專利名稱:一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置的制作方法
技術領域:
本發(fā)明屬于信息安全技術領域,具體說是通過網(wǎng)絡傳輸信息內容的審計和身份認證等技術以保證信息傳輸、信息存儲安全的一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置。
背景技術:
信息安全設備信息安全設備是一種帶有處理器和存儲器的裝置,主要用于信息傳輸、信息存儲的安全以及對網(wǎng)絡傳輸信息內容的審計和身份認證領域,具有抗攻擊的特性,安全性極高。
卡內操作系統(tǒng)即COS(Card Operating System),是運行在智能卡芯片內的小型操作系統(tǒng)。
加密算法將明文變成密文的計算方法。根據(jù)密鑰類型的不同將現(xiàn)代密碼技術分為兩類—對稱加密算法和非對稱加密算法。對稱密鑰加密系統(tǒng)的加密和解密使用相同的密鑰;非對稱密鑰加密系統(tǒng)采用的加密密鑰和解密密鑰是不同的。加密算法的安全性基于用于加密的密鑰而不是算法本身。在信息安全領域經(jīng)常用到的一些加密算法有RSA、DES、3DES、MD5、SHA-1、SSF33、AES、ECC等,還可以有用戶自定義的算法即預置代碼。
RSA算法1978年就出現(xiàn)了這種算法,它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。RSA算法本身是公開的,該算法的安全性是基于分解一個有兩個大素數(shù)(素數(shù)是只能被1和它本身整除的數(shù))相乘所得到的大數(shù)在數(shù)學上是非常困難的這一事實。
隨著信息產(chǎn)業(yè)的快速發(fā)展,信息技術的發(fā)展不僅給人們的生活帶來了極大的便利,從根本上改變了人們的生活方式、行為方式和價值觀念,同時信息技術在商業(yè)中的廣泛應用對經(jīng)濟和社會發(fā)展也產(chǎn)生了巨大而深刻的影響。通常情況下,包括智能卡、USB Key、智能密鑰裝置等信息安全產(chǎn)品的銷售模式是發(fā)行商—用戶,當普通用戶手中的信息安全設備需要更新時,通常要同發(fā)行商聯(lián)系,由發(fā)行商同生產(chǎn)商聯(lián)系,由生產(chǎn)商完成對信息安全設備的更新。然而在大多數(shù)情況下,發(fā)行商和生產(chǎn)商不在同一個地方,這就需要發(fā)行商將信息安全設備以郵寄的方式返回到生產(chǎn)商手中,生產(chǎn)商完成對設備的更新后再返還給發(fā)行商,最后由發(fā)行商交還到用戶手中。這一過程不僅要耗費大量的人力、物力,浪費了時間,而且硬件設備容易在遠距離的傳遞過程中損壞或丟失,給用戶正常使用信息安全設備帶來不必要的麻煩。
發(fā)明內容
本發(fā)明的目的是針對現(xiàn)有技術的不足而提供一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置。
所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置包含一個信息安全設備使用智能卡芯片作為信息安全設備的芯片,保證內部數(shù)據(jù)不會被非法獲取,同時具有可編程運算功能。
一個更新軟件模塊,內置于客戶端PC機,該模塊與用戶所購買的信息安全設備相匹配,主要負責連接信息安全設備(簡稱硬件),通過網(wǎng)絡訪問授權服務器下載相關更新信息,實現(xiàn)對信息安全設備的更新。
一個授權服務器,它是擁有信息安全設備更新指令生成權限的服務器。包括授權的硬件發(fā)行商或代理商服務器以及信息安全設備生產(chǎn)商服務器。通過授權服務器自身的更新服務器對更新軟件模塊發(fā)送的信息進行驗證,確認用戶合法身份。
所述更新軟件模塊是一個計算機軟件中具有獨立功能的部分計算機指令的集合,該模塊可以是一個獨立的可執(zhí)行程序,也可以是一個可執(zhí)行程序的一部分。
所述更新軟件模塊包含1)網(wǎng)絡模塊,含于更新軟件模塊中,用來訪問遠程服務器,該模塊負責從遠程服務器上下載更新信息,獲得升級數(shù)據(jù)。
2)硬件訪問模塊,該模塊負責從硬件內獲得硬件信息和下載升級數(shù)據(jù)到硬件中。
3)和用戶交互模塊,這個模塊可以是在用戶干預下運行,也可以在用戶計算機聯(lián)入網(wǎng)絡的情況下自動開始運行。
利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的過程如下1)更新軟件模塊訪問信息安全設備并從中獲取硬件信息;將這些硬件信息結合信息安全設備持有者的輸入信息通過網(wǎng)絡發(fā)送到更新指令的授權服務器;2)授權服務器端更新服務器對更新軟件模塊發(fā)送的信息進行驗證;確認用戶合法身份以及所需更新的信息后,由更新指令生成裝置生成更新信息,并將該信息回送給更新軟件模塊;3)更新軟件模塊在獲取硬件更新信息后,該更新信息經(jīng)加密形成密文,在下載過程中以密文形式傳送到信息安全設備中;4)信息安全設備對這段密文解密并根據(jù)解密后的信息更新自身,這一過程為無人參與,或以人工輔助進行。
