[发明专利]一种公钥基础设施设备及其使用方法

说明书

技术领域

本发明涉及通信领域，尤其涉及网络安全领域的一种公钥基础设施PKI(Public Key Infrastructure)设备及其使用方法。

背景技术

PKI是一种遵循既定标准的密钥管理平台，它能够为所有网络通信应用提供安全通信服务，例如，提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI技术被广泛的应用于电子商务和接入认证领域，但是其安全性经常受到挑战。目前广泛使用的一种PKI技术俗称为USBkey，是一种USB设备，其中存放了认证所需要的一些信息，例如私钥等。在需要认证的时候将USBkey插入信息终端，例如PC，使用其中存储的信息，通过与网络侧交互，进行数字签名或其他方式的认证。但是这种方法属于网络应用层上的安全机制，当攻击者采用重放攻击或通过盗取密码的木马病毒监听通信时，安全性较差。

发明内容

本发明实施例提供一种公钥基础设施PKI设备及其使用方法，在进行安全通信处理时，能够有效抵抗攻击者的攻击，提高系统的安全性。

本发明实施例提供一种PKI设备，包括：终端交互模块、网络交互模块、处理模块和存储模块；

所述终端交互模块分别连接信息终端和所述处理模块，用于接收所述信息终端发送的消息，并转发给所述处理模块；以及接收所述处理模块发送的消息，并转发给所述信息终端；

所述网络交互模块分别连接所述处理模块和网络，用于接收所述处理模块发送的消息，并转发给网络侧；以及接收网络侧发送的消息，并转发给所述处理模块；

所述处理模块，用于根据所述终端交互模块和所述网络交互模块接收的消息中携带的网络侧通信地址，丢弃不满足预设地址条件的消息；以及根据未丢弃的消息，采用预设算法进行安全通信处理；

所述存储模块连接所述处理模块，用于存储所述预设地址条件和所述预设算法。

本发明实施例还提供一种所述PKI设备的使用方法，包括：

所述PKI设备接收所述信息终端向网络侧发送的业务请求消息；

确定所述业务请求消息中携带的网络侧通信地址满足预设地址条件时，根据与网络侧交互消息中未丢弃的消息，采用预设算法对所述信息终端进行身份验证；其中，所述未丢弃的消息中携带的所述业务服务器的地址满足预设地址条件；

将网络侧发送的业务请求结果，发送给所述信息终端。

本发明实施例还提供一种所述PKI设备的使用方法，包括：

所述PKI设备接收所述信息终端向网络侧发送的业务数据；

确定所述业务数据中携带的网络侧通信地址满足预设地址条件时，采用预设算法对所述业务数据进行密文处理；

并将处理后的业务数据发送给网络侧。

本发明实施例还提供一种所述PKI设备的使用方法，包括：

所述PKI设备接收网络侧向所述信息终端发送的业务数据；

确定所述业务数据中携带的网络侧地址满足预设地址条件时，采用预设算法对所述业务数据进行密文处理；

并将处理后的业务数据发送给所述信息终端。

本发明实施例提供的PKI设备，包括：终端交互模块、网络交互模块、处理模块和存储模块；终端交互模块分别连接信息终端和所述处理模块，用于接收信息终端发送的消息，并转发给处理模块；以及接收处理模块发送的消息，并转发给信息终端；网络交互模块分别连接处理模块和网络，用于接收处理模块发送的消息，并转发给网络侧；以及接收网络侧发送的消息，并转发给处理模块；处理模块，用于根据终端交互模块和网络交互模块接收的消息中携带的网络侧通信地址，丢弃不满足预设地址条件的消息；以及根据未丢弃的消息，采用预设算法进行安全通信处理；存储模块连接处理模块，用于存储预设地址条件和预设算法。由于本发明实施例提供的PKI设备对于其接收到的消息，均根据消息中携带的网络侧通信地址和预设地址条件判断是否合法，如不满足预设地址条件，则丢弃，即不对该消息进行处理，所以，实现了消息通道的安全，避免攻击者进行重放攻击；且本PKI设备与信息终端是相互独立的，在采用预设算法进行安全通信处理时，是由本PKI设备自身的存储模块和处理模块完成算法的计算进安全通信处理，与信息终端内部的处理和存储模块不直接相关，所以，可以避免攻击者通过在信息终端内部安装木马病毒，通过监听通信达到攻击目的；进而可以有效抵抗攻击者的攻击，提高系统的安全性。

附图说明