CN102868526A - 智能卡或usb key保护方法及系统 - Google Patents
智能卡或usb key保护方法及系统 Download PDFInfo
- Publication number
- CN102868526A CN102868526A CN2012102954231A CN201210295423A CN102868526A CN 102868526 A CN102868526 A CN 102868526A CN 2012102954231 A CN2012102954231 A CN 2012102954231A CN 201210295423 A CN201210295423 A CN 201210295423A CN 102868526 A CN102868526 A CN 102868526A
- Authority
- CN
- China
- Prior art keywords
- key
- smart card
- usb
- valid application
- usb key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种智能卡或USB KEY保护方法及系统,所述方法包括:智能卡或USB KEY将预置的密钥对中的私钥设置为失效状态;当合法应用向智能卡或USB KEY发送密钥对更新指令时,智能卡或USB KEY向合法应用发送第一返回数据,合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态,本发明能够消除智能卡和USBKEY在生成、更新和销毁密钥对的过程中存在的安全隐患问题。
Description
技术领域
本发明涉及属于信息安全领域,特别涉及一种智能卡或USB KEY保护方法及系统。
背景技术
数字证书是网络通讯中标志通讯各方身份信息的一系列数据,它提供了一种在网络上验证身份的方式。智能卡和USB KEY是一种安全的数字证书载体,智能卡和USB KEY中的非对称私钥无法导出,私钥计算由智能卡和USB KEY的芯片完成,保证私钥的安全。虽然通过智能卡和USB KEY保存和使用数字证书是安全的,但是目前在证书(密钥对)的生成、更新和销毁过程中仍旧存在安全隐患。
如图1所示,对证书生成过程的攻击方法为:在证书生成过程前,智能卡或USB KEY中没有数字证书,无法对返回数据做数字签名。所以在证书生成过程中,合法应用无法通过验签的方式确认返回数据是由特定的智能卡或USBKEY发出的。非法程序可以截获合法应用发送给智能卡或USB KEY的生成密钥对指令,冒充智能卡或USB KEY产生密钥对并保存在其它介质中,绕过智能卡或USB KEY对密钥对中私钥的保护。
如图2所示,对证书更新过程的攻击方法为:在证书更新过程中,智能卡或USB KEY中的原密钥对被销毁,无法使用原私钥对返回数据做数字签名,合法应用无法通过验签的方式验证数据是由特定的智能卡或USB KEY返回的。所以,非法程序可以截获合法应用发送给智能卡或USB KEY的生成密钥对指令,冒充智能卡或USB KEY产生密钥对并保存在其它介质中,绕过智能卡或USBKEY对密钥对中私钥的保护。
如图3所示,对证书销毁过程的攻击方法为:智能卡或USB KEY中的原密钥对被销毁,无法使用原私钥对返回数据做数字签名,合法应用无法通过验签 的方式验证数据是由特定的智能卡或USB KEY返回的。所以,非法程序可以截获合法应用发送给智能卡或USB KEY的销毁密钥对指令,冒充智能卡或USBKEY向合法应用返回指令执行成功,以此方法保留智能卡或USB KEY中密钥对。
发明内容
本发明的目的在于提供一种智能卡或USB KEY保护方法及系统,能够消除智能卡和USB KEY在生成、更新和销毁密钥对的过程存在安全隐患的问题。
为解决上述问题,本发明提供一种智能卡或USB KEY保护方法,包括:
智能卡或USB KEY将预置的密钥对中的私钥设置为失效状态;
当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
进一步的,在上述方法中,当所述私钥为失效状态时,所述智能卡或USBKEY只响应所述密钥对更新指令和所述密钥对销毁指令。
进一步的,在上述方法中,当所述私钥为正常状态时,所述智能卡或USBKEY响应所述私钥签名指令、私钥解密指令、密钥对更新指令和密钥对销毁指令。
进一步的,在上述方法中,当合法应用向智能卡或USB KEY发送私钥签名指令且私钥为正常状态时,所述智能卡或USB KEY对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名。
进一步的,在上述方法中,当合法应用向智能卡或USB KEY发送密钥对销毁指令时,所述智能卡或USB KEY通过向所述合法应用发送第二返回数据作为响应,所述合法应用验证所述第二返回数据。
进一步的,在上述方法中,当合法应用向智能卡或USB KEY发送私钥解密指令且私钥为正常状态时,所述智能卡或USB KEY响应所述私钥解密指令。
进一步的,在上述方法中,当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作 为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态的步骤包括:
合法应用向智能卡或USBKEY发送密钥对更新指令;
所述智能卡或USB KEY产生新的密钥对和所述新的密钥对中的公钥的返回数据,并对所述公钥的返回数据作第一散列运算;
所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充;
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名;
所述智能卡或USB KEY保存所述新的密钥对并覆盖所述原密钥对;
所述智能卡或USB KEY向所述合法应用发送所述公钥的返回数据、第一数字签名的结果;
所述合法应用对所述公钥的返回数据作第一散列运算;
所述合法应用使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充;
所述合法应用使用原公钥对智能卡或USBKEY发送的第一数字签名的结果和合法应用的第一填充的结果进行验签;
若验签成功,则合法应用确认密钥对更新成功,并将所述智能卡或USBKEY的密钥对中的私钥设置为正常状态,若验签不成功,则合法应用确认密钥对更新失败。
进一步的,在上述方法中,当合法应用向智能卡或USB KEY发送密钥对销毁指令时,所述智能卡或USB KEY通过向所述合法应用发送第二返回数据作为响应,所述合法应用验证所述第二返回数据的步骤包括:
合法应用向智能卡或USBKEY发送密钥对销毁指令;
所述智能卡或USB KEY对约定数据作第二散列运算;
所述智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充;
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第二填充的结果作第二数字签名;
所述智能卡或USB KEY删除密钥对;
所述智能卡或USB KEY向所述合法应用发送所述第二数字签名的结果;
所述合法应用对所述约定数据作第二散列运算;
所述合法应用使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充;
所述合法应用使用原公钥对智能卡或USBKEY发送的第二数字签名的结果和合法应用的第二填充的结果进行验签;
若验签成功,则合法应用确认密钥对销毁成功,若验签不成功,则合法应用确认密钥对销毁失败。
根据本发明的另一面,提供一种智能卡或USB KEY保护系统,包括:
包括智能卡或USB KEY和合法应用模块,其中,
所述智能卡或USB KEY包括:
失效单元,用于将预置的密钥对中的私钥设置为失效状态;
第一更新单元,用于接收合法应用模块发送的密钥对更新指令,并向所述合法应用模块发送第一返回数据。
所述合法应用模块包括:
第二更新单元,用于向智能卡或USB KEY发送所述密钥对更新指令,并验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
进一步的,在上述系统中,所述智能卡或USB KEY还包括:
第一签名单元,用于当私钥为正常状态时接收合法应用模块发送的私钥签名指令,并对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名;
所述合法应用模块还包括:
第二签名单元,用于向智能卡或USB KEY发送所述私钥签名指令。
进一步的,在上述系统中,所述智能卡或USB KEY还包括:
第一销毁单元,用于接收合法应用模块发送的密钥对销毁指令,并向所述合法应用模块发送第二返回数据;
所述合法应用模块还包括:
第二销毁单元,用于向智能卡或USB KEY发送所述密钥对销毁指令,并验证所述第二返回数据。
进一步的,在上述系统中,所述智能卡或USB KEY还包括:
第一解密单元,用于当私钥为正常状态时接收合法应用模块发送的私钥解密指令,并响应所述私钥解密指令;
所述合法应用模块还包括:
第二解密单元,用于向智能卡或USB KEY发送所述私钥解密指令。
进一步的,在上述系统中,当所述私钥为失效状态时,只有所述智能卡或USB KEY的第一更新单元和第一销毁单元响应工作。
进一步的,在上述系统中,当所述私钥为正常状态时,所述智能卡或USBKEY的第一更新单元、第一销毁单元、第一签名单元和第一解密单元都响应工作。
进一步的,在上述系统中,所述第一更新单元,用于产生新的密钥对和所述新的密钥对中的公钥的返回数据,对所述公钥的返回数据作第一散列运算,并使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原私钥对所述第一填充的结果做数字签名,保存所述新的密钥对并覆盖所述原密钥对,向所述第二更新单元发送所述公钥的返回数据、数字签名的结果;
所述第二更新单元,用于向所述第一更新单元发送密钥对更新指令,对所述公钥的返回数据作第一散列运算,使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原公钥对第一更新单元发送的数字签名结果和第二更新单元的第一填充的结果进行验签,若验签成功,则确认密钥对更新成功,并将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态,若验签不成功,则确认密钥对更新失败。
进一步的,在上述系统中,第一销毁单元,用于对约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原私钥对所述智能卡或USB KEY的第二填充的结果作数字签名,删除密钥对,向所述第二销毁单元发送所述数字签名的结果;
第二销毁单元,用于向所述第一销毁单元发送密钥对销毁指令,对所述约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原公钥对第一销毁单元发送的数字签名的结果和第二销毁单元的第二填充的结果进行验签,若验签成功,则确认密钥对销毁成功,若验签不成功,则确认密钥对销毁失败。
与现有技术相比,本发明通过智能卡或USB KEY将预置的密钥对中的私钥设置为失效状态,当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态,能够消除智能卡和USB KEY在生成、更新和销毁密钥对的过程存在安全隐患的问题,即在密钥对生成过程中,合法应用能够确认密钥对是由合法的智能卡或USB KEY产生的,在密钥对更新过程中,合法应用能够确认新密钥对是由合法的智能卡或USB KEY产生的,在密钥对销毁过程中,合法应用能够确认密钥对确实已被销毁,从而提高智能卡和USB KEY在生成、更新和销毁密钥对的过程中的安全性。
另外,通过所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名,使用原私钥对所述智能卡或USB KEY的第二填充的结果作数字签名,使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用。
此外,通过所述智能卡或USB KEY对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名,所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,所述合法应用使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,所述合法应用使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对更新指令和密 钥对销毁指令采用不符合PKCS标准填充格式的第一填充格式和第二特定填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用。
附图说明
图1是对证书生成过程攻击的示意图;
图2是对证书更新过程攻击的示意图;
图3是对证书销毁过程攻击的示意图;
图4本发明一实施例的智能卡或USB KEY保护方法的流程图;
图5是图4的步骤S2的详细流程图;
图6是图4的步骤S3的详细流程图;
图7是图4的步骤S4的详细流程图;
图8是本发明一实施例的智能卡或USB KEY保护系统的模块示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图4所示,本发明提供一种智能卡或USB KEY保护方法,包括:
步骤S1,智能卡或USB KEY将预置的密钥对中的私钥设置为失效状态。
优选的,当所述私钥为失效状态时,所述智能卡或USB KEY只响应所述密钥对更新指令和所述密钥对销毁指令,即当所述私钥为失效状态时,所述智能卡或USB KEY只响应后续步骤S2、步骤S3,但不能响应步骤S4、步骤S5。具体的,本发明的智能卡或USBKEY中保存的私钥具有正常和失效两种状态,正常状态的私钥可以响应所述私钥签名指令、私钥解密指令、密钥对更新指令和密钥对销毁指令,而失效状态的私钥只响应密钥对更新指令和密钥对销毁指令,不响应所述私钥签名指令、私钥解密指令。
为了确保密钥对在生成过程中的安全,密钥对生成通过预制密钥对和更新密钥对两个步骤实现,即智能卡或USBKEY在分发给用户前由发行方在安全的环境下生成预置的密钥对,此预置的密钥对直接处于失效状态,不响应所述私 钥签名指令、私钥解密指令,用户拿到智能卡或USBKEY后通过后续步骤S2的密钥更新流程生成新的密钥对,此步骤也可由发行方完成。由于在智能卡或USB KEY将密钥生成指令产生的预置的密钥对中的私钥直接处于“失效”状态,所以只有将密钥生成指令产生的预置的密钥对通过所述密钥对更新指令进行更新后,新密钥对中的私钥才处于正常状态。
步骤S2,当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
优选的,当所述私钥为正常状态时,所述智能卡或USB KEY响应所述私钥签名指令、私钥解密指令、密钥对更新指令和密钥对销毁指令,即所述智能卡或USB KEY能响应后续步骤S2、步骤S3、步骤S4和步骤S5中的任一步骤。
较佳的,如图5所示,所述步骤S2包括:
步骤S21,合法应用向智能卡或USBKEY发送密钥对更新指令;
步骤S22,所述智能卡或USB KEY产生新的密钥对和所述新的密钥对中的公钥的返回数据,并对所述公钥的返回数据作第一散列运算,具体的,所述智能卡或USB KEY将新的密钥对保存在其芯片的RAM中,可使用密钥对更新指令中指定的或事先约定的散列(Hash)算法对包含新密钥对公钥的返回数据做散列(Hash)运算;
步骤S23,所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,具体的,本步骤中使用一种不符合PKCS标准的特定第一填充(Padding)格式对上一步的第一散列(Hash)运算的结果填充(Padding),这样能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对更新指令采用不符合PKCS标准填充格式的第一填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用;
优选的,所述不符合PKCS标准的第一填充格式具体为:
1)先按照不同的散列(Hash)算法对散列(Hash)结果H做第一次填充 (Padding)得到第一次填充(Padding)结果T,T的长度为tLen个字节。具体为
MD2:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10 || H.
MD5:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10|| H.
SHA-1:(0x)30 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14 || H.
SHA-256:(0x)30 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 ||H.
SHA-384:(0x)30 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30 ||H.
SHA-512:(0x)30 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40 ||H.
2)对T按如下方式第二次填充(Padding)得到结果EM,EM的长度为emLen个字节。emLen由后续步骤中对EM做数字签名的所使用的非对称算法决定。比如使用1024位RSA算法时EM的长度为1024位,合128字节,也就是emLen为128。
EM=0x00||0x01||0x05||PS||0x00||T.
其中,PS指(emLen tLen 4)个值为十六进制0xff的字节。
步骤S24,所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名,具体的,使用原私钥对上一步的填充(Padding)结果做数字签名,这样可以使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用;
步骤S25,所述智能卡或USB KEY保存所述新的密钥对并覆盖所述原密钥对,具体的,保存新的密钥对至智能卡或USB KEY的芯片内的非易失性存储器中并覆盖原密钥对,并保存上一步的数字签名结果至非易失性存储器中;
步骤S26,所述智能卡或USB KEY向所述合法应用发送所述公钥的返回数据、第一数字签名的结果和其它返回数据;
步骤S27,所述合法应用对所述公钥的返回数据作第一散列运算,具体的,合法应用使用密钥对更新指令中指定的或事先约定的散列(Hash)算法对包含 新的密钥对公钥的返回数据做第一散列(Hash)运算;
步骤S28,所述合法应用使用不符合PKCS标准的预设第一填充(Padding)格式对所述步骤S27中公钥的返回数据的第一散列(Hash)运算的结果作第一填充(Padding);
步骤S29,所述合法应用使用原公钥对智能卡或USBKEY发送的第一数字签名的结果和步骤S28中合法应用的第一填充的结果进行验签,具体的,合法应用使用已知的原公钥对智能卡或USBKEY返回的数字签名结果和上一步的合法应用的第一填充(Padding)的结果结果验签;
步骤S291,若验签成功,则合法应用确认密钥对更新成功,并将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态;
步骤S291,若验签不成功,则合法应用确认密钥对更新失败。
步骤S3,当合法应用向智能卡或USB KEY发送密钥对销毁指令时,所述智能卡或USB KEY通过向所述合法应用发送第二返回数据作为响应,所述合法应用验证所述第二返回数据。
优选的,如图6所示,步骤S3可包括:
步骤S31,合法应用向智能卡或USBKEY发送密钥对销毁指令;
步骤S32,所述智能卡或USB KEY对约定数据作第二散列运算,具体的,所述智能卡或USB KEY收到密钥对销毁指令后,使用密钥对销毁指令中指定的或事先约定的散列(Hash)算法,对约定数据做散列(Hash)运算,所述约定数据可以是密钥对销毁指令,或者是密钥对销毁指令的一部分,或其它事先约定的数据;
步骤S33,所述智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,具体的,本步骤中使用一种不符合PKCS标准的特定第二填充(Padding)格式对上一步的第二散列(Hash)运算的结果作填充(Padding),这样能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对销毁指令采用不符合PKCS标准填充格式的第二特定填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用;
优选的,所述不符合PKCS标准的第二填充格式具体为:
1)先按照不同的散列(Hash)算法对前一步骤的散列(Hash)结果H做第一次填充(Padding)得到第一次填充(Padding)结果T,T的长度为tLen个字节。具体为
MD2:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10 || H.
MD5:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10|| H.
SHA-1:(0x)30 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14 || H.
SHA-256:(0x)30 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 ||H.
SHA-384:(0x)30 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30 ||H.
SHA-512:(0x) 30 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40 ||H.
2)对T按如下方式第二次填充(Padding)得到结果EM,EM的长度为emLen个字节。emLen由后续步骤中对EM做数字签名的所使用的非对称算法决定。比如使用1024位RSA算法时EM的长度为1024位,合128字节,也就是emLen为128。
EM=0x00||0x01||0x06||PS||0x00|T.
其中,PS指(emLen tLen 4)个值为十六进制0xff的字节。
步骤S34,所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第二填充的结果作第二数字签名,具体的,使用待销毁密钥对对所述智能卡或USB KEY的第二填充的结果作第二数字签名,这样可以使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用;
步骤S35,所述智能卡或USB KEY删除密钥对,具体的,所述智能卡或USB KEY从其芯片内的非易失性存储器中删除密钥对;
步骤S36,所述智能卡或USB KEY向所述合法应用发送所述第二数字签名的结果和其它返回数据;
步骤S37,所述合法应用对所述约定数据作第二散列运算,具体的,合法应 用使用密钥对销毁指令中指定的或事先约定的散列(Hash)算法对约定数据做第二散列(Hash)运算,所述约定数据可以是密钥对销毁指令,或者密钥对销毁指令的一部分,或其它事先约定的数据;
步骤S38,所述合法应用使用不符合PKCS标准的预设第二填充(Padding格式对所述步骤S37中约定数据的第二散列(Hash)运算的结果作第二填充(Padding);
步骤S39,所述合法应用使用原公钥对智能卡或USBKEY发送的第二数字签名的结果和步骤S38中合法应用的第二填充的结果进行验签,具体的,合法应用使用已知的待销毁公钥对智能卡或USBKEY返回的数字签名结果和步骤S38中第二填充(Padding)的结果验签;
步骤S391,若验签成功,则合法应用确认密钥对销毁成功;
步骤S392,若验签不成功,则合法应用确认密钥对销毁失败。
步骤S4,当合法应用向智能卡或USB KEY发送私钥签名指令且私钥为正常状态时,所述智能卡或USB KEY对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名。具体的,智能卡或USBKEY的私钥签名指令只对符合RSA实验室制定的公钥加密标准(PKCS标准)规定的填充(Padding)格式的数据做签名,拒绝为不符合PKCS标准填充(Padding)格式的数据做签名,如图7所示,步骤S4包括:
步骤S41,合法应用向智能卡或USB KEY发送私钥签名指令;
步骤S42,智能卡或USBKEY判断待签名的数据格式是否为PKCS标准填充格式,若是,则执行步骤S421,若否,则执行步骤S422;
步骤S421,智能卡或USBKEY响应私钥签名指令;
步骤S422,智能卡或USBKEY不响应私钥签名指令,向合法应用返回错误信息。
优选的,所述符合RSA实验室制定的公钥加密标准(PKCS标准)规定的填充(Padding)格式”所指的填充(Padding)格式具体为:
1)先按照不同的散列(Hash)算法对散列(Hash)结果H做第一次填充(Padding)得到第一次填充(Padding)结果T,T的长度为tLen个字节。具体为
MD2:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 02 05 00 04 10 || H.
MD5:(0x)30 20 30 0c 06 08 2a 86 48 86 f7 0d 02 05 05 00 04 10|| H.
SHA-1:(0x)30 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14 || H.
SHA-256:(0x)30 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 ||H.
SHA-384:(0x)30 41 30 0d 06 09 60 86 48 01 65 03 04 02 02 05 00 04 30 ||H.
SHA-512:(0x)30 51 30 0d 06 09 60 86 48 01 65 03 04 02 03 05 00 04 40 ||H.
2)对T按如下方式进行第二次填充(Padding)得到结果EM,EM的长度为emLen个字节。emLen由后续步骤中对EM做数字签名的所使用的非对称算法决定。比如使用1024位RSA算法时EM的长度为1024位,合128字节,也就是emLen为128。
EM=0x00||0x01||PS||0x00||T.
其中,PS指(emLen tLen 3)个值为十六进制0xff的字节。
步骤S5,当合法应用向智能卡或USB KEY发送私钥解密指令且私钥为正常状态时,所述智能卡或USB KEY响应所述私钥解密指令。
本发明能够消除智能卡和USB KEY在生成、更新和销毁密钥对的过程中存在的安全隐患问题,即在密钥对生成过程中,合法应用能够确认密钥对是由合法的智能卡或USB KEY产生的,在密钥对更新过程中,合法应用能够确认新密钥对是由合法的智能卡或USB KEY产生的,在密钥对销毁过程中,合法应用能够确认密钥对确实已被销毁,从而提高智能卡和USB KEY在生成、更新和销毁密钥对的过程中的安全性。
如图8所示,本发明还提供另一种智能卡或USB KEY保护系统,智能卡或USB KEY1和合法应用模块2。
所述智能卡或USB KEY1包括失效单元11、第一更新单元12、第一销毁单元13、第一签名单元14和第一解密单元15。
失效单元11用于将预置的密钥对中的私钥设置为失效状态。
优选的,当所述私钥为失效状态时,只有所述智能卡或USB KEY的第一更新单元和第一销毁单元响应工作。
第一更新单元12用于接收合法应用模块发送的密钥对更新指令,并向所述合法应用模块发送第一返回数据。
优选的,所述第一更新单元12用于产生新的密钥对和所述新的密钥对中的公钥的返回数据,对所述公钥的返回数据作第一散列运算,并使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原私钥对所述第一填充的结果做数字签名,保存所述新的密钥对并覆盖所述原密钥对,向所述第二更新单元发送所述公钥的返回数据、数字签名的结果;
第一销毁单元13用于接收合法应用模块发送的密钥对销毁指令,并向所述合法应用模块发送第二返回数据。
优选的,第一销毁单元13用于对约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原私钥对所述智能卡或USB KEY的第二填充的结果作数字签名,删除密钥对,向所述第二销毁单元发送所述数字签名的结果。
第一签名单元14用于当私钥为正常状态时接收合法应用模块发送的私钥签名指令,并对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名。
第一解密单元15用于当私钥为正常状态时接收合法应用模块发送的私钥解密指令,并响应所述私钥解密指令。
所述合法应用模块2包括第二更新单元21、第二销毁单元22、第二签名单元23和第二解密单元24。
第二更新单元21用于向智能卡或USB KEY发送所述密钥对更新指令,并验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
优选的,当所述私钥为正常状态时,所述智能卡或USB KEY的第一更新单元、第一销毁单元、第一签名单元和第一解密单元都响应工作。
较佳的,所述第二更新单元21用于向所述第一更新单元发送密钥对更新指 令,对所述公钥的返回数据作第一散列运算,使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原公钥对第一更新单元发送的数字签名结果和第二更新单元的第一填充的结果进行验签,若验签成功,则确认密钥对更新成功,并将所述智能卡或USBKEY的密钥对中的私钥设置为正常状态,若验签不成功,则确认密钥对更新失败。
所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对更新指令采用不符合PKCS标准填充格式的第一填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用。
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名,这样可以使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用。
第二销毁单元22用于向智能卡或USB KEY发送所述密钥对销毁指令,并验证所述第二返回数据。
优选的,所述第二销毁单元22用于向所述第一销毁单元发送密钥对销毁指令,对所述约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原公钥对第一销毁单元发送的数字签名的结果和第二销毁单元的第二填充的结果进行验签,若验签成功,则确认密钥对销毁成功,若验签不成功,则确认密钥对销毁失败。
所述智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对销毁指令采用不符合PKCS标准填充格式的第二特定填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用。
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第二填充 的结果作第二数字签名,这样可以使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用。
第二签名单元23用于向智能卡或USB KEY发送所述私钥签名指令。
第二解密单元24用于向智能卡或USB KEY发送所述私钥解密指令。
本发明能够消除智能卡和USB KEY在生成、更新和销毁密钥对的过程中存在的安全隐患问题,即在密钥对生成过程中,合法应用能够确认密钥对是由合法的智能卡或USB KEY产生的,在密钥对更新过程中,合法应用能够确认新密钥对是由合法的智能卡或USB KEY产生的,在密钥对销毁过程中,合法应用能够确认密钥对确实已被销毁,从而提高智能卡和USB KEY在生成、更新和销毁密钥对的过程中的安全性。
另外,通过所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名,使用原私钥对所述智能卡或USB KEY的第二填充的结果作数字签名,使非法程序无法在不使用智能卡或USBKEY中的原私钥情况下产生出正确的数字签名的结果,从而无法欺骗合法应用。
此外,通过所述智能卡或USB KEY对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名,所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,所述合法应用使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,所述合法应用使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,能够使智能卡或USBKEY的私钥签名指令只对符合PKCS标准填充格式的数据做签名,而密钥对更新指令和密钥对销毁指令采用不符合PKCS标准填充格式的第一填充格式和第二特定填充格式,非法程序也不能通过在智能卡或USBKEY外部自行生成填充结果并通过所述私钥签名指令来让智能卡或USBKEY签名的方式欺骗合法应用。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于与实施例公开的方法相对应,所以描述的比较简 单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
显然,本领域的技术人员可以对发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。
Claims (16)
1.一种智能卡或USB KEY保护方法,其特征在于,包括:
智能卡或USB KEY将预置的密钥对中的私钥设置为失效状态;
当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
2.如权利要求1所述的智能卡或USB KEY保护方法,其特征在于,当所述私钥为失效状态时,所述智能卡或USB KEY只响应所述密钥对更新指令和所述密钥对销毁指令。
3.如权利要求1所述的智能卡或USB KEY保护方法,其特征在于,当所述私钥为正常状态时,所述智能卡或USB KEY响应所述私钥签名指令、私钥解密指令、密钥对更新指令和密钥对销毁指令。
4.如权利要求3所述的智能卡或USB KEY保护方法,其特征在于,当合法应用向智能卡或USB KEY发送私钥签名指令且私钥为正常状态时,所述智能卡或USB KEY对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名。
5.如权利要求3所述的智能卡或USB KEY保护方法,其特征在于,当合法应用向智能卡或USB KEY发送密钥对销毁指令时,所述智能卡或USB KEY通过向所述合法应用发送第二返回数据作为响应,所述合法应用验证所述第二返回数据。
6.如权利要求3所述的智能卡或USB KEY保护方法,其特征在于,当合法应用向智能卡或USB KEY发送私钥解密指令且私钥为正常状态时,所述智能卡或USB KEY响应所述私钥解密指令。
7.如权利要求1所述的智能卡或USB KEY保护方法,其特征在于,当合法应用向智能卡或USB KEY发送密钥对更新指令时,所述智能卡或USB KEY通过向所述合法应用发送第一返回数据作为响应,所述合法应用验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态的步骤包括:
合法应用向智能卡或USBKEY发送密钥对更新指令;
所述智能卡或USB KEY产生新的密钥对和所述新的密钥对中的公钥的返回数据,并对所述公钥的返回数据作第一散列运算;
所述智能卡或USB KEY使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充;
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第一填充的结果做第一数字签名;
所述智能卡或USB KEY保存所述新的密钥对并覆盖所述原密钥对;
所述智能卡或USB KEY向所述合法应用发送所述公钥的返回数据、第一数字签名的结果;
所述合法应用对所述公钥的返回数据作第一散列运算;
所述合法应用使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充;
所述合法应用使用原公钥对智能卡或USBKEY发送的第一数字签名的结果和合法应用的第一填充的结果进行验签;
若验签成功,则合法应用确认密钥对更新成功,并将所述智能卡或USBKEY的密钥对中的私钥设置为正常状态,若验签不成功,则合法应用确认密钥对更新失败。
8.如权利要求5所述的智能卡或USB KEY保护方法,其特征在于,当合法应用向智能卡或USB KEY发送密钥对销毁指令时,所述智能卡或USB KEY通过向所述合法应用发送第二返回数据作为响应,所述合法应用验证所述第二返回数据的步骤包括:
合法应用向智能卡或USBKEY发送密钥对销毁指令;
所述智能卡或USB KEY对约定数据作第二散列运算;
所述智能卡或USB KEY使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充;
所述智能卡或USB KEY使用原私钥对所述智能卡或USB KEY的第二填充的结果作第二数字签名;
所述智能卡或USB KEY删除密钥对;
所述智能卡或USB KEY向所述合法应用发送所述第二数字签名的结果;
所述合法应用对所述约定数据作第二散列运算;
所述合法应用使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充;
所述合法应用使用原公钥对智能卡或USBKEY发送的第二数字签名的结果和合法应用的第二填充的结果进行验签;
若验签成功,则合法应用确认密钥对销毁成功,若验签不成功,则合法应用确认密钥对销毁失败。
9.一种智能卡或USB KEY保护系统,其特征在于,包括智能卡或USBKEY和合法应用模块,其中,
所述智能卡或USB KEY包括:
失效单元,用于将预置的密钥对中的私钥设置为失效状态;
第一更新单元,用于接收合法应用模块发送的密钥对更新指令,并向所述合法应用模块发送第一返回数据;
所述合法应用模块包括:
第二更新单元,用于向智能卡或USB KEY发送所述密钥对更新指令,并验证所述第一返回数据,若验证成功,将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态。
10.如权利要求9所述的智能卡或USB KEY保护系统,其特征在于,
所述智能卡或USB KEY还包括:
第一签名单元,用于当私钥为正常状态时接收合法应用模块发送的私钥签名指令,并对待签名的数据格式作判断,对符合PKCS标准填充格式的数据作签名;
所述合法应用模块还包括:
第二签名单元,用于向智能卡或USB KEY发送所述私钥签名指令。
11.如权利要求10所述的智能卡或USB KEY保护系统,其特征在于,
所述智能卡或USB KEY还包括:
第一销毁单元,用于接收合法应用模块发送的密钥对销毁指令,并向所述合法应用模块发送第二返回数据;
所述合法应用模块还包括:
第二销毁单元,用于向智能卡或USB KEY发送所述密钥对销毁指令,并验证所述第二返回数据。
12.如权利要求11所述的智能卡或USB KEY保护系统,其特征在于,
所述智能卡或USB KEY还包括:
第一解密单元,用于当私钥为正常状态时接收合法应用模块发送的私钥解密指令,并响应所述私钥解密指令;
所述合法应用模块还包括:
第二解密单元,用于向智能卡或USB KEY发送所述私钥解密指令。
13.如权利要求12所述的智能卡或USB KEY保护系统,其特征在于,当所述私钥为失效状态时,只有所述智能卡或USB KEY的第一更新单元和第一销毁单元响应工作。
14.如权利要求12所述的智能卡或USB KEY保护系统,其特征在于,当所述私钥为正常状态时,所述智能卡或USB KEY的第一更新单元、第一销毁单元、第一签名单元和第一解密单元都响应工作。
15.如权利要求9所述的智能卡或USB KEY保护系统,其特征在于,
所述第一更新单元,用于产生新的密钥对和所述新的密钥对中的公钥的返回数据,对所述公钥的返回数据作第一散列运算,并使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原私钥对所述第一填充的结果做数字签名,保存所述新的密钥对并覆盖所述原密钥对,向所述第二更新单元发送所述公钥的返回数据、数字签名的结果;
所述第二更新单元,用于向所述第一更新单元发送密钥对更新指令,对所述公钥的返回数据作第一散列运算,使用不符合PKCS标准的预设第一填充格式所述对所述公钥的返回数据的第一散列运算的结果作第一填充,使用原公钥对第一更新单元发送的数字签名结果和第二更新单元的第一填充的结果进行验签,若验签成功,则确认密钥对更新成功,并将所述智能卡或USB KEY的密钥对中的私钥设置为正常状态,若验签不成功,则确认密钥对更新失败。
16.如权利要求11所述的智能卡或USB KEY保护系统,其特征在于,
第一销毁单元,用于对约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原私钥对所述智能卡或USB KEY的第二填充的结果作数字签名,删除密钥对,向所述第二销毁单元发送所述数字签名的结果;
第二销毁单元,用于向所述第一销毁单元发送密钥对销毁指令,对所述约定数据作第二散列运算,使用不符合PKCS标准的预设第二填充格式对所述约定数据的第二散列运算的结果作第二填充,使用原公钥对第一销毁单元发送的数字签名的结果和第二销毁单元的第二填充的结果进行验签,若验签成功,则确认密钥对销毁成功,若验签不成功,则确认密钥对销毁失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210295423.1A CN102868526B (zh) | 2012-08-17 | 2012-08-17 | 智能卡或usb key保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210295423.1A CN102868526B (zh) | 2012-08-17 | 2012-08-17 | 智能卡或usb key保护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102868526A true CN102868526A (zh) | 2013-01-09 |
| CN102868526B CN102868526B (zh) | 2015-06-10 |
Family
ID=47447133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210295423.1A Active CN102868526B (zh) | 2012-08-17 | 2012-08-17 | 智能卡或usb key保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102868526B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684755A (zh) * | 2013-12-06 | 2014-03-26 | 上海新储集成电路有限公司 | 一种加解密算法和加解密钥的更换方法 |
| CN104009837A (zh) * | 2014-04-28 | 2014-08-27 | 小米科技有限责任公司 | 密钥更新方法、装置及终端 |
| CN105303093A (zh) * | 2014-07-04 | 2016-02-03 | 上海交通大学深圳研究院 | 智能密码钥匙密码验证方法 |
| CN105634742A (zh) * | 2015-12-28 | 2016-06-01 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及智能密钥设备 |
| CN106789025A (zh) * | 2016-12-30 | 2017-05-31 | 广东南方信息安全产业基地有限公司 | 基于公钥管理体系的密钥注销方法 |
| CN106789046A (zh) * | 2017-02-24 | 2017-05-31 | 江苏信源久安信息科技有限公司 | 一种自生成密钥对的实现方法 |
| CN107967142A (zh) * | 2017-11-27 | 2018-04-27 | 北京优易惠技术有限公司 | 面向USBKey的更新方法、系统 |
| CN108388787A (zh) * | 2018-01-25 | 2018-08-10 | 郑州云海信息技术有限公司 | 一种USBKey安全保护系统和方法 |
| CN112511572A (zh) * | 2021-02-07 | 2021-03-16 | 湖北鑫英泰系统技术股份有限公司 | 一种用于光声光谱监测系统远程控制的数据传输认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
| CN101534193A (zh) * | 2008-03-12 | 2009-09-16 | 航天信息股份有限公司 | 自学习的数字证书注销验证方法 |
| CN101764691A (zh) * | 2009-12-17 | 2010-06-30 | 北京握奇数据系统有限公司 | 一种获取动态口令生成密钥的方法、设备和系统 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
-
2012
- 2012-08-17 CN CN201210295423.1A patent/CN102868526B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
| CN101534193A (zh) * | 2008-03-12 | 2009-09-16 | 航天信息股份有限公司 | 自学习的数字证书注销验证方法 |
| CN101764691A (zh) * | 2009-12-17 | 2010-06-30 | 北京握奇数据系统有限公司 | 一种获取动态口令生成密钥的方法、设备和系统 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684755B (zh) * | 2013-12-06 | 2017-04-05 | 上海新储集成电路有限公司 | 一种加解密算法和加解密钥的更换方法 |
| CN103684755A (zh) * | 2013-12-06 | 2014-03-26 | 上海新储集成电路有限公司 | 一种加解密算法和加解密钥的更换方法 |
| CN104009837A (zh) * | 2014-04-28 | 2014-08-27 | 小米科技有限责任公司 | 密钥更新方法、装置及终端 |
| CN105303093A (zh) * | 2014-07-04 | 2016-02-03 | 上海交通大学深圳研究院 | 智能密码钥匙密码验证方法 |
| CN105634742B (zh) * | 2015-12-28 | 2019-03-05 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及智能密钥设备 |
| CN105634742A (zh) * | 2015-12-28 | 2016-06-01 | 飞天诚信科技股份有限公司 | 一种协商会话密钥的方法及智能密钥设备 |
| CN106789025A (zh) * | 2016-12-30 | 2017-05-31 | 广东南方信息安全产业基地有限公司 | 基于公钥管理体系的密钥注销方法 |
| CN106789046A (zh) * | 2017-02-24 | 2017-05-31 | 江苏信源久安信息科技有限公司 | 一种自生成密钥对的实现方法 |
| CN107967142A (zh) * | 2017-11-27 | 2018-04-27 | 北京优易惠技术有限公司 | 面向USBKey的更新方法、系统 |
| CN107967142B (zh) * | 2017-11-27 | 2020-12-08 | 北京优易惠技术有限公司 | 面向USBKey的更新方法、系统 |
| CN108388787A (zh) * | 2018-01-25 | 2018-08-10 | 郑州云海信息技术有限公司 | 一种USBKey安全保护系统和方法 |
| CN112511572A (zh) * | 2021-02-07 | 2021-03-16 | 湖北鑫英泰系统技术股份有限公司 | 一种用于光声光谱监测系统远程控制的数据传输认证方法 |
| CN112511572B (zh) * | 2021-02-07 | 2021-05-14 | 湖北鑫英泰系统技术股份有限公司 | 一种用于光声光谱监测系统远程控制的数据传输认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102868526B (zh) | 2015-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102868526B (zh) | 智能卡或usb key保护方法及系统 | |
| CN110677418B (zh) | 可信声纹认证方法、装置、电子设备及存储介质 | |
| US9253162B2 (en) | Intelligent card secure communication method | |
| CN109120649B (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
| EP3001598B1 (en) | Method and system for backing up private key in electronic signature token | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| CN107743067B (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| CN103338215A (zh) | 基于国密算法建立tls通道的方法 | |
| EP3001599B1 (en) | Method and system for backing up private key of electronic signature token | |
| CN110198295A (zh) | 安全认证方法和装置及存储介质 | |
| CN102986161B (zh) | 用于对应用进行密码保护的方法和系统 | |
| KR102028197B1 (ko) | 하드웨어 보안 모듈, 상기 하드웨어 보안 모듈에 저장된 무결성 검증 값을 업데이트하는 방법, 상기 하드웨어 보안 모듈을 이용하여 단말에 저장된 프로그램을 업데이트하는 방법 | |
| CN109150526A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
| CN101272616A (zh) | 一种无线城域网的安全接入方法 | |
| CN110677382A (zh) | 数据安全处理方法、装置、计算机系统及存储介质 | |
| CN111143856A (zh) | 一种plc远程固件升级系统及方法 | |
| CN111382397B (zh) | 升级软件包配置方法、软件升级方法、设备及存储装置 | |
| CN115065472B (zh) | 基于多密钥加密解密的安全芯片加密解密方法及装置 | |
| CN109257170A (zh) | 密钥协商方法、设备、终端、存储介质以及系统 | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| CN110838919A (zh) | 通信方法、存储方法、运算方法及装置 | |
| CN100592317C (zh) | 一种外围设备及其权限验证方法 | |
| CN114297597B (zh) | 一种账户管理方法、系统、设备及计算机可读存储介质 | |
| CN104579692A (zh) | 一种基于智能卡的信息处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |