CN101645889B - 一种下发数字证书的方法 - Google Patents
一种下发数字证书的方法 Download PDFInfo
- Publication number
- CN101645889B CN101645889B CN200910087969A CN200910087969A CN101645889B CN 101645889 B CN101645889 B CN 101645889B CN 200910087969 A CN200910087969 A CN 200910087969A CN 200910087969 A CN200910087969 A CN 200910087969A CN 101645889 B CN101645889 B CN 101645889B
- Authority
- CN
- China
- Prior art keywords
- usb key
- digital certificate
- key
- identification information
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 235000016936 Dendrocalamus strictus Nutrition 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000004321 preservation Methods 0.000 claims description 6
- 238000012795 verification Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 229910052709 silver Inorganic materials 0.000 description 2
- 239000004332 silver Substances 0.000 description 2
- 102220551772 Gastrin_A86D_mutation Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000003750 conditioning effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种下发数字证书的方法,属于信息安全领域。该方法包括:认证中心接收USB Key发送的证书请求,所述证书请求中携带所述USB Key的标识信息及其数字签名、所述USB Key的公钥;根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证;当所述验证成功时,保存所述USB Key的公钥,为所述USB Key生成数字证书,并将所述数字证书与所述USB Key相关联,再将所述数字证书发送给所述USB Key;当所述验证不成功时,结束操作。用以确保将数字证书下发给合法的USB Key。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种下发数字证书的方法。
背景技术
近些年来,随着网络技术的蓬勃发展,网上银行业务也开始迅速的发展。目前国内大多数银行都推出了自己的网上银行业务。用户在体验方便、快捷的网上银行服务之余,难免会担心网上银行的安全性。
目前,大多数银行采用的安全措施为向用户提供专用于网上银行业务的USB Key,用户在进行网上银行业务时需要USB Key的参与才能完成相应的业务。USB Key是一种具有USB接口的硬件设备,其内置单片机或智能卡芯片,用于利用内置的密钥算法实现对用户身份的认证。通常情况下,USB Key内置的密钥算法大多是非对称算法,利用非对称算法能够生成一对密钥,分别为公钥和私钥,其中私钥保存在USB Key中,理论上使用任何方式都无法被非法读取,用以对USB Key中的信息进行加密,公钥保存在银行客户端主机中,用以对USB Key发送的加密信息进行解密,保护了用户交易信息的安全性。
每个USB Key设备中需要保存数字证书。数字证书是由一个第三方的权威机构——CA(Certificate Authority,数字证书认证中心)发行的,是一种权威性的电子文档,作用类似于公民的身份证或者司机的驾驶执照。使用USB Key的用户通过数字证书来识别对方的身份。由于CA作为权威的、公正的、可信赖的第三方,因此CA提供的数字证书可以给用户的身份认证充分保证。
在实现本发明的过程中,发明人发现现有技术存在如下缺点:
由于现有的CA对数字证书的载体USB Key的管理手段非常有限,用户可以从CA处将数字证书下载到自己选择的USB Key中,无法对用户使用的USBKey进行规范化的管理,使一些不符合CA要求的USB Key成为证书的载体,甚至用户的证书可能被非法用户盗取并复制到其他的USB Key中使用,对用户的网银账户造成了极大的威胁。
发明内容
为了确保将数字证书下发给合法的USB Key中,本发明提供了一种下发数字证书的方法。所述技术方案如下:
一种下发数字证书的方法,所述方法包括:
认证中心接收USB Key发送的证书请求,所述证书请求中携带所述USBKey的标识信息及其数字签名、所述USB Key的公钥;
