專利名稱:基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�����,是采用飛機(jī)飛行記錄儀——“黑匣子”概念�����,記錄下作為“公正”的第三方公正數(shù)據(jù)����,來代替國際安全平臺PKI/CA體制中的CA認(rèn)證中心公正的第三方功能�,建立起一套完整的網(wǎng)絡(luò)安全平臺,適用于電子商務(wù)�、銀行、工商���、稅務(wù)�、政府���、國防等�����。
背景技術(shù):
目前����,國內(nèi)外一些密碼設(shè)備廠商生產(chǎn)的用于網(wǎng)絡(luò)安全平臺產(chǎn)品,都是基于PKI/CA體制的網(wǎng)絡(luò)安全平臺���,由CA認(rèn)證中心負(fù)責(zé)對用戶密碼和證書的生產(chǎn)�����、分發(fā)和管理��,CA認(rèn)證中心還起到“公正”的第三方作用���,該技術(shù)需要建立CA認(rèn)證中心,系統(tǒng)建立投入大����,為認(rèn)證雙方提供常年的密鑰和證書的維護(hù)和管理的成本高,尤其是每年用戶需要交高額的服務(wù)費(fèi)���,導(dǎo)致該技術(shù)的普及應(yīng)用難度較大�。
發(fā)明內(nèi)容
基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)方法�����,是運(yùn)用計算機(jī)、密碼和網(wǎng)絡(luò)技術(shù)�,在網(wǎng)絡(luò)服務(wù)器端設(shè)置“黑匣子”��,摘取并記錄下客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的身份認(rèn)證�、加密傳輸和數(shù)字簽名等過程中的公正數(shù)據(jù),將“黑匣子”作為“公正”的第三方�,密碼生產(chǎn)商負(fù)責(zé)密鑰和證書的生產(chǎn)、分發(fā)和管理���,在網(wǎng)絡(luò)服務(wù)器端建立非對稱密鑰和證書更新區(qū)�����,將用戶的私鑰和證書加密成密文�����,通過網(wǎng)絡(luò)進(jìn)行更新管理����,并建立對稱密鑰自動生成算法���,來完成認(rèn)證雙方的證書��、非對稱和對稱密鑰的生產(chǎn)�、分發(fā)和管理等工作,以代替PKI/CA體制中CA認(rèn)證中心的“公正”第三方功能����,以及證書和密鑰更新和管理的功能,從而�����,建立一套完整的網(wǎng)絡(luò)安全平臺��,全部過程用軟�、硬件結(jié)合或完全用軟件方式實現(xiàn),具體方法如下1����、引進(jìn)飛機(jī)飛行記錄儀——“黑匣子”概念,在網(wǎng)絡(luò)服務(wù)器端建立“黑匣子”�,記錄網(wǎng)絡(luò)身份認(rèn)證、加密傳輸和數(shù)字簽名過程中的公正數(shù)據(jù)����。
2����、將“黑匣子”記錄的內(nèi)容設(shè)定為只讀數(shù)據(jù)文件����,不可修改,根據(jù)需要可定時將數(shù)據(jù)拷貝保存����,將“黑匣子”里記錄的內(nèi)容作為“公正”的第三方公正數(shù)據(jù)���,用“黑匣子”技術(shù)來代替PKI/CA體制中的CA認(rèn)證中心的“公正”第三方功能�。
3���、在經(jīng)過身份確認(rèn)后�,才可以瀏覽“黑匣子”里的內(nèi)容����,這些內(nèi)容分別由權(quán)限管理系統(tǒng)控制并按各自的權(quán)限分配,以保證”黑匣子”中數(shù)據(jù)的公正性�����。
4、在客戶機(jī)和網(wǎng)絡(luò)服務(wù)器兩端建立網(wǎng)絡(luò)身份認(rèn)證�、加密傳輸和數(shù)字簽名等系統(tǒng),構(gòu)建一套完整的網(wǎng)絡(luò)安全平臺��。
5��、在客戶端使用智能卡��,存放非對稱密碼算法�����、對稱密碼算法�����、摘要算法�����、密鑰種子����、證書、私鑰和對稱密鑰自動生成算法�,以及身份認(rèn)證�、加密傳輸和數(shù)字簽名安全協(xié)議等����。
6、在網(wǎng)絡(luò)服務(wù)器端使用加密卡或硬盤等設(shè)備�,存放非對稱密碼算法、對稱密碼算法����、摘要算法、秘密密鑰種子�����、證書��、公鑰和對稱密鑰自動生成算法�����,以及身份認(rèn)證���、加密傳輸和數(shù)字簽名安全協(xié)議等。
7�、客戶機(jī)端寫入智能卡中的密鑰種子是以明文方式存儲����,智能卡具有防止數(shù)據(jù)外泄功能�����,保證這些數(shù)據(jù)的不被非法讀出����。
8、密鑰種子由S組“0”��、“1”數(shù)字組成��,S=600~1000����;每組由S1比特“0”、“1”數(shù)字組成�����,S1=8~16比特����。
9�、用時間因子和隨機(jī)數(shù)即會話密鑰�����,共同組成對稱密鑰自動生成算法���,從S組密鑰種子中組合選取K組密鑰種子����,再合并成一組對稱密鑰�����,即實現(xiàn)對稱密鑰自動���、組合生成,其中K=8~12����,將其用于身份認(rèn)證,生成的對稱密鑰一次一變�,幾十年內(nèi)不重復(fù)。
10����、采用種植密鑰種子技術(shù)及其對稱密鑰自動生成算法�,來替代CA認(rèn)證中心的對稱密鑰分發(fā)��、更新管理等功能����。
11、將時間戳定義為時間因子����,時間因子由6~12位數(shù)字組成,隨機(jī)數(shù)即會話密鑰由8~16位數(shù)字組成���。
12��、在網(wǎng)絡(luò)服務(wù)器端的加密卡或硬盤里����,存放全部客戶端的密鑰種子�,且這些密鑰種子是以密文的形式存放即秘密密鑰種子,其中用于加密密鑰種子的密鑰存放在加密卡中���,以防被盜用��。
13�����、網(wǎng)絡(luò)身份認(rèn)證過程(1)網(wǎng)絡(luò)身份認(rèn)證完全使用對稱密碼算法來實現(xiàn)���,并采用雙向認(rèn)證方式進(jìn)行網(wǎng)絡(luò)服務(wù)器和客戶機(jī)之間的認(rèn)證����,確保認(rèn)證雙方身份的可信度���。
(2)當(dāng)客戶機(jī)端向網(wǎng)絡(luò)服務(wù)器端發(fā)出認(rèn)證請求后�,網(wǎng)絡(luò)服務(wù)器回應(yīng)的方式是�,產(chǎn)生一組隨機(jī)數(shù)即挑戰(zhàn)碼發(fā)送給客戶機(jī)端,其中挑戰(zhàn)碼由M位數(shù)字組成�����,M=6~32��。
(3)客戶機(jī)產(chǎn)生一組隨機(jī)數(shù)即會話密鑰和時間戳即時間因子���,由二者組成的對稱密鑰自動生成算法����,對密鑰種子進(jìn)行控制選取生成一組對稱密鑰�����,再將證書和挑戰(zhàn)碼進(jìn)行加密生成一組密文即認(rèn)證口令���,將該用戶名�、認(rèn)證口令�、會話密鑰和時間因子等認(rèn)證參數(shù)一并發(fā)送給網(wǎng)絡(luò)服務(wù)器。
(4)網(wǎng)絡(luò)服務(wù)器端接收到認(rèn)證參數(shù)后����,先根據(jù)用戶名、會話密鑰���、時間因子和對稱密鑰自動生成算法����,生成一組秘密密鑰����,再解密成明文��,用其將認(rèn)證口令解密生成明文即一組證書和挑戰(zhàn)碼��,將該組證書和挑戰(zhàn)碼���,與網(wǎng)絡(luò)服務(wù)器端預(yù)存的該用戶名對應(yīng)的證書和網(wǎng)絡(luò)服務(wù)器端已生成的挑戰(zhàn)碼分別進(jìn)行對比,完全相同為認(rèn)證通過����,否則,為認(rèn)證未通過��。
(5)網(wǎng)絡(luò)服務(wù)器和客戶機(jī)之間的相互認(rèn)證通過后����,“黑匣子”將用戶名、時間因子����、會話密鑰、認(rèn)證口令和挑戰(zhàn)碼等數(shù)據(jù)自動記錄下來�,作為“公正”的第三方公正數(shù)據(jù)。
14�����、數(shù)字簽名過程(1)發(fā)送方首先用摘要算法從原文得到數(shù)字簽名即數(shù)字指紋M��,M由128比特“0”�����、“1”數(shù)字組成�,用客戶端的私鑰對數(shù)字簽名進(jìn)行加密,生成秘密數(shù)字簽名��。
