[发明专利]一种基于智能密码钥匙的安全发证方法

说明书

技术领域

本发明涉及一种计算机安全技术，具体涉及一种基于智能密码钥匙的安全发证方法。

背景技术

电子证书(Digital Certificate)又称为数字证书或数位证书，是一种用于电脑的身份识别机制。随着电子商务应用的发展，电子证书将得到更加广泛的应用。

PKI是一种遵循既定标准的密钥管理平台，是为网络应用提供加密和数字签名服务及所需密钥和证书的管理体系。它采用证书管理公钥，通过可信第三方的认证机构CA，把用户的公钥和用户其他信息(如名称、电子邮件、身份证号等)捆绑在一起，在公钥加密技术基础上对证书的产生、管理、存储、发布以及撤销进行管理，并通过延伸到用户本地的接口为各种应用提供安全服务，包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成：证书申请者、注册机构、认证中心、证书库和证书信任方。

其中注册机构RA系统提供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用户等功能为整个机构体系提供电子认证服务。

在通常情况下，RA是处于集中式管理的状态，如中国的省级行政划分中只有省会才有RA机构，那么对于边远的人们来说，办理一张证书将是一项非常繁杂的事情，可能需要等待很长时间才能完成整个流程，使得证书办理的效率非常低。

为了提高电子证书办理的效率，更加方便地颁发证书，人们提供一种基于LRA(Local Registration Authority)技术的电子证书的颁发方法。该方法中LRA处于相对灵活的地点，如乡镇派出所等，由此LRA可能处于不安全的环境中，这大大降低子证书颁发过程的安全性。

为了保证电子证书颁发过程的安全性，在传统的解决方案中，一般采用物理方法进行因特网和内部网的隔离，如建立专线，也就是说，从RA到LRA之间建立一条专门的线路，但是LRA数量上比较多，导致成本非常高。

发明内容

本发明针对现有电子证书颁发过程中事项繁杂、效率低以及为提高电子证书颁发安全性所需成本极高等问题，而提供一种效率高、安全性高以及成本低的电子证书发证方法。

为了达到上述目的，本发明采用如下的技术方案：

一种基于智能密码钥匙的安全发证方法，该方法通过持有智能密码钥匙的LRA进行电子证书的颁发，所述智能密码钥匙中存储有CA颁发给LRA的数字证书、CA和VRA的数字证书。

在本发明的优选方案中，所述发证方法具体包括如下步骤：

(1)用户向LRA提供申请信息以申请数字证书；

(2)LRA对用户提供的申请信息进行审核；

(3)LRA将审核好的信息提交至VRA；

(4)RA根据VRA接收到的信息向CA请求证书；

(5)CA将签名后的证书发给RA，然后由RA发给VRA；

(6)VRA用LRA数字证书对应的公钥加密证书，并发给LRA；

(7)LRA将接收到的证书用所持有数字证书对应的私钥解密，并用CA的数字证书验证CA签名，若验证通过将接收的证书写入到用户的证书载体内。

进一步的，所述步骤(3)和步骤(6)前还包括LRA和VRA之间信任关系的建立步骤：

(1.1)LRA产生一段随机数据，然后用VRA的公钥加密，发送给VRA；

(1.2)VRA接收到加密信息后，通过其私钥进行解密，然后将解密信息用LRA的公钥加密，发送给LRA；

(1.3)LRA通过私钥将接收到信息进行解密，并与原有随机数据进行比对，相同则LRA信任VRA，不同则不信任VRA；

(1.4)再利用步骤(1.1)至步骤(1.3)的方式完成VRA对LRA的信任关系的确定，并由此完成LRA和VRA之间信任关系的建立。

再进一步的，所述步骤(7)中将证书写入证书载体时，需要重新确认用户信息。

根据上述技术方案得到的本发明利用已颁发的、合法的智能密码钥匙来保证发证流程的安全性，在保证能够安全地穿越因特网同时避免在VRA到LRA之间建立专门的线路，大大降低其成本。

再者，本发明利用持有智能密码钥匙的LRA进行证书的颁发，大大减少申请数字证书的繁琐事宜，极大的提高了证书的颁发效率。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明的原理图；

图2为本发明实施的流程图；

图3为本发明中信任关系的确认示意图。