JP2016523060A - 電子署名トークンの私有鍵のバックアップ方法およびシステム - Google Patents

電子署名トークンの私有鍵のバックアップ方法およびシステム Download PDF

Info

Publication number
JP2016523060A
JP2016523060A JP2016514256A JP2016514256A JP2016523060A JP 2016523060 A JP2016523060 A JP 2016523060A JP 2016514256 A JP2016514256 A JP 2016514256A JP 2016514256 A JP2016514256 A JP 2016514256A JP 2016523060 A JP2016523060 A JP 2016523060A
Authority
JP
Japan
Prior art keywords
electronic signature
signature token
private key
token
data package
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016514256A
Other languages
English (en)
Other versions
JP5954609B1 (ja
Inventor
ドンシェン リー、
ドンシェン リー、
Original Assignee
テンディロン コーポレイション
テンディロン コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テンディロン コーポレイション, テンディロン コーポレイション filed Critical テンディロン コーポレイション
Application granted granted Critical
Publication of JP5954609B1 publication Critical patent/JP5954609B1/ja
Publication of JP2016523060A publication Critical patent/JP2016523060A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

電子署名トークン私有鍵のバックアップ方法およびシステムを提供する。第一電子署名トークンが第一署名を含む私有鍵のバックアップ請求に係るデータパッケージを送信するステップ、第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するステップ、検証にパスした場合、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップ、バックアップ関係がある場合、第二電子署名トークンの私有鍵に対して暗号化処理し、第二署名および暗号化した私有鍵を含む私有鍵のバックアップ応答に係るデータパッケージを送信するステップ、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証するステップ、検証にパスした場合、第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判断するステップ、バックアップ関係がある場合、暗号化した私有鍵に対して復号化処理するステップ、を含む。【選択図】図1

Description

この発明は、電子技術領域に関し、特に電子署名トークンの私有鍵のバックアップ方法およびシステムに関する。
従来技術においては、電子署名トークンの中に、ユーザの私有鍵およびデジタル署名を記憶しており、USB Keyに記憶している公開鍵アルゴリズムによって、ユーザ身分の認証を実現する。従来の電子署名トークンに対しては、理論的にユーザの私有鍵を読み取ることができない。それによって、ユーザ認証の安全性を保障する。しかし、電子署名トークンを無くしたら、元の私有鍵を得られないので、ユーザが改めて電子署名トークンを作らなければならないし、私有鍵やシリアル番号などの情報も改めて配ってもらう。これは、電子署名トークンの更新過程を行う必要があり、電子署名トークンのメンテナンスコストを上げる。したがって、如何に効率よく電子署名トークンをメンテナンスするかは、現在の重要な課題となっている。
本発明の目的は、従来技術における前記一つの問題を解決するために、電子署名トークンの私有鍵のバックアップ方法およびシステムを提供することにある。
前記目的を達成するために、本発明は、電子署名トークン私有鍵のバックアップ方法を提供する。当方法は、第一電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを送信するステップであって、私有鍵のバックアップ請求に係るデータパッケージが、CA私有鍵により少なくとも第一電子署名トークンのバックアップ関係を記録する第一指示メッセージに対し署名処理して得られる第一署名を含むステップと、第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを受信した後、私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するステップと、検証にパスした場合、第一指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップと、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係がある場合、第二電子署名トークンが第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得るステップと、第二電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージを送信するステップであって、私有鍵のバックアップ応答に係るデータパッケージが、CA私有鍵により少なくとも第二電子署名トークンのバックアップ関係を記録する第二指示メッセージに対し署名処理して得られる第二署名、および、暗号化した第二電子署名トークンの私有鍵を含むステップと、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージを受信した後、私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証するステップと、検証にパスした場合、第二指示メッセージにより第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判断するステップと、第二電子署名トークンと第一電子署名トークンの間にバックアップ関係がある場合、第一電子署名トークンが、私有鍵のバックアップ応答に係るデータバッケージの中の暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得るステップと、を含む。
その中に、第一指示メッセージは第一電子署名トークンの第一識別子グループである。第一識別子グループは、第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含む。第一指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第二電子署名トークンの識別子が第一識別子グループに含まれるか否かを判断するステップを含む。
その中に、第一指示メッセージは第一電子署名トークンの識別子である。指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するステップであって、第二識別子グループは、第二電子署名トークンの識別子、および、第二電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含むステップ、を含む。
その中に、第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証することは、第二電子署名トークンが、CA公開鍵により私有鍵のバックアップ請求に係るデータパッケージにおける第一署名を検証することを含む。
その中に、第一電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを送信するステップは、第一電子署名トークンが、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するステップを含む。また、第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証する前に、さらに、第二電子署名トークンが署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証することを含み、検証にパスした場合、第二電子署名トークンの私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行う。
その中に、第二電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージを送信するステップは、第二電子署名トークンが、私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するステップを含み、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証する前に、さらに、第一電子署名トークンが、署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証することを含み、検証にパスした場合、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名に対する検証を行う。
その中に、第二電子署名トークンが第二電子署名トークンの私有鍵を暗号化処理するステップは、第二電子署名トークンと第一電子署名トークンが整合コードを取得するステップと、第二電子署名トークンと第一電子署名トークンが、整合コードを利用し、両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を協議するステップと、第二電子署名トークンが、暗号化戦略により第二電子署名トークンの私有鍵を暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するステップと、を含み、第一電子署名トークンが、私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を取得するステップは、第一電子署名トークンが、復号化戦略により暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得るステップを含む。
その中に、第二電子署名トークンと第一電子署名トークンが整合コードを利用し、両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を協議するステップは、第一電子署名トークンが取得した整合コードを検証待ちコードとし、第一電子署名トークンが検証待ちコードを第二電子署名トークンへ送信ステップと、第二電子署名トークンが検証待ちコードを受信した後、検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断ステップと、検証待ちコードがローカルで取得した整合コードと同じである場合、第二電子署名トークンが両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を生成するステップと、第二電子署名トークンが復号化戦略を第一電子署名トークンへ送信するステップと、第一電子署名トークンが復号化戦略を取得するステップとを含む。
その中に、第二電子署名トークンと第一電子署名トークンが整合コードを利用し、両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を協議するステップは、第二電子署名トークンと第一電子署名トークンが、整合コードと、暗号化戦略及び復号化戦略との対応関係を取得するステップと、第二電子署名トークンと第一電子署名トークンが、対応関係に基づいて整合コードに対応する暗号化戦略及び復号化戦略を探し出すステップと、探し出した場合、探し出した暗号化戦略及び復号化戦略を両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略とするステップとを含む。
その中に、第二電子署名トークンが第二電子署名トークンの私有鍵に対して暗号化処理するステップは、第二電子署名トークンが第一秘密鍵を取得し、第一秘密鍵により第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するステップであって、第一秘密鍵は第一電子署名トークンの第一署名に記憶された第二秘密鍵と同じであるステップを含み、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した第二電子署名トークンの私有鍵に対して復号化処理するステップは、第一電子署名トークンはローカルで第一秘密鍵を取得し、第一秘密鍵により暗号化した第二電子署名トークンの私有鍵に対して復号化処理するステップを含む。
また、本発明は、電子署名トークン私有鍵のバックアップシステムを提供する。当システムは、私有鍵のバックアップ請求に係るデータパッケージを送信するように構成された第一電子署名トークンの第一送信モジュールであって、私有鍵のバックアップ請求に係るデータパッケージが、CA私有鍵により少なくとも第一電子署名トークンのバックアップ関係を記憶する第一指示メッセージに対し署名処理して得られる第一署名を含む第一電子署名トークンの第一送信モジュールと、私有鍵のバックアップ請求に係るデータパッケージを受信した後、私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するように構成された第二電子署名トークンの第一検証モジュールと、検証にパスした場合、第一指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するように構成された第二電子署名トークンの第一判断モジュールと、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係がある場合、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得るように構成された第二電子署名トークンの暗号化モジュールと、私有鍵のバックアップ応答に係るデータパッケージを送信するように構成された第二電子署名トークンの第二送信モジュールであって、私有鍵のバックアップ応答に係るデータパッケージが、CA私有鍵により少なくとも第二電子署名トークンのバックアップ関係を記憶する第二指示メッセージに対し署名処理して得られる第二署名、および、暗号化した第二電子署名トークンの私有鍵を含む第二電子署名トークンの第二送信モジュールと、私有鍵のバックアップ応答に係るデータパッケージを受信した後、私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証するように構成された第一電子署名トークンの第二検証モジュールと、検証にパスした場合、第二指示メッセージにより第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判断するように構成された第一電子署名トークンの第二判断モジュールと、第二電子署名トークンと第一電子署名トークンの間にバックアップ関係がある場合、私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得るように構成された第一電子署名トークンの復号モジュールと、を含む。
その中に、第一指示メッセージは第一電子署名トークンの第一識別子グループであり、第一識別子グループは、第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含み、第一判断モジュールは、第二電子署名トークンの識別子が第一識別子グループに含まれるか否かを判断するように構成される。
その中に、第一指示メッセージは第一電子署名トークンの識別子であり、第一判断モジュールは、第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するように構成され、第二識別子グループは、第二電子署名トークンの識別子、および、第二電子署名トークンとバックアップ関係がある電子署名トークンの識別子を含む。
その中に、第一検証モジュールは、CA公開鍵により私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するように構成される。
その中に、第一送信モジュールは、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するように構成され、システムは、さらに、署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証し、検証にパスした場合、第二電子署名トークンの私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行うように構成された第二電子署名トークンの第三検証モジュールを含む。
その中に、第二送信モジュールは、私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するように構成され、システムは、さらに、署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証し、検証にパスした場合、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名に対する検証を行うように構成された第一電子署名トークンの第四検証モジュールを含む。
その中に、システムは、さらに、第一電子署名トークンの第一協議モジュールと第二電子署名トークンの第二協議モジュールを含み、第一協議モジュールと第二協議モジュールはいずれも整合コードを取得し、整合コードにより第一電子署名トークンと第二電子署名トークンの通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を協議するように構成される。暗号化モジュールは、暗号化戦略により第二電子署名トークンの私有鍵を暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するように構成され、復号化モジュールは、復号化戦略により暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を取得するように構成される。
その中に、第一協議モジュールは、第一電子署名トークンが取得した整合コードを検証待ちコードとし、検証待ちコードを第二協議モジュールへ送信するように構成され、第二協議モジュールは検証待ちコードを受信した後、検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断し、検証待ちコードがローカルで取得した整合コードと同じである場合、第一電子署名トークンと第二電子署名トークンの通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を生成し、復号化戦略を第一協議モジュールへ送信するように構成され、第一協議モジュールは復号化戦略を受信するように構成される。
その中に、第一協議モジュールと第二協議モジュールは、いずれも整合コードと、暗号化戦略及び復号化戦略との対応関係を取得し、対応関係に基づいて整合コードに対応する暗号化戦略及び復号化戦略を探し出し、探し出した場合に、探し出した暗号化戦略及び復号化戦略を第一電子署名トークンと第二電子署名トークンの通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略とするように構成される。
その中に、暗号化モジュールは第一秘密鍵を取得し、第一秘密鍵により第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するように構成され、第一秘密鍵は第一電子署名トークンの第一署名に記憶された第二秘密鍵と同じであり、復号化モジュールはローカルで第一秘密鍵を取得し、第一秘密鍵により暗号化した第二電子署名トークンの私有鍵に対して復号化処理するように構成される。
従来の技術と比べれば、第二電子署名トークンは、私有鍵のバックアップ請求に係るデータパッケージを受信した後、第一署名を検証して、第一電子署名トークンが合法的な第一電子署名トークンであるか否かを判定して、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第二電子署名トークンは、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を私有鍵のバックアップ応答に係るデータパッケージによって送信し、第一電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを受信した後、第二署名を検証して、第二電子署名トークンが合法的な第一電子署名トークンであるか否かを判定して、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、当該第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第一電子署名トークンは、暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得て、私有鍵のバックアップを完成する。第二電子署名トークンと第一電子署名トークンによってそれぞれ相手の合法性とバックアップ関係を検証し、相手の安全性を確認することを前提に、私有鍵を伝送し、安全な私有鍵のバックアップを実現できる。
本発明の実施例を詳しく説明するため、実施例に使われる図面について簡単に説明する。これらの図面は本発明の実施例の一部であり、本発明を制限するものと理解できない。また、本領域の技術者は、創造的な労力を出さなくても、これらの図面によりほかの図面を取得することができる。
本発明の電子署名トークン私有鍵のバックアップ方法の実施例のフローチャートである。 本発明の電子署名トークン私有鍵のバックアップシステムのブロック図である。
次から図面に示された実施例について詳しく説明する。図面を参照しがら説明する下記の実施例は、本発明の実施例の一部であり、すべての実施例ではない。本発明の実施例に基づいて、本領域の技術者が創造的な労力を出さないとき得られたすべてのほかの実施例は、本発明の保護範囲に入っている。
本発明の記述には、「中心」、「縦方向」、「横方向」、「上」、「下」、「前」、「後」、「左」、「右」、「垂直」、「水平」、「頂」、「底」、「内」、「外」など方位や位置関係を指示する用語が、図面に基づくものであり、本発明を簡単に説明することだけで、その装置や要素が必ず特定の方位になったり、特定の方位で操作することはない。したがって、本発明を制限するものと理解できない。また、「第一」、「第二」などの用語が単なる目的を説明するためのものであり、その相対的重要性またはその技術特徴の数や位置を意味することはない。
本発明の説明には、別に説明がない限り、「取り付け」、「接続」、「連結」などの用語が、広い意味を持っている。たとえば、固定的に連結してもよいし、離脱可能に連結したり、一体的に連結することもできる。また、機械的連結、電気的連結、または、直接連結や中間物を介する連結、二つの要素の内部的連通などが可能である。本領域の技術者が、具体的状況を見て上記の用語を理解することができる。
次に、図面を参照しながら、本発明の実施例を詳しく説明する。
図1は本発明の電子署名トークン私有鍵のバックアップ方法の実施例のフローチャートである。図1に示す方法の実施例は、ステップ101、ステップ102、ステップ103、ステップ104、ステップ105、ステップ106及びステップ107を含む。
ステップ101において、第一電子署名トークンは、私有鍵のバックアップ請求に係るデータパッケージを送信する。その中に、私有鍵のバックアップ請求に係るデータパッケージは第一署名を含み、第一署名はCA私有鍵により少なくとも第一電子署名トークンのバックアップ関係を記録する第一指示メッセージに対し署名処理して得られる。
ステップ102において、第二電子署名トークンは、私有鍵のバックアップ請求に係るデータパッケージを受信した後、私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証する。
その中に、第二電子署名トークンは、CA公開鍵により私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証する。
ステップ103において、検証にパスした場合、第一指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断する。
具体的に、第一指示メッセージは第一電子署名トークンの第一識別子グループであり、第一識別子グループは、第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含む。
指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第二電子署名トークンの識別子が第一識別子グループに含まれるか否かを判断するステップを含む。
または、第一指示メッセージは第一電子署名トークンの識別子であり、指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するステップであって、第二識別子グループは、第二電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含むステップ、を含む。
ステップ104において、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係がある場合、第二電子署名トークンは第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得る。
ステップ105において、第二電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを送信する。その中に、私有鍵のバックアップ応答に係るデータパッケージは、第二署名および暗号化した第二電子署名トークンの私有鍵を含み、第二署名は、CA私有鍵により少なくとも第二電子署名トークンのバックアップ関係を記録する第二指示メッセージに対し署名処理して得られる。
ステップ106において、第一電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを受信した後、私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証する。
その中に、第一電子署名トークンは、CA公開鍵により私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証する。
ステップ107において、検証にパスした場合、第二指示メッセージにより第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判断する。
具体的に、第二指示メッセージは第二電子署名トークンの第二識別子グループであり、第二識別子グループは、第二電子署名トークンの識別子、および、第二電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含む。
指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第一電子署名トークンの識別子が第二識別子グループに含まれるか否かを判断するステップを含む。
または、第二指示メッセージは第二電子署名トークンの識別子である。指示メッセージにより第二電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、第二電子署名トークンの識別子が第一識別子グループに含まれるか否かを判断するステップを含む。
ステップ108において、第二電子署名トークンと第一電子署名トークンの間にバックアップ関係がある場合、第一電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得る。
従来の技術と比べれば、第二電子署名トークンは、私有鍵のバックアップ請求に係るデータパッケージを受信した後、第一署名を検証して、第一電子署名トークンが合法的な第一電子署名トークンであるか否かを判定して、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第二電子署名トークンは、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を私有鍵のバックアップ応答に係るデータパッケージによって送信し、第一電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを受信した後、第二署名を検証して、第二電子署名トークンが合法的な第一電子署名トークンであるか否かを判定して、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、当該第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第一電子署名トークンは、暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得て、私有鍵のバックアップを完成する。第二電子署名トークンと第一電子署名トークンによってそれぞれ相手の合法性とバックアップ関係を検証し、相手の安全性を確認することを前提に、私有鍵を伝送し、安全な私有鍵のバックアップを実現できる。
次に、本発明が提供した方法の実施例についてもっと詳しく説明する。
合法的な電子署名トークンが第一署名を取得した後、本当の第一電子署名トークンを偽り、第二電子署名トークンの私有鍵を騙しとり、私有鍵漏れの安全問題を生じることを避けるために、前記方法のフローチャートにおいて、第一電子署名トークンが、私有鍵のバックアップ請求に係るデータパッケージを送信するステップは、第一電子署名トークンが、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するステップを含み、第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証する前に、さらに、第二電子署名トークンが、署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証することを含み、検証にパスした場合、第二電子署名トークンの私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行う。
上述したように、第一電子署名トークンによって、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理してから、第二電子署名トークンによって、私有鍵のバックアップ請求に係るデータパッケージを検証し、バックアップ請求を起こした第一電子署名トークンの身分認証を実現して、第一署名を有する電子署名トークンが第二電子署名トークンの私有鍵を騙し取ることができなくなる。したがって、私有鍵のバックアップの安全性を上げられる。
その中に、私有鍵のバックアップ請求に係るデータパッケージを署名する時に使われる私有鍵、および、第二電子署名トークンが署名した私有鍵のバックアップ請求に係るデータパッケージを検証する時に使われる公開鍵は、事前に協議されたものであり、各自の仮定の第一電子署名トークンに書き込まれる。
同じように、合法的な電子署名トークンが第二署名を取得した後、本当の第二電子署名トークンを偽り、誤った私有鍵を第一電子署名トークンに送信し、私有鍵のバックアップを失敗させる問題を避けるために、前記方法のフローチャートにおいて、第二電子署名トークンが、私有鍵のバックアップ応答に係るデータパッケージを送信するステップは、第二電子署名トークンが、私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するステップを含み、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証する前に、さらに、第一電子署名トークンが、署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証ことを含み、検証にパスした場合、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージのデジタル署名に対する検証を行う。
上述したように、第二電子署名トークンによって、私有鍵のバックアップ応答に係るデータパッケージに対し署名処理してから、第一電子署名トークンによって、私有鍵のバックアップ応答に係るデータパッケージを検証し、バックアップ応答を起こした第一電子署名トークンの身分認証を実現して、第二署名を有する合法的な電子署名トークンが第一電子署名トークンの正確な私有鍵の取得を邪魔できなくなり、第一電子署名トークンは正確な私有鍵をバックアップして得られる。
その中に、私有鍵のバックアップ請求に係るデータパッケージを署名する時に使われる私有鍵、および、第二電子署名トークンが署名した私有鍵のバックアップ請求に係るデータパッケージを検証する時に使われる公開鍵は、事前に協議されたものであり、各自の仮定の第一電子署名トークンに書き込まれる。
その中に、第二電子署名トークンが第二電子署名トークンの私有鍵に対して暗号化処理する方法は、次のような二種類ある。具体的には、
方法一:第二電子署名トークンと第一電子署名トークンは整合コードを取得し、第二電子署名トークンと第一電子署名トークンは、整合コードを利用し、両者の通信に使う暗号化戦略および当暗号化戦略に対応する復号化戦略を協議し、第二電子署名トークンは、暗号化戦略により私有鍵を暗号化処理し、暗号化した私有鍵を取得する。
それに対応して、第一電子署名トークンが、私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した私有鍵に対して復号化処理し、私有鍵を得るステップは、第一電子署名トークンが、取得した復号化戦略によって、暗号化した私有鍵に対して復号化処理し、私有鍵を得るステップを含む。
方法二:第二電子署名トークンは第一電子署名トークンのデジタル署名に記憶する第二秘密鍵と同じである第一秘密鍵を取得し、第一秘密鍵によって、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した私有鍵を得る。
それに対応して、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した私有鍵に対して復号化処理し、暗号化した私有鍵を得るステップは、第一電子署名トークンがローカルで第一秘密鍵を取得し、第一秘密鍵により暗号化した第二電子署名トークンの私有鍵に対して復号化処理するステップを含む。
方法二において、第二電子署名トークンが取得した第一秘密鍵は、第一電子署名トークンを探して得るものか、または、銀行のバックグランドサーバから取得するものである。
上述したように、方法一において、整合コードにより暗号化及び復号化戦略を協議して、暗号化及び復号化戦略を判定し、暗号化及び復号化戦略のランダム性を増やす。方法二は、第一電子署名トークンのデジタル署名に含まれる秘密鍵を利用して、第一電子署名トークンが復号化戦略を便利に取得し、簡単に実現できる。
次に、第二電子署名トークンにおける方法一をさらに説明する。
第二電子署名トークンは、予めローカルに記憶した整合コード生成戦略により整合コードを生成して、出力する。当整合コードは、文字、数字及び符号の中の少なくとも一つである。当然、第一電子署名トークンは各種の方式、例えば、無線や有線方式、または、ユーザの手作業入力方式などで当整合コードを取得できる。当然、銀行のバックグラウンドサーバから第一電子署名トークンと第二電子署名トークンに当整合コードを送信するなどの方式によって、第一電子署名トークンと第二電子署名トークンは整合コードの取得を実現できる。
銀行のバックグラウンドサーバからの送信方式に比べれば、第二電子署名トークンにより整合コードを生成してから、第一電子署名トークンにより取得する方式が、銀号サーバの参入を要らなく、インタラクションプロセスが便利となる。
その中に、整合コードにより暗号化と復号化戦略を協議する方法は、次の二種類ある。
A1:第一電子署名トークンが取得した整合コードを検証待ちコードとし、第一電子署名トークンは当検証待ちコードを第二電子署名トークンへ送信し、第二電子署名トークンは当検証待ちコードを受信した後、検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断し、検証待ちコードが整合コードと同じである場合、第二電子署名トークンは両者の通信に使う暗号化戦略および当暗号化戦略に対応する復号化戦略を生成し、第二電子署名トークンは復号化戦略を第一電子署名トークンへ送信する。
上述したように、方式一で提供した方式において、第二電子署名トークンは、検証待ちコードをローカルで取得した整合コードと比べて、暗号化と復号化戦略について第二電子署名トークンとの協議を起こした仮定の第一電子署名トークンが第一電子署名トークンであるか否かを判定し、第一電子署名トークンの身分を検証する。当該仮定の第一電子署名トークンが第一電子署名トークンであると判定した後、復号化アルゴリズムを第一電子署名トークンに送信し、私有鍵の送信安全を保障する。
A1において、ほかの電子署名トークンが当私有鍵を盗み取ることを避けるために、第一電子署名トークンが当検証待ちコードを第二電子署名トークンへ送信するステップは、第一電子署名トークンが、当該検証待ちコードを署名し、署名した検証待ちコードを第二電子署名トークンへ送信する。
それに対応して、第二電子署名トークンにより検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断する前に、さらに、第二電子署名トークンが、署名した検証待ちコードを第二電子署名トークンに検証し、検証にパスした場合、検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断するステップを含む。
その中に、第一電子署名トークンが検証待ちコードを署名する時に使われる私有鍵は、第一電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを署名する時に使われる私有鍵と同じであってもよい。同じように、第二電子署名トークンが署名した検証待ちコードを検証する時に使われる公開鍵は、署名した私有鍵のバックアップ請求に係るデータパッケージに使われる公開鍵と同じであってもよい。
ほかの電子署名トークンが第二電子署名トークンを偽り、誤った復号化アルゴリズムを第一電子署名トークンへ送信することを避けるために、第二電子署名トークンが復号化戦略を第一電子署名トークンへ送信するステップは、第二電子署名トークンが復号化戦略を署名し、署名した復号化戦略を第一電子署名トークンへ送信するステップを含む。
それに対応して、第一電子署名トークンが復号化戦略を受信する前に、さらに、第一電子署名トークンが署名した復号化戦略を検証することを含み、検証にパスした場合、復号化戦略を取得する。
その中に、第二電子署名トークンが復号化戦略を署名する時に使われる私有鍵は、第二電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージを署名する時に使われる私有鍵と同じであってもよい。同じように、第一電子署名トークンが署名した復号化戦略を検証する時に使われる公開鍵は、署名した私有鍵のバックアップ応答に係るデータパッケージに使われる公開鍵と同じであってもよい。
A2:第二電子署名トークン及び第一電子署名トークンは、整合コードと、暗号化戦略及び復号化戦略との対応関係を取得し、第二電子署名トークンと第一電子署名トークンは、対応関係に基づいて整合コードに対応する暗号化戦略と復号化戦略を探し出し、探し出した場合、探し出した暗号化戦略と復号化戦略を両者の通信に使う暗号化戦略および当暗号化戦略に対応する復号化戦略とする。
A2において、第二電子署名トークンと第一電子署名トークンは、ローカルで取得した対応関係を探すことによって、両者の通信に使う暗号化戦略および復号化戦略を判定する。したがって、簡単に実現でき、かつ、第二電子署名トークンと第一電子署名トークンの間に情報のインタラクションを要らなく、情報の盗み取りの可能性を下げられる。
上述の二種類の方式は、整合コードにより暗号化と復号化戦略をランダムに選択でき、暗号化のランダム性を上げ、通信の安全性を保障する。
上述したように、本発明の第一電子署名トークンには、第二電子署名トークンと通信する時に内容を署名するための私有鍵、第二電子署名トークンにより送信された署名した内容を検証する時に使われる、第二電子署名トークンの通信用公開鍵、および、自身が内容を暗号化復号化するための一ペアの秘密鍵を事前に記憶している。第二電子署名トークンには、第一電子署名トークンと通信する時に内容を署名するための私有鍵、第一電子署名トークンにより送信された署名した内容を検証する時に使われる、第一電子署名トークンの通信用公開鍵、および、第一電子署名トークンのバックアップ請求の私有鍵を事前に記憶している。
図2は本発明の電子署名トークン私有鍵のバックアップシステムのブロック図である。図2に示すシステムは、第一送信モジュール201、第一検証モジュール202、第一判断モジュール203、暗号化モジュール204、第二送信モジュール205、第二検証モジュール206、第二判断モジュール207、および、復号化モジュール208を含む。
第一電子署名トークの第一送信モジュール201は、私有鍵のバックアップ請求に係るデータパッケージを送信するように構成される。その中に、私有鍵のバックアップ請求に係るデータパッケージは第一署名を含み、第一署名はCA私有鍵により少なくとも第一電子署名トークンのバックアップ関係を記憶する第一指示メッセージに対し署名処理して得られる。
第二電子署名トークンの第一検証モジュール202は、私有鍵のバックアップ請求に係るデータパッケージを受信した後、私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するように構成される。
第二電子署名トークンの第一判断モジュール203は、検証にパスした場合、指示メッセージにより第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判断するように構成される。
第二電子署名トークンの暗号化モジュール204は、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係がある場合、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得るように構成される。
第二電子署名トークンの第二送信モジュール205は、私有鍵のバックアップ応答に係るデータパッケージを送信するように構成される。その中に、私有鍵のバックアップ応答に係るデータパッケージは第二署名、および、暗号化した第二電子署名トークンの私有鍵を含み、第二署名はCA私有鍵により少なくとも第二電子署名トークンのバックアップ関係を記憶する第二指示メッセージに対し署名処理して得られる。
第一電子署名トークンの第二検証モジュール206は、私有鍵のバックアップ応答に係るデータパッケージを受信した後、私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証するように構成される。
第一電子署名トークンの第二判断モジュール207は、検証にパスした場合、第二指示メッセージにより第二電子署名トークンと前記第一電子署名トークンの間にバックアップ関係の有無を判断するように構成される。
第一電子署名トークンの復号モジュール208は、第二電子署名トークンと第一電子署名トークンの間にバックアップ関係がある場合、私有鍵のバックアップ応答に係るデータパッケージの中の暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得るように構成される。
その中に、第一指示メッセージは第一電子署名トークンの第一識別子グループであり、第一識別子グループは、第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含む。
第一判断モジュールは、第二電子署名トークンの識別子が第一識別子グループに含まれるか否かを判断するように構成される。
その中に、第一指示メッセージは前記第一電子署名トークンの識別子である。
第一判断モジュールは、第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するように構成される。その中に、第二識別子グループは、第二電子署名トークンの識別子、および、メイン電子署名トークンとバックアップ関係がある電子署名トークンの識別子を含む。
その中に、第一検証モジュールは、CA公開鍵により私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証するように構成される。
その中に、第一送信モジュールは、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するように構成される。
第二電子署名トークンは、さらに、署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証し、検証にパスした場合、第二電子署名トークンの私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行うように構成された第二電子署名トークンの第三検証モジュールを含む。
その中に、第二送信モジュールは、私有鍵のバックアップ応答データパッケージに対し署名処理を行って、署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するように構成される。
第一電子署名トークンは、さらに、署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証し、検証にパスした場合、第一電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名に対する検証を行うように構成された第一電子署名トークンの第四検証モジュールを含む。
その中に、第一電子署名トークンの第一協議モジュールと第二電子署名トークンの第二協議モジュールはいずれも整合コードを取得し、整合コードにより両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を協議するように構成され、暗号化モジュールは、暗号化戦略により私有鍵を暗号化処理し、暗号化した私有鍵を取得するように構成され、復号化モジュールは、復号化戦略により暗号化した私有鍵に対して復号化処理し、私有鍵を取得するように構成される。
その中に、第一協議モジュールは、第一電子署名トークンが取得した整合コードを検証待ちコードとし、第一電子署名トークンが検証待ちコードを第二電子署名トークンへ送信するように構成され、第二協議モジュールは検証待ちコードを受信した後、検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断し、検証待ちコードが整合コードと同じである場合、両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略を生成し、復号化戦略を第一電子署名トークンへ送信するように構成される。
その中に、第一協議モジュールは復号化戦略を受信するように構成される。
その中に、第一協議モジュールと第二協議モジュールは、いずれも整合コードと、暗号化戦略及び復号化戦略との対応関係を取得し、対応関係に基づいて整合コードに対応する暗号化戦略及び復号化戦略を探し出し、探し出した場合、探し出した暗号化戦略及び復号化戦略を両者の通信に使う暗号化戦略および暗号化戦略に対応する復号化戦略とするように構成される。
その中に、前記暗号化モジュールは第一秘密鍵を取得し、前記第一秘密鍵により前記第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するように構成され、前記第一秘密鍵は前記第一電子署名トークンの第一署名に記憶された第二秘密鍵と同じである。
復号化モジュールはローカルで第一秘密鍵を取得し、第一秘密鍵により暗号化した第二電子署名トークンの私有鍵に対して復号化処理するように構成される。
従来の技術と比べれば、第二電子署名トークンは、私有鍵のバックアップ請求に係るデータパッケージを受信した後、第一署名を検証して、第一電子署名トークンが合法的な第一電子署名トークンであるか否かを判定して、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、第一電子署名トークンと第二電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第二電子署名トークンは、第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を私有鍵のバックアップ応答に係るデータパッケージによって送信し、第一電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを受信した後、第二署名を検証して、第二電子署名トークンが合法的な第一電子署名トークンであるか否かを判定し、第二電子署名トークンと第一電子署名トークンの中の一つの識別子が第二電子署名トークンと第一電子署名トークンの中のほかの一つの識別子グループに含まれるか否かを判断して、当該第二電子署名トークンと第一電子署名トークンの間にバックアップ関係の有無を判定する。前記二つの条件を満たす場合、第一電子署名トークンは、暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、第二電子署名トークンの私有鍵を得て、私有鍵のバックアップを完成する。第二電子署名トークンと第一電子署名トークンによってそれぞれ相手の合法性とバックアップ関係を検証し、相手の安全性を確認することを前提に、私有鍵を伝送し、安全な私有鍵のバックアップを実現できる。
フローチャートまたは他の方式で説明した過程や方法は、一つまたは複数の、特定ロジック性能または過程のステップの実行できるコマンドのコードのモジュール、セクターあるいは部分を含む。本発明の望ましい実施方式の範囲は、他の実現を含み、表示または討論の順序に従わなくてもよい。述べられた機能に基づいて基本的に同様な方式または逆の順序で、その機能を実行することができる。これは、本発明実施例の所属技術領域の技術者に理解される。
また、理解すべきなのは、本発明の各部分は、ハードウェア、ソフトウェア、部品またはそれらの組み合わせで実現できる。前記実施例には、複数のステップまたは方法がメモリに保存され、適当なコマンド実行システムのソフトウェアまたは部品で実現される。たとえば、ハードウェアで実現する場合、他の実施方式と同じように、本領域周知の下記の任意一つまたはそれらの組み合わせで実現できる。すなわち、デジタル信号に対してロジック機能を実現するロジックゲート回路を有する個別のロジック回路、ロジックゲート回路を組み合わせた適当な専用IC、プログラマブルゲートアレイ(PGA)、フィールドプログラマブルゲートアレイ(FPGA)などである。
前記実施例の方法にある全部または一部のステップがプログラムにより関連のハードウェアを実行することで完成されることは、本技術領域の普通技術者に理解される。前記プログラムは一つの計算機の読み出し書き込み可能な記憶メディアに記憶される。当プログラムを実行するとき、実施例方法のステップの一つまたはそれらの組み合わせを含む。
なお、本発明の各実施例の各機能モジュールを一つの処理モジュールに集中し、または、単独に存在し、あるいは、二つまたは二つ以上モジュールを一つの処理モジュールに集中することができる。前記集成したモジュールは、ハードウェアの形式、または、ソフトウェアの形式で実現される。前記集成したモジュールは、ソフトウェアの形式で実現し、また、独立の製品として販売や使用するとき、計算機の読み出し書き込み可能な記憶メディアに記憶されることができる。
前記記憶メディアは、ディスク、または、CDなどである。
本説明書には、用語「一つの実施例」、「いくつかの実施例」、「例示」、「具体的例示」などは、当実施例や例示の具体的特徴、構造、材料が本発明の少なくとも一つの実施例や例示に含まれることを意味する。本説明書には、前記用語の説明が必ずしも同じ実施例や例示を意味しない。また、説明の中の具体的特徴、構造、材料は、任意の一つやいくつかの実施例や例示に適当な方式で結合されることができる。
本発明は上記した記述や図面に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で種々の改良変形が可能であり、本発明の範囲は本発明の請求書およびその同等物だけによって定められる。

Claims (20)

  1. 第一電子署名トークンは私有鍵のバックアップ請求に係るデータパッケージを送信するステップであって、前記私有鍵のバックアップ請求に係るデータパッケージが、CA私有鍵により少なくとも前記第一電子署名トークンのバックアップ関係を記録する第一指示メッセージに対し署名処理して得られる第一署名を含むステップと、
    第二電子署名トークンは、前記私有鍵のバックアップ請求に係るデータパッケージを受信した後、該私有鍵のバックアップ請求に係るデータパッケージに含まれる前記第一署名を検証するステップと、
    検証にパスした場合、前記第一指示メッセージにより前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係の有無を判断するステップと、
    前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係がある場合、前記第二電子署名トークンは前記第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得るステップと、
    前記第二電子署名トークンは、私有鍵のバックアップ応答に係るデータパッケージを送信するステップであって、前記私有鍵のバックアップ応答に係るデータパッケージが、前記CA私有鍵により少なくとも前記第二電子署名トークンのバックアップ関係を記録する第二指示メッセージに対し署名処理して得られる第二署名、および、前記暗号化した第二電子署名トークンの私有鍵を含むステップと、
    前記第一電子署名トークンは、前記私有鍵のバックアップ応答に係るデータパッケージを受信した後、前記私有鍵のバックアップ応答に係るデータパッケージに含まれる前記第二署名を検証するステップと、
    検証にパスした場合、前記第二指示メッセージにより前記第二電子署名トークンと前記第一電子署名トークンの間にバックアップ関係の有無を判断するステップと、
    前記第二電子署名トークンと前記第一電子署名トークンの間にバックアップ関係がある場合、前記第一電子署名トークンは、前記私有鍵のバックアップ応答に係るデータバッケージの中の前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、前記第二電子署名トークンの私有鍵を得るステップと、
    を含むことを特徴とする電子署名トークンの私有鍵のバックアップ方法。
  2. 前記第一指示メッセージは前記第一電子署名トークンの第一識別子グループであり、
    前記第一識別子グループは、前記第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、前記メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含み、
    前記第一指示メッセージにより前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、
    前記第二電子署名トークンの識別子が前記第一識別子グループに含まれるか否かを判断するステップを含むことを特徴とする請求項1に記載の電子署名トークンの私有鍵のバックアップ方法。
  3. 前記第一指示メッセージは前記第一電子署名トークンの識別子であり、
    前記指示メッセージにより前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係の有無を判断するステップは、
    前記第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するステップであって、前記第二識別子グループは、前記第二電子署名トークンの識別子、および、前記第二電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含むステップ、を含むことを特徴とする請求項1に記載の電子署名トークンの私有鍵のバックアップ方法。
  4. 前記第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージに含まれる前記第一署名を検証することは、
    前記第二電子署名トークンがCA公開鍵により前記私有鍵のバックアップ請求に係るデータパッケージにおける前記第一署名を検証することを含むことを特徴とする請求項1から3のいずれ一項に記載の電子署名トークンの私有鍵のバックアップ方法。
  5. 前記第一電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを送信するステップは、
    前記第一電子署名トークンが前記私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、前記署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するステップを含み、
    前記第二電子署名トークンが私有鍵のバックアップ請求に係るデータパッケージを受信した後、かつ、前記第二電子署名トークンが前記私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名を検証する前に、さらに、
    前記第二電子署名トークンが前記署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証することを含み、
    検証にパスした場合、前記第二電子署名トークンの前記私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行うことを特徴とする請求項1から4のいずれ一項に記載の電子署名トークンの私有鍵のバックアップ方法。
  6. 前記第二電子署名トークンが私有鍵のバックアップ応答に係るデータパッケージを送信するステップは、
    前記第二電子署名トークンが前記私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行って、前記署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するステップを含み、
    前記第二電子署名トークンが前記私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行った後、かつ、前記第一電子署名トークンが前記私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名を検証する前に、さらに、
    前記第一電子署名トークンが前記署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証することを含み、検証にパスした場合、前記第一電子署名トークンが前記私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名に対する検証を行うことを特徴とする請求項1から5のいずれ一項に記載の電子署名トークンの私有鍵のバックアップ方法。
  7. 前記第二電子署名トークンが前記第二電子署名トークンの私有鍵を暗号化処理するステップは、
    前記第二電子署名トークンと前記第一電子署名トークンが整合コードを取得するステップと、
    前記第二電子署名トークンと前記第一電子署名トークンが前記整合コードを利用し、両者の通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を協議するステップと、
    前記第二電子署名トークンが前記暗号化戦略により前記第二電子署名トークンの私有鍵を暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するステップと、
    を含み、
    前記第一電子署名トークンが前記私有鍵のバックアップ応答に係るデータバッケージの中の前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、前記第二電子署名トークンの私有鍵を取得するステップは、
    前記第一電子署名トークンが、前記復号化戦略により前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、前記第二電子署名トークンの私有鍵を得るステップを含むことを特徴とする請求項1から6のいずれ一項に記載の電子署名トークンの私有鍵のバックアップ方法。
  8. 前記第二電子署名トークンと前記第一電子署名トークンが前記整合コードを利用し、両者の通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を協議するステップは、
    前記第一電子署名トークンが取得した整合コードを検証待ちコードとし、前記第一電子署名トークンが前記検証待ちコードを前記第二電子署名トークンへ送信するステップと、
    前記第二電子署名トークンが前記検証待ちコードを受信した後、前記検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断するステップと、
    前記検証待ちコードが前記ローカルで取得した整合コードと同じである場合、前記第二電子署名トークンが両者の通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を生成するステップと、
    前記第二電子署名トークンが前記復号化戦略を前記第一電子署名トークンへ送信するステップと、
    前記第一電子署名トークンが前記復号化戦略を取得するステップと
    を含むことを特徴とする請求項7に記載の電子署名トークンの私有鍵のバックアップ方法。
  9. 第二電子署名トークンと第一電子署名トークンが前記整合コードを利用し、両者の通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を協議するステップは、
    前記第二電子署名トークンと前記第一電子署名トークンが、整合コードと、暗号化戦略及び復号化戦略との対応関係を取得するステップと、
    前記第二電子署名トークンと前記第一電子署名トークンが、前記対応関係に基づいて前記整合コードに対応する暗号化戦略及び復号化戦略を探し出すステップと、
    探し出した場合、探し出した暗号化戦略及び復号化戦略を両者の通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略とするステップと
    を含むことを特徴とする請求項7に記載の電子署名トークンの私有鍵のバックアップ方法。
  10. 前記第二電子署名トークンが前記第二電子署名トークンの私有鍵に対して暗号化処理するステップは、
    前記第二電子署名トークンが第一秘密鍵を取得し、前記第一秘密鍵により前記第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するステップであって、前記第一秘密鍵は前記第一電子署名トークンの第一署名に記憶された第二秘密鍵と同じであるステップを含み、
    前記第一電子署名トークンが前記私有鍵のバックアップ応答に係るデータバッケージの中の前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理するステップは、
    前記第一電子署名トークンはローカルで前記第一秘密鍵を取得し、前記第一秘密鍵により前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理するステップを含むことを特徴とする請求項1から9のいずれ一項に記載の電子署名トークンの私有鍵のバックアップ方法。
  11. 私有鍵のバックアップ請求に係るデータパッケージを送信するように構成された第一電子署名トークンの第一送信モジュールであって、前記私有鍵のバックアップ請求に係るデータパッケージが、CA私有鍵により少なくとも前記第一電子署名トークンのバックアップ関係を記憶する第一指示メッセージに対し署名処理して得られる第一署名を含む第一電子署名トークンの第一送信モジュールと、
    前記私有鍵のバックアップ請求に係るデータパッケージを受信した後、私有鍵のバックアップ請求に係るデータパッケージに含まれる前記第一署名を検証するように構成された第二電子署名トークンの第一検証モジュールと、
    検証にパスした場合、前記第一指示メッセージにより前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係の有無を判断するように構成された前記第二電子署名トークンの第一判断モジュールと、
    前記第一電子署名トークンと前記第二電子署名トークンの間にバックアップ関係がある場合、前記第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を得るように構成された前記第二電子署名トークンの暗号化モジュールと、
    私有鍵のバックアップ応答に係るデータパッケージを送信するように構成された前記第二電子署名トークンの第二送信モジュールであって、前記私有鍵のバックアップ応答に係るデータパッケージが、前記CA私有鍵により少なくとも前記第二電子署名トークンのバックアップ関係を記憶する第二指示メッセージに対し署名処理して得られる第二署名、および、前記暗号化した第二電子署名トークンの私有鍵を含む前記第二電子署名トークンの第二送信モジュールと、
    前記私有鍵のバックアップ応答に係るデータパッケージを受信した後、前記私有鍵のバックアップ応答に係るデータパッケージに含まれる前記第二署名を検証するように構成された前記第一電子署名トークンの第二検証モジュールと、
    検証にパスした場合、前記第二指示メッセージにより前記第二電子署名トークンと前記第一電子署名トークンの間にバックアップ関係の有無を判断するように構成された前記第一電子署名トークンの第二判断モジュールと、
    前記第二電子署名トークンと前記第一電子署名トークンの間にバックアップ関係がある場合、前記私有鍵のバックアップ応答に係るデータバッケージの中の前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、前記第二電子署名トークンの私有鍵を得るように構成された前記第一電子署名トークンの復号モジュールと、
    を含むことを特徴とする電子署名トークンの私有鍵のバックアップシステム。
  12. 前記第一指示メッセージは前記第一電子署名トークンの第一識別子グループであり、
    前記第一識別子グループは、前記第一電子署名トークンに対応するメイン電子署名トークンの識別子、および、前記メイン電子署名トークンとバックアップ関係を有する電子署名トークンの識別子を含み、
    前記第一判断モジュールは、前記第二電子署名トークンの識別子が前記第一識別子グループに含まれるか否かを判断するように構成されることを特徴とする請求項11に記載の電子署名トークンの私有鍵のバックアップシステム。
  13. 前記第一指示メッセージは前記第一電子署名トークンの識別子であり、
    前記第一判断モジュールは、前記第一電子署名トークンの識別子が予めローカルに記憶した第二識別子グループに含まれるか否かを判断するように構成され、
    前記第二識別子グループは、前記第二電子署名トークンの識別子、および、前記第二電子署名トークンとバックアップ関係がある電子署名トークンの識別子を含むことを特徴とする請求項11に記載の電子署名トークンの私有鍵のバックアップシステム。
  14. 前記第一検証モジュールは、CA公開鍵により前記私有鍵のバックアップ請求に係るデータパッケージに含まれる前記第一署名を検証するように構成されることを特徴とする請求項11から13のいずれ一項に記載の電子署名トークンの私有鍵のバックアップシステム。
  15. 前記第一送信モジュールは、私有鍵のバックアップ請求に係るデータパッケージに対し署名処理を行って、前記署名処理した私有鍵のバックアップ請求に係るデータパッケージを送信するように構成され、
    前記システムは、さらに、
    前記署名処理した私有鍵のバックアップ請求に係るデータパッケージの署名を検証し、検証にパスした場合、前記第二電子署名トークンの前記私有鍵のバックアップ請求に係るデータパッケージに含まれる第一署名に対する検証を行うように構成された前記第二電子署名トークンの第三検証モジュールを含むことを特徴とする請求項11から14のいずれ一項に記載の電子署名トークンの私有鍵のバックアップシステム。
  16. 前記第二送信モジュールは、私有鍵のバックアップ応答に係るデータパッケージに対し署名処理を行って、前記署名処理した私有鍵のバックアップ応答に係るデータパッケージを送信するように構成され、
    前記システムは、さらに、
    前記署名処理した私有鍵のバックアップ応答に係るデータパッケージの署名を検証し、検証にパスした場合、前記第一電子署名トークンが前記私有鍵のバックアップ応答に係るデータパッケージに含まれる第二署名に対する検証を行うように構成された前記第一電子署名トークンの第四検証モジュールを含むことを特徴とする請求項11から15のいずれ一項に記載の電子署名トークンの私有鍵のバックアップシステム。
  17. さらに、第一電子署名トークンの第一協議モジュールと第二電子署名トークンの第二協議モジュールを含み、
    前記第一協議モジュールと前記第二協議モジュールはいずれも整合コードを取得し、前記整合コードにより前記第一電子署名トークンと前記第二電子署名トークンの通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を協議するように構成され、
    前記暗号化モジュールは、前記暗号化戦略により前記第二電子署名トークンの私有鍵を暗号化処理し、暗号化した前記第二電子署名トークンの私有鍵を取得するように構成され、
    前記復号化モジュールは、前記復号化戦略により前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理し、前記第二電子署名トークンの私有鍵を取得するように構成されることを特徴とする請求項11から16のいずれ一項に記載の電子署名トークンの私有鍵のバックアップシステム。
  18. 前記第一協議モジュールは、前記第一電子署名トークンが取得した整合コードを検証待ちコードとし、前記検証待ちコードを前記第二協議モジュールへ送信するように構成され、
    前記第二協議モジュールは、前記検証待ちコードを受信した後、前記検証待ちコードがローカルで取得した整合コードと同じであるか否かを判断し、前記検証待ちコードが前記ローカルで取得した整合コードと同じである場合、前記第一電子署名トークンと前記第二電子署名トークンの通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略を生成し、前記復号化戦略を前記第一協議モジュールへ送信するように構成され、
    前記第一協議モジュールは前記復号化戦略を受信するように構成されることを特徴とする請求項17に記載の電子署名トークンの私有鍵のバックアップシステム。
  19. 前記第一協議モジュールと前記第二協議モジュールは、いずれも整合コードと、暗号化戦略及び復号化戦略との対応関係を取得し、前記対応関係に基づいて前記整合コードに対応する暗号化戦略及び復号化戦略を探し出し、探し出した場合、探し出した暗号化戦略及び復号化戦略を前記第一電子署名トークンと前記第二電子署名トークンの通信に使う暗号化戦略および前記暗号化戦略に対応する復号化戦略とするように構成されることを特徴とする請求項17に記載の電子署名トークンの私有鍵のバックアップシステム。
  20. 前記暗号化モジュールは第一秘密鍵を取得し、前記第一秘密鍵により前記第二電子署名トークンの私有鍵に対して暗号化処理し、暗号化した第二電子署名トークンの私有鍵を取得するように構成され、
    前記第一秘密鍵は前記第一電子署名トークンの第一署名に記憶された第二秘密鍵と同じであり、
    前記復号化モジュールはローカルで前記第一秘密鍵を取得し、前記第一秘密鍵により前記暗号化した第二電子署名トークンの私有鍵に対して復号化処理するように構成されることを特徴とする請求項11から19のいずれ一項に記載の電子署名トークンの私有鍵のバックアップシステム。
JP2016514256A 2013-05-23 2014-04-18 電子署名トークンの私有鍵のバックアップ方法およびシステム Active JP5954609B1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310194259.X 2013-05-23
CN201310194259.XA CN103248491B (zh) 2013-05-23 2013-05-23 一种电子签名令牌私钥的备份方法和系统
PCT/CN2014/075749 WO2014187210A1 (zh) 2013-05-23 2014-04-18 一种电子签名令牌私钥的备份方法和系统

Publications (2)

Publication Number Publication Date
JP5954609B1 JP5954609B1 (ja) 2016-07-20
JP2016523060A true JP2016523060A (ja) 2016-08-04

Family

ID=48927727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016514256A Active JP5954609B1 (ja) 2013-05-23 2014-04-18 電子署名トークンの私有鍵のバックアップ方法およびシステム

Country Status (6)

Country Link
US (1) US9712326B2 (ja)
EP (1) EP3001599B1 (ja)
JP (1) JP5954609B1 (ja)
CN (1) CN103248491B (ja)
HK (1) HK1185730A1 (ja)
WO (1) WO2014187210A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103269271B (zh) * 2013-05-23 2016-12-07 天地融科技股份有限公司 一种备份电子签名令牌中私钥的方法和系统
CN103248491B (zh) 2013-05-23 2016-04-13 天地融科技股份有限公司 一种电子签名令牌私钥的备份方法和系统
US10021077B1 (en) * 2014-05-12 2018-07-10 Google Llc System and method for distributing and using signed send tokens
CN105939194B (zh) * 2015-11-11 2019-06-25 天地融科技股份有限公司 一种电子密钥设备私钥的备份方法和系统
CN106533665B (zh) * 2016-10-31 2018-08-07 北京百度网讯科技有限公司 用于存储网站私钥明文的方法、系统和装置
US11632360B1 (en) 2018-07-24 2023-04-18 Pure Storage, Inc. Remote access to a storage device
US10936191B1 (en) 2018-12-05 2021-03-02 Pure Storage, Inc. Access control for a computing system
US10938254B2 (en) * 2018-12-18 2021-03-02 Dell Products, L.P. Secure wireless charging
US11250891B1 (en) 2020-08-12 2022-02-15 Micron Technology, Inc. Validation of DRAM content using internal data signature
US11544412B2 (en) * 2020-08-12 2023-01-03 Micron Technology, Inc. Protection against unintended content change in DRAM during standby mode
US11811917B2 (en) * 2021-07-06 2023-11-07 EMC IP Holding Company LLC System and method for secure authentication of backup clients using short-term tokens

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000165373A (ja) * 1998-11-25 2000-06-16 Toshiba Corp 暗号装置、暗号通信システム及び鍵復元システム並びに記憶媒体
JP2002368735A (ja) * 2001-06-11 2002-12-20 Sharp Corp マスタ用ic装置、マスタ用ic装置のためのバックアップ用ic装置、マスタ用ic装置にダミー鍵を与えるダミー鍵格納装置、マスタ用ic装置とバックアップ用ic装置とのための補助装置、及び二つ以上の補助装置を用いた鍵バックアップシステム
JP2004023138A (ja) * 2002-06-12 2004-01-22 Dainippon Printing Co Ltd 秘密鍵のバックアップ方法および情報処理端末
US20050138387A1 (en) * 2003-12-19 2005-06-23 Lam Wai T. System and method for authorizing software use
US20090092252A1 (en) * 2007-04-12 2009-04-09 Landon Curt Noll Method and System for Identifying and Managing Keys
US20100172501A1 (en) * 2009-01-06 2010-07-08 Tian Weicheng Secure key system
US20110238994A1 (en) * 2010-02-26 2011-09-29 International Business Machines Corporation Management of secret data items used for server authentication

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040101141A1 (en) * 2002-11-27 2004-05-27 Jukka Alve System and method for securely installing a cryptographic system on a secure device
US7478078B2 (en) * 2004-06-14 2009-01-13 Friendster, Inc. Method for sharing relationship information stored in a social network database with third party databases
CN100490372C (zh) * 2005-03-15 2009-05-20 联想(北京)有限公司 一种对加密密钥进行备份与恢复的方法
US20070074027A1 (en) * 2005-09-26 2007-03-29 Tien-Chun Tung Methods of verifying, signing, encrypting, and decrypting data and file
US20080104417A1 (en) * 2006-10-25 2008-05-01 Nachtigall Ernest H System and method for file encryption and decryption
CN101227275A (zh) 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
CN101483513B (zh) * 2009-02-09 2011-01-19 上海爱数软件有限公司 一种网络备份系统及其数据备份和数据恢复方法
CN101483518B (zh) * 2009-02-20 2011-11-09 北京天威诚信电子商务服务有限公司 一种用户数字证书私钥管理方法和系统
CN101567780B (zh) 2009-03-20 2011-05-18 武汉理工大学 一种针对加密数字证书的密钥管理与恢复方法
CN102196436B (zh) * 2010-03-11 2014-12-17 华为技术有限公司 安全认证方法、装置及系统
US8589680B2 (en) * 2010-04-07 2013-11-19 Apple Inc. System and method for synchronizing encrypted data on a device having file-level content protection
US8732462B2 (en) * 2011-07-07 2014-05-20 Ziptr, Inc. Methods and apparatus for secure data sharing
CN102739401B (zh) * 2012-06-05 2015-03-25 北京工业大学 一种基于身份公钥密码体制的私钥安全管理方法
CN102831362B (zh) 2012-07-25 2014-12-10 飞天诚信科技股份有限公司 一种安全生产智能密钥设备的方法及装置
CN102932140A (zh) * 2012-11-20 2013-02-13 成都卫士通信息产业股份有限公司 一种增强密码机安全的密钥备份方法
CN103117855B (zh) * 2012-12-19 2016-07-06 福建联迪商用设备有限公司 一种生成数字证书的方法及备份和恢复私钥的方法
CN103248491B (zh) 2013-05-23 2016-04-13 天地融科技股份有限公司 一种电子签名令牌私钥的备份方法和系统
CN103269271B (zh) 2013-05-23 2016-12-07 天地融科技股份有限公司 一种备份电子签名令牌中私钥的方法和系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000165373A (ja) * 1998-11-25 2000-06-16 Toshiba Corp 暗号装置、暗号通信システム及び鍵復元システム並びに記憶媒体
JP2002368735A (ja) * 2001-06-11 2002-12-20 Sharp Corp マスタ用ic装置、マスタ用ic装置のためのバックアップ用ic装置、マスタ用ic装置にダミー鍵を与えるダミー鍵格納装置、マスタ用ic装置とバックアップ用ic装置とのための補助装置、及び二つ以上の補助装置を用いた鍵バックアップシステム
JP2004023138A (ja) * 2002-06-12 2004-01-22 Dainippon Printing Co Ltd 秘密鍵のバックアップ方法および情報処理端末
US20050138387A1 (en) * 2003-12-19 2005-06-23 Lam Wai T. System and method for authorizing software use
US20090092252A1 (en) * 2007-04-12 2009-04-09 Landon Curt Noll Method and System for Identifying and Managing Keys
US20100172501A1 (en) * 2009-01-06 2010-07-08 Tian Weicheng Secure key system
US20110238994A1 (en) * 2010-02-26 2011-09-29 International Business Machines Corporation Management of secret data items used for server authentication

Also Published As

Publication number Publication date
EP3001599A1 (en) 2016-03-30
EP3001599B1 (en) 2019-02-27
HK1185730A1 (zh) 2014-02-21
US9712326B2 (en) 2017-07-18
CN103248491B (zh) 2016-04-13
EP3001599A4 (en) 2017-04-19
WO2014187210A1 (zh) 2014-11-27
US20160105286A1 (en) 2016-04-14
JP5954609B1 (ja) 2016-07-20
CN103248491A (zh) 2013-08-14

Similar Documents

Publication Publication Date Title
JP5954609B1 (ja) 電子署名トークンの私有鍵のバックアップ方法およびシステム
US11469885B2 (en) Remote grant of access to locked data storage device
WO2017097041A1 (zh) 数据传输方法和装置
CN102271037B (zh) 基于在线密钥的密钥保护装置
EP3001598B1 (en) Method and system for backing up private key in electronic signature token
CN101640590B (zh) 一种获取标识密码算法私钥的方法和密码中心
US20070174618A1 (en) Information security apparatus and information security system
CN109951274B (zh) 基于私钥池的抗量子计算点对点消息传输方法和系统
US11075759B2 (en) Fingerprint data processing method and processing apparatus
CN104639516A (zh) 身份认证方法、设备及系统
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
US9215070B2 (en) Method for the cryptographic protection of an application
MXPA06010776A (es) Autentificacion entre un dispositivo y un almacenamiento portatil.
CN101465728A (zh) 一种密钥分发方法、系统及装置
US11831752B2 (en) Initializing a data storage device with a manager device
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
CN103701757A (zh) 业务接入的身份认证方法与系统
US11582607B2 (en) Wireless security protocol
CN112351037A (zh) 用于安全通信的信息处理方法及装置
CN107911221B (zh) 固态盘数据安全存储的密钥管理方法
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN100437422C (zh) 软件使用权加密保护的系统和方法
KR20200043855A (ko) Dim을 이용한 드론 인증 방법 및 장치
CN115801232A (zh) 一种私钥保护方法、装置、设备及存储介质
CN114297355A (zh) 一种安全会话的建立方法、系统、固态硬盘和终端设备

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20160422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160601

R150 Certificate of patent or registration of utility model

Ref document number: 5954609

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250