(2)發(fā)送方根據(jù)對稱密鑰的自動生成算法����,產(chǎn)生一組對稱密鑰,對文件進(jìn)行加密生成密文文件���。
(3)發(fā)送方用接收方的公鑰��,將該加密明文的對稱密鑰進(jìn)行加密��,生成秘密密鑰�,并通過網(wǎng)絡(luò)將用戶名����、密文文件�、秘密數(shù)字簽名和秘密密鑰等數(shù)據(jù)通過網(wǎng)絡(luò)傳輸給接收方����,同時在網(wǎng)絡(luò)服務(wù)器里備份。
(4)接受方使用自己的私鑰把秘密密鑰信息進(jìn)行解密��,得到秘密密鑰的明文即對稱密鑰��,用對稱密鑰對文件進(jìn)行解密得到文件明文���;再用發(fā)送方的公鑰對秘密數(shù)字簽名進(jìn)行解密���,得到數(shù)字簽名的明文。
(5)接收方用得到的明文和摘要算法重新計算數(shù)字簽名��,并與解密后的數(shù)字簽名進(jìn)行對比�,如果兩個數(shù)字簽名是相同的,說明文件在傳輸過程中沒有被破壞�。
(6)網(wǎng)絡(luò)服務(wù)器端的“黑匣子”將用戶名、秘密數(shù)字簽名和秘密密鑰等數(shù)據(jù)自動記錄下來��,作為公正的第三方公正數(shù)據(jù)�����。
15、文件加密密傳輸過程(1)發(fā)送方利用對稱密鑰自動生成算法��,從密鑰種子中生成一組對稱密鑰�,并將需要傳輸給接收方的文件加密成密文�,再用接收方的公鑰將該組對稱密鑰加密成密文即秘密密鑰。
(2)發(fā)送方將其用戶名�、密文文件、秘密密鑰等數(shù)據(jù)一并發(fā)送給接收方����,同時在網(wǎng)絡(luò)服務(wù)器里備份。
(3)接受方使用自己的私鑰對秘密密鑰信息進(jìn)行解密����,得到秘密密鑰的明文,再用已獲得的密鑰明文對密文文件進(jìn)行解密��,生成明文���。
(4)“黑匣子”將用戶名��、秘密密鑰等數(shù)據(jù)自動記錄下來�����,作為“公正”的第三方公正數(shù)據(jù)�。
16、在客戶機(jī)和網(wǎng)絡(luò)服務(wù)器之間建立安全加密通道�����,以便客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的通信數(shù)據(jù)不被黑客窺探�,其過程如下(1)采用對稱密碼算法來實現(xiàn)客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的雙向認(rèn)證,并完成會話密鑰的確定等����,再建立網(wǎng)絡(luò)服務(wù)器和客戶機(jī)之間的SSL協(xié)議中的記錄層協(xié)議。
(2)由于SSL協(xié)議為兩層協(xié)議組成的�����,一是握手層協(xié)議�,二是記錄層協(xié)議,通過客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的雙向認(rèn)證來實現(xiàn)SSL協(xié)議中的握手層協(xié)議�����,再利用客戶機(jī)與網(wǎng)絡(luò)服務(wù)器兩端的各種密碼算法�,來實現(xiàn)SSL協(xié)議中的記錄層協(xié)議�。
17��、密碼產(chǎn)品生產(chǎn)商負(fù)責(zé)非對稱密鑰和證書的更新管理其方法如下(1)在網(wǎng)絡(luò)服務(wù)器端建立全體用戶非對稱密鑰和證書的更新管理區(qū)�,分別用各用戶的密鑰種子生成的對稱密鑰,將用戶的私鑰和證書加密成密文即秘密私鑰和秘密證書�����,再將其與用戶對應(yīng)的公鑰��、用戶名以及產(chǎn)生對應(yīng)的時間因子和會話密鑰等數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)服務(wù)器的非對稱密鑰和證書更新管理區(qū)���。
