專利名稱:一種公鑰基礎(chǔ)設(shè)施設(shè)備及其使用方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,尤其涉及網(wǎng)絡(luò)安全領(lǐng)域的一種公鑰基礎(chǔ)設(shè)施PKI (Public Key Infrastructure) i殳備及其4吏用方法���。
背景技術(shù):
PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠?yàn)樗芯W(wǎng)絡(luò)通信應(yīng)用提 供安全通信服務(wù)�����,例如����,提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證 書管理體系,簡單來說���,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的 基礎(chǔ)設(shè)施��。PKI技術(shù)是信息安全技術(shù)的核心��,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)����。PKI技術(shù)被廣泛的應(yīng)用于電子商務(wù)和接入認(rèn)證領(lǐng)域��,但是其安全性經(jīng)常受 到挑戰(zhàn)。目前廣泛使用的一種PKI技術(shù)俗稱為USBkey,是一種USB設(shè)備��,其 中存放了認(rèn)證所需要的一些信息�����,例如私鑰等�。在需要認(rèn)證的時(shí)候?qū)SBkey 插入信息終端,例如PC�����,使用其中存儲的信息�����,通過與網(wǎng)絡(luò)側(cè)交互�����,進(jìn)行婆t 字簽名或其他方式的認(rèn)證�。但是這種方法屬于網(wǎng)絡(luò)應(yīng)用層上的安全機(jī)制��,當(dāng)攻 擊者采用重放攻擊或通過盜取密碼的木馬病毒監(jiān)聽通信時(shí)�����,安全性較差。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種公鑰基礎(chǔ)設(shè)施PKI設(shè)備及其使用方法�,在進(jìn)4亍安全 通信處理時(shí),能夠有效抵抗攻擊者的攻擊�����,提高系統(tǒng)的安全性�����。本發(fā)明實(shí)施例提供一種PKI設(shè)備���,包括終端交互模塊��、網(wǎng)絡(luò)交互模塊���、 處理模塊和存儲模塊;所述終端交互模塊分別連接信息終端和所述處理模塊�,用于接收所述信息 終端發(fā)送的消息,并轉(zhuǎn)發(fā)給所述處理模塊����;以及接收所述處理模塊發(fā)送的消息���, 并轉(zhuǎn)發(fā)給所述信息終端;所述網(wǎng)絡(luò)交互模塊分別連接所述處理模塊和網(wǎng)絡(luò)�����,用于接收所述處理才莫塊發(fā)送的消息��,并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)�;以及接收網(wǎng)絡(luò)側(cè)發(fā)送的消息,并轉(zhuǎn)發(fā)給所述處 理模塊��;所述處理模塊���,用于根據(jù)所述終端交互模塊和所述網(wǎng)絡(luò)交互模塊接收的消 息中攜帶的網(wǎng)絡(luò)側(cè)通信地址�,丟棄不滿足預(yù)設(shè)地址條件的消息����;以及根據(jù)未丟 棄的消息����,采用預(yù)設(shè)算法進(jìn)行安全通信處理;所述存儲模塊連接所述處理模塊���,用于存儲所述預(yù)設(shè)地址條件和所述子貞i殳 算法���。本發(fā)明實(shí)施例還提供一種所述PKI設(shè)備的使用方法��,包括 所述PKI設(shè)備接收所述信息終端向網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求消息��; 確定所述業(yè)務(wù)請求消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條件時(shí)���,才艮 據(jù)與網(wǎng)絡(luò)側(cè)交互消息中未丟棄的消息���,采用預(yù)設(shè)算法對所述信息終端進(jìn)行身份 驗(yàn)證;其中����,所述未丟棄的消息中攜帶的所述業(yè)務(wù)服務(wù)器的地址滿足預(yù)設(shè)地址 條件;將網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求結(jié)果����,發(fā)送給所述信息終端。 本發(fā)明實(shí)施例還提供一種所述PKI設(shè)備的使用方法��,包括 所述PKI設(shè)備接收所述信息終端向網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)it據(jù)����; 確定所述業(yè)務(wù)數(shù)據(jù)中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條件時(shí)��,采用預(yù)設(shè)算法對所述業(yè)務(wù)數(shù)據(jù)進(jìn)行密文處理����;并將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)側(cè)���。本發(fā)明實(shí)施例還提供一種所述PKI設(shè)備的使用方法�����,包括所述PKI設(shè)備接收網(wǎng)絡(luò)側(cè)向所述信息終端發(fā)送的業(yè)務(wù)數(shù)據(jù)���;確定所述業(yè)務(wù)數(shù)據(jù)中攜帶的網(wǎng)絡(luò)側(cè)地址滿足預(yù)設(shè)地址條件時(shí),采用預(yù)設(shè)算法對所述業(yè)務(wù)數(shù)據(jù)進(jìn)行密文處理���;并將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給所述信息終端����。本發(fā)明實(shí)施例提供的PKI設(shè)備��,包括終端交互模塊�����、網(wǎng)絡(luò)交互模塊����、處塊分別連接信息終端和所述處理沖莫塊,用于々妾收信息終端發(fā)送的消息����,并轉(zhuǎn)發(fā)給處理模塊;以及接收處理模塊發(fā)送的消息�����, 并轉(zhuǎn)發(fā)給信息終端���;網(wǎng)絡(luò)交互模塊分別連接處理模塊和網(wǎng)絡(luò)����,用于接收處理才莫 塊發(fā)送的消息��,并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)���;以及接收網(wǎng)絡(luò)側(cè)發(fā)送的消息�,并轉(zhuǎn)發(fā)給處理 模塊����;處理模塊��,用于根據(jù)終端交互模塊和網(wǎng)絡(luò)交互模塊接收的消息中攜帶的 網(wǎng)絡(luò)側(cè)通信地址��,丟棄不滿足預(yù)設(shè)地址條件的消息����;以及根據(jù)未丟棄的消息����, 采用預(yù)設(shè)算法進(jìn)行安全通信處理;存儲模塊連接處理模塊����,用于存儲預(yù)設(shè)地址 條件和預(yù)設(shè)算法。由于本發(fā)明實(shí)施例提供的PKI設(shè)備對于其接收到的消息�,均 根據(jù)消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址和預(yù)設(shè)地址條件判斷是否合法,如不滿足預(yù) 設(shè)地址條件����,則丟棄,即不對該消息進(jìn)行處理����,所以����,實(shí)現(xiàn)了消息通道的安全���, 避免攻擊者進(jìn)行重放攻擊;且本PKI設(shè)備與信息終端是相互獨(dú)立的�,在采用預(yù) 設(shè)算法進(jìn)行安全通信處理時(shí),是由本PKI設(shè)備自身的存儲模塊和處理模塊完成 算法的計(jì)算進(jìn)安全通信處理���,與信息終端內(nèi)部的處理和存儲模塊不直接相關(guān)��, 所以���,可以避免攻擊者通過在信息終端內(nèi)部安裝木馬病毒,通過監(jiān)聽通信達(dá)到 攻擊目的����;進(jìn)而可以有效抵抗攻擊者的攻擊,提高系統(tǒng)的安全性���。
圖1為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的結(jié)構(gòu)示意圖之一�;圖2為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的結(jié)構(gòu)示意圖之二����;圖3為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的結(jié)構(gòu)示意圖之三���;圖4為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的結(jié)構(gòu)示意圖之四;圖5為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的連接示意圖����;圖6為本發(fā)明實(shí)施例提供的一種PKI設(shè)備的使用方法的流程圖;圖7為采用本發(fā)明實(shí)施例提供的PKI設(shè)備進(jìn)行業(yè)務(wù)請求的流程圖���;圖8為采用本發(fā)明實(shí)施例提供的PKI設(shè)備進(jìn)行數(shù)據(jù)密文處理的流程圖之圖9為采用本發(fā)明實(shí)施例提供的PKI設(shè)備進(jìn)行數(shù)據(jù)密文處理的流程圖之具體實(shí)施方式
本發(fā)明實(shí)施例提供一種PKI設(shè)備����,用于在業(yè)務(wù)處理中進(jìn)行身份^i正時(shí)�����,有 效抵抗攻擊者的攻擊����,提高系統(tǒng)的安全性,其結(jié)構(gòu)示意圖如圖l所示���,具體包 括終端交互模塊101�����、網(wǎng)絡(luò)交互模塊102�����、處理模塊103和存儲模塊104;終端交互模塊101分別連接信息終端和處理模塊103�����,用于接收信息終端 發(fā)送的消息�����,并轉(zhuǎn)發(fā)給處理模塊103;以及接收處理模塊103發(fā)送的消息�,并 轉(zhuǎn)發(fā)給信息終端��;網(wǎng)絡(luò)交互模塊102分別連接處理模塊103和網(wǎng)絡(luò)�,用于接收處理模塊103 發(fā)送的消息,并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)��;以及接收網(wǎng)絡(luò)側(cè)發(fā)送的消息��,并轉(zhuǎn)發(fā)給處理才莫 塊103;處理模塊103,用于根據(jù)終端交互模塊101和網(wǎng)絡(luò)交互模塊102接收的消 息中攜帶的網(wǎng)絡(luò)側(cè)通信地址����,丟棄不滿足預(yù)設(shè)地址條件的消息;以及根據(jù)未丟 棄的消息�,采用預(yù)設(shè)算法進(jìn)行安全通信處理;存儲模塊104連接處理模塊103,用于存儲預(yù)設(shè)地址條件和預(yù)設(shè)算法��。 上述終端交互模塊101可以為USB接口��,包括USB物理接口及其相關(guān)電 路�,較佳的,可以選擇USB2.0標(biāo)準(zhǔn)接口�����。通過USB接口與信息終端相連4妄�, 并交互網(wǎng)絡(luò)消息時(shí),對于信息終端側(cè)的USB接口����,實(shí)質(zhì)作用是相當(dāng)于網(wǎng)結(jié)4妾 口,因此�,還需要在信息終端對該USB接口進(jìn)行相應(yīng)的驅(qū)動,以使其具備網(wǎng) 絡(luò)接口的功能����,此為現(xiàn)有技術(shù)����,在此不再做詳細(xì)的描述�。上述網(wǎng)絡(luò)交互模塊102可以為現(xiàn)有技術(shù)中的各種網(wǎng)絡(luò)接口,本發(fā)明實(shí)施例 中不做嚴(yán)格限定�����,較佳的�����,可以包括PHY芯片和RJ45接口�,即滿足了 T568 標(biāo)準(zhǔn)中所規(guī)定的線i^^妄口 �;其中PHY芯片用于驅(qū)動RJ45接口 。上述存儲模塊104�,在處理模塊103自身無法提供內(nèi)存空間時(shí),還可以用于為處理才莫塊103提供內(nèi)存空間�����。
上述存儲模塊104,可以包括非易失性記憶芯片和隨機(jī)存儲器RAM芯 片�����;其中,非易失性記憶芯片用于存儲預(yù)設(shè)地址條件和預(yù)設(shè)算法����;RAM芯片 用于為處理模塊103提供內(nèi)存空間。本發(fā)明實(shí)施例中���,非易失性記憶芯片可以 選擇FLASH芯片或電可4察寫可編程只讀存儲器EEPROM芯片����。
上述處理模塊104即可以看做是中央處理器�,例如采用高性能的安全集成 芯片。
對于上述處理模塊104,進(jìn)一步的���,還可以劃分為多個(gè)功能模塊��,如圖2 所示���,具體包括過濾子模塊201和處理子模塊202;
上述過濾子模塊201,用于判斷接收的消息是否合法�����,具體為判斷接收的 消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址(可以為網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器的地址)與預(yù)設(shè)地 址是否相同,如果相同���,則合法�����,后續(xù)對其進(jìn)4亍相應(yīng)處理����;如果不相同���,則非 法��,將該消息丟棄,不做處理����。
其中,預(yù)設(shè)地址可以為預(yù)設(shè)鏈路層地址����,也可以為預(yù)設(shè)網(wǎng)絡(luò)層地址,也可 以包括預(yù)設(shè)鏈路層地址和預(yù)設(shè)網(wǎng)絡(luò)層地址����。相對來說��,網(wǎng)絡(luò)側(cè)鏈路層地址更難 以被攻擊者仿冒��,因此��,采用預(yù)設(shè)鏈路層地址時(shí)��,安全性更高��。
較佳的�,上述過濾子模塊201����,還用于根據(jù)接收的消息是否為對應(yīng)網(wǎng)絡(luò)側(cè) 預(yù)設(shè)業(yè)務(wù)端口 (可以為網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器的預(yù)設(shè)業(yè)務(wù)端口)的消息,判斷其 是否合法����,如果是,則合法����,后續(xù)對其進(jìn)行相應(yīng)處理;如果不是�����,則將該消息 丟棄,不做處理�。如此對接收的消息根據(jù)預(yù)設(shè)業(yè)務(wù)端口進(jìn)行判斷,可以進(jìn)一步 加強(qiáng)消息通道的安全性��。
相應(yīng)的�,上述存儲模塊104,還用于存儲預(yù)設(shè)業(yè)務(wù)端口。
上述處理子模塊202�����,用于根據(jù)未丟棄的消息�����,采用預(yù)設(shè)算法進(jìn)行安全通 信處理�。具體可以為根據(jù)未丟棄的消息,對信息終端進(jìn)行身份驗(yàn)證�,預(yù)設(shè)算法 為預(yù)設(shè)驗(yàn)證算法��;也可以為對消息進(jìn)行密文處理���,預(yù)設(shè)算法為預(yù)設(shè)密文算法�。 后續(xù)在描述本發(fā)明實(shí)施例提供的PKI設(shè)備的使用方法時(shí)進(jìn)行詳細(xì)描述。上述存儲模塊104中存儲的信息��,可以為在交付用戶使用前預(yù)先設(shè)置的�, 較佳的,也可以由用戶自朽��、沒置�,此時(shí)上述處理才莫塊103,如圖3所示��,進(jìn)一 步的還包括
配置子模塊301 �,用于向用戶提供用于配置預(yù)設(shè)鏈路層地址和/或預(yù)設(shè)網(wǎng)絡(luò) 層地址的配置界面;或者還用于向用戶提供用于配置預(yù)設(shè)業(yè)務(wù)端口的配置界 面�����。
本發(fā)明實(shí)施例中����,當(dāng)上述終端交互模塊101和/或網(wǎng)絡(luò)交互模塊102需要孚皮 驅(qū)動才可使用,且其自身不具備自我驅(qū)動功能時(shí)����,對應(yīng)的,上述處理模塊103, 如圖4所示,進(jìn)一步的�����,還可以包括
第一驅(qū)動子模塊401��,用于驅(qū)動終端交互模塊101;和/或
第二驅(qū)動子模塊402�����,用于驅(qū)動網(wǎng)絡(luò)交互模塊102�。
相應(yīng)的,本發(fā)明實(shí)施例還提供一種上述PKI設(shè)備的使用方法�,用于在l言息-終端向網(wǎng)絡(luò)側(cè)請求業(yè)務(wù)服務(wù)時(shí),對其進(jìn)行身份驗(yàn)證���。使用時(shí)�����,首先需要將上述 PKI設(shè)備與信息終端和網(wǎng)絡(luò)進(jìn)行連接����,圖5所示為連接示意圖���,方法流程力o圖 6所示����,具體包括
步驟S601 ����、 PKI i殳備接收信息終端向網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求消息。
步驟S602�����、確定該業(yè)務(wù)請求消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條 件時(shí)��,根據(jù)網(wǎng)絡(luò)側(cè)交互消息中未丟棄的消息��,采用預(yù)設(shè)算法對信息終端進(jìn)4亍身 份驗(yàn)證�;其中,未丟棄的消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條件�����。
步驟S603�、將網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求結(jié)果,發(fā)送給信息終端��。
下面以信息終端用戶向網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器請求業(yè)務(wù)為例,例如電子商務(wù) 領(lǐng)域的支付業(yè)務(wù)�,對其流程進(jìn)行詳細(xì)描述,包括
步驟S701���、信息終端用戶向網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)請求消息�,實(shí)質(zhì) 為將業(yè)務(wù)請求消息發(fā)送至PKI設(shè)備��。
步驟S702����、 PKI設(shè)備接收到該業(yè)務(wù)請求消息后,判斷該消息是否合法��,具 體的判斷方法與上述所描述的判斷方法相同��,在此不再做詳細(xì)描述�。如果非法,
10則丟棄該消息�;如果合法,則進(jìn)入步驟S703�����。
步驟S703�、 PKI設(shè)備將合法的業(yè)務(wù)請求消息發(fā)送給業(yè)務(wù)服務(wù)器�����。
步驟S704、業(yè)務(wù)服務(wù)器接收到該業(yè)務(wù)請求消息后��,返回身份驗(yàn)證請求消,l ����。
步驟S705、 PKI設(shè)備接收到身份驗(yàn)證請求消息后����,判斷該消息是否合'法,
如果非法�,則丟棄該消息;如果合法����,則采用設(shè)備中預(yù)設(shè)驗(yàn)證算法計(jì)算出—瞼i正
結(jié)果,具體釆用的驗(yàn)證算法可以為現(xiàn)有技術(shù)中的各種算法�����,在此不再做詳細(xì)4苗述�����。
步驟S706、將計(jì)算出的驗(yàn)證結(jié)果發(fā)送給業(yè)務(wù)服務(wù)器����。
步驟S707、業(yè)務(wù)服務(wù)器根據(jù)接收到的驗(yàn)證結(jié)果確定身份驗(yàn)證是否通過�,^口 果通過,則相應(yīng)的執(zhí)行用戶請求的業(yè)務(wù)���,如果不通過�,則不執(zhí)行用戶請求的業(yè) 務(wù)�。并返回業(yè)務(wù)請求結(jié)果。
步驟S708��、 PKI設(shè)備接收到業(yè)務(wù)請求結(jié)果后����,判斷該結(jié)果消息是否合、法����, 如果非法,則丟棄該結(jié)果消息����;如果合法���,則進(jìn)入步驟S709。
步驟S709�����、將業(yè)務(wù)請求結(jié)果發(fā)送給信息終端用戶��。
上述步驟S708并非是必須執(zhí)行的步驟��,本發(fā)明實(shí)施例中��,也可以從步驟 S707直接進(jìn)入步驟S709��。
且本發(fā)明實(shí)施例對于具體的身份驗(yàn)證算法不做嚴(yán)格限定����,因此����,上述PKI 設(shè)備與業(yè)務(wù)服務(wù)器進(jìn)行消息交互的流程與具體的身份驗(yàn)證算法相關(guān),并非是嚴(yán) 格的圖7所示的流程����。
相應(yīng)的��,本發(fā)明實(shí)施例還提供一種上述PKI設(shè)備的使用方法����,用于在4言,包 終端向網(wǎng)絡(luò)側(cè)發(fā)送數(shù)據(jù)時(shí)��,對數(shù)據(jù)進(jìn)行密文處理(包括對數(shù)據(jù)加密和解密)�。 使用時(shí),首先需要將上述PKI設(shè)備與信息終端和網(wǎng)絡(luò)進(jìn)行連接�,圖5所示為連 接示意圖,方法流程如圖8所示�,具體包括
步驟S801、信息終端用戶向網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)數(shù)據(jù)傳輸請求消 息��,實(shí)質(zhì)為將業(yè)務(wù)數(shù)據(jù)傳輸請求消息發(fā)送至PKI設(shè)備����。
步驟S802、 PKI設(shè)備接收到該業(yè)務(wù)數(shù)據(jù)傳輸請求消息后���,判斷該消息是否合法����,具體的判斷方法與上述所描述的判斷方法相同,在此不再做詳細(xì)描述��。
如果非法����,則丟棄該消息;如果合法��,則進(jìn)入步驟S803����。
步驟S803����、 PKI設(shè)備將合法的業(yè)務(wù)數(shù)據(jù)傳輸請求消息發(fā)送給業(yè)務(wù)服務(wù)器。 步驟S804���、業(yè)務(wù)服務(wù)器接收到該業(yè)務(wù)數(shù)據(jù)傳輸請求消息后����,返回業(yè)務(wù)凄t才居
傳輸請求結(jié)果����。
步驟S805���、 PKI設(shè)備接收到業(yè)務(wù)數(shù)據(jù)傳輸請求結(jié)果后,判斷該結(jié)果消息是 否合法��,如果非法��,則丟棄該結(jié)果消息���;如果合法�,則進(jìn)入步驟S806��。
上述步驟S801-步驟S805為信息終端與業(yè)務(wù)服務(wù)器建立業(yè)務(wù)數(shù)據(jù)傳輸連 接的步驟���,其他實(shí)施例中也可以通過其他步驟流程建立業(yè)務(wù)數(shù)據(jù)傳輸?shù)倪B接�����。
步驟S806��、將業(yè)務(wù)數(shù)據(jù)傳輸請求結(jié)果發(fā)送給信息終端用戶����。
步驟S807、信息終端用戶向業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)數(shù)據(jù)�����,實(shí)質(zhì)為將業(yè)務(wù)數(shù)才居 發(fā)送至PKI設(shè)備����。
步驟S808、 PKI設(shè)備接收到該業(yè)務(wù)數(shù)據(jù)后��,判斷該業(yè)務(wù)數(shù)據(jù)是否合法���,具 體的判斷方法與上述所描述的判斷方法相同��,在此不再做詳細(xì)描述�。如果非法�����, 則丟棄該業(yè)務(wù)數(shù)據(jù)��;如果合法�,則采用預(yù)設(shè)密文算法����,對該業(yè)務(wù)數(shù)據(jù)進(jìn)^f亍密文 處理����。具體采用的密文算法可以為現(xiàn)有技術(shù)中的各種算法�����,在此不再做詳細(xì)描 述�����。
步驟S809��、 PKI設(shè)備將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給業(yè)務(wù)服務(wù)器����。
相應(yīng)的,本發(fā)明實(shí)施例還提供一種上述PKI設(shè)備的使用方法���,用于在網(wǎng)紹-側(cè)向信息終端發(fā)送數(shù)據(jù)時(shí)��,對數(shù)據(jù)進(jìn)行密文處理(包括對數(shù)據(jù)加密和解密)��。 使用時(shí)�,首先需要將上述PKI設(shè)備與信息終端和網(wǎng)絡(luò)進(jìn)行連接,圖5所示為連 接示意圖�,方法流程如圖9所示,具體包括
步驟S901 ��、信息終端用戶向網(wǎng)絡(luò)側(cè)的業(yè)務(wù)服務(wù)器發(fā)送業(yè)務(wù)數(shù)據(jù)傳輸請求消 息��,實(shí)質(zhì)為將業(yè)務(wù)數(shù)據(jù)傳輸請求消息發(fā)送至PKI設(shè)備�����。
步驟S902�����、 PKI設(shè)備接收到該業(yè)務(wù)數(shù)據(jù)傳輸請求消息后����,判斷該消息是否 合法,具體的判斷方法與上述所描述的判斷方法相同����,在此不再做詳細(xì)描述�����。如果非法,則丟棄該消息���;如果合法����,則進(jìn)入步驟S903�����。
步驟S903���、 PKI設(shè)備將合法的業(yè)務(wù)數(shù)據(jù)傳輸請求消息發(fā)送給業(yè)務(wù)服務(wù)器�。
上述步驟S901-步驟S903為信息終端與業(yè)務(wù)服務(wù)器建立業(yè)務(wù)數(shù)據(jù)傳輸連 接的步驟����,其他實(shí)施例中也可以通過其他步驟流程建立業(yè)務(wù)數(shù)據(jù)傳輸?shù)倪B4秦。
步驟S904���、業(yè)務(wù)服務(wù)器接收到該業(yè)務(wù)數(shù)據(jù)傳輸請求消息后�����,向信息終端發(fā) 送業(yè)務(wù)數(shù)據(jù)���,實(shí)質(zhì)為將業(yè)務(wù)數(shù)據(jù)發(fā)送至PKI設(shè)備�。
步驟S905���、 PKI設(shè)備接收到該業(yè)務(wù)數(shù)據(jù)后���,判斷該業(yè)務(wù)數(shù)據(jù)是否合法,具 體的判斷方法與上述所描述的判斷方法相同����,在此不再做詳細(xì)描述。如果非法����, 則丟棄該業(yè)務(wù)數(shù)據(jù);如果合法��,則采用預(yù)設(shè)密文算法���,對該業(yè)務(wù)數(shù)據(jù)進(jìn)行密文 處理��。具體采用的密文算法可以為現(xiàn)有技術(shù)中的各種算法�����,在此不再做詳細(xì)4笛 述���。
步驟S906 、 PKI設(shè)備將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給信息終端���。 綜上所述�,本發(fā)明實(shí)施例提供的方案����,包括終端交互模塊、網(wǎng)絡(luò)交互才莫 塊��、處理模塊和存儲模塊���;終端交互模塊分別連接信息終端和所述處理才莫塊�����, 用于接收信息終端發(fā)送的消息��,并轉(zhuǎn)發(fā)給處理模塊��;以及接收處理模塊發(fā)送的 消息�,并轉(zhuǎn)發(fā)給信息終端;網(wǎng)絡(luò)交互模塊分別連接處理模塊和網(wǎng)絡(luò)��,用于接杉乙 處理模塊發(fā)送的消息���,并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)�����;以及接收網(wǎng)絡(luò)側(cè)發(fā)送的消息����,并轉(zhuǎn)發(fā) 給處理模塊����;處理模塊,用于根據(jù)終端交互模塊和網(wǎng)絡(luò)交互模塊接收的消息中 攜帶的網(wǎng)絡(luò)側(cè)通信地址��,丟棄不滿足預(yù)設(shè)地址條件的消息��;以及根據(jù)未丟棄的 消息�,采用預(yù)設(shè)算法進(jìn)行安全通信處理;存儲模塊連接處理模塊��,用于存儲預(yù) 設(shè)地址條件和預(yù)設(shè)算法。采用本發(fā)明實(shí)施例提供的方案��,在進(jìn)行安全通信處王里 時(shí)�,能夠有效抵抗攻擊者的攻擊,提高了系統(tǒng)的安全性�����。
明的精神和范圍����。這樣����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)��。
權(quán)利要求
1����、一種公鑰基礎(chǔ)設(shè)施PKI設(shè)備,其特征在于��,包括終端交互模塊�����、網(wǎng)絡(luò)交互模塊、處理模塊和存儲模塊��;所述終端交互模塊分別連接信息終端和所述處理模塊���,用于接收所述信息終端發(fā)送的消息�����,并轉(zhuǎn)發(fā)給所述處理模塊���;以及接收所述處理模塊發(fā)送的消息,并轉(zhuǎn)發(fā)給所述信息終端�;所述網(wǎng)絡(luò)交互模塊分別連接所述處理模塊和網(wǎng)絡(luò),用于接收所述處理模塊發(fā)送的消息�����,并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)側(cè)��;以及接收網(wǎng)絡(luò)側(cè)發(fā)送的消息�����,并轉(zhuǎn)發(fā)給所述處理模塊;所述處理模塊����,用于根據(jù)所述終端交互模塊和所述網(wǎng)絡(luò)交互模塊接收的消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址,丟棄不滿足預(yù)設(shè)地址條件的消息����;以及根據(jù)未丟棄的消息,采用預(yù)設(shè)算法進(jìn)行安全通信處理��;所述存儲模塊連接所述處理模塊�,用于存儲所述預(yù)設(shè)地址條件和所述預(yù)設(shè)算法��。
2��、 如權(quán)利要求l所述的設(shè)備�����,其特征在于���,所述處理模塊����,具體包括 過濾子模塊,用于確定所述接收的消息中攜帶的網(wǎng)絡(luò)側(cè)鏈路層地址與預(yù)設(shè)鏈路層地址不同時(shí)��,丟棄該消息�����;和/或用于確定所述接收的消息中攜帶的網(wǎng)紹-側(cè)網(wǎng)絡(luò)層地址與預(yù)設(shè)網(wǎng)絡(luò)層地址不同時(shí)�����,丟棄該消息����;處理子模塊,用于根據(jù)未丟棄的消息���,采用所述預(yù)設(shè)算法進(jìn)行安全通4言處理����。
3����、 如權(quán)利要求2所述的設(shè)備,其特征在于�,所述處理子模塊���,具體用于 根據(jù)未丟棄的消息,采用預(yù)設(shè)驗(yàn)證算法對所述信息終端進(jìn)行身份驗(yàn)證�����;或者采用預(yù)設(shè)密文算法對未丟棄的消息進(jìn)行密文處理��。
4����、 如權(quán)利要求2所述的設(shè)備,其特征在于�,所述過濾子模塊����,還用于確 定所述接收的消息不為對應(yīng)網(wǎng)絡(luò)側(cè)預(yù)設(shè)業(yè)務(wù)端口的消息時(shí),丟棄該消息��;所述存儲模塊�,還用于存儲所述預(yù)設(shè)業(yè)務(wù)端口。
5��、 如權(quán)利要求4所述的設(shè)備���,其特征在于��,所述處理模塊�,還包括 配置子模塊,用于向用戶提供用于配置所述預(yù)設(shè)鏈路層地址和/或預(yù)設(shè)網(wǎng)絡(luò)層地址的配置界面�����;或者還用于向用戶才是供用于配置所述預(yù)i殳業(yè)務(wù)端口的配置界面�����。
6����、 如權(quán)利要求1-5所述的設(shè)備,其特征在于�����,所述存儲模塊���,包括 非易失性記憶芯片���,用于存儲所述預(yù)設(shè)地址條件和所述預(yù)設(shè)驗(yàn)證算法�����; 隨機(jī)存儲器RAM芯片���,用于為所述處理模塊提供內(nèi)存空間。
7���、 一種如權(quán)利要求1所述的PKI設(shè)備的使用方法����,其特征在于����,包括 所述PKI設(shè)備接收所述信息終端向網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求消息;確定所述業(yè)務(wù)請求消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條件時(shí)�����,才艮 據(jù)與網(wǎng)絡(luò)側(cè)交互消息中未丟棄的消息���,采用預(yù)設(shè)算法對所述信息終端進(jìn)行身份 驗(yàn)證;其中�,所述未丟棄的消息中攜帶的所述業(yè)務(wù)服務(wù)器的地址滿足預(yù)設(shè)地址 條件�����;將網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)請求結(jié)果�,發(fā)送給所述信息終端����。
8、 如權(quán)利要求7所述的方法�,其特征在于,所述才艮據(jù)與網(wǎng)絡(luò)側(cè)交互消息 中未丟棄的消息���,采用預(yù)設(shè)算法對所述信息終端進(jìn)行身傷v驗(yàn)證����,具體為將所述業(yè)務(wù)請求消息發(fā)送給網(wǎng)絡(luò)側(cè)����,并接收網(wǎng)絡(luò)側(cè)發(fā)送的身份驗(yàn)證請求;若沒有丟棄所述身份驗(yàn)證請求�,則確定出驗(yàn)證結(jié)果,并發(fā)送給網(wǎng)絡(luò)側(cè)�����; 接收網(wǎng)絡(luò)側(cè)返回的業(yè)務(wù)請求結(jié)果。
9�、 如權(quán)利要求7或8所述的方法,其特征在于�,所述滿足所述預(yù)設(shè)地址 條件,具體為與預(yù)設(shè)鏈路層地址相同�;和/或 與預(yù)設(shè)網(wǎng)絡(luò)層地址相同。
10����、 一種如權(quán)利要求1所述的PKI設(shè)備的使用方法,其特征在于����,包括 所述PKI設(shè)備接收所述信息終端向網(wǎng)絡(luò)側(cè)發(fā)送的業(yè)務(wù)數(shù)據(jù); 確定所述數(shù)據(jù)中攜帶的網(wǎng)絡(luò)側(cè)通信地址滿足預(yù)設(shè)地址條件時(shí)�����,采用預(yù)設(shè)算法對所述業(yè)務(wù)數(shù)據(jù)進(jìn)行密文處理����;并將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)側(cè)。
11��、 一種如權(quán)利要求1所述的PKI設(shè)備的使用方法����,其特征在于,包《^: 所述PKI設(shè)備接收網(wǎng)絡(luò)側(cè)向所述信息終端發(fā)送的業(yè)務(wù)數(shù)據(jù)�; 確定所述業(yè)務(wù)數(shù)據(jù)中攜帶的網(wǎng)絡(luò)側(cè)地址滿足預(yù)設(shè)地址條件時(shí),采用預(yù)i殳算 法對所述業(yè)務(wù)數(shù)據(jù)進(jìn)行密文處理����;并將處理后的業(yè)務(wù)數(shù)據(jù)發(fā)送給所述信息終端。
全文摘要
本發(fā)明公開了一種公鑰基礎(chǔ)設(shè)施設(shè)備及其使用方法����,包括終端交互模塊,用于連接信息終端�����,與信息終端交互消息����;網(wǎng)絡(luò)交互模塊,用于連接網(wǎng)絡(luò)�����,與網(wǎng)絡(luò)側(cè)交互消息;處理模塊����,用于根據(jù)終端交互模塊和網(wǎng)絡(luò)交互模塊接收的消息中攜帶的網(wǎng)絡(luò)側(cè)通信地址,丟棄不滿足預(yù)設(shè)地址條件的消息�����;以及根據(jù)未丟棄的消息���,采用預(yù)設(shè)算法進(jìn)行安全通信處理���;存儲模塊,用于存儲預(yù)設(shè)地址條件和預(yù)設(shè)驗(yàn)證算法����。采用本發(fā)明實(shí)施例提供的方案,在進(jìn)行安全通信處理時(shí)�����,能夠有效抵抗攻擊者的攻擊���,提高了系統(tǒng)的安全性��。
文檔編號H04L29/06GK101668007SQ20091009051
公開日2010年3月10日 申請日期2009年8月19日 優(yōu)先權(quán)日2009年8月19日
發(fā)明者洋 何 申請人:北京握奇數(shù)據(jù)系統(tǒng)有限公司