CN107864041A - 一种失效证书数据平滑过渡保护方法 - Google Patents

一种失效证书数据平滑过渡保护方法 Download PDF

Info

Publication number
CN107864041A
CN107864041A CN201711342446.2A CN201711342446A CN107864041A CN 107864041 A CN107864041 A CN 107864041A CN 201711342446 A CN201711342446 A CN 201711342446A CN 107864041 A CN107864041 A CN 107864041A
Authority
CN
China
Prior art keywords
certificate
data
encrypted
failure
signing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711342446.2A
Other languages
English (en)
Other versions
CN107864041B (zh
Inventor
黄福飞
许俊
曾政
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GEER SOFTWARE CO Ltd SHANGHAI
Original Assignee
GEER SOFTWARE CO Ltd SHANGHAI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GEER SOFTWARE CO Ltd SHANGHAI filed Critical GEER SOFTWARE CO Ltd SHANGHAI
Priority to CN201711342446.2A priority Critical patent/CN107864041B/zh
Publication of CN107864041A publication Critical patent/CN107864041A/zh
Application granted granted Critical
Publication of CN107864041B publication Critical patent/CN107864041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开的一种失效证书数据平滑过渡保护方法,在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。本发明能够很好的保障数字证书在使用过程中,由于证书的一些安全性要求导致的证书过期、算法变更、证书废止,而导致旧的数据无法使用问题,可通过此方案完美解决,最终保障数据的安全性和便利性。

Description

一种失效证书数据平滑过渡保护方法
技术领域
本发明属于计算机和信息安全技术领域,具体涉及数字证书使用技术,尤其涉及一种失效证书数据平滑过渡保护方法。
背景技术
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,数字证书包含一个公开密钥、名称、有效期、证书授权中心的数字签名,数字证书常用在网络世界中,标识个人身份和对数据安全存储。
数字证书对于保护数据具有高安全性的特点,由于存在有效期和一些安全威胁,数字证书会不断的变化,例如证书过期、使用新的算法、证书废止等,这些变化都会导致数字证书失效,而数字证书的失效会引起已经保护的文件怎么管理的问题。目前针对数字证书失效主要有两种处理方式:
1、传统方式:证书过期,采用证书延期的方式,虽然可以继续使用证书,但由于证书密钥不变,不符合国家机密的规范,在以后的使用过程中随着年限增长容易遭受破解,且无法处理证书废止的情况。
2、改进方式:过期证书使用证书更新,签名证书变更,加密证书不变,这样保证了身份认证安全性,但是数据存储保护并没有得到改善。
由此可见,如何既能提高使用方便性,又能保证被保护数据能够平滑过渡是数字证书使用过程中一直研究的问题。为此,本申请人经过有益的探索和研究,找到了解决上述问题的办法,下面将要介绍的技术方案便是基于这种背景下产生的。
发明内容
本发明所要解决的技术问题在于:针对现有的数字证书失效后存在的问题,而提供一种使用方便、保证数据安全性的失效证书数据平滑过渡保护方法,该方法在已经失效的证书基础上使用全新的证书进行数据保护,有效地解决证书失效后旧证书和旧的数据归属问题。
本发明所要解决的技术问题可以采用如下技术方案来实现:
一种失效证书数据平滑过渡保护方法,包括以下步骤:
通过证书介质到数字证书认证中心下载第一数字证书,并将所述第一数字证书安装在所述证书介质内,所述第一数字证书由第一签名证书和第一加密证书构成,采用所述第一签名证书对数据进行签名认证,并采用所述第一加密证书对数据进行加密保护;
当所述第一数字证书失效后,通过证书介质到数字证书认证中心下载第二数字证书,并将所述第二数字证书安装在所述证书介质内,所述第二数字证书由第二签名证书和第二加密证书构成;
在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。
在本发明的一个优选实施例中,当所有旧的数据更新完成或者数据归档完成后,将所述第一签名证书和第一加密证书从所述证书介质删除,释放所述证书介质的空间。
在本发明的一个优选实施例中,所述第一数字证书失效的方式包括证书过期、算法变更、证书废止以及安全性受到威胁。
在本发明的一个优选实施例中,所述第一签名证书和/或第二签名证书支持SM2非对称算法或RSA非对称算法。
在本发明的一个优选实施例中,所述第一加密证书和/或第二加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
在本发明的一个优选实施例中,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断。
由于采用了如上技术方案,本发明的有益效果在于:本发明能够很好的保障数字证书在使用过程中,由于证书的一些安全性要求导致的证书过期、算法变更、证书废止,而导致旧的数据无法使用问题,可通过此方案完美解决,最终保障数据的安全性和便利性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的失效证书数据平滑过渡保护方法的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1,图中给出的是本发明的失效证书数据平滑过渡保护方法的流程图,整个数据过渡流程如下:
1、通过证书介质到CA数字证书认证中心下载数字证书,并将下载后的数字证书安装在证书介质内,数字证书由签名证书和加密证书构成;
2、通过当前的签名证书对数据进行签名和通过当前的加密证书对数据加密保护;
3、对签名数据和加密数据进行存储;
4、由于证书到期、算法变更、证书废止、安全性受到威胁等情况所引起的数字证书失效的,通过证书介质重新到CA数字证书认证中心下载新的数字证书,并将下载后的新的数字证书安装到证书介质内,新的数字证书由新的签名证书和新的加密证书构成;
5、此时,证书介质中存储有新的数字证书和旧的数字证书;
6、对于旧的签名数据,则通过旧的签名证书验证旧的数字签名;
7、对于新的数据,则通过新的签名证书进行签名认证;
8、对于旧的加密数据,则通过旧的加密证书进行解密,并采用新的加密证书进行加密保护;
9、对于新的数据,则通过新的加密证书进行加密保护;
10、通过不断解密旧数据,使用新的加密证书进行加密的方式,直到旧数据处理完成或者数据归档,存储新的签名数据和新的加密数据;
11、待所有旧的数据处理完成,则可以删除旧的签名证书和旧的加密证书,释放证书介质的空间;
2、数字证书在使用过程中,可不断重复以上过程,保障证书的安全有效性和数据的平滑过渡。
旧的签名证书和/或新的签名证书支持SM2非对称算法或RSA非对称算法。旧的加密证书和/或新的加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
在本实施例中,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断,以确定哪些数据为旧的数据。
本发明能够很好的对数字证书在使用过程中面对的问题进行有效的过渡,对用户屏蔽了使用差异,并保障了数字证书的高安全性。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (6)

1.一种失效证书数据平滑过渡保护方法,其特征在于,包括以下步骤:
通过证书介质到数字证书认证中心下载第一数字证书,并将所述第一数字证书安装在所述证书介质内,所述第一数字证书由第一签名证书和第一加密证书构成,采用所述第一签名证书对数据进行签名认证,并采用所述第一加密证书对数据进行加密保护;
当所述第一数字证书失效后,通过证书介质到数字证书认证中心下载第二数字证书,并将所述第二数字证书安装在所述证书介质内,所述第二数字证书由第二签名证书和第二加密证书构成;
在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。
2.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,当所有旧的数据更新完成或者数据归档完成后,将所述第一签名证书和第一加密证书从所述证书介质删除,释放所述证书介质的空间。
3.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一数字证书失效的方式包括证书过期、算法变更、证书废止以及安全性受到威胁。
4.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一签名证书和/或第二签名证书支持SM2非对称算法或RSA非对称算法。
5.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一加密证书和/或第二加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
6.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断。
CN201711342446.2A 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法 Active CN107864041B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711342446.2A CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711342446.2A CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Publications (2)

Publication Number Publication Date
CN107864041A true CN107864041A (zh) 2018-03-30
CN107864041B CN107864041B (zh) 2020-10-09

Family

ID=61706511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711342446.2A Active CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Country Status (1)

Country Link
CN (1) CN107864041B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381077A (zh) * 2019-07-26 2019-10-25 中国工商银行股份有限公司 针对数字证书的处理方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及系统
US20110167258A1 (en) * 2009-12-30 2011-07-07 Suridx, Inc. Efficient Secure Cloud-Based Processing of Certificate Status Information
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106411999A (zh) * 2016-07-22 2017-02-15 青岛大学 云存储的密钥生成方法、云数据存储方法及审计方法
CN106571928A (zh) * 2016-11-09 2017-04-19 北京海泰方圆科技股份有限公司 一种浏览器管理的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及系统
US20110167258A1 (en) * 2009-12-30 2011-07-07 Suridx, Inc. Efficient Secure Cloud-Based Processing of Certificate Status Information
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106411999A (zh) * 2016-07-22 2017-02-15 青岛大学 云存储的密钥生成方法、云数据存储方法及审计方法
CN106571928A (zh) * 2016-11-09 2017-04-19 北京海泰方圆科技股份有限公司 一种浏览器管理的方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381077A (zh) * 2019-07-26 2019-10-25 中国工商银行股份有限公司 针对数字证书的处理方法和装置

Also Published As

Publication number Publication date
CN107864041B (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN101115060B (zh) 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法
CN204595860U (zh) 一种存储设备加密桥接器
CN103067170B (zh) 一种基于ext2文件系统的加密方法
CN103079200B (zh) 一种无线接入的认证方法、系统及无线路由器
US20080320263A1 (en) Method, system, and apparatus for encrypting, integrity, and anti-replay protecting data in non-volatile memory in a fault tolerant manner
CN106452764B (zh) 一种标识私钥自动更新的方法及密码系统
KR20200012845A (ko) 점진적 키 암호화 알고리즘
US20180091299A1 (en) Integrity protected trusted public key token with performance enhancements
CN103067160A (zh) 一种加密sd卡的动态密钥生成的方法及系统
CN110071799A (zh) 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质
CN102801730A (zh) 一种用于通讯及便携设备的信息防护方法及装置
CN101515319A (zh) 密钥处理方法、密钥密码学服务系统和密钥协商方法
CN108062462B (zh) 一种软件授权认证方法及系统
CN104268447A (zh) 一种嵌入式软件的加密方法
CN102456116A (zh) 文件加密方法、解密方法及装置
CN103544453A (zh) 一种基于usb key的虚拟桌面文件保护方法及装置
CN104660590A (zh) 一种文件加密安全云存储方案
CN111835510A (zh) 一种etc安全管理方法
CN109510702A (zh) 一种基于计算机特征码的密钥存储及使用的方法
CN103177225B (zh) 一种数据管理方法和系统
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和系统
CN102612025A (zh) 手机文件保护系统及方法
CN107864041A (zh) 一种失效证书数据平滑过渡保护方法
KR100964845B1 (ko) 공정편차에 기반한 보안 시스템 및 방법
CN105635141A (zh) 一种信息传送方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Applicant after: Geer software Limited by Share Ltd

Address before: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Applicant before: Geer Software Co., Ltd., Shanghai

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant