商负责密钥和证书的生产、分发和管理,在网络服务器端建立非对称密钥和证书更新区,将用户的私钥和证书加密成密文,通过网络进行更新管理,并建立对称密钥自动生成算法,来完成认证双方的证书、非对称和对称密钥的生产、分发和管理等工作,以代替PKI/CA体制中CA认证中心的“公正”第三方功能,以及证书和密钥更新和管理的功能,从而,建立一套完整的网络安全平台,全部过程用软、硬件结合或完全用软件方式实现,具体方法如下1、引进飞机飞行记录仪——“黑匣子”概念,在网络服务器端建立“黑匣子”,记录网络身份认证、加密传输和数字签名过程中的公正数据。
2、将“黑匣子”记录的内容设定为只读数据文件,不可修改,根据需要可定时将数据拷贝保存,将“黑匣子”里记录的内容作为“公正”的第三方公正数据,用“黑匣子”技术来代替PKI/CA体制中的CA认证中心的“公正”第三方功能。
3、在经过身份确认后,才可以浏览“黑匣子”里的内容,这些内容分别由权限管理系统控制并按各自的权限分配,以保证”黑匣子”中数据的公正性。
4、在客户机和网络服务器两端建立网络身份认证、加密传输和数字签名等系统,构建一套完整的网络安全平台。
5、在客户端使用智能卡,存放非对称密码算法、对称密码算法、摘要算法、密钥种子、证书、私钥和对称密钥自动生成算法,以及身份认证、加密传输和数字签名安全协议等。
6、在网络服务器端使用加密卡或硬盘等设备,存放非对称密码算法、对称密码算法、摘要算法、秘密密钥种子、证书、公钥和对称密钥自动生成算法,以及身份认证、加密传输和数字签名安全协议等。
7、客户机端写入智能卡中的密钥种子是以明文方式存储,智能卡具有防止数据外泄功能,保证这些数据的不被非法读出。
8、密钥种子由S组“0”、“1”数字组成,S=600~1000;每组由S1比特“0”、“1”数字组成,S1=8~16比特。
9、用时间因子和随机数即会话密钥,共同组成对称密钥自动生成算法,从S组密钥种子中组合选取K组密钥种子,再合并成一组对称密钥,即实现对称密钥自动、组合生成,其中K=8~12,将其用于身份认证,生成的对称密钥一次一变,几十年内不重复。
10、采用种植密钥种子技术及其对称密钥自动生成算法,来替代CA认证中心的对称密钥分发、更新管理等功能。
11、将时间戳定义为时间因子,时间因子由6~12位数字组成,随机数即会话密钥由8~16位数字组成。
12、在网络服务器端的加密卡或硬盘里,存放全部客户端的密钥种子,且这些密钥种子是以密文的形式存放即秘密密钥种子,其中用于加密密钥种子的密钥存放在加密卡中,以防被盗用。
13、网络身份认证过程(1)网络身份认证完全使用对称密码算法来实现,并采用双向认证方式进行网络服务器和客户机之间的认证,确保认证双方身份的可信度。
(2)当客户机端向网络服务器端发出认证请求后,网络服务器回应的方式是,产生一组随机数即挑战码发送给客户机端,其中挑战码由M位数字组成,M=6~32。
(3)客户机产生一组随机数即会话密钥和时间戳即时间因子,由二者组成的对称密钥自动生成算法,对密钥种子进行控制选取生成一组对称密钥,再将证书和挑战码进行加密生成一组密文即认证口令,将该用户名、认证口令、会话密钥和时间因子等认证参数一并发送给网络服务器。
(4)网络服务器端接收到认证参数后,先根据用户名、会话密钥、时间因子和对称密钥自动生成算法,生成一组秘密密钥,再解密成明文,用其将认证口令解密生成明文即一组证书和挑战码,将该组证书和挑战码,与网络服务器端预存的该用户名对应的证书和网络服务器端已生成的挑战码分别进行对比,完全相同为认证通过,否则,为认证未通过。
(5)网络服务器和客户机之间的相互认证通过后,“黑匣子”将用户名、时间因子、会话密钥、认证口令和挑战码等数据自动记录下来,作为“公正”的第三方公正数据。
14、数字签名过程(1)发送方首先用摘要算法从原文得到数字签名即数字指纹M,M由128比特“0”、“1”数字组成,用客户端的私钥对数字签名进行加密,生成秘密数字签名。
(2)发送方根据对称密钥的自动生成算法,产生一组对称密钥,对文件进行加密生成密文文件。
(3)发送方用接收方的公钥,将该加密明文的对称密钥进行加密,生成秘密密钥,并通过网络将用户名、密文文件、秘密数字签名和秘密密钥等数据通过网络传输给接收方,同时在网络服务器里备份。
(4)接受方使用自己的私钥把秘密密钥信息进行解密,得到秘密密钥的明文即对称密钥,用对称密钥对文件进行解密得到文件明文;再用发送方的公钥对秘密数字签名进行解密,得到数字签名的明文。
(5)接收方用得到的明文和摘要算法重新计算数字签名,并与解密后的数字签名进行对比,如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。
(6)网络服务器端的“黑匣子”将用户名、秘密数字签名和秘密密钥等数据自动记录下来,作为公正的第三方公正数据。
15、文件加密密传输过程(1)发送方利用对称密钥自动生成算法,从密钥种子中生成一组对称密钥,并将需要传输给接收方的文件加密成密文,再用接收方的公钥将该组对称密钥加密成密文即秘密密钥。
(2)发送方将其用户名、密文文件、秘密密钥等数据一并发送给接收方,同时在网络服务器里备份。
(3)接受方使用自己的私钥对秘密密钥信息进行解密,得到秘密密钥的明文,再用已获得的密钥明文对密文文件进行解密,生成明文。
(4)“黑匣子”将用户名、秘密密钥等数据自动记录下来,作为“公正”的第三方公正数据。
16、在客户机和网络服务器之间建立安全加密通道,以便客户机与网络服务器之间的通信数据不被黑客窥探,其过程如下(1)采用对称密码算法来实现客户机与网络服务器之间的双向认证,并完成会话密钥的确定等,再建立网络服务器和客户机之间的SSL协议中的记录层协议。
(2)由于SSL协议为两层协议组成的,一是握手层协议,二是记录层协议,通过客户机与网络服务器之间的双向认证来实现SSL协议中的握手层协议,再利用客户机与网络服务器两端的各种密码算法,来实现SSL协议中的记录层协议。
17、密码产品生产商负责非对称密钥和证书的更新管理其方法如下(1)在网络服务器端建立全体用户非对称密钥和证书的更新管理区,分别用各用户的密钥种子生成的对称密钥,将用户的私钥和证书加密成密文即秘密私钥和秘密证书,再将其与用户对应的公钥、用户名以及产生对应的时间因子和会话密钥等数据发送给网络服务器的非对称密钥和证书更新管理区。
(2)网络服务器端将接收到的公钥存放到硬盘的公钥数据存储区,根据用户名、时间因子、会话密钥以及对称密钥自动生成算法生成对称密钥,将秘密证书解密成明文并存放在证书数据存储区;客户机端将通过网络身份认证后,自动下载该用户对应的秘密私钥、秘密证书、时间因子和会话密钥等数据,并根据对称密钥自动生成算法生成对称密钥,将秘密私钥和证书解密成明文存放在客户机端的智能卡中,至此,非对称密钥和证书完成了一次更新。
18、密码生产商采用在网络服务器端建立非对称密钥和证书更新管理区的方法,将用户私钥和证书加密成密文,通过网络传输的方法,实现非对称密钥和证书的定期更新,来替代CA认证中心的非对称密钥和证书的更新管理等功能。
图1基于“黑匣子”技术的网络安全平台实现方法流程图
具体实施例方式以下结合
基于“黑匣子”技术的网络安全平台实现步骤图1说明客户机端在进行身份认证过程中,将用户名、认证口令、会话密钥和时间因子等认证参数发送给网络服务器,同时“黑匣子”自动记录下这组认证参数和网络服务器端产生的挑战码,作为“公正”的第三方公正数据;客户机端在进行数字签名过程中,将用户名、秘密数字签名、秘密密钥和密文文件等发送给网络服务器,同时“黑匣子”摘取这组数字签名数据中的用户名、秘密数字签名和秘密密钥等,并自动记录下来作为“公正”的第三方公正数据;客户机端在进行加密传输过程中,将用户名、秘密密钥和密文文件等发送给网络服务器,同时,“黑匣子”摘取这组加密传输数据中的用户名、秘密密钥等,并自动记录下来作为“公正”的第三方公正数据;客户机和网络服务器之间是采取双向认证方式,当双向认证通过后,在两者之间建立SSL协议中的记录层协议,来构成一条安全数据传输通道。
权利要求
1.基于“黑匣子”技术的网络安全平台实现方法,是运用计算机、密码和网络技术来实现,其实施步骤如下在网络服务器端设置“黑匣子”,摘取并记录下客户机与网络服务器之间的身份认证、加密传输和数字签名等过程中的公正数据,将“黑匣子”作为“公正”的第三方,密码生产商负责密钥和证书的生产、分发和管理,在网络服务器端建立非对称密钥和证书更新区,将用户的私钥和证书加密成密文,通过网络进行更新管理,并建立对称密钥自动生成算法,来完成认证双方的证书、非对称和对称密钥的生产、分发和管理等工作,以代替国际上PKI/CA体制中CA认证中心的“公正”第三方功能,以及证书和密钥更新和管理的功能,从而,建立一套完整的网络安全平台。
2.根据权利1要求的方法,其特征在于(1)采用“黑匣子”技术记录网络服务器和客户机之间的身份认证、加密传输和数字签名过程中的公正数据,来替代PKI/CA体制中的CA认证中心这“公正”的第三方功能;(2)将“黑匣子”里记录的内容设定为只读数据文件,不能修改,只有正确通过身份认证后,才能根据权限浏览“黑匣子”里的内容,以保证“黑匣子”中数据的公正性。
3.根据权利1要求的方法,其特征在于采用密钥种子技术和建立对称密钥自动生成算法,实现对称密钥自动、组合生成,来替代PKI/CA体制中CA认证中心的对称密钥更新和管理等功能。
4.根据权利1要求的方法,其特征在于在网络服务器端建立非对称密钥和证书更新区,将用户私钥和证书加密成密文并经网络传输的方式,实现用户非对称密钥和证书的定期更新管理等,来替代PKI/CA体制中CA认证中心的非对称密钥和证书更新和管理等功能。
5.根据权利1要求的方法,其特征在于采用对称密码来实现网络服务器和客户机之间的双向身份认证,达到加密认证速度快和加密的证书抗集团破译能力强等特点。
6.根据权利5要求的方法,其特征在于(1)通过会话密钥和时间因子建立的对称密钥生成算法,从密钥种子中组合生成对称密钥,一次一变不重复,保证了对称密钥和认证口令的生成具有很大的随机性,提高了认证的安全性;(2)网络服务器和客户机两端密钥“种子”的存储方式不同,前者是以密文形式存储在服务器的硬盘里,后者是以明文形式存储在客户机端的智能卡中,智能卡具有防非法数据读取功能,双方都不知道对方生成对称密钥的密钥种子,保证双方都不可模仿对方的操作;(3)通过对网络服务器端产生挑战码的生命期设置,控制整个认证过程的最大周期,以防止黑客截取并盗用认证参数;(4)通过客户机与网络服务器之间的双向认证来实现SSL协议中的握手层协议,再建立SSL协议中的记录层协议,来组成客户机和网络服务器之间的安全加密通道,以保证客户机与网络服务器之间的通信数据不被黑客窥探。
全文摘要
基于“黑匣子”技术的网络安全平台实现方法,是运用计算机、密码和网络技术,在网络服务器端设置“黑匣子”,摘取并记录下客户机与网络服务器之间的身份认证、加密传输和数字签名等过程中的公正数据,将“黑匣子”作为“公正”的第三方,在网络服务器端建立非对称密钥和证书更新区,将用户的私钥和证书加密成密文,经网络进行更新管理,并通过建立对称密钥自动生成算法,来完成认证双方的证书、非对称和对称密钥的生产、分发和管理等工作,以代替国际上PKI/CA体制中CA认证中心的“公正”第三方功能,以及证书和密钥更新和管理的功能,从而,建立一套完整的网络安全平台。
文档编号H04L9/10GK1703003SQ200510085258
公开日2005年11月30日 申请日期2005年7月22日 优先权日2005年7月22日
发明者胡祥义 申请人:胡祥义