專利名稱:基于數(shù)字證書的密碼學(xué)操作方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字證書技術(shù)領(lǐng)域�,尤其涉及一種基于數(shù)字證書的密碼學(xué)操作方法和一種基于數(shù)字證書的密碼學(xué)操作裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)及業(yè)務(wù)系統(tǒng)應(yīng)用的逐步深入��,電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息��,但同時(shí)也增加了某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)��。如何防范風(fēng)險(xiǎn)��,增強(qiáng)網(wǎng)上安全問題顯得尤為重要����。PKI (Public KeyInfrastructure,公鑰基礎(chǔ)設(shè)施)���,是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)�,它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系��,有效保證用戶的身份安全和數(shù)據(jù)安全。然而數(shù)字證書實(shí)質(zhì)上表現(xiàn)為帶有用戶信息和密鑰的一個(gè)數(shù)據(jù)文件��,如何保護(hù)數(shù)字證書本身又成為PKI體系中最薄弱的環(huán)節(jié)���,目前一般的做法是采用USB Key來保存數(shù)字證書和用戶私鑰���。每個(gè)USB Key都帶有PIN(Personal Identification Number,個(gè)人識(shí)別密碼)碼保護(hù),這樣USB Key的硬件和PIN碼構(gòu)成了可以使用證書的兩個(gè)必要因子�,即雙因素認(rèn)證。USB Key是一種USB接口的硬件設(shè)備����,主體是一塊安全芯片,私鑰和數(shù)字證書存儲(chǔ)在此安全芯片硬件裝置中����。并且,安全芯片具備計(jì)算能力��,支持生成密鑰對(duì)��、數(shù)字簽名和加解密等計(jì)算任務(wù)�����。USB Key的優(yōu)點(diǎn)是����,個(gè)人計(jì)算機(jī)上的操作系統(tǒng)無法獲知PKI證書、密鑰對(duì)等信息����。但USB Key安全芯片的存儲(chǔ)容量非常有限,通常只有32KB�,限制了 USB Key作為通用的解決方案。此外����,USB Key雖然無需安裝驅(qū)動(dòng),但畢竟是硬件設(shè)備����,無法使用Windows自帶的CSP程序。因此USB Key的廠商需要開發(fā)并提供能管理和使用此硬件設(shè)備的CSP程序���,而用戶需安裝此CSP程序才能使用USB Key0因此����,增加了廠商的開發(fā)成本���,影響了用戶體驗(yàn)�����。另外�,密碼學(xué)操作需要在USB Key中執(zhí)行,消耗了用戶終端的資源���。
發(fā)明內(nèi)容
基于此��,本發(fā)明提供了一種基于數(shù)字證書的密碼學(xué)操作方法和一種基于數(shù)字證書的密碼學(xué)操作裝置���。一種基于數(shù)字證書的密碼學(xué)操作方法,包括以下步驟:在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書����,將查詢到的所述數(shù)字證書返回至所述登錄用戶;其中���,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書�;所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求����;所述接入設(shè)備根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作��,將操作結(jié)果返回至所述登錄用戶。與一般技術(shù)相比����,本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法采用接入設(shè)備集中存儲(chǔ)和管理用戶數(shù)字證書,可以批量更新證書����,不存在證書丟失的問題,克服了 USB Key存儲(chǔ)容量不足的問題�。用戶不需要插入U(xiǎn)SB Key,只需輸入PIN碼就可實(shí)現(xiàn)基于數(shù)字證書的認(rèn)證��,提升了用戶體驗(yàn)��。本發(fā)明避免了 USB Key的開發(fā)����,密碼學(xué)操作由接入設(shè)備完成,節(jié)省了用戶終端的資源�,提高用戶終端運(yùn)行效率。在其中一種實(shí)施例中���,所述接入設(shè)備對(duì)預(yù)存的各個(gè)用戶的數(shù)字證書進(jìn)行批量更新����。在其中一種實(shí)施例中,在所述在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書的步驟之前�����,包括以下步驟:所述接入設(shè)備對(duì)所述登錄用戶進(jìn)行身份驗(yàn)證�。在其中一種實(shí)施例中,在所述在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書的步驟之前���,包括以下步驟:所述接入設(shè)備對(duì)分別分配給各個(gè)用戶的數(shù)字證書��、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù)存��;其中����,所述數(shù)字證書�、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)。在其中一種實(shí)施例中�����,所述接入設(shè)備根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作的步驟�����,包括以下步驟:如果所述密碼學(xué)操作請(qǐng)求不需要私鑰,則所述接入設(shè)備執(zhí)行相應(yīng)的密碼學(xué)操作����;如果所述密碼學(xué)操作請(qǐng)求需要私鑰�,則所述接入設(shè)備根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證,驗(yàn)證通過后調(diào)用所述私鑰執(zhí)行相應(yīng)的密碼學(xué)操作�����。在其中一種實(shí)施例中�,所述接入設(shè)備根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證的步驟,包括以下步驟:所述接入設(shè)備接收所述登錄用戶輸入的PIN碼��;所述接入設(shè)備根據(jù)預(yù)設(shè)的運(yùn)算方法對(duì)接收的所述PIN碼進(jìn)行運(yùn)算��;如果上述運(yùn)算結(jié)果與所述驗(yàn)證碼一致�����,則驗(yàn)證通過���。在其中一種實(shí)施例中����,所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求的步驟,包括以下步驟:所述登錄用戶通過IE提交密碼學(xué)操作請(qǐng)求��;IE通過CryptoAPI將所述密碼學(xué)操作請(qǐng)求發(fā)送至用戶端的加密服務(wù)提供程序���;所述加密服務(wù)提供程序?qū)⑺雒艽a學(xué)操作請(qǐng)求發(fā)送至所述接入設(shè)備���;所述接入設(shè)備接收所述密碼學(xué)操作請(qǐng)求;所述接入設(shè)備將操作結(jié)果返回至所述登錄用戶的步驟���,包括以下步驟:所述接入設(shè)備將所述操作結(jié)果發(fā)送至用戶端的加密服務(wù)提供程序���;所述加密服務(wù)提供程序通過CryptoAPI將所述操作結(jié)果發(fā)送至IE。在其中一種實(shí)施例中�,所述密碼學(xué)操作請(qǐng)求包括簽名、驗(yàn)證�、加密和/或解密的操作請(qǐng)求。一種基于數(shù)字證書的密碼學(xué)操作裝置�,包括查詢模塊、接收模塊和執(zhí)行模塊�����;所述查詢模塊,用于在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書��,將查詢到的所述數(shù)字證書返回至所述登錄用戶���;其中�,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書�����;所述接收模塊�����,用于在所述接入設(shè)備上接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求���;所述執(zhí)行模塊,用于在所述接入設(shè)備上根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作���,將操作結(jié)果返回至所述登錄用戶����。
與一般技術(shù)相比,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置采用接入設(shè)備集中存儲(chǔ)和管理用戶數(shù)字證書�����,可以批量更新證書���,不存在證書丟失的問題���,克服了 USB Key存儲(chǔ)容量不足的問題。用戶不需要插入U(xiǎn)SB Key����,只需輸入PIN碼就可實(shí)現(xiàn)基于數(shù)字證書的認(rèn)證,提升了用戶體驗(yàn)��。本發(fā)明避免了 USB Key的開發(fā)����,密碼學(xué)操作由接入設(shè)備完成,節(jié)省了用戶終端的資源����,提高用戶終端運(yùn)行效率。在其中一種實(shí)施例中��,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括預(yù)存模塊,所述預(yù)存模塊在所述接入設(shè)備上對(duì)分別分配給各個(gè)用戶的數(shù)字證書���、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù)存����;其中�,所述數(shù)字證書、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)��。
圖1為本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法的流程示意圖�����;圖2為實(shí)施本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法的系統(tǒng)示意圖�����;圖3為本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法一個(gè)優(yōu)選實(shí)施例的流程示意圖�����;圖4為本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式為更進(jìn)一步闡述本發(fā)明所采取的技術(shù)手段及取得的效果�,下面結(jié)合附圖及較佳實(shí)施例,對(duì)本發(fā)明的技術(shù)方案���,進(jìn)行清楚和完整的描述�����。請(qǐng)參閱圖1����,為本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法的流程示意圖�。本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法,包括以下步驟:SlOl在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書�����,將查詢到的所述數(shù)字證書返回至所述登錄用戶��;其中�,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書;S102所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求��;S103所述接入設(shè)備根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作�����,將操作結(jié)果返回至所述登錄用戶。在步驟SlOl中�,對(duì)局域網(wǎng)內(nèi)的每一個(gè)用戶分配一張數(shù)字證書、一個(gè)私鑰和一個(gè)PIN碼���,其中���,所述數(shù)字證書、所述私鑰和所述PIN碼一一對(duì)應(yīng)�。所有用戶的數(shù)字證書和私鑰都集中存儲(chǔ)在接入設(shè)備中,接入設(shè)備中還存有對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼�����。用戶只需要保存PIN碼�����,證書管理和簽名�����、驗(yàn)證�、加密���、解密等密碼學(xué)操作均由接入設(shè)備完成��。用戶可以通過虛擬CSP (Cryptographic Service Provider,加密服務(wù)提供程序)接口�����,通過TCP/IP將證書操作����、密碼學(xué)操作傳送到接入設(shè)備執(zhí)行。在其中一種實(shí)施例中��,在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書之前�����,所述接入設(shè)備對(duì)分別分配給各個(gè)用戶的數(shù)字證書����、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù)存;其中�,所述數(shù)字證書、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)����。在其中一種實(shí)施例中���,所述接入設(shè)備對(duì)預(yù)存的各個(gè)用戶的數(shù)字證書進(jìn)行批量更新。在所述將數(shù)字證書和所述驗(yàn)證碼集中存儲(chǔ)在一個(gè)接入設(shè)備中之后����,可對(duì)所述接入設(shè)備中存儲(chǔ)的各個(gè)用戶的數(shù)字證書進(jìn)行批量更新,這樣可及時(shí)存儲(chǔ)用戶的最新數(shù)字證書����,提高了安全性。并且���,批量更新的方式也降低了處理復(fù)雜度�����,效率更高�?��?蛻舳丝刹捎锰摂MCSP代替Windows內(nèi)置的CSP程序�����。虛擬CSP與IE之間采用Microsoft提供的加密應(yīng)用程序接口(即Cryptography API, CryptoAPI),這樣IE不需要做任何修改�,即可安全的通過CryptoAPI調(diào)用虛擬CSP�����。虛擬CSP與接入設(shè)備之間建立安全通道���,所有的密碼學(xué)操作由虛擬CSP發(fā)送至接入設(shè)備完成����。虛擬CSP和接入設(shè)備之間可預(yù)先建立好安全通道����。IE將通過加密應(yīng)用編程接口(即CryptoAPI)函數(shù)枚舉到虛擬CSP,并通過加密系統(tǒng)編程接口(即CryptoAPI)與虛擬CSP通信�����。作為其中一個(gè)優(yōu)選的實(shí)施例��,請(qǐng)參閱圖2�,為實(shí)施本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法的系統(tǒng)示意圖。接入設(shè)備分為三個(gè)模塊:證書管理����、密碼學(xué)計(jì)算和網(wǎng)絡(luò)管理模塊��。證書管理模塊保管局域網(wǎng)所有用戶的數(shù)字證書���、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼。密碼學(xué)計(jì)算模塊完成簽名�����、驗(yàn)證���、加密和解密等操作�。網(wǎng)絡(luò)管理模塊實(shí)現(xiàn)連接網(wǎng)絡(luò)的功能�����。實(shí)際應(yīng)用中��,接入設(shè)備可以基于路由器����、網(wǎng)關(guān)等開發(fā)。請(qǐng)參閱圖3���,為本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法一個(gè)優(yōu)選實(shí)施例的流程示意圖�����。在其中一種實(shí)施例中�,在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書之前�,所述接入設(shè)備對(duì)所述登錄用戶進(jìn)行身份驗(yàn)證?����?刹捎肞ortal認(rèn)證的方式對(duì)用戶的身份進(jìn)行驗(yàn)證�,在增強(qiáng)安全性的同時(shí),減少了不必要的處理操作(如在無用戶登錄的情況下執(zhí)行查詢步驟等)���。用戶身份驗(yàn)證可采用如下步驟進(jìn)行:虛擬CSP與接入設(shè)備進(jìn)行身份鑒別��,互相驗(yàn)證對(duì)方的身份��,若驗(yàn)證通過�,則接入設(shè)備綁定用戶用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼�����、數(shù)字證書和私鑰,并返回用戶證書��。具體的鑒別方式可采用Portal認(rèn)證等���。在其中一種實(shí)施例中���,在步驟S102中,所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求的步驟���,包括以下步驟:所述登錄用戶通過IE提交密碼學(xué)操作請(qǐng)求�;IE通過CryptoAPI將所述密碼學(xué)操作請(qǐng)求發(fā)送至用戶端的加密服務(wù)提供程序�;所述加密服務(wù)提供程序?qū)⑺雒艽a學(xué)操作請(qǐng)求發(fā)送至所述接入設(shè)備;所述接入設(shè)備接收所述密碼學(xué)操作請(qǐng)求��;在其中一種實(shí)施例中�,所述密碼學(xué)操作請(qǐng)求包括簽名、驗(yàn)證����、加密和/或解密的操作請(qǐng)求。對(duì)于本領(lǐng)域普通技術(shù)人員在閱讀本專利后�,所述密碼學(xué)操作請(qǐng)求還可以為其它類型。在步驟S102中�����,用戶在IE上提交簽名、驗(yàn)證�、加密、解密等密碼學(xué)操作���;IE通過CryptoAPI向虛擬CSP請(qǐng)求操作���;若密碼學(xué)操作請(qǐng)求不需要使用用戶私鑰�����,虛擬CSP發(fā)送密碼學(xué)操作請(qǐng)求給接入設(shè)備�����;否則�,虛擬CSP檢查用戶是否輸入過PIN碼,若輸入過且PIN碼正確�,發(fā)送密碼學(xué)操作請(qǐng)求給接入設(shè)備,否則�,要求用戶輸入PIN碼;用戶輸入PIN碼�����,虛擬CSP將PIN碼和密碼學(xué)操作發(fā)送給接入設(shè)備。在其中一種實(shí)施例中�����,在步驟S103中���,如果所述密碼學(xué)操作請(qǐng)求不需要私鑰����,則所述接入設(shè)備執(zhí)行相應(yīng)的密碼學(xué)操作���;如果所述密碼學(xué)操作請(qǐng)求需要私鑰��,則所述接入設(shè)備根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證���,驗(yàn)證通過后調(diào)用所述私鑰執(zhí)行相應(yīng)的密碼學(xué)操作。在其中一種實(shí)施例中����,所述接入設(shè)備接收所述登錄用戶輸入的PIN碼;所述接入設(shè)備根據(jù)預(yù)設(shè)的運(yùn)算方法對(duì)接收的所述PIN碼進(jìn)行運(yùn)算��;如果上述運(yùn)算結(jié)果與所述驗(yàn)證碼一致,則驗(yàn)證通過���。例如�,若密碼學(xué)操作請(qǐng)求不需要使用用戶私鑰��,可通過虛擬CSP發(fā)送密碼學(xué)操作請(qǐng)求給接入設(shè)備�����,則接入設(shè)備執(zhí)行密碼學(xué)操作�,并將結(jié)果返回給虛擬CSP。然后通過虛擬CSP將操作結(jié)果返回給IE����,IE將操作結(jié)果顯示給用戶����。在步驟S103中,所述接入設(shè)備將操作結(jié)果返回至所述登錄用戶的步驟���,包括以下步驟:所述接入設(shè)備將所述操作結(jié)果發(fā)送至用戶端的加密服務(wù)提供程序����;所述加密服務(wù)提供程序通過CryptoAPI將所述操作結(jié)果發(fā)送至IE。在所述接入設(shè)備將操作結(jié)果返回給用戶之后��,所述接入設(shè)備接收到用戶發(fā)送的登出請(qǐng)求后�����,解除該用戶所述數(shù)字證書����、所述私鑰和所述用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼之間的綁定。用戶登出的過程可包括:用戶點(diǎn)擊Portal認(rèn)證網(wǎng)站的登出按鈕�;IE通過CryptoAPI向虛擬CSP請(qǐng)求卸載證書;虛擬CSP刪除本地證書����,并向接入設(shè)備發(fā)送解除綁定請(qǐng)求;接入設(shè)備收到請(qǐng)求后����,解除驗(yàn)證碼和用戶私鑰的對(duì)應(yīng)關(guān)系,發(fā)送響應(yīng)給虛擬CSP ;虛擬CSP收到響應(yīng)后��,返回給IE�,用戶登出成功。與一般技術(shù)相比�,本發(fā)明基于數(shù)字證書的密碼學(xué)操作方法采用接入設(shè)備集中存儲(chǔ)和管理用戶數(shù)字證書����,可以批量更新證書�����,不存在證書丟失的問題�����,克服了 USB Key存儲(chǔ)容量不足的問題�。用戶不需要插入U(xiǎn)SB Key,只需輸入PIN碼就可實(shí)現(xiàn)基于數(shù)字證書的認(rèn)證����,提升了用戶體驗(yàn)。本發(fā)明避免了 USB Key的開發(fā)�,密碼學(xué)操作由接入設(shè)備完成�����,節(jié)省了用戶終端的資源�����,提高用戶終端運(yùn)行效率。對(duì)局域網(wǎng)內(nèi)每一個(gè)用戶分配一張證書和一個(gè)PIN碼��,證書和PIN碼 對(duì)應(yīng)����,所有用戶的證書和對(duì)應(yīng)的PIN碼都集中存儲(chǔ)在一個(gè)接入設(shè)備中。用戶只需要保存PIN碼���,證書管理和簽名����、驗(yàn)證�、加密、解密等密碼學(xué)操作均由接入設(shè)備完成����。用戶可以通過虛擬CSP(加密服務(wù)提供程序)接口,通過TCP/IP將證書操作�����、密碼學(xué)操作傳送到接入設(shè)備執(zhí)行���。在一些特定領(lǐng)域��,如銀行�、政府機(jī)關(guān)等,用戶人數(shù)比較少�����,且應(yīng)用也比較固定�,可以采用一種證書集中存儲(chǔ)和使用的方式,既可實(shí)現(xiàn)USB Key的安全性高�����、不易丟失優(yōu)點(diǎn)�����,又可解決USB Key存儲(chǔ)容量不足問題����,并可提高用戶體驗(yàn),降低開發(fā)成本�。本發(fā)明在不改變用戶體驗(yàn)的條件下���,將密碼學(xué)操作轉(zhuǎn)移到服務(wù)端(即接入設(shè)備)����,用戶端的應(yīng)用程序不需進(jìn)行改造。請(qǐng)參閱圖4��,為本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置的結(jié)構(gòu)示意圖����。本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置,包括查詢模塊401����、接收模塊402和執(zhí)行模塊403 ;所述查詢模塊401����,用于在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書,將查詢到的所述數(shù)字證書返回至所述登錄用戶��;其中�,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書;所述接收模塊402,用于在所述接入設(shè)備上接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求���;所述執(zhí)行模塊403�,用于在所述接入設(shè)備上根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作,將操作結(jié)果返回至所述登錄用戶��。
在其中一個(gè)實(shí)施例中����,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括更新模塊,所述更新模塊用于在所述接入設(shè)備上對(duì)預(yù)存的各個(gè)用戶的數(shù)字證書進(jìn)行批量更新��。在其中一個(gè)實(shí)施例中���,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括身份驗(yàn)證模塊��,在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書之前��,所述身份驗(yàn)證模塊用于在所述接入設(shè)備上對(duì)所述登錄用戶進(jìn)行身份驗(yàn)證�����。在其中一個(gè)實(shí)施例中�,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括預(yù)存模塊����,在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書之前,所述預(yù)存模塊在所述接入設(shè)備上對(duì)分別分配給各個(gè)用戶的數(shù)字證書�、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù)存�����;其中,所述數(shù)字證書��、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)����。在其中一個(gè)實(shí)施例中,如果所述接收模塊402接收的所述密碼學(xué)操作請(qǐng)求不需要私鑰��,則所述執(zhí)行模塊403在所述接入設(shè)備上執(zhí)行相應(yīng)的密碼學(xué)操作���;如果所述接收模塊402接收的所述密碼學(xué)操作請(qǐng)求需要私鑰����,則所述執(zhí)行模塊403在所述接入設(shè)備上根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證�,驗(yàn)證通過后調(diào)用所述私鑰執(zhí)行相應(yīng)的密碼學(xué)操作。在其中一個(gè)實(shí)施例中��,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括PIN碼驗(yàn)證模塊�,所述PIN碼驗(yàn)證模塊用于在所述接入設(shè)備上接收所述登錄用戶輸入的PIN碼;以及在所述接入設(shè)備上根據(jù)預(yù)設(shè)的運(yùn)算方法對(duì)接收的所述PIN碼進(jìn)行運(yùn)算�����;如果上述運(yùn)算結(jié)果與所述驗(yàn)證碼一致,則所述PIN碼驗(yàn)證模塊通過此PIN碼驗(yàn)證��。在其中一個(gè)實(shí)施例中:所述登錄用戶通過IE提交密碼學(xué)操作請(qǐng)求�;IE通過CryptoAPI將所述密碼學(xué)操作請(qǐng)求發(fā)送至用戶端的加密服務(wù)提供程序;所述加密服務(wù)提供程序?qū)⑺雒艽a學(xué)操作請(qǐng)求發(fā)送至所述接入設(shè)備����;所述接收模塊402在所述接入設(shè)備上接收所述密碼學(xué)操作請(qǐng)求;本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置還包括發(fā)送模塊�,所述發(fā)送模塊用于在所述接入設(shè)備上將所述操作結(jié)果發(fā)送至用戶端的加密服務(wù)提供程序;所述加密服務(wù)提供程序通過CryptoAPI將所述操作結(jié)果發(fā)送至IE�����。在其中一個(gè)實(shí)施例中�����,所述密碼學(xué)操作請(qǐng)求可包括簽名�����、驗(yàn)證�、加密和/或解密的操作請(qǐng)求�。與一般技術(shù)相比�,本發(fā)明基于數(shù)字證書的密碼學(xué)操作裝置采用接入設(shè)備集中存儲(chǔ)和管理用戶數(shù)字證書,可以批量更新證書����,不存在證書丟失的問題�,克服了 USB Key存儲(chǔ)容量不足的問題。用戶不需要插入U(xiǎn)SB Key����,只需輸入PIN碼就可實(shí)現(xiàn)基于數(shù)字證書的認(rèn)證,提升了用戶體驗(yàn)�����。本發(fā)明避免了 USB Key的開發(fā)�,密碼學(xué)操作由接入設(shè)備完成,節(jié)省了用戶終端的資源�,提高用戶終端運(yùn)行效率。本發(fā)明在不改變用戶操作復(fù)雜度的條件下�����,將密碼學(xué)操作轉(zhuǎn)移到服務(wù)端(即接入設(shè)備)����,用戶端的應(yīng)用程序不需進(jìn)行改造�����。以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式����,其描述較為具體和詳細(xì)�,但并不能因此而理解為對(duì)本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是��,對(duì)于本領(lǐng)域的普通技術(shù)人員來說�����,在不脫離本發(fā)明構(gòu)思的前提下�,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍����。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
權(quán)利要求
1.一種基于數(shù)字證書的密碼學(xué)操作方法,其特征在于�,包括以下步驟: 在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書,將查詢到的所述數(shù)字證書返回至所述登錄用戶�;其中,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書��; 所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求�; 所述接入設(shè)備根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作,將操作結(jié)果返回至所述登錄用戶����。
2.根據(jù)權(quán)利要求1所述的基于數(shù)字證書的密碼學(xué)操作方法����,其特征在于,所述接入設(shè)備對(duì)預(yù)存的各個(gè)用戶的數(shù)字證書進(jìn)行批量更新����。
3.根據(jù)權(quán)利要求1所述的基于數(shù)字證書的密碼學(xué)操作方法,其特征在于�����,在所述在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書的步驟之前����,包括以下步驟: 所述接入設(shè)備對(duì)所述登錄用戶進(jìn)行身份驗(yàn)證��。
4.根據(jù)權(quán)利要求1所述的基于數(shù)字證書的密碼學(xué)操作方法�,其特征在于���,在所述在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書的步驟之前��,包括以下步驟: 所述接入設(shè)備對(duì)分別分配給各個(gè)用戶的數(shù)字證書���、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù)存;其中�����,所述數(shù)字證書����、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)。
5.根據(jù)權(quán)利要求4所述的基于數(shù)字證書的密碼學(xué)操作方法���,其特征在于���,所述接入設(shè)備根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作的步驟�,包括以下步驟: 如果所述密碼學(xué)操作請(qǐng)求不需要私鑰�,則所述接入設(shè)備執(zhí)行相應(yīng)的密碼學(xué)操作;如果所述密碼學(xué)操作請(qǐng)求需要私鑰�,則所述接入設(shè)備根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證,驗(yàn)證通過后調(diào)用所述私鑰執(zhí)行相應(yīng)的密碼學(xué)操作�。
6.根據(jù)權(quán)利要求5所述的基于數(shù)字證書的密碼學(xué)操作方法,其特征在于�����,所述接入設(shè)備根據(jù)所述驗(yàn)證碼對(duì)登錄用戶輸入的PIN碼進(jìn)行驗(yàn)證的步驟�,包括以下步驟: 所述接入設(shè)備接收所述登錄用戶輸入的PIN碼; 所述接入設(shè)備根據(jù)預(yù)設(shè)的運(yùn)算方法對(duì)接收的所述PIN碼進(jìn)行運(yùn)算����; 如果上述運(yùn)算結(jié)果與所述驗(yàn)證碼一致����,則驗(yàn)證通過。
7.根據(jù)權(quán)利要求1所述的基于數(shù)字證書的密碼學(xué)操作方法��,其特征在于�,所述接入設(shè)備接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求的步驟,包括以下步驟: 所述登錄用戶通過IE提交密碼學(xué)操作請(qǐng)求; IE通過CryptoAPI將所述密碼學(xué)操作請(qǐng)求發(fā)送至用戶端的加密服務(wù)提供程序��; 所述加密服務(wù)提供程序?qū)⑺雒艽a學(xué)操作請(qǐng)求發(fā)送至所述接入設(shè)備����; 所述接入設(shè)備接收所述密碼學(xué)操作請(qǐng)求; 所述接入設(shè)備將操作結(jié)果返回至所述登錄用戶的步驟���,包括以下步驟: 所述接入設(shè)備將所述操作結(jié)果發(fā)送至用戶端的加密服務(wù)提供程序�; 所述加密服務(wù)提供程序通過CryptoAPI將所述操作結(jié)果發(fā)送至IE��。
8.根據(jù)權(quán)利要求1至7中任一 項(xiàng)所述的基于數(shù)字證書的密碼學(xué)操作方法�,其特征在于,所述密碼學(xué)操作請(qǐng)求包括簽名��、驗(yàn)證���、加密和/或解密的操作請(qǐng)求���。
9.一種基于數(shù)字證書的密碼學(xué)操作裝置,其特征在于���,包括查詢模塊�����、接收模塊和執(zhí)行模塊����; 所述查詢模塊,用于在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書����,將查詢到的所述數(shù)字證書返回至所述登錄用戶;其中�,所述接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書; 所述接收模塊��,用于在所述接入設(shè)備上接收所述登錄用戶提交的密碼學(xué)操作請(qǐng)求����;所述執(zhí)行模塊,用于在所述接入設(shè)備上根據(jù)所述密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作���,將操作結(jié)果返回至所述登錄用戶。
10.根據(jù)權(quán)利要求9所述的基于數(shù)字證書的密碼學(xué)操作裝置�����,其特征在于,還包括預(yù)存模塊�,所述預(yù)存模塊在所述接入設(shè)備上對(duì)分別分配給各個(gè)用戶的數(shù)字證書、私鑰和用于對(duì)PIN碼進(jìn)行驗(yàn)證的驗(yàn)證碼進(jìn)行預(yù) 存���;其中�����,所述數(shù)字證書���、所述私鑰和所述驗(yàn)證碼一一對(duì)應(yīng)。
全文摘要
本發(fā)明公開了一種基于數(shù)字證書的密碼學(xué)操作方法�,包括在接入設(shè)備中查詢與登錄用戶對(duì)應(yīng)的數(shù)字證書,將查詢到的數(shù)字證書返回至登錄用戶�����;其中����,接入設(shè)備中預(yù)存有各個(gè)用戶的數(shù)字證書;接入設(shè)備接收登錄用戶提交的密碼學(xué)操作請(qǐng)求�����;接入設(shè)備根據(jù)密碼學(xué)操作請(qǐng)求執(zhí)行相應(yīng)的密碼學(xué)操作,將操作結(jié)果返回至登錄用戶�����。還公開了一種基于數(shù)字證書的密碼學(xué)操作裝置�。本發(fā)明采用接入設(shè)備集中存儲(chǔ)和管理用戶數(shù)字證書,可以批量更新證書�,克服了USB Key存儲(chǔ)容量不足的問題。用戶只需輸入PIN碼就可實(shí)現(xiàn)基于數(shù)字證書的認(rèn)證����,提升了用戶體驗(yàn)。避免了USB Key的開發(fā)�,密碼學(xué)操作由接入設(shè)備完成,節(jié)省了用戶終端的資源��,提高用戶終端運(yùn)行效率��。
文檔編號(hào)H04L29/06GK103152344SQ20131007209
公開日2013年6月12日 申請(qǐng)日期2013年3月6日 優(yōu)先權(quán)日2013年3月6日
發(fā)明者王勝男, 黎晉廷, 李斌, 張永強(qiáng), 劉 申請(qǐng)人:廣東數(shù)字證書認(rèn)證中心有限公司