基于B/S模式下的应用密码类型检测方法及平台与流程

基于b/s模式下的应用密码类型检测方法及平台
技术领域
1.本发明涉及信息安全领域，具体涉及一种基于b/s模式下的应用密码类型检测方法及平台。


背景技术：

2.伴随信息技术的发展，网络信息安全问题在全球范围内爆发，网络空间安全风险持续增加，威胁挑战日益严峻。而密码安全是信息安全的重要基础，随着《gbt 22239-2019信息安全技术网络安全等级保护基本要求》正式实施，将有更多的地方应用密码技术，国产密码算法有了更大的应用空间。同时，随着密码标准要求的实施，对于密码算法提出了应用的标准化和规范化，这也就需要我们有相应的检测方法来判定密码算法的合规性、正确性和完整性。
3.而现有的密码数据检测过程中只是当用户需要进行检测的时候才会进行检测，同时，并不能针对不同用户的需求进行有针对性的密码检测。


技术实现要素：

4.本发明的目的在于针对现有技术的不足之处，提供了一种基于b/s模式下的应用密码类型检测方法及平台，用于解决密评检测过程中密评人员缺少、工作复杂、无程序化检测工具等问题。所述平台由服务器端系统和客户端系统组成，适用于对待测系统或密码模块进行密码算法、随机数、数字证书、数字信封、密码协议等多方面合规性、正确性测试。
5.根据本发明的目的，本发明提出了一种基于b/s模式下的应用密码类型检测方法，应用于客户端和服务端，该方法包括：
6.s1.服务端实时接收至少一个客户端发送的基于应用密码类型的待检测数据的检测请求；
7.s2.所述服务端解析并提取出所述检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测；
8.s3.所述服务端基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端。
9.其中，所述请求类型包括综合检测类型和单项检测类型。
10.作为本发明的优选方案，所述服务端实时接收至少一个客户端发送的应用密码类型检测请求的步骤之前，还包括数据准备的步骤：
11.s101.从待测系统或待测密码模块中，提取期望检测的待测数据；
12.s102.通过输入用户名和密码登录并访问客户端；
13.s103.在所述客户端的菜单栏中选中选择工具下载，并安装数据准备工具；
14.s104.点击浏览路径，选择本地目标文件夹，确定最终数据的生成路径；
15.s105.点击创建路径，选择要生成的具体检测项待测数据，生成对应文件夹；
16.s106.添加数据区域，选择检测类别及对应的具体检测项，点击数据添加，在弹出
的新界面，依次填入待测数据中的各个参数数据，并进行保存；
17.s107.全部数据添加完成后，对所有添加数据进行压缩包生成操作，生成压缩包即为基于应用密码类型的数据检测请求的待测数据格式。
18.作为本发明的优选方案，所述服务端解析并提取出所述数据检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测的步骤之前包括：所述服务端通过离线方式或者在线方式接收至少一个客户端发送的基于应用密码类型的待检测数据的检测请求。
19.作为本发明的优选方案，所述服务端解析并提取出所述数据检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测的步骤还包括：基于提取出的所述请求类型，分别形成基于时间戳的综合检测类型的第一待检测队列和单项检测类型的第二检测队列，并分别将所述第一待检测队列和第二检测队列调度至与请求类型对应的检测通道进行密码检测；实时监听是否存在来自客户端的优先检测请求，若存在，则根据客户端标识，调取与之对应的未检测的待检测数据进行检测。
20.作为本发明的优选方案，所述将所述第一待检测队列和调度至综合检测类型检测通道进行密码检测的步骤包括：
21.调出第一待检测对列中的当前待检测数据请求，提取出当前待检测数据请求中携带的检测的任务号、送检厂家信息，以及本次期望检测的检测项；
22.对选中的每项检测项，分别进行参数配置，并进行检测，检测完成后，将检测后的数据调度至缓存中，并形成第一检测结果。
23.作为本发明的优选方案，所述将所述第二待检测队列和调度至单项检测类型检测通道进行密码检测的步骤包括：
24.调出第二待检测对列中的当前待检测数据请求，提取出当前待检测数据请求中携带的单项检测类型，在密码算法检测、随机数检测、数字证书检测、不可抵赖检测、完整性检测、数字信封检测、ssl协议检测、ipsec协议检测、https协议检测中选择其中一项，进行单项检测，将检测后的数据调度至缓存中，并形成第二检测结果。
25.作为本发明的优选方案，其特征在于，所述服务端基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端的步骤，包括：所述服务端实时获取第一检测结果和第二检测结果，并形成基于不同客户端数据请求的检测报告，将所述检测报告发送至相应的客户端。
26.作为本发明的优选方案，定期对缓存中的数据进行清理，或者向客户端发送是否清理已经检测过的待检测数据请求，并进行相应处理。
27.根据本发明的实施例，本发明还提出了一种基于b/s模式下的应用密码类型检测方法的平台，所述平台包括客户端和服务端，其中，所述客户端用于对待检测数据进行准备，并生成基于应用密码类型的待检测数据的检测请求，并将所述检测请求发送至服务端，所述服务端接收到检测请求后，解析并提取出所述检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测，并基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端。
28.其中，所述请求类型包括综合检测类型和单项检测类型。
29.作为本发明的优选方案，
30.所述客户端采用web界面设计，通过ukey智能密码钥匙和用户口令的方式登录后执行检测；
31.所述服务端包括web服务、数据库服务以及应用服务，应用服务连接服务器密码机，通过服务器密码机实现与密码算法相关的正确性验证，包括密码算法检测、随机性检测、流程不可抵赖性检测、完整性保护检测、数字证书格式合规性检测、ssl vpn协议检测、ipsec vpn协议检测、数字信封协议检测8类核心类型检测；
32.所述服务端还包括一安全传输协议国密检测模块，该检测模块设置成数据采集、检测接口及检测核心三个子功能模块，其中，所述数据采集模块通过离线/在线方式进行数据获取，由检测接口模块中的数据提取分析、检测信息获得和检测报告生成模块依次完成接收分析、检测结果的显示和检测报告生成展示；所述核心检测模块对于检测接口模块的提取数据进行单项检测和综合检测；
33.所述单项检测拥有密码算法检测、随机性检测、流程不可抵赖性检测、完整性保护检测、数字证书格式合规性检测、ssl vpn协议检测、ipsec vpn协议检测、数字信封协议检测8类核心类型检测模式，所述综合检测用于对8类核心类型同时进行检测。
附图说明
34.图1为本发明提出的一种基于b/s模式下的应用密码类型检测方法流程图；
35.图2为本发明提出的一种基于b/s模式下的应用密码类型检测平台框架图。
具体实施方式
36.为便于理解，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.根据本发明的实施例，本发明首先提出了一种基于b/s模式下的应用密码类型检测方法，应用于客户端和服务端。在本发明中，客户端与服务端的交互模式采用了b/s模式。客户端采用web界面设计，通过ukey智能密码钥匙和用户口令的方式登录后执行检测；服务端设计包括web服务、数据库服务、应用服务等部分组成，应用服务连接服务器密码机，通过服务器密码机实现与密码算法相关的正确性验证；功能涵盖密码算法检测、随机性检测、流程不可抵赖性检测、完整性保护检测、数字证书格式合规性检测、ssl vpn协议检测、ipsec vpn协议检测、数字信封协议检测等8类核心类型检测。
38.具体到本实施例中，通过客户端向服务端发送数据检测请求，服务端解析请求的类型并进行有针对性的检测后输出检测报告，在这个过程中，需要预先对数据进行准备的工作。具体为：
39.s101.从待测系统或待测密码模块中，提取期望检测的待测数据；
40.s102.通过输入用户名和密码登录并访问客户端；
41.s103.在所述客户端的菜单栏中选中选择工具下载，并安装数据准备工具；
42.s104.点击浏览路径，选择本地目标文件夹，确定最终数据的生成路径；
43.s105.点击创建路径，选择要生成的具体检测项待测数据，生成对应文件夹；
44.s106.添加数据区域，选择检测类别及对应的具体检测项，点击数据添加，在弹出的新界面，依次填入待测数据中的各个参数数据，并进行保存；
45.s107.全部数据添加完成后，对所有添加数据进行压缩包生成操作，生成压缩包即为基于应用密码类型的数据检测请求的待测数据格式。
46.通过上述过程，客户端完成了待检测数据的准备工作，实际上，服务端接收到的来自客户端的检测请求中，客户端可以为一个或者多个，不同的客户端的不同数据请求可以在请求中携带具有客户端标识的报文，从而使得服务端能够及时、准确的将检测结果返回至对应的客户端，同时，为了更加注重传输效率，本发明中设置了基于不同客户端的数据请求优先级，可以预先根据时间或者待检测数据设置的检测级别进行优先选择。
47.如图1所示，给出了本发明的基于b/s模式下应用密码类型检测方法的流程图，包括：
48.步骤s1.服务端实时接收至少一个客户端发送的基于应用密码类型的待检测数据的检测请求。
49.s2.所述服务端解析并提取出所述检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测。
50.所述服务端解析并提取出所述数据检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测的步骤之前包括：所述服务端通过离线方式或者在线方式接收至少一个客户端发送的基于应用密码类型的待检测数据的检测请求。
51.所述服务端解析并提取出所述数据检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测的步骤还包括：
52.基于提取出的所述请求类型，分别形成基于时间戳的综合检测类型的第一待检测队列和单项检测类型的第二检测队列，并分别将所述第一待检测队列和第二检测队列调度至与请求类型对应的检测通道进行密码检测；实时监听是否存在来自客户端的优先检测请求，若存在，则根据客户端标识，调取与之对应的未检测的待检测数据进行检测。
53.所述将所述第一待检测队列和调度至综合检测类型检测通道进行密码检测的步骤包括：
54.调出第一待检测对列中的当前待检测数据请求，提取出当前待检测数据请求中携带的检测的任务号、送检厂家信息，以及本次期望检测的检测项；
55.对选中的每项检测项，分别进行参数配置，并进行检测，检测完成后，将检测后的数据调度至缓存中，并形成第一检测结果。
56.所述将所述第二待检测队列和调度至单项检测类型检测通道进行密码检测的步骤包括：
57.调出第二待检测对列中的当前待检测数据请求，提取出当前待检测数据请求中携带的单项检测类型，在密码算法检测、随机数检测、数字证书检测、不可抵赖检测、完整性检测、数字信封检测、ssl协议检测、ipsec协议检测、https协议检测中选择其中一项，进行单项检测，将检测后的数据调度至缓存中，并形成第二检测结果。
58.本发明中，实现了对于密码算法的完整检测：
59.依据《gm/t 0003-2012sm2椭圆曲线公钥密码算法》、《gm/t 0004-2012sm3密码杂凑算法》、《gm/t 0002-2012sm4分组密码算法》、《gm/t 0001-2012祖冲之序列密码算法》等
标准规范，对密码应用、密码模块中产生的标准数据进行密码算法的正确性检测，验证sm1、sm2、sm3、sm4、zuc等密码算法数据签名、数据加密结果的正确性。
60.实现了对于随机性的完整检测：
61.依据《gm/t 0005随机性检测规范》标准规范，对密码应用中产生的随机数进行随机性检测，包括单比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大“1”游程检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似熵检测、线性复杂度检测、maurer通用统计检测、离散傅里叶检测等15项检测。
62.实现了对于数字证书的完整检测：
63.依据《gm/t 0015基于sm2密码算法的数字证书格式规范》、《gm/t 0034基于sm2密码算法的证书认证系统密码及其相关安全技术规范》和《gm/t 0043数字证书互操作检测规范》等标准规范，对x.509数字证书格式、数字证书签名值验证等方面进行合规性检测，分析证书使用是否合适，密码功能是否正确，证书链是否正确，证书是否撤销等。
64.实现了对于不可否认的完整检测：
65.依照《gb/t 39786-2021信息安全技术信息系统密码应用基本要求》标准规范，对业务流程、重要操作、电子文件等数字签名的合规性和正确性检测，支持sm2、rsa等算法的签名结果进行密码算法合规性和签名结果正确性验证。
66.实现了对于完整性的完整检测：
67.依照《gb/t 39786-2021信息安全技术信息系统密码应用基本要求》标准规范，对门禁系统访问记录、视频监控系统视频数据、日志系统重要日志记录中使用的消息鉴别码(mac)或数字签名，验证消息鉴别码(mac)或数字签名的完整性。
68.实现了对于密码协议的完整检测：
69.依照《gmt 0022-2014 ipsec vpn技术规范》、《gmt 0024-2014 ssl vpn技术规范》等标准规范，对ipsec和ssl安全传输协议数据信息的结构合规性、密码算法使用合规性、所使用证书签名算法的正确性、摘要算法的正确性、所使用加密算法的正确性、以及所获数据的完整性进行验证。
70.实现了对于数字信封的完整检测：
71.依照《pkcs#7:加密消息语法标准》等标准规范，对对数字信封协议的通信报文，自动检测数字信封的密码算法(验证签名)，并对密码运算结果进行检测，验证使用数字信封的应用系统通信环节密码应用的合规性、正确性和有效性。
72.实现了对于测评工具的管理功能：
73.对本发明所述的国产密码应用测评和管理平台进行测评管理，测评管理又分为业务管理和任务管理。其中业务管理可对平台中的角色进行分工，分为主任和检测员两种角色，主任负责监管检测员，检测员负责执行检测；任务管理可对任务进行任务新增、任务编辑、启动检测、任务归档、任务删除、任务查询、历史结果查看等操作，实现对任务的管理。
74.实现了对测评结果的报告生成功能：
75.s3.所述服务端基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端。
76.所述服务端基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端的步骤，包括：所述服务端实时获取第一检测结果和第
二检测结果，并形成基于不同客户端数据请求的检测报告，将所述检测报告发送至相应的客户端。
77.定期对缓存中的数据进行清理，或者向客户端发送是否清理已经检测过的待检测数据请求，并进行相应处理。
78.本发明在启动并执行检测后，会生成相应的检测报告，该报告具有txt、pdf、word三种格式，存放在压缩包中供用户一同下载。
79.根据本发明的实施例，本发明还提出了一种基于b/s模式下的应用密码类型检测方法的平台，所述平台包括客户端和服务端，其中，所述客户端用于对待检测数据进行准备，并生成基于应用密码类型的待检测数据的检测请求，并将所述检测请求发送至服务端，所述服务端接收到检测请求后，解析并提取出所述检测请求的请求类型，将所述检测请求调度至与所述请求类型对应的检测通道进行密码检测，并基于不同检测通道产生的检测结果生成检测报告，并基于所述检测请求返回至其对应的至少一个客户端。
80.在本发明中，所述客户端采用web界面设计，通过ukey智能密码钥匙和用户口令的方式登录后执行检测；
81.所述服务端包括web服务、数据库服务以及应用服务，应用服务连接服务器密码机，通过服务器密码机实现与密码算法相关的正确性验证，包括密码算法检测、随机性检测、流程不可抵赖性检测、完整性保护检测、数字证书格式合规性检测、ssl vpn协议检测、ipsec vpn协议检测、数字信封协议检测8类核心类型检测；
82.所述服务端还包括一安全传输协议国密检测模块，该检测模块设置成数据采集、检测接口及检测核心三个子功能模块，其中，所述数据采集模块通过离线/在线方式进行数据获取，由检测接口模块中的数据提取分析、检测信息获得和检测报告生成模块依次完成接收分析、检测结果的显示和检测报告生成展示；所述核心检测模块对于检测接口模块的提取数据进行单项检测和综合检测；
83.所述单项检测拥有密码算法检测、随机性检测、流程不可抵赖性检测、完整性保护检测、数字证书格式合规性检测、ssl vpn协议检测、ipsec vpn协议检测、数字信封协议检测8类核心类型检测模式，所述综合检测用于对8类核心类型同时进行检测。本发明的平台设置的操作系统需要适配检测工具，此检测工具适配于linux和windows的操作系统；平台中还包括了硬件设备，其用来对整体检测系统的硬件支持。
84.对于本领域技术人员而言，显然本发明实施例不限于上述示范性实施例的细节，而且在不背离本发明实施例的精神或基本特征的情况下，能够以其他的具体形式实现本发明实施例。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明实施例的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。
85.最后应说明的是，以上实施方式仅用以说明本发明实施例的技术方案而非限制，尽管参照以上较佳实施方式对本发明实施例进行了详细说明，本领域的普通技术人员应当理解，可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。