智能密鑰設備獲取數字證書的系統及方法

2023-05-01 03:57:01

專利名稱：智能密鑰設備獲取數字證書的系統及方法
技術領域：
本發明涉及數字證書技術領域，特別涉及一種智能密鑰設備獲取數字證書的系統及方法。
背景技術：
隨著信息網絡技術的高速發展，網絡安全問題已經成為目前最大的網絡安全隱患，網上銀行、網路遊戲、支付平臺、網上證券交易等各方面，密碼無處不在，帶給人們更多的安全。但是密碼在給人們必要的安全保障的同時，也存在一些問題， 一旦密碼丟失或被盜，則帶來很多的麻煩。現有技術中時常發生的網絡密碼被盜，木馬病毒，自我保護意識差被網絡釣魚，或者密碼被暴力破解等都是造成密碼安全問題的因素，為此有必要採取一些密碼安全的保障措施，為保護網上密碼增設一道屏障。智能密鑰設備是一種通過標準的個人主機
接口 (如USB接口等)，提供信息加密處理的可攜式設備，利用它能夠提高身份認證強度，它內置單片機或智慧卡晶片，可以存儲密鑰或數字證書，利用其內置的密碼算法可以對信息加密或進行身份識別等。智能密鑰設備具有PKI應用、數字籤名、信息加密、安全網絡登錄和訪問SSL (Secure Sockets Layer,安全套接字層)安全網絡等功能，並且具有保證用戶的私鑰永遠不離開硬體的特徵，同時智能密鑰設備還具有物理上防止非法獲取其內部敏感信息等特性。
PKI (Public Key Infrastructure,公鑰基礎設施)是利用公鑰理論和技術建立的提供安全服務的J^出設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和網際網路上的各種活動。PKI技術釆用證書管理公鑰，通過第三方的可信任機構-CA認證中心把用戶的公鑰和用戶的其他標識信息捆綁在一起，在網際網路上驗證用戶的身份。目前，通用的辦法是採用建立在PKI基礎之上的數字證書，通過把要傳輸的數字信息進行加密和籤名，保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。PKI是基於公鑰算法和技術，為網上通信提供安全服務的基礎設施。是創建、頒發、管理、註銷公鑰證書所涉及到的所有軟體、硬體的集合體。其核心元素是數字證書，核心執行者是CA認證機構。
CA認證中心是一個負責發放和管理數字證書的權威機構。CA認證中心通常採用多層次的分級結構，上級認證中心負責籤發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。CA認證中心的主要功能證書的頒發、證書的更新、證書的查詢、證書的作廢、證書的歸檔。
現有技術中，用戶智能密鑰設備的持有者通常執行如下步驟來獲得合法的數字證書首先向CA提出申請，將用戶身份信息和智能密鑰設備的硬體信息發送給CA; CA判明申請者的身份及後，便為他分配一個公鑰，並且CA將該公鑰與申請者的身份信息及智能密鑰設備的硬體信息綁在一起，並為之籤字後，便形成證書發給智能密鑰設備的持有者。這樣以來，該智能密鑰設備中便保存了CA頒發的證書。
這種技術的不足指出在於，增加了用戶的操作煩瑣性，用戶在拿到智能密鑰設備後，必須通過計算機網絡執行證書下載的過程，而在此過程中，很容易出現信息錯誤的情況，或者因為網絡故障導致用戶無法在第 一時間獲取合法的數字證書。

發明內容
本發明的目的在於提供一種智能密鑰設備獲取數字證書的系統及方法，能夠減少用戶自己下載數字證書的麻煩，同時能夠保障用戶私密信息在網絡傳輸過程中的安全性。
為達到上述目的，本發明智能密鑰設備獲取數字證書的系統採用的技術方案
為
一種智能密鑰設備獲取數字證書的系統，包括
智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所 述本地設備相連的安全終端；其中，
所述智能密鑰設備和所述本地設備按照預先約定的規則，根據所述智能密 鑰設備生成的密鑰對以及銀行卡的用戶信息生成申請數字證書的請求，並將所 述申請數字證書的請求發送給所述安全終端；所述安全終端根據所述申請數字 證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備；所 述本地設備將所述數字證書寫入所述智能密鑰設備。
本發明智能密鑰設備獲取數字證書的方法採用的技術方案為 一種智能密鑰設備獲取數字證書的方法，包括
智能密鑰設備與本地設備進行連接；
碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功，則所 述本地設備根據所述銀行卡從內部存儲設備中查找與所述銀行卡相關的用戶信 息，並讓用戶對所述信息進行確認； 所述智能密鑰設備生成密鑰對；
所述本地設備和所述智能密鑰設備按照預先約定的規則根據所述密鑰對、 所述標識信息以及所述用戶信息產生申請數字證書的請求，再將所述申請數字
證書的請求發送給所述安全終端；
所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所 述數字證書發送給所述本地設備；所述本地設備將所述數字證書寫入所述智能密鑰設備。
本發明提供的方法與系統，智能密鑰設備通過本地設備，從安全終端獲取數 字證書，使用戶不必自己下載數字證書，避免了下載數字證書的過程中因網絡 通信故障，計算環境故障，未遵守使用方針等故障導致下載數字證書失敗的麻
煩，方便用戶直接獲取存儲有數字證書的智能密鑰設備；此外，還能避免用戶 通過不安全的網絡下載數字證書的過程中，個人私密信息被截獲的安全隱患， 使用戶得以通過專用的安全網絡來獲取數字證書，保障了用戶私密信息在網絡 傳輸過程中的安全性。


圖1為本發明實施例一提供的一種智能密鑰設備荻取數字證書的系統示意
圖2為本發明實施例二提供的一種智能密鑰設備獲取數字證書的系統示意
圖3為本發明實施例二中本地設備的輸入/輸出模塊結構示意圖4為本發明實施例三提供的一種智能密鑰設備獲取數字證書的系統示意
圖5為本發明實施例四提供的一種智能密鑰設備獲取數字證書的系統示意
圖6為本發明實施例五提供的一種智能密鑰設備獲取數字證書的方法流程
圖7為本發明實施例六提供的一種智能密鑰設備獲取數字證書的方法流程
圖8為本發明實施例七提供的一種智能密鑰設備獲取數字證書的方法流程
圖9為本發明實施例八提供的一種智能密鑰設備獲取數字證書的方法流程
具體實施例方式
本發明旨在提供一種能夠減少操作繁瑣性、並能保障用戶私密信息在網絡傳 輸過程中的安全性的智能密鑰設備獲取數字證書的系統及方法，下面結合附圖 對本發明實施例做詳細說明。
實施例一
參看圖1所示，本實施例提供一種智能密鑰設備獲取數字證書的系統，包
括
智能密鑰設備IO,與所述智能密鑰設備相連的本地設備ll，以及通過網絡 與所述本地設備相連的安全終端12;其中，
所述智能密鑰設備10和所述本地設備11按照預先約定的規則，根據所述 智能密鑰設備10生成的密鑰對以及銀行卡的用戶信息生成申請數字證書的請 求，並將所述申請數字證書的請求發送給所述安全終端12;所述安全終端12 根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給 所述本地設備11;所述本地設備11將所述數字證書寫入所述智能密鑰設備10。
本發明提供的智能密鑰設備獲取數字證書的系統，智能密鑰設備通過本地設 備，從安全終端獲取數字證書，使用戶不必自己下載數字證書，避免了下載數 字證書的過程中因網絡通信故障，計算環境故障，未遵守使用方針等故障導致 下載數字證書失敗的麻煩，方便用戶直接獲取存儲有數字證書的智能密鑰設 備；此外，還能避免用戶通過不安全的網絡下載數字證書的過程中，個人私密 信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取數字證書，保 障了用戶私密信息在網絡傳輸過程中的安全性。
實施例二
本實施例提供一種智能密鑰設備獲取數字證書的系統，在本實施例中，以智能密鑰設備為USB Key例來進行具體說明。
參看圖2所示，本實施例智能密鑰設備獲取數字證書的系統，包括 USBKey20,與所述USB Key相連的本地設備21 ，以及通過網絡(比如銀行 內部網絡)與所述本地設備相連的安全終端22;其中，所述本地設備21由銀行 提供；
所述USB Key20和所述本地設備21按照預先約定的規則，根據所述USB Key20生成的密鑰對、所述USBKey20的標識信息以及4艮行卡的用戶信息生成申 請數字證書的請求，並將所述申請數字證書的請求發送給所述安全終端22;所 述安全終端22根據所述申請數字證書的請求生成數字證書，並將生成的所述數 字證書發送給所述本地設備21;所述本地設備21將所述數字證書寫入所述USB Key20。
本實施例中，所述USB Key20包括 接口模塊201，用於與所述本地設備21建立連接；
通訊模塊202，用於所述USB Key20與所述本地設備21之間的數據通信；
存儲模塊203,用於存儲密鑰對、密鑰生成算法以及所述USB Key的標識信 息等各種信息；
密鑰生成模塊204，用於根據密鑰生成算法生成密鑰對。 所述本地設備21包括
接口模塊211,用於將所述本地設備21與所述USB Key20以及本地設備與4艮 行卡建立連接；
輸入/輸出模塊212,用於信息的輸入/輸出； 運算模塊213，用於處理和解析數據； 存儲模塊214，用於存儲各種信息； 網絡控制模塊215 ，用於控制網絡連接；
查找模塊216,用於本地設備21根據銀行卡從內銀行內部伺服器中查找與用 戶相關的信息，以及用於本地設備21查找所述USB Key20是否存在沒有與數字i正書匹配的密鑰對；
通訊模塊217,用於所述本地設備21與所述安全終端22之間的數據通信；
生成模塊218,用於本地設備21根據USB Key20中的密鑰對以及USB Key20 的標識信息產生一個申請數字證書的請求；
驗證模塊219,用於本地設備21對USB Key20進行驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行驗證以及對籤名等進行驗證；
寫入模塊2101,用於將接收到的數字證書寫入所述USB Key20中。
其中，參看圖3所示，所述輸入/輸出模塊212包括
鍵盤單元2121，用於通過鍵盤進行輸入；
掃描單元2122,用於通過條形碼掃描設備進行輸入；
磁條單元2123,用於通過磁條設備進行輸入；
接觸式智慧卡單元2124,用於通過接觸式智慧卡進行輸入；
非接觸式智慧卡單元2125,用於通過非接觸式智慧卡進行輸入；
顯示單元2126,用於將相關信息顯示出來；
發聲單元2127,用於以發聲的方式將相關信息顯示出來。
所述安全終端22包括
通訊模塊221，用於所述安全終端22與所述本地設備21之間的數據通信； 證書生成模塊222，用於所述安全終端22根據所述申請數字證書的請求生 成悽t字i正書；
驗證模塊223,用於所述安全終端22根據所述申請數字證書的請求中的公 鑰對所述申請數字證書的請求中簽名值進行驗證。
本實施例智能密鑰設備獲取數字證書的系統，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數字證書，使用戶不必自己下載數 字證書，避免了下載數字證書的過程中因網絡通信故障，計算環境故障，未遵 守使用方針等故障導致下載數字證書失敗的麻煩，方便用戶直接獲取存儲有數字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例三
本實施例提供一種智能密鑰設備獲取數字證書的系統，在本實施例中，以智
能密鑰設備為USB Key例來進行具體說明。
參看圖4所示，本實施例智能密鑰設備獲取數字證書的系統，包括 USB Key30，與所述USB Key相連的本地i殳備31，以及通過網絡(比如4艮行
內部網絡)與所述本地設備相連的安全終端32,在所述本地設備31和所述安全
終端32之間還連接有證書伺服器33;其中，所述本地設備31由銀行提供，
所述證書伺服器33用於暫存所述數字證書；
所述USB Key和所述本地設備按照預先約定的規則，根據所述USB Key生成
的密鑰對、所述USB Key的標識信息以及銀行卡的用戶信息生成申請數字證書
的請求，並將所述申請數字證書的請求發送給所述安全終端；所述安全終端根
據所述申請數字證書的請求生成數字證書，並將所述數字證書發送給所述證書
伺服器；所述本地設備從所述證書伺服器中獲取所述數字證書，並將所述數字
證書寫入所述USB Key。
本實施例中，所述USB Key30包括 接口模塊301，用於與所述本地設備31建立連接；
通訊模塊302，用於所述USB Key30與所述本地設備31之間的數據通信； 存儲^t塊303,用於存儲密鑰對、密鑰生成算法以及所述USB Key的標識信
白
密鑰生成模塊304，用於根據密鑰生成算法生成密鑰對。 所述本地i殳備31包括接口模塊311,用於將所述本地設備31與所述USB Key30以及本地設備31 與銀行卡建立連接； 輸入/輸出模塊312，用於信息的輸入/輸出； 運算模塊，313用於處理和解析數據； 存儲模塊314,用於存儲各種信息； 網絡控制模塊315，用於控制網絡連接；
查找模塊316,用於本地設備31根據銀行卡從銀行內部伺服器中查找與用戶 相關的信息，以及用於本地設備31查找所述USB Key是否存在沒有與數字證書 匹配的密鑰對；
通訊模塊317，用於所述本地設備31與所述安全終端32之間的數據通信； 生成模塊318，用於生成申請數字證書的請求；
驗證模塊319，用於本地設備31對USB Key30進行一驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行-瞼證以及對籤名等進行驗證；
寫入模塊3101，用於將接收到的數字證書寫入所述USB Key30中。
其中，所述輸入/輸出模塊312的結構與實施例二中輸入/輸出模塊212的結 構相同。
所述安全終端32包括
通訊模塊321，用於所述安全終端32與所述本地設備31之間的數據通信； 證書生成模塊322,用於所述安全終端32根據所述申請數字證書的請求生 成數字證書；
驗證模塊323，用於所述安全終端32根據所述申請數字證書的請求中的公 鑰對所述申請數字證書的請求中對籤名值進行驗證。
本實施例智能密鑰設備獲取數字證書的系統，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數字證書，使用戶不必自己下載數字證書，避免了下載數字證書的過程中因網絡通信故障，計算環境故障，未遵 守使用方針等故障導致下載數字證書失敗的麻煩，方便用戶直接獲取存儲有數
字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例四
本實施例提供一種智能密鑰設備獲取數字證書的系統，在本實施例中，以智 能密鑰設備為USB Key例來進行具體說明。
參看圖5所示，本實施例智能密鑰設備獲取數字證書的系統，包括
USBKey40，與所述USB Key相連的本地設備41,以及通過4艮行內部網絡與 所述本地設備相連的安全終端42，在所述本地設備31和所述安全終端32之間 還連接有安全中繼43;其中，所述本地設備21由銀行提供，所述安全中繼43 用於所述本地設備與所述安全終端之間的安全通信；
所述USB Key和所述本地設備按照預先約定的規則，才艮據所述USB Key生 成的密鑰對、所述USB Key的標識信息以及銀行卡的用戶信息生成申請數字證 書的請求，並將所述申請數字證書的請求發送給所述安全中繼，所述安全中繼 再將所述申請數字證書的請求轉發給所述安全終端；所述安全終端根據所述申 請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設 備；所述本地設備將所述數字證書寫入所述USB Key。
本實施例中，所述USB Key40包括
接口模塊401,用於與所述本地設備41建立連接；
通訊才莫塊402,用於所述USB Key40與所述本地設備41之間的數據通信； 存儲模塊403，用於存儲密鑰對、密鑰生成算法以及所述USB Key的標識信 息等各種信息；
18密鑰生成模塊404，用於根據密鑰生成算法生成密鑰對。 所述本地設備41包括
接口模塊411，用於將所述本地設備與所述USB Key進行連接；
輸入/輸出模塊412，用於信息的輸入/輸出；
運算模塊413,用於處理和解析數據；
存儲模塊414,用於存儲各種信息；
網絡控制模塊415 ，用於控制網絡連接；
查找模塊416 ，用於本地設備41根據銀行卡從銀行內部伺服器中查找與用戶 相關的信息，以及用於本地設備41查找所述USB Key是否存在沒有與數字證書 匹配的密鑰對；
通訊模塊417，用於所述本地設備41與所述安全終端42之間的數據通信； 生成模塊418，用於生成申請數字證書的請求；
驗證模塊419，用於本地設備41對USB Key40進行驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行—瞼證以及對籤名等進行—驗證；
寫入模塊4101，用於將接收到的數字證書寫入所述USB Key中。
其中，所述輸入/輸出模塊412的結構與實施例二中輸入/輸出模塊212的結 構相同。
所述安全終端42包括
通訊模塊421,用於所述安全終端42與所述本地設備41之間的數據通信； 證書生成模塊422，用於所述安全終端42根據所述申請數字證書的請求生 成數字證書；
驗證模塊423，用於所述安全終端42根據所述申請數字證書的請求中的公 鑰對所述申請數字證書的請求中對籤名值進行驗證。
本實施例智能密鑰設備獲取數字證書的系統，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數字證書，使用戶不必自己下載數字證書，避免了下載數字證書的過程中因網絡通信故障，計算環境故障，未遵 守使用方針等故障導致下載數字證書失敗的麻煩，方便用戶直接獲取存儲有數
字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例五
參看圖6所示，本實施例智能密鑰設備獲耳又數字證書的方法，包括步驟
550、 智能密鑰設備與本地設備進行連接；
551、
應密碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功， 則所述本地設備根據所述4艮行卡從內部存儲設備中查找與所述銀行卡相關的用 戶信息，並讓用戶對所述信息進行確認；
552、 所述智能密鑰設備生成密鑰對；
553、 所述本地設備和所述智能密鑰設備按照預先約定的規則根據所述密鑰 對以及所述用戶信息產生申請數字證書的請求，再將所述申請數字證書的請求
發送給所述安全終端；
554、 所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成
的所述數字證書發送給所述本地設備；
555、 所述本地設備將所述數字證書寫入所述智能密鑰設備。
本實施例智能密鑰設備獲取數字證書的方法，智能密鑰設備通過本地設備， 從與所述本地設備通過網絡相連的安全終端獲取數字證書，使用戶不必自己下 載數字證書，避免了下載數字證書的過程中因網絡通信故障，計算環境故障，未遵守使用方針等故障導致下載數字證書失敗的麻煩，方便用戶直接獲取存儲
有數字證書的智能密鑰設備；此外，還能避免用戶通過不安全的網絡下載數字 證書的過程中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全 網絡來獲取數字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例六
本實施例提供一種智能密鑰設備獲取數字證書的方法，在本實施例中，以智
能密鑰設備為USB Key例來進行具體說明。本實施例中，本地設備與安全終端
預先約定雙方互為信任方。
參考圖7所示，本實施例智能密鑰設備獲取數字證書的方法，包括步驟
560、 USB Key與本地設備進行連接；
561、 所述本地設備獲取所述USB Key的標識信息；
所述USB Key的標識信息為所述USB Key的^/f牛序列號，或所述USB Key 出廠時設置的數據信息或其它標識信息。
562、 所述本地設備對所述USB Key進行驗證，若驗證失敗，則本地設備向 用戶提示出錯信息，若驗證成功，則執行步驟S63;
所述本地設備對所述USB Key進行驗證的步驟具體為
所述本地設備將用戶lt入的PIN碼發送給所述USB Key,所述USB Key比 較所述接收到的PIN碼與自身內置的PIN碼是否一致，若一致，則驗證成功， 若不一致，則驗證失敗，驗證失敗時本地設備向用戶提示出錯信息；或
所述本地設備用內置的算法對所述USB Key的標識信息進行計算，得 到PIN碼並發送給所述USB Key,所述USB Key用內置的算法對所述標識信息進 行計算，得到PIN碼，再比較計算得到的PIN碼與接收到的PIN碼是否相同，若相同，則驗證成功，若不相同，則驗證失敗，驗證失敗時本地設備向用戶提 示出錯信息。
應當理解的是，所述本地設備對所述USB Key進行驗證的步驟，也可 以在所述USB Key與本地設備進行連接時進行。
S63、所述本地設備對USB Key驗證成功之後，提示用戶將銀行卡與本地設 備進行連接，並輸入相應的密碼；
S64、
應密碼進行驗證，若驗證失敗，則所述本地設備向用戶提示出錯信息，若驗證
成功，執行步驟S65。
其中，所述銀行卡為接觸式銀行卡、非接觸式銀行卡、帶有條形碼的銀行卡
或帶有磁頭的銀行卡等。
相應地，所述銀行卡與所述本地設備相連的方式具體為 通過所述本地設備的接觸式智慧卡設備將所述接觸式4艮行卡插入到所述本
地設備中，或
通過所述本地設備的非接觸式智慧卡設備將所述非接觸式銀行卡與所述本 地設備進行連接，或
通過所述本地設備的掃描設備將所述帶有條形碼的4艮行卡與所述本地設備 進行連接，或
通過所述本地設備的磁條設備將所述帶有磁頭的銀行卡與所述本地設備進 行連接。
S65、所述本地設備根據所述銀行卡從銀行內部伺服器中查找與所述銀行卡 相關的用戶信息，並讓用戶對所述信息進行確認；
其中，所述查找得到的用戶信息為用戶的身份證號、用戶的姓名、用戶的電話號碼、用戶的手^L號碼、用戶的家庭住址或用戶的郵箱地址中的一個或多 個的組合。
其中，所述本地設備讓用戶對所述信息進行確認包括 所述本地設備通過顯示屏將所述用戶信息顯示給所述用戶看；和/或
所述本地設備以語音發聲的方法將所述用戶信息讀給所述用戶聽。
待用戶對所述信息確認後，則所述USB Key才艮據如下步驟S66或S67生成
密鑰對。
對，若不存在，則執行步驟S67，若存在，則執行步驟S68。
在本實施例中，USB Key中可以存在多個密鑰對，相應地，也可以存在多個 與密鑰對相匹配的證書，證書之間不相互覆蓋。
567、 所述USB Key根據內置的密鑰生成算法生成密鑰對。
568、 所述本地設備和所述USB Key按照預先約定的規則根據所述密鑰對、 所述標識信息以及所述用戶信息產生申請數字證書的請求，再將所述申請數字 證書的請求發送給所述安全終端；
其中，所述預先約定的規則為所述本地設備先生成一個具有預定格式的 數據包，將所述數據包發給所述USB Key,所述USB Key用所述密鑰對中的私 鑰對所述數據包進行籤名，並將籤名後的籤名值發送給所述本地設備，所述本 地設備再將所述預定格式的數據包、所述籤名值以及所述籤名算法標識組合成 一個申請數字證書的請求。
其中，所述具有預定格式的數據包中包括所述密鑰對中的公鑰、數字證 書的用途信息、用戶信息和USB Key的標識信息等。
所述申請數字證書的請求中包括所述預定格式的數據包、用所述密鑰對識；
進一步地，所述數據信息包括所述密鑰對中的公鑰信息、數字證書的用途信
息、用戶信息和USB Key的標識信息。
S69、所述安全終端用接收到的所述申請數字證書的請求中的公鑰，對所述 申請數字證書請求中的籤名值進行驗證。若驗證成功，則執行步驟S610,若驗
證失敗，則安全終端不生成數字證書。
5610、 所述安全終端根據所述申請數字證書的請求生成數字證書，並將生
成的所述數字證書發送給所述本地設備；
所述安全終端根據所述申請數字證書的請求生成數字證書，並直接將所述 數字證書發送給所述本地設備；或者
所述安全終端根據所述申請數字證書的請求生成數字證書後，給所述本地設 備發送一個能夠下載所述數字證書的提示消息，所述本地設備接收到所述提示 消息後，從所述安全終端中下載所述數字證書。
其中，所述安全終端生成的數字證書中包含有用戶信息和USB Key的標識信
臺
5611、 所述本地設備獲取所述安全終端的公鑰；
所述本地設備在接收到的所述籤名後的數字證書後，從所述安全終端的根證 書中獲取所述安全終端的7>鑰。
5612、 所述本地設備用所述公鑰對所述接收到的數字證書進行驗證，若驗證 失敗，則本地設備向用戶提示出錯信息，若驗證成功，則執行步驟S613;
5613、 所述本地i殳備將所述數字證書寫入所述USB Key;所述本地設備將驗證成功的數字證書寫入所述USB Key中。
S614、在所述數字證書寫入失敗或成功時，所述本地設備或所述USB Key向
用戶提示寫入失敗信息或寫入成功信息。
在本實施例步驟614中，本地設備向用戶提示失敗信息或成功信息的方法包
括但不限於以下方法
本地設備通過語音發聲的方法向用戶提示失敗信息或成功信息；
本地設備通過彈出對話框的方法向用戶提示失敗信息或成功信息；
相應地，USB Key向用戶提示失敗信息或成功信息的方法包括但不限於以下
方法
USB Key通過語音發聲的方法向用戶提示失敗信息或成功信息； USB Key通過顯示對話框的方法向用戶提示失敗信息或成功信息。 本實施例USB Key獲取數字證書的方法，USB Key通過本地設備，從與所述 本地設備通過網絡相連的安全終端獲取數字證書，使用戶不必自己下載數字證 書，避免了下載數字證書的過程中因網絡通信故障，計算環境故障，未遵守使 用方針等故障導致下載數字證書失敗的麻煩，方便用戶直接獲取存儲有數字證 書的USB Key;此外，還能避免用戶通過不安全的網絡下載數字證書的過程中， 個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取數字 證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例七
參看圖8所示，本實施例智能密鑰設備獲取數字證書的方法與實施例五基 本相同，不同之處在於
在實施例五中，所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備具體為所述安全終端根據所述 申請數字證書的請求生成數字證書，並直接將所述數字證書發送給所述本地設 備；或者，所述安全終端根據所述申請數字證書的請求生成數字證書後，給所 述本地設備發送一個能夠下載所述數字證書的提示消息，所述本地設備接收到 所述提示消息後，從所述安全終端中下載所述數字證書。
在本實施例中，所述安全終端根據所述申請數字證書的請求生成數字證書， 並將生成的所述數字證書發送給所述本地設備具體為所述安全終端根據所述 申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給證書服務 器；所述本地設備從所述證書伺服器中獲取所述數字證書。
本實施例中的其它步驟和流程與實施例五相同，在此不再贅述。 實施例八
參看圖9所示，本實施例智能密鑰設備獲取數字證書的方法與實施例五也 基本相同，不同之處在於
在實施例五中，本地設備將所述申請數字證書的請求發送給所述安全終端； 所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數 字證書發送給所述本地設備。
在本實施例中，本地設備將所述申請數字證書的請求發送給所述安全中繼， 所述安全中繼再將所述申請數字證書的請求轉發給所述安全終端；相應地，所 述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字 證書發送給所述安全中繼，所述安全中繼再將所述^:字證書轉發給所述本地i殳 備。
本實施例中的其它步驟和流程與實施例五相同，在此不再贅述。
以上對本發明所提供的智能密鑰設備獲取數字證書的系統及方法進行了詳實施例的說明只是用於幫助理解本發明的方法及其核心思想；同時，對於本領 域的一般技術人員，依據本發明的思想，在具體實施方式
及應用範圍上均會有 改變之處，綜上，本說明書內容不應理解為對本發明的限制，凡在本發明的精 神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保 護範圍之內。
權利要求
1、一種智能密鑰設備獲取數字證書的系統，其特徵在於，包括智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所述本地設備相連的安全終端；其中，所述智能密鑰設備和所述本地設備按照預先約定的規則，根據所述智能密鑰設備生成的密鑰對以及銀行卡的用戶信息生成申請數字證書的請求，並將所述申請數字證書的請求發送給所述安全終端；所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備；所述本地設備將所述數字證書寫入所述智能密鑰設備。
2、 根據權利要求1所述的智能密鑰設備獲取數字證書的系統，其特徵在於， 所述智能密鑰設備包括接口模塊，用於與所述本地設備建立連接；通訊模塊，用於所述智能密鑰設備與所述本地設備之間的數據通信；存儲模塊，用於存儲密鑰對、密鑰生成算法以及所述智能密鑰設備的標識信白 ,&，密鑰生成模塊，用於根據密鑰生成算法生成密鑰對。
3、根據權利要求1所述的智能密鑰設備獲取數字證書的系統，其特徵在於， 所述本地設備包括接口模塊，用於將所述本地設備與所述智能密鑰設備以及所述本地設備與銀 行卡建立連接；輸入/輸出模塊，用於信息的輸入/輸出； 運算模塊，用於處理和解析數據； 網絡控制模塊，用於控制網絡連接；查找模塊，用於本地設備根據銀行卡從銀行內部伺服器中查找與用戶相關的 信息，以及用於本地設備查找所述智能密鑰設備中是否存在沒有與數字證書匹 配的密鑰對；通訊模塊，用於所述本地設備與所述安全終端之間的數據通信；生成模塊，用於生成申請數字證書的請求； 驗證模塊，用於對用戶的4艮行卡和用戶輸入的密碼進行驗證； 寫入模塊，用於將接收到的數字證書寫入所述智能密鑰設備中。
4、根據權利要求1所述的智能密鑰設備獲取數字證書的系統，其特徵在於， 所述安全終端包括通訊模塊，用於所述安全終端與所述本地設備之間的數據通信；證書生成模塊，用於所述安全終端根據所述申請數字證書的請求生成數字證書。
5、 根據權利要求4所述的智能密鑰設備獲取數字證書的系統，其特徵在於， 所述系統還包括證書伺服器，用於暫存所述數字證書；所述安全終端根據所述申請數字證書的請求生成證書，並將所述數字證書發 送給所述證書伺服器；所述本地設備從所述證書伺服器中獲取所述數字證書， 並將所述數字證書寫入所述智能密鑰設備。
6、 根據權利要求4所述的智能密鑰設備獲取數字證書的系統，其特徵在於， 所述系統還包括安全中繼，用於所述本地設備與所述安全終端之間的安全通信；所述本地設備將所述申請數字證書的請求發送給所述安全中繼，所述安全中 繼再將所述申請數字"^正書的請求轉發給所述安全終端；所述安全終端根據所述 申請數字證書的請求生成數字證書，並將所述數字證書發送給所述安全中繼，所述安全中繼再將所述數字證書轉發給所述本地設備。
7、 一種智能密鑰設備獲取數字證書的方法，其特徵在於，包括智能密鑰設備與本地設備進行連接；碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功，則所 述本地設備根據所述銀行卡銀行內部伺服器中查找與所述銀行卡相關的用戶信息，並等待用戶對所述信息進行確認； 所述智能密鑰設備生成密鑰對；所述本地設備和所述智能密鑰設備按照預先約定的規則根據所述密鑰對以 及所述用戶信息產生申請數字證書的請求，再將所述申請數字證書的請求發送 給所述安全終端；所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所 述數字證書發送給所述本地設備；所述本地設備將所述數字證書寫入所述智能密鑰設備。
8、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於， 所述智能密鑰設備與所述本地設備進行連接之後還包括所述本地設備獲取所述智能密鑰設備的標識信息。
9、 根據權利要求8所述的智能密鑰設備獲取數字證書的方法，其特徵在於， 所述智能密鑰設備的標識信息為所述智能密鑰設備的硬體序列號，或所述智能密鑰設備出廠時設置的數據信息。
10、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於， 在所述智能密鑰設備生成密鑰對之前，還包括所述本地設備對所述智能密鑰設備進行驗證的步驟。
11、 根據權利要求IO所述的智能密鑰設備獲取數字證書的方法，其特徵在 於，所述本地設備對所述智能密鑰設備進行驗證的步驟具體為所述本地設備將用戶輸入的PIN碼發送給所述智能密鑰設備，所述智能密鑰 設備比較所述接收到的PIN碼與自身內置的PIN碼是否一致，若一致，則驗證 成功，若不一致，則驗證失敗；或所述本地設備用內置的算法對所述智能密鑰設備的標識信息進行計算，得到PIN碼並發送給所述智能密鑰設備，所述智能密鑰設備用內置的算法對所述標識信息進行計算，得到PIN碼，再比較計算得到的PIN碼與接收到的PIN碼是否相同，若相同，則驗證成功，若不相同，則驗證失敗。
12、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述銀行卡為接觸式銀行卡、非接觸式銀行卡、帶有條形碼的銀行卡或帶有磁頭的銀行卡。
13、 根據權利要求12所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述銀行卡與所述本地設備相連的方式具體為通過所述本地設備的接觸式智慧卡設備將所述接觸式銀行卡插入到所述本地設備中，或通過所述本地設備的非接觸式智慧卡設備將所述非接觸式銀行卡與所述本地設備進行連接，或通過所述本地設備的掃描設備將所述帶有條形碼的銀行卡與所述本地設備進行連接，或通過所述本地設備的磁條設備將所述帶有磁頭的銀行卡與所述本地設備進行連接。
14、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述查找得到的用戶信息為用戶的身份i正號、用戶的姓名、用戶的電話號碼、用戶的手機號碼、用戶的家庭住址或用戶的郵箱地址中的 一個或多個的組合。
15、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備讓用戶對所述信息進行確認包括所述本地設備通過顯示屏將所述用戶信息顯示給所述用戶看；和/或所述本地設備以語音發聲的方法將所述用戶信息讀給所述用戶聽。
16、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述智能密鑰設備生成密鑰對具體為所述本地設備判斷所述智能密鑰設備中是否存在沒有數字證書匹配的密鑰對，若存在，則執行下一步操作，若不存在，則所述智能密鑰設備根據內置的密鑰生成算法生成密鑰對，再執行下一步操作。
17、 根據權利要求7所述的智能密鑰設備荻取數字證書的方法，其特徵在於，所述預先約定的規則為所述本地設備先生成一個具有預定格式的數據包，將所述數據包發給所述智能密鑰設備，所述智能密鑰設備用所述密鑰對中的私鑰對所述數據包進行籤名，並將所述對數據包進行籤名後的籤名值發送給所述本地設備，所述本地設備再將所述數據包、所述籤名值以及籤名算法標識組合成一個申請數字證書的請求。
18、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述具有預定格式的數據包中包括密鑰對中的公鑰、數字證書的用途信息和用戶信息。
19、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述申請數字證書的請求中包括所述具有預定格式的數據包、用所述密鑰對中的私鑰對所述數據包進行籤名後的籤名值以及籤名算法標識。
20、 根據權利要求19所述的智能密鑰設備獲取數字證書的方法，其特徵在於，在所述本地設備將所述申請數字證書的請求發送給所述安全終端與所述安全終端根據所述申請數字證書的請求生成數字證書之間包括所述安全終端用接收到的所述申請數字證書的請求中的公鑰，對所述申請數字證書的請求中的籤名值進行驗證。
21、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述安全終端生成的數字"i正書中包含有用戶信息。
22、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備具體為所述安全終端根據所述申請數字證書的請求生成數字證書，並直接將所述數字證書發送給所述本地設備；或者所述安全終端根據所述申請數字證書的請求生成數字證書後，給所述本地設備發送一個能夠下載所述數字證書的提示消息，所述本地設備接收到所述提示消息後，從所述安全終端中下載所述數字證書。
23、 根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備具體為所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給證書伺服器；所述本地設備從所述證書伺服器中獲取所述數字證書。
24、根據權利要求7所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備將所迷申請數字證書的請求發送給所述安全終端具體為所述本地設備將所述申請數字證書的請求發送給所述安全中繼，所述安全中繼再將所述申請數字證書的請求轉發給所述安全終端；相應地，所述安全終端根據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述本地設備具體為所述安全終端才艮據所述申請數字證書的請求生成數字證書，並將生成的所述數字證書發送給所述安全中繼，所述安全中繼再將所述數字證書轉發給所述本地設備。
25、 根據權利要求7、 22、 23或24所述的智能密鑰設備獲取數字證書的方法，其特徵在於，在所述本地設備將所述數字證書寫入所述智能密鑰設備之前,包括所述本地設備獲取所述安全終端的公鑰的步驟。
26、 根據權利要求25所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備獲取所述安全終端的公鑰的步驟具體為所述本地設備在接收到的所述籤名後的數字證書後，從所述安全終端的根證書中獲取所述安全終端的公鑰。
27、 根據權利要求26所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備將所述數字證書寫入所述智能密鑰設備之前還包括所述本地設備用所述公鑰對所述接收到的數字證書進行驗證。
28、 根據權利要求27所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備將所述數字證書寫入所述智能密鑰設備具體為所述本地設備將驗證成功的數字證書寫入所述智能密鑰設備。
29、 根據權利要求28所述的智能密鑰設備獲取數字證書的方法，其特徵在於，所述本地設備將所述數字證書寫入所述智能密鑰設備之後還包括在所述數字證書寫入失敗時，所述本地設備或所述智能密鑰設備向用戶提示寫入失敗信息。
全文摘要
本發明公開了一種智能密鑰設備獲取數字證書的系統及方法，涉及數字證書技術領域，為減少用戶自己下載數字證書的麻煩，同時保障了用戶私密信息在網絡傳輸過程中的安全性。智能密鑰設備獲取數字證書的系統包括智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所述本地設備相連的安全終端。本發明適用於智能密鑰設備對數字證書的獲取。
文檔編號H04L9/32GK101527633SQ20081024705
公開日2009年9月9日 申請日期2008年12月31日 優先權日2008年12月31日
發明者於華章, 舟 陸 申請人:北京飛天誠信科技有限公司