基于pki技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)及其實現(xiàn)方法
【專利摘要】本發(fā)明涉及一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)及其實現(xiàn)方法����。本發(fā)明采用PKI身份認證方式��、對稱加密以及非對稱加密相結(jié)合的加密共享技術(shù)����;加密共享過程如下:首先生成一個隨機的對稱密鑰,對數(shù)據(jù)進行加密��,形成加密文件�;然后使用用戶的公鑰將對稱密鑰加密,并把加密結(jié)果保存在加密文件中�����;需要共享文件時��,用戶首先使用自己的私鑰將對稱密鑰解密�����,然后用接收者的公鑰將對稱密鑰加密���,并把加密結(jié)果追加到加密文件中���,接收者接收到加密文件后,首先使用自己的私鑰將對稱密鑰解密�����,然后將對稱加密數(shù)據(jù)解密����,從而獲取內(nèi)容。本發(fā)明的優(yōu)點是從根本上杜絕工作交流中泄露機密��、身份被冒用等安全問題���。
【專利說明】基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)及其實現(xiàn)方法
[0001]
【技術(shù)領(lǐng)域】
[0002]本發(fā)明涉及一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)及其實現(xiàn)方法�����。適用于電子政務(wù)和電子商務(wù)等��。
【背景技術(shù)】
[0003]隨著互聯(lián)網(wǎng)技術(shù)在各領(lǐng)域的快速普及和深入應(yīng)用�����,越來越多的工作轉(zhuǎn)移到網(wǎng)上進行����,大量的工作交流信息在網(wǎng)上傳遞。由于網(wǎng)絡(luò)的開放性����,導(dǎo)致工作交流的安全性得不到有效保障,不利因素主要包含以下幾個方面:
1�、用戶身份安全。一是��,用戶自身的身份安全得不到保障��,用戶名�����、密碼容易丟失�����,身份容易被他人假冒,二是���,難以準確判斷網(wǎng)上對方的身份真實性。
[0004]2����、數(shù)據(jù)保密性。未加密數(shù)據(jù)在傳輸���、存儲過程中容易被他人竊取���。
[0005]3、數(shù)據(jù)抗抵賴����、防篡改性低。在信息環(huán)境尤其是網(wǎng)絡(luò)環(huán)境中用戶可能會因各種原因否認自己的言行���;電子數(shù)據(jù)生成后很容易被修改從而失去數(shù)據(jù)的原貌或原意性�。
[0006]4����、缺乏法律保障。普通的電子數(shù)據(jù)不能作為法律依據(jù)�����,難以完全取代基于紙質(zhì)文檔的工作交流方式,從而不利于新技術(shù)發(fā)展和工作效率提升���。
[0007]現(xiàn)有的一些工作交 流系統(tǒng)主要使用用戶名����、密碼的身份認證機制���,用戶的身份安全得不到保障�,缺乏可靠的數(shù)據(jù)安全保護機制�����,無法有效的保障工作交流數(shù)據(jù)的安全���。
【發(fā)明內(nèi)容】
[0008]本發(fā)明所要解決的技術(shù)問題是提供一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)及其實現(xiàn)方法�����。
[0009]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案:
一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)����,其特征在于包括客戶端、服務(wù)器端和第三方CA機構(gòu)目錄服務(wù)器�;所述服務(wù)器端通過互聯(lián)網(wǎng)分別與客戶端和第三方CA機構(gòu)目錄服務(wù)器相連接;
所述客戶端由PC客戶端和移動客戶端組成����;所述PC客戶端由安裝有客戶端智能卡和客戶端軟件系統(tǒng)的PC機和筆記本電腦��、打印機和掃描儀組成�;
所述移動客戶端由安裝有移動客戶端智能卡和客戶端軟件系統(tǒng)的智能手機和平板電腦組成,所述智能手機和平板電腦通過無線通信網(wǎng)與互聯(lián)網(wǎng)連接��;
所述PC客戶端智能卡和移動客戶端智能卡中分別安裝有客戶端密碼模塊�����;
所述服務(wù)器端包括安裝有服務(wù)器端智能卡和服務(wù)器端軟件系統(tǒng)的應(yīng)用服務(wù)器群�����、數(shù)據(jù)庫服務(wù)器群�、交換機和防火墻;所述應(yīng)用服務(wù)器群和數(shù)據(jù)庫服務(wù)器群分別依次通過交換機�����、防火墻與互聯(lián)網(wǎng)連接;所述服務(wù)器端智能卡中安裝有服務(wù)器端密碼模塊����;
所述第三方CA機構(gòu)目錄服務(wù)器與互聯(lián)網(wǎng)連接。[0010]所述基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)的實現(xiàn)方法����,其特征在于所述方法基于PKI技術(shù)和瀏覽器的客戶端/服務(wù)器端通信技術(shù),通過客戶端軟件系統(tǒng)和服務(wù)器端軟件系統(tǒng)的交互實現(xiàn)的��;
所述客戶端軟件系統(tǒng)包括WEB客戶端軟件模塊���、保密網(wǎng)絡(luò)磁盤客戶端模塊����、客戶端密碼模塊和即時通信客戶端模塊�;
所述WEB客戶端軟件模塊包含針對IE、Firefox, Crome瀏覽器的版本����;該模塊調(diào)用客戶端密碼模塊,提供身份認證�、數(shù)據(jù)加解密��、電子簽名����、簽名驗證�����;該模塊操作掃描儀�,支持單頁掃描和多頁連掃����,調(diào)整掃描圖像的角度;該模塊操作打印機���;
所述保密網(wǎng)絡(luò)磁盤客戶端模塊為虛擬磁盤軟件�,在Windows資源管理器中顯示為一個磁盤分區(qū)�����;保密網(wǎng)絡(luò)磁盤中的數(shù)據(jù)在客戶端留有備份��,以加密的形式保存在本地硬盤中�����;保密網(wǎng)絡(luò)磁盤客戶端和保密網(wǎng)絡(luò)磁盤服務(wù)器端保持通信,實現(xiàn)客戶端和服務(wù)器端數(shù)據(jù)的實時同步���;用戶訪問保密網(wǎng)絡(luò)磁盤分區(qū)中的數(shù)據(jù)之前�,保密網(wǎng)絡(luò)客戶端模塊調(diào)用客戶端密碼模塊���,驗證用戶身份的有效性�;讀取數(shù)據(jù)時����,該模塊檢查數(shù)據(jù)是否在緩存中,如果沒有在緩存中則從服務(wù)器端下載數(shù)據(jù)并寫入緩存��,調(diào)用客戶端密碼模塊解密文件���,并把解密結(jié)果展示給用戶��;用戶寫入數(shù)據(jù)時�����,調(diào)用客戶端密碼模塊對數(shù)據(jù)進行加密���,并把加密后的數(shù)據(jù)寫入保密網(wǎng)絡(luò)磁盤中�����;并同步到服務(wù)器端�����;
數(shù)據(jù)文件在客戶端以加密的方式存儲�;為了同時保證加密效率和強度����、便于實現(xiàn)文件加密共享����;采用了對稱加密和非對稱加密相結(jié)合的技術(shù);所述加密共享過程如下:首先生成一個隨機的對稱密鑰�����,對數(shù)據(jù)進行加密���,形成加密文件�����;然后使用用戶的公鑰將對稱密鑰加密����,并把加密結(jié)果保存在加密文件中;需要共享文件時��,用戶首先使用自己的私鑰將對稱密鑰解密�,然后用接收者的公鑰將對稱密鑰加密,并把加密結(jié)果追加到加密文件中����,接收者接收到加密文件后,首先使用自己的私鑰將對稱密鑰解密����,然后使用對稱密鑰解密加密數(shù)據(jù),得到數(shù)據(jù)明文��;
所述客戶端密碼模塊支持國家密碼主管部門規(guī)定的對稱密碼算法��、非對稱密碼算法�、數(shù)字摘要算法,提供數(shù)據(jù)加解密/電子簽名功能�;客戶端密碼模塊采用USB或Micro SD卡接口 �;客戶端密碼模塊提供API��,其他模塊通過API調(diào)用客戶端密碼模塊的功能����;客戶端密碼模塊保存CA機構(gòu)頒發(fā)的數(shù)字證書,通過數(shù)字證書實現(xiàn)驗證用戶真實身份����、數(shù)字簽名和數(shù)據(jù)加密;所述客戶端密碼模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成����;
所述即時通信客戶端模塊實現(xiàn)收發(fā)即時通信消息;該模塊接收�、發(fā)送普通消息、簽名消息�、加密消息�����、簽名加密消息���;該模塊具備歷史消息記錄管理功能�����;該模塊具有設(shè)置功能��,設(shè)置用戶的在線狀態(tài)��,設(shè)置個人資料����、設(shè)置安全選項;該模塊調(diào)用客戶端密碼模塊����,實現(xiàn)對即時消息的加密、解密���、簽名��;
所述服務(wù)器端軟件系統(tǒng)包括文件傳遞服務(wù)器端模塊����、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊�����、即時通信服務(wù)器端模塊、服務(wù)器端密碼模塊�����、CA認證模塊��、安全控制模塊和雙機熱備模塊�����;所述文件傳遞服務(wù)器端模塊實現(xiàn)接收文件����、發(fā)送文件、文件加密存儲�����、文件安全共享�����、聯(lián)系人管理���;文件傳遞服務(wù)器端模塊調(diào)用服務(wù)器端密碼模塊實現(xiàn)對數(shù)據(jù)的加解密����、電子簽名�����、簽名驗證����;文件傳遞服務(wù)器端模塊與無線通信設(shè)備連接,實現(xiàn)收發(fā)短信�����、彩信�;文件傳遞服務(wù)器端模塊調(diào)用CA認證模塊,實現(xiàn)基于數(shù)字證書的用戶身份認證���、電子簽名��;該模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成����; 所述保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊實現(xiàn)文件的保密存儲、共享���;服務(wù)器端軟件系統(tǒng)為每個用戶分配私有磁盤空間����,用戶上傳后的文件以加密的方式存儲��,默認情況下只有用戶自己才能下載����、查看;該模塊具有共享文件功能�����,用戶把某個文件共享給指定的聯(lián)系人����;
所述即時通信服務(wù)器端模塊實現(xiàn)用戶聯(lián)系人管理,即時消息的分發(fā)��,離線消息的管理�����;即時通信服務(wù)器端模塊實現(xiàn)管理用戶的聯(lián)系人列表,聯(lián)系人管理功能包括查找聯(lián)系人�、添加聯(lián)系人���、修改聯(lián)系人備注資料�����、刪除聯(lián)系人��;即時通信服務(wù)器端模塊與無線通信設(shè)備相連接���,實現(xiàn)收發(fā)短信、彩信��;當(dāng)收到離線消息時��,以短信或彩信的方式通知用戶�����;即時通信服務(wù)器端模塊調(diào)用CA認證模塊���,實現(xiàn)基于數(shù)字證書的用戶身份認證���、電子簽名�;
所述服務(wù)器端密碼模塊支持國家密碼主管部門規(guī)定的密碼算法���,提供API接口��,實現(xiàn)數(shù)據(jù)加解密�、電子簽名�����;
所述CA認證模塊對外提供驗證數(shù)字證書�、電子簽名有效性的接口,調(diào)用服務(wù)器端密碼模塊提供的功能驗證用戶數(shù)字證書���、電子簽名的有效性���;CA認證模塊與第三方CA機構(gòu)目錄服務(wù)器相連接,通過及時更新用戶數(shù)字證書和數(shù)字證書黑名單�;
所述安全控制模塊保障服務(wù)器免受外來攻擊,阻止非法的訪問�;
所述雙機熱備模塊實現(xiàn)主從服務(wù)器間相互聯(lián)系,當(dāng)主服務(wù)器發(fā)生故障時�,自動切換到從服務(wù)器���;雙機熱備模塊監(jiān)控即時通信服務(wù)器端模塊、文件傳遞服務(wù)器端模塊����、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊的狀態(tài)��,一旦某個模塊發(fā)生異常�����,自動切換到從服務(wù)器�。
[0011]本發(fā)明的有益效果如下:
(I)本發(fā)明從根本上杜絕工作交流中泄露機密、身份被冒用等安全問題�����。
[0012](2)易用性���,本發(fā)明采用WEB形式��,簡單易用���,不需要專門的學(xué)習(xí)培訓(xùn)�。
[0013](3)安全性����,本發(fā)明采用了對稱加密和非對稱加密相結(jié)合的技術(shù),保住了加密數(shù)據(jù)的安全�,提高了效率。
[0014](4)可靠性����,本發(fā)明支持雙機熱備,如果主服務(wù)器發(fā)生硬件故障����,可以自動切換到從服務(wù)器。
[0015](5)支持多種平臺��,本發(fā)明支持PC��、平板電腦��、手機等多種平臺��,在不同平臺上的功能相同�����,能夠保證不同平臺之間相互兼容和互聯(lián)互通。
[0016](6)完善的備份恢復(fù)功能����,本發(fā)明帶有完善的備份功能,能夠自動備份系統(tǒng)的配置和數(shù)據(jù)�����,支持異地備份功能���。數(shù)據(jù)加密后,自動上傳到從服務(wù)器�,即使主服務(wù)器發(fā)生災(zāi)難性故障,也能保證數(shù)據(jù)不受損失�����。
[0017](7)法律效力�����,本發(fā)明能夠使用第三方CA機構(gòu)頒發(fā)的數(shù)字證書���。通過對工作交流內(nèi)容數(shù)據(jù)進行電子簽名�,能夠確保交流內(nèi)容受法律保護。
【專利附圖】
【附圖說明】
[0018]圖1為本發(fā)明的硬件配置圖���。
[0019]圖2為客戶端軟件系統(tǒng)框圖�����。
[0020]圖3為服務(wù)器端軟件系統(tǒng)框圖��。
[0021]圖4為WEB客戶端軟件模塊的結(jié)構(gòu)示意圖�。
[0022]圖5為即時通信客戶端模塊的結(jié)構(gòu)示意圖����。
[0023]圖6為保密網(wǎng)絡(luò)磁盤客戶端模塊的結(jié)構(gòu)示意圖。[0024]圖7為保密網(wǎng)絡(luò)磁盤客戶端模塊內(nèi)部的數(shù)據(jù)流向示意圖�����。
[0025]圖8為文件傳遞服務(wù)器端模塊結(jié)構(gòu)示意圖�����。
[0026]圖9為即時通信模塊服務(wù)器端模塊結(jié)構(gòu)示意圖����。
[0027]圖10為加密文件結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0028]實施例1 (本發(fā)明所述系統(tǒng)的實施例���,見圖1):
本實施例包括客戶端、服務(wù)器端和第三方CA機構(gòu)目錄服務(wù)器��;所述服務(wù)器端通過互聯(lián)網(wǎng)分別與客戶端和第三方CA機構(gòu)目錄服務(wù)器相連接���;
所述客戶端由PC客戶端1-1和移動客戶端1-2組成��;所述PC客戶端1-1由安裝有客戶端智能卡1-1-3和客戶端軟件系統(tǒng)的PC機1-1-1和筆記本電腦1-1-2�、打印機1-1-4和掃描儀1-1-5組成�;
所述移動客戶端1-2由安裝有移動客戶端智能卡1-2-3和客戶端軟件系統(tǒng)的智能手機
1-2-2和平板電腦1-2-1組成�����,所述智能手機1-2-2和平板電腦1-2-1通過無線通信網(wǎng)與互聯(lián)網(wǎng)連接����;
所述PC客戶端智能卡1-1-3和移動客戶端智能卡中分別安裝有客戶端密碼模塊;
所述服務(wù)器端包括安裝有服務(wù)器端智能卡和服務(wù)器端軟件系統(tǒng)的應(yīng)用服務(wù)器群4-1、數(shù)據(jù)庫服務(wù)器群4-2���、交換機4-3和防火墻4-4 ;所述應(yīng)用服務(wù)器群4-1和數(shù)據(jù)庫服務(wù)器群4-2分別依次通過交換機4-3���、防火墻4-4與互聯(lián)網(wǎng)連接;所述服務(wù)器端智能卡中安裝有服務(wù)器端密碼模塊����;
所述第三方CA機構(gòu)目錄服務(wù)器5與互聯(lián)網(wǎng)連接。
[0029]實施例2 (本發(fā)明所述方法的實施例���,參見圖1-10):
本實施例為一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)的實現(xiàn)方法�����,其特征在于所述方法基于PKI技術(shù)和瀏覽器的客戶端/服務(wù)器端通信技術(shù)�����,通過客戶端軟件系統(tǒng)和服務(wù)器端軟件系統(tǒng)的交互實現(xiàn)的�;
所述客戶端軟件系統(tǒng)包括WEB客戶端軟件模塊�����、保密網(wǎng)絡(luò)磁盤客戶端模塊、客戶端密碼模塊和即時通信客戶端模塊��;
所述WEB客戶端軟件模塊包含針對IE�、Firefox, Crome瀏覽器的版本;該模塊調(diào)用客戶端密碼模塊�����,提供身份認證����、數(shù)據(jù)加解密、電子簽名�、簽名驗證;該模塊操作掃描儀���,支持單頁掃描和多頁連掃�����,調(diào)整掃描圖像的角度;該模塊操作打印機�;
所述保密網(wǎng)絡(luò)磁盤客戶端模塊為虛擬磁盤軟件,在Windows資源管理器中顯示為一個磁盤分區(qū)�����;保密網(wǎng)絡(luò)磁盤中的數(shù)據(jù)在客戶端留有備份,以加密的形式保存在本地硬盤中����;保密網(wǎng)絡(luò)磁盤客戶端和保密網(wǎng)絡(luò)磁盤服務(wù)器端保持通信,實現(xiàn)客戶端和服務(wù)器端數(shù)據(jù)的實時同步�;用戶訪問保密網(wǎng)絡(luò)磁盤分區(qū)中的數(shù)據(jù)之前,保密網(wǎng)絡(luò)客戶端模塊調(diào)用客戶端密碼模塊����,驗證用戶身份的有效性;讀取數(shù)據(jù)時�,該模塊檢查數(shù)據(jù)是否在緩存中,如果沒有在緩存中則從服務(wù)器端下載數(shù)據(jù)并寫入緩存�,調(diào)用客戶端密碼模塊解密文件,并把解密結(jié)果展示給用戶�����;用戶寫入數(shù)據(jù)時��,調(diào)用客戶端密碼模塊對數(shù)據(jù)進行加密�,并把加密后的數(shù)據(jù)寫入保密網(wǎng)絡(luò)磁盤中;并同步到服務(wù)器端�;
數(shù)據(jù)文件在客戶端以加密的方式存儲����;為了同時保證加密效率和強度��、便于實現(xiàn)文件加密共享���;采用了對稱加密和非對稱加密相結(jié)合的技術(shù)��;所述加密共享過程如下:首先生成一個隨機的對稱密鑰�,對數(shù)據(jù)進行加密�����,形成加密文件�����;然后使用用戶的公鑰將對稱密鑰加密�,并把加密結(jié)果保存在加密文件中;需要共享文件時�����,用戶首先使用自己的私鑰將對稱密鑰解密����,然后用接收者的公鑰將對稱密鑰加密,并把加密結(jié)果追加到加密文件中�����,接收者接收到加密文件后�,首先使用自己的私鑰將對稱密鑰解密,然后使用對稱密鑰解密加密數(shù)據(jù)��,得到數(shù)據(jù)明文��;
所述客戶端密碼模塊支持國家密碼主管部門規(guī)定的對稱密碼算法���、非對稱密碼算法�����、數(shù)字摘要算法����,提供數(shù)據(jù)加解密/電子簽名功能��;客戶端密碼模塊采用USB或Micro SD卡接口 ����;客戶端密碼模塊提供API�,其他模塊通過API調(diào)用客戶端密碼模塊的功能����;客戶端密碼模塊保存CA機構(gòu)頒發(fā)的數(shù)字證書,通過數(shù)字證書實現(xiàn)驗證用戶真實身份��、數(shù)字簽名和數(shù)據(jù)加密��;所述客戶端密碼模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成�����;
所述即時通信客戶端模塊實現(xiàn)收發(fā)即時通信消息��;該模塊接收��、發(fā)送普通消息���、簽名消息����、加密消息���、簽名加密消息���;該模塊具備歷史消息記錄管理功能;該模塊具有設(shè)置功能���,設(shè)置用戶的在線狀態(tài)�����,設(shè)置個人資料���、設(shè)置安全選項;該模塊調(diào)用客戶端密碼模塊��,實現(xiàn)對即時消息的加密����、解密、簽名���;
所述服務(wù)器端軟件系統(tǒng)包括文件傳遞服務(wù)器端模塊���、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊�、即時通信服務(wù)器端模塊�����、服務(wù)器端密碼模塊����、CA認證模塊、安全控制模塊和雙機熱備模塊���;所述文件傳遞服務(wù)器端模塊實現(xiàn)接收文件���、發(fā)送文件、文件加密存儲���、文件安全共享����、聯(lián)系人管理����;文件傳遞服務(wù)器端模塊調(diào)用服務(wù)器端密碼模塊實現(xiàn)對數(shù)據(jù)的加解密、電子簽名、簽名驗證�����;文件傳遞服務(wù)器端模塊與無線通信設(shè)備連接����,實現(xiàn)收發(fā)短信����、彩信;文件傳遞服務(wù)器端模塊調(diào)用CA認證模塊�,實現(xiàn)基于數(shù)字證書的用戶身份認證、電子簽名���;該模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成����;
所述保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊實現(xiàn)文件的保密存儲���、共享�����;服務(wù)器端軟件系統(tǒng)為每個用戶分配私有磁盤空間�����,用戶上傳后的文件以加密的方式存儲�����,默認情況下只有用戶自己才能下載�、查看;該模塊具有共享文件功能���,用戶把某個文件共享給指定的聯(lián)系人����;
所述即時通信服務(wù)器端模塊實現(xiàn)用戶聯(lián)系人管理����,即時消息的分發(fā),離線消息的管理���;即時通信服務(wù)器端模塊實現(xiàn)管理用戶的聯(lián)系人列表��,聯(lián)系人管理功能包括查找聯(lián)系人�����、添加聯(lián)系人����、修改聯(lián)系人備注資料、刪除聯(lián)系人�;即時通信服務(wù)器端模塊與無線通信設(shè)備相連接,實現(xiàn)收發(fā)短信�、彩信;當(dāng)收到離線消息時�,以短信或彩信的方式通知用戶���;即時通信服務(wù)器端模塊調(diào)用CA認證模塊����,實現(xiàn)基于數(shù)字證書的用戶身份認證�、電子簽名;
所述服務(wù)器端密碼模塊支持國家密碼主管部門規(guī)定的密碼算法���,提供API接口�����,實現(xiàn)數(shù)據(jù)加解密�、電子簽名;
所述CA認證模塊對外提供驗證數(shù)字證書��、電子簽名有效性的接口�,調(diào)用服務(wù)器端密碼模塊提供的功能驗證用戶數(shù)字證書、電子簽名的有效性�����;CA認證模塊與第三方CA機構(gòu)目錄服務(wù)器相連接���,通過及時更新用戶數(shù)字證書和數(shù)字證書黑名單����;
所述安全控制模塊保障服務(wù)器免受外來攻擊���,阻止非法的訪問�����;
所述雙機熱備模塊實現(xiàn)主從服務(wù)器間相互聯(lián)系��,當(dāng)主服務(wù)器發(fā)生故障時�����,自動切換到從服務(wù)器����;雙機熱備模塊監(jiān)控即時通信服務(wù)器端模塊、文件傳遞服務(wù)器端模塊����、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊的狀態(tài),一旦某個模塊發(fā)生異常���,自動切換到從服務(wù)器��。
【權(quán)利要求】
1.一種基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)��,其特征在于包括客戶端(I)、服務(wù)器端(4)和第三方CA機構(gòu)目錄服務(wù)器(5);所述服務(wù)器端(4)通過互聯(lián)網(wǎng)(2)分別與客戶端(I)和第三方CA機構(gòu)目錄服務(wù)器(5 )相連接���; 所述客戶端(I)由PC客戶端(1-1)和移動客戶端(1-2)組成�;所述PC客戶端(1-1)由安裝有客戶端智能卡(1-1-3)和客戶端軟件系統(tǒng)的PC機(1-1-1)和筆記本電腦(1-1-2)��、打印機(1-1-4)和掃描儀(1-1-5)組成�����; 所述移動客戶端(1-2)由安裝有移動客戶端智能卡(1-2-3)和客戶端軟件系統(tǒng)的智能手機(1-2-2 )和平板電腦(1-2-1)組成,所述智能手機(1-2-2 )和平板電腦(1_2_1)通過無線通信網(wǎng)(3)與互聯(lián)網(wǎng)連接�����; 所述PC客戶端智能卡(1-1-3)和移動客戶端智能卡中分別安裝有客戶端密碼模塊�;所述服務(wù)器端(4)包括安裝有服務(wù)器端智能卡和服務(wù)器端軟件系統(tǒng)的應(yīng)用服務(wù)器群(4-1),數(shù)據(jù)庫服務(wù)器群(4-2)、交換機(4-3)和防火墻(4-4);所述應(yīng)用服務(wù)器群(4_1)和數(shù)據(jù)庫服務(wù)器群(4-2)分別依次通過交換機(4-3)����、防火墻(4-4)與互聯(lián)網(wǎng)(2)連接;所述服務(wù)器端智能卡中安裝有服務(wù)器端密碼模塊�����; 所述第三方CA機構(gòu)目錄服務(wù)器(5 )與互聯(lián)網(wǎng)連接���。
2.根據(jù)權(quán)利要求1所述基于PKI技術(shù)的網(wǎng)絡(luò)工作交流安全保密系統(tǒng)的實現(xiàn)方法�����,其特征在于所述方法基于PKI技術(shù)和瀏覽器的客戶端/服務(wù)器端通信技術(shù)��,通過客戶端軟件系統(tǒng)和服務(wù)器端軟件系統(tǒng)的交互實現(xiàn)的��; 所述客戶端軟件系統(tǒng)包括WEB客戶端軟件模塊��、保密網(wǎng)絡(luò)磁盤客戶端模塊�、客戶端密碼模塊和即時通信客戶端模塊; 所述WEB客戶端軟件模塊包 含針對IE���、Firefox, Crome瀏覽器的版本��;該模塊調(diào)用客戶端密碼模塊��,提供身份認證��、數(shù)據(jù)加解密�����、電子簽名�、簽名驗證���;該模塊操作掃描儀,支持單頁掃描和多頁連掃�����,調(diào)整掃描圖像的角度;該模塊操作打印機���; 所述保密網(wǎng)絡(luò)磁盤客戶端模塊為虛擬磁盤軟件�,在Windows資源管理器中顯示為一個磁盤分區(qū)�;保密網(wǎng)絡(luò)磁盤中的數(shù)據(jù)在客戶端留有備份,以加密的形式保存在本地硬盤中����;保密網(wǎng)絡(luò)磁盤客戶端和保密網(wǎng)絡(luò)磁盤服務(wù)器端保持通信,實現(xiàn)客戶端和服務(wù)器端數(shù)據(jù)的實時同步��;用戶訪問保密網(wǎng)絡(luò)磁盤分區(qū)中的數(shù)據(jù)之前�����,保密網(wǎng)絡(luò)客戶端模塊調(diào)用客戶端密碼模塊����,驗證用戶身份的有效性;讀取數(shù)據(jù)時����,該模塊檢查數(shù)據(jù)是否在緩存中,如果沒有在緩存中則從服務(wù)器端下載數(shù)據(jù)并寫入緩存����,調(diào)用客戶端密碼模塊解密文件�,并把解密結(jié)果展示給用戶�����;用戶寫入數(shù)據(jù)時�����,調(diào)用客戶端密碼模塊對數(shù)據(jù)進行加密��,并把加密后的數(shù)據(jù)寫入保密網(wǎng)絡(luò)磁盤中�����;并同步到服務(wù)器端�; 數(shù)據(jù)文件在客戶端以加密的方式存儲;為了同時保證加密效率和強度����、便于實現(xiàn)文件加密共享;采用了對稱加密和非對稱加密相結(jié)合的技術(shù)���;所述加密共享過程如下:首先生成一個隨機的對稱密鑰���,對數(shù)據(jù)進行加密,形成加密文件���;然后使用用戶的公鑰將對稱密鑰加密��,并把加密結(jié)果保存在加密文件中���;需要共享文件時,用戶首先使用自己的私鑰將對稱密鑰解密�����,然后用接收者的公鑰將對稱密鑰加密����,并把加密結(jié)果追加到加密文件中,接收者接收到加密文件后����,首先使用自己的私鑰將對稱密鑰解密,然后使用對稱密鑰解密加密數(shù)據(jù)��,得到數(shù)據(jù)明文; 所述客戶端密碼模塊支持國家密碼主管部門規(guī)定的對稱密碼算法��、非對稱密碼算法���、數(shù)字摘要算法�,提供數(shù)據(jù)加解密/電子簽名功能�����;客戶端密碼模塊采用USB或Micro SD卡接口 �;客戶端密碼模塊提供API,其他模塊通過API調(diào)用客戶端密碼模塊的功能��;客戶端密碼模塊保存CA機構(gòu)頒發(fā)的數(shù)字證書��,通過數(shù)字證書實現(xiàn)驗證用戶真實身份�����、數(shù)字簽名和數(shù)據(jù)加密�;所述客戶端密碼模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成; 所述即時通信客戶端模塊實現(xiàn)收發(fā)即時通信消息�����;該模塊接收、發(fā)送普通消息�����、簽名消息�����、加密消息��、簽名加密消息����;該模塊具備歷史消息記錄管理功能����;該模塊具有設(shè)置功能,設(shè)置用戶的在線狀態(tài)�,設(shè)置個人資料、設(shè)置安全選項��;該模塊調(diào)用客戶端密碼模塊�����,實現(xiàn)對即時消息的加密、解密����、簽名; 所述服務(wù)器端軟件系統(tǒng)包括文件傳遞服務(wù)器端模塊�����、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊�、即時通信服務(wù)器端模塊、服務(wù)器端密碼模塊�、CA認證模塊、安全控制模塊和雙機熱備模塊����;所述文件傳遞服務(wù)器端模塊實現(xiàn)接收文件、發(fā)送文件�����、文件加密存儲�、文件安全共享、聯(lián)系人管理����;文件傳遞服務(wù)器端模塊調(diào)用服務(wù)器端密碼模塊實現(xiàn)對數(shù)據(jù)的加解密���、電子簽名、簽名驗證�;文件傳遞服務(wù)器端模塊與無線通信設(shè)備連接,實現(xiàn)收發(fā)短信�����、彩信�����;文件傳遞服務(wù)器端模塊調(diào)用CA認證模塊�,實現(xiàn)基于數(shù)字證書的用戶身份認證����、電子簽名;該模塊由數(shù)據(jù)處理模塊和數(shù)據(jù)存儲模塊組成�����; 所述保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊實現(xiàn)文件的保密存儲�����、共享;服務(wù)器端軟件系統(tǒng)為每個用戶分配私有磁盤空間��,用戶上傳后的文件以加密的方式存儲��,默認情況下只有用戶自己才能下載���、查看��;該模塊具有共享文件功能�,用戶把某個文件共享給指定的聯(lián)系人�����; 所述即時通信服務(wù)器端模塊實現(xiàn)用戶聯(lián)系人管理�,即時消息的分發(fā),離線消息的管理���;即時通信服務(wù)器端模塊實現(xiàn)管理用戶的聯(lián)系人列表��,聯(lián)系人管理功能包括查找聯(lián)系人�����、添加聯(lián)系人����、修改聯(lián)系人備注資料、刪除聯(lián)系人���;即時通信服務(wù)器端模塊與無線通信設(shè)備相連接�,實現(xiàn)收發(fā)短信����、彩信;當(dāng)收到離線消息時���,以短信或彩信的方式通知用戶;即時通信服務(wù)器端模塊調(diào)用CA認證模塊��,實現(xiàn)基于數(shù)字證書的用戶身份認證�、電子簽名; 所述服務(wù)器端密碼模塊支持國家密碼主管部門規(guī)定的密碼算法�����,提供API接口����,實現(xiàn)數(shù)據(jù)加解密����、電子簽名����; 所述CA認證模塊對外提供驗證數(shù)字證書、電子簽名有效性的接口���,調(diào)用服務(wù)器端密碼模塊提供的功能驗證用戶數(shù)字證書���、電子簽名的有效性'Ck認證模塊與第三方CA機構(gòu)目錄服務(wù)器(5)相連接,通過及時更新用戶數(shù)字證書和數(shù)字證書黑名單�����; 所述安全控制模塊保障服務(wù)器免受外來攻擊���,阻止非法的訪問���; 所述雙機熱備模塊實現(xiàn)主從服務(wù)器間相互聯(lián)系,當(dāng)主服務(wù)器發(fā)生故障時�,自動切換到從服務(wù)器;雙機熱備模塊監(jiān)控即時通信服務(wù)器端模塊、文件傳遞服務(wù)器端模塊�、保密網(wǎng)絡(luò)磁盤服務(wù)器端模塊的狀態(tài),一旦某個模塊發(fā)生異常��,自動切換到從服務(wù)器����。
【文檔編號】H04L29/06GK103546421SQ201210236242
【公開日】2014年1月29日 申請日期:2012年7月10日 優(yōu)先權(quán)日:2012年7月10日
【發(fā)明者】羅乃立 申請人:河北省電子認證有限公司