CN100346249C - 生成数字证书及应用该所生成的数字证书的方法 - Google Patents
生成数字证书及应用该所生成的数字证书的方法 Download PDFInfo
- Publication number
- CN100346249C CN100346249C CNB2004100823965A CN200410082396A CN100346249C CN 100346249 C CN100346249 C CN 100346249C CN B2004100823965 A CNB2004100823965 A CN B2004100823965A CN 200410082396 A CN200410082396 A CN 200410082396A CN 100346249 C CN100346249 C CN 100346249C
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- key
- chip
- information
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种生成数字证书的方法,应用该方法使生成的数字证书中包含有主机内的具有存储及加解密功能的芯片的信息,且必须在该主机的该芯片内才能获取数字证书的私钥,确保了该所生成的数字证书的安全。本发明还公开了两种应用所生成的数字证书的方法时,使接收方能够根据数字证书确认信息发送方持有私钥,同时可以确任该信息来自于可信主机,从而有效地避免了私钥被滥用所引起的身份误认。再有,在应用数字证书的私钥进行加解密操作时,全部在具有存储及加解密功能的芯片内完成,这样避免了私钥在使用的过程中被攻击者窃听的可能。由此可见,应用本发明所述的方法,避免了生成数字证书和应用数字证书过程中存在的安全隐患。
Description
技术领域
本发明涉及数字证书技术领域,特别是指生成数字证书及应用该所生成的数字证书的方法。
背景技术
数字证书是由证书授权认证中心(CA,Certificate Authority)发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件。数字证书与公钥密码体制紧密相关。在公钥密码体制中,每个实体都有一对互相匹配的密钥:公开密钥(Pubic Key公钥)和私有密钥(Private Key私钥)。公开密钥为一组用户所共享,用于加密或验证签名,私有密钥仅为证书拥有者本人所知,用于解密或签名。
现有的数字证书的生成过程如下:
用户向CA发出申请数字证书的请求,该请求中包括表明用户身份的数据和对该数据的签名信息;CA检查用户的签名通过后,为用户签发一个数字证书,将生成的数字证书明文返回给用户,并且,要求用户使用口令保护该数字证书的私钥。
为达到切实的保护效果,口令应具有足够的长度且没有规律,并且要很好地记住和经常修改,这对用户来说并非易事,而实际情况是相当多的用户为方便起见完全没有采用私钥的口令保护机制,或者,所采用的口令很容易被破译。因而在实际应用中,私钥并没有得到很好的保护。
数字证书可以有以下的应用方式:
一种应用方式是:用户应用已申请的数字证书的私钥对信息进行签名,由于私钥仅为本人所有,所以能生成别人无法仿造的文件,也就形成了数字签名。接收方则使用该用户的数字证书中的公钥对该数字签名进行验证,由于数字签名与信息的内容相关,因此,一份经过签名的文件如有改动,会导致数字签名的验证过程失败,这样就保证了数据来源的可靠性。
在上述应用过程中,虽然能够保证数据在传输过程的安全,但不一定能保证数据的可靠,因为接收方并不知道发送方的私钥的保护状态,如果发送方的私钥已被攻击者窃取,而攻击者应用该私钥发送数据,则该数据的来源并不可靠,这样,很容易产生因身份误认而引起的责任纠纷。
另一种应用方式是:当发送一份秘密文件时,发送方使用接收方的公钥对该文件加密,而接收方则使用自己的私钥解密。因为接收方的私钥仅为本人所有,其他人无法解密该文件,所以能保证文件安全到达目的地。
在上述应用过程中,接收方是将私钥调入内存中完成解密操作的,因而该私钥存在被攻击窃听的隐患。
从上述可以看出,在现有的生成数字证书及应用数字证书的过程中,均存在安全隐患。
发明内容
有鉴于此,本发明的一个目的是提供一种生成数字证书的方法,以保证数字证书的安全。本发明的另一目的是提供一种应用所生成的数字证书的方法,能够有效避免因私钥滥用而引起的身份误认。本发明的再一目的是提供一种应用所生成的数字证书的方法,避免私钥在使用的过程中被攻击者窃听。
为达到上述目的,本发明的技术方案如下:
一种生成数字证书的方法,在主机中包含具有存储及加解密功能的芯片,预先在具有存储及加解密功能的芯片中存储用于标识主机的主机密钥及由制造商签发的主机证书,并为即将生成的数字证书设置证书标识,该方法还包括以下步骤:
a、待申请数字证书的主机对表明主机身份的身份数据进行签名,生成身份密钥签名,然后应用证书授权认证中心CA的公钥对至少包含证书标识、签名所用密钥的公钥、身份密钥签名以及主机证书的数字证书请求信息通过数字信封技术加密后发送给CA;
b、CA接收到步骤a所述信息后,利用自身的私钥进行解密,获取数字证书请求信息,对该消息中的身份密钥签名以及主机证书分别进行验证,验证通过后生成主机所需的数字证书,并应用主机密钥的公钥对该生成的数字证书通过数字信封技术加密后发送给主机;
c、主机接收到步骤b所述信息后,将接收到的信息传入具有存储及加解密功能的芯片中,由主机密钥的私钥对接收到的信息进行解密,获取CA颁发的数字证书。
较佳地,步骤a所述对表明主机身份的身份数据进行签名的方法为:预先在具有存储及加解密功能的芯片内设置存储密钥,在所述芯片内,利用该存储密钥的私钥对表明主机身份的身份数据进行签名,生成身份密钥签名,然后将身份密钥签名导出所述芯片;所述签名所用密钥的公钥为所述存储密钥的公钥。
较佳地,步骤a所述对表明主机身份的身份数据进行签名的方法为:预先在具有存储及加解密功能的芯片内设置存储密钥,并由该存储密钥衍生出用于加密主机身份数据的身份密钥,在所述芯片内,利用该身份密钥的私钥对表明主机身份的身份数据进行签名,然后由存储密钥的公钥对身份密钥私钥加密,将加密后的身份密钥、身份密钥签名一起传出芯片;所述签名所用密钥的公钥为所述身份密钥的公钥。
较佳地,步骤a所述应用证书授权认证中心CA的公钥对数字证书请求消息进行加密后发送给CA的过程包括以下步骤:
生成第一随机数,并应用该第一随机数对至少证书标识、签名所用密钥的公钥、身份密钥签名以及主机证书进行加密,并将加密后的信息作为数字证书请求消息中的对称部分;应用CA的公钥对所生成的第一随机数进行加密,并将加密后的信息作为数字证书请求消息中的非对称部分;将包含对称部分和非对称部分的数字证书请求消息发送给CA。
较佳地,步骤b所述CA接收到步骤a所述信息,利用自身的私钥进行解密,获取数字证书请求信息的过程为:
CA利用自身的私钥对数字证书请求消息中的非对称部分进行解密,获取第一随机数,然后应用第一随机数对数字证书请求消息中的对称部分进行解密,获取数字证书请求信息。
较佳地,步骤b所述对签名后的身份数据进行验证的方法为:从数字证书请求信息中提取签名所用的公钥,应用该公钥验证身份密钥签名是否合法;所述对主机证书进行验证的方法为:CA获取签发主机证书的机构的证书,通过验证该颁发机构具有合法资质,且主机证书中的签名来自该颁发机构来对主机证书进行验证。
较佳地,所述主机证书中至少包括主机密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、具有存储及加解密功能的芯片的制造商的信息及制造商的签名信息;所述身份数据中至少包括对身份数据进行签名时所用密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、已设置的证书标记与CA的公钥的哈希值。
较佳地,步骤b所述CA生成主机所需的数字证书,应用主机密钥的公钥对该生成的数字证书加密后发送给主机的过程为:
CA从主机证书和身份数据中提取对身份数据进行签名时所用密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、具有存储及加解密功能的芯片的制造商的信息,并应用自身的私钥对该提取出的数据进行签名,生成主机所需的数字证书;之后,CA生成第二随机数,并应用该第二随机数对生成的数字证书进行加密,并将加密后的信息作为数字证书返回消息中的对称部分,应用主机密钥的公钥对所生成的第二随机数进行加密,并将加密后的信息作为数字证书返回消息中的非对称部分;将包含对称部分和非对称部分的数字证书返回消息发送给主机。
较佳地,步骤c所述由主机密钥的私钥对接收到的信息进行解密,获取CA颁发的数字证书的过程为:主机密钥的私钥对数字证书返回信息中的非对称部分进行解密,获取第二随机数,然后应用第二随机数对数字证书返回信息中的对称部分进行解密,获取数字证书。
较佳地,其特征在于,所述具有存储及加解密功能的芯片为安全芯片。
一种应用数字证书的方法,该方法包括以下步骤:
发送方应用如权利要求1所述的方法获取数字证书,并利用该数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方;
接收方获取上述签名后的数据及发送方的数字证书后,应用该发送方的数字证书中提取的的公钥对数字签名进行验证,如果通过验证,则接收到的信息来源于可信主机,否则接收到的信息并非来源于可信主机。
较佳地,如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥对数据进行签名,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后,利用存储密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
较佳地,如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥衍生出的身份密钥对身份数据进行签名,且该身份密钥的私钥已由存储密钥的公钥加密后导出了所述芯片,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将已被存储密钥公钥加密后的身份密钥私钥传入芯片,由存储密钥私钥解密获得身份密钥私钥明文,同时将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后利用身份密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
较佳地,所述接收方通过CA获取发送方的数字证书,或者,接收方从发送方处直接获取该发送方的数字证书。
较佳地,所述根据数字证书中的信息确认该数字证书是否来源于可信的主机的方法为:检查该发送方的数字证书中是否有能够标识主机身份的芯片的信息,且对数字签名进行验证,如果数字证书中含有有能够标识主机身份的芯片的信息且数字签名验证通过,则确认该数字证书来源于可信的主机,否则该数字证书并非来源于可信的主机。
较佳地,所述能够标识主机身份的芯片的信息为具有存储及加解密功能的芯片的版本信息,及该芯片的制造商的信息。
较佳地,该方法进一步包括:
接收方应用如权利要求1所述的方法获取数字证书;
当接收方接收到发送方利用本接收方的公钥加密后的信息后,将接收到的信息导入本地的具有存储及加解密功能的芯片中,在该芯片内由接收方应用已获取的数字证书的私钥对接收到的信息进行解密。
一种应用数字证书的方法,该方法包括以下步骤:
接收方应用如权利要求1所述的方法获取数字证书;
当接收方接收到发送方利用本接收方的公钥加密后的信息后,将接收到的信息导入本地的具有存储及加解密功能的芯片中,在该芯片内由接收方应用已获取的数字证书的私钥对接收到的信息进行解密。
由上述方案可见,应用本发明的方法生成的数字证书中包含有主机内的具有存储及加解密功能的芯片的信息,且必须在该主机的该芯片内才能获取数字证书的私钥,因而该数字证书是和该主机关联的,或是说该数字证书是和该主机绑定的。这样也就确保了该所生成的数字证书的安全,在应用数字证书时,接收方能够根据数字证书确认信息发送方持有私钥,同时可以确定该信息来自于可信主机,从而有效地避免了私钥被滥用所引起的身份误认。再有,在应用数字证书的私钥进行加解密操作时,全部在具有存储及加解密功能的芯片内完成,这样避免了私钥在使用的过程中被攻击者窃听的可能。由此可见,应用本发明所述的方法,避免了生成数字证书和应用数字证书过程中存在的安全隐患。
附图说明
图1所示为应用本发明的生成数字证书的一实施例的流程示意图。
具体实施方式
下面结合附图对本发明的技术方案再做进一步地说明。
本发明的思路是:在具有存储及加解密功能的芯片内获得的与申请数字证书的主机相关联的数字证书,确保了数字证书的安全,同时使生成的数字证书与申请的主机绑定,这样,在应用该数字证书时,通过数字证书内的信息确认该数字证书是否来自于可信主机,从而有效避免私钥被滥用所引起的身份误认。另外,在应用数字证书的私钥进行加解密操作时,全部在具有存储及加解密功能的芯片内完成,这样避免了私钥在使用时被攻击者窃听的可能。
下面首先详细说明生成数字证书的过程。
待申请数字证书的主机在制造时已预设了一主机密钥,和一个由制造商签发的主机证书,该主机密钥和主机证书存储在该主机中的具有存储及加解密功能的芯片内,所述的芯片可以由安全芯片(TPM,Trusted PlatformModule)实现,也可以由其他类似的芯片实现。其中,所述主机密钥由一对公私钥对构成,其作为主机的永久标识,用户不可更换或删除;由制造商签发的主机证书中至少包括主机密钥的公钥信息、具有存储及加解密功能的芯片版本信息、该芯片的制造商信息及制造商签名信息。
参见图1,图1所示为应用本发明的生成数字证书的一实施例的流程示意图。在本实施例中,具有存储及加解密功能的芯片由安全芯片来实现。
步骤1,在安全芯片内设置一用于保证数字证书的私钥安全的存储密钥,用户可以更换或删除该存储密钥,同时,该存储密钥可以依赖于主机密钥,也可以独立存在而与主机密钥毫无关联;之后,以该存储密钥为父密钥再设置一身份密钥,该身份密钥位于安全芯片之外,且该身份密钥的私钥是经存储密钥的公钥加密的。并且,为即将生成的数字证书设置证书标识。
步骤2,构造用于表明主机身份的身份数据,该身份数据中至少包括身份密钥的公钥、安全芯片的版本信息、已设置的证书标识与CA公钥的哈希值。该身份数据中还可以包括抗重播随机数等。
步骤3,应用身份密钥的私钥对身份数据进行签名,并将得到的信息称为身份密钥签名。
以上三步在实际操作中几乎是同时完成的,即身份密钥在安全芯片内生成后,利用其私钥对身份数据进行签名,之后,将身份密钥的公钥以及经存储密钥的公钥加密后的身份密钥的私钥存储在安全芯片之外,同时将身份密钥签名也存储在安全芯片之外。
步骤4,构造数字证书请求信息,该请求信息中至少包含已设置的证书标识、身份密钥的公钥、身份密钥签名以及主机证书。当然该数字证书请求信息中还可以包括身份数据信息。
步骤5,主机生成第一随机数A,并应用该第一随机数A对数字证书请求信息,即证书标识、身份密钥的公钥、身份密钥签名以及主机证书,进行加密,并将加密后的信息作为数字证书请求消息中的对称部分。
步骤6,主机应用CA的公钥对所生成的第一随机数A进行加密,并将加密后的信息作为数字证书请求消息中的非对称部分。
步骤7,将包含对称部分和非对称部分的数字证书请求消息发送给CA。即采用了数字信封技术对数字证书请求消息进行保护。
步骤8,CA接收到上述消息后,利用自身的私钥对数字证书请求消息中的非对称部分进行解密,获取第一随机数A。
步骤9,CA应用第一随机数A对数字证书请求消息中的对称部分进行解密,获取数字证书请求信息。
步骤10,从数字证书请求信息中获取身份密钥的公钥,并应用该公钥验证身份密钥签名是否正确,验证通过后执行步骤11。
步骤11,CA获取签发主机证书的机构的证书,通过验证该颁发机构是否具有合法资质,且主机证书中的签名是否来自该颁发机构,实现对主机证书的验证,验证通过后执行步骤12。
当然,在实际操作中也可以先执行步骤11再执行步骤10,总之,对验证的顺序并不限制。
步骤12,构造数字证书所需的数据,具体为:CA从主机证书和身份数据中提取身份密钥的公钥信息、安全芯片的版本信息、该安全芯片的制造商的信息。
步骤13,CA应用自身的私钥对该提取出的数据进行签名,生成主机所需的数字证书。
步骤14,CA生成第二随机数B,并应用该第二随机数B对生成的数字证书进行加密,并将加密后的信息作为数字证书返回消息中的对称部分。
步骤15,CA应用主机密钥的公钥对所生成的第二随机数B进行加密,并将加密后的信息作为数字证书返回消息中的非对称部分。
步骤16,将包含对称部分和非对称部分的数字证书返回消息发送给主机。即采用了数字信封技术对数字证书返回消息进行保护。
步骤17,主机接收到上述消息后,将接收到的信息传入安全芯片中,在安全芯片内,由主机密钥的私钥对数字证书返回消息中的非对称部分进行解密,获取第二随机数B。
步骤18,主机应用第二随机数B对数字证书返回消息中的对称部分进行解密,获取生成的数字证书。
至此,主机拥有了数字证书,由于该数字证书中包含有主机内的安全芯片的信息,且该数字证书对应的私钥必须在该主机的安全芯片内才能被解密获取,因而确保了数字证书的安全,且该数字证书是和该主机关联的,或是说该数字证书是和该主机绑定的。
在上述实施方式中,也可以不产生身份密钥,而直接在安全芯片内生成存储密钥后,应用该存储密钥的私钥对身份数据进行加密,这样,上述流程中所有涉及到的身份密钥的公钥均替换为该存储密钥的公钥。但这种方法并不推荐使用。
下面说明应用上述数字证书的方法。
如果某用户作为发送方已应用上述方法获得了一数字证书,并应用该数字证书对应的私钥对待发送数据进行数字签名,之后,将签名后的数据发送给接收方。
如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥对身份数据进行加密,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后,利用存储密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥衍生出的身份密钥对身份数据进行签名,且该身份密钥的私钥已由存储密钥的公钥加密后导出了所述芯片,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将已被存储密钥公钥加密后的身份密钥私钥传入芯片,由存储密钥私钥解密获得身份密钥私钥明文,同时将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后利用身份密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
接收方获取上述签名后的数据及发送方的数字证书后,应用该发送方的数字证书的公钥对数字签名进行验证,如果通过验证,则接收到的信息来源可靠,否则接收到的信息来源不可靠。
具体验证方法为:检查该发送方的数字证书中是否有能够标识主机身份的芯片的信息,且对数字签名进行验证,如果数字证书有能够标识主机身份的芯片的信息且数字签名验证通过,则确认该数字证书来源于可信的主机,否则该数字证书并非来源于可信的主机。
上述接收方通过CA获取发送方的数字证书,或者,接收方从发送方处直接获取该发送方的数字证书。
应用上述方法,接收方不仅能够确定信息发送方持有私钥,同时可以确定消息来自于证书关联的特定主机,从而有效避免私钥被滥用所引起的身份误认。
另外,如果接收方应用上述方法获得了数字证书,当接收方接收到发送方利用本接收方的公钥加密后的信息后,将接收到的信息导入本地的具有存储及加解密功能的芯片中,在该芯片内,由接收方应用已获取的数字证书的私钥对接收到的信息进行解密。
应用上述方法,在应用数字证书的私钥进行加解密操作时,全部在具有存储及加解密功能的芯片内完成,这样避免了私钥在内存中使用时被攻击者窃听的可能。
当然,上述两种应用方法也可以结合起来一起应用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1、一种生成数字证书的方法,在主机中包含具有存储及加解密功能的芯片,其特征在于,预先在具有存储及加解密功能的芯片中存储用于标识主机的主机密钥及由制造商签发的主机证书,并为即将生成的数字证书设置证书标识,该方法还包括以下步骤:
a、待申请数字证书的主机对表明主机身份的身份数据进行签名,生成身份密钥签名,然后应用证书授权认证中心CA的公钥对至少包含证书标识、签名所用密钥的公钥、身份密钥签名以及主机证书的数字证书请求信息通过数字信封技术加密后发送给CA;
b、CA接收到步骤a所述信息后,利用自身的私钥进行解密,获取数字证书请求信息,对该消息中的身份密钥签名以及主机证书分别进行验证,验证通过后生成主机所需的数字证书,并应用主机密钥的公钥对该生成的数字证书通过数字信封技术加密后发送给主机;
c、主机接收到步骤b所述信息后,将接收到的信息传入具有存储及加解密功能的芯片中,由主机密钥的私钥对接收到的信息进行解密,获取CA颁发的数字证书。
2、根据权利要求1所述的方法,其特征在于,步骤a所述对表明主机身份的身份数据进行签名的方法为:预先在具有存储及加解密功能的芯片内设置存储密钥,在所述芯片内,利用该存储密钥的私钥对表明主机身份的身份数据进行签名,生成身份密钥签名,然后将身份密钥签名导出所述芯片;所述签名所用密钥的公钥为所述存储密钥的公钥。
3、根据权利要求1所述的方法,其特征在于,步骤a所述对表明主机身份的身份数据进行签名的方法为:预先在具有存储及加解密功能的芯片内设置存储密钥,并由该存储密钥衍生出用于加密主机身份数据的身份密钥,在所述芯片内,利用该身份密钥的私钥对表明主机身份的身份数据进行签名,然后由存储密钥的公钥对身份密钥私钥加密,将加密后的身份密钥、身份密钥签名一起传出芯片;所述签名所用密钥的公钥为所述身份密钥的公钥。
4、根据权利要求1所述的方法,其特征在于,步骤a所述应用证书授权认证中心CA的公钥对数字证书请求消息进行加密后发送给CA的过程包括以下步骤:
生成第一随机数,并应用该第一随机数对至少证书标识、签名所用密钥的公钥、身份密钥签名以及主机证书进行加密,并将加密后的信息作为数字证书请求消息中的对称部分;应用CA的公钥对所生成的第一随机数进行加密,并将加密后的信息作为数字证书请求消息中的非对称部分;将包含对称部分和非对称部分的数字证书请求消息发送给CA。
5、根据权利要求4所述的方法,其特征在于,步骤b所述CA接收到步骤a所述信息,利用自身的私钥进行解密,获取数字证书请求信息的过程为:
CA利用自身的私钥对数字证书请求消息中的非对称部分进行解密,获取第一随机数,然后应用第一随机数对数字证书请求消息中的对称部分进行解密,获取数字证书请求信息。
6、根据权利要求1所述的方法,其特征在于,步骤b所述对签名后的身份数据进行验证的方法为:从数字证书请求信息中提取签名所用的公钥,应用该公钥验证身份密钥签名是否合法;所述对主机证书进行验证的方法为:CA获取签发主机证书的机构的证书,通过验证该颁发机构具有合法资质,且主机证书中的签名来自该颁发机构来对主机证书进行验证。
7、根据权利要求1所述的方法,其特征在于,所述主机证书中至少包括主机密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、具有存储及加解密功能的芯片的制造商的信息及制造商的签名信息;所述身份数据中至少包括对身份数据进行签名时所用密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、已设置的证书标记与CA的公钥的哈希值。
8、根据权利要求7所述的方法,其特征在于,步骤b所述CA生成主机所需的数字证书,应用主机密钥的公钥对该生成的数字证书加密后发送给主机的过程为:
CA从主机证书和身份数据中提取对身份数据进行签名时所用密钥的公钥信息、具有存储及加解密功能的芯片的版本信息、具有存储及加解密功能的芯片的制造商的信息,并应用自身的私钥对该提取出的数据进行签名,生成主机所需的数字证书;之后,CA生成第二随机数,并应用该第二随机数对生成的数字证书进行加密,并将加密后的信息作为数字证书返回消息中的对称部分,应用主机密钥的公钥对所生成的第二随机数进行加密,并将加密后的信息作为数字证书返回消息中的非对称部分;将包含对称部分和非对称部分的数字证书返回消息发送给主机。
9、根据权利要求8所述的方法,其特征在于,步骤c所述由主机密钥的私钥对接收到的信息进行解密,获取CA颁发的数字证书的过程为:主机密钥的私钥对数字证书返回信息中的非对称部分进行解密,获取第二随机数,然后应用第二随机数对数字证书返回信息中的对称部分进行解密,获取数字证书。
10、根据权利要求1、7、8任一所述的方法,其特征在于,所述具有存储及加解密功能的芯片为安全芯片。
11、一种应用数字证书的方法,其特征在于,该方法包括以下步骤:
发送方应用如权利要求1所述的方法获取数字证书,并利用该数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方;
接收方获取上述签名后的数据及发送方的数字证书后,应用该发送方的数字证书中提取的的公钥对数字签名进行验证,如果通过验证,则接收到的信息来源于可信主机,否则接收到的信息并非来源于可信主机。
12、根据权利要求11所述的方法,其特征在于,如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥对数据进行签名,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后,利用存储密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
13、根据权利要求11所述的方法,其特征在于,如果应用预先在具有存储及加解密功能的芯片内设置的存储密钥衍生出的身份密钥对身份数据进行签名,且该身份密钥的私钥已由存储密钥的公钥加密后导出了所述芯片,则所述发送方利用数字证书的私钥对待发送数据进行签名,将该签名后的数据发送给接收方的方法包括如下步骤:
将已被存储密钥公钥加密后的身份密钥私钥传入芯片,由存储密钥私钥解密获得身份密钥私钥明文,同时将待发送数据导入具有存储及加解密功能的芯片内,计算其哈希值;然后利用身份密钥的私钥对计算出的哈希值进行签名,将签名后的数据导出所述芯片,之后,发送方将待发送数据及签名后的数据一起发送给接收方。
14、根据权利要求11所述的方法,其特征在于,所述接收方通过CA获取发送方的数字证书,或者,接收方从发送方处直接获取该发送方的数字证书。
15、根据权利要求11所述的方法,其特征在于,所述根据数字证书中的信息确认该数字证书是否来源于可信的主机的方法为:检查该发送方的数字证书中是否有能够标识主机身份的芯片的信息,且对数字签名进行验证,如果数字证书中含有能够标识主机身份的芯片的信息且数字签名验证通过,则确认该数字证书来源于可信的主机,否则该数字证书并非来源于可信的主机。
16、根据权利要求15所述的方法,其特征在于,所述能够标识主机身份的芯片的信息为具有存储及加解密功能的芯片的版本信息,及该芯片的制造商的信息。
17、根据权利要求11所述的方法,其特征在于,该方法进一步包括:
接收方应用如权利要求1所述的方法获取数字证书;
当接收方接收到发送方利用本接收方的公钥加密后的信息后,将接收到的信息导入本地的具有存储及加解密功能的芯片中,在该芯片内由接收方应用已获取的数字证书的私钥对接收到的信息进行解密。
18、一种应用数字证书的方法,其特征在于,该方法包括以下步骤:
接收方应用如权利要求1所述的方法获取数字证书;
当接收方接收到发送方利用本接收方的公钥加密后的信息后,将接收到的信息导入本地的具有存储及加解密功能的芯片中,在该芯片内由接收方应用已获取的数字证书的私钥对接收到的信息进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100823965A CN100346249C (zh) | 2004-12-31 | 2004-12-31 | 生成数字证书及应用该所生成的数字证书的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100823965A CN100346249C (zh) | 2004-12-31 | 2004-12-31 | 生成数字证书及应用该所生成的数字证书的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1801029A CN1801029A (zh) | 2006-07-12 |
CN100346249C true CN100346249C (zh) | 2007-10-31 |
Family
ID=36811074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100823965A Expired - Fee Related CN100346249C (zh) | 2004-12-31 | 2004-12-31 | 生成数字证书及应用该所生成的数字证书的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100346249C (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109687959A (zh) * | 2018-12-29 | 2019-04-26 | 上海唯链信息科技有限公司 | 密钥安全管理系统和方法、介质和计算机程序 |
US11516020B2 (en) | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7987375B2 (en) | 2006-11-20 | 2011-07-26 | Canon Kabushiki Kaisha | Communication apparatus, control method thereof and computer readable medium |
CN101212293B (zh) * | 2006-12-31 | 2010-04-14 | 普天信息技术研究院 | 一种身份认证方法及系统 |
CN101039182B (zh) * | 2007-03-07 | 2010-08-11 | 广东南方信息安全产业基地有限公司 | 基于标识的公钥密码认证系统及标识证书发放方法 |
CN101321058B (zh) * | 2007-06-07 | 2010-12-15 | 管海明 | 一种用于编码和译码数字消息的方法和系统 |
CN101115060B (zh) * | 2007-08-09 | 2012-04-18 | 上海格尔软件股份有限公司 | 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 |
CN101170407B (zh) * | 2007-12-03 | 2011-01-12 | 北京深思洛克软件技术股份有限公司 | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 |
CN101534194B (zh) * | 2008-03-12 | 2011-03-30 | 航天信息股份有限公司 | 用于保护受信证书安全的方法 |
CN101667914B (zh) * | 2008-09-05 | 2012-05-23 | 华为技术有限公司 | 一种公钥证书的管理方法和设备 |
CN101437228B (zh) * | 2008-12-17 | 2011-05-11 | 北京握奇数据系统有限公司 | 基于智能卡的无线业务的实现方法、装置和系统 |
CN101645889B (zh) * | 2009-06-26 | 2012-09-05 | 飞天诚信科技股份有限公司 | 一种下发数字证书的方法 |
CN101778381B (zh) * | 2009-12-31 | 2012-07-04 | 卓望数码技术(深圳)有限公司 | 数字证书生成方法、用户密钥获取方法、移动终端及设备 |
CN102377758B (zh) * | 2010-08-24 | 2016-03-30 | 中兴通讯股份有限公司 | 一种对个人网设备进行认证的认证方法及系统 |
CN102523093B (zh) * | 2011-12-16 | 2014-08-06 | 河海大学 | 一种带标签的基于证书密钥封装方法及系统 |
CN103259654B (zh) * | 2012-05-07 | 2016-06-29 | 中国交通通信信息中心 | 一种基于卫星通信业务的智能卡管理系统 |
CN103916358B (zh) * | 2012-12-30 | 2017-06-30 | 航天信息股份有限公司 | 一种密钥扩散及校验方法和系统 |
CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
US20170201884A1 (en) * | 2014-07-21 | 2017-07-13 | Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. | Mobility Management Entity, Terminal, and Identity Authentication Method |
CN104683107B (zh) * | 2015-02-28 | 2019-01-22 | 深圳市思迪信息技术股份有限公司 | 数字证书保管方法和装置、数字签名方法和装置 |
KR102444239B1 (ko) * | 2016-01-21 | 2022-09-16 | 삼성전자주식회사 | 보안 칩, 어플리케이션 프로세서, 보안 칩을 포함하는 디바이스 및 그 동작방법 |
CN108234115B (zh) * | 2016-12-15 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 信息安全的验证方法、装置和系统 |
CN106850200B (zh) * | 2017-01-25 | 2019-10-22 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种使用基于区块链的数字货币的安全方法、系统及终端 |
CN108667781A (zh) * | 2017-04-01 | 2018-10-16 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书管理方法及设备 |
CN108683506B (zh) * | 2018-05-02 | 2021-01-01 | 浪潮集团有限公司 | 一种数字证书申请方法、系统、雾节点和证书授权中心 |
US11108556B2 (en) * | 2018-06-08 | 2021-08-31 | Vmware, Inc. | Unmanaged secure inter-application data communications |
EP3697019A1 (de) * | 2019-02-12 | 2020-08-19 | Siemens Aktiengesellschaft | Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar |
TWI704795B (zh) * | 2019-03-22 | 2020-09-11 | 何六百有限公司 | 登錄認證方法 |
CN110365486B (zh) * | 2019-06-28 | 2022-08-16 | 东软集团股份有限公司 | 一种证书申请方法、装置及设备 |
CN110830498A (zh) * | 2019-11-19 | 2020-02-21 | 武汉思普崚技术有限公司 | 一种基于挖掘的持续攻击检测方法及系统 |
CN111212050B (zh) * | 2019-12-27 | 2022-07-26 | 航天信息股份有限公司企业服务分公司 | 一种基于数字证书对数据进行加密传输的方法及系统 |
CN113810411B (zh) * | 2021-09-17 | 2023-02-14 | 公安部交通管理科学研究所 | 一种交通管控设施数字证书管理方法及系统 |
CN115237943B (zh) * | 2022-09-21 | 2022-12-09 | 南京易科腾信息技术有限公司 | 基于加密数据的数据检索方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001089133A2 (en) * | 2000-05-16 | 2001-11-22 | Surety.Com | Method and apparatus for self-authenticating digital records |
CN1495666A (zh) * | 2002-09-11 | 2004-05-12 | ��ʽ���������Ƽ� | 存储卡 |
CN1553348A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机系统登录认证的方法 |
-
2004
- 2004-12-31 CN CNB2004100823965A patent/CN100346249C/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001089133A2 (en) * | 2000-05-16 | 2001-11-22 | Surety.Com | Method and apparatus for self-authenticating digital records |
CN1495666A (zh) * | 2002-09-11 | 2004-05-12 | ��ʽ���������Ƽ� | 存储卡 |
CN1553348A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机系统登录认证的方法 |
Non-Patent Citations (3)
Title |
---|
一种基于数字证书的网络设备身份认证机制 高能、向继、冯登国,计算机工程,第30卷第12期 2004 * |
数字签名、数字信封和数字证书 洪琳、李展,计算机应用,第20卷第2期 2000 * |
数字签名卡的实现 范晓红、吴今培、张其善,遥测遥控,第25卷第2期 2004 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11516020B2 (en) | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
CN109687959A (zh) * | 2018-12-29 | 2019-04-26 | 上海唯链信息科技有限公司 | 密钥安全管理系统和方法、介质和计算机程序 |
CN109687959B (zh) * | 2018-12-29 | 2021-11-12 | 上海唯链信息科技有限公司 | 密钥安全管理系统和方法、介质和计算机程序 |
Also Published As
Publication number | Publication date |
---|---|
CN1801029A (zh) | 2006-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100346249C (zh) | 生成数字证书及应用该所生成的数字证书的方法 | |
CN109067524B (zh) | 一种公私钥对生成方法及系统 | |
CN1219260C (zh) | 一种安全文件系统的存储及访问控制方法 | |
CA2838675C (en) | Implicitly certified digital signatures | |
CN110943976B (zh) | 一种基于口令的用户签名私钥管理方法 | |
CA2838322C (en) | Secure implicit certificate chaining | |
CN107196966A (zh) | 基于区块链的多方信任的身份认证方法和系统 | |
CN1809984A (zh) | 改进的保密验证信道 | |
CN1695343A (zh) | 用于通过公共网络提供安全数据分发的方法和系统 | |
CN1565117A (zh) | 数据验证方法和装置 | |
CN1702999A (zh) | 一种对加密密钥进行备份与恢复的方法 | |
CN1299545A (zh) | 使用虚拟专用密钥的用户鉴别 | |
CN101064595A (zh) | 一种计算机网络安全输入认证系统和方法 | |
JP2003229851A (ja) | トークン使用可能公開鍵インフラストラクチャ・システムにおけるユーザ証明書/秘密鍵の割り当て | |
CN1934821A (zh) | 装置和便携式存储器之间的认证 | |
CN1925393A (zh) | 一种点对点网络身份认证方法 | |
CN101051902A (zh) | 一种代理签密方法及系统 | |
CN101931536B (zh) | 一种无需认证中心的高效数据加密及认证方法 | |
CN113824564A (zh) | 一种基于区块链的线上签约方法及系统 | |
US20060095770A1 (en) | Method of establishing a secure e-mail transmission link | |
CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
CN111539496A (zh) | 车辆信息二维码生成方法、二维码车牌、认证方法及系统 | |
RU2010126781A (ru) | Система и способ упрощенной аутентификации доступа | |
CN1697376A (zh) | 用集成电路卡对数据进行认证或加密的方法和系统 | |
CN106656499A (zh) | 一种数字版权保护系统中终端设备可信认证方法及其系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071031 Termination date: 20201231 |
|
CF01 | Termination of patent right due to non-payment of annual fee |