CN107864041B - 一种失效证书数据平滑过渡保护方法 - Google Patents

一种失效证书数据平滑过渡保护方法 Download PDF

Info

Publication number
CN107864041B
CN107864041B CN201711342446.2A CN201711342446A CN107864041B CN 107864041 B CN107864041 B CN 107864041B CN 201711342446 A CN201711342446 A CN 201711342446A CN 107864041 B CN107864041 B CN 107864041B
Authority
CN
China
Prior art keywords
certificate
data
encryption
signature
adopting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711342446.2A
Other languages
English (en)
Other versions
CN107864041A (zh
Inventor
黄福飞
许俊
曾政
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koal Software Co ltd
Original Assignee
Koal Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koal Software Co ltd filed Critical Koal Software Co ltd
Priority to CN201711342446.2A priority Critical patent/CN107864041B/zh
Publication of CN107864041A publication Critical patent/CN107864041A/zh
Application granted granted Critical
Publication of CN107864041B publication Critical patent/CN107864041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开的一种失效证书数据平滑过渡保护方法,在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。本发明能够很好的保障数字证书在使用过程中,由于证书的一些安全性要求导致的证书过期、算法变更、证书废止,而导致旧的数据无法使用问题,可通过此方案完美解决,最终保障数据的安全性和便利性。

Description

一种失效证书数据平滑过渡保护方法
技术领域
本发明属于计算机和信息安全技术领域,具体涉及数字证书使用技术,尤其涉及一种失效证书数据平滑过渡保护方法。
背景技术
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,数字证书包含一个公开密钥、名称、有效期、证书授权中心的数字签名,数字证书常用在网络世界中,标识个人身份和对数据安全存储。
数字证书对于保护数据具有高安全性的特点,由于存在有效期和一些安全威胁,数字证书会不断的变化,例如证书过期、使用新的算法、证书废止等,这些变化都会导致数字证书失效,而数字证书的失效会引起已经保护的文件怎么管理的问题。目前针对数字证书失效主要有两种处理方式:
1、传统方式:证书过期,采用证书延期的方式,虽然可以继续使用证书,但由于证书密钥不变,不符合国家机密的规范,在以后的使用过程中随着年限增长容易遭受破解,且无法处理证书废止的情况。
2、改进方式:过期证书使用证书更新,签名证书变更,加密证书不变,这样保证了身份认证安全性,但是数据存储保护并没有得到改善。
由此可见,如何既能提高使用方便性,又能保证被保护数据能够平滑过渡是数字证书使用过程中一直研究的问题。为此,本申请人经过有益的探索和研究,找到了解决上述问题的办法,下面将要介绍的技术方案便是基于这种背景下产生的。
发明内容
本发明所要解决的技术问题在于:针对现有的数字证书失效后存在的问题,而提供一种使用方便、保证数据安全性的失效证书数据平滑过渡保护方法,该方法在已经失效的证书基础上使用全新的证书进行数据保护,有效地解决证书失效后旧证书和旧的数据归属问题。
本发明所要解决的技术问题可以采用如下技术方案来实现:
一种失效证书数据平滑过渡保护方法,包括以下步骤:
通过证书介质到数字证书认证中心下载第一数字证书,并将所述第一数字证书安装在所述证书介质内,所述第一数字证书由第一签名证书和第一加密证书构成,采用所述第一签名证书对数据进行签名认证,并采用所述第一加密证书对数据进行加密保护;
当所述第一数字证书失效后,通过证书介质到数字证书认证中心下载第二数字证书,并将所述第二数字证书安装在所述证书介质内,所述第二数字证书由第二签名证书和第二加密证书构成;
在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。
在本发明的一个优选实施例中,当所有旧的数据更新完成或者数据归档完成后,将所述第一签名证书和第一加密证书从所述证书介质删除,释放所述证书介质的空间。
在本发明的一个优选实施例中,所述第一数字证书失效的方式包括证书过期、算法变更、证书废止以及安全性受到威胁。
在本发明的一个优选实施例中,所述第一签名证书和/或第二签名证书支持SM2非对称算法或RSA非对称算法。
在本发明的一个优选实施例中,所述第一加密证书和/或第二加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
在本发明的一个优选实施例中,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断。
由于采用了如上技术方案,本发明的有益效果在于:本发明能够很好的保障数字证书在使用过程中,由于证书的一些安全性要求导致的证书过期、算法变更、证书废止,而导致旧的数据无法使用问题,可通过此方案完美解决,最终保障数据的安全性和便利性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的失效证书数据平滑过渡保护方法的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
参见图1,图中给出的是本发明的失效证书数据平滑过渡保护方法的流程图,整个数据过渡流程如下:
1、通过证书介质到CA数字证书认证中心下载数字证书,并将下载后的数字证书安装在证书介质内,数字证书由签名证书和加密证书构成;
2、通过当前的签名证书对数据进行签名和通过当前的加密证书对数据加密保护;
3、对签名数据和加密数据进行存储;
4、由于证书到期、算法变更、证书废止、安全性受到威胁等情况所引起的数字证书失效的,通过证书介质重新到CA数字证书认证中心下载新的数字证书,并将下载后的新的数字证书安装到证书介质内,新的数字证书由新的签名证书和新的加密证书构成;
5、此时,证书介质中存储有新的数字证书和旧的数字证书;
6、对于旧的签名数据,则通过旧的签名证书验证旧的数字签名;
7、对于新的数据,则通过新的签名证书进行签名认证;
8、对于旧的加密数据,则通过旧的加密证书进行解密,并采用新的加密证书进行加密保护;
9、对于新的数据,则通过新的加密证书进行加密保护;
10、通过不断解密旧数据,使用新的加密证书进行加密的方式,直到旧数据处理完成或者数据归档,存储新的签名数据和新的加密数据;
11、待所有旧的数据处理完成,则可以删除旧的签名证书和旧的加密证书,释放证书介质的空间;
2、数字证书在使用过程中,可不断重复以上过程,保障证书的安全有效性和数据的平滑过渡。
旧的签名证书和/或新的签名证书支持SM2非对称算法或RSA非对称算法。旧的加密证书和/或新的加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
在本实施例中,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断,以确定哪些数据为旧的数据。
本发明能够很好的对数字证书在使用过程中面对的问题进行有效的过渡,对用户屏蔽了使用差异,并保障了数字证书的高安全性。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (6)

1.一种失效证书数据平滑过渡保护方法,其特征在于,包括以下步骤:
通过证书介质到数字证书认证中心下载第一数字证书,并将所述第一数字证书安装在所述证书介质内,所述第一数字证书由第一签名证书和第一加密证书构成,采用所述第一签名证书对数据进行签名认证,并采用所述第一加密证书对数据进行加密保护;
当所述第一数字证书失效后,通过证书介质到数字证书认证中心下载第二数字证书,并将所述第二数字证书安装在所述证书介质内,所述第二数字证书由第二签名证书和第二加密证书构成;
在过渡期内,对于旧的数据,采用所述第一签名证书对旧的数据进行签名认证,并采用所述第一加密证书对旧的数据进行解密,再采用第二加密证书对解密后的旧的数据进行加密保护,直至所有旧的数据更新完成或者数据归档为止;对于新的数据,采用所述第二签名证书对新的数据进行签名认证,并采用所述第二加密证书对新的数据进行加密保护。
2.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,当所有旧的数据更新完成或者数据归档完成后,将所述第一签名证书和第一加密证书从所述证书介质删除,释放所述证书介质的空间。
3.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一数字证书失效的方式包括证书过期、算法变更、证书废止以及安全性受到威胁。
4.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一签名证书和/或第二签名证书支持SM2非对称算法或RSA非对称算法。
5.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,所述第一加密证书和/或第二加密证书的数据保护算法为SM1对称算法、SM4对称算法、DES对称算法、AES对称算法中的一种。
6.如权利要求1所述的失效证书数据平滑过渡保护方法,其特征在于,判断旧的数据的方式为通过时间方式或设定特征码方式进行判断。
CN201711342446.2A 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法 Active CN107864041B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711342446.2A CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711342446.2A CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Publications (2)

Publication Number Publication Date
CN107864041A CN107864041A (zh) 2018-03-30
CN107864041B true CN107864041B (zh) 2020-10-09

Family

ID=61706511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711342446.2A Active CN107864041B (zh) 2017-12-14 2017-12-14 一种失效证书数据平滑过渡保护方法

Country Status (1)

Country Link
CN (1) CN107864041B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381077A (zh) * 2019-07-26 2019-10-25 中国工商银行股份有限公司 针对数字证书的处理方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及系统
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106411999A (zh) * 2016-07-22 2017-02-15 青岛大学 云存储的密钥生成方法、云数据存储方法及审计方法
CN106571928A (zh) * 2016-11-09 2017-04-19 北京海泰方圆科技股份有限公司 一种浏览器管理的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110167258A1 (en) * 2009-12-30 2011-07-07 Suridx, Inc. Efficient Secure Cloud-Based Processing of Certificate Status Information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447907A (zh) * 2008-10-31 2009-06-03 北京东方中讯联合认证技术有限公司 Vpn安全接入方法及系统
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
CN106411999A (zh) * 2016-07-22 2017-02-15 青岛大学 云存储的密钥生成方法、云数据存储方法及审计方法
CN106571928A (zh) * 2016-11-09 2017-04-19 北京海泰方圆科技股份有限公司 一种浏览器管理的方法及装置

Also Published As

Publication number Publication date
CN107864041A (zh) 2018-03-30

Similar Documents

Publication Publication Date Title
CN108028750B (zh) 许可信息管理方法和系统、终端及计算机可读记录介质
US6229894B1 (en) Method and apparatus for access to user-specific encryption information
US20110161662A1 (en) System and method for updating digital certificate automatically
EP2830282B1 (en) Storage method, system and apparatus
US20130346747A1 (en) Systems, methods and apparatuses for securing root certificates
KR101078546B1 (ko) 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템
JP2008533882A (ja) 暗号化キーをバックアップ及び復元する方法
EP0892521A3 (en) Method and apparatus for long term verification of digital signatures
CN106027503A (zh) 一种基于tpm的云存储数据加密方法
CN108881960B (zh) 基于标识密码的智能摄像头安全控制与数据保密的方法
CN103067160A (zh) 一种加密sd卡的动态密钥生成的方法及系统
CN103634110B (zh) 一种适用于云计算的许可证控制方法
CN108900296B (zh) 一种基于生物特征识别的秘钥存储方法
CN102236756A (zh) 一种基于TCM可信密码模块和USBKey的文件加密方法
CN103338445A (zh) 文件加解密方法及系统
US9734346B2 (en) Device and method for providing security in remote digital forensic environment
CN103440463A (zh) 一种基于标签的电子文件保护方法
CN103825724A (zh) 一种自动更新和恢复私钥的标识型密码系统及方法
US8732481B2 (en) Object with identity based encryption
CN110298186A (zh) 一种基于动态可重构密码芯片的无密钥数据加解密方法
WO2023098389A1 (zh) 一种计算机文件安全加密方法、解密方法和可读存储介质
CN110837634B (zh) 基于硬件加密机的电子签章方法
US11044105B2 (en) System, method, and computer program product for sensitive data recovery in high security systems
CN107864041B (zh) 一种失效证书数据平滑过渡保护方法
CN105022962A (zh) 网盘数据内容加密保护的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Applicant after: Geer software Limited by Share Ltd

Address before: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Applicant before: Geer Software Co., Ltd., Shanghai

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant