可信授权方法、系统、可信安全管理中心和服务器

摘要

本发明公开了一种可信授权方法、系统、可信安全管理中心和服务器。该可信授权方法包括：接收服务器发送的平台可度量信息和用户可度量信息；判断所述平台可度量信息是否可信以及判断所述用户可度量信息是否可信；若判断出所述平台可度量信息可信以及判断出用户可度量信息可信时，生成授权成功信息；将所述授权成功信息发送给服务器。本发明中服务器在接收到授权成功信息后才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者不能直接访问存储设备，从而有效避免了存储设备的数据被入侵者非法访问。

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种可信授权方法、系统、 可信安全管理中心和服务器。

背景技术

存储区域网络（Storage Area Network，简称：SAN）存储系统具有 高速和高扩展性的特点。近些年来，越来越多的单位和机构选择SAN来构 建核心数据的信息存储中心，SAN存储系统安全的重要性日益凸显，因此， 有关SAN安全的研究也越来越受到人们的关注。首先，由于默认光纤通道 （Fibre Channel，简称：FC）协议的使用环境是安全的，因此该协议设 计之初在安全方面考虑的并不是很完善；其次，在SAN中也缺乏有效的访 问控制，一旦连接存储设备的服务器被攻破，没有任何安全认证机制的光 纤通道存储区域网络（Fibre Channel Storage Area Network，简称：FC  SAN）中的存储设备自然就完全暴露在入侵者面前。而且FC协议在发起端 和目标端通过唯一的全球唯一名字（World Wide Name，简称：WWN）来建 立对应关系，入侵者可以简单地采用欺骗的方式伪装成合法的发起端，取 得对未经授权的目标端存储空间的访问权限。SAN中最常见的安全威胁有 伪装接入、非法访问和存储数据丢失等。

现有技术中，针对SAN存储安全的解决办法主要有访问控制管理、 用户身份验证机制、加密磁盘数据和及时备份等。但简单部署在SAN上的 访问控制策略对于入侵者而言很容易通过欺骗跳过防护，而现有的客户端 的身份验证机制只是在服务器与客户端间保证安全可信，若服务器被入侵 者攻陷后，则SAN中存储设备的数据仍然能够被入侵者非法访问。

发明内容

本发明提供一种可信授权方法、系统、可信安全管理中心和服务器， 用于避免存储设备的数据被入侵者非法访问。

为实现上述目的，本发明提供了一种可信授权方法，包括：

接收服务器发送的平台可度量信息和用户可度量信息；

判断所述平台可度量信息是否可信以及判断所述用户可度量信息是 否可信；

若判断出所述平台可度量信息可信以及判断出用户可度量信息可信 时，生成授权成功信息；

将所述授权成功信息发送给服务器。

可选地，所述平台可度量信息包括散列信息和可度量日志，所述用 户可度量信息包括用户名和用口令；

所述判断所述平台可度量信息是否可信包括：对所述可度量日志进 行哈希运算生成哈希值；比较所述哈希值与所述散列信息是否一致；若比 较出所述哈希值与所述散列信息一致时，根据预先存储的安全规则判断所 述可度量日志是否可信；

所述判断所述用户可度量信息是否可信包括：比较所述用户名和用 户口令与预先存储的用户注册信息是否一致。

为实现上述目的，本发明提供了一种可信授权方法，包括：

向可信安全管理中心发送平台可度量信息和用户可度量信息，以供 所述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述 用户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出 用户可度量信息可信时生成并发送授权成功信息；

接收所述可信安全管理中心发送的所述授权成功信息。

可选地，还包括：

接收客户端发送的密文信息、会话标识和第二加密信息；

通过服务器私钥对第二加密信息进行解密处理得出第二会话密钥随 机数；

根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会 话密钥；

根据生成的会话密钥对密文信息进行解密处理得出用户名和用户口 令，所述用户可度量信息包括用户名和用户口令；

将所述用户可度量信息和预先存储的平台可度量信息发送给可信安 全管理中心，所述平台可度量信息包括散列信息和可度量日志。

可选地，还包括：

接收客户端发送的用户名和会话标识；

将服务器平台名和可信安全管理中心公钥发送给可信安全管理中 心；

接收可信安全管理中心发送的会话授权随机数和服务器公钥；

生成第一会话密钥随机数；

通过用户公钥对第一会话密钥随机数进行加密处理得出第一加密信 息；

将第一加密信息和会话标识发送给客户端，以供客户端通过用户私 钥对第一加密信息进行解密处理得出第一会话密钥随机数，生成第二会话 密钥随机数，根据第一会话密钥随机数、第二会话密钥随机数和会话标识 生成会话密钥，通过会话密钥对用户名和用户口令进行加密处理得出密文 信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出第二加密 信息，并发送密文信息、会话标识和第二加密信息。

为实现上述目的，本发明提供了一种可信安全管理中心，包括：

第一收发模块，用于接收服务器发送的平台可度量信息和用户可度 量信息并将授权成功信息发送给服务器；

判断模块，用于判断所述平台可度量信息是否可信以及判断所述用 户可度量信息是否可信；

第一生成模块，用于若所述判断模块判断出所述平台可度量信息可 信以及判断出用户可度量信息可信时，生成所述授权成功信息。

可选地，所述平台可度量信息包括散列信息和可度量日志，所述用 户可度量信息包括用户名和用口令；

所述判断模块包括：

哈希运算子模块，用于对所述可度量日志进行哈希运算生成哈希值；

第一比较子模块，用于比较所述哈希值与所述散列信息是否一致；

判断子模块，用于若所述第一比较子模块比较出所述哈希值与所述 散列信息一致时，根据预先存储的安全规则判断所述可度量日志是否可 信；

第二比较子模块，用于比较所述用户名和用户口令与预先存储的用 户注册信息是否一致。

为实现上述目的，本发明提供了一种服务器，包括：

第二收发模块，用于向可信安全管理中心发送平台可度量信息和用 户可度量信息并接收所述可信安全管理中心发送的授权成功信息，以供所 述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述用 户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出用 户可度量信息可信时生成并发送授权成功信息。

可选地，所述第二收发模块还用于接收客户端发送的密文信息、会 话标识和第二加密信息，并将用户可度量信息和预先存储的平台可度量信 息发送给可信安全管理中心，所述平台可度量信息包括散列信息和可度量 日志；

所述服务器还包括：

第一解密模块，用于通过服务器私钥对第二加密信息进行解密处理 得出第二会话密钥随机数；

第二生成模块，用于根据第一会话密钥随机数、第二会话密钥随机 数和会话标识生成会话密钥；

第二解密模块，用于根据生成的会话密钥对密文信息进行解密处理 得出用户名和用户口令，所述用户可度量信息包括用户名和用户口令。

可选地，所述第二收发模块还用于接收客户端发送的用户名和会话 标识，将服务器平台名和可信安全管理中心公钥发送给可信安全管理中 心，接收可信安全管理中心发送的会话授权随机数和服务器公钥，将第一 加密信息和会话标识发送给客户端，以供客户端通过用户私钥对第一加密 信息进行解密处理得出第一会话密钥随机数，生成第二会话密钥随机数， 根据第一会话密钥随机数、第二会话密钥随机数和会话标识生成会话密 钥，通过会话密钥对用户名和用户口令进行加密处理得出密文信息，通过 服务器公钥对第二会话密钥随机数进行加密处理得出第二加密信息，并发 送密文信息、会话标识和第二加密信息；

所述服务器还包括：

第三生成模块，用于生成第一会话密钥随机数；

加密模块，用于通过用户公钥对第一会话密钥随机数进行加密处理 得出第一加密信息。

为实现上述目的，本发明提供了一种可信授权系统，包括：上述可 信安全管理中心、上述服务器和客户端。

本发明具有以下有益效果：

本发明提供的可信授权方法、系统、可信安全管理中心和服务器的 技术方案中，判断服务器发送的平台可度量信息是否可信以及判断服务器 发送的用户可度量信息是否可信，若判断出平台可度量信息可信以及判断 出用户可度量信息可信时，生成并向服务器发送授权成功信息，本发明中 服务器在接收到授权成功信息后才能够访问存储设备，使得若服务器被入 侵者攻陷后入侵者不能直接访问存储设备，从而有效避免了存储设备的数 据被入侵者非法访问。

附图说明

图1为本发明实施例一提供的可信授权方法的流程图；

图2为本发明实施例二提供的一种可信授权方法的流程图；

图3为本发明实施例三提供的一种可信授权方法的流程图；

图4为本发明实施例四提供的一种可信安全管理中心的结构示意图；

图5为本发明实施例五提供的一种可信安全管理中心的结构示意图；

图6为本发明实施例六提供的一种可信授权系统的结构示意图；

图7为本发明中SAN的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附 图对本发明提供的可信授权方法、系统、可信安全管理中心和服务器进行 详细描述。

图1为本发明实施例一提供的可信授权方法的流程图，如图1所示， 该方法包括：

步骤101、接收服务器发送的平台可度量信息和用户可度量信息。

本实施例中的各步骤可以由可信安全管理中心执行。本步骤中，具 体地，平台可度量信息包括散列信息和可度量日志，用户可度量信息包括 用户名和用口令。

步骤102、判断平台可度量信息是否可信以及判断用户可度量信息是 否可信，若判断出平台可度量信息可信以及判断出用户可度量信息可信 时，执行步骤103；若判断出平台可度量信息不可信和/或判断出用户可度 量信息不可信时，执行步骤105。

本步骤中，优选地，判断平台可度量信息是否可信包括：对可度量 日志进行哈希运算生成哈希值；比较哈希值与散列信息是否一致；若比较 出哈希值与散列信息一致时，根据预先存储的安全规则判断可度量日志是 否可信。若根据预先存储的安全规则判断可度量日志是否可信则表明平台 可度量信息可信。

本步骤中，优选地，判断用户可度量信息是否可信包括：比较用户 名和用户口令与预先存储的用户注册信息是否一致。若比较出用户名和用 户口令与预先存储的用户注册信息一致则表明用户可度量信息可信。

步骤103、生成授权成功信息，并将授权成功信息发送给服务器，流 程结束。

可信安全管理中心生成授权成功信息表明允许服务器访问存储设 备。

步骤104、生成授权失败信息，并将授权失败信息发送给服务器，流 程结束。

可信安全管理中心生成授权失败信息表明拒绝服务器访问存储设 备。

本实施例提供的可信授权方法的技术方案中，判断服务器发送的平 台可度量信息是否可信以及判断服务器发送的用户可度量信息是否可信， 若判断出平台可度量信息可信以及判断出用户可度量信息可信时，生成并 向服务器发送授权成功信息，本实施例中服务器在接收到授权成功信息后 才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者不能直接访问 存储设备，从而有效避免了存储设备的数据被入侵者非法访问。

图2为本发明实施例二提供的一种可信授权方法的流程图，如图2 所示，该方法包括：

步骤201、向可信安全管理中心发送平台可度量信息和用户可度量信 息，以供可信安全管理中心判断平台可度量信息是否可信以及判断用户可 度量信息是否可信，若判断出平台可度量信息可信以及判断出用户可度量 信息可信时生成并发送授权成功信息。

本实施例中的各步骤可以由服务器执行。

步骤202、接收可信安全管理中心发送的授权成功信息。

服务器接收到授权成功信息后，可访问存储设备。

本实施例提供的可信授权方法的技术方案中，判断服务器发送的平 台可度量信息是否可信以及判断服务器发送的用户可度量信息是否可信， 若判断出平台可度量信息可信以及判断出用户可度量信息可信时，生成并 向服务器发送授权成功信息，本实施例中服务器在接收到授权成功信息后 才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者不能直接访问 存储设备，从而有效避免了存储设备的数据被入侵者非法访问。

图3为本发明实施例三提供的一种可信授权方法的流程图，如图3 所示，该方法包括：

步骤301、客户端通过用户私钥对用户名和会话标识进行签名处理。

其中，用户名为用户ID。

步骤302、客户端将用户名和会话标识发送给服务器。

具体地，客户端向服务器发送的信息可表示为 “{{User_ID||SID}u_key^-1”，其中，“User_ID”为用户名，“SID”为 会话标识，“u_key^-1”为用户私钥。由上述信息可知，通过用户私钥对用 户名和会话标识进行签名处理。

客户端若想通过服务器访问SAN中的存储设备，需要首先将经过签 名处理的用户名和会话标识发送给服务器。

步骤303、服务器通过用户公钥对用户标识和会话标识进行解密处 理，并根据用户名查询用户是否注册，若查询出用户已注册则通过服务器 私钥对服务器平台名和可信安全管理中心公钥进行签名处理。

步骤304、服务器将服务器平台名和可信安全管理中心公钥发送给可 信安全管理中心。

其中，服务器平台名为服务器平台ID。

具体地，服务器向可信安全管理中心发送的信息可表示为 “{Plat_ID||ca_key}s_key^-1”，其中，“Plat_ID”为服务器平台名， “ca_key”为可信安全管理中心公钥，s_key^-1为服务器私钥。由上述信息 可知，用户名和会话标识是通过用户私钥签名处理。由上述信息可知，通 过服务器私钥对服务器平台名和可信安全管理中心公钥进行签名处理。

服务器向可信安全管理中心发送服务器平台名和可信安全管理中心 公钥，以实现向可信安全管理中心申请可信授权。

步骤305、可信安全管理中心通过服务器公钥对服务器平台名和可信 安全管理中心公钥进行解密处理，并根据服务器平台名查询服务器是否在 可信安全管理中心注册，若查询出服务器已注册则生成会话授权随机数， 并通过可信安全管理中心私钥对会话授权随机数和服务器公钥进行签名 处理。

步骤306、可信安全管理中心将会话授权随机数和服务器公钥发送给 服务器。

具体地，可信安全管理中心向服务器发送的信息可表示为 “{nonce_CA||s_key}ca_key^-1”，其中，“nonce_CA”为会话授权随机数, “s_key”为服务器公钥，“ca_key^-1”为可信安全管理中心私钥。由上述 信息可知，通过可信安全管理中心私钥对会话授权随机数和服务器公钥进 行签名处理。

步骤307、服务器通过可信安全管理中心公钥对会话授权随机数和服 务器公钥进行解密处理，生成第一会话密钥随机数，并通过用户公钥对第 一会话密钥随机数进行加密处理得出第一加密信息，通过服务器私钥对第 一加密信息和会话标识进行签名处理。

步骤308、服务器将第一加密信息和会话标识发送给客户端。

具体地，服务器向客户端发送的信息可表示为 “{{nonce_SK}u_key||SID}s_key^-1”，其中，{nonce_SK}u_key为第一加 密信息，SID为会话标识，s_key^-1为服务器私钥。由上述信息可知，通过 服务器私钥对第一加密信息和会话标识进行签名处理。

步骤309、客户端通过服务器公钥对第一加密信息和会话标识进行解 密处理，通过用户私钥对第一加密信息进行解密处理得出第一会话密钥随 机数，生成第二会话密钥随机数，根据第一会话密钥随机数、第二会话密 钥随机数和会话标识生成会话密钥，对第二会话密钥随机数和会话标识进 行哈希运算生成散列值，通过会话密钥对用户名和用户口令进行加密处理 得出密文信息，通过服务器公钥对第二会话密钥随机数进行加密处理得出 第二加密信息，通过用户私钥对密文信息、散列值、会话标识和第二加密 信息进行签名处理。

具体地，客户端可通过伪随机数生成函数PRGF对第一会话密钥随机 数、第二会话密钥随机数和会话标识进行计算处理，生成会话密钥。具体 地可通过下述公式计算：SK=PRGF(nonce_SK,nonce_SK_U,SID)，其中， nonce_SK为第一会话密钥随机数，nonce_SK_U为第二会话密钥随机数，SID 为会话标识，“SK”为会话密钥。

具体地，客户端可对第二会话密钥随机数和会话标识进行哈希运算 生成散列值。具体可通过如下公式计算： C_MAC=HMAC_SHA1_SK(nonce_SK_U,SID)。其中，HMAC_SHA1_SK为哈希函数，C_MAC为散列值。

步骤310、客户端将密文信息、散列值、会话标识和第二加密信息发 送给服务器。

具体地，客户端向服务器发送的信息可表示为 “{{nonce_SK_U}s_key||SID||C_MAC||{User_ID||User_PWD}SK}u_ke_y^-1”， 其中，“{nonce_SK_U}s_key”为第二加密信息，“SID”为会话标识，“C_MAC” 为散列值，“{User_ID||User_PWD}SK”为密文信息。

步骤311、服务器通过用户公钥对密文信息、散列值、会话标识和第 二加密信息进行解密处理，通过服务器私钥对第二加密信息进行解密处理 得出第二会话密钥随机数，对第二会话密钥随机数和会话标识进行哈希运 算生成散列值，并将生成的散列值与客户端发送的散列值进行比较，若生 成的散列值与客户端发送的散列值一致，则根据第一会话密钥随机数、第 二会话密钥随机数和会话标识生成会话密钥，根据生成的会话密钥对密文 信息进行解密处理得出用户名和用户口令，通过服务器私钥对会话授权随 机数和散列信息进行加密处理，通过可信安全管理中心公钥对预先存储的 可度量日志、用户可度量信息和加密处理的会话授权随机数和散列信息进 行加密处理，通过服务器私钥对预先存储的可度量日志、用户可度量信息 和加密处理的会话授权随机数和散列信息进行签名处理，用户可度量信息 包括用户名和用户口令，平台可度量信息包括散列信息和可度量日志。

具体地，服务器可对第二会话密钥随机数和会话标识进行哈希运算 生成散列值。具体可通过如下公式计算： C_MAC=HMAC_SHA1_SK(nonce_SK_U,SID)。其中，HMAC_SHA1_SK为哈希函数，C_MAC为散列值。若生成的散列值与客户端发送的散列值一致时可表明服务器接 收到的第二会话密钥随机数是完整的且合法的。

具体地，服务器可通过伪随机数生成函数PRGF对第一会话密钥随机 数、第二会话密钥随机数和会话标识进行计算处理，生成会话密钥。具体 地可通过下述公式计算：SK=PRGF(nonce_SK,nonce_SK_U,SID)，其中， nonce_SK为第一会话密钥随机数，nonceSKU为第二会话密钥随机数，_SID

为会话标识，“_SK”为会话密钥。

步骤312、服务器将用户可度量信息、平台可度量信息和会话授权随 机数发送给可信安全管理中心。

具体地，服务器向可信安全管理中心发送的信息可表示为 “{{{PCR||nonce_CA}s_ke_y^-1||SML||User_ID||User_PWD}ca_ke_y}s_ke_y^-1”。其中，“{PCR||nonce_CA}s_ke_y^-1”为加密处理的会话授权随机数和 散列信息，“PCR”为散列信息，“SML”为可度量日志，“User_ID”为 用户名，“User_PWD”为用户口令。

步骤313、可信安全管理中心通过服务器公钥对用户可度量信息、平 台可度量信息和会话授权随机数进行解密处理，通过可信安全管理中心私 钥对解密处理后的用户可度量信息、平台可度量信息和会话授权随机数进 行解密处理得出可度量日志、用户可度量信息和加密处理的会话授权随机 数和散列信息，通过服务器公钥对加密处理的会话授权随机数和散列信息 进行解密处理得出会话授权随机数和散列信息，比较自身生成的会话授权 随机数和服务器发送的会话授权随机数，若比较出自身生成的会话授权随 机数和服务器发送的会话授权随机数一致，则对平台可度量信息中的可度 量日志进行哈希运算生成哈希值，比较哈希值与用户可度量信息中的散列 信息是否一致，若比较出哈希值与散列信息一致则根据预先存储的安全规 则判断可度量日志是否可信，比较用户名和用户口令与预先存储的用户注 册信息是否一致，若判断出可度量日志可信以及比较出用户名和用户口令 与预先存储的用户注册信息一致时生成授权成功信息，通过服务器公钥对 授权成功信息进行加密处理得出第三加密信息，并通过可信安全管理中心 私钥对第三加密信息进行签名处理。

若自身生成的会话授权随机数和服务器发送的会话授权随机数一致 时，表明发送信息的服务器是合法的，从而有效防止了信息重放攻击。

安全规则可存储于预先设置的安全规则库中，当可信安全管理中心 需要根据安全规则判断可度量日志是否可信时，可调用安全规则库中相应 的安全规则。根据预先存储的安全规则判断可度量日志是否可信具体可以 为：比较可度量日志与安全规则是否一致，其中，比较可度量日志与安全 规则是否一致即为根据安全规则对判断可度量日志进行安全评估。若比较 出可度量日志与安全规则一致则表明可度量日志可信。

本步骤中，若哈希值与用户可度量信息中的散列信息一致，则表明 可度量信息中的可度量日志未被篡改，进而可执行后续的根据预先存储的 安全规则判断可度量日志是否可信的步骤。

步骤314、可信安全管理中心将第三加密信息发送给服务器。

具体地，可信安全管理中心向服务器发送的信息可表示为 “{{succ}s_key}ca_key^-1”，其中，“{succ}s_key”为第三加密信息， “ca_key^-1”为可信安全管理中心私钥，“succ”为授权成功信息。

步骤315、服务器通过可信安全管理中心公钥对第三加密信息进行解 密处理，通过服务器私钥对第三加密信息进行解密处理得出授权成功信 息，通过用户公钥对授权成功信息进行加密处理得出第四加密信息，并通 过服务器私钥对第四加密信息进行签名处理。

当服务器得到授权成功信息时表明该服务器可访问存储设备。

步骤316、服务器将第四加密信息发送给客户端。

具体地，服务器向客户端发送的信息可表示为 “{{succ}u_key}s_key^-1”，其中，“{succ}u_key”为第四加密信息， “s_key^-1”为服务器私钥。

步骤317、客户端通过服务器公钥对第四加密信息进行解密处理，并 通过用户私钥对第四加密信息进行解密处理得出授权成功信息。

服务器将授权成功信息发送给服务器，表明服务器可向客户端提供 正常服务。

本实施例提供的可信授权方法的技术方案中，判断服务器发送的平 台可度量信息是否可信以及判断服务器发送的用户可度量信息是否可信， 若判断出平台可度量信息可信以及判断出用户可度量信息可信时，生成并 向服务器发送授权成功信息，本实施例中服务器在接收到授权成功信息后 才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者不能直接访问 存储设备，从而有效避免了存储设备的数据被入侵者非法访问。本实施例 中，可信安全管理中心、服务器和客户端三者之间传输的各种信息均是经 过加密的，使得传输的信息对于入侵者不可见，从而进一步避免了存储设 备的数据被入侵者非法访问，提高了SAN的安全性。本实施例在服务器与 存储设备之间构筑了有效的安全防范屏障，从而有效避免了存储设备的数 据被入侵者非法访问。

图4为本发明实施例四提供的一种可信安全管理中心的结构示意图， 如图4所示，该可信安全管理中心包括：第一收发模块11、判断模块12 和第一生成模块13。

第一收发模块11用于接收服务器发送的平台可度量信息和用户可度 量信息并将授权成功信息发送给服务器；判断模块12用于判断所述平台 可度量信息是否可信以及判断所述用户可度量信息是否可信；第一生成模 块13用于若所述判断模块12判断出所述平台可度量信息可信以及判断出 用户可度量信息可信时，生成所述授权成功信息。

可选地，平台可度量信息包括散列信息和可度量日志，所述用户可 度量信息包括用户名和用口令。则判断模块12具体可包括：哈希运算子 模块121、第一比较子模块122、判断子模块123和第二比较子模块124。

哈希运算子模块121用于对所述可度量日志进行哈希运算生成哈希 值；第一比较子模块122用于比较所述哈希值与所述散列信息是否一致； 判断子模块123用于若所述第一比较子模块122比较出所述哈希值与所述 散列信息一致时，根据预先存储的安全规则判断所述可度量日志是否可 信；第二比较子模块124用于比较所述用户名和用户口令与预先存储的用 户注册信息是否一致。

本实施例提供的可信安全管理中心可用于实现上述实施例一或者实 施例三提供的可信授权方法，具体描述可参见上述实施例一或者实施例 三。

本实施例提供的可信安全管理中心的技术方案中，可信安全管理中 心判断服务器发送的平台可度量信息是否可信以及判断服务器发送的用 户可度量信息是否可信，若判断出平台可度量信息可信以及判断出用户可 度量信息可信时，生成并向服务器发送授权成功信息，本实施例中服务器 在接收到授权成功信息后才能够访问存储设备，使得若服务器被入侵者攻 陷后入侵者不能直接访问存储设备，从而有效避免了存储设备的数据被入 侵者非法访问。

图5为本发明实施例五提供的一种可信安全管理中心的结构示意图， 如图5所示，该服务器包括：第二收发模块21。

第二收发模块21用于向可信安全管理中心发送平台可度量信息和用 户可度量信息并接收所述可信安全管理中心发送的授权成功信息，以供所 述可信安全管理中心判断所述平台可度量信息是否可信以及判断所述用 户可度量信息是否可信，若判断出所述平台可度量信息可信以及判断出用 户可度量信息可信时生成并发送授权成功信息。

进一步地，服务器还包括：第一解密模块22、第二生成模块23和第 二解密模块24。

第二收发模块21用于接收客户端发送的密文信息、会话标识和第二 加密信息；第一解密模块22用于通过服务器私钥对第二加密信息进行解 密处理得出第二会话密钥随机数；第二生成模块23用于根据第一会话密 钥随机数、第二会话密钥随机数和会话标识生成会话密钥；第二解密模块 24用于根据生成的会话密钥对密文信息进行解密处理得出用户名和用户 口令，所述用户可度量信息包括用户名和用户口令；第二收发模块21将 用户可度量信息和预先存储的平台可度量信息发送给可信安全管理中心， 所述平台可度量信息包括散列信息和可度量日志。

进一步地，服务器还包括：第三生成模块25和加密模块26。第二收 发模块21用于接收客户端发送的用户名和会话标识，将服务器平台名和 可信安全管理中心公钥发送给可信安全管理中心，接收可信安全管理中心 发送的会话授权随机数和服务器公钥；第三生成模块25用于生成第一会 话密钥随机数；加密模块26用于通过用户公钥对第一会话密钥随机数进 行加密处理得出第一加密信息；第二收发模块21用于将第一加密信息和 会话标识发送给客户端，以供客户端通过用户私钥对第一加密信息进行解 密处理得出第一会话密钥随机数，生成第二会话密钥随机数，根据第一会 话密钥随机数、第二会话密钥随机数和会话标识生成会话密钥，通过会话 密钥对用户名和用户口令进行加密处理得出密文信息，通过服务器公钥对 第二会话密钥随机数进行加密处理得出第二加密信息，并发送密文信息、 会话标识和第二加密信息。

本实施例提供的可信安全管理中心可用于实现上述实施例二或者实 施例三提供的可信授权方法，具体描述可参见上述实施例二或者实施例 三。

本实施例提供的服务器的技术方案中，可信安全管理中心判断服务 器发送的平台可度量信息是否可信以及判断服务器发送的用户可度量信 息是否可信，若判断出平台可度量信息可信以及判断出用户可度量信息可 信时，生成并向服务器发送授权成功信息，本实施例中服务器在接收到授 权成功信息后才能够访问存储设备，使得若服务器被入侵者攻陷后入侵者 不能直接访问存储设备，从而有效避免了存储设备的数据被入侵者非法访 问。

图6为本发明实施例六提供的一种可信授权系统的结构示意图，如 图6所示，该包括：可信安全管理中心1、服务器2和客户端3。

本实施例中，可信安全管理中心1可采用上述实施例四提供的可信 安全管理中心，服务器2可采用上述实施例五提供的服务器，具体描述可 参见上述实施例四和实施例五，此处不再具体描述。

本实施例提供的可信授权系统可应用于SAN中。图7为本发明中SAN 的结构示意图，如图7所示，该SAN包括：可信授权系统、可信交换机和 存储设置，可信授权系统可包括：客户端、服务器和可信安全管理中心。 其中，客户端通过以太网与服务器连接，服务器还分别与可信安全管理中 心和可信交换机连接，可信交换机分别与可信安全管理中心和存储设备连 接。其中，可信交换机为光纤通道可信交换机。

以太网为外部网络，客户端可通过外部的以太网访问服务器从而获 得相对应的服务，例如：客户端可通过以太网向服务器申请访问存储设备 中的数据。

可信安全管理中心为本发明的技术方案中增设的网络结构，该可信 安全管理中心是整个SAN的策略决策者以及可信授权的核心，可对申请访 问的服务器进行可信授权。并且该可信安全管理中心可调用安全策略库生 成安全规则，并通过该安全规则和服务器提交的信息评估申请可信授权的 服务器的安全性，以判断出该服务器能否访问存储设备。

可信交换机为整个SAN的策略执行者。服务器申请可信授权时，可 信交换机可用于传输可信安全管理中心与服务器之间的各种可信授权信 息。可信交换机作为策略执行者，当服务器未被允许访问存储设备时，可 信交换机可拒绝服务器访问存储设备；当可信安全管理中心对服务器授权 成功后，可信交换机允许服务器访问存储设备。需要说明的是：在本发明 各实施例中，服务器与可信安全管理中心之间的信息交互均需要通过可信 交换机进行，服务器与存储设备的信息交互均需要通过可信交换机进行， 在各实施例中不再具体描述。具体地，服务器向可信交换机提交申请授权 信息，可信交换机把信息传递给可信安全管理中心，可信安全管理中心开 始对服务器进行可信授权过程，而可信交换机在整个可信授权过程中充当 载体作用，当可信授权结束后，可信安全管理中心下达授权成功信息或下 达授权失败信息给可信交换机，可信交换机根据授权成功信息允许服务器 访问存储设备或者根据授权失败信息拒绝服务器访问存储设备。此时若服 务器被入侵者攻陷后，可信交换机作为最后一道安全防线，可保护存储设 备不被入侵者非法访问。可信交换机中具有访问控制机制，可信交换机在 接收到授权成功信息或者授权失败信息后，可通过访问控制机制允许或者 拒绝服务器访问存储设备。

服务器用于向外部的客户端提供服务，外部的客户端通过服务器访 问存储设备中的数据。服务器在SAN中作为访问申请者，只有当得到可信 安全管理中心授权后才可以访问存储设备中的数据，防止服务器被攻陷后 存储设备中的数据被入侵者掌握。

存储设备用于承载数据，该存储设备时SAN中最终受保护目标。

图7中关于可信授权系统及其可信授权方法的具体描述可参见本发 明中的各实施例，此处不再具体描述。

本实施例提供的可信授权系统的技术方案中，可信安全管理中心判 断服务器发送的平台可度量信息是否可信以及判断服务器发送的用户可 度量信息是否可信，若判断出平台可度量信息可信以及判断出用户可度量 信息可信时，生成并向服务器发送授权成功信息，本实施例中服务器在接 收到授权成功信息后才能够访问存储设备，使得若服务器被入侵者攻陷后 入侵者不能直接访问存储设备，从而有效避免了存储设备的数据被入侵者 非法访问。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用 的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术 人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和 改进，这些变型和改进也视为本发明的保护范围。