根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证;
当所述验证成功时,根据所述USB Key的标识信息进行检索,判断是否存在所述USB Key的相关记录,并且所述USB Key的状态为未使用;是则保存所述USB Key的公钥,并为所述USB Key生成数字证书,并将所述数字证书与所述USB Key相关联,再将所述数字证书发送给所述USB Key;否则结束操作;
当所述验证不成功时,结束操作。
所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果与所述USB Key的标识信息进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果进行散列运算生成消息摘要,并使用所述散列运算对所述USB Key的标识信息进行运算生成消息摘要,将所述解密结果的消息摘要与所述USB Key的标识信息的消息摘要进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果进行变换和散列运算生成消息摘要,对USB Key的标识信息使用所述变换和散列运算生成消息摘要,将所述解密结果的消息摘要与所述USB Key的标识信息的消息摘要进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
所述认证中心将所述数字证书的状态与所述USB Key的状态相关联,具体包括:
当所述数字证书的状态为有效时,所述认证中心将所述USB Key的状态设置为允许使用的状态;
当所述数字证书的状态为无效时,所述认证中心将所述USB Key的状态设置为禁止使用的状态。
所述方法还包括:
所述认证中心接收到状态查询请求,所述状态查询请求中携带所述USBKey的关键信息,所述关键信息至少包括所述USB Key标识信息、与USB Key具有关联关系的数字证书的标识、USB Key用户的身份信息中的一项;
所述认证中心根据所述关键信息查询所述USB Key的状态和与所述USBKey相关联的数字证书的信息,并返回查询结果。
所述方法还包括:
所述认证中心接收到撤销证书请求,将所述用户使用的USB Key中的数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
所述方法还包括:
所述认证中心接收到挂起证书请求,将所述用户申请挂起的数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
所述方法还包括:
所述认证中心接收所述USB Key发送的解挂证书请求,所述解挂证书请求中携带所述USB Key的关键信息和所述USB Key标识信息的数字签名,所述关键信息至少包括所述USB Key的标识信息、与所述USB Key具有关联关系的数字证书的标识、所述USB Key的用户的身份信息中的一项;
根据所述USB Key的关键信息、所述USB Key的标识信息的数字签名、以及保存的所述USB Key的公钥对所述USB Key进行验证;
当所述验证均成功时,所述认证中心将所述用户的数字证书有效,并修改所述USB Key的状态为允许使用的状态;
当所述验证不成功时,结束操作。
所述方法还包括:
所述认证中心接收所述USB Key发送的更新证书请求,所述更新证书请求中携带所述USB Key使用其原有私钥产生的标识信息的数字签名、以及所述USB Key新生成的公钥;
根据所述USB Key标识信息的数字签名、以及所述USB Key的原有公钥对所述USB Key进行验证;
当所述验证成功时,将所述USB Key原有的数字证书无效、保存接收到的所述USB Key新生成的公钥、为所述USB Key生成新的数字证书,并将所述新的数字证书与所述USB Key相关联,再将所述新的数字证书发送给所述USBKey;
当所述验证不成功时,结束操作。
所述方法还包括:
所述USB Key接收到所述数字证书,并对所述数字证书进行保存;
当所述保存成功时,结束操作;
当所述保存失败时,发送保存失败消息给所述认证中心,所述认证中心将所述数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
本发明提供的技术方案带来的有益效果是:
通过将对证书的管理和USB Key的管理相结合,确保了将数字证书下发到合法的USB Key中,增强了对数字证书以及USB Key设备的管理,为用户的信息安全提供了保证。还进一步提供了关联查询、撤销证书、挂起证书、解挂证书、更新证书的方法,方便了用户的使用。
附图说明
图1是本发明实施例1中提供的下发数字证书的方法流程图;
图2是本发明实施例1中提供的下发数字证书的方法流程图;
图3是本发明实施例1中提供的下发数字证书的方法流程图;
图4是本发明实施例1中提供的下发数字证书的方法流程图;
图5是本发明实施例1中提供的下发数字证书的方法流程图;
图6是本发明实施例1中提供的下发数字证书的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本实施例提供了一种下发数字证书的方法,该方法包括:
步骤101:将合法的USB Key的标识信息在CA中进行登记;
其中,每个USB Key的标识信息都是唯一的,该标识信息被写入USB Key后不能被修改,但可以被读取。在本实施例中,标识信息可以但不限于为USBKey的硬件序列号、可以唯一代表USB Key的字符串等。
在CA中进行登记的方法有很多方式,本实施例以银行的网银业务为例,当银行向网银用户提供USB Key时,将USB Key的标识信息进行记录,并提供给CA,这种登记方式可以确保在CA中进行登记的USB Key均为银行官方提供的合法USB Key,这种在CA中进行登记的方法并不用以限制本实施例步骤101的登记方式。
步骤102:CA将USB Key的使用状态进行设置;
其中,USB Key的使用状态可以但不限于包括:“未使用”、“使用中”、“暂停使用”、“废止”等。一般情况下,USB Key的初始使用状态为“未使用”。以表1为例,但表1并不用以限制USB Key相关信息的设置形式:
表1
USB Key的标识信息 | 使用状态 |
1A2B3C4D | 未使用 |
5A6B7C8D | 使用中 |
1F2G3E4H | 暂停使用 |
5G6E7R8S | 废止 |
步骤103:USB Key在接收到申请数字证书的指令时,根据内置的密钥生成算法产生一个密钥对;
需要说明的是,当用户希望为USB Key申请数字证书时,可以通过多种方式向USB Key发送申请数字证书的指令,如用户可以将USB Key与CA的终端机相连接,并通过在终端机上选择相应的选项为USB Key发送申请数字证书的指令。
USB Key内置的密钥生成算法可以为非对称算法,常用的非对称算法包括:RSA、DSA(Digital Signature Algorithm,数字签名算法)、ECC(Elliptic CurveCryptosystems,椭圆曲线密码体制)等,使用非对称算法产生的密钥对为私钥和公钥。
步骤104:USB Key将其标识信息进行数字签名;
其中,USB Key可以使用步骤103中产生的私钥对其标识信息进行数字签名。
步骤105:USB Key产生证书请求发送给CA;
其中,USB Key产生的证书请求中可以携带包括:USB Key的标识信息及其数字签名、步骤103中产生的公钥;进一步还可以包括用户的身份信息等,当然根据不同CA的策略,CA还可以通过其他方式获得使用USB Key的用户的身份信息。其中,用户的身份信息可以但不限于包括:用户的姓名、用户ID、电话号码、家庭住址等相关信息。
步骤106:CA接收到USB Key发送的证书请求,对申请证书的用户进行身份认证;
如果认证成功,则执行步骤107;
如果认证不成功,则执行步骤115。
CA在接收到USB Key发送的证书请求时,对证书请求中携带的USB Key的标识信息及其数字签名,以及公钥进行保存。
这里需要说明的是:根据用户的身份信息对用户进行身份认证的方法可以包括:
CA主动向身份权威(如政府部门)或合作方(如银行等)发出申请,由身份权威或合作方将与该用户有关的身份信息发送给CA,CA将身份权威或合作方发送的用户的身份信息与其接收到的使用USB Key的用户的身份信息进行比对,如果全部相同,则认证成功;否则认证不成功。
或者,CA主动向身份权威或合作方发出申请,在申请中附带其接收到的使用USB Key的用户的身份信息,由身份权威或合作方对用户的身份信息进行比对,并将比对的结果返回给CA,如果全部相同,则认证成功;否则认证不成功。
或者,CA预先保存身份权威或合作方的合法用户的身份信息,并将接收到的使用USB Key的用户的身份信息与预先保存的合法用户的身份信息进行比对,如果全部相同,则认证成功;否则认证不成功。
步骤107:CA对USB Key进行验证;
如果验证都成功,则执行步骤108;
如果验证不成功,则执行步骤115。
其中,具体的验证方法可以为:CA使用接收到的证书请求中的公钥对接收到的USB Key的标识信息的数字签名进行解密运算,然后将解密得到的结果与接收到的标识信息进行比较,如果相同,则说明USB Key是合法的硬件设备,则验证成功,否则验证不成功;
或者
CA使用接收到的证书请求中的公钥对接收到的USB Key的标识信息的数字签名进行解密运算,然后将解密结果进行散列运算生成消息摘要,并使用同样的散列运算对USB Key的标识信息进行运算生成消息摘要,将解密结果的消息摘要与USB Key的标识信息的消息摘要进行比较,如果相同,则说明USB Key是合法的硬件设备,则验证成功,否则验证不成功;
其中,在对解密结果和USB KEY的标识信息进行散列运算之前,还可以对需要进行散列运算的数据进行变换。变换的方式有多种,如可以数据中的一部分进行散列运算,和/或按照预设的规则进行位置调换和/或数值变换等方法。其中,比如USB KEY的标识信息为1A2B3C4D,则可以直接对1A2B3C4D进行散列运算提取消息摘要;如提取数据中的一部分进行散列运算,则可以对2B3C进行散列运算提取消息摘要,当然提取除了可以连续提取其中一部分外,还可以不连续的进行提取;还可以将数据进行位置调换和/或数值变换等操作后再对其进行散列运算或提取其中一部分进行散列运算,比如USB KEY的标识信息为1A2B3C4D,对其进行位置调换和/或数值变换后得到关键信息的方法为:其中,位置调换是指按照预设的规则调换上述信息中部分位或全部位的位置,假设位置调换规则为将上述信息进行位置倒置,则为D4C3B2A1;其中,数值变换是指按照预设的规则替换上述数据中相应位置的值,假设预先设定的规则为将1替换成9,2替换成8,3替换成7,4替换成6,其它不变,则为9A8B7C6D,此时可以对处理后的值进行散列运算,也可以提取其中一部分进行散列运算,比如提取9A8B或A86D作为进行散列运算。另外,还可以同时使用位置调换和数值变换两种方式,当然,在实际应用中,可以依据需要自己设计具体的变换方法,只要是可逆的变换即可;
