CN110601855B - 一种根证书管理方法、装置及电子设备、存储介质 - Google Patents
一种根证书管理方法、装置及电子设备、存储介质 Download PDFInfo
- Publication number
- CN110601855B CN110601855B CN201910893127.3A CN201910893127A CN110601855B CN 110601855 B CN110601855 B CN 110601855B CN 201910893127 A CN201910893127 A CN 201910893127A CN 110601855 B CN110601855 B CN 110601855B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authorization
- private key
- hash value
- installation package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本发明实施例公开了一种根证书管理方法、装置及电子设备、存储介质,其中所述方法包括:获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书。进一步地,可以启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对私钥的解密密钥,并基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书。采用本发明,可以加强对CA根证书的管理,提高CA根证书的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种根证书管理方法、装置及电子设备、存储介质。
背景技术
数字证书是一种由权威机构颁发的、用于在网络上证明用户身份的证明文件,颁发数字证书的过程也可以称为认证授权(Certification Authority,CA)过程。传统的证书颁发体系包括根CA以及根CA下属的多级CA,其中,根CA是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书,根CA通过自签名生成证书,不需要由其它CA机构为其颁发证书。其他各级CA机构可以由其上级CA机构为其颁发证书,也可以为其下级CA机构及其客户颁发证书,其中,CA机构的客户可以为各种网络实体,例如,可以是网站(website)。
由于CA机构的数量众多,且层级不同,因此,在传统的CA认证过程中,为了鉴别一个证书的真伪,不仅要对该证书进行签名验证,而且,还要对签发该证书的机构进行验证,并且,如果签发该证书的机构存在上级CA机构,还需要进一步对上级CA机构进行验证,直至根CA。若验证过程中,CA根证书被恶意篡改,则会影响整个验证过程的结果。因此,如何加强对CA根证书的管理,提高CA根证书的安全性,成为一个亟待解决的问题。
发明内容
本发明实施例提供了一种根证书管理方法、装置及电子设备、存储介质,可以加强对CA根证书的管理,提高CA根证书的安全性。
一方面,本发明实施例提供了一种根证书管理方法,所述方法应用于电子设备,所述方法包括:
获取所述电子设备对应的认证授权安装包,所述认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;
启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;
基于所述解密密钥对所述对称密钥加密后的私钥进行解密;
若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
另一方面,本发明实施例提供了一种根证书管理装置,所述装置配置于电子设备,所述装置包括:
获取模块,用于获取所述电子设备对应的认证授权安装包,所述认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;
处理模块,用于启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;
所述处理模块,还用于基于所述解密密钥对所述对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
相应地,本发明实施例还提供了一种电子设备,包括:处理器和存储装置;所述存储装置,用于存储程序指令;所述处理器,调用所述程序指令,用于执行:获取所述电子设备对应的认证授权安装包,所述认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;基于所述解密密钥对所述对称密钥加密后的私钥进行解密;若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
相应地,本发明实施例还提供了一种计算机存储介质,该计算机存储介质中存储有程序指令,该程序指令被执行时,用于实现上述的各方法。
本发明实施例中,可以获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书。进一步地,可以启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对私钥的解密密钥,并基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书。采用这样的方式,可以加强对CA根证书的管理,提高CA根证书的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种区块链网络的结构示意图;
图2是本发明实施例的一种区块结构的示意图;
图3是本发明实施例的一种根证书管理方法的流程示意图;
图4是本发明实施例的另一种根证书管理方法的流程示意图;
图5是本发明实施例的又一种根证书管理方法的流程示意图。
图6是本发明实施例的一种根证书管理装置的结构示意图;
图7是本发明实施例的一种电子设备的结构示意图。
具体实施方式
本发明实施例提出了一种根证书管理方法,该方法可以电子设备,该电子设备可以为接入区块链网络中的节点,该节点可以为任意形式的计算设备,如服务器、用户终端等,也可以为部署于区块链网络外的计算设备,可以与区块链网络中的节点设备进行数据交互。在一个实施例中,可以获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和该私钥对应的认证授权根证书,该对称密钥是基于密码信息和该电子设备的物理地址生成的。进一步地,可以启动认证授权可执行文件,以基于该电子设备当前的物理地址和当前输入的密码信息确定出针对私钥的解密密钥,并基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书。
可以看出,若需要成功解密对称密钥加密后的私钥,不仅需要输入正确的密码信息还需要正确的物理地址。采用这样的方式,一方面,保证只有特定拥有密码信息的用户(例如部署人员)才能在对应的电子设备上成功解密对称密钥加密后的私钥,从而得到私钥对应的认证授权根证书,启动CA服务,有利于提高CA根证书的安全性;另一方面,使用了物理地址绑定技术,发布的CA根证书指定部署在指定的电子设备上,否则无法成功解密对称密钥加密后的私钥,从而得到私钥对应的认证授权根证书,启动CA服务,有利于进一步提高CA根证书的安全性。
参见图1,图1是本发明实施例提供的区块链网络的一个可选的结构示意图,由多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)和客户端形成,节点之间形成组成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在该区块链网络中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作系统层和应用层。
参见图1示出的区块链网络中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链网络中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
例如,应用实现的业务包括:
2.1)钱包,用于提供进行电子货币的交易的功能,包括发起交易(即,将当前交易的交易记录发送给区块链网络中的其他节点,其他节点验证成功后,作为承认交易有效的响应,将交易的记录数据存入区块链的临时区块中;当然,钱包还支持查询电子货币地址中剩余的电子货币;
2.2)共享账本,用于提供账目数据的存储、查询和修改等操作的功能,将对账目数据的操作的记录数据发送到区块链网络中的其他节点,其他节点验证有效后,作为承认账目数据有效的响应,将记录数据存入临时区块中,还可以向发起操作的节点发送确认。
2.3)智能合约,计算机化的协议,可以执行某个合约的条款,通过部署在共享账本上的用于在满足一定条件时而执行的代码实现,根据实际的业务需求代码用于完成自动化的交易,例如查询买家所购买商品的物流状态,在买家签收货物后将买家的电子货币转移到商户的地址;当然,智能合约不仅限于执行用于交易的合约,还可以执行对接收的信息进行处理的合约。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链网络中节点提交的记录数据。
参见图2,图2是本发明实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了相关的信息,用于验证其信息的有效性(防伪)和生成下一个区块。
请参见图3所示的一种根证书管理方法的流程图,该方法包括:S301初始化CA和S302安全部署CA。在一个实施例中,初始化CA的具体实施方式可以为:基于用户的选择操作,从至少一个电子设备中确定出CA需要部署的电子设备(以下简称CA部署设备)),并将CA部署设备的物理地址的哈希值以及标识信息(例如域名或者IP地址等)的哈希值写入区块链的配置区块中。其中,若是第一次写入,则将该CA部署设备的物理地址的哈希值以及标识信息的哈希值写入区块链的创世区块中。其中,CA部署设备可以为一个或者多个,本发明对此不作具体限定。
进一步地,可以生成CA根证书的公钥和私钥,当CA部署设备为电子设备X时,可以获取针对该电子设备X输入的密码信息和该电子设备X的物理地址,并基于该密码信息和电子设备X的物理地址生成对称密钥,通过该对称密钥对私钥进行加密,进而将CA可执行文件、该对称密钥加密后的私钥和该私钥对应的CA根证书进行压缩,得到该电子设备X的认证授权安装包(记为PackageX)。
进一步地,可以对PackageX进行哈希计算,得到认证授权安装包对应的第一哈希值(记为PackageSunX),并将该PackageSunX写入区块链的配置区块中,从而实现针对电子设备X的初始化CA。
进一步地,在一个实施例中,针对电子设备X执行安全部署CA的具体实施方式可以为:电子设备X获取自身对应的认证授权安装包PackageX,并从区块链中最新的配置区块中获取PackageSunX,对PackageX进行哈希计算,得到PackageX对应的第二哈希值PackageSumX’,若对比得到PackageSunX与PackageSumX’匹配,则可以确定该认证授权安装包PackageX为合法安装包。进一步地,电子设备X可以启动PackageX中的认证授权可执行文件,提示部署人员输入密码信息,并基于电子设备X当前的物理地址和部署人员当前输入的密码信息确定出针对该私钥的解密密钥。进一步地,电子设备X可以基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书,从而启动后续的CA服务。
可以理解的是,执行步骤S301初始化CA的设备与执行步骤S302的安全部署CA的设备可以为同一台设备,也可以为不同的设备。例如,执行步骤S301初始化CA的设备可以为电子设备Y,在该电子设备Y中,将PackageSunX写入区块链的配置区块中,将PackageX存储至本地,完成对电子设备X的初始化CA。执行步骤S302的安全部署CA的设备可以为电子设备X,部署人员可以将PackageX从电子设备Y拷贝至电子设备X,进而电子设备X可以基于该PackageX执行安全部署CA的相关步骤。
再请参见图4,是本发明实施例的一种根证书管理的流程示意图,本发明实施例的所述方法可以由电子设备来执行。本发明实施例的所述方法包括如下步骤。
S401:获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书,该对称密钥是基于密码信息和电子设备的物理地址生成的。
在一个实施例中,电子设备可以在执行步骤S401之前,生成认证授权根证书的公钥和私钥,并基于密码信息和电子设备的物理地址生成对称密钥,进一步地,可以通过对称密钥对该私钥进行加密,并将认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书打包至该电子设备对应的认证授权安装包,也即,该认证授权安装包是为该电子设备部署的。
在一个实施例中,电子设备基于密码信息和电子设备的物理地址生成对称密钥的具体实现方式可以为:对电子设备的物理地址进行哈希计算,得到物理地址对应的哈希值,并对物理地址对应的哈希值和密码信息进行加盐操作,进而对加盐操作后的物理地址对应的哈希值和密码信息进行哈希计算,得到对称密钥。可以看出,使用密码加盐的保存方式,即时存在用户取得了对称密钥,也无法反推出密码信息,保证了密码信息的安全,进而保证认证授权根证书的安全性。
示例性地,假设电子设备为电子设备X,可以采用H(S(passwordX+h(MacX)))的方式生成对称密钥,其中H为hash算法,S为密码加盐操作,这里PasswordX为密码信息,MacX作为盐来进行密码加盐操作,该MacX为电子设备X的MAC地址。
S402:启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对该私钥的解密密钥。
在一个实施例中,电子设备可以启动认证授权安装包中的认证授权可执行文件,获取部署人员当前输入密码信息以及电子设备当前的物理地址,并采用与生成对称密钥相同的方式,生成私钥对应的解密密钥。具体地,对电子设备当前的物理地址进行哈希计算,得到当前的物理地址对应的哈希值,并对当前的物理地址对应的哈希值和当前输入的密码信息进行加盐操作,进而对加盐操作后的当前的物理地址对应的哈希值和当前输入的密码信息进行哈希计算,得到该私钥的解密密钥。
可以看出,若需要成功解密对称密钥加密后的私钥,不仅需要输入正确的密码信息还需要正确的物理地址。采用这样的方式,一方面,保证只有特定拥有密码信息的用户(例如部署人员)才能在对应的电子设备上成功解密对称密钥加密后的私钥,从而得到私钥对应的认证授权根证书,启动CA服务,有利于提高CA根证书的安全性;另一方面,使用了物理地址绑定技术,发布的CA根证书指定部署在指定的电子设备上,否则无法成功解密对称密钥加密后的私钥,从而得到私钥对应的认证授权根证书,启动CA服务,有利于进一步提高CA根证书的安全性。
S403:基于该解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到该私钥对应的认证授权根证书。
在一个实施例中,电子设备可以基于该解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则可以成功获得私钥,并基于私钥得到CA根证书,进而启动后续的CA服务。
本发明实施例中,可以获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书。进一步地,可以启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对私钥的解密密钥,并基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书。采用这样的方式,可以加强对CA根证书的管理,提高CA根证书的安全性。
又请参见图5,是本发明实施例的另一种根证书管理的流程示意图,本发明实施例的所述方法可以由电子设备来执行。本发明实施例的所述方法包括如下步骤。
S501:获取电子设备对应的认证授权安装包,该认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和私钥对应的认证授权根证书,该对称密钥是基于密码信息和电子设备的物理地址生成的。其中,步骤S501的具体实施方式,可以参见上述实施例中步骤S401的相关描述,此处不再赘述。
S502:从区块链的配置区块中获取认证授权安装包对应的第一哈希值,对认证授权安装包进行哈希计算,得到认证授权安装包对应的第二哈希值。
在一个实施例中,可以预先对电子设备对应的认证授权安装包进行哈希计算,得到该认证授权安装包对应的第一哈希值,并将认证授权安装包对应的第一哈希值写入区块链的配置区块中,防止被他人篡改。
在一个实施例中,电子设备从区块链的配置区块中获取认证授权安装包对应的第一哈希值之前,还可以从区块链的配置区块中获取预存储的电子设备的标识信息的哈希值,并将该哈希值与电子设备当前的标识信息的哈希值进行对比,若对比得到该哈希值与当前的标识信息的哈希值匹配,则触发执行该从区块链的配置区块中获取认证授权安装包对应的第一哈希值的步骤。其中,该电子设备的标识信息可以包括电子设备的IP地址或者域名等等。采用这样的方式,利用了区块链的上链不可篡改功能,使得CA服务所在的电子设备的域名或者IP地址可以通过区块链上的配置区块进行验证,后续所有业务方可以充分信任和验证CA,进而可以信任从CA发放的所有身份证书。
或者,在另一个实施例中,若对比得到标识信息的哈希值与当前的标识信息的哈希值不匹配,则可以直接确定本次操作为非法操作,结束本次流程,而不需要执行后续的从区块链的配置区块中获取认证授权安装包对应的第一哈希值的步骤。
S503:若对比得到该第一哈希值与第二哈希值匹配,则启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对该私钥的解密密钥。
在一个实施例中,若对比得到第一哈希值与第二哈希值相同,则可以确定该第一哈希值与第二哈希值匹配,确定步骤S501中获取的电子设备对应的认证授权安装包为合法安装包,进而触发执行启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对该私钥的解密密钥的步骤。
S504:基于该解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到该私钥对应的认证授权根证书。其中,步骤S504的具体实施方式,可以参见上述实施例中步骤S403的相关描述,此处不再赘述。
在一个实施例中,电子设备基于解密密钥对对称密钥加密后的私钥进行解密之后,还可以将解密后的私钥存储至认证授权可执行文件中的预设加密区域。进一步地,后续过程中,当再次检测到认证授权可执行文件启动时,可以从预设加密区域中获取解密后的私钥,进而基于解密后的私钥得到私钥对应的认证授权根证书,而无需执行步骤S503重新生成该私钥的解密密钥。在一个实施例中,后续每次需要获取认证授权根证书时,均可以从该预设加密区域中获取该解密密钥,并基于该解密密钥读取认证授权根证书对应的私钥,随后清空该私钥在内存中的存放。
本发明实施例中,可以获取电子设备对应的认证授权安装包,并从区块链的配置区块中获取认证授权安装包对应的第一哈希值,对认证授权安装包进行哈希计算,得到认证授权安装包对应的第二哈希值,若对比得到该第一哈希值与第二哈希值匹配,则启动认证授权可执行文件,以基于电子设备当前的物理地址和当前输入的密码信息确定出针对私钥的解密密钥。进一步地,可以基于解密密钥对对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到私钥对应的认证授权根证书。采用这样的方式,可以校验认证授权安装包的合法性,从而进一步提高CA根证书的安全性。
本发明实施例还提供了一种计算机存储介质,该计算机存储介质中存储有程序指令,该程序指令被执行时,用于实现上述实施例中描述的相应方法。
再请参见图6,是本发明实施例的一种根证书管理装置的结构示意图,本发明实施例的所述根证书管理装置可以设置在电子设备中。
本发明实施例的所述装置的一个实现方式中,所述装置包括如下结构。
获取模块60,用于获取所述电子设备对应的认证授权安装包,所述认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;
处理模块61,用于启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;
所述处理模块61,还用于基于所述解密密钥对所述对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
在一个实施例中,所述处理模块61,还用于生成认证授权根证书的公钥和私钥;基于密码信息和所述电子设备的物理地址生成对称密钥;通过所述对称密钥对所述私钥进行加密;将认证授权可执行文件、所述对称密钥加密后的私钥和所述私钥对应的所述认证授权根证书打包至所述电子设备对应的认证授权安装包。
在一个实施例中,所述处理模块61,还用于从区块链的配置区块中获取所述认证授权安装包对应的第一哈希值;对所述认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第二哈希值;若对比得到所述第一哈希值与所述第二哈希值匹配,则触发执行所述启动所述认证授权可执行文件。
在一个实施例中,所述处理模块61,还用于对所述电子设备对应的认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第一哈希值;将所述认证授权安装包对应的第一哈希值写入所述区块链的配置区块中。
在一个实施例中,所述处理模块61,还用于从所述区块链的配置区块中获取预存储的所述电子设备的标识信息的哈希值;将所述哈希值与所述电子设备当前的标识信息的哈希值进行对比;若对比得到所述哈希值与所述当前的标识信息的哈希值匹配,则触发执行所述从所述区块链的配置区块中获取所述认证授权安装包对应的第一哈希值的步骤。
在一个实施例中,所述处理模块61,还用于将解密后的私钥存储至所述认证授权可执行文件中的预设加密区域;当检测到所述认证授权可执行文件启动时,从所述预设加密区域中获取所述解密后的私钥;基于所述解密后的私钥得到所述私钥对应的认证授权根证书。
在一个实施例中,所述处理模块61,具体用于对所述电子设备的物理地址进行哈希计算,得到所述物理地址对应的哈希值;对所述物理地址对应的哈希值和所述密码信息进行加盐操作;对加盐操作后的所述物理地址对应的哈希值和密码信息进行哈希计算,得到对称密钥。
在本发明实施例中,上述各个模块的具体实现可参考前述各个附图所对应的实施例中相关内容的描述。
再请参见图7,是本发明实施例的一种电子设备的结构示意图,本发明实施例的所述电子设备包括供电模块等结构,并包括处理器701、存储装置702以及网络接口703。所述处理器701、存储装置702以及网络接口703之间可以交互数据,由处理器701实现相应的根证书管理功能。
所述存储装置702可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储装置702也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),固态硬盘(solid-state drive,SSD)等;所述存储装置702还可以包括上述种类的存储器的组合。
所述处理器701可以是中央处理器701(central processing unit,CPU)。在一个实施例中,所述处理器701还可以是图形处理器701(Graphics Processing Unit,GPU)。所述处理器701也可以是由CPU和GPU的组合。在所述电子设备中,可以根据需要包括多个CPU和GPU进行相应的根证书管理。在一个实施例中,所述存储装置702用于存储程序指令。所述处理器701可以调用所述程序指令,实现如本发明实施例中上述涉及的各种方法。
在第一个可能的实施方式中,所述电子设备的所述处理器701,调用所述存储装置702中存储的程序指令,用于获取所述电子设备对应的认证授权安装包,所述认证授权安装包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;基于所述解密密钥对所述对称密钥加密后的私钥进行解密;若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
在一个实施例中,所述处理器701,还用于生成认证授权根证书的公钥和私钥;基于密码信息和所述电子设备的物理地址生成对称密钥;通过所述对称密钥对所述私钥进行加密;将认证授权可执行文件、所述对称密钥加密后的私钥和所述私钥对应的所述认证授权根证书打包至所述电子设备对应的认证授权安装包。
在一个实施例中,所述处理器701,还用于从区块链的配置区块中获取所述认证授权安装包对应的第一哈希值;对所述认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第二哈希值;若对比得到所述第一哈希值与所述第二哈希值匹配,则触发执行所述启动所述认证授权可执行文件。
在一个实施例中,所述处理器701,还用于对所述电子设备对应的认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第一哈希值;将所述认证授权安装包对应的第一哈希值写入所述区块链的配置区块中。
在一个实施例中,所述处理器701,还用于从所述区块链的配置区块中获取预存储的所述电子设备的标识信息的哈希值;将所述哈希值与所述电子设备当前的标识信息的哈希值进行对比;若对比得到所述哈希值与所述当前的标识信息的哈希值匹配,则触发执行所述从所述区块链的配置区块中获取所述认证授权安装包对应的第一哈希值的步骤。
在一个实施例中,所述处理器701,还用于将解密后的私钥存储至所述认证授权可执行文件中的预设加密区域;当检测到所述认证授权可执行文件启动时,从所述预设加密区域中获取所述解密后的私钥;基于所述解密后的私钥得到所述私钥对应的认证授权根证书。
在一个实施例中,所述处理器701,具体用于对所述电子设备的物理地址进行哈希计算,得到所述物理地址对应的哈希值;对所述物理地址对应的哈希值和所述密码信息进行加盐操作;对加盐操作后的所述物理地址对应的哈希值和密码信息进行哈希计算,得到对称密钥。
在本发明实施例中,所述处理器701的具体实现可参考前述各个附图所对应的实施例中相关内容的描述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明的部分实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种根证书管理方法,其特征在于,所述方法应用于电子设备,所述方法包括:
获取所述电子设备对应的认证授权安装包,所述认证授权安装包包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;
启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;
基于所述解密密钥对所述对称密钥加密后的私钥进行解密;
若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
2.根据权利要求1所述的方法,其特征在于,所述获取所述电子设备对应的认证授权安装包之前,所述方法还包括:
生成认证授权根证书的公钥和私钥;
基于密码信息和所述电子设备的物理地址生成对称密钥;
通过所述对称密钥对所述私钥进行加密;
将认证授权可执行文件、所述对称密钥加密后的私钥和所述私钥对应的所述认证授权根证书打包至所述电子设备对应的认证授权安装包。
3.根据权利要求1或2所述的方法,其特征在于,所述启动所述认证授权可执行文件之前,所述方法还包括:
从区块链的配置区块中获取所述认证授权安装包对应的第一哈希值;
对所述认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第二哈希值;
若对比得到所述第一哈希值与所述第二哈希值匹配,则触发执行所述启动所述认证授权可执行文件的步骤。
4.根据权利要求3所述的方法,其特征在于,所述从区块链的配置区块中获取所述认证授权安装包对应的第一哈希值之前,所述方法还包括:
对所述电子设备对应的认证授权安装包进行哈希计算,得到所述认证授权安装包对应的第一哈希值;
将所述认证授权安装包对应的第一哈希值写入所述区块链的配置区块中。
5.根据权利要求3所述的方法,其特征在于,所述从所述区块链的配置区块中获取所述认证授权安装包对应的第一哈希值之前,所述方法还包括:
从所述区块链的配置区块中获取预存储的所述电子设备的标识信息的哈希值;
将所述哈希值与所述电子设备当前的标识信息的哈希值进行对比;
若对比得到所述哈希值与所述当前的标识信息的哈希值匹配,则触发执行所述从所述区块链的配置区块中获取所述认证授权安装包对应的第一哈希值的步骤。
6.根据权利要求1所述的方法,其特征在于,所述基于所述解密密钥对所述对称密钥加密后的私钥进行解密之后,所述方法还包括:
将解密后的私钥存储至所述认证授权可执行文件中的预设加密区域;
当检测到所述认证授权可执行文件启动时,从所述预设加密区域中获取所述解密后的私钥;
基于所述解密后的私钥得到所述私钥对应的认证授权根证书。
7.根据权利要求2所述的方法,其特征在于,所述基于密码信息和所述电子设备的物理地址生成对称密钥,包括:
对所述电子设备的物理地址进行哈希计算,得到所述物理地址对应的哈希值;
对所述物理地址对应的哈希值和所述密码信息进行加盐操作;
对加盐操作后的所述物理地址对应的哈希值和密码信息进行哈希计算,得到对称密钥。
8.一种根证书管理装置,其特征在于,所述装置配置于电子设备,所述装置包括:
获取模块,用于获取所述电子设备对应的认证授权安装包,所述认证授权安装包包括认证授权可执行文件、对称密钥加密后的私钥和所述私钥对应的认证授权根证书,所述对称密钥是基于密码信息和所述电子设备的物理地址生成的;
处理模块,用于启动所述认证授权可执行文件,以基于所述电子设备当前的物理地址和当前输入的密码信息确定出针对所述私钥的解密密钥;
所述处理模块,还用于基于所述解密密钥对所述对称密钥加密后的私钥进行解密,若解密成功,则基于解密后的私钥得到所述私钥对应的认证授权根证书。
9.一种电子设备,其特征在于,包括处理器和存储装置,所述处理器和存储装置相互连接,其中,所述存储装置用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-7任一项所述的方法。
10.一种计算机存储介质,其特征在于,该计算机存储介质中存储有程序指令,该程序指令被执行时,用于实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893127.3A CN110601855B (zh) | 2019-09-20 | 2019-09-20 | 一种根证书管理方法、装置及电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910893127.3A CN110601855B (zh) | 2019-09-20 | 2019-09-20 | 一种根证书管理方法、装置及电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110601855A CN110601855A (zh) | 2019-12-20 |
| CN110601855B true CN110601855B (zh) | 2022-05-13 |
Family
ID=68861762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910893127.3A Active CN110601855B (zh) | 2019-09-20 | 2019-09-20 | 一种根证书管理方法、装置及电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110601855B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111245616B (zh) * | 2020-03-10 | 2023-03-24 | 阿波罗智联(北京)科技有限公司 | 网络通信的认证方法、装置、设备及存储介质 |
| CN112733126B (zh) * | 2021-01-09 | 2022-07-08 | 苏州浪潮智能科技有限公司 | 一种产品许可认证方法和系统 |
| CN113422684A (zh) * | 2021-06-15 | 2021-09-21 | 芜湖雄狮汽车科技有限公司 | 安全认证的证书生成方法、装置、电子设备及存储介质 |
| CN113312674B (zh) * | 2021-06-18 | 2022-06-24 | 何小林 | 基于多因子环境感知数字证书的接入安全的方法和系统 |
| CN114301597B (zh) * | 2021-12-13 | 2024-02-09 | 零信技术(深圳)有限公司 | 密钥验证方法、设备及可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7747851B1 (en) * | 2004-09-30 | 2010-06-29 | Avaya Inc. | Certificate distribution via license files |
| US20060253702A1 (en) * | 2004-11-30 | 2006-11-09 | Gametech International, Inc. | Secure gaming server |
| CN107341393A (zh) * | 2016-04-29 | 2017-11-10 | 腾讯科技(深圳)有限公司 | 应用程序安装包的检测方法和装置 |
| CN107463806B (zh) * | 2017-06-20 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种Android应用程序安装包的签名和验签方法 |
| CN107832589B (zh) * | 2017-11-29 | 2020-05-12 | 苏州科达科技股份有限公司 | 软件版权保护方法及其系统 |
| CN107959684A (zh) * | 2017-12-08 | 2018-04-24 | 上海壹账通金融科技有限公司 | 安全通信方法、装置、计算机设备及存储介质 |
| CN108496323B (zh) * | 2018-03-21 | 2020-01-21 | 福建联迪商用设备有限公司 | 一种证书导入方法及终端 |
-
2019
- 2019-09-20 CN CN201910893127.3A patent/CN110601855B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110601855A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11842317B2 (en) | Blockchain-based authentication and authorization | |
| CN110601855B (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
| EP3721603B1 (en) | System and method for creating decentralized identifiers | |
| US10790976B1 (en) | System and method of blockchain wallet recovery | |
| CN108830600B (zh) | 一种基于区块链的电子发票系统及实现方法 | |
| AU2017222421B2 (en) | Personal device security using elliptic curve cryptography for secret sharing | |
| WO2021000337A1 (en) | System and method for mapping decentralized identifiers to real-world entities | |
| US10411903B2 (en) | Information security realizing method and system based on digital certificate | |
| EP3454238A1 (en) | Registration and authorization method, device and system | |
| CN111164594A (zh) | 用于将去中心化标识映射到真实实体的系统和方法 | |
| EP3847565A1 (en) | Methods and devices for managing user identity authentication data | |
| CN111444273B (zh) | 一种基于区块链的数据授权方法以及装置 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| CN104836776A (zh) | 数据交互方法和装置 | |
| CN109478214A (zh) | 用于证书注册的装置和方法 | |
| CN113285802A (zh) | 基于fpga的密钥协商方法及装置 | |
| CN111314066B (zh) | 基于区块链的数据转移方法、终端及计算机可读存储介质 | |
| CN110716724B (zh) | 基于fpga实现隐私区块链的方法及装置 | |
| JP2010231404A (ja) | 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム | |
| CN113326522A (zh) | 一种数据处理方法、装置、设备和计算机存储介质 | |
| EP3292654A1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
| CN113722749A (zh) | 基于加密算法的区块链baas服务的数据处理方法及装置 | |
| CN114616563A (zh) | 用于加密密钥生成的安全环境 | |
| TWI430643B (zh) | Secure key recovery system and method | |
| CN115118434A (zh) | 基于区块链的密钥管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |