CN111414638B - 一种区分密钥生成方式的实现方法及装置 - Google Patents

一种区分密钥生成方式的实现方法及装置 Download PDF

Info

Publication number
CN111414638B
CN111414638B CN202010328786.5A CN202010328786A CN111414638B CN 111414638 B CN111414638 B CN 111414638B CN 202010328786 A CN202010328786 A CN 202010328786A CN 111414638 B CN111414638 B CN 111414638B
Authority
CN
China
Prior art keywords
authenticated
key
certificate
container
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010328786.5A
Other languages
English (en)
Other versions
CN111414638A (zh
Inventor
陆舟
于华章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Feitian Technologies Co Ltd
Original Assignee
Feitian Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Feitian Technologies Co Ltd filed Critical Feitian Technologies Co Ltd
Priority to CN202010328786.5A priority Critical patent/CN111414638B/zh
Publication of CN111414638A publication Critical patent/CN111414638A/zh
Application granted granted Critical
Publication of CN111414638B publication Critical patent/CN111414638B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Abstract

本发明公开一种区分密钥生成方式的实现方法及装置,该方法包括:当接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为假则通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为待认证证书的颁发者;设置待认证证书的签名算法,将待认证密钥的公钥设置在待认证证书中;根据待认证证书的签名算法、使用预置认证容器的私钥对待认证证书进行签名,将签名结果填充到待认证证书中;当接收到获取证书指令时,将内置证书和待认证证书返回给区分设备,区分设备使用预置认证容器的内置证书验证待认证证书。本发明技术方案确保了用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。

Description

一种区分密钥生成方式的实现方法及装置
技术领域
本发明涉及信息安全领域,尤其涉及一种区分密钥生成方式的实现方法及装置。
背景技术
信息安全的重要性毋庸置疑。在计算机和全球互联通讯技术高度发达的今天,信息的安全传递和存储至关重要。信息加密是实现信息安全的重要手段,即使用密钥信息的明文进行加密转化为密文,由于密文只能被授权方破解,确保其对于非法截获者没有意义,信息就可以通过密文形式,在目标通讯主体之间进行安全传递。因此,密文对于非法截获者是不可破解,加密方法是信息安全的核心。在满足安全性前提下,加解密和信息传递过程的便捷性以及方法的通用性也影响着具体信息安全系统的应用范围。
在现有技术中,加密方法中使用的密钥可以是在设备外生成然后导入设备中,也可以是在设备中直接生成。由于密钥在导入过程中,可能会被非法者截获,如用户使用外部导入的密钥进行加解密或签名验签等操作,则存在安全隐患。而使用设备内生成的密钥进行加解密或签名验签等操作,由于密钥不出设备,非法者无法获取,安全性更高。故如何区分密钥是智能密钥设备内生成的而不是外部导入的,是亟待解决的问题。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种区分密钥生成方式的实现方法及装置。
本发明提供了一种区分密钥生成方式的实现方法,包括:
步骤S1:当智能密钥设备接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则执行步骤S2;所述待认证容器用于存储待认证密钥;
步骤S2:所述智能密钥设备通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为所述待认证证书的颁发者,并按照预定格式设置所述待认证证书的证书信息;
步骤S3:所述智能密钥设备设置所述待认证证书的签名算法,并将所述待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
步骤S4:所述智能密钥设备根据所述待认证证书的签名算法、使用预置认证容器的私钥对所述待认证证书进行签名,并将签名结果填充到所述待认证证书的签名区,将所述待认证证书返回给所述上位机;
步骤S5:当所述智能密钥设备接收到区分设备发送的获取证书指令时,获取所述内置证书和所述待认证证书并返回给所述区分设备,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
所述预置认证容器的私钥与所述预置认证容器的内置证书一一对应。
进一步地,所述步骤S1之前还包括:
步骤A1:当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤A2,如为生成密钥指令则执行步骤A3;
步骤A2:所述智能密钥设备从所述导入密钥指令中获取密钥并保存到待认证容器中,根据所述导入密钥指令设置对应待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
步骤A3:所述智能密钥设备生成待认证密钥并保存到待认证容器中,根据所述生成密钥指令设置对应待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述步骤A2具体为:所述智能密钥设备从所述导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将所述获取的密钥存储格式的文件对应保存到指定导入的所述待认证容器中,设置所述待认证容器的导入属性为真。
进一步地,所述步骤A3具体为:所述智能密钥设备生成密钥,根据所述生成密钥指令将所述密钥保存到对应的所述待认证容器中,设置所述待认证容器的导入属性为假。
进一步地,所述步骤S3包括:
步骤S31:所述智能密钥设备判断所述待认证密钥的类型,如为第一类型则执行步骤S32,如为第二类型则执行步骤S33;
步骤S32:所述智能密钥设备设置所述待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数,执行步骤S4;
步骤S33:所述智能密钥设备设置所述待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在所述待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数,执行步骤S4。
进一步地,所述步骤S1、步骤S3分别替换为:
步骤S1’:智能密钥设备接收上位机下发的认证指令;
步骤S3’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置所述待认证证书的签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书中,如为假则报错。
进一步地,所述步骤S3’包括:
步骤S31’:所述智能密钥设备判断所述待认证密钥的类型,如为第一类型则执行步骤S32’,如为第二类型则执行步骤S33’;
步骤S32’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数,执行步骤S4;如为假则报错;
步骤S33’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数,执行步骤S4;如为假则报错。
进一步地,所述步骤S1之前还包括:
步骤B1:当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤B2,如为生成密钥指令则执行步骤B3;
步骤B2:所述智能密钥设备从所述导入密钥指令中获取密钥并保存到所述待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
步骤B3:所述智能密钥设备生成密钥并保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述步骤B2具体为:所述智能密钥设备从所述导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将所述获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置所述待认证密钥的初始化状态为假。
进一步地,所述步骤B3具体为:所述智能密钥设备生成密钥,根据所述生成密钥指令将所述密钥保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真。
进一步地,所述步骤S4中之前包括:所述智能密钥设备获取所述预置认证容器的私钥。
进一步地,所述步骤S1之前还包括:在生产阶段所述智能密钥设备设置预置认证容器的内置证书和设置预置认证容器的密钥,所述预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
进一步地,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,具体为:
步骤C1:所述区分设备读取预置认证容器的内置证书,判断所述内置证书是否为一级根证书,是则执行步骤C3,否则执行步骤C2;
步骤C2:所述区分设备根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用所述根证书的证书链验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
步骤C3:所述区分设备使用所述内置证书验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
本发明又提供了一种区分密钥生成方式的实现装置,包括:
第一接收判断模块,用于当接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则触发第一设置模块;所述待认证容器用于存储待认证密钥;
所述第一设置模块,用于通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为所述待认证证书的颁发者,并按照预定格式设置所述待认证证书的证书信息;
第二设置模块,用于设置所述待认证证书的签名算法,并将所述待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
签名返回模块,用于根据所述待认证证书的签名算法、使用预置认证容器的私钥对所述待认证证书进行签名,并将签名结果填充到所述待认证证书的签名区,将所述待认证证书返回给所述上位机;
接收获取返回模块,用于当接收到区分设备发送的获取证书指令时,获取所述内置证书和所述待认证证书并返回给所述区分设备,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
所述预置认证容器的私钥与所述预置认证容器的内置证书一一对应。
进一步地,所述装置还包括:
第二接收判断模块,用于当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第一获取设置返回模块,如为生成密钥指令则触发第一生成设置返回模块;
所述第一获取设置返回模块,用于从所述导入密钥指令中获取密钥并保存到待认证容器中,根据所述导入密钥指令设置对应待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
所述第一生成设置返回模块,用于生成待认证密钥并保存到待认证容器中,根据所述生成密钥指令设置对应待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述第一获取设置返回模块具体用于从所述导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将所述获取的密钥存储格式的文件对应保存到指定导入的所述待认证容器中,设置所述待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令。
进一步地,所述第一生成设置返回模块具体用于生成密钥,根据所述生成密钥指令将所述密钥保存到对应的所述待认证容器中,设置所述待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述第二设置模块包括:
第一判断单元,用于判断所述待认证密钥的类型,如为第一类型则触发第一设置单元,如为第二类型则触发第二设置单元;
所述第一设置单元,用于设置所述待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数;
所述第二设置单元,用于设置所述待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在所述待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数。
进一步地,所述第一接收判断模块替换为第一接收模块,第二设置模块替换为判断设置模块;
所述第一接收模块,用于接收上位机下发的认证指令;
所述判断设置模块,用于判断待认证密钥的初始化状态,如为真则设置所述待认证证书的签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书中,如为假则报错。
进一步地,所述判断设置模块包括:
第二判断单元,用于判断所述待认证密钥的类型,如为第一类型则触发第一判断设置单元,如为第二类型则触发第二判断设置单元;
所述第一判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数;如为假则报错;
所述第二判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数;如为假则报错。
进一步地,所述装置还包括:
第三接收判断模块,用于当接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第二获取设置返回模块,如为生成密钥指令则触发第二生成设置返回模块;
所述第二获取设置返回模块,用于从所述导入密钥指令中获取密钥并保存到所述待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
所述第二生成设置返回模块,用于生成密钥并保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述第二获取设置返回模块具体用于从所述导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将所述获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令。
进一步地,所述所述第二生成设置返回模块具体用于生成密钥,根据所述生成密钥指令将所述密钥保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
进一步地,所述装置还包括:所述智能密钥设备获取所述预置认证容器的私钥。
进一步地,所述装置还包括:
设置模块,用于在智能密钥设备生产阶段时设置预置认证容器的内置证书和设置预置认证容器的密钥,所述预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
进一步地,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,具体为:
所述区分设备读取预置认证容器的内置证书,判断所述内置证书是否为一级根证书,如为一级根证书则使用所述内置证书验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效,如不为一级根证书则根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
本发明与现有技术相比,具有以下优点:
本发明技术方案通过设备外的区分设备对智能密钥设备内生成的密钥的证书(待认证证书)进行验证,确保了用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。
附图说明
图1为本发明实施例一提供的一种区分密钥生成方式的实现方法流程图;
图2为本发明实施例二提供的一种区分密钥生成方式的实现方法流程图;
图3为本发明实施例三提供的一种区分密钥生成方式的实现方法流程图;
图4为本发明实施例四提供的一种区分密钥生成方式的实现装置方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种区分密钥生成方式的实现方法,如图1所示,包括:
步骤S1:当智能密钥设备接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则执行步骤S2;
在本实施例中,待认证容器用于存储待认证密钥;
在本实施例中,步骤S1之前还包括:
步骤A1:当智能密钥设备接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤A2,如为生成密钥指令则执行步骤A3;
步骤A2:智能密钥设备从导入密钥指令中获取密钥并保存到待认证容器中,根据导入密钥指令设置待认证容器的导入属性为真,等待接收上位机下发的指令;
在本实施例中,步骤A2具体为:智能密钥设备从导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置待认证容器的导入属性为真。
步骤A3:智能密钥设备生成待认证密钥并保存到待认证容器中,根据生成密钥指令设置待认证容器的导入属性为假,等待接收上位机下发的指令。
在本实施例中步骤A3具体为:智能密钥设备生成密钥,根据生成密钥指令将生成的密钥保存对应的待认证容器中,设置待认证容器的导入属性为假。
步骤S2:智能密钥设备通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为待认证证书的颁发者,并按照预定格式设置待认证证书的证书信息;
在本实施例中,待认证证书的证书信息包括版本信息、序列号、签名算法、颁发者、有效期、使用者、主体密钥、公钥签名算法、签名值;
按照预定格式设置待认证证书的证书信息,包括:生成随机数作为待认证证书的序列号;
步骤S3:智能密钥设备设置待认证证书的签名算法并将待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
可选的,在本实施例中,步骤S3包括:
步骤S31:智能密钥设备判断待认证密钥的类型,如为第一类型则执行步骤S32,如为第二类型则执行步骤S33;
步骤S32:智能密钥设备设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数,执行步骤S4;
步骤S33:智能密钥设备设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数,执行步骤S4。
步骤S4:智能密钥设备根据待认证证书的签名算法、使用预置认证容器的私钥对待认证证书进行签名,并将签名结果填充到待认证证书的签名区,将待认证证书返回给上位机;
步骤S5:当智能密钥设备接收到区分设备发送的获取证书指令时,获取内置证书和待认证证书并返回给区分设备,区分设备使用预置认证容器的内置证书验证待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
具体的,在本实施例中,预置认证容器的私钥与预置认证容器的内置证书一一对应。区分设备可以为上位机、第三方工具或其他设备;在该区分设备内保存预置认证容器的公钥。
可选的,本实施例方法还有其他实现方案,例如将步骤S1、步骤S3分别替换为:
步骤S1’:智能密钥设备接收上位机下发的认证指令;
步骤S3’:智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法,从待认证容器中获取的待认证密钥的公钥并设置在待认证证书中,如为假则报错。
具体的,该实现方案中的步骤S3’包括:
步骤S31’:智能密钥设备判断待认证密钥的类型,如为第一类型则执行步骤S32’,如为第二类型则执行步骤S33’;
步骤S32’:智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数,执行步骤S4;如为假则报错;
步骤S33’:智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数,执行步骤S4;如为假则报错。
相应的,步骤S1之前还包括:
步骤B1:当智能密钥设备接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤B2,如为生成密钥指令则执行步骤B3;
步骤B2:智能密钥设备从导入密钥指令中获取密钥并保存到待认证容器中,设置待认证密钥的初始化状态为假,等待接收上位机下发的指令;
优选的,步骤B2具体为:智能密钥设备从导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置待认证密钥的初始化状态为假。
步骤B3:智能密钥设备生成密钥并将密钥与保存到对应的待认证容器中,设置待认证密钥的初始化状态为真,等待接收上位机下发的指令。
优选的,步骤B3具体为:智能密钥设备生成密钥,根据生成密钥指令将密钥保存到对应的待认证容器中,设置待认证密钥的初始化状态为真。
可选的,步骤S4中使用获取的预置认证容器的私钥对待认证证书进行签名之前包括:智能密钥设备获取预置认证容器的私钥。
可选的,步骤S1之前还包括:在生产阶段智能密钥设备设置预置认证容器的内置证书和设置预置认证容器的密钥,预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
优选的,在本实施例中,使用预置认证容器的内置证书验证待认证证书具体为:
步骤C1:智能密钥设备读取预置认证容器的内置证书,判断内置证书是否为一级根证书,则执行步骤C3,否则执行步骤C2;
步骤C2:智能密钥设备根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
步骤C3:智能密钥设备使用内置证书验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
本实施例通过在生产阶段设置预置认证容器的内置证书和认证密钥,使用预置认证容器的内置证书和认证密钥的私钥为待认证密钥颁发一个待认证证书,然后外部的区分设备使用预置认证容器的内置证书验证待认证证书的有效性和合法性,如验证通过即代表为智能密钥设备内产生的,可确保用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。
实施例二
本发明实施例二提供一种区分密钥生成方式的实现方法,如图2所示,包括:
步骤101:当智能密钥设备接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则执行步骤102;
在本实施例中,待认证容器用于存储待认证密钥;
可选的,在本实施例中,步骤101之前还包括:
步骤A1:当智能密钥设备接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤A2,如为生成密钥指令则执行步骤A3;
例如,导入密钥指令为ePass-piv-tool.exe-s 9a-i test1.pfx-p 1234-KPKCS12-a import-key;密钥数据和test1.pfx有关;
生成密钥指令为0047009a 05ac 03800107;
步骤A2:智能密钥设备从导入密钥指令中获取密钥并保存到待认证容器中,根据导入密钥指令设置对应的待认证容器的导入属性为真,给上位机返回导入密钥响应,等待接收上位机下发的指令;
在本实施例中,步骤A2具体为:智能密钥设备从导入密钥指令中获取密钥存储格式的文件(包含pem、pfx、p12等)、指定导入的待认证容器及导入类型,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器,设置指定导入的待认证容器的导入属性为真;
例如,执行导入指令ePass-piv-tool.exe-s 9a-i test.pfx-p 1234-K PKCS12-aimport-key;本实施例从导入密钥指令中获取到的密钥为01 81 80 cd 1b 36 24 3d cadb 64 86 59 11 a0 dd 37 36 5c 62 7a 37 86 d1 0b c1 24 19 49 aa 6b b7 2a b3 b0e3 7b a7 47 08 3b e5 29 82 7a 66 af 43 47 f9 d6 fe c6 f2 13 54 ba 91 03 ac e7f0 f8 77 54 56 f1 3f 3f b8 dc bc f0 2e f2 36 6a 6a d1 69 11 6f 3e f3 b3 be 3e94 04 0b 67 7f 0d 21 4b 3f 51 32 42 03 34 8b 56 08 2c f8 67 39 a3 1e 28 7b ecd6 a4 a1 5b 40 65 b3 20 32 0c 54 dd e8 17 e7 36 48 1b 02 81 80 d6 a3 b7 4b 387e e5 4b cb da 11 14 12 4c 01 8f e8 0b a9 30 c3 eb 16 82 5c 8d 66 e5 ed 33 7ba0 7e cb 71 1c a8 d3 8d d1 7d 57 1d 50 4f ef e5 d8 6c bb 4c 8a a9 ed e2 db 757d 21 4a 77 96 ee f1 c6 6b b8 5f 5e ec 43 cd fc 82 e5 2a 19 a7 c3 06 0f f3 58f7 be 52 74 01 d4 1b 43 bb 0b ec 08 41 b3 30 67 04 ca f7 46 97 95 66 61 5b 6499 e8 bb 18 b2 17 89 5a 55 d6 32 2c 7f 76 d0 d9 8a 7e a7 03 81 80 06 26 53 b840 76 0d 9ff4 fb 44 b1 0b 10 f5 bb 4d 64 96 b7 9f 1a f8 1e 89 f7 90 79 8c 5366 71 de 50 3d d2 be 67 75 56 8a 47 fb 3e 34 09 3b 6f7b d2 21 3d fd 23 5e e7ba 4e 76 06 2d 25 c5 39 94 88 e7 95 0e c1 30 d7 28 54 86 81 62 e2 17 f0 ce 43cc 67 79 ee a9 1c e0 4d 57 7b 37 19 cb 24 f9 8d a0 c3 e2 98 de 95 d1 bf 97 4ee5 70 53 7b 3a 2f 4f 3d fd 61 f0 be 37 e9 33 65 4c 14 6f 93 04 81 80 51 a3 5d91 27 c0 e4 37 eb 26 5b 3e 96 23 00 a9 1a aa 6c c4 d6 8f f1 34 ce 3d 1e 39 2ffa 57 f8 58 a1 ca b90 a e1 c4 5c 3c df 48 90 06 87 89 95 c2 ed 8e 94 63 43 cef8 87 fc 7b 10 16 e2 7a a9 cd 3d a597 e8 c3 d69a 5f83 ed e4107405b2 a5987a 6b68a175 ec 481f c2 a8 3f 45 9c 72 58 d4 7d 2a 8e 84 74 fe 2c de 0f 03 b3 04 f347 4e 82 56 7f 70 b3 9b 4f e4 2a eb 27 4e c6 e5 9b 05 81 80 a6 b6 44 4f 8c 9c66 cc df e5 ab db 51 ff 7f e1 2c 5b c5 fc 54 14 bc dd 7d 58 e0 19 dd 11 55 0b01 98 36 1d 26 8a 9f 33 1e 13 3b 0c 8c 31 1d d9 e3 0d 12 48 98 c9 9c 86 0f 3d47 1e d0 4f 55 28 d0 71 3f ad 72 3a 9a 68 5b f1 c8 91 84 c4 c9 36 90 7b f8 eecb 47 62 e6 99 b7 fb cf 74 e0 a0 f4 de 98 f2 9f b8 e3 15 b1 8a 9b 05 44 f0 93bc fd 5e e6 e3 b6 c4 2f 05 06 99 1e 46 bd 35 50 e2 5d;
步骤A3:智能密钥设备生成密钥并将保存到待认证容器中,根据生成密钥指令设置对应待认证容器的导入属性为假,给上位机返回生成密钥响应,并等待接收上位机下发的指令;
例如,本实施例中生成密钥响应为0405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b3c3d3e3f404142434445464748494a4b4c4d4e4f505152535455565758595a5b5c5d5e5f606162636465666768696a6b6c6d6e6f707172737475767778797a7b7c7d7e7f808182838485868788898a8b8c8d8e8f909192939495969798999a9b9c9d9e9fa0a1a2a3a4a5a6a7a8a9aaabacadaeafb0b1b2b3b4b5b6b7b8b9babbbcbdbebfc0c1c2c3c4c5c6c7c8c9cacbcccdcecfd0d1d2d3d4d5d6d7d8d9dadbdcdddedfe0e1e2e3e4e5e6e7e8e9eaebecedeeeff0f1f2f3f4f5f6f7f8f9fafbfcfdfeff10006c626090211706b5b4f820301000190002;
在本实施例中,步骤A3具体为:智能密钥设备生成密钥,根据生成密钥指令将生成的密钥保存对应的待认证容器中,设置该待认证容器的导入属性为假;
步骤102:智能密钥设备通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书;
步骤103:智能密钥设备将预置认证容器使用者设置为待认证证书的颁发者;
步骤104:智能密钥设备按照预定格式设置待认证证书的证书信息;
在本实施例中,证书信息包括:序列号、签名算法、颁发者、有效期、使用者、主体密钥、公钥签名算法、签名值及扩展项信息;
具体的,步骤104包括:智能密钥设备生成随机数并作为待认证密钥的序列号;
步骤105:智能密钥设备判断待认证密钥的类型,如为第一类型则执行步骤106,如为第二类型则执行步骤107;
在本实施例中,第一类型为ECC(椭圆加密算法)密钥,第二类型为RSA(一种非对称加密算法)密钥;
步骤106:智能密钥设备设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数,执行步骤108;
在本实施例中,设置待认证证书的签名算法为ECC,则优选设置待认证证书的签名算法为ECDSA_SHA_256,否则设置待认证证书的签名算法为ECDSA_SHA;
步骤107:智能密钥设备设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数,执行步骤108;
在本实施例中,设置待认证证书的签名算法如为RSA则优选设置待认证证书的签名算法为RSA_SHA_256,否则设置待认证证书的签名算法为RSA_SHA;
步骤108:智能密钥设备根据已设置的待认证证书的签名算法、使用预置认证容器的私钥对待认证证书进行签名,并将签名结果填充到待认证证书的签名区,将待认证证书返回给上位机;
在本实施例中,使用预置认证容器的私钥对待认证证书进行签名之前包括:获取预置认证容器的私钥;
步骤109:当智能密钥设备接收到区分设备发送的获取证书指令时,获取内置证书和待认证证书并返回给区分设备;
可选的,在本实施例中,智能密钥设备通过获取指令获取预置认证容器的内置证书;本实施例中的区分设备可以为上位机、第三方工具或其他设备;在该区分设备内保存预置认证容器的公钥;
例如,获取的内置证书为30 82 01 df 30 82 01 85 a0 03 02 01 02 02 09 00d7 95 49 bd 1a 67 17 5f 30 0a 06 08 2a 86 48 ce 3d 04 03 02 30 17 31 15 30 1306 03 55 04 03 0c 0c 46 54 20 46 49 44 4f 20 30 32 30 30 30 20 17 0d 31 38 3032 30 31 30 30 30 30 30 30 5a 18 0f 32 30 33 33 30 32 30 31 32 33 35 39 35 395a 30 68 31 0b 30 09 06 03 55 04 06 13 02 55 53 31 1d 30 1b 06 03 55 04 0a 0c14 46 65 69 74 69 61 6e 20 54 6563 68 6e 6f 6c 6f 67 69 65 73 31 22 30 20 0603 55 04 0b 0c 19 41 75 74 68 65 6e 74 69 63 61 74 6f 72 20 41 74 74 65 73 7461 74 69 6f 6e 31 16 30 14 06 03 55 04 03 0c 0d 46 54 20 46 49 44 4f 32 20 3034 37 30 30 59 30 13 06 07 2a 86 48 ce 3d 02 01 06 08 2a 86 48 ce 3d 03 01 0703 42 00 04 ea 84 45 7b 33 8e 20 ae 09 9e b0 f1 11 01 29 37 b2 52 ce f7 197db64b 45 c1 48 ba be b4 84 e8 78 9a 7b e7 90 fe 6e 2c 5f 46 22 96 e4 60 c2 4d16 66 d4 67 61 69 18 0a 0b 0c c9 8d 52 95 03 8d a3 67 30 65 30 1d 06 03 55 1d0e 04 16 04 14 48 02 41 fa 81 29 1d f6 89 97 ad 8c 6d b2 a2 91 3b b0 27 3a 3013 060 b 2b 06 01 04 01 82 e5 1c 02 01 01 04 04 03 02 04 70 30 21 06 0b 2b 0601 04 01 82 e5 1c 01 01 04 04 12 04 10 31 0b 28 30 bd 4a 4d a5 83 2e 9a 0d fc90 ab f2 30 0c 06 03 55 1d 13 01 01 ff 04 02 30 00 30 0a 06 08 2a 86 48 ce 3d04 03 02 03 48 00 30 45 02 21 00 d0 66 51 f7 2e 4a d1 f9 1e af dc ff 6b 8e 180a 0a ae 2d 96 d9 37 47 8f e1 50 75 05 f0 64 9f ce 02 20 73 b6 0f 99 90 b5 5438 96 3e f7 14 06 38 97 9f 3f 71 71 24 f4 9c 1d 31 ec 2dba 9b 59 a1 21 6a;
具体的,在本实施例中,步骤101之前还包括:智能密钥设备设置预置认证容器的内置证书和预置认证容器的密钥,预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥,预置认证容器的公钥设置在内置证书中,为保证安全,此步骤一般在生产过程完成;
优选的,内置证书可以为二级根证书,一级根证书可保存在官网,认证时用一级根证书和二级根证书共同去认证待认证证书或者内置证书为一级根证书,然后直接用此证书去认证为待认证密钥颁发的待认证证书;
步骤110:区分设备使用内置证书验证待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效或非智能密钥设备内生成;
在本实施例中,智能密钥设备验证待认证证书有效后可以使用待认证密钥进行加密或签名操作;
例如,本实施例中的待认证证书为30 82 02 a7 30 82 02 4e a0 03 02 01 0202 10 10 45 5e 9e ea e6 37 69 46 40 ba 1d ef 4d 67 6f 30 0a 06 08 2a 86 48 ce3d 04 03 02 30 68 31 0b 30 09 06 03 55 04 06 0c 02 55 53 31 1d 30 1b 06 03 5504 0a 0c 14 46 65 69 74 69 61 6e 20 54 65 63 68 6e 6f6c 6f 67 69 65 73 31 2230 20 06 03 55 04 0b 0c 19 41 75 74 68 65 6e 74 69 63 61 74 6f 72 20 41 74 7465 73 74 61 74 69 6f 6e 31 16 30 14 06 03 55 04 03 0c 0d 46 54 20 46 49 44 4f32 20 30 34 37 30 30 22 18 0f 32 30 31 38 30 32 30 31 30 30 30 30 30 30 5a 180f 32 30 33 33 30 32 30 31 32 33 35 39 35 39 5a 30 1b 31 19 30 17 06 03 55 0403 0c 10 46 54 20 46 49 44 4f 32 20 30 34 37 30 20 39 41 30 82 01 21 30 0d 0609 2a 86 48 86 f7 0d 01 01 01 05 00 03 82 01 0e 00 30 82 01 09 02 82 01 00 a1f5 3a f0 72 01 d4 01 2a 93 91 b3 4c 28 81 f5 8b 8e cb e1 f0 c4 c 070 9f 84 ca96 d3 00 5b f49a d8 a0 af 1c 79 0e fa 4a 96 97 7e 1b 15 2f 5a 6e 0f 8b 6f 9742 5c 59 6c 36 f7 55 1d 4b 20 3e 8d 39 c8 60 a6 3b c2 f6 26 12 e9 0c 90 c1 aa19 de 12 ba 44 53 9c da 0e cc 31 7b eb 6c ed c5 d5 4d 5a f5 af ef ec ca 31 ac1c 6f 5c 06 5b 03 4e 0f 49 97 6f f9 1d 83 4d 77 2d c8 8c 76 b4 90 91 bb 09 3290 73 03 93 e0 3d 14 2c f0 2a ef 87 b0 93 1c 7d af 59 46 13 f7 6c 02 c4 45 ee53 5c c4 3a a1 c2 cc e5 29 2f d2 3b b9 cf 60 f7 5a a8 dd a3 8d e0 6f 3b 26 5577 e6 7f d9 15 8a 48 d2 8b e5 ad 57 96 8f c4 cd 65 d6 14 7b 66 5e 9a 8f c3 40d9 73 2e 08 4b c0 c7 cc 00 1c 25 9f 85 c6 1c 8b 1d 4f 99 9c 8a fb ed 90 15 46ce cb 1b 84 96 88 0a 27 06 d3 a4 06 c6 26 09 02 11 70 6b 5b 4f 02 03 01 00 01a3 59 30 57 30 1d 06 03 55 1d 0e 04 16 04 14 48 02 41fa 81 29 1d f6 89 97 ad8c 6d b2 a2 91 3b b0 27 3a 30 13 06 0b 2b 06 01 04 01 82 e5 1c 02 01 01 04 0403 02 04 70 30 21 06 0b 2b 06 01 04 01 82 e5 1c 01 01 04 04 12 04 10 31 0b 2830 bd 4a 4d a5 83 2e 9a 0d fc 90 ab f2 30 0a 06 08 2a 86 48 ce 3d 04 03 02 0347 00 30 44 02 20 7b e3 d6 e3 41 67 bf bd 97 48 0c 93 8c e5 3b 91 09 2e 2b bd9e 96 df 9f 5a bc e4 eb ed af f8 e0 02 20 45 2d 96 b0 36 f6 2d 09 17 1b e9 775f fd 88 da cc 5d a6 a7 8e fa 15 b4 22 8b 98 fe 82 77 f4 34;
在本实施例中,智能密钥设备根据内置证书验证待认证证书具体为:
步骤C1:智能密钥设备读取预置认证容器的内置证书,判断内置证书是否为一级根证书,则执行步骤C3,否则执行步骤C2;
步骤C2:智能密钥设备根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
步骤C3:智能密钥设备使用内置证书验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
例如,在本实施例中,智能密钥设备通过openssl使用根证书或根证书的证书链来验证待认证证书。
本实施例通过在生产阶段设置预置认证容器的内置证书和认证密钥,使用预置认证容器的内置证书和认证密钥的私钥为待认证密钥颁发一个待认证证书,然后外部的区分设备使用预置认证容器的内置证书验证待认证证书的有效性和合法性,如验证通过即代表为智能密钥设备内产生的,可确保用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。
实施例三
本发明实施例三提供一种区分密钥生成方式的实现方法,如图3所示,包括:
步骤201:智能密钥设备接收上位机下发的认证指令;
可选的,在本实施例中,步骤201之前还包括:
步骤B1:当智能密钥设备接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤B2,如为生成密钥指令则执行步骤B3;
步骤B2:智能密钥设备从导入密钥指令中获取密钥并保存到待认证容器中,设置待认证密钥的初始化状态为假,给上位机返回导入密钥响应,等待接收上位机下发的指令;
在本实施例中,步骤B2具体为:智能密钥设备从导入密钥指令中获取密钥存储格式的文件(包含pem、pfx、p12等)、指定导入的待认证容器,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置待认证密钥的初始化状态为假;
步骤B3:智能密钥设备生成待认证密钥并保存到待认证容器中,设置待认证密钥的初始化状态为真,给上位机返回生成密钥响应,等待接收上位机下发的指令;
在本实施例中,步骤B3具体为:智能密钥设备生成密钥,根据生成密钥指令将生成的密钥保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真;
步骤202:智能密钥设备通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书;
步骤203:智能密钥设备将预置认证容器使用者设置为待认证证书的颁发者;
步骤204:智能密钥设备按照预定格式设置待认证证书的证书信息;
在本实施例中,证书信息包括:序列号、签名算法、颁发者、有效期、使用者、主体密钥、公钥签名算法、签名值及扩展项信息;
具体的,步骤204包括:智能密钥是被生成随机数并作为待认证密钥的序列号;
步骤205:智能密钥设备判断待认证密钥的类型,如为第一类型则执行步骤206,如为第二类型则执行步骤207;
在本实施例中,第一类型为(椭圆加密算法)密钥ECC,第二类型为RSA(一种非对称加密算法)密钥;
步骤206:智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数,执行步骤208;如为假则报错;
在本实施例中,设置待认证证书的签名算法为ECC,则优选设置待认证证书的签名算法为ECDSA_SHA_256,否则设置待认证证书的签名算法为ECDSA_SHA;
步骤207:智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数,执行步骤208;如为假则报错;
在本实施例中,设置待认证证书的签名算法为RSA则优选设置待认证证书的签名算法为RSA_SHA_256,否则设置待认证证书的签名算法为RSA_SHA;
步骤208:智能密钥设备根据已设置的待认证证书的签名算法、使用预置认证容器的私钥对待认证证书进行签名,并将签名结果填充到待认证证书的签名区,将待认证证书返回给所述上位机;
在本实施例中,使用预置认证容器的私钥对待认证证书进行签名之前包括:获取预置认证容器的私钥;
步骤209:当智能密钥设备接收到区分设备发送的获取证书指令时,获取内置证书和待认证证书并返回给区分设备;
可选的,在本实施例中,智能密钥设备通过获取指令获取预置认证容器的内置证书;本实施例中的区分设备可以为上位机、第三方工具或其他设备;在该区分设备内保存预置认证容器的公钥;
具体的,在本实施例中,步骤201之前还包括:智能密钥设备设置预置认证容器的内置证书和预置认证容器的密钥,预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥,预置认证容器的公钥设置在内置证书中,为保证安全,此步骤一般在生产过程完成;
优选的,内置证书可以为二级根证书,一级根证书可保存在官网,认证时用一级根证书和二级根证书共同去认证待认证证书;
步骤210:区分设备使用内置证书验证待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效或非智能密钥设备内生成;
在本实施例中,智能密钥设备验证待认证证书有效后可以使用待认证密钥进行加密或签名操作;
在本实施例中,智能密钥设备根据内置证书验证待认证证书具体为:
在本实施例中,智能密钥设备根据内置证书验证待认证证书具体为:
步骤C1:智能密钥设备读取预置认证容器的内置证书,判断内置证书是否为一级根证书,则执行步骤C3,否则执行步骤C2;
步骤C2:智能密钥设备根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
步骤C3:智能密钥设备使用内置证书验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
例如,在本实施例中,智能密钥设备通过openssl使用根证书(或根证书的证书链)验证待认证证书。
本实施例通过在生产阶段设置预置认证容器的内置证书和认证密钥,使用预置认证容器的内置证书和认证密钥的私钥为待认证密钥颁发一个待认证证书,然后外部的区分设备使用预置认证容器的内置证书验证待认证证书的有效性和合法性,如验证通过即代表为智能密钥设备内产生的,可确保用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。
实施例四
本发明实施例四提供一种区分密钥生成方式的实现装置,如图4所示,包括:
第一接收判断模块41,用于当接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则触发第一设置模块42;待认证容器用于存储待认证密钥;
第一设置模块42,用于通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为待认证证书的颁发者,并按照预定格式设置待认证证书的证书信息;
第二设置模块43,用于设置待认证证书的签名算法,并将待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
签名返回模块44,用于根据待认证证书的签名算法、使用预置认证容器的私钥对待认证证书进行签名,并将签名结果填充到待认证证书的签名区,将待认证证书返回给上位机;
接收获取返回模块45,用于当接收到区分设备发送的获取证书指令时,获取内置证书和待认证证书并返回给区分设备,区分设备使用预置认证容器的内置证书验证待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
预置认证容器的私钥与预置认证容器的内置证书一一对应。
可选的,本实施例中的区分设备可以为上位机、第三方工具或其他设备;在该区分设备内保存预置认证容器的公钥。
本实施例的装置还包括:
第二接收判断模块,用于当智能密钥设备接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第一获取设置返回模块,如为生成密钥指令则触发第一生成设置返回模块;
第一获取设置返回模块,用于从导入密钥指令中获取密钥并保存到待认证容器中,根据导入密钥指令设置对应待认证容器的导入属性为真,给上位机返回导入密钥响应,等待接收上位机下发的指令;
优选的,第一获取设置返回模块具体用于从导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置待认证容器的导入属性为真,给上位机返回导入密钥响应,等待接收上位机下发的指令;
第一生成设置返回模块,用于生成待认证密钥并保存到待认证容器中,根据生成密钥指令设置对应待认证容器的导入属性为假,给上位机返回生成密钥响应,等待接收上位机下发的指令;
优选的,第一生成设置返回模块具体用于生成密钥,根据生成密钥指令将密钥保存到对应的待认证容器中,设置待认证容器的导入属性为假,给上位机返回生成密钥响应,等待接收上位机下发的指令。
具体的,在本实施例中,第二设置模块43包括:
第一判断单元,用于判断待认证密钥的类型,如为第一类型则触发第一设置单元,如为第二类型则触发第二设置单元;
第一设置单元,用于设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数;
第二设置单元,用于设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数。
可选的,本实施例装置还有其他实现方式,具体为:第一接收判断模块41替换为第一接收模块,第二设置模块43替换为判断设置模块;
第一接收模块,用于接收上位机下发的认证指令;
判断设置模块,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书中,如为假则报错;
具体的,判断设置模块包括:
第二判断单元,用于判断待认证密钥的类型,如为第一类型则触发第一判断设置单元,如为第二类型则触发第二判断设置单元;
第一判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息和待认证证书的扩展项参数;如为假则报错;
第二判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置待认证证书的公钥信息、公钥模长及公钥指数、待认证证书的扩展项参数;如为假则报错。
相应的,上述实现方式中本实施例的装置还包括:
第三接收判断模块,用于当接收到上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第二获取设置返回模块,如为生成密钥指令则触发第二生成设置返回模块;
第二获取设置返回模块,用于从导入密钥指令中获取密钥并保存到待认证容器中,设置待认证密钥的初始化状态为假,给上位机返回导入密钥响应,等待接收上位机下发的指令;
第二获取设置返回模块具体用于从导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置待认证密钥的初始化状态为假,给上位机返回导入密钥响应,等待接收上位机下发的指令。
第二生成设置返回模块,用于生成密钥并保存到对应的待认证容器中,设置待认证密钥的初始化状态为真,给上位机返回生成密钥响应,等待接收上位机下发的指令;
第二生成设置返回模块具体用于生成密钥,根据生成密钥指令将密钥保存到对应的待认证容器中,设置待认证密钥的初始化状态为真,给上位机返回生成密钥响应,等待接收上位机下发的指令。
可选的,本实施例的装置还包括:智能密钥设备获取预置认证容器的私钥。
可选的,本实施例的装置还包括:
设置模块,用于在智能密钥设备生产阶段时设置预置认证容器的内置证书和设置预置认证容器的密钥,预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
在本实施例中,区分设备使用预置认证容器的内置证书验证待认证证书,具体为:区分设备读取预置认证容器的内置证书,判断内置证书是否为一级根证书,如为一级根证书则使用内置证书验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效,如不为一级根证书则根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
本实施例通过在生产阶段设置预置认证容器的内置证书和认证密钥,使用预置认证容器的内置证书和认证密钥的私钥为待认证密钥颁发一个待认证证书,然后外部的区分设备使用预置认证容器的内置证书验证待认证证书的有效性和合法性,如验证通过即代表为智能密钥设备内产生的,可确保用户使用的密钥是在智能密钥设备内生成的,提高用户使用密钥的安全性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (18)

1.一种区分密钥生成方式的实现方法,其特征在于,包括:
步骤S1:当智能密钥设备接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则执行步骤S2;所述待认证容器用于存储待认证密钥;
步骤S2:所述智能密钥设备通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为所述待认证证书的颁发者,并按照预定格式设置所述待认证证书的证书信息;
步骤S3:所述智能密钥设备设置所述待认证证书的签名算法,并将所述待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
步骤S4:所述智能密钥设备根据所述待认证证书的签名算法、使用预置认证容器的私钥对所述待认证证书进行签名,并将签名结果填充到所述待认证证书的签名区,将所述待认证证书返回给所述上位机;
步骤S5:当所述智能密钥设备接收到区分设备发送的获取证书指令时,获取所述内置证书和所述待认证证书并返回给所述区分设备,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
所述预置认证容器的私钥与所述预置认证容器的内置证书一一对应;
所述步骤S1之前还包括:
步骤A1:当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤A2,如为生成密钥指令则执行步骤A3;
步骤A2:所述智能密钥设备从所述导入密钥指令中获取密钥并保存到待认证容器中,根据所述导入密钥指令设置对应待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
步骤A3:所述智能密钥设备生成待认证密钥并保存到待认证容器中,根据所述生成密钥指令设置对应待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令;
所述步骤S3包括:
步骤S31:所述智能密钥设备判断所述待认证密钥的类型,如为第一类型则执行步骤S32,如为第二类型则执行步骤S33;
步骤S32:所述智能密钥设备设置所述待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数,执行步骤S4;
步骤S33:所述智能密钥设备设置所述待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在所述待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数,执行步骤S4;
所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,具体为:
步骤C1:所述区分设备读取预置认证容器的内置证书,判断所述内置证书是否为一级根证书,是则执行步骤C3,否则执行步骤C2;
步骤C2:所述区分设备根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用所述根证书的证书链验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效;
步骤C3:所述区分设备使用所述内置证书验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
2.如权利要求1所述的方法,其特征在于,所述步骤A2具体为:所述智能密钥设备从所述导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将所述获取的密钥存储格式的文件对应保存到指定导入的所述待认证容器中,设置所述待认证容器的导入属性为真。
3.如权利要求1所述的方法,其特征在于,所述步骤A3具体为:所述智能密钥设备生成密钥,根据所述生成密钥指令将所述密钥保存到对应的所述待认证容器中,设置所述待认证容器的导入属性为假。
4.如权利要求1所述的方法,其特征在于,所述步骤S1、步骤S3分别替换为:
步骤S1’:智能密钥设备接收上位机下发的认证指令;
步骤S3’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置所述待认证证书的签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书中,如为假则报错;
所述步骤S3’包括:
步骤S31’:所述智能密钥设备判断所述待认证密钥的类型,如为第一类型则执行步骤S32’,如为第二类型则执行步骤S33’;
步骤S32’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数,执行步骤S4;如为假则报错;
步骤S33’:所述智能密钥设备判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数,执行步骤S4;如为假则报错。
5.如权利要求4所述的方法,其特征在于,所述步骤S1之前还包括:
步骤B1:当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则执行步骤B2,如为生成密钥指令则执行步骤B3;
步骤B2:所述智能密钥设备从所述导入密钥指令中获取密钥并保存到所述待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
步骤B3:所述智能密钥设备生成密钥并保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
6.如权利要求5所述的方法,其特征在于,所述步骤B2具体为:所述智能密钥设备从所述导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将所述获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置所述待认证密钥的初始化状态为假。
7.如权利要求5所述的方法,其特征在于,所述步骤B3具体为:所述智能密钥设备生成密钥,根据所述生成密钥指令将所述密钥保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真。
8.如权利要求1或4所述的方法,其特征在于,所述步骤S4中之前包括:所述智能密钥设备获取所述预置认证容器的私钥。
9.如权利要求1或4所述的方法,其特征在于,所述步骤S1之前还包括:在生产阶段所述智能密钥设备设置预置认证容器的内置证书和设置预置认证容器的密钥,所述预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
10.一种区分密钥生成方式的实现装置,其特征在于,包括:
第一接收判断模块,用于当接收到上位机下发的认证指令时,判断待认证容器的导入属性,如为真则报错,如为假则触发第一设置模块;所述待认证容器用于存储待认证密钥;
所述第一设置模块,用于通过使用预置认证容器中的内置证书为待认证密钥颁发待认证证书,将预置认证容器使用者设置为所述待认证证书的颁发者,并按照预定格式设置所述待认证证书的证书信息;
第二设置模块,用于设置所述待认证证书的签名算法,并将所述待认证容器中的待认证密钥的公钥设置在待认证证书的公钥区中;
签名返回模块,用于根据所述待认证证书的签名算法、使用预置认证容器的私钥对所述待认证证书进行签名,并将签名结果填充到所述待认证证书的签名区,将所述待认证证书返回给所述上位机;
接收获取返回模块,用于当接收到区分设备发送的获取证书指令时,获取所述内置证书和所述待认证证书并返回给所述区分设备,所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,如待认证证书有效则待认证密钥有效且为智能密钥设备内生成,如待认证证书无效则待认证密钥无效和/或非智能密钥设备内生成;
所述预置认证容器的私钥与所述预置认证容器的内置证书一一对应;
所述装置还包括:
第二接收判断模块,用于当所述智能密钥设备接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第一获取设置返回模块,如为生成密钥指令则触发第一生成设置返回模块;
所述第一获取设置返回模块,用于从所述导入密钥指令中获取密钥并保存到待认证容器中,根据所述导入密钥指令设置对应待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
所述第一生成设置返回模块,用于生成待认证密钥并保存到待认证容器中,根据所述生成密钥指令设置对应待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令;
所述第二设置模块包括:
第一判断单元,用于判断所述待认证密钥的类型,如为第一类型则触发第一设置单元,如为第二类型则触发第二设置单元;
所述第一设置单元,用于设置所述待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数;
所述第二设置单元,用于设置所述待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在所述待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数;
所述区分设备使用所述预置认证容器的内置证书验证所述待认证证书,具体为:
所述区分设备读取预置认证容器的内置证书,判断所述内置证书是否为一级根证书,如为一级根证书则使用所述内置证书验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效,如不为一级根证书则根据内置证书中的根证书链从官网中获取根证书,将根证书与内置证书合并为根证书的证书链,并使用根证书的证书链验证所述待认证证书,并判断是否验证成功,是则待认证证书有效,否则待认证证书无效。
11.如权利要求10所述的装置,其特征在于,所述第一获取设置返回模块具体用于从所述导入密钥指令中获取密钥存储格式的文件、指定导入的待认证容器及导入属性,将所述获取的密钥存储格式的文件对应保存到指定导入的所述待认证容器中,设置所述待认证容器的导入属性为真,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令。
12.如权利要求10所述的装置,其特征在于,所述第一生成设置返回模块具体用于生成密钥,根据所述生成密钥指令将所述密钥保存到对应的所述待认证容器中,设置所述待认证容器的导入属性为假,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
13.如权利要求10所述的装置,其特征在于,所述第一接收判断模块替换为第一接收模块,第二设置模块替换为判断设置模块;
所述第一接收模块,用于接收上位机下发的认证指令;
所述判断设置模块,用于判断待认证密钥的初始化状态,如为真则设置所述待认证证书的签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书中,如为假则报错;
所述判断设置模块包括:
第二判断单元,用于判断所述待认证密钥的类型,如为第一类型则触发第一判断设置单元,如为第二类型则触发第二判断设置单元;
所述第一判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第一签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息和所述待认证证书的扩展项参数;如为假则报错;
所述第二判断设置单元,用于判断待认证密钥的初始化状态,如为真则设置待认证证书的签名算法为第二签名算法,从所述待认证容器中获取待认证密钥的公钥并设置在待认证证书的公钥区中,设置所述待认证证书的公钥信息、公钥模长及公钥指数、所述待认证证书的扩展项参数;如为假则报错。
14.如权利要求13所述的装置,其特征在于,还包括:
第三接收判断模块,用于当接收到所述上位机下发的指令时,判断指令的类型,如为导入密钥指令则触发第二获取设置返回模块,如为生成密钥指令则触发第二生成设置返回模块;
所述第二获取设置返回模块,用于从所述导入密钥指令中获取密钥并保存到所述待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令;
所述第二生成设置返回模块,用于生成密钥并保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
15.如权利要求14所述的装置,其特征在于,所述第二获取设置返回模块具体用于从所述导入密钥指令中获取密钥存储格式的文件和指定导入的待认证容器,将所述获取的密钥存储格式的文件对应保存到指定导入的待认证容器中,设置所述待认证密钥的初始化状态为假,给所述上位机返回导入密钥响应,等待接收所述上位机下发的指令。
16.如权利要求14所述的装置,其特征在于,所述第二生成设置返回模块具体用于生成密钥,根据所述生成密钥指令将所述密钥保存到对应的待认证容器中,设置所述待认证密钥的初始化状态为真,给所述上位机返回生成密钥响应,等待接收所述上位机下发的指令。
17.如权利要求10或13所述的装置,其特征在于,还包括:所述智能密钥设备获取所述预置认证容器的私钥。
18.如权利要求10或13所述的装置,其特征在于,还包括:
设置模块,用于在智能密钥设备生产阶段时设置预置认证容器的内置证书和设置预置认证容器的密钥,所述预置认证容器的密钥包括预置认证容器的私钥和预置认证容器的公钥。
CN202010328786.5A 2020-04-23 2020-04-23 一种区分密钥生成方式的实现方法及装置 Active CN111414638B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010328786.5A CN111414638B (zh) 2020-04-23 2020-04-23 一种区分密钥生成方式的实现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010328786.5A CN111414638B (zh) 2020-04-23 2020-04-23 一种区分密钥生成方式的实现方法及装置

Publications (2)

Publication Number Publication Date
CN111414638A CN111414638A (zh) 2020-07-14
CN111414638B true CN111414638B (zh) 2023-03-24

Family

ID=71493604

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010328786.5A Active CN111414638B (zh) 2020-04-23 2020-04-23 一种区分密钥生成方式的实现方法及装置

Country Status (1)

Country Link
CN (1) CN111414638B (zh)

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004193684A (ja) * 2002-12-06 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> 署名者装置におけるディジタル署名方法、第三者機関装置におけるディジタル署名方法、ディジタル署名の真正性判定方法、署名者装置、第三者機関装置、ディジタル署名の真正性判定装置、署名者装置用ディジタル署名プログラム、第三者機関装置用ディジタル署名プログラム、ディジタル署名の真正性判定プログラム、およびプログラム記録媒体
CN101977193A (zh) * 2010-10-28 2011-02-16 北京飞天诚信科技有限公司 安全下载证书的方法及系统
CN102761420A (zh) * 2012-08-08 2012-10-31 飞天诚信科技股份有限公司 一种安全认证方法
CN104639561A (zh) * 2015-02-27 2015-05-20 飞天诚信科技股份有限公司 一种安全获取密钥的方法
CN105160242A (zh) * 2015-08-07 2015-12-16 北京亿速码数据处理有限责任公司 一种读卡器的证书加载方法、证书更新方法及读卡器
CN105184566A (zh) * 2015-06-16 2015-12-23 飞天诚信科技股份有限公司 一种智能密钥设备的工作方法
CN105827655A (zh) * 2016-05-27 2016-08-03 飞天诚信科技股份有限公司 一种智能密钥设备及其工作方法
CN107317677A (zh) * 2017-05-25 2017-11-03 苏州科达科技股份有限公司 密钥存储及设备身份认证方法、装置
CN107888381A (zh) * 2017-11-09 2018-04-06 飞天诚信科技股份有限公司 一种密钥导入的实现方法、装置及系统
CN108377190A (zh) * 2018-02-14 2018-08-07 飞天诚信科技股份有限公司 一种认证设备及其工作方法
CN108768664A (zh) * 2018-06-06 2018-11-06 腾讯科技(深圳)有限公司 密钥管理方法、装置、系统、存储介质和计算机设备
US10162968B1 (en) * 2017-11-30 2018-12-25 Mocana Corporation System and method for securely updating a registered device using a development system and a release management system operated by an update provider and an update publisher
CN110061848A (zh) * 2019-04-17 2019-07-26 飞天诚信科技股份有限公司 一种安全导入支付终端密钥的方法、支付终端及系统
WO2020034907A1 (zh) * 2018-08-16 2020-02-20 腾讯科技(深圳)有限公司 认证信息传输方法、密钥管理客户端及计算机设备
CN110889123A (zh) * 2019-11-01 2020-03-17 浙江地芯引力科技有限公司 一种认证方法及密钥对的处理方法、装置与可读存储介质

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004193684A (ja) * 2002-12-06 2004-07-08 Nippon Telegr & Teleph Corp <Ntt> 署名者装置におけるディジタル署名方法、第三者機関装置におけるディジタル署名方法、ディジタル署名の真正性判定方法、署名者装置、第三者機関装置、ディジタル署名の真正性判定装置、署名者装置用ディジタル署名プログラム、第三者機関装置用ディジタル署名プログラム、ディジタル署名の真正性判定プログラム、およびプログラム記録媒体
CN101977193A (zh) * 2010-10-28 2011-02-16 北京飞天诚信科技有限公司 安全下载证书的方法及系统
CN102761420A (zh) * 2012-08-08 2012-10-31 飞天诚信科技股份有限公司 一种安全认证方法
CN104639561A (zh) * 2015-02-27 2015-05-20 飞天诚信科技股份有限公司 一种安全获取密钥的方法
CN105184566A (zh) * 2015-06-16 2015-12-23 飞天诚信科技股份有限公司 一种智能密钥设备的工作方法
CN105160242A (zh) * 2015-08-07 2015-12-16 北京亿速码数据处理有限责任公司 一种读卡器的证书加载方法、证书更新方法及读卡器
CN105827655A (zh) * 2016-05-27 2016-08-03 飞天诚信科技股份有限公司 一种智能密钥设备及其工作方法
CN107317677A (zh) * 2017-05-25 2017-11-03 苏州科达科技股份有限公司 密钥存储及设备身份认证方法、装置
CN107888381A (zh) * 2017-11-09 2018-04-06 飞天诚信科技股份有限公司 一种密钥导入的实现方法、装置及系统
US10162968B1 (en) * 2017-11-30 2018-12-25 Mocana Corporation System and method for securely updating a registered device using a development system and a release management system operated by an update provider and an update publisher
CN108377190A (zh) * 2018-02-14 2018-08-07 飞天诚信科技股份有限公司 一种认证设备及其工作方法
CN108768664A (zh) * 2018-06-06 2018-11-06 腾讯科技(深圳)有限公司 密钥管理方法、装置、系统、存储介质和计算机设备
WO2020034907A1 (zh) * 2018-08-16 2020-02-20 腾讯科技(深圳)有限公司 认证信息传输方法、密钥管理客户端及计算机设备
CN110061848A (zh) * 2019-04-17 2019-07-26 飞天诚信科技股份有限公司 一种安全导入支付终端密钥的方法、支付终端及系统
CN110889123A (zh) * 2019-11-01 2020-03-17 浙江地芯引力科技有限公司 一种认证方法及密钥对的处理方法、装置与可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"PUFSSL: An OpenSSL Extension for PUF based Authentication";U. Chatterjee et al.;《2018 IEEE 23rd International Conference on Digital Signal Processing (DSP)》;20190203;全文 *
"非对称加密算法在身份认证中的应用研究";王煜等;《计算机技术与发展》;20190925;全文 *

Also Published As

Publication number Publication date
CN111414638A (zh) 2020-07-14

Similar Documents

Publication Publication Date Title
CN106603485B (zh) 密钥协商方法及装置
CN106656481B (zh) 身份认证方法、装置以及系统
CN112688784B (zh) 一种数字签名、验证方法、装置及系统
CN108512846B (zh) 一种终端与服务器之间的双向认证方法和装置
CN101828357B (zh) 用于证书提供的方法和装置
CN108377190B (zh) 一种认证设备及其工作方法
CN107969001B (zh) 一种蓝牙配对双向认证的方法及装置
CN107743067B (zh) 数字证书的颁发方法、系统、终端以及存储介质
CN101527633B (zh) 智能密钥设备获取数字证书的方法
CN103136664B (zh) 具有电子签名功能的智能卡交易系统及方法
CN107358441B (zh) 支付验证的方法、系统及移动设备和安全认证设备
CN108599950A (zh) 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法
CN102595213B (zh) 可信电视终端安全认证方法和系统
CA2518032A1 (en) Methods and software program product for mutual authentication in a communications network
CN105553932A (zh) 智能家电设备的远程控制安全绑定方法、装置和系统
CN103098414B (zh) 用于基于证书进行认证的方法
CN108243181A (zh) 一种车联网终端、数据加密方法及车联网服务器
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN102594803B (zh) 信息安全设备及服务器时间同步方法
CN104094267A (zh) 安全共享来自源装置的媒体内容的方法、装置和系统
CN113781678A (zh) 无网环境下车辆蓝牙钥匙生成与鉴权方法及系统
CN105827656A (zh) 基于nfc支付的身份认证方法及装置
CN100517357C (zh) 安全许可密钥方法和系统
CN104735064B (zh) 一种标识密码系统中标识安全撤销并更新的方法
CN104486322B (zh) 终端接入认证授权方法及终端接入认证授权系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant