CN101527633B - 智能密钥设备获取数字证书的方法 - Google Patents
智能密钥设备获取数字证书的方法 Download PDFInfo
- Publication number
- CN101527633B CN101527633B CN200810247053.8A CN200810247053A CN101527633B CN 101527633 B CN101527633 B CN 101527633B CN 200810247053 A CN200810247053 A CN 200810247053A CN 101527633 B CN101527633 B CN 101527633B
- Authority
- CN
- China
- Prior art keywords
- local device
- digital certificate
- user
- intelligent
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种智能密钥设备获取数字证书的系统及方法,涉及数字证书技术领域,为减少用户自己下载数字证书的麻烦,同时保障了用户私密信息在网络传输过程中的安全性。智能密钥设备获取数字证书的系统包括:智能密钥设备,与所述智能密钥设备相连的本地设备,以及通过网络与所述本地设备相连的安全终端。本发明适用于智能密钥设备对数字证书的获取。
Description
技术领域
本发明涉及数字证书技术领域,特别涉及一种智能密钥设备获取数字证书的方法。
背景技术
随着信息网络技术的高速发展,网络安全问题已经成为目前最大的网络安全隐患,网上银行、网络游戏、支付平台、网上证券交易等各方面,密码无处不在,带给人们更多的安全。但是密码在给人们必要的安全保障的同时,也存在一些问题,一旦密码丢失或被盗,则带来很多的麻烦。现有技术中时常发生的网络密码被盗,木马病毒,自我保护意识差被网络钓鱼,或者密码被暴力破解等都是造成密码安全问题的因素,为此有必要采取一些密码安全的保障措施,为保护网上密码增设一道屏障。智能密钥设备是一种通过标准的个人主机接口(如USB接口等),提供信息加密处理的便携式设备,利用它能够提高身份认证强度,它内置单片机或智能卡芯片,可以存储密钥或数字证书,利用其内置的密码算法可以对信息加密或进行身份识别等。智能密钥设备具有PKI应用、数字签名、信息加密、安全网络登录和访问SSL(Secure Sockets Layer,安全套接字层)安全网络等功能,并且具有保证用户的私钥永远不离开硬件的特征,同时智能密钥设备还具有物理上防止非法获取其内部敏感信息等特性。
PKI(Public Key Infrastructure,公钥基础设施)是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。PKI技术采用证书管理公钥,通过第三方的可信任机构-CA认证中心把用户的公钥和用户的其他标识信息捆绑在一 起,在互联网上验证用户的身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。
CA认证中心是一个负责发放和管理数字证书的权威机构。CA认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。CA认证中心的主要功能:证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。
现有技术中,用户智能密钥设备的持有者通常执行如下步骤来获得合法的数字证书:首先向CA提出申请,将用户身份信息和智能密钥设备的硬件信息发送给CA;CA判明申请者的身份及后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息及智能密钥设备的硬件信息绑在一起,并为之签字后,便形成证书发给智能密钥设备的持有者。这样以来,该智能密钥设备中便保存了CA颁发的证书。
这种技术的不足指出在于,增加了用户的操作烦琐性,用户在拿到智能密钥设备后,必须通过计算机网络执行证书下载的过程,而在此过程中,很容易出现信息错误的情况,或者因为网络故障导致用户无法在第一时间获取合法的数字证书。
发明内容
本发明的目的在于提供一种智能密钥设备获取数字证书的方法,能够减少用户自己下载数字证书的麻烦,同时能够保障用户私密信息在网络传输过程中的 安全性。
为达到上述目的,本发明智能密钥设备获取数字证书的方法采用的技术方案为:
一种智能密钥设备获取数字证书的方法,包括:
智能密钥设备与本地设备进行连接,所述本地设备获取所述智能密钥设备的标识信息;
所述本地设备对所述智能密钥设备进行验证,若验证失败,则所述本地设备提示出错信息,若验证成功,则所述本地设备提示用户将银行卡与本地设备连接,并输入相应的密码;
所述本地设备对用户的银行卡以及用户输入的相应密码进行验证,若验证失败,则所述本地设备提示出错信息,若验证成功,则所述本地设备根据所述银行卡从银行内部服务器中查找与所述银行卡相关的用户信息,并等待用户对所述信息进行确认;
待用户对所述信息确认后,所述本地设备判断所述智能密钥设备中是否存在与数字证书匹配的密钥对,若存在,则执行下一步操作,若不存在,则所述智能密钥设备根据内置的密钥生成算法生成密钥对,再执行下一步操作;
所述本地设备和所述智能密钥设备按照预先约定的规则根据所述密钥对以及所述用户信息产生申请数字证书的请求,其中所述本地设备生成一个具有预定格式的数据包,将所述数据包发给所述智能密钥设备,所述智能密钥设备用所述密钥对中的私钥对所述数据包进行签名,并将所述对数据包进行签名后的签名值发送给所述本地设备,所述本地设备再将所述数据包、所述签名值以及签名算法标识组合成一个申请数字证书的请求,再将所述申请数字证书的请求通过内部网络发送给所述安全终端;所述申请数字证书的请求中包括:所述具 有预定格式的数据包、用所述密钥对中的私钥对所述数据包进行签名后的签名值以及签名算法标识;所述具有预定格式的数据包中包括:密钥对中的公钥、数字证书的用途信息和用户信息;
所述安全终端用接收到的所述中请数字证书的请求中的公钥,对所述申请数字证书的请求中的签名值进行验证;
若验证成功,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备;
所述本地设备利用预先得到的所述安全终端的公钥,对接收到的数字证书进行验证;
若验证成功,所述本地设备将验证成功的数字证书写入所述智能密钥设备;
在所述数字证书写入失败时,所述本地设备或所述智能密钥设备向用户提示写入失败信息。
本发明提供的方法,智能密钥设备通过本地设备,从安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的智能密钥设备;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
附图说明
图1为本发明实施例一提供的一种智能密钥设备获取数字证书的系统示意图;
图2为本发明实施例二提供的一种智能密钥设备获取数字证书的系统示意图;
图3为本发明实施例二中本地设备的输入/输出模块结构示意图;
图4为本发明实施例三提供的一种智能密钥设备获取数字证书的系统示意图;
图5为本发明实施例四提供的一种智能密钥设备获取数字证书的系统示意图;
图6为本发明实施例五提供的一种智能密钥设备获取数字证书的方法流程图;
图7为本发明实施例六提供的一种智能密钥设备获取数字证书的方法流程图;
图8为本发明实施例七提供的一种智能密钥设备获取数字证书的方法流程图。
具体实施方式
本发明旨在提供一种能够减少操作繁琐性、并能保障用户私密信息在网络传输过程中的安全性的智能密钥设备获取数字证书的方法,下面结合附图对本发明实施例做详细说明。
实施例一
参看图1所示,本实施例提供一种智能密钥设备获取数字证书的系统,包括:
智能密钥设备10,与所述智能密钥设备相连的本地设备11,以及通过网络与所述本地设备相连的安全终端12;其中,
所述智能密钥设备10和所述本地设备11按照预先约定的规则,根据所述智能密钥设备10生成的密钥对以及银行卡的用户信息生成申请数字证书的请求,并将所述申请数字证书的请求发送给所述安全终端12;所述安全终端12根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备11;所述本地设备11将所述数字证书写入所述智能密钥设备10。
本发明提供的智能密钥设备获取数字证书的系统,智能密钥设备通过本地设备,从安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的智能密钥设备;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例二
本实施例提供一种智能密钥设备获取数字证书的系统,在本实施例中,以智能密钥设备为USB Key例来进行具体说明。
参看图2所示,本实施例智能密钥设备获取数字证书的系统,包括:
USB Key20,与所述USB Key相连的本地设备21,以及通过网络(比如银行内部网络)与所述本地设备相连的安全终端22;其中,所述本地设备21由银行提供;
所述USB Key20和所述本地设备21按照预先约定的规则,根据所述USBKey20生成的密钥对、所述USB Key20的标识信息以及银行卡的用户信息生成申请数字证书的请求,并将所述申请数字证书的请求发送给所述安全终端22;所述安全终端22根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备21;所述本地设备21将所述数字证书写入所述USBKey20。
本实施例中,所述USB Key20包括:
接口模块201,用于与所述本地设备21建立连接;
通讯模块202,用于所述USB Key20与所述本地设备21之间的数据通信;
存储模块203,用于存储密钥对、密钥生成算法以及所述USB Key的标识信息等各种信息;
密钥生成模块204,用于根据密钥生成算法生成密钥对。
所述本地设备21包括:
接口模块211,用于将所述本地设备21与所述USB Key20以及本地设备与银行卡建立连接;
输入/输出模块212,用于信息的输入/输出;
运算模块213,用于处理和解析数据;
存储模块214,用于存储各种信息;
网络控制模块215,用于控制网络连接;
查找模块216,用于本地设备21根据银行卡从内银行内部服务器中查找与用户相关的信息,以及用于本地设备21查找所述USB Key20是否存在没有与数字证书匹配的密钥对;
通讯模块217,用于所述本地设备21与所述安全终端22之间的数据通信;
生成模块218,用于本地设备21根据USB Key20中的密钥对以及USB Key20的标识信息产生一个申请数字证书的请求;
验证模块219,用于本地设备21对USB Key20进行验证、对用户的银行卡和用户输入的相应密码进行验证以及对签名等进行验证;
写入模块2101,用于将接收到的数字证书写入所述USB Key20中。
其中,参看图3所示,所述输入/输出模块212包括:
键盘单元2121,用于通过键盘进行输入;
扫描单元2122,用于通过条形码扫描设备进行输入;
磁条单元2123,用于通过磁条设备进行输入;
接触式智能卡单元2124,用于通过接触式智能卡进行输入;
非接触式智能卡单元2125,用于通过非接触式智能卡进行输入;
显示单元2126,用于将相关信息显示出来;
发声单元2127,用于以发声的方式将相关信息显示出来。
所述安全终端22包括:
通讯模块221,用于所述安全终端22与所述本地设备21之间的数据通信;
证书生成模块222,用于所述安全终端22根据所述申请数字证书的请求生成数字证书;
验证模块223,用于所述安全终端22根据所述申请数字证书的请求中的公钥对所述申请数字证书的请求中签名值进行验证。
本实施例智能密钥设备获取数字证书的系统,USB Key通过本地设备,从与所述本地设备通过网络相连的安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接荻取存储有数字证书的USB Key;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例三
本实施例提供一种智能密钥设备获取数字证书的系统,在本实施例中,以智能密钥设备为USB Key例来进行具体说明。
参看图4所示,本实施例智能密钥设备获取数字证书的系统,包括:
USB Key30,与所述USB Key相连的本地设备31,以及通过网络(比如银行内部网络)与所述本地设备相连的安全终端32,在所述本地设备31和所述安全终端32之间还连接有证书服务器33;其中,所述本地设备31由银行提供,所述证书服务器33用于暂存所述数字证书;
所述USB Key和所述本地设备按照预先约定的规则,根据所述USB Key生成的密钥对、所述USB Key的标识信息以及银行卡的用户信息生成申请数字证书的请求,并将所述申请数字证书的请求发送给所述安全终端;所述安全终端根 据所述申请数字证书的请求生成数字证书,并将所述数字证书发送给所述证书服务器;所述本地设备从所述证书服务器中获取所述数字证书,并将所述数字证书写入所述USB Key。
本实施例中,所述USB Key30包括:
接口模块301,用于与所述本地设备31建立连接;
通讯模块302,用于所述USB Key30与所述本地设备31之间的数据通信;
存储模块303,用于存储密钥对、密钥生成算法以及所述USB Key的标识信息;
密钥生成模块304,用于根据密钥生成算法生成密钥对。
所述本地设备31包括:
接口模块311,用于将所述本地设备31与所述USB Key30以及本地设备31与银行卡建立连接;
输入/输出模块312,用于信息的输入/输出;
运算模块,313用于处理和解析数据;
存储模块314,用于存储各种信息;
网络控制模块315,用于控制网络连接;
查找模块316,用于本地设备31根据银行卡从银行内部服务器中查找与用户相关的信息,以及用于本地设备31查找所述USB Key是否存在没有与数字证书匹配的密钥对;
通讯模块317,用于所述本地设备31与所述安全终端32之间的数据通信;
生成模块318,用于生成申请数字证书的请求;
验证模块319,用于本地设备31对USB Key30进行验证、对用户的银行卡和用户输入的相应密码进行验证以及对签名等进行验证;
写入模块3101,用于将接收到的数字证书写入所述USB Key30中。
其中,所述输入/输出模块312的结构与实施例二中输入/输出模块212的结 构相同。
所述安全终端32包括:
通讯模块321,用于所述安全终端32与所述本地设备31之间的数据通信;
证书生成模块322,用于所述安全终端32根据所述申请数字证书的请求生成数字证书;
验证模块323,用于所述安全终端32根据所述申请数字证书的请求中的公钥对所述申请数字证书的请求中对签名值进行验证。
本实施例智能密钥设备获取数字证书的系统,USB Key通过本地设备,从与所述本地设备通过网络相连的安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的USB Key;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例四
本实施例提供一种智能密钥设备获取数字证书的系统,在本实施例中,以智能密钥设备为USB Key例来进行具体说明。
参看图5所示,本实施例智能密钥设备获取数字证书的系统,包括:
USB Key40,与所述USB Key相连的本地设备41,以及通过银行内部网络与所述本地设备相连的安全终端42,在所述本地设备31和所述安全终端32之间还连接有安全中继43;其中,所述本地设备21由银行提供,所述安全中继43用于所述本地设备与所述安全终端之间的安全通信;
所述USB Key和所述本地设备按照预先约定的规则,根据所述USB Key生 成的密钥对、所述USB Key的标识信息以及银行卡的用户信息生成申请数字证书的请求,并将所述申请数字证书的请求发送给所述安全中继,所述安全中继再将所述申请数字证书的请求转发给所述安全终端;所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备;所述本地设备将所述数字证书写入所述USB Key。
本实施例中,所述USB Key40包括:
接口模块401,用于与所述本地设备41建立连接;
通讯模块402,用于所述USB Key40与所述本地设备41之间的数据通信;
存储模块403,用于存储密钥对、密钥生成算法以及所述USB Key的标识信息等各种信息;
密钥生成模块404,用于根据密钥生成算法生成密钥对。
所述本地设备41包括:
接口模块411,用于将所述本地设备与所述USB Key进行连接;
输入/输出模块412,用于信息的输入/输出;
运算模块413,用于处理和解析数据;
存储模块414,用于存储各种信息;
网络控制模块415,用于控制网络连接;
查找模块416,用于本地设备41根据银行卡从银行内部服务器中查找与用户相关的信息,以及用于本地设备41查找所述USB Key是否存在没有与数字证书匹配的密钥对;
通讯模块417,用于所述本地设备41与所述安全终端42之间的数据通信;
生成模块418,用于生成申请数字证书的请求;
验证模块419,用于本地设备41对USB Key40进行验证、对用户的银行卡和用户输入的相应密码进行验证以及对签名等进行验证;
写入模块4101,用于将接收到的数字证书写入所述USB Key中。
其中,所述输入/输出模块412的结构与实施例二中输入/输出模块212的结 构相同。
所述安全终端42包括:
通讯模块421,用于所述安全终端42与所述本地设备41之间的数据通信;
证书生成模块422,用于所述安全终端42根据所述申请数字证书的请求生成数字证书;
验证模块423,用于所述安全终端42根据所述申请数字证书的请求中的公钥对所述申请数字证书的请求中对签名值进行验证。
本实施例智能密钥设备获取数字证书的系统,USB Key通过本地设备,从与所述本地设备通过网络相连的安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的USB Key;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例五
参看图6所示,本实施例智能密钥设备获取数字证书的方法,包括步骤:
S50、智能密钥设备与本地设备进行连接;
S51、所述本地设备对与该本地设备相连的用户的银行卡以及用户输入的相应密码进行验证,若验证失败,则所述本地设备提示出错信息,若验证成功,则所述本地设备根据所述银行卡从内部存储设备中查找与所述银行卡相关的用户信息,并让用户对所述信息进行确认;
S52、所述智能密钥设备生成密钥对;
S53、所述本地设备和所述智能密钥设备按照预先约定的规则根据所述密钥对以及所述用户信息产生申请数字证书的请求,再将所述申请数字证书的请求发送给所述安全终端;
S54、所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备;
S55、所述本地设备将所述数字证书写入所述智能密钥设备。
本实施例智能密钥设备获取数字证书的方法,智能密钥设备通过本地设备,从与所述本地设备通过网络相连的安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的智能密钥设备;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例六
本实施例提供一种智能密钥设备获取数字证书的方法,在本实施例中,以智能密钥设备为USB Key例来进行具体说明。本实施例中,本地设备与安全终端预先约定双方互为信任方。
参考图7所示,本实施例智能密钥设备获取数字证书的方法,包括步骤:
S60、USB Key与本地设备进行连接;
S61、所述本地设备获取所述USB Key的标识信息;
所述USB Key的标识信息为所述USB Key的硬件序列号,或所述USB Key出厂时设置的数据信息或其它标识信息。
S62、所述本地设备对所述USB Key进行验证,若验证失败,则本地设备向用户提示出错信息,若验证成功,则执行步骤S63;
所述本地设备对所述USB Key进行验证的步骤具体为:
所述本地设备将用户输入的PIN码发送给所述USB Key,所述USB Key比较所述接收到的PI N码与自身内置的PI N码是否一致,若一致,则验证成功,若不一致,则验证失败,验证失败时本地设备向用户提示出错信息;或
所述本地设备用内置的算法对所述USB Key的标识信息进行计算,得到PIN码并发送给所述USB Key,所述USB Key用内置的算法对所述标识信息进行计算,得到PI N码,再比较计算得到的PI N码与接收到的PI N码是否相同,若相同,则验证成功,若不相同,则验证失败,验证失败时本地设备向用户提示出错信息。
应当理解的是,所述本地设备对所述USB Key进行验证的步骤,也可以在所述USB Key与本地设备进行连接时进行。
S63、所述本地设备对USB Key验证成功之后,提示用户将银行卡与本地设备进行连接,并输入相应的密码;
S64、所述本地设备对与该本地设备相连的用户的银行卡以及用户输入的相应密码进行验证,若验证失败,则所述本地设备向用户提示出错信息,若验证成功,执行步骤S65。
其中,所述银行卡为接触式银行卡、非接触式银行卡、带有条形码的银行卡或带有磁头的银行卡等。
相应地,所述银行卡与所述本地设备相连的方式具体为:
通过所述本地设备的接触式智能卡设备将所述接触式银行卡插入到所述本地设备中,或
通过所述本地设备的非接触式智能卡设备将所述非接触式银行卡与所述本地设备进行连接,或
通过所述本地设备的扫描设备将所述带有条形码的银行卡与所述本地设备进行连接,或
通过所述本地设备的磁条设备将所述带有磁头的银行卡与所述本地设备进行连接。
S65、所述本地设备根据所述银行卡从银行内部服务器中查找与所述银行卡相关的用户信息,并让用户对所述信息进行确认;
其中,所述查找得到的用户信息为用户的身份证号、用户的姓名、用户的电话号码、用户的手机号码、用户的家庭住址或用户的邮箱地址中的一个或多个的组合。
其中,所述本地设备让用户对所述信息进行确认包括:
所述本地设备通过显示屏将所述用户信息显示给所述用户看;和/或所述本地设备以语音发声的方法将所述用户信息读给所述用户听。
待用户对所述信息确认后,则所述USB Key根据如下步骤S66或S67生成密钥对。
S66、所述本地设备判断所述USB Key中是否存在没有数字证书匹配的密钥对,若不存在,则执行步骤S67,若存在,则执行步骤S68。
在本实施例中,USB Key中可以存在多个密钥对,相应地,也可以存在多个与密钥对相匹配的证书,证书之间不相互覆盖。
S67、所述USB Key根据内置的密钥生成算法生成密钥对。
S68、所述本地设备和所述USB Key按照预先约定的规则根据所述密钥对、所述标识信息以及所述用户信息产生申请数字证书的请求,再将所述申请数字 证书的请求发送给所述安全终端;
其中,所述预先约定的规则为:所述本地设备先生成一个具有预定格式的数据包,将所述数据包发给所述USB Key,所述USB Key用所述密钥对中的私钥对所述数据包进行签名,并将签名后的签名值发送给所述本地设备,所述本地设备再将所述预定格式的数据包、所述签名值以及所述签名算法标识组合成一个申请数字证书的请求。
其中,所述具有预定格式的数据包中包括:所述密钥对中的公钥、数字证书的用途信息、用户信息和USB Key的标识信息等。
所述申请数字证书的请求中包括:所述预定格式的数据包、用所述密钥对中的私钥对所述所述预定格式的数据包进行签名后的签名值以及签名算法标识;
进一步地,所述数据信息包括所述密钥对中的公钥信息、数字证书的用途信息、用户信息和USB Key的标识信息。
S69、所述安全终端用接收到的所述申请数字证书的请求中的公钥,对所述申请数字证书请求中的签名值进行验证。若验证成功,则执行步骤S610,若验证失败,则安全终端不生成数字证书。
S610、所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备;
所述安全终端根据所述申请数字证书的请求生成数字证书,并直接将所述数字证书发送给所述本地设备;或者
所述安全终端根据所述申请数字证书的请求生成数字证书后,给所述本地设备发送一个能够下载所述数字证书的提示消息,所述本地设备接收到所述提示消息后,从所述安全终端中下载所述数字证书。
其中,所述安全终端生成的数字证书中包含有用户信息和USB Key的标识信息。
S611、所述本地设备获取所述安全终端的公钥;
所述本地设备预先从所述安全终端中获取所述安全终端的公钥;或
所述本地设备在接收到的所述签名后的数字证书后,从所述安全终端的根证书中获取所述安全终端的公钥。
S612、所述本地设备用所述公钥对所述接收到的数字证书进行验证,若验证失败,则本地设备向用户提示出错信息,若验证成功,则执行步骤S613;
S613、所述本地设备将所述数字证书写入所述USB Key;
所述本地设备将验证成功的数字证书写入所述USB Key中。
S614、在所述数字证书写入失败或成功时,所述本地设备或所述USB Key向用户提示写入失败信息或写入成功信息。
在本实施例步骤614中,本地设备向用户提示失败信息或成功信息的方法包括但不限于以下方法:
本地设备通过语音发声的方法向用户提示失败信息或成功信息;
本地设备通过弹出对话框的方法向用户提示失败信息或成功信息;
相应地,USB Key向用户提示失败信息或成功信息的方法包括但不限于以下方法:
USB Key通过语音发声的方法向用户提示失败信息或成功信息;
USB Key通过显示对话框的方法向用户提示失败信息或成功信息。
本实施例USB Key获取数字证书的方法,USB Key通过本地设备,从与所述本地设备通过网络相连的安全终端获取数字证书,使用户不必自己下载数字证书,避免了下载数字证书的过程中因网络通信故障,计算环境故障,未遵守使 用方针等故障导致下载数字证书失败的麻烦,方便用户直接获取存储有数字证书的USB Key;此外,还能避免用户通过不安全的网络下载数字证书的过程中,个人私密信息被截获的安全隐患,使用户得以通过专用的安全网络来获取数字证书,保障了用户私密信息在网络传输过程中的安全性。
实施例七
参看图8所示,本实施例智能密钥设备获取数字证书的方法与实施例五基本相同,不同之处在于:
在实施例五中,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备具体为:所述安全终端根据所述申请数字证书的请求生成数字证书,并直接将所述数字证书发送给所述本地设备;或者,所述安全终端根据所述申请数字证书的请求生成数字证书后,给所述本地设备发送一个能够下载所述数字证书的提示消息,所述本地设备接收到所述提示消息后,从所述安全终端中下载所述数字证书。
在本实施例中,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备具体为:所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给证书服务器;所述本地设备从所述证书服务器中获取所述数字证书。
本实施例中的其它步骤和流程与实施例五相同,在此不再赘述。
实施例八
参看图9所示,本实施例智能密钥设备获取数字证书的方法与实施例五也基本相同,不同之处在于:
在实施例五中,本地设备将所述申请数字证书的请求发送给所述安全终端;所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数 字证书发送给所述本地设备。
在本实施例中,本地设备将所述申请数字证书的请求发送给所述安全中继,所述安全中继再将所述申请数字证书的请求转发给所述安全终端;相应地,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述安全中继,所述安全中继再将所述数字证书转发给所述本地设备。
本实施例中的其它步骤和流程与实施例五相同,在此不再赘述。
以上对本发明所提供的智能密钥设备获取数字证书的系统及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种智能密钥设备获取数字证书的方法,其特征在于,包括:
智能密钥设备与本地设备进行连接,所述本地设备获取所述智能密钥设备的标识信息;
所述本地设备对所述智能密钥设备进行验证,若验证失败,则所述本地设备提示出错信息,若验证成功,则所述本地设备提示用户将银行卡与本地设备连接,并输入相应的密码;
所述本地设备对用户的银行卡以及用户输入的相应密码进行验证,若验证失败,则所述本地设备提示出错信息,若验证成功,则所述本地设备根据所述银行卡从银行内部服务器中查找与所述银行卡相关的用户信息,并等待用户对所述信息进行确认;
待用户对所述信息确认后,所述本地设备判断所述智能密钥设备中是否存在与数字证书匹配的密钥对,若存在,则执行下一步操作,若不存在,则所述智能密钥设备根据内置的密钥生成算法生成密钥对,再执行下一步操作;
所述本地设备和所述智能密钥设备按照预先约定的规则根据密钥对以及所述用户信息产生申请数字证书的请求,其中所述本地设备生成一个具有预定格式的数据包,将所述数据包发给所述智能密钥设备,所述智能密钥设备用所述密钥对中的私钥对所述数据包进行签名,并将所述对数据包进行签名后的签名值发送给所述本地设备,所述本地设备再将所述数据包、所述签名值以及签名算法标识组合成一个申请数字证书的请求,再将所述申请数字证书的请求通过内部网络发送给安全终端;所述申请数字证书的请求中包括:所述具有预定格式的数据包、用所述密钥对中的私钥对所述数据包进行签名后的签名值以及签名算法标识;所述具有预定格式的数据包中包括:密钥对中的公钥、数字证书的用途信息和用户信息;
所述安全终端用接收到的所述申请数字证书的请求中的公钥,对所述申请数字证书的请求中的签名值进行验证;
若验证成功,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备;
所述本地设备利用预先得到的所述安全终端的公钥,对接收到的数字证书进行验证;
若验证成功,所述本地设备将验证成功的数字证书写入所述智能密钥设备;
在所述数字证书写入失败时,所述本地设备或所述智能密钥设备向用户提示写入失败信息。
2.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述智能密钥设备的标识信息为所述智能密钥设备的硬件序列号,或所述智能密钥设备出厂时设置的数据信息。
3.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述本地设备对所述智能密钥设备进行验证的步骤具体为:
所述本地设备将用户输入的PIN码发送给所述智能密钥设备,所述智能密钥设备比较所述接收到的PIN码与自身内置的PIN码是否一致,若一致,则验证成功,若不一致,则验证失败;或
所述本地设备用内置的算法对所述智能密钥设备的标识信息进行计算,得到PIN码并发送给所述智能密钥设备,所述智能密钥设备用内置的算法对所述标识信息进行计算,得到PIN码,再比较计算得到的PIN码与接收到的PIN码是否相同,若相同,则验证成功,若不相同,则验证失败。
4.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,
所述银行卡为接触式银行卡、非接触式银行卡、带有条形码的银行卡或带有磁头的银行卡。
5.根据权利要求4所述的智能密钥设备获取数字证书的方法,其特征在于,所述银行卡与所述本地设备相连的方式具体为:
通过所述本地设备的接触式智能卡设备将所述接触式银行卡插入到所述本地设备中,或
通过所述本地设备的非接触式智能卡设备将所述非接触式银行卡与所述本地设备进行连接,或
通过所述本地设备的扫描设备将所述带有条形码的银行卡与所述本地设备进行连接,或
通过所述本地设备的磁条设备将所述带有磁头的银行卡与所述本地设备进行连接。
6.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述查找得到的用户信息为用户的身份证号、用户的姓名、用户的电话号码、用户的手机号码、用户的家庭住址或用户的邮箱地址中的一个或多个的组合。
7.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述本地设备让用户对所述信息进行确认包括:
所述本地设备通过显示屏将所述用户信息显示给所述用户看;和/或
所述本地设备以语音发声的方法将所述用户信息读给所述用户听。
8.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述安全终端生成的数字证书中包含有用户信息。
9.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备具体为:
所述安全终端根据所述申请数字证书的请求生成数字证书,并直接将所述数字证书发送给所述本地设备;或者
所述安全终端根据所述申请数字证书的请求生成数字证书后,给所述本地设备发送一个能够下载所述数字证书的提示消息,所述本地设备接收到所述提示消息后,从所述安全终端中下载所述数字证书。
10.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备具体为:
所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给证书服务器;
所述本地设备从所述证书服务器中获取所述数字证书。
11.根据权利要求1所述的智能密钥设备获取数字证书的方法,其特征在于,所述本地设备将所述申请数字证书的请求发送给所述安全终端具体为:
所述本地设备将所述申请数字证书的请求发送给所述安全中继,所述安全中继再将所述申请数字证书的请求转发给所述安全终端;
相应地,所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述本地设备具体为:
所述安全终端根据所述申请数字证书的请求生成数字证书,并将生成的所述数字证书发送给所述安全中继,所述安全中继再将所述数字证书转发给所述本地设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247053.8A CN101527633B (zh) | 2008-12-31 | 2008-12-31 | 智能密钥设备获取数字证书的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247053.8A CN101527633B (zh) | 2008-12-31 | 2008-12-31 | 智能密钥设备获取数字证书的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101527633A CN101527633A (zh) | 2009-09-09 |
| CN101527633B true CN101527633B (zh) | 2014-12-10 |
Family
ID=41095343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810247053.8A Active CN101527633B (zh) | 2008-12-31 | 2008-12-31 | 智能密钥设备获取数字证书的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101527633B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977193B (zh) * | 2010-10-28 | 2013-11-13 | 飞天诚信科技股份有限公司 | 安全下载证书的方法及系统 |
| CN102236426A (zh) * | 2011-07-18 | 2011-11-09 | 中国工商银行股份有限公司 | 一种终端集成输入设备以及终端交互系统 |
| CN103037366B (zh) * | 2011-09-30 | 2016-10-26 | 卓望数码技术(深圳)有限公司 | 基于非对称密码技术的移动终端用户认证方法及移动终端 |
| CN102387142A (zh) * | 2011-10-20 | 2012-03-21 | 北京天地融科技有限公司 | 一种电子签名工具、电子签名认证方法及系统 |
| CN102393836B (zh) * | 2011-10-31 | 2015-01-07 | 天地融科技股份有限公司 | 移动存储器、移动存储器的访问控制方法及系统 |
| CN103067402B (zh) * | 2013-01-10 | 2016-01-20 | 天地融科技股份有限公司 | 数字证书的生成方法和系统 |
| CN104253688A (zh) * | 2013-06-28 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN连接方法 |
| CN104980276B (zh) * | 2014-04-10 | 2018-08-07 | 中国银联股份有限公司 | 用于安全性信息交互的身份认证方法 |
| CN104065652B (zh) * | 2014-06-09 | 2015-10-14 | 北京石盾科技有限公司 | 一种身份验证方法、装置、系统及相关设备 |
| CN104617676B (zh) * | 2015-03-03 | 2017-10-31 | 国家电网公司 | 一种户外交流高压隔离开关 |
| CN106411504B (zh) * | 2015-07-31 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 数据加密系统、方法及装置 |
| CN108234126B (zh) * | 2016-12-21 | 2021-04-09 | 金联汇通信息技术有限公司 | 用于远程开户的系统和方法 |
| CN107579830B (zh) * | 2017-08-04 | 2020-12-11 | 深圳市文鼎创数据科技有限公司 | 一种签名的方法及智能密钥安全设备 |
| CN107743067B (zh) * | 2017-11-30 | 2020-09-01 | 美的智慧家居科技有限公司 | 数字证书的颁发方法、系统、终端以及存储介质 |
| CN108234119B (zh) * | 2018-01-30 | 2021-06-22 | 京信通信系统(中国)有限公司 | 一种数字证书管理方法和平台 |
| CN108763967A (zh) * | 2018-06-05 | 2018-11-06 | 苏州科达科技股份有限公司 | 获取设备证书的系统、方法、装置及存储介质 |
| CN109462572B (zh) * | 2018-09-13 | 2021-03-23 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 |
| CN110474887A (zh) * | 2019-07-25 | 2019-11-19 | 北京合力中税科技发展有限公司 | 一种数字证书调用方法及系统 |
| CN110990820B (zh) * | 2019-12-04 | 2022-03-29 | 爱信诺征信有限公司 | 税盘授权方法、装置、电子设备及存储介质 |
| CN114428947A (zh) * | 2021-12-16 | 2022-05-03 | 北京握奇数据股份有限公司 | 一种USBKey设备生产过程批量灌装其设备证书的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN1697376A (zh) * | 2005-05-16 | 2005-11-16 | 中国工商银行 | 用集成电路卡对数据进行认证或加密的方法和系统 |
| CN101447867A (zh) * | 2008-12-31 | 2009-06-03 | 中国建设银行股份有限公司 | 一种管理数字证书的方法和系统 |
| CN101527714A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 制证的方法、装置及系统 |
-
2008
- 2008-12-31 CN CN200810247053.8A patent/CN101527633B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN1697376A (zh) * | 2005-05-16 | 2005-11-16 | 中国工商银行 | 用集成电路卡对数据进行认证或加密的方法和系统 |
| CN101447867A (zh) * | 2008-12-31 | 2009-06-03 | 中国建设银行股份有限公司 | 一种管理数字证书的方法和系统 |
| CN101527714A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 制证的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101527633A (zh) | 2009-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN103051628B (zh) | 基于服务器获取认证令牌的方法及系统 | |
| CN101414909B (zh) | 网络应用用户身份验证系统、方法和移动通信终端 | |
| CN104160653B (zh) | 用于提供多因素数字安全证书的方法、装置、介质和设备 | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN102694781B (zh) | 基于互联网的安全性信息交互系统及方法 | |
| CN101527634B (zh) | 账户信息与证书绑定的系统和方法 | |
| CN110535648A (zh) | 电子凭证生成及验证和密钥控制方法、装置、系统和介质 | |
| JPH113033A (ja) | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム | |
| CN102694782B (zh) | 基于互联网的安全性信息交互设备及方法 | |
| CN102202306A (zh) | 移动安全认证终端及方法 | |
| CN108683674A (zh) | 门锁通信的验证方法、装置、终端及计算机可读存储介质 | |
| CN102868688A (zh) | 一种认证系统、认证方法及电子签名工具 | |
| KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN109274500A (zh) | 一种密钥下载方法、客户端、密码设备及终端设备 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
| CN104301288B (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
| CN112839041A (zh) | 基于区块链的电网身份认证方法、装置、介质和设备 | |
| JP4823704B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
| CN102811210B (zh) | 一种基于ws协议的信息卡认证方法及系统 | |
| Ahamad et al. | Secure mobile payment framework based on UICC with formal verification | |
| CN104579659A (zh) | 用于安全性信息交互的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |