RU2720320C1 - Method for trusted storage on a smart card of a list of revoked certificates (crl) - Google Patents
Method for trusted storage on a smart card of a list of revoked certificates (crl) Download PDFInfo
- Publication number
- RU2720320C1 RU2720320C1 RU2019133567A RU2019133567A RU2720320C1 RU 2720320 C1 RU2720320 C1 RU 2720320C1 RU 2019133567 A RU2019133567 A RU 2019133567A RU 2019133567 A RU2019133567 A RU 2019133567A RU 2720320 C1 RU2720320 C1 RU 2720320C1
- Authority
- RU
- Russia
- Prior art keywords
- list
- smart card
- revoked certificates
- certificates
- revoked
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
Abstract
Description
Изобретение относится к области вычислительной техники, а именно к способам доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List) и может применяться для различных типов самрт-карт.The invention relates to the field of computer technology, and in particular to methods of trusted storage on a smart card of a certificate revocation list (CRL - Certificate Revocation List) and can be used for various types of samrt cards.
В настоящее время списки отозванных сертификатов (CRL), необходимые для проверки подлинности текущих пользовательских рабочих сертификатов безопасности, хранятся только на внешних удаленных серверах, поэтому не доступны пользователю в случае отсутствия доступа из локальной компьютерной сети в глобальную сеть Интернет. Это причинят неудобства пользователям при проверке подлинности рабочих сертификатов.Currently, certificate revocation lists (CRLs) required for authenticating current user working security certificates are stored only on external remote servers, therefore they are not accessible to the user if there is no access from the local computer network to the global Internet. This will cause inconvenience to users when authenticating work certificates.
Наиболее близким к заявленному изобретению является способ обновления на смарт-карте списка отозванных сертификатов (CRL), описанный в патентной заявке US2017338966 (A1). Данный способ выбран в качестве прототипа заявленного изобретения.Closest to the claimed invention is a method for updating on a smart card a list of revoked certificates (CRL) described in patent application US2017338966 (A1). This method is selected as a prototype of the claimed invention.
Недостатком способа-прототипа является не достаточное удобство пользования вследствие того, что списки отозванных сертификатов (CRL) хранятся только на удаленных внешних серверах, поэтому не доступны пользователю в случае отсутствия доступа из локальной компьютерной сети в глобальную сеть Интернет.The disadvantage of the prototype method is the lack of ease of use due to the fact that the lists of revoked certificates (CRLs) are stored only on remote external servers, therefore they are not available to the user if there is no access from the local computer network to the global Internet.
Техническим результатом заявленного изобретения является создание способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL) с улучшенным удобством пользования, за счет возможности загрузки из внешнего хранилища, проверки достоверности и хранения на смарт-карте в защищенном разделе внутренней памяти списка отозванных сертификатов, с помощью находящихся на смарт-карте программного компонента проверки достоверности статуса текущего рабочего сертификата и программного компонента импорта списка отозванных сертификатов.The technical result of the claimed invention is the creation of a method for trusted storage on a smart card of a list of revoked certificates (CRL) with improved ease of use, due to the ability to download from an external storage, validation and storage on a smart card in a protected section of the internal memory of the list of revoked certificates, with using the software component for verifying the status of the current working certificate and the software component for importing the list of revoked certificates on the smart card ikatov.
Поставленный технический результат достигнут путем создания способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List), в которомThe technical result achieved is achieved by creating a method for trusted storage on a smart card of a certificate revocation list (CRL - Certificate Revocation List), in which
на этапе инициализации смарт-карты осуществляют следующие операции:at the initialization stage of the smart card, the following operations are performed:
- записывают в защищенную внутреннюю память смарт-карты сертификаты проверки списка отозванных сертификатов;- write to the protected internal memory of the smart card certificates of verification of the list of revoked certificates;
- резервируют в защищенной внутренней памяти смарт-карты область внутреннего хранилища;- reserve the area of internal storage in the protected internal memory of the smart card;
- записывают в смарт-карту программный компонент импорта списка отозванных сертификатов и программный компонент проверки списка отозванных сертификатов;- write to the smart card the software component for importing the list of revoked certificates and the software component for checking the list of revoked certificates;
на этапе пользования смарт-картой осуществляют следующие операции:at the stage of using a smart card, the following operations are performed:
- с помощью компонента импорта списка отозванных сертификатов загружают список отозванных сертификатов из внешнего хранилища списка отозванных сертификатов и передают их в- using the import component of the list of revoked certificates, download the list of revoked certificates from the external storage of the list of revoked certificates and transfer them to
- компонент проверки списка отозванных сертификатов, с помощью которого загружают из защищенной внутренней памяти смарт-карты сертификаты проверки списка отозванных сертификатов и посредством них проверяют достоверность списка отозванных сертификатов, используя цифровую подпись списка отозванных сертификатов, при этом, в случае успешной проверки, записывают в область внутреннего хранилища список отозванных сертификатов.- a component for checking the list of revoked certificates, by means of which the certificates for checking the list of revoked certificates are downloaded from the protected internal memory of the smart card and using them verify the validity of the list of revoked certificates using the digital signature of the list of revoked certificates, and, in case of successful verification, they are written to internal storage list of revoked certificates.
В предпочтительном варианте осуществления способа осуществляют операции инициализации смарт-карты с помощью пользователя или с помощью внешнего программного интерфейса.In a preferred embodiment of the method, smart card initialization operations are carried out using a user or using an external program interface.
Для лучшего понимания заявленного изобретения далее приводится его подробное описание с соответствующими графическими материалами.For a better understanding of the claimed invention the following is a detailed description with the corresponding graphic materials.
Фиг. 1. Схема способа доверенного хранения на смарт-карте списка отозванных сертификатов, выполненная согласно изобретению.FIG. 1. The scheme of the method of trusted storage on a smart card list of revoked certificates, made according to the invention.
Элементы:Items:
1 - смарт-карта;1 - smart card;
2 - область внутреннего хранилища списка отозванных сертификатов (CRL);2 - the area of the internal storage of the certificate revocation list (CRL);
3 - компонент импорта списка отозванных сертификатов (CRL);3 - import component of the certificate revocation list (CRL);
4 - компонент проверки списка отозванных сертификатов (CRL);4 - certificate revocation list verification (CRL) component;
5 - внешнее хранилище списка отозванных сертификатов (CRL);5 - external certificate revocation list (CRL) storage;
6 - сертификаты проверки списка отозванных сертификатов.6 - certificates of verification of the list of revoked certificates.
Рассмотрим вариант выполнения заявленного изобретения способа доверенного хранения на смарт-карте списка отозванных сертификатов (CRL - Certificate Revocation List).Consider an embodiment of the claimed invention of a method for trusted storage on a smart card of a certificate revocation list (CRL).
На этапе инициализации смарт-карты 1 осуществляют следующие операции. Записывают в защищенную внутреннюю память смарт-карты 1 сертификаты 6 проверки списка отозванных сертификатов. Резервируют в защищенной внутренней памяти смарт-карты 1 область 2 внутреннего хранилища. Записывают в смарт-карту 1 программный компонент 3 импорта списка отозванных сертификатов и программный компонент 4 проверки списка отозванных сертификатов.At the initialization stage of the
На этапе пользования смарт-картой осуществляют следующие операции. С помощью компонента 3 импорта списка отозванных сертификатов загружают список отозванных сертификатов из внешнего хранилища 5 списка отозванных сертификатов и передают их в компонент 4 проверки списка отозванных сертификатов. С помощью компонента 4 проверки списка отозванных сертификатов загружают из защищенной внутренней памяти смарт-карты 1 сертификаты 6 проверки списка отозванных сертификатов и посредством них проверяют достоверность списка отозванных сертификатов, используя цифровую подпись списка отозванных сертификатов, при этом, в случае успешной проверки, записывают в область 2 внутреннего хранилища список отозванных сертификатов.At the stage of using a smart card, the following operations are performed. Using
Осуществляют операции инициализации смарт-карты с помощью пользователя внешнего программного интерфейса.Smart card initialization operations are performed using the user of the external program interface.
Заявленное изобретение обладает следующими преимуществами. Смарт-карта имеет внутреннюю защищенную память. Исполнение смарт-карты обеспечивает защиту внутренней памяти от несанкционированной модификации неавторизованными пользователями. The claimed invention has the following advantages. The smart card has an internal secure memory. Smart card execution protects the internal memory from unauthorized modification by unauthorized users.
Приведенное описание заявленного изобретения представляет собой лишь пример одного варианта его выполнения. Остальные варианты выполнения заявленного изобретения допускаются при соблюдения главного принципа заявленного изобретения - независимости смарт-карты и её внутреннего программного интерфейса от внешней среды при проверке статуса сертификата.The above description of the claimed invention is only an example of one embodiment. Other embodiments of the claimed invention are allowed subject to the main principle of the claimed invention - the independence of the smart card and its internal program interface from the external environment when checking the status of the certificate.
Заявленное изобретения представляет собой смарт-карту как самостоятельный (независимый от внешнего программного обеспечения) элемент инфраструктуры открытых ключей с возможностью проверки достоверности списка отозванных сертификатов (CRL - Certificate Revocation List). Заявленная смарт-карта имеет объем внутренней защищенной памяти, достаточный для хранения списка отозванных сертификатов. Использование заявленного изобретения позволяет исключить некоторые риски нарушения информационной безопасности, а именно риск проявления ошибки второго рода при проверке компрометации ключей безопасности для соответствующего сертификата безопасности в недоверенной среде. Реализация заявленного изобретения позволяет поддерживать жизненный цикл списка отозванных сертификатов в виде его обновления.The claimed invention is a smart card as an independent (independent from external software) element of the public key infrastructure with the ability to verify the authenticity of the certificate revocation list (CRL - Certificate Revocation List). The claimed smart card has enough internal secure memory to store a list of revoked certificates. Using the claimed invention allows to eliminate some risks of information security breaches, namely the risk of a second kind of error when checking the security keys for a corresponding security certificate in an untrusted environment. The implementation of the claimed invention allows you to maintain the life cycle of the list of revoked certificates in the form of updating it.
Хотя описанный выше вариант выполнения изобретения был изложен с целью иллюстрации заявленного изобретения, специалистам ясно, что возможны разные модификации, добавления и замены, не выходящие из объема и смысла заявленного изобретения, раскрытого в прилагаемой формуле изобретения.Although the embodiment described above has been set forth to illustrate the claimed invention, it is clear to those skilled in the art that various modifications, additions and substitutions are possible without departing from the scope and meaning of the claimed invention disclosed in the attached claims.
Claims (9)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019133567A RU2720320C1 (en) | 2019-10-22 | 2019-10-22 | Method for trusted storage on a smart card of a list of revoked certificates (crl) |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019133567A RU2720320C1 (en) | 2019-10-22 | 2019-10-22 | Method for trusted storage on a smart card of a list of revoked certificates (crl) |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2720320C1 true RU2720320C1 (en) | 2020-04-28 |
Family
ID=70553005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019133567A RU2720320C1 (en) | 2019-10-22 | 2019-10-22 | Method for trusted storage on a smart card of a list of revoked certificates (crl) |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2720320C1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5910989A (en) * | 1995-04-20 | 1999-06-08 | Gemplus | Method for the generation of electronic signatures, in particular for smart cards |
US20040128504A1 (en) * | 2002-09-30 | 2004-07-01 | Tero Kivinen | Method for producing certificate revocation lists |
RU2449377C2 (en) * | 2006-03-11 | 2012-04-27 | Байер Инновейшн Гмбх | Method and apparatus for secure processing of protected information |
US20160034693A1 (en) * | 2014-07-30 | 2016-02-04 | Fujitsu Limited | Certificate authority operation apparatus and method |
US20160065377A1 (en) * | 2013-12-16 | 2016-03-03 | Panasonic Intellectual Property Management Co., Ltd. | Authentication system and authentication method |
-
2019
- 2019-10-22 RU RU2019133567A patent/RU2720320C1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5910989A (en) * | 1995-04-20 | 1999-06-08 | Gemplus | Method for the generation of electronic signatures, in particular for smart cards |
US20040128504A1 (en) * | 2002-09-30 | 2004-07-01 | Tero Kivinen | Method for producing certificate revocation lists |
RU2449377C2 (en) * | 2006-03-11 | 2012-04-27 | Байер Инновейшн Гмбх | Method and apparatus for secure processing of protected information |
US20160065377A1 (en) * | 2013-12-16 | 2016-03-03 | Panasonic Intellectual Property Management Co., Ltd. | Authentication system and authentication method |
US20160034693A1 (en) * | 2014-07-30 | 2016-02-04 | Fujitsu Limited | Certificate authority operation apparatus and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109313690B (en) | Self-contained encrypted boot policy verification | |
JP5046165B2 (en) | How to create a secure counter on an embedded system with a chip card | |
JP5314016B2 (en) | Information processing apparatus, encryption key management method, computer program, and integrated circuit | |
CN110287654B (en) | Media client device authentication using hardware trust root | |
US20070055881A1 (en) | Method for securely exchanging public key certificates in an electronic device | |
CA3058240C (en) | Cryptographic key management based on identity information | |
US20100268942A1 (en) | Systems and Methods for Using Cryptographic Keys | |
JP2013514587A (en) | Content management method using certificate revocation list | |
JP2009003855A (en) | Information security device and counter control method | |
JP2009521032A5 (en) | ||
JP2016520265A (en) | Generation of working security keys based on security parameters | |
KR20090052321A (en) | Content control system and method using versatile control structure | |
CN105893837A (en) | Application program installation method, security encryption chip and terminal | |
Nyman et al. | Citizen electronic identities using TPM 2.0 | |
GB2603035A (en) | Post-quantum certificate binding | |
JP6199712B2 (en) | Communication terminal device, communication terminal association method, and computer program | |
CN110798322A (en) | Operation request method, device, storage medium and processor | |
US8745375B2 (en) | Handling of the usage of software in a disconnected computing environment | |
WO2019210471A1 (en) | Data invoking method and data invoking apparatus | |
CN100437422C (en) | System and method for enciphering and protecting software using right | |
RU2720320C1 (en) | Method for trusted storage on a smart card of a list of revoked certificates (crl) | |
CN116896463A (en) | Trusted environment authentication method and device based on blockchain | |
Saramago et al. | A tree-based construction for verifiable diplomas with issuer transparency | |
JP7222436B2 (en) | Security control method, information processing device and security control program | |
CN109359479B (en) | Certificate generation and verification method, device, storage medium and electronic equipment |