專利名稱:一種離線安全使用可信移動存儲介質(zhì)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域����,尤其涉及一種離線安全使用需在線驗證的可信移動存儲介質(zhì)的方法及系統(tǒng)�。
背景技術(shù):
隨著移動存儲介質(zhì)越來越輕便、存儲容量越來越大��,在企事業(yè)信息安全建設(shè)過程中移動存儲介質(zhì)的安全使用問題越來越突出���。因此���,當(dāng)前企事業(yè)單位迫切需要一套完整的 移動存儲介質(zhì)管理方案,以從根本上解決現(xiàn)有技術(shù)中移動存儲介質(zhì)的安全使用問題?,F(xiàn)有技術(shù)對可信移動存儲介質(zhì)進(jìn)行在線管理時,能夠?qū)σ苿哟鎯橘|(zhì)使用的整個生命周期進(jìn)行管理�。例如為新購買的移動存儲介質(zhì)通過注冊(打標(biāo)簽)完成授權(quán),對移動存儲介質(zhì)接入進(jìn)行控制�����,進(jìn)而做到企業(yè)信息資產(chǎn)、涉密信息等不被移動存儲介質(zhì)非法拷貝����,實現(xiàn)對移動存儲介質(zhì)信息安全管理。具體地���,在可信移動存儲介質(zhì)客戶端運行時���,插入可信移動存儲介質(zhì)后,事先和可信移動存儲介質(zhì)管理服務(wù)器通信�,將可信移動存儲介質(zhì)中的標(biāo)簽信息發(fā)給服務(wù)器驗證,服務(wù)器根據(jù)驗證結(jié)果��,將存儲策略及服務(wù)器標(biāo)識下發(fā)給客戶端����,客戶端拿到存儲策略和服務(wù)器標(biāo)識后��,需要將服務(wù)器標(biāo)識和可信移動存儲介質(zhì)中的服務(wù)器標(biāo)識進(jìn)行比對��,借此判斷可信移動存儲介質(zhì)管理服務(wù)器的合法性����,比對成功后再根據(jù)存儲策略加載插入的可信移動存儲介質(zhì)����,進(jìn)而實現(xiàn)數(shù)據(jù)的安全讀寫��。當(dāng)客戶端和服務(wù)器無法相互通信驗證對方身份時�����,無法正常使用可信移動存儲介質(zhì)�����。然而�����,現(xiàn)有的可信移動存儲介質(zhì)管理系統(tǒng)都需要以在線為基本使用條件��,只有在線時�,可信移動存儲介質(zhì)管理服務(wù)器才能驗證接入的可信移動存儲介質(zhì)是否為本系統(tǒng)中授權(quán)的可信移動存儲介質(zhì),同時可信移動存儲介質(zhì)客戶端也才能驗證可信移動存儲介質(zhì)管理服務(wù)器是否為本系統(tǒng)中部署的服務(wù)器�����,而非第三方部署的服務(wù)器。而在離線狀態(tài)下因無法和服務(wù)器通信�����,可信移動存儲介質(zhì)無法使用���。雖然有些解決方案中不進(jìn)行雙方互為驗證���,只驗證使用密碼來解決可信移動存儲介質(zhì)離線使用問題,但此種解決方案顯然不夠安全��,一旦密碼泄露��,則可信移動存儲介質(zhì)的使用就變得完全不可控���。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供一種離線安全使用可信移動存儲介質(zhì)的方法及系統(tǒng),以解決現(xiàn)有技術(shù)中無法有效解決離線狀態(tài)下安全使用可信移動存儲介質(zhì)的問題���。本發(fā)明提供的一種離線安全使用可信移動存儲介質(zhì)的方法,其中所述方法應(yīng)用于包括可信移動存儲介質(zhì)客戶端、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì)構(gòu)成的系統(tǒng)中�����,所述方法包括如下步驟步驟I���、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)����,申請離線狀態(tài)下使用可信移動存儲介質(zhì)�����,輸出該可信移動存儲介質(zhì)的離線申請文件�����;
步驟2�、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后�����,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端����;步驟3��、客戶端獲得離線授權(quán)文件后����,在離線的狀態(tài)下�����,加載該離線授權(quán)文件����,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)。本發(fā)明提供的一種離線安全使用可信移動存儲介質(zhì)的系統(tǒng)��,包括可信移動存儲介質(zhì)客戶端���、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì)�,其中�����,所述客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)��,申請離線狀態(tài)下使用可信移動存儲介質(zhì)���,輸出該可信移動存儲介質(zhì)的離線申請文件;所述客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器����,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后���,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶 端;所述客戶端獲得離線授權(quán)文件后���,在離線的狀態(tài)下,加載該離線授權(quán)文件��,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)�。與現(xiàn)有的技術(shù)相比,本發(fā)明技術(shù)方案通過引入了離線申請文件��、離線使用授權(quán)文件���,并通過這兩個文件作為媒介����,完成可信移動存儲介質(zhì)客戶端及管理服務(wù)器之間的雙方身份驗證����,因而有效地解決了在離線狀態(tài)下無法安全使用需在線驗證可信移動存儲介質(zhì)的問題����。
圖I是本發(fā)明提供的離線安全使用可信移動存儲介質(zhì)的方法流程圖����。圖2是本發(fā)明可信移動存儲介質(zhì)管理服務(wù)器生存離線授權(quán)文件流程圖。圖3是本發(fā)明在離線的狀態(tài)下安全使用可信移動存儲介質(zhì)流程圖���。圖4是本發(fā)明可信移動存儲介質(zhì)在離線狀態(tài)下進(jìn)行客戶端和管理服務(wù)器驗證工作流程圖�����。
具體實施例方式為了解決離線狀態(tài)下能夠安全使用需在線驗證的可信移動存儲介質(zhì)的問題�。本發(fā)明方案采用的核心思想為客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)���,申請在離線狀態(tài)下使用可信移動存儲介質(zhì)����,并輸出此移動存儲介質(zhì)的離線申請文件����,客戶端將離線申請文件通過QQ��、Email等途徑發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器��,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后�����,將離線授權(quán)文件通過QQ、Email等途徑發(fā)送給可信移動存儲介質(zhì)客戶端����。客戶端拿到離線授權(quán)文件后����,在離線的狀態(tài)下,加載該離線授權(quán)文件后���,完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)��。通過本發(fā)明方案�,在解決離線狀態(tài)下雙方驗證問題的同時����,又保證了安全使用可信移動存儲介質(zhì)�。需要說明的是����,在本發(fā)明技術(shù)方案中,所述客戶端具體是指安裝有在離線狀態(tài)下可以使用可信移動存儲介質(zhì)的客戶端軟件的個人電腦或者其他終端裝置�。為節(jié)約篇幅,以下不再針對客戶端作特別的解釋和說明����。為了本發(fā)明方案更加清楚和明白,以下結(jié)合本發(fā)明具體實施例加以說明����。
如圖I所示,為本發(fā)明離線安全使用可信移動存儲介質(zhì)的方法流程圖���。該方法應(yīng)用于包括可信移動存儲介質(zhì)客戶端�、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì)構(gòu)成的系統(tǒng)中�,所述方法包括如下步驟步驟I、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)����,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件。當(dāng)在離線狀態(tài)下���,需使用在線驗證的可信移存儲介質(zhì)時�,申請者在客戶端插入需在線驗證的可信移動存儲介質(zhì)后����,通過可信移動存儲介質(zhì)客戶端提供的離線申請功能,申請可信移動存儲介質(zhì)離線使用����,從客戶端獲取離線申請文件的相關(guān)信息。在本發(fā)明實施例中�,離線申請文件的相關(guān)信息具體包括可信移動存儲介質(zhì)的標(biāo)簽信息以及使用可信移動存儲介質(zhì)客戶端的機器相關(guān)信息���,如MAC地址���、硬盤序列號、計算機名稱等����。在成功收集到上述這些信息后,可信移動存儲介質(zhì)客戶端使用事先約定好的密鑰對這些信息進(jìn)行加密����,生成離線申請文件�����,同時在可信介質(zhì)標(biāo)簽中記錄申請離線使用標(biāo) 識及使用次數(shù)��,此時的使用次數(shù)一般為O��。需要說明的是��,在某些特定的應(yīng)用場景下��,也可以通過有效使用時間段代替離線使用次數(shù)限制���。步驟2、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器�,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端��。具體地�,申請者通過QQ、Email等途徑由客戶端機器向可信移動存儲介質(zhì)服務(wù)器發(fā)送離線申請文件�,當(dāng)然,在本發(fā)明技術(shù)方案中��,申請者也可以不通過客戶端機器而通過其他終端機器向可信移動存儲介質(zhì)服務(wù)器發(fā)送離線申請文件。當(dāng)管理員在可信移動存儲介質(zhì)管理服務(wù)器端獲取到客戶端發(fā)送來的離線申請文件后��,進(jìn)行如下處理首先����,打開可信移動存儲介質(zhì)管理服務(wù)器端提供的離線授權(quán)功能,上傳客戶端發(fā)送過來的離線申請文件����;其次,在可信移動存儲介質(zhì)管理服務(wù)器端用事先約定好的解密密鑰解密所述離線申請文件��;最后�,在對所述離線申請文件解密成功后,驗證其可信移動存儲介質(zhì)的標(biāo)簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標(biāo)簽����,如果不符合要求����,則不生成授權(quán)文件;而當(dāng)可信移動存儲介質(zhì)的標(biāo)簽信息符合要求時����,由管理員決定是否完成離線使用授權(quán),如允許離線使用,則將解密獲取的標(biāo)簽信息外加授權(quán)信息一同按事先約定好的密鑰對這些信息進(jìn)行加密��,生成離線使用授權(quán)文件�����。其中所述離線使用授權(quán)文件中的授權(quán)信息具體包括使用次數(shù)���、是否只讀授權(quán)�����、服務(wù)器標(biāo)識等�,并將該離線使用授權(quán)文件通過QQ����、Email等途徑發(fā)給申請者,有關(guān)上述處理流程如圖2所示�����。步驟3�、客戶端獲得離線授權(quán)文件后,在離線的狀態(tài)下�����,加載該離線授權(quán)文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)�。具體地,申請者在通過QQ���、Email等途徑拿到離線使用授權(quán)文件后���,進(jìn)行如下操作完成可信存儲介質(zhì)在離線狀態(tài)下的使用,具體如圖3所示首先���,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)��;接著���,打開可信移動存儲介質(zhì)客戶端,請求對可信移動存儲介質(zhì)進(jìn)行離線狀態(tài)下使用���,此時客戶端一般會提示選擇離線使用授權(quán)文件,申請者將可信移動存儲介質(zhì)的離線使用授權(quán)文件選上并上傳�。最后,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權(quán)文件后����,完成雙方互信工作�����,根據(jù)離線使用授權(quán)文件獲得的存儲策略加載可信移動存儲介質(zhì)��,相關(guān)處理流程如圖4所示���,具體如下a、按事先約定好的密鑰解密離線使用授權(quán)文件���,獲取授權(quán)相關(guān)信息�。b�����、獲取插入可信介質(zhì)中的標(biāo)簽信息���、離線申請標(biāo)識����、離線使用次數(shù)����。C��、驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求�����。d�、驗證插入的可信移動存儲介質(zhì)和授權(quán)的可信移動存儲介質(zhì)的標(biāo)簽是否一致����。
e、驗證服務(wù)器標(biāo)識是否和插入的可信移動存儲介質(zhì)中的服務(wù)器標(biāo)識是否一致�。f、驗證離線使用次數(shù)是否達(dá)到上限�。待上述全部驗證成功通過后,根據(jù)離線使用授權(quán)文件中的存儲策略(是否只讀)加載可信移動存儲介質(zhì)�。如果存儲的策略為只讀加載時,用戶只能從可信移動存儲介質(zhì)中讀取文件�,不能寫入?���?尚乓苿哟鎯橘|(zhì)加載成功后,修改可信介質(zhì)的使用次數(shù)����,通常每次離線驗證成功,使用次數(shù)會自動加I。需要說明的是����,上述驗證過程c_f中只要其中任何一個環(huán)節(jié)驗證不過,都將拒絕加載離線加載可信移動存儲介質(zhì)���。本發(fā)明方案同時提供一種離線狀態(tài)下安全使用可信移動存儲介質(zhì)的系統(tǒng)����。所述系統(tǒng)至少包括可信移動存儲介質(zhì)客戶端��、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì)�。其中,當(dāng)可信移動存儲介質(zhì)需要在離線狀態(tài)下安全使用時��,則客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)�,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件���。當(dāng)在離線狀態(tài)下�,需使用在線驗證的可信移存儲介質(zhì)時���,申請者在插入需在線驗證的可信移動存儲介質(zhì)后����,通過可信移動存儲介質(zhì)客戶端提供的離線申請功能,申請可信移動存儲介質(zhì)離線使用�,從客戶端獲取離線申請文件的相關(guān)信息。在本發(fā)明實施例中����,離線申請文件的相關(guān)信息具體包括可信移動存儲介質(zhì)的標(biāo)簽信息以及使用可信移動存儲介質(zhì)客戶端的機器相關(guān)信息,如MAC地址����、硬盤序列號、計算機名稱等����。在成功收集到上述這些信息后,可信移動存儲介質(zhì)客戶端使用事先約定好的密鑰對這些信息進(jìn)行加密����,生成離線申請文件,同時在可信介質(zhì)標(biāo)簽中記錄申請離線使用標(biāo)識及使用次數(shù)�����,此時的使用次數(shù)一般為O。需要說明的是�����,在某些特定的應(yīng)用場景下�����,也可以通過有效使用時間段代替離線使用次數(shù)限制�?���?蛻舳藢㈦x線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后���,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端�����。具體地��,申請者通過QQ�����、Email等途徑由客戶端向可信移動存儲介質(zhì)服務(wù)器發(fā)送離線申請文件�,當(dāng)然,在本發(fā)明技術(shù)方案中�,申請者也可以不通過客戶端機器而通過其他終端機器向可信移動存儲介質(zhì)服務(wù)器發(fā)送離線申請文件。當(dāng)管理員在可信移動存儲介質(zhì)管理服務(wù)器端獲取到客戶端發(fā)送來的離線申請文件后����,進(jìn)行如下處理首先,打開可信移動存儲介質(zhì)管理服務(wù)器端提供的離線授權(quán)功能�����,上傳客戶端發(fā)送過來的離線申請文件���;
其次���,在可信移動存儲介質(zhì)管理服務(wù)器端用事先約定好的解密密鑰解密所述離線申請文件;最后����,在對所述離線申請文件解密成功后,驗證其可信移動存儲介質(zhì)的標(biāo)簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標(biāo)簽���,如果不符合要求�����,則不生成授權(quán)文件����;而當(dāng)可信移動存儲介質(zhì)的標(biāo)簽信息符合要求時,由管理員決定是否完成離線使用授權(quán)����,如允許離線使用�,則將解密獲取的標(biāo)簽信息外加授權(quán)信息一同按事先約定好的密鑰對這些信息進(jìn)行加密,生成離線使用授權(quán)文件���。其中所述離線使用授權(quán)文件中的授權(quán)信息具體包括使用次數(shù)�����、是否只讀授權(quán)�、服務(wù)器標(biāo)識等��,并將該離線使用授權(quán)文件通過QQ����、Email等途徑發(fā)給申請者��?�?蛻舳双@得離線授權(quán)文件后�,在離線的狀態(tài)下�,加載該離線授權(quán)文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介 質(zhì)�。具體地,申請者在通過QQ�����、Email等途徑拿到離線使用授權(quán)文件后���,進(jìn)行如下操作完成可信存儲介質(zhì)在離線狀態(tài)下的使用首先�,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)��;接著��,打開可信移動存儲介質(zhì)客戶端���,請求對可信移動存儲介質(zhì)進(jìn)行離線狀態(tài)下使用�����,此時客戶端一般會提示選擇離線使用授權(quán)文件��,申請者將可信移動存儲介質(zhì)的離線使用授權(quán)文件選上并上傳��。最后�����,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權(quán)文件后��,完成雙方互信工作�,根據(jù)離線使用授權(quán)文件獲得的存儲策略加載可信移動存儲介質(zhì)�,具體處理流程如下a、按事先約定好的密鑰解密離線使用授權(quán)文件�,獲取授權(quán)相關(guān)信息。b��、獲取插入可信介質(zhì)中的標(biāo)簽信息��、離線申請標(biāo)識��、離線使用次數(shù)�����。C、驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求�。d、驗證插入的可信移動存儲介質(zhì)和授權(quán)的可信移動存儲介質(zhì)的標(biāo)簽是否一致���。e�����、驗證服務(wù)器標(biāo)識是否和插入的可信移動存儲介質(zhì)中的服務(wù)器標(biāo)識是否一致��。f�、驗證離線使用次數(shù)是否達(dá)到上限���。待上述全部驗證成功通過后����,根據(jù)離線使用授權(quán)文件中的存儲策略(是否只讀)加載可信移動存儲介質(zhì)�。如果存儲的策略為只讀加載時,用戶只能從可信移動存儲介質(zhì)中讀取文件��,不能寫入����?�?尚乓苿哟鎯橘|(zhì)加載成功后�,修改可信介質(zhì)的使用次數(shù)��,通常每次離線驗證成功,使用次數(shù)會自動加I����。需要說明的是,上述驗證過程c_f中只要其中任何一個環(huán)節(jié)驗證不過��,都將拒絕加載離線加載可信移動存儲介質(zhì)�。在本發(fā)明技術(shù)方案中,通過引入了離線申請文件��、離線使用授權(quán)文件�,并通過這兩個文件作為媒介�����,完成可信移動存儲介質(zhì)客戶端及管理服務(wù)器之間的雙方身份驗證���,另外���,由于對離線申請文件����、離線授權(quán)文件進(jìn)行加解密�����,保證離線申請文件和離線授權(quán)文件傳輸?shù)陌踩?��,因而有效地解決了在離線狀態(tài)下無法安全使用需在線驗證可信移動存儲介質(zhì)的問題����。以上所述僅僅為本發(fā)明較佳的實現(xiàn)方式��,任何基于本發(fā)明精神所做出的等同的修改皆應(yīng)涵蓋于本發(fā)明的權(quán)利要求范圍中���。
權(quán)利要求
1.一種離線安全使用可信移動存儲介質(zhì)的方法��,其中所述方法應(yīng)用于包括可信移動存儲介質(zhì)客戶端����、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì)構(gòu)成的系統(tǒng)中����,其特征在于��,所述方法包括如下步驟 步驟I�、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)�����,申請離線狀態(tài)下使用可信移動存儲介質(zhì)�,輸出該可信移動存儲介質(zhì)的離線申請文件; 步驟2�����、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器�����,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后�����,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端; 步驟3�、客戶端獲得離線授權(quán)文件后��,在離線的狀態(tài)下,加載該離線授權(quán)文件��,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)����。
2.如權(quán)利要求I所述的方法,其特征在于����,所述步驟2具體為 首先,打開可信移動存儲介質(zhì)管理服務(wù)器端提供的離線授權(quán)功能����,上傳客戶端發(fā)送過來的離線申請文件; 其次���,在可信移動存儲介質(zhì)管理服務(wù)器端用事先約定好的解密密鑰解密所述離線申請文件���; 最后,在對所述離線申請文件解密成功后���,驗證其可信移動存儲介質(zhì)的標(biāo)簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標(biāo)簽�����,如果不符合要求��,則不生成授權(quán)文件����;而當(dāng)可信移動存儲介質(zhì)的標(biāo)簽信息符合要求時,由管理員決定是否完成離線使用授權(quán)�,如允許離線使用,則將解密獲取的標(biāo)簽信息外加授權(quán)信息一同按事先約定好的密鑰對這些信息進(jìn)行加密��,生成離線使用授權(quán)文件��。
3.如權(quán)利要求2所述的方法���,其特征在于�����,所述離線使用授權(quán)文件中的授權(quán)信息具體包括使用次數(shù)����、是否只讀授權(quán)����、服務(wù)器標(biāo)識。
4.如權(quán)利要求I所述的方法���,其特征在于����,所述步驟3具體為 首先�����,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)��; 接著��,打開可信移動存儲介質(zhì)客戶端���,請求對可信移動存儲介質(zhì)進(jìn)行離線狀態(tài)下使用�,并將對應(yīng)該可信移動存儲介質(zhì)的離線使用授權(quán)文件加載���; 最后���,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權(quán)文件后��,完成雙方互信工作���,并根據(jù)離線使用授權(quán)文件獲得的存儲策略加載可信移動存儲介質(zhì)。
5.如權(quán)利要求4所述的方法��,其特征在于��,所述可信移動存儲介質(zhì)完成客戶端和管理服務(wù)器端的雙方互信步驟具體包括 按事先約定好的密鑰解密離線使用授權(quán)文件�,獲取授權(quán)相關(guān)信息; 獲取插入可信移動存儲介質(zhì)中的標(biāo)簽信息�、離線申請標(biāo)識、離線使用次數(shù)信息����; 驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求; 驗證插入的可信移動存儲介質(zhì)和授權(quán)的可信移動存儲介質(zhì)的標(biāo)簽是否一致����; 驗證服務(wù)器標(biāo)識是否和插入的可信移動存儲介質(zhì)中的服務(wù)器標(biāo)識是否一致; 驗證離線使用次數(shù)是否達(dá)到上限�����。
6.一種離線安全使用可信移動存儲介質(zhì)的系統(tǒng)����,包括可信移動存儲介質(zhì)客戶端�����、可信移動存儲介質(zhì)管理服務(wù)器以及可行移動存儲介質(zhì),其特征在于�����,所述客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)����,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件�; 所述客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后����,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端;所述客戶端獲得離線授權(quán)文件后�����,在離線的狀態(tài)下�����,加載該離線授權(quán)文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)���。
7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于��,所述可信移動存儲介質(zhì)管理服務(wù)器生成授離線授權(quán)文件的過程具體為 首先���,打開可信移動存儲介質(zhì)管理服務(wù)器端提供的離線授權(quán)功能,上傳客戶端發(fā)送過來的離線申請文件��; 其次�����,在可信移動存儲介質(zhì)管理服務(wù)器端用事先約定好的解密密鑰解密所述離線申請文件�;最后,在對所述離線申請文件解密成功后�����,驗證其可信移動存儲介質(zhì)的標(biāo)簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標(biāo)簽,如果不符合要求���,則不生成授權(quán)文件�����;而當(dāng)可信移動存儲介質(zhì)的標(biāo)簽信息符合要求時��,由管理員決定是否完成離線使用授權(quán),如允許離線使用���,則將解密獲取的標(biāo)簽信息外加授權(quán)信息一同按事先約定好的密鑰對這些信息進(jìn)行加密��,生成離線使用授權(quán)文件��。
8.如權(quán)利要求7所述的方法�����,其特征在于���,所述離線使用授權(quán)文件中的授權(quán)信息具體包括使用次數(shù)、是否只讀授權(quán)��、服務(wù)器標(biāo)識。
9.如權(quán)利要求6所述的方法����,其特征在于,所述客戶端獲得離線授權(quán)文件后��,對可信移動存儲介質(zhì)進(jìn)行加載具體為 首先�����,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)����; 接著,打開可信移動存儲介質(zhì)客戶端��,請求對可信移動存儲介質(zhì)進(jìn)行離線狀態(tài)下使用��,并將對應(yīng)該可信移動存儲介質(zhì)的離線使用授權(quán)文件加載���; 最后����,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權(quán)文件后,完成雙方互信工作�����,并根據(jù)離線使用授權(quán)文件獲得的存儲策略加載可信移動存儲介質(zhì)���。
10.如權(quán)利要求9所述的方法�,其特征在于����,所述可信移動存儲介質(zhì)完成客戶端和管理服務(wù)器端的雙方互信步驟具體包括 按事先約定好的密鑰解密離線使用授權(quán)文件,獲取授權(quán)相關(guān)信息���; 獲取插入可信移動存儲介質(zhì)中的標(biāo)簽信息�、離線申請標(biāo)識�����、離線使用次數(shù)信息�����; 驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求�; 驗證插入的可信移動存儲介質(zhì)和授權(quán)的可信移動存儲介質(zhì)的標(biāo)簽是否一致���;驗證服務(wù)器標(biāo)識是否和插入的可信移動存儲介質(zhì)中的服務(wù)器標(biāo)識是否一致����; 驗證離線使用次數(shù)是否達(dá)到上限。
全文摘要
本發(fā)明提供了一種離線狀態(tài)下安全使用可信移動存儲介質(zhì)的方法及其系統(tǒng)����。客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)�����,申請在離線狀態(tài)下使用可信移動存儲介質(zhì)����,并輸出此移動存儲介質(zhì)的離線申請文件,客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務(wù)器�����,可信移動存儲介質(zhì)管理服務(wù)器審核離線申請文件成功后����,將離線授權(quán)文件發(fā)送給可信移動存儲介質(zhì)客戶端。客戶端拿到離線授權(quán)文件后�����,在離線的狀態(tài)下��,加載該離線授權(quán)文件后�,完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)。通過本發(fā)明方案�����,在解決離線狀態(tài)下雙方驗證問題的同時�����,又保證了安全使用可信移動存儲介質(zhì)����。
文檔編號H04L29/08GK102724137SQ20121017908
公開日2012年10月10日 申請日期2012年5月30日 優(yōu)先權(quán)日2012年5月30日
發(fā)明者羅友春 申請人:杭州華三通信技術(shù)有限公司