[发明专利]一种安全认证方法

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种安全认证方法。

背景技术

目前，随着电子签名的普遍使用，在日常的应用实践中许多用户使用个人数字移动证书，如USB Key等，个人数字移动证书可以对数据进行加密、签名、认证，在网络支付和网上交易时大大提高了安全性。

数字移动证书通常是在用户第一次使用时，在其内部生成公私钥对，将私钥存放在数字移动证书内，不对外公开，把公钥发送给认证中心，用于对数字移动证书使用私钥进行签名计算的数据进行认证。

目前数字移动证书通常是连接到计算机上使用，公钥生成后，从数字移动证书内取出时，都是通过公开方式直接获得，没有任何其他的保护措施，而且都是通过互联网将公钥发送给认证中心的，这就给数字移动证书的应用安全性带来了隐患。

发明内容

为解决上述现有技术中存在的安全隐患问题，本发明提出了一种数字证书中公钥的安全认证方法。

本发明采取的技术方案是：一种安全认证方法，包括，

步骤S1：设备等待接收上位机下发的指令；

步骤S2：判断接收到的所述指令的类型；

当所述指令为生成密钥对指令，则执行生成密钥对的操作，并向上位机返回第一响应，然后返回步骤S1；

当所述指令为生成加密信息指令，则执行步骤S3-S5；

当所述指令为其他指令，则执行其他操作，并向上位机返回相应操作结果响应，然后返回步骤S1；

步骤S3：根据所述指令获取指定密钥和终端随机数，从预设存储区获取保护私钥和标识信息；

步骤S4：对所述指定密钥的部分内容进行哈希运算生成摘要，根据所述标识信息、所述终端随机数、所述指定密钥的剩余部分内容和所述摘要生成模长等于所述保护私钥模长的拼接数据；

步骤S5：用所述保护私钥对所述拼接数进行加密生成加密结果，并向上位机返回生成加密信息结果响应，然后返回步骤S1。

步骤S2所述判断接收到的指令的类型具体为根据所述指令的前两个字节取值判断指令类型。所述步骤S2还包括检查接收到的所述指令是否完整，具体为：判断所述指令的总长度是否超过预设长度，如果是，继续，否则所述指令不完整；判断所述指令的数据域的字节数是否符合长度域的值，是则所述指令完整，否则所述指令不完整。

上述执行生成密钥对的操作具体为：生成密钥对并保存，将生成加密信息标志位置为有效。

上述生成密钥对的操作还包括将密钥对标志位置为有效。

当所述指令为生成加密信息指令时还包括以下步骤：

步骤C1：判断是否存在密钥对，是则执行步骤C2，否则执行步骤C5；

步骤C2：判断生成加密信息标志位是否有效，是则执行步骤C3，否则执行步骤C5；

步骤C3：根据所述指令获取指定密钥和终端随机数，从预设存储区读取保护私钥和标识信息；对指定密钥的部分内容进行哈希运算生成摘要；将标识信息、终端随机数、指定密钥的剩余部分内容和摘要顺序拼接，填充组成模长等于保护私钥模长的拼接数据；用保护私钥加密拼接数据得到加密结果；将生成加密信息的标志位置为无效；

步骤C4：向上位机返回加密结果，上位机将所述加密结果发送给服务器进行认证，返回执行步骤S1；

步骤C5：向上位机返回错误响应，返回执行步骤S1。

上述步骤C1可替换为：判断密钥对标志位是否有效，是则执行步骤C2，否则执行步骤C5。

所述根据所述指令获取指定密钥具体为：从所述指令的数据域获取指定密钥ID，根据所述指定密钥ID从指定存储位置获取所述指定密钥。所述指定存储位置为密钥对的存储位置，所述指定密钥为所述密钥对中的公钥。

所述填充组成模长等于保护私钥模长的拼接数据的填充方式为：在标识信息、终端随机数、指定密钥的剩余部分内容和摘要顺序拼接接后得到的结果的最高位或最低位填充预先约定的数据。

步骤S2还包括：当所述指令为读取指令，则执行读取操作，并向上位机返回读取操作结果响应，然后返回步骤S1。

当所述读取指令为读取指定密钥指令时执行的读取操作具体为：从指定位置读取指定密钥，并向上位机返回包含所述指定密钥的响应。

当所述读取指令为读取保护公钥指令时执行的读取操作具体为：从预设存储区读取保护公钥，并向上位机返回包含所述保护公钥和标识信息的响应。

所述标识信息包括密钥长度、信息版本号、外壳号和密钥属性。