国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      安全導(dǎo)入密鑰的方法及電子簽名工具、認證設(shè)備及系統(tǒng)的制作方法

      文檔序號:7766659閱讀:367來源:國知局
      專利名稱:安全導(dǎo)入密鑰的方法及電子簽名工具、認證設(shè)備及系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及電子技術(shù)應(yīng)用領(lǐng)域,尤其涉及一種向電子簽名工具安全導(dǎo)入密鑰的方 法及電子簽名工具、認證設(shè)備及系統(tǒng)。
      背景技術(shù)
      隨著身份認證技術(shù)的發(fā)展和應(yīng)用,電子簽名工具被越來越多地應(yīng)用到身份認證領(lǐng) 域中,目前主要的應(yīng)用領(lǐng)域有兩大類金融領(lǐng)域和政府機構(gòu)。在金融領(lǐng)域中應(yīng)用,根據(jù)《中華 人民共和國電子簽名法》的要求,作為個人身份的認證工具,要求電子簽名工具內(nèi)的私鑰不 可被讀出、修改等;而在政府機構(gòu)內(nèi)應(yīng)用,為了便于監(jiān)管,要求電子簽名工具內(nèi)的私鑰(即 工作密鑰)是可控的,所以一般都采用將私鑰寫入電子簽名工具的方式,這樣就出現(xiàn)了寫 入私鑰時的安全問題。目前的做法都是基于安全環(huán)境下完成向電子簽名工具寫入私鑰,私 鑰都是明文或者簡單加密后寫入電子簽名工具,這對環(huán)境的安全要求很高,此外如果更換 私鑰時,需要對電子簽名工具進行回收后在特定的安全環(huán)境下才能進行私鑰更換,十分不 方便。

      發(fā)明內(nèi)容
      基于現(xiàn)有技術(shù)所存在的問題,本發(fā)明實施方式提供一種向電子簽名工具安全導(dǎo)入 密鑰的方法及電子簽名工具、認證設(shè)備及系統(tǒng),不用在特定的安全環(huán)境下,即可保證向電子 簽名工具導(dǎo)入私鑰的安全性,而且在后續(xù)使用中,不用回收至安全的環(huán)境下即可方便進行 私鑰的更換。本發(fā)明的目的是通過下述技術(shù)方案實現(xiàn)的本發(fā)明實施方式一種安全導(dǎo)入密鑰的方法,包括生成隨機數(shù)R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰KO的公鑰加密得到加密 數(shù)據(jù),將加密數(shù)據(jù)用預(yù)先生成并保存的保護密鑰對Kl的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);將所述簽名結(jié)果數(shù)據(jù)與身份識別信息向存儲有所述專用公鑰KO的私鑰和所述保 護密鑰對Kl的公鑰的認證設(shè)備傳送;使所述認證設(shè)備能利用所述簽名結(jié)果數(shù)據(jù)與身份識 別信息及存儲的所述專用公鑰KO的私鑰和所述保護密鑰對Kl的公鑰進行合法性認證,認 證通過后,將準備導(dǎo)入的工作密鑰Ks加密并簽名后得到簽名數(shù)據(jù),并回復(fù)所述簽名數(shù)據(jù);接收并驗算所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù),驗算正確后用所述保護密鑰對Kl 的私鑰對所述簽名數(shù)據(jù)進行解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。所述身份識別信息包括電子簽名工具的序列號。所述方法還包括對預(yù)先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,要通過預(yù) 先存儲在認證設(shè)備中的該專用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通 過后才能用認證后的公鑰對預(yù)先寫入的所述專用公鑰KO的公鑰進行更新或覆蓋。所述使所述認證設(shè)備能利用所述簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲的所述專 用公鑰KO的私鑰和所述保護密鑰對Kl的公鑰進行合法性認證,認證通過后,將準備導(dǎo)入的工作密鑰Ks加密并簽名后得到簽名數(shù)據(jù)包括所述認證設(shè)備能通過所述身份識別信息檢索到存儲的保護密鑰對Kl的公鑰,用 所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算,驗算正確后,用存儲的專用公鑰 KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到所述隨機數(shù)Rl ;并將所述認證設(shè)備自身生成 的特征數(shù)據(jù)R2、所述隨機數(shù)Rl和準備導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰 進行加密,將加密結(jié)果數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù)。本發(fā)明實施方式還提供一種安全導(dǎo)入密鑰的方法,包括接收電子簽名工具發(fā)送的簽名結(jié)果數(shù)據(jù)和電子簽名工具的身份識別信息;其中, 所述簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機數(shù)R1,將所述隨機數(shù)Rl用預(yù)先寫入的專 用公鑰KO的公鑰加密后,用預(yù)先生成的保護密鑰對Kl的私鑰計算簽名得到的簽名結(jié)果數(shù) 據(jù);通過所述電子簽名工具的身份識別信息檢索到預(yù)先接收并存儲的保護密鑰對Kl 的公鑰,用所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;驗算正確后,用預(yù)先存儲的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得 到由電子簽名工具生成的隨機數(shù)Rl,將所述隨機數(shù)Rl和自身生成的特征數(shù)據(jù)R2及準備向 所述電子簽名工具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密,將加密 結(jié)果數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);將所述簽名數(shù)據(jù)回復(fù)給電子簽名工具,使電子簽名工具在接收并驗算回復(fù)的所述 簽名數(shù)據(jù)正確后,用電子簽名工具存儲的保護密鑰對Ki的私鑰解密得到準備導(dǎo)入的所述 工作密鑰Ks并進行保存。所述方法還包括對電子簽名工具中預(yù)先寫入的專用公鑰KO的公鑰進行更新或 覆蓋時,用預(yù)先存儲的專用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過后 才能用認證后的所述公鑰對電子簽名工具中預(yù)先寫入的所述專用公鑰KO的公鑰進行更新
      或覆蓋。本發(fā)明實施方式進一步提供一種電子簽名工具,包括密鑰存儲模塊、密鑰生成模塊、隨機數(shù)生成模塊、簽名處理模塊、發(fā)送模塊和接收 處理模塊;所述密鑰存儲模塊,用于保存預(yù)先寫入的專用公鑰KO的公鑰,及保存密鑰生成模 塊生成的保護密鑰對Kl的私鑰,及保存接收處理模塊接收處理認證設(shè)備回復(fù)的簽名數(shù)據(jù) 后得到的工作密鑰Ks ;所述密鑰生成模塊,用于生成保護密鑰對Kl,并將所述保護密鑰對Kl的私鑰保存 至所述密鑰存儲模塊;所述隨機數(shù)生成模塊,用于生成隨機數(shù)Rl ;所述簽名處理模塊,用于將所述隨機數(shù)生成模塊生成的所述隨機數(shù)Rl用所述密 鑰存儲模塊存儲的所述專用公鑰KO的公鑰加密后,將加密數(shù)據(jù)用所述密鑰生成模塊生成 的保存在所述密鑰存儲模塊的保護密鑰對Kl的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);所述傳送模塊,用于將所述保護密鑰對Kl的公鑰傳送至預(yù)先存儲所述專用公鑰 KO的私鑰的認證設(shè)備,并將所述簽名結(jié)果數(shù)據(jù)與身份識別信息向所述認證設(shè)備傳送;所述接收處理存儲模塊,用于接收并對所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù)進行驗算,驗算正確后用所述密鑰存儲模塊存儲的保護密鑰對Kl的私鑰對所述簽名數(shù)據(jù)進行解 密得到準備導(dǎo)入的所述工作密鑰Ks,并用所述密鑰存儲模塊對所述工作密鑰Ks進行保存。所述電子簽名工具還包括更新認證模塊,用于在對所述密鑰存儲模塊保存的預(yù) 先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,用預(yù)先存儲在認證設(shè)備中的所述專用公 鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過后才能用認證后的公鑰對所述 密鑰存儲模塊中保存的預(yù)先寫入的所述專用公鑰KO的公鑰進行更新或覆蓋。本發(fā)明實施方式提供一種認證設(shè)備,包括接收模塊、密鑰存儲模塊、驗算處理模塊、解密處理模塊、隨機數(shù)生成模塊、加密及 簽名處理模塊和發(fā)送模塊;所述接收模塊,用于接收電子簽名工具發(fā)送的保護密鑰對Kl的公鑰、簽名結(jié)果數(shù) 據(jù)和電子簽名工具的身份識別信息,其中,所述簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機 數(shù)R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰KO的公鑰加密后,用預(yù)先生成的保護密鑰對 Kl的私鑰計算簽名得到的簽名結(jié)果數(shù)據(jù);所述密鑰存儲模塊,用于對預(yù)先存入的專用公鑰KO的私鑰進行保存,及保存所述 接收模塊接收的由電子簽名工具發(fā)送的保護密鑰對Kl的公鑰,及保存準備向所述電子簽 名工具導(dǎo)入的工作密鑰Ks;所述驗算處理模塊,用于利用所述接收模塊接收的所述電子簽名工具的身份識別 信息在所述密鑰存儲模塊中檢索到預(yù)先接收并保存的所述保護密鑰對Kl的公鑰,用所述 保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;所述解密處理模塊,用于在所述驗算處理模塊驗算正確后,用所述密鑰存儲模塊 保存的預(yù)先存入的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到由電子簽名工具 生成的隨機數(shù)Rl ;所述隨機數(shù)生成模塊,用于生成特征數(shù)據(jù)R2 ;所述加密及簽名處理模塊,用于將所述解密處理模塊解密得到的所述隨機數(shù)Rl 和所述隨機數(shù)生成模塊生成的特征數(shù)據(jù)R2及所述密鑰存儲模塊保存的準備向所述電子簽 名工具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密,將加密結(jié)果數(shù)據(jù)用 所述密鑰存儲模塊保存的所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);所述發(fā)送模塊,用于將所述加密及簽名處理模塊得到的所述簽名數(shù)據(jù)向電子簽名 工具回復(fù),使電子簽名工具在接收并驗算回復(fù)的所述簽名數(shù)據(jù)正確后,用電子簽名工具存 儲的保護密鑰對Kl的私鑰解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。本發(fā)明實施方式再提供一種安全導(dǎo)入私鑰的系統(tǒng),包括至少一個認證設(shè)備和至一個電子簽名工具;所述認證設(shè)備采用上述的認證設(shè)備, 所述電子簽名工具采用上述的電子簽名工具;所述認證設(shè)備與電子簽名工具通信連接,將工作密鑰Ks安全導(dǎo)入到電子簽名工 具中。通過本發(fā)明實施例提供的技術(shù)方案可以看出,本發(fā)明實施例中通過在導(dǎo)入工作密 鑰的過程中,將首先由電子簽名工具生成合法性認證的數(shù)據(jù),傳遞與電子簽名工具通信連 接的給后臺系統(tǒng)的認證設(shè)備,在認證設(shè)備驗證電子簽名工具的合法性后,再將準備導(dǎo)入的 工作密鑰加密后傳送給電子簽名工具,電子簽名工具解密后即可得到準備導(dǎo)入的工作密鑰。該方法處理過程簡單,不必依賴于特定的安全環(huán)境,可以通過普通的網(wǎng)絡(luò)將工作密鑰 (也可以是密鑰對、公鑰等)安全的導(dǎo)入到電子簽名工具內(nèi),提高了向電子簽名工具導(dǎo)入工 作密鑰的安全性和便利性。


      圖1為本發(fā)明實施J1提供的方法流程圖;圖2為本發(fā)明實施 J2提供的方法流程圖;圖3為本發(fā)明實施J3提供的電子簽名工具的結(jié)構(gòu)框圖;圖4為本發(fā)明實施J4提供的認證設(shè)備的結(jié)構(gòu)框圖;圖5為本發(fā)明實施J 5提供的系統(tǒng)的示意圖。
      具體實施例方式下面結(jié)合具體實施例對本發(fā)明作進一步說明。實施例1本實施例提供一種安全導(dǎo)入密鑰的方法,用于向電子簽名工具(如=USBKey裝置) 安全的導(dǎo)入工作密鑰,如圖1所示,該方法包括步驟1,電子簽名工具預(yù)先寫入的專用公鑰KO的公鑰,并生成保護密鑰對K1,保存 所述保護密鑰對Kl的私鑰,將所述保護密鑰對Kl的公鑰傳送至預(yù)先存入所述專用公鑰KO 的私鑰的認證設(shè)備;步驟2,生成隨機數(shù)R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰KO的公鑰加密得 到加密數(shù)據(jù),將加密數(shù)據(jù)用預(yù)先生成并保存的保護密鑰對Kl的私鑰計算簽名得到簽名結(jié) 果數(shù)據(jù);步驟3,將所述簽名結(jié)果數(shù)據(jù)與身份識別信息(可以是電子簽名工具的序列號,也 可以是其它的身份識別信息)向存儲有所述專用公鑰KO的私鑰和所述保護密鑰對Kl的公 鑰的認證設(shè)備傳送;使所述認證設(shè)備能利用所述簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲的所 述專用公鑰KO的私鑰和所述保護密鑰對Kl的公鑰進行合法性認證,認證通過后,將準備導(dǎo) 入的工作密鑰Ks加密并簽名后得到簽名數(shù)據(jù),并回復(fù)所述簽名數(shù)據(jù);上述步驟3中,使所述認證設(shè)備能利用所述簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲 的所述專用公鑰KO的私鑰和所述保護密鑰對Kl的公鑰進行合法性認證,認證通過后,將準 備導(dǎo)入的工作密鑰Ks加密并簽名后得到簽名數(shù)據(jù)包括所述認證設(shè)備能通過所述身份識別信息檢索到存儲的保護密鑰對Kl的公鑰,用 所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算,驗算正確后,用存儲的專用公鑰 KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到所述隨機數(shù)Rl ;并將所述認證設(shè)備自身生成 的特征數(shù)據(jù)R2、所述隨機數(shù)Rl和準備導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰 進行加密,將加密結(jié)果數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù)。其中,認證設(shè)備生成的特征數(shù)據(jù)R2可以生成的隨機數(shù),也可以是認證設(shè)備利用其 時鐘等其他參數(shù)生成的特征數(shù)據(jù)。步驟4,接收并驗算所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù),驗算正確后用所述保護密 鑰對Kl的私鑰對所述簽名數(shù)據(jù)進行解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。
      在上述方法中,對預(yù)先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,要通過預(yù)先 存儲在認證設(shè)備中的該專用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過 后才能用認證后的公鑰對預(yù)先寫入的所述專用公鑰KO的公鑰進行更新或覆蓋。實施例2本實施例提供一種安全導(dǎo)入密鑰的方法,用于向電子簽名工具安全的導(dǎo)入工作密 鑰,如圖2所示,該方法包括步驟21,認證設(shè)備接收電子簽名工具發(fā)送的保護密鑰對Kl的公鑰、簽名結(jié)果數(shù)據(jù) 和電子簽名工具的身份識別信息;其中,所述保護密鑰對Kl的公鑰為電子簽名工具生成 的保護密鑰對Kl的公鑰;所述簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機數(shù)R1,將所述隨 機數(shù)Rl用預(yù)先寫入的所述專用公鑰KO的公鑰加密后,用預(yù)先生成的保護密鑰對Kl的私鑰 計算簽名得到的簽名結(jié)果數(shù)據(jù);步驟22,認證設(shè)備通過所述電子簽名工具的身份識別信息檢索到預(yù)先接收并存儲 的保護密鑰對Kl的公鑰,用所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;步驟23,驗算正確后,用預(yù)先存儲的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行 解密得到由電子簽名工具生成的隨機數(shù)R1,將所述隨機數(shù)Rl和自身生成的特征數(shù)據(jù)R2及 準備向所述電子簽名工具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密, 將加密結(jié)果數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);步驟24,將所述簽名數(shù)據(jù)回復(fù)給電子簽名工具,使電子簽名工具在接收并驗算回 復(fù)的所述簽名數(shù)據(jù)正確后,用電子簽名工具存儲的保護密鑰對Kl的私鑰解密得到準備導(dǎo) 入的所述工作密鑰Ks并進行保存,至此,完成將工作密鑰Ks導(dǎo)入到電子簽名工具中。下面通過利用后臺的認證設(shè)備,向電子簽名工具安全導(dǎo)入工作密鑰的過程,對上 述實施例1、2的方法作進一步說明本發(fā)明實施例的方法,可以實現(xiàn)通過普通的網(wǎng)絡(luò)將私鑰(也可以是密鑰對)安全 的寫入電子簽名工具內(nèi),具體如下在電子簽名工具生產(chǎn)時,寫入一個認證設(shè)備(設(shè)置在后臺系統(tǒng))的專用公鑰 κο(此公鑰可以事先由后臺系統(tǒng)生成,KO的私鑰由后臺系統(tǒng)保存,公鑰發(fā)送給廠商用于電 子簽名工具的生產(chǎn);在電子簽名工具內(nèi)不可被覆蓋或者只能通過這個專用公鑰KO對應(yīng)的 私鑰的認證后才能被更新或覆蓋),同時在電子簽名工具內(nèi)部生成一個保護密鑰對Κ1,保 護私鑰自己保存起來,保護公鑰統(tǒng)一發(fā)送給后臺系統(tǒng)的認證設(shè)備;需要向電子簽名工具內(nèi)寫入工作密鑰的私鑰Ks時(此私鑰由相關(guān)系統(tǒng)生成),采 用以下過程(1)電子簽名工具生成隨機數(shù)R1,用KO的公鑰加密,用Kl的私鑰計算簽名后連同 電子簽名工具的序列號一起發(fā)送給后臺系統(tǒng)的認證設(shè)備;(2)后臺系統(tǒng)的認證設(shè)備通過簽名工具的序列號檢索到Kl的公鑰,驗算簽名是否 正確;(3)驗算簽名正確后,用KO的私鑰解密,獲得Rl ;(4)將后臺系統(tǒng)的認證設(shè)備自己生成的特征數(shù)據(jù)R2與Rl —起,連同Ks用Kl的公 鑰加密,對加密結(jié)果數(shù)據(jù)用KO的私鑰計算簽名,向電子簽名工具下發(fā);(5)電子簽名工具驗算KO的簽名,正確后,用Kl的私鑰解密獲得Ks存儲在電子簽名工具內(nèi)部,即完成將工作密鑰Ks導(dǎo)入到電子簽名工具中。本發(fā)明實施例的方法具有易于實現(xiàn)、實用性強和便于普及的優(yōu)點,并且,由于導(dǎo)入 的工作密鑰Ks在傳遞過程中是密文的,而且只有電子簽名工具內(nèi)部才能解密獲得,其安全 性完全依賴加、解密算法和后臺自身的系統(tǒng)安全,對前端數(shù)據(jù)寫入的環(huán)境安全性要求大大 降低。應(yīng)用本發(fā)明實施例的方法,增加了電子簽名工具應(yīng)用的安全性,提高了向電子簽名工 具更換工作密鑰的便利性。實施例3本實施例提供一種電子簽名工具,可與后臺系統(tǒng)的認證設(shè)備通信,利用網(wǎng)絡(luò)進行 工作密鑰的安全導(dǎo)入,如圖3所示,該電子簽名工具包括密鑰存儲模塊31、密鑰生成模塊 32、隨機數(shù)生成模塊33、簽名處理模塊34、發(fā)送模塊35和接收處理模塊36 ;其中,所述密鑰存儲模塊31,用于保存預(yù)先寫入的專用公鑰KO的公鑰,及保存密 鑰生成模塊32生成的保護密鑰對Kl的私鑰,及保存接收處理模塊36接收處理認證設(shè)備回 復(fù)的簽名數(shù)據(jù)后得到的工作密鑰Ks ;所述密鑰生成模塊32,用于生成保護密鑰對K1,并將所述保護密鑰對Kl的私鑰保 存至所述密鑰存儲模塊;所述隨機數(shù)生成模塊33,用于生成隨機數(shù)Rl ;所述簽名處理模塊34,用于將所述隨機數(shù)生成模塊32生成的所述隨機數(shù)Rl用所 述密鑰存儲模塊存儲的所述專用公鑰KO的公鑰加密后,將加密數(shù)據(jù)用所述密鑰生成模塊 生成并保存在所述密鑰存儲模塊的保護密鑰對Kl的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);所述傳送模塊35,用于將所述保護密鑰對Kl的公鑰傳送至預(yù)先存儲所述專用公 鑰KO的私鑰的認證設(shè)備,并將所述簽名結(jié)果數(shù)據(jù)與身份識別信息向所述認證設(shè)備傳送;所述接收處理存儲模塊36,用于接收并對所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù)進行 驗算,驗算正確后用所述密鑰存儲模塊存儲的保護密鑰對Kl的私鑰對所述簽名數(shù)據(jù)進行 解密得到準備導(dǎo)入的所述工作密鑰Ks,并用所述密鑰存儲模塊對所述工作密鑰Ks進行保 存。在上述電子簽名工具基礎(chǔ)上,還可以設(shè)置更新認證模塊37,用于在對所述密鑰存 儲模塊31保存的預(yù)先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,要用預(yù)先存儲在認證 設(shè)備中的所述專用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過后才能用 認證后的所述公鑰對所述密鑰存儲模塊中保存的預(yù)先寫入的所述專用公鑰KO的公鑰進行 更新或覆蓋。實施例4本實施例提供一種認證設(shè)備,可作在后臺系統(tǒng)中,與電子簽名工具通信,利用網(wǎng)絡(luò) 向電子簽名工具中安全導(dǎo)入工作密鑰,如圖4所示,該認證設(shè)備包括接收模塊41、密鑰存 儲模塊42、驗算處理模塊43、解密處理模塊44、隨機數(shù)生成模塊45、加密及簽名處理模塊46 和發(fā)送模塊47 ;其中,所述接收模塊41,用于接收電子簽名工具發(fā)送的保護密鑰對Kl的公鑰、簽 名結(jié)果數(shù)據(jù)和電子簽名工具的身份識別信息,其中,所述保護密鑰對Kl的公鑰為電子簽 名工具生成的保護密鑰對Kl的公鑰;所述簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機數(shù) R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰KO的公鑰加密后,用預(yù)先生成的保護密鑰對Kl的私鑰計算簽名得到的簽名結(jié)果數(shù)據(jù);所述密鑰存儲模塊42,用于對預(yù)先存入的專用公鑰KO的私鑰進行保存,及保存所述接收模塊41接收的由電子簽名工具發(fā)送的保護密鑰對Kl的公鑰,及保存準備向所述電 子簽名工具導(dǎo)入的工作密鑰Ks ;所述驗算處理模塊43,用于利用所述接收模塊41接收的所述電子簽名工具的身份識別信息在所述密鑰存儲模塊中檢索到預(yù)先接收并保存的所述保護密鑰對Ki的公鑰, 用檢索到的所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;所述解密處理模塊44,用于在所述驗算處理模塊43驗算正確后,用所述密鑰存儲 模塊42保存的預(yù)先存入的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到由電子簽 名工具生成的隨機數(shù)Rl ;所述隨機數(shù)生成模塊45,用于生成特征數(shù)據(jù)R2 ;所述加密及簽名處理模塊46,用于將所述解密處理模塊解密得到的所述隨機數(shù) Rl和所述隨機數(shù)生成模塊45生成的特征數(shù)據(jù)R2及所述密鑰存儲模塊保存的準備向所述電 子簽名工具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密,將加密結(jié)果數(shù) 據(jù)用所述密鑰存儲模塊保存的所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);所述發(fā)送模塊47,用于將所述加密及簽名處理模塊46得到的所述簽名數(shù)據(jù)向電 子簽名工具回復(fù),使電子簽名工具在接收并驗算回復(fù)的所述簽名數(shù)據(jù)正確后,用電子簽名 工具存儲的保護密鑰對Kl的私鑰解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。實施例5本實施例提供一種向電子簽名工具安全導(dǎo)入私鑰的系統(tǒng),可通過網(wǎng)絡(luò)向電子簽名 工具中安全的導(dǎo)入工作密鑰,如圖5所示,該系統(tǒng)包括至少一個認證設(shè)備51和至一個電子簽名工具52 ;所述認證設(shè)備51采用上述實施 例4給出的認證設(shè)備,所述電子簽名工具采用上述實施例3給出的電子簽名工具;所述認證設(shè)備51與電子簽名工具52通信連接,通過兩者配合,利用網(wǎng)絡(luò)將工作密 鑰Ks安全導(dǎo)入到電子簽名工具中。以上所述,僅為本發(fā)明較佳的具體實施方式
      ,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求書的保護范 圍為準。
      權(quán)利要求
      一種安全導(dǎo)入密鑰的方法,其特征在于,包括生成隨機數(shù)R1,將所述隨機數(shù)R1用預(yù)先寫入的專用公鑰K0的公鑰加密得到加密數(shù)據(jù),將加密數(shù)據(jù)用預(yù)先生成并保存的保護密鑰對K1的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);將所述簽名結(jié)果數(shù)據(jù)與身份識別信息向存儲有所述專用公鑰K0的私鑰和所述保護密鑰對K1的公鑰的認證設(shè)備傳送;使所述認證設(shè)備能利用所述簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲的所述專用公鑰K0的私鑰和所述保護密鑰對K1的公鑰進行合法性認證,認證通過后,將準備導(dǎo)入的工作密鑰Ks加密并簽名后得到簽名數(shù)據(jù),并回復(fù)所述簽名數(shù)據(jù);接收并驗算所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù),驗算正確后用所述保護密鑰對K1的私鑰對所述簽名數(shù)據(jù)進行解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。
      2.根據(jù)權(quán)利要求1所述的安全導(dǎo)入密鑰的方法,其特征在于,所述身份識別信息包括 電子簽名工具的序列號。
      3.根據(jù)權(quán)利要求1所述的一種安全導(dǎo)入密鑰的方法,其特征在于,所述方法還包括對 預(yù)先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,要通過預(yù)先存儲在認證設(shè)備中的該專 用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過后才能用認證后的公鑰對 預(yù)先寫入的所述專用公鑰KO的公鑰進行更新或覆蓋。
      4.根據(jù)權(quán)利要求1所述的一種安全導(dǎo)入密鑰的方法,其特征在于,所述使所述認證設(shè) 備能利用所述簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲的所述專用公鑰KO的私鑰和所述保護 密鑰對Kl的公鑰進行合法性認證,認證通過后,將準備導(dǎo)入的工作密鑰Ks加密并簽名后得 到簽名數(shù)據(jù)包括所述認證設(shè)備能通過所述身份識別信息檢索到存儲的保護密鑰對Kl的公鑰,用所述 保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算,驗算正確后,用存儲的專用公鑰KO的 私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到所述隨機數(shù)Rl ;并將所述認證設(shè)備自身生成的特 征數(shù)據(jù)R2、所述隨機數(shù)Rl和準備導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行 加密,將加密結(jié)果數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù)。
      5.一種安全導(dǎo)入密鑰的方法,其特征在于,包括接收電子簽名工具發(fā)送的簽名結(jié)果數(shù)據(jù)和電子簽名工具的身份識別信息;其中,所述 簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機數(shù)R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰 KO的公鑰加密后,用預(yù)先生成的保護密鑰對Kl的私鑰計算簽名得到的簽名結(jié)果數(shù)據(jù);通過所述電子簽名工具的身份識別信息檢索到預(yù)先接收并存儲的保護密鑰對Ki的公 鑰,用所述保護密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;驗算正確后,用預(yù)先存儲的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到由 電子簽名工具生成的隨機數(shù)R1,將所述隨機數(shù)Rl和自身生成的特征數(shù)據(jù)R2及準備向所述 電子簽名工具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密,將加密結(jié)果 數(shù)據(jù)用所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);將所述簽名數(shù)據(jù)回復(fù)給電子簽名工具,使電子簽名工具在接收并驗算回復(fù)的所述簽名 數(shù)據(jù)正確后,用電子簽名工具存儲的保護密鑰對Kl的私鑰解密得到準備導(dǎo)入的所述工作 密鑰Ks并進行保存。
      6.根據(jù)權(quán)利要求5所述的安全導(dǎo)入密鑰的方法,其特征在于,所述方法還包括對電子簽名工具中預(yù)先寫入的專用公鑰KO的公鑰進行更新或覆蓋時,用預(yù)先存儲的專用公鑰KO的私鑰對用于更新或覆蓋的公鑰進行認證,認證通過后才能用認證后的所述 公鑰對電子簽名工具中預(yù)先寫入的所述專用公鑰KO的公鑰進行更新或覆蓋。
      7.一種電子簽名工具,其特征在于,包括密鑰存儲模塊、密鑰生成模塊、隨機數(shù)生成模塊、簽名處理模塊、發(fā)送模塊和接收處理 模塊;所述密鑰存儲模塊,用于保存預(yù)先寫入的專用公鑰KO的公鑰,及保存密鑰生成模塊生 成的保護密鑰對Kl的私鑰,及保存接收處理模塊接收處理認證設(shè)備回復(fù)的簽名數(shù)據(jù)后得 到的工作密鑰Ks ;所述密鑰生成模塊,用于生成保護密鑰對Kl,并將所述保護密鑰對Kl的私鑰保存至所 述密鑰存儲模塊;所述隨機數(shù)生成模塊,用于生成隨機數(shù)Rl ;所述簽名處理模塊,用于將所述隨機數(shù)生成模塊生成的所述隨機數(shù)Rl用所述密鑰存 儲模塊存儲的所述專用公鑰KO的公鑰加密后,將加密數(shù)據(jù)用所述密鑰生成模塊生成的保 存在所述密鑰存儲模塊的保護密鑰對Kl的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);所述傳送模塊,用于將所述保護密鑰對Kl的公鑰傳送至預(yù)先存儲所述專用公鑰KO的 私鑰的認證設(shè)備,并將所述簽名結(jié)果數(shù)據(jù)與身份識別信息向所述認證設(shè)備傳送;所述接收處理存儲模塊,用于接收并對所述認證設(shè)備回復(fù)的所述簽名數(shù)據(jù)進行驗算, 驗算正確后用所述密鑰存儲模塊存儲的保護密鑰對Ki的私鑰對所述簽名數(shù)據(jù)進行解密得 到準備導(dǎo)入的所述工作密鑰Ks,并用所述密鑰存儲模塊對所述工作密鑰Ks進行保存。
      8.根據(jù)權(quán)利要求7所述的電子簽名工具,其特征在于,所述電子簽名工具還包括更新認證模塊,用于在對所述密鑰存儲模塊保存的預(yù)先寫入的專用公鑰KO的公鑰進 行更新或覆蓋時,用預(yù)先存儲在認證設(shè)備中的所述專用公鑰KO的私鑰對用于更新或覆蓋 的公鑰進行認證,認證通過后才能用認證后的公鑰對所述密鑰存儲模塊中保存的預(yù)先寫入 的所述專用公鑰KO的公鑰進行更新或覆蓋。
      9.一種認證設(shè)備,其特征在于,包括接收模塊、密鑰存儲模塊、驗算處理模塊、解密處理模塊、隨機數(shù)生成模塊、加密及簽名 處理模塊和發(fā)送模塊;所述接收模塊,用于接收電子簽名工具發(fā)送的保護密鑰對Kl的公鑰、簽名結(jié)果數(shù)據(jù)和 電子簽名工具的身份識別信息,其中,所述簽名結(jié)果數(shù)據(jù)為由電子簽名工具生成隨機數(shù) R1,將所述隨機數(shù)Rl用預(yù)先寫入的專用公鑰KO的公鑰加密后,用預(yù)先生成的保護密鑰對Kl 的私鑰計算簽名得到的簽名結(jié)果數(shù)據(jù);所述密鑰存儲模塊,用于對預(yù)先存入的專用公鑰KO的私鑰進行保存,及保存所述接收 模塊接收的由電子簽名工具發(fā)送的保護密鑰對Kl的公鑰,及保存準備向所述電子簽名工 具導(dǎo)入的工作密鑰Ks ;所述驗算處理模塊,用于利用所述接收模塊接收的所述電子簽名工具的身份識別信息 在所述密鑰存儲模塊中檢索到預(yù)先接收并保存的所述保護密鑰對Kl的公鑰,用所述保護 密鑰對Kl的公鑰對所述簽名結(jié)果數(shù)據(jù)進行驗算;所述解密處理模塊,用于在所述驗算處理模塊驗算正確后,用所述密鑰存儲模塊保存 的預(yù)先存入的專用公鑰KO的私鑰對所述簽名結(jié)果數(shù)據(jù)進行解密得到由電子簽名工具生成的隨機數(shù)Rl ;所述隨機數(shù)生成模塊,用于生成特征數(shù)據(jù)R2 ;所述加密及簽名處理模塊,用于將所述解密處理模塊解密得到的所述隨機數(shù)Rl和所 述隨機數(shù)生成模塊生成的特征數(shù)據(jù)R2及所述密鑰存儲模塊保存的準備向所述電子簽名工 具導(dǎo)入的工作密鑰Ks —同用所述保護密鑰對Kl的公鑰進行加密,將加密結(jié)果數(shù)據(jù)用所述 密鑰存儲模塊保存的所述專用公鑰KO的私鑰計算簽名得到簽名數(shù)據(jù);所述發(fā)送模塊,用于將所述加密及簽名處理模塊得到的所述簽名數(shù)據(jù)向電子簽名工具 回復(fù),使電子簽名工具在接收并驗算回復(fù)的所述簽名數(shù)據(jù)正確后,用電子簽名工具存儲的 保護密鑰對Kl的私鑰解密得到準備導(dǎo)入的所述工作密鑰Ks并進行保存。
      10. 一種向電子簽名工具安全導(dǎo)入私鑰的系統(tǒng),其特征在于,包括 至少一個認證設(shè)備和至一個電子簽名工具;所述認證設(shè)備采用上述權(quán)利要求9所述的 認證設(shè)備,所述電子簽名工具采用上述權(quán)利要求7 8所述的電子簽名工具;所述認證設(shè)備與電子簽名工具通信連接,將工作密鑰Ks安全導(dǎo)入到電子簽名工具中。
      全文摘要
      本發(fā)明公開一種安全導(dǎo)入密鑰的方法及電子簽名工具、認證設(shè)備與系統(tǒng)。該方法包括生成隨機數(shù)R1,將隨機數(shù)R1用預(yù)先寫入的專用公鑰K0的公鑰加密得到加密數(shù)據(jù),將加密數(shù)據(jù)用預(yù)先生成并保存的保護密鑰對K1的私鑰計算簽名得到簽名結(jié)果數(shù)據(jù);將簽名結(jié)果數(shù)據(jù)與身份識別信息向存儲有所述專用公鑰K0的私鑰和所述保護密鑰對K1的公鑰的認證設(shè)備傳送;使認證設(shè)備根據(jù)簽名結(jié)果數(shù)據(jù)與身份識別信息及存儲的專用公鑰K0的私鑰和保護密鑰對K1的公鑰進行合法性認證后,將準備導(dǎo)入的工作密鑰Ks加密并簽名后形成回復(fù)用簽名數(shù)據(jù);接收并解密認證設(shè)備回復(fù)的簽名數(shù)據(jù)得到導(dǎo)入的工作密鑰Ks。該方法不依賴于特定的安全環(huán)境,用網(wǎng)絡(luò)可向電子簽名工具安全導(dǎo)入工作密鑰。
      文檔編號H04L29/06GK101989991SQ201010563609
      公開日2011年3月23日 申請日期2010年11月24日 優(yōu)先權(quán)日2010年11月24日
      發(fā)明者李東聲 申請人:北京天地融科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1