CN117932565A - 一种基于非对称密码体系的授权控制方法及系统 - Google Patents

一种基于非对称密码体系的授权控制方法及系统 Download PDF

Info

Publication number
CN117932565A
CN117932565A CN202311810153.8A CN202311810153A CN117932565A CN 117932565 A CN117932565 A CN 117932565A CN 202311810153 A CN202311810153 A CN 202311810153A CN 117932565 A CN117932565 A CN 117932565A
Authority
CN
China
Prior art keywords
client
server
user
certificate
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311810153.8A
Other languages
English (en)
Inventor
钟源
郑杰骞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN202311810153.8A priority Critical patent/CN117932565A/zh
Publication of CN117932565A publication Critical patent/CN117932565A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于非对称密码体系的授权控制方法及系统。其中,该方法包括:客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对其进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。

Description

一种基于非对称密码体系的授权控制方法及系统
技术领域
本发明涉及密码技术领域,并且更具体地,涉及一种基于非对称密码体系的授权控制方法及系统。
背景技术
软件作者或软件服务商提供商业软件给用户使用,为了防止非法拷贝和使用,通常使用软件授权的方式来控制软件的使用权限,授权方式大同小异,最常见的方法是采集软件运行所在计算机的用户标识/硬件信息后由软件提供方生成特定授权码,授权码通常是一段自定义格式二进制数据,通常采用对称算法或某种数据变化来生成,软件运行时需要输入并检测特定授权码以达到软件授权的目的。
客户端和服务端之间的身份认证问题和传输数据容易被篡改,客户端和服务端之间的传输数据保密性不能得到保障。
发明内容
根据本发明,提供了一种方基于非对称密码体系的授权控制法及系统,以解决客户端和服务端之间的身份认证问题和传输数据容易被篡改,客户端和服务端之间的传输数据保密性不能得到保障的技术问题。
根据本发明的第一个方面,提供了一种基于非对称密码体系的授权控制方法,所述方法运行于客户端和服务端,包括:
客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,
将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
可选地,客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端,包括:
将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
可选地,服务端分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,包括:
直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
可选地,对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥,包括:
从服务端证书主题得到客户端的计算机硬件标识;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
可选地,客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行,包括:
客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
根据本发明的另一个方面,还提供了一种基于非对称密码体系的授权控制系统,包括:
封装软件授权请求模块,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
封装软件授权证书模块,用于服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
进入授权状态运行模块,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
可选地,封装软件授权请求模块,包括:
确定客户端证书主题子模块,用于将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
计算客户端用户公钥子模块,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
确定客户端请求属性子模块,用于将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
得到客户端用户签名子模块,用于通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
封装软件授权请求子模块,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
可选地,封装软件授权证书模块,包括:
获得服务端证书主题子模块,用于直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
获得服务端用户公钥子模块,用于对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
获得服务端证书属性子模块,用于基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
得到服务端签名子模块,用于通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
可选地,获得服务端用户公钥子模块,包括:
得到计算机硬件标识单元,用于从服务端证书主题得到客户端的计算机硬件标识;
计算服务端用户公钥单元,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
对比验证用户公钥单元,用于将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
直接取值用户公钥单元,用于当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
可选地,进入授权状态运行模块,包括:
解析X509格式软件授权证书子模块,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
验证服务端签名子模块,用于客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
得到用户敏感信息子模块,用于客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
进入授权状态运行子模块,用于通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
从而,PKCS10证书请求格式的授权申请和X509数字证书格式的授权证书,这两种格式都有国际标准,所有主流操作系统Windows、Linux、iMac等都支持,可以在客户端和服务端操作系统中直接点击查看授权证书文件,可以直观的查看授权内容,对于服务端的授权信息管理和软件开发十分方便。客户端和服务端各自拥有非对称密钥,申请和授权过程中使用了数字签名技术,解决了客户端和服务端之间的身份认证问题和传输数据被篡改问题;申请和授权过程中还使用了数字加密技术,解决了客户端和服务端之间的传输数据保密性问题;以计算机硬件标识为输入,使用单向摘要算法加上转换算法的计算结果作为客户端的用户私钥,用户私钥可以作为用户的身份标识,并且单向摘要算法加上转换算法的单向性、随机性、防碰撞性和保密性保证了用户私钥的不可伪造和唯一性,也解决了使用用户私钥需要专用密码设备存储的问题,并且把硬件唯一标识和用户身份绑定,解决了软件非法拷贝跳过授权的问题。申请和授权过程中使用了摘要算法、签名算法、加密算法,任何一个算法的验证比对过程出现错误,都会导致正常流程出错和终止,增加了授权的安全性和和软件破解的难度。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本实施方式所述的一种基于非对称密码体系的授权控制方法的示意图;
图2为本实施方式所述的客户端PKCS10证书授权请求示意图;
图3为本实施方式所述的服务端X509授权证书示意图;
图4为本实施方式所述的客户端使用授权证书控制软件授权的示意图;
图5为本实施方式所述的一种基于非对称密码体系的授权控制系统的示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
根据本发明的第一个方面,提供了一种基于非对称密码体系的授权控制方法100,参考图1所示,该方法100包括:
S101:客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
S102:服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
S103:客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
具体地,客户端为用户计算机系统运行的未授权软件,服务端为软件提供方授权系统。
客户端使用PKCS10证书请求格式标准作为进行软件授权申请的数据格式,PKCS10标准是一种数字证书请求语法标准,将使用PKCS10标准的证书请求的组成要素分为:证书主题、用户公钥、请求属性以及使用用户私钥对这前面三个要素的数字签名;
服务端使用X509证书格式标准作为对客户端的软件授权申请颁发的授权的数据格式,X509是一种数字证书格式,本方案中把X509数字证书的组成要素分为:证书主题、用户公钥、证书属性以及使用服务端私钥对这前面三个要素的数字签名;
服务端有自己的私钥和对应的数字证书或公钥,客户端在软件使用前没有自已的用户私钥,客户端使用的软件在编译过程中嵌入了服务端数字证书或服务端公钥,数字证书中包含了公钥。
本方案所使用的私钥类型可以为通用非对称算法类型RSA、ECC、SM2等,密钥模长可以不限定,摘要算法类型可以先不限定,转换算法可以自定义不限定。
1)客户端授权请求,如图2所示。
客户端需要得到证书请求的组成要素,具体为:
a.证书主题,客户端软件采集计算机硬件标识如CPU、网卡等标识作为证书主题;证书主题代表客户端用户身份;
b.用户公钥,使用私钥生成算法对计算机硬件标识进行运算,运算结果作为用户私钥,从用户私钥可以计算出用户公钥;用户身份和用户公钥、用户私钥有对应关系,无法伪装;
用户私钥的生成算法为摘要算法加模长变化组合,即私钥prikey=H(x1||x2||x3...),H()为变化组合算法,X1~n为多个计算机硬件标识组合,非对称密码算法的私钥的组成要素通常为固定模长的大质数或随机数,大质数同样也表现为一个随机数,摘要算法的结果也是固定模长的随机数,只要对摘要算法的结果进行适当模长组合或截取,使之模长满足私钥要素要求,就可以对唯一的输入使用摘要算法加转换算法计算出唯一的私钥,摘要算法计算结果的单向性和随机性也能满足这种软件基本所需私钥的安全性,公钥可用根据私钥计算得出,公钥pubkey=G(prikey),G()为私钥计算出公钥的单向算法。
c.请求属性,请求属性包括公开信息和加密信息,公开信息为软件授权内容如用户名、单位、地区、使用次数、使用期限、功能等,加密信息为使用服务端公钥对用户敏感信息(手机、邮箱等)加密得到,公开信息和加密信息放入请求属性字段中,授权密文只有服务端私钥才可以解密,保证只有服务端才可以作为接收方;
d.用户签名,使用用户私钥对证书主题、请求属性和用户公钥进行签名运算后得到签名;用户签名只有用户私钥才可以签发出来,不可伪造和抵赖。
客户端将证书主题、用户公钥、请求属性、用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
2)服务端授权生成,如图3所示。
服务端对PKCS10格式软件授权请求进行解析得到证书主题、用户公钥、请求属性、用户签名,服务端生成需要X509证书格式的软件授权,主要由这四项组成:证书主题、用户公钥、证书属性、服务端签名。
a.证书主题,软件授权中的证书主题直接取值于软件授权请求中的证书主题;
b.用户公钥,软件授权中的用户公钥直接取值于软件授权请求中的用户公钥,需要验证公钥是否被修改,验证方式:从证书主题得到客户端计算机硬件标识,再使用和客户端同样的用户公钥生成方式计算得到用户公钥,和软件授权请求中的用户公钥进行比对验证,验证通过才能进行后续步骤;
然后,可以使用用户公钥对证书主题、请求属性和用户签名、进行签名验证运算,验证通过才能进行后续步骤;
c.证书属性,从授权请求中的请求属性字段得到客户端请求的加密信息和公开信息,使用服务端私钥对加密信息解密得到用户敏感信息,解密成功才能证明授权请求来自的客户端内置了和服务端一致的服务端公钥,验证通过才能进行后续步骤;
服务端可以检查请求的公开信息中的授权内容,判断使用次数、使用期限等是否合理,可以对使用次数、使用期限等重新赋值,然后服务端使用用户公钥对用户敏感信息进行加密得到加密信息,然后将授权内容和加密信息放入授权证书的证书属性字段,其中加密信息只有客户端使用用户私钥私钥才可以解密,保证只有客户端才可以作为接收方;
d.服务端签名,使用服务端私钥对证书主题、证书属性和用户公钥进行签名运算后得到签名;服务端签名只有服务端私钥才可以签发出来,不可伪造和抵赖。
服务端将证书主题、用户公钥、证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端。
3)客户端授权导入和验证流程如图4所示。
步骤1.客户端对X509格式软件授权证书进行解析得到证书主题、用户公钥、证书属性、服务端签名;
步骤2.客户端使用内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
步骤3.客户端使用用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
步骤4.证书主题用户客户端信息查看;
步骤5.使用证书属性字段的授权内容来对软件运行时的功能和权限进行控制;
步骤6.上述流程全部通过,软件进入授权状态运行。
可选地,客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端,包括:
将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
可选地,服务端分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,包括:
直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
可选地,对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥,包括:
从服务端证书主题得到客户端的计算机硬件标识;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
可选地,客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行,包括:
客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
从而,PKCS10证书请求格式的授权申请和X509数字证书格式的授权证书,这两种格式都有国际标准,所有主流操作系统Windows、Linux、iMac等都支持,可以在客户端和服务端操作系统中直接点击查看授权证书文件,可以直观的查看授权内容,对于服务端的授权信息管理和软件开发十分方便。客户端和服务端各自拥有非对称密钥,申请和授权过程中使用了数字签名技术,解决了客户端和服务端之间的身份认证问题和传输数据被篡改问题;申请和授权过程中还使用了数字加密技术,解决了客户端和服务端之间的传输数据保密性问题;以计算机硬件标识为输入,使用单向摘要算法加上转换算法的计算结果作为客户端的用户私钥,用户私钥可以作为用户的身份标识,并且单向摘要算法加上转换算法的单向性、随机性、防碰撞性和保密性保证了用户私钥的不可伪造和唯一性,也解决了使用用户私钥需要专用密码设备存储的问题,并且把硬件唯一标识和用户身份绑定,解决了软件非法拷贝跳过授权的问题。申请和授权过程中使用了摘要算法、签名算法、加密算法,任何一个算法的验证比对过程出现错误,都会导致正常流程出错和终止,增加了授权的安全性和和软件破解的难度。
根据本发明的另一个方面,还提供了一种基于非对称密码体系的授权控制系统500,参考图5所示,该系统500包括:
封装软件授权请求模块510,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
封装软件授权证书模块520,用于服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
进入授权状态运行模块530,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
可选地,封装软件授权请求模块,包括:
确定客户端证书主题子模块,用于将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
计算客户端用户公钥子模块,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
确定客户端请求属性子模块,用于将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
得到客户端用户签名子模块,用于通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
封装软件授权请求子模块,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
可选地,封装软件授权证书模块,包括:
获得服务端证书主题子模块,用于直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
获得服务端用户公钥子模块,用于对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
获得服务端证书属性子模块,用于基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
得到服务端签名子模块,用于通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
可选地,获得服务端用户公钥子模块,包括:
得到计算机硬件标识单元,用于从服务端证书主题得到客户端的计算机硬件标识;
计算服务端用户公钥单元,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
对比验证用户公钥单元,用于将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
直接取值用户公钥单元,用于当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
可选地,进入授权状态运行模块,包括:
解析X509格式软件授权证书子模块,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
验证服务端签名子模块,用于客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
得到用户敏感信息子模块,用于客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
进入授权状态运行子模块,用于通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
本发明的实施例的一种基于非对称密码体系的授权控制系统500与本发明的另一个实施例的一种基于非对称密码体系的授权控制方法100相对应,在此不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种基于非对称密码体系的授权控制方法,其特征在于,所述方法运行于客户端和服务端,包括:
客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
2.根据权利要求1所述的方法,其特征在于,客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端,包括:
将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
3.根据权利要求2所述的方法,其特征在于,服务端分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,包括:
直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
4.根据权利要求3所述的方法,其特征在于,对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥,包括:
从服务端证书主题得到客户端的计算机硬件标识;
基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
5.根据权利要求1所述的方法,其特征在于,客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行,包括:
客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
6.一种基于非对称密码体系的授权控制系统,其特征在于,所述系统运行于客户端和服务端,包括:
封装软件授权请求模块,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端;
封装软件授权证书模块,用于服务端接收所述软件授权请求后进行解压,获得客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名,分别对所述客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名进行处理,获得服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,将服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名按照X509格式封装成软件授权证书发送给客户端;
进入授权状态运行模块,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名,软件进入授权状态进行运行。
7.根据权利要求6所述的系统,其特征在于,封装软件授权请求模块,包括:
确定客户端证书主题子模块,用于将计算机硬件标识作为客户端证书主题,代表客户端用户身份;
计算客户端用户公钥子模块,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为客户端用户私钥,根据所述客户端用户私钥计算客户端用户公钥,其中,客户端用户身份、客户端用户私钥、客户端用户公钥一一对应;
确定客户端请求属性子模块,用于将公开信息和加密信息放入请求属性字段中,确定客户端请求属性,所述客户端请求属性包括公开信息和加密信息,其中所述加密信息只有服务端私钥能够解密,包括用户敏感信息;
得到客户端用户签名子模块,用于通过客户端用户私钥对客户端证书主题、客户端请求属性、客户端用户公钥进行签名运算后得到客户端用户签名,其中所述客户端用户签名只有客户端用户私钥签发出来;
封装软件授权请求子模块,用于客户端将客户端证书主题、客户端用户公钥、客户端请求属性、客户端用户签名按照PKCS10格式封装成软件授权请求发送给服务端。
8.根据权利要求7所述的系统,其特征在于,封装软件授权证书模块,包括:
获得服务端证书主题子模块,用于直接取值软件授权请求中的客户端证书主题作为服务端证书主题;
获得服务端用户公钥子模块,用于对软件授权请求中的客户端用户公钥进行验证,当客户端用户公钥验证通过后,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥;
获得服务端证书属性子模块,用于基于客户端请求属性,获得公开信息和加密信息作为服务端证书属性,通过服务端私钥对所述加密信息进行解密,若解密成功,则得到用户敏感信息,证明授权请求来自的客户端内置了和服务端一致的服务端公钥;
得到服务端签名子模块,用于通过服务端用户私钥对服务端证书主题、服务端证书属性、服务端用户公钥进行签名运算后得到服务端签名,其中所述服务端签名只有服务端用户私钥签发出来。
9.根据权利要求8所述的系统,其特征在于,获得服务端用户公钥子模块,包括:
得到计算机硬件标识单元,用于从服务端证书主题得到客户端的计算机硬件标识;
计算服务端用户公钥单元,用于基于私钥生成算法对所述计算机硬件标识进行运算获得运算结果,将所述运算结果作为服务端用户私钥,根据所述服务端用户私钥计算服务端用户公钥,其中,服务端用户身份、服务端用户私钥、服务端用户公钥一一对应;
对比验证用户公钥单元,用于将所述服务端用户公钥与软件授权请求中的客户端用户公钥进行比对验证;
直接取值用户公钥单元,用于当所述服务端用户公钥与软件授权请求中的客户端用户公钥一致,验证通过,直接取值软件授权请求中的客户端用户公钥作为服务端用户公钥。
10.根据权利要求6所述的系统,其特征在于,进入授权状态运行模块,包括:
解析X509格式软件授权证书子模块,用于客户端对X509格式软件授权证书进行解析得到服务端证书主题、服务端用户公钥、服务端证书属性、服务端签名;
验证服务端签名子模块,用于客户端根据内置的服务端证书验证服务端签名有效性后,证明证书授权是由服务端签发;
得到用户敏感信息子模块,用于客户端根据用户私钥解密证书属性字段中的加密信息得到用户敏感信息,证明证书授权是专门颁发给客户端用户的,用户敏感信息用于客户端信息查看;
进入授权状态运行子模块,用于通过客户端信息查看端证书主题,基于证书属性字段的授权内容来对软件运行时的功能和权限进行控制,软件进入授权状态进行运行。
CN202311810153.8A 2023-12-26 2023-12-26 一种基于非对称密码体系的授权控制方法及系统 Pending CN117932565A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311810153.8A CN117932565A (zh) 2023-12-26 2023-12-26 一种基于非对称密码体系的授权控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311810153.8A CN117932565A (zh) 2023-12-26 2023-12-26 一种基于非对称密码体系的授权控制方法及系统

Publications (1)

Publication Number Publication Date
CN117932565A true CN117932565A (zh) 2024-04-26

Family

ID=90752971

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311810153.8A Pending CN117932565A (zh) 2023-12-26 2023-12-26 一种基于非对称密码体系的授权控制方法及系统

Country Status (1)

Country Link
CN (1) CN117932565A (zh)

Similar Documents

Publication Publication Date Title
CN110493197B (zh) 一种登录处理方法及相关设备
CN105095696B (zh) 对应用程序进行安全认证的方法、系统及设备
CN102024127B (zh) 应用软件控制平台、使用者终端、分发系统及方法
CN1985466B (zh) 使用分发cd按签署组向设备传递直接证据私钥的方法
EP2221742B1 (en) Authenticated communication between security devices
US6072874A (en) Signing method and apparatus using the same
CN107248075B (zh) 一种实现智能密钥设备双向认证和交易的方法及装置
US8495383B2 (en) Method for the secure storing of program state data in an electronic device
CN106571951B (zh) 审计日志获取方法、系统及装置
US20080209231A1 (en) Contents Encryption Method, System and Method for Providing Contents Through Network Using the Encryption Method
WO2019166001A1 (zh) 令牌生成和校验方法及智能终端
CN102024107A (zh) 应用软件控制平台、开发者终端、分发系统及方法
JP2016515235A5 (zh)
CN102171652A (zh) 为电子装置提供可信软件的方法
CN110414190B (zh) 应用安装包的签名方法、相关装置、存储介质及电子设备
CN114697040B (zh) 一种基于对称密钥的电子签章方法和系统
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN115242553B (zh) 一种支持安全多方计算的数据交换方法及系统
CN114726536B (zh) 一种时间戳生成方法、装置、电子设备及存储介质
WO2018189538A1 (en) Storing data on target data processing devices
CN100437422C (zh) 软件使用权加密保护的系统和方法
CN112448810A (zh) 一种认证方法以及装置
CN113872769B (zh) 基于puf的设备认证方法、装置、计算机设备及存储介质
CN117932565A (zh) 一种基于非对称密码体系的授权控制方法及系统
CN106161027A (zh) 一种手机准数字证书子系统及其系统及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication