CN108418692B - 认证证书的在线写入方法 - Google Patents
认证证书的在线写入方法 Download PDFInfo
- Publication number
- CN108418692B CN108418692B CN201810269867.5A CN201810269867A CN108418692B CN 108418692 B CN108418692 B CN 108418692B CN 201810269867 A CN201810269867 A CN 201810269867A CN 108418692 B CN108418692 B CN 108418692B
- Authority
- CN
- China
- Prior art keywords
- certificate
- authentication certificate
- circuit structure
- authentication
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种认证证书的在线写入方法,该方法包括:接收CA系统签发的认证证书;通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名;将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。通过本发明可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过电路结构的公钥、管理平台的公钥和管理员证书认证证书进行加密和签名,保证了认证证书的安全性。
Description
技术领域
本发明涉及认证证书写入技术领域,尤其是涉及一种认证证书的在线写入方法。
背景技术
现有的数字证书的生成方式较为繁琐,认证机构需要多次确认申请人的相关信息后,才将数字证书下发至申请人,再由申请人将数字证书写入至对应的终端设备中,写入方式灵活性较差;并且数字证书也需要不定时的更新或撤销,该过程中也需要反复确认申请人的信息,不利于数字证书的后期维护。
发明内容
有鉴于此,本发明的目的在于提供一种认证证书的在线写入方法,以提高认证证书写入方式的灵活性。
第一方面,本发明实施例提供了一种认证证书的在线写入方法,其特征在于,方法应用于终端设备的管理平台;终端设备内设置有保存认证证书的电路结构;管理平台中保存有电路结构的公钥;电路结构中保存有管理平台的公钥;方法包括:接收CA系统签发的认证证书;通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名;将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,接收CA系统签发的认证证书的步骤,包括:向CA系统发送认证证书的申请信息,以使CA系统对申请信息进行审核;如果审核通过,接收CA系统签发的申请信息对应的认证证书。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,该方法还包括:接收CA系统签发的管理员证书。
第二方面,本发明实施例提供了一种认证证书的在线写入方法,其特征在于,方法应用于终端设备;终端设备内设置有保存认证证书的电路结构;电路结构中保存有管理平台的公钥;管理平台中保存有电路结构的公钥;方法包括:接收来自终端设备的管理平台的认证证书;认证证书为管理平台通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名获得;通过管理平台的公钥和管理员证书对认证证书进行验签;通过电路结构的私钥对验签后的认证证书进行解密;验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,将认证证书写入电路结构的步骤,包括:接收认证证书写入请求,激活认证证书对应的证书密钥;证书密钥预先保存在电路结构中;在认证证书的在线写入过程中,通过证书密钥对终端设备的数据进行认证;如果认证证书写入完成,通过认证证书对终端设备的数据进行认证。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,将认证证书写入电路结构的步骤,包括:开放电路结构中,证书区的写入权限;将认证证书写入电路结构的证书区。
第三方面,本发明实施例提供了一种认证证书的在线写入装置,其中,该装置设置于终端设备的管理平台;终端设备内设置有保存认证证书的电路结构;管理平台中保存有电路结构的公钥;电路结构中保存有管理平台的公钥;装置包括:证书接收模块,用于接收CA系统签发的认证证书;加密模块,用于通过电路结构的公钥对认证证书进行加密;签名模块,用于通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名;发送模块,用于将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
第四方面,本发明实施例提供了一种认证证书的在线写入装置,其中,该装置设置于终端设备;终端设备内设置有保存认证证书的电路结构;电路结构中保存有管理平台的公钥;管理平台中保存有电路结构的公钥;装置包括:密文接收模块,用于接收来自终端设备的管理平台的认证证书的密文;认证证书为管理平台通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名获得;验签模块,用于通过管理平台的公钥和管理员证书对认证证书进行验签;解密模块,用于通过电路结构的私钥对验签后的认证证书进行解密;写入模块,用于验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
结合第四方面,本发明实施例提供了第四方面的第一种可能的实施方式,其中,上述写入模块,还用于:接收认证证书写入请求,激活认证证书对应的证书密钥;证书密钥预先保存在电路结构中;在认证证书的在线写入过程中,通过证书密钥对终端设备的数据进行认证;如果认证证书写入完成,通过认证证书对终端设备的数据进行认证。
第五方面,本发明实施例提供了一种电路结构,其中,该电路结构设置于终端设备中;电路结构包括多个证书区;每个证书区内保存有认证证书;认证证书包括签名证书和加密证书;证书区内还保存有签名证书对应的签名密钥对,和加密证书对应的加密密钥对。
本发明实施例带来了以下有益效果:
本发明实施例提供的一种认证证书的在线写入方法、装置和电路结构,终端设备的管理平台接收CA系统签发的认证证书后,通过所述电路结构的公钥对所述认证证书进行加密;再通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名;将签名后的所述认证证书发送至所述终端设备,以使所述终端设备通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签,通过所述电路结构的私钥对验签后的所述认证证书进行解密,验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。通过该方式可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过电路结构的公钥、管理平台的公钥和管理员证书认证证书进行加密和签名,保证了认证证书的安全性。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种认证证书的在线写入方法流程图;
图2为本发明实施例提供的另一种认证证书的在线写入方法流程图;
图3为本发明实施例提供的另一种认证证书的在线写入方法流程图;
图4为本发明实施例提供的另一种认证证书的在线写入方法流程图;
图5为本发明实施例提供的一种认证证书的在线写入装置结构示意图;
图6为本发明实施例提供的另一种认证证书的在线写入装置结构示意图;
图7为本发明实施例提供的一种电路结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有的认证证书写入方式灵活性较差,本发明实施例提供了一种认证证书的在线写入方法、装置和电路结构;该技术可以应用在终端设备的管理,以及终端设备之间的数据传输过程中;该技术可以采用相关的软件或硬件实现,下面通过实施例进行描述。
参见图1所示的一种认证证书的在线写入方法的流程图;该方法应用于终端设备的管理平台;终端设备内设置有保存认证证书的电路结构;管理平台中保存有电路结构的公钥;电路结构中保存有管理平台的公钥;
该方法包括如下步骤:
步骤S102,接收CA(Certificate Authority,认证授权)系统签发的认证证书;
例如,当用户需要认证证书时,用户需要向终端平台提出注册申请;当用户的申请经过终端设备管理平台的管理员审批通过后,终端设备管理平台中的管理员会通过平台或其他方式等向CA机构申请签发证书;CA机构会对该用户的进行注册,并将注册结果返回给终端设备的管理员;终端管理员将注册结果通知用户,注册结果中包含了两组数字,分别称为“参考号”和“授权码”;同时,用户方的软件生成一对公钥和私钥;用户向CA提出证书请求,这个请求信息中还包含了用户的公钥和用户的账户名等信息,这些信息用于CA创建证书;CA机构创建该用户的认证证书,将该认证证书发送给终端设备管理平台。
步骤S104,通过电路结构的公钥对认证证书进行加密;
步骤S106,通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名;
该管理员证书为管理员预先通过CA系统申请的认证证书,并存储在终端设备的管理平台中,用于对管理员的身份进行认证;管理员与管理员证书一一对应。管理员每次操作管理平台,均需要验证该管理员证书的PIN(Personal Identification Number,个人识别密码)码或授权文件。
步骤S108,将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
本发明实施例提供的一种认证证书的在线写入方法,终端设备的管理平台接收CA系统签发的认证证书后,通过所述电路结构的公钥对所述认证证书进行加密;再通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名;将签名后的所述认证证书发送至所述终端设备,以使所述终端设备通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签,通过所述电路结构的私钥对验签后的所述认证证书进行解密,验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。通过该方式可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过电路结构的公钥、管理平台的公钥和管理员证书认证证书进行加密和签名,保证了认证证书的安全性。
参见图2所示的另一种认证证书的在线写入方法的流程图;该方法在图1中所示方法基础上实现,该方法应用于终端设备管理平台;该方法包括如下步骤:
步骤S202,接收CA系统签发的管理员证书。
步骤S204,向CA系统发送认证证书的申请信息,以使CA系统对申请信息进行审核;
步骤S206,如果审核通过,接收所述CA系统签发的所述申请信息对应的认证证书。
例如,当终端设备管理平台向CA系统发送认证证书的申请时,CA系统对认证证书申请信息进行审核,审核的信息包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等,CA系统对这些信息进行审查,如果其中有一项不通过,则可以通知终端管理平台,该审核信息没有通过;如果审核通过,CA系统签发终端设备管理平台申请信息对应的认证证书,终端设备管理平台接收认证证书。
步骤S208,通过电路结构的公钥对认证证书进行加密;
步骤S210,通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名;
通常,当终端设备管理平台接收到CA系统签发的认证证书,通过预设的管理员证书对认证证书进行签名,可以说明的是,管理员证书是预先存储在终端设备管理平台中,不同的认证证书所对应的管理员证书是不同的,可以说是对应的。
步骤S212,将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
上述方式可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过管理员证书和管理平台的公钥对认证证书进行签名和加密,保证了认证证书的安全性。
参见图3所示的一种认证证书的在线写入方法的流程图;该方法应用于终端设备;该终端设备内设置有保存认证证书的电路结构;电路结构中保存有管理平台的公钥;管理平台中保存有电路结构的公钥;该方法包括以下步骤:
步骤S302,接收来自终端设备的管理平台的认证证书的密文;该认证证书为管理平台通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名获得;
步骤S304,通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签;
步骤S306,通过所述电路结构的私钥对验签后的所述认证证书进行解密;
步骤S308,验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。
本发明实施例提供了一种认证证书的在线写入方法,终端设备接收来自终端设备的管理平台的认证证书后,通过管理平台的公钥和管理员证书对认证证书进行验签;再通过电路结构的私钥对验签后的认证证书进行解密;最后验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。该方式可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过管理员证书和管理平台的公钥对认证证书进行签名和加密,保证了认证证书的安全性。
参见图4所示的另一种认证证书的在线写入流程图;该方法在图3中所示方法基础上实现,该方法应用于终端设备;该方法包括如下步骤:
步骤S402,接收来自终端设备的管理平台的认证证书的密文;该认证证书为管理平台通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名获得;
步骤S404,通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签;
步骤S406,通过所述电路结构的私钥对验签后的所述认证证书进行解密;
步骤S408,验证所述认证证书的PIN码或授权文件是否合法,如果是,开放电路结构中,证书区的写入权限;将认证证书写入电路结构的证书区。
步骤S410,接收认证证书写入请求,激活认证证书对应的证书密钥;证书密钥预先保存在电路结构中。
步骤S412,在认证证书的在线写入过程中,通过证书密钥对终端设备的数据进行认证。
步骤S414,如果认证证书写入完成,通过认证证书对终端设备的数据进行认证。
本发明实施例还提供了另一种认证证书的在线写入的方法;该方法包括如下步骤:
步骤1:终端管理员通过终端设备的管理平台或其他方式等向CA机构申请签发证书;
步骤2:CA机构将证书发到管理平台,管理平台使用管理员证书对签发的证书进行签名,同时管理平台的公钥对也对证书数据进行签名,签名后的数据返回到终端;
步骤3:终端设备收到数据之后发起写入证书请求;
步骤4:芯片默认不开放证书区的写入权限,当芯片收到写入证书的请求之后,先验证平台公钥的签名值是否正确,然后验证管理员签名是否正确;
步骤5:如果两者都正确的情况下开放证书区的写入权限,把证书数据写入对应的证书分区;
步骤6:返回写入结果给终端,至此芯片中证书生成完成,提供给终端使用。
本发明实施例还提供了另一种认证证书的在线写入的方法;该方法包括如下步骤:
步骤1:终端管理员登录设备管理平台,向CA系统发起证书申请,该申请所申请的证书是下发给设备用的,也可以称为设备证书;
步骤2:CA签发证书之后下发到设备管理平台,平台获取证书之后先用芯片公钥(相当于上述电路结构的公钥)进行加密;该芯片里面内置过平台公钥(相当于上述管理平台的公钥),平台在申请证书的时候先找到对应芯片的ID(身份标识),然后通过数据库查到对应芯片ID的芯片公钥,取到这个公钥后用此公钥对证书数据进行加密,加密后使用管理平台的私钥进行签名。在实际实现时,芯片和管理平台预先互相交换过的自己的公钥;平台签名之后芯片可以验签,确定数据是否来自平台;上述签名过程包括两次签名,一是平台公钥对数据签名,另外是管理员证书对数据签名,签名过程不分先后。
步骤3,管理员发起证书写入请求;
步骤4,芯片收到请求,先用管理平台的公钥验签,确定数据是否来自平台,验签通过之后使用芯片的私钥解密;由于认证证书的加密是平台用芯片的公钥进行的,所以芯片的私钥可以解密;因为要用到私钥,芯片在这步操作中就必须验证PIN码或者授权文件,二者取其一,否则不会开放写入权限,验证通过之后执行写入操作,写入完成关闭权限。
上述方式中,签发用户申请信息对应的认证证书,并对认证证书进行加解密;在认证证书的在线写入过程中,通过证书密钥对终端设备的数据进行认证;认证证书写入完成厚,通过认证证书对终端设备的数据进行认证;提前预置的证书密钥和在线写入认证证书共同完成了证书分区的证书写入,解决了终端证书分区证书灵活写入的问题和证书生成不及时可以提供证书密钥代替使用,提高了认证证书写入方式的灵活性。
对应于图1和图2的方法实施例,本发明实施例提供了一种认证证书的在线写入装置,该装置设置于终端设备的管理平台;该终端设备内设置有保存认证证书的电路结构,管理平台中保存有电路结构的公钥;电路结构中保存有管理平台的公钥;
如图5所示,该装置包括:
证书接收模块50,用于接收CA系统签发的认证证书;
加密模块51,用于通过所述电路结构的公钥对所述认证证书进行加密;
签名模块52,用于通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名;
发送模块53,用于将签名后的认证证书发送至终端设备,以使终端设备通过管理平台的公钥和管理员证书对认证证书进行验签,通过电路结构的私钥对验签后的认证证书进行解密,验证认证证书的PIN码或授权文件是否合法,如果是,将认证证书写入电路结构。
对应于图3和图4方法实施例,本发明实施例提供了另一种认证证书的在线写入装置,该装置设置与终端设备;该终端设备内设置有保存认证证书的电路结构;电路结构中保存有管理平台的公钥;管理平台中保存有电路结构的公钥;
该装置包括:
密文接收模块60,用于接收来自终端设备的管理平台的认证证书的密文;认证证书为管理平台通过电路结构的公钥对认证证书进行加密;通过管理平台的私钥和预设的管理员证书对加密后的认证证书进行签名获得;
验签模块61,用于通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签;
解密模块62,用于通过所述电路结构的私钥对验签后的所述认证证书进行解密;
写入模块63,用于验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。
上述写入模块,还用于:接收认证证书写入请求,激活认证证书对应的证书密钥;证书密钥预先保存在电路结构中;在认证证书的在线写入过程中,通过证书密钥对终端设备的数据进行认证;如果认证证书写入完成,通过认证证书对终端设备的数据进行认证。
上述认证证书的在线写入装置,可以实现认证证书的在线写入,提高了认证证书写入方式的灵活性;且证书写入过程中通过管理员证书和管理平台的公钥对认证证书进行签名和加密,保证了认证证书的安全性。
参见图7所示的一种电路结构,该电路结构设置于终端设备中;该电路结构可以通过多种形式实现,例如,芯片、嵌入式芯片、板卡、模块等。该电路结构包括多个证书区;每个证书区内保存有认证证书;认证证书包括签名证书和加密证书;证书区内还保存有签名证书对应的签名密钥对,和加密证书对应的加密密钥对。
图7中,DF代表不同的证书区,每个DF用于写入不同的认证证书;每个证书区内的签名私钥、签名公钥、加密私钥和加密公钥可以在电路结构进行初始化的时候写入;Info分区是自定义的数据结构分区,用以持久化芯片或设备甚至用户数据;AB55分区是扩展的自定义分区,用以后续的数据扩展;“Pub”标识的分区主要用于存放平台公钥,实现一个芯片支持多个平台管理。
多证书分区、证书分区分公私钥区和证书分区以及平台公钥分区,证书分区用来装载终端设备使用过程中从CA机构签发的证书,如果证书没有签发或者签发不实时可以启用证书密钥代替证书使用,增强了使用灵活性;自定义文件分区可以用来处理终端设备使用过程中持久化数据保存;平台公钥分区主要用于存放平台公钥,内置一个平台公钥,用以支持多个平台。
上述终端设备属于证书载体,证书可以通过多种方式写入,支持第三方CA在线写入,终端设备出厂时就自带终端鉴权证书,基于PKI(Public Key Infrastructure,公钥基础设施)体系,内置多个密钥和身份证书,保证终端设备从出厂到集成设备并投入使用的整个流程可信,从而保证设备的身份和数据安全。
终端设备通过内置多对公私钥和多个证书分区,可以解决终端设备在各个使用环节中身份认证的问题。由于证书签发不实时的问题,芯片在证书分区提前预置的证书密钥可以代替证书使用,当一直到证书下载到终端设备内。
本发明实施例所提供的认证证书的在线写入方法、装置和电路结构,将嵌入式芯片与智能设备结合在一起,整体使用;这种基于嵌入式芯片(板卡或模块)的安全传输方式中,嵌入式芯片的认证或密码算法属于硬解码方式,基于PKI体系,芯片中内置多个身份证书,保证设备从出厂到用户整个流程的可信,设备在使用过程中,可以通过业务系统决定是否使用芯片进行加密传输;加密密钥以及签名私钥存在于嵌入式芯片的加密存储区,只能在芯片内部使用,外部无法读取保证密钥数据(对称密钥、私钥)存储安全;数据可以在传输中加入签名/验签等功能,保证了数据的不可篡改和防止抵赖,从而实现整个传输过程中的数据安全。
本发明实施例所提供的进行认证证书的在线写入方法、装置和电路结构的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种认证证书的在线写入方法,其特征在于,所述方法应用于终端设备的管理平台;所述终端设备内设置有保存认证证书的电路结构;所述管理平台中保存有所述电路结构的公钥;所述电路结构中保存有所述管理平台的公钥;
所述方法包括:
接收CA系统签发的认证证书和管理员证书,其中,所述管理员证书为管理员预先通过CA系统申请的认证证书,并存储在终端设备的管理平台中,用于对管理员的身份进行认证;
通过所述电路结构的公钥对所述认证证书进行加密;
通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名;
将签名后的所述认证证书发送至所述终端设备,以使所述终端设备通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签,通过所述电路结构的私钥对验签后的所述认证证书进行解密,验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。
2.根据权利要求1所述的方法,其特征在于,所述接收CA系统签发的认证证书的步骤,包括:
向CA系统发送认证证书的申请信息,以使所述CA系统对所述申请信息进行审核;
如果审核通过,接收所述CA系统签发的所述申请信息对应的认证证书。
3.一种认证证书的在线写入方法,其特征在于,所述方法应用于终端设备;所述终端设备内设置有保存认证证书的电路结构;所述电路结构中保存有管理平台的公钥;所述管理平台中保存有所述电路结构的公钥;
所述方法包括:
接收来自终端设备的管理平台的认证证书;所述认证证书为所述管理平台通过所述电路结构的公钥对所述认证证书进行加密;通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名获得;
通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签;
通过所述电路结构的私钥对验签后的所述认证证书进行解密;
验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构,其中,所述电路结构包括多个证书区;
所述将所述认证证书写入所述电路结构的步骤,包括:开放所述电路结构中,证书区的写入权限;
将所述认证证书写入所述电路结构的证书区,其中,所述认证证书包括签名证书和加密证书,所述证书区内还保存有签名证书对应的签名密钥对,和加密证书对应的加密密钥对。
4.根据权利要求3所述的方法,其特征在于,所述将所述认证证书写入所述电路结构的步骤,包括:
接收认证证书写入请求,激活所述认证证书对应的证书密钥;所述证书密钥预先保存在所述电路结构中;
在所述认证证书的在线写入过程中,通过所述证书密钥对所述终端设备的数据进行认证;
如果所述认证证书写入完成,通过所述认证证书对所述终端设备的数据进行认证。
5.一种认证证书的在线写入装置,其特征在于,所述装置设置于终端设备的管理平台;所述终端设备内设置有保存认证证书的电路结构;所述管理平台中保存有所述电路结构的公钥;所述电路结构中保存有所述管理平台的公钥;
所述装置包括:
证书接收模块,用于接收CA系统签发的认证证书和管理员证书,其中,所述管理员证书为管理员预先通过CA系统申请的认证证书,并存储在终端设备的管理平台中,用于对管理员的身份进行认证;
加密模块,用于通过所述电路结构的公钥对所述认证证书进行加密;
签名模块,用于通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名;
发送模块,用于将签名后的所述认证证书发送至所述终端设备,以使所述终端设备通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签,通过所述电路结构的私钥对验签后的所述认证证书进行解密,验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构。
6.一种认证证书的在线写入装置,其特征在于,所述装置设置于终端设备;所述终端设备内设置有保存认证证书的电路结构;所述电路结构中保存有管理平台的公钥;所述管理平台中保存有所述电路结构的公钥;所述装置包括:
密文接收模块,用于接收来自终端设备的管理平台的认证证书的密文;所述认证证书为所述管理平台通过所述电路结构的公钥对所述认证证书进行加密;通过所述管理平台的私钥和预设的管理员证书对加密后的所述认证证书进行签名获得;
验签模块,用于通过所述管理平台的公钥和所述管理员证书对所述认证证书进行验签;
解密模块,用于通过所述电路结构的私钥对验签后的所述认证证书进行解密;
写入模块,用于验证所述认证证书的PIN码或授权文件是否合法,如果是,将所述认证证书写入所述电路结构,其中,所述电路结构包括多个证书区;
所述将所述认证证书写入所述电路结构的步骤,包括:开放所述电路结构中,证书区的写入权限;
将所述认证证书写入所述电路结构的证书区,其中,所述认证证书包括签名证书和加密证书,所述证书区内还保存有签名证书对应的签名密钥对,和加密证书对应的加密密钥对。
7.根据权利要求6所述的装置,其特征在于,所述写入模块,还用于:
接收认证证书写入请求,激活所述认证证书对应的证书密钥;所述证书密钥预先保存在所述电路结构中;
在所述认证证书的在线写入过程中,通过所述证书密钥对所述终端设备的数据进行认证;
如果所述认证证书写入完成,通过所述认证证书对所述终端设备的数据进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810269867.5A CN108418692B (zh) | 2018-03-28 | 2018-03-28 | 认证证书的在线写入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810269867.5A CN108418692B (zh) | 2018-03-28 | 2018-03-28 | 认证证书的在线写入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108418692A CN108418692A (zh) | 2018-08-17 |
| CN108418692B true CN108418692B (zh) | 2021-05-25 |
Family
ID=63132590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810269867.5A Active CN108418692B (zh) | 2018-03-28 | 2018-03-28 | 认证证书的在线写入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108418692B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3850510B1 (en) * | 2018-11-01 | 2023-12-27 | Hewlett-Packard Development Company, L.P. | Infrastructure device enrolment |
| CN112487391A (zh) * | 2020-11-27 | 2021-03-12 | 交通银行股份有限公司 | 一种证书预植系统及其方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1465160A (zh) * | 2001-03-15 | 2003-12-31 | 索尼公司 | 使用访问控制证书的数据访问管理系统及管理方法数据访问管理系统、存储器安装设备、数据访问管理方法及程序存储媒体 |
| CN101158998A (zh) * | 2007-11-16 | 2008-04-09 | 北京握奇数据系统有限公司 | Drm许可证的管理方法和装置 |
| EP2608477A1 (en) * | 2011-12-23 | 2013-06-26 | Research In Motion Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| CN106161027A (zh) * | 2015-04-15 | 2016-11-23 | 李京海 | 一种手机准数字证书子系统及其系统及其方法 |
| CN107508804A (zh) * | 2017-08-10 | 2017-12-22 | 山东渔翁信息技术股份有限公司 | 一种保护移动终端中密钥和证书的方法、装置及移动终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201150069Y (zh) * | 2007-09-20 | 2008-11-12 | 北京飞天诚信科技有限公司 | 一种支持多身份认证的信息安全设备 |
-
2018
- 2018-03-28 CN CN201810269867.5A patent/CN108418692B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1465160A (zh) * | 2001-03-15 | 2003-12-31 | 索尼公司 | 使用访问控制证书的数据访问管理系统及管理方法数据访问管理系统、存储器安装设备、数据访问管理方法及程序存储媒体 |
| CN101158998A (zh) * | 2007-11-16 | 2008-04-09 | 北京握奇数据系统有限公司 | Drm许可证的管理方法和装置 |
| EP2608477A1 (en) * | 2011-12-23 | 2013-06-26 | Research In Motion Limited | Trusted certificate authority to create certificates based on capabilities of processes |
| CN106161027A (zh) * | 2015-04-15 | 2016-11-23 | 李京海 | 一种手机准数字证书子系统及其系统及其方法 |
| CN107508804A (zh) * | 2017-08-10 | 2017-12-22 | 山东渔翁信息技术股份有限公司 | 一种保护移动终端中密钥和证书的方法、装置及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108418692A (zh) | 2018-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768664A (zh) | 密钥管理方法、装置、系统、存储介质和计算机设备 | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| US8595498B2 (en) | Method for authenticating access to a secured chip by test device | |
| CN103269271B (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN102063592B (zh) | 一种可信平台及其对硬件设备的控制方法 | |
| CN101212293B (zh) | 一种身份认证方法及系统 | |
| CN110598422A (zh) | 一种基于移动数字证书的可信身份验证系统及方法 | |
| CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
| CN108141444B (zh) | 经改善的认证方法和认证装置 | |
| KR101450291B1 (ko) | 스마트 칩 인증 서버 및 그 방법 | |
| CN102171971A (zh) | 电子设备上业务的开通 | |
| KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
| CN102769623A (zh) | 基于数字证书和生物识别信息进行双重认证的方法 | |
| US20190007218A1 (en) | Second dynamic authentication of an electronic signature using a secure hardware module | |
| CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及系统 | |
| CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
| CN108418692B (zh) | 认证证书的在线写入方法 | |
| CN106027254A (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
| CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
| CN109863492A (zh) | 在车辆计算机中安装证书的方法及相关计算机和系统 | |
| CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
| KR101616795B1 (ko) | Pki 기반의 개인키 파일 관리 방법 및 그 시스템 | |
| CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |