[发明专利]用于加密机的认证方法以及加密机

说明书

本发明涉及用于加密机的认证方法以及加密机。该认证方法包括：收集所述加密机的多个硬件的硬件设备信息；基于所述硬件设备信息生成待认证设备指纹；将所述待认证设备指纹发送至所述设备识别模块；接收所述设备识别模块将所述待认证设备指纹与所述硬件设备指纹进行比较的第一认证结果；如果所述第一认证结果指示待认证设备指纹与所述硬件设备指纹不相同，则使得所述加密机处于不能正常工作的状态。本发明可用于检测加密机的硬件器件是否被恶意替换。

技术领域

本发明涉及信息安全技术领域，具体涉及一种用于加密机的认证方法以及加密机。

背景技术

在加密机中，如果构成其的硬件器件(例如CPU、主板、硬盘等)被恶意替换，则可能造成加密机业务功能异常，尤其是当承担了主要的业务密码学运算任务的加密模块被恶意替换时，甚至可能造成重要数据泄露的不利后果。

现有技术中还没有针对加密机的硬件器件被恶意替换时的应对方案。

发明内容

针对现有技术的上述缺陷，本发明的一个目的在于检测加密机的硬件器件是否被恶意替换，并且在检测到此种恶意替换的情况下使加密机不能正常工作，以提示相关技术人员并进一步避免造成数据泄露后果。

根据本发明的一个方案，提供一种用于加密机的认证方法，其中所述加密机包括：用于实现加密算法和安全保存密钥的加密模块；以及设备识别模块，其预埋有所述加密机的硬件设备指纹，所述方法包括：收集所述加密机的多个硬件的硬件设备信息；基于所述硬件设备信息生成待认证设备指纹；将所述待认证设备指纹发送至所述设备识别模块；接收来自所述设备识别模块的将所述待认证设备指纹与所述硬件设备指纹进行比较的第一认证结果；如果所述第一认证结果指示待认证设备指纹与所述硬件设备指纹不相同，则使得所述加密机处于不能正常工作的状态。

在根据本发明方案的认证方法中，如果所述第一认证结果指示待认证设备指纹与所述硬件设备指纹相同，则所述方法可以进一步包括：对所述加密模块进行认证。

在根据本发明方案的认证方法中，所述对所述加密模块进行认证，可以包括：获取由所述加密模块生成的随机数的原文或密文；基于所述随机数的原文或密文，利用所述设备识别模块，对所述加密模块进行认证。

根据本发明的方案，可以获取由所述加密模块生成的随机数原文；并且基于所述随机数原文，利用所述设备识别模块，对所述加密模块进行认证，包括：将所述随机数原文发送给所述设备识别模块，以获取所述设备识别模块利用其预埋的设备识别模块私钥对所述随机数原文进行签名得到的签名值；将所述签名值发送给所述加密模块，以获取所述加密模块利用其预埋的设备识别模块公钥对所述签名值进行验签所得到的第二认证结果；如果所述第二认证结果指示验签成功，则使得所述加密机处于能够正常工作的状态；否则，使得所述加密机处于不能正常工作的状态。

作为替代，根据本发明的方案，可以获取由所述加密模块对其生成的随机数利用其预埋的加密模块私钥签名得到的第一随机数密文；并且基于所述第一随机数密文，利用所述设备识别模块，对所述加密模块进行认证，包括：将所述第一随机数密文发送给所述设备识别模块，以获取所述设备识别模块利用其预埋的加密模块公钥对所述第一随机数密文进行验签所得到的第三认证结果；如果所述第三认证结果指示验签成功，则使得所述加密机处于能够正常工作的状态；否则，使得所述加密机处于不能正常工作的状态。