具体地,散列运算的算法包括但不限于SHA-1、MD2、MD5、H-MAC;另外,如果使用H-MAC算法进行散列运算,则两次计算使用的密钥也是相同的。
还需要进一步说明的是,本发明实施例以先进行用户的身份认证、后进行USB Key的验证为例对本方法进行说明,但这并不用以限制这两个步骤的先后顺序,还可以先进行USB Key的验证、后进行用户的身份认证,或者USB Key的验证与用户的身份认证同时进行。
步骤108:CA根据接收到的USB Key的标识信息,在其保存的登记信息中进行检索;
具体的检索方式可以为:将接收到的USB Key的标识信息作为检索关键字查询匹配的记录。
如果在CA保存的登记信息中检索到与该USB Key的标识信息相匹配的记录,且其对应的使用状态为“未使用”,则执行步骤109;
否则,执行步骤115。
步骤109:CA为USB Key生成数字证书,并将生成的数字证书与USB Key的相关信息相关联;
需要说明的是,数字证书与USB Key之间的关联可以理解为:将数字证书的状态与USB Key的状态相关联:当数字证书有效时,USB Key的状态为允许使用的状态;当数字证书无效时,USB Key的状态为禁止使用的状态。数字证书无效时会被CA放入到黑名单当中,但放入黑名单并不用于限制本发明处理证书无效的形式。其中,允许使用的状态可以但不限於包括:“使用中”,禁止使用的状态可以但不限於包括:“未使用”、“暂停使用”、“废止使用”等。
CA为USB Key生成的数字证书的相关信息可以如表2所示,但并不用以限制数字证书的保存形式和信息内容。
表2
数字证书标识 | 颁发日期 | 废止日期 | 是否有效 |
A | 2009年6月10日 | 2009年7月10日 | 是 |
其中,将数字证书列入黑名单的情形可以包括很多。例如,当用户的数字证书仍然处于有效期,但却被他人非法盗取时,CA会根据用户的要求将该数字证书列入黑名单。
将数字证书与USB Key的相关信息相关联,具体的做法可以包括:在数字证书的相关信息中增加一项与USB Key相关的信息;或者,在USB Key的相关信息中增加一项与数字证书相关的信息;或者,将数字证书的相关信息与USBKey的相关信息合成在一起。以表1、表2为例,将数字证书与USB Key的相关信息相关联可以包括如下几种情形:
表3
或者
表4
USB Key的标识信息 | 使用状态 | 数字证书标识 |
1A2B3C4D | 未使用 | A |
5A6B7C8D | 使用中 | B |
1F2G3E4H | 暂停使用 | C |
5G6E7R8S | 废止 | D |
或者
表5
步骤110:CA在其保存的登记信息中将该USB Key对应的使用状态设置为“使用中”,如表6:
表6
步骤111:CA向USB Key下发生成的数字证书;
步骤112:USB Key接收到CA下发的数字证书,并将数字证书进行保存;
如果保存成功,则结束操作;
如果保存不成功,则执行步骤113;
步骤113:USB Key向CA发送证书保存失败消息;
在证书保存失败消息中携带数字证书标识、USB Key的标识信息;
步骤114:CA将证书保存失败消息中的数字证书放入黑名单,并将相应标识信息的USB Key的使用状态设置为“废止”;
步骤115:提示错误的详细信息,结束操作。
需要说明的是,当USB Key申请证书成功后,如果用户在USB Key的使用过程中需要查询USB Key的状态以及与其相关联的数字证书的状态,参见图2,该方法可以进一步包括:
步骤201:CA接收到状态的查询请求;
在查询请求中可以携带USB Key的关键信息,USB Key的关键信息包括以下各项信息中的至少一项:USB Key标识信息、与USB Key具有关联关系的数字证书的标识、USB Key用户的身份信息;
查询请求中还可以携带USB Key标识信息的数字签名。
步骤202:CA对USB Key进行验证;
如果验证成功,则执行步骤203;
如果验证失败,则结束操作。
其中,具体的验证方法可以为:CA根据USB Key的关键信息查询得到该USB Key的标识信息以及对应的公钥,并使用查询到的公钥对接收到的USBKey的标识信息的数字签名进行解密运算,然后将解密得到的结果与查询到的标识信息进行比较,如果相同,则说明USB Key是合法的硬件设备,则验证成功;否则验证不成功。
还需要进一步说明的是,在本发明实施例中执行步骤203之前,CA还可以对用户进行身份认证,具体的认证方式可以参见步骤106,这里不做赘述。可以先进行用户的身份认证、后进行USB Key的验证,还可以先进行USB Key的验证、后进行用户的身份认证,或者USB Key的验证与用户的身份认证同时进行。
步骤203:CA根据USB Key的标识信息,在保存的登记信息中查询USB Key的使用状态;
如果存在相应的USB Key的记录并且USB Key的状态为“使用中”,则执行步骤204;
如果没有,则返回失败信息,结束操作。
步骤204:在关联信息(如表3、4、5或6)中查询与该USB Key相关联的数字证书及其状态;
如果存在关联数字证书,则返回数字证书信息;
如果不存在,返回失败信息,并结束操作。
需要说明的是,当USB Key申请证书成功后,如果用户在USB Key的使用过程中希望撤销数字证书时,参见图3,该方法可以进一步包括:
步骤301:CA接收到撤销证书请求;
其中,撤销证书请求中可以包括:数字证书标识、或USB Key的标识信息。
步骤302:CA根据撤销证书请求中携带的数字证书标识或USB Key的标识信息找到相应的数字证书,并将该数字证书放入黑名单中,同时CA解除该数字证书与USB Key的关联关系;
其中,CA解除该数字证书与USB Key的关联关系的方法可以但不限於包括:在CA保存的关联信息中删除USB Key中与该数字证书相关的全部内容。
需要说明的是,CA还可以在步骤302之前对用户进行身份认证;
如果认证成功,则执行步骤302;
如果认证不成功,则结束操作。
其中,根据用户的身份信息对用户进行身份认证的方法可以参见步骤106的描述,这里不做赘述。
步骤303:CA在登记的信息中查询到USB Key的标识信息,并将USB Key的使用状态修改为“废止”。
还需要说明的是,CA也可以主动进行证书撤销的工作:由于CA下发的数字证书是具有使用期限的,当证书过期时,CA会自动将过期的证书放入黑名单,并将与该过期的证书相关联的USB Key的状态设置为“废止”。
需要说明的是,当USB Key申请证书成功后,如果用户在USB Key的使用过程中希望将数字证书挂起(即暂停使用)时,参见图4,该方法可以进一步包括:
步骤401:CA接收到挂起证书请求;
其中,挂起证书请求中可以包括:数字证书标识、或USB Key的标识信息。
步骤402:CA根据接收到的挂起证书请求中携带的数字证书标识或USBKey的标识信息找到数字证书,并将该数字证书放入黑名单中;
需要说明的是,CA还可以在步骤402之前对用户进行身份认证;
如果认证成功,则执行步骤402;
如果认证不成功,则结束操作。
其中,根据用户的身份信息对用户进行身份认证的方法可以参见步骤106的描述,这里不做赘述。
步骤403:CA在关联信息中查询到USB Key的标识信息,并将USB Key的使用状态修改为“暂停使用”。
需要说明的是,当USB Key挂起证书成功后,如果用户在USB Key的使用过程中希望将挂起的数字证书解挂时,参见图5,该方法可以进一步包括:
步骤501:USB Key根据接收到的解挂证书的指令后,向CA发送解挂证书请求;
其中,解挂证书请求中可以携带:USB Key标识信息的数字签名、USB Key的关键信息。
步骤502:CA对申请解挂证书的用户进行身份认证;
如果认证成功,则执行步骤503;
如果认证不成功,则执行步骤505。
具体的认证方式可以参见步骤106,这里不做赘述。
步骤503:CA对USB Key进行验证;
如果验证成功,则执行步骤504;
如果验证失败,则结束操作。
具体的验证方式可以参见步骤107,这里不做赘述。
其中,可以通过数字证书标识在保存的关联关系中查找到USB Key的标识信息以及相应的公钥等。
还需要进一步说明的是,在本发明实施例可以先进行用户的身份认证、后进行USB Key的验证,还可以先进行USB Key的验证、后进行用户的身份认证,或者USB Key的验证与用户的身份认证同时进行。
步骤504:CA将该数字证书从黑名单中移出;
步骤505:CA在关联信息中查询到USB Key的标识信息,并将USB Key的使用状态修改为“使用中”。
需要说明的是,当USB Key申请证书成功后,如果用户在USB Key的使用过程中希望将数字证书进行更新时,参见图6,该方法可以进一步包括:
步骤601:USB Key根据接收到的更新证书的指令后,根据内置的密钥生成算法生成一个新的密钥对;
其中,密钥对包括公钥和私钥。
步骤602:USB Key将其标识信息进行数字签名;
其中,USB Key使用其原有的私钥对其标识信息进行数字签名。
这里不限制步骤601和步骤602之间的先后顺序,可以同时进行,也可以先进行步骤601后进行步骤602、或者先进行步骤602后进行步骤601。
步骤603:USB Key产生更新证书请求发送给CA;
其中,USB Key产生的更新证书请求中包括:步骤602中产生的USB Key标识信息的数字签名、步骤601中产生的公钥;还可以包括USB Key的关键信息。
步骤604:CA接收到USB Key发送的更新证书请求,CA对USB Key进行验证;
如果验证成功,则执行步骤605;
如果验证不成功,则结束操作。
具体的验证方式可以参见步骤107,这里不做赘述。
还需要进一步说明的是,在本发明实施例中CA还可以对用户的身份信息进行认证,可以先进行用户的身份认证、后进行USB Key的验证,还可以先进行USB Key的验证、后进行用户的身份认证,或者USB Key的验证与用户的身份认证同时进行。
步骤605:CA生成数字证书,将旧的证书放入黑名单中,并解除旧的证书与USB Key之间的关联关系,同时将新生成的数字证书与USB Key相关联;
步骤606:CA向USB Key下发生成的数字证书;
步骤607:USB Key接收到CA下发的数字证书,并将数字证书进行保存;
如果保存成功,则结束操作;
如果保存不成功,则执行步骤608;
步骤608:USB Key向CA发送证书保存失败消息;
在证书保存失败消息中携带数字证书、USB Key的标识信息;
步骤609:CA将证书保存失败消息中的数字证书放入黑名单,并将相应标识信息的USB Key的使用状态设置为“废止”。
本发明实施例提供了一种下发数字证书的方法,将对证书的管理和USBKey的管理相结合,确保了将数字证书下发到合法的USB Key中,增强了对数字证书以及USB Key设备的管理,为用户的信息安全提供了保证。还进一步提高了关联查询、撤销证书、挂起证书、解挂证书、更新证书的方法,方便了用户的使用。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种下发数字证书的方法,其特征在于,所述方法包括:
认证中心接收USB Key发送的证书请求,所述证书请求中携带所述USB Key的标识信息及其数字签名、所述USB Key的公钥;
根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证;
当所述验证成功时,根据所述USB Key的标识信息进行检索,判断是否存在所述USB Key的相关记录,并且所述USB Key的状态为未使用;是则保存所述USB Key的公钥,并为所述USB Key生成数字证书,并将所述数字证书与所述USB Key相关联,再将所述数字证书发送给所述USB Key;否则结束操作;
当所述验证不成功时,结束操作。
2.如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果与所述USB Key的标识信息进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
3.如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果进行散列运算生成消息摘要,并使用所述散列运算对所述USB Key的标识信息进行运算生成消息摘要,将所述解密结果的消息摘要与所述USB Key的标识信息的消息摘要进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
4.如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对所述USB Key进行验证的方法具体包括:
所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息的数字签名,将解密结果进行变换和散列运算生成消息摘要,对USB Key的标识信息使用所述变换和散列运算生成消息摘要,将所述解密结果的消息摘要与所述USB Key的标识信息的消息摘要进行比对;
当比对结果为相同时,验证成功;
当比对结果为不同时,验证失败。
5.如权利要求1所述的下发数字证书的方法,其特征在于,所述将所述数字证书与所述USB Key相关联,具体包括:
所述认证中心将所述数字证书的状态与所述USB Key的状态相关联;
当所述数字证书的状态为有效时,所述认证中心将所述USB Key的状态设置为允许使用的状态;
当所述数字证书的状态为无效时,所述认证中心将所述USB Key的状态设置为禁止使用的状态。
6.如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括:
所述认证中心接收到状态查询请求,所述状态查询请求中携带所述USB Key的关键信息,所述关键信息至少包括所述USB Key标识信息、与所述USB Key具有关联关系的数字证书的标识、所述USB Key的用户的身份信息中的一项;
所述认证中心根据所述关键信息查询所述USB Key的状态和与所述USB Key相关联的数字证书的信息,并返回查询结果。
7.如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包 括:
所述认证中心接收到撤销证书请求,将用户使用的USB Key中的数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
8.如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括:
所述认证中心接收到挂起证书请求,将用户申请挂起的数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
9.如权利要求8所述的下发数字证书的方法,其特征在于,所述方法还包括:
所述认证中心接收所述USB Key发送的解挂证书请求,所述解挂证书请求中携带所述USB Key的关键信息和所述USB Key标识信息的数字签名,所述关键信息至少包括所述USB Key的标识信息、与所述USB Key具有关联关系的数字证书的标识、所述USB Key的用户的身份信息中的一项;
根据所述USB Key的关键信息、所述USB Key的标识信息的数字签名、以及保存的所述USB Key的公钥对所述USB Key进行验证;
当所述验证均成功时,所述认证中心将所述用户的数字证书有效,并修改所述USB Key的状态为允许使用的状态;
当所述验证不成功时,结束操作。
10.如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括:
所述认证中心接收所述USB Key发送的更新证书请求,所述更新证书请求中携带所述USB Key使用其原有私钥产生的标识信息的数字签名、以及所述USB Key新生成的公钥;
根据所述USB Key标识信息的数字签名、以及所述USB Key的原有公钥对所述USB Key进行验证;
当所述验证成功时,将所述USB Key原有的数字证书无效、保存接收到的所述USB Key新生成的公钥、为所述USB Key生成新的数字证书,并将所述新 的数字证书与所述USB Key相关联,再将所述新的数字证书发送给所述USB Key;
当所述验证不成功时,结束操作。
11.如权利要求1中所述的下发数字证书的方法,其特征在于,所述方法还包括:
所述USB Key接收到所述数字证书,并对所述数字证书进行保存;
当所述保存成功时,结束操作;
当所述保存失败时,发送保存失败消息给所述认证中心,所述认证中心将所述数字证书无效,并修改所述USB Key的状态为禁止使用的状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910087969A CN101645889B (zh) | 2009-06-26 | 2009-06-26 | 一种下发数字证书的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910087969A CN101645889B (zh) | 2009-06-26 | 2009-06-26 | 一种下发数字证书的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101645889A CN101645889A (zh) | 2010-02-10 |
CN101645889B true CN101645889B (zh) | 2012-09-05 |
Family
ID=41657609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910087969A Active CN101645889B (zh) | 2009-06-26 | 2009-06-26 | 一种下发数字证书的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101645889B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103067402B (zh) * | 2013-01-10 | 2016-01-20 | 天地融科技股份有限公司 | 数字证书的生成方法和系统 |
CN103067401B (zh) * | 2013-01-10 | 2015-07-01 | 天地融科技股份有限公司 | 密钥保护方法和系统 |
WO2014110828A1 (zh) * | 2013-01-21 | 2014-07-24 | 华为技术有限公司 | 提高网络安全性的方法、装置和系统 |
CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
KR20160093692A (ko) * | 2013-12-05 | 2016-08-08 | 후아웨이 디바이스 컴퍼니 리미티드 | Euicc 보안 제어 방법, 및 euicc |
CN103888442A (zh) * | 2014-01-13 | 2014-06-25 | 黄晓芳 | 集成可视化生物特征及一次性数字签名的系统与方法 |
CN104038343A (zh) * | 2014-05-04 | 2014-09-10 | 安徽云盾信息技术有限公司 | 一种根签名盾生成的方法 |
CN105281908B (zh) * | 2014-07-23 | 2019-08-06 | 阿里巴巴集团控股有限公司 | USB Key、USB Key数字证书写入方法和装置 |
CN105871791A (zh) * | 2015-01-23 | 2016-08-17 | 中兴通讯股份有限公司 | 一种处理数字签名的方法和装置 |
CN105681340B (zh) * | 2016-03-07 | 2019-05-14 | 吴晓军 | 一种数字证书的使用方法及装置 |
CN108242998A (zh) * | 2016-12-27 | 2018-07-03 | 航天信息股份有限公司 | 一种移动设备通过二维码提取数字证书的方法及系统 |
JP7158830B2 (ja) * | 2017-06-08 | 2022-10-24 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
CN108234119B (zh) * | 2018-01-30 | 2021-06-22 | 京信通信系统(中国)有限公司 | 一种数字证书管理方法和平台 |
CN109388931A (zh) * | 2018-09-12 | 2019-02-26 | 航天信息股份有限公司 | 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置 |
CN109829282B (zh) * | 2018-12-27 | 2022-04-26 | 航天信息股份有限公司 | 基于数字证书认证系统的数字证书处理方法及装置 |
CN110719174B (zh) * | 2019-09-18 | 2022-09-06 | 深圳市元征科技股份有限公司 | 基于Ukey的证书签发方法 |
CN112073967B (zh) * | 2020-08-14 | 2022-10-25 | 中信银行股份有限公司 | 一种手机盾设备身份证书下载的方法、装置和电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1801029A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 生成数字证书及应用该所生成的数字证书的方法 |
CN101136743A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种数字证书更新方法及系统 |
CN101212291A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
-
2009
- 2009-06-26 CN CN200910087969A patent/CN101645889B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1801029A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 生成数字证书及应用该所生成的数字证书的方法 |
CN101136743A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种数字证书更新方法及系统 |
CN101212291A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN101645889A (zh) | 2010-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101645889B (zh) | 一种下发数字证书的方法 | |
CN111046352B (zh) | 一种基于区块链的身份信息安全授权系统与方法 | |
JP2020145733A (ja) | 信頼できるアイデンティティを管理する方法 | |
CN105900375B (zh) | 用于在认证交易中保护身份的设备、系统和方法 | |
JP5295479B2 (ja) | 鍵シードにより電子鍵の不正配信および使用を防止するための方法およびシステム | |
CN100561916C (zh) | 一种更新认证密钥的方法和系统 | |
CN110798315A (zh) | 基于区块链的数据处理方法、装置及终端 | |
CN101399666A (zh) | 文件数字证书安全控制方法及系统 | |
CN101373500B (zh) | 一种电子文档使用权的管理方法 | |
US20220038287A1 (en) | Protection device and dongle and method for using the same | |
JP2005522775A (ja) | 情報保存システム | |
CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
CN107920052B (zh) | 一种加密方法及智能装置 | |
CN105207776A (zh) | 一种指纹认证方法及系统 | |
CN101924739A (zh) | 一种软件证书及私钥的加密存储并找回的方法 | |
CN112565265A (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
JP2010231404A (ja) | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム | |
JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
Chen et al. | Enhancement of the RFID security method with ownership transfer | |
US20170330177A1 (en) | Payment terminal authentication | |
US11729159B2 (en) | System security infrastructure facilitating protecting against fraudulent use of individual identity credentials | |
JPWO2011058629A1 (ja) | 情報管理システム | |
CN104283868A (zh) | 面向物联网和云计算安全存储分布式文件系统的加密方法 | |
KR102475434B1 (ko) | 암호화폐 보안 방법 및 시스템 | |
CN101729508A (zh) | 一种内容管理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |
|
CP03 | Change of name, title or address |