一种实现智能密钥设备双向认证和交易的方法及装置制造方法及图纸

本发明专利技术公开了一种实现智能密钥设备双向认证和交易的方法及装置，属于信息安全领域。所述方法包括：当接收到获取客户端证书的请求时，智能密钥设备回送内置的客户端证书列表，客户端证书列表包括证书索引；当接收到使用客户端证书签名的请求时，智能密钥设备根据请求中包含的证书索引检索证书，根据检索到的证书的属性判断客户端证书类型，如果是双向认证的证书，对客户端签名原文进行摘要和签名运算；如果是交易的证书，则先判断签名原文是否符合报文规范，是则待用户按键确认交易信息后，对客户端签名原文进行摘要和签名运算；否则直接对客户端签名原文进行摘要和签名运算。本发明专利技术中的技术方案，大大提高智能密钥设备双向认证和交易的安全性。

Method and device for realizing bidirectional authentication and transaction of intelligent key equipment

The invention discloses a method and a device for realizing two-way authentication and transaction of intelligent key equipment, belonging to the field of information security. The method includes: when the receiver to obtain a client certificate request, a list of the intelligent key equipment loopback built-in client certificate, the client certificate list includes the certificate index; when receiving the signature using client certificate request, the intelligent key equipment according to the certificate request contains the index retrieval certificate, determine the client certificate type according to the attributes retrieved the certificate, if it is mutual authentication certificate for abstract signature operation and client signature of the original text; if the transaction certificate, first determine whether the original signature message specification, is the user key confirmation transaction information, summary and signature operations on the original client signature; otherwise directly to the original client signature the signature operation and. The technical scheme of the invention greatly improves the mutual authentication of the intelligent key equipment and the security of the transaction.

【技术实现步骤摘要】
一种实现智能密钥设备双向认证和交易的方法及装置
本专利技术涉及信息安全领域，尤其涉及一种实现智能密钥设备双向认证和交易的方法及装置。
技术介绍
随着密码技术和计算机技术的发展，目前常用的1024位RSA算法面临严重的安全威胁，国家密码局决定采用国密算法(SM2算法和SM3算法)替换RSA算法。其中，SM2算法规定了签名、验证、密钥交换等具体细节，SM3用于密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。智能密钥设备可实现待签名的敏感信息在智能密钥设备的液晶上进行显示，达到交易过程为用户可控状态和所见及所签的效果，杜绝了黑客篡改信息所带来的安全漏洞，在安全级别得到了质的提升。目前，对于智能密钥设备多数银行仍旧使用RSA算法进行交易和双向认证，针对智能密钥设备，国密算法暂不支持双向认证和交易，安全性受到严重威胁。
技术实现思路
本专利技术的目的是为了解决现有技术中存在的问题，提供了一种实现智能密钥设备双向认证和交易的方法及装置。本专利技术采用的技术方案是：一方面，一种实现智能密钥设备双向认证和交易的方法，方法包括：步骤S1：当接收到服务器发送本文档来自技高网...

【技术保护点】
一种实现智能密钥设备双向认证和交易的方法，其特征在于，所述方法包括：步骤S1：当接收到服务器发送的获取客户端证书的请求时，智能密钥设备回送内置的客户端证书列表，所述客户端证书列表包括证书索引；步骤S2：当接收到使用客户端证书签名的请求时，所述智能密钥设备根据所述请求中包含的证书索引检索证书，根据检索到的证书的属性判断所述客户端证书类型，如果是双向认证的证书，执行步骤S3；如果是交易的证书，则执行步骤S4；步骤S3：所述智能密钥设备对客户端签名原文进行摘要和签名运算，并将客户端签名结果返回所述客户端，结束；步骤S4：当接收到客户端发送的客户端签名原文和判断请求时，所述智能密钥设备判断客户端签名原...

【技术特征摘要】
1.一种实现智能密钥设备双向认证和交易的方法，其特征在于，所述方法包括：步骤S1：当接收到服务器发送的获取客户端证书的请求时，智能密钥设备回送内置的客户端证书列表，所述客户端证书列表包括证书索引；步骤S2：当接收到使用客户端证书签名的请求时，所述智能密钥设备根据所述请求中包含的证书索引检索证书，根据检索到的证书的属性判断所述客户端证书类型，如果是双向认证的证书，执行步骤S3；如果是交易的证书，则执行步骤S4；步骤S3：所述智能密钥设备对客户端签名原文进行摘要和签名运算，并将客户端签名结果返回所述客户端，结束；步骤S4：当接收到客户端发送的客户端签名原文和判断请求时，所述智能密钥设备判断客户端签名原文是否符合报文规范，是则执行步骤S5；否则执行步骤S6；步骤S5：所述智能密钥设备解析所述客户端签名原文并显示交易信息，用户按键确认后，对所述客户端签名原文进行摘要和签名运算，并将客户端签名结果返回所述客户端，结束；步骤S6：当所述智能密钥设备接收到所述客户端发送的签名请求后，解析所述客户端签名原文，对所述客户端签名原文进行摘要和签名运算，并将签名结果返回所述客户端，结束。2.根据权利要求1所述的方法，其特征在于，所述步骤S1中，判断所述客户端证书类型之后，还包括：当接收到客户端发送的密码和验证请求时，智能密钥设备验证密码是否正确，如果错误，向所述客户端返回错误信息，如果正确，向所述客户端返回正确信息后，等待接收到服务器发送的客户端证书。3.根据权利要求2所述的方法，其特征在于，所述智能密钥设备向所述客户端返回错误信息之前，还包括：所述智能密钥设备判断自身是否锁死，是则打开锁，执行所述智能密钥设备验证密码是否正确，否则向所述客户端返回错误信息。4.根据权利要求1所述的方法，其特征在于，所述步骤S3中所述将客户端签名结果返回所述客户端的时候，还包括：将所述客户端签名原文、所述客户端签名结果和所述客户端证书发送至服务器；所述服务器接收到客户端发送的所述客户端签名原文、所述客户端签名结果和所述客户端证书，调用摘要运算接口对所述客户端签名结果做一次摘要运算。5.根据权利要求4所述的方法，其特征在于，所述服务器收到所述客户端发送的客户端签名原文、所述客户端签名结果和所述客户端证书之后，还包括：所述服务器使用所述客户端证书验证所述客户端签名结果是否正确；所述服务器验证所述客户端证书是否合法。6.根据权利要求1所述的方法，其特征在于，所述步骤S3之前还包括：当接收到所述客户端发送的客户端签名原文和判断请求时，所述智能密钥设备解析所述客户端签名原文并判断所述客户端签名原文是否符合报文规范，是则向所述客户端返回错误信息，否则向所述客户端返回正确信息，执行步骤S3。7.根据权利要求1所述的方法，其特征在于，所述步骤S3之前，还包括：所述客户端调用摘要运算接口对所述客户端签名原文进行摘要运算，并将所述摘要结果发送至所述智能密钥设备；所述智能密钥设备接收到所述客户端发送的所述摘要结果后，将所述摘要结果作为客户端签名原文，解析所述当前客户端签名原文并判断所述当前客户端签名原文是否符合报文规范，是则向所述客户端返回错误信息，否则向所述客户端返回正确信息，执行步骤S3。8.根据权利要求7所述的方法，其特征在于，所述步骤S3中所述将客户端签名结果返回所述客户端时，还包括：将所述客户端签名原文、所述客户端签名结果和所述客户端证书发送至服务器；所述服务器接收到客户端发送的所述当前客户端签名原文、所述客户端签名结果和所述客户端证书，调用摘要运算接口对所述客户端签名结果做两次摘要运算。9.根据权利要求1所述的方法，其特征在于，所述步骤S3中，所述将客户端签名结果返回所述客户端时，还包括：将所述客户端当前支持的对称加密算法返回所述客户端。10.根据权利要求9所述的方法，其特征在于，所述步骤S3中所述将客户端签名结果返回所述客户端后，还包括：服务器选择所述客户端支持的安全性最高的对称加密算法作为双向认证通信的加密算法，并使用客户端证书公钥对此加密算法进行加密，并将加密结果发送给所述客户端。11.根据权利要求10所述的方法，其特征在于，当接收到所述客户端发送的解密请求时，所述智能密钥设备对所述加密结果进行解密，并将解密得到的所述加密算法返回所述客户端。12.根据权利要求11所述的方法，其特征在于，所述将解密结果返回所述客户端之后，还包括：所述客户端根据所述加密算法，通过生产随机数接口产生一随机数作为通信密钥，并使用服务器证书公钥加密发送给所述服务器，所述服务器接收到所述客户端发送的加密结果后，通过解密接口使用服务器证书私钥解密，获得双向认证加密用的通信密钥。13.根据权利要求1所述的方法，其特征在于，所述步骤S1之前还包括：所述客户端向服务器发送双向认证连接请求，所述服务器将服务器信息发送至所述客户端进行验证，验证未通过，所述客户端中断双向认证连接的建立，验证通过，所述服务器向所述客户端发送双向认证连接请求，执行步骤S1。14.根据权利要求13所述的方法，其特征在于，步骤S1中所述服务器信息具体包括：服务器公钥证书、服务器签名原文和服务器签名结果；所述将服务器信息发送至所述客户端进行验证之前，还包括：所述服务器通过随机数生成接口产生随机数作为服务器签名原文，通过摘要接口对服务器签名原文做摘要运算后，对摘要运算结果进行签名得到服务器签名结果。15.根据权利要求14所述的方法，其特征在于，所述服务器将服务器信息发送至所述客户端进行验证，具体包括：所述客户端验证服务器证书公钥是否合法；所述客户端验证所述服务器签名结果是否正确。16.根据权利要求15所述的方法，其特征在于，所述客户端验证服务器证书公钥是否合法，具体包括：所述客户端验证服务器公钥证书是否过期，所述客户端验证发行服务器证书的CA是否可靠，所述客户端验证发行者证书的公钥能否正确解开服务器证书的发行者的数字签名，所述客户端验证...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：飞天诚信科技股份有限公司，
类型：发明
国别省市：北京,11