專利名稱:一種保證通信安全的方法�、網(wǎng)絡設備、裝置和通信系統(tǒng)的制作方法
技術領域:
本發(fā)明實施例涉及信息安全領域��,特別是涉及一種保證通信安全的方法�、網(wǎng)絡設備、裝置和通信系統(tǒng)�����。
背景技術:
對于VPN (Virtual Private Network,虛擬專用網(wǎng)絡)網(wǎng)關����、加密機等安全設備,其管理的安全也十分重要�����。業(yè)界一般通過USB KEY ( Universal SerialBUS,通用串行總線)或者智能IC卡(IntegratedCircuit,集成電路)等對安全設備進行管理����。安全設備中往往會存有證書密鑰、預共享密鑰或者其他的重要的敏感信息����。這些敏感信息一旦被惡意攻擊者獲取,安全設備的安全性也不復存在�����。因此��,像證書密鑰�、預共享密鑰以及其他重要敏感信息要安全存儲,加密存儲是一種常用的做法����。
對預置在安全i殳備的密鑰、預共享密鑰或者其他^^密信息進行加密存儲也需要考慮這些加密密鑰的安全保存問題����,單純設備本身而言����,這個問題是無法解決的��。因此���,業(yè)界一般借助USBKEY���、智能IC卡等來存儲加密設備加密信息的密鑰。
在應用肘�,USBKEY或者IC智能卡的持有者,將USBKEY或智能卡插入設備���,經(jīng)過認證后���,USBKEY或智能卡中的密鑰(我們稱之為保護密鑰)安全傳送到安全設備,安全設備使用保護密鑰解密機密信息�����,設備正常工作�。
從安全上考慮,保護密鑰往往由安全設備自身產生���,將機密信息加密后可以存放在智能卡中����。
在這種情況下�����,如果USBKEY或智能卡損壞或者丟失�����,則設備無法恢復正常工作�����。因此����,需要USBKEY或智能卡備份機制,來解決這種問題���。
因此���,安全地將保護密鑰存放于智能卡至關重要�。
5發(fā)明人在實現(xiàn)本發(fā)明的過程中�,發(fā)現(xiàn)現(xiàn)有技術至少存在以下缺點 只用一張USBKEY或智能卡存儲保護密鑰,如果USBKEY或智能卡丟 失或者破壞��,安全設備加密信息將無法恢復���,因此無法恢復正常工作��。
發(fā)明內容
本發(fā)明實施例提供一種保證通信安全的方法�、網(wǎng)絡設備��、裝置和通信系 統(tǒng)�����,以實現(xiàn)保護密鑰的冗余備份����,降低保護密鑰丟失或損壞帶來的風險���。
本發(fā)明實施例提供一種保證通信安全的方法����,包括
利用至少兩個保護密鑰分別對安全對象進行加密��,得到相應的至少兩個 加密對象�����;將所述至少兩個保護密鑰的信息分別存儲在至少兩個保護密鑰存 儲裝置中�����;將所述至少兩個加密對象的信息存儲在網(wǎng)絡設備中�����;
當所述網(wǎng)絡設備進行通信時��,所述網(wǎng)絡設備獲取來自所述至少兩個保護 密鑰存儲裝置中的一個保護密鑰存儲裝置存儲的保護密鑰的信息�,根據(jù)所述 保護密鑰的信息,對所述網(wǎng)絡設備存儲的所述至少兩個加密對象中的一個加 密對象進行解密����,得到所述安全對象;
所述網(wǎng)絡i殳備利用所述安全對象進行通信。
本發(fā)明實施例還提供一種網(wǎng)絡設備����,包括
存儲單元,用于存儲至少兩個加密對象的信息���,所述至少兩個加密對象
由對應的至少兩個保護密鑰對安全對象進行加密得到�����;
獲取單元�,用于獲取來自保護密鑰存儲裝置的保護密鑰的信息���; 解密單元,用于根據(jù)所述獲取單元獲取到的保護密鑰的信息����,對所述存
儲單元存儲的所述至少兩個加密對象中的 一個加密對象進行解密,得到所述
安全對象����。
本發(fā)明實施例還提供一種保護密鑰存儲裝置,包括 保護密鑰存儲單元��,用于存儲保護密鑰的信息�,所述保護密鑰的信息包括保護密鑰及其標識;
發(fā)送單元�,用于將保護密鑰存儲單元存儲的保護密鑰的信息向網(wǎng)絡設備 發(fā)送����,以供所述網(wǎng)絡設備根據(jù)來自所述保護密鑰存儲裝置的保護密鑰標識�����, 查找到相應的加密對象���,利用來自所述保護密鑰存儲裝置的保護密鑰對所述 加密對象進行解密,得到安全對象��,利用所述安全對象進行通信�����。
本發(fā)明實施例還提供一種通信系統(tǒng)��,包括網(wǎng)絡設備和至少兩個保護密鑰
存儲裝置,其中
所述至少兩個保護密鑰存儲裝置,用于分別存儲至少兩個保護密鑰的信 息�,所述至少兩個保護密鑰用于對安全對象分別進行加密,得到相應的至少 兩個加密對象��;
所述網(wǎng)絡設備��,用于存儲所述至少兩個加密對象的信息���;獲取來自所述 至少兩個保護密鑰存儲裝置中的一個保護密鑰存儲裝置存儲的保護密鑰的信 息�,根據(jù)所述保護密鑰的信息���,對該網(wǎng)絡設備存儲的所述至少兩個加密對象 中的一個加密對象進行解密����,得到所述安全對象���;利用所述安全對象進行通 信�。
與現(xiàn)有技術相比��,通過本發(fā)明實施例至少可以產生以下有益效果實現(xiàn) 保護密鑰的冗余備份�,降低保護密鑰丟失或損壞帶來的風險。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案���,下面將對實 施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹��,顯而易見地�,下面 描述中的附圖是本發(fā)明的一些實施例,對于本領域普通技術人員來講�����,在不 付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為本發(fā)明實施例一的保證網(wǎng)絡設備通信安全的方法流程圖��; 圖2為本發(fā)明實施例二的保證網(wǎng)絡設備通信安全的方法流程圖�����;圖3為本發(fā)明實施例三的網(wǎng)絡設備組成示意圖4為本發(fā)明實施例三的網(wǎng)絡設備的另一組成示意圖5為本發(fā)明實施例三的網(wǎng)絡設備的另一組成示意圖6為本發(fā)明實施例四的網(wǎng)絡設備的組成示意圖7為本發(fā)明實施例五的保護密鑰存儲裝置的組成示意圖;
圖8為本發(fā)明實施例六的通信系統(tǒng)的組成示意圖�����。
具體實施例方式
為使本發(fā)明實施例的目的��、技術方案和優(yōu)點更加清楚,下面將結合本發(fā) 明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述��, 顯然����,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例�����?�;?本發(fā)明中的實施例����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲 得的所有其他實施例,都屬于本發(fā)明保護的范圍�����。
實施例一
如圖1所示����,本發(fā)明實施例提供一種保證網(wǎng)絡設備通信安全的方法�����,包
括
步驟S102,利用至少兩個保護密鑰分別對安全對象進行加密��,得到相應 的至少兩個加密對象��;將所述至少兩個保護密鑰的信息分別存儲在至少兩個 保護密鑰存儲裝置中��;將所述至少兩個加密對象的信息存儲在網(wǎng)絡設備中��;
本步驟加密動作的執(zhí)行主體可以是網(wǎng)絡設備����,也可以是第三方的其他設備����。
可選地��,在S102之前還可以包括 步驟SIOO����,生成至少兩個不同的保護密鑰��;
本步驟的執(zhí)行主體可以是網(wǎng)絡設備����,也可以是第三方的其他設備��;可以 是利用設備上的隨機數(shù)發(fā)生器生成一組給定長度的密鑰��。當所述網(wǎng)絡設備進行通信時��,該方法包括
步驟S104�,網(wǎng)絡設備獲取來自所述至少兩個不同的保護密鑰存儲裝置中 的 一 個保護密鑰存儲裝置存儲的保護密鑰的信息;
步驟S106,根據(jù)所述保護密鑰的信息���,對該網(wǎng)絡設備本地存儲的所述至 少兩個加密對象中的一個加密對象進行解密����,得到所述安全對象�����;
步驟S108�,所述網(wǎng)絡設備利用所述安全對象進行通信。
安全對象可以是證書密鑰���、或預共享密鑰等����。加密對象可以是加密后的 證書密鑰、或加密后的預共享密鑰等��。保護密鑰存儲裝置可以是智能IC卡����、 或USBKEY、或射頻智能卡等���。河絡設備可以是安全網(wǎng)關��、或路由器等��。
具體地�����,以SSL ( Secure Socket Layer,安全套接字層)VPN網(wǎng)關設備 為例,在該網(wǎng)關提供正常的SSLVPN服務之前�����,該網(wǎng)關設備需要預置設備證 書以及其對應的證書密鑰,設備證書和證書密鑰是在SSL握手過程用于協(xié)商 會話密鑰的�。如果證書密鑰以明文的方式存儲于網(wǎng)關設備的存儲設備中,比 如Flash�����、 EEPROM或者硬盤等�,這種存儲方式不安全,容易被攻擊者采用 探測或者其他手段獲得�����。 一旦證書密鑰泄漏����,攻擊者通過偵聽SSL握手,很 容易獲得會話密鑰����,解密經(jīng)SSL加密的會話。這樣����,SSLVPN網(wǎng)關無法提供 安全的通信。
在本實施例中,SSL VPN網(wǎng)關設備的安全對象為證書密鑰K,可以由該 網(wǎng)關來生成保護密鑰 一 一 利用設備上的隨機數(shù)發(fā)生器生成多個(個數(shù)可以按 照需求智能卡個數(shù)設定)給定長度的密鑰�,比如A、 B�����、 C三個保護密鑰��,利 用這三個保護密鑰分別對證書密鑰K進行加密�����,生成三個加密后的證書密鑰 D����、 E、 F,將這三個加密后的證書密鑰D�����、 E�、 F存儲在本地,比如存儲在網(wǎng) 關設備的Flash上��,將A���、 B�、 C三個保護密鑰分別存儲在三個智能卡G����、 H、 I中��。當所述VPN網(wǎng)關進行通信時����,選取三個智能卡G、 H���、 I中的任一個���, 比如選擇智能卡G,插入智能卡G,輸入用戶名和口令���,驗證通過后�����,智能卡正常工作�����,VPN網(wǎng)關獲取來自智能卡G存儲的保護密鑰A的信息�����,根據(jù)保 護密鑰A的信息���,對本地存儲的與A對應的加密后的證書密鑰D進行解密����, 得到證書密鑰K;利用證書密鑰K進行通信����。
這樣,每個合法的智能卡都能夠恢復SSLVPN網(wǎng)關的證書密鑰���,使SSL VPN網(wǎng)關提供正常的服務��。只要有一個智能卡正常����,就能夠使設備正常使用�。 避免了用于存儲保護密鑰的智能卡丟失或者損壞���,導致證書密鑰無法恢復的 問題發(fā)生。
本發(fā)明實施例方法的各個步驟可以根據(jù)實際需要對順序進行調整�。 通過本發(fā)明實施例�,可以實現(xiàn)保護密鑰的冗余備份,降低保護密鑰丟失 或損壞帶來的風險�����。
實施例二
在實施例一的基礎上�����,本發(fā)明實施例提供一種保證網(wǎng)絡設備通信安全的 方法�,如圖2所示,在步驟S102之前可以進一步包括
步驟S202��,生成所述至少兩個保護密鑰對應的標識�����,保護密鑰與其對應 的加密對象具有相同的標識���;即通過標識建立保護密鑰與加密對象的對應關
系�����;
本步驟的執(zhí)行主體可以是網(wǎng)絡設備�����,也可以是第三方的其他設備����。 所述保護密鑰的信息可以包括保護密鑰及其標識; 所述加密對象的信息可以包括加密對象及其標識���; 步驟S104可以更具體地包括
步驟S204,網(wǎng)絡設備獲取所述至少兩個保護密鑰存儲裝置中的一個保護 密鑰存儲裝置存儲的保護密鑰及其標識����; 步驟S106可以更具體地包括
步驟S206,網(wǎng)絡設備根據(jù)所述標識在本地存儲的加密對象信息中查找與該標識對應的加密對象����,利用所述保護密鑰對查找到的加密對象進行解密, 得到所述安全對象���。
同樣基于實施例一中的具體例子進行說明����。
在本實施例中,可以在生成保護密鑰A����、 B、 C的同時生成其對應的標識��, 標識可以是隨機的�����,比如為1����、 2���、 3,于是保護密鑰A�����、 B�����、 C對應的三個加 密后的證書密鑰D�、 E、 F的標識也分別為1��、 2��、 3���。通過標識�����,加密后的證 書密鑰與其對應的保護密鑰之間建立了一種簡單的索引關系���。保護密鑰A與 其標識1所組成的保護密鑰的信息,存儲在智能卡G中�����,同樣地B和2, C 和3分別存儲在智能卡H��、 I中。加密后的證書密鑰D及其標識1所組成的加 密對象的信息、E及其標識2所組成的加密對象的信息��、F及其標識3所組成 的加密對象的信息, 一并存儲在網(wǎng)關設備中。插入智能卡G后����,輸入用戶名 和口令�,驗證通過后����,智能卡G正常工作。SSLVPN網(wǎng)關獲取智能卡的保護 密鑰A和標識1,根據(jù)標識1查找到網(wǎng)關Flash上存儲的標識為1對應的加密 后的證書密鑰D�,根據(jù)A對D進行解密得到證書密鑰K,利用證書密鑰K進 行通信。
本發(fā)明實施例方法的各個步驟可以根據(jù)實際需要對順序進行調整���。 通過本發(fā)明實施例,可以實現(xiàn)保護密鑰的冗余備份�,降低保護密鑰丟失 或損壞帶來的風險;通過標識���,使任一張合法的智能卡插入VPN網(wǎng)關后����,能 夠快速地查找到其對應的加密后的證書密鑰并解密�����,減少了解密的時延�����。
實施例三
如圖3所示,本發(fā)明實施例提供一種網(wǎng)絡設備�,可以包括 存儲單元302,用于存儲至少兩個加密對象的信息�����,所迷至少兩個加密對 象由對應的至少兩個保護密鑰對安全對象進行加密得到�����;
獲取單元304����,用于獲取來自保護密鑰存儲裝置的保護密鑰的信息;
ii解密單元306�,用于根據(jù)所述獲取單元獲取到的保護密鑰的信息,對所述 存儲單元存儲的所述至少兩個加密對象中的 一個加密對象進行解密�����,得到所 述安全對象���。
如圖4所示��,可選地��,本發(fā)明實施例的網(wǎng)絡設備還可以包括 保護密鑰生成單元308�����,用于生成所述至少兩個保護密鑰���。 如圖5所示�,可選地��,本發(fā)明實施例的網(wǎng)絡設備還可以包括 通信單元310����,用于利用所述解密單元得到的安全對象進行通信��。 本發(fā)明實施例的安全對象可以是證書密鑰�����、或預共享密鑰等��;加密對象 可以是加密后的證書密鑰、或加密后的預共享密鑰等���;保護密鑰存儲裝置可 以是智能IC卡�����、或USBKEY�����、或射頻智能卡等����;網(wǎng)絡設備可以是安全網(wǎng)關���、 或路由器等�。
本發(fā)明實施例設備的各個單元可以集成于一體����,也可以分離部署。上述 單元可以合并為一個單元����,也可以進一步拆分成多個子單元�����。
通過本發(fā)明實施例����,可以實現(xiàn)保護密鑰的冗余備份�����,降低保護密鑰丟失 或損壞帶來的風險����。
實施例四
實施例三中的獲取單元304獲取到的保護密鑰的信息包括保護密鑰及 其標識;存儲單元302中存儲的加密對象的信息包括加密對象及其標識����;
在實施例三的基礎上,如圖6所示�����,本發(fā)明實施例提供一種網(wǎng)絡設備����, 解密單元306可以包括
查找單元602,用于4艮據(jù)所述保護密鑰標識在本地存儲的加密對象信息中 查找與該標識對應的加密對象;
執(zhí)行單元604�,用于利用所述保護密鑰對所述查找單元查找到的加密對象
進行解密,得到所述安全對象���。本發(fā)明實施例的安全對象可以是證書密鑰��、或預共享密鑰等�;加密對象 可以是加密后的證書密鑰���、或加密后的預共享密鑰等��;保護密鑰存儲裝置可 以是智能IC卡����、或USBKEY����、或射頻智能卡等;網(wǎng)絡設備可以是安全網(wǎng)關���、 或路由器等�����。
本發(fā)明實施例設備的各個單元可以集成于一體�,也可以分離部署。上述 單元可以合并為一個單元��,也可以進一步拆分成多個子單元����。
通過本發(fā)明實施例,可以實現(xiàn)保護密鑰的冗余備份��,降低保護密鑰丟失 或損壞帶來的風險�����;通過標識���,使任一張合法的智能卡插入VPN網(wǎng)關后����,能 夠快速地查找到其對應的加密對象并解密����,減少了解密的時延。
實施例五
如圖7所示��,本發(fā)明實施例提供一種保護密鑰存儲裝置�����,可以包括
保護密鑰存儲單元702���,用于存儲保護密鑰的信息��,所述保護密鑰的信息 包括保護密鑰及其標識��;
發(fā)送單元704��,用于將保護密鑰存儲單元存儲的保護密鑰的信息向網(wǎng)絡設 備發(fā)送���,以供該網(wǎng)絡設備根據(jù)來自保護密鑰存儲裝置的保護密鑰標識,查找 到相應的加密對象�,利用來自保護密鑰存儲裝置的保護密鑰對加密對象進行 解密,得到安全對象��,利用安全對象進行通信���。本發(fā)明實施例裝置可以是智 能IC卡�����、或USBKEY���、或射頻智能卡等����。
本發(fā)明實施例裝置的各個單元可以集成于一體��,也可以分離部署����。上述 單元可以合并為一個單元,也可以進一步拆分成多個子單元�����。
通過本發(fā)明實施例�����,可以實現(xiàn)保護密鑰的冗余備份�,降低保護密鑰丟失 或損壞帶來的風險。
實施例六
本發(fā)明實施例提供一種通信系統(tǒng)�����,利用至少兩個保護密鑰分別對安全對象進行加密,得到相應的至少兩個加密對象����,所述系統(tǒng)可以包括網(wǎng)絡設備和
至少兩個保護密鑰存儲裝置���,如圖8所示����,比如包括n個保護密鑰存儲裝置 (n>2),其中
所述至少兩個保護密鑰存儲裝置1 n,用于分別存儲所述至少兩個保護密 鑰的信息��;所述至少兩個保護密鑰用于安全對象分別進行加密����,得到相應的 至少兩個加密對象;
所述網(wǎng)絡設備802�����,用于存儲所述至少兩個加密對象的信息�����;獲取來自所 述至少兩個保護密鑰存儲裝置中的 一個保護密鑰存儲裝置存儲的保護密鑰的 信息���,根據(jù)所述保護密鑰的信息��,對該網(wǎng)絡設備本地存儲的所述至少兩個加 密對象中的一個加密對象進行解密����,得到所述安全對象;利用所述安全對象 進行通信���。
本發(fā)明實施例的安全對象可以是證書密鑰�、或預共享密鑰等����;加密對象 可以是加密后的證書密鑰、或加密后的預共享密鑰等�;保護密鑰存儲裝置可 以是智能IC卡、或USBKEY��、或射頻智能卡等�����;網(wǎng)絡設備可以是安全網(wǎng)關���、 或路由器等����。
本發(fā)明實施例系統(tǒng)的各個單元可以集成于一個裝置,也可以分布于多個 裝置�。上述單元可以合并為一個單元,也可以進一步拆分成多個子單元�����。
通過本發(fā)明實施例���,可以實現(xiàn)保護密鑰的冗余備份,降低保護密鑰丟失 或損壞帶來的風險����。
上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣����。 通過本發(fā)明實施例,可以實現(xiàn)保護密鑰的冗余備份�,降低保護密鑰丟失 或損壞帶來的風險;通過設置標識���,使任一張合法的智能卡插入VPN網(wǎng)關后�����, 能夠快速地查找到其對應的加密對象并解密���,減少了解密的時延�����。
結合本文中所公開的實施例描述的各示例的單元及算法步驟���,能夠以電子硬件、計算機軟件或者二者的結合來實現(xiàn)����,為了清楚地說明硬件和軟件的 可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟�。 這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術方案的特定應用和設
描述的功能�����,但是這種實現(xiàn)不應認為超出本發(fā)明的范圍����。
結合本文中所公開的實施例描述的方法或算法的步驟可以用硬件��、處理 器執(zhí)行的軟件模塊�,或者二者的結合來實施�����。軟件模塊可以置于隨機存儲器
(RAM )���、內存�����、只讀存儲器(ROM )、電可編程ROM�、電可擦除可編程ROM、 寄存器����、硬盤、可移動,茲盤�、CD-ROM、或任意其它形式的存儲介質中���。
以上所述僅是本發(fā)明的具體實施方式
�,應當指出,對于本技術領域的普 通技術人員來說��,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進和潤 飾,這些改進和潤飾也應視為本發(fā)明的保護范圍����。
1權利要求
1、一種保證通信安全的方法��,其特征在于��,包括利用至少兩個保護密鑰分別對安全對象進行加密�,得到相應的至少兩個加密對象;將所述至少兩個保護密鑰的信息分別存儲在至少兩個保護密鑰存儲裝置中��;將所述至少兩個加密對象的信息存儲在網(wǎng)絡設備中�;當所述網(wǎng)絡設備進行通信時,所述網(wǎng)絡設備獲取來自所述至少兩個保護密鑰存儲裝置中的一個保護密鑰存儲裝置存儲的保護密鑰的信息���,根據(jù)所述保護密鑰的信息�����,對所述網(wǎng)絡設備存儲的所述至少兩個加密對象中的一個加密對象進行解密����,得到所述安全對象;所述網(wǎng)絡設備利用所述安全對象進行通信�����。
2��、 如權利要求1所述的保證通信安全的方法��,其特征在于��,在利用至少兩個保護密鑰分別對安全對象進行加密之前還包括生成所述至少兩個保護密鑰�����。
3�、 如權利要求1所述的保證通信安全的方法�����,其特征在于,進一步包括為所述至少兩個保護密鑰和加密對象分別設置標識�,加密對象與其對應的保護密鑰具有相同的標識;所述保護密鑰的信息包括保護密鑰及其標識�����;所述加密對象的信息包括加密對象及其標識�����;所述網(wǎng)絡設備獲取來自至少兩個保護密鑰存儲裝置中的 一個保護密鑰存儲裝置存儲的保護密鑰的信息�,根據(jù)所述保護密鑰的信息,對所述至少兩個加密對象中的 一個加密對象進行解密�����,得到所述安全對象包括網(wǎng)絡設備獲取所述至少兩個保護密鑰存儲裝置中的 一個保護密鑰存儲裝置存儲的保護密鑰及其標識�����,根據(jù)所述標識在本地存儲的加密對象信息中查找與該標識對應的加密對象�;利用所述保護密鑰對查找到的加密對象進行解密,得到所述安全對象�����。
4、 如權利要求1 3任一項所述的保證通信安全的方法����,其特征在于,所 述安全對象的類型包括證書密鑰�、或預共享密鑰。
5���、 如權利要求1 3任一項所述的保證通信安全的方法����,其特征在于���,所 述加密對象的類型包括加密后的證書密鑰�����、或加密后的預共享密鑰�。
6��、 一種網(wǎng)絡設備�����,其特征在于��,包括存儲單元�,用于存儲至少兩個加密對象的信息,所述至少兩個加密對象由對應的至少兩個保護密鑰對安全對象進行加密得到���;獲取單元���,用于獲取來自保護密鑰存儲裝置的保護密鑰的信息; 解密單元�,用于根據(jù)所述獲取單元獲取到的保護密鑰的信息,對所述存儲單元存儲的所述至少兩個加密對象中的一個加密對象進行解密��,得到所述安全對象���。
7��、 如權利要求6所述的網(wǎng)絡設備�����,其特征在于��,進一步包括 通信單元�����,用于利用所述解密單元得到的安全對象進行通信�。
8、 如權利要求6所述的網(wǎng)絡設備����,其特征在于,進一步包括 保護密鑰生成單元�,用于生成所述至少兩個保護密鑰。
9�、 如權利要求6所述的網(wǎng)絡設備,其特征在于�����,所述獲取單元獲取到的 保護密鑰的信息包括保護密鑰及其標識��;所述存儲單元存儲的加密對象的 信息包括加密對象及其標識�;所述解密單元包括查找單元,用于根據(jù)所述保護密鑰標識在本地存儲的加密對象信息中查 找與該標識對應的加密對象�����;執(zhí)行單元,用于利用所述保護密鑰對所述查找單元查找到的加密對象進 行解密���,得到所述安全對象。
10�����、 如權利要求6 9任一項所述網(wǎng)絡設備�����,其特征在于�,所述網(wǎng)絡設備 的類型包括安全網(wǎng)關、或路由器�����。
11�����、 一種保護密鑰存儲裝置���,其特征在于����,包括保護密鑰存儲單元,用于存儲保護密鑰的信息�,所述保護密鑰的信息包括保護密鑰及其標識;發(fā)送單元�,用于將保護密鑰存儲單元存儲的保護密鑰的信息向網(wǎng)絡設備 發(fā)送,以供所述網(wǎng)絡設備根據(jù)來自所述保護密鑰存儲裝置的保護密鑰標識���, 查找到相應的加密對象�,利用來自所述保護密鑰存儲裝置的保護密鑰對所述 加密對象進行解密�,得到安全對象,利用所述安全對象進行通信����。
12、 如權利要求11所述的保護密鑰存儲裝置�����,其特征在于��,該裝置的類 型包括智能IC卡����、或USBKEY����、或射頻智能卡��。
13�、 一種通信系統(tǒng),其特征在于���,包括網(wǎng)絡設備和至少兩個保護密鑰存 儲裝置,其中所述至少兩個保護密鑰存儲裝置��,用于分別存儲至少兩個保護密鑰的信 息����,所述至少兩個保護密鑰用于對安全對象分別進行加密,得到相應的至少 兩個加密對象�;所述網(wǎng)絡設備,用于存儲所述至少兩個加密對象的信息���;獲取來自所述 至少兩個保護密鑰存儲裝置中的 一個保護密鑰存儲裝置存儲的保護密鑰的信 息����,根據(jù)所述保護密鑰的信息�,對該網(wǎng)絡設備存儲的所述至少兩個加密對象 中的一個加密對象進行解密��,得到所述安全對象���;利用所述安全對象進行通 信。
14�、 如權利要求13所述的通信系統(tǒng),其特征在于����,所述網(wǎng)絡設備的類型 包括安全網(wǎng)關、或i 各由器����。
15、 如權利要求13或14所述的通信系統(tǒng)�,其特征在于,所述保護密鑰 存儲裝置的類型包括智能IC卡��、或USBKEY����、或射頻智能卡。
全文摘要
本發(fā)明實施例公開了一種保證通信安全的方法��、網(wǎng)絡設備��、裝置和通信系統(tǒng)。該網(wǎng)絡設備包括存儲單元����,用于存儲至少兩個加密對象的信息,所述至少兩個加密對象由對應的至少兩個保護密鑰對安全對象進行加密得到���;獲取單元��,用于獲取來自保護密鑰存儲裝置的保護密鑰的信息����;解密單元��,用于根據(jù)所述獲取單元獲取到的保護密鑰的信息���,對所述存儲單元存儲的所述至少兩個加密對象中的一個加密對象進行解密,得到所述安全對象���。通過本發(fā)明實施例��,可以實現(xiàn)保護密鑰的冗余備份�,降低保護密鑰丟失或損壞帶來的風險��。
文檔編號H04L9/08GK101465727SQ200810241630
公開日2009年6月24日 申請日期2008年12月17日 優(yōu)先權日2008年12月17日
發(fā)明者宏 孫, 張戰(zhàn)兵, 陳愛平 申請人:成都市華為賽門鐵克科技有限公司