专利名称:信息安全设备中远程升级密钥管理方法
技术领域:
本发明涉及信息安全技术领域,特别涉及一种信息安全设备中远程升级密钥管理方法。
背景技术:
信息安全设备通常是用于软件加密保护、硬件加密保护及身份认证等的硬件安全设备。信息安全设备的远程升级是指远端源设备将升级信息传输至信息安全设备的升级接口,信息安全设备利用其升级接口接收到的升级信息实现对其内部程序或数据的升级, 而不需要专业人员到信息安全设备所在的现场进行任何升级操作。其中,远端源设备可以为存储升级信息的任意设备,例如服务器、PC机、或其他的信息安全设备;远端源设备可以称为升级方,信息安全设备则可以称为被升级方。在信息安全设备的远程升级过程中,远端源设备对升级信息一般需要加密和/或签名,信息安全设备收到加密和/或签名的升级信息后,对其进行解密和/或验签,如果解密成功和/或验签通过,则表示该升级信息是合法的,信息安全设备可利用该升级信息进行升级。可见,信息安全设备在发行之前,其中必然安装有用于解密和/或验签的密钥,我们称之为远程升级密钥。在现有技术中,信息安全设备发行之前,在信息安全设备一般预先安装并启用一组远程升级密钥。然而,当这一组远程升级密钥泄漏时,会对信息安全设备的安全性造成威胁。例如,当这一组远程升级密钥泄漏时,恶意攻击者可能窃取和获取合法的升级信息,如果对合法的升级信息内容进行篡改后再发送至信息安全设备,则可以对信息安全设备进行非法的升级,可能造成信息安全设备内部程序和数据的损害,或者窃取用户存储在信息安全设备的数据。可见,在现有技术中,因为远程升级密钥的泄露,难以避免信息安全设备受到恶意攻击。
发明内容
有鉴于此,本发明提供一种信息安全设备中远程升级密钥管理方法,能够消除因远程升级密钥泄露而导致信息安全设备受到的恶意攻击。为实现上述发明目的,本发明的技术方案是这样实现的一种信息安全设备中远程升级密钥管理方法,该方法包括信息安全设备发行前, 在信息安全设备中安装M组远程升级密钥,信息安全设备发行时,启用其中的N组远程升级密钥,其中,M、N为大于等于1的正整数,且N小于M,该方法还包括远端源设备根据泄露的远程升级密钥生成密钥禁用数据,并发送至信息安全设备,所述密钥禁用数据用于指示信息安全设备对泄露的远程升级密钥进行禁用操作;信息安全设备根据所接收的密钥禁用数据,对泄露的远程升级密钥进行禁用操作。
该方法进一步包括信息安全设备发行前,在远端源设备和信息安全设备中设置相同的密钥禁用操作标识;所述密钥禁用数据包括密钥禁用操作标识、泄露的远程升级密钥的密钥标识、泄露的远程升级密钥的对应值;所述根据所接收的密钥禁用数据对泄露的远程升级密钥进行禁用操作的方法包括Al、如果所接收到的密钥禁用数据中密钥禁用操作标识与信息安全设备中所设置的密钥禁用操作标识相同,则执行步骤Bl ;否则,结束流程;Bi、如果所接收到的密钥禁用数据中泄露的远程升级密钥的密钥标识与信息安全设备中已启用的一组远程升级密钥的密钥标识相同,且所接收到的密钥禁用数据中的所述对应值和信息设备中该组远程升级密钥的对应值相同,则对该组远程升级密钥执行禁用操作;否则,结束流程。所述泄露的远程升级密钥的对应值为泄露的远程升级密钥的密钥值。该方法进一步包括远端源设备对密钥禁用数据进行安全处理后,再发送至信息安全设备;信息安全设备对安全处理后的密钥禁用数据进行安全性检查,如果安全性检查通过,则执行所述步骤Al ;否则,结束流程。所述安全处理包括对密钥禁用数据进行加密和/或签名;所述安全性检查包括对安全处理后的密钥禁用数据进行解密和/或验签。该方法进一步包括远端源设备根据欲启用的远程升级密钥生成密钥启用数据,并发送至信息安全设备,所述密钥启用数据用于指示信息安全设备对未启用的远程升级密钥进行启用操作;信息安全设备根据所接收的密钥启用数据,对未启用的远程升级密钥进行启用操作。该方法进一步包括信息安全设备发行前,在远端源设备和信息安全设备中设置相同的密钥启用操作标识;所述密钥启用数据包括密钥启用操作标识、欲启用的远程升级密钥的密钥标识、 欲启用的远程升级密钥的对应值;所述根据所接收的密钥禁用数据对泄露的远程升级密钥进行禁用操作的方法包括A2、如果所接收到的密钥启用数据中密钥启用操作标识与信息安全设备中所设置的密钥启用操作标识相同,则执行步骤Bl ;否则,结束流程;B2、如果所接收到的密钥启用数据中欲启用的远程升级密钥的密钥标识与信息安全设备中未启用的一组远程升级密钥的密钥标识相同,且所接收到的密钥启用数据中的所述对应值和信息设备中该组远程升级密钥的对应值相同,则对该组远程升级密钥执行启用操作;否则,结束流程。所述欲启用的远程升级密钥的对应值为欲启用的远程升级密钥的密钥值。该方法进一步包括远端源设备对密钥启用数据进行安全处理后,再发送至信息安全设备;
信息安全设备对安全处理后的密钥启用数据进行安全性检查,如果安全性检查通过,则执行所述步骤A2 ;否则,结束流程。所述安全处理包括对密钥启用数据进行加密和/或签名;所述安全性检查包括对安全处理后的密钥启用数据进行解密和/或验签。所述加密的方法包括采用数据加密标准DES算法、三重数据加密标准TDES算法、 高级加密标准AES算法、非对称加密RSA算法或椭圆曲线加密ECC算法进行加密;所述签名的方法包括采用信息认证码MAC算法、杂凑信息验证码HMAC算法、RSA 算法或ECC算法进行签名;所述解密的方法包括采用DES算法、TDES算法、AES算法、RSA算法或ECC算法进行解密;所述验签的方法包括采用MAC算法、HMAC算法、RSA算法或ECC算法进行验签。根据本发明所提供的技术方案,远端源设备根据泄露的远程升级密钥生成密钥禁用数据,并发送至信息安全设备,信息安全设备根据所接收的密钥禁用数据,对泄露的远程升级密钥进行禁用操作,防止了恶意攻击者利用泄露的远程升级密钥通过远程升级过程对信息安全设备的恶意攻击。另外,本发明的技术方案不仅可对泄露的远程升级密钥进行禁用,还可将本发明所提供的技术方案应用于其他领域,例如,还可对过期的远程升级密钥进行禁用等。同时,本发明还启用新的远程升级密钥,以取代被禁用的远程升级密钥,使信息安全设备的远程升级功能持续可用,有效地增强了信息安全设备远程升级密钥的安全性。
图1为本发明所提供的一种信息安全设备中远程升级密钥管理方法的流程图。图2为本发明所提供的一种信息安全设备中远程升级密钥管理方法实施例一的流程图。图3为本发明所提供的一种信息安全设备中远程升级密钥管理方法实施例二的流程图。
具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。图1为本发明所提供的一种信息安全设备中远程升级密钥管理方法的流程图,如图1所示,该方法包括以下步骤步骤101,信息安全设备发行前,在信息安全设备中安装M组远程升级密钥,信息安全设备发行时,启用其中的N组远程升级密钥,其中,M、N为大于等于1的正整数,且N小于M。步骤102,远端源设备根据泄露的远程升级密钥生成密钥禁用数据,并发送至信息安全设备,所述密钥禁用数据用于指示信息安全设备对泄露的远程升级密钥进行禁用操作。另外,步骤102还可进一步包括远端源设备根据欲启用的远程升级密钥生成密钥启用数据,并发送至信息安全设备,所述密钥启用数据用于指示信息安全设备对未启用的远程升级密钥进行启用操作。可选地,在发送至信息安全设备之前,远端源设备对密钥启用数据或密钥禁用数据进行安全处理。步骤103,信息安全设备根据所接收的密钥禁用数据,对泄露的远程升级密钥进行禁用操作。另外,步骤103还可进一步包括信息安全设备根据所接收的密钥启用数据,对未启用的远程升级密钥进行启用操作。可选地,如果远端源设备对密钥启用数据或密钥禁用数据进行了安全处理,则信息安全设备还需对安全处理后的密钥启用数据或密钥禁用数据进行安全性检查,如果安全性检查通过,再进行合法性验证,所述合法性验证通过后,才可执行密钥启用操作或禁用操作;否则,结束流程。至此,本流程结束。下面,通过两个实施例对本发明的技术方案进一步进行详细说明。实施例一图2为本发明所提供的一种信息安全设备中远程升级密钥管理方法实施例一的流程图,如图2所示,包括以下步骤步骤201,信息安全设备发行前,在信息安全设备中安装多组远程升级密钥,并在远端源设备和信息安全设备中设置相同的密钥禁用操作标识。在本步骤中,每一组远程升级密钥可以包括密钥标识和密钥值。密钥禁用操作标识用于表示操作类型为密钥禁用操作。在本实施例中,密钥禁用操作标识可以为01。本步骤中所述“禁用”的含义为令该组远程升级密钥为无效密钥,即不用于对升级信息进行解密和/或验签。步骤202,信息安全设备发行时,启用步骤201中安装的一组远程升级密钥。假设该组远程升级密钥的密钥标识可以为00;密钥值可以为00 01 02 0304 05 06 07,则该组远程升级密钥为00 00 01 02 03 04 05 06 07。另外,在本发明实施例中,除非特别说明,所有数据均采用16进制表示。本步骤中所述“启用”的含义为令该组远程升级密钥为有效密钥,即用于对升级信息进行解密和/或验签的。步骤203,当步骤201中安装的远程升级密钥发生泄露时,远端源设备将密钥禁用操作标识、泄露的远程升级密钥(包括密钥标识和密钥值)连接组成密钥禁用数据。则密钥禁用数据可以表示为01 00 00 01 02 03 04 05 06 07。另外,在实际应用中,检查“远程升级密钥是否发生泄露”并非由信息安全设备或远端源设备来完成,而是人为发现,或者其他安全监测设备发现泄露或因泄露导致的攻击现象。检查“远程升级密钥是否发生泄露”为现有技术的内容,不在本发明的讨论范畴内, 此处不予赘述。步骤204,远端源设备将密钥禁用数据发送至信息安全设备。步骤205,信息安全设备接收密钥禁用数据。
步骤206,信息安全设备检查收到的密钥禁用数据中的1个字节,如果是01,则表示收到执行密钥禁用操作的命令,然后检查第2个字节;否则,结束流程。检查第2个字节时,如果第二个字节是00,说明第二个字节与信息安全设备中安装的远程升级密钥的标识相同,则表示收到执行密钥标识为00的密钥的禁用操作命令;否则,结束流程。接下来检查第3到10个字节,如果与信息安全设备中密钥标识为00的所对应的密钥值相同,即如果为 0001 02 03 04 05 06 07,则检查通过,对远程升级密钥00 00 01 02 03 04 05 0607执行禁用操作;如果检查不通过,则结束流程。至此,本实施例流程结束。另外,上述泄露的远程升级密钥的密钥值为泄露的远程升级密钥的对应值的一种实施例,对应值还可为其他方式。密钥禁用数据还可包括密钥禁用操作标识、泄露的远程升级密钥的密钥标识、泄露的远程升级密钥的对应值,在信息安全设备中还可进一步设置安全有远程升级密钥的对应值。信息安全设备接收到密钥禁用数据后,如果所接收到的密钥禁用数据中密钥禁用操作标识与信息安全设备中所设置的密钥禁用操作标识相同,则继续检查;否则,结束流程; 继续检查为如果所接收到的密钥禁用数据中泄露的远程升级密钥的密钥标识与信息安全设备中已启用的一组远程升级密钥的密钥标识相同,且所接收到的密钥禁用数据中的所述对应值和信息设备中该组远程升级密钥的对应值相同,则对该组远程升级密钥执行禁用操作;否则,结束流程。总之,本发明对密钥禁用数据进行合法性验证的方法并不限定,上述仅为举例说明。实施例二图3为本发明所提供的一种信息安全设备中远程升级密钥管理方法实施例二的流程图,如图3所示,包括以下步骤步骤301,信息安全设备发行前,在信息安全设备中安装两组远程升级密钥,并在远端源设备和信息安全设备中设置相同的密钥禁用操作标识,以及设置相同的密钥启用操作标识。如表1所示,表1第一行为第一组远程升级密钥,第一组远程升级密钥包括密钥标识和密钥值,表1第二行为第二组远程升级密钥,第二组远程升级密钥也包括密钥标识和密钥值。密钥禁用操作标识用于表示操作类型为密钥禁用操作。密钥启用操作标识用于表示操作类型为密钥启用。其中,“启用”和“禁用”的含义可参见实施例一的相关描述。在本实施例中,密钥禁用操作标识可以为01,密钥启用操作标识可以为02。
权利要求
1.一种信息安全设备中远程升级密钥管理方法,其特征在于,该方法包括信息安全设备发行前,在信息安全设备中安装M组远程升级密钥,信息安全设备发行时,启用其中的 N组远程升级密钥,其中,M、N为大于等于1的正整数,且N小于M,该方法还包括远端源设备根据泄露的远程升级密钥生成密钥禁用数据,并发送至信息安全设备,所述密钥禁用数据用于指示信息安全设备对泄露的远程升级密钥进行禁用操作;信息安全设备根据所接收的密钥禁用数据,对泄露的远程升级密钥进行禁用操作。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括信息安全设备发行前,在远端源设备和信息安全设备中设置相同的密钥禁用操作标识;所述密钥禁用数据包括密钥禁用操作标识、泄露的远程升级密钥的密钥标识、泄露的远程升级密钥的对应值;所述根据所接收的密钥禁用数据对泄露的远程升级密钥进行禁用操作的方法包括 Al、如果所接收到的密钥禁用数据中密钥禁用操作标识与信息安全设备中所设置的密钥禁用操作标识相同,则执行步骤Bl ;否则,结束流程;Bi、如果所接收到的密钥禁用数据中泄露的远程升级密钥的密钥标识与信息安全设备中已启用的一组远程升级密钥的密钥标识相同,且所接收到的密钥禁用数据中的所述对应值和信息设备中该组远程升级密钥的对应值相同,则对该组远程升级密钥执行禁用操作; 否则,结束流程。
3.根据权利要求2所述的方法,其特征在于,所述泄露的远程升级密钥的对应值为泄露的远程升级密钥的密钥值。
4.根据权利要求2或3所述的方法,其特征在于,该方法进一步包括 远端源设备对密钥禁用数据进行安全处理后,再发送至信息安全设备;信息安全设备对安全处理后的密钥禁用数据进行安全性检查,如果安全性检查通过, 则执行所述步骤Al ;否则,结束流程。
5.根据权利要求4所述的方法,其特征在于,所述安全处理包括对密钥禁用数据进行加密和/或签名;所述安全性检查包括对安全处理后的密钥禁用数据进行解密和/或验签。
6.根据权利要求1所述的方法,其特征在于,该方法进一步包括远端源设备根据欲启用的远程升级密钥生成密钥启用数据,并发送至信息安全设备, 所述密钥启用数据用于指示信息安全设备对未启用的远程升级密钥进行启用操作;信息安全设备根据所接收的密钥启用数据,对未启用的远程升级密钥进行启用操作。
7.根据权利要求6所述的方法,其特征在于,该方法进一步包括信息安全设备发行前,在远端源设备和信息安全设备中设置相同的密钥启用操作标识;所述密钥启用数据包括密钥启用操作标识、欲启用的远程升级密钥的密钥标识、欲启用的远程升级密钥的对应值;所述根据所接收的密钥禁用数据对泄露的远程升级密钥进行禁用操作的方法包括 A2、如果所接收到的密钥启用数据中密钥启用操作标识与信息安全设备中所设置的密钥启用操作标识相同,则执行步骤Bl ;否则,结束流程;B2、如果所接收到的密钥启用数据中欲启用的远程升级密钥的密钥标识与信息安全设备中未启用的一组远程升级密钥的密钥标识相同,且所接收到的密钥启用数据中的所述对应值和信息设备中该组远程升级密钥的对应值相同,则对该组远程升级密钥执行启用操作;否则,结束流程。
8.根据权利要求7所述的方法,其特征在于,所述欲启用的远程升级密钥的对应值为 欲启用的远程升级密钥的密钥值。
9.根据权利要求7或8所述的方法,其特征在于,该方法进一步包括 远端源设备对密钥启用数据进行安全处理后,再发送至信息安全设备;信息安全设备对安全处理后的密钥启用数据进行安全性检查,如果安全性检查通过, 则执行所述步骤A2 ;否则,结束流程。
10.根据权利要求9所述的方法,其特征在于,所述安全处理包括对密钥启用数据进行加密和/或签名;所述安全性检查包括对安全处理后的密钥启用数据进行解密和/或验签。
11.根据权利要求5或10所述的方法,其特征在于,所述加密的方法包括采用数据加密标准DES算法、三重数据加密标准TDES算法、高级加密标准AES算法、非对称加密RSA算法或椭圆曲线加密ECC算法进行加密;所述签名的方法包括采用信息认证码MAC算法、杂凑信息验证码HMAC算法、RSA算法或ECC算法进行签名;所述解密的方法包括采用DES算法、TDES算法、AES算法、RSA算法或ECC算法进行解密;所述验签的方法包括采用MAC算法、HMAC算法、RSA算法或ECC算法进行验签。
全文摘要
本发明公开了一种信息安全设备中远程升级密钥管理方法,远端源设备根据泄露的远程升级密钥生成密钥禁用数据,并发送至信息安全设备,信息安全设备根据所接收的密钥禁用数据,对泄露的远程升级密钥进行禁用操作。采用本发明公开的方法防止了恶意攻击者利用泄露的远程升级密钥通过远程升级过程对信息安全设备的恶意攻击。
文档编号H04L12/24GK102170355SQ201110106070
公开日2011年8月31日 申请日期2011年4月27日 优先权日2011年4月27日
发明者孙吉平, 韩勇 申请人:北京深思洛克软件技术股份有限公司