[發明專利]一種基于遠程硬件安全模塊的數字簽名方法有效
| 申請號: | 201410849864.0 | 申請日: | 2014-12-23 |
| 公開(公告)號: | CN104486087B | 公開(公告)日: | 2017-12-29 |
| 發明(設計)人: | 田海博;方乃正 | 申請(專利權)人: | 中山大學 |
| 主分類號: | H04L9/32 | 分類號: | H04L9/32;H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 510275 廣東*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 遠程 硬件 安全 模塊 數字簽名 方法 | ||
1.一種基于遠程硬件安全模塊的數字簽名方法,包括證書權威機構、用戶組、硬件安全模塊組、硬件安全模塊所連接的系統,其特征在于包括以下步驟:
1)硬件安全模塊組的每個硬件安全模塊向證書權威機構注冊;
2)用戶組的每個用戶向證書權威機構注冊;
3)單個用戶通過所述硬件安全模塊所連接的系統與單個硬件安全模塊建立安全通道;
4)單個硬件安全模塊為單個用戶生成并返回數字簽名;
所述的每個硬件安全模塊向證書權威機構注冊的步驟包括:
11)系統向硬件安全模塊發出初始化指令,包括生成證書請求證書的基本信息;
12)硬件安全模塊生成該硬件安全模塊用于數字簽名的公/私鑰對、用于數據加密的公/私鑰對、和用于數據加密的對稱密鑰;
13)硬件安全模塊將用于數字簽名的私鑰、用于數據加密的私鑰、用于數據加密的對稱密鑰存儲在硬件安全模塊的安全存儲區;
14)硬件安全模塊使用生成證書請求證書的基本信息、該硬件安全模塊的識別信息、用于數字簽名的公鑰、和用于數字簽名的私鑰生成用于數字簽名的證書請求證書;
15)硬件安全模塊使用生成證書請求證書的基本信息、該硬件安全模塊的識別信息、用于數據加密的公鑰和用于數據加密的私鑰生成用于數據加密的證書請求證書;
16)硬件安全模塊將用于數字簽名的證書請求證書和用于數據加密的證書請求證書經由系統提交給證書權威機構;
17)證書權威機構驗證硬件安全模塊的兩個證書請求證書的有效性,其中任意一個無效則拒絕簽發數字證書,否則基于用于數字簽名的證書請求證書和證書權威機構的私鑰生成用于數字簽名的數字證書,并基于用于數據加密的證書請求證書和證書權威機構的私鑰生成用于數據加密的數字證書;
18)證書權威機構返回用于數字簽名的數字證書和用于數據加密的數字證書給系統;
19)系統存儲硬件安全模塊的數字證書;
所述的每個用戶向證書權威機構注冊的步驟包括:
21)用戶向證書權威機構提交手機號碼,電子郵件注冊信息;
22)證書權威機構向系統查詢空閑的硬件安全模塊;
23)系統查詢連接的硬件安全模塊組,獲得空閑的硬件安全模塊列表,將列表中一個硬件安全模塊的用于數字簽名的數字證書和用于數據加密的數字證書經證書權威機構轉交給用 戶;
24)用戶使用硬件安全模塊的用于數據加密的數字證書中的公鑰加密自己的私鑰提取口令,并把密文提交給證書權威機構;
25)證書權威機構把用戶的手機號碼、電子郵件等注冊信息和加密的該用戶的私鑰提取口令經由系統提交給對應的硬件安全模塊;
26)該硬件安全模塊首先生成用戶用于數字簽名的公/私鑰對,然后把用戶的手機號碼輸入硬件安全模塊的HASH算法,獲得該用戶的索引值,然后使用用戶的注冊信息、生成的索引值、用戶用于數字簽名的私鑰來生成用戶的用于數字簽名的證書請求證書,然后使用硬件安全模塊用于數據加密的私鑰解密用戶的私鑰提取口令,然后使用密鑰生成函數把硬件安全模塊用于數據加密的對稱密鑰、用戶的私鑰提取口令、和用戶的手機號碼做為輸入,輸出一個用戶私鑰加密密鑰,然后使用該用戶私鑰加密密鑰、用戶用于數字簽名的私鑰獲取加密的用戶數字簽名私鑰,最后硬件安全模塊返回用戶的索引值、加密的用戶數字簽名私鑰、和用戶的用于數字簽名的證書請求證書給系統;
27)系統存儲用戶的索引值和加密的用戶數字簽名私鑰,轉發用戶的用于數字簽名的證書請求證書給證書權威機構;
28)證書權威機構基于用戶的用于數字簽名的證書請求證書和證書權威機構的私鑰生成用戶的用于數字簽名的數字證書,并提交給用戶;
29)用戶存儲用于數字簽名的數字證書;
所述的單個用戶通過系統與單個硬件安全模塊建立安全通道的步驟包括:
31)用戶向系統提交硬件安全模塊用于數據加密的數字證書,要求與數字證書所指明的硬件安全模塊建立安全通道;
32)系統通過用戶提交的數字證書中硬件安全模塊的識別信息查詢硬件安全模塊組,如果該硬件安全模塊空閑,則通知用戶與該硬件安全模塊建立安全通道,否則提示用戶等待并周期查詢該硬件安全模塊的狀態,當可用時通知用戶與該硬件安全模塊建立安全通道;
33)用戶與該硬件安全模塊建立安全通道,單向認證硬件安全模塊的真實性,并生成保護數據完整性和機密性的密鑰;
所述的單個硬件安全模塊為單個用戶生成并返回數字簽名的步驟包括:
41)硬件安全模塊通過安全通道提示用戶輸入私鑰提取口令、手機號碼和待簽名內容;
42)用戶通過安全通道向硬件安全模塊提交自己的私鑰提取口令、手機號碼和待簽名內容;
43)硬件安全模塊把用戶的手機號碼輸入硬件安全模塊的HASH算法,獲得該用戶的索 引值,提交系統;
44)系統返回給硬件安全模塊用戶的索引值所對應的加密的用戶數字簽名私鑰;
45)硬件安全模塊使用密鑰生成函數把硬件安全模塊用于數據加密的對稱密鑰、用戶的私鑰提取口令、和用戶的手機號碼做為輸入,輸出一個用戶私鑰加密密鑰,然后使用該用戶私鑰加密密鑰、加密的用戶數字簽名私鑰解密獲取用戶的數字簽名私鑰;
46)硬件安全模塊生成安全短消息,包括隨機數、本地時鐘的時間、用戶待簽名內容的信息、和使用硬件安全模塊的用于數字簽名的私鑰生成的關于該短消息內容的數字簽名,然后發送該安全短消息給用戶;
47)用戶驗證安全短消息的數字簽名是否有效,驗證待簽名內容是否正確,驗證通過則通過安全通道提交收到的隨機數,完成數字簽名確認的操作;
48)硬件安全模塊確認隨機數的一致性,然后使用用戶的數字簽名私鑰對待簽名內容進行數字簽名,返回數字簽名結果給用戶。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中山大學,未經中山大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410849864.0/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:基于廣電網絡的綜合數據采集系統和方法
- 下一篇:監控錄像處理方法及裝置
