一种基于智能密码钥匙的安全发证方法
技术领域
本发明涉及一种计算机安全技术,具体涉及一种基于智能密码钥匙的安全发证方法。
背景技术
电子证书(Digital Certificate)又称为数字证书或数位证书,是一种用于电脑的身份识别机制。随着电子商务应用的发展,电子证书将得到更加广泛的应用。
PKI是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名服务及所需密钥和证书的管理体系。它采用证书管理公钥,通过可信第三方的认证机构CA,把用户的公钥和用户其他信息(如名称、电子邮件、身份证号等)捆绑在一起,在公钥加密技术基础上对证书的产生、管理、存储、发布以及撤销进行管理,并通过延伸到用户本地的接口为各种应用提供安全服务,包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成:证书申请者、注册机构、认证中心、证书库和证书信任方。
其中注册机构RA系统提供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用户等功能为整个机构体系提供电子认证服务。
在通常情况下,RA是处于集中式管理的状态,如中国的省级行政划分中只有省会才有RA机构,那么对于边远的人们来说,办理一张证书将是一项非常繁杂的事情,可能需要等待很长时间才能完成整个流程,使得证书办理的效率非常低。
为了提高电子证书办理的效率,更加方便地颁发证书,人们提供一种基于LRA(Local Registration Authority)技术的电子证书的颁发方法。该方法中LRA处于相对灵活的地点,如乡镇派出所等,由此LRA可能处于不安全的环境中,这大大降低子证书颁发过程的安全性。
为了保证电子证书颁发过程的安全性,在传统的解决方案中,一般采用物理方法进行因特网和内部网的隔离,如建立专线,也就是说,从RA到LRA之间建立一条专门的线路,但是LRA数量上比较多,导致成本非常高。
发明内容
本发明针对现有电子证书颁发过程中事项繁杂、效率低以及为提高电子证书颁发安全性所需成本极高等问题,而提供一种效率高、安全性高以及成本低的电子证书发证方法。
为了达到上述目的,本发明采用如下的技术方案:
一种基于智能密码钥匙的安全发证方法,该方法通过持有智能密码钥匙的LRA进行电子证书的颁发,所述智能密码钥匙中存储有CA颁发给LRA的数字证书、CA和VRA的数字证书。
在本发明的优选方案中,所述发证方法具体包括如下步骤:
(1)用户向LRA提供申请信息以申请数字证书;
(2)LRA对用户提供的申请信息进行审核;
(3)LRA将审核好的信息提交至VRA;
(4)RA根据VRA接收到的信息向CA请求证书;
(5)CA将签名后的证书发给RA,然后由RA发给VRA;
(6)VRA用LRA数字证书对应的公钥加密证书,并发给LRA;
(7)LRA将接收到的证书用所持有数字证书对应的私钥解密,并用CA的数字证书验证CA签名,若验证通过将接收的证书写入到用户的证书载体内。
进一步的,所述步骤(3)和步骤(6)前还包括LRA和VRA之间信任关系的建立步骤:
(1.1)LRA产生一段随机数据,然后用VRA的公钥加密,发送给VRA;
(1.2)VRA接收到加密信息后,通过其私钥进行解密,然后将解密信息用LRA的公钥加密,发送给LRA;
(1.3)LRA通过私钥将接收到信息进行解密,并与原有随机数据进行比对,相同则LRA信任VRA,不同则不信任VRA;
(1.4)再利用步骤(1.1)至步骤(1.3)的方式完成VRA对LRA的信任关系的确定,并由此完成LRA和VRA之间信任关系的建立。
再进一步的,所述步骤(7)中将证书写入证书载体时,需要重新确认用户信息。
根据上述技术方案得到的本发明利用已颁发的、合法的智能密码钥匙来保证发证流程的安全性,在保证能够安全地穿越因特网同时避免在VRA到LRA之间建立专门的线路,大大降低其成本。
再者,本发明利用持有智能密码钥匙的LRA进行证书的颁发,大大减少申请数字证书的繁琐事宜,极大的提高了证书的颁发效率。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的原理图;
