CN107809412A - 使用目标网站的网站证书私钥进行解密的方法与设备 - Google Patents
使用目标网站的网站证书私钥进行解密的方法与设备 Download PDFInfo
- Publication number
- CN107809412A CN107809412A CN201610816021.XA CN201610816021A CN107809412A CN 107809412 A CN107809412 A CN 107809412A CN 201610816021 A CN201610816021 A CN 201610816021A CN 107809412 A CN107809412 A CN 107809412A
- Authority
- CN
- China
- Prior art keywords
- private key
- network equipment
- certificate
- website
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明的目的是提供一种使用目标网站的网站证书私钥进行解密的方法与设备。具体地,解密网络设备向对应CA分发管理网络设备发送关于加密后的网站证书私钥的查询请求;接收CA分发管理网络设备响应于查询请求发送的加密后的所述网站证书私钥;基于对应硬件RSA解密卡生成的私钥对加密后的网站证书私钥进行解密处理,以获得该网站证书私钥的明文。与现有技术相比,本发明实现了以下有益效果:在网站证书私钥的下发过程中,对网站证书私钥进行了加密,且使用了非对称加密,进一步保证了加密密钥的安全性;硬件RSA解密卡及其所在的解密网络设备均不持久存储网站证书私钥的明文或密文,更进一步降低了网站证书私钥被窃取的风险。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种用于使用目标网站的网站证书私钥进行解密的技术。
背景技术
HTTPS(超文本传输协议,Hyper Text Transfer Protocol over Secure SocketLayer),是以安全为目标的HTTP通道,用于安全的HTTP数据传输,目前已广泛用于万维网上安全敏感的通讯,例如交易支付等方面。而在https的实施过程中,网站证书私钥的安全性是一个非常重要的问题。如果网站证书私钥被泄露,攻击者可以伪装成合法的网站,或者在窃听的基础上对加密流量进行解密,从而对用户的隐私、密码及资产安全造成严重威胁。
由于在https握手阶段的计算中要使用网站证书私钥,网站证书私钥往往以文件的形式被永久存储在支持https接入的web服务器(或https代理服务器)中。在存储时,有时使用明文的形式;或者采用某些加密的方法来存储。即使是使用加密方法做永久存储,但在计算的过程中,仍然在服务器的系统内存(DRAM(动态随机存取存储器,Dynamic RandomAccess Memory))中以明文形式存在。这样的机制存在以下问题:1)首先,在计算过程中,证书私钥在内存中以明文形式存在,有可能被攻击者通过内存读取的工具获得;2)其次,在web服务器上持久存储的证书私钥虽然经过加密处理,但含有其解密密钥或解密方法的软件往往也持久存储在同一台服务器上。如果攻击者将证书私钥文件和这些软件都获取到,也有可能破解获得明文的证书私钥。
发明内容
本发明的一个目的是提供一种用于使用目标网站的网站证书私钥进行解密的方法与设备。
根据本发明的一个方面,提供了一种在与目标网站对应的CA证书网络设备端用于使用该目标网站的网站证书私钥进行解密的方法,其中,该方法包括:
根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;
将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备。
根据本发明的另一方面,提供了一种在解密网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述解密网络设备中部署有至少一个硬件RSA解密卡,该方法包括:
向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;
接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥;
基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
根据本发明的再一方面,提供了一种在CA分发管理网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息,其中,该方法包括:
接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求;
检测所述查询请求是否满足预定触发条件;
若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备。
根据本发明的另一方面,还提供了一种用于使用目标网站的网站证书私钥进行解密的对应于该目标网站的CA证书网络设备,其中,该CA证书网络设备包括:
用于根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥的装置,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;
用于将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备的装置。
根据本发明的又一方面,还提供了一种用于使用目标网站的网站证书私钥进行解密的解密网络设备,其中,所述解密网络设备中部署有至少一个硬件RSA解密卡,其中,该解密网络设备包括:
用于向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求的装置,其中,加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;
用于接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥的装置;
用于基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
根据本发明的再一方面,还提供了一种用于使用目标网站的网站证书私钥进行解密的CA分发管理网络设备,其中,所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息,其中,该CA分发管理网络设备包括:
用于接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求的装置;
用于检测所述查询请求是否满足预定触发条件的装置;
用于若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备的装置。
根据本发明的还一方面,还提供了一种使用目标网站的网站证书私钥进行解密的系统,其中,该系统包括如前述根据本发明另一方面的一种用于使用目标网站的网站证书私钥进行解密的对应于该目标网站的CA证书网络设备、以及如前述根据本发明又一方面的一种用于使用目标网站的网站证书私钥进行解密的解密网络设备和如前述根据本发明再一方面的一种用于使用目标网站的网站证书私钥进行解密的CA分发管理网络设备。
与现有技术相比,本发明的一个实施例实现了以下有益效果:1)在网站证书私钥的下发过程中,对网站证书私钥进行了加密,且使用了非对称加密,进一步保证了加密密钥的安全性;2)保证网站证书私钥安全的从CA证书网络设备下发至解密网络设备上的硬件RSA解密卡中,确保网站证书私钥从CA证书网络设备至硬件RSA解密卡的“端到端”的安全性,从而使得网站证书私钥在下发和计算中均不被泄露,提高了安全性;3)硬件RSA解密卡及其所在的解密网络设备均不持久存储网站证书私钥的明文或密文,更进一步降低了网站证书私钥被窃取的风险。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本发明一个方面的一种用于使用目标网站的网站证书私钥进行解密的CA证书网络设备、解密网络设备和CA分发管理网络设备的设备示意图;
图2示出根据本发明另一个方面的CA证书网络设备、解密网络设备和CA分发管理网络设备配合实现一种用于使用目标网站的网站证书私钥进行解密的方法流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
图1示出根据本发明一个方面的一种用于使用目标网站的网站证书私钥进行解密的CA证书网络设备1、解密网络设备2和CA分发管理网络设备3,其中,CA证书网络设备1包括用于根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥的装置(以下简称“加密装置11”)和用于将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备的装置(以下简称“存储装置12”),解密网络设备2包括用于向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求的装置(以下简称“请求发送装置21”)、用于接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥的装置(以下简称“加密私钥接收装置22”)和用于基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文的装置(以下简称“解密装置23”),CA分发管理网络设备3包括用于接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求的装置(以下简称“请求接收装置31”)、用于检测所述查询请求是否满足预定触发条件的装置(以下简称“检测装置32”)和用于若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备的装置(以下简称“加密私钥发送装置33”)。
具体地,CA证书网络设备1的加密装置11根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备3;存储装置12将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备3;解密网络设备2的请求发送装置21向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备1基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;相应地,CA分发管理网络设备3的请求接收装置31接收对应解密网络设备2发送的关于加密后的所述网站证书私钥的查询请求;检测装置32检测所述查询请求是否满足预定触发条件;若满足所述触发条件,加密私钥发送装置33将所述加密后的网站证书私钥发送至所述解密网络设备2;相应地,解密网络设备2的加密私钥接收装置22接收所述CA分发管理网络设备3响应于所述查询请求发送的加密后的所述网站证书私钥;解密装置23基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
在此,CA(认证权限,Certification Authority)证书网络设备1是指目标网站自身的CA证书网络设备,而不是外部第三方的CA证书网络设备,其是离线的,可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,解密网络设备2用于其上部署的至少一个硬件RSA解密卡执行RSA解密计算,其可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,CA分发管理网络设备3上存储有部署于对应解密网络设备2的硬件RSA解密卡的相关信息,其可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,所述硬件RSA解密卡的相关信息包括以下至少任一项:1)所述硬件RSA解密卡所部署的位置信息,如部署的机架位置、IP地址等;2)所述硬件RSA解密卡生成的公钥;3)所述硬件RSA解密卡的标识信息,如硬件RSA解密卡的id;4)所述硬件RSA解密卡的上线信息。
本领域技术人员应能理解上述CA证书网络设备1、解密网络设备2和CA分发管理网络设备3仅为举例,其他现有的或今后可能出现的CA证书网络设备1或解密网络设备2或CA分发管理网络设备3如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。在此,网络设备及用户设备均包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。
具体地,CA证书网络设备1的加密装置11根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备3。
在此,本发明中的硬件RSA解密卡是指硬件实现的RSA解密计算卡,每块硬件RSA解密卡在初始化的过程中其内部会生成自己的私钥和公钥,也即硬件RSA解密卡与其生成的公钥和私钥一一对应。其中,私钥存储于其闪存如flash上,但在任何情况下都不出卡,从外部只能读取到公钥。硬件RSA解密卡被部署至目标解密网络设备上,部署完成后,硬件RSA解密卡的相关信息登记至CA分发管理网络设备。同时,网站证书私钥的明文只存在于硬件RSA解密卡的内存中,通过驱动无法读取;在硬件RSA解密卡下电后,对网站证书私钥的明文和密文都不保存,保证了在RSA解密计算过程中,软件无法从系统内存中读取到网站证书私钥。
本领域技术人员应能理解上述硬件RSA解密卡仅为举例,其他现有的或今后可能出现的硬件RSA解密卡如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
例如,假设对于某目标网站web1,其内部服务器为CA证书网络设备1,则在硬件RSA解密卡部署完成后,CA证书网络设备1的加密装置11可首先从硬件RSA解密卡读取到其生成的公钥如F-Pubkey;然后,使用公钥如F-Pubkey对目标网站web1的网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥。
在此,需要说明的是,当多个硬件RSA解密卡被部署时,加密装置11可采用每一硬件RSA解密卡生成的公钥分别对网站证书私钥进行加密。
然后,存储装置12将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备3,如通过U盘将加密后的所述网站证书私钥拷贝至所述CA分发管理网络设备3。
解密网络设备2的请求发送装置21向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备1基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到。
例如,解密网络设备2启动其上部署的硬件RSA解密卡,可从该硬件RSA解密卡读取到其生成的公钥如F-Pubkey;然后,解密网络设备2的请求发送装置21使用公钥如F-Pubkey,向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求。
相应地,CA分发管理网络设备3的请求接收装置31接收对应解密网络设备2发送的关于加密后的所述网站证书私钥的查询请求。
接着,检测装置32检测所述查询请求是否满足预定触发条件。
优选地,所述预定触发条件包括以下至少任一项:
-生成所述公钥的硬件RSA解密卡满足第一预定条件、且所述查询请求所对应的IP地址满足第二预定条件;
-所述查询请求满足预定认证条件。
例如,接上例,若生成公钥如F-Pubkey的硬件RSA解密卡满足第一预定条件如该硬件RSA解密卡已上线、且所述查询请求所对应的IP地址满足第二预定条件如该查询请求所对应的IP地址属于IP白名单,则检测装置32判断所述查询请求足预定触发条件;还如,还接上例,若所述查询请求满足预定认证条件,优选地,所述预定认证条件包括基于对所述网站证书私钥进行加密的公钥进行的认证,则检测装置32可首先利用存储在CA分发管理网络设备3上的公钥如F-Pubkey对所述查询请求发送方即解密网络设备2进行认证,如向解密网络设备2发送采用对所述网站私钥证书进行加密的公钥加密后的信息,如对字符串string-2进行加密后得到的随机字符串random string-1,并接收解密网络设备2返回的基于对应硬件RSA解密卡生成的私钥对所述信息进行解密处理后得到的信息明文,即接收解密网络设备2返回的使用对应硬件RSA解密卡生成的对应于公钥如F-Pubkey的私钥如F-Secret对随机字符串random string-1进行解密处理后得到的信息明文,若检测装置32检测发现该明文与原来生成的随机串一致,即与字符串string-2一致,则判断满足所述预定触发条件。
本领域技术人员应能理解上述预定触发条件仅为举例,其他现有的或今后可能出现的预定触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
本领域技术人员应能理解上述检测是否满足所述预定触发条件的方式仅为举例,其他现有的或今后可能出现的检测是否满足所述预定触发条件的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
若满足所述触发条件,加密私钥发送装置33将所述加密后的网站证书私钥发送至所述解密网络设备2。
相应地,解密网络设备2的加密私钥接收装置22接收所述CA分发管理网络设备3响应于所述查询请求发送的加密后的所述网站证书私钥。
接着,解密装置23基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RS A解密卡的内存中。
在此,本发明实现了以下有益效果:1)在网站证书私钥的下发过程中,对网站证书私钥进行了加密,且使用了非对称加密,进一步保证了加密密钥的安全性;2)保证网站证书私钥安全的从CA证书网络设备下发至解密网络设备上的硬件RSA解密卡中,确保网站证书私钥从CA证书网络设备至硬件RSA解密卡的“端到端”的安全性,从而使得网站证书私钥在下发和计算中均不被泄露,提高了安全性;3)硬件RSA解密卡及其所在的解密网络设备均不持久存储网站证书私钥的明文或密文,更进一步降低了网站证书私钥被窃取的风险。
优选地,CA分发管理网络设备3还包括用于对所述硬件RSA解密卡的相关信息进行管理的装置(以下简称“管理装置”,未示出)。例如,管理装置对所述硬件RSA解密卡的相关信息进行诸如注册、修改、报废等管理。
图2示出根据本发明另一个方面的CA证书网络设备、解密网络设备和CA分发管理网络设备配合实现一种用于使用目标网站的网站证书私钥进行解密的方法流程图。
其中,该方法包括步骤S1、步骤S2、步骤S3、步骤S4、步骤S5和步骤S6。
具体地,在步骤S1中,CA证书网络设备1根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备3;在步骤S2中,CA证书网络设备1将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备3;在步骤S3中,解密网络设备2向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备1基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到,;相应地,CA分发管理网络设备3接收对应解密网络设备2发送的关于加密后的所述网站证书私钥的查询请求;在步骤S4中,解密网络设备2检测所述查询请求是否满足预定触发条件;若满足所述触发条件,在步骤S5中,解密网络设备2将所述加密后的网站证书私钥发送至所述解密网络设备2;相应地,解密网络设备2接收所述CA分发管理网络设备3响应于所述查询请求发送的加密后的所述网站证书私钥;在步骤S6中,解密网络设备2解密装置23基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
在此,CA(认证权限,Certification Authority)证书网络设备1是指目标网站自身的CA证书网络设备,而不是外部第三方的CA证书网络设备,其是离线的,可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,解密网络设备2用于其上部署的至少一个硬件RSA解密卡执行RSA解密计算,其可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,CA分发管理网络设备3上存储有部署于对应解密网络设备2的硬件RSA解密卡的相关信息,其可由网络主机、单个网络服务器、多个网络服务器集或基于云计算的计算机集合等实现。在此,云由基于云计算(Cloud Computing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
在此,所述硬件RSA解密卡的相关信息包括以下至少任一项:1)所述硬件RSA解密卡所部署的位置信息,如部署的机架位置、IP地址等;2)所述硬件RSA解密卡生成的公钥;3)所述硬件RSA解密卡的标识信息,如硬件RSA解密卡的id;4)所述硬件RSA解密卡的上线信息。
本领域技术人员应能理解上述CA证书网络设备1、解密网络设备2和CA分发管理网络设备3仅为举例,其他现有的或今后可能出现的CA证书网络设备1或解密网络设备2或CA分发管理网络设备3如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。在此,网络设备及用户设备均包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。
具体地,在步骤S1中,CA证书网络设备1根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备3。
在此,本发明中的硬件RSA解密卡是指硬件实现的RSA解密计算卡,每块硬件RSA解密卡在初始化的过程中其内部会生成自己的私钥和公钥,也即硬件RSA解密卡与其生成的公钥和私钥一一对应。其中,私钥存储于其闪存如flash上,但在任何情况下都不出卡,从外部只能读取到公钥。硬件RSA解密卡被部署至目标解密网络设备上,部署完成后,硬件RSA解密卡的相关信息登记至CA分发管理网络设备。同时,网站证书私钥的明文只存在于硬件RSA解密卡的内存中,通过驱动无法读取;在硬件RSA解密卡下电后,对网站证书私钥的明文和密文都不保存,保证了在RSA解密计算过程中,软件无法从系统内存中读取到网站证书私钥。
本领域技术人员应能理解上述硬件RSA解密卡仅为举例,其他现有的或今后可能出现的硬件RSA解密卡如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
例如,假设对于某目标网站web1,其内部服务器为CA证书网络设备1,则在硬件RSA解密卡部署完成后,在步骤S1中,CA证书网络设备1可首先从硬件RSA解密卡读取到其生成的公钥如F-Pubkey;然后,使用公钥如F-Pubkey对目标网站web1的网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥。
在此,需要说明的是,当多个硬件RSA解密卡被部署时,在步骤S1中,CA证书网络设备1可采用每一硬件RSA解密卡生成的公钥分别对网站证书私钥进行加密。
然后,在步骤S2中,CA证书网络设备1将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备3,如通过U盘将加密后的所述网站证书私钥拷贝至所述CA分发管理网络设备3。
在步骤S3中,解密网络设备2向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备1基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到。
例如,解密网络设备2启动其上部署的硬件RSA解密卡,可从该硬件RSA解密卡读取到其生成的公钥如F-Pubkey;然后,在步骤S3中,解密网络设备2使用公钥如F-Pubkey,向对应CA分发管理网络设备3发送关于加密后的所述网站证书私钥的查询请求。
相应地,CA分发管理网络设备3接收对应解密网络设备2发送的关于加密后的所述网站证书私钥的查询请求。
接着,在步骤S4中,CA分发管理网络设备3检测所述查询请求是否满足预定触发条件。
优选地,所述预定触发条件包括以下至少任一项:
-生成所述公钥的硬件RSA解密卡满足第一预定条件、且所述查询请求所对应的IP地址满足第二预定条件;
-所述查询请求满足预定认证条件。
例如,接上例,若生成公钥如F-Pubkey的硬件RSA解密卡满足第一预定条件如该硬件RSA解密卡已上线、且所述查询请求所对应的IP地址满足第二预定条件如该查询请求所对应的IP地址属于IP白名单,则在步骤S4中,CA分发管理网络设备3判断所述查询请求足预定触发条件;还如,还接上例,若所述查询请求满足预定认证条件,优选地,所述预定认证条件包括基于对所述网站证书私钥进行加密的公钥进行的认证,则在步骤S4中,CA分发管理网络设备3可首先利用存储在CA分发管理网络设备3上的公钥如F-Pubkey对所述查询请求发送方即解密网络设备2进行认证,如向解密网络设备2发送采用对所述网站私钥证书进行加密的公钥加密后的信息,如对字符串string-2进行加密后得到的随机字符串randomstring-1,并接收解密网络设备2返回的使用对应硬件RSA解密卡生成的私钥对所述信息进行解密处理后得到的信息明文,即接收解密网络设备2返回的基于对应硬件RSA解密卡生成的对应于公钥如F-Pubkey的私钥如F-Secret对随机字符串random string-1进行解密处理后得到的信息明文,若在步骤S4中,CA分发管理网络设备3检测发现该明文与原来生成的随机串一致,即与字符串string-2一致,则判断满足所述预定触发条件。
本领域技术人员应能理解上述预定触发条件仅为举例,其他现有的或今后可能出现的预定触发条件如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
本领域技术人员应能理解上述检测是否满足所述预定触发条件的方式仅为举例,其他现有的或今后可能出现的检测是否满足所述预定触发条件的方式如可适用于本发明,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
若满足所述触发条件,在步骤S5中,CA分发管理网络设备3将所述加密后的网站证书私钥发送至所述解密网络设备2。
相应地,解密网络设备2接收所述CA分发管理网络设备3响应于所述查询请求发送的加密后的所述网站证书私钥。
接着,在步骤S6中,解密网络设备2基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RS A解密卡的内存中。
在此,本发明实现了以下有益效果:1)在网站证书私钥的下发过程中,对网站证书私钥进行了加密,且使用了非对称加密,进一步保证了加密密钥的安全性;2)保证网站证书私钥安全的从CA证书网络设备下发至解密网络设备上的硬件RSA解密卡中,确保网站证书私钥从CA证书网络设备至硬件RSA解密卡的“端到端”的安全性,从而使得网站证书私钥在下发和计算中均不被泄露,提高了安全性;3)硬件RSA解密卡及其所在的解密网络设备均不持久存储网站证书私钥的明文或密文,更进一步降低了网站证书私钥被窃取的风险。
优选地,该方法还包括步骤S7(未示出)。具体地,在步骤S7中,CA分发管理网络设备3对所述硬件RSA解密卡的相关信息进行管理。例如,在步骤S7中,CA分发管理网络设备3对所述硬件RSA解密卡的相关信息进行诸如注册、修改、报废等管理。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (19)
1.一种在与目标网站对应的CA证书网络设备端用于使用该目标网站的网站证书私钥进行解密的方法,其中,该方法包括:
根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;
将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备。
2.根据权利要求1所述的方法,其中,根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥包括:
-获取硬件RSA解密卡生成的公钥;
-根据所述公钥,对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备。
3.根据权利要求1或2所述的方法,其中,所述硬件RSA解密卡的相关信息包括以下至少任一项:
-所述硬件RSA解密卡所部署的位置信息;
-所述硬件RSA解密卡生成的所述公钥;
-所述硬件RSA解密卡的标识信息;
-所述硬件RSA解密卡的上线信息。
4.一种在解密网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述解密网络设备中部署有至少一个硬件RSA解密卡,该方法包括:
向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求,其中,加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;
接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥;
基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
5.根据权利要求4所述的方法,其中,该方法还包括:
-获取所述公钥。
6.一种在CA分发管理网络设备端用于使用目标网站的网站证书私钥进行解密的方法,其中,所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息,其中,该方法包括:
接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求;
检测所述查询请求是否满足预定触发条件;
若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备。
7.根据权利要求6所述的方法,其中,所述预定触发条件包括以下至少任一项:
-生成所述公钥的硬件RSA解密卡满足第一预定条件、且所述查询请求所对应的IP地址满足第二预定条件;
-所述查询请求满足预定认证条件。
8.根据权利要求7所述的方法,其中,所述预定认证条件包括基于对所述网站证书私钥进行加密的公钥进行的认证。
9.根据权利要求6至8中任一项所述的方法,其中,该方法还包括:
-对所述硬件RSA解密卡的相关信息进行管理。
10.一种用于使用目标网站的网站证书私钥进行解密的对应于该目标网站的CA证书网络设备,其中,该CA证书网络设备包括:
用于根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥的装置,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备;
用于将加密后的所述网站证书私钥离线存储至所述CA分发管理网络设备的装置。
11.根据权利要求10所述的CA证书网络设备,其中,根据硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥的装置用于:
-获取硬件RSA解密卡生成的公钥;
-根据所述公钥,对所述网站证书私钥进行加密处理,以获得加密后的所述网站证书私钥,其中,所述硬件RSA解密卡还生成存储于其闪存上的、对应于所述公钥的私钥,所述硬件RSA解密卡与其生成的所述公钥和所述私钥一一对应,所述硬件RSA解密卡被部署于对应解密网络设备,所述硬件RSA解密卡的相关信息存储于对应CA分发管理网络设备。
12.根据权利要求10或11所述的CA证书网络设备,其中,所述硬件RSA解密卡的相关信息包括以下至少任一项:
-所述硬件RSA解密卡所部署的位置信息;
-所述硬件RSA解密卡生成的所述公钥;
-所述硬件RSA解密卡的标识信息;
-所述硬件RSA解密卡的上线信息。
13.一种用于使用目标网站的网站证书私钥进行解密的解密网络设备,其中,所述解密网络设备中部署有至少一个硬件RSA解密卡,其中,该解密网络设备包括:
用于向对应CA分发管理网络设备发送关于加密后的所述网站证书私钥的查询请求的装置,其中,加密后的所述网站证书私钥由对应CA证书网络设备基于硬件RSA解密卡生成的公钥对所述网站证书私钥进行加密得到;
用于接收所述CA分发管理网络设备响应于所述查询请求发送的加密后的所述网站证书私钥的装置;
用于基于对应硬件RSA解密卡生成的私钥对加密后的所述网站证书私钥进行解密处理,以获得该网站证书私钥的明文,其中,所述明文存储于该硬件RSA解密卡的内存中。
14.根据权利要求13所述的解密网络设备,其中,该解密网络设备还包括:
用于获取所述公钥的装置。
15.一种用于使用目标网站的网站证书私钥进行解密的CA分发管理网络设备,其中,所述CA分发管理网络设备中存储有部署于对应解密网络设备的硬件RSA解密卡的相关信息,其中,该CA分发管理网络设备包括:
用于接收对应解密网络设备发送的关于加密后的所述网站证书私钥的查询请求的装置;
用于检测所述查询请求是否满足预定触发条件的装置;
用于若满足所述触发条件,将所述加密后的网站证书私钥发送至所述解密网络设备的装置。
16.根据权利要求15所述的CA分发管理网络设备,其中,所述预定触发条件包括以下至少任一项:
-生成所述公钥的硬件RSA解密卡满足第一预定条件、且所述查询请求所对应的IP地址满足第二预定条件;
-所述查询请求满足预定认证条件。
17.根据权利要求16所述的CA分发管理网络设备,其中,所述预定认证条件包括基于对所述网站证书私钥进行加密的公钥进行的认证。
18.根据权利要求15至17中所述的CA分发管理网络设备,其中,该CA分发管理网络设备还包括:
用于对所述硬件RSA解密卡的相关信息进行管理的装置。
19.一种使用目标网站的网站证书私钥进行解密的系统,其中,该系统包括权利要求10至12中任一项所述的对应于该目标网站的CA证书网络设备、权利要求13或14所述的解密网络设备、权利要求15至18中任一项所述的CA分发管理网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610816021.XA CN107809412A (zh) | 2016-09-09 | 2016-09-09 | 使用目标网站的网站证书私钥进行解密的方法与设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610816021.XA CN107809412A (zh) | 2016-09-09 | 2016-09-09 | 使用目标网站的网站证书私钥进行解密的方法与设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107809412A true CN107809412A (zh) | 2018-03-16 |
Family
ID=61576423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610816021.XA Pending CN107809412A (zh) | 2016-09-09 | 2016-09-09 | 使用目标网站的网站证书私钥进行解密的方法与设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107809412A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600182A (zh) * | 2018-03-29 | 2018-09-28 | 深圳前海微众银行股份有限公司 | 区块链密钥管理方法、系统及密钥管理设备、存储介质 |
| CN109756500A (zh) * | 2019-01-11 | 2019-05-14 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN113163375A (zh) * | 2021-03-31 | 2021-07-23 | 郑州信大捷安信息技术股份有限公司 | 一种基于NB-IoT通信模组的空中发证方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009051989A1 (en) * | 2007-10-18 | 2009-04-23 | Dresser, Inc. | System and method for secure communication in a retail environment |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| CN103457734A (zh) * | 2013-08-25 | 2013-12-18 | 郑静晨 | 一种防止方舱医院单兵手持智能终端数据拷贝的安全装置 |
-
2016
- 2016-09-09 CN CN201610816021.XA patent/CN107809412A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009051989A1 (en) * | 2007-10-18 | 2009-04-23 | Dresser, Inc. | System and method for secure communication in a retail environment |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| CN103457734A (zh) * | 2013-08-25 | 2013-12-18 | 郑静晨 | 一种防止方舱医院单兵手持智能终端数据拷贝的安全装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600182A (zh) * | 2018-03-29 | 2018-09-28 | 深圳前海微众银行股份有限公司 | 区块链密钥管理方法、系统及密钥管理设备、存储介质 |
| CN108600182B (zh) * | 2018-03-29 | 2021-03-19 | 深圳前海微众银行股份有限公司 | 区块链密钥管理方法、系统及密钥管理设备、存储介质 |
| CN109756500A (zh) * | 2019-01-11 | 2019-05-14 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN109756500B (zh) * | 2019-01-11 | 2021-02-02 | 如般量子科技有限公司 | 基于多个非对称密钥池的抗量子计算https通信方法和系统 |
| CN113163375A (zh) * | 2021-03-31 | 2021-07-23 | 郑州信大捷安信息技术股份有限公司 | 一种基于NB-IoT通信模组的空中发证方法和系统 |
| CN113163375B (zh) * | 2021-03-31 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于NB-IoT通信模组的空中发证方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Luo et al. | Veriplace: a privacy-aware location proof architecture | |
| US10079682B2 (en) | Method for managing a trusted identity | |
| Chen et al. | Conformation of EPC Class 1 Generation 2 standards RFID system with mutual authentication and privacy protection | |
| CN110798315B (zh) | 基于区块链的数据处理方法、装置及终端 | |
| JP2020527305A5 (zh) | ||
| US20160294794A1 (en) | Security System For Data Communications Including Key Management And Privacy | |
| CN109829269A (zh) | 基于电子印章验证电子文档的方法、装置及系统 | |
| Gkaniatsou et al. | Low-level attacks in bitcoin wallets | |
| CN107359998A (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
| CN101695038A (zh) | 检测ssl加密数据安全性的方法及装置 | |
| JP2008269610A (ja) | リモートアプリケーションを対象とした機密データの保護 | |
| CN106033503A (zh) | 在数字内容设备中在线写入应用密钥的方法、装置及系统 | |
| US11861027B2 (en) | Enhanced securing of data at rest | |
| CN115186301B (zh) | 信息处理方法、装置、计算机设备和计算机可读存储介质 | |
| JP2012065123A (ja) | Icカードシステム、その通信端末、携帯端末 | |
| CN112800392A (zh) | 基于软证书的授权方法和装置、存储介质 | |
| WO2015120769A1 (zh) | 密码管理方法及系统 | |
| CN107809412A (zh) | 使用目标网站的网站证书私钥进行解密的方法与设备 | |
| CN114629713A (zh) | 身份验证方法、装置及系统 | |
| US20170200020A1 (en) | Data management system, program recording medium, communication terminal, and data management server | |
| CN118213031A (zh) | 一种医疗数据共享隐私保护系统、方法、设备及介质 | |
| Chen et al. | A secure mobile DRM system based on cloud architecture | |
| CN108875437A (zh) | 一种身份证信息查询方法及系统 | |
| CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
| US20100146605A1 (en) | Method and system for providing secure online authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180316 |