[发明专利]基于非对称算法的证书介质在线格式化与解锁方法

权利要求书

1.基于非对称算法的证书介质在线格式化方法，其特征在于，所述方法中涉及的服务端提供一个管理口令生成器；同时在介质管理接口内置管理证书和随机数管理器；据此实施的格式化方法包括如下步骤：

(1.1)在线格式化时控件首先调用介质管理接口产生一次性随机码R1，同时获取介质序列号KSN，并将R1和KSN提交到服务端；

(2.1)服务端使用KSN获取介质对应管理口令SOPIN1，使用R1对SOPIN1加密，得到ESOPIN1，同时使用管理证书对应私钥对R1进行签名，得到SIG1，将ESOPIN1和SIG1发送到客户端；

(3.1)控件调用介质管理接口中的格式化函数，传入ESOPIN1和SIG1；

(4.1)介质管理接口使用内置管理证书对SIG1进行签名验证，验证通过，使用R1对ESOPIN1进行解密得到SOPIN1，对介质进行格式化操作，并将其管理口令设置为SOPIN1，重置随机码为R2；

据此完成证书介质在线格式化操作,通过上述步骤的操作能够保证证书介质格式化的安全性；上述步骤中证书介质管理口令根据证书介质的唯一介质序列号生成；同时进行格式化时，会生成一个一次性随机数，并对此随机数据进行签名和验证，以防止重放攻击；再者，介质管理接口中内置了表明服务端身份的管理证书，并对在服务端使用私钥签名的随机数据进行验证签名，防止了对介质管理接口的不当使用。

2.基于非对称算法的证书介质在线解锁方法，其特征在于,所述解锁方法包括如下步骤：

(1.2)在线解锁时控件首先通过介质管理接口从介质读取签名证书序列号SN，获取介质序列号KSN，产生一次性随机码R3，汇同管理员证书序列号ASN一起发送到服务端；

(2.2)服务端通过ASN检查管理员权限，确认是否有权对该介质进行解锁；

(3.2)服务端使用KSN获取介质对应管理口令SOPIN1，使用SN获取用户加密证书ECER，使用ECER中的公钥对R3进行加密得到ER3，使用R3对SOPIN1进行加密得到ESOPIN2，使用管理证书对应私钥对R3进行签名，得到SIG3，将ER3，ESOPIN2和SIG3发送到客户端；

(4.2)控件调用介质管理接口中的解锁函数，传入ER3，ESOPIN2和SIG3；

(5.2)介质管理接口使用内置管理证书对SIG3进行签名验证，验证通过，使用R3对ESOPIN1进行解密得到SOPIN1，使用SOPIN1将用户口令修改为默认口令PIN1，使用PIN1对介质进行操作，调用介质管理接口使用加密私钥对ER3进行解密，得到DR3，将DR3与R3进行对比，若不同，则保持介质锁定状态，若相同，则重置用户口令为默认口令；

在进行介质解锁时，证书介质管理口令同样根据证书介质的唯一介质序列号生成；并且在解锁过程中会生成一个一次性随机数，并对此随机数据进行签名和验证，以防止重放攻击；本方案还对在服务端使用私钥签名的随机数据进行验证签名，能够有效防止对介质管理接口的不当使用；最后在进行解锁时会使用用户的加密证书对随机数进行加密，若程序解锁过程中时发现使用内部加密私钥解密得到的随机数与当前会话随机数不一致，将保持介质锁定状态，防止伪造数据攻击。