CN103873249A - 基于非对称算法的证书介质在线格式化与解锁方法 - Google Patents
基于非对称算法的证书介质在线格式化与解锁方法 Download PDFInfo
- Publication number
- CN103873249A CN103873249A CN201210548197.3A CN201210548197A CN103873249A CN 103873249 A CN103873249 A CN 103873249A CN 201210548197 A CN201210548197 A CN 201210548197A CN 103873249 A CN103873249 A CN 103873249A
- Authority
- CN
- China
- Prior art keywords
- medium
- certificate
- password
- management
- sopin1
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了基于非对称算法的证书介质在线格式化与解锁方法,在格式化方法时,由介质管理接口产生一次性随机码R1和介质序列号KSN,服务端根据KSN获取介质对应管理口令SOPIN1,并进行加密和签名,并将结果发至客服端,客户端对结果进行验证和解密后,完成格式化。解锁方法时,由介质管理接口获取签名证书序列号SN和介质序列号KSN,产生一次性随机码R3;服务端使用KSN获取管理口令SOPIN1,并对接收到的数据进行加密和签名,并发送到客户端;介质管理接口进行签名验证和解密,并对解密结果进行对比,相同,则重置用户口令为默认口令。本发明能够在大规范的公钥基础设施中保障证书介质的口令安全。
Description
技术领域
本发明涉及PKI领域的证书介质管理技术,具体涉及一种证书介质在线格式化方法以及解锁方法。
背景技术
随着PKI/PMI技术的推广,数字证书的应用已逐渐融入到日常生活,公钥基础设施管理机构所签发的证书容量逐渐扩展,证书应用的范围也越来越广,由此引发对证书介质管理口令进行管理问题。
目前对介质的管理口令进行管理的方式包括以下两种:
1、采用厂商自有的管理工具,通过厂商管理的默认管理口令进行管理,厂商提供一个统一解锁工具进行管理,其弱点在于该工具可从多渠道获取,只要获得该工具即可进行解锁,介质的使用安全性得不到保障。
2、由CA中心制定统一的管理口令,在发证前,通过一个格式化工具将管理口令修改为统一的管理口令,然后在管理员内部下发可进行解锁的客户端,其弱点在于管理员可以进行跨域解锁,且由于管理员离职或解锁工具流失,均会影响介质的使用安全性。
从以上方法可以看出,目前的证书介质口令管理存在安全弱点,当证书介质被窃取后,存在明确的伪造使用漏洞。
发明内容
本发明针对现有证书介质口令管理不安全的问题,而提供一种基于非对称算法的证书介质在线格式化的方法,通过该方法保障证书介质的口令安全。
作为本发明的第二目的,本发明还提供一种基于非对称算法的证书介质在线解锁的方法,通过该方法保障证书介质在线解锁的安全性。
为了达到上述目的,本发明采用如下的技术方案:
基于非对称算法的证书介质在线格式化方法,该方法中涉及的服务端提供一个管理口令生成器;同时在介质管理接口内置管理证书;据此实施的格式化方法包括如下步骤:
(1.1)在线格式化时控件首先调用介质管理接口产生一次性随机码R1,同时获取介质序列号KSN,并将R1和KSN提交到服务端;
(2.1)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3.1)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4.1)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1进行解密得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2。
基于上述方案,本发明提供的基于非对称算法的证书介质在线解锁方法,包括如下步骤:
(1.2)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起发送到服务端;
(2.2)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(3.2)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(4.2)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(5.2)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1进行解密得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质管理接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令。
根据上述方案本发明能够保障证书介质在线格式化和解锁的安全性,能够在大规范的公钥基础设施中保障证书介质的口令安全,为数字证书的推广和使用铺平道路。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1,所示为基于非对称算法的证书介质在线格式化与解锁方法的实施流程图。由图可知该方法的实施涉及到相应的服务端和证书介质管理接口,在本发明中的服务端能够进行私钥管理,并提供一个管理口令生成器(密钥生成器);对于介质管理接口在其内内置管理证书和随机数管理器。
基于上述的服务端和证书介质管理接口,本发明提供的在线格式化与解锁方法,具体步骤如下:
(1)在线格式化进控件首先调用介质管理接口中随机数管理产生一次性随机码R1,同时获取介质的唯一序列号KSN,并将R1和KSN一起作为格式化请求提交到服务端;
(2)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1解密进行得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2。
据此完成证书介质在线格式化操作,通过上述步骤的操作能够保证证书介质在线格式化的安全性。上述步骤中证书介质管理口令根据证书介质的唯一介质序列号生成;同时进行格式化时,会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;再者,介质管理接口中内置了表明服务端身份的管理证书,并对在服务端使用私钥签名的随机数据进行验证签名,防止了对介质管理接口的不当使用。
对于介质的在线解锁同样涉及到上述的服务端和证书介质管理接口,其具体过程如下:
(5)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质唯一序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起作为解锁请求发送到服务端;
(6)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(7)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(8)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(9)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1解密进行得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令。
本发明提供的方案在进行介质解锁时,证书介质管理口令同样根据证书介质的唯一介质序列号生成;并且在解锁过程中会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;本方案还对在服务端使用私钥签名的随机数据进行验证签名,能够有效防止对介质管理接口的不当使用;最后在进行解锁时会使用用户的加密证书对随机数进行加密,若程序解锁过程中时发现使用内部加密私钥解密得到的随机数与当前会话随机数不一致,将保持介质锁定状态,防止伪造数据攻击。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1.基于非对称算法的证书介质在线格式化方法,其特征在于,所述方法中涉及的服务端提供一个管理口令生成器;同时在介质管理接口内置管理证书;据此实施的格式化方法包括如下步骤:
(1.1)在线格式化时控件首先调用介质管理接口产生一次性随机码R1,同时获取介质序列号KSN,并将R1和KSN提交到服务端;
(2.1)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3.1)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4.1)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1进行解密得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2。
