可信授权方法、系统、可信安全管理中心和服务器技术方案

本发明专利技术公开了一种可信授权方法、系统、可信安全管理中心和服务器。该可信授权方法包括：接收服务器发送的平台可度量信息和用户可度量信息；判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成授权成功信息；将所述授权成功信息发送给服务器。本发明专利技术中服务器在接收到授权成功信息后才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者不能直接访问存储设备，从而有效避免了存储设备的数据被入侵者非法访问。

【技术实现步骤摘要】
可信授权方法、系统、可信安全管理中心和服务器
本专利技术涉及信息安全
，特别涉及一种可信授权方法、系统、可信安全管理中心和服务器。
技术介绍
存储区域网络（StorageAreaNetwork，简称：SAN）存储系统具有高速和高扩展性的特点。近些年来，越来越多的单位和机构选择SAN来构建核心数据的信息存储中心，SAN存储系统安全的重要性日益凸显，因此，有关SAN安全的研究也越来越受到人们的关注。首先，由于默认光纤通道（FibreChannel，简称：FC）协议的使用环境是安全的，因此该协议设计之初在安全方面考虑的并不是很完善；其次，在SAN中也缺乏有效的访问控制，一旦连接存储设备的服务器被攻破，没有任何安全认证机制的光纤通道存储区域网络（FibreChannelStorageAreaNetwork，简称：FCSAN）中的存储设备自然就完全暴露在入侵者面前。而且FC协议在发起端和目标端通过唯一的全球唯一名字（WorldWideName，简称：WWN）来建立对应关系，入侵者可以简单地采用欺骗的方式伪装成合法的发起端，取得对未经授权的目标端存储空间的访问权限。SAN中最常见的安全威胁有伪装接入、非法访问和存储数据丢失等。现有技术中，针对SAN存储安全的解决办法主要有访问控制管理、用户身份验证机制、加密磁盘数据和及时备份等。但简单部署在SAN上的访问控制策略对于入侵者而言很容易通过欺骗跳过防护，而现有的客户端的身份验证机制只是在服务器与客户端间保证安全可信，若服务器被入侵者攻陷后，则SAN中存储设备的数据仍然能够被入侵者非法访问。
技术实现思路
本专利技术提供一种可信授权方法、系统、可信安全管理中心和服务器，用于避免存储设备的数据被入侵者非法访问。为实现上述目的，本专利技术提供了一种可信授权方法，包括：接收服务器发送的平台可度量信息和用户可度量信息；判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成授权成功信息；将所述授权成功信息发送给服务器。可选地，所述平台可度量信息包括散列信息和可度量日志，所述用户可度量信息包括用户名和用口令；所述判断所述平台可度量信息是否可信包括：对所述可度量日志进行哈希运算生成哈希值；比较所述哈希值与所述散列信息是否一致；若比较出所述哈希值与所述散列信息一致时，根据预先存储的安全规则判断所述可度量日志是否可信；所述判断所述用户可度量信息是否可信包括：比较所述用户名和用户口令与预先存储的用户注册信息是否一致。为实现上述目的，本专利技术提供了一种可信授权方法，包括：向可信安全管理中心发送平台可度量信息和用户可度量信息，以供所述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时生成并发送授权成功信息；接收所述可信安全管理中心发送的所述授权成功信息。可选地，还包括：接收客户端发送的密文信息、会话标识和第二加密信息；通过服务器私钥对第二加密信息进行解密处理得出第二会话密钥随机数；根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥；根据生成的会话密钥对密文信息进行解密处理得出用户名和用户口令，所述用户可度量信息包括用户名和用户口令；将所述用户可度量信息和预先存储的平台可度量信息发送给可信安全管理中心，所述平台可度量信息包括散列信息和可度量日志。可选地，还包括：接收客户端发送的用户名和会话标识；将服务器平台名和可信安全管理中心公钥发送给可信安全管理中心；接收可信安全管理中心发送的会话授权随机数和服务器公钥；生成第一会话密钥随机数；通过用户公钥对第一会话密钥随机数进行加密处理得出第一加密信息；将第一加密信息和会话标识发送给客户端，以供客户端通过用户私钥对第一加密信息进行解密处理得出第一会话密钥随机数，生成第二会话密钥随机数，根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，通过会话密钥对用户名和用户口令进行加密处理得出密文信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出第二加密信息，并发送密文信息、会话标识和第二加密信息。为实现上述目的，本专利技术提供了一种可信安全管理中心，包括：第一收发模块，用于接收服务器发送的平台可度量信息和用户可度量信息并将授权成功信息发送给服务器；判断模块，用于判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；第一生成模块，用于若所述判断模块判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成所述授权成功信息。可选地，所述平台可度量信息包括散列信息和可度量日志，所述用户可度量信息包括用户名和用口令；所述判断模块包括：哈希运算子模块，用于对所述可度量日志进行哈希运算生成哈希值；第一比较子模块，用于比较所述哈希值与所述散列信息是否一致；判断子模块，用于若所述第一比较子模块比较出所述哈希值与所述散列信息一致时，根据预先存储的安全规则判断所述可度量日志是否可信；第二比较子模块，用于比较所述用户名和用户口令与预先存储的用户注册信息是否一致。为实现上述目的，本专利技术提供了一种服务器，包括：第二收发模块，用于向可信安全管理中心发送平台可度量信息和用户可度量信息并接收所述可信安全管理中心发送的授权成功信息，以供所述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时生成并发送授权成功信息。可选地，所述第二收发模块还用于接收客户端发送的密文信息、会话标识和第二加密信息，并将用户可度量信息和预先存储的平台可度量信息发送给可信安全管理中心，所述平台可度量信息包括散列信息和可度量日志；所述服务器还包括：第一解密模块，用于通过服务器私钥对第二加密信息进行解密处理得出第二会话密钥随机数；第二生成模块，用于根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥；第二解密模块，用于根据生成的会话密钥对密文信息进行解密处理得出用户名和用户口令，所述用户可度量信息包括用户名和用户口令。可选地，所述第二收发模块还用于接收客户端发送的用户名和会话标识，将服务器平台名和可信安全管理中心公钥发送给可信安全管理中心，接收可信安全管理中心发送的会话授权随机数和服务器公钥，将第一加密信息和会话标识发送给客户端，以供客户端通过用户私钥对第一加密信息进行解密处理得出第一会话密钥随机数，生成第二会话密钥随机数，根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，通过会话密钥对用户名和用户口令进行加密处理得出密文信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出第二加密信息，并发送密文信息、会话标识和第二加密信息；所述服务器还包括：第三生成模块，用于生成第一会话密钥随机数；加密模块，用于通过用户公钥对第一会话密钥随机数进行加密处理得出第一加密信息。为实现上述目的，本专利技术提供了一种可信授权系统，包括：上述可信安全管理中心、上述服务器和客户端。本专利技术具有以下有益效果：本专利技术提供的可信授权方法、系统、可信安全管理中心和服务器的技术方案中，判断服务器发送的平台可度量信息是否可信以及判断服务器本文档来自技高网...

【技术保护点】
一种可信授权方法，其特征在于，包括：接收服务器发送的平台可度量信息和用户可度量信息；判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成授权成功信息；将所述授权成功信息发送给服务器。

【技术特征摘要】
1.一种可信授权方法，其特征在于，包括：接收服务器发送的平台可度量信息和用户可度量信息；判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成授权成功信息；将所述授权成功信息发送给服务器。2.根据权利要求1所述的可信授权方法，其特征在于，所述平台可度量信息包括散列信息和可度量日志，所述用户可度量信息包括用户名和用口令；所述判断所述平台可度量信息是否可信包括：对所述可度量日志进行哈希运算生成哈希值；比较所述哈希值与所述散列信息是否一致；若比较出所述哈希值与所述散列信息一致时，根据预先存储的安全规则判断所述可度量日志是否可信；所述判断所述用户可度量信息是否可信包括：比较所述用户名和用户口令与预先存储的用户注册信息是否一致。3.一种可信授权方法，其特征在于，包括：向可信安全管理中心发送平台可度量信息和用户可度量信息，以供所述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时生成并发送授权成功信息；接收所述可信安全管理中心发送的所述授权成功信息。4.根据权利要求3所述的可信授权方法，其特征在于，还包括：接收客户端发送的密文信息、会话标识和第二加密信息；通过服务器私钥对第二加密信息进行解密处理得出第二会话密钥随机数；根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥；根据生成的会话密钥对密文信息进行解密处理得出用户名和用户口令，所述用户可度量信息包括用户名和用户口令；将所述用户可度量信息和预先存储的平台可度量信息发送给可信安全管理中心，所述平台可度量信息包括散列信息和可度量日志。5.根据权利要求4所述的可信授权方法，其特征在于，还包括：接收客户端发送的用户名和会话标识；将服务器平台名和可信安全管理中心公钥发送给可信安全管理中心；接收可信安全管理中心发送的会话授权随机数和服务器公钥；生成第一会话密钥随机数；通过用户公钥对第一会话密钥随机数进行加密处理得出第一加密信息；将第一加密信息和会话标识发送给客户端，以供客户端通过用户私钥对第一加密信息进行解密处理得出第一会话密钥随机数，生成第二会话密钥随机数，根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，通过会话密钥对用户名和用户口令进行加密处理得出密文信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出第二加密信息，并发送密文信息、会话标识和第二加密信息。6.一种可信安全管理中心，其特征在于，包括：第一收发模块，用于接收服务器发送的平台可度量信息和用户可度量信息并将授权成功信息发送给服务器；判断模块，用于判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；第...

【专利技术属性】
技术研发人员：江海昇，邹起辰，陈幼雷，郭伟，
申请(专利权)人：中电长城网际系统应用有限公司，
类型：发明
国别省市：北京;11