CN101388771A - 一种下载数字证书的方法和系统 - Google Patents
一种下载数字证书的方法和系统 Download PDFInfo
- Publication number
- CN101388771A CN101388771A CNA2007101215763A CN200710121576A CN101388771A CN 101388771 A CN101388771 A CN 101388771A CN A2007101215763 A CNA2007101215763 A CN A2007101215763A CN 200710121576 A CN200710121576 A CN 200710121576A CN 101388771 A CN101388771 A CN 101388771A
- Authority
- CN
- China
- Prior art keywords
- certificate
- control element
- user
- digital signature
- signature device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种下载数字证书的方法。该方法包括步骤:下载控件单元到用户端;用户端利用所述控件单元的证书下载单元对数字签名装置进行数字证书下载。通过本发明,在实现证书下载的时候,利用控件单元减少了数据传递的中间环节,有效避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼容性和升级新功能带来的风险,极大提升了易用性。
Description
技术领域
本发明涉及数字签名装置技术,特别涉及基于支持公共密钥体系(PKI:Public Key Infrastructure)功能的数字签名装置的数字证书下载技术,具体地讲涉及一种下载数字证书的方法和系统。
背景技术
随着互联网的发展和网络银行、电子商务、电子政务的广泛应用,基于PKI数字证书技术、智能卡技术和USBKey被广泛的应用到各个行业和地区。越来越多的互联网使用者接受并使用智能卡类的数字签名装置和相关配套软件技术作为身份认证和数字签名的方法。
PKI数字证书技术是一种安全技术,其是由公开密钥密码技术、数字证书、证书发放机构(CA:Certificate Authority)和关于公开密钥的安全策略等共同组成。PKI是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通信、网上交易等利用其来保证安全。
随着计算机通信技术和网络安全技术的发展,PKI网络安全体系特别在涉及网络银行、电子商务和电子政务等应用安全体系中得到广泛应用。PKI的建设使得智能卡和USBKey这种数字签名装置的应用得以大规模的扩展。
为了使智能卡类的装置能够稳定可靠的运行在网络安全应用领域,制定了微软CSP规范接口定义和RSA公司的PKCS#11规范接口定义。目前,智能卡类数字签名装置可利用微软机密服务提供商(CSP:Cryptographic ServiceProvider)规范接口和RSA公司的PKCS#11规范接口进行数字证书下载。
在具体的使用环境中的具体使用方式如下:
用户需单独安装一个带有微软CSP规范接口和RSA公司的PKCS#11规范接口的安装程序到用户的计算机当中;当使用智能卡类装置进行安全的网络信息交换时,上层应用,如IE浏览器或者用户自己开发的安全程序通过安装到计算机当中的微软CSP规范接口和RSA公司的PKCS#11规范接口访问智能卡类装置;智能卡类装置可通过微软CSP规范接口和RSA公司的PKCS#11规范接口下载数字证书。
例如工商银行的网上银行,在交易的安全性上面,工行使用U盾来保护每一笔交易。使用U盾下载证书时通常需要如下步骤:
步骤1,安装U盾驱动程序;步骤2,安装U盾对应的软件(CSP)和管理工具;步骤3,安装签名控件;步骤4,利用上述微软CSP规范接口和RSA公司的PKCS#11规范接口下载证书到U盾。如果更换一台电脑使用U盾,还需要重复步骤1,2,3。
由上述可知,由于用户的计算机水平参差不齐,计算机环境各异,导致上述步骤1、2很容易出现问题,经常会由驱动安装不成功,对应软件安装失败的情况发生,这对网上银行的普及十分不利。
因此,虽然目前微软CSP规范接口和RSA公司的PKCS#11规范接口已经广泛的使用在各个领域,充分有效地使客户在信息安全领域使用智能卡类的安全设备,但在具体的使用环境中,尤其是网上银行应用中,客户往往在安装和使用微软CSP规范接口和RSA公司的PKCS#11规范接口时遇到大量的易用性问题。
由于用户是在计算机上安装微软CSP规范接口和RSA公司的PKCS#11规范接口相关软件,因此会受到计算机环境,如操作系统、杀毒软件、优化软件等的限制,往往会出现安装异常的情况。同时在用户使用微软CSP规范接口和RSA公司的PKCS#11规范接口对智能卡类装置进行操作时,也会由于计算机本身环境的影响出现操作异常的情况。因此,使用微软CSP规范接口和RSA公司的PKCS#11规范接口便会有以下的弱点:
1)安装不便;2)黑客容易获取微软CSP规范接口和RSA公司的PKCS#11规范接口的定义进行非法攻击;3)杀毒软件和计算机优化软件的影响而无法正常使用;4)升级和更新比较困难和复杂;5)微软新一代操作系统不兼容。
发明内容
鉴于现有技术中存在的上述问题,本发明提供一种下载数字证书的方法和系统。该方法通过无需用户安装到本地计算机的控件单元,有效地使数字签名装置进行数字证书下载。
本发明的一个目的是提供一种下载数字证书的方法,该方法包括步骤:下载控件单元到用户端;用户端利用所述控件单元的证书下载单元对数字签名装置进行数字证书下载。
本发明的另一个目的是提供一种下载数字证书的系统,其特征在于,该系统包括:用户端,用于下载控件单元,该控件单元至少包括证书下载单元;其中,所述用户端利用所述证书下载单元生成证书请求,并将该证书请求进行发送;
CA服务器,接收所述用户端发送的所述证书请求,并生成相应的数字证书,并回传该数字证书到所述用户端;
并且,所述用户端接收所述数字证书后,利用所述证书下载单元解析出用户证书并保存到所述数字签名装置中;
数字签名装置,与所述用户端连接,用于保存解析出的所述用户证书。
本发明的又一个目的是提供一种控件单元,该控件单元至少包括证书下载单元,所述证书下载单元至少包括:第一接口,用于负责生成证书请求;第二接口,用于负责接收CA服务器生成的所述数字证书,并从该数字证书中解析出用户证书写入所述数字签名装置中。
本发明实施例的有益效果在于,在下载数字证书时,利用控件单元减少了数据传递的中间环节,有效避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼性容和升级新功能带来的风险,极大提升了易用性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明实施方式的证书下载系统构成示意图;
图2为本发明实施方式的控件单元构成示意图;
图3为本发明实施方式的下载、更新控件单元的流程图;
图4A为本发明实施方式的对数字签名装置进行证书下载的流程图;
图4B为图4A中生成证书请求的流程图;
图5为本发明实施方式的对数字签名装置的保护密码进行修改的流程图;
图6为本发明实施方式的查看数字签名装置保存的证书的流程图。
具体实施方式
为使本发明目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
实施例一
本发明实施方式提供一种下载数字证书的系统,如图1、2所示,该系统包括:用户端101,用于下载控件单元,该控件单元至少包括证书下载单元201;其中,用户端101利用该证书下载单元201生成证书请求,并将该证书请求进行发送;
CA服务器102,接收用户端101发送的所述证书请求,并生成相应的数字证书,并回传该数字证书到所述用户端101;
并且,用户端101接收该数字证书后,利用证书下载单元201解析出用户证书并保存到所述数字签名装置中;
数字签名装置(图中未示出),与所述用户端连接,保存解析出的用户证书。
由上述可知,在下载数字证书时,利用控件单元减少了数据传递的中间环节,有效避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼性容和升级新功能带来的风险,极大提升了易用性。
在本实施例中,数字签名装置可以为智能卡,例如捷德公司的StarKey100、StarKey200、StarKey220、工行网银使用的U盾等。该数字签名装置插入用户端101中。
在本发明的实施方式中,如图2所示,证书下载单元201至少包括:第一接口(图中未示出),用于负责生成证书请求;
第二接口(图中未示出),用于负责接收CA服务器102生成的数字证书,并从该数字证书中解析出用户证书并写入所述数字签名装置中。
在本发明的实施方式中,如图2所示,控件单元还可包括管理单元202;管理单元202至少包括第三接口(图中未示出),该第三接口用于显示保存在数字签名装置中保存的用户证书。
在本发明的实施方式中,如图2所示,管理单元202还可包括第四接口(图中未示出),该第四接口用于修改数字签名装置的保护密码。
在本发明的实施方式中,第一接口可采用STDMETHOD(createPKCS10)或者采用STDMETHOD(createRequest),这两个接口的功能一样,都是负责生成证书请求。只是出于兼容性考虑才有两个接口。
第二接口可采用STDMETHOD(acceptResponse)或者采用STDMETHOD(acceptPKCS7),这两个接口的功能一样,都是负责接收CA服务器102回传的证书数据,该证书数据可为PKCS#7格式的证书数据,并从中解析出用户证书写入到数字签名装置中。只是出于兼容性考虑才有两个接口。
第三接口可采用STDMETHOD(ViewCert),显示保存在数字签名装置中的用户证书;第四接口可采用STDMETHOD(get_ChangePIN),修改数字签名装置的保护密码。
采用上述接口可使已有的系统应用本发明时,使原来的网页代码的改动很少,从而提供兼容性,节约成本。但上述接口仅为本发明的优选实施方式,还可采用其它。
由上述实施方式可知,利用控件单元不仅可以下载数字证书,而且还可以进行管理,如修改数字签名装置的保护密码,也可以显示保存在数字签名装置的用户证书,从而减少了数据传递的中间环节,有效避免了敏感数据被黑客截获的风险,同时避免了Windows不同版本操作系统兼性容和升级新功能带来的风险,极大提升了易用性。
在上述实施方式中,证书下载单元201包括为实现证书下载所必要接口,本实施例中,该证书下载单元201至少包含第一、二接口,如上述接口:
STDMETHOD(createRequest)、STDMETHOD(createPKCS10)、STDMETHOD(acceptResponse)、STDMETHOD(acceptPKCS7);
除了上面4个接口,为了保持和微软Xenroll控件一致(这样在已有的系统中应用本发明时,原有网页代码只需较少改动,兼容性较好),还包括如下接口:
1.1 STDMETHOD(get_EnableSMIMECapabilities);
1.2 STDMETHOD(put_EnableSMIMECapabilities);
1.3 STDMETHOD(InstallPKCS7Ex);
1.4 STDMETHOD(get_SPCFileName);
1.5 STDMETHOD(put_SPCFileName);
1.6 STDMETHOD(get_CAStoreFlags);
1.7 STDMETHOD(put_CAStoreFlags);
1.8 STDMETHOD(get_RootStoreFlags);
1.9 STDMETHOD(put_RootStoreFlags);
1.10 STDMETHOD(get_MyStoreFlags);
1.11 STDMETHOD(put_MyStoreFlags);
1.12 STDMETHOD(get_ReadyState);
1.13 STDMETHOD(put_ReadyState);
1.14 STDMETHOD(get_HashAlgID);
1.15 STDMETHOD(put_HashAlgID);
1.16 STDMETHOD(get_ProviderType);
1.17 STDMETHOD(put_ProviderType);
1.18 STDMETHOD(enumProviders);
1.19 STDMETHOD(getProviderType);
1.20 STDMETHOD(get_ProviderName);
1.21 STDMETHOD(put_ProviderName);
1.22 STDMETHOD(GetSupportedKeySpec);
1.23 STDMETHOD(get_GenKeyFlags);
1.24 STDMETHOD(put_GenKeyFlags);
1.25 STDMETHOD(get_KeySpec);
1.26 STDMETHOD(put_KeySpec);
1.27 STDMETHOD(get_LimitExchangeKeyToEncipherment);
1.28 STDMETHOD(put_LimitExchangeKeyToEncipherment);
1.29 STDMETHOD(get_UseExistingKeySet);
1.30 STDMETHOD(put_UseExistingKeySet);
1.31 STDMETHOD(get_ContainerName);
1.32 STDMETHOD(put_ContainerName);
1.33 STDMETHOD(get_PVKFileName);
1.34 STDMETHOD(put_PVKFileName);
1.35 STDMETHOD(get_RequestStoreFlags);
1.36 STDMETHOD(put_RequestStoreFlags);
1.37 STDMETHOD(get_ProviderFlags);
1.38 STDMETHOD(put_ProviderFlags);
1.39 STDMETHOD(addBlobPropertyToCertificate);
1.40 STDMETHOD(get_ThumbPrint);
1.41 STDMETHOD(put_ThumbPrint);
1.42 STDMETHOD(Reset);
1.43 STDMETHOD(get_ReuseHardwareKeyIfUnableToGenNew);
1.44 STDMETHOD(put_ReuseHardwareKeyIfUnableToGenNew);
1.45 STDMETHOD(createFileRequest);
1.46 STDMETHOD(EnumAlgs);
1.47 STDMETHOD(GetAlgName);
1.48 STDMETHOD(GetKeyLenEx);
1.49 STDMETHOD(get_PrivateKeyArchiveCertificate);
1.50 STDMETHOD(put_PrivateKeyArchiveCertificate);
1.51 STDMETHOD(addCertTypeToRequestEx);
1.52 STDMETHOD(setPendingRequestInfo);
1.53 STDMETHOD(get_HashAlgorithm);
1.54 STDMETHOD(put_HashAlgorithm);
1.55 STDMETHOD(get_WriteCertToCSP);
1.56 STDMETHOD(put_WriteCertToCSP)。
在本实施方式中,上述接口只有接口的声明,里面没有实现任何功能,但不限于此,可根据实际需要来设定。
所述管理单元202为对数字签名装置进行管理的单元,该管理单元202除了包括第三、四接口,如STDMETHOD(ViewCert)、STDMETHOD(get_ChangePIN)外,还可包含如下接口:
2.1 STDMETHOD(get_InitCard);该接口负责初始化数字签名装置。
2.2 STDMETHOD(get_GetMediaID);该接口负责获取数字签名装置的序列号。
由上述实施例可知,通过上述控件单元,当进行证书下载或管理时,不需采用原中间件模式,而直接使用该控件单元,从而减少了数据传递的中间环节,避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼容性和升级新功能带来的风险,极大提高了易用性。
实施例二
本发明还提供一种下载数字证书的方法。该方法包括步骤:
下载控件单元到用户端101;用户端101利用控件单元对数字签名装置进行数字证书下载。
通过上述实施例,当下载数字证书时,直接使用该控件单元,从而减少了数据传递的中间环节,避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼容性和升级新功能带来的风险,极大提高了易用性。
在本发明的一个实施方式中,用户端101利用控件单元的证书下载单元201对数字签名装置进行数字证书下载,可采用如下方式:控件单元的证书下载单元201利用证书下载单元201生成证书请求;将该证书请求提交到CA服务器102;CA服务器102根据该证书请求生成相应的数字证书,并回传该数字证书到用户端101;用户端101接收到回传的数字证书后,利用控件单元的证书下载单元201解析出用户证书并保存该用户证书到数字签名装置中。
在本发明的实施方式中,利用控件单元的证书下载单元201生成证书请求,可采用如下方式:
用户端101根据用户信息,调用控件单元的证书下载单元201;验证数字签名装置的保护密码,若验证通过则在数字签名装置中生成RSA密钥对;
证书下载单元201获得数字签名装置生成的RSA密钥对中的公钥,并利用该公钥和相关信息生成证书请求。其中,相关信息可包括用户信息和本地系统信息。
上述实施方式中,证书请求可为符合PKCS#10格式的X509证书请求。CA服务器102根据该证书请求生成唯一的X509格式数字证书,同时把PKCS#7格式的证书回传到用户端101。
在本发明的实施方式中,下载控件单元到用户端101,可采用如下方式:用户端101访问嵌入控件单元的网页;判断用户端101是否已经安装控件单元;若判断结果为未安装控件单元,则下载该控件单元至用户端101。若判断结果为已安装控件单元,则判断该控件单元的版本是否为最新;若判断结果非最新版本,则下载最新版本的控件单元。
在本发明实施方式中,在下载控件单元之前,还包括预备步骤:
将控件单元和依赖文件打成cab包,生成的cab包中至少包括包的名字、包的版本和组件信息;编写调用控件单元的文件,该文件至少包括所述控件单元的下载地址和所述cab包的版本。该依赖文件是指生成cab包的时候需要的配置文件,这个配置文件描述了cab包中文件在目标电脑中安装的路径、控件唯一标识号(classid),对应操作系统版本号等信息。比如,控件单元文件叫PlutoControl.dll,打包的时候先编写一个脚本,里面描述了安装的路径,文件名,标识号码等信息,然后使用打包工具程序,比如makecab.exe(这个程序微软提供)生成最终的cab包,比如就叫PlutoControl.cab。
此外,在本发明的实施方式中,用户端101还可利用控件单元的管理单元202查看保存在数字签名装置中的数字证书,可采用如下方式:用户选择查看证书;管理单元201判断该数字签名装置中是否存在正确的证书;若判断的结果为是,则显示证书的相关信息。
另外,还能够利用控件单元的管理单元202修改数字签名装置的保护密码,可采用如下方式:用户输入原有密码和新密码;确认后利用所述管理单元判断修改是否成功;若判断的结果为修改成功,则提示用户修改成功;若判断的结果为修改失败,则提示用户修改失败,请检查密码输入是否正确。
以下结合实施例一所述的系统以及附图对该方法进行详细说明。
在本发明的实施方式中,当用户访问应用网站时,下载控件单元到用户端。其中包括初次使用、版本判断和版本更新。
首先,预备阶段:
将控件单元和依赖文件打成cab包。其中,打包的操作可根据实际需要由用户或厂商来作。该cab包中会多出一个文件osd的XML文件。其中,osd文件是一个包含下载工具描述文件,模板文件和任何必要的组件和图形文件的XML文档,其定义了工具中所有组件的源文件和安装位置。并且在该XML文件中至少描述了包的名字、包的版本和组件信息。其中包的版本就是以后升级的比较条件。在生成cab包之前,可以利用打包工具对这个版本进行设置。
其次,编写调用该控件单元的html文件,调用事例如下:
<object
classid=″clsid:12345678-90AB-CDEF-1234-567890ABCDEF″
codebase=″http://www.sample.com/test.CAB#version=1,0,0,1″>
</object>
其中,classid就是组件的CLSID,为网页程序的关键字。codebase就是控件单元的下载地址http://www.sample.com/test.CAB和cab包的版本version=1,0,0,1。
如图3所示,在本实施方式中,当用户访问应用网站时,使用浏览器浏览嵌入控件单元的网页(见步骤301),首先判断用户端计算机是否安装有该控件单元(见步骤304),该判断是由Windows系统完成;
若判断结果为没有安装控件单元,则从服务器下载该控件单元。本实施例中,则从上述下载地址http://www.sample.com/test.CAB下载(见步骤302);
在步骤304中,若判断结果为用户端计算机有控件单元,则判断网页中控件单元的版本是否比用户端计算机中的控件单元的版本新(见步骤305);
在步骤305中,若判断结果为是,即用户端计算机安装的cab文件的版本较低,则从服务器下载新版本的控件单元(见步骤306),替换用户端计算机上的旧版本的控件单元。本实施例中,则从下载地址http://www.sample.com/test.CAB下载更新。这样,就可以不用编写或改写任何程序就能实现自动升级功能。当有新版本的控件单元时,就可以新打一个cab包,将该cab版本增加一下,然后在上述codebase的version处改成对应的版本。
最后,浏览器完成加载指定网页(见步骤303)。
在上述实施方式中,从网站上下载的cab文件会保存到用户端计算机Windows目录下的“Downloaded Program Files”文件夹里,但不限于此,还可保存在任何地方。如果你的cab包更新过多次,旧的文件并没有被覆盖,而是共存在cab包中,也就是说,用户端计算机上会有该控件单元的各种版本,兼容性得到有效的保障。
在步骤305中,若判断结果为否,即用户端计算机安装的cab文件的版本为最新版本,则执行步骤303。
若在步骤306从服务器下载最新控件单元之后,执行步骤303。
当用户端计算机下载了上述控件单元后,则用户端可利用控件单元对数字签名装置进行数字证书下载或者对数字签名装置进行管理。以下结合附图4A-6分别进行说明。
图4A为本发明实施方式的对数字签名装置进行证书下载的流程图。如图4A所示,当用户端利用控件单元对数字签名装置进行数字证书下载时,可采用如下步骤:
步骤401,在浏览器中用户点击证书下载链接,则跳转到证书申请页面。
步骤402,用户输入用户信息,本实施例中,该用户信息可包括姓名、电子邮件、公司、部门、市、省、国家等信息,该用户信息有些是可选输入,同时该用户信息也可以在用户端网页脚本中填充默认值。
步骤403,用户端101利用证书下载单元201生成证书请求,本实施方式中可采用如下方式:
如图4B所示。用户点击提交按钮,用户端脚本将上述用户信息作为参数,调用证书下载单元101中的第一接口,如createRequest接口或者createPKCS10接口(见步骤407);验证数字签名装置的保护密码(见步骤408)。
本实施例中可采用如下步骤:将输入数据,即用户信息传送到控件单元中,并通过密码输入对话框的方式获得用户的口令,然后送到数字签名装置中进行验证。
例如可采用如下方式:控件单元弹出对话框,用户在对话框中输入密码;控件把该密码送到数字签名装置中验证;在步骤409中,若验证结果为通过验证,则数字签名装置内部生成RSA密钥对,本实施例中,该RSA密钥对为非对称密钥对,私钥保存在数字签名装置内,公钥导出到控件单元(见步骤410)。控件单元利用公钥数据生成PKCS#10格式的X509证书请求(见步骤411)。本实施例中,采用如下方式:控件单元得到公钥数据,然后结合用户信息和本地系统信息,组织成一个PKCS#10格式的X509证书请求。其中本地系统信息可为操作系统的版本、当前的用户名称、当前用户所在的域名称等。
步骤404,用户端网页脚本将证书请求发送到CA服务器102;
步骤405,CA服务器102根据收到的证书请求生成唯一的X509格式数字证书,同时转换为PKCS#7格式,然后将PKCS#7格式的证书回传到用户端101;
步骤406,用户端101收到CA服务器102回传的PKCS#7格式的数据后,调用证书下载单元101中的第二接口,如acceptResponse接口或者acceptPKCS7接口解析出客户证书并保存到数字签名装置中。
当用户使用控件单元对数字签名装置进行管理时,利用该控件单元的管理单元202修改数字签名装置的保护密码、查看证书。其中,
在修改数字签名装置的保护密码时,管理单元202的第四接口,即ChangePIN(2.2)先验证数字签名装置的保护密码,验证通过后修改成指定的新的密码。例如,如图5所示,可采用如下方式:
用户输入原有密码和新密码(见步骤501);例如,用户在网页里的指定位置输入原有密码12345678,又输入新密码87654321;
用户确认后,利用管理单元202判断修改是否成功(见步骤502);其中,用户点击确认按钮,网页调用控件单元中第四接口,修改密码接口ChangePIN修改密码;
若判断的结果为修改成功,则提示用户修改成功(见步骤504);若判断的结果为修改失败,则提示用户修改失败,请检查密码输入是否正确,回到步骤501(见步骤505)。
此外,在查看保存在数字签名装置中的X509数字证书时,管理单元202的第三接口,即ViewICBCCert(2.1)使用Windows证书察看标准对话框显示证书的详细信息。
用户选择查看证书(见步骤601),其中,用户点击查看证书按钮,网页调用控件单元中的第三接口,即查看证书接口;判断该数字签名装置中是否存在正确的证书(见步骤602);若判断的结果为是,则显示证书的相关信息(见步骤603)。若判断的结果为否,则提示用户数字签名装置中不存在正确的数字证书(见步骤604)。
对数字签名装置进行初始化操作时,管理单元的接口InitCard(3.2)会把数字签名装置恢复到默认的出场状态。
上述实施例中,数字签名装置可为智能卡,例如捷德公司的StarKey100、StarKey200、StarKey220、工行网银使用的U盾等。
例如工商银行的网上银行,针对背景技术中所述方式,如果采用本发明的方法,使用U盾下载证书时通常需要如下步骤:
步骤1,利用控件下载证书到U盾,可按照实施方式二的方式执行。
如果更换一台电脑使用U盾,直接使用即可。
因此,当下载数字证书时,直接使用该控件单元,从而减少了数据传递的中间环节,避免了敏感数据被黑客截获的风险,同时除去了用户额外安装中间件CSP程序带来的麻烦,避免了Windows不同版本操作系统兼容性和升级新功能带来的风险,操作简单,极大提高了易用性。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种下载数字证书的方法,其特征在于,该方法包括步骤:
下载控件单元到用户端;
用户端利用所述控件单元的证书下载单元对数字签名装置进行数字证书下载。
2.根据权利要求1所述的方法,其特征在于,所述用户端利用所述控件单元的证书下载单元对数字签名装置进行数字证书下载,包括步骤:
用户端利用所述控件单元的证书下载单元生成证书请求;
将所述证书请求提交到CA服务器;
所述CA服务器根据所述证书请求生成相应的数字证书,并回传该数字证书到所述用户端;
所述用户端接收所述数字证书后,利用所述控件单元的证书下载单元解析出用户证书并保存该用户证书到所述数字签名装置中。
3.根据权利要求2所述的方法,其特征在于,所述用户端利用控件单元的证书下载单元生成证书请求,包括步骤:
用户端根据用户信息,调用所述控件单元的证书下载单元;
验证所述数字签名装置的保护密码,若验证通过则在所述数字签名装置中生成RSA密钥对;
所述控件单元的证书下载单元获得数字签名装置生成的RSA密钥对中的公钥,并利用该公钥和相关信息生成证书请求。
4.根据权利要求1所述的方法,其特征在于:所述下载控件单元到用户端,包括步骤:
所述用户端访问嵌入所述控件单元的网页;
判断用户端是否已经安装所述控件单元;
若判断结果为未安装所述控件单元,则下载该控件单元至用户端。
5.根据权利要求4所述的方法,其特征在于:若判断结果为已安装所述控件单元,则判断该控件单元的版本是否为最新;
若判断结果非最新版本,则下载最新版本的控件单元。
6.根据权利要求4所述的方法,其特征在于:在下载所述控制单元之前,还包括步骤:
将所述控件单元和依赖文件打包,其中,生成的所述包中至少包括包的名字、包的版本和组件信息;
编写调用控件单元的文件,该文件至少包括所述控件单元的下载地址和所述包的版本。
7.根据权利要求1所述的方法,其特征在于,该方法还包括:利用所述控件单元的管理单元查看所述数字证书,包括步骤:
用户选择查看证书;
所述管理单元判断该数字签名装置中是否存在正确的证书;
若判断的结果为是,则显示证书的相关信息。
8.根据权利要求3所述的方法,其特征在于,能够利用所述控件单元的管理单元修改所述保护密码,包括步骤:
用户输入原有密码和新密码,并确认;
利用所述管理单元判断修改是否成功;
若判断的结果为修改成功,则提示用户修改成功;
若判断的结果为修改失败,则提示用户修改失败,请检查密码输入是否正确。
9.一种下载数字证书的系统,其特征在于,该系统包括:
用户端,用于下载控件单元,该控件单元至少包括证书下载单元;其中,所述用户端利用所述证书下载单元生成证书请求,并将该证书请求进行发送;
CA服务器,接收所述用户端发送的所述证书请求,并生成相应的数字证书,并回传该数字证书到所述用户端;
并且,所述用户端接收所述数字证书后,利用所述证书下载单元解析出用户证书并保存到所述数字签名装置中;
数字签名装置,与所述用户端连接,用于保存解析出的所述用户证书。
10.根据权利要求9所述的系统,其特征在于,所述证书下载单元至少包括:
第一接口,用于负责生成证书请求;
第二接口,用于负责接收CA服务器生成的所述数字证书,并从该数字证书中解析出用户证书写入所述数字签名装置中。
11.根据权利要求9所述的系统,其特征在于,所述控件单元还包括管理单元;所述管理单元至少包括第三接口,该第三接口用于显示保存在数字签名装置中的用户证书。
12.根据权利要求9所述的系统,其特征在于,所述管理单元还包括第四接口;该第四接口用于修改数字签名装置的保护密码。
13.一种控件单元,其特征在于,该控件单元至少包括证书下载单元,所述证书下载单元至少包括:
第一接口,用于负责生成证书请求;
第二接口,用于负责接收CA服务器生成的所述数字证书,并从该数字证书中解析出用户证书写入所述数字签名装置中。
14.根据权利要求13所述的控件单元,其特征在于,所述控件单元还包括管理单元;所述管理单元至少包括第三接口,该第三接口用于显示保存在数字签名装置中的用户证书。
15.根据权利要求13所述的控件单元,其特征在于,所述管理单元还包括第四接口;该第四接口用于修改数字签名装置的保护密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101215763A CN101388771B (zh) | 2007-09-10 | 2007-09-10 | 一种下载数字证书的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101215763A CN101388771B (zh) | 2007-09-10 | 2007-09-10 | 一种下载数字证书的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101388771A true CN101388771A (zh) | 2009-03-18 |
| CN101388771B CN101388771B (zh) | 2010-12-15 |
Family
ID=40477967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101215763A Expired - Fee Related CN101388771B (zh) | 2007-09-10 | 2007-09-10 | 一种下载数字证书的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101388771B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102300065A (zh) * | 2011-08-31 | 2011-12-28 | 四川长虹电器股份有限公司 | 基于安卓平台的智能电视软件安全认证的方法 |
| CN103716280A (zh) * | 2012-09-28 | 2014-04-09 | 腾讯科技(深圳)有限公司 | 数据传输方法、服务器及系统 |
| CN105653319A (zh) * | 2015-12-25 | 2016-06-08 | 飞天诚信科技股份有限公司 | 一种自动向应用程序加载pkcs#11模块的方法及装置 |
| CN106789060A (zh) * | 2016-11-18 | 2017-05-31 | 畅捷通信息技术股份有限公司 | 数据传输方法与装置、数据处理方法与装置、数据传输系统 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
| CN107306182A (zh) * | 2016-04-19 | 2017-10-31 | 大唐移动通信设备有限公司 | 一种生成数字证书的方法、客户端及服务器 |
| CN109802846A (zh) * | 2017-11-17 | 2019-05-24 | 航天信息股份有限公司 | USB Key证书环境检测方法及装置 |
| CN112532390A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
| CN115481385A (zh) * | 2022-10-31 | 2022-12-16 | 麒麟软件有限公司 | 证书管理方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1288205A (zh) * | 1999-09-14 | 2001-03-21 | 珠海市攀登科技有限公司 | 一种全兼容的互联网电子商贸和支付系统 |
| WO2003024138A1 (en) * | 2001-09-07 | 2003-03-20 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic security model |
| US7395424B2 (en) * | 2003-07-17 | 2008-07-01 | International Business Machines Corporation | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session |
| CN1766920A (zh) * | 2005-11-01 | 2006-05-03 | 广州好易联支付网络有限公司 | 网上安全支付系统及方法 |
-
2007
- 2007-09-10 CN CN2007101215763A patent/CN101388771B/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102300065A (zh) * | 2011-08-31 | 2011-12-28 | 四川长虹电器股份有限公司 | 基于安卓平台的智能电视软件安全认证的方法 |
| CN103716280A (zh) * | 2012-09-28 | 2014-04-09 | 腾讯科技(深圳)有限公司 | 数据传输方法、服务器及系统 |
| CN103716280B (zh) * | 2012-09-28 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 数据传输方法、服务器及系统 |
| CN105653319B (zh) * | 2015-12-25 | 2018-11-23 | 飞天诚信科技股份有限公司 | 一种自动向应用程序加载pkcs#11模块的方法及装置 |
| CN105653319A (zh) * | 2015-12-25 | 2016-06-08 | 飞天诚信科技股份有限公司 | 一种自动向应用程序加载pkcs#11模块的方法及装置 |
| CN106936577B (zh) * | 2015-12-29 | 2020-11-03 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
| CN107306182B (zh) * | 2016-04-19 | 2019-11-22 | 大唐移动通信设备有限公司 | 一种生成数字证书的方法、客户端及服务器 |
| CN107306182A (zh) * | 2016-04-19 | 2017-10-31 | 大唐移动通信设备有限公司 | 一种生成数字证书的方法、客户端及服务器 |
| CN106789060A (zh) * | 2016-11-18 | 2017-05-31 | 畅捷通信息技术股份有限公司 | 数据传输方法与装置、数据处理方法与装置、数据传输系统 |
| CN109802846A (zh) * | 2017-11-17 | 2019-05-24 | 航天信息股份有限公司 | USB Key证书环境检测方法及装置 |
| CN112532390A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
| CN112532390B (zh) * | 2019-08-30 | 2022-05-10 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
| CN115481385A (zh) * | 2022-10-31 | 2022-12-16 | 麒麟软件有限公司 | 证书管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101388771B (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101388771B (zh) | 一种下载数字证书的方法和系统 | |
| CN102830992B (zh) | 插件加载方法及系统 | |
| US8364968B2 (en) | Dynamic web services systems and method for use of personal trusted devices and identity tokens | |
| CN1946222B (zh) | 移动通信终端的软件认证装置及其方法 | |
| US7844819B2 (en) | Application authentication system | |
| CA2735387C (en) | Method for provisioning trusted software to an electronic device | |
| TWI359597B (en) | Method,computer system ,and computer-readable medi | |
| CN100499652C (zh) | 通信设备、验证设备及验证方法、操作方法 | |
| CN103577206A (zh) | 一种应用软件的安装方法和装置 | |
| CN101567893A (zh) | 一种实现在web应用中文件上传的方法及系统 | |
| US20050005097A1 (en) | Communication system and method in public key infrastructure | |
| US20070288634A1 (en) | Computer readable recording medium storing control program, communication system and computer data signal embedded in carrier wave | |
| US20060031855A1 (en) | System and method for runtime interface versioning | |
| JP5644770B2 (ja) | アクセス制御システム、サーバ、およびアクセス制御方法 | |
| CN110326266B (zh) | 一种数据处理的方法及装置 | |
| KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
| CN101388772B (zh) | 一种数字签名方法和系统 | |
| JP2020092289A (ja) | 機器統合システム及び更新管理システム | |
| JP5036500B2 (ja) | 属性証明書管理方法及び装置 | |
| JP2010117995A (ja) | アプリケーション発行システム、装置及び方法 | |
| JP2008176506A (ja) | 情報処理装置、情報処理方法、および管理サーバ | |
| KR100953841B1 (ko) | 액티브엑스 컨트롤의 설치 방법 | |
| KR102086406B1 (ko) | 사용자 통합 인증 서비스 시스템 및 그 방법 | |
| KR20060125077A (ko) | 다운로드된 응용 프로그램의 변조 판단 시스템 | |
| KR100967929B1 (ko) | 통신매체별 그래픽 사용자 인터페이스 동기화 처리 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 330096 No. 399 torch street, hi tech Development Zone, Jiangxi, Nanchang Patentee after: Jiede (China) Technology Co.,Ltd. Address before: 330096 No. 399 torch street, hi tech Development Zone, Jiangxi, Nanchang Patentee before: Jiede (China) Information Technology Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |