亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于智能密碼鑰匙的安全發(fā)證方法

文檔序號(hào):7895684閱讀:338來(lái)源:國(guó)知局
專利名稱:一種基于智能密碼鑰匙的安全發(fā)證方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種計(jì)算機(jī)安全技術(shù),具體涉及一種基于智能密碼鑰匙的安全發(fā)證方法。
背景技術(shù)
電子證書(Digital Certificate)又稱為數(shù)字證書或數(shù)位證書,是一種用于電腦的身份識(shí)別機(jī)制。隨著電子商務(wù)應(yīng)用的發(fā)展,電子證書將得到更加廣泛的應(yīng)用。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),是為網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名服務(wù)及所需密鑰和證書的管理體系。它采用證書管理公鑰,通過(guò)可信第三方的認(rèn)證機(jī)構(gòu)CAjE 用戶的公鑰和用戶其他信息(如名稱、電子郵件、身份證號(hào)等)捆綁在一起,在公鑰加密技術(shù)基礎(chǔ)上對(duì)證書的產(chǎn)生、管理、存儲(chǔ)、發(fā)布以及撤銷進(jìn)行管理,并通過(guò)延伸到用戶本地的接口為各種應(yīng)用提供安全服務(wù),包括認(rèn)證、身份識(shí)別、數(shù)字簽名、加密等。典型的PKI由五部分組成證書申請(qǐng)者、注冊(cè)機(jī)構(gòu)、認(rèn)證中心、證書庫(kù)和證書信任方。其中注冊(cè)機(jī)構(gòu)RA系統(tǒng)提供了提交證書申請(qǐng)、審核證書申請(qǐng)、提交注銷申請(qǐng)、審核注銷申請(qǐng)、提交恢復(fù)申請(qǐng)、審核恢復(fù)申請(qǐng)、發(fā)布審核結(jié)果、查詢用戶、查看用戶證書信息、刪除用戶等功能為整個(gè)機(jī)構(gòu)體系提供電子認(rèn)證服務(wù)。在通常情況下,RA是處于集中式管理的狀態(tài),如中國(guó)的省級(jí)行政劃分中只有省會(huì)才有RA機(jī)構(gòu),那么對(duì)于邊遠(yuǎn)的人們來(lái)說(shuō),辦理一張證書將是一項(xiàng)非常繁雜的事情,可能需要等待很長(zhǎng)時(shí)間才能完成整個(gè)流程,使得證書辦理的效率非常低。為了提高電子證書辦理的效率,更加方便地頒發(fā)證書,人們提供一種基于 LRA (Local Registration Authority)技術(shù)的電子證書的頒發(fā)方法。該方法中LRA處于相對(duì)靈活的地點(diǎn),如鄉(xiāng)鎮(zhèn)派出所等,由此LRA可能處于不安全的環(huán)境中,這大大降低子證書頒發(fā)過(guò)程的安全性。為了保證電子證書頒發(fā)過(guò)程的安全性,在傳統(tǒng)的解決方案中,一般采用物理方法進(jìn)行因特網(wǎng)和內(nèi)部網(wǎng)的隔離,如建立專線,也就是說(shuō),從RA到LRA之間建立一條專門的線路,但是LRA數(shù)量上比較多,導(dǎo)致成本非常高。

發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有電子證書頒發(fā)過(guò)程中事項(xiàng)繁雜、效率低以及為提高電子證書頒發(fā)安全性所需成本極高等問(wèn)題,而提供一種效率高、安全性高以及成本低的電子證書發(fā)證方法。為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案一種基于智能密碼鑰匙的安全發(fā)證方法,該方法通過(guò)持有智能密碼鑰匙的LRA進(jìn)行電子證書的頒發(fā),所述智能密碼鑰匙中存儲(chǔ)有CA頒發(fā)給LRA的數(shù)字證書、CA和VRA的數(shù)字證書。在本發(fā)明的優(yōu)選方案中,所述發(fā)證方法具體包括如下步驟
(1)用戶向LRA提供申請(qǐng)信息以申請(qǐng)數(shù)字證書;O) LRA對(duì)用戶提供的申請(qǐng)信息進(jìn)行審核;(3) LRA將審核好的信息提交至VRA ;(4) RA根據(jù)VRA接收到的信息向CA請(qǐng)求證書;(5) CA將簽名后的證書發(fā)給RA,然后由RA發(fā)給VRA;(6) VRA用LRA數(shù)字證書對(duì)應(yīng)的公鑰加密證書,并發(fā)給LRA ;(7)LRA將接收到的證書用所持有數(shù)字證書對(duì)應(yīng)的私鑰解密,并用CA的數(shù)字證書驗(yàn)證CA簽名,若驗(yàn)證通過(guò)將接收的證書寫入到用戶的證書載體內(nèi)。進(jìn)一步的,所述步驟⑶和步驟(6)前還包括LRA和VRA之間信任關(guān)系的建立步驟(1. 1)LRA產(chǎn)生一段隨機(jī)數(shù)據(jù),然后用VRA的公鑰加密,發(fā)送給VRA ;(1. 2)VRA接收到加密信息后,通過(guò)其私鑰進(jìn)行解密,然后將解密信息用LRA的公鑰加密,發(fā)送給LRA;(1.3) LRA通過(guò)私鑰將接收到信息進(jìn)行解密,并與原有隨機(jī)數(shù)據(jù)進(jìn)行比對(duì),相同則 LRA信任VRA,不同則不信任VRA ;(1. 4)再利用步驟(1. 1)至步驟(1. 3)的方式完成VRA對(duì)LRA的信任關(guān)系的確定, 并由此完成LRA和VRA之間信任關(guān)系的建立。再進(jìn)一步的,所述步驟(7)中將證書寫入證書載體時(shí),需要重新確認(rèn)用戶信息。根據(jù)上述技術(shù)方案得到的本發(fā)明利用已頒發(fā)的、合法的智能密碼鑰匙來(lái)保證發(fā)證流程的安全性,在保證能夠安全地穿越因特網(wǎng)同時(shí)避免在VRA到LRA之間建立專門的線路, 大大降低其成本。再者,本發(fā)明利用持有智能密碼鑰匙的LRA進(jìn)行證書的頒發(fā),大大減少申請(qǐng)數(shù)字證書的繁瑣事宜,極大的提高了證書的頒發(fā)效率。
以下結(jié)合附圖和具體實(shí)施方式
來(lái)進(jìn)一步說(shuō)明本發(fā)明。

圖1為本發(fā)明的原理圖;圖2為本發(fā)明實(shí)施的流程圖;圖3為本發(fā)明中信任關(guān)系的確認(rèn)示意圖。
具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明。為了解決現(xiàn)有數(shù)字證書頒發(fā)流程中所存在的問(wèn)題,本發(fā)明提供一種基于智能密碼鑰匙的安全發(fā)證方法。該方法是通過(guò)已頒發(fā)的、合法的智能密碼鑰匙來(lái)保證發(fā)證流程的安全性,而且在智能密碼鑰匙中,CA (Certificate Authority)已經(jīng)將證書寫入,其身份是合法的。當(dāng)LRA持有這一智能密碼鑰匙時(shí),LRA具有相應(yīng)的權(quán)限,如申請(qǐng)、審核、頒發(fā)證書等。參見(jiàn)圖1,基于智能密碼鑰匙的安全發(fā)證流程包括用戶、LRA、VRA、RA和CA五部分。 首先用戶向LRA提出申請(qǐng),然后LRA將確認(rèn)的申請(qǐng)發(fā)送給VRA,VRA提交給RA,RA向CA請(qǐng)求證書,最后CA將證書發(fā)給RA,然后RA發(fā)給VRA,VRA將證書發(fā)送給LRA,LRA接收到證書后將其寫入用戶的證書載體內(nèi)。這種發(fā)證流程通過(guò)持有智能密碼鑰匙的LRA進(jìn)行,其與傳統(tǒng)的發(fā)證流程相比,這種發(fā)證流程將頒發(fā)證書的權(quán)限授予LRA,而不只是RA才能頒發(fā)證書。所以,這種發(fā)證流程更加靈活,更加高效?;谏鲜鲈?,本發(fā)明的具體實(shí)施如下(參見(jiàn)圖2)1)用戶通過(guò)LRA向VRA提交證書申請(qǐng)并提供相關(guān)信息LRA根據(jù)用戶提供的信息就地進(jìn)行初步核對(duì),核對(duì)通過(guò)后將用戶信息加密發(fā)給經(jīng)過(guò)身份認(rèn)證的VRA。在這一過(guò)程中,需要建立用戶、LRA和VRA之間的信任關(guān)系,如圖3所
7J\ ο①LRA和用戶信任關(guān)系的建立LRA就地通過(guò)用戶提交的身份證件或當(dāng)?shù)匦姓芾頇C(jī)構(gòu)初步確認(rèn)用戶身份信息;同時(shí)用戶可以通過(guò)當(dāng)?shù)匦姓芾眢w系、第三方證書校驗(yàn)或旁路驗(yàn)證方式確立對(duì)LRA的信任。②LRA與VRA信任關(guān)系的建立通過(guò)不安全的互聯(lián)網(wǎng),采用基于PKI的雙向認(rèn)證技術(shù),具體流程如下,首先LRA產(chǎn)生一隨機(jī)數(shù)據(jù)R,然后用VRA的公鑰RKvka加密,得到密文E1 =(R)pkvea,將E1發(fā)送給VRA ;VRA接收到加密信息E/后,用私鑰SKvea進(jìn)行解密,得到R’,然后將解密信息R’用根據(jù)LRA證書得到的公鑰加密,得到& = (R’)PKm,發(fā)送給LRA, LRA將接收到的信息用私鑰SKm進(jìn)行解密,得到R”與原有數(shù)據(jù)R進(jìn)行比對(duì),相同則LRA信任VRA,不同則不信任VRA ;同理,VRA也可以用這一方法完成對(duì)LRA的信任。一旦完成上述信任關(guān)系的建立,LRA可產(chǎn)生一隨機(jī)數(shù)r,用該隨機(jī)數(shù)r作為對(duì)稱密鑰對(duì)用戶信息U進(jìn)行對(duì)稱加密,得到&,然后將該對(duì)稱密鑰r用VRA的公鑰PKvea加密,得到 Er = (r)PKVKA,最后將加密后的對(duì)稱密鑰和用戶數(shù)據(jù)(Ej IEu)發(fā)給VRA。2)當(dāng)VRA接收到LRA提交的用戶信息后,用私鑰SKvea解密對(duì)稱密鑰E,,然后用對(duì)稱密鑰r解密用戶信息,最后將解密得到的用戶信息U后提交給RA。3) RA根據(jù)LRA提交的用戶信息U進(jìn)行審核,審核通過(guò)后頒發(fā)相應(yīng)的證書。RA向CA 請(qǐng)求產(chǎn)生用戶證書Cu及相應(yīng)的私鑰SKu,打包交由對(duì)應(yīng)的VRA, VRA首先用自己的私鑰SKvka 對(duì)數(shù)據(jù)簽名,得到Du= (CuI ISKu)SKVKA,然后用隨機(jī)數(shù)1·’作為對(duì)稱密鑰對(duì)數(shù)據(jù)進(jìn)行加密,得到 Eu = (Du I I Cu I I SKu) r’,再用LRA的公鑰PKlea對(duì)對(duì)稱密鑰r,進(jìn)行加密,得到Er, = (r,)PKLEA, 最后將加密過(guò)的數(shù)據(jù)和對(duì)稱密鑰IEr,)發(fā)送給LRA。4) LRA接收到證書后,用LRA的私鑰SKuw解密對(duì)稱密鑰E,,,得到r ’,然后用對(duì)稱密鑰r’解密出VRA簽名過(guò)的數(shù)據(jù),得到DuI I Cu,再用VRA的公鑰對(duì)數(shù)據(jù)進(jìn)行驗(yàn)簽,如果簽名數(shù)據(jù)與Du —致,則對(duì)來(lái)自VRA的數(shù)據(jù)驗(yàn)簽成功。然后用CA的根證書再一次驗(yàn)證CA頒發(fā)的用戶證書。如果驗(yàn)簽成功,則將證書頒發(fā)給用戶。通過(guò)這一系列基于PKI技術(shù)的信任關(guān)系的建立,對(duì)RA的信任可以由VRA進(jìn)一步拓展到LRA,實(shí)現(xiàn)遠(yuǎn)程安全發(fā)證的信任鏈。以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制,上述實(shí)施例和說(shuō)明書中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求
1.一種基于智能密碼鑰匙的安全發(fā)證方法,其特征在于,所述方法通過(guò)持有智能密碼鑰匙的LRA進(jìn)行電子證書的頒發(fā),所述智能密碼鑰匙中存儲(chǔ)有CA頒發(fā)給LRA的數(shù)字證書、 CA和VRA的數(shù)字證書。
2.根據(jù)權(quán)利要求1所述的一種基于智能密碼鑰匙的安全發(fā)證方法,其特征在于,所述發(fā)證方法具體包括如下步驟(1)用戶向LRA提供申請(qǐng)信息以申請(qǐng)數(shù)字證書;O) LRA對(duì)用戶提供的申請(qǐng)信息進(jìn)行審核;(3)LRA將審核好的信息提交至VRA ;(4)RA根據(jù)VRA接收到的信息向CA請(qǐng)求證書;(5)CA將簽名后的證書發(fā)給RA,然后由RA發(fā)給VRA ;(6)VRA用LRA數(shù)字證書對(duì)應(yīng)的公鑰加密證書,然后發(fā)給LRA;(7)LRA將接收到的證書用所持有數(shù)字證書對(duì)應(yīng)的私鑰解密,并用CA的數(shù)字證書驗(yàn)證 CA簽名,若驗(yàn)證通過(guò)將接收的證書寫入到用戶的證書載體內(nèi)。
3.根據(jù)權(quán)利要求2所述的一種基于智能密碼鑰匙的安全發(fā)證方法,其特征在于,所述步驟C3)和步驟(6)前還包括LRA和VRA之間信任關(guān)系的建立步驟(1. 1)LRA產(chǎn)生一段隨機(jī)數(shù)據(jù),然后用VRA的公鑰加密,發(fā)送給VRA ;(1. 2)VRA接收到加密信息后,通過(guò)其私鑰進(jìn)行解密,然后將解密信息用LRA的公鑰加密,發(fā)送給LRA;(1.3)LRA通過(guò)私鑰將接收到信息進(jìn)行解密,并與原有隨機(jī)數(shù)據(jù)進(jìn)行比對(duì),相同則LRA 信任VRA,不同則不信任VRA ;(1.4)再利用步驟(1.1)至步驟(1. 3)的方式完成VRA對(duì)LRA的信任關(guān)系的確定,并由此完成LRA和VRA之間信任關(guān)系的建立。
4.根據(jù)權(quán)利要求2所述的一種基于智能密碼鑰匙的安全發(fā)證方法,其特征在于,所述步驟(7)中將證書寫入證書載體時(shí),需要重新確認(rèn)用戶信息。
全文摘要
本發(fā)明公開(kāi)了一種基于智能密碼鑰匙的安全發(fā)證方法,該方法通過(guò)持有智能密碼鑰匙的LRA(Local RA)進(jìn)行電子證書的頒發(fā),所述智能密碼鑰匙中存儲(chǔ)有CA頒發(fā)給LRA的數(shù)字證書、CA和VRA(Virtual RA)的數(shù)字證書。該方法利用已頒發(fā)的、合法的智能密碼鑰匙來(lái)保證發(fā)證流程的安全性,在保證能夠安全地穿越因特網(wǎng)同時(shí)避免在RA到LRA之間建立專門的線路,大大降低其成本。
文檔編號(hào)H04L9/32GK102255732SQ20111025429
公開(kāi)日2011年11月23日 申請(qǐng)日期2011年8月31日 優(yōu)先權(quán)日2011年8月31日
發(fā)明者呂良, 杭強(qiáng)偉, 胡善學(xué), 胡永清, 趙宏偉 申請(qǐng)人:公安部第三研究所
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1