專利名稱:一種離線安全使用可信移動存儲介質(zhì)的方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信領域���,尤其涉及一種離線安全使用需在線驗證的可信移動存儲介質(zhì)的方法及系統(tǒng)����。
背景技術:
隨著移動存儲介質(zhì)越來越輕便�、存儲容量越來越大,在企事業(yè)信息安全建設過程中移動存儲介質(zhì)的安全使用問題越來越突出�。因此,當前企事業(yè)單位迫切需要一套完整的 移動存儲介質(zhì)管理方案�,以從根本上解決現(xiàn)有技術中移動存儲介質(zhì)的安全使用問題。現(xiàn)有技術對可信移動存儲介質(zhì)進行在線管理時����,能夠?qū)σ苿哟鎯橘|(zhì)使用的整個生命周期進行管理。例如為新購買的移動存儲介質(zhì)通過注冊(打標簽)完成授權��,對移動存儲介質(zhì)接入進行控制���,進而做到企業(yè)信息資產(chǎn)��、涉密信息等不被移動存儲介質(zhì)非法拷貝�����,實現(xiàn)對移動存儲介質(zhì)信息安全管理�。具體地���,在可信移動存儲介質(zhì)客戶端運行時����,插入可信移動存儲介質(zhì)后���,事先和可信移動存儲介質(zhì)管理服務器通信��,將可信移動存儲介質(zhì)中的標簽信息發(fā)給服務器驗證���,服務器根據(jù)驗證結果,將存儲策略及服務器標識下發(fā)給客戶端���,客戶端拿到存儲策略和服務器標識后����,需要將服務器標識和可信移動存儲介質(zhì)中的服務器標識進行比對,借此判斷可信移動存儲介質(zhì)管理服務器的合法性��,比對成功后再根據(jù)存儲策略加載插入的可信移動存儲介質(zhì)����,進而實現(xiàn)數(shù)據(jù)的安全讀寫。當客戶端和服務器無法相互通信驗證對方身份時�����,無法正常使用可信移動存儲介質(zhì)���。然而�����,現(xiàn)有的可信移動存儲介質(zhì)管理系統(tǒng)都需要以在線為基本使用條件���,只有在線時,可信移動存儲介質(zhì)管理服務器才能驗證接入的可信移動存儲介質(zhì)是否為本系統(tǒng)中授權的可信移動存儲介質(zhì)�,同時可信移動存儲介質(zhì)客戶端也才能驗證可信移動存儲介質(zhì)管理服務器是否為本系統(tǒng)中部署的服務器���,而非第三方部署的服務器�。而在離線狀態(tài)下因無法和服務器通信,可信移動存儲介質(zhì)無法使用���。雖然有些解決方案中不進行雙方互為驗證����,只驗證使用密碼來解決可信移動存儲介質(zhì)離線使用問題��,但此種解決方案顯然不夠安全�����,一旦密碼泄露�����,則可信移動存儲介質(zhì)的使用就變得完全不可控����。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明提供一種離線安全使用可信移動存儲介質(zhì)的方法及系統(tǒng)����,以解決現(xiàn)有技術中無法有效解決離線狀態(tài)下安全使用可信移動存儲介質(zhì)的問題。本發(fā)明提供的一種離線安全使用可信移動存儲介質(zhì)的方法����,其中所述方法應用于包括可信移動存儲介質(zhì)客戶端、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)構成的系統(tǒng)中����,所述方法包括如下步驟步驟I、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)����,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件����;
步驟2、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器�����,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后�,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端;步驟3����、客戶端獲得離線授權文件后�,在離線的狀態(tài)下���,加載該離線授權文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)�����。本發(fā)明提供的一種離線安全使用可信移動存儲介質(zhì)的系統(tǒng)����,包括可信移動存儲介質(zhì)客戶端�����、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)�����,其中��,所述客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)���,申請離線狀態(tài)下使用可信移動存儲介質(zhì)�����,輸出該可信移動存儲介質(zhì)的離線申請文件�;所述客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器�����,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后��,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶 端;所述客戶端獲得離線授權文件后���,在離線的狀態(tài)下,加載該離線授權文件�����,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)��。與現(xiàn)有的技術相比��,本發(fā)明技術方案通過引入了離線申請文件����、離線使用授權文件�,并通過這兩個文件作為媒介�����,完成可信移動存儲介質(zhì)客戶端及管理服務器之間的雙方身份驗證�����,因而有效地解決了在離線狀態(tài)下無法安全使用需在線驗證可信移動存儲介質(zhì)的問題����。
圖I是本發(fā)明提供的離線安全使用可信移動存儲介質(zhì)的方法流程圖�。圖2是本發(fā)明可信移動存儲介質(zhì)管理服務器生存離線授權文件流程圖�����。圖3是本發(fā)明在離線的狀態(tài)下安全使用可信移動存儲介質(zhì)流程圖�。圖4是本發(fā)明可信移動存儲介質(zhì)在離線狀態(tài)下進行客戶端和管理服務器驗證工作流程圖。
具體實施例方式為了解決離線狀態(tài)下能夠安全使用需在線驗證的可信移動存儲介質(zhì)的問題�����。本發(fā)明方案采用的核心思想為客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì),申請在離線狀態(tài)下使用可信移動存儲介質(zhì)��,并輸出此移動存儲介質(zhì)的離線申請文件����,客戶端將離線申請文件通過QQ、Email等途徑發(fā)送給可信移動存儲介質(zhì)管理服務器�����,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后���,將離線授權文件通過QQ�����、Email等途徑發(fā)送給可信移動存儲介質(zhì)客戶端�?��?蛻舳四玫诫x線授權文件后�,在離線的狀態(tài)下��,加載該離線授權文件后��,完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)����。通過本發(fā)明方案�,在解決離線狀態(tài)下雙方驗證問題的同時�����,又保證了安全使用可信移動存儲介質(zhì)����。需要說明的是����,在本發(fā)明技術方案中�����,所述客戶端具體是指安裝有在離線狀態(tài)下可以使用可信移動存儲介質(zhì)的客戶端軟件的個人電腦或者其他終端裝置�����。為節(jié)約篇幅���,以下不再針對客戶端作特別的解釋和說明�����。為了本發(fā)明方案更加清楚和明白���,以下結合本發(fā)明具體實施例加以說明���。
如圖I所示,為本發(fā)明離線安全使用可信移動存儲介質(zhì)的方法流程圖�����。該方法應用于包括可信移動存儲介質(zhì)客戶端、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)構成的系統(tǒng)中�,所述方法包括如下步驟步驟I�、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì),申請離線狀態(tài)下使用可信移動存儲介質(zhì)��,輸出該可信移動存儲介質(zhì)的離線申請文件��。當在離線狀態(tài)下�,需使用在線驗證的可信移存儲介質(zhì)時,申請者在客戶端插入需在線驗證的可信移動存儲介質(zhì)后�,通過可信移動存儲介質(zhì)客戶端提供的離線申請功能,申請可信移動存儲介質(zhì)離線使用�,從客戶端獲取離線申請文件的相關信息。在本發(fā)明實施例中����,離線申請文件的相關信息具體包括可信移動存儲介質(zhì)的標簽信息以及使用可信移動存儲介質(zhì)客戶端的機器相關信息,如MAC地址���、硬盤序列號、計算機名稱等����。在成功收集到上述這些信息后��,可信移動存儲介質(zhì)客戶端使用事先約定好的密鑰對這些信息進行加密�����,生成離線申請文件,同時在可信介質(zhì)標簽中記錄申請離線使用標 識及使用次數(shù),此時的使用次數(shù)一般為O����。需要說明的是��,在某些特定的應用場景下,也可以通過有效使用時間段代替離線使用次數(shù)限制�����。步驟2�、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器�����,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端�。具體地,申請者通過QQ�����、Email等途徑由客戶端機器向可信移動存儲介質(zhì)服務器發(fā)送離線申請文件,當然����,在本發(fā)明技術方案中�,申請者也可以不通過客戶端機器而通過其他終端機器向可信移動存儲介質(zhì)服務器發(fā)送離線申請文件��。當管理員在可信移動存儲介質(zhì)管理服務器端獲取到客戶端發(fā)送來的離線申請文件后��,進行如下處理首先�,打開可信移動存儲介質(zhì)管理服務器端提供的離線授權功能�,上傳客戶端發(fā)送過來的離線申請文件��;其次,在可信移動存儲介質(zhì)管理服務器端用事先約定好的解密密鑰解密所述離線申請文件�����;最后,在對所述離線申請文件解密成功后�����,驗證其可信移動存儲介質(zhì)的標簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標簽��,如果不符合要求�����,則不生成授權文件;而當可信移動存儲介質(zhì)的標簽信息符合要求時��,由管理員決定是否完成離線使用授權��,如允許離線使用�����,則將解密獲取的標簽信息外加授權信息一同按事先約定好的密鑰對這些信息進行加密��,生成離線使用授權文件。其中所述離線使用授權文件中的授權信息具體包括使用次數(shù)����、是否只讀授權�、服務器標識等,并將該離線使用授權文件通過QQ�����、Email等途徑發(fā)給申請者�,有關上述處理流程如圖2所示�����。步驟3����、客戶端獲得離線授權文件后�,在離線的狀態(tài)下,加載該離線授權文件���,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)��。具體地�,申請者在通過QQ�、Email等途徑拿到離線使用授權文件后�����,進行如下操作完成可信存儲介質(zhì)在離線狀態(tài)下的使用�����,具體如圖3所示首先���,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)����;接著�,打開可信移動存儲介質(zhì)客戶端�,請求對可信移動存儲介質(zhì)進行離線狀態(tài)下使用,此時客戶端一般會提示選擇離線使用授權文件��,申請者將可信移動存儲介質(zhì)的離線使用授權文件選上并上傳��。最后����,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權文件后,完成雙方互信工作����,根據(jù)離線使用授權文件獲得的存儲策略加載可信移動存儲介質(zhì),相關處理流程如圖4所示,具體如下a��、按事先約定好的密鑰解密離線使用授權文件,獲取授權相關信息。b�����、獲取插入可信介質(zhì)中的標簽信息、離線申請標識、離線使用次數(shù)�����。C���、驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求����。d��、驗證插入的可信移動存儲介質(zhì)和授權的可信移動存儲介質(zhì)的標簽是否一致��。
e、驗證服務器標識是否和插入的可信移動存儲介質(zhì)中的服務器標識是否一致��。f�、驗證離線使用次數(shù)是否達到上限�。待上述全部驗證成功通過后�����,根據(jù)離線使用授權文件中的存儲策略(是否只讀)加載可信移動存儲介質(zhì)��。如果存儲的策略為只讀加載時���,用戶只能從可信移動存儲介質(zhì)中讀取文件�����,不能寫入。可信移動存儲介質(zhì)加載成功后,修改可信介質(zhì)的使用次數(shù)�����,通常每次離線驗證成功,使用次數(shù)會自動加I���。需要說明的是���,上述驗證過程c_f中只要其中任何一個環(huán)節(jié)驗證不過����,都將拒絕加載離線加載可信移動存儲介質(zhì)。本發(fā)明方案同時提供一種離線狀態(tài)下安全使用可信移動存儲介質(zhì)的系統(tǒng)。所述系統(tǒng)至少包括可信移動存儲介質(zhì)客戶端��、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)����。其中���,當可信移動存儲介質(zhì)需要在離線狀態(tài)下安全使用時,則客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)����,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件�。當在離線狀態(tài)下����,需使用在線驗證的可信移存儲介質(zhì)時,申請者在插入需在線驗證的可信移動存儲介質(zhì)后���,通過可信移動存儲介質(zhì)客戶端提供的離線申請功能��,申請可信移動存儲介質(zhì)離線使用�,從客戶端獲取離線申請文件的相關信息��。在本發(fā)明實施例中���,離線申請文件的相關信息具體包括可信移動存儲介質(zhì)的標簽信息以及使用可信移動存儲介質(zhì)客戶端的機器相關信息,如MAC地址���、硬盤序列號、計算機名稱等����。在成功收集到上述這些信息后�,可信移動存儲介質(zhì)客戶端使用事先約定好的密鑰對這些信息進行加密,生成離線申請文件�����,同時在可信介質(zhì)標簽中記錄申請離線使用標識及使用次數(shù)���,此時的使用次數(shù)一般為O。需要說明的是�����,在某些特定的應用場景下�����,也可以通過有效使用時間段代替離線使用次數(shù)限制�����?����?蛻舳藢㈦x線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器�����,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后���,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端�����。具體地,申請者通過QQ��、Email等途徑由客戶端向可信移動存儲介質(zhì)服務器發(fā)送離線申請文件�,當然,在本發(fā)明技術方案中�,申請者也可以不通過客戶端機器而通過其他終端機器向可信移動存儲介質(zhì)服務器發(fā)送離線申請文件。當管理員在可信移動存儲介質(zhì)管理服務器端獲取到客戶端發(fā)送來的離線申請文件后�����,進行如下處理首先�,打開可信移動存儲介質(zhì)管理服務器端提供的離線授權功能����,上傳客戶端發(fā)送過來的離線申請文件����;
其次,在可信移動存儲介質(zhì)管理服務器端用事先約定好的解密密鑰解密所述離線申請文件����;最后�,在對所述離線申請文件解密成功后�����,驗證其可信移動存儲介質(zhì)的標簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標簽�����,如果不符合要求���,則不生成授權文件���;而當可信移動存儲介質(zhì)的標簽信息符合要求時,由管理員決定是否完成離線使用授權���,如允許離線使用��,則將解密獲取的標簽信息外加授權信息一同按事先約定好的密鑰對這些信息進行加密��,生成離線使用授權文件。其中所述離線使用授權文件中的授權信息具體包括使用次數(shù)��、是否只讀授權����、服務器標識等���,并將該離線使用授權文件通過QQ�、Email等途徑發(fā)給申請者�����?���?蛻舳双@得離線授權文件后,在離線的狀態(tài)下����,加載該離線授權文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介 質(zhì)����。具體地���,申請者在通過QQ、Email等途徑拿到離線使用授權文件后�,進行如下操作完成可信存儲介質(zhì)在離線狀態(tài)下的使用首先,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)�;接著,打開可信移動存儲介質(zhì)客戶端����,請求對可信移動存儲介質(zhì)進行離線狀態(tài)下使用,此時客戶端一般會提示選擇離線使用授權文件����,申請者將可信移動存儲介質(zhì)的離線使用授權文件選上并上傳。最后���,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權文件后���,完成雙方互信工作,根據(jù)離線使用授權文件獲得的存儲策略加載可信移動存儲介質(zhì)�,具體處理流程如下a、按事先約定好的密鑰解密離線使用授權文件���,獲取授權相關信息�。b����、獲取插入可信介質(zhì)中的標簽信息、離線申請標識����、離線使用次數(shù)。C��、驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求����。d、驗證插入的可信移動存儲介質(zhì)和授權的可信移動存儲介質(zhì)的標簽是否一致��。e��、驗證服務器標識是否和插入的可信移動存儲介質(zhì)中的服務器標識是否一致��。f��、驗證離線使用次數(shù)是否達到上限�����。待上述全部驗證成功通過后,根據(jù)離線使用授權文件中的存儲策略(是否只讀)加載可信移動存儲介質(zhì)����。如果存儲的策略為只讀加載時,用戶只能從可信移動存儲介質(zhì)中讀取文件��,不能寫入�����??尚乓苿哟鎯橘|(zhì)加載成功后,修改可信介質(zhì)的使用次數(shù)�����,通常每次離線驗證成功,使用次數(shù)會自動加I��。需要說明的是��,上述驗證過程c_f中只要其中任何一個環(huán)節(jié)驗證不過����,都將拒絕加載離線加載可信移動存儲介質(zhì)�。在本發(fā)明技術方案中�,通過引入了離線申請文件、離線使用授權文件�����,并通過這兩個文件作為媒介�����,完成可信移動存儲介質(zhì)客戶端及管理服務器之間的雙方身份驗證�����,另外�,由于對離線申請文件����、離線授權文件進行加解密,保證離線申請文件和離線授權文件傳輸?shù)陌踩?,因而有效地解決了在離線狀態(tài)下無法安全使用需在線驗證可信移動存儲介質(zhì)的問題。以上所述僅僅為本發(fā)明較佳的實現(xiàn)方式��,任何基于本發(fā)明精神所做出的等同的修改皆應涵蓋于本發(fā)明的權利要求范圍中�����。
權利要求
1.一種離線安全使用可信移動存儲介質(zhì)的方法,其中所述方法應用于包括可信移動存儲介質(zhì)客戶端��、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)構成的系統(tǒng)中����,其特征在于,所述方法包括如下步驟 步驟I�����、客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)�,申請離線狀態(tài)下使用可信移動存儲介質(zhì),輸出該可信移動存儲介質(zhì)的離線申請文件�; 步驟2、客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器�,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端; 步驟3���、客戶端獲得離線授權文件后�����,在離線的狀態(tài)下����,加載該離線授權文件,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)�����。
2.如權利要求I所述的方法��,其特征在于�,所述步驟2具體為 首先�,打開可信移動存儲介質(zhì)管理服務器端提供的離線授權功能,上傳客戶端發(fā)送過來的離線申請文件��; 其次�,在可信移動存儲介質(zhì)管理服務器端用事先約定好的解密密鑰解密所述離線申請文件; 最后����,在對所述離線申請文件解密成功后,驗證其可信移動存儲介質(zhì)的標簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標簽���,如果不符合要求����,則不生成授權文件;而當可信移動存儲介質(zhì)的標簽信息符合要求時���,由管理員決定是否完成離線使用授權�����,如允許離線使用�����,則將解密獲取的標簽信息外加授權信息一同按事先約定好的密鑰對這些信息進行加密�,生成離線使用授權文件��。
3.如權利要求2所述的方法��,其特征在于���,所述離線使用授權文件中的授權信息具體包括使用次數(shù)�、是否只讀授權�����、服務器標識����。
4.如權利要求I所述的方法���,其特征在于,所述步驟3具體為 首先��,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)����; 接著,打開可信移動存儲介質(zhì)客戶端�,請求對可信移動存儲介質(zhì)進行離線狀態(tài)下使用,并將對應該可信移動存儲介質(zhì)的離線使用授權文件加載�����; 最后�,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權文件后����,完成雙方互信工作,并根據(jù)離線使用授權文件獲得的存儲策略加載可信移動存儲介質(zhì)����。
5.如權利要求4所述的方法�,其特征在于����,所述可信移動存儲介質(zhì)完成客戶端和管理服務器端的雙方互信步驟具體包括 按事先約定好的密鑰解密離線使用授權文件,獲取授權相關信息����; 獲取插入可信移動存儲介質(zhì)中的標簽信息、離線申請標識����、離線使用次數(shù)信息; 驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求�; 驗證插入的可信移動存儲介質(zhì)和授權的可信移動存儲介質(zhì)的標簽是否一致; 驗證服務器標識是否和插入的可信移動存儲介質(zhì)中的服務器標識是否一致��; 驗證離線使用次數(shù)是否達到上限���。
6.一種離線安全使用可信移動存儲介質(zhì)的系統(tǒng)����,包括可信移動存儲介質(zhì)客戶端���、可信移動存儲介質(zhì)管理服務器以及可行移動存儲介質(zhì)�,其特征在于,所述客戶端在離線狀態(tài)下插入可信移動存儲介質(zhì)��,申請離線狀態(tài)下使用可信移動存儲介質(zhì)�����,輸出該可信移動存儲介質(zhì)的離線申請文件�; 所述客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后�,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端;所述客戶端獲得離線授權文件后����,在離線的狀態(tài)下,加載該離線授權文件�,并在完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)。
7.如權利要求6所述的系統(tǒng)��,其特征在于����,所述可信移動存儲介質(zhì)管理服務器生成授離線授權文件的過程具體為 首先�,打開可信移動存儲介質(zhì)管理服務器端提供的離線授權功能,上傳客戶端發(fā)送過來的離線申請文件; 其次���,在可信移動存儲介質(zhì)管理服務器端用事先約定好的解密密鑰解密所述離線申請文件�����;最后����,在對所述離線申請文件解密成功后��,驗證其可信移動存儲介質(zhì)的標簽信息是為本系統(tǒng)中部署可信移動存儲介質(zhì)的標簽����,如果不符合要求,則不生成授權文件����;而當可信移動存儲介質(zhì)的標簽信息符合要求時,由管理員決定是否完成離線使用授權���,如允許離線使用���,則將解密獲取的標簽信息外加授權信息一同按事先約定好的密鑰對這些信息進行加密���,生成離線使用授權文件。
8.如權利要求7所述的方法�����,其特征在于�����,所述離線使用授權文件中的授權信息具體包括使用次數(shù)��、是否只讀授權���、服務器標識����。
9.如權利要求6所述的方法����,其特征在于,所述客戶端獲得離線授權文件后����,對可信移動存儲介質(zhì)進行加載具體為 首先,在申請離線狀態(tài)下使用可信存儲介質(zhì)的客戶端機器中插入申請離線狀態(tài)下使用的可信移動存儲介質(zhì)��; 接著�,打開可信移動存儲介質(zhì)客戶端,請求對可信移動存儲介質(zhì)進行離線狀態(tài)下使用�,并將對應該可信移動存儲介質(zhì)的離線使用授權文件加載; 最后����,可信移動存儲介質(zhì)客戶端在獲取到離線使用授權文件后,完成雙方互信工作���,并根據(jù)離線使用授權文件獲得的存儲策略加載可信移動存儲介質(zhì)�����。
10.如權利要求9所述的方法��,其特征在于��,所述可信移動存儲介質(zhì)完成客戶端和管理服務器端的雙方互信步驟具體包括 按事先約定好的密鑰解密離線使用授權文件��,獲取授權相關信息����; 獲取插入可信移動存儲介質(zhì)中的標簽信息、離線申請標識����、離線使用次數(shù)信息; 驗證使用可信移動存儲介質(zhì)客戶端的機器是否符合要求���; 驗證插入的可信移動存儲介質(zhì)和授權的可信移動存儲介質(zhì)的標簽是否一致�����;驗證服務器標識是否和插入的可信移動存儲介質(zhì)中的服務器標識是否一致����; 驗證離線使用次數(shù)是否達到上限�����。
全文摘要
本發(fā)明提供了一種離線狀態(tài)下安全使用可信移動存儲介質(zhì)的方法及其系統(tǒng)��?�?蛻舳嗽陔x線狀態(tài)下插入可信移動存儲介質(zhì)����,申請在離線狀態(tài)下使用可信移動存儲介質(zhì)����,并輸出此移動存儲介質(zhì)的離線申請文件��,客戶端將離線申請文件發(fā)送給可信移動存儲介質(zhì)管理服務器��,可信移動存儲介質(zhì)管理服務器審核離線申請文件成功后�����,將離線授權文件發(fā)送給可信移動存儲介質(zhì)客戶端����?�?蛻舳四玫诫x線授權文件后�,在離線的狀態(tài)下,加載該離線授權文件后�,完成雙方驗證后根據(jù)存儲策略加載指定的可信移動存儲介質(zhì)。通過本發(fā)明方案�����,在解決離線狀態(tài)下雙方驗證問題的同時���,又保證了安全使用可信移動存儲介質(zhì)�。
文檔編號H04L29/08GK102724137SQ20121017908
公開日2012年10月10日 申請日期2012年5月30日 優(yōu)先權日2012年5月30日
發(fā)明者羅友春 申請人:杭州華三通信技術有限公司