CN101989991B - 安全导入密钥的方法及电子签名工具、认证设备及系统 - Google Patents
安全导入密钥的方法及电子签名工具、认证设备及系统 Download PDFInfo
- Publication number
- CN101989991B CN101989991B CN 201010563609 CN201010563609A CN101989991B CN 101989991 B CN101989991 B CN 101989991B CN 201010563609 CN201010563609 CN 201010563609 CN 201010563609 A CN201010563609 A CN 201010563609A CN 101989991 B CN101989991 B CN 101989991B
- Authority
- CN
- China
- Prior art keywords
- key
- pki
- electric signing
- signing tools
- special
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开一种安全导入密钥的方法及电子签名工具、认证设备与系统。该方法包括:生成随机数R1,将随机数R1用预先写入的专用公钥K0的公钥加密得到加密数据,将加密数据用预先生成并保存的保护密钥对K1的私钥计算签名得到签名结果数据;将签名结果数据与身份识别信息向存储有所述专用公钥K0的私钥和所述保护密钥对K1的公钥的认证设备传送;使认证设备根据签名结果数据与身份识别信息及存储的专用公钥K0的私钥和保护密钥对K1的公钥进行合法性认证后,将准备导入的工作密钥Ks加密并签名后形成回复用签名数据;接收并解密认证设备回复的签名数据得到导入的工作密钥Ks。该方法不依赖于特定的安全环境,用网络可向电子签名工具安全导入工作密钥。
Description
技术领域
本发明涉及电子技术应用领域,尤其涉及一种向电子签名工具安全导入密钥的方法及电子签名工具、认证设备及系统。
背景技术
随着身份认证技术的发展和应用,电子签名工具被越来越多地应用到身份认证领域中,目前主要的应用领域有两大类:金融领域和政府机构。在金融领域中应用,根据《中华人民共和国电子签名法》的要求,作为个人身份的认证工具,要求电子签名工具内的私钥不可被读出、修改等;而在政府机构内应用,为了便于监管,要求电子签名工具内的私钥(即工作密钥)是可控的,所以一般都采用将私钥写入电子签名工具的方式,这样就出现了写入私钥时的安全问题。目前的做法都是基于安全环境下完成向电子签名工具写入私钥,私钥都是明文或者简单加密后写入电子签名工具,这对环境的安全要求很高,此外如果更换私钥时,需要对电子签名工具进行回收后在特定的安全环境下才能进行私钥更换,十分不方便。
发明内容
基于现有技术所存在的问题,本发明实施方式提供一种向电子签名工具安全导入密钥的方法及电子签名工具、认证设备及系统,不用在特定的安全环境下,即可保证向电子签名工具导入私钥的安全性,而且在后续使用中,不用回收至安全的环境下即可方便进行私钥的更换。
本发明的目的是通过下述技术方案实现的:
本发明实施方式一种安全导入密钥的方法,包括:
生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密得到加密数据,将加密数据用预先生成并保存的保护密钥对K1的私钥计算签名得到签名结果数据;
将所述签名结果数据与身份识别信息向存储有所述专用公钥K0的私钥和所述保护密钥对K1的公钥的认证设备传送;使所述认证设备能利用所述签名结果数据与身份识别信息及存储的所述专用公钥K0的私钥和所述保护密钥对K1的公钥进行合法性认证,认证通过后,将准备导入的工作密钥Ks加密并签名后得到签名数据,并回复所述签名数据;
接收并验算所述认证设备回复的所述签名数据,验算正确后用所述保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks并进行保存。
所述身份识别信息包括:电子签名工具的序列号。
所述方法还包括:对预先写入的专用公钥K0的公钥进行更新或覆盖时,要通过预先存储在认证设备中的该专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的公钥对预先写入的所述专用公钥K0的公钥进行更新或覆盖。
所述使所述认证设备能利用所述签名结果数据与身份识别信息及存储的所述专用公钥K0的私钥和所述保护密钥对K1的公钥进行合法性认证,认证通过后,将准备导入的工作密钥Ks加密并签名后得到签名数据包括:
所述认证设备能通过所述身份识别信息检索到存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算,验算正确后,用存储的专用公钥K0的私钥对所述签名结果数据进行解密得到所述随机数R1;并将所述认证设备自身生成的特征数据R2、所述随机数R1和准备导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述专用公钥K0的私钥计算签名得到签名数据。
本发明实施方式还提供一种安全导入密钥的方法,包括:
接收电子签名工具发送的签名结果数据和电子签名工具的身份识别信息;其中,所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
通过所述电子签名工具的身份识别信息检索到预先接收并存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算;
验算正确后,用预先存储的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1,将所述随机数R1和自身生成的特征数据R2及准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述专用公钥K0的私钥计算签名得到签名数据;
将所述签名数据回复给电子签名工具,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存。
所述方法还包括:对电子签名工具中预先写入的专用公钥K0的公钥进行更新或覆盖时,用预先存储的专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的所述公钥对电子签名工具中预先写入的所述专用公钥K0的公钥进行更新或覆盖。
本发明实施方式进一步提供一种电子签名工具,包括:
密钥存储模块、密钥生成模块、随机数生成模块、签名处理模块、发送模块和接收处理模块;
所述密钥存储模块,用于保存预先写入的专用公钥K0的公钥,及保存密钥生成模块生成的保护密钥对K1的私钥,及保存接收处理模块接收处理认证设备回复的签名数据后得到的工作密钥Ks;
所述密钥生成模块,用于生成保护密钥对K1,并将所述保护密钥对K1的私钥保存至所述密钥存储模块;
所述随机数生成模块,用于生成随机数R1;
所述签名处理模块,用于将所述随机数生成模块生成的所述随机数R1用所述密钥存储模块存储的所述专用公钥K0的公钥加密后,将加密数据用所述密钥生成模块生成的保存在所述密钥存储模块的保护密钥对K1的私钥计算签名得到签名结果数据;
所述传送模块,用于将所述保护密钥对K1的公钥传送至预先存储所述专用公钥K0的私钥的认证设备,并将所述签名结果数据与身份识别信息向所述认证设备传送;
所述接收处理存储模块,用于接收并对所述认证设备回复的所述签名数据进行验算,验算正确后用所述密钥存储模块存储的保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks,并用所述密钥存储模块对所述工作密钥Ks进行保存。
所述电子签名工具还包括:更新认证模块,用于在对所述密钥存储模块保存的预先写入的专用公钥K0的公钥进行更新或覆盖时,用预先存储在认证设备中的所述专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的公钥对所述密钥存储模块中保存的预先写入的所述专用公钥K0的公钥进行更新或覆盖。
本发明实施方式提供一种认证设备,包括:
接收模块、密钥存储模块、验算处理模块、解密处理模块、随机数生成模块、加密及签名处理模块和发送模块;
所述接收模块,用于接收电子签名工具发送的保护密钥对K1的公钥、签名结果数据和电子签名工具的身份识别信息,其中,所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
所述密钥存储模块,用于对预先存入的专用公钥K0的私钥进行保存,及保存所述接收模块接收的由电子签名工具发送的保护密钥对K1的公钥,及保存准备向所述电子签名工具导入的工作密钥Ks;
所述验算处理模块,用于利用所述接收模块接收的所述电子签名工具的身份识别信息在所述密钥存储模块中检索到预先接收并保存的所述保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算;
所述解密处理模块,用于在所述验算处理模块验算正确后,用所述密钥存储模块保存的预先存入的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1;
所述随机数生成模块,用于生成特征数据R2;
所述加密及签名处理模块,用于将所述解密处理模块解密得到的所述随机数R1和所述随机数生成模块生成的特征数据R2及所述密钥存储模块保存的准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述密钥存储模块保存的所述专用公钥K0的私钥计算签名得到签名数据;
所述发送模块,用于将所述加密及签名处理模块得到的所述签名数据向电子签名工具回复,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存。
本发明实施方式再提供一种安全导入私钥的系统,包括:
至少一个认证设备和至一个电子签名工具;所述认证设备采用上述的认证设备,所述电子签名工具采用上述的电子签名工具;
所述认证设备与电子签名工具通信连接,将工作密钥Ks安全导入到电子签名工具中。
通过本发明实施例提供的技术方案可以看出,本发明实施例中通过在导入工作密钥的过程中,将首先由电子签名工具生成合法性认证的数据,传递与电子签名工具通信连接的给后台系统的认证设备,在认证设备验证电子签名工具的合法性后,再将准备导入的工作密钥加密后传送给电子签名工具,电子签名工具解密后即可得到准备导入的工作密钥。该方法处理过程简单,不必依赖于特定的安全环境,可以通过普通的网络将工作密钥(也可以是密钥对、公钥等)安全的导入到电子签名工具内,提高了向电子签名工具导入工作密钥的安全性和便利性。
附图说明
图1为本发明实施例1提供的方法流程图;
图2为本发明实施例2提供的方法流程图;
图3为本发明实施例3提供的电子签名工具的结构框图;
图4为本发明实施例4提供的认证设备的结构框图;
图5为本发明实施例5提供的系统的示意图。
具体实施方式
下面结合具体实施例对本发明作进一步说明。
实施例1
本实施例提供一种安全导入密钥的方法,用于向电子签名工具(如:USBKey装置)安全的导入工作密钥,如图1所示,该方法包括:
步骤1,电子签名工具预先写入的专用公钥K0的公钥,并生成保护密钥对K1,保存所述保护密钥对K1的私钥,将所述保护密钥对K1的公钥传送至预先存入所述专用公钥K0的私钥的认证设备;
步骤2,生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密得到加密数据,将加密数据用预先生成并保存的保护密钥对K1的私钥计算签名得到签名结果数据;
步骤3,将所述签名结果数据与身份识别信息(可以是电子签名工具的序列号,也可以是其它的身份识别信息)向存储有所述专用公钥K0的私钥和所述保护密钥对K1的公钥的认证设备传送;使所述认证设备能利用所述签名结果数据与身份识别信息及存储的所述专用公钥K0的私钥和所述保护密钥对K1的公钥进行合法性认证,认证通过后,将准备导入的工作密钥Ks加密并签名后得到签名数据,并回复所述签名数据;
上述步骤3中,使所述认证设备能利用所述签名结果数据与身份识别信息及存储的所述专用公钥K0的私钥和所述保护密钥对K1的公钥进行合法性认证,认证通过后,将准备导入的工作密钥Ks加密并签名后得到签名数据包括:
所述认证设备能通过所述身份识别信息检索到存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算,验算正确后,用存储的专用公钥K0的私钥对所述签名结果数据进行解密得到所述随机数R1;并将所述认证设备自身生成的特征数据R2、所述随机数R1和准备导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述专用公钥K0的私钥计算签名得到签名数据。
其中,认证设备生成的特征数据R2可以生成的随机数,也可以是认证设备利用其时钟等其他参数生成的特征数据。
步骤4,接收并验算所述认证设备回复的所述签名数据,验算正确后用所述保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks并进行保存。
在上述方法中,对预先写入的专用公钥K0的公钥进行更新或覆盖时,要通过预先存储在认证设备中的该专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的公钥对预先写入的所述专用公钥K0的公钥进行更新或覆盖。
实施例2
本实施例提供一种安全导入密钥的方法,用于向电子签名工具安全的导入工作密钥,如图2所示,该方法包括:
步骤21,认证设备接收电子签名工具发送的保护密钥对K1的公钥、签名结果数据和电子签名工具的身份识别信息;其中,所述保护密钥对K1的公钥为:电子签名工具生成的保护密钥对K1的公钥;所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的所述专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
步骤22,认证设备通过所述电子签名工具的身份识别信息检索到预先接收并存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算;
步骤23,验算正确后,用预先存储的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1,将所述随机数R1和自身生成的特征数据R2及准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述专用公钥K0的私钥计算签名得到签名数据;
步骤24,将所述签名数据回复给电子签名工具,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存,至此,完成将工作密钥Ks导入到电子签名工具中。
下面通过利用后台的认证设备,向电子签名工具安全导入工作密钥的过程,对上述实施例1、2的方法作进一步说明:
本发明实施例的方法,可以实现通过普通的网络将私钥(也可以是密钥对)安全的写入电子签名工具内,具体如下:
在电子签名工具生产时,写入一个认证设备(设置在后台系统)的专用公钥K0(此公钥可以事先由后台系统生成,K0的私钥由后台系统保存,公钥发送给厂商用于电子签名工具的生产;在电子签名工具内不可被覆盖或者只能通过这个专用公钥K0对应的私钥的认证后才能被更新或覆盖),同时在电子签名工具内部生成一个保护密钥对K1,保护私钥自己保存起来,保护公钥统一发送给后台系统的认证设备;
需要向电子签名工具内写入工作密钥的私钥Ks时(此私钥由相关系统生成),采用以下过程:
(1)电子签名工具生成随机数R1,用K0的公钥加密,用K1的私钥计算签名后连同电子签名工具的序列号一起发送给后台系统的认证设备;
(2)后台系统的认证设备通过签名工具的序列号检索到K1的公钥,验算签名是否正确;
(3)验算签名正确后,用K0的私钥解密,获得R1;
(4)将后台系统的认证设备自己生成的特征数据R2与R1一起,连同Ks用K1的公钥加密,对加密结果数据用K0的私钥计算签名,向电子签名工具下发;
(5)电子签名工具验算K0的签名,正确后,用K1的私钥解密获得Ks存储在电子签名工具内部,即完成将工作密钥Ks导入到电子签名工具中。
本发明实施例的方法具有易于实现、实用性强和便于普及的优点,并且,由于导入的工作密钥Ks在传递过程中是密文的,而且只有电子签名工具内部才能解密获得,其安全性完全依赖加、解密算法和后台自身的系统安全,对前端数据写入的环境安全性要求大大降低。应用本发明实施例的方法,增加了电子签名工具应用的安全性,提高了向电子签名工具更换工作密钥的便利性。
实施例3
本实施例提供一种电子签名工具,可与后台系统的认证设备通信,利用网络进行工作密钥的安全导入,如图3所示,该电子签名工具包括:密钥存储模块31、密钥生成模块32、随机数生成模块33、签名处理模块34、发送模块35和接收处理模块36;
其中,所述密钥存储模块31,用于保存预先写入的专用公钥K0的公钥,及保存密钥生成模块32生成的保护密钥对K1的私钥,及保存接收处理模块36接收处理认证设备回复的签名数据后得到的工作密钥Ks;
所述密钥生成模块32,用于生成保护密钥对K1,并将所述保护密钥对K1的私钥保存至所述密钥存储模块;
所述随机数生成模块33,用于生成随机数R1;
所述签名处理模块34,用于将所述随机数生成模块32生成的所述随机数R1用所述密钥存储模块存储的所述专用公钥K0的公钥加密后,将加密数据用所述密钥生成模块生成并保存在所述密钥存储模块的保护密钥对K1的私钥计算签名得到签名结果数据;
所述传送模块35,用于将所述保护密钥对K1的公钥传送至预先存储所述专用公钥K0的私钥的认证设备,并将所述签名结果数据与身份识别信息向所述认证设备传送;
所述接收处理存储模块36,用于接收并对所述认证设备回复的所述签名数据进行验算,验算正确后用所述密钥存储模块存储的保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks,并用所述密钥存储模块对所述工作密钥Ks进行保存。
在上述电子签名工具基础上,还可以设置更新认证模块37,用于在对所述密钥存储模块31保存的预先写入的专用公钥K0的公钥进行更新或覆盖时,要用预先存储在认证设备中的所述专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的所述公钥对所述密钥存储模块中保存的预先写入的所述专用公钥K0的公钥进行更新或覆盖。
实施例4
本实施例提供一种认证设备,可作在后台系统中,与电子签名工具通信,利用网络向电子签名工具中安全导入工作密钥,如图4所示,该认证设备包括:接收模块41、密钥存储模块42、验算处理模块43、解密处理模块44、随机数生成模块45、加密及签名处理模块46和发送模块47;
其中,所述接收模块41,用于接收电子签名工具发送的保护密钥对K1的公钥、签名结果数据和电子签名工具的身份识别信息,其中,所述保护密钥对K1的公钥为:电子签名工具生成的保护密钥对K1的公钥;所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
所述密钥存储模块42,用于对预先存入的专用公钥K0的私钥进行保存,及保存所述接收模块41接收的由电子签名工具发送的保护密钥对K1的公钥,及保存准备向所述电子签名工具导入的工作密钥Ks;
所述验算处理模块43,用于利用所述接收模块41接收的所述电子签名工具的身份识别信息在所述密钥存储模块中检索到预先接收并保存的所述保护密钥对K1的公钥,用检索到的所述保护密钥对K1的公钥对所述签名结果数据进行验算;
所述解密处理模块44,用于在所述验算处理模块43验算正确后,用所述密钥存储模块42保存的预先存入的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1;
所述随机数生成模块45,用于生成特征数据R2;
所述加密及签名处理模块46,用于将所述解密处理模块解密得到的所述随机数R1和所述随机数生成模块45生成的特征数据R2及所述密钥存储模块保存的准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述密钥存储模块保存的所述专用公钥K0的私钥计算签名得到签名数据;
所述发送模块47,用于将所述加密及签名处理模块46得到的所述签名数据向电子签名工具回复,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存。
实施例5
本实施例提供一种向电子签名工具安全导入私钥的系统,可通过网络向电子签名工具中安全的导入工作密钥,如图5所示,该系统包括:
至少一个认证设备51和至一个电子签名工具52;所述认证设备51采用上述实施例4给出的认证设备,所述电子签名工具采用上述实施例3给出的电子签名工具;
所述认证设备51与电子签名工具52通信连接,通过两者配合,利用网络将工作密钥Ks安全导入到电子签名工具中。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (8)
1.一种安全导入密钥的方法,其特征在于,包括:
生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密得到加密数据,将加密数据用预先生成并保存的保护密钥对K1的私钥计算签名得到签名结果数据;
将所述签名结果数据与身份识别信息向存储有所述专用公钥K0的私钥和所述保护密钥对K1的公钥的认证设备传送;
所述认证设备能通过所述身份识别信息检索到存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算,验算正确后,用存储的专用公钥K0的私钥对所述签名结果数据进行解密得到所述随机数R1;并将所述认证设备自身生成的特征数据R2、所述随机数R1和准备导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述专用公钥K0的私钥计算签名得到签名数据;
接收并验算所述认证设备回复的所述签名数据,验算正确后用所述保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks并进行保存。
2.根据权利要求1所述的安全导入密钥的方法,其特征在于,所述身份识别信息包括:电子签名工具的序列号。
3.根据权利要求1所述的一种安全导入密钥的方法,其特征在于,所述方法还包括:对预先写入的专用公钥K0的公钥进行更新或覆盖时,要通过预先存储在认证设备中的该专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的公钥对预先写入的所述专用公钥K0的公钥进行更新或覆盖。
4.一种安全导入密钥的方法,其特征在于,包括:
接收电子签名工具发送的签名结果数据和电子签名工具的身份识别信息;其中,所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
通过所述电子签名工具的身份识别信息检索到预先接收并存储的保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算;
验算正确后,用预先存储的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1,将所述随机数R1和自身生成的特征数据R2及准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果 数据用所述专用公钥K0的私钥计算签名得到签名数据;
将所述签名数据回复给电子签名工具,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存。
5.根据权利要求4所述的安全导入密钥的方法,其特征在于,所述方法还包括:
对电子签名工具中预先写入的专用公钥K0的公钥进行更新或覆盖时,用预先存储的专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的所述公钥对电子签名工具中预先写入的所述专用公钥K0的公钥进行更新或覆盖。
6.一种认证设备,其特征在于,包括:
接收模块、密钥存储模块、验算处理模块、解密处理模块、随机数生成模块、加密及签名处理模块和发送模块;
所述接收模块,用于接收电子签名工具发送的保护密钥对K1的公钥、签名结果数据和电子签名工具的身份识别信息,其中,所述签名结果数据为:由电子签名工具生成随机数R1,将所述随机数R1用预先写入的专用公钥K0的公钥加密后,用预先生成的保护密钥对K1的私钥计算签名得到的签名结果数据;
所述密钥存储模块,用于对预先存入的专用公钥K0的私钥进行保存,及保存所述接收模块接收的由电子签名工具发送的保护密钥对K1的公钥,及保存准备向所述电子签名工具导入的工作密钥Ks;
所述验算处理模块,用于利用所述接收模块接收的所述电子签名工具的身份识别信息在所述密钥存储模块中检索到预先接收并保存的所述保护密钥对K1的公钥,用所述保护密钥对K1的公钥对所述签名结果数据进行验算;
所述解密处理模块,用于在所述验算处理模块验算正确后,用所述密钥存储模块保存的预先存入的专用公钥K0的私钥对所述签名结果数据进行解密得到由电子签名工具生成的随机数R1;
所述随机数生成模块,用于生成特征数据R2;
所述加密及签名处理模块,用于将所述解密处理模块解密得到的所述随机数R1和所述随机数生成模块生成的特征数据R2及所述密钥存储模块保存的准备向所述电子签名工具导入的工作密钥Ks一同用所述保护密钥对K1的公钥进行加密,将加密结果数据用所述密钥存储模块保存的所述专用公钥K0的私钥计算签名得到签名数据;
所述发送模块,用于将所述加密及签名处理模块得到的所述签名数据向电子签名工 具回复,使电子签名工具在接收并验算回复的所述签名数据正确后,用电子签名工具存储的保护密钥对K1的私钥解密得到准备导入的所述工作密钥Ks并进行保存。
7.一种向电子签名工具安全导入私钥的系统,其特征在于,包括:
至少一个认证设备和至少一个电子签名工具;所述认证设备采用上述权利要求6所述的认证设备,所述电子签名工具包括:
密钥存储模块、密钥生成模块、随机数生成模块、签名处理模块、发送模块和接收处理模块;
所述密钥存储模块,用于保存预先写入的专用公钥K0的公钥,及保存密钥生成模块生成的保护密钥对K1的私钥,及保存接收处理模块接收处理认证设备回复的签名数据后得到的工作密钥Ks;
所述密钥生成模块,用于生成保护密钥对K1,并将所述保护密钥对K1的私钥保存至所述密钥存储模块;
所述随机数生成模块,用于生成随机数R1;
所述签名处理模块,用于将所述随机数生成模块生成的所述随机数R1用所述密钥存储模块存储的所述专用公钥K0的公钥加密后,将加密数据用所述密钥生成模块生成的保存在所述密钥存储模块的保护密钥对K1的私钥计算签名得到签名结果数据;
所述传送模块,用于将所述保护密钥对K1的公钥传送至预先存储所述专用公钥K0的私钥的认证设备,并将所述签名结果数据与身份识别信息向所述认证设备传送;
所述接收处理存储模块,用于接收并对所述认证设备回复的所述签名数据进行验算,验算正确后用所述密钥存储模块存储的保护密钥对K1的私钥对所述签名数据进行解密得到准备导入的所述工作密钥Ks,并用所述密钥存储模块对所述工作密钥Ks进行保存;
所述认证设备与电子签名工具通信连接,将工作密钥Ks安全导入到电子签名工具中。
8.根据权利要求7所述的向电子签名工具安全导入私钥的系统,其特征在于,所述电子签名工具还包括:
更新认证模块,用于在对所述密钥存储模块保存的预先写入的专用公钥K0的公钥进行更新或覆盖时,用预先存储在认证设备中的所述专用公钥K0的私钥对用于更新或覆盖的公钥进行认证,认证通过后才能用认证后的公钥对所述密钥存储模块中保存的预先写入的所述专用公钥K0的公钥进行更新或覆盖。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010563609 CN101989991B (zh) | 2010-11-24 | 2010-11-24 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010563609 CN101989991B (zh) | 2010-11-24 | 2010-11-24 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101989991A CN101989991A (zh) | 2011-03-23 |
| CN101989991B true CN101989991B (zh) | 2013-09-18 |
Family
ID=43746334
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010563609 Active CN101989991B (zh) | 2010-11-24 | 2010-11-24 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101989991B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102510333B (zh) * | 2011-09-30 | 2014-07-30 | 飞天诚信科技股份有限公司 | 一种授权认证方法及系统 |
| CN103095455B (zh) * | 2013-01-10 | 2015-11-18 | 天地融科技股份有限公司 | 用户私钥的存储方法和用户私钥的存储系统 |
| CN103269271B (zh) * | 2013-05-23 | 2016-12-07 | 天地融科技股份有限公司 | 一种备份电子签名令牌中私钥的方法和系统 |
| CN103281188B (zh) * | 2013-05-23 | 2016-09-14 | 天地融科技股份有限公司 | 一种备份电子签名令牌中私钥的方法和系统 |
| CN103346883B (zh) * | 2013-06-19 | 2016-12-28 | 天地融科技股份有限公司 | 一种初始化电子签名工具的方法及装置 |
| CN103944715B (zh) * | 2014-04-25 | 2017-09-19 | 天地融科技股份有限公司 | 一种基于协商密钥的数据处理方法 |
| CN103984906B (zh) * | 2014-05-28 | 2018-01-16 | 天地融科技股份有限公司 | 一种无按键的电子密钥设备 |
| CN105635062B (zh) * | 2014-10-31 | 2019-11-29 | 腾讯科技(上海)有限公司 | 网络接入设备的验证方法和装置 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| CN105406970B (zh) * | 2015-10-21 | 2019-03-12 | 浪潮电子信息产业股份有限公司 | 签名的方法及装置、验证签名的方法及装置 |
| CN105939194B (zh) * | 2015-11-11 | 2019-06-25 | 天地融科技股份有限公司 | 一种电子密钥设备私钥的备份方法和系统 |
| CN107294726B (zh) * | 2016-04-12 | 2021-01-15 | 阿里巴巴集团控股有限公司 | 虚拟加密机数据的导出导入以及处理方法、装置和系统 |
| CN105959112B (zh) * | 2016-07-05 | 2019-01-22 | 江苏先安科技有限公司 | 一种离线密钥注入系统及方法 |
| CN106059757A (zh) * | 2016-07-07 | 2016-10-26 | 北京信长城技术研究院 | 视音频监控设备及其数据加解密方法、视音频展示设备 |
| CN106060073B (zh) * | 2016-07-07 | 2019-03-26 | 北京仁信证科技有限公司 | 信道密钥协商方法 |
| CN106682459B (zh) * | 2017-02-28 | 2023-04-14 | 北京深盾科技股份有限公司 | 生产信息安全装置的方法、生产设备以及系统 |
| CN107317677B (zh) * | 2017-05-25 | 2020-02-07 | 苏州科达科技股份有限公司 | 密钥存储及设备身份认证方法、装置 |
| CN109039609A (zh) * | 2018-08-24 | 2018-12-18 | 深圳美图创新科技有限公司 | 密钥导入终端的方法及终端 |
| CN112311528B (zh) * | 2020-10-17 | 2023-06-23 | 深圳市德卡科技股份有限公司 | 一种基于国密算法的数据安全传输方法 |
| CN113285950B (zh) * | 2021-05-21 | 2023-02-24 | 清创网御(合肥)科技有限公司 | 一种基于加密卡的密钥传输和存储方法 |
| CN116055048B (zh) * | 2023-03-31 | 2023-05-30 | 成都四方伟业软件股份有限公司 | 一种分散密钥存储、还原方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378320B (zh) * | 2008-09-27 | 2011-09-28 | 北京数字太和科技有限责任公司 | 一种认证方法和认证系统 |
| CN101764691B (zh) * | 2009-12-17 | 2012-05-02 | 北京握奇数据系统有限公司 | 一种获取动态口令生成密钥的方法、设备和系统 |
-
2010
- 2010-11-24 CN CN 201010563609 patent/CN101989991B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| 一种新型证书及其公开密钥基础设施;沙瀛;《中国博士学位论文全文数据库》;20070228;I138-19 * |
| 沙瀛.一种新型证书及其公开密钥基础设施.《中国博士学位论文全文数据库》.2007,I138-19. |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101989991A (zh) | 2011-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101989991B (zh) | 安全导入密钥的方法及电子签名工具、认证设备及系统 | |
| CN201181472Y (zh) | 硬件密钥装置和移动存储系统 | |
| CN101789865B (zh) | 一种用于加密的专用服务器及加密方法 | |
| CN102006171B (zh) | 更新动态密码令牌内时钟的方法及令牌、认证设备、系统 | |
| CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
| CN103152366B (zh) | 获得终端权限的方法、终端及服务器 | |
| CN101122942B (zh) | 数据安全读取方法及其安全存储装置 | |
| CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及系统 | |
| CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| CN110855616B (zh) | 一种数字钥匙生成系统 | |
| US10693645B2 (en) | Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server | |
| CN101001142A (zh) | 一种基于迭代随机数产生器的加解密方法 | |
| US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
| CN106506149A (zh) | 一种tbox终端和tsp平台之间密钥生成方法以及系统 | |
| CN103051459B (zh) | 安全卡的交易密钥的管理方法和装置 | |
| CN110383755A (zh) | 网络设备和可信第三方设备 | |
| CN102903226B (zh) | 智能电表通信的数据传输方法 | |
| CN102056156B (zh) | 将计算机数据安全下载至移动终端的方法及系统 | |
| CN101883096B (zh) | 电子签名工具之间安全传递数据的方法、装置及系统 | |
| US11533612B2 (en) | Transceiver system | |
| CN106953917A (zh) | 数据同步方法及系统 | |
| CN101539978B (zh) | 基于空间的软件保护方法 | |
| KR101929355B1 (ko) | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 | |
| CN103324970A (zh) | 一种高效安全的rfid的收发方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 102211 Beijing city Changping District Baishan town 100 Ge Road No. 9 Building No. 2 hospital Applicant after: Tendyron Technology Co., Ltd. Address before: 100083, B, block 17, golden building, No. 1810 Qinghua East Road, Beijing, Haidian District Applicant before: Beijing Tendyron Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |