CN108900305B - 基于智能安全芯片的多证书签发及验证方法 - Google Patents

Abstract

本发明涉及一种基于智能安全芯片的多证书签发及验证方法，可以使用单一智能安全芯片载体向多个CA申请证书并加以存储，其中只有其中一个CA(以下称为第一CA)的证书签发需要进行严格的身份审核，并设置唯一的签名PIN码，向其它CA申请证书时只需要使用第一CA签发的证书证明用户身份即可完成线上证书申请。采用了该发明中的基于智能安全芯片的多证书签发及验证方法，解决了以往用户向多个CA申请证书和进行电子签名的不便，只需要进行一次严格的身份审核即可向多个CA申请数字证书，经过严格身份审核申请到的证书用于身份认证，其它证书可以用于各业务系统的电子签名，而签名验证时先使用第一证书完成身份认证再使用指定证书进行业务数据电子签名验证。

Description

基于智能安全芯片的多证书签发及验证方法

技术领域

本发明涉及计算机技术领域，尤其涉及信息安全技术领域，具体是指一种基于智能安全芯片的多证书签发及验证方法。

背景技术

随着互联网上电子政务、电子商务业务的发展以及《电子签名法》的颁布，使用PKI(Public Key Infrastructure)技术的电子签名应用越来越广泛，因此用户可能需要在不同的应用场景中使用自己的私钥进行电子签名。而由于应用所属的信任域不同，用户需要向不同信任域中的数字证书签发机构(以下简称CA(Certificate Authority))申请验证电子签名的数字证书。CA向用户签发数字证书时需要审核用户身份，目前的身份审核方式可以分为线下和线上两种方式，线下方式需要用户本人亲自到CA的线下窗口由审核人员进行实人实证审核，而线上方式是用户在CA的网站或APP上填写身份信息甚至还需要上传身份证照片和进行人脸图像采集以此验证身份。线下方式需要用户亲自到场费时费力，而线上方式需要用户传递自己的隐私信息存在泄露风险而CA又无法有效验证身份的真实性。而且以往CA都需要向用户提供一个独立的证书载体用于保存各自签发的证书，并设置独立的PIN码加以管理，为用户使用这些证书增加了很大的负担。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种仅需一次用户身份认证的基于智能安全芯片的多证书签发及验证方法。

为了实现上述目的，本发明的基于智能安全芯片的多证书签发及验证方法具有如下构成：

该基于智能安全芯片的多证书签发方法，其主要特点是，所述的方法包括：

(1)在存储有所述智能安全芯片的载体内部产生第一公钥和第一私钥；

(2)通过所述载体内部的预置私钥对所述第一公钥进行签名以产生第一证书请求数据，并将所述的第一证书请求数据发送至第一授权机构，以及在通过所述载体内部的预置公钥的验证后签发第一证书；

(3)将所述的第一证书写入至所述的智能安全芯片中；

(4)在所述载体内部产生第i公钥和第i私钥；

(5)通过所述第一私钥对第i公钥进行签名以产生第i证书请求数据，并将所述的第i证书请求数据发送至第i授权机构，以及在通过所述第一公钥的验证后签发第i证书；

(6)将所述的第i证书写入至所述的智能安全芯片中；

(7)判断i是否大于系统预设正整数j，若大于，则结束整个过程，否则将i重新赋值为i+1，并继续步骤(2)；

其中，所述的i、j均为正整数，且所述i的初始值为正整数2，所述j为大于2的正整数。

该基于智能安全芯片的多证书签发方法的步骤(1)之前，还包括：

(0)通过所述第一授权机构验证用户身份，并在所述用户身份验证通过后向所述智能安全芯片提供所述载体。

该基于智能安全芯片的多证书签发方法的步骤(0)还包括：

所述用户在所述载体上设置PIN码。

该基于智能安全芯片的多证书签发方法的PIN码仅与所述第一证书相关联。

该基于智能安全芯片的多证书签发方法的载体为智能卡或U盾。

该基于上述多证书签发方法实现基于智能安全芯片的验证方法，其主要特点是，所述的方法包括：

(1)发送一应用终端的电子签名请求数据至所述的智能安全芯片中；

(2)校验用户输入的PIN码后，使用所述第一私钥对所述电子签名请求数据中的待签名数据进行签名以获得第一签名值；

(3)基于所述电子签名请求数据中的索引值选择第X私钥对所述电子签名请求数据中的待签名数据进行签名以获得第X签名值；

(4)通过所述的待签名数据、第一签名值以及第X签名值得到电子签名验证请求；

(5)所述应用终端收到所述电子签名验证请求之后，读取所述第一证书对所述第一签名值进行验证以认证用户身份，并在所述第一签名值验证通过后读取第X证书对所述第X签名值进行验证以认证所述电子签名请求数据，以完成验证过程；

所述的X为任意正整数，且i≤X≤j。

该基于智能安全芯片的验证方法的智能安全芯片存储于一载体内部，所述载体设有所述的PIN码。

采用了该发明中的基于智能安全芯片的多证书签发及验证方法，可以使用单一智能安全芯片载体向多个CA申请证书并加以存储，其中只有其中一个CA(以下称为第一CA)的证书签发需要进行严格的身份审核，并设置唯一的签名PIN码，向其它CA申请证书时只需要使用第一CA签发的证书证明用户身份即可完成线上证书申请，解决了以往用户向多个CA申请证书和进行电子签名的不便，只需要进行一次严格的身份审核即可向多个CA申请数字证书，经过严格身份审核申请到的证书用于身份认证，其它证书可以用于各业务系统的电子签名，而签名验证时先使用第一证书完成身份认证再使用指定证书进行业务数据电子签名验证。

附图说明

图1为本发明的基于智能安全芯片的多证书签发方法的流程示意图。

图2为本发明的基于智能安全芯片的验证方法的流程示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

该基于智能安全芯片的多证书签发方法包括：

(1)在存储有所述智能安全芯片的载体内部产生第一公钥和第一私钥；

(2)通过所述载体内部的预置私钥对所述第一公钥进行签名以产生第一证书请求数据，并将所述的第一证书请求数据发送至第一授权机构，以及在通过所述载体内部的预置公钥的验证后签发第一证书；

(3)将所述的第一证书写入至所述的智能安全芯片中；

(4)在所述载体内部产生第i公钥和第i私钥；

(5)通过所述第一私钥对第i公钥进行签名以产生第i证书请求数据，并将所述的第i证书请求数据发送至第i授权机构，以及在通过所述第一公钥的验证后签发第i证书；

(6)将所述的第i证书写入至所述的智能安全芯片中；

(7)判断i是否大于系统预设正整数j，若大于，则结束整个过程，否则将i重新赋值为i+1，并继续步骤(2)；

其中，所述的i、j均为正整数，且所述i的初始值为正整数2，所述j为大于2的正整数。

该基于智能安全芯片的多证书签发方法的步骤(1)之前，还包括：

(0)通过所述第一授权机构验证用户身份，并在所述用户身份验证通过后向所述智能安全芯片提供所述载体。

该基于智能安全芯片的多证书签发方法的步骤(0)还包括：

所述用户在所述载体上设置PIN码。

该基于智能安全芯片的多证书签发方法中，所述的PIN码仅与所述第一证书相关联。

该基于智能安全芯片的多证书签发方法中，所述的载体为智能卡或U盾。

该基于上述签发方法实现基于智能安全芯片的验证方法，包括：

(1)发送一应用终端的电子签名请求数据至所述的智能安全芯片中；

(2)校验用户输入的PIN码后，使用所述第一私钥对所述电子签名请求数据中的待签名数据进行签名以获得第一签名值；

(3)基于所述电子签名请求数据中的索引值选择第X私钥对所述电子签名请求数据中的待签名数据进行签名以获得第X签名值；

(4)通过所述的待签名数据、第一签名值以及第X签名值得到电子签名验证请求；

(5)所述应用终端收到所述电子签名验证请求之后，读取所述第一证书对所述第一签名值进行验证以认证用户身份，并在所述第一签名值验证通过后读取第X证书对所述第X签名值进行验证以认证所述电子签名请求数据，以完成验证过程；

所述的X为任意正整数，且i≤X≤j。

该基于智能安全芯片的验证方法的智能安全芯片存储于一载体内部，所述载体设有所述的PIN码。

在一具体实施方式中，本发明的签发过程中：

首先由用户在智能安全芯片内生成第一公钥和第一私钥对并使用内部预置的载体私钥签名生成证书请求数据向第一CA申请第一证书并保存到智能安全芯片中，并将内部唯一PIN与其关联，只有该PIN校验通过才可以使用内部的第一证书私钥进行签名操作。第一证书仅用于用户身份认证；

其次用户在智能安全芯片内生成第二公钥和第二私钥并使用第一证书私钥对第二公钥签名生成证书请求数据项第二CA申请第二证书，第二CA使用证书请求数据中的第一证书验证证书请求数据中的签名，验证签名通过即可确认用户的身份，再为用户签发第二证书并写入智能安全芯片中。第二证书不需要与内部PIN关联。第二证书可用于电子签名；

然后用户在智能安全芯片内生成第三公钥和第三私钥并使用第一证书私钥对第三公钥签名生成证书请求数据项第三CA申请第三证书，第三CA使用证书请求数据中的第一证书验证证书请求数据中的签名，验证签名通过即可确认用户的身份，再为用户签发第三证书并写入智能安全芯片中。第三证书不需要与内部PIN关联。第三证书可用于电子签名；

最后重复上述过程，用户可以向第四……第NCA申请签发第四……第N证书并写入智能安全芯片。

在一具体实施方式中，本发明的验证方法中：

首先，智能安全芯片接收到应用发来的包含指定私钥索引的电子签名请求后进行PIN校验；

其次，PIN校验通过后使用内部第一证书私钥对电子签名请求中的待签名数据进行签名获得第一签名值；

然后，只有第一证书私钥签名成功才能根据电子签名请求数据中的索引值选择使用内部的第X(1<X≤N)私钥对电子签名请求中的待签名数据进行签名获得第X签名值；

再将待签名数据和第一证书签名值、第X证书签名值组成电子签名验证请求；

然后应用收到智能安全芯片返回的电子签名验证请求后使用第一CA的验证服务验证电子签名验证请求中的第一签名值以认证用户身份；

最后若第一签名值验证成功再使用第XCA的验证服务验证电子签名验证请求中的第X签名值。

在一具体实施方式中，请参阅图1所示，其为本发明的基于智能安全芯片的多证书签发方法的流程示意图，本发明的签发过程包括：

(1)用户在第一CA进行临柜身份审核，该审核需要进行严格的实人实证核验以确保用户身份的真实性；

(2)第一CA向用户提供智能安全芯片载体，如智能卡或者U盾，由用户在载体上设置唯一的PIN用于授权进行后续操作；

(3)通过客户端调用载体密钥生成接口在载体内部生成第一公钥和第一私钥；

(4)通过客户端调用载体证书申请接口在载体内部使用载体内预置的载体私钥对上一步生成的第一公钥以及其它证书申请数据进行签名生成证书申请数据；

(5)第一CA接收客户端提交的证书申请数据并使用该载体的载体公钥对数据中的签名进行验证，验证通过后为该用户签发第一证书；

(6)客户端接收到第一CA返回的第一证书后调用载体的证书导入接口将第一证书写入载体；

(7)第一CA接收到客户端返回的证书导入成功结果将载体、证书和用户身份进行关联绑定；

(8)用户使用该智能安全芯片载体向第二CA申请证书；

(9)通过客户端调用载体密钥生成接口在载体内部生成第二公钥和第二私钥；

(10)通过客户端调用载体证书申请接口在载体内部使用第一证书私钥对上一步生成的第二公钥、第一证书以及其它证书申请数据进行签名生成证书申请数据；

(11)第二CA接收客户端提交的证书申请数据并使用第一证书对数据中的签名进行验证，验证通过后即视为已核验过用户身份并为该用户签发第二证书；

(12)客户端接收到第二CA返回的第二证书后调用载体的证书导入接口将第二证书写入载体；

(13)重复8至12用户可以向第三、第四…….第NCA申请第三、第四……第N证书并写入载体。

请参阅图2所示，其为本发明的基于智能安全芯片的验证方法的流程示意图，本发明的验证过程包括：

(1)应用调用智能安全芯片载体的PIN校验接口校验用户PIN；

(2)应用调用智能安全芯片载体的签名接口，使用指定私钥对应用业务数据进行电子签名；

(3)载体接收到签名指令，先使用内部第一证书私钥对应用业务数据进行签名获得第一签名值；

(4)只有第一证书私钥签名成功才能根据签名接口中的指定索引值选择使用内部的第X(1<X≤N)私钥对应用业务数据进行签名获得第X签名值；

(5)应用将应用业务数据和第一签名值、第X签名值组成电子签名验证请求后上传后台进行验证；

(6)应用后台收到电子签名验证请求后使用第一CA的验证服务验证电子签名验证请求中的第一证书签名值以认证用户身份；

(7)如果第一证书签名值验证成功再使用第XCA的验证服务验证电子签名验证请求中的第X签名值。

本发明的基于智能安全芯片的多证书签发及验证方法可以使用单一智能安全芯片载体向多个CA申请证书并加以存储，其中只有其中一个CA(以下称为第一CA)的证书签发需要进行严格的身份审核(例如面签)，并设置唯一的签名PIN码，向其它CA(以下称为第XCA)申请证书时只需要使用第一CA签发的证书证明用户身份即可完成线上证书申请。业务处理时应用可以指定CA证书对应的私钥进行电子签名，智能安全芯片载体内部会在校验PIN码通过后，使用第一CA签发的证书对应的私钥证明签名者的实际身份，同时使用指定CA证书对应的私钥进行签名确保业务数据第三方认证的完整性和不可抵赖性。

采用了该发明中的基于智能安全芯片的多证书签发及验证方法，可以使用单一智能安全芯片载体向多个CA申请证书并加以存储，其中只有其中一个CA(以下称为第一CA)的证书签发需要进行严格的身份审核，并设置唯一的签名PIN码，向其它CA申请证书时只需要使用第一CA签发的证书证明用户身份即可完成线上证书申请，解决了以往用户向多个CA申请证书和进行电子签名的不便，只需要进行一次严格的身份审核即可向多个CA申请数字证书，经过严格身份审核申请到的证书用于身份认证，其它证书可以用于各业务系统的电子签名，而签名验证时先使用第一证书完成身份认证再使用指定证书进行业务数据电子签名验证。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

Claims (7)

1.一种基于智能安全芯片的多证书签发方法，其特征在于，所述的方法包括：

（1）在存储有所述智能安全芯片的载体内部产生第一公钥和第一私钥；

（2）通过所述载体内部的预置私钥对所述第一公钥进行签名以产生第一证书请求数据，并将所述的第一证书请求数据发送至第一授权机构，以及第一授权机构使用载体内部的预置公钥的验证后签发第一证书；

（3）将所述的第一证书写入至所述的智能安全芯片中；

（4）在所述载体内部产生第i公钥和第i私钥；

（5）通过所述第一私钥对第i公钥进行签名以产生第i证书请求数据，并将所述的第i证书请求数据发送至第i授权机构，以及在通过所述第一公钥的验证后签发第i证书；

（6）将所述的第i证书写入至所述的智能安全芯片中；

（7）判断i是否大于系统预设正整数j，若大于，则结束整个过程，否则将i重新赋值为i＋1，并继续步骤（2）；

其中，所述的i、j均为正整数，且所述i的初始值为正整数2，所述j为大于2的正整数；

所述的方法还包括验证过程，具体包括以下步骤：

（1-1）发送一应用终端的电子签名请求数据至所述的智能安全芯片中；

（1-2）校验用户输入的PIN码后，使用所述第一私钥对所述电子签名请求数据中的待签名数据进行签名以获得第一签名值；

（1-3）基于所述电子签名请求数据中的索引值选择第X私钥对所述电子签名请求数据中的待签名数据进行签名以获得第X签名值；

（1-4）通过所述的待签名数据、第一签名值以及第X签名值得到电子签名验证请求；

（1-5）所述应用终端收到所述电子签名验证请求之后，读取所述第一证书对所述第一签名值进行验证以认证用户身份，并在所述第一签名值验证通过后读取第X证书对所述第X签名值进行验证以认证所述电子签名请求数据，以完成验证过程；

所述的X为任意正整数，且i≤X≤j。

2.根据权利要求1所述的基于智能安全芯片的多证书签发方法，其特征在于，所述的步骤（1）之前，还包括：

（0）通过所述第一授权机构验证用户身份，并在所述用户身份验证通过后向所述智能安全芯片提供所述载体。

3.根据权利要求2所述的基于智能安全芯片的多证书签发方法，其特征在于，所述的步骤（0）还包括：

所述用户在所述载体上设置PIN码。

4.根据权利要求3所述的基于智能安全芯片的多证书签发方法，其特征在于，所述的PIN码仅与所述第一证书相关联。

5.根据权利要求2所述的基于智能安全芯片的多证书签发方法，其特征在于，所述的载体为智能卡或U盾。

6.一种基于权利要求1所述的基于智能安全芯片的多证书签发方法实现基于智能安全芯片的验证方法，其特征在于，所述的方法包括：

（1）发送一应用终端的电子签名请求数据至所述的智能安全芯片中；

（2）校验用户输入的PIN码后，使用所述第一私钥对所述电子签名请求数据中的待签名数据进行签名以获得第一签名值；

（3）基于所述电子签名请求数据中的索引值选择第X私钥对所述电子签名请求数据中的待签名数据进行签名以获得第X签名值；

（4）通过所述的待签名数据、第一签名值以及第X签名值得到电子签名验证请求；

（5）所述应用终端收到所述电子签名验证请求之后，读取所述第一证书对所述第一签名值进行验证以认证用户身份，并在所述第一签名值验证通过后读取第X证书对所述第X签名值进行验证以认证所述电子签名请求数据，以完成验证过程；

所述的X为任意正整数，且i≤X≤j。

7.根据权利要求6所述的基于智能安全芯片的验证方法，其特征在于，所述的智能安全芯片存储于一载体内部，所述载体设有所述的PIN码。

Images