(2)網(wǎng)絡(luò)服務(wù)器端將接收到的公鑰存放到硬盤的公鑰數(shù)據(jù)存儲區(qū),根據(jù)用戶名�����、時間因子����、會話密鑰以及對稱密鑰自動生成算法生成對稱密鑰,將秘密證書解密成明文并存放在證書數(shù)據(jù)存儲區(qū)��;客戶機(jī)端將通過網(wǎng)絡(luò)身份認(rèn)證后�,自動下載該用戶對應(yīng)的秘密私鑰����、秘密證書��、時間因子和會話密鑰等數(shù)據(jù)�����,并根據(jù)對稱密鑰自動生成算法生成對稱密鑰�,將秘密私鑰和證書解密成明文存放在客戶機(jī)端的智能卡中,至此�,非對稱密鑰和證書完成了一次更新。
18�、密碼生產(chǎn)商采用在網(wǎng)絡(luò)服務(wù)器端建立非對稱密鑰和證書更新管理區(qū)的方法,將用戶私鑰和證書加密成密文���,通過網(wǎng)絡(luò)傳輸?shù)姆椒?��,實現(xiàn)非對稱密鑰和證書的定期更新,來替代CA認(rèn)證中心的非對稱密鑰和證書的更新管理等功能��。
圖1基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)方法流程圖
具體實施例方式以下結(jié)合
基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)步驟圖1說明客戶機(jī)端在進(jìn)行身份認(rèn)證過程中����,將用戶名�、認(rèn)證口令�����、會話密鑰和時間因子等認(rèn)證參數(shù)發(fā)送給網(wǎng)絡(luò)服務(wù)器�,同時“黑匣子”自動記錄下這組認(rèn)證參數(shù)和網(wǎng)絡(luò)服務(wù)器端產(chǎn)生的挑戰(zhàn)碼,作為“公正”的第三方公正數(shù)據(jù)�;客戶機(jī)端在進(jìn)行數(shù)字簽名過程中,將用戶名�����、秘密數(shù)字簽名���、秘密密鑰和密文文件等發(fā)送給網(wǎng)絡(luò)服務(wù)器,同時“黑匣子”摘取這組數(shù)字簽名數(shù)據(jù)中的用戶名�����、秘密數(shù)字簽名和秘密密鑰等�����,并自動記錄下來作為“公正”的第三方公正數(shù)據(jù);客戶機(jī)端在進(jìn)行加密傳輸過程中���,將用戶名���、秘密密鑰和密文文件等發(fā)送給網(wǎng)絡(luò)服務(wù)器,同時��,“黑匣子”摘取這組加密傳輸數(shù)據(jù)中的用戶名�����、秘密密鑰等���,并自動記錄下來作為“公正”的第三方公正數(shù)據(jù)�;客戶機(jī)和網(wǎng)絡(luò)服務(wù)器之間是采取雙向認(rèn)證方式�,當(dāng)雙向認(rèn)證通過后,在兩者之間建立SSL協(xié)議中的記錄層協(xié)議����,來構(gòu)成一條安全數(shù)據(jù)傳輸通道。
權(quán)利要求
1.基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)方法�����,是運(yùn)用計算機(jī)、密碼和網(wǎng)絡(luò)技術(shù)來實現(xiàn)�,其實施步驟如下在網(wǎng)絡(luò)服務(wù)器端設(shè)置“黑匣子”,摘取并記錄下客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的身份認(rèn)證�、加密傳輸和數(shù)字簽名等過程中的公正數(shù)據(jù),將“黑匣子”作為“公正”的第三方�����,密碼生產(chǎn)商負(fù)責(zé)密鑰和證書的生產(chǎn)�、分發(fā)和管理,在網(wǎng)絡(luò)服務(wù)器端建立非對稱密鑰和證書更新區(qū)�,將用戶的私鑰和證書加密成密文,通過網(wǎng)絡(luò)進(jìn)行更新管理����,并建立對稱密鑰自動生成算法,來完成認(rèn)證雙方的證書�、非對稱和對稱密鑰的生產(chǎn)、分發(fā)和管理等工作���,以代替國際上PKI/CA體制中CA認(rèn)證中心的“公正”第三方功能,以及證書和密鑰更新和管理的功能����,從而,建立一套完整的網(wǎng)絡(luò)安全平臺。
2.根據(jù)權(quán)利1要求的方法���,其特征在于(1)采用“黑匣子”技術(shù)記錄網(wǎng)絡(luò)服務(wù)器和客戶機(jī)之間的身份認(rèn)證�、加密傳輸和數(shù)字簽名過程中的公正數(shù)據(jù)�,來替代PKI/CA體制中的CA認(rèn)證中心這“公正”的第三方功能;(2)將“黑匣子”里記錄的內(nèi)容設(shè)定為只讀數(shù)據(jù)文件���,不能修改��,只有正確通過身份認(rèn)證后�����,才能根據(jù)權(quán)限瀏覽“黑匣子”里的內(nèi)容����,以保證“黑匣子”中數(shù)據(jù)的公正性���。
3.根據(jù)權(quán)利1要求的方法�����,其特征在于采用密鑰種子技術(shù)和建立對稱密鑰自動生成算法�,實現(xiàn)對稱密鑰自動、組合生成����,來替代PKI/CA體制中CA認(rèn)證中心的對稱密鑰更新和管理等功能。
4.根據(jù)權(quán)利1要求的方法�,其特征在于在網(wǎng)絡(luò)服務(wù)器端建立非對稱密鑰和證書更新區(qū),將用戶私鑰和證書加密成密文并經(jīng)網(wǎng)絡(luò)傳輸?shù)姆绞?�,實現(xiàn)用戶非對稱密鑰和證書的定期更新管理等�,來替代PKI/CA體制中CA認(rèn)證中心的非對稱密鑰和證書更新和管理等功能。
5.根據(jù)權(quán)利1要求的方法����,其特征在于采用對稱密碼來實現(xiàn)網(wǎng)絡(luò)服務(wù)器和客戶機(jī)之間的雙向身份認(rèn)證,達(dá)到加密認(rèn)證速度快和加密的證書抗集團(tuán)破譯能力強(qiáng)等特點(diǎn)�。
6.根據(jù)權(quán)利5要求的方法,其特征在于(1)通過會話密鑰和時間因子建立的對稱密鑰生成算法�,從密鑰種子中組合生成對稱密鑰,一次一變不重復(fù)��,保證了對稱密鑰和認(rèn)證口令的生成具有很大的隨機(jī)性�,提高了認(rèn)證的安全性;(2)網(wǎng)絡(luò)服務(wù)器和客戶機(jī)兩端密鑰“種子”的存儲方式不同�,前者是以密文形式存儲在服務(wù)器的硬盤里�,后者是以明文形式存儲在客戶機(jī)端的智能卡中���,智能卡具有防非法數(shù)據(jù)讀取功能,雙方都不知道對方生成對稱密鑰的密鑰種子�����,保證雙方都不可模仿對方的操作���;(3)通過對網(wǎng)絡(luò)服務(wù)器端產(chǎn)生挑戰(zhàn)碼的生命期設(shè)置����,控制整個認(rèn)證過程的最大周期�����,以防止黑客截取并盜用認(rèn)證參數(shù)��;(4)通過客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的雙向認(rèn)證來實現(xiàn)SSL協(xié)議中的握手層協(xié)議��,再建立SSL協(xié)議中的記錄層協(xié)議��,來組成客戶機(jī)和網(wǎng)絡(luò)服務(wù)器之間的安全加密通道���,以保證客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的通信數(shù)據(jù)不被黑客窺探�。
全文摘要
基于“黑匣子”技術(shù)的網(wǎng)絡(luò)安全平臺實現(xiàn)方法,是運(yùn)用計算機(jī)���、密碼和網(wǎng)絡(luò)技術(shù)�����,在網(wǎng)絡(luò)服務(wù)器端設(shè)置“黑匣子”���,摘取并記錄下客戶機(jī)與網(wǎng)絡(luò)服務(wù)器之間的身份認(rèn)證、加密傳輸和數(shù)字簽名等過程中的公正數(shù)據(jù)��,將“黑匣子”作為“公正”的第三方�,在網(wǎng)絡(luò)服務(wù)器端建立非對稱密鑰和證書更新區(qū),將用戶的私鑰和證書加密成密文���,經(jīng)網(wǎng)絡(luò)進(jìn)行更新管理�����,并通過建立對稱密鑰自動生成算法�,來完成認(rèn)證雙方的證書���、非對稱和對稱密鑰的生產(chǎn)��、分發(fā)和管理等工作��,以代替國際上PKI/CA體制中CA認(rèn)證中心的“公正”第三方功能�,以及證書和密鑰更新和管理的功能��,從而��,建立一套完整的網(wǎng)絡(luò)安全平臺��。
文檔編號H04L9/10GK1703003SQ200510085258
公開日2005年11月30日 申請日期2005年7月22日 優(yōu)先權(quán)日2005年7月22日
發(fā)明者胡祥義 申請人:胡祥義