[发明专利]一种安全地生成密钥对和传送公钥或证书申请文件的方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及安全地生成密钥对和传送公钥或者证书申请文件的方法。

背景技术

私钥是指PKI(公开密钥基础设施)体系中用户的私人密钥。

公钥是指PKI体系中的用户的公开密钥。

CA是指PKI体系中的证书颁发机构。

证书申请文件指用户在申请证书过程中向CA提交的信息的集合。

自签名是指用户向CA提交的证书申请文件中的使用用户私钥对证书申请文件的签名。

随着信息化和数字化的普及，密钥安全性问题也越来越受到人们的关注。网上银行、网络游戏、支付平台、网上证券交易等无一不是以私钥的安全为基础的，也就是说，用户在网上所有交易的安全性都依赖于用户的私钥，所以保护私钥的安全是网络安全交易的至关重要的部分，而保护私钥的安全需要从密钥对的生成和公钥信息或证书申请文件在网络的传送过程的安全性入手。

现有技术中，密钥对(包含用户的公钥和私钥)是在用户申请证书的时候生成的。证书申请的流程如下：由客户端生成公钥和私钥对，然后根据生成的公钥和用户的信息生成一个证书申请文件，再使用上述客户端生成的私钥对所述生成的证书申请文件进行签名，最后将签过名的证书申请文件通过网络发送到CA，经CA认证而成为证书。然而，由于客户端并不是一个安全的环境，黑客有可能通过木马程序窃取用户的私钥，或通过截获用户发出的证书申请文件，替换用户的公钥和证书申请文件的自签名，并在用户发现之前使用私钥而谋取利益。

综上所述，现有技术的证书申请过程中存在安全漏洞，其主要问题在于不能保证密钥对的生成环境和公钥信息或证书申请文件在网络传送过程中的安全。

发明内容

本发明的目的是提供一种安全地生成密钥对和传送公钥信息或证书申请文件的方法，以克服上述现有技术在密钥对的生成过程中和公钥信息或证书申请文件在网络传送过程中存在的不安全的问题。

为了达到上述目的，本发明提供一种安全地生成密钥对和传送公钥信息的方法，包括下列步骤：

(1)信息安全设备中保存有一个密钥A，所述密钥A不能被导出；

(2)使用所述信息安全设备生成密钥对：私钥C和公钥D，所述私钥C保存在所述信息安全设备中，不能被导出；

(3)使用所述密钥A为所述信息安全设备生成的所述公钥D生成鉴别信息M；

(4)从所述信息安全设备中导出所述公钥D和所述鉴别信息M；

(5)将所述鉴别信息M和所述公钥D一起发给接收者；

(6)接收者对所述公钥D和鉴别信息M进行验证。

为了达到上述目的，本发明还提供一种安全地生成密钥对和传送证书申请文件的方法，包括下列步骤：

(1)信息安全设备保存有一个密钥；

(2)使用所述信息安全设备生成密钥对：私钥C和公钥D，所述私钥C保存在所述信息安全设备中，不能导出；

(3)使用所述密钥为所述信息安全设备生成的所述公钥D生成鉴别信息M；

(4)从所述信息安全设备中导出执行所述步骤(3)后的所述公钥D；

(5)所述导出的公钥D与用户信息合并生成证书申请文件；

(6)所述信息安全设备使用所述私钥C对所述证书申请文件签名；

(7)将所述鉴别信息M附加到执行所述步骤(6)后的证书申请文件中，并随同执行所述步骤(6)后的证书申请文件一起发送给CA；

(8)CA对所述证书申请文件及所述鉴别信息进行验证。

通过本发明提供的方法，可以有效地保证生成密钥对和传送公钥信息或证书申请文件的安全，从而保证网上交易的安全。

附图说明

图1为根据本发明的第一实施方式的安全地生成密钥对和传送证书申请文件的方法的流程图；

图2为根据本发明的第二实施方式的安全地生成密钥对和传送证书申请文件的方法的流程图；

图3为根据本发明的第三实施方式的安全地生成密钥对和传送公钥信息的方法的流程图；

图4为根据本发明的第四实施方式的安全地生成密钥对和传送公钥信息的方法的流程图。

具体实施方式

本发明的核心思想和设计原理在于：

为了保证私钥的安全，公私钥对在信息安全设备内部生成，私钥保存在信息安全设备内部，不可导出，这样木马程序就无法窃取到用户的私钥。然后客户端根据从所述信息安全设备中导出的公钥和用户信息生成证书申请文件，再让所述信息安全设备使用其生成的私钥对生成的证书申请文件签名并发送给CA；