图2为本发明实施的流程图;
图3为本发明中信任关系的确认示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
为了解决现有数字证书颁发流程中所存在的问题,本发明提供一种基于智能密码钥匙的安全发证方法。该方法是通过已颁发的、合法的智能密码钥匙来保证发证流程的安全性,而且在智能密码钥匙中,CA(Certificate Authority)已经将证书写入,其身份是合法的。当LRA持有这一智能密码钥匙时,LRA具有相应的权限,如申请、审核、颁发证书等。
参见图1,基于智能密码钥匙的安全发证流程包括用户、LRA、VRA、RA和CA五部分。首先用户向LRA提出申请,然后LRA将确认的申请发送给VRA,VRA提交给RA,RA向CA请求证书,最后CA将证书发给RA,然后RA发给VRA,VRA将证书发送给LRA,LRA接收到证书后将其写入用户的证书载体内。
这种发证流程通过持有智能密码钥匙的LRA进行,其与传统的发证流程相比,这种发证流程将颁发证书的权限授予LRA,而不只是RA才能颁发证书。所以,这种发证流程更加灵活,更加高效。
基于上述原理,本发明的具体实施如下(参见图2):
1)用户通过LRA向VRA提交证书申请并提供相关信息:
LRA根据用户提供的信息就地进行初步核对,核对通过后将用户信息加密发给经过身份认证的VRA。在这一过程中,需要建立用户、LRA和VRA之间的信任关系,如图3所示。
①LRA和用户信任关系的建立:LRA就地通过用户提交的身份证件或当地行政管理机构初步确认用户身份信息;同时用户可以通过当地行政管理体系、第三方证书校验或旁路验证方式确立对LRA的信任。
②LRA与VRA信任关系的建立:通过不安全的互联网,采用基于PKI的双向认证技术,具体流程如下,首先LRA产生一随机数据R,然后用VRA的公钥RKVRA加密,得到密文E1=(R)PKVRA,将E1发送给VRA;VRA接收到加密信息E1’后,用私钥SKVRA进行解密,得到R’,然后将解密信息R’用根据LRA证书得到的公钥PKLRA加密,得到E2=(R’)PKLRA,发送给LRA,LRA将接收到的信息用私钥SKLRA进行解密,得到R”与原有数据R进行比对,相同则LRA信任VRA,不同则不信任VRA;同理,VRA也可以用这一方法完成对LRA的信任。
一旦完成上述信任关系的建立,LRA可产生一随机数r,用该随机数r作为对称密钥对用户信息U进行对称加密,得到EU,然后将该对称密钥r用VRA的公钥PKVRA加密,得到Er=(r)PKVRA,最后将加密后的对称密钥和用户数据(Er||EU)发给VRA。
2)当VRA接收到LRA提交的用户信息后,用私钥SKVRA解密对称密钥Er,然后用对称密钥r解密用户信息,最后将解密得到的用户信息U后提交给RA。
3)RA根据LRA提交的用户信息U进行审核,审核通过后颁发相应的证书。RA向CA请求产生用户证书CU及相应的私钥SKU,打包交由对应的VRA,VRA首先用自己的私钥SKVRA对数据签名,得到DU=(CU||SKU)SKVRA,然后用随机数r’作为对称密钥对数据进行加密,得到EU=(DU||CU||SKU)r’,再用LRA的公钥PKLRA对对称密钥r’进行加密,得到Er’=(r’)PKLRA,最后将加密过的数据和对称密钥(EU||Er’)发送给LRA。
4)LRA接收到证书后,用LRA的私钥SKLRA解密对称密钥Er’,得到r’,然后用对称密钥r’解密出VRA签名过的数据,得到DU||CU,再用VRA的公钥对数据进行验签,如果签名数据与DU一致,则对来自VRA的数据验签成功。然后用CA的根证书再一次验证CA颁发的用户证书。如果验签成功,则将证书颁发给用户。
通过这一系列基于PKI技术的信任关系的建立,对RA的信任可以由VRA进一步拓展到LRA,实现远程安全发证的信任链。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。