一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法
【專利摘要】本發(fā)明涉及一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法��,用戶的一組加密設(shè)備包括一個主加密設(shè)備和多個普通加密設(shè)備;其具體步驟如下:1�����、主加密設(shè)備初始化1��、生成“鑒權(quán)密鑰對”��,2�、生成“對稱密鑰保護(hù)密鑰對”;用戶設(shè)置PIN碼��;2�����、已經(jīng)初始化的主加密設(shè)備或者普通加密設(shè)備插入母盾的A口�����,將待初始化的加密設(shè)備插入母盾的B口�;3、用戶需要輸入插在A口的加密設(shè)備的PIN碼�,PIN碼驗證通過后,母盾進(jìn)行處理�。本發(fā)明有益的效果是:在一個用戶的任何一臺客戶端上加密的文件需要在該用戶的其他客戶端上都能夠被解密����;在加密設(shè)備間建立信任關(guān)系的過程中需要防止黑客惡意攻擊���,和非本人的加密設(shè)備之間建立信任關(guān)系。
【專利說明】一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動加密設(shè)備間建立信任的【技術(shù)領(lǐng)域】�,尤其是一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法。
【背景技術(shù)】
[0002]在加密云盤實現(xiàn)過程中���,用戶場景和需要解的問題為:1����、一個用戶有多臺客戶端(PC或移動設(shè)備)�����,每臺客戶端上插有一個硬件加密設(shè)備(USB或TF卡接口形式)��;2�、各加密設(shè)備在交付給用戶時為未初始化狀態(tài),需要用戶完成其初始化�。3、在一個用戶的任何一臺客戶端上加密的文件需要在該用戶的其他客戶端上都能夠被解密���;4��、在加密設(shè)備間建立信任關(guān)系的過程中需要防止黑客惡意攻擊�,和非本人的加密設(shè)備之間建立信任關(guān)系。
【發(fā)明內(nèi)容】
[0003]本發(fā)明要解決上述現(xiàn)有技術(shù)的缺點��,提供一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法�����。
[0004]本發(fā)明解決其技術(shù)問題采用的技術(shù)方案:這種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法���,用戶的一組加密設(shè)備包括一個主加密設(shè)備和多個普通加密設(shè)備�,為未初始化狀態(tài)���,內(nèi)部不包含任何密鑰��;其具體步驟如下:
[0005](I)�、主加密設(shè)備初始化:主加密設(shè)備插入母盾的A 口�����,母盾讀取其設(shè)備信息�,得知它是主加密設(shè)備�,并且還沒有被初始化�����,則進(jìn)行下面的初始化過程�����,(I)�、生成“鑒權(quán)密鑰對”��,(2)�、生成“對稱密鑰保護(hù)密鑰對”;用戶設(shè)置PIN碼�����;
[0006](2)���、已經(jīng)初始化的主加密設(shè)備或者普通加密設(shè)備插入母盾的A 口�,將待初始化的加密設(shè)備插入母盾的B 口 ��;如果A 口插入的設(shè)備是未初始化設(shè)備或B 口插入的設(shè)備是已初始化設(shè)備��,則提示錯誤信息;
[0007](3)���、用戶需要輸入插在A 口的加密設(shè)備的PIN碼���,PIN碼驗證通過后,母盾進(jìn)行如下處理:
[0008]①預(yù)初始化B 口的加密設(shè)備�����,生成“鑒權(quán)密鑰對”���;
[0009]②將B 口加密設(shè)備的“鑒權(quán)密鑰對”公鑰取出���,傳給A 口的加密設(shè)備;
[0010]③A 口的加密設(shè)備使用B 口加密設(shè)備的“鑒權(quán)密鑰對”公鑰對“對稱密鑰保護(hù)密鑰對”進(jìn)行加密�����,回傳給B 口的加密設(shè)備���;
[0011]④B 口的加密設(shè)備使用自己的“鑒權(quán)密鑰對”私鑰��,對獲得的數(shù)據(jù)進(jìn)行解密���,得到“對稱密鑰保護(hù)密鑰對”���,并保存在自己的非易失性存儲區(qū)內(nèi);
[0012]⑤用戶設(shè)置B 口加密設(shè)備的PIN碼�。
[0013]本發(fā)明有益的效果是:提供了一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法,在一個用戶的任何一臺客戶端上加密的文件需要在該用戶的其他客戶端上都能夠被解密�;在加密設(shè)備間建立信任關(guān)系的過程中需要防止黑客惡意攻擊,和非本人的加密設(shè)備之間建立信任關(guān)系����。
【具體實施方式】
[0014]下面結(jié)合實施例對本發(fā)明作進(jìn)一步說明:
[0015]這種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法�����,實現(xiàn)方法如下:用戶的一組加密設(shè)備包括一個主加密設(shè)備和多個普通加密設(shè)備��,為未初始化狀態(tài)�����,內(nèi)部不包含任何密鑰��;其具體步驟如下:
[0016](I)�、主加密設(shè)備初始化:主加密設(shè)備插入母盾的A 口���,母盾讀取其設(shè)備信息,得知它是主加密設(shè)備��,并且還沒有被初始化����,則進(jìn)行下面的初始化過程,(I)����、生成“鑒權(quán)密鑰對”,(2)�、生成“對稱密鑰保護(hù)密鑰對”;用戶設(shè)置PIN碼�;
[0017](2)、已經(jīng)初始化的主加密設(shè)備或者普通加密設(shè)備插入母盾的A 口����,將待初始化的加密設(shè)備插入母盾的B 口 ;如果A 口插入的設(shè)備是未初始化設(shè)備或B 口插入的設(shè)備是已初始化設(shè)備�,則提示錯誤信息;
[0018](3)�、用戶需要輸入插在A 口的加密設(shè)備的PIN碼,PIN碼驗證通過后,母盾進(jìn)行如下處理:
[0019]⑥預(yù)初始化B 口的加密設(shè)備�����,生成“鑒權(quán)密鑰對”�;
[0020]⑦將B 口加密設(shè)備的“鑒權(quán)密鑰對”公鑰取出,傳給A 口的加密設(shè)備�;
[0021]⑧A 口的加密設(shè)備使用B 口加密設(shè)備的“鑒權(quán)密鑰對”公鑰對“對稱密鑰保護(hù)密鑰對”進(jìn)行加密,回傳給B 口的加密設(shè)備�;
[0022]⑨B 口的加密設(shè)備使用自己的“鑒權(quán)密鑰對”私鑰,對獲得的數(shù)據(jù)進(jìn)行解密�,得到“對稱密鑰保護(hù)密鑰對”,并保存在自己的非易失性存儲區(qū)內(nèi)����;
[0023]⑩用戶設(shè)置B 口加密設(shè)備的PIN碼。
[0024]1.云盾即“硬件加密設(shè)備”���,有USB和TF卡封裝形式。TF卡封裝形式的加密設(shè)備能夠使用TF-USB轉(zhuǎn)接器轉(zhuǎn)接為USB封裝形式
[0025]2.加密設(shè)備能夠通過快遞的方式交付給用戶�����,用戶收到的加密設(shè)備為未初始化狀態(tài)�,內(nèi)部不包含任何密鑰。
[0026]3.加密設(shè)備需要使用母盾進(jìn)行初始化以后,才能被使用��。
[0027]4.完成初始化的加密設(shè)備內(nèi)部包含兩對非對稱密鑰對
[0028]①鑒權(quán)密鑰對
[0029]②對稱密鑰保護(hù)密鑰對
[0030]5.用戶得到的一組加密設(shè)備中����,有一個主加密設(shè)備,采用不同顏色的外殼和其它加密設(shè)備區(qū)分���。
[0031]6.主加密設(shè)備和普通加密設(shè)備的區(qū)別是:
[0032]①上層應(yīng)用獲取加密設(shè)備信息時�����,主加密設(shè)備能夠返回特殊標(biāo)志����,表明自己是主加密設(shè)備
[0033]②在進(jìn)行主加密設(shè)備初始化時�,母盾會調(diào)用主加密設(shè)備的接口,分別生成“鑒權(quán)密鑰對”和“對稱密鑰保護(hù)密鑰對”��,而進(jìn)行普通加密設(shè)備初始化時���,只生成“鑒權(quán)密鑰對”����,“對稱密鑰保護(hù)密鑰對”是被注入的。
[0034]1.母盾是一個嵌入式設(shè)備���,包含以下部件:[0035]①電源適配器
[0036]②液晶顯示屏
[0037]③若干按鍵
[0038]④兩個USB接口
[0039]a)A 口:用于插入已經(jīng)被初始化的加密設(shè)備���,或未被初始化的主加密設(shè)備
[0040]b)B 口:用于插入未被初始化的加密設(shè)備;
[0041]2.在母盾中不保存任何公鑰和私鑰信息���。
[0042]除上述實施例外���,本發(fā)明還可以有其他實施方式。凡采用等同替換或等效變換形成的技術(shù)方案��,均落在本發(fā)明要求的保護(hù)范圍��。
【權(quán)利要求】
1.一種基于離線硬件設(shè)備的移動加密設(shè)備間建立信任的實現(xiàn)方法�,其特征在于:用戶的一組加密設(shè)備包括一個主加密設(shè)備和多個普通加密設(shè)備,為未初始化狀態(tài)����,內(nèi)部不包含任何密鑰�;其具體步驟如下: (1)、主加密設(shè)備初始化:主加密設(shè)備插入母盾的A口��,母盾讀取其設(shè)備信息,得知它是主加密設(shè)備�����,并且還沒有被初始化�����,則進(jìn)行下面的初始化過程����,(I)、生成“鑒權(quán)密鑰對”����,(2)、生成“對稱密鑰保護(hù)密鑰對”;用戶設(shè)置PIN碼�; (2)、已經(jīng)初始化的主加密設(shè)備或者普通加密設(shè)備插入母盾的A口��,將待初始化的加密設(shè)備插入母盾的B 口 ����;如果A 口插入的設(shè)備是未初始化設(shè)備或B 口插入的設(shè)備是已初始化設(shè)備,則提示錯誤信息�����; (3)、用戶需要輸入插在A口的加密設(shè)備的PIN碼�,PIN碼驗證通過后,母盾進(jìn)行如下處理: ①預(yù)初始化B口的加密設(shè)備�,生成“鑒權(quán)密鑰對”; ②將B口加密設(shè)備的“鑒權(quán)密鑰對”公鑰取出��,傳給A 口的加密設(shè)備����; ③A口的加密設(shè)備使用B 口加密設(shè)備的“鑒權(quán)密鑰對”公鑰對“對稱密鑰保護(hù)密鑰對”進(jìn)行加密,回傳給B 口的加密設(shè)備�����; ④B口的加密設(shè)備使用自己的“鑒權(quán)密鑰對”私鑰���,對獲得的數(shù)據(jù)進(jìn)行解密�����,得到“對稱密鑰保護(hù)密鑰對”����,并保存在自己的非易失性存儲區(qū)內(nèi)�����; ⑤用戶設(shè)置B口加密設(shè)備的PIN碼���。
【文檔編號】H04W12/06GK103686714SQ201310571521
【公開日】2014年3月26日 申請日期:2013年11月13日 優(yōu)先權(quán)日:2013年11月13日
【發(fā)明者】趙彬, 沈?qū)? 羅鳴, 陳波 申請人:安徽云盾信息技術(shù)有限公司