CN107070648A - 一种密钥保护方法及pki系统 - Google Patents
一种密钥保护方法及pki系统 Download PDFInfo
- Publication number
- CN107070648A CN107070648A CN201710117279.5A CN201710117279A CN107070648A CN 107070648 A CN107070648 A CN 107070648A CN 201710117279 A CN201710117279 A CN 201710117279A CN 107070648 A CN107070648 A CN 107070648A
- Authority
- CN
- China
- Prior art keywords
- key
- certificate
- encrypted
- user
- targeted customer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥保护方法及PKI系统,所述方法应用于具有多个用户且存储有多个证书文件的PKI系统中,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,其特征在于,所述方法包括:生成一密钥;获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。用于解决如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现提供一种即安全又高效的密钥保护方法的技术效果。
Description
技术领域
本发明涉及电子技术领域,特别涉及一种密钥保护方法及PKI系统。
背景技术
随着互联网的普及,电子商务得到了快速的发展。为了保证使用互联网进行交易的用户的安全问题,PKI(Public Key Infrastructure,公钥基础设施)技术应运而生,通过基于PKI结构结合数字证书,把要传输的数字信息进行加密,保证信息传输的保密性、完整性。
在现有技术中,一个PKI系统中往往存储有多个证书。当需要运行PKI系统的与某个证书对应的某项服务时,则需要输入该证书的密钥口令,从而若运行多项服务时,则需要输入多个密钥口令,严重影响系统的可用性,所以需要将多个证书的密钥口令进行统一;但是,当PKI系统对应有多个用户时,若将所有证书的密钥口令统一,则不利于各个用户之间的信息保密,因此,为保证密钥安全,证书的口令又必须加密。
因此,如何在保证密钥安全的前提下,提高系统的可用性是目前要解决的技术问题。
发明内容
本发明实施例提供一种密钥保护方法及PKI系统,用于解决如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现提供一种即安全又高效的密钥保护方法的技术效果。
本申请实施例一方面提供一种密钥保护方法,应用于具有多个用户且存储有多个证书文件的PKI系统中,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,所述方法包括:
生成一密钥;
获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
可选的,所述生成一密钥,包括:
产生具有预设字节位数的随机数;
采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
可选的,在所述用所述管理员口令加密所述密钥,获取经加密密钥之后,所述方法还包括:
建立所述目标用户与所述经加密密钥的对应关系;
将所述对应关系记录到预设文件中。
可选的,在所述将所述对应关系记录到预设文件中之后,所述方法还包括:
在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
基于所述经加密密钥,启动所述目标应用。
可选的,所述基于所述经加密密钥,启动所述目标应用,包括:
使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
本申请实施例另一方面提供一种PKI系统,所述PKI系统具有多个用户且存储有多个证书文件,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,所述系统包括:
生成模块,用于生成一密钥;
口令获取模块,用于获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
加密模块,用于用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
可选的,所述生成模块包括:
随机数产生单元,用于产生具有预设字节位数的随机数;
编码单元,用于采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
可选的,所述系统还包括:
建立模块,用于建立所述目标用户与所述经加密密钥的对应关系;
记录模块,用于将所述对应关系记录到预设文件中。
可选的,所述系统还包括:
密钥获取模块,用于在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
启动模块,用于基于所述经加密密钥,启动所述目标应用。
可选的,所述启动模块包括:
解密单元,用于使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
发送单元,用于将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
由于本申请实施例中的技术方案,采用生成一密钥;获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证的技术手段,这样,首先将多个证书的口令进行统一,即一个用户对应的至少一个目标证书文件使用同一个密钥口令,然后根据每个管理员自己的口令,将统一的密钥口令进行加密,当PKI系统中的某一个用户需要运行某项服务时,只需输入自己的管理员口令,从而PKI系统则根据管理员口令自动获取该证书对应的密钥口令,并将密钥口令发送至应用方进行验证,多个证书公用一个密钥口令,提高系统的可用性;同时,由于通过管理员口令对密钥口令进行加密,也保证了密钥口令的安全,有效解决了如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现了提供一种即安全又高效的密钥保护方法的技术效果。
附图说明
图1为本申请实施例一中提供的一种密钥保护方法的流程图;
图2为本申请实施例二中提供的一种PKI系统的结构框图。
具体实施方式
本发明实施例提供一种密钥保护方法及PKI系统,用于解决如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现提供一种即安全又高效的密钥保护方法的技术效果。
本发明实施例中的技术方案为解决上述的技术问题,总体思路如下:
一种密钥保护方法,应用于具有多个用户且存储有多个证书文件的PKI系统中,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,所述方法包括:
生成一密钥;
获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
在上述技术方案中,采用生成一密钥;获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证的技术手段,这样,首先将多个证书的口令进行统一,即一个用户对应的至少一个目标证书文件使用同一个密钥口令,然后根据每个管理员自己的口令,将统一的密钥口令进行加密,当PKI系统中的某一个用户需要运行某项服务时,只需输入自己的管理员口令,从而PKI系统则根据管理员口令自动获取该证书对应的密钥口令,并将密钥口令发送至应用方进行验证,多个证书公用一个密钥口令,提高系统的可用性;同时,由于通过管理员口令对密钥口令进行加密,也保证了密钥口令的安全,有效解决了如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现了提供一种即安全又高效的密钥保护方法的技术效果。
下面结合附图对本申请实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
实施例一
请参考图1,为本申请实施例一中提供的一种密钥保护方法的流程图,所述方法应用于具有多个用户且存储有多个证书文件的PKI系统中,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,所述方法包括:
S101:生成一密钥;
S102:获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
S103:用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
在具体实施过程中,所述密钥保护方法应用于PKI系统中,具体可以是PKI系统的服务器中,所述PKI系统中保存有多个证书文件且对应有多个用户,如用户A及用户B;应用程序A、应用程序B及应用程序C的证书文件。在本申请所述的PKI系统中,同一个用户对应的不同应用程序的证书文件的密钥相同,即与用户A对应的应用程序A、应用程序B及应用程序C的证书文件密钥均为密钥1,与用户B对应的应用程序A、应用程序B及应用程序C的证书文件密钥均为密钥2,从而使多个证书公用一个密钥口令,提高系统的可用性。
采用本申请实施例中的方法进行密钥保护时,首先执行步骤S101,即:生成一密钥。
在具体实施过程中,每个证书文件的密钥均由PKI系统生成。在本申请实施例中,所述生成一密钥,包括:
产生具有预设字节位数的随机数;
采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
在具体实施过程中,以PKI系统生成与用户A对应的证书文件密钥为例,PKI系统首先通过预设代码或者预设软件生成具有固定字节数的随机数,如生成16字节随机数或者32字节随机数等,本领域技术人员可以根据实际使用需求进行选择;然后将生成的随机数通过Base64编码方法进行编码处理,获取编码后的随机数作为与用户A对应的证书文件密钥,即为密钥1。当然,本领域技术人员也可以采用其他编码方式对生成的随机数进行编码,如Base32等,在此不作限制。
在执行完成步骤S101之后,本申请实施例中的方法便执行步骤S102,即:获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户。
在具体实施过程中,沿用上述例子,当PKI系统生成密钥1之后,可以产生提示信息,提示用户A输入管理员口令,然后用户A根据提示信息中输入口令,从而获取用户A的管理员口令。当然,在具体实施过程中,也可以将步骤S101和步骤S102的顺序进行调整,即先获取用户的管理员口令,然后在生成密钥,从而通过用户输入管理员口令的操作来触发PKI系统生成对用户A的密钥,在此不作限制。
在执行完成步骤S102之后,本申请实施例中的方法便执行步骤S103,即:用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
在具体实施过程中,沿用上述例子,当PKI系统获取用户A的管理员口令之后,则通过管理员口令将生成的密钥进行加密,从而获取经加密密钥,即encrypedsecret 1。本领域技术人员可以根据实际使用需求设置加密方式,在此不作限制。
在执行完成步骤S103之后,本申请实施例中的方法还包括:
建立所述目标用户与所述经加密密钥的对应关系;
将所述对应关系记录到预设文件中。
在具体实施过程中,沿用上述例子,当PKI系统获取encrypedsecret 1之后,则将encrypedsecret 1记录到特定的文件中,具体可以是专门用于存储加密密钥的文件,在记录encrypedsecret 1时,首先要建立用户A与encrypedsecret 1的对应关系,然后以对应关系的形式存储到PKI系统的特定文件中,如,记录的格式为:Admin A=encrypedsecret 1。
这样,通过上述方案,首先将多个证书的口令进行统一,即一个用户对应的至少一个目标证书文件使用同一个密钥口令,然后根据每个管理员自己的口令,将统一的密钥口令进行加密,当PKI系统中的某一个用户需要运行某项服务时,只需输入自己的管理员口令,从而PKI系统则根据管理员口令自动获取该证书对应的密钥口令,并将密钥口令发送至应用方进行验证,多个证书公用一个密钥口令,提高系统的可用性;同时,由于通过管理员口令对密钥口令进行加密,也保证了密钥口令的安全,有效解决了如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现了提供一种即安全又高效的密钥保护方法的技术效果。
在完成上述步骤之后,所述方法还包括:
在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
基于所述经加密密钥,启动所述目标应用。
在具体实施过程中,当PKI系统将用户A的密钥存储之后,当用户A需要启动与其对应的应用程序时,PKI系统则根据用户与加密密钥的对应关系,从特定文件中获取与用户A对应的加密密钥,然后通过加密密钥启动相应的的应用程序。
在本申请实施例中,所述基于所述经加密密钥,启动所述目标应用,包括:
使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
在具体实施过程中,沿用上述例子,当用户A想要打开应用程序A,此时,用户A会输入其管理员口令,然后PKI系统则从特定文件中查询与管理员口令对应的加密密钥,如加密密钥1,然后通过用户A的管理员口令将加密密钥1解密,其解密方式与PKI系统采用的加密方式相同,从而获取用户A的密钥1,然后由PKI系统将密钥1发送至应用程序A,由应用程序A加载与其对应的证书文件以及密钥1,验证证书文件与密钥1是否匹配,当匹配时,则启动应用程序A。
实施例二
基于与本申请实施例一相同的发明构思,请参考图2,为本申请实施例二中提供的一种PKI系统的结构框图,所述PKI系统具有多个用户且存储有多个证书文件,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,包括:
生成模块101,用于生成一密钥;
口令获取模块102,用于获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
加密模块103,用于用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
在具体实施过程中,生成模块101、口令获取模块102以及加密模块103具体可以是各自独立的模块,也可以集成在同一个功能芯片上或集成为PKI系统中的某一个具体装置,在此不作限制。
在本申请实施例二中,生成模块101包括:
随机数产生单元,用于产生具有预设字节位数的随机数;
编码单元,用于采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
在本申请实施例二中,所述系统还包括:
建立模块104,用于建立所述目标用户与所述经加密密钥的对应关系;
记录模块105,用于将所述对应关系记录到预设文件中。
在本申请实施例二中,所述系统还包括:
密钥获取模块106,用于在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
启动模块107,用于基于所述经加密密钥,启动所述目标应用。
在本申请实施例二中,启动模块107包括:
解密单元,用于使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
发送单元,用于将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
通过本申请实施例中的一个或多个技术方案,可以实现如下一个或多个技术效果:
由于本申请实施例中的技术方案,采用生成一密钥;获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证的技术手段,这样,首先将多个证书的口令进行统一,即一个用户对应的至少一个目标证书文件使用同一个密钥口令,然后根据每个管理员自己的口令,将统一的密钥口令进行加密,当PKI系统中的某一个用户需要运行某项服务时,只需输入自己的管理员口令,从而PKI系统则根据管理员口令自动获取该证书对应的密钥口令,并将密钥口令发送至应用方进行验证,多个证书公用一个密钥口令,提高系统的可用性;同时,由于通过管理员口令对密钥口令进行加密,也保证了密钥口令的安全,有效解决了如何在保证密钥安全的前提下,提高系统的可用性的技术问题,实现了提供一种即安全又高效的密钥保护方法的技术效果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
具体来讲,本申请实施例中的密钥保护方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与密钥保护方法对应的计算机程序指令被一电子设备读取或被执行时,包括如下步骤:
生成一密钥;
获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
可选的,所述存储介质中存储的与步骤:生成一密钥,对应的计算机程序指令在被执行时,包括:
产生具有预设字节位数的随机数;
采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
可选的,所述存储介质中还存储有另外一些计算机程序指令,所述另外一些计算机程序指令在与步骤:用所述管理员口令加密所述密钥,获取经加密密钥,对应的计算机程序指令执行之后被执行,包括:
建立所述目标用户与所述经加密密钥的对应关系;
将所述对应关系记录到预设文件中。
可选的,所述存储介质中还存储有另外一些计算机程序指令,所述另外一些计算机程序指令在与步骤:将所述对应关系记录到预设文件中,对应的计算机程序指令执行之后被执行,包括:
在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
基于所述经加密密钥,启动所述目标应用。
可选的,所述存储介质中存储的与步骤:基于所述经加密密钥,启动所述目标应用,对应的计算机程序指令在被执行时,包括:
使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种密钥保护方法,应用于具有多个用户且存储有多个证书文件的PKI系统中,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,其特征在于,所述方法包括:
生成一密钥;
获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
2.如权利要求1所述的方法,其特征在于,所述生成一密钥,包括:
产生具有预设字节位数的随机数;
采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
3.如权利要求1或2所述的方法,其特征在于,在所述用所述管理员口令加密所述密钥,获取经加密密钥之后,所述方法还包括:
建立所述目标用户与所述经加密密钥的对应关系;
将所述对应关系记录到预设文件中。
4.如权利要求3所述的方法,其特征在于,在所述将所述对应关系记录到预设文件中之后,所述方法还包括:
在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
基于所述经加密密钥,启动所述目标应用。
5.如权利要求4所述的方法,其特征在于,所述基于所述经加密密钥,启动所述目标应用,包括:
使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
6.一种PKI系统,所述PKI系统具有多个用户且存储有多个证书文件,所述多个用户中的每个用户与所述多个证书中的至少一个证书对应,其特征在于,所述系统包括:
生成模块,用于生成一密钥;
口令获取模块,用于获取目标用户的管理员口令,其中,所述目标用户为所述多个用户中的任一用户;
加密模块,用于用所述管理员口令加密所述密钥,获取经加密密钥,其中,所述经加密密钥用于对所述多个证书中与所述目标用户对应的至少一个目标证书文件进行验证。
7.如权利要求6所述的系统,其特征在于,所述生成模块包括:
随机数产生单元,用于产生具有预设字节位数的随机数;
编码单元,用于采用base64处理方法对所述随机数进行编码,获取经编码随机数,即为密钥。
8.如权利要求6或7所述的系统,其特征在于,所述系统还包括:
建立模块,用于建立所述目标用户与所述经加密密钥的对应关系;
记录模块,用于将所述对应关系记录到预设文件中。
9.如权利要求8所述的系统,其特征在于,所述系统还包括:
密钥获取模块,用于在检测到所述目标用户启动目标应用时,基于所述对应关系,从所述预设文件中获取所述经加密密钥,其中,所述目标应用与所述至少一个目标证书文件中的第一证书文件相对应;
启动模块,用于基于所述经加密密钥,启动所述目标应用。
10.如权利要求9所述的系统,其特征在于,所述启动模块包括:
解密单元,用于使用所述管理员口令对所述经加密密钥进行解密处理,获取所述密钥;
发送单元,用于将所述密钥及所述第一证书文件发送至所述目标应用,以使所述目标应用在判断所述第一证书文件与所述密钥匹配时,启动所述目标应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710117279.5A CN107070648B (zh) | 2017-03-01 | 2017-03-01 | 一种密钥保护方法及pki系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710117279.5A CN107070648B (zh) | 2017-03-01 | 2017-03-01 | 一种密钥保护方法及pki系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107070648A true CN107070648A (zh) | 2017-08-18 |
| CN107070648B CN107070648B (zh) | 2020-09-18 |
Family
ID=59621869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710117279.5A Active CN107070648B (zh) | 2017-03-01 | 2017-03-01 | 一种密钥保护方法及pki系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070648B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110048857A (zh) * | 2019-04-25 | 2019-07-23 | 北京华大智宝电子系统有限公司 | 一种公钥基础设施管理系统、智能卡和设备系统 |
| CN111200602A (zh) * | 2019-12-30 | 2020-05-26 | 北京深思数盾科技股份有限公司 | 一种分权管理方法、加密卡、管理员锁和密码机 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329418A (zh) * | 2001-07-24 | 2002-01-02 | 巨龙信息技术有限责任公司 | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| CN101557588A (zh) * | 2009-05-08 | 2009-10-14 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
| CN101828357A (zh) * | 2007-10-16 | 2010-09-08 | 诺基亚公司 | 证书提供 |
| CN102823217A (zh) * | 2010-04-01 | 2012-12-12 | 诺基亚西门子通信公司 | 证书机构 |
| US8375204B2 (en) * | 2009-12-16 | 2013-02-12 | Symantec Corporation | Method and system to combine multiple digital certificates using the subject alternative name extension |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
| CN104683107A (zh) * | 2015-02-28 | 2015-06-03 | 深圳市思迪信息技术有限公司 | 数字证书保管方法和装置、数字签名方法和装置 |
-
2017
- 2017-03-01 CN CN201710117279.5A patent/CN107070648B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329418A (zh) * | 2001-07-24 | 2002-01-02 | 巨龙信息技术有限责任公司 | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| CN101828357A (zh) * | 2007-10-16 | 2010-09-08 | 诺基亚公司 | 证书提供 |
| CN101557588A (zh) * | 2009-05-08 | 2009-10-14 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
| US8375204B2 (en) * | 2009-12-16 | 2013-02-12 | Symantec Corporation | Method and system to combine multiple digital certificates using the subject alternative name extension |
| CN102823217A (zh) * | 2010-04-01 | 2012-12-12 | 诺基亚西门子通信公司 | 证书机构 |
| CN103916363A (zh) * | 2012-12-30 | 2014-07-09 | 航天信息股份有限公司 | 加密机的通讯安全管理方法和系统 |
| CN104683107A (zh) * | 2015-02-28 | 2015-06-03 | 深圳市思迪信息技术有限公司 | 数字证书保管方法和装置、数字签名方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 朱泉: "PKI CA身份认证技术研究", 《网络空间安全》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110048857A (zh) * | 2019-04-25 | 2019-07-23 | 北京华大智宝电子系统有限公司 | 一种公钥基础设施管理系统、智能卡和设备系统 |
| CN110048857B (zh) * | 2019-04-25 | 2022-03-11 | 北京华大智宝电子系统有限公司 | 一种公钥基础设施管理系统、智能卡和设备系统 |
| CN111200602A (zh) * | 2019-12-30 | 2020-05-26 | 北京深思数盾科技股份有限公司 | 一种分权管理方法、加密卡、管理员锁和密码机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107070648B (zh) | 2020-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101999188B1 (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| US9673975B1 (en) | Cryptographic key splitting for offline and online data protection | |
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| US10142107B2 (en) | Token binding using trust module protected keys | |
| KR101010040B1 (ko) | 파일의 암호화·복호화 방법, 장치, 프로그램 및 이프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 | |
| US8509449B2 (en) | Key protector for a storage volume using multiple keys | |
| US9246889B2 (en) | Layered protection and validation of identity data delivered online via multiple intermediate clients | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| JP6849862B2 (ja) | パスワード認証のための準同型暗号 | |
| CN111177693B (zh) | 一种验证终端根证书的方法、装置、设备和介质 | |
| CA2613289A1 (en) | Generating a secret key from an asymmetric private key | |
| CN112241527B (zh) | 物联网终端设备的密钥生成方法、系统及电子设备 | |
| CN105468940A (zh) | 软件保护方法及装置 | |
| CN108199847A (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN114692218A (zh) | 一种面向个人用户的电子签章方法、设备和系统 | |
| CN107948186A (zh) | 一种安全认证方法及装置 | |
| JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
| CN110233729B (zh) | 一种基于puf的加密固态盘密钥管理方法 | |
| CN103605919A (zh) | 软件认证文件生成方法和装置、软件认证方法和装置 | |
| JP2018523388A (ja) | セキュアな製品識別及び検証のための難読化又はランダム化の強化 | |
| CN107070648A (zh) | 一种密钥保护方法及pki系统 | |
| CN107404476B (zh) | 一种大数据云环境中数据安全的保护方法与装置 | |
| WO2017107642A1 (zh) | 一种安全输入法的文本处理方法、装置和系统 | |
| CN112311534A (zh) | 产生非对称算法密钥对的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100093 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001 Applicant after: Beijing Xin'an century Polytron Technologies Inc Address before: 100052 Beijing city Haidian District Bei wa Lu Xi Li No. 21 block A No. 8246 Applicant before: Beijing Infosec Technologies Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |