CN100531033C - 移动证书中使用临时数字证书的方法 - Google Patents
移动证书中使用临时数字证书的方法 Download PDFInfo
- Publication number
- CN100531033C CN100531033C CNB2004100508462A CN200410050846A CN100531033C CN 100531033 C CN100531033 C CN 100531033C CN B2004100508462 A CNB2004100508462 A CN B2004100508462A CN 200410050846 A CN200410050846 A CN 200410050846A CN 100531033 C CN100531033 C CN 100531033C
- Authority
- CN
- China
- Prior art keywords
- certificate
- client
- key
- digital certificate
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种移动证书中使用临时数字证书的方法,包括用户在客户端向证书签发机构CA发出证书申请时,立即由客户端程序使用客户本身的密钥或固定密钥签名证书申请,产生一个临时数字证书的步骤,以及客户端将临时证书写入用户可携带的证书载体的步骤;当用户在不同客户端下载由CA检查证书申请、生成数字签名而此后签发的数字证书时,客户端程序枚举证书载体内一个或多个证书寻找临时证书打开相应密钥的步骤。按照本发明提供的移动证书中使用临时数字证书的方法,解决了由于CA签发数字证书的时间延迟造成的客户异地下载数字证书,而此时又无法打开相应密钥,无法下载使用数字证书的问题。
Description
技术领域
本发明涉及数字证书的使用方法,更具体地说,涉及一种在使用移动证书中利用临时数字证书的方法,属于计算机和信息安全技术领域。
背景技术
身份认证是用户在进入***或访问不同保护级别的***资源时,***确认该用户的身份是否真实、合法和唯一的技术。目前使用最多的是基于口令的认证方法和基于证书的认证方法。基于证书的身份认证是公钥基础设施PKI(Pub1ic Key Infrastructure)提供的基本的安全服务之一。PKI基于非对称公钥技术,采用数字证书将用户自然身份和公钥等数字信息绑定在一起,在各种网络应用中唯一的表示用户的身份。
数字证书在用户自然身份与数字信息之间建立了联系的桥梁,可以实现对用户自然身份的认证,但完全采用基于证书进行身份认证必须在***服务器端实现证书验证的代理机制。因此,用户从创建密钥,到向证书签发机构(CA)进行证书申请,以及CA检查该证书申请、对证书申请中的密钥,用户等信息打包成一个数字签名,直至客户从服务器下载CA签发的数字证书。这一系列的过程,需要一定的时间,尤其CA检查该证书申请、签发的数字证书的时间无法确定,经常需要若干分钟到一个小时,这还不考虑为客户签发证书时,需要审核客户信息如信用等级所引起的延迟。而用户又不会在同一客户端等待很长时间,通常会在一段时间如几天后,在另一客户端从服务端下载CA签发的数字证书。而下载的过程中需要密钥信息的验证,而此用于打开密钥的信息保存于上一客户端,造成在当前客户端无法找到密钥,客户端也会因此出错。
通常解决的办法是在缩短证书签发时间,通过CA使用更高速的密码设备,证书申请的传递和处理使用更高的优先级,使时间延迟能稳定地降到用户可以忍受的时间范围。但对于拥有大量证书客户,每天都有成千上万的证书申请和证书更新的规模来说,特别是并发请求数目多的时候,不能绝对保证做到这一点。
发明内容
针对上述问题,本发明的目的是提供一种客户端程序,该程序能产生一个临时数字证书的方法,供用户携带,携带方式可以是USB KEY,无论用户来到哪一客户端,均可由此临时证书找到并打开相应密钥,实现CA签发的数据证书的下载。
本发明通过以下技术方案实现上述目的,本移动证书中使用临时数字证书的方法,包括用户在客户端向证书签发机构CA发出证书申请时,立即由客户端程序使用客户本身的密钥或固定密钥签名证书申请,产生一个临时证书的步骤,以及客户端将临时证书写入用户可携带的证书载体的步骤;用户在不同客户端下载由CA检查证书申请后生成数字签名而后签发的数字证书时,客户端程序枚举证书载体内一个或多个证书寻找临时证书打开相应密钥的步骤。
客户的证书载体是USB KEY或IC卡、IC卡读写器结合体。
本发明利用临时数字证书的方法,有效地解决了由于CA签发数字证书的时间延迟造成的客户异地下载数字证书,而此时又无法打开相应密钥,无法下载使用数字证书的问题。
本发明将结合实施例参照附图做详细说明。
附图说明
图1是按照本发明方法申请数字证书以及下载数字证书的流程示意图
具体实施方式
下面是一个使用本发明方法的应用实例的描述,在一个实验性的以USBKEY为证书载体的个人银行***中,使用了临时证书机制,以确保在任何时候USB KEY接入任何电脑,应用程序均能访问到USB KEY里的密钥。
由于USB KEY可以视为一个IC卡与IC卡读写器的结合体,因此以下所说的卡或KEY,所指的均是同一产品。
本实例中所用的是G&D公司的USB KEY,他们在创建密钥以及签名证书、下载证书的步骤如下:
1)首先创建一个密钥容器,如名为“PB”的容器;
2)在容器里创建一对RSA公钥和私钥,然后为该RSA公钥产生一个证书申请,证书签发机构(CA)检查该证书申请后,对证书申请中的RSA公钥,用户姓名等信息打包做一个数字签名,公钥、用户信息以及CA的数字签名就构成了一个数字证书;
3)打开容器PB,读取RSA公钥;
4)提交包含RSA公钥、用户信息的证书申请;
5)等待从服务器下载CA签发的数字证书,打开容器PB找到相应密钥加以比较,将数字证书写入相应容器;
6)使用证书阶段:枚举KEY内证书(KEY内证书可能有多个)找到自己要用的证书,该证书与RSA公钥和私钥有相同的内部ID,由此找到该密钥。
在步骤4)与5)之间,因为证书签发时间延迟时间无法确定(可在若干分钟到一个小时)用户可能会离开到另一台电脑或过两天才回来完成步骤5)。
问题在于,USB KEY里的密钥,公钥和私钥,都以相同ID表示,但该标识是在卡内使用的,并不是容器名称“PB”,容器PB的信息,只保存在电脑上,假设用户在电脑A完成1)到4)步骤,而隔了一天后拿着USB KEY到新的电脑B上要做步骤5)下载证书,则电脑B并没有容器PB的信息,这时候电脑B的程序无法访问到KEY里的密钥,只能有两种选择;报告错误:无法找到密钥;或者创建一个新的容器PB和另一对密钥。这时候KEY内新的容器PB里新的密钥与CA签发的数字证书并不匹配(该数字证书是为前一对密钥签发的,包含有前一对密钥的信息),则导致证书无法下载。
为了解决此问题,我们在第4)步中,由客户端程序产生一个临时数字证书,产生临时数字证书的过程为:客户端程序使用自己的密钥或固定密钥签名证书申请产生一个临时的证书,该证书并非由招行签发因而不是一个有效证书,写入USB KEY中。
将临时数字证书写入USB KEY中,无论用户带着USB KEY来到那一台电脑操作,均可由此临时证书找到并打开相应密钥,完成第五步证书下载操作。临时证书找到并打开相应密钥的方法为:在下载证书阶段时,使用临时证书不能登录网络银行***,用户发起下载请求,银行服务器将签发好的证书传给客户端,客户端电脑枚举KEY内证书(KEY内证书可能有多个),找到此前产生的临时证书,该证书与RSA公钥和私钥有相同的内部ID,由此找到该密钥。做比较后将证书写入USB KEY中,替换临时证书。
在使用CA签发的数字证书时,程序枚举KEY内证书(KEY内证书可能有多个),找到自己要用的证书,该证书与RSA公钥和私钥有相同的内部ID,由此找到该密钥,即可使用该密钥做签名加密等动作。
Claims (2)
1、一种移动证书中使用临时数字证书的方法,其特征在于,包括以下步骤:
用户在客户端向证书签发机构CA发出证书申请时,立即由客户端程序使用客户本身的密钥或固定密钥签名证书申请,产生一个临时证书的步骤,以及客户端将临时证书写入用户可携带的证书载体的步骤;
用户在不同客户端下载由CA检查所述证书申请后生成数字签名而后签发的数字证书时,客户端程序枚举所述证书载体内一个或多个证书寻找所述临时证书打开相应密钥的步骤。
2、根据权利要求1所述移动证书中使用临时数字证书的方法,其特征在于,所述证书载体是USB KEY或IC卡、IC卡读写器结合体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100508462A CN100531033C (zh) | 2004-07-23 | 2004-07-23 | 移动证书中使用临时数字证书的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100508462A CN100531033C (zh) | 2004-07-23 | 2004-07-23 | 移动证书中使用临时数字证书的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1725682A CN1725682A (zh) | 2006-01-25 |
CN100531033C true CN100531033C (zh) | 2009-08-19 |
Family
ID=35924936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100508462A Active CN100531033C (zh) | 2004-07-23 | 2004-07-23 | 移动证书中使用临时数字证书的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100531033C (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442407B (zh) * | 2007-11-22 | 2011-05-04 | 杭州中正生物认证技术有限公司 | 利用生物特征进行身份认证的方法及*** |
CN105678179B (zh) * | 2014-11-20 | 2018-11-13 | 广东华大互联网股份有限公司 | 一种ic卡互联网终端发行方法及管理*** |
-
2004
- 2004-07-23 CN CNB2004100508462A patent/CN100531033C/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN1725682A (zh) | 2006-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107888382B (zh) | 一种基于区块链的数字身份验证的方法、装置和*** | |
CN110383752B (zh) | 紧凑记录协议 | |
CN111080295B (zh) | 一种基于区块链的电子合同处理方法以及设备 | |
US11838425B2 (en) | Systems and methods for maintaining decentralized digital identities | |
EP3590223A1 (fr) | Procede et dispositif pour memoriser et partager des donnees integres | |
AU2011205391B2 (en) | Anytime validation for verification tokens | |
WO2020049452A1 (en) | Methods and devices for managing user identity authentication data | |
CN110677376B (zh) | 认证方法、相关设备和***及计算机可读存储介质 | |
KR20210003181A (ko) | 분산된 문서 및 엔티티 검증 엔진 | |
CN108900305B (zh) | 基于智能安全芯片的多证书签发及验证方法 | |
AU2014279915B2 (en) | System and method for encryption | |
AU2021201603A1 (en) | Watermark security | |
CN101669125A (zh) | 对用户进行认证的方法和*** | |
CN102298756A (zh) | 一种保证电脑彩票交易信息安全的方法 | |
CN109067544A (zh) | 一种软硬结合的私钥验证方法、装置及*** | |
Parsovs | Estonian electronic identity card: security flaws in key management | |
CN109818965B (zh) | 个人身份验证装置及方法 | |
CN109670289A (zh) | 一种识别后台服务器合法性的方法及*** | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权***及软件授权方法 | |
JP5431804B2 (ja) | 認証システムおよび認証方法 | |
CN100531033C (zh) | 移动证书中使用临时数字证书的方法 | |
CN105160233A (zh) | 一种读取用户数字证书的方法、装置及*** | |
Pintaldi | Implementation of a Blockchain-based Distributed PKI for IoT using Emercoin NVS and TPM 2.0 | |
CN108183804A (zh) | 证书共享方法 | |
CN102281288A (zh) | 一种增强数字证书撤销列表安全性的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |