CN110048857B - 一种公钥基础设施管理系统、智能卡和设备系统 - Google Patents
一种公钥基础设施管理系统、智能卡和设备系统 Download PDFInfo
- Publication number
- CN110048857B CN110048857B CN201910339764.6A CN201910339764A CN110048857B CN 110048857 B CN110048857 B CN 110048857B CN 201910339764 A CN201910339764 A CN 201910339764A CN 110048857 B CN110048857 B CN 110048857B
- Authority
- CN
- China
- Prior art keywords
- public key
- key infrastructure
- request
- certificate
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种公钥基础设施管理系统和相关装置,该方法包括:公钥基础设施管理系统包括业务应用程序和公钥基础设施管理模块,业务应用程序接收终端应用程序发送的公钥基础设施请求,根据公钥基础设施请求和对应规则向公钥基础设施管理模块发送公钥基础设施请求,公钥基础设施管理模块根据公钥基础设施请求进行公钥基础设施处理。可见,新增公钥基础设施管理模块实现多个终端应用程序对应的业务应用程序的公钥基础设施功能,减轻业务应用程序的功能需求,降低原有业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度,且业务应用程序的升级维护不涉及公钥基础设施管理模块,避免数字证书和密钥等数据丢失。
Description
技术领域
本申请涉及公钥基础设施技术领域,尤其涉及一种公钥基础设施管理系统、智能卡和设备系统。
背景技术
随着网络技术和信息技术的快速发展,某些领域考虑安全性等因素需要确认双方的合法身份,现阶段,不同领域都普遍采用公钥基础设施(英文:Public KeyInfrastructure,缩写:PKI)技术来进行网络身份认证等实现网络安全功能。该PKI技术可以为所有网络透明地提供数据加密和数字签名等密码服务所需的密钥和证书的管理功能,从而能够提供身份认证、访问控制、数据完整性与机密性和不可否认性等核心安全功能。
传统的PKI技术应用场景下,考虑到方便携带通常将用户的证书和密钥保存在智能卡中,例如,基于Java卡的智能卡。对于终端安装的某些应用程序(英文:Application,缩写:APP)而言,需要在智能卡中安装对应每个APP的具备PKI功能以用于管理证书和密钥的业务小应用程序(英文:Applet)。
发明人经过研究发现,为了实现上述智能卡中每个业务Applet具备PKI功能,每个业务Applet都需要自行设计实现证书管理和密钥管理等各方面管理功能的基础模块,然而大部分终端APP开发厂商对于PKI技术了解不够深入,自行设计上述基础模块存在较大难度;且业务Applet更新升级过程中,用户的数字证书和密钥等数据容易丢失。
发明内容
本申请所要解决的技术问题是,提供一种公钥基础设施管理系统、智能卡和设备系统,降低了开发厂商对业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度,且业务应用程序的升级维护不涉及公钥基础设施管理模块,避免数字证书和密钥等数据丢失。
第一方面,本申请实施例提供了一种公钥基础设施管理系统,该公钥基础设施管理系统包括:业务应用程序和公钥基础设施管理模块;
所述业务应用程序,用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求;所述公钥基础设施请求是所述终端应用程序响应于用户的公钥基础设施相关操作生成的,所述对应规则是指所述终端应用程序与所述公钥基础设施管理模块的对应关系;
所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理。
可选的,在所述业务应用程序接收终端应用程序发送的公钥基础设施请求之前,所述业务应用程序,还用于接收所述终端应用程序发送的应用注册请求和终端应用程序标识,根据所述应用注册请求生成存储标识向所述公钥基础设施管理模块发送所述应用注册请求和所述存储标识,根据所述终端应用程序标识和所述存储标识建立所述对应规则;所述应用注册请求是所述终端应用程序响应于用户的应用注册操作生成的;
对应地,所述公钥基础设施管理模块,还用于根据所述应用注册请求和所述存储标识创建所述终端应用程序的数据存储区域。
可选的,若所述业务应用程序用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求,具体为:
接收所述终端应用程序发送的证书申请请求、证书申请信息和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述证书申请请求、所述证书申请信息和所述存储标识;所述证书申请请求和证书申请信息是所述终端应用程序响应于用户的证书申请操作生成的;
对应地,所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理,具体为:
根据所述存储标识确定所述终端应用程序的数据存储区域,在所述终端应用程序的数据存储区域生成密钥,并存储所述密钥,基于所述证书申请请求利用所述证书申请信息、所述密钥和签名算法进行相应处理获得证书申请数据,将所述证书申请数据发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向证书授权CA中心提交所述证书申请数据;若所述CA中心根据所述证书申请数据授权证书,通过所述终端应用程序和所述业务应用程序向所述公钥基础设施管理模块发送证书存储指令和证书,根据所述证书存储指令将所述证书存储至所述数据存储区域。
可选的,若所述业务应用程序用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求,具体为:
接收所述终端应用程序发送的数字签名请求、待数字签名数据和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述数字签名请求、所述待数字签名数据和所述存储标识;所述数字签名请求和待数字签名数据是所述终端应用程序响应于用户的数字签名操作生成的;
对应地,所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理,具体为:
根据所述存储标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向应用服务器验证所述数字签名结果。
可选的,若所述业务应用程序用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求,具体为:
接收终端应用程序发送的数字签名请求、待数字签名数据和证书标识,向所述公钥基础设施管理模块发送所述数字签名请求、所述待数字签名数据和所述证书标识;所述数字签名请求和待数字签名数据是所述终端应用程序响应于用户的数字签名操作生成的;
对应地,所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理,具体为:
根据所述证书标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向应用服务器验证所述数字签名结果。
可选的,所述证书标识包括证书序列号、证书DN信息和证书指纹中的一种或多种。
可选的,所述业务应用程序,还用于接收所述终端应用程序发送的应用注销请求和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述应用注销请求和所述存储标识;所述应用注销请求是所述终端应用程序响应于用户的应用注销操作生成的;
对应地,所述公钥基础设施管理模块,还用于根据所述应用注销请求和所述存储标识删除所述终端应用程序的数据存储区域。
可选的,在所述业务应用程序接收所述终端应用程序发送的公钥基础设施请求之前,所述业务应用程序,还用于接收所述终端应用程序生成并发送的鉴权密钥和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述鉴权密钥和所述存储标识;
对应地,所述公钥基础设施管理模块,还用于根据所述存储标识确定所述终端应用程序的数据存储区域,在所述终端应用程序的数据存储区域存储所述鉴权密钥。
可选的,在所述业务应用程序接收终端应用程序发送的公钥基础设施请求之后,在所述根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求之前,所述业务应用程序,还用于利用所述鉴权密钥对所述公钥基础设施管理模块进行访问鉴权。
第二方面,本申请实施例提供了一种智能卡,其特征在于,所述智能卡包括如第一方面任一项所述的公钥基础设施管理系统。
第三方面,本申请实施例提供了一种用于公钥基础设施管理的设备系统,该设备系统包括终端设备和如第一方面所述的智能卡;
其中,如第一方面中所述的终端应用程序在所述终端设备上运行。
与现有技术相比,本申请至少具有以下优点:
采用本申请实施例的技术方案,公钥基础设施管理系统包括业务应用程序和公钥基础设施管理模块,业务应用程序接收终端应用程序发送的公钥基础设施请求,根据公钥基础设施请求和对应规则向公钥基础设施管理模块发送公钥基础设施请求,对应规则是指终端应用程序与公钥基础设施管理模块的对应关系;公钥基础设施管理模块根据公钥基础设施请求进行公钥基础设施处理。由此可见,公钥基础设施管理系统中新增公钥基础设施管理模块能够集中统一提供管理多个终端应用程序对应的业务应用程序的公钥基础设施相关数据,实现原来业务应用程序的公钥基础设施功能,减轻业务应用程序的功能需求,从而降低了开发厂商对业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度,节省劳动力,且业务应用程序的升级维护不涉及公钥基础设施管理模块,避免数字证书和密钥等数据丢失。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例中一种应用场景所涉及的系统框架示意图;
图2为本申请实施例提供的一种PKI管理系统的结构示意图;
图3为本申请实施例提供的一种PKI管理系统终端APP应用注册的信令图;
图4为本申请实施例提供的另一种PKI管理系统终端APP应用注册的信令图;
图5为本申请实施例提供的一种PKI管理系统证书申请的信令图;
图6为本申请实施例提供的一种PKI管理系统数字签名的信令图;
图7为本申请实施例提供的另一种PKI管理系统数字签名的信令图;
图8为本申请实施例提供的一种PKI管理系统终端APP应用注销的信令图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现阶段,对于终端安装的某些APP而言,实现PKI技术需要在终端的智能卡中安装对应每个终端APP的具备PKI功能以用于管理证书和密钥的业务Applet。但是,发明人经过研究发现,为了实现上述智能卡中每个业务Applet具备PKI功能,每个业务Applet都需要自行设计实现证书管理和密钥管理等各方面管理功能的基础模块,然而大部分终端APP开发厂商对于PKI技术了解不够深入,自行设计上述基础模块存在较大难度;且业务Applet更新升级过程中,用户的数字证书和密钥等数据容易丢失。
为了解决这一问题,在本申请实施例中,公钥基础设施管理系统包括业务应用程序和公钥基础设施管理模块,业务应用程序接收终端应用程序发送的公钥基础设施请求,根据公钥基础设施请求和对应规则向公钥基础设施管理模块发送公钥基础设施请求,对应规则是指终端应用程序与公钥基础设施管理模块的对应关系;公钥基础设施管理模块根据公钥基础设施请求进行公钥基础设施处理。由此可见,公钥基础设施管理系统中新增公钥基础设施管理模块能够集中统一提供管理多个终端应用程序对应的业务应用程序的公钥基础设施相关数据,实现原来业务应用程序的公钥基础设施功能,减轻业务应用程序的功能需求,从而降低了开发厂商对业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度,且业务应用程序的升级维护不涉及公钥基础设施管理模块,避免数字证书和密钥等数据丢失。
举例来说,本申请实施例的场景之一,可以是应用到如图1所示的场景中,该场景包括终端设备101、智能卡102和PKI管理系统103,其中,PKI管理系统103设置在智能卡102中,其包括业务Applet和PKI管理模块。用户通过终端设备101进行PKI相关操作,终端APP响应于用户的PKI相关操作生成PKI请求发送给PKI管理系统103的业务Applet;PKI管理系统103的业务Applet根据PKI请求和对应规则向PKI管理系统103的PKI管理模块发送PKI请求,对应规则是指终端APP与PKI管理模块的对应关系;PKI管理系统103的PKI管理模块根据PKI请求进行PKI处理。
可以理解的是,上述场景仅是本申请实施例提供的一个场景示例,本申请实施例并不限于此场景。
下面结合附图,通过实施例来详细说明本申请实施例中公钥基础设施管理系统、智能卡和设备系统的具体实现方式。
本申请实施例中,终端APP即为终端应用程序,PKI管理系统即为公钥基础设施管理系统;PKI管理模块即为公钥基础设施管理模块;业务Applet即为业务应用程序。
参见图2,示出了本申请实施例中一种PKI管理系统的结构示意图。在本实施例中,PKI管理系统例如具体可以包括:业务Applet201和PKI管理模块202;
所述业务Applet201,用于接收终端APP发送的PKI请求,根据所述PKI请求和对应规则向所述PKI管理模块202发送所述PKI请求;所述PKI请求是所述终端APP响应于用户的PKI相关操作生成的,所述对应规则是指所述终端APP所述PKI管理模块202的对应关系;
所述PKI管理模块202,用于根据所述PKI请求进行PKI处理。
可以理解的是,由于现有技术中业务Applet中实现PKI功能的基础模块自行设计难度较大,且业务Applet更新升级用户的数字证书和密钥等数据容易丢失,则考虑在PKI管理系统中新增一个PKI管理模块,以集中统一提供管理多个终端APP对应的业务Applet的PKI相关数据,以实现现有技术中多个终端APP对应的业务Applet的PKI功能,减轻原有业务Applet的功能需求。
需要说明的是,当终端设备安装运行的终端APP需要采用PKI技术进行数据加密或数字签名等实现网络安全功能时,首先应该通过业务Applet201访问PKI管理模块202在PKI管理模块202完成该终端APP的应用注册,以便后续通过PKI管理模块202实施PKI技术。具体地,用户通过终端设备进行终端APP的应用注册操作,终端APP响应于用户操作通过业务Applet201访问PKI管理模块202创建终端APP的数据存储区域,以便后续存储管理终端APP的PKI相关数据。由于终端设备安装运行的多个终端APP需要采用PKI技术,即,需要完成多个终端APP的应用注册,PKI管理模块202需要创建多个终端APP的数据存储区域,为了后续便于管理区分不同终端APP的PKI相关数据,需要隔离不同终端APP的PKI相关数据;则在本申请实施例中,业务Applet201需要设定用于在PKI管理模块202创建其数据的存储区域的存储标识,业务Applet201对应存储终端标识和存储标识形成表示终端APP与PKI管理模块202的对应关系的对应规则。
综上,在本申请实施例的一些实施方式中,在所述业务Applet201接收终端APP发送的PKI请求之前,所述业务Applet201,还用于接收所述终端APP发送的应用注册请求和终端APP标识,根据所述应用注册请求生成存储标识向所述PKI管理模块202发送所述应用注册请求和所述存储标识,根据所述终端APP标识和所述存储标识建立所述对应规则;所述应用注册请求是所述终端APP响应于用户的应用注册操作生成的;对应地,所述PKI管理模块202,还用于根据所述应用注册请求和所述存储标识创建所述终端APP的数据存储区域。例如,如图3所示一种PKI管理系统终端APP应用注册的信令图,详细表明上述终端APP应用注册的过程。
需要说明的是,基于上述说明可知需要通过PKI管理模块202实施PKI技术,表明终端APP需要访问PKI管理模块202中终端APP的数据存储区域所存储的数据,为了保障数据访问的安全性,则在实施PKI技术之前终端APP应用注册过程中,需要由终端APP设定用于访问鉴权的鉴权密钥,通过业务Applet201发送给PKI管理模块202进行存储以便后续使用。
具体地,在本申请实施例的一些实施方式中,在所述业务Applet201接收所述终端APP发送的PKI请求之前,所述业务Applet201,还用于接收所述终端APP生成并发送的鉴权密钥和所述终端APP标识,根据所述终端APP标识和所述对应规则确定所述存储标识,向所述PKI管理模块202发送所述鉴权密钥和所述存储标识;对应地,所述PKI管理模块202,还用于根据所述存储标识确定所述终端APP的数据存储区域,在所述终端APP的数据存储区域存储所述鉴权密钥。例如,如图4所示另一种PKI管理系统终端APP应用注册的信令图,详细表明上述终端APP应用注册的过程。
可以理解的是,基于上述说明可知,由于终端APP设定用于访问鉴权的鉴权密钥,则当需要实施PKI技术时,终端APP通过业务Applet201访问PKI管理模块202中终端APP的数据存储区域所存储的数据时,需要基于鉴权密钥进行访问鉴权。因此,在本申请实施例的一些实施方式中,在所述业务Applet201接收终端APP发送的PKI请求之后,在所述根据所述PKI请求和对应规则向所述PKI管理模块202发送所述PKI请求之前,所述业务Applet201,还用于利用所述鉴权密钥对所述PKI管理模块202进行访问鉴权。
可以理解的是,PKI管理系统实施PKI技术主要可以包括证书申请和数字签名等技术。其中,证书申请是指通过终端设备进行终端APP的证书申请操作,终端APP响应于用户操作通过业务Applet201将证书申请信息发送至PKI管理模块202中终端APP的数据存储区域,PKI管理模块202进行相应处理得到符合标准证书申请数据,并通过业务Applet201和终端APP提交给证书授权CA中心,若CA中心授权得到证书通过终端APP和业务Applet201将证书存储在PKI管理模块202中终端APP的数据存储区域。数字签名是指通过终端设备进行终端APP的数字签名操作,终端APP响应于用户操作通过业务Applet201将待数字签名数据发送至PKI管理模块202,采用其中终端APP的数据存储区域存储的密钥和证书进行数字签名处理得到数字签名结果,并通过业务Applet201和终端APP提交给应用服务器进行验证。
针对证书申请而言,在本申请实施例的一些实施方式中,若所述业务Applet201用于接收终端APP发送的PKI请求,根据所述PKI请求和对应规则向所述PKI管理模块202发送所述PKI请求,具体为:接收所述终端APP发送的证书申请请求、证书申请信息和所述终端APP标识,根据所述终端APP标识和所述对应规则确定所述存储标识,向所述PKI管理模块202发送所述证书申请请求、所述证书申请信息和所述存储标识;所述证书申请请求和证书申请信息是所述终端APP响应于用户的证书申请操作生成的;对应地,所述PKI管理模块202,用于根据所述PKI请求进行PKI处理,具体为:根据所述存储标识确定所述终端APP的数据存储区域,在所述终端APP的数据存储区域生成密钥,并存储所述密钥,基于所述证书申请请求利用所述证书申请信息、所述密钥和签名算法进行相应处理获得证书申请数据,将所述证书申请数据发送给所述业务Applet201,以便所述业务Applet201发送给所述终端APP向证书授权CA中心提交所述证书申请数据;若所述CA中心根据所述证书申请数据授权证书,通过所述终端APP和所述业务Applet201向所述PKI管理模块202发送证书存储指令和证书,根据所述证书存储指令将所述证书存储至所述数据存储区域。例如,如图5所示一种PKI管理系统证书申请的信令图,详细表明上述证书申请的过程。
需要说明的是,由于数字签名中业务Applet201将待数字签名数据发送至PKI管理模块202,既可以通过对应规则(终端标识与存储标识的对应关系)确定PKI管理模块202中终端APP201的数据存储区域从而得到其存储的密钥和证书;还可以由终端APP直接通过业务Applet201向PKI管理模块202发送证书标识,直接获得对应的证书和密钥,该证书和密钥既可以是上述证书申请存储在PKI管理模块202中的,也可以预先设定存储在PKI管理模块202中的。因此,针对数字签名而言,在本申请实施例中可采取以下两种具体实施方式:
第一种具体实施方式,若所述业务Applet201用于接收终端APP发送的PKI请求,根据所述PKI请求和对应规则向所述PKI管理模块202发送所述PKI请求,具体为:接收所述终端APP发送的数字签名请求、待数字签名数据和所述终端APP标识,根据所述终端APP标识和所述对应规则确定所述存储标识,向所述PKI管理模块202发送所述数字签名请求、所述待数字签名数据和所述存储标识;所述数字签名请求和待数字签名数据是所述终端APP响应于用户的数字签名操作生成的;对应地,所述PKI管理模块202,用于根据所述PKI请求进行PKI处理,具体为:根据所述存储标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务Applet201,以便所述业务Applet201发送给所述终端APP向应用服务器验证所述数字签名结果。例如,如图6所示一种PKI管理系统数字签名的信令图,详细表明上述数字签名的过程。
第二种具体实施方式,若所述业务Applet201用于接收终端APP发送的PKI请求,根据所述PKI请求和对应规则向所述PKI管理模块202发送所述PKI请求,具体为:接收终端APP发送的数字签名请求、待数字签名数据和证书标识,向所述PKI管理模块202发送所述数字签名请求、所述待数字签名数据和所述证书标识;所述数字签名请求和待数字签名数据是所述终端APP响应于用户的数字签名操作生成的;对应地,所述PKI管理模块202,用于根据所述PKI请求进行PKI处理,具体为:根据所述证书标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务Applet201,以便所述业务Applet201发送给所述终端APP向应用服务器验证所述数字签名结果。图7所示另一种PKI管理系统数字签名的信令图,详细表明上述数字签名的过程。
第二种具体实施方式中,证书和密钥可以是预先存储在PKI管理模块,并将对应证书的证书标识预先存储在终端;也可以是在执行数字签名之前,执行如图3所示的注册的过程进行注册,从而创建存储区域;再执行图5所示的证书申请的过程,将证书存储在对应的存储区域;并且在图5中,终端APP接收到CA中心的证书存储指令和证书之后,获取证书中的证书标识并保存。
本申请实施例中,证书标识也可以与证书建立对应关系,由终端APP和/或PKI管理模块保存证书标识与证书的对应关系。
需要说明的是,由于证书通常具有唯一的证书序列号、证书DN信息和证书指纹,因此,可以将证书序列号、证书DN信息和证书指纹三者中任意一种或多种作为证书标识。即,在本申请实施例的一些实施方式中,证书标识包括证书序列号、证书DN信息和证书指纹的一种或多种。
还需要说明的是,对应于上述终端APP的应用注册,还可以通过业务Applet201访问PKI管理模块202在PKI管理模块202完成该终端APP的应用注销。具体地,用户通过终端设备进行终端APP的注销应用操作,终端APP响应于用户操作通过业务Applet201访问PKI管理模块202删除终端APP的数据存储区域,以便后续存储管理终端APP的PKI相关数据。
综上,在本申请实施例的一些实施方式中,所述业务Applet201,还用于接收所述终端APP发送的应用注销请求和所述终端APP标识,根据所述终端APP标识和所述对应规则确定所述存储标识,向所述PKI管理模块202发送所述应用注销请求和所述存储标识;所述应用注销请求是所述终端APP响应于用户的应用注销操作生成的;对应地,所述PKI管理模块202,还用于根据所述应用注销请求和所述存储标识删除所述终端APP的数据存储区域。例如,如图8所示一种PKI管理系统终端APP应用注销的信令图,详细表明上述终端APP应用注销的过程。
通过本实施例提供的各种实施方式,公钥基础设施管理系统包括业务应用程序和公钥基础设施管理模块,业务应用程序接收终端应用程序发送的公钥基础设施请求,根据公钥基础设施请求和对应规则向公钥基础设施管理模块发送公钥基础设施请求,对应规则是指终端应用程序与公钥基础设施管理模块的对应关系;公钥基础设施管理模块根据公钥基础设施请求进行公钥基础设施处理。由此可见,公钥基础设施管理系统中新增公钥基础设施管理模块能够集中统一提供管理多个终端应用程序对应的业务应用程序的公钥基础设施相关数据,实现原来业务应用程序的公钥基础设施功能,减轻业务应用程序的功能需求,从而降低了开发厂商对业务应用程序实现证书管理和密钥管理等各方面管理功能的基础模块的开发难度,且业务应用程序的升级维护不涉及公钥基础设施管理模块,避免数字证书和密钥等数据丢失。
另本申请实施例还提供了一种智能卡,该智能卡包括如上述实施例所述的公钥基础设施管理系统。
此外,本申请实施例还提供了一种用于公钥基础设施管理的设备系统,该用于公钥基础设施管理的设备系统包括终端设备和如上述所述的智能卡;
其中,如上述实施例中所述的终端应用程序在所述终端设备上运行。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅是本申请的较佳实施例而已,并非对本申请作任何形式上的限制。虽然本申请已以较佳实施例揭露如上,然而并非用以限定本申请。任何熟悉本领域的技术人员,在不脱离本申请技术方案范围情况下,都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本申请技术方案的内容,依据本申请的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本申请技术方案保护的范围内。
Claims (8)
1.一种公钥基础设施管理系统,其特征在于,包括:业务应用程序和公钥基础设施管理模块;
所述业务应用程序,用于接收终端应用程序发送的应用注册请求和终端应用程序标识,根据所述应用注册请求生成存储标识向所述公钥基础设施管理模块发送所述应用注册请求和所述存储标识,根据所述终端应用程序标识和所述存储标识建立对应规则;所述应用注册请求是所述终端应用程序响应于用户的应用注册操作生成的;
所述业务应用程序,用于接收所述终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和所述对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求;所述公钥基础设施请求是所述终端应用程序响应于用户的公钥基础设施相关操作生成的,所述对应规则是指所述终端应用程序与所述公钥基础设施管理模块的对应关系;具体为:接收所述终端应用程序发送的证书申请请求、证书申请信息和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述证书申请请求、所述证书申请信息和所述存储标识;所述证书申请请求和证书申请信息是所述终端应用程序响应于用户的证书申请操作生成的;
所述公钥基础设施管理模块,用于根据所述应用注册请求和所述存储标识创建所述终端应用程序的数据存储区域;
所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理;具体为:根据所述存储标识确定所述终端应用程序的数据存储区域,在所述终端应用程序的数据存储区域生成密钥,并存储所述密钥,基于所述证书申请请求利用所述证书申请信息、所述密钥和签名算法进行相应处理获得证书申请数据,将所述证书申请数据发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向证书授权CA中心提交所述证书申请数据;若所述CA中心根据所述证书申请数据授权证书,通过所述终端应用程序和所述业务应用程序向所述公钥基础设施管理模块发送证书存储指令和证书,根据所述证书存储指令将所述证书存储至所述数据存储区域。
2.根据权利要求1所述的公钥基础设施管理系统,其特征在于,若所述业务应用程序用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求,具体为:
接收所述终端应用程序发送的数字签名请求、待数字签名数据和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述数字签名请求、所述待数字签名数据和所述存储标识;所述数字签名请求和待数字签名数据是所述终端应用程序响应于用户的数字签名操作生成的;
对应地,所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理,具体为:
根据所述存储标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向应用服务器验证所述数字签名结果。
3.根据权利要求1所述的公钥基础设施管理系统,其特征在于,若所述业务应用程序用于接收终端应用程序发送的公钥基础设施请求,根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求,具体为:
接收终端应用程序发送的数字签名请求、待数字签名数据和证书标识,向所述公钥基础设施管理模块发送所述数字签名请求、所述待数字签名数据和所述证书标识;所述数字签名请求和待数字签名数据是所述终端应用程序响应于用户的数字签名操作生成的;
对应地,所述公钥基础设施管理模块,用于根据所述公钥基础设施请求进行公钥基础设施处理,具体为:
根据所述证书标识获得证书和密钥,基于所述数字签名请求利用所述证书和所述密钥对所述待数字签名数据进行数字签名获得数字签名结果;将所述数字签名结果发送给所述业务应用程序,以便所述业务应用程序发送给所述终端应用程序向应用服务器验证所述数字签名结果。
4.根据权利要求1所述的公钥基础设施管理系统,其特征在于,所述业务应用程序,还用于接收所述终端应用程序发送的应用注销请求和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述应用注销请求和所述存储标识;所述应用注销请求是所述终端应用程序响应于用户的应用注销操作生成的;
对应地,所述公钥基础设施管理模块,还用于根据所述应用注销请求和所述存储标识删除所述终端应用程序的数据存储区域。
5.根据权利要求1所述的公钥基础设施管理系统,其特征在于,在所述业务应用程序接收所述终端应用程序发送的公钥基础设施请求之前,所述业务应用程序,还用于接收所述终端应用程序生成并发送的鉴权密钥和所述终端应用程序标识,根据所述终端应用程序标识和所述对应规则确定所述存储标识,向所述公钥基础设施管理模块发送所述鉴权密钥和所述存储标识;
对应地,所述公钥基础设施管理模块,还用于根据所述存储标识确定所述终端应用程序的数据存储区域,在所述终端应用程序的数据存储区域存储所述鉴权密钥。
6.根据权利要求5所述的公钥基础设施管理系统,其特征在于,在所述业务应用程序接收终端应用程序发送的公钥基础设施请求之后,在所述根据所述公钥基础设施请求和对应规则向所述公钥基础设施管理模块发送所述公钥基础设施请求之前,所述业务应用程序,还用于利用所述鉴权密钥对所述公钥基础设施管理模块进行访问鉴权。
7.一种智能卡,其特征在于,所述智能卡包括如权利要求1-6任一项所述的公钥基础设施管理系统。
8.一种用于公钥基础设施管理的设备系统,其特征在于,所述设备系统包括终端设备和如权利要求7所述的智能卡;
其中,权利要求1-6中任一项所述的终端应用程序在所述终端设备上运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910339764.6A CN110048857B (zh) | 2019-04-25 | 2019-04-25 | 一种公钥基础设施管理系统、智能卡和设备系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910339764.6A CN110048857B (zh) | 2019-04-25 | 2019-04-25 | 一种公钥基础设施管理系统、智能卡和设备系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110048857A CN110048857A (zh) | 2019-07-23 |
| CN110048857B true CN110048857B (zh) | 2022-03-11 |
Family
ID=67279413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910339764.6A Active CN110048857B (zh) | 2019-04-25 | 2019-04-25 | 一种公钥基础设施管理系统、智能卡和设备系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110048857B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639317A (zh) * | 2015-02-13 | 2015-05-20 | 胡文东 | 一种基于app应用模块对智能卡进行密钥更新的系统及方法 |
| CN107070648A (zh) * | 2017-03-01 | 2017-08-18 | 北京信安世纪科技有限公司 | 一种密钥保护方法及pki系统 |
| CN107800725A (zh) * | 2017-12-11 | 2018-03-13 | 公安部第研究所 | 一种数字证书远程在线管理装置及方法 |
| CN109120412A (zh) * | 2018-10-29 | 2019-01-01 | 马晶瑶 | 一种基于智能卡的区块链密钥保存和交换系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729502B (zh) * | 2008-10-23 | 2012-09-05 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
-
2019
- 2019-04-25 CN CN201910339764.6A patent/CN110048857B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639317A (zh) * | 2015-02-13 | 2015-05-20 | 胡文东 | 一种基于app应用模块对智能卡进行密钥更新的系统及方法 |
| CN107070648A (zh) * | 2017-03-01 | 2017-08-18 | 北京信安世纪科技有限公司 | 一种密钥保护方法及pki系统 |
| CN107800725A (zh) * | 2017-12-11 | 2018-03-13 | 公安部第研究所 | 一种数字证书远程在线管理装置及方法 |
| CN109120412A (zh) * | 2018-10-29 | 2019-01-01 | 马晶瑶 | 一种基于智能卡的区块链密钥保存和交换系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110048857A (zh) | 2019-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483509B (zh) | 一种身份验证方法、服务器及可读存储介质 | |
| US8683196B2 (en) | Token renewal | |
| RU2515809C2 (ru) | Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи | |
| CN101027676B (zh) | 用于可控认证的个人符记和方法 | |
| CN107689870A (zh) | 客户端鉴权方法和系统 | |
| EP2765750A1 (en) | Controlling application access to mobile device functions | |
| KR20160093692A (ko) | Euicc 보안 제어 방법, 및 euicc | |
| US20200235921A1 (en) | Method and system for recovering cryptographic keys of a blockchain network | |
| CN103974250A (zh) | 配置方法和设备 | |
| CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
| CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
| CN111880919A (zh) | 数据调度方法、系统和计算机设备 | |
| CN113824566B (zh) | 证书认证方法、码号下载方法、装置、服务器及存储介质 | |
| CN109670289B (zh) | 一种识别后台服务器合法性的方法及系统 | |
| CN107171814A (zh) | 一种数字证书更新方法及装置 | |
| GB2567715A (en) | Authentication system, method and program | |
| CN107005409B (zh) | 身份到安全元件内的引入 | |
| CN110048857B (zh) | 一种公钥基础设施管理系统、智能卡和设备系统 | |
| CN115134154B (zh) | 认证方法、装置、远程控制车辆的方法及系统 | |
| US8646099B2 (en) | Midlet signing and revocation | |
| CN106576239B (zh) | 一种安全单元中内容管理的方法及装置 | |
| CN111163063A (zh) | 边缘应用管理方法及相关产品 | |
| US10367644B2 (en) | Methods for managing content, computer program products and secure element | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| CN113098933A (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |