CN103873249B - 基于非对称算法的证书介质在线格式化与解锁方法 - Google Patents
基于非对称算法的证书介质在线格式化与解锁方法 Download PDFInfo
- Publication number
- CN103873249B CN103873249B CN201210548197.3A CN201210548197A CN103873249B CN 103873249 B CN103873249 B CN 103873249B CN 201210548197 A CN201210548197 A CN 201210548197A CN 103873249 B CN103873249 B CN 103873249B
- Authority
- CN
- China
- Prior art keywords
- medium
- password
- management interface
- sopin1
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了基于非对称算法的证书介质在线格式化与解锁方法,在格式化方法时,由介质管理接口产生一次性随机码R1和介质序列号KSN,服务端根据KSN获取介质对应管理口令SOPIN1,并进行加密和签名,并将结果发至客服端,客户端对结果进行验证和解密后,完成格式化。解锁方法时,由介质管理接口获取签名证书序列号SN和介质序列号KSN,产生一次性随机码R3;服务端使用KSN获取管理口令SOPIN1,并对接收到的数据进行加密和签名,并发送到客户端;介质管理接口进行签名验证和解密,并对解密结果进行对比,相同,则重置用户口令为默认口令。本发明能够在大规范的公钥基础设施中保障证书介质的口令安全。
Description
技术领域
本发明涉及PKI领域的证书介质管理技术,具体涉及一种证书介质在线格式化方法以及解锁方法。
背景技术
随着PKI/PMI技术的推广,数字证书的应用已逐渐融入到日常生活,公钥基础设施管理机构所签发的证书容量逐渐扩展,证书应用的范围也越来越广,由此引发对证书介质管理口令进行管理问题。
目前对介质的管理口令进行管理的方式包括以下两种:
1、采用厂商自有的管理工具,通过厂商管理的默认管理口令进行管理,厂商提供一个统一解锁工具进行管理,其弱点在于该工具可从多渠道获取,只要获得该工具即可进行解锁,介质的使用安全性得不到保障。
2、由CA中心制定统一的管理口令,在发证前,通过一个格式化工具将管理口令修改为统一的管理口令,然后在管理员内部下发可进行解锁的客户端,其弱点在于管理员可以进行跨域解锁,且由于管理员离职或解锁工具流失,均会影响介质的使用安全性。
从以上方法可以看出,目前的证书介质口令管理存在安全弱点,当证书介质被窃取后,存在明确的伪造使用漏洞。
发明内容
本发明针对现有证书介质口令管理不安全的问题,而提供一种基于非对称算法的证书介质在线格式化的方法,通过该方法保障证书介质的口令安全。
作为本发明的第二目的,本发明还提供一种基于非对称算法的证书介质在线解锁的方法,通过该方法保障证书介质在线解锁的安全性。
为了达到上述目的,本发明采用如下的技术方案:
基于非对称算法的证书介质在线格式化方法,该方法中涉及的服务端提供一个管理口令生成器;同时在介质管理接口内置管理证书;据此实施的格式化方法包括如下步骤:
(1.1)在线格式化时控件首先调用介质管理接口产生一次性随机码R1,同时获取介质序列号KSN,并将R1和KSN提交到服务端;
(2.1)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3.1)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4.1)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1进行解密得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2。
基于上述方案,本发明提供的基于非对称算法的证书介质在线解锁方法,包括如下步骤:
(1.2)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起发送到服务端;
(2.2)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(3.2)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(4.2)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(5.2)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1进行解密得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质管理接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令。
根据上述方案本发明能够保障证书介质在线格式化和解锁的安全性,能够在大规范的公钥基础设施中保障证书介质的口令安全,为数字证书的推广和使用铺平道路。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1,所示为基于非对称算法的证书介质在线格式化与解锁方法的实施流程图。由图可知该方法的实施涉及到相应的服务端和证书介质管理接口,在本发明中的服务端能够进行私钥管理,并提供一个管理口令生成器(密钥生成器);对于介质管理接口在其内内置管理证书和随机数管理器。
基于上述的服务端和证书介质管理接口,本发明提供的在线格式化与解锁方法,具体步骤如下:
(1)在线格式化进控件首先调用介质管理接口中随机数管理产生一次性随机码R1,同时获取介质的唯一序列号KSN,并将R1和KSN一起作为格式化请求提交到服务端;
(2)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1解密进行得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2。
据此完成证书介质在线格式化操作,通过上述步骤的操作能够保证证书介质在线格式化的安全性。上述步骤中证书介质管理口令根据证书介质的唯一介质序列号生成;同时进行格式化时,会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;再者,介质管理接口中内置了表明服务端身份的管理证书,并对在服务端使用私钥签名的随机数据进行验证签名,防止了对介质管理接口的不当使用。
对于介质的在线解锁同样涉及到上述的服务端和证书介质管理接口,其具体过程如下:
(5)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质唯一序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起作为解锁请求发送到服务端;
(6)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(7)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(8)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(9)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1解密进行得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令。
本发明提供的方案在进行介质解锁时,证书介质管理口令同样根据证书介质的唯一介质序列号生成;并且在解锁过程中会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;本方案还对在服务端使用私钥签名的随机数据进行验证签名,能够有效防止对介质管理接口的不当使用;最后在进行解锁时会使用用户的加密证书对随机数进行加密,若程序解锁过程中时发现使用内部加密私钥解密得到的随机数与当前会话随机数不一致,将保持介质锁定状态,防止伪造数据攻击。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1.基于非对称算法的证书介质在线格式化方法,其特征在于,所述方法中涉及的服务端提供一个管理口令生成器;同时在介质管理接口内置管理证书和随机数管理器;据此实施的格式化方法包括如下步骤:
(1.1)在线格式化时控件首先调用介质管理接口产生一次性随机码R1,同时获取介质序列号KSN,并将R1和KSN提交到服务端;
(2.1)服务端使用KSN获取介质对应管理口令SOPIN1,使用R1对SOPIN1加密,得到ESOPIN1,同时使用管理证书对应私钥对R1进行签名,得到SIG1,将ESOPIN1和SIG1发送到客户端;
(3.1)控件调用介质管理接口中的格式化函数,传入ESOPIN1和SIG1;
(4.1)介质管理接口使用内置管理证书对SIG1进行签名验证,验证通过,使用R1对ESOPIN1进行解密得到SOPIN1,对介质进行格式化操作,并将其管理口令设置为SOPIN1,重置随机码为R2;
据此完成证书介质在线格式化操作,通过上述步骤的操作能够保证证书介质格式化的安全性;上述步骤中证书介质管理口令根据证书介质的唯一介质序列号生成;同时进行格式化时,会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;再者,介质管理接口中内置了表明服务端身份的管理证书,并对在服务端使用私钥签名的随机数据进行验证签名,防止了对介质管理接口的不当使用。
2.基于非对称算法的证书介质在线解锁方法,其特征在于,所述解锁方法包括如下步骤:
(1.2)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN,获取介质序列号KSN,产生一次性随机码R3,汇同管理员证书序列号ASN一起发送到服务端;
(2.2)服务端通过ASN检查管理员权限,确认是否有权对该介质进行解锁;
(3.2)服务端使用KSN获取介质对应管理口令SOPIN1,使用SN获取用户加密证书ECER,使用ECER中的公钥对R3进行加密得到ER3,使用R3对SOPIN1进行加密得到ESOPIN2,使用管理证书对应私钥对R3进行签名,得到SIG3,将ER3,ESOPIN2和SIG3发送到客户端;
(4.2)控件调用介质管理接口中的解锁函数,传入ER3,ESOPIN2和SIG3;
(5.2)介质管理接口使用内置管理证书对SIG3进行签名验证,验证通过,使用R3对ESOPIN1进行解密得到SOPIN1,使用SOPIN1将用户口令修改为默认口令PIN1,使用PIN1对介质进行操作,调用介质管理接口使用加密私钥对ER3进行解密,得到DR3,将DR3与R3进行对比,若不同,则保持介质锁定状态,若相同,则重置用户口令为默认口令;
在进行介质解锁时,证书介质管理口令同样根据证书介质的唯一介质序列号生成;并且在解锁过程中会生成一个一次性随机数,并对此随机数据进行签名和验证,以防止重放攻击;本方案还对在服务端使用私钥签名的随机数据进行验证签名,能够有效防止对介质管理接口的不当使用;最后在进行解锁时会使用用户的加密证书对随机数进行加密,若程序解锁过程中时发现使用内部加密私钥解密得到的随机数与当前会话随机数不一致,将保持介质锁定状态,防止伪造数据攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210548197.3A CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210548197.3A CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103873249A CN103873249A (zh) | 2014-06-18 |
| CN103873249B true CN103873249B (zh) | 2017-10-27 |
Family
ID=50911399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210548197.3A Active CN103873249B (zh) | 2012-12-17 | 2012-12-17 | 基于非对称算法的证书介质在线格式化与解锁方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103873249B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107135073B (zh) * | 2016-02-26 | 2021-05-25 | 北京京东尚科信息技术有限公司 | 接口调用方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6550010B1 (en) * | 1998-09-30 | 2003-04-15 | Bellsouth Intellectual Property Corp. | Method and apparatus for a unit locked against use until unlocked and/or activated on a selected network |
| CN101166085A (zh) * | 2007-09-24 | 2008-04-23 | 北京飞天诚信科技有限公司 | 远程解锁方法和系统 |
| CN101277186A (zh) * | 2007-03-30 | 2008-10-01 | 北京握奇数据系统有限公司 | 利用非对称密钥算法实现外部认证的方法 |
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN102075327A (zh) * | 2010-12-21 | 2011-05-25 | 北京握奇数据系统有限公司 | 一种实现电子钥匙解锁的方法、装置及系统 |
| CN102571327A (zh) * | 2010-12-31 | 2012-07-11 | 上海格尔软件股份有限公司 | 一种集中安全管理USBKey解锁密钥的方法 |
-
2012
- 2012-12-17 CN CN201210548197.3A patent/CN103873249B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6550010B1 (en) * | 1998-09-30 | 2003-04-15 | Bellsouth Intellectual Property Corp. | Method and apparatus for a unit locked against use until unlocked and/or activated on a selected network |
| CN101277186A (zh) * | 2007-03-30 | 2008-10-01 | 北京握奇数据系统有限公司 | 利用非对称密钥算法实现外部认证的方法 |
| CN101166085A (zh) * | 2007-09-24 | 2008-04-23 | 北京飞天诚信科技有限公司 | 远程解锁方法和系统 |
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN102075327A (zh) * | 2010-12-21 | 2011-05-25 | 北京握奇数据系统有限公司 | 一种实现电子钥匙解锁的方法、装置及系统 |
| CN102571327A (zh) * | 2010-12-31 | 2012-07-11 | 上海格尔软件股份有限公司 | 一种集中安全管理USBKey解锁密钥的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103873249A (zh) | 2014-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114154135B (zh) | 基于国密算法的车联网通信安全认证方法、系统及设备 | |
| CN110069918B (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| CN106416123B (zh) | 基于密码的认证 | |
| CN103081399B (zh) | 认证设备和系统 | |
| CN102484638B (zh) | 经由多个中间客户端在线递送的身份数据的分层保护和验证 | |
| CN106100836B (zh) | 一种工业用户身份认证和加密的方法及系统 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN112528250B (zh) | 通过区块链实现数据隐私和数字身份的系统及方法 | |
| CN101515319B (zh) | 密钥处理方法、密钥密码学服务系统和密钥协商方法 | |
| CN106452764B (zh) | 一种标识私钥自动更新的方法及密码系统 | |
| CN101272301B (zh) | 一种无线城域网的安全接入方法 | |
| CN113572740B (zh) | 一种基于国密的云管理平台认证加密方法 | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| TW201334493A (zh) | 用於安全金鑰產生的設備、利用終端用戶設備來進行安全金鑰產生的方法及在裝置製造者伺服器中進行安全金鑰產生的方法 | |
| CN106664209B (zh) | 基于密码的秘密加密密钥的生成和管理的方法和系统 | |
| CN110401615A (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| CN103684798B (zh) | 一种用于分布式用户服务间认证方法 | |
| CN103825724B (zh) | 一种自动更新和恢复私钥的标识型密码系统及方法 | |
| WO2014187206A1 (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN104322003A (zh) | 借助实时加密进行的密码认证和识别方法 | |
| EP2827529B1 (en) | Method, device, and system for identity authentication | |
| TWI390937B (zh) | 供當請求第三人屬性憑證時用以消除密碼現露之方法、系統及儲存媒體 | |
| CN114267100B (zh) | 开锁认证方法、装置、安全芯片及电子钥匙管理系统 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Patentee after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Patentee before: Geer Software Co., Ltd., Shanghai |