CN101527714A - 制证的方法、装置及系统 - Google Patents
制证的方法、装置及系统 Download PDFInfo
- Publication number
- CN101527714A CN101527714A CN200810247052A CN200810247052A CN101527714A CN 101527714 A CN101527714 A CN 101527714A CN 200810247052 A CN200810247052 A CN 200810247052A CN 200810247052 A CN200810247052 A CN 200810247052A CN 101527714 A CN101527714 A CN 101527714A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- key
- intelligent
- data packet
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 230000006854 communication Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种制证的方法、装置及系统,涉及制证领域,用以简化现有技术中数字证书下载时烦琐的流程。本发明实施例提供的制证的方法,包括:从与本地设备连接的智能密钥设备中读取智能密钥设备的标识信息;生成数字证书请求数据包并发送给安全终端;接收所述安全终端下发的数字证书并将所述数字证书写入与其包含的标识信息对应的智能密钥设备中;其中,所述数字证书请求数据包和所述数字证书均包含有所述智能密钥设备的标识信息。本发明实施例提供的方法、装置及系统适用于实现向智能密钥设备自动下载数字证书的过程。
Description
技术领域
本发明涉及制证领域,尤其涉及一种制证的方法、装置及系统。
背景技术
智能密钥设备是一种通过标准的个人主机接口(如USB接口等),提供信息加密处理的便携式设备;智能密钥设备中内置单片机或智能卡芯片,可以存储密钥或数字证书,而且利用其内置的密钥算法可以对信息加密或对用户身份进行识别等,因此利用智能密钥设备能够大大提高身份认证的强度。
现有技术中,智能密钥设备的持有者通常需要执行如下步骤来获得合法的数字证书:首先向数字证书认证中心(Certificate Authority,CA)提出申请,将用户身份信息和智能密钥设备的硬件信息发送给CA;CA判明申请者的身份以后,便为该申请者分配一个公钥,然后CA将该公钥与申请者的身份信息及智能密钥设备的硬件信息绑在一起,并为之签字形成数字证书,之后将该数字证书下发到申请者持有的智能密钥设备中。
这种技术的不足之处在于,增加了用户的操作烦琐性,用户在拿到智能密钥设备后,必须通过计算机网络执行数字证书下载的过程;而在此过程中,很容易出现信息错误的情况,或者因为网络故障导致用户无法在第一时间获取合法的数字证书。
发明内容
本发明的实施例提供一种制证的方法、装置及系统,以实现自动地为智能密钥设备下载数字证书,从而简化现有技术中进行数字证书下载时烦琐的流程,提高工作效率。
为达到上述目的,本发明的实施例采用如下技术方案:
一种制证的方法,包括:
从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
生成数字证书请求数据包并发送给安全终端,所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥对中的公钥信息;
接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息;
将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
一种制证装置,包括:
读取模块,用于从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
请求模块,用于生成数字证书请求数据包,所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中的公钥信息;
发送模块,用于将所述请求模块生成的数字证书请求数据包发送给安全终端;
接收模块,用于接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息;
写入模块,用于将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
一种制证的系统,包括制证装置、安全终端以及智能密钥设备;其中,
所述制证装置,用于读取与所述制证装置连接的所述智能密钥设备中的标识信息,结合所述智能密钥设备中的标识信息生成数字证书请求数据包并将其发送给所述安全终端,并且,将从所述安全终端处获取到的数字证书写入到所述智能密钥设备中;
所述安全终端,用于结合所述制证装置发送的数字证书请求数据包,生成包含有所述智能密钥设备中的标识信息的数字证书,并将所述数字证书发送给所述制证装置;
其中,所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥设备的标识信息。
本发明实施例提供的制证的方法、装置及系统,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
附图说明
图1为本发明实施例一提供的制证的方法流程图;
图2为本发明实施例二提供的制证的方法流程图;
图3为本发明实施例三提供的制证的方法流程图;
图4为本发明实施例四提供的制证的装置示意图;
图5为本发明实施例五提供的制证的系统示意图一;
图6为本发明实施例五提供的制证的系统示意图二。
具体实施方式
为了实现自动地为智能密钥设备下载数字证书,从而简化现有技术中进行数字证书下载时烦琐的流程,提高工作效率,本发明实施例提供了一种制证的方法、装置及系统。下面结合附图对本发明实施例制证的方法、装置及系统进行详细描述。
实施例一:
如图1所示,本发明实施例提供的制证的方法,包括以下步骤:
步骤101、从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
步骤102、生成数字证书请求数据包并发送给安全终端,所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥对中的公钥信息;
步骤103、接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息;
步骤104、将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
本发明实施例提供的制证的方法,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
实施例二:
参见图2,本实施例提供的是一种制证的方法,在本实施例中,智能密钥设备为USB Key,本地安全终端包含本地设备和多个USB Key;上述多个USB Key可以是直接插在本地设备上的多个USB接口上,也可以是通过USB HUB与本地设备进行连接;并且本地设备通过安全中继从安全终端中向上述多个USBKey中下载数字证书。
本地设备与安全中继预先约定双方互为信任方,并将本地设备发送的任意请求都转发给安全终端。在本实施例中,安全中继可以看作是一个通信通道,主要用于实现本地设备与安全终端之间的数据通信,具体实现步骤如下:
步骤201、本地设备对操作者身份进行认证;如果认证成功,则进行步骤202;否则,向用户提示出错。
其中,对用户身份进行认证的方法包括但不限于以下方法:
验证用户输入的PIN码是否合法;
验证用户的生物特征是否合法;
验证用户提供的权限验证设备中是否包含合法数据;
验证用户提供的权限验证设备是否具有合法的硬件序列号;
将一些数据发送给权限验证设备进行运算,检查运算结果是否合法;
若验证结果为合法数据,则认证成功;否则,认证失败;
其中,所述权限验证设备可以为USB Key或智能卡。
步骤202、本地设备进行本机初始化操作,以激活本地设备中的各个模块从而使本地设备能够正常工作;
步骤203、本地设备检查USB Key是否与本地设备建立连接,若已建立连接,则执行步骤204;否则,向用户提示出错;
步骤204、本地设备对USB Key进行验证,以确认所述USB Key是否可用于数字证书下载;若验证成功,则执行步骤205;否则,向用户提示出错。
在本实施例中,本地设备对USB Key进行验证的方法包括但不限于以下方法:
本地设备将内部存储的PIN码发送给USB Key,USB Key比较接收到的PIN码与自身内置的PIN码是否一致;若一致,则验证成功;若不一致,则验证失败;
本地设备用内置的算法对USB Key的标识信息进行计算,得到PIN码并发送给USB Key,并且USB Key用内置的算法对标识信息进行计算得到PIN码,再比较计算得到的PIN码与接收到的PIN码是否相同;若相同,则验证成功;若不相同,则验证失败;
在本实施例中,USB Key的标识信息可以是但不限于是USB Key的硬件序列号。
步骤205、本地设备从所有与本机连接的USB Key中选择一个USB Key,与其建立通信连接,并查找该USB Key中是否存在空闲密钥对;若不存在,则执行步骤206;若存在,则执行步骤207;
在本实施例中,所述空闲密钥对指的是没有数字证书与其匹配的密钥对,本地设备查找USB Key中是否存在空闲密钥对的具体步骤为:本地设备从USBKey中查找密钥对,然后判断USB Key中是否有数字证书与查找得到的密钥对相匹配。
在本实施例中,USB Key中可以存在多个密钥对,相应地,也可以存在多个与所述密钥对相匹配的证书,证书之间不相互覆盖。
步骤206、USB Key根据内置的密钥生成算法产生密钥对;
步骤207、本地设备读取该USB Key中的标识信息;
步骤208、结合USB Key中的空闲密钥对以及USB Key的标识信息,本地设备与所述USB Key按照预先设定的规则产生一个P10请求数据包,并将该P10请求数据包发送给安全中继;
在本实施例中,所述预先设定的规则是:本地设备先读取上述USB Key中空闲密钥对的公钥信息,再生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书的用途信息的数据包,并将该数据包发给USB Key,所述USB Key用其中的空闲密钥对中的私钥对所述数据包进行签名,并将对所述数据包进行签名后的签名值发送给本地设备,本地设备再将上述数据包、签名算法标识以及签名后的签名值组合成一个P10请求数据包;
在本实施例中,P10请求数据包中包含三部分内容:数据包、用空闲密钥对中的私钥对所述数据包进行签名后的签名值以及签名算法标识;所述数据包包括:密钥对中的公钥信息、USB Key的标识信息以及证书的用途信息等各种信息;在本发明实施例中的P10请求数据包不包含用户信息。
步骤209、安全中继将接收到的P10请求数据包发送给安全终端;
步骤210、安全终端接收上述P10请求数据包,并用所述P10请求数据包中携带的公钥对签名值进行验证;若验证成功,则执行步骤211;否则,向用户提示出错;
步骤211、安全终端根据所述P10请求数据包中的数据信息生成数字证书,并将该数字证书发送给安全中继;
在本实施例步骤211中,安全终端生成的证书中不包含有用户信息,但包含有USB Key的标识信息。
步骤212、安全中继将接收到数字证书发送给本地设备;
步骤213、本地设备获取安全终端的公钥,并用该公钥对所述数字证书进行验证;
在本实施例中,本地设备获取安全终端的公钥的方法可以是:
本地设备预先从安全终端中获取安全终端的公钥;
本地设备在接收到签名后的证书后,从安全终端的根证书中获取安全终端的公钥。
步骤214、本地设备将验证成功后的证书写入USB Key中;如果证书写入失败,则向用户提示失败信息,如果证书写入成功,则向用户提示成功信息;
在本实施例步骤214中,向用户提示失败或成功信息的方法包括但不限于以下方法:
本地设备通过语音发声的方法向用户提示失败或成功信息;
本地设备通过弹出对话框的方法向用户提示失败或成功信息;
USB Key通过语音发声的方法向用户提示失败或成功信息;
USB Key通过显示对话框的方法向用户提示失败或成功信息。
如果所述本地设备上连接有至少两个USB Key,则还需要进行以下步骤:
步骤215、本地设备与当前通信的USB Key断开连接,并与一个新的智能密钥设备建立通信连接,再重复进行制证过程。
在本实施例中,步骤209至步骤210还可以通过如下步骤来实现:
步骤209′、安全中继接收上述P10请求数据包,并对该P10请求数据包进行验证;若验证成功,则执行步骤210′;否则,向用户提示出错;
在本实施例步骤209′中,安全中继对P10请求数据包进行验证的方法包括但不限于以下方法:
安全中继用上述P10请求数据包中携带的公钥对该P10请求数据包中的签名值进行验证;
安全中继对上述P10请求数据包中的携带的USB Key的标识信息进行判断,判断上述USB Key的标识信息是否在合法的范围,若是,则验证成功,若不是,则验证失败;
其中,合法的范围是指本地设备与安全中继预先约定USB Key的标识信息的范围。
步骤210′、安全中继将验证成功后的上述P10请求数据包发送给安全终端。
如果所述本地设备上连接有至少两个USB Key,那么可以由所述本地设备依次读取所述至少两个USB Key中的标识信息,根据所述标识信息依次生成至少两个数字证书请求数据包并将其一并发送给安全终端,在所述数字证书请求数据包中包含有USB Key的标识信息而不包含用户信息;所述安全终端在接收到所述数字证书请求数据包后根据其中包含的数据生成至少两个数字证书并将所述至少两个数字证书一并下发给所述本地设备,所述数字证书包含有USBKey的标识信息而不包含用户信息;然后,所述本地设备将所述至少两个数字证书分别写入与其携带的标识信息相对应的智能密钥设备中。
本发明实施例提供的制证的方法,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
实施例三:
参见图3,本实施例提供的是一种制证的方法,在本实施例中,智能密钥设备为USB Key,本地安全终端包含本地设备和多个USB Key;上述多个USB Key可以是直接插在本地设备的多个USB接口上,也可以是通过USB HUB与本地设备进行连接。
在本实施例中,本地设备与安全终端预先约定双方互为信任方,并且本地设备直接向安全终端发送P10请求数据包申请证书,安全终端将生成的证书放在证书服务器上,本地设备再从上述证书服务器上下载证书到多个USB Key中,具体实现步骤如下:
步骤301、本地设备对操作者身份进行认证;如果认证成功,则进行步骤302;否则,向用户提示出错;
其中,对用户身份进行认证的方法包括但不限于以下方法:
验证用户输入的PIN码是否合法;
验证用户的生物特征是否合法;
验证用户提供的权限验证设备中是否包含合法数据;
验证用户提供的权限验证设备是否具有合法的硬件序列号;
将一些数据发送给权限验证设备进行运算,检查运算结果是否合法;
若验证结果为合法数据,则认证成功;否则,认证失败;
其中,所述权限验证设备可以为USB Key或智能卡。
步骤302、本地设备进行本机初始化操作,以激活本地设备中的各个模块从而使本地设备能够正常工作;
步骤303、本地设备检查USB Key是否与本地设备建立连接,若已建立连接,则执行步骤304;否则,向用户提示出错;
步骤304、本地设备对USB Key进行验证,以确认所述USB Key是否可用于数字证书下载;若验证成功,则执行步骤305;否则,向用户提示出错;
在本实施例中,本地设备对USB Key进行验证的方法包括但不限于以下方法:
本地设备将内部存储的PIN码发送给USB Key,USB Key比较接收到的PIN码与自身内置的PIN码是否一致;若一致,则验证成功;若不一致,则验证失败;
本地设备用内置的算法对USB Key的标识信息进行计算,得到PIN码并发送给USB Key,并且USB Key用内置的算法对标识信息进行计算得到PIN码,再比较计算得到的PIN码与接收到的PIN码是否相同;若相同,则验证成功;若不相同,则验证失败;
在本实施例中,USB Key的标识信息可以是USB Key的硬件序列号。
步骤305、本地设备从所有与本机连接的USB Key中选择一个USB Key,与其建立通信过程,并查找上述USB Key中是否存在空闲密钥对;若不存在,则执行步骤306;若存在,则执行步骤307;
在本实施例中,所述空闲密钥对指的是没有数字证书与其匹配的密钥对,本地设备查找USB Key中是否存在空闲密钥对的具体步骤为:本地设备从USBKey中查找密钥对,然后判断USB Key中是否有数字证书与查找得到的密钥对相匹配。
在本实施例中,USB Key中可以存在多个密钥对,相应地,也可以存在多个与所述密钥对相匹配的证书,证书之间不相互覆盖。
步骤306、USB Key根据内置的密钥生成算法产生密钥对;
步骤307、本地设备读取该USB Key中的标识信息;
步骤308、结合USB Key中的空闲密钥对以及USB Key的标识信息,本地设备与所述USB Key按照预先设定的规则产生一个P10请求数据包,并将该P10请求数据包发送给安全终端;
在本实施例中,所述预先设定的规则是:本地设备先读取上述USB Key中空闲密钥对中的公钥信息,再生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书的用途信息的数据包,并将该数据包发给USB Key,所述USB Key用其中的空闲密钥对中的私钥对所述数据包进行签名,并将对所述数据包进行签名后的签名值发送给本地设备,本地设备再将上述数据包、签名算法标识以及签名后的签名值组合成一个P10请求数据包;
在本实施例中,P10请求数据包中包含三部分内容:数据包、用空闲密钥对中的私钥对所述数据包进行签名后的签名值以及签名算法标识;所述数据包包括:密钥对中的公钥信息、USB Key的标识信息以及证书的用途信息等各种信息;在本发明实施例中的P10请求数据包不包含用户信息。
步骤309、安全终端接收上述P10请求数据包,用所述P10请求数据包中携带的公钥对签名值进行验证;若验证成功,则执行步骤310;否则,向用户提示出错;
步骤310、安全终端根据所述P10请求数据包中的数据信息生成数字证书,并将该数字证书发送给证书服务器,然后安全终端向本地设备发送一个可以下载证书的提示消息;
在本实施例步骤310中,安全终端生成的证书中不包含有用户信息,但包含有USB Key的标识信息。
步骤311、本地设备从证书服务器上获取所述数字证书;
步骤312、本地设备获取安全终端的公钥,并用该公钥对所述数字证书进行验证;
在本实施例中,本地设备获取安全终端的公钥的方法可以是:
本地设备预先从安全终端中获取安全终端的公钥;
本地设备在接收到签名后的证书后,从安全终端的根证书中获取安全终端的公钥。
步骤313、根据数字证书中的USB Key的标识信息,将验证成功后的证书写入对应的USB Key中;如果证书写入失败,则向用户提示失败信息,如果证书写入成功,则向用户提示成功信息;
在本实施例步骤313中,向用户提示失败或成功信息的方法包括但不限于以下方法:
本地设备通过语音发声的方法向用户提示失败或成功信息;
本地设备通过弹出对话框的方法向用户提示失败或成功信息;
USB Key通过语音发声的方法向用户提示失败或成功信息;
USB Key通过显示对话框的方法向用户提示失败或成功信息。
如果所述本地设备上连接有至少两个USB Key,则还可以进行以下步骤:
步骤314、本地设备与当前通信的USB Key断开连接,并与一个新的智能密钥设备建立通信连接,再重复进行制证过程。
如果所述本地设备上连接有至少两个USB Key,那么还可以由所述本地设备依次读取所述至少两个USB Key中的标识信息,根据所述标识信息依次生成至少两个数字证书请求数据包并将其一并发送给安全终端,在所述数字证书请求数据包中包含有USB Key的标识信息而不包含用户信息;所述安全终端在接收到所述数字证书请求数据包后根据其中包含的数据生成至少两个数字证书并将所述至少两个数字证书一并下发给所述本地设备,所述数字证书包含有USBKey的标识信息而不包含用户信息;然后,所述本地设备将所述至少两个数字证书分别写入与其携带的标识信息相对应的智能密钥设备中。
本发明实施例提供的制证的方法,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
实施例四:
如图4所示,本发明实施例提供一种制证装置,包括读取模块401、请求模块402、发送模块403、接收模块404以及写入模块405;其中,
读取模块401,用于从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
请求模块402,用于生成数字证书请求数据包,所述数字证书请求数据包分别包含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中的公钥信息;
发送模块403,用于将所述请求模块402生成的数字证书请求数据包发送给安全终端;
接收模块404,用于接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息而不包含用户信息;
写入模块405,用于将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
其中,所述请求模块402具体包括:
读取单元4021,用于读取所述智能密钥设备中的空闲密钥对中的公钥信息;
生成单元4022,用于生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书的用途信息的数据包;
发送单元4023,用于将所述生成单元4022生成的数据包发送给所述智能密钥设备;
接收单元4024,用于接收经所述智能密钥设备中的空闲密钥对中的私钥对所述数据包进行签名后的签名值;
组合单元4025,用于将所述数据包、所述签名后的签名值以及所述签名算法标识组合成一个数字证书请求数据包。
本发明实施例提供的制证装置,还可以包括:
第一判断模块406,用于判断所述用户是否具有进行数字证书下载的权限;
初始化模块407,用于在所述第一判断模块406判断所述用户具有进行数字证书下载的权限时,进行本地设备的初始化操作。
本发明实施例提供的制证装置,还可以包括:
第二判断模块408,用于判断所述智能密钥设备是否可用于数字证书下载。
进一步地,本发明实施例提供的制证装置,还可以包括:
查找模块409,用于在所述第二判断模块408判断所述智能密钥设备可用于数字证书下载时,查找所述智能密钥设备中的空闲密钥对;
通知模块410,用于在所述查找模块409查找所述智能密钥设备中不存在空闲密钥对时,通知所述智能密钥设备根据内置的密钥算法生成一密钥对。
获取模块411,用于获取所述安全终端的密钥对的公钥;
验证模块412,用于利用所述公钥对所接收到的所述数字证书进行验证。
如果所述制证装置上连接有至少两个智能密钥设备,则本发明实施例提供的制证装置还包括一跳转模块413;
所述跳转模块413,用于断开与所述智能密钥设备之间的通信连接,并与一个新的智能密钥设备建立通信连接,再重复进行制证过程。
或者,如果所述制证装置上连接有至少两个智能密钥设备,则所述请求模块402生成至少两个数字证书请求数据包,且每个数字证书请求数据包中对应地包含有所述至少两个智能密钥设备中一个智能密钥设备的标识信息;
相应地,所述发送模块403发送至少两个数字证书请求数据包;
所述接收模块404接收到至少两个数字证书,且每个数字证书对应地包含有所述至少两个智能密钥设备中一个智能密钥设备的标识信息;
所述验证模块412,用于利用所述获取模块411获取的公钥对所接收到的至少两个数字证书进行验证;
所述写入模块405,用于在所述验证模块412对接收到的至少两个数字证书进行验证的结果为合法时,将所述至少两个数字证书分别写入与其包含的标识信息对应的智能密钥设备中。
本发明实施例提供的制证装置,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
实施例五:
参考图5和图6,本发明实施例提供的制证的系统,包括制证装置501、安全终端502以及智能密钥设备503;其中,
所述制证装置501,用于读取与所述制证装置501连接的所述智能密钥设备中的标识信息,结合所述标识信息生成数字证书请求数据包并将其发送给所述安全终端502,并且,将从所述安全终端502处获取到的数字证书写入到所述智能密钥设备中;
所述安全终端502,用于根据所述制证装置501发送的数字证书请求数据包,生成包含有所述标识信息的数字证书,并将所述数字证书发送给所述制证装置501;
其中,所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥设备的标识信息而不包含用户信息。
如图5所示,本发明实施例提供的制证系统还可以包括安全中继504;其中,
所述安全中继504,用于接收所述制证装置501发送的数字证书请求数据包,并将该数字证书请求数据包转发给所述安全终端502;并且,接收所述安全终端502下发的数字证书并将该数字证书转发给所述制证装置501;或者,
所述安全中继504,用于接收所述制证装置501发送的数字证书请求数据包,并验证该数字证书请求数据包的合法性;在所述数字证书请求数据包合法时,将其转发给所述安全终端502;并且,接收所述安全终端502下发的数字证书并将该数字证书转发给所述制证装置501。
如图6所示,本发明施例提供的制证系统还可以包括证书服务器505;其中,
所述证书服务器505,用于接收并存放所述安全终端502下发的数字证书,并供所述制证装置501下载数字证书。
本发明实施例提供的制证的系统,通过将数字证书与智能密钥设备进行绑定,数字证书中不需要包含用户信息,使得下载数字证书的过程中不再需要用户输入个人信息,因此整个数字证书的下载过程成为一个可以由智能密钥设备提供方来完成的、可自动实现的过程,不仅省却了用户自己下载数字证书时的烦琐过程,而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程,大大提高了工作效率。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (19)
1、一种制证的方法,其特征在于,包括:
从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
生成数字证书请求数据包并发送给安全终端,所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥对中的公钥信息;
接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息;
将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
2、根据权利要求1所述的制证的方法,其特征在于,所述智能密钥设备的标识信息是所述智能密钥设备的硬件序列号。
3、根据权利要求1所述的制证的方法,其特征在于,在所述从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息的步骤之前,还包括:
查找所述智能密钥设备中的空闲密钥对;
如果所述智能密钥设备中不存在空闲密钥对,则由所述智能密钥设备根据内置的密钥算法生成密钥对。
4、根据权利要求3所述的制证的方法,其特征在于,在所述查找所述智能密钥设备中的空闲密钥对的步骤之前,还包括:
判断所述智能密钥设备是否可用于数字证书下载;
所述查找所述智能密钥设备中的空闲密钥对为:如果所述智能密钥设备可用于数字证书下载,则查找该智能密钥设备中的空闲密钥对。
5、根据权利要求4所述的制证的方法,其特征在于,所述判断所述智能密钥设备是否可用于数字证书下载的步骤具体包括:
将预设的PIN码发送给所述智能密钥设备;
所述智能密钥设备比较接收到的PIN码与自身内置的PIN码是否一致,若一致,则所述智能密钥设备可用于数字证书下载,若不一致,则所述智能密钥设备不可用于数字证书下载。
6、根据权利要求1所述的制证的方法,其特征在于,在所述读取所述智能密钥设备的标识信息的步骤之前,还包括:
判断所述操作员是否具有进行数字证书下载的权限;
如果所述操作员具有进行数字证书下载的权限,则进行本地设备的初始化操作。
7、根据权利要求1所述的制证的方法,其特征在于,所述生成数字证书请求数据包的步骤,具体为:
读取所述智能密钥设备中空闲密钥对中的公钥信息;
生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书用途信息的数据包并将其发送给所述智能密钥设备;
接收经所述智能密钥设备中的空闲密钥对中的私钥对所述数据包进行签名后的签名值;
将所述数据包、签名算法标识以及所述签名值组合生成一个数字证书请求数据包。
8、根据权利要求1所述的制证的方法,其特征在于,在所述将所述数字证书写入与其包含的标识信息对应的智能密钥设备中的步骤之后,还包括:
与所述智能密钥设备断开通信连接,并与一个新的智能密钥设备建立通信连接,再重复进行制证过程。
9、根据权利要求1所述的制证的方法,其特征在于,如果所述智能密钥设备为至少两个智能密钥设备,则
所述数字证书请求数据包为至少两个数字证书请求数据包,且每个数字证书请求数据包中对应地包含有至少两个智能密钥设备中一个智能密钥设备的标识信息;
所述数字证书至少为两个数字证书,且每个数字证书对应地包含有至少两个智能密钥设备中一个智能密钥设备的标识信息。
10、一种制证装置,其特征在于,包括:
读取模块,用于从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息;
请求模块,用于生成数字证书请求数据包,所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中的公钥信息;
发送模块,用于将所述请求模块生成的数字证书请求数据包并发送给安全终端;
接收模块,用于接收所述安全终端下发的数字证书,所述数字证书包含有所述智能密钥设备的标识信息;
写入模块,用于将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
11、根据权利要求10所述的制证装置,其特征在于,所述制证装置还包括:
第一判断模块,用于判断所述操作员是否具有进行数字证书下载的权限;
初始化模块,用于在所述第一判断模块判断所述操作员具有进行数字证书下载的权限时,进行本地设备的初始化操作。
12、根据权利要求10所述的制证装置,其特征在于,所述制证装置还包括:
第二判断模块,用于判断所述智能密钥设备是否可用于数字证书下载。
13、根据权利要求10所述的制证装置,其特征在于,所述制证装置还包括:
查找模块,用于在所述第二判断模块判断所述智能密钥设备可用于数字证书下载时,查找所述智能密钥设备中的空闲密钥对;
通知模块,用于在所述查找模块查找所述智能密钥设备中不存在空闲密钥对时,通知所述智能密钥设备根据内置的密钥算法生成一密钥对。
14、根据权利要求10所述的制证装置,其特征在于,所述请求模块进一步包括:
读取单元,用于读取所述智能密钥设备中空闲密钥对中的公钥信息;
生成单元,用于生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书用途信息的数据包;
发送单元,用于将所述生成单元生成的数据包发送给所述智能密钥设备;
接收单元,用于接收经所述智能密钥设备中的空闲密钥对中的私钥对所述数据包进行签名后的签名值;
组合单元,用于将所述数据包、签名算法标识以及所述签名值组合成数字证书请求数据包。
15、根据权利要求10所述的制证装置,其特征在于,所述制证装置还包括:
跳转模块,用于断开与所述智能密钥设备之间的通信连接,并与一个新的智能密钥设备建立通信连接,再重复进行制证过程。
16、根据权利要求10所述的制证装置,其特征在于,如果所述制证装置上连接有至少两个智能密钥设备,则
所述请求模块生成至少两个数字证书请求数据包,且每个数字证书请求数据包中对应地包含有至少两个智能密钥设备中一个智能密钥设备的标识信息;
所述发送模块发送至少两个数字证书请求数据包给安全终端;
所述接收模块接收到至少两个数字证书,且每个数字证书对应地包含有至少两个智能密钥设备中一个智能密钥设备的标识信息。
17、一种制证的系统,其特征在于,包括制证装置、安全终端以及智能密钥设备;其中,
所述制证装置,用于读取与所述制证装置连接的所述智能密钥设备中的标识信息,结合所述智能密钥设备中的标识信息生成数字证书请求数据包并将其发送给所述安全终端,并且,将从所述安全终端处获取到的数字证书写入到所述智能密钥设备中;
所述安全终端,用于结合所述制证装置发送的数字证书请求数据包,生成包含有所述智能密钥设备中的标识信息的数字证书,并将所述数字证书发送给所述制证装置;
其中,所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥设备的标识信息。
18、根据权利要求17所述的制证的系统,其特征在于,该系统还包括安全中继;其中,
所述安全中继,用于接收所述制证装置发送的数字证书请求数据包,并将该数字证书请求数据包转发给所述安全终端;并且,接收所述安全终端下发的数字证书并将该数字证书转发给所述制证装置;或者,
所述安全中继,用于接收所述制证装置发送的数字证书请求数据包,并验证该数字证书请求数据包的合法性;当验证所述数字证书请求数据包合法时,将其转发给所述安全终端;并且,接收所述安全终端下发的数字证书并将该数字证书转发给所述制证装置。
19、根据权利要求17所述的制证的系统,其特征在于,该系统还包括证书服务器;
所述证书服务器,用于接收并保存所述安全终端下发的数字证书,并供所述制证装置下载数字证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247052A CN101527714B (zh) | 2008-12-31 | 2008-12-31 | 制证的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810247052A CN101527714B (zh) | 2008-12-31 | 2008-12-31 | 制证的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101527714A true CN101527714A (zh) | 2009-09-09 |
| CN101527714B CN101527714B (zh) | 2012-09-05 |
Family
ID=41095414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810247052A Active CN101527714B (zh) | 2008-12-31 | 2008-12-31 | 制证的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101527714B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977193A (zh) * | 2010-10-28 | 2011-02-16 | 北京飞天诚信科技有限公司 | 安全下载证书的方法及系统 |
| CN103078746A (zh) * | 2013-02-07 | 2013-05-01 | 飞天诚信科技股份有限公司 | 一种数据包的生成方法 |
| CN103716167A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 一种安全采集和分发传输密钥的方法及装置 |
| CN101527633B (zh) * | 2008-12-31 | 2014-12-10 | 飞天诚信科技股份有限公司 | 智能密钥设备获取数字证书的方法 |
| CN107645488A (zh) * | 2017-05-27 | 2018-01-30 | 安徽师范大学 | 基于U盾的Web数据存储和数据传输方法 |
| WO2018045917A1 (zh) * | 2016-09-09 | 2018-03-15 | 天地融科技股份有限公司 | 一种授权系统、方法及卡片 |
| WO2018045916A1 (zh) * | 2016-09-09 | 2018-03-15 | 天地融科技股份有限公司 | 一种授权方法、系统及卡片 |
| CN108234119A (zh) * | 2018-01-30 | 2018-06-29 | 京信通信系统(中国)有限公司 | 一种数字证书管理方法和平台 |
| CN111641502A (zh) * | 2020-06-01 | 2020-09-08 | 中国农业银行股份有限公司 | 基于超级柜台的电子证书下载方法及装置 |
| CN111800271A (zh) * | 2020-06-29 | 2020-10-20 | 格尔软件股份有限公司 | 一种基于xml传输格式的批量发证方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475247B2 (en) * | 2004-12-16 | 2009-01-06 | International Business Machines Corporation | Method for using a portable computing device as a smart key device |
| CN200993803Y (zh) * | 2006-12-18 | 2007-12-19 | 汉王科技股份有限公司 | 网上银行系统安全终端 |
| CN101034973B (zh) * | 2007-01-08 | 2012-04-18 | 飞天诚信科技股份有限公司 | 一种人为干预签名的智能密钥装置及其工作方法 |
| CN101174295B (zh) * | 2008-01-16 | 2010-09-01 | 北京飞天诚信科技有限公司 | 一种可离线的drm认证的方法及系统 |
-
2008
- 2008-12-31 CN CN200810247052A patent/CN101527714B/zh active Active
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527633B (zh) * | 2008-12-31 | 2014-12-10 | 飞天诚信科技股份有限公司 | 智能密钥设备获取数字证书的方法 |
| CN101977193B (zh) * | 2010-10-28 | 2013-11-13 | 飞天诚信科技股份有限公司 | 安全下载证书的方法及系统 |
| CN101977193A (zh) * | 2010-10-28 | 2011-02-16 | 北京飞天诚信科技有限公司 | 安全下载证书的方法及系统 |
| CN103078746B (zh) * | 2013-02-07 | 2015-06-17 | 飞天诚信科技股份有限公司 | 一种数据包的生成方法 |
| CN103078746A (zh) * | 2013-02-07 | 2013-05-01 | 飞天诚信科技股份有限公司 | 一种数据包的生成方法 |
| CN103716167B (zh) * | 2013-03-15 | 2017-01-11 | 福建联迪商用设备有限公司 | 一种安全采集和分发传输密钥的方法及装置 |
| CN103716167A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 一种安全采集和分发传输密钥的方法及装置 |
| WO2018045917A1 (zh) * | 2016-09-09 | 2018-03-15 | 天地融科技股份有限公司 | 一种授权系统、方法及卡片 |
| WO2018045916A1 (zh) * | 2016-09-09 | 2018-03-15 | 天地融科技股份有限公司 | 一种授权方法、系统及卡片 |
| CN107645488A (zh) * | 2017-05-27 | 2018-01-30 | 安徽师范大学 | 基于U盾的Web数据存储和数据传输方法 |
| CN108234119A (zh) * | 2018-01-30 | 2018-06-29 | 京信通信系统(中国)有限公司 | 一种数字证书管理方法和平台 |
| CN111641502A (zh) * | 2020-06-01 | 2020-09-08 | 中国农业银行股份有限公司 | 基于超级柜台的电子证书下载方法及装置 |
| CN111641502B (zh) * | 2020-06-01 | 2023-08-04 | 中国农业银行股份有限公司 | 基于超级柜台的电子证书下载方法及装置 |
| CN111800271A (zh) * | 2020-06-29 | 2020-10-20 | 格尔软件股份有限公司 | 一种基于xml传输格式的批量发证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101527714B (zh) | 2012-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527714B (zh) | 制证的方法、装置及系统 | |
| CN101527630B (zh) | 远程制证的方法、服务器及系统 | |
| CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
| CN111835520B (zh) | 设备认证的方法、服务接入控制的方法、设备及存储介质 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| US8438385B2 (en) | Method and apparatus for identity verification | |
| US8433914B1 (en) | Multi-channel transaction signing | |
| CN103269271B (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN105099673A (zh) | 一种授权方法、请求授权的方法及装置 | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| US20080130879A1 (en) | Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment | |
| CN101527634B (zh) | 账户信息与证书绑定的系统和方法 | |
| US9065806B2 (en) | Internet based security information interaction apparatus and method | |
| US20230180010A1 (en) | Method for securely connecting vehicle and bluetooth key, and bluetooth module and bluetooth key | |
| WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN106027250A (zh) | 一种身份证信息安全传输方法及系统 | |
| CN105939194A (zh) | 一种电子密钥设备私钥的备份方法和系统 | |
| CN1697376A (zh) | 用集成电路卡对数据进行认证或加密的方法和系统 | |
| CN111062059A (zh) | 用于业务处理的方法和装置 | |
| CN103281188B (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
| CN103684796A (zh) | 一种用户身份识别模块卡及个人身份认证方法 | |
| CN104918245B (zh) | 一种身份认证方法、装置、服务器及客户端 | |
| CN105989481B (zh) | 数据交互方法及系统 | |
| CN115086090A (zh) | 基于UKey的网络登录认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |