技術領域

本發明涉及一種計算機安全技術，具體涉及一種基于智能密碼鑰匙的安全發證方法。

背景技術

電子證書(Digital?Certificate)又稱為數字證書或數位證書，是一種用于電腦的身份識別機制。隨著電子商務應用的發展，電子證書將得到更加廣泛的應用。

PKI是一種遵循既定標準的密鑰管理平臺，是為網絡應用提供加密和數字簽名服務及所需密鑰和證書的管理體系。它采用證書管理公鑰，通過可信第三方的認證機構CA，把用戶的公鑰和用戶其他信息(如名稱、電子郵件、身份證號等)捆綁在一起，在公鑰加密技術基礎上對證書的產生、管理、存儲、發布以及撤銷進行管理，并通過延伸到用戶本地的接口為各種應用提供安全服務，包括認證、身份識別、數字簽名、加密等。典型的PKI由五部分組成：證書申請者、注冊機構、認證中心、證書庫和證書信任方。

其中注冊機構RA系統提供了提交證書申請、審核證書申請、提交注銷申請、審核注銷申請、提交恢復申請、審核恢復申請、發布審核結果、查詢用戶、查看用戶證書信息、刪除用戶等功能為整個機構體系提供電子認證服務。

在通常情況下，RA是處于集中式管理的狀態，如中國的省級行政劃分中只有省會才有RA機構，那么對于邊遠的人們來說，辦理一張證書將是一項非常繁雜的事情，可能需要等待很長時間才能完成整個流程，使得證書辦理的效率非常低。

為了提高電子證書辦理的效率，更加方便地頒發證書，人們提供一種基于LRA(Local?Registration?Authority)技術的電子證書的頒發方法。該方法中LRA處于相對靈活的地點，如鄉鎮派出所等，由此LRA可能處于不安全的環境中，這大大降低子證書頒發過程的安全性。

為了保證電子證書頒發過程的安全性，在傳統的解決方案中，一般采用物理方法進行因特網和內部網的隔離，如建立專線，也就是說，從RA到LRA之間建立一條專門的線路，但是LRA數量上比較多，導致成本非常高。

發明內容

本發明針對現有電子證書頒發過程中事項繁雜、效率低以及為提高電子證書頒發安全性所需成本極高等問題，而提供一種效率高、安全性高以及成本低的電子證書發證方法。

為了達到上述目的，本發明采用如下的技術方案：

一種基于智能密碼鑰匙的安全發證方法，該方法通過持有智能密碼鑰匙的LRA進行電子證書的頒發，所述智能密碼鑰匙中存儲有CA頒發給LRA的數字證書、CA和VRA的數字證書。

在本發明的優選方案中，所述發證方法具體包括如下步驟：

(1)用戶向LRA提供申請信息以申請數字證書；

(2)LRA對用戶提供的申請信息進行審核；

(3)LRA將審核好的信息提交至VRA；

(4)RA根據VRA接收到的信息向CA請求證書；

(5)CA將簽名后的證書發給RA，然后由RA發給VRA；

(6)VRA用LRA數字證書對應的公鑰加密證書，并發給LRA；

(7)LRA將接收到的證書用所持有數字證書對應的私鑰解密，并用CA的數字證書驗證CA簽名，若驗證通過將接收的證書寫入到用戶的證書載體內。

進一步的，所述步驟(3)和步驟(6)前還包括LRA和VRA之間信任關系的建立步驟：

(1.1)LRA產生一段隨機數據，然后用VRA的公鑰加密，發送給VRA；

(1.2)VRA接收到加密信息后，通過其私鑰進行解密，然后將解密信息用LRA的公鑰加密，發送給LRA；

(1.3)LRA通過私鑰將接收到信息進行解密，并與原有隨機數據進行比對，相同則LRA信任VRA，不同則不信任VRA；

(1.4)再利用步驟(1.1)至步驟(1.3)的方式完成VRA對LRA的信任關系的確定，并由此完成LRA和VRA之間信任關系的建立。

再進一步的，所述步驟(7)中將證書寫入證書載體時，需要重新確認用戶信息。

根據上述技術方案得到的本發明利用已頒發的、合法的智能密碼鑰匙來保證發證流程的安全性，在保證能夠安全地穿越因特網同時避免在VRA到LRA之間建立專門的線路，大大降低其成本。

再者，本發明利用持有智能密碼鑰匙的LRA進行證書的頒發，大大減少申請數字證書的繁瑣事宜，極大的提高了證書的頒發效率。

附圖說明

以下結合附圖和具體實施方式來進一步說明本發明。

圖1為本發明的原理圖；

圖2為本發明實施的流程圖；

圖3為本發明中信任關系的確認示意圖。