專利名稱:一種基于智能密碼鑰匙的安全發(fā)證方法
技術領域:
本發(fā)明涉及一種計算機安全技術�,具體涉及一種基于智能密碼鑰匙的安全發(fā)證方法。
背景技術:
電子證書(Digital Certificate)又稱為數(shù)字證書或數(shù)位證書����,是一種用于電腦的身份識別機制。隨著電子商務應用的發(fā)展����,電子證書將得到更加廣泛的應用。PKI是一種遵循既定標準的密鑰管理平臺���,是為網(wǎng)絡應用提供加密和數(shù)字簽名服務及所需密鑰和證書的管理體系��。它采用證書管理公鑰�,通過可信第三方的認證機構(gòu)CAjE 用戶的公鑰和用戶其他信息(如名稱、電子郵件�、身份證號等)捆綁在一起,在公鑰加密技術基礎上對證書的產(chǎn)生�、管理、存儲�、發(fā)布以及撤銷進行管理,并通過延伸到用戶本地的接口為各種應用提供安全服務�,包括認證、身份識別�、數(shù)字簽名、加密等��。典型的PKI由五部分組成證書申請者���、注冊機構(gòu)��、認證中心�、證書庫和證書信任方�����。其中注冊機構(gòu)RA系統(tǒng)提供了提交證書申請����、審核證書申請��、提交注銷申請�����、審核注銷申請�����、提交恢復申請����、審核恢復申請�����、發(fā)布審核結(jié)果���、查詢用戶、查看用戶證書信息�、刪除用戶等功能為整個機構(gòu)體系提供電子認證服務。在通常情況下��,RA是處于集中式管理的狀態(tài),如中國的省級行政劃分中只有省會才有RA機構(gòu)���,那么對于邊遠的人們來說���,辦理一張證書將是一項非常繁雜的事情,可能需要等待很長時間才能完成整個流程�����,使得證書辦理的效率非常低����。為了提高電子證書辦理的效率,更加方便地頒發(fā)證書��,人們提供一種基于 LRA (Local Registration Authority)技術的電子證書的頒發(fā)方法�����。該方法中LRA處于相對靈活的地點����,如鄉(xiāng)鎮(zhèn)派出所等,由此LRA可能處于不安全的環(huán)境中�����,這大大降低子證書頒發(fā)過程的安全性。為了保證電子證書頒發(fā)過程的安全性�,在傳統(tǒng)的解決方案中,一般采用物理方法進行因特網(wǎng)和內(nèi)部網(wǎng)的隔離����,如建立專線,也就是說�����,從RA到LRA之間建立一條專門的線路���,但是LRA數(shù)量上比較多��,導致成本非常高。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有電子證書頒發(fā)過程中事項繁雜�����、效率低以及為提高電子證書頒發(fā)安全性所需成本極高等問題����,而提供一種效率高、安全性高以及成本低的電子證書發(fā)證方法。為了達到上述目的����,本發(fā)明采用如下的技術方案一種基于智能密碼鑰匙的安全發(fā)證方法,該方法通過持有智能密碼鑰匙的LRA進行電子證書的頒發(fā)�����,所述智能密碼鑰匙中存儲有CA頒發(fā)給LRA的數(shù)字證書�、CA和VRA的數(shù)字證書。在本發(fā)明的優(yōu)選方案中���,所述發(fā)證方法具體包括如下步驟
(1)用戶向LRA提供申請信息以申請數(shù)字證書����;O) LRA對用戶提供的申請信息進行審核�����;(3) LRA將審核好的信息提交至VRA ����;(4) RA根據(jù)VRA接收到的信息向CA請求證書;(5) CA將簽名后的證書發(fā)給RA�����,然后由RA發(fā)給VRA;(6) VRA用LRA數(shù)字證書對應的公鑰加密證書,并發(fā)給LRA ��;(7)LRA將接收到的證書用所持有數(shù)字證書對應的私鑰解密�����,并用CA的數(shù)字證書驗證CA簽名�,若驗證通過將接收的證書寫入到用戶的證書載體內(nèi)。進一步的��,所述步驟⑶和步驟(6)前還包括LRA和VRA之間信任關系的建立步驟(1. 1)LRA產(chǎn)生一段隨機數(shù)據(jù)���,然后用VRA的公鑰加密���,發(fā)送給VRA ;(1. 2)VRA接收到加密信息后����,通過其私鑰進行解密��,然后將解密信息用LRA的公鑰加密�����,發(fā)送給LRA;(1.3) LRA通過私鑰將接收到信息進行解密,并與原有隨機數(shù)據(jù)進行比對����,相同則 LRA信任VRA,不同則不信任VRA ���;(1. 4)再利用步驟(1. 1)至步驟(1. 3)的方式完成VRA對LRA的信任關系的確定����, 并由此完成LRA和VRA之間信任關系的建立��。再進一步的�����,所述步驟(7)中將證書寫入證書載體時����,需要重新確認用戶信息。根據(jù)上述技術方案得到的本發(fā)明利用已頒發(fā)的���、合法的智能密碼鑰匙來保證發(fā)證流程的安全性����,在保證能夠安全地穿越因特網(wǎng)同時避免在VRA到LRA之間建立專門的線路, 大大降低其成本����。再者,本發(fā)明利用持有智能密碼鑰匙的LRA進行證書的頒發(fā)�����,大大減少申請數(shù)字證書的繁瑣事宜�,極大的提高了證書的頒發(fā)效率。
以下結(jié)合附圖和具體實施方式
來進一步說明本發(fā)明��。
圖1為本發(fā)明的原理圖�����;圖2為本發(fā)明實施的流程圖���;圖3為本發(fā)明中信任關系的確認示意圖����。
具體實施例方式為了使本發(fā)明實現(xiàn)的技術手段���、創(chuàng)作特征����、達成目的與功效易于明白了解�,下面結(jié)合具體圖示,進一步闡述本發(fā)明����。為了解決現(xiàn)有數(shù)字證書頒發(fā)流程中所存在的問題,本發(fā)明提供一種基于智能密碼鑰匙的安全發(fā)證方法����。該方法是通過已頒發(fā)的、合法的智能密碼鑰匙來保證發(fā)證流程的安全性��,而且在智能密碼鑰匙中�,CA (Certificate Authority)已經(jīng)將證書寫入,其身份是合法的�。當LRA持有這一智能密碼鑰匙時,LRA具有相應的權限��,如申請����、審核���、頒發(fā)證書等。參見圖1�����,基于智能密碼鑰匙的安全發(fā)證流程包括用戶���、LRA����、VRA���、RA和CA五部分�。 首先用戶向LRA提出申請��,然后LRA將確認的申請發(fā)送給VRA��,VRA提交給RA����,RA向CA請求證書,最后CA將證書發(fā)給RA,然后RA發(fā)給VRA�����,VRA將證書發(fā)送給LRA�����,LRA接收到證書后將其寫入用戶的證書載體內(nèi)�����。這種發(fā)證流程通過持有智能密碼鑰匙的LRA進行��,其與傳統(tǒng)的發(fā)證流程相比����,這種發(fā)證流程將頒發(fā)證書的權限授予LRA��,而不只是RA才能頒發(fā)證書�����。所以�,這種發(fā)證流程更加靈活,更加高效?����;谏鲜鲈?����,本發(fā)明的具體實施如下(參見圖2)1)用戶通過LRA向VRA提交證書申請并提供相關信息LRA根據(jù)用戶提供的信息就地進行初步核對����,核對通過后將用戶信息加密發(fā)給經(jīng)過身份認證的VRA。在這一過程中�����,需要建立用戶�、LRA和VRA之間的信任關系,如圖3所
7J\ ο①LRA和用戶信任關系的建立LRA就地通過用戶提交的身份證件或當?shù)匦姓芾頇C構(gòu)初步確認用戶身份信息�����;同時用戶可以通過當?shù)匦姓芾眢w系���、第三方證書校驗或旁路驗證方式確立對LRA的信任���。②LRA與VRA信任關系的建立通過不安全的互聯(lián)網(wǎng)���,采用基于PKI的雙向認證技術,具體流程如下���,首先LRA產(chǎn)生一隨機數(shù)據(jù)R�,然后用VRA的公鑰RKvka加密��,得到密文E1 =(R)pkvea��,將E1發(fā)送給VRA ��;VRA接收到加密信息E/后�����,用私鑰SKvea進行解密�,得到R’���,然后將解密信息R’用根據(jù)LRA證書得到的公鑰加密���,得到& = (R’)PKm�����,發(fā)送給LRA����, LRA將接收到的信息用私鑰SKm進行解密�����,得到R”與原有數(shù)據(jù)R進行比對��,相同則LRA信任VRA��,不同則不信任VRA ����;同理,VRA也可以用這一方法完成對LRA的信任���。一旦完成上述信任關系的建立�����,LRA可產(chǎn)生一隨機數(shù)r�,用該隨機數(shù)r作為對稱密鑰對用戶信息U進行對稱加密,得到&�����,然后將該對稱密鑰r用VRA的公鑰PKvea加密����,得到 Er = (r)PKVKA,最后將加密后的對稱密鑰和用戶數(shù)據(jù)(Ej IEu)發(fā)給VRA�。2)當VRA接收到LRA提交的用戶信息后,用私鑰SKvea解密對稱密鑰E,�,然后用對稱密鑰r解密用戶信息,最后將解密得到的用戶信息U后提交給RA����。3) RA根據(jù)LRA提交的用戶信息U進行審核��,審核通過后頒發(fā)相應的證書�。RA向CA 請求產(chǎn)生用戶證書Cu及相應的私鑰SKu,打包交由對應的VRA, VRA首先用自己的私鑰SKvka 對數(shù)據(jù)簽名,得到Du= (CuI ISKu)SKVKA��,然后用隨機數(shù)1·’作為對稱密鑰對數(shù)據(jù)進行加密�,得到 Eu = (Du I I Cu I I SKu) r’,再用LRA的公鑰PKlea對對稱密鑰r����,進行加密�����,得到Er, = (r���,)PKLEA, 最后將加密過的數(shù)據(jù)和對稱密鑰IEr,)發(fā)送給LRA。4) LRA接收到證書后����,用LRA的私鑰SKuw解密對稱密鑰E,,,得到r ’�����,然后用對稱密鑰r’解密出VRA簽名過的數(shù)據(jù)����,得到DuI I Cu,再用VRA的公鑰對數(shù)據(jù)進行驗簽��,如果簽名數(shù)據(jù)與Du —致��,則對來自VRA的數(shù)據(jù)驗簽成功�����。然后用CA的根證書再一次驗證CA頒發(fā)的用戶證書。如果驗簽成功����,則將證書頒發(fā)給用戶。通過這一系列基于PKI技術的信任關系的建立�����,對RA的信任可以由VRA進一步拓展到LRA�����,實現(xiàn)遠程安全發(fā)證的信任鏈�����。以上顯示和描述了本發(fā)明的基本原理�、主要特征和本發(fā)明的優(yōu)點�����。本行業(yè)的技術人員應該了解����,本發(fā)明不受上述實施例的限制�,上述實施例和說明書中描述的只是說明本發(fā)明的原理���,在不脫離本發(fā)明精神和范圍的前提下���,本發(fā)明還會有各種變化和改進,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)��。本發(fā)明要求保護范圍由所附的權利要求書及其等效物界定���。
權利要求
1.一種基于智能密碼鑰匙的安全發(fā)證方法�����,其特征在于���,所述方法通過持有智能密碼鑰匙的LRA進行電子證書的頒發(fā),所述智能密碼鑰匙中存儲有CA頒發(fā)給LRA的數(shù)字證書��、 CA和VRA的數(shù)字證書����。
2.根據(jù)權利要求1所述的一種基于智能密碼鑰匙的安全發(fā)證方法���,其特征在于,所述發(fā)證方法具體包括如下步驟(1)用戶向LRA提供申請信息以申請數(shù)字證書�;O) LRA對用戶提供的申請信息進行審核;(3)LRA將審核好的信息提交至VRA ��;(4)RA根據(jù)VRA接收到的信息向CA請求證書���;(5)CA將簽名后的證書發(fā)給RA�,然后由RA發(fā)給VRA �����;(6)VRA用LRA數(shù)字證書對應的公鑰加密證書�,然后發(fā)給LRA;(7)LRA將接收到的證書用所持有數(shù)字證書對應的私鑰解密�,并用CA的數(shù)字證書驗證 CA簽名,若驗證通過將接收的證書寫入到用戶的證書載體內(nèi)�����。
3.根據(jù)權利要求2所述的一種基于智能密碼鑰匙的安全發(fā)證方法����,其特征在于,所述步驟C3)和步驟(6)前還包括LRA和VRA之間信任關系的建立步驟(1. 1)LRA產(chǎn)生一段隨機數(shù)據(jù)��,然后用VRA的公鑰加密��,發(fā)送給VRA �����;(1. 2)VRA接收到加密信息后��,通過其私鑰進行解密��,然后將解密信息用LRA的公鑰加密����,發(fā)送給LRA;(1.3)LRA通過私鑰將接收到信息進行解密,并與原有隨機數(shù)據(jù)進行比對��,相同則LRA 信任VRA��,不同則不信任VRA ����;(1.4)再利用步驟(1.1)至步驟(1. 3)的方式完成VRA對LRA的信任關系的確定,并由此完成LRA和VRA之間信任關系的建立。
4.根據(jù)權利要求2所述的一種基于智能密碼鑰匙的安全發(fā)證方法��,其特征在于���,所述步驟(7)中將證書寫入證書載體時����,需要重新確認用戶信息��。
全文摘要
本發(fā)明公開了一種基于智能密碼鑰匙的安全發(fā)證方法���,該方法通過持有智能密碼鑰匙的LRA(Local RA)進行電子證書的頒發(fā)�,所述智能密碼鑰匙中存儲有CA頒發(fā)給LRA的數(shù)字證書��、CA和VRA(Virtual RA)的數(shù)字證書�。該方法利用已頒發(fā)的、合法的智能密碼鑰匙來保證發(fā)證流程的安全性�,在保證能夠安全地穿越因特網(wǎng)同時避免在RA到LRA之間建立專門的線路,大大降低其成本����。
文檔編號H04L9/32GK102255732SQ20111025429
公開日2011年11月23日 申請日期2011年8月31日 優(yōu)先權日2011年8月31日
發(fā)明者呂良, 杭強偉, 胡善學, 胡永清, 趙宏偉 申請人:公安部第三研究所