专利名称:一种智能卡多数字证书保护方法
技术领域:
本发明专利涉及一种计算机信息安全领域的保护方法,特别涉及一种适用于电子
政务、电子商务身份信息保护的智能卡多数字证书保护方法。
背景技术:
随着电子政务、电子商务等业务的发展,信息在不同的网络、系统和数据源之间实 现自动、快速、安全的交换,不同的电子商务和电子政务应用系统可能属于不同的信任域, 而用户访问不同信息域的应用系统具有不同的身份。 用户不同的身份对应的数字证书由不同的系统签发,为了方便,不同系统签发的 数字证书可能会放在同一张智能卡上,因此,在一张代表用户身份的智能卡中会有多个不 同的数字证书,用户在访问不同信息域的应用系统时候,需要使用与应用系统对应的数字 证书,而对与该应用系统不对应的不使用的其他数字证书进行保护,以防止在使用过程中, 智能卡的其他的数字证书信息遭到窃取和破坏。 因此,特别需要一种智能卡多数字证书保护方法,在智能卡中的某个数字证书使 用时候才解密使用,不使用时候数字证书是处于加密状态,同时,在某个数字证书使用的时 候,而其他不使用的数字证书依然处于加密状态。
发明内容
本发明的目的在于提供一种智能卡多数字证书保护方法,对智能卡中的不同的数 字证书分别进行加密,在智能卡中的某个数字证书使用时候才解密使用,不使用时候数字 证书是处于加密状态,同时,在某个数字证书使用的时候,而其他不使用的数字证书依然处 于加密状态,保证了用户在访问不同信息域的应用系统时候以及在不访问应用系统时候智 能卡中的数字证书的安全性。 本发明所解决的技术问题可以采用以下技术方案来实现 —种智能卡多数字证书保护方法,其特征在于,它包括如下步骤 (1)由认证中心CA签发数字证书,并将数字证书信息写入到智能卡中,智能卡接
收数字证书信息后生成正常的数字证书; (2)通过分隔程序将智能卡接收数字证书信息生成的数字证书中的签发者信息和 密钥信息提取出来,并将签发者信息和密钥信息分别存储在智能卡的相关存储区中;
(3)通过加解密算法程序用智能卡接收数字证书信息生成的数字证书中的密钥信 息中的密钥对对应的认证中心CA签发的数字证书信息进行加密并存储到智能卡的相关存 储区中; (4)通过关联程序将加密后的认证中心CA签发的数字证书与签发者信息及加密 后的认证中心CA签发的数字证书与对应的密钥信息进行互相关联。 在本发明的一个实施例中,当用户刷智能卡访问应用系统时,应用系统需要验证 智能卡中对应的数字证书的签名,验证用户的身份,智能卡中的相应的对应于此应用系统的签发者信息被激活,根据激活的签发者信息,找到对应的加密后的数字证书,通过激活关
联的对应的密钥信息中密钥,加解密算法程序利用激活的密钥将加密的数字证书解密,用
户利用解密后的数字证书对应用系统进行访问。 进一步,解密后的数字证书存储在智能卡的缓存区。 在本发明的一个实施例中,所述分隔程序为一执行程序,也可是一动态的进程;当 有认证中心CA向智能卡签发数字证书时候,分隔程序被激活,分隔程序分析数字证书的结 构,提取密钥信息和签发者信息,将密钥信息和签发者信息存储到智能卡的不同位置,分隔 程序完成工作后,进入等待状态,等待其他的认证中心CA签发另外的数字证书。
进一步,所述分隔程序为自己编写的特定代码。 在本发明的一个实施例中,所述加解密算法程序由一套加解密算法及消息接收 器组成,当所述加解密算法程序接收到所述分隔程序发送过来的消息后,提取分隔程序分 隔出来的密钥信息中的密钥,利用密钥,将完整的数字证书加密,并存储到智能卡的相应位 置,以便以后用户访问时候使用。 进一步,所述加解密算法包括DES算法、3DES算法等。 在本发明的一个实施例中,所述关联程序将所述分隔程序提取的密钥信息、签名 者信息以及加解密算法程序加密后的数字证书进行一一对应关联,关联程序的作用是用于 后续的用户访问,当用户访问某个应用时候,通过签发者能找到对应的密钥,通过密钥,找 到对应的加密保存的身份证书,通过加解密程序,解密数字身份证书后访问。
进一步,所述关联程序包括自己编写的特定代码。 本发明的一种智能卡多证书保护方法,将认证中心CA签发的数字证书中的密钥 信息、签发者信息分隔开来存储到智能卡的不同区域,对不同的数字证书进行整体加密存 储到另外一个存储区,并在密钥信息、加密后的数字证书、签发者信息之间建立对应关系; 只在该数字证书使用时候才解密,而其他证书依然处于加密状态,保证了数字证书的安全 性,适用于电子政务、电子商务在访问应用系统的过程中身份信息得到可靠的保护,实现本 发明的目的。 本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了 解。
图1为本发明的智能卡多数字证书保护方法的流程示意图。
具体实施例方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结
合具体图示,进一步阐述本发明。
实施例 本发明的智能卡多数字证书保护方法,它包括如下步骤 (1)由认证中心CA签发数字证书,并将数字证书信息写入到智能卡中,智能卡接 收数字证书信息后生成正常的数字证书; (2)通过分隔程序将智能卡接收数字证书信息生成的数字证书中的签发者信息和密钥信息提取出来,并将签发者信息和密钥信息分别存储在智能卡的相关存储区中;
(3)通过加解密算法程序用智能卡接收数字证书信息生成的数字证书中的密钥信 息中的密钥对对应的认证中心CA签发的数字证书信息进行加密并存储到智能卡的相关存 储区中; (4)通过关联程序将加密后的认证中心CA签发的数字证书与签发者信息及加密 后的认证中心CA签发的数字证书与对应的密钥信息进行互相关联。 在本发明中,所述分隔程序为一执行程序,也可是一动态的进程;当有认证中心 CA向智能卡签发数字证书时候,分隔程序被激活,分隔程序分析数字证书的结构,提取密钥 信息和签发者信息,将密钥信息和签发者信息存储到智能卡的不同位置,分隔程序完成工 作后,进入等待状态,等待其他的认证中心CA签发另外的数字证书。
进一步,所述分隔程序为自己编写的特定代码。 在本发明中,所述加解密算法程序由一套加解密算法及消息接收器组成,当所述 加解密算法程序接收到所述分隔程序发送过来的消息后,提取分隔程序分隔出来的密钥信 息中的密钥,利用密钥,将完整的数字证书加密,并存储到智能卡的相应位置,以便以后用 户访问时候使用。 进一步,所述加解密算法包括DES算法、3DES算法等。 在本发明中,所述关联程序将所述分隔程序提取的密钥信息、签名者信息以及加 解密算法程序加密后的数字证书进行一一对应关联,关联程序的作用是用于后续的用户访 问,当用户访问某个应用时候,通过签发者能找到对应的密钥,通过密钥,找到对应的加密 保存的身份证书,通过加解密程序,解密数字身份证书后访问。
进一步,所述关联程序为自己编写的特定代码。 如图1所示,本发明的智能卡多数字证书保护方法的整体实施流程如下 1、认证中心CA签发数字证书,该数字证书信息将会写入到智能卡中,智能卡接收
数字证书信息解压后生成正常的数字证书; 2、分隔程序开始运行,提取数字证书中的签发者信息、密钥信息,同时将签发者信 息(如图1中CA1标志)和密钥信息(如图1中的密钥1)分别存储在智能卡的相关存储 区; 3、加解密算法程序用分隔程序提取的密钥,将用户的数字身证书加密存储到智能
卡的相关存储区(如图1中加密后数字身份证书1); 4、关联程序将加密后的数字证书与签发者信息互相关联; 5、关联程序将加密后的数字证书与对应的密钥信息互相关联; 6、用户刷智能卡访问应用系统,应用系统需要验证智能卡中对应的数字证书的签
名,验证用户的身份,智能卡中的相应的对应于此应用系统的签发者信息被激活;根据激活
的签发者信息,找到对应的加密后的数字证书,这时候数字证书是加密的,不可用的;通过
激活关联的对应的密钥信息中密钥,对应的密钥被激活; 7、加解密算法程序获取被激活的加密的数字证书; 8、加解密算法程序获取被激活的密钥; 9、加解密算法程序利用密钥将加密的数字证书解密,存储到缓冲区;
10 、用户利用解密后的数字证书进行应用访问。
本发明的智能卡多数字证书保护方法的优势主要体现在以下几个方面 首先,智能卡里面只有唯一的信任体系签发的数字证书时候,用户的数字证书只
是在用户访问的时候才解密,其他时间处于加密状态,这样,用户智能卡丢失对用户没有什
么影响,同时也可以防止其他非法用户使用非法设备将用户的数字证书里面的信息读出,
保护了用户信息的安全和隐秘。 其次,智能卡里面有多个信任体系签发的证书时候,其中某一个数字证书使用时, 其他不使用的数字证书处于加密状态,保证了其他数字证书的安全。 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术 人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本 发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变 化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其 等效物界定。
权利要求
一种智能卡多数字证书保护方法,其特征在于,它包括如下步骤(1)由认证中心CA签发数字证书,并将数字证书信息写入到智能卡中,智能卡接收数字证书信息后生成正常的数字证书;(2)通过分隔程序将智能卡接收数字证书信息生成的数字证书中的签发者信息和密钥信息提取出来,并将签发者信息和密钥信息分别存储在智能卡的相关存储区中;(3)通过加解密算法程序用智能卡接收数字证书信息生成的数字证书中的密钥信息中的密钥对对应的认证中心CA签发的数字证书信息进行加密并存储到智能卡的相关存储区中;(4)通过关联程序将加密后的认证中心CA签发的数字证书与签发者信息及加密后的认证中心CA签发的数字证书与对应的密钥信息进行互相关联。
2. 如权利要求1所述的智能卡多数字证书保护方法,其特征在于,当用户刷智能卡访 问应用系统时,应用系统需要验证智能卡中对应的数字证书的签名,验证用户的身份,智能 卡中的相应的对应于此应用系统的签发者信息被激活,根据激活的签发者信息,找到对应 的加密后的数字证书,通过激活关联的对应的密钥信息中密钥,加解密算法程序利用激活 的密钥将加密的数字证书解密,用户利用解密后的数字证书对应用系统进行访问。
3. 如权利要求2所述的智能卡多数字证书保护方法,其特征在于,解密后的数字证书 存储在智能卡的缓存区。
4. 如权利要求1所述的智能卡多数字证书保护方法,其特征在于,所述分隔程序为一 执行程序,也可是一动态的进程;当有认证中心CA向智能卡签发数字证书 >时候,分隔程序 被激活,分隔程序分析数字证书的结构,提取密钥信息和签发者信息,将密钥信息和签发者 信息存储到智能卡的不同位置,分隔程序完成工作后,进入等待状态,等待其他的认证中心 CA签发另外的数字证书。
5. 如权利要求1或2所述的智能卡多数字证书保护方法,其特征在于,所述加解密算法 程序由一套加解密算法及消息接收器组成,当所述加解密算法程序接收到所述分隔程序发 送过来的消息后,提取分隔程序分隔出来的密钥信息中的密钥,利用密钥,将完整的数字证 书加密,并存储到智能卡的相应位置,以便以后用户访问时候使用。
6. 如权利要求5所述的智能卡多数字证书保护方法,其特征在于,所述加解密算法包 括DES算法、3DES算法。
7. 如权利要求1所述的智能卡多数字证书保护方法,其特征在于,所述关联程序将所 述分隔程序提取的密钥信息、签名者信息以及加解密算法程序加密后的数字证书进行一一 对应关联,关联程序的作用是用于后续的用户访问,当用户访问某个应用时候,通过签发者 能找到对应的密钥,通过密钥,找到对应的加密保存的身份证书,通过加解密程序,解密数 字身份证书后访问。
全文摘要
本发明的目的在于公开一种智能卡多证书保护方法,将认证中心CA签发的数字证书中的密钥信息、签发者信息分隔开来存储到智能卡的不同区域,对不同的数字证书进行整体加密存储到另外一个存储区,并在密钥信息、加密后的数字证书、签发者信息之间建立对应关系;只在该数字证书使用时候才解密,而其他证书依然处于加密状态,保证了数字证书的安全性,适用于电子政务、电子商务在访问应用系统的过程中身份信息得到可靠的保护,实现本发明的目的。
文档编号G06K19/07GK101795194SQ20091024785
公开日2010年8月4日 申请日期2009年12月31日 优先权日2009年12月31日
发明者侯强, 倪力舜, 刘欣, 吴旭东, 尹晚成, 张勇, 杭强伟, 沈寒辉, 王兴, 王福, 邹翔, 金波 申请人:公安部第三研究所