一种对加密算法与密钥进行检测的方法及装置制造方法

一种对加密算法与密钥进行检测的方法及装置制造方法
【专利摘要】本发明提供了一种对加密算法与密钥进行检测的方法及装置。所述方法包括：对被检终端进行识别，获取被检终端的类型及其所使用的密码设备；根据被检终端所使用的密码设备，确定所检测的算法类型；对检测的算法类型，选择设定的相关计算示例进行运算，并与被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对检测的算法类型的检测结果；获取被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对密钥的检测结果。本发明能够自动识别终端设备所使用的算法，检查是否符合国家密码管理局的规范；兼容各类接口，对终端进行加密算法使用和密钥管理的合规性检验，防止违规终端和非法终端接入。
【专利说明】一种对加密算法与密钥进行检测的方法及装置
【技术领域】
[0001]本发明涉及加密技术，尤其涉及一种对加密算法和密钥的检测方法及装置，具体的讲是一种面向电网企业业务应用的统一加密算法和密钥检测方法及装置。
【背景技术】
[0002]加密技术是信息安全领域的核心技术。它能有效解决信息的保密性、完整性以及真实性问题。在当前电力业务高度信息化和智能电网技术不断普及的背景下，越来越多的电力设备逐步实现智能化，电力企业尤其是电网企业中信息交互数据呈现几何级数增长，使用加密技术保护其中的关键数据成为亟待解决的问题。
[0003]加密技术的使用目前已经深入到电网企业信息化领域的各个方面，输变电状态监测系统、安全接入平台、营销用户信息采集系统等系统普遍采用加密技术保护关键信息安全。对使用加密技术的信息系统来说，其安全性主要依赖于两方面:(I)所使用的加密算法的安全性。加密算法是安全信息系统的根本，一个劣质的加密算法会使整个系统变得毫无安全可言；(2)加密密钥的安全。如果加密的密钥发生丢失，攻击者不仅可以直接使用密钥来获取关键数据，还可以通过密钥攻击加密算法，实现对算法的破解，从而对业务系统实施攻击。因此，加强对加密算法和密码设备密钥管理机制的安全水平的测评尤为重要，先进的密钥测评方法有助于加强电网企业对密钥使用的管理，增强加密技术和密钥的使用安全。
[0004]目前电网企业中应用的大多数业务系统声称使用了国密局专用的密码算法，但其有效性和安全性未经过验证；同时，部分业务系统的管理人员缺乏对密钥应用安全的认识，导致密钥的保存及使用存在隐患。因此，如何对加密技术和密钥的使用进行规范、有效的管理，发展先进的加密算法和密钥测评技术，建立完善的密钥检测认证体系是解决当前电网企业业务系统面临的安全性问题的的重要途径。通过对加密算法、密码设备、密钥管理设备进行安全性评测，能够为电网企业业务系统提供更安全的使用环境。
[0005]针对加密算法和密钥管理的安全性测评技术是信息安全测评的重要内容，它是构建业务系统信息安全体系的基础。实现统一的针对加密算法和密钥管理的自动化测评技术，对于提高电网企业对加密算法和密码产品安全隐患的发现能力，保障加密算法和密码产品的安全性、先性具有重要的现实意义。
[0006]目前主流加密检测装置从实现方式上可以分为软件实现与硬件实现两类，它们通常使用标准的加密算法匹配用例库，对给定系统的加密算法进行白盒测试，通过比对加密过程中的明文/密文对来判断该系统加密算法是否符合设计标准和安全性要求。但是，这种系统一般无法自动识别待检测系统的加密算法，也无法自动根据待检测系统的安全级别对其加密算法的合规性给出评价，且缺少对海量密钥管理水平进行评价的功能，不能满足电网企业对密码体系评测的要求。

【发明内容】

[0007]本发明的目的是设计实现一种面向业务应用的统一加密算法和密钥管理测评方法及装置，针对电网企业中使用的各类应用系统的安全级别要求，自动识别企业的业务系统安全等级，并使用国家规定的商用密码加密算法进行匹配检测，实现对业务系统安全性的统一检测，以解决目前业务系统密码设备缺乏统一规范、密钥管理水平参差不齐的问题。
[0008]为了达到上述目的，本发明实施例提供一种对加密算法与密钥进行检测的方法，所述方法包括:对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备；根据所述被检终端所使用的密码设备，确定所检测的算法类型；对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果；获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
[0009]进一步地，在一实施例中，所述对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备，包括:根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型；根据所述配电网安全防护类型，确定所述被检终端使用的密码设备。
[0010]进一步地，在一实施例中，所述根据所述被检终端所使用的密码设备，确定所检测的算法类型，包括:判定所述被检终端是否支持国产加密算法；如果支持，确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。
[0011]进一步地，在一实施例中，所述对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果，包括:根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文；根据相关接口，向所述被检终端输入明文；所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文；将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
[0012]进一步地，在一实施例中，所述方法还包括:根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。
[0013]为了达到上述目的，本发明实施例还提供一种对加密算法与密钥进行检测的装置，其特征在于，所述装置包括:设备识别模块，用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备；算法识别模块，用于根据所述被检终端所使用的密码设备，确定所检测的算法类型；算法检测模块，用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果；密钥检测模块，用于获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
[0014]进一步地，在一实施例中，所述设备识别模块用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备，包括:配电网安全防护类型判定模块，用于根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型；密码设备判定模块，用于根据所述配电网安全防护类型，确定所述被检终端使用的密码设备。
[0015]进一步地，在一实施例中，所述算法识别模块用于根据所述被检终端所使用的密码设备，确定所检测的算法类型，包括:支持判定模块，用于判定所述被检终端是否支持国产加密算法；算法判定模块，用于确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。
[0016]进一步地，在一实施例中，所述算法检测模块用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果，包括:规范密文生成模块，用于根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文；明文输入模块，用于根据相关接口，向所述被检终端输入明文；检测密文生成模块，用于所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文；密文比对模块，用于将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
[0017]进一步地，在一实施例中，所述对加密算法与密钥进行检测的装置还包括:统一接口生成模块，用于根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。
[0018]本发明实施例的对加密算法与密钥进行检测的方法及装置，实现了对国家密码管理局SMl、SM2、SM3、SM4算法的输入输出结果进行深入研究，能够自动识别终端设备所使用的算法，并能对算法进行校验，检查是否符合国家密码管理局的规范，确保使用正确合规的算法；能够对海量密钥管理进行评测，提供管理建议，防止密钥丢失或者滥用情况发生；本发明能够兼容各类接口，对终端进行加密算法使用和密钥管理的合规性检验，防止违规终端和非法终端接入；本发明不仅能够检测终端设备使用的密码算法是否符合国家密码管理局的规定，还将对整个系统的密钥管理水平进行评价，是一款集密码算法检测与密钥管理评价于一体的评测方法及系统。
【专利附图】

【附图说明】
[0019]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本发明的一种对加密算法与密钥进行检测的方法的实施例的方法流程图；
[0021]图2为图1所示实施例中的步骤SlOl的方法流程图；
[0022]图3为图1所示实施例中的步骤S102的方法流程图；
[0023]图4为图1所示实施例中的步骤S103的方法流程图；
[0024]图5为本发明的一种对加密算法与密钥进行检测的方法的另一实施例的方法流程图；
[0025]图6为本发明实施例的一种对加密算法与密钥进行检测的装置的结构示意图；
[0026]图7为图5所示实施例中的设备识别模块101的结构示意图；
[0027]图8为图5所示实施例中的算法识别模块102的结构示意图；
[0028]图9为图5所示实施例中的算法检测模块103的结构示意图；
[0029]图10为本发明的一种对加密算法与密钥进行检测的装置的另一实施例的结构示意图。
【具体实施方式】
[0030]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]本发明中的对加密算法与密钥进行检测的方法及装置主要实现了对电力网络中使用的各种终端设备所使用的密码算法、密钥的安全性进行统一的检测，评估其是否达到了规定的要求，对于违规的终端设备不允许接入网络中。
[0032]图1为本发明实施例的对加密算法与密钥进行检测的方法流程图。如图所示，本实施例的对加密算法与密钥进行检测的方法包括:步骤S101，对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备；步骤S102，根据所述被检终端所使用的密码设备，确定所检测的算法类型；步骤S103，对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果；步骤S104，获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
[0033]在本实施例中，如图2所示，在所述对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备的步骤Sioi中，包括:
[0034]步骤S1011，根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型；步骤S1012，根据所述配电网安全防护类型，确定所述被检终端使用的密码设备。
[0035]在本实施例中，以电力专用设备“中低压配电网自动化系统安全防护系统”为例，说明如何确定设备的配电网安全防护类型以及密码设备的类型:1)依据国家电网调【2011】168号《关于加强配电网自动化系统安全防护工作的通知》的相关要求，针对配电网的安全防护，采用单向认证、单向认证+对称加密、单向认证+非对称加密三类之一 ；2)依据所提供的检测终端类型，即可确定其所采用上述哪类配电网安全防护类型；3)而依据所确定的配电网安全防护类型，即可确定所用密码设备类型。
[0036]在本实施例中，如图3所示，在所述根据所述被检终端所使用的密码设备，确定所检测的算法类型的步骤S102中，包括:步骤S1021，判定所述被检终端是否支持国产加密算法；步骤S1022，如果支持，确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。
[0037]在本实施例中，以电力专用设备“服务器密码机”为例，说明如何确定所检测的算法类型:1)依据国家电网针对服务器密码机的要求，该设备需支持国产加密算法；2)国产加密算法包括对称、非对称、摘要算法，分别为SM1/2/3，鉴于SMl算法未公开，本系统针对非对称、摘要算法，即SM1、SM2完成检测；3)国产加密算法，由国家相关规范GM/T0003-2012《SM2椭圆曲线公钥密码算法》及GM/T0004-2012《SM3密码杂凑算法》所提供的算法实例完成相关检测 。
[0038]在本实施例中，如图4所示，在所述对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果的步骤S103中，包括:
[0039]步骤S1031，根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文；步骤S1032，根据相关接口，向所述被检终端输入明文；步骤S1033，所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文；步骤S1034，将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
[0040]在步骤S1031中，根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文，是指选择采用由国家密码管理局所提供的相关计算示例，完成计算。国产加密算法，均由国家算法主管机构，国家密码管理局推出。针对对称、非对称、摘要算法，主要遵循规范为:GM/T0002-2012《SM4分组密码算法》、GM/T0003-2012《SM2椭圆曲线公钥密码算法》、GM/T0004-2012《SM3密码杂凑算法》。
[0041]在步骤S1032中，根据相关接口，向所述被检终端输入明文，以实现对被检终端的密码检测。其中，在本实施例中，明文是指可以被设备直接识别的信息。输入明文的目的，是由相关终端完成密码计算处理，输出为密文。
[0042]在步骤S1033中，所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文，是指:根据终端设备所提供的相关API接口，依托终端自身的密码模块、板卡或芯片，采用响应的密码算法，完成密码计算。
[0043]在步骤S1034中，将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。在本实施例中，被检终端输出的密文，是由被检终端自身的相关密码模块、板卡或芯片，依据所调用的密码算法，完成计算，将明文计算为密文，输出的结果。本检测所采用的明、密文比对基线，均源自国家密码管理局所颁发的以下三个规范中的《运算示例》:GM/T0002-2012《SM4分组密码算法》、GM/T0003-2012《SM2椭圆曲线公钥密码算法》、GM/T0004-2012《SM3密码杂凑算法》；比对结果包括一致、非一致两种。如果一致说明所采用算法为国产加密算法无误，如果不一致说明所采用响应算法非国产加密算法。
[0044]在步骤S104中，获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。在本实施例中，密钥的长度、强度、生命周期以及交互协议，均为算法的外部设置条件，不同的算法类别，相同的算法原型，其上述外部配置条件也多有相同之处。只有通过密码计算，比对明密文相关计算结果，才能对是否采用相关算法完成判断。
[0045]在另一实施例中，如图5所示，本发明的对加密算法与密钥进行检测的方法还包括:步骤S105，根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。检测终端遵循由国密局颁布的GM/T0018-2012《密码设备应用接口规范》及GM/T0019-2012《通用密码服务接口规范》完成统一接口的设计，被检终端所采用的相关密码设备，遵循上述规范，与检测设备对接。
[0046]图6为本发明实施例的一种对加密算法与密钥进行检测的装置的结构示意图。如图所示，本实施例的对加密算法与密钥进行检测的装置包括:
[0047]设备识别模块101，用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备；算法识别模块102，用于根据所述被检终端所使用的密码设备，确定所检测的算法类型；算法检测模块103，用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果；密钥检测模块104，用于获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
[0048]在本实施例中，如图7所示，所述设备识别模块101用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备，包括:配电网安全防护类型判定模块1011，用于根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型；密码设备判定模块1012，用于根据所述配电网安全防护类型，确定所述被检终端使用的密码设备。
[0049]在本实施例中，以电力专用设备“中低压配电网自动化系统安全防护系统”为例，说明如何确定设备的配电网安全防护类型以及密码设备的类型:1)依据国家电网调【2011】168号《关于加强配电网自动化系统安全防护工作的通知》的相关要求，针对配电网的安全防护，采用单向认证、单向认证+对称加密、单向认证+非对称加密三类之一 ；2)依据所提供的检测终端类型，即可确定其所采用上述哪类配电网安全防护类型；3)而依据所确定的配电网安全防护类型，即可确定所用密码设备类型。
[0050]在本实施例中，如图8所示，所述算法识别模块102用于根据所述被检终端所使用的密码设备，确定所检测的算法类型，包括:支持判定模块1021，用于判定所述被检终端是否支持国产加密算法；算法判定模块1022，用于确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。
[0051]在本实施例中，以电力专用设备“服务器密码机”为例，说明如何确定所检测的算法类型:1)依据国家电网针对服务器密码机的要求，该设备需支持国产加密算法；2)国产加密算法包括对称、非对称、摘要算法，分别为SM1/2/3，鉴于SMl算法未公开，本系统针对非对称、摘要算法，即SM1、SM2完成检测；3)国产加密算法，由国家相关规范GM/T0003-2012《SM2椭圆曲线公钥密码算法》及GM/T0004-2012《SM3密码杂凑算法》所提供的算法实例完成相关检测。
[0052]在本实施例中，如图9所示，所述算法检测模块103用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果，包括:规范密文生成模块1031，用于根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文；明文输入模块1032，用于根据相关接口，向所述被检终端输入明文；检测密文生成模块1033，用于所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文；密文比对模块1034，用于将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
[0053]在本实施例中，规范密文生成模块1031根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文，是指选择采用由国家密码管理局所提供的相关计算示例，完成计算。国产加密算法，均由国家算法主管机构，国家密码管理局推出。针对对称、非对称、摘要算法，主要遵循规范为:GM/T0002-2012《SM4分组密码算法》、GM/T0003-2012《SM2椭圆曲线公钥密码算法》、GM/T0004-2012《SM3密码杂凑算法》。
[0054]在本实施例中，明文输入模块1032根据相关接口，向所述被检终端输入明文，以实现对被检终端的密码检测。其中，在本实施例中，明文是指可以被设备直接识别的信息。输入明文的目的，是由相关终端完成密码计算处理，输出为密文。
[0055]在本实施例中，检测密文生成模块1033根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文，是指:根据终端设备所提供的相关API接口，依托终端自身的密码模块、板卡或芯片，采用响应的密码算法，完成密码计算。
[0056]在本实施例中，密文比对模块1034将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。在本实施例中，被检终端输出的密文，是由被检终端自身的相关密码模块、板卡或芯片，依据所调用的密码算法，完成计算，将明文计算为密文，输出的结果。本检测所采用的明、密文比对基线，均源自国家密码管理局所颁发的以下三个规范中的《运算示例》:GM/T0002-2012《SM4分组密码算法》、GM/T0003-2012《SM2椭圆曲线公钥密码算法》、GM/T0004-2012《SM3密码杂凑算法》;比对结果包括一致、非一致两种。如果一致说明所采用算法为国产加密算法无误，如果不一致说明所采用响应算法非国产加密算法。
[0057]在本实施例中，密钥检测模块104获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。在本实施例中，密钥的长度、强度、生命周期以及交互协议，均为算法的外部设置条件，不同的算法类别，相同的算法原型，其上述外部配置条件也多有相同之处。只有通过密码计算，比对明密文相关计算结果，才能对是否采用相关算法完成判断。
[0058]在另一实施例中，如图10所示，所述对加密算法与密钥进行检测的装置还包括:统一接口生成模块105，用于根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。检测终端遵循由国密局颁布的GM/T0018-2012《密码设备应用接口规范》及GM/T0019-2012《通用密码服务接口规范》完成统一接口的设计，被检终端所采用的相关密码设备，遵循上述规范，与检测设备对接。
[0059]本发明设计了一种面向电力业务应用的统一加密算法和密钥检测及测评方法及装置，以解决业务系统密码设备缺乏统一规范、密钥管理水平参差不齐等问题。对业务系统加密算法和密钥管理的安全性进行全面测评，建立适用于电网企业各业务系统的标准化通用测评系统，实现对业务系统密码设备密钥应用安全机制和加密算法行为的统一检测。
[0060]本发明实施例的主要优势在于以下几个方面:
[0061]I)专门针对电力行业设计
[0062]本发明对电力行业尤其是电网企业业务应用系统加密算法情况进行详细的统计和调研，设计出专门针对电力行业的统一评测系统。
[0063]2)专门针对国家密码管理局密码算法设计
[0064]本发明对国家密码管理局SM1、SM2、SM3、SM4算法的输入输出结果进行深入研究，能够自动识别终端设备所使用的算法，并能对算法进行校验，检查是否符合国家密码管理局的规范，确保使用正确合规的算法。
[0065]3)适用海量密钥管理
[0066]电力行业系统庞大、用户众多，各业务系统都可能产生海量的密钥，本发明系统能够对海量密钥管理进行评测，提供管理建议，防止密钥丢失或者滥用情况发生。
[0067]4)兼容性强，适用各种终端接口设备
[0068]电力系统网络情况复杂，终端情况也很复杂，系统内存在使用串口、以太网口、无线等多种类型接口的终端；本发明能够兼容各类接口，对终端进行加密算法使用和密钥管理的合规性检验，防止违规终端和非法终端接入。
[0069]5)集密码算法检测与密钥管理评价于一体的检测系统
[0070]本发明不仅能够检测终端设备使用的密码算法是否符合国家密码管理局的规定，还将对整个系统的密钥管理水平进行评价，是一款集密码算法检测与密钥管理评价于一体的检测系统。
[0071]6)硬件实现，性能较高
[0072]本发明使用硬件实现检测过程，采用高速处理的芯片完成工作，能够减少检测的时间，提高工作效率。
[0073]7)部署简单，终端透明
[0074]本发明系统部署简单，采用自动化安装脚本，配置简单易操作。系统工作时对终端透明，不改变终端原有接入方式。可降低维护成本，提升产品升级维护的操作性和易用性。
[0075]目前在密钥检测方面，学术理论虽然已在自动化检测方面有相关研究，却没有针对电力行业应用的专门检测系统；电力行业终端情况、接口和算法都较为复杂，本发明是专门针对电力行业的特殊情况研制开发的检测方法及装置，它将填补电力行业异构系统整合管理、应用强耦合密钥检测等方面的空白，具备较强的实用性和创新性。并且，从功能实现层面来说，虽然可以使用多种密钥管理产品与加密算法检测系统的组合使用来替代本发明方案，但是这种替代也无法完全满足电力行业的需要，因此本发明在电力行业应用领域具有独创性，无法使用其它产品和技术替代。
[0076]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0077]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0078]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0079]本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种对加密算法与密钥进行检测的方法，其特征在于，所述方法包括: 对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备； 根据所述被检终端所使用的密码设备，确定所检测的算法类型； 对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果; 获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
2.根据权利要求1所述的对加密算法与密钥进行检测的方法，其特征在于，所述对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备，包括: 根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型； 根据所述配电网安全防护类型，确定所述被检终端使用的密码设备。
3.根据权利要求1所述的对加密算法与密钥进行检测的方法，其特征在于，所述根据所述被检终端所使用的密码设备，确定所检测的算法类型，包括: 判定所述被检终端是否支持国产加密算法； 如果支持，确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。`
4.根据权利要求1所述的对加密算法与密钥进行检测的方法，其特征在于，所述对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果，包括: 根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文； 根据相关接口，向所述被检终端输入明文； 所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文； 将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
5.根据权利要求1所述的对加密算法与密钥进行检测的方法，其特征在于，所述方法还包括:根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。
6.一种对加密算法与密钥进行检测的装置，其特征在于，所述装置包括: 设备识别模块，用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备； 算法识别模块，用于根据所述被检终端所使用的密码设备，确定所检测的算法类型；算法检测模块，用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果； 密钥检测模块，用于获取所述被检终端所使用的密钥的长度、强度、生命周期以及交互协议，根据设定的技术规范进行密码计算，生成对所述密钥的检测结果。
7.根据权利要求6所述的对加密算法与密钥进行检测的装置，其特征在于，所述设备识别模块用于对被检终端进行识别，获取所述被检终端的类型及其所使用的密码设备，包括: 配电网安全防护类型判定模块，用于根据所述被检终端的类型，确定所述被检终端采用哪种配电网安全防护类型； 密码设备判定模块，用于根据所述配电网安全防护类型，确定所述被检终端使用的密码设备 。
8.根据权利要求6所述的对加密算法与密钥进行检测的装置，其特征在于，所述算法识别模块用于根据所述被检终端所使用的密码设备，确定所检测的算法类型，包括: 支持判定模块，用于判定所述被检终端是否支持国产加密算法； 算法判定模块，用于确定所述被检终端使用的国产加密算法的类型，为非对称算法还是摘要算法。
9.根据权利要求6所述的对加密算法与密钥进行检测的装置，其特征在于，所述算法检测模块用于对所述检测的算法类型，选择设定的相关计算示例进行运算，并与所述被检终端根据输入的明文进行密码计算后生成的密文进行比对，生成对所述检测的算法类型的检测结果，包括: 规范密文生成模块，用于根据所述检测的算法类型，选择设定的相关计算示例进行运算，生成规范密文； 明文输入模块，用于根据相关接口，向所述被检终端输入明文； 检测密文生成模块，用于所述被检设备根据所述输入的明文，采用相应的密码算法，完成密码计算，生成检测密文； 密文比对模块，用于将所述检测密文与根据设定的相关计算示例计算得到的规范密文进行比对，如果一致，说明所述检测的算法类型为国产加密算法，如果不一致，说明所述检测的算法类型为非国产加密算法。
10.根据权利要求6所述的对加密算法与密钥进行检测的装置，其特征在于，所述对加密算法与密钥进行检测的装置还包括:统一接口生成模块，用于根据所述被检终端的类型，生成能够识别各种被检终端接口类型的统一接口。
【文档编号】H04L9/14GK103516511SQ201310412383
【公开日】2014年1月15日 申请日期:2013年9月11日 优先权日:2013年9月11日
【发明者】王刚, 徐小天, 陈威, 陈乐然, 石磊 申请人:国家电网公司, 国网冀北电力有限公司电力科学研究院, 华北电力科学研究院有限责任公司, 中国电力科学研究院, 国网四川省电力公司电力科学研究院