所述授權服務器端更新服務器包括服務程序和更新指令生成裝置。提供與信息安全設備持有者之間的各項交互服務及生成硬件更新信息。
所述更新指令生成裝置是所述授權服務器根據(jù)更新軟件模塊發(fā)送的相關信息生成硬件更新信息的裝置,只要服務器程序對更新軟件模塊中包含的信息進行檢測,確認為有效信息后,更新軟件模塊就可以下載所述更新信息。
所述更新指令生成裝置可以在所述授權服務器端服務器內部,也可以為授權服務器端的獨立裝置或程序。
所述解密過程是在信息安全設備內部完成的,對信息安全設備持有者來說是不可見的。
所述硬件信息為包括硬件序列號在內的硬件標識信息。
所述不同信息安全設備之間的更新數(shù)據(jù)不能互相使用。
所述更新信息在用戶完成對信息安全設備中的更新后就失效,再次對該硬件設備進行更新的信息已經(jīng)改變。
所述在信息安全設備上,使用智能卡芯片作為信息安全設備的芯片,保證內數(shù)據(jù)不會被非法獲取,同時具有可編程運算功能。
所述信息安全設備持有者的輸入信息包括認證信息和硬件設備內部需要更新的信息,這些信息可以是用戶手動輸入,也可以是軟件自動獲得。
本發(fā)明的益處在于1.硬件更新信息從授權服務器端到信息安全設備持有者的發(fā)送過程中是以密文的形式出現(xiàn)的,從而確保實現(xiàn)了一套完整、安全的遠程更新過程;2)生成硬件更新信息的整個過程在不需硬件設備的條件下便可完成;3)節(jié)約了成本,提高了效率。
4)硬件更新信息是和待更新信息安全設備的硬件信息是關聯(lián)的,其他同類信息安全設備無法使用,因此是安全的。
5)當用戶完成對信息安全設備中的更新后,本次用于該硬件設備的更新信息就失效,再次對該硬件設備進行更新的信息已經(jīng)改變,從而保證了一次一密。
本發(fā)明克服了現(xiàn)有技術的缺點,提供一種安全可靠的利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置,方便信息安全設備持有者使用。
圖1為本發(fā)明實施例的流程圖;圖2為本發(fā)明實施例中更新軟件模塊裝置圖。
具體實施例方式
本發(fā)明是針對現(xiàn)有技術的不足而提供一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置,其中,所述網(wǎng)絡為包括互聯(lián)網(wǎng)在內的網(wǎng)絡。
下面結合附圖和具體實施例對本發(fā)明進行更詳細的描述。
在本實施例中,所述信息安全設備持有者為使用該設備的普通用戶,所述擁有使用更新指令生成裝置權限的授權服務器為信息安全設備生產(chǎn)商服務器。
在本實施例中,下載到每個信息安全設備的密文信息只能用于實現(xiàn)對該設備的更新,不同信息安全設備之間的更新數(shù)據(jù)不能互相使用,從而保證了一人一密。本實施例在硬件上,使用智能卡芯片做為信息安全設備的芯片,保證內部數(shù)據(jù)不會被非法獲取,同時具有可編程運算功能。
如圖1所示,步驟101開始后,步驟102用戶PC機中的更新軟件模塊訪問信息安全設備并從中獲取硬件信息。在本實施例中,所述更新軟件模塊為信息安全設備生產(chǎn)商提供的用于幫助用戶自動完成信息安全設備更新的軟件模塊。
在本實施例中,所述信息安全設備具有以下特征1)所述硬件信息為包括硬件序列號在內的硬件標識信息。
2)信息安全設備內部需要更新的信息。
3)內置解密算法,將輸入的更新指令即密文,解密成明文。
4)內置利用更新指令進行更新的算法。
在本實施例中,所述硬件信息采用信息安全設備的序列號,保證每個信息安全設備對應唯一的認證信息。
步驟103,用戶登陸更新信息授權服務器,更新軟件模塊將所述硬件信息、用戶身份認證信息和硬件設備內部需要更新的相關信息發(fā)送到授權服務器端更新服務器。
在本實施例中,所述用戶身份認證信息包括用戶的特征信息,是信息安全設備生產(chǎn)商用來驗證用戶身份合法性的信息,以電子郵件形式存在。
在本實施例中,所述更新軟件模塊是一個獨立的可執(zhí)行程序,如圖2所示,該模塊主要包含3個方面的內容a.網(wǎng)絡模塊,該模塊負責從服務器上獲得更新信息、下載更新數(shù)據(jù)。
b.硬件訪問模塊,該模塊負責從硬件設備內部獲得硬件信息、下載更新數(shù)據(jù)到硬件中。
c.和用戶交互的模塊,該模塊可以是在用戶干預下進行,也可以在用戶計算機聯(lián)入網(wǎng)絡的情況下自動開始運行。
在本實施例中,所述授權服務器端更新服務器中包括服務程序及更新指令生成裝置。服務程序用于對外的網(wǎng)絡服務和驗證用戶身份,向用戶提供所需服務;更新指令生成裝置用于生成硬件更新信息。
步驟104所述服務程序根據(jù)用戶提供的認證信息對用戶身份進行認證。
步驟105所述服務程序判斷用戶的身份是否合法,若合法則執(zhí)行步驟107,否則執(zhí)行步驟106。
步驟106用戶沒有通過身份認證,系統(tǒng)提示錯誤,返回步驟103,要求重新進行身份認證。
步驟107所述服務程序根據(jù)硬件信息以及合法用戶的認證信息,隨機分配特征碼,該特征碼配合更新軟件模塊發(fā)送的相關數(shù)據(jù)在更新指令生成裝置中生成硬件更新信息并加密,所述相關數(shù)據(jù)包括硬件序列號、用戶特征信息、硬件設備內部需要更新的相關信息。
在本實施例中,所述特征碼可以是一個流水號或者一個日期值,以密文形式存在于硬件更新信息中,用于保證一次一密,只能被硬件設備所認取。所述硬件更新信息是通過RSA算法加密后形成的密文。
在本實施例中,所述硬件更新信息為一段數(shù)據(jù),對同一個硬件設備,更新指令生成裝置每次生成的更新信息均不同。其設置方法可以是信息安全設備出廠時,由生產(chǎn)商設置一個公開的初始值,該初始值用戶可以進行更新。
在本實施例中,所述硬件更新信息用于更新信息安全設備中需要更新的內容,以密文形式下載到用戶所持有的信息安全設備中,硬件更新信息的生成不需用戶手中的信息安全設備就可以完成。
步驟108,更新軟件模塊將所述更新指令生成裝置生成的硬件更新信息下載到用戶的PC機中。
在本實施例中,不必保證更新信息在下載期間不被截獲,因為更新信息由更新指令生成裝置根據(jù)當前信息安全設備的硬件特征信息所生成,其他任何人獲得該硬件更新信息后無法對自己持有的硬件設備進行更新。
步驟109用戶通過所述更新軟件模塊下載的更新信息在信息安全設備內部對以密文形式存在的硬件更新信息進行解密,所述解密過程采用與加密過程相對應的算法。
步驟110,用戶得到解密后的硬件更新信息后,在信息安全設備內部對相關內容進行更新。
在本實施例中,所述更新軟件模塊提供了用戶與計算機之間的交互界面,方便用戶完成對信息安全設備遠程更新的操作過程。
在本實施例中,當用戶完成對信息安全設備中的更新后,本次用于該硬件設備的更新信息就失效,再次對該硬件設備進行更新的信息已經(jīng)改變,從而保證了一次一密。
在本實施例中,所述硬件更新信息的不同性主要取決于所述授權服務器端的更新服務器程序在對用戶進行身份認證時,根據(jù)用戶提供的認證信息每次隨機分配的特征碼不同,因此,在更新指令生成裝置中生成的硬件更新信息也不同。用戶在對硬件更新信息進行解密的過程中,生產(chǎn)商預置在更新軟件模塊及信息安全設備中的更新程序將把本次更新信息中的特征碼和上次用于對該硬件進行更新的信息中的特征碼進行比較,只有當本次分配的特征碼與以往任何一次硬件更新信息中的特征碼均不同時,生成的硬件更新信息才有效。
步驟111,結束。
在本實施例中,所述對信息安全設備的更新過程最終是在硬件設備內部執(zhí)行的。所述加密信息和解密信息均同該型號信息安全設備的硬件信息相關,因此,對某一型號的信息安全設備生成的硬件更新信息只能由同一型號的硬件設備進行解密,從而保證了一人一密。
以上對本發(fā)明所提供的利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置進行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時,對于本領域的一般技術人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應用范圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本發(fā)明的限制。
權利要求
1.一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置,其特征在于,所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置包含信息安全設備、更新軟件模塊、授權服務器;所述信息安全設備使用智能卡芯片作為信息安全設備的芯片,保證內部數(shù)據(jù)不會被非法獲取,同時具有可編程運算功能;所述更新軟件模塊內置于客戶端PC機,該模塊與用戶所購買的信息安全設備相匹配,主要負責連接信息安全設備,通過網(wǎng)絡訪問授權服務器,實現(xiàn)對信息安全設備的更新;所述授權服務器是擁有信息安全設備更新指令生成權限的服務器,包括授權的硬件發(fā)行商或代理商服務器以及信息安全設備生產(chǎn)商網(wǎng)站;通過授權服務器自身的更新服務器對更新軟件模塊發(fā)送的信息進行驗證,確認用戶合法身份。
2.根據(jù)權利要求1所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置,其特征在于,所述信息安全設備內置硬件信息及特定算法,用以標識硬件設備以及對以密文形式出現(xiàn)的硬件更新信息進行解密。
3.根據(jù)權利要求1所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置,其特征在于,所述更新軟件模塊是一個計算機軟件中具有獨立功能的部分計算機指令的集合,該模塊是一個獨立的可執(zhí)行程序或是一個可執(zhí)行程序的一部分;包括1)網(wǎng)絡模塊,含于更新軟件模塊中,用來訪問遠程服務器,該模塊負責從遠程服務器上下載更新信息,獲得升級數(shù)據(jù);2)硬件訪問模塊,該模塊負責從硬件內獲得硬件信息和將更新信息寫入硬件設備中;3)用戶交互模塊,這個模塊是在用戶干預下運行,或在用戶計算機聯(lián)入網(wǎng)絡的情況下自動開始運行。
4.根據(jù)權利要求1所述網(wǎng)絡實現(xiàn)信息安全設備遠程更新的裝置,其特征在于,所述硬件信息為包括硬件序列號在內的硬件標識信息。
5.一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的過程如下1)更新軟件模塊訪問信息安全設備并從中獲取硬件信息,并將這些硬件信息結合信息安全設備持有者的輸入信息通過網(wǎng)絡發(fā)送到更新指令授權服務器;2)授權服務器端更新服務器對更新軟件模塊發(fā)送的信息進行驗證;確認用戶合法身份以及所需更新的信息后,由更新指令生成裝置生成更新信息,并將該信息加密成密文后回送給更新軟件模塊;3)更新軟件模塊在獲取硬件更新信息,所述經(jīng)加密后的更新信息在下載過程中以密文形式傳送到信息安全設備中;4)信息安全設備對這段密文解密并根據(jù)解密后的信息更新。
6.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述信息安全設備持有者的輸入信息包括認證信息和硬件設備內部需要更新的信息,這些信息是用戶手動輸入,或更新軟件模塊自動獲得。
7.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述授權服務器端更新服務器包括服務程序和更新指令生成裝置。
8.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述授權服務器端更新服務器提供與信息安全設備持有者之間的各項交互服務及生成硬件更新信息。
9.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述更新指令生成裝置是所述授權網(wǎng)站根據(jù)更新軟件模塊發(fā)送的相關信息生成硬件更新信息的裝置,服務器程序對更新軟件模塊中包含的信息進行檢測,確認為有效信息后,更新指令生成裝置生成更新信息。
10.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述更新指令生成裝置設置在所述授權服務器內部,或為授權服務器端的獨立裝置或程序。
11.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述更新信息經(jīng)加密形成密文的加密過程由授權服務器端的更新服務器程序完成。
12.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述信息安全設備對密文解密的解密過程是在信息安全設備內部完成的。
13.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,用于對一個信息安全設備進行更新的信息不能被其他信息安全設備所使用。
14.根據(jù)權利要求5所述利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法,其特征在于,所述更新信息在用戶完成對信息安全設備中的更新后就失效,再次對該硬件設備進行更新的信息已經(jīng)改變。
全文摘要
本發(fā)明公開了涉及信息安全技術領域的一種利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的方法及裝置。該裝置包括內置于客戶端PC機的更新軟件模塊以及與之對應的授權服務器端更新服務器。利用網(wǎng)絡實現(xiàn)信息安全設備遠程更新的過程為更新軟件模塊訪問信息安全設備,并從中獲取硬件信息,通過網(wǎng)絡發(fā)送到更新指令授權服務器;授權服務器端更新服務器對更新軟件模塊發(fā)送的信息進行驗證;確認用戶合法身份以及所需更新的信息后,由更新指令生成裝置生成更新信息,經(jīng)加密形成密文,以密文形式傳送到信息安全設備中。信息安全設備對密文解密并更新自身。具體說是通過網(wǎng)絡傳輸信息內容的審計和身份認證等技術以保證信息傳輸、信息存儲的安全。節(jié)約成本,提高了效率。
文檔編號G06F9/445GK1960363SQ20061011291
公開日2007年5月9日 申請日期2006年9月12日 優(yōu)先權日2006年9月12日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司