[发明专利]一种支持设备吊销操作的数据加密解密系统及实现方法

说明书

技术领域

本发明涉及邮件安全领域，尤其是一种支持设备吊销操作的数据加密解密系统及实现方法。

背景技术

目前，全面推行移动办公，在政府、企业和银行等均在全面推行移动办公，所有经理层以上人员的Android手机上都安装了邮件系统，但是邮件系统仅仅对邮件进行了简单的加密码，并没有在根本上杜绝邮件的安全问题，拾到遗失移动设备的人如果知道访问密码，就能解密移动设备中的加密数据。

发明内容

本发明要解决上述现有技术的缺点，提供一种支持设备吊销操作的数据加密解密系统及实现方法，只有移动设备中插入了云盾TF卡，并输入密码后，才能够访问邮件内容。

本发明解决其技术问题采用的技术方案：这种支持设备吊销操作的数据加密解密系统，其特征在于：该系统包括移动设备、加密控制子网和企业网，企业网内部安装两道防火墙，和互联网隔离的第一道防火墙的DMZ区内放置企业的邮件服务器和证书控制服务器，第二道防火墙后有加密控制子网，该加密控制子网和企业网隔离，加密控制子网内只连接加密机和管理员工作机；移动设备在加密和解密邮件时，通过互联网向证书控制服务器发出服务请求，进行数据加密或解密；每台移动设备的TF卡内有一个能够被读出的全球唯一ID号和一对唯一的RSA密钥对，其中的私钥无法被导出；在移动设备上，对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和移动设备上的RSA密钥的双重加密；每台加密机是运行定制过的嵌入式LINUX操作系统的专用服务器，内部包含硬件加密解密卡，能完成高速RSA加密和解密每台加密机被注入相同的RSA密钥对通过TCP/IP协议与管理员工作机和证书控制服务器通讯；所有的加密机共享一个黑名单信息库，在黑名单中的移动设备发来的服务请求会被拒绝服务。

所述的加密控制子网内的加密机的数量是一台或多台，根据访问量的增加，动态添加加密机。

本发明所述的这种支持设备吊销操作的数据加密解密实现方法，具体步骤如下：

（1）、各台加密机初始化结束后，和证书控制服务器建立连接，证书控制服务器将RSA加密和解密请求平均分派给每台可用的加密机；

（2）、在移动设备上，对数据进行加密和解密的对称密钥需要经过加密机的RSA密钥和手机上的RSA密钥的双重加密；

（3）、当用户的移动设备遗失时，通知管理员，将遗失移动设备内的TF卡增加到黑名单，黑名单上的移动设备发来解密请求时，被拒绝服务，并返回特殊代码给移动客户端软件，移动客户端收到该特殊代码后，将本地cache文件全部删除，并锁定程序；

（4）、通过管理员工作机维护TF卡和员工的对应关系表备份，恢复和更新移动设备黑名单，为加密机注入主控RSA密钥备份主控RSA密钥对加密机进行参数设置。

在移动设备上，对数据加密过程：

（1）移动设备调用TF卡接口，生成一个随机数，保留在TF卡内部，作为非对称密钥A；

（2）移动设备调用TF卡接口，用A对数据，即邮件内容，加密得到密文K；

（3）移动设备调用TF卡接口，用收件人的RSA公钥，对A进行加密，得到B；

（4）移动设备将TF卡的唯一标识号和B发送给证书控制服务器，请求证书控制服务器对对称密钥进行双重加密；

（5）证书控制服务器将加密请求转发给一台加密机，加密机用企业主控RSA公钥对B进行加密，得到C，通过证书控制服务器返回给移动设备；

（6）移动设备将K作为邮件内容，C作为邮件的附加信息，添加在邮件中发出邮件。

在移动设备上，对数据解密过程：

（1）移动设备读取邮件的附加信息C，和密文K；

（2）移动设备将TF卡的唯一标识号和C一起发送给企业的证书控制服务器，发出解码请求；

（3）证书控制服务器将请求派发给一台加密机；

（4）加密机查看黑名单，如果TF卡的标识号卡不在黑名单内，则使用主控RSA私钥对C解码，得到B，并将B通过证书控制服务器返回给移动设备；

（5）移动设备调用TF卡接口，使用RSA私钥对B解码，在TF卡内部得到非对称密钥A；

（6）移动设备调用TF卡接口，使用A对密文K进行解密，得到明文，显示给用户。

本发明有益的效果是：能够在移动设备（和云盾TF卡）遗失后，通过简单的操作快速将其中的云盾TF卡吊销。TF卡被吊销后，拾到遗失移动设备的人即使知道访问密码，也无法解密移动设备中的加密数据。

附图说明

图1是本发明的结构示意图；