2.基于非对称算法的证书介质在线解锁方法,所述解锁方法包括如下步骤:
(1.2)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起发送到服务端;
(2.2)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(3.2)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(4.2)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(5.2)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1进行解密得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质管理接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210548197.3A CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210548197.3A CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103873249A true CN103873249A (zh) | 2014-06-18 |
| CN103873249B CN103873249B (zh) | 2017-10-27 |
Family
ID=50911399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210548197.3A Active CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103873249B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135073A (zh) * | 2016-02-26 | 2017-09-05 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6550010B1 (en) * | 1998-09-30 | 2003-04-15 | Bellsouth Intellectual Property Corp. | Method and apparatus for a unit locked against use until unlocked and/or activated on a selected network |
| CN101166085A (zh) * | 2007-09-24 | 2008-04-23 | 北京飞天诚信科技有限公司 | 远程解锁方法和系统 |
| CN101277186A (zh) * | 2007-03-30 | 2008-10-01 | 北京握奇数据系统有限公司 | 利用非对称密钥算法实现外部认证的方法 |
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN102075327A (zh) * | 2010-12-21 | 2011-05-25 | 北京握奇数据系统有限公司 | 一种实现电子钥匙解锁的方法、装置及系统 |
| CN102571327A (zh) * | 2010-12-31 | 2012-07-11 | 上海格尔软件股份有限公司 | 一种集中安全管理USBKey解锁密钥的方法 |
-
2012
- 2012-12-17 CN CN201210548197.3A patent/CN103873249B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6550010B1 (en) * | 1998-09-30 | 2003-04-15 | Bellsouth Intellectual Property Corp. | Method and apparatus for a unit locked against use until unlocked and/or activated on a selected network |
| CN101277186A (zh) * | 2007-03-30 | 2008-10-01 | 北京握奇数据系统有限公司 | 利用非对称密钥算法实现外部认证的方法 |
| CN101166085A (zh) * | 2007-09-24 | 2008-04-23 | 北京飞天诚信科技有限公司 | 远程解锁方法和系统 |
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN102075327A (zh) * | 2010-12-21 | 2011-05-25 | 北京握奇数据系统有限公司 | 一种实现电子钥匙解锁的方法、装置及系统 |
| CN102571327A (zh) * | 2010-12-31 | 2012-07-11 | 上海格尔软件股份有限公司 | 一种集中安全管理USBKey解锁密钥的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135073A (zh) * | 2016-02-26 | 2017-09-05 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
| CN107135073B (zh) * | 2016-02-26 | 2021-05-25 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103873249B (zh) | 2017-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| US9912485B2 (en) | Method and apparatus for embedding secret information in digital certificates | |
| US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
| CN1961523B (zh) | 令牌提供 | |
| CN106713279B (zh) | 一种视频终端身份认证系统 | |
| CN101115060B (zh) | 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN109495274A (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
| CN104202170B (zh) | 一种基于标识的身份认证系统和方法 | |
| TW201334493A (zh) | 用於安全金鑰產生的設備、利用終端用戶設備來進行安全金鑰產生的方法及在裝置製造者伺服器中進行安全金鑰產生的方法 | |
| CN112350826A (zh) | 一种工业控制系统数字证书签发管理方法和加密通信方法 | |
| CN113572740B (zh) | 一种基于国密的云管理平台认证加密方法 | |
| JP2012178010A (ja) | 情報処理システム、及び情報処理方法 | |
| WO2014187206A1 (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN108632251B (zh) | 基于云计算数据服务的可信认证方法及其加密算法 | |
| CN101296086A (zh) | 接入认证的方法、系统和设备 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN103177225B (zh) | 一种数据管理方法和系统 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
| CN110149205B (zh) | 一种利于区块链保护物联网终端的方法 | |
| CN106341424B (zh) | 一种基于身份认证的视频加密系统及实现方法 | |
| CN103873249A (zh) | 基于非对称算法的证书介质在线格式化与解锁方法 | |
| CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Patentee after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Patentee before: Geer Software Co., Ltd., Shanghai |