CN102255732B - 一种基于智能密码钥匙的安全发证方法 - Google Patents
一种基于智能密码钥匙的安全发证方法 Download PDFInfo
- Publication number
- CN102255732B CN102255732B CN201110254291.3A CN201110254291A CN102255732B CN 102255732 B CN102255732 B CN 102255732B CN 201110254291 A CN201110254291 A CN 201110254291A CN 102255732 B CN102255732 B CN 102255732B
- Authority
- CN
- China
- Prior art keywords
- lra
- vra
- certificate
- key
- intelligent code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种基于智能密码钥匙的安全发证方法,该方法通过持有智能密码钥匙的LRA(Local RA)进行电子证书的颁发,所述智能密码钥匙中存储有CA颁发给LRA的数字证书、CA和VRA(Virtual RA)的数字证书。该方法利用已颁发的、合法的智能密码钥匙来保证发证流程的安全性,在保证能够安全地穿越因特网同时避免在RA到LRA之间建立专门的线路,大大降低其成本。
Description
技术领域
本发明涉及一种计算机安全技术,具体涉及一种基于智能密码钥匙的安全发证方法。
背景技术
电子证书(Digital Certificate)又称为数字证书或数位证书,是一种用于电脑的身份识别机制。随着电子商务应用的发展,电子证书将得到更加广泛的应用。
PKI是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名服务及所需密钥和证书的管理体系。它采用证书管理公钥,通过可信第三方的认证机构CA,把用户的公钥和用户其他信息(如名称、电子邮件、身份证号等)捆绑在一起,在公钥加密技术基础上对证书的产生、管理、存储、发布以及撤销进行管理,并通过延伸到用户本地的接口为各种应用提供安全服务,包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成:证书申请者、注册机构、认证中心、证书库和证书信任方。
其中注册机构RA系统提供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用户等功能为整个机构体系提供电子认证服务。
在通常情况下,RA是处于集中式管理的状态,如中国的省级行政划分中只有省会才有RA机构,那么对于边远的人们来说,办理一张证书将是一项非常繁杂的事情,可能需要等待很长时间才能完成整个流程,使得证书办理的效率非常低。
为了提高电子证书办理的效率,更加方便地颁发证书,人们提供一种基于LRA(Local Registration Authority)技术的电子证书的颁发方法。该方法中LRA处于相对灵活的地点,如乡镇派出所等,由此LRA可能处于不安全的环境中,这大大降低子证书颁发过程的安全性。
为了保证电子证书颁发过程的安全性,在传统的解决方案中,一般采用物理方法进行因特网和内部网的隔离,如建立专线,也就是说,从RA到LRA之间建立一条专门的线路,但是LRA数量上比较多,导致成本非常高。
发明内容
本发明针对现有电子证书颁发过程中事项繁杂、效率低以及为提高电子证书颁发安全性所需成本极高等问题,而提供一种效率高、安全性高以及成本低的电子证书发证方法。
为了达到上述目的,本发明采用如下的技术方案:
一种基于智能密码钥匙的安全发证方法,该方法通过持有智能密码钥匙的LRA进行电子证书的颁发,所述智能密码钥匙中存储有CA颁发给LRA的数字证书、CA和VRA的数字证书。
在本发明的优选方案中,所述发证方法具体包括如下步骤:
(1)用户向LRA提供申请信息以申请数字证书;
(2)LRA对用户提供的申请信息进行审核;
(3)LRA将审核好的信息提交至VRA;
(4)RA根据VRA接收到的信息向CA请求证书;
(5)CA将签名后的证书发给RA,然后由RA发给VRA;
(6)VRA用LRA数字证书对应的公钥加密证书,并发给LRA;
(7)LRA将接收到的证书用所持有数字证书对应的私钥解密,并用CA的数字证书验证CA签名,若验证通过将接收的证书写入到用户的证书载体内。
进一步的,所述步骤(3)和步骤(6)前还包括LRA和VRA之间信任关系的建立步骤:
(1.1)LRA产生一段随机数据,然后用VRA的公钥加密,发送给VRA;
(1.2)VRA接收到加密信息后,通过其私钥进行解密,然后将解密信息用LRA的公钥加密,发送给LRA;
(1.3)LRA通过私钥将接收到信息进行解密,并与原有随机数据进行比对,相同则LRA信任VRA,不同则不信任VRA;
(1.4)再利用步骤(1.1)至步骤(1.3)的方式完成VRA对LRA的信任关系的确定,并由此完成LRA和VRA之间信任关系的建立。
再进一步的,所述步骤(7)中将证书写入证书载体时,需要重新确认用户信息。
根据上述技术方案得到的本发明利用已颁发的、合法的智能密码钥匙来保证发证流程的安全性,在保证能够安全地穿越因特网同时避免在VRA到LRA之间建立专门的线路,大大降低其成本。
再者,本发明利用持有智能密码钥匙的LRA进行证书的颁发,大大减少申请数字证书的繁琐事宜,极大的提高了证书的颁发效率。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的原理图;
图2为本发明实施的流程图;
图3为本发明中信任关系的确认示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
为了解决现有数字证书颁发流程中所存在的问题,本发明提供一种基于智能密码钥匙的安全发证方法。该方法是通过已颁发的、合法的智能密码钥匙来保证发证流程的安全性,而且在智能密码钥匙中,CA(Certificate Authority)已经将证书写入,其身份是合法的。当LRA持有这一智能密码钥匙时,LRA具有相应的权限,如申请、审核、颁发证书等。
参见图1,基于智能密码钥匙的安全发证流程包括用户、LRA、VRA、RA和CA五部分。首先用户向LRA提出申请,然后LRA将确认的申请发送给VRA,VRA提交给RA,RA向CA请求证书,最后CA将证书发给RA,然后RA发给VRA,VRA将证书发送给LRA,LRA接收到证书后将其写入用户的证书载体内。
这种发证流程通过持有智能密码钥匙的LRA进行,其与传统的发证流程相比,这种发证流程将颁发证书的权限授予LRA,而不只是RA才能颁发证书。所以,这种发证流程更加灵活,更加高效。
基于上述原理,本发明的具体实施如下(参见图2):
1)用户通过LRA向VRA提交证书申请并提供相关信息:
LRA根据用户提供的信息就地进行初步核对,核对通过后将用户信息加密发给经过身份认证的VRA。在这一过程中,需要建立用户、LRA和VRA之间的信任关系,如图3所示。
①LRA和用户信任关系的建立:LRA就地通过用户提交的身份证件或当地行政管理机构初步确认用户身份信息;同时用户可以通过当地行政管理体系、第三方证书校验或旁路验证方式确立对LRA的信任。
②LRA与VRA信任关系的建立:通过不安全的互联网,采用基于PKI的双向认证技术,具体流程如下,首先LRA产生一随机数据R,然后用VRA的公钥RKVRA加密,得到密文E1=(R)PKVRA,将E1发送给VRA;VRA接收到加密信息E1’后,用私钥SKVRA进行解密,得到R’,然后将解密信息R’用根据LRA证书得到的公钥PKLRA加密,得到E2=(R’)PKLRA,发送给LRA,LRA将接收到的信息用私钥SKLRA进行解密,得到R”与原有数据R进行比对,相同则LRA信任VRA,不同则不信任VRA;同理,VRA也可以用这一方法完成对LRA的信任。
一旦完成上述信任关系的建立,LRA可产生一随机数r,用该随机数r作为对称密钥对用户信息U进行对称加密,得到EU,然后将该对称密钥r用VRA的公钥PKVRA加密,得到Er=(r)PKVRA,最后将加密后的对称密钥和用户数据(Er||EU)发给VRA。
2)当VRA接收到LRA提交的用户信息后,用私钥SKVRA解密对称密钥Er,然后用对称密钥r解密用户信息,最后将解密得到的用户信息U后提交给RA。
3)RA根据LRA提交的用户信息U进行审核,审核通过后颁发相应的证书。RA向CA请求产生用户证书CU及相应的私钥SKU,打包交由对应的VRA,VRA首先用自己的私钥SKVRA对数据签名,得到DU=(CU||SKU)SKVRA,然后用随机数r’作为对称密钥对数据进行加密,得到EU=(DU||CU||SKU)r’,再用LRA的公钥PKLRA对对称密钥r’进行加密,得到Er’=(r’)PKLRA,最后将加密过的数据和对称密钥(EU||Er’)发送给LRA。
4)LRA接收到证书后,用LRA的私钥SKLRA解密对称密钥Er’,得到r’,然后用对称密钥r’解密出VRA签名过的数据,得到DU||CU,再用VRA的公钥对数据进行验签,如果签名数据与DU一致,则对来自VRA的数据验签成功。然后用CA的根证书再一次验证CA颁发的用户证书。如果验签成功,则将证书颁发给用户。
通过这一系列基于PKI技术的信任关系的建立,对RA的信任可以由VRA进一步拓展到LRA,实现远程安全发证的信任链。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种基于智能密码钥匙的安全发证方法,其特征在于,所述方法通过已颁发的、合法的智能密码钥匙来保证发证流程的安全性,并且由持有智能密码钥匙的LRA进行电子证书的申请、审核、颁发,所述智能密码钥匙中存储有CA颁发给LRA的数字证书、CA和VRA的数字证书;所述发证方法具体包括如下步骤:
(1)用户向LRA提供申请信息以申请数字证书;
(2)LRA对用户提供的申请信息进行审核;
(3)LRA将审核好的信息提交至VRA;
(4)RA根据VRA接收到的信息向CA请求证书;
(5)CA将签名后的证书发给RA,然后由RA发给VRA;
(6)VRA用LRA数字证书对应的公钥加密证书,然后发给LRA;
(7)LRA将接收到的证书用所持有数字证书对应的私钥解密,并用CA的数字证书验证CA签名,若验证通过将接收的证书写入到用户的证书载体内。
2.根据权利要求1所述的一种基于智能密码钥匙的安全发证方法,其特征在于,所述步骤(3)和步骤(6)前还包括LRA和VRA之间信任关系的建立步骤:
(1.1)LRA产生一段随机数据,然后用VRA的公钥加密,发送给VRA;
(1.2)VRA接收到加密信息后,通过其私钥进行解密,然后将解密信息用LRA的公钥加密,发送给LRA;
(1.3)LRA通过私钥将接收到信息进行解密,并与原有随机数据进行比对,相同则LRA信任VRA,不同则不信任VRA;
(1.4)再利用步骤(1.1)至步骤(1.3)的方式完成VRA对LRA的信任关系的确定,并由此完成LRA和VRA之间信任关系的建立。
3.根据权利要求1所述的一种基于智能密码钥匙的安全发证方法,其特征在于,所述步骤(7)中将证书写入证书载体时,需要重新确认用户信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110254291.3A CN102255732B (zh) | 2011-08-31 | 2011-08-31 | 一种基于智能密码钥匙的安全发证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110254291.3A CN102255732B (zh) | 2011-08-31 | 2011-08-31 | 一种基于智能密码钥匙的安全发证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255732A CN102255732A (zh) | 2011-11-23 |
| CN102255732B true CN102255732B (zh) | 2014-07-09 |
Family
ID=44982739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110254291.3A Active CN102255732B (zh) | 2011-08-31 | 2011-08-31 | 一种基于智能密码钥匙的安全发证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102255732B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420834A (zh) * | 2011-12-29 | 2012-04-18 | 公安部第三研究所 | 网络电子身份证中网络身份标识码的生成和校验控制方法 |
| CN104468104B (zh) * | 2013-09-16 | 2018-08-24 | 航天信息股份有限公司 | 一种基于lra受理点信息的数字证书管理方法及装置 |
| CN109495276B (zh) * | 2018-12-29 | 2021-07-09 | 金邦达有限公司 | 一种基于se芯片的电子驾照的实现方法、计算机装置、计算机可读存储介质 |
| CN109978544B (zh) * | 2019-04-03 | 2021-07-23 | 国网山东省电力公司 | 基于大数据技术的企业密钥管控及智能化分析方法及系统 |
| CN110430204A (zh) * | 2019-08-12 | 2019-11-08 | 徐州恒佳电子科技有限公司 | 一种基于第三方密码簿服务器的改进型json安全通信方法 |
| CN110808827A (zh) * | 2019-09-20 | 2020-02-18 | 北京电信易通信息技术股份有限公司 | 基于量子加密的空中发证方法及系统 |
| CN112787996B (zh) * | 2020-12-25 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种密码设备管理方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795194A (zh) * | 2009-12-31 | 2010-08-04 | 公安部第三研究所 | 一种智能卡多数字证书保护方法 |
-
2011
- 2011-08-31 CN CN201110254291.3A patent/CN102255732B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795194A (zh) * | 2009-12-31 | 2010-08-04 | 公安部第三研究所 | 一种智能卡多数字证书保护方法 |
Non-Patent Citations (2)
| Title |
|---|
| 分布式认证中心的研究;辛运帷等;《计算机应用》;20011130;第21卷(第11期);25-27,30 * |
| 辛运帷等.分布式认证中心的研究.《计算机应用》.2001,第21卷(第11期), |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102255732A (zh) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566117B (zh) | 一种区块链密钥管理系统及方法 | |
| US20210319132A1 (en) | Methods and Devices For Managing User Identity Authentication Data | |
| CN102255732B (zh) | 一种基于智能密码钥匙的安全发证方法 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN103714637B (zh) | 一种传输密钥发送方法及系统、操作终端 | |
| JP6543040B2 (ja) | リモートアクセス、リモートデジタル署名のためのシステムおよび方法 | |
| CN102594558B (zh) | 一种可信计算环境的匿名数字证书系统及验证方法 | |
| CN110460439A (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
| CN111368324A (zh) | 一种基于区块链的可信电子证照平台系统及其认证方法 | |
| CN107844946A (zh) | 一种电子合同签署的方法、装置及服务器 | |
| US20090187980A1 (en) | Method of authenticating, authorizing, encrypting and decrypting via mobile service | |
| CN101527634B (zh) | 账户信息与证书绑定的系统和方法 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| CN103503366A (zh) | 管理针对认证设备的数据 | |
| JPH11512841A (ja) | 文書認証システムおよび方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN102405616A (zh) | 用于产生包含证书和密钥的产品的方法 | |
| CN103580868A (zh) | 一种电子公文安全传输系统的安全传输方法 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| WO2023010932A1 (zh) | 一种基于智能合约的云边协同多模式隐私数据流转方法 | |
| CN104038481A (zh) | 一种电力资产管理主站系统与rfid终端之间的通讯方法 | |
| CN102281143B (zh) | 智能卡远程解锁系统 | |
| CN101790166A (zh) | 基于手机智能卡的数字签名方法 | |
| CN109413116A (zh) | 一种可信的云端身份认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Hu Yongtao Inventor after: Hu Shanxue Inventor after: Hang Qiangwei Inventor after: Zhao Hongwei Inventor after: Lv Liang Inventor before: Hu Yongqing Inventor before: Hu Shanxue Inventor before: Hang Qiangwei Inventor before: Zhao Hongwei Inventor before: Lv Liang |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: HU YONGQING HU SHANXUE HANG QIANGWEI ZHAO HONGWEI LV LIANG TO: HU YONGTAO HU SHANXUE HANG QIANGWEI ZHAO HONGWEI LV LIANG |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |