CN106161027A - 一种手机准数字证书子系统及其系统及其方法 - Google Patents
一种手机准数字证书子系统及其系统及其方法 Download PDFInfo
- Publication number
- CN106161027A CN106161027A CN201510181073.XA CN201510181073A CN106161027A CN 106161027 A CN106161027 A CN 106161027A CN 201510181073 A CN201510181073 A CN 201510181073A CN 106161027 A CN106161027 A CN 106161027A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- mobile phone
- subsystem
- quasi
- phone quasi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种手机准数字证书子系统及其系统及其方法,包括:手机准数字证书子系统、手机准数字证书子系统的认证系统、手机准数字证书子系统的管理平台及CA数字证书认证系统。用于实现“在手机中集成数字证书子系统、并建立用户数字证书、并同时兼容各CA签发的数字证书应用”。
Description
技术领域
本发明涉及数字证书应用技术领域,更具体地,涉及手机准数字证书子系统及其系统及其方法。
背景技术
在互联通讯时代,数字证书及其数字证书子系统(如USB
Key数字证书)被广泛应用。同时,移动通讯技术、智能手机技术也蓬勃发展,基于智能手机的数字证书应用潜力巨大。
但分析现有数字证书技术,其数字证书子系统却不适合集成于手机中低成本广泛应用。分析其原因,主要如下:
1、现有数字证书子系统(如USB
Key数字证书子系统),都是由签发数字证书的CA及其应用系统特别专管专控的商用密码产品。从流程上看,其产品设计、生产、测试、销售及使用等各环节,都有严格的安全认证规范;并且都必须通过CA和国家第三方认证机构的安全认证。
在整个流程中,其中最关键环节就是CA在注册建立基于数字证书子系统的用户数字证书时,该CA必须确定“该数字证书子系统是通过CA和国家第三方认证机构安全认证的商用密码产品”。因现有数字证书子系统,都是由签发数字证书的CA及其应用系统特别专管专控的商用密码产品,所以,CA在注册建立基于该数字证书子系统的用户数字证书时,该CA无需再认证该数字证书子系统。
但当“数字证书子系统”要集成于手机中、并随手机广泛销售时,则该数字证书子系统的安全认证需求及安全认证流程就发生重要变化。
首先,该数字证书子系统集成于手机中广泛销售时,其销售流通各环节的安全认证,CA和国家第三方认证机构难以掌控。这样,按现有数字证书技术规范的要求,CA就不能在该数字证书子系统中注册建立用户数字证书。除非有新的技术方案,可证明可保证“CA在该数字证书子系统中注册建立用户数字证书时,该数字证书子系统是符合现有数字证书技术的各种规范的”。
其次,当该数字证书子系统集成于手机中广泛销售、并由用户购买时,用户一般不会马上向CA申请“在该数字证书子系统中注册建立用户数字证书”。用户可能在购买后、在需要时,才去向CA申请“在该手机数字证书子系统中注册建立用户数字证书”,即“当该数字证书子系统集成于手机时,一般是用户先购买该手机,而后再在其需要的时间、持该手机向CA申请“在该数字证书子系统中注册建立用户数字证书”。其与现有技术的流程完全不一样。这样,按现有数字证书技术规范的要求,CA就不能在该数字证书子系统中注册建立用户数字证书。除非有新的技术方案,可证明可保证“CA在该数字证书子系统中注册建立用户数字证书时,该数字证书子系统是符合现有数字证书技术的各种规范的”。
2、现有数字证书子系统(如USB Key数字证书子系统),都是由签发数字证书的CA及其应用系统特别专管专控的商用密码产品,各家CA的数字证书子系统,独立发展,互不兼容。按现有技术,现有各CA的数字证书子系统,难兼容集成于手机系统中。除非有新的技术方案,才能将现有各CA的数字证书应用,兼容集成于手机系统中。
另外,现有数字证书技术,还有下面的问题,不利于其发展。
1、“基于现有数字证书子系统的用户数字证书”重复浪费成本高。现有数字证书技术(如USB Key数字证书),各CA独立发展、互不兼容,使各CA签发的USB Key用户数字证书只能用于指定的服务商,不能通用。例如:许多用户就同时拥有招行、工行、建行等不同银行的USB
Key数字证书,不仅重复浪费成本高,而且管理麻烦。实际上,通过技术改进,“用户只需一个USB
Key数字证书子系统”即可兼容各CA签发的数字证书。
2、现有数字证书技术中的数字证书公钥是可获取、无保密体系保护的。例如:在中国国家电子认证根CA的网站(www.rootca.gov.cn)上,就可直接查到国内各运营CA的数字证书及其公钥。其无保密体系保护。
虽然依据“公开密钥密码体制理论”,现有数字证书技术,其安全性是很强的。但其无保密体系保护的数字证书公钥,其公开或泄漏,还是有小概率性的安全隐患。因为,超级计算机及密码破解技术还在不断发展,即使是最安全的密匙在超级计算机的不断尝试下也会被破解。
若是能实现“即可保持现有数字证书技术的功能,又能限制数字证书的公钥只对特定CA有条件公开,并且对其它通信各方都不公开”的“黑盒数字证书”,其安全性应更好。
基于上面的问题及需求,本发明提供一种手机准数字证书子系统及其系统及其方法,可解决上面现有技术的问题,使数字证书子系统与手机系统融合集成,相互促进,可靠应用,实现1+1大于2的良好效果。
本发明是在现有技术基础上,对现有技术的改进创新。下面再介绍下现有技术的相关内容:
1、 Hash算法及Hash摘要
1)Hash,一般翻译为“散列”,也可直接音译为“哈希”。本文直接使用其英文。
2)Hash算法,是将任意长度的二进制值映射为较短的固定长度的二进制值的算法。
3)Hash摘要,是用Hash算法将任意长度的二进制值映射为较短的固定长度的二进制值。这个小的二进制值称为Hash摘要或Hash值。其是一段数据唯一且极其紧凑的数值表示形式。要找到Hash摘要为同一个值的两个不同的输入,在计算上基本是不可能的,所以,数据的Hash摘要可以检验数据的完整性。
2、 对称加密算法及其对称密钥
对称加密算法,是指加密密钥和解密密钥相同或可相互推算出来的加密算法。对称加密算法使用的密钥,称为对称密钥。
对称加密算法的加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。在大多数的对称算法中,加密密钥和解密密钥是相同的。
3、 非对称加密算法及其非对称密钥对
非对称加密算法,是指加密密钥和解密密钥不相同的加密算法。非对称加密算法使用的这两个密钥,是公开密钥(public
key,简称公钥)和私有密钥(private key,简称私钥),它们是一对,但彼此在计算上基本不可能相互推算出来,称为非对称密钥对。
如果用公钥和该算法对数据进行加密,只有用对应的私钥和该算法才能解密;如果用私钥和该算法对数据进行加密,那么只有用对应的公钥和该算法才能解密。
4、 数字证书
数字证书是一个经证书授权中心数字签名的包含公开密钥以及公开密钥拥有者信息的文件。
5、 数字签名及其验证方法
1)数字签名
发送者先将报文按约定的HASH算法计算得到一个报文摘要(又称:HASH摘要);再将该报文摘要用发送者的私有密钥和非对称加密算法加密,得到的密文,就叫“该发送者对该报文的数字签名”。数字签名需与原报文绑定使用,一起发送给接收者。
2)数字签名的验证方法
接收方收到数字签名和原报文后,用同样的HASH算法对原报文计算出报文摘要,简记为A;然后用“发送者的数字证书中的公开密钥”和“相同的非对称加密算法”,对数字签名进行解密得到的原报文摘要,简记为B”。比较报文摘要A和报文摘要B;若二者相等,则数字签名验证成功,说明报文及数字签名来自“数字证书中公开密钥的拥有者”,也就是发送者。
6、 现有USB
Key数字证书子系统及其USB Key数字证书
1)现有USB Key数字证书子系统,是包括有独立的处理器、存储器及软件系统、及加密解密模块、及密钥生成模块的计算机子系统;其硬件主要是采用经国家第三方认证机构认证的SOC安全芯片。
2)现有USB Key数字证书子系统,都是由签发数字证书的CA及其应用系统特别专管专控的商用密码产品。其在注册建立用户数字证书时无需再进行认证。
3)USB Key数字证书,是CA签发的基于USB Key数字证书子系统的用户数字证书。其用户私钥唯一存储并应用于USB
Key数字证书子系统中,不可导出,因此十分安全。其已在银行等领域广泛成熟地应用。
4)现有其它数字证书子系统,如SIM卡数字证书子系统、SD卡数字证书子系统,其与上述USB Key数字证书子系统原理类似,主要只是接口不同。
下面是本文中使用的术语、缩略语及定义:
1、数字证书子系统:经第三方认证机构认证,符合商用密码相关技术规范,可安全存储及应用数字证书私钥,可建立用户数字证书的计算机子系统。
2、USB Key数字证书子系统:具有USB标准接口的数字证书子系统。
3、数字证书黑盒子系统:黑盒数字证书,是指“在数字证书黑盒子系统中存储及应用的、并且其公钥信息只能由特定CA查看、并不对外公开的数字证书”。“黑盒数字证书”与存储该“黑盒数字证书”的“数字证书黑盒子系统”由CA关联注册、捆绑签发。“黑盒数字证书”只公开“包含其黑盒数字证书的数字证书黑盒子系统和数字证书中除公钥以外的信息”。
4、黑盒数字证书:黑盒数字证书,是指“在数字证书黑盒子系统中存储及应用的、并且其公钥信息只能由特定CA查看、并不对外公开的数字证书”。“黑盒数字证书”与存储该“黑盒数字证书”的“数字证书黑盒子系统”由CA关联注册、捆绑签发。“黑盒数字证书”只公开“包含其黑盒数字证书的数字证书黑盒子系统和数字证书中除公钥以外的信息”。
5、USB Key数字证书:存储并应用于USB Key数字证书子系统中的数字证书。
6、基于数字证书子系统的数字证书:数字证书的密钥对在数字证书子系统中生成,并且其私钥存储应用于该数字证书子系统中,并不可导出的的数字证书。
7、手机准数字证书子系统(Mss):
1)手机准数字证书子系统,是具有现有数字证书子系统功能,但流通销售环节不专控及注册应用时需重新进行完整性认证的计算机子系统。
2)手机准数字证书子系统,在经过正式的注册认证后,可升级为正式的数字证书子系统,并由CA在其中建立用户数字证书。
3)在本发明的文件中,手机准数字证书子系统,用Mss简称。Mss 是:“Mobile safety subsystem ”的英文缩写。
8、手机准数字证书子系统的认证系统(MssT):
在本发明的文件中,手机准数字证书子系统的认证系统,用MssT简称。 MssT 是:“Test Tool
of Mobile safety subsystem ”的英文缩写。
9、手机准数字证书子系统的管理平台(MssM):
手机准数字证书子系统的管理平台,用MssM简称。MssM 是Management
platform of Mobile safety subsystem的英文缩写。
10、数字证书认证系统:
CA的数字证书认证系统,是用于“数字证书的申请、审核、认证、签发、查询,等”认证服务管理的综合计算机系统,包括:认证中心系统(CA
Server),注册中心系统(RA Server) ,密钥管理中心系统(KM Server),等。
11、CA:认证机构
(Certification Authority,CA)。是采用公开密钥基础技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。通常又叫做数字证书认证中心。
12、RA:注册机构 (Registration
Authority,RA)。为用户办理数字证书申请、身份审核等业务的办事机构或业务受理点。但是RA并不签发证书。
13、PKI:PKI是Public Key Infrastructure的首字母缩写。中文是:公钥基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
14、系统:系统是由相互作用相互依赖的若干组成部分结合而成的,具有特定功能的有机整体,而且这个有机整体又是它从属的更大系统的组成部分。
15、SoC:System-on-a-Chip。SoC安全芯片,是将组成计算机系统的“微处理器、存储器、安全加解密模块、接口模块,等电路”集成在单一芯片上。
16、下载建立:在本文中,“下载建立“的定义是:在计算机的存储器中下载存储并应用。
发明内容
本发明的目的在于提供一种手机准数字证书子系统及其系统及其方法,解决现有数字证书技术中存在的上述问题,使数字证书子系统可集成于手机中低成本广泛应用;并同时兼容“各CA签发的数字证书的应用”;并更可靠更安全。
本发明的总体构思,主要是:
1、设计“手机准数字证书子系统”,使其可集成于手机中广泛销售应用。其中,该“手机准数字证书子系统”,是符合国家商用密码产品标准的、具有现有数字证书子系统功能的计算机子系统。其在现有数字证书子系统的基础上,主要新增“注册认证管理模块”,以解决该“手机准数字证书子系统”在销售流通环节安全不可控,在其注册应用时需要重新认证的问题。
2、同时,配套设计“手机准数字证书子系统的认证系统”,用于在“手机准数字证书子系统”注册应用时,对其进行完整性认证;使“手机准数字证书子系统”可升级为“正式的数字证书子系统”。
3、同时,改进现有CA的数字证书认证系统及方法,使CA可认证签发“基于手机准数字证书子系统”的用户数字证书。即:在现有数字证书认证系统中,增加本发明的“手机准数字证书子系统的认证系统”,在用户申请注册“基于手机准数字证书子系统”的用户数字证书时,用本发明的“手机准数字证书子系统的认证系统”先对该“手机准数字证书子系统”进行完整性认证;在其完整性认证通过,使“手机准数字证书子系统”升级为“正式的数字证书子系统”后,再注册建立“基于手机准数字证书子系统”的用户数字证书。
4、设计“手机准数字证书子系统的管理平台”,用于管理“在手机准数字证书子系统中的数字证书应用”。
下面对本发明总体构思中的主要部分,分别说明。
一、 手机准数字证书子系统
本发明提供的手机准数字证书子系统,在本发明的总体构思下,可有多种不同的方案。为完整描述在本发明总体构思下的各种不同的方案,下面按层次化模块化结构,描述本发明的手机准数字证书子系统的各种不同方案。
1、本发明提供的一种手机准数字证书子系统,是具有现有数字证书子系统软硬件功能的计算机子系统,其包括有:独立的处理器、存储器及软件系统、及加密解密模块、及密钥生成模块。其特征在于:其包括有“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘来自手机准数字证书子系统的认证系统的、该手机准数字证书子系统的完整性检测模块’;并启动执行该‘手机准数字证书子系统完整性检测模块’对‘该手机准数字证书子系统存储器中的程序及数据’进行检测操作”。其特征包括下面步骤:
(1)该“手机准数字证书子系统”,接收到该“手机准数字证书子系统的完整性检测模块”及其命令;
(2)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;
(3)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,启动执行该“手机准数字证书子系统完整性检测模块”;
(4)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(5)该“手机准数字证书子系统完整性检测模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
2、如上述1所述的手机准数字证书子系统,其特征还在于:其
包括有“手机准数字证书子系统认证方的公钥”和“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘该手机准数字证书子系统的完整性检测模块’”。其中,“手机准数字证书子系统认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”。
其特征还包括下面步骤:
(1)
该“手机准数字证书子系统”,接收到“要在该手机准数字证书子系统中下载建立的‘手机准数字证书子系统完整性检测模块及其认证方的数字签名’”;
(2)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统”中的“认证方的公钥”,解密“上述认证方的数字签名”,并验证该数字签名;
(3)
若“数字签名”验证通过,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(4)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,,启动执行该“手机准数字证书子系统完整性检测模块”;
(5)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(6)该“手机准数字证书子系统完整性检测模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
3、如上述1所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统认证方与手机准数字证书子系统预先约定的对称密钥” 和其“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘该手机准数字证书子系统的完整性检测模块’”,其特征还包括下面步骤:
(1)
该“手机准数字证书子系统”接收到“要在该手机准数字证书子系统中下载建立的‘手机准数字证书子系统完整性检测模块及其认证数据’”;
其中,该“手机准数字证书子系统完整性检测模块的认证数据”,
是“‘手机准数字证书子系统认证方’用其与该手机准数字证书子系统预先约定的对称密钥”,对该“手机准数字证书子系统完整性认证模块”的Hash摘要的加密数据。
其中,上述预先约定的对称密钥,可以是“‘手机准数字证书子系统认证方’与该手机准数字证书子系统预先约定的静态对称密钥;也可以是“‘手机准数字证书子系统认证方’与该手机准数字证书子系统之间动态令牌生成的动态对称密钥”;
其中,上述“手机准数字证书子系统认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”。
(2) 该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统认证方约定的对称密钥”,解密“上述认证数据”,并验证“上述认证数据”是否为“认证方的认证数据”。其验证方法是:
1)该“注册认证管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与认证方约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2) 该“注册认证管理模块”,对接收到的“手机准数字证书子系统完
整性检测模块”应用Hash算法进行运算,得到该“手机准数字证书子系统完整性检测模块”的Hash摘要信息,简记用B表示;
3) 比较数据A和B,若A等于B,则判定“上述认证数据”是“认
证方的认证数据”,验证通过。
(3) 若验证通过,判定“上述认证数据”是“认证方的认证数据”,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(4)
该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,启动执行该“手机准数字证书子系统完整性认证模块”;
(5)
该“手机准数字证书子系统完整性认证模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(6)
该“手机准数字证书子系统完整性认证模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
4、如上述1、2、3之一的所述手机准数字证书子系统,其特征还在于:在其注册认证时,其“下载建立的手机准数字证书子系统完整性检测模块”中,包括有“启动生成‘手机准数字证书子系统的非对称密钥对’的功能”。在该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统”进行完整性检测操作后,该模块继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”,生成“该手机准数字证书子系统的非对称密钥对”;并输出“新生成的该手机准数字证书子系统的非对称密钥对的公钥”,用于制作“该手机准数字证书子系统用户的数字证书”。
5、如上述1、2、3之一所述的手机准数字证书子系统,其特征
还在于:其包括有“手机准数字证书子系统管理平台的公钥”和“可信数字证书建立管理模块”,用于管理在“手机准数字证书子系统中生成非对称密钥对(私钥和公钥)。其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的私钥签名认证’才能建立的数字证书”。
其特征是包括下面步骤:
(1)
手机准数字证书子系统,接收到“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的数字签名”;
(2)
手机准数字证书子系统的“可信数字证书建立管理模块”,按协议,应用存储在该手机准数字证书子系统中的“手机准数字证书子系统管理平台的公钥”,解密“上述数字签名”;并验证“上述数字签名;
(3)
若签名验证通过,则该“可信数字证书建立管理模块”启动“非对称密钥生成流程”,生成该“手机准数字证书子系统”的非对称密钥对(私钥和公钥)。
6、如上述1、2、3之一所述的手机准数字证书子系统,其特征
还在于:其包括有“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的对称密钥” 和“可信数字证书建立管理模块”,用于管理在“手机准数字证书子系统中生成非对称密钥对(私钥和公钥)。其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的认证数据’才能建立的数字证书”。
其特征是包括下面步骤:
(1)
手机准数字证书子系统,接收到“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的认证数据”;
其中,上述“认证数据”是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的对称密钥”,对上述“在手机准数字证书子系统中生成非对称密钥对的请求”的Hash摘要进行加密,得到的密文。
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的对称密钥”,可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”。
(2) 手机准数字证书子系统的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密该“手机数字证书子系统管理平台”的认证数据,并验证该认证数据。其验证方法是:
1)该“可信数字证书建立管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2)该“可信数字证书建立管理模块”,对接收到的上述“包括‘在手机准数字证书子系统中生成非对称密钥对的命令’的相关信息数据”应用Hash算法进行运算,得到其Hash摘要,简记用B表示;
3)比较数据A和B,若A等于B,则判定“上述认证数据”是“手机准数字证书子系统管理平台的认证数据”,验证通过。
(3) 若签名验证通过,则该“可信数字证书建立管理模块”启动“非对称密钥生成流程”,生成该“手机准数字证书子系统”的非对称密钥对(私钥和公钥)。
7、 如上述1、2、3、4、5之一所述的手机准数字证书子系统,
其特征还在于:其包括有“手机准数字证书子系统管理平台的公钥”和“可信数字证书建立管理模块”,用于管理“在该准手机数字证书子系统中建立可信数字证书”。其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的私钥签名认证’才能建立的数字证书”。“可信数字证书”可以是“手机准数字证书子系统用户的数字证书”、也可以是“在该手机准数字证书子系统中下载建立的商户数字证书”。
其特征是包括下面步骤:
(1)
该“手机准数字证书子系统”接收到“下载建立数字证书的请求,及其数字证书及其数字签名”;
(2)
该“手机准数字证书子系统”中的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“手机数字证书子系统管理平台”的公钥,解密上述数字签名;并验证上述数字签名;
(3)
若签名验证通过,则该“可信数字证书建立管理模块”在该“手机准数字证书子系统”中下载建立该数字证书”。
8、如上述1、2、3、4、6之一所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的对称密钥”和“‘可信数字证书’建立管理模块”,用于管理“在该准手机数字证书子系统中建立‘可信数字证书’”。其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的认证数据’才能建立的数字证书”。“可信数字证书”可以是“手机准数字证书子系统用户的数字证书”、也可以是“在该手机准数字证书子系统中下载建立的商户数字证书”。
其特征是包括下面步骤:
(1)
该“手机准数字证书子系统”接收到“下载建立数字证书的请求,及其数字证书及其认证数据”;
其中,上述“认证数据”,是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的对称密钥”,对“该数字证书”的Hash摘要进行加密,得到的密文。其是“手机数字证书子系统管理平台”对该数字证书的认证数据
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的对称密钥”,可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”。
(2) 该“手机准数字证书子系统”中的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密该“手机数字证书子系统管理平台”的认证数据,并验证该认证数据。其验证方法是:
1)该“可信数字证书建立管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2)该“可信数字证书建立管理模块”,对接收到的“上述数字证书”应用Hash算法进行运算,得到“上述数字证书”的Hash摘要,简记用B表示;
3) 比较数据A和B,若A等于B,则判定“上述认证数据”是“手
机准数字证书子系统管理平台的认证数据”,验证通过。
(3) 若验证通过,则该“可信数字证书建立管理模块”,在该“手机准数字证书子系统”中下载建立该数字证书”。
9、如上述1、2、3、4、5、6、7、8之一所述的手机准数字证书子系统,其特征还在于:其包括有“商用密码状态指示器及其应用方法”,该商用密码状态指示器是一个表示“商用密码功能开启或关闭状态的特定存储器”。在手机准数字证书子系统使用其商用密码加密功能的流程中,要查看该“商用业密码状态指示器”的状态,当其为“关闭”状态时,则该手机准数字证书子系统无法实现其商用密码加密功能;当其为“开启”状态时,则该手机准数字证书子系统可正常实现其商用密码加密功能。
其特征还在于:该手机准数字证书子系统在“出厂及销售过程中”,其
“商用密码状态指示器”是配置为“关闭”状态的。“该关闭的商用密码加密功能”在该手机准数字证书子系统正式注册认证后,可重新配置“开启”。
10、如上述1、2、3、4、5、6、7、8、9之一所述的手机准数字证书子系统,其特征还在于:其包括有“黑盒数字证书管理模块”,用于管理“手机准数字证书子系统在注册认证通过后建立的黑盒数字证书公钥;并使手机准数字证书子系统在注册认证通过后,升级为数字证书黑盒子系统”。
其特征是:该“黑盒数字证书管理功能块”,管理“手机准数字证书子系统中的黑盒数字证书的公钥,使其能在其内部使用,但不能在本地显示查看该公钥的原文信息;同时,该“黑盒数字证书管理功能块”,还管理“手机准数字证书子系统中的黑盒数字证书的公钥的输出”必须是加密输出的,并且其加密方法是只能从下面的三种方法中选择,即:或‘应用该手机准数字证书子系统的公钥进行加密’、或‘应用特定CA的公钥进行加密’、或应用其它具有‘黑盒数字证书管理功能’的数字证书黑盒子系统的公钥进行加密”。保证“黑盒数字证书中的公钥信息只能是特定CA才能查看到”。
其中,“黑盒数字证书”是指“在数字证书黑盒子系统中存储及应用的、并且其公钥信息只能由特定CA查看、并不对外公开的数字证书”。“黑盒数字证书”与存储该“黑盒数字证书”的“数字证书黑盒子系统”由CA关联注册、捆绑签发。
其中,“数字证书黑盒子系统”,是指:具有“黑盒数字证书管理功能块”的 数字证书子系统。该黑盒数字证书管理功能块”管理“黑盒数字证书中的公钥可在该数字证书黑盒子系统中存储应用,但不可在本地显示查看该公钥原文信息;同时,该黑盒数字证书管理功能块”还管理“该数字证书子系统中的黑盒数字证书中的公钥的输出”必须是加密输出的;并且其加密方法是只能从下面的三种方法中选择,即:或‘应用手机准数字证书子系统自己的公钥进行加密’、或‘应用特定CA的公钥进行加密’、或应用其它具有‘黑盒数字证书管理功能’的数字证书黑盒子系统的公钥进行加密”。保证“黑盒数字证书中的公钥信息只能特定CA才能查看到”。
二、 手机准数字证书子系统的认证系统
本发明提供的手机准数字证书子系统的认证系统,是用于对本发
明的手机准数字证书子系统进行完整性认证的计算机系统。
本发明的对“手机准数字证书子系统的完整性认证”,是指对“手机准数字证书子系统的软件系统的完整性认证”。因“手机准数字证书子系统的软件系统”实际就是“手机准数字证书子系统的存储器中已知存储地址的已知二进制数据的集合”。所以,对“手机准数字证书子系统的完整性认证”就是对“手机准数字证书子系统的存储器中已知存储地址的已知二进制数据集合的完整性认证”。
通过分析可知,同一技术方案的手机准数字证书子系统,其存储器中“已知存储地址的已知二进制数据”,可分为三类,1、“各个手机准数字证书子系统”都相同的数据部分,简称:通用数据。如:通用模块和数据。2、“各个手机准数字证书子系统”专用但不专有的数据部分,简称:专用不专有数据。如:ID数据、非对称密钥对的公钥和对称密钥。“手机准数字证书子系统管理平台”存储有该“手机准数字证书子系统的专用不专有数据”,用于管理。3、“各个手机准数字证书子系统”专用且专有的数据部分,简称:专用专有数据。如:非对称密钥对的私钥。
因此,对手机准数字证书子系统的完整性认证,就是对手机准数字证书子系统的存储器中己知存储地址的已知“通用数据、专用不专有数据和专用专有数据”的完整性认证。
如上所述的“手机准数字证书子系统的通用数据及专用不专有数据”,其完整性认证的方法,有二种。
方法1:
1)获取“要被认证的手机准数字证书子系统存储器中己知存储地址的数据,简记为A”;
2)获取“已被认证的该手机准数字证书子系统存储器中己知存储地址的已知原始数据,简记为B”;
3)比较数据A与数据B;若二者一样,则其完整性认证通过;若不一样,则其完整性认证失败。
方法2:
1)获取“要被认证的手机准数字证书子系统存储器中己知存储地址的数据”,并对该数据应用Hash算法计算其Hash摘要,简记为A ”;
2)获取“已被认证的该手机准数字证书子系统存储器中己知存储地址的已知原始数据,应用同一Hash算法计算的Hash摘要,简记为B ”;
3)比较Hash摘要A与Hash摘要B;若二者一样,则其完整性认证通过;若不一样,则其完整性认证失败。
如上所述的“手机准数字证书子系统的专用专有的私钥数据”,其完整性认证的方法,也有二种。
方法1:
1) 在手机准数字证书子系统内,获取己知存储地址的私钥数据;
2) 用该私钥对数据A加密,得密文B;
3) 而后,再用已知的该私钥的公钥对该密文B解密,得到原文C;
4) 比较数据C和数据A;若二者一样,则该私钥是完整的;若二者不一
样,则该私钥是不完整的。
方法2:
1) 用已知的该私钥的公钥对数据A加密,的密文B;
2) 在手机准数字证书子系统内,获取己知存储地址的私钥数据;
3) 用该私钥对密文B解密,得原文C;
4) 比较数据C和数据A;若二者一样,则该私钥是完整的;若二者不一样,则该私钥是不完整的。
本发明提供的手机准数字证书子系统的认证系统,在本发明的总体构思下,可有多种不同的方案。为完整描述在本发明总体构思下的各种不同的方案,下面按层次化模块化结构,描述本发明的手机准数字证书子系统的的注册认证系统的各种不同方案。
1、 本发明提供的手机准数字证书子系统的认证系统,是用于
对本发明的手机准数字证书子系统进行完整性认证的计算机系统。其特征在于:其包括有“手机准数字证书子系统的完整性检测模块”;该模块,可被发送给手机准数字证书子系统,并在该手机准数字证书子系统中下载建立;并被启动执行;该模块在手机准数字证书子系统中运行,对该手机准数字证书子系统的存储器中的该手机准数字证书子系统的程序及数据进行检测操作;“该模块对‘该手机准数字证书子系统的程序及数据进行检测操作’而得到的需要输出的信息数据”由该模块处理输出上报,用于判定“该手机准数字证书子系统”的完整性。其特征还在于包括下面步骤:
(1)
该“手机准数字证书子系统的认证系统”,将“手机准数字证书子系统完整性检测模块”及其命令,发送给“手机准数字证书子系统”;
(2)
该“手机准数字证书子系统”,按协议,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性检测模块” 对该手机准数字证书子系统存储器中的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)
该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
2、 如上述1所述的手机准数字证书子系统的认证系统,其特
征还在于:其包括有“手机准数字证书子系统的完整性检测模块及其认证方的数字签名”。其中,上述“认证方”可以是“手机数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”。
其特征是包括下面步骤:
(1)
该“手机准数字证书子系统的认证系统”,将该“手机准数字证书子系统完整性检测模块及其认证方的数字签名”,发送给该“手机准数字证书子系统”;
(2)
该“手机准数字证书子系统”,并按协议,应用在该“手机准数字证书子系统”中的“认证方的公钥”,解密“上述认证方的数字签名”,并验证该数字签名;若“上述认证方的数字签名”验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性认证模块” 对该手机准数字证书子系统存储器中的该手机准数字证书子系统的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)
该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
3、 如上述1所述的手机准数字证书子系统的认证系统,其特
征在于:其包括有“手机准数字证书子系统的完整性检测模块及其认证数据”。
其中,该“手机准数字证书子系统完整性检测模块的认证数据”,是“认证方”用其与该手机准数字证书子系统预先约定的对称密钥,对该“手机准数字证书子系统完整性认证模块”的Hash摘要的加密数据。
其中,上述预先约定的对称密钥,可以是“认证方与该手机准数字证书子系统预先约定的静态对称密钥”;也可以是“认证方与该手机准数字证书子系统之间动态令牌生成的动态对称密钥”;
其中,上述“认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”。
其特征还在于:其包括下面步骤:
(1)
该“手机准数字证书子系统的认证系统”,将该“手机准数字证书子系统完整性检测模块及其认证数据”,发送给该“手机准数字证书子系统”;
(2)
该“手机准数字证书子系统”,应用“与认证方约定的对称密钥”,解密“上述认证数据”,并验证“上述认证数据”;若验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性认证模块” 对该手机准数字证书子系统存储器中的该手机准数字证书子系统的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)
该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
4、如上述1、2、3之一所述的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性认证,还包括下面步骤:
(1)其“手机准数字证书子系统完整性检测模块”,在“手机准数字证书子系统”中下载建立并启动运行;
(2)其“手机准数字证书子系统完整性检测模块”,按已知的存储地址,读取“手机准数字证书子系统”的通用数据和专用不专有数据;
(3)将上述读取的“手机准数字证书子系统的通用数据和专用不专有数据”,用Hash算法进行运算,得到其Hash摘要,简记用A表示 ;
(4)将Hash摘要A,与“已被认证、作为判定标准的‘该手机准数字证书子系统的已知存储地址的通用数据和专用不专有数据’的Hash摘要值”进行比较;若二者一样,则判定“‘该手机准数字证书子系统完整性检测模块’读取检测的‘该手机准数字证书子系统’的通用数据和专用不专有数据”是完整的;若二者不一样,则判定“该手机准数字证书子系统”是不完整的。
5、如上述1、2、3之一所述的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性认证,还包括下面步骤:
(1)其“手机准数字证书子系统完整性检测模块”,在“手机准数字证书子系统”中下载建立并启动运行;
(2)其“手机准数字证书子系统完整性检测模块”,按已知的存储地址,读取“手机准数字证书子系统”的通用数据和专用不专有数据;
简记用D1表示;
(3)将上述数据D1,与“已被认证、作为判定标准的‘该手机准数字证书子系统的已知存储地址的通用数据和专用不专有数据’的原始数据”进行比较;若二者一样,则判定“‘该手机准数字证书子系统完整性检测模块’读取检测的‘该手机准数字证书子系统’的通用数据和专用不专有数据”是完整的;若二者不一样,则判定“该手机准数字证书子系统”是不完整的。
6、如上述1、2、3、4、5之一所述的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性认证,还包括下面步骤:
(1)其“手机准数字证书子系统完整性检测模块”,在“手机准数字证书子系统”中下载建立并启动运行;
(2)其“手机准数字证书子系统完整性检测模块”,按已知的存储地址,读取“该手机准数字证书子系统”专用专有的私钥数据;并用该私钥对数据A进行加密,得到密文B;
(3)而后,再用“已知的该私钥的公钥”对该密文B解密,得到原文C;
(4)比较数据C和数据A;若二者一样,则该私钥是完整的;若二者不一样,则该私钥是不完整的。
7、如上述1、2、3、4、5之一所述的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性认证,还包括下面步骤:
(1)用“已知的该手机准数字证书子系统的公钥”对数据A加密,得到密文B;
(2)“手机准数字证书子系统完整性检测模块”,在“手机准数字证书子系统”中运行,按已知的存储地址,读取“该手机准数字证书子系统”的私钥数据;并用该私钥对密文B进行加密,得到原文C;
(3)比较数据C和数据A;若二者一样,则该私钥是完整的;若二者不一样,则该私钥是不完整的。
8、如上述1、2、3、4、5、6、7之一的所述手机准数字证书子系统的认证系统,其特征还在于:其“手机准数字证书子系统的完整性检测模块”中,还包括有“启动生成‘手机准数字证书子系统的非对称密钥对’的功能”;在该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统”进行完整性检测操作后,该模块继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对”;并输出“新生成的该手机准数字证书子系统的非对称密钥对的公钥”,用于制作“该手机准数字证书子系统用户的数字证书”。
9、如上述1、2、3、4、5、6、7、8之一的所述手机准数字证书子系统的认证系统,其特征还在于:其同时也是独立的数字证书子系统(商用密码产品),具有“自己的设备数字证书和私钥”;其对“手机准数字证书子系统的完整性检测认证的报告”是用其私钥进行签名认证后再输出的。
三、 改进现有CA的数字证书认证系统及方法
在现有数字证书认证系统中,增加本发明的“手机准数字证书子系统的认证系统”。
在用户申请注册“基于手机准数字证书子系统”的用户数字证书时,用本发明的“手机准数字证书子系统的认证系统”先对该“手机准数字证书子系统”进行完整性认证。
若该“手机准数字证书子系统”未通过“手机准数字证书子系统的认证系统”的完整性认证,则CA拒绝在该“手机准数字证书子系统”中注册建立“基于该手机准数字证书子系统”的用户数字证书。
若该“手机准数字证书子系统”通过“手机准数字证书子系统的认证系统”的完整性认证,并具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
四、 手机准数字证书子系统的管理平台
本发明提供的手机准数字证书子系统管理平台,在本发明的总体构思下,可有多种不同的方案。为完整描述在本发明总体构思下的各种不同的方案,下面按层次化模块化结构,描述本发明的手机准数字证书子系统管理平台的各种不同方案。
1、本发明提供的手机准数字证书子系统管理平台,是管理“在手机准数字证书子系统中的数字证书应用”的计算机系统。其特征在于:其包括有“数字证书建立管理模块”,用于管理“在手机准数字证书子系统中生成非对称密钥对(私钥和公钥)”。其特征是包括下面步骤:
(1)
手机准数字证书子系统管理平台,按协议,用“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的密钥”,对“在手机准数字证书子系统中生成非对称密钥对的请求”进行认证,得到其认证数据;
其中,上述“认证数据”是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的密钥”,对“在手机准数字证书子系统中生成非对称密钥对的请求”的Hash摘要进行加密,得到的密文。
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的密钥”,可以是:双方约定的“手机数字证书子系统管理平台的非对称密钥的私钥”;可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”。
(2) 手机准数字证书子系统管理平台,按协议,将“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的认证数据,一起输出,用于在“手机准数字证书子系统中启动生成非对称密钥对(私钥和公钥)”。
2、如上述1所述的手机准数字证书子系统管理平台,其特征还在于:其包括有“数字证书建立管理模块”和“各CA数字证书的公钥”,用于管理认证“要在手机准数字证书子系统中下载建立的各CA签发的数字证书”。其特征包括下面的步骤:
(1)
手机准数字证书子系统管理平台,接收到“要在手机准数字证书子系统中下载建立的数字证书”;
(2)
手机准数字证书子系统管理平台,按协议,应用“手机数字证书子系统管理平台中的签发该数字证书的CA的公钥”,解密该数字证书的CA签名,并验证该CA签名;
(3)
若该CA的签名验证通过,则“手机数字证书子系统管理平台”用“其与手机准数字证书子系统之间约定的密钥”对“该数字证书的Hash摘要”的进行加密,得到“该数字证书的认证数据”;而后,“手机准数字证书子系统管理平台”输出“该数字证书及该认证数据”,用于在“该手机准数字证书子系统”中建立该数字证书的应用。
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的密钥”,可以是:双方约定的“手机数字证书子系统管理平台的非对称密钥的私钥”;可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”。
3、如上述1、2之一所述的手机准数字证书子系统管理平台,其特征还在于:其是包括有“黑盒数字证书管理模块的数字证书系统”。其中,该“黑盒数字证书管理模块”管理“黑盒数字证书中的公钥在该数字证书系统中存储应用;同时,其还管理“该数字证书系统中的黑盒数字证书中的公钥的输出”必须是加密输出的;并且其加密方法是只能从下面的三种方法中选择,即:或‘应用该数字证书系统自己的公钥进行加密’、或‘应用特定CA的公钥进行加密’、或应用其它具有‘黑盒数字证书管理功能’的数字证书黑盒子系统的公钥进行加密”。保证“黑盒数字证书中的公钥信息只能特定CA才能查看到”。
五、 基于手机准数字证书子系统的黑盒数字证书体系
本发明提供一种基于手机准数字证书子系统的“黑盒数字证书体系”,其包括有“本发明的手机准数字证书子系统、本发明的手机准数字证书子系统的认证系统、本发明的手机准数字证书子系统管理平台、及运营CA系统和根CA系统”,其特征是:“手机准数字证书子系统、手机准数字证书子系统管理平台、及运营CA系统和根CA系统”都包含有“黑盒数字证书管理模块”,都可存储及应用“黑盒数字证书”;其特征还在于:其体系结构中,“签发黑盒数字证书的CA的数字证书,也是黑盒数字证书,其公钥信息不对外公开,只能特定CA才能查看到。
其中,上述“黑盒数字证书管理模块”,其管理“黑盒数字证书中的公钥在该数字证书黑盒子系统中存储及应用;同时其还管理“该数字证书子系统中的黑盒数字证书中的公钥的输出”必须是加密输出的,并且其加密方法是只能从下面的三种方法中选择,即:或‘应用数字证书黑盒子系统自己的公钥进行加密’、或‘应用特定CA的公钥进行加密’、或应用其它具有‘黑盒数字证书管理功能’的数字证书黑盒子系统的公钥进行加密”。保证“黑盒数字证书中的公钥信息只能特定CA才能查看到”。
六、手机准数字证书子系统的主机系统
本发明提供的手机准数字证书子系统,其初始是为手机数字证书应用需求而设计的,故称为“手机准数字证书子系统”;但其实际是一个通用的准数字证书子系统;其既可独立构成产品应用,也可集成于手机系统、电脑系统、大型服务器系统等各种计算机系统中应用。
本发明的手机准数字证书子系统的主机系统,是即可与“手机准数字证书子系统”连接通信、也可与互联网连接通信的计算机系统。例如:手机系统、电脑系统、服务器系统等。
本发明的手机准数字证书子系统,通过其主机系统与互联网进行交互通信。
七、在手机中集成数字证书子系统并建立数字证书应用的方法
本发明提供的“在手机中集成数字证书子系统并建立数字证书应用的方法”,在本发明的总体构思下,可有多种不同的方案。为完整描述在本发明总体构思下的各种不同的方案,下面按层次化模块化结构,描述本发明的各种不同方案。
1、本发明的“在手机中集成数字证书子系统并建立数字证书应用的方法”,其特征包括下面步骤,
(1)
将本发明的“手机准数字证书子系统”集成于手机中。其中,该“手机准数字证书子系统”是具有现有数字证书子系统功能的、经国家第三方认证的商用密码产品。其只因集成于手机中销售,其流通环节的安全不可控,所以,其在注册应用时需重新认证。
(2)
在现有的CA数字证书认证系统中,增加“本发明的手机准数字证书子系统的认证系统”。其中,该“手机准数字证书子系统的认证系统”是与“手机准数字证书子系统”配套的、专用于认证该“手机准数字证书子系统”完整性的、经国家第三方认证的商用密码产品。
(3)
用户持集成“手机准数字证书子系统”的手机,到CA的注册中心申请“基于该手机准数字证书子系统”的用户数字证书;
(4)
CA的注册中心,用“本发明的手机准数字证书子系统的认证系统”对该“手机准数字证书子系统”进行完整性认证;
(5)
若其完整性认证不通过,则CA拒绝在该“手机准数字证书子系统”中注册建立用户数字证书。
(6)
若其完整性认证通过,并且其具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
2、如上述1所述的“在手机中集成数字证书子系统并建立数字证书应用的方法”,其特征还在于:用“本发明的手机准数字证书子系统管理平台”,管理“在手机准数字证书子系统中下载建立各CA签发的数字证书应用”。各CA签发的数字证书,若没有“本发明的手机准数字证书子系统管理平台”的认证数据,就不能在“在手机准数字证书子系统中下载建立”。
其中,“本发明的手机准数字证书子系统管理平台”,可以是“CA认证管理系统”,也可以是“非CA认证系统的独立管理平台”。
有益效果:
本发明提供的手机准数字证书子系统及其系统及其方法,解决了现有数字证书技术中存在的问题,使数字证书子系统可集成于手机中低成本广泛应用;并同时兼容“各CA签发的数字证书的应用”;并更可靠更安全。
附图说明
图1是现有数字证书子系统(图1A)及其CA数字证书认证系统(图1B)的示意图。
图2是本发明实施例1的手机准数字证书子系统及其认证系统
(图2A)及其CA数字证书认证系统(图2B)的示意图。。
图3是本发明实施例2的手机准数字证书子系统及其注册认证系统及其管理平台的示意图。其中,图3A是手机准数字证书子系统及其认证系统的示意图;图3B是CA数字证书认证系统的示意图;图3C是手机准数字证书子系统管理平台“在线管理在手机准数字证书子系统的数字证书应用”的示意图。
具体实施方式
下面结合附图给出几个具体实施例,对本发明的总体构思和具体技术方案作进一步的详细描述:
实施例
1:
本发明实施例1的手机准数字证书子系统及其系统及其方法,是在现有数字证书技术基础上的改进创新,用于实现“在手机中集成数字证书子系统并建立用户数字证书”。
参考附图1,是现有数字证书子系统(图1A)及“在现有数字证
书子系统中注册建立用户数字证书”的CA数字证书认证系统(图1B)的示意图。
参考附图2,本发明实施例1,包括:手机准数字证书子系统(Mss)、手机准数字证书子系统的认证系统(MssT)及CA数字证书认证系统。下面分别说明:
一、手机准数字证书子系统(Mss)
本发明实施例1的“手机准数字证书子系统”,是具有现有数字证书子系统功能的、符合国家商用密码产品标准的计算机子系统。
本发明实施例1的“手机准数字证书子系统”在CA注册认证之前,无“专用专有的私钥数据”。其存储器中“已知存储地址的已知二进制数据”,只有两类,1)“各个手机准数字证书子系统”都相同的数据部分,即:通用数据。2)手机准数字证书子系统的唯一ID标识数据。即:专用不专有数据”。其中,手机准数字证书子系统的唯一ID标识数据,在生产时,被备份存储于“手机准数字证书子系统管理平台的数据库”中,用于管理。
本发明实施例1的“手机准数字证书子系统”,其在现有数字证书子系统的基础上,主要增加“注册认证管理模块”和“国家第三方认证机构的数字证书的公钥”,用于管理“在该准数字证书子系统中下载建立‘由第三方认证的、来自手机准数字证书子系统的认证系统的、该手机准数字证书子系统的完整性检测模块’;并启动执行该‘手机准数字证书子系统完整性检测模块’对‘该手机准数字证书子系统存储器中的程序及数据’进行完整性检测操作”。其特征包括下面步骤:
(1)该“手机准数字证书子系统”,接收到“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”及其命令;
(2)该“手机准数字证书子系统”的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统中的第三方认证机构数字证书的公钥”,解密“上述数字签名”,并验证“上述数字签名”;
(3)若“数字签名”验证通过,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(4)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,,启动执行该“手机准数字证书子系统完整性检测模块”;
(5)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3);
(6)该“手机准数字证书子系统完整性检测模块”,继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能块”;生成“该手机准数字证书子系统的非对称密钥对(私钥和公钥)”;
(7)该“手机准数字证书子系统完整性检测模块”,将上述“Hash摘要值H3”和“新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,输出反馈给该“手机准数字证书子系统的认证系统”。
二、手机准数字证书子系统的认证系统
本发明实施例1的“手机准数字证书子系统的认证系统”,是与“手
机准数字证书子系统”配套的、专用于认证该“手机准数字证书子系统”完整性的、符合商用密码产品标准的数字证书子系统;其具有“自己的设备数字证书和私钥”;并还包括有CA认证系统的公钥,用于其与CA进行基于PKI的安全通信。
本发明实施例1的“手机准数字证书子系统的认证系统”,其特征在于:其包括有“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”。其特征还在于:该“手机准数字证书子系统的完整性检测模块”中,包括有“启动生成‘手机准数字证书子系统的非对称密钥对’的功能”;在该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统”进行完整性检测操作后,该模块继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对”;并输出“新生成的该手机准数字证书子系统的非对称密钥对的公钥”,用于制作“该手机准数字证书子系统用户的数字证书”。
其特征还在于包括下面步骤:
(1)
该“手机准数字证书子系统的认证系统”,将“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”及其命令,发送给“被检测的手机准数字证书子系统”,对其进行完整性检测;
(2)
该“手机准数字证书子系统”,按协议,应用在该“手机准数字证书子系统”中的“第三方认证机构的公钥”,解密“上述数字签名”,并验证“上述数字签名”。若“上述数字签名”验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;
(3)
该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3);
(4)
该“手机准数字证书子系统完整性检测模块”,继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对(私钥和公钥)”;
(5)
该“手机准数字证书子系统完整性检测模块”,将上述“Hash摘要值H3和新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,输出反馈给该“手机准数字证书子系统的认证系统”;
(6)
该“手机准数字证书子系统的认证系统”,将上述“Hash摘要值H3”,与“作为判定标准的Hash摘要值H2”,进行比较;
其中,Hash摘要值H2,是“被检测的手机准数字证书子系统的原始的通用数据和专用不专有数据”,进行Hash运算,得到Hash摘要值,是“被检测的手机准数字证书子系统的通用数据和专用不专有数据”的完整性判定的依据。
(7)
若“Hash摘要值H3”与“Hash摘要值H2”一致,则判定该“被检测的手机准数字证书子系统”是完整的;
(8)
该“手机准数字证书子系统的认证系统”,用其私钥,对“该手机准数字证书子系统完整性OK的检测报告和新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,进行数字签名;而后,再用CA的公钥加密后再输出;用于CA认证签发“基于该手机数字证书子系统”的用户数字证书。
本发明实施例1的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性检测认证时,先获取该“手机准数字证书子系统的唯一ID数据”;而后再依据该“手机准数字证书子系统的唯一ID数据”,到“已存在的手机准数字证书子系统的原始数据库”中检索、获取“该手机准数字证书子系统的专用不专有数据”。
本发明实施例1的“手机准数字证书子系统的认证系统”,其特征还在于:其包括有“手机准数字证书子系统的软件系统”的“已知存储地址的通用数据的标准Hash摘要值(简记为:H1)。当“手机准数字证书子系统的认证系统”对“手机准数字证书子系统”进行完整性检测认证时,该标准Hash摘要值H1,与“上面获取的‘被检测的手机准数字证书子系统’的专用不专有数据”,要再进行Hash运算,得到Hash摘要值(简记为:H2),作为“被检测的手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’的完整性判定标准”。
“本发明实施例1的手机准数字证书子系统的认证系统”的“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3)。
比较上述的Hash摘要值H2和Hash摘要值H3,若一致,则判定“被检测的手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”是完整的;若不一致,则不完整。
三、本发明实施例1的CA数字证书认证系统。
本发明实施例1的CA数字证书认证系统,其在“现有数字证书认证系统”的基础上,主要增加“本发明的手机准数字证书子系统的认证系统”。
在用户申请注册“基于手机准数字证书子系统”的用户数字证书时,要先用本发明的“手机准数字证书子系统的认证系统”对该“手机准数字证书子系统”进行完整性认证。
若该“手机准数字证书子系统”未通过“手机准数字证书子系统的认证系统”的完整性认证,则CA拒绝在该“手机准数字证书子系统”中注册建立“基于该“手机准数字证书子系统”的用户数字证书。
若该“手机准数字证书子系统”通过“手机准数字证书子系统的认证系统”的完整性认证,并且其具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
实施例
2:
本发明实施例2,提供一种手机准数字证书子系统及注册认证系统及其管理平台,用于实现“在手机中集成数字证书子系统并建立用户数字证书,并同时兼容各CA签发的数字证书的应用”。
参考附图3,本发明实施例2,包括:手机准数字证书子系统(Mss)、手机准数字证书子系统的认证系统(MssT)、手机准数字证书子系统的管理平台(MssM)及CA数字证书认证系统。下面分别说明:
一、手机准数字证书子系统(Mss)
本发明实施例2的“手机准数字证书子系统”,是符合国家商用密码产品标准的、具有现有数字证书子系统功能的计算机子系统。其特征在于:其包括有“注册认证管理模块”和“国家第三方认证机构的数字证书的公钥”,其特征还在于:其包括有“可信数字证书建立管理模块”和“手机准数字证书子系统管理平台的公钥”;“其特征还在于:其在生产制造阶段,预先生成并存储有“对应于‘手机准数字证书子系统管理平台’的‘手机准数字证书子系统’的非对称密钥对”,并将其公钥及其“手机准数字证书子系统”的唯一ID数据,也上传存储于“手机准数字证书子系统管理平台”的数据库中。用于对该“手机准数字证书子系统”的管理。
本发明实施例2的“手机准数字证书子系统”,其存储器中“已知存储地址的已知二进制数据”,可分为三类,1)“各个手机准数字证书子系统”都相同的数据部分,即:通用数据。2)“各手机准数字证书子系统”唯一的ID标识数据、非对称密钥对的公钥。即:专用不专有数据。3)“各个手机准数字证书子系统”的预先生成存储的非对称密钥对的私钥。即:专用专有数据。
本发明实施例2的“手机准数字证书子系统”,其“注册认证管理模块”和“国家第三方认证机构的数字证书的公钥”,用于管理“在该准数字证书子系统中下载建立‘来自手机准数字证书子系统的认证系统的、该手机准数字证书子系统的完整性检测模块’;并启动执行该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统存储器中的程序及数据”进行完整性检测操作。其特征包括下面步骤:
(1)首先,“手机准数字证书子系统的认证系统”,用其“随机生成的对称密钥A”,对“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”进行加密,得到密文B;再用其获取到的“预先生成的被检测的手机准数字证书子系统的公钥”对“随机生成的对称密钥A”加密,得到密文C;而后,再将“密文B和密文C”及命令”,一起发送给“被检测的手机准数字证书子系统”,对其进行完整性检测;
(2)该“手机准数字证书子系统”,接收到“密文B和密文C”及命令;
并按协议,先用“预先生成存储的手机准数字证书子系统的私钥”解密“密文C”,得到“对称密钥A”;再用“对称密钥A”解密“密文B”,得到“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”;
(3)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统”中的 “第三方认证机构数字证书的公钥”,解密“上述数字签名”,并验证“上述数字签名”;
(4)若“数字签名”验证通过,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(5)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,,启动执行该“手机准数字证书子系统完整性检测模块”;
(6)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3);
(7) 该“手机准数字证书子系统完整性检测模块”,继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;
并生成“该手机准数字证书子系统的非对称密钥对(私钥和公
钥)”;
(8) 该“手机准数字证书子系统完整性检测模块”,将上述“Hash摘要值H3”和“新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,用“‘手机准数字证书子系统完整性检测模块’自带的特征对称密钥”加密后,反馈给该“手机准数字证书子系统的认证系统”。
本发明实施例2的“手机准数字证书子系统”,其“可信数字证书
建立管理模块”和“手机准数字证书子系统管理平台的公钥” ,用于管理在“手机准数字证书子系统中生成非对称密钥对(私钥和公钥)。
其特征是包括下面步骤:
(1)
手机准数字证书子系统,接收到“在手机准数字证书子系统中生成非对称密钥对”的请求,及其数字签名;
(2)
手机准数字证书子系统的‘可信数字证书’建立管理模块”,按协议,应用存储在该手机准数字证书子系统中的“手机准数字证书子系统管理平台的公钥”,解密“上述数字签名”;并验证“上述数字签名;
(3)
若签名验证通过,则该“可信数字证书建立管理模块”启动“非对称密钥生成流程”,生成该“手机准数字证书子系统”的非对称密钥对(私钥和公钥)。
本发明实施例2的“手机准数字证书子系统”,其“可信数字证书
建立管理模块”和“手机准数字证书子系统管理平台的公钥” ,还用于管理“在该准手机数字证书子系统中下载建立可信数字证书”。其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的私钥签名认证’才能建立的数字证书”。“可信数字证书”可以是“手机准数字证书子系统用户的数字证书”、也可以是“在该手机准数字证书子系统中下载建立的商户数字证书”。
其特征是包括下面步骤:
(1)
该“手机准数字证书子系统”接收到“下载建立数字证书的请求,及其数字证书及其数字签名”;
(2)
该“手机准数字证书子系统”中的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“手机数字证书子系统管理平台”的公钥,解密上述数字签名;并验证上述数字签名;
(3)
若签名验证通过,则该“可信数字证书建立管理模块”在该“手机准数字证书子系统”中下载建立该数字证书”。
二、手机准数字证书子系统的认证系统
本发明实施例2的“手机准数字证书子系统的认证系统”,是与“手机
准数字证书子系统”配套的、专用于认证该“手机准数字证书子系统”完整性的、符合商用密码产品标准的数字证书子系统;其具有“自己的设备数字证书和私钥”;并还包括有CA认证系统的公钥,用于其与CA进行基于PKI的安全通信。
本发明实施例2的“手机准数字证书子系统的认证系统”,其特征在于:其包括有“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”。其特征还在于:该“手机准数字证书子系统的完整性检测模块”中,包括有“启动生成‘手机准数字证书子系统的非对称密钥对’的功能”;在该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统”进行完整性检测操作后,该模块继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对”;并输出“新生成的该手机准数字证书子系统的非对称密钥对的公钥”,用于制作“该手机准数字证书子系统用户的数字证书”。其特征还在于:该“手机准数字证书子系统的完整性检测模块”中,包括有“特征对称密钥”,用于对其检测输出的信息数据,进行加密。
其特征还在于包括下面步骤:
(1)
该“手机准数字证书子系统的认证系统”,用其“随机生成的对称密钥A”,对“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的认证数字签名”进行加密,得到密文B;再用其获取到的“预先生成的被检测的手机准数字证书子系统的公钥”对“随机生成的对称密钥A”加密,得到密文C;而后,再将“密文B和密文C”及命令”,一起发送给“被检测的手机准数字证书子系统”,对其进行完整性检测;
(2)
该“手机准数字证书子系统”,接收到“密文B和密文C”及命令;
并按协议,先用“预先生成的手机准数字证书子系统的私钥”解密“密文C”,得到“对称密钥A”;再用“对称密钥A”解密“密文B”,得到“手机准数字证书子系统的完整性检测模块和其‘第三方认证机构’的数字签名”;
(3)
该“手机准数字证书子系统”,按协议,应用在该“手机准数字证书子系统”中的“第三方认证机构的公钥”,解密“上述数字签名”,并验证“上述数字签名”。若“上述数字签名”验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;
(4)
该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3);
(5)
该“手机准数字证书子系统完整性检测模块”,继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对(私钥和公钥)”;
(6)
该“手机准数字证书子系统完整性检测模块”,将上述“Hash摘要值H3和新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,用“‘手机准数字证书子系统完整性检测模块’自带的特征对称密钥”加密后,反馈给该“手机准数字证书子系统的认证系统”;
(7)
该“手机准数字证书子系统的认证系统”,用其“手机准数字证书子系统完整性检测模块中特征对称密钥”,解密接收到上述“Hash摘要值H3和新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”的密文;得到其原文;
(8)
该“手机准数字证书子系统的认证系统”,将上述“Hash摘要值H3”,与“作为判定标准的Hash摘要值H2”,进行比较;
其中,Hash摘要值H2,是“被检测的手机准数字证书子系统的原始的通用数据和专用不专有数据”,进行Hash运算,得到Hash摘要值,是“被检测的手机准数字证书子系统的通用数据和专用不专有数据”的完整性判定的依据。
(9)
若“Hash摘要值H3”与“Hash摘要值H2”一致,则判定该“被检测的手机准数字证书子系统”是完整的。
其中,上面步骤(2)、(3)及步骤(9)的正常结果,可证明“被检测的手机准数字证书子系统的私钥数据”是完整的。
(10) 该“手机准数字证书子系统的认证系统”,用其私钥,对“该手机准数字证书子系统完整性正常的检测报告和新生成的该手机准数字证书子系统的非对称密钥对的公钥及其ID”,进行数字签名;而后,再用CA的公钥加密后再输出;用于CA认证签发“基于该手机数字证书子系统”的用户数字证书。
本发明实施例2的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性检测认证时,先获取该“手机准数字证书子系统的唯一ID”;而后再依据该“手机准数字证书子系统的唯一ID”,到“已存在的手机准数字证书子系统的原始数据库”中检索、获取“该手机准数字证书子系统的专用不专有数据(包括:‘手机准数字证书子系统的私钥’对应的公钥)”,其中,“手机准数字证书子系统的公钥”用于验证“被检测的手机准数字证书子系统的私钥”。
本发明实施例2的“手机准数字证书子系统的认证系统”,其特征还在于:其包括有“手机准数字证书子系统的软件系统”的“已知存储地址的通用数据的标准Hash摘要值(简记为:H1)。当“手机准数字证书子系统的认证系统”对“手机准数字证书子系统”进行完整性检测认证时,该标准Hash摘要值H1,与“上面获取的‘被检测的手机准数字证书子系统’的专用不专有数据”,要再进行Hash运算,得到Hash摘要值(简记为:H2),作为“被检测的手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’的完整性判定标准”。
“本发明实施例的手机准数字证书子系统的认证系统”的“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统内运行,对“手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”进行Hash运算,得到Hash摘要值(简记为:H3)。
比较上述的Hash摘要值H2和Hash摘要值H3,若一致,则判定“被检测的手机准数字证书子系统的‘已知存储地址的通用数据和专用不专有数据’”是完整的;若不一致,则不完整。
三、本发明实施例2的CA数字证书认证系统。
本发明实施例1的CA数字证书认证系统,其在“现有数字证书认证系统”的基础上,主要增加“本发明的手机准数字证书子系统的认证系统”。
在用户申请注册“基于手机准数字证书子系统”的用户数字证书时,要先用本发明的“手机准数字证书子系统的认证系统”对该“手机准数字证书子系统”进行完整性认证。
若该“手机准数字证书子系统”未通过“手机准数字证书子系统的认证系统”的完整性认证,则CA拒绝在该“手机准数字证书子系统”中注册建立“基于该“手机准数字证书子系统”的用户数字证书。
若该“手机准数字证书子系统”通过“手机准数字证书子系统的认证系统”的完整性认证,并且其具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
四、手机准数字证书子系统的管理平台(MssM)。
本发明实施例2的手机准数字证书子系统的管理平台,是管理“在手机准数字证书子系统中的数字证书应用”的计算机系统。
其特征在于:其包括有“数字证书建立管理模块”,用于管理“在手机准数字证书子系统中生成非对称密钥对(私钥和公钥)”。其特征是包括下面步骤:
(1)
手机准数字证书子系统管理平台,按协议,用“手机准数字证书子系统管理平台”的私钥,对“在手机准数字证书子系统中生成非对称密钥对的请求”进行认证签名;
(2)
手机准数字证书子系统管理平台,按协议,将“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的数字签名,一起输出给手机准数字证书子系统,用于在“手机准数字证书子系统中启动生成非对称密钥对(私钥和公钥)”。
其特征还在于:其包括“各CA数字证书的公钥”,用于管理认证“要在手机准数字证书子系统中下载建立的各CA签发的数字证书”。其特征包括下面的步骤:
(1)
手机准数字证书子系统管理平台,接收到“要在手机准数字证书子系统中下载建立的数字证书”;
(2)
手机准数字证书子系统管理平台,按协议,应用“手机数字证书子系统管理平台中的签发该数字证书的CA的公钥”,解密该数字证书的CA签名,并验证该CA签名;
(3)
若该CA的签名验证通过,则“手机数字证书子系统管理平台”用私钥,对“该数字证书的Hash摘要”的进行签名;而后,“手机准数字证书子系统管理平台”输出“该数字证书及该数字签名”,用于在“该手机准数字证书子系统”中建立该数字证书的应用。
综上所述,应用本发明提供的技术方案,将“手机准数字证书子系统”集成于手机中,可实现“在手机中集成数字证书子系统、并建立用户数字证书、并同时兼容各CA签发的数字证书应用”的目标,取得有益的效果。
Claims (17)
1.本发明提供的一种手机准数字证书子系统,是具有现有数字证书子系统软硬件功能的计算机子系统,其包括有:独立的处理器、存储器及软件系统、及加密解密模块、及密钥生成模块;其特征在于:其包括有“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘来自手机准数字证书子系统的认证系统的、该手机准数字证书子系统的完整性检测模块’;并启动执行该‘手机准数字证书子系统完整性检测模块’对‘该手机准数字证书子系统存储器中的程序及数据’进行检测操作”;其特征包括下面步骤:
(1)该“手机准数字证书子系统”,接收到该“手机准数字证书子系统的完整性检测模块”及其命令;
(2)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;
(3)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,启动执行该“手机准数字证书子系统完整性检测模块”;
(4)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(5)该“手机准数字证书子系统完整性检测模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
2.如权利要求1所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统认证方的公钥”和“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘该手机准数字证书子系统的完整性检测模块’”;
其中,“手机准数字证书子系统认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”;
其特征还包括下面步骤:
(1) 该“手机准数字证书子系统”,接收到“要在该手机准数字证书子系统中下载建立的‘手机准数字证书子系统完整性检测模块及其认证方的数字签名’”;
(2)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统”中的“认证方的公钥”,解密“上述认证方的数字签名”,并验证该数字签名;
(3)若“数字签名”验证通过,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(4)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,启动执行该“手机准数字证书子系统完整性检测模块”;
(5)该“手机准数字证书子系统完整性检测模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(6)该“手机准数字证书子系统完整性检测模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
3.如权利要求1所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统认证方与手机准数字证书子系统预先约定的对称密钥” 和其“注册认证管理模块”,用于管理“在该准数字证书子系统中下载建立‘该手机准数字证书子系统的完整性检测模块’”,其特征还包括下面步骤:
(1)该“手机准数字证书子系统”接收到“要在该手机准数字证书子系统中下载建立的‘手
机准数字证书子系统完整性检测模块及其认证数据’”;
其中,该“手机准数字证书子系统完整性检测模块的认证数据”是“‘手机准数字证书
子系统认证方’用其与该手机准数字证书子系统预先约定的对称密钥”,对该“手机准数字证书子系统完整性认证模块”的Hash摘要的加密数据;
其中,上述预先约定的对称密钥,可以是“‘手机准数字证书子系统认证方’与该手机准数字证书子系统预先约定的静态对称密钥;也可以是“‘手机准数字证书子系统认证方’与该手机准数字证书子系统之间动态令牌生成的动态对称密钥”;
其中,上述“手机准数字证书子系统认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”;
(2)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统认证方约定的对称密钥”,解密“上述认证数据”,并验证“上述认证数据”是否为“认证方的认证数据”;其验证方法是:
1)该“注册认证管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与认证方约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2) 该“注册认证管理模块”,对接收到的“手机准数字证书子系统完整性检测模块”应用Hash算法进行运算,得到该“手机准数字证书子系统完整性检测模块”的Hash摘要信息,简记用B表示;
3) 比较数据A和B,若A等于B,则判定“上述认证数据”是“认证方的认证数据”,验证通过;
(3)若验证通过,判定“上述认证数据”是“认证方的认证数据”,则该“注册认证管理模块”,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性认证模块”;
(4)该“手机准数字证书子系统”中的“注册认证管理模块”,按协议,启动执行该“手机准数字证书子系统完整性认证模块”;
(5)该“手机准数字证书子系统完整性认证模块”,在手机准数字证书子系统中运行,对“该手该“手机准数字证书子系统完整性认证模块”,在手机准数字证书子系统中运行,对“该手机准数字证书子系统存储器中的程序及数据”进行检测操作;
(6)该“手机准数字证书子系统完整性认证模块”将“上面检测操作得到的需要输出的信息数据”输出上报,用于判定“该手机准数字证书子系统的完整性”。
4.如权利要求1、2、3之一所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统管理平台的公钥”和“可信数字证书建立管理模块”,用于管理在“手机准数字证书子系统中生成非对称密钥对(私钥和公钥);其特征是包括下面步骤:
(1)手机准数字证书子系统,接收到“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的数字签名”;
(2)手机准数字证书子系统的“可信数字证书建立管理模块”,按协议,应用存储在该手机准数字证书子系统中的“手机准数字证书子系统管理平台的公钥”,解密“上述数字签名”;并验证“上述数字签名;
(3)若签名验证通过,则该“可信数字证书建立管理模块”启动“非对称密钥生成流程”,生成该“手机准数字证书子系统”的非对称密钥对(私钥和公钥)。
5.如权利要求1、2、3之一所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的对称密钥” 和“可信数字证书建立管理模块”,用于管理在“手机准数字证书子系统中生成非对称密钥对(私钥和公钥);其特征是包括下面步骤:
(1)手机准数字证书子系统,接收到“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的认证数据”;
其中,上述“认证数据”是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的对称密钥”,对上述“在手机准数字证书子系统中生成非对称密钥对的请求”的Hash摘要进行加密,得到的密文;
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的对称密钥”,可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”;
(2)手机准数字证书子系统的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密该“手机数字证书子系统管理平台”的认证数据,并验证该认证数据;其验证方法是:
1)该“可信数字证书建立管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2)该“可信数字证书建立管理模块”,对接收到的上述“包括‘在手机准数字证书子系统中生成非对称密钥对的命令’的相关信息数据”应用Hash算法进行运算,得到其Hash摘要,简记用B表示;
3)比较数据A和B,若A等于B,则判定“上述认证数据”是“手机准数字证书子系统管理平台的认证数据”,验证通过;
(3)若签名验证通过,则该“可信数字证书建立管理模块”启动“非对称密钥生成流程”,生成该“手机准数字证书子系统”的非对称密钥对(私钥和公钥)。
6.如权利要求1、2、3、4之一所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统管理平台的公钥”和“可信数字证书建立管理模块”,用于管理“在该准手机数字证书子系统中建立可信数字证书”;其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的私钥签名认证’才能建立的数字证书”;“可信数字证书”可以是“手机准数字证书子系统用户的数字证书”、也可以是“在该手机准数字证书子系统中下载建立的商户数字证书”;
其特征是包括下面步骤:
(1)该“手机准数字证书子系统”接收到“下载建立数字证书的请求,及其数字证书及其数字签名”;
(2)该“手机准数字证书子系统”中的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“手机数字证书子系统管理平台”的公钥,解密上述数字签名;并验证上述数字签名;
(3)若签名验证通过,则该“可信数字证书建立管理模块”在该“手机准数字证书子系统”中下载建立该数字证书”。
7.如权利要求1、2、3、5之一所述的手机准数字证书子系统,其特征还在于:其包括有“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的对称密钥”和“可信数字证书建立管理模块”,用于管理“在该准手机数字证书子系统中建立‘可信数字证书’”;其中“可信数字证书”是指“在该手机准数字证书子系统中建立的、且需要有‘手机准数字证书子系统管理平台的认证数据’才能建立的数字证书”;“可信数字证书”可以是“手机准数字证书子系统用户的数字证书”、也可以是“在该手机准数字证书子系统中下载建立的商户数字证书”;其特征是包括下面步骤:
(1)该“手机准数字证书子系统”接收到“下载建立数字证书的请求,及其数字证书及其认证数据”;其中,上述“认证数据”,是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的对称密钥”,对“该数字证书”的Hash摘要进行加密,得到的密文,
其是“手机数字证书子系统管理平台”对该数字证书的认证数据;
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的对称密钥”,可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”;
(2)该“手机准数字证书子系统”中的“可信数字证书建立管理模块”,按协议,应用“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密该“手机数字证书子系统管理平台”的认证数据,并验证该认证数据;其验证方法是:
1)该“可信数字证书建立管理模块”,对接收到的“上述认证数据”,应用在该“手机准数字证书子系统”中的“与手机准数字证书子系统管理平台约定的对称密钥”,解密“上述认证数据”,得到原文Hash摘要,简记用A表示;
2)该“可信数字证书建立管理模块”,对接收到的“上述数字证书”应用Hash算法进行运算,得到“上述数字证书”的Hash摘要,简记用B表示;
3)比较数据A和B,若A等于B,则判定“上述认证数据”是“手机准数字证书子系统管理平台的认证数据”,验证通过;
(3)若验证通过,则该“可信数字证书建立管理模块”,在该“手机准数字证书子系统”中下载建立该数字证书”。
8.本发明提供的手机准数字证书子系统的认证系统,是用于对本发明的手机准数字证书子系统进行完整性认证的计算机系统;其特征在于:其包括有“手机准数字证书子系统的完整性检测模块”;该模块,可被发送给手机准数字证书子系统,并在该手机准数字证书子系统中下载建立;并被启动执行;该模块在手机准数字证书子系统中运行,对该手机准数字证书子系统的存储器中的该手机准数字证书子系统的程序及数据进行检测操作;“该模块对‘该手机准数字证书子系统的程序及数据进行检测操作’而得到的需要输出的信息数据”由该模块处理输出上报,用于判定“该手机准数字证书子系统”的完整性;
其特征还在于包括下面步骤:
(1)该“手机准数字证书子系统的认证系统”,将“手机准数字证书子系统完整性检测模块”及其命令,发送给“手机准数字证书子系统”;
(2)该“手机准数字证书子系统”,按协议,在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性检测模块” 对该手机准数字证书子系统存储器中的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
9.如权利要求8所述的手机准数字证书子系统的认证系统,其特征还在于:其包括有“手机准数字证书子系统的完整性检测模块及其认证方的数字签名”;
其中,上述“认证方”可以是“手机数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”;
其特征是包括下面步骤:
(1)该“手机准数字证书子系统的认证系统”,将该“手机准数字证书子系统完整性检测模块及其认证方的数字签名”,发送给该“手机准数字证书子系统”;
(2)该“手机准数字证书子系统”,并按协议,应用在该“手机准数字证书子系统”中的“认证方的公钥”,解密“上述认证方的数字签名”,并验证该数字签名;若“上述认证方的数字签名”验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性认证模块” 对该手机准数字证书子系统存储器中的该手机准数字证书子系统的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
10.如权利要求8所述的手机准数字证书子系统的认证系统,其特征在于:其包括有“手机准数字证书子系统的完整性检测模块及其认证数据”;
其中,该“手机准数字证书子系统完整性检测模块的认证数据”,是“认证方”用其与该手机准数字证书子系统预先约定的对称密钥,对该“手机准数字证书子系统完整性认证模块”的Hash摘要的加密数据;
其中,上述预先约定的对称密钥,可以是“认证方与该手机准数字证书子系统预先约定的静态对称密钥”;也可以是“认证方与该手机准数字证书子系统之间动态令牌生成的动态对称密钥”;其中,上述“认证方”可以是“手机准数字证书子系统管理平台”,可以是“第三方认证机构”,也可以是“其它认证机构或认证系统”;
其特征还在于:其包括下面步骤:
(1)该“手机准数字证书子系统的认证系统”,将该“手机准数字证书子系统完整性检测模块及其认证数据”,发送给该“手机准数字证书子系统”;
(2)该“手机准数字证书子系统”,应用“与认证方约定的对称密钥”,解密“上述认证数据”,并验证“上述认证数据”;若验证通过,则在该“手机准数字证书子系统”中下载建立该“手机准数字证书子系统完整性检测模块”;并启动执行该“手机准数字证书子系统完整性检测模块”;该“手机准数字证书子系统完整性认证模块” 对该手机准数字证书子系统存储器中的该手机准数字证书子系统的程序及数据进行检测操作;该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统的程序及数据”进行检测操作而得到的需要输出的信息数据,由该模块处理输出上报;
(3)该“手机准数字证书子系统的认证系统”,接收到该“手机准数字证书子系统完整性检测模块”输出上报的“对该手机准数字证书子系统完整性检测操作获得的信息数据”;并依据“该信息数据”和“已知的判定标准”,对“该手机准数字证书子系统的完整性”进行判定。
11.如权利要求8、9、10之一所述的“手机准数字证书子系统的认证系统”,其特征还在于:其对“手机准数字证书子系统”进行完整性认证,还包括下面步骤:
(1)其“手机准数字证书子系统完整性检测模块”,在“手机准数字证书子系统”中下载建立并启动运行;
(2)其“手机准数字证书子系统完整性检测模块”,按已知的存储地址,读取“手机准数字证书子系统”的通用数据和专用不专有数据;
(3)其“手机准数字证书子系统完整性检测模块”,将上述读取的“手机准数字证书子系统的通用数据和专用不专有数据”,用Hash算法进行运算,得到其Hash摘要,简记用A表示 ;
(4)其“手机准数字证书子系统完整性检测模块”,将Hash摘要A,输出给该“手机准数字证书子系统的认证系统”;
(5)该“手机准数字证书子系统的认证系统”,将Hash摘要A,与“作为判定标准的‘该手机准数字证书子系统的已知存储地址的通用数据和专用不专有数据’的Hash摘要值”进行比较;若二者一样,则判定“‘该手机准数字证书子系统完整性检测模块’读取检测的‘该手机准数字证书子系统’的通用数据和专用不专有数据”是完整的;若二者不一样,则判定“该手机准数字证书子系统”是不完整的。
12.如权利要求8、9、10、11之一所述手机准数字证书子系统的认证系统,其特征还在于:其“手机准数字证书子系统的完整性检测模块”中,还包括有“启动生成‘手机准数字证书子系统的非对称密钥对’的功能块”;在该“手机准数字证书子系统完整性检测模块”对“该手机准数字证书子系统”进行完整性检测操作后,该模块继续启动执行“生成‘该手机准数字证书子系统的非对称密钥对’的功能”;并生成“该手机准数字证书子系统的非对称密钥对”;并输出“新生成的该手机准数字证书子系统的非对称密钥对的公钥”,用于制作“该手机准数字证书子系统用户的数字证书”;
其特征还在于:该述手机准数字证书子系统的认证系统,同时也是独立的数字证书子系统(商用密码产品),具有“自己的设备数字证书和私钥”;其对“手机准数字证书子系统的完整性检测认证的报告”是用其私钥进行签名认证后再输出的。
13.本发明提供一种CA数字证书认证系统,其特征在于:其包括有本发明的“手机准数字证书子系统的认证系统”;在用户申请注册“基于手机准数字证书子系统”的用户数字证书时,其用本发明的“手机准数字证书子系统的认证系统”先对该“手机准数字证书子系统”进行完整性认证;若该“手机准数字证书子系统”未通过“手机准数字证书子系统的认证系统”的完整性认证,则CA拒绝在该“手机准数字证书子系统”中注册建立“基于该手机准数字证书子系统”的用户数字证书;若该“手机准数字证书子系统”通过“手机准数字证书子系统的认证系统”的完整性认证,并具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
14.本发明一种手机准数字证书子系统管理平台,其是管理“在手机准数字证书子系统中的数字证书应用”的计算机系统;其特征在于:其包括有“数字证书建立管理模块”,用于管理“在手机准数字证书子系统中生成非对称密钥对(私钥和公钥)”;其特征是包括下面步骤:
(1)手机准数字证书子系统管理平台的“数字证书建立管理模块”,按协议,用“手机准数字证书子系统管理平台与手机准数字证书子系统预先约定的密钥”,对“在手机准数字证书子系统中生成非对称密钥对的请求”进行认证,得到其认证数据;其中,上述“认证数据”是“手机数字证书子系统管理平台”用“与该手机准数字证书子系统预先约定的密钥”,对“在手机准数字证书子系统中生成非对称密钥对的请求”的Hash摘要进行加密,得到的密文;其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的密钥”,可以是:双方约定的“手机数字证书子系统管理平台的非对称密钥的私钥”;可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”;
(2)手机准数字证书子系统管理平台的“数字证书建立管理模块”,按协议,将“在手机准数字证书子系统中生成非对称密钥对的请求”及其“手机准数字证书子系统管理平台的认证数据,一起输出,用于在“手机准数字证书子系统中启动生成非对称密钥对(私钥和公钥)”。
15.如权利要求14所述的手机准数字证书子系统管理平台,其特征还在于:其包括有“数字证书建立管理模块”和“各CA数字证书的公钥”,用于管理认证“要在手机准数字证书子系统中下载建立的各CA签发的数字证书”;其特征包括下面的步骤:
(1)手机准数字证书子系统管理平台,接收到“要在手机准数字证书子系统中下载建立的数字证书”;
(2)手机准数字证书子系统管理平台,按协议,应用“手机数字证书子系统管理平台中的签发该数字证书的CA的公钥”,解密该数字证书的CA签名,并验证该CA签名;
(3)若该CA的签名验证通过,则“手机数字证书子系统管理平台”用“其与手机准数字证书子系统之间约定的密钥”对“该数字证书的Hash摘要”的进行加密,得到“该数字证书的认证数据”;而后,“手机准数字证书子系统管理平台”输出“该数字证书及该认证数据”,用于在“该手机准数字证书子系统”中建立该数字证书的应用;
其中,“手机数字证书子系统管理平台与该手机准数字证书子系统预先约定的密钥”,可以是:双方约定的“手机数字证书子系统管理平台的非对称密钥的私钥”;可以是:双方约定的静态对称密钥;也可以是双方之间的动态令牌生成的动态对称密钥”。
16.本发明的提供一种“在手机中集成数字证书子系统并建立数字证书应用的方法”,其特征包括下面步骤,
(1)将本发明的“手机准数字证书子系统”集成于手机中;其中,该“手机准数字证书子系统”是具有现有数字证书子系统功能的、经国家第三方认证的商用密码产品;其只因集成于手机中销售,其流通环节的安全不可控,所以,其在注册应用时需重新认证;
(2)在现有的CA数字证书认证系统中,增加“本发明的手机准数字证书子系统的认证系统”;其中,该“手机准数字证书子系统的认证系统”是与“手机准数字证书子系统”配套的、专用于认证该“手机准数字证书子系统”完整性的、经国家第三方认证的商用密码产品;
(3)用户持集成“手机准数字证书子系统”的手机,到CA的注册中心申请“基于该手机准数字证书子系统”的用户数字证书;CA的注册中心,用“本发明的手机准数字证书子系统的认证系统”对该“手机准数字证书子系统”进行完整性认证;若其完整性认证不通过,则CA拒绝在该“手机准数字证书子系统”中注册建立用户数字证书;若其完整性认证通过,并且其具备签发用户数字证书的条件,则CA认证签发“基于该手机准数字证书子系统”的用户数字证书。
17.如权利要求16所述的“在手机中集成数字证书子系统并建立数字证书应用的方法”,其特征还在于:用“本发明的手机准数字证书子系统管理平台”,管理“在手机准数字证书子系统中下载建立各CA签发的数字证书应用”;各CA签发的数字证书,若没有“本发明的手机准数字证书子系统管理平台”的认证数据,就不能在“在手机准数字证书子系统中下载建立”;其中,“本发明的手机准数字证书子系统管理平台”,可以是“CA认证管理系统”,也可以是“非CA认证系统的独立管理平台”。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510181073.XA CN106161027A (zh) | 2015-04-15 | 2015-04-15 | 一种手机准数字证书子系统及其系统及其方法 |
PCT/CN2016/079508 WO2016165662A1 (zh) | 2015-04-15 | 2016-04-15 | 一种手机准数字证书子系统及其系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510181073.XA CN106161027A (zh) | 2015-04-15 | 2015-04-15 | 一种手机准数字证书子系统及其系统及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106161027A true CN106161027A (zh) | 2016-11-23 |
Family
ID=57125701
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510181073.XA Pending CN106161027A (zh) | 2015-04-15 | 2015-04-15 | 一种手机准数字证书子系统及其系统及其方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106161027A (zh) |
WO (1) | WO2016165662A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107229874A (zh) * | 2017-05-27 | 2017-10-03 | 北京世纪龙脉科技有限公司 | 一种实现VR‑Key的方法、装置和服务器 |
CN108418692A (zh) * | 2018-03-28 | 2018-08-17 | 湖南东方华龙信息科技有限公司 | 认证证书的在线写入方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、系统及无线终端 |
CN102547688A (zh) * | 2012-02-13 | 2012-07-04 | 江苏博智软件科技有限公司 | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7882348B2 (en) * | 2004-04-30 | 2011-02-01 | Research In Motion Limited | System and method for administering digital certificate checking |
CN102202307B (zh) * | 2011-06-17 | 2013-08-07 | 深圳一卡通新技术有限公司 | 基于数字证书的移动终端身份认证系统及方法 |
CN104462965B (zh) * | 2014-11-14 | 2018-03-13 | 华为技术有限公司 | 应用程序完整性验证方法及网络设备 |
-
2015
- 2015-04-15 CN CN201510181073.XA patent/CN106161027A/zh active Pending
-
2016
- 2016-04-15 WO PCT/CN2016/079508 patent/WO2016165662A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、系统及无线终端 |
CN102547688A (zh) * | 2012-02-13 | 2012-07-04 | 江苏博智软件科技有限公司 | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107229874A (zh) * | 2017-05-27 | 2017-10-03 | 北京世纪龙脉科技有限公司 | 一种实现VR‑Key的方法、装置和服务器 |
CN108418692A (zh) * | 2018-03-28 | 2018-08-17 | 湖南东方华龙信息科技有限公司 | 认证证书的在线写入方法 |
CN108418692B (zh) * | 2018-03-28 | 2021-05-25 | 湖南东方华龙信息科技有限公司 | 认证证书的在线写入方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2016165662A1 (zh) | 2016-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108513704B (zh) | 终端主密钥的远程分发方法及其系统 | |
US7697691B2 (en) | Method of delivering Direct Proof private keys to devices using an on-line service | |
CN103067401B (zh) | 密钥保护方法和系统 | |
CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
US7693286B2 (en) | Method of delivering direct proof private keys in signed groups to devices using a distribution CD | |
CN105095696A (zh) | 对应用程序进行安全认证的方法、系统及设备 | |
CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
CN101243438A (zh) | 分布式单一注册服务 | |
CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN109257328B (zh) | 一种现场运维数据的安全交互方法及装置 | |
CN106576043A (zh) | 病毒式可分配可信消息传送 | |
US8205088B2 (en) | Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine | |
CN106953732B (zh) | 芯片卡的密钥管理系统及方法 | |
CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
CN107104795B (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
CN104486087A (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
CN113709115B (zh) | 认证方法及装置 | |
WO2024114095A1 (zh) | 数据传输控制方法、装置、电子设备和可读存储介质 | |
CN106161027A (zh) | 一种手机准数字证书子系统及其系统及其方法 | |
CN107343276B (zh) | 一种终端的sim卡锁数据的保护方法及系统 | |
CN114584347A (zh) | 验证短信收发方法、服务器、终端及存储介质 | |
CN115378623A (zh) | 身份认证方法、装置、设备及存储介质 | |
KR100883442B1 (ko) | 온라인 서비스를 사용하여 직접 증명 비밀키를 디바이스에전달하는 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161123 |
|
WD01 | Invention patent application deemed withdrawn after publication |