一種下載數字證書的方法和系統的製作方法

2023-06-23 13:07:11 1

專利名稱：一種下載數字證書的方法和系統的製作方法
技術領域：
本發明涉及數字籤名裝置技術，特別涉及基於支持公共密鑰體系(PKI:
Public Key Infrastructure)功能的數字籤名裝置的數字證書下載技術，具 體地講涉及一種下載數字證書的方法和系統。
背景技術：
隨著網際網路的發展和網絡銀行、電子商務、電子政務的廣泛應用，基於 PK工數字證書技術、智慧卡技術和USBKey被廣泛的應用到各個行業和地區。越
來越多的網際網路使用者接受並使用智慧卡類的數字籤名裝置和相關配套軟體 技術作為身份認證和數字籤名的方法。
PKI數字證書技術是一種安全技術，其是由公開密鑰密碼技術、數字證書、 證書發放機構(CA: Certificate Authority)和關於公開密鑰的安全策略等 共同組成。PKI是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設 施，網絡通信、網上交易等利用其來保證安全。
隨著計算機通信技術和網絡安全技術的發展，PKI網絡安全體系特別在涉 及網絡銀行、電子商務和電子政務等應用安全體系中得到廣泛應用。PKI的建 設使得智慧卡和USBKey這種數字籤名裝置的應用得以大規模的擴展。
為了使智慧卡類的裝置能夠穩定可靠的運行在網絡安全應用領域，制定 了微軟CSP規範接口定義和RSA公司的PKCSftll規範接口定義。目前，智慧卡類 數字籤名裝置可利用微軟機密服務提供商(CSP: Cryptographic Service Provider)規範接口和RSA公司的PKCSttll規範接口進行數字證書下載。
在具體的使用環境中的具體使用方式如下
用戶需單獨安裝一個帶有微軟CSP規範接口和RSA公司的PKCSftl l規範接口的安裝程序到用戶的計算機當中；當使用智慧卡類裝置進行安全的網絡信 息交換時，上層應用，如IE瀏覽器或者用戶自己開發的安全程序通過安裝到 計算機當中的微軟CSP規範接口和RSA公司的PKCSttl l規範接口訪問智慧卡類 裝置；智慧卡類裝置可通過微軟CSP規範接口和RSA公司的PKCStfll規範接口下 載數字證書。
例如工商銀行的網上銀行，在交易的安全性上面，工行使用U盾來保護每 一筆交易。使用U盾下載證書時通常需要如下步驟
步驟l，安裝U盾驅動程序；步驟2，安裝U盾對應的軟體(CSP)和管理工 具；步驟3，安裝籤名控制項；步驟4,利用上述微軟CSP規範接口和RSA公司的 PKCSftll規範接口下載證書到U盾。如果更換一臺電腦使用U盾，還需要重複步 驟l， 2， 3。
由上述可知，由於用戶的計算機水平參差不齊，計算機環境各異，導致 上述步驟l、 2很容易出現問題，經常會由驅動安裝不成功，對應軟體安裝失 敗的情況發生，這對網上銀行的普及十分不利。
因此，雖然目前微軟CSP規範接口和RSA公司的PKCSftll規範接口已經廣泛 的使用在各個領域，充分有效地使客戶在信息安全領域使用智慧卡類的安全 設備，但在具體的使用環境中，尤其是網上銀行應用中，客戶往往在安裝和 使用微軟CSP規範接口和RSA公司的PKCSftll規範接口時遇到大量的易用性問 題。
由於用戶是在計算機上安裝微軟CSP規範接口和RSA公司的PKCSttll規範 接口相關軟體，因此會受到計算機環境，如作業系統、殺毒軟體、優化軟體 等的限制，往往會出現安裝異常的情況。同時在用戶使用微軟CSP規範接口和 RSA公司的PKCSttll規範接口對智慧卡類裝置進行操作時，也會由於計算機本 身環境的影響出現操作異常的情況。因此，使用微軟CSP規範接口和RSA公司 的PKCStt 1 l規範接口便會有以下的弱點
1)安裝不便；2)黑客容易獲取微軟CSP規範接口和RSA公司的PKCSftll規
範接口的定義進行非法攻擊；3)殺毒軟體和計算機優化軟體的影響而無法正 常使用；4)升級和更新比較困難和複雜；5)微軟新一代作業系統不兼容。

發明內容
鑑於現有技術中存在的上述問題，本發明提供一種下載數字證書的方法 和系統。該方法通過無需用戶安裝到本地計算機的控制項單元，有效地使數字 籤名裝置進行數字證書下載。
本發明的一個目的是提供一種下載數字證書的方法，該方法包括步驟 下載控制項單元到用戶端；用戶端利用所述控制項單元的證書下載單元對數字籤 名裝置進行數字證書下載。
本發明的另一個目的是提供一種下載數字證書的系統，其特徵在於，該 系統包括用戶端，用於下載控制項單元，該控制項單元至少包括證書下載單元; 其中，所述用戶端利用所述證書下載單元生成證書請求，並將該證書請求進 行發送；
CA伺服器，接收所述用戶端發送的所述證書請求，並生成相應的數字證 書，並回傳該數字證書到所述用戶端；
並且，所述用戶端接收所述數字證書後，利用所述證書下載單元解析出 用戶證書並保存到所述數字籤名裝置中；
數字籤名裝置，與所述用戶端連接，用於保存解析出的所述用戶證書。
本發明的又一個目的是提供一種控制項單元，該控制項單元至少包括證書下 載單元，所述證書下載單元至少包括第一接口，用於負責生成證書請求； 第二接口，用於負責接收CA伺服器生成的所述數字證書，並從該數字證書中 解析出用戶證書寫入所述數字籤名裝置中。
本發明實施例的有益效果在於，在下載數字證書時，利用控制項單元減少 了數據傳遞的中間環節，有效避免了敏感數據被黑客截獲的風險，同時除去 了用戶額外安裝中間件CSP程序帶來的麻煩，避免了Windows不同版本操作系
統兼性容和升級新功能帶來的風險，極大提升了易用性。


此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部 分，並不構成對本發明的限定。在附圖中
圖l為本發明實施方式的證書下載系統構成示意圖； 圖2為本發明實施方式的控制項單元構成示意圖； 圖3為本發明實施方式的下載、更新控制項單元的流程圖； 圖4A為本發明實施方式的對數字籤名裝置進行證書下載的流程圖； 圖4B為圖4A中生成證書請求的流程圖5為本發明實施方式的對數字籤名裝置的保護密碼進行修改的流程圖6為本發明實施方式的查看數字籤名裝置保存的證書的流程圖。
具體實施例方式
為使本發明目的、技術方案和優點更加清楚明白，下面結合實施方式和 附圖，對本發明做進一步詳細說明。在此，本發明的示意性實施方式及其說 明用於解釋本發明，但並不作為對本發明的限定。
實施例一
本發明實施方式提供一種下載數字證書的系統，如圖l、 2所示，該系統
包括用戶端101，用於下載控制項單元，該控制項單元至少包括證書下載單元201;
其中，用戶端101利用該證書下載單元201生成證書請求，並將該證書請求進 行發送；
CA伺服器102，接收用戶端101發送的所述證書請求，並生成相應的數字 證書，並回傳該數字證書到所述用戶端101;
並且，用戶端101接收該數字證書後，利用證書下載單元201解析出用戶 證書並保存到所述數字籤名裝置中；
數字籤名裝置(圖中未示出)，與所述用戶端連接，保存解析出的用戶 證書。
由上述可知，在下載數字證書時，利用控制項單元減少了數據傳遞的中間 環節，有效避免了敏感數據被黑客截獲的風險，同時除去了用戶額外安裝中
間件CSP程序帶來的麻煩，避免了Windows不同版本作業系統兼性容和升級新 功能帶來的風險，極大提升了易用性。
在本實施例中，數字籤名裝置可以為智慧卡，例如捷德公司的 StarKey100、 StarKey200、 StarKey220、工行網銀使用的U盾等。該數字籤名 裝置插入用戶端101中。
在本發明的實施方式中，如圖2所示，證書下載單元201至少包括第一 接口 (圖中未示出)，用於負責生成證書請求；
第二接口 (圖中未示出)，用於負責接收CA伺服器102生成的數字證書， 並從該數字證書中解析出用戶證書並寫入所述數字籤名裝置中。
在本發明的實施方式中，如圖2所示，控制項單元還可包括管理單元202; 管理單元202至少包括第三接口 (圖中未示出)，該第三接口用於顯示保存在 數字籤名裝置中保存的用戶證書。
在本發明的實施方式中，如圖2所示，管理單元202還可包括第四接口 (圖中未示出)，該第四接口用於修改數字籤名裝置的保護密碼。
在本發明的實施方式中，第一接口可採用STDMETH0D(createPKCS10)或者 採用STDMETHOD(createRequest)，這兩個接口的功能一樣，都是負責生成證 書請求。只是出於兼容性考慮才有兩個接口。
第二接口可採用STDMETHOD (acc印tResponse)或者採用STDMETHOD (acc印tPKCS7),這兩個接口的功能一樣，都是負責接收CA伺服器102回傳 的證書數據，該證書數據可為PKCSft7格式的證書數據，並從中解析出用戶證 書寫入到數字籤名裝置中。只是出於兼容性考慮才有兩個接口。
第三接口可採用STDMETHOD(ViewCert)，顯示保存在數字籤名裝置中的用
戶證書；第四接口可採用STDMETHOD(get—ChangePIN)，修改數字籤名裝置的 保護密碼。
採用上述接口可使己有的系統應用本發明時，使原來的網頁代碼的改動 很少，從而提供兼容性，節約成本。但上述接口僅為本發明的優選實施方式， 還可採用其它。
由上述實施方式可知，利用控制項單元不僅可以下載數字證書，而且還可 以進行管理，如修改數字籤名裝置的保護密碼，也可以顯示保存在數字籤名 裝置的用戶證書，從而減少了數據傳遞的中間環節，有效避免了敏感數據被 黑客截獲的風險，同時避免了WindoWs不同版本作業系統兼性容和升級新功能 帶來的風險，極大提升了易用性。
在上述實施方式中，證書下載單元201包括為實現證書下載所必要接口， 本實施例中，該證書下載單元201至少包含第一、二接口，如上述接口
STDMETHOD(createRequest)、 STDMETHOD(createPKCS10)、 STDMETHOD (acc印tResponse) 、 STDMETHOD (acc印tPKCS7);
除了上面4個接口，為了保持和微軟Xenroll控制項一致(這樣在已有的 系統中應用本發明時，原有網頁代碼只需較少改動，兼容性較好)，還包括 如下接口
1.1 STDMETHOD(get—EnableSMIMECapabilities); 1. 2 STDMETHOD(put—EnableSMIMECapabilities);
1.3 STDMETHOD(InstallPKCS7Ex);
1.4 STDMETHOD(get—SPCFileName);
1.5 STDMETHOD(put—SPCFileName);
1.6 STDMETHOD(get一CAStoreFlags);
1.7 STDMETHOD(put—CAStoreFlags);
1.8 STDMETHOD(get—RootStoreFlags); 1. 9 STDMETHOD(put_RootStoreFlags);1.10 STDMETHOD(get—MyStoreFlags); 1. 11 STDMETHOD(put—MyStoreFlags);
1.12 STDMETHOD(get—ReadyState);
1.13 STDMETHOD (put_ReadyState); 1. 14 STDMETHOD(get—HashAlgID); 1.15 STDMETHOD (put_HashAlgID);
1. 16 STDMETHOD(get—ProviderType); 1. 17 STDMETHOD(put_ProviderType); 1.18 STDMETHOD(enumProviders); 1. 19 STDMETHOD(getProviderType);
1.20 STDMETHOD(get_ProviderName);
1.21 STDMETHOD(put_ProviderName);
1.22 STDMETHOD (GetS卿ortedKeySpec);
1.23 STDMETHOD(get—GenKeyFlags);
1.24 STDMETHOD(put—GenKeyFlags); 1. 25 STDMETHOD(get—KeySpec);
1. 26 STDMETHOD(put_KeySpec);
1.27 STDMETHOD(get—LimitExchangeKeyToEncipherment);
1.28 STDMETHOD(put』imitExchangeKeyToEnciphe匿nt);
1.29 STDMETHOD(get一UseExistingKeySet); 1. 30 STDMETHOD(put—UseExistingKeySet); 1. 31 STDMETHOD (get—ContaiName);
1. 32 STDMETHOD (put—Contai)； 1. 33 STDMETHOD(get_PVKFileName); 1.34 STDMETHOD (put—PVKFi 1 eName); 1. 35 STDMETHOD(get一RequestStoreFlags);
1. 36 STDMETHOD(put_RequestStoreFlags);
1. 37 STDMET腳(get—ProviderFlags);
1. 38 STDMETHOD(put—ProviderFlags);
1. 39 STDMETHOD(addBlobPropertyToCertificate):
1.40 STDMETHOD(get_ThumbPrint);
1. 41 STDMETHOD(put—Thumbprint);
1.42 ST匿ETH0D (Reset);
1. 43 STDMETHOD(get—ReuseHardwareKeylfUnableToGenNew); 1. 44 STDMETHOD(put—ReuseHardwareKeylfUnableToGenNew);
1.45 STDMETHOD(createFileRequest);
1.46 STDMETHOD (EnumAlgs);
1 47 ST匿ETHOD (GetAlgName);
1.48 STDMETHOD (GetKeyLenEx);
1.49 STDMETHOD(get_PrivateKeyArchiveCertificate);
1.50 STDMETHOD(put—PrivateKeyArchiveCertificate); l. 51 STDMETHOD(addCertTypeToRequestEx);
1. 52 STDMETHOD(setPendingRequestlnfo);
1. 53 STDMETHOD(get—HashAlgorithm);
1. 54 STDMETHOD(put—HashAlgorithm);
1. 55 STDMETHOD(get—WriteCertToCSP);
1. 56 STDMETHOD(put—WriteCertToCSP)。 在本實施方式中，上述接口只有接口的聲明，裡面沒有實現任何功能， 但不限於此，可根據實際需要來設定。
所述管理單元202為對數字籤名裝置進行管理的單元，該管理單元202除 了包括第三、四接口，如STDMETHOD(ViewCert)、 STDMETHOD(get—ChangePIN) 外，還可包含如下接口
2. 1 STDMETH0D(get—InitCard);該接口負責初始化數字籤名裝置。 2. 2 STDMETH0D(get—GetMediaID);該接口負責獲取數字籤名裝置的
序列號。
由上述實施例可知，通過上述控制項單元，當進行證書下載或管理時，不 需採用原中間件模式，而直接使用該控制項單元，從而減少了數據傳遞的中間 環節，避免了敏感數據被黑客截獲的風險，同時除去了用戶額外安裝中間件 CSP程序帶來的麻煩，避免了Windows不同版本作業系統兼容性和升級新功能 帶來的風險，極大提高了易用性。
實施例二
本發明還提供一種下載數字證書的方法。該方法包括步驟 下載控制項單元到用戶端101;用戶端101利用控制項單元對數字籤名裝置進
行數字證書下載。
通過上述實施例，當下載數字證書時，直接使用該控制項單元，從而減少 了數據傳遞的中間環節，避免了敏感數據被黑客截獲的風險，同時除去了用 戶額外安裝中間件CSP程序帶來的麻煩，避免了Windows不同版本作業系統兼
容性和升級新功能帶來的風險，極大提高了易用性。
在本發明的一個實施方式中，用戶端101利用控制項單元的證書下載單元 201對數字籤名裝置進行數字證書下載，可採用如下方式控制項單元的證書下 載單元201利用證書下載單元201生成證書請求；將該證書請求提交到CA服務 器102; CA伺服器102根據該證書請求生成相應的數字證書，並回傳該數字證 書到用戶端101;用戶端101接收到回傳的數字證書後，利用控制項單元的證書 下載單元201解析出用戶證書並保存該用戶證書到數字籤名裝置中。
在本發明的實施方式中，利用控制項單元的證書下載單元201生成證書請
求，可採用如下方式
用戶端101根據用戶信息，調用控制項單元的證書下載單元201;驗證數字
籤名裝置的保護密碼，若驗證通過則在數字籤名裝置中生成RSA密鑰對；
證書下載單元201獲得數字籤名裝置生成的RSA密鑰對中的公鑰，並利用 該公鑰和相關信息生成證書請求。其中，相關信息可包括用戶信息和本地系 統信息。
上述實施方式中，證書請求可為符合PKCSftlO格式的X509證書請求。CA服 務器102根據該證書請求生成唯一的X509格式數字證書，同時把PKCS弁7格式 的證書回傳到用戶端IOI。
在本發明的實施方式中，下載控制項單元到用戶端IOI，可採用如下方式 用戶端101訪問嵌入控制項單元的網頁；判斷用戶端101是否己經安裝控制項單元; 若判斷結果為未安裝控制項單元，則下載該控制項單元至用戶端IOI。若判斷結果 為已安裝控制項單元，則判斷該控制項單元的版本是否為最新；若判斷結果非最 新版本，則下載最新版本的控制項單元。
在本發明實施方式中，在下載控制項單元之前，還包括預備步驟
將控制項單元和依賴文件打成cab包，生成的cab包中至少包括包的名字、 包的版本和組件信息；編寫調用控制項單元的文件，該文件至少包括所述控制項 單元的下載地址和所述cab包的版本。該依賴文件是指生成cab包的時候需 要的配置文件，這個配置文件描述了 cab包中文件在目標電腦中安裝的路徑、 控制項唯一標識號(classic!)，對應作業系統版本號等信息。比如，控制項單元 文件叫PlutoControl.dll ，打包的時候先編寫一個腳本，裡面描述了安裝的 路徑，文件名，標識號碼等信息，然後使用打包工具程序，比如makecab. exe (這個程序微軟提供)生成最終的cab包，比如就叫PlutoControl. cab。
此外，在本發明的實施方式中，用戶端101還可利用控制項單元的管理單元202 查看保存在數字籤名裝置中的數字證書，可採用如下方式用戶選擇查看證 書；管理單元201判斷該數字籤名裝置中是否存在正確的證書；若判斷的結果 為是，則顯示證書的相關信息。
另外，還能夠利用控制項單元的管理單元202修改數字籤名裝置的保護密 碼，可採用如下方式用戶輸入原有密碼和新密碼；確認後利用所述管理單
元判斷修改是否成功；若判斷的結果為修改成功，則提示用戶修改成功；若 判斷的結果為修改失敗，則提示用戶修改失敗，請檢查密碼輸入是否正確。 以下結合實施例一所述的系統以及附圖對該方法進行詳細說明。 在本發明的實施方式中，當用戶訪問應用網站時，下載控制項單元到用戶 端。其中包括初次使用、版本判斷和版本更新。 首先，預備階段
將控制項單元和依賴文件打成cab包。其中，打包的操作可根據實際需要由 用戶或廠商來作。該cab包中會多出一個文件osd的XML文件。其中，osd文件 是一個包含下載工具描述文件，模板文件和任何必要的組件和圖形文件的XML 文檔，其定義了工具中所有組件的源文件和安裝位置。並且在該XML文件中至 少描述了包的名字、包的版本和組件信息。其中包的版本就是以後升級的比 較條件。在生成cab包之前，可以利用打包工具對這個版本進行設置。
其次，編寫調用該控制項單元的html文件，調用事例如下 <object
classid="clsid:12345678-90AB-CDEF-1234-567890ABCDEF" codebase=〃http:〃www. sample, com/test. CAB#version=l， 0, 0， 1〃〉 </object〉
其中，classid就是組件的CLSID，為網頁程序的關鍵字。codebase就是 控制項單元的下載地址hUp: 〃ww. sample, com/test. CAB和cab包的版本 version=l, 0, 0, 1。
如圖3所示，在本實施方式中，當用戶訪問應用網站時，使用瀏覽器瀏覽 嵌入控制項單元的網頁(見步驟301)，首先判斷用戶端計算機是否安裝有該控 件單元(見步驟304)，該判斷是由Windows系統完成；
若判斷結果為沒有安裝控制項單元，則從伺服器下載該控制項單元。本實施 例中，則從上述下載地址http:〃ww, sample, com/test. CAB下載(見步驟 302);
在步驟304中，若判斷結果為用戶端計算機有控制項單元，則判斷網頁中控
件單元的版本是否比用戶端計算機中的控制項單元的版本新(見步驟305);
在步驟305中，若判斷結果為是，即用戶端計算機安裝的cab文件的版本 較低，則從伺服器下載新版本的控制項單元(見步驟306),替換用戶端計算機 上的舊版本的控制項單元。本實施例中，則從下載地址 http:〃ww. sample, com/test. CAB下載更新。這樣，就可以不用編寫或改寫
任何程序就能實現自動升級功能。當有新版本的控制項單元時，就可以新打一 個cab包，將該cab版本增加一下，然後在上述codebase的version處改成對應
的版本。
最後，瀏覽器完成加載指定網頁(見步驟303)。
在上述實施方式中，從網站上下載的cab文件會保存到用戶端計算機 Windows目錄下的"Downloaded Program Files"文件夾裡，但不限於此，還 可保存在任何地方。如果你的cab包更新過多次，舊的文件並沒有被覆蓋，而 是共存在cab包中，也就是說，用戶端計算機上會有該控制項單元的各種版本，
兼容性得到有效的保障。
在步驟305中，若判斷結果為否，即用戶端計算機安裝的cab文件的版本
為最新版本，則執行步驟303。
若在步驟306從伺服器下載最新控制項單元之後，執行步驟303 。 當用戶端計算機下載了上述控制項單元後，則用戶端可利用控制項單元對數
字籤名裝置進行數字證書下載或者對數字籤名裝置進行管理。以下結合附圖
4A-6分別進行說明。
圖4A為本發明實施方式的對數字籤名裝置進行證書下載的流程圖。如圖
4A所示，當用戶端利用控制項單元對數字籤名裝置進行數字證書下載時，可採
用如下步驟
步驟401，在瀏覽器中用戶點擊證書下載連結，則跳轉到證書申請頁面。 步驟402，用戶輸入用戶信息，本實施例中，該用戶信息可包括姓名、電
子郵件、公司、部門、市、省、國家等信息，該用戶信息有些是可選輸入， 同時該用戶信息也可以在用戶端網頁腳本中填充默認值。
步驟403，用戶端101利用證書下載單元201生成證書請求，本實施方式
中可採用如下方式
如圖4B所示。用戶點擊提交按鈕，用戶端腳本將上述用戶信息作為參數， 調用證書下載單元101中的第一接口，如createRequest接口或者createPK CS10接口 (見步驟407);驗證數字籤名裝置的保護密碼(見步驟408)。
本實施例中可採用如下步驟將輸入數據，即用戶信息傳送到控制項單元 中，並通過密碼輸入對話框的方式獲得用戶的口令，然後送到數字籤名裝置 中進行驗證。
例如可釆用如下方式控制項單元彈出對話框，用戶在對話框中輸入密碼； 控制項把該密碼送到數字籤名裝置中驗證；在步驟409中，若驗證結果為通過 驗證，則數字籤名裝置內部生成RSA密鑰對，本實施例中，該RSA密鑰對為 非對稱密鑰對，私鑰保存在數字籤名裝置內，公鑰導出到控制項單元(見步驟
410) 。控制項單元利用公鑰數據生成PKCS弁10格式的X509證書請求(見步驟
411) 。本實施例中，採用如下方式控制項單元得到公鑰數據，然後結合用戶 信息和本地系統信息，組織成一個PKCStflO格式的X509證書請求。其中本地 系統信息可為作業系統的版本、當前的用戶名稱、當前用戶所在的域名稱等。
步驟404，用戶端網頁腳本將證書請求發送到CA伺服器102;
步驟405, CA伺服器102根據收到的證書請求生成唯一的X509格式數字證 書，同時轉換為PKCSft7格式，然後將PKCStf7格式的證書回傳到用戶端101;
步驟406，用戶端101收到CA伺服器102回傳的PKCStf7格式的數據後，調用 證書下載單元IOI中的第二接口 ，如acc印tResponse接口或者acc印tPKCS7接 口解析出客戶證書並保存到數字籤名裝置中。
當用戶使用控制項單元對數字籤名裝置進行管理時，利用該控制項單元的管 理單元202修改數字籤名裝置的保護密碼、査看證書。其中，
在修改數字籤名驢的保護密碼時，管理單元202的第四接口，即ChangePIN (2. 2)先驗證數字籤名裝置的保護密碼，驗證通過後修改成指定的新的密碼。 例如，如圖5所示，可採用如下方式
用戶輸入原有密碼和新密碼(見步驟501);例如，用戶在網頁裡的指定 位置輸入原有密碼12345678，又輸入新密碼87654321;
用戶確認後，利用管理單元202判斷修改是否成功(見步驟502);其中， 用戶點擊確認按鈕，網頁調用控制項單元中第四接口，修改密碼接口 ChangePIN 修改密碼；
若判斷的結果為修改成功，則提示用戶修改成功(見步驟504);若判斷 的結果為修改失敗，則提示用戶修改失敗，請檢査密碼輸入是否正確，回到 步驟501 (見步驟505)。
此外，在查看保存在數字籤名裝置中的X509數字證書時，管理單元202的 第三接口 ，即ViewICBCCert (2. 1)使用Windows證書察看標準對話框顯示證書 的詳細信息。
用戶選擇查看證書(見步驟601)，其中，用戶點擊査看證書按鈕，網頁 調用控制項單元中的第三接口，即查看證書接口；判斷該數字籤名裝置中是否 存在正確的證書(見步驟602);若判斷的結果為是，則顯示證書的相關信息 (見步驟603)。若判斷的結果為否，則提示用戶數字籤名裝置中不存在正確 的數字證書(見步驟604)。
對數字籤名裝置進行初始化操作時，管理單元的接口InitCard(3. 2)會把 數字籤名裝置恢復到默認的出場狀態。
上述實施例中，數字籤名裝置可為智慧卡，例如捷德公司的StarKeylOO、 StarKey200、 StarKey220、工行網銀使用的U盾等。
例如工商銀行的網上銀行，針對背景技術中所述方式，如果採用本發明 的方法，使用U盾下載證書時通常需要如下步驟
步驟l，利用控制項下載證書到U盾，可按照實施方式二的方式執行。
如果更換一臺電腦使用U盾，直接使用即可。
因此，當下載數字證書時，直接使用該控制項單元，從而減少了數據傳遞 的中間環節，避免了敏感數據被黑客截獲的風險，同時除去了用戶額外安裝
中間件CSP程序帶來的麻煩，避免了Windows不同版本作業系統兼容性和升級
新功能帶來的風險，操作簡單，極大提高了易用性。
以上所述的具體實施例，對本發明的目的、技術方案和有益效果進行了 進一步詳細說明，所應理解的是，以上所述僅為本發明的具體實施例而已， 並不用於限定本發明的保護範圍，凡在本發明的精神和原則之內，所做的任 何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1. 一種下載數字證書的方法，其特徵在於，該方法包括步驟下載控制項單元到用戶端；用戶端利用所述控制項單元的證書下載單元對數字籤名裝置進行數字證書下載。
2. 根據權利要求l所述的方法，其特徵在於，所述用戶端利用所述控制項單 元的證書下載單元對數字籤名裝置進行數字證書下載，包括步驟-用戶端利用所述控制項單元的證書下載單元生成證書請求； 將所述證書請求提交到CA伺服器；所述CA伺服器根據所述證書請求生成相應的數字證書，並回傳該數字證 書到所述用戶端；所述用戶端接收所述數字證書後，利用所述控制項單元的證書下載單元解 析出用戶證書並保存該用戶證書到所述數字籤名裝置中。
3. 根據權利要求2所述的方法，其特徵在於，所述用戶端利用控制項單元的 證書下載單元生成證書請求，包括步驟用戶端根據用戶信息，調用所述控制項單元的證書下載單元； 驗證所述數字籤名裝置的保護密碼，若驗證通過則在所述數字籤名裝置中生成RSA密鑰對；所述控制項單元的證書下載單元獲得數字籤名裝置生成的RSA密鑰對中的 公鑰，並利用該公鑰和相關信息生成證書請求。
4. 根據權利要求1所述的方法，其特徵在於所述下載控制項單元到用戶端， 包括步驟:所述用戶端訪問嵌入所述控制項單元的網頁； 判斷用戶端是否已經安裝所述控制項單元； 若判斷結果為未安裝所述控制項單元，則下載該控制項單元至用戶端。
5. 根據權利要求4所述的方法，其特徵在於若判斷結果為已安裝所述控制項單元，則判斷該控制項單元的版本是否為最新；若判斷結果非最新版本，則下載最新版本的控制項單元。
6. 根據權利要求4所述的方法，其特徵在於在下載所述控制單元之前， 還包括步驟將所述控制項單元和依賴文件打包，其中，生成的所述包中至少包括包的 名字、包的版本和組件信息；編寫調用控制項單元的文件，該文件至少包括所述控制項單元的下載地址和 所述包的版本。
7. 根據權利要求l所述的方法，其特徵在於，該方法還包括利用所述控 件單元的管理單元查看所述數字證書，包括步驟用戶選擇査看證書；所述管理單元判斷該數字籤名裝置中是否存在正確的證書； 若判斷的結果為是，則顯示證書的相關信息。
8. 根據權利要求3所述的方法，其特徵在於，能夠利用所述控制項單元的管理單元修改所述保護密碼，包括步驟用戶輸入原有密碼和新密碼，並確認； 利用所述管理單元判斷修改是否成功； 若判斷的結果為修改成功，則提示用戶修改成功；若判斷的結果為修改失敗，則提示用戶修改失敗，請檢查密碼輸入是否 正確。
9. 一種下載數字證書的系統，其特徵在於，該系統包括用戶端，用於下載控制項單元，該控制項單元至少包括證書下載單元；其中， 所述用戶端利用所述證書下載單元生成證書請求，並將該證書請求進行發送;CA伺服器，接收所述用戶端發送的所述證書請求，並生成相應的數字證 書，並回傳該數字證書到所述用戶端；並且，所述用戶端接收所述數字證書後，利用所述證書下載單元解析出 用戶證書並保存到所述數字籤名裝置中；數字籤名裝置，與所述用戶端連接，用於保存解析出的所述用戶證書。
10. 根據權利要求9所述的系統，其特徵在於，所述證書下載單元至少包括第一接口，用於負責生成證書請求；第二接口，用於負責接收CA伺服器生成的所述數字證書，並從該數字證 書中解析出用戶證書寫入所述數字籤名裝置中。
11. 根據權利要求9所述的系統，其特徵在於，所述控制項單元還包括管理 單元；所述管理單元至少包括第三接口，該第三接口用於顯示保存在數字籤 名裝置中的用戶證書。
12. 根據權利要求9所述的系統，其特徵在於，所述管理單元還包括第四 接口；該第四接口用於修改數字籤名裝置的保護密碼。
13. —種控制項單元，其特徵在於，該控制項單元至少包括證書下載單元，所 述證書下載單元至少包括第一接口，用於負責生成證書請求；第二接口，用於負責接收CA伺服器生成的所述數字證書，並從該數字證 書中解析出用戶證書寫入所述數字籤名裝置中。
14. 根據權利要求13所述的控制項單元，其特徵在於，所述控制項單元還包括 管理單元；所述管理單元至少包括第三接口，該第三接口用於顯示保存在數 字籤名裝置中的用戶證書。
15. 根據權利要求13所述的控制項單元，其特徵在於，所述管理單元還包括 第四接口；該第四接口用於修改數字籤名裝置的保護密碼。
全文摘要
本發明提供一種下載數字證書的方法。該方法包括步驟下載控制項單元到用戶端；用戶端利用所述控制項單元的證書下載單元對數字籤名裝置進行數字證書下載。通過本發明，在實現證書下載的時候，利用控制項單元減少了數據傳遞的中間環節，有效避免了敏感數據被黑客截獲的風險，同時除去了用戶額外安裝中間件CSP程序帶來的麻煩，避免了Windows不同版本作業系統兼容性和升級新功能帶來的風險，極大提升了易用性。
文檔編號H04L9/30GK101388771SQ20071012157
公開日2009年3月18日 申請日期2007年9月10日 優先權日2007年9月10日
發明者孫戰濤, 巖 閆 申請人:捷德(中國)信息科技有限公司