專利名稱:一種管理數字證書的方法和系統的制作方法
技術領域:
本發(fā)明涉及電子領域�,尤其涉及一種管理數字證書的方法和系統。
背景技術:
在當今這樣一個互聯網驅動的社會中��,網上銀行也稱在線銀行��,已經成 為金融機構整體發(fā)展策略中不可或缺的一部分��。近年來使用網上銀行的用戶 數量巨大增長�����,網上銀行在給它的用戶帶來諸多便捷服務、給銀行節(jié)省費用 支出和帶來更多利潤增長點的同時���,也承受著很多安全風險�����。為了提高網上 銀行的安全性�,國內很多銀行紛紛采取行動�,包括不斷教育用戶提高自身安
全意識,安裝殺毒軟件�,防木馬軟件;采用硬件數字證書載體(USBKey, 當前�,不同的銀行公司對USBKey稱呼不同,比如工行稱之為U盾�、招行稱 之為五彩優(yōu)K,而建行稱之為網銀盾�。)或者動態(tài)口令牌方式進行身份認證 等。
USB Key中保存由第三方數字證書認證中心(CA, Certificate Authority) 或銀行CA認證中心向客戶頒發(fā)的數字證書����,通過數字證書的簽名功能,對 客戶和網上銀行交易信息進行身份認證和加密保護����。當前客戶在銀行柜臺辦 理開通網上銀行手續(xù)時�����,領取空白的USB Key (即未保存數字證書的USB Key)���,往往需要通過登陸網上銀行自行下載數字證書到USBKey中,然而 由于客戶端計算機環(huán)境的復雜性�����,如各種操作系統��、各種防火墻軟件�、各種 因特網瀏覽器(正,Internet Explorer)插件等��,導致客戶下栽數字證書的流 程復雜���,操作繁瑣�����,甚至下載失敗�,如何更好地管理數字證書,使客戶方便 地使用USB Key是人們一直研究的熱點問題�����。
發(fā)明內容
本發(fā)明實施例在于提供一種管理數字證書的方法和系統�,更加有效地管 理數字證書,更加方便客戶使用USBKey,提高客戶體驗���。為了達到上述技術效果�����,本發(fā)明實施例提出了 一種管理數字證書的方法,
該方法包才舌
網上銀行數字證書認證中心CA系統將生成的數字證書傳送給硬件數字
證書載體USB Key預制系統����;
所述USB Key預制系統將接收到的數字證書預先下載到USB Key中�����。 優(yōu)選地�����,所述網上銀行CA系統將生成的數字證書傳送給USB Key預制
系統之前還包括
所述USB Key預制系統根據非對稱加密算法計算產生公私密鑰對����,并將 產生的公鑰傳送給所述網上銀行CA系統;
所述網上銀行CA系統接收到所述公鑰之后����,根據所述公鑰生成數字證書。
優(yōu)選地�,所述USB Key預制系統將接收到的數字證書預先下載到USB Key中包括
所述USB Key預制系統檢驗所述接收的數字證書中的公鑰是否與所述 產生的公鑰一致;
當所述檢驗結果為是時��,USB Key預制系統將所述數字證書預先下載到 USB Key中�。
優(yōu)選地,所述USB Key預制系統根據非對稱加密算法計算產生公私密鑰 對之后還包括
所述USB Key預制系統根據產生的公鑰由散列算法計算產生所述公鑰 的散列值��;
所述USB Key預制系統通過預置密鑰加密所述散列值���,產生公鑰驗證碼, 并將所述公鑰驗證碼傳送給所述網上銀行CA系統�;
所述網上銀行CA系統接收到所述公鑰之后�,根據所述公鑰生成數字證 書,并將所述數字證書傳送給所述USB Key預制系統包括
所述網上銀行C A系統接收所述公鑰和所述公鑰驗證碼���;
所述網上銀行CA系統檢查所述^A鑰驗證碼是否正確����;
當所述檢查的結果為是時,所述網上銀行CA系統根據所述公鑰生成數 字證書�����,并將所述數字證書傳送給所述USBKey預制系統�。
優(yōu)選地,所述USB Key預制系統將所述數字證書預先下載到USB Key中之后還包括
所述USB Key預制系統根據所述數字證書對測試數據進行簽名��,并向所 述網上銀行CA系統傳送簽名后的測試數據��;
所述網上銀行CA系統接收到所述簽名后的測試數據之后�����,根據所述數 字證書的公鑰對所述測試數據進行解密��,并向所述USB Key預制系統傳送解 密后的測試數據�;
所述USB Key預制系統接收到所述解密后的測試數據之后,判斷所述解 密后的測試數據是否正確�����;
當所述判斷結果為否時�,所述USB Key預制系統通知所述網上^I艮行CA 系統重新傳送數字證書��。
優(yōu)選地,所述USB Key預制系統將接收到的數字證書預先下載到USB Key中之前還包括
所述USB Key預制系統生成與所述USB Key對應的序列號信息����,并向所 述網上銀行C A系統傳送所述序列號信息;
所述網上銀行CA系統接收到所述序列號信息之后����,記錄所述序列號信 息與所述數字證書的對應關系。
相應地����,本發(fā)明實施例還/>開了 一種銀行系統,所述《艮行系統包括 網上銀行CA系統����,用于將生成的數字證書傳送給USB Key預制系統; USB Key預制系統�����,用于將接收到的數字證書預先下載到USB Key中�。 優(yōu)選地,所述USB Key預制系統包括
公私密鑰對產生模塊��,用于根據非對稱加密算法計算產生公私密鑰對; 公鑰傳送模塊�,用于將所述公私密鑰對產生模塊產生的公鑰傳送給所述 網上銀行CA系統;
所述網上銀行CA系統包括
公鑰接收模塊����,用于接收所述USB Key預制系統傳送的公鑰; 數字證書生成模塊���,用于根據所述公鑰接收模塊接收的公鑰生成數字證
書����;
數字證書傳送模塊�����,用于將所述數字證書生成模塊生成的數字證書傳送 給所述USB Key預制系統�。
優(yōu)選地,所述USB Key預制系統還包括公鑰檢驗模塊�����,用于檢驗接收到的數字證書中的公鑰是否與所述公私密
鑰對產生模塊產生的公鑰 一致�;
下載模塊,用于當所述公鑰檢驗模塊的檢驗結果為是時�����,將所述數字證 書預先下載到USB Key中。
優(yōu)選地���,所述USB Key預制系統還包括
散列值產生模塊,用于根據所述公私密鑰對產生模塊產生的公鑰由散列 算法計算產生所述公鑰的散列值�����;
公鑰驗證碼產生模塊����,用于通過預置密鑰加密所述散列值產生模塊產生 的散列值,產生公鑰驗證碼�����;
公鑰驗證碼傳送模塊�����,用于向所述網上銀行CA系統傳送所述公鑰驗證 碼產生模塊產生的公鑰驗證碼���;
所述網上銀行CA系統還包括
公鑰驗證碼接收模塊�,用于接收公鑰驗證碼;
檢查模塊����,用于檢查所述公鑰驗證碼接收模塊接收的公鑰驗證碼是否正
確;
檢查處理模塊����,用于當所述檢查模塊的檢查結果為是時,觸發(fā)所述數字 證書生成模塊生成數字證書��。
優(yōu)選地�����,所述USBKey預制系統還包括
測試簽名模塊����,用于根據所述接收的數字證書對測試數據進行簽名,并 將簽名后的測試數據傳送給所述網上銀行CA系統�����;
判斷模塊�����,用于判斷接收到的解密后的測試數據是否正確,所述解密后 的測試數據為網上銀行CA系統根據所述數字證書的公鑰對接收到的簽名后 的測試數據進行解密后的數據�;
判斷處理模塊,用于當所述判斷模塊的判斷結果為否時�,通知所述網上 銀行CA系統重新傳送數字證書;
所述網上銀行CA系統還包括
測試解密模塊��,用于根據所述數字證書的公鑰對接收到的簽名后的測試 數據進行解密�,并向所述USB Key預制系統傳送解密后的測試數據。 優(yōu)選地���,所述USB Key預制系統還包括
序列號信息生成模塊,用于生成與所述USBKey對應的序列號信息�,并向所述網上銀行CA系統傳送所述序列號信息; 所述網上銀行CA系統還包括
記錄模塊����,用于當接收到所述序列號信息之后,記錄所述序列號信息與 所述數字證書的對應關系��。
優(yōu)選地�����,所述USBKey攜帶有用于指紋驗證的指紋信息��;和/或 所述USB Key攜帶有用于顯示數據信息的顯示屏;和/或 所述USB Key攜帶有用于播放數據信息的揚聲器����;和/或 所述USB Key攜帶有用于按鍵驗證的按鍵信息。
相應地����,本發(fā)明實施例還公開了 一種USB Key預制系統,所述USB Key 預制系統為上述所述的USB Key預制系統��。
實施本發(fā)明實施例��,通過銀行系統預先制作下載有數字證書的USB Key, 使客戶在開通網上銀行���,領取USBKey后無需自行下載數字證書即可立即使 用����,避免了客戶開通網上銀行后需要自行下載數字證書到USBKey中�,簡化 了客戶操作,提高了客戶的體驗���。
為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案����,下面將對實 施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面 描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講�, 在不付出創(chuàng)造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖����。 圖l是本發(fā)明實施例的銀行系統的結構示意圖; 圖2是本發(fā)明實施例的USB Key預制系統的結構示意圖����; 圖3是本發(fā)明實施例的網上銀行CA系統的結構示意圖��; 圖4是本發(fā)明實施例的USB Key預制系統的結構示意圖���; 圖5是本發(fā)明實施例的網上銀行CA系統的結構示意圖��; 圖6是本發(fā)明實施例的管理數字證書的方法流程示意圖��; 圖7是本發(fā)明實施例的生成數字證書的方法流程示意圖��; 圖8是本發(fā)明實施例的聯機驗證數字證書的方法流程圖����。
具體實施方式
本發(fā)明實施例提供了 一種管理數字證書的方法和系統,更加有效地管理
數字證書�,更加方便客戶使用USBKey,提高客戶體驗。 下面結合附圖詳細說明本發(fā)明的優(yōu)選實施例����。
請參閱圖l示出的本發(fā)明實施例的銀行系統的結構示意圖,所述銀行系
統10包括網上銀行CA系統1和USB Key預制系統2,其中
網上銀行CA系統1用于將生成的數字證書傳送給USB Key預制系統2; USB Key預制系統2用于將接收到的數字證書預先下栽到USB Key中�����。 具體地����,如圖2示出的本發(fā)明實施例的USB Key預制系統的結構示意圖,
USB Key預制系統2包括公私密鑰對產生模塊21��、公鑰傳送模塊22�、公鑰
檢驗模塊23和下載模塊24,其中
公私密鑰對產生模塊21用于根據非對稱加密算法計算產生公私密鑰對
具體地,該非對稱加密算法可以為RSA算法���、橢圓曲線算法等�。
公鑰傳送模塊22用于將公私密鑰對產生模塊21產生的公鑰傳送給網上
銀行CA系統1。
具體地�,公鑰傳送模塊22可以通過公共網絡或者專用網絡將產生的公鑰 傳送給網上銀行CA系統1,也可以將把該公鑰通過光盤����、USB盤等存儲設備 手工傳送給網上銀行CA系統1 。
公鑰檢驗模塊23用于檢驗接收到的數字證書中的公鑰是否與公私密鑰 對產生模塊21產生的公鑰一致��;
下載模塊24用于當公鑰檢驗模塊23的檢驗結果為是時�����,將所述數字證書 預先下載到USBKey中����。
需要說明的是,公私密鑰對產生模塊21根據非對稱加密算法計算產生公 私密鑰對之前���,銀行與USBKey生產廠家預先定義一個主密鑰����,該USB Key 生產廠家通過預置密鑰寫入模塊把預先定義的主密鑰的分散值寫入USB Key中����,所述分散值即為預置密鑰,以保證一個USBKey對應一個密鑰�����;根 據預先定義的主密鑰��,公私密鑰對產生模塊21通過非對稱加密算法計算產生 公私密鑰對�。
如圖3示出的本發(fā)明實施例的網上銀行CA系統的結構示意圖,網上銀行 CA系統l包括公鑰接收模塊ll�、數字證書生成模塊12和數字證書傳送模塊13, 其中公鑰接收模塊ll用于接收USB Key預制系統2傳送的公鑰��; 數字證書生成模塊12用于根據公鑰接收模塊11接收的公鑰生成數字證
書����;
數字證書傳送模塊13用于將數字證書生成模塊12生成的數字證書傳送 給USBKey預制系統2。
請參閱圖4示出的本發(fā)明另 一個實施例的USB Key預制系統的結構示意 圖����,USB Key預制系統2包括公私密鑰對產生模塊21、公鑰傳送模塊22��、公 鑰檢驗模塊23和下載模塊24��,如上述實施例所述的一致���,這里不再贅述�, USB Key預制系統2還包括散列值產生模塊25、公鑰驗證碼產生模塊26����、公 鑰驗證碼傳送模塊27、測試簽名模塊28����、判斷模塊29和判斷處理模塊210, 其中
散列值產生模塊25用于根據公私密鑰對產生模塊21產生的公鑰由散列
算法計算產生所述公鑰的散列值�;
公鑰驗證碼產生模塊26用于通過預置密鑰加密散列值產生模塊25產生 的散列值,產生公鑰驗證碼��;
公鑰驗證碼傳送模塊27用于向網上銀行CA系統1傳送公鑰驗證碼產生 模塊26產生的公鑰驗證碼��。
測試簽名模塊28用于根據所述接收的數字證書對測試數據進行簽名����,并 將簽名后的測試數據傳送給網上銀行C A系統1;
具體地,本發(fā)明實施例的USB Key預制系統2與網上銀行CA系統l還可 以聯機驗證數字證書���,在USB Key預制系統的2中的下載模塊24將數字證書 下載到USB Key之后�����,測試簽名模塊28根據所述接收的數字證書對測試數據 進行簽名��,并將簽名后的測試數據傳送給網上銀行CA系統1���。
判斷模塊29用于判斷接收到的解密后的測試數據是否正確,所述解密后 的測試數據為網上銀行CA系統l根據所述數字證書的公鑰對接收到的簽名 后的測試數據進行解密后的數據�����;
判斷處理模塊210用于當判斷模塊29的判斷結果為否時�����,通知網上銀行 CA系統1重新傳送數字證書����。
請參閱圖5示出的本發(fā)明另 一 個實施例的網上銀行CA系統的結構示意 圖,網上銀行CA系統l包括公鑰接收模塊ll��、數字證書生成模塊12和數字證書傳送模塊13,如上述實施例所述的一致���,這里不再贅述��,網上銀行CA系
統1還包括公鑰驗證碼接收模塊14�、檢查模塊15、檢查處理模塊16和測試解
密模塊n�,其中
公鑰驗證碼接收模塊14用于接收公鑰驗證碼;
檢查模塊15用于檢查公鑰驗證碼接收模塊14接收的公鑰驗證碼是否正
確�;
檢查處理模塊16用于當檢查模塊15的檢查結果為是時,則觸發(fā)數字證書 生成模塊12生成數字證書��,當檢查模塊15的檢查結果為否時���,通知USBKey 預制系統2重新發(fā)送公鑰驗證碼�����;
具體地����,檢查模塊15檢查出接收到的公鑰驗證碼不正確后����,則不予生成 數字證書,要求USB Key預制系統2重新發(fā)送公鑰驗證碼����,或者要求USB Key 預制系統2重新發(fā)送公鑰以及^>鑰驗證碼。
測試解密模塊17用于根據所述數字證書的公鑰對接收到的簽名后的測 試數據進行解密�����,并向USB Key預制系統2傳送解密后的測試數據���。
需要說明的是����,為了進一步提高USB Key的安全性�,本發(fā)明實施例的 USB Key預制系統2還可以進一步包括序列號信息生成模塊,用于生成與所 述USB Key對應的序列號信息���,并向網上銀行CA系統l傳送所述序列號信 息��;本發(fā)明實施例的網上銀行CA系統1還可以進一步包括記錄模塊����,用于當 接收到所述序列號信息之后�,記錄所述序列號信息與所述數字證書的——對 應關系。
需要說明的是��,本發(fā)明實施例的USB Key預制系統2還可以進一步包括 生產管理模塊���,用于管理生產數字證書中各個模塊的處理流程��;還有數據庫 管理模塊�,用于存儲各個模塊處理所需的數據。
需要說明的是�����,本發(fā)明實施例的USBKey可以帶有指紋�、顯示屏、揚聲 器或按鍵等功能�����,具體地����,USBKey可以攜帶有客戶的指紋信息,通過使用 指故驗證代替密碼�,減輕客戶記憶密碼的負擔;USB Key也可以攜帶有用 于顯示數據信息的顯示屏�,在客戶簽名之前把送到USB Key內的交易數據信 息顯示出來,供客戶確認�����;USBKey也可以攜帶有播放數據的揚聲器,在客 戶簽名之前把送到USBKey內的交易數據信息報讀出來�����,供客戶確認�����;USB Key也可以攜帶有用于按鍵驗證的按鍵信息���,如可以從硬件形態(tài)上增加了 一個物理按鍵,當需要進行簽名時����,就會啟動按鍵等待操作,在有效時限內(用 戶可以自行設定時限長短)按下物理按鍵后簽名才能成功�����,否則簽名操作失 敗�����。
通過上述實施例�,通過銀行系統預先制作下載有數字證書的USB Key, 使客戶在開通網上銀行,領取USBKey后無需自行下載數字證書即可立即使 用,避免了客戶開通網上銀行后需要自行下載數字證書到USBKey中��,簡化 了客戶操作����,提高了客戶的體驗,避免了客戶通過銀行代理下載數字證書���, 降低了銀行內部的工作量和內部操作風險�,提高了工作效率����,節(jié)約了網絡資 源;通過檢測公鑰驗證碼�����,更好地確保了公鑰的正確性�;通過增加USBKey 的序列號信息,進一步提高了USB Key的安全性����。
上面詳細說明了本發(fā)明實施例的銀行系統,相應地�,下面結合附圖詳細
說明本發(fā)明實施例的管理數字證書的方法。
請參閱圖6示出本發(fā)明實施例的管理數字證書的方法流程示意圖,該方 法包括如下步驟
步驟S601:網上銀行數字證書認證中心CA系統將生成的數字證書傳送 給硬件數字證書載體USB Key預制系統��;
步驟S602:所述USB Key預制系統將接收到的數字證書預先下載到USB Key中�。
具體地,步驟S601之前本發(fā)明實施例還可以進一步包括銀行與USB Key生產廠家預先定義一個主密鑰���,該USB Key生產廠家把預先定義的主密 鑰的分散值寫入USB Key中����,所述分散值即為預置密鑰��,以保證一個USB Key對應一個密鑰���;根據預先定義的主密鑰,USB Key預制系統通過非對稱 加密算法計算產生公私密鑰對�����,并將產生的公鑰傳送給網上銀行CA系統�����, 網上銀行CA系統接收到公鑰之后���,根據該公鑰生成數字證書�。需要說明的 是,本發(fā)明實施例的非對稱加密算法可以為RSA算法�����、橢圓曲線算法等����, USB Key預制系統可以通過公共網絡或者專用網絡將產生的公鑰傳送給網 上銀行CA系統,也可以將把該公鑰通過光盤�����、USB盤等存儲設備手工傳送 給網上銀行CA系統�。
具體地,步驟S602中可以進一步包括USBKey預制系統檢驗接收的數 字證書中的公鑰是否與上述產生的公鑰一致�;當所述檢驗結果為是時,則USB Key預制系統將所述數字證書預先下載到USB Key中�,當所述檢驗結果 為否時,則USB Key預制系統通知網上銀行CA系統重新傳送數字證書���。需 要說明的是����,USB Key預制系統可以通過直接驗證數字證書中的公鑰是否與 上述產生的公鑰 一致,也可以通過公私鑰對的配對關系驗證數字證書中的公 鑰是否與上述產生的公鑰一坎在客戶開通網上銀行時銀行向客戶發(fā)放攜帶 有數字證書的USB Key,并且在網上銀行CA系統建立客戶與數字證書的一 一只于應關系���。
下面結合圖7示出的本發(fā)明實施例的生成數字證書的方法流程示意圖���, 詳細說明網上銀行CA系統生成數字證書的方法流程,該方法包括
步驟S701: USB Key預制系統根據產生的公鑰由散列算法計算產生所述 公鑰的散列值����;
步驟S702: USBKey預制系統通過預置密鑰加密所述散列值,產生公鑰
驗證碼�����,并將所述公鑰驗證碼傳送給網上銀行CA系統�����; 步驟S703:網上銀行CA系統接收所述公鑰驗證碼���; 步驟S704:網上4艮行CA系統檢查所述公鑰驗證碼是否正確; 具體地�,當所述^r查結果為是時,則執(zhí)行步驟S705,當所述檢查結果為
否時�,則執(zhí)行步驟S706���。
步驟S705:網上銀行CA系統根據接收到的USB Key預制系統傳送的公
鑰生成數字證書,并將所述數字證書傳送給USBKey預制系統���;結束流程�。 步驟S706:網上銀行CA系統通知USB Key預制系統重新發(fā)送公鑰驗證碼�����。
具體地���,網上銀行CA系統檢查出接收到的公鑰驗證碼不正確后���,則不 予生成數字證書,要求USB Key預制系統重新發(fā)送公鑰驗證碼�����,或者要求 USB Key預制系統重新發(fā)送公鑰以及乂>鑰驗證碼�����。
需要說明的是�����,步驟S705中,網上銀行CA系統可以通過公共網絡或者 專用網絡將產生的數字證書傳送給USBKey預制系統�����,也可以將把該數字證 書通過光盤�����、USB盤等存儲設備手工傳送給USB Key預制系統�����。
需要說明的是�����,本發(fā)明實施例在USB Key預制系統把數字證書寫入USB Key中后還可以進一 步包括USB Key預制系統與網上銀行CA系統聯機驗證 數字證書的步驟���,如圖8示出的本發(fā)明聯機驗證數字證書的方法流程圖,該方法包括
步驟S801: USB Key預制系統根據所述數字證書對測試數據進行簽名�����, 并向網上銀行CA系統傳送簽名后的測試數據;
步驟S802:網上銀行CA系統接收到所述簽名后的測試數據之后����,根據 所述數字證書的公鑰對所述測試數據進行解密,并向USB Key預制系統傳送 解密后的測試數據�;
步驟S803: USBKey預制系統接收到所述解密后的測試數據之后,判斷 所述解密后的測試數據是否正確�����;
具體地��,當所述判斷結果為否時���,則執(zhí)行步驟S804,當所述判斷結果為 是時��,結束流程����;
步驟S804: USB Key預制系統通知所述網上^I艮行CA系統重新傳送數字 證書����。
需要說明的是,為了進一步提高USBKey的安全性��,本發(fā)明實施例還可 以進一步包括USB Key預制系統生成與所述USB Key對應的序列號信息, 并向網上銀行CA系統傳送該序列號信息�����;網上銀行CA系統接收到該序列號 信息之后�,記錄該序列號信息與所述數字證書的——對應關系。
需要說明的是����,本發(fā)明實施例的USBKey可以帶有指紋、顯示屏�、揚聲 器或按鍵等功能,具體地���,USBKey可以攜帶有客戶的指紋信息��,通過使用 指紋驗證代替密碼�,減輕客戶記憶密碼的負擔��;USB Key也可以攜帶有用 于顯示數據信息的顯示屏���,在客戶簽名之前4巴送到USB Key內的交易數據信 息顯示出來�,供客戶確認����;USBKey也可以攜帶有播放數據的揚聲器,在客 戶簽名之前把送到USBKey內的交易數據信息報讀出來���,供客戶確認����;USB Key也可以攜帶有用于按鍵驗證的按鍵信息�����,如可以從硬件形態(tài)上增加了 一 個物理按鍵��,當需要進行簽名時�����,就會啟動按鍵等待操作��,在有效時限內(用 戶可以自行設定時限長短)按下物理按《睫后簽名才能成功�����,否則簽名操:作失 敗。
綜上所述�����,實施本發(fā)明實施例����,通過銀行系統預先制作下載有數字證書 的USBKey,使客戶在開通網上銀行,領取USB Key后無需自行下載數字證 書即可立即使用��,避免了客戶開通網上銀行后需要自行下載數字證書到USB Key中���,簡化了客戶操作����,提高了客戶的體驗����,避免了客戶通過銀行代理下載數字證書,降低了銀行內部的工作量和內部操作風險�����,提高了工作效率�,
節(jié)約了網絡資源��;通過檢測公鑰驗證碼����,更好地確保了公鑰的正確性�;通過 增加USBKey的序列號信息���,提高了USB Key的安全性�;USBKey帶有指紋���、 顯示屏�����、揚聲器或按鍵等功能���,進一步提高了USBKey的安全性,滿足了人 們對USB Key的高安全的需求����。
需要說明的是,通過以上的實施方式的描述���,本領域的技術人員可以清 楚地了解到本發(fā)明可借助軟件加必需的硬件平臺的方式來實現����,當然也可以 全部通過硬件來實施?;谶@樣的理解,本發(fā)明的技術方案對背景技術做出 貢獻的全部或者部分可以以軟件產品的形式體現出來�,該計算機軟件產品可 以存儲在存儲介質中,如ROM/RAM�、磁碟、光盤等���,包括若干指令用以使 得一臺計算機設備(可以是個人計算機���,服務器,或者網絡設備等)執(zhí)行本 發(fā)明各個實施例或者實施例的某些部分所述的方法����。
以上所揭露的僅為本發(fā)明實施例中的較佳實施例而已,當然不能以此來 限定本發(fā)明之權利范圍�,因此依本發(fā)明權利要求所作的等同變化,仍屬本發(fā) 明所涵蓋的范圍���。
權利要求
1����、一種管理數字證書的方法,其特征在于�����,包括網上銀行數字證書認證中心CA系統將生成的數字證書傳送給硬件數字證書載體USB Key預制系統�����;所述USB Key預制系統將接收到的數字證書預先下載到USB Key中����。
2�����、 如權利要求l所述的方法���,其特征在于�����,所述網上銀行CA系統將生 成的數字證書傳送給USB Key預制系統之前還包括所述USB Key預制系統根據非對稱加密算法計算產生公私密鑰對��,并將 產生的公鑰傳送給所述網上銀行C A系統���;所述網上銀行CA系統接收到所述公鑰之后���,根據所述公鑰生成數字證書。
3��、 如權利要求2所述的方法�,其特征在于,所述USBKey預制系統將接 收到的數字證書預先下載到USB Key中包括所述USB Key預制系統檢驗所述接收的數字證書中的公鑰是否與所述 產生的公鑰一致���;當所述4企驗結果為是時�����,USBKey預制系統將所述數字證書預先下載到 USBKey中���。
4、 如權利要求3所述的方法�,其特征在于,所述USBKey預制系統根據 非對稱加密算法計算產生公私密鑰對之后還包括所述USB Key預制系統根據產生的公鑰由散列算法計算產生所述公鑰 的散列值��;所述USB Key預制系統通過預置密鑰加密所述散列值��,產生公鑰驗證碼, 并將所述公鑰驗證碼傳送給所述網上銀行CA系統����;所述網上銀行CA系統接收到所述公鑰之后,根據所述公鑰生成數字證 書���,并將所述數字證書傳送給所述USB Key預制系統包括所述網上銀行CA系統接收所述公鑰和所述公鑰驗證碼����;所述網上銀行CA系統檢查所述公鑰驗證碼是否正確�����; 當所述檢查的結果為是時���,所述網上銀行CA系統根據所述公鑰生成數 字證書,并將所述數字證書傳送給所述USB Key預制系統�����。
5�����、 如權利要求4所述的方法,其特征在于�,所述USBKey預制系統將所 述數字證書預先下載到USB Key中之后還包括所述USB Key預制系統根據所述數字證書對測試數據進行簽名,并向所 述網上銀行CA系統傳送簽名后的測試數據��;所述網上銀行CA系統接收到所述簽名后的測試數據之后�,根據所述數 字證書的公鑰對所述測試數據進行解密,并向所述USB Key預制系統傳送解 密后的測試^:據����;所述USB Key預制系統接收到所述解密后的測試數據之后,判斷所述解 密后的測試數據是否正確�;當所述判斷結果為否時,所述USB Key預制系統通知所述網上銀行CA 系統重新傳送數字證書��。
6���、 如權利要求1至5任意項所述的方法��,其特征在于���,所述USB Key預 制系統將接收到的數字證書預先下載到USB Key中之前還包括所述USB Key預制系統生成與所述USB Key對應的序列號信息,并向所 述網上銀行CA系統傳送所述序列號信息�;所述網上銀行CA系統接收到所述序列號信息之后,記錄所述序列號信 息與所述數字證書的對應關系。
7���、 如權利要求1至5任意項所述的方法�����,其特征在于��,所述USB Key攜 帶有用于指紋驗證的指紋信息�;和/或所述USB Key攜帶有用于顯示lt據信息的顯示屏�;和/或 所述USBKey攜帶有用于播放數據信息的揚聲器;和/或 所述USB Key攜帶有用于按鍵驗證的按鍵信息�����。
8�、 一種銀行系統,其特征在于��,所述銀行系統包括網上銀行CA系統�����,用于將生成的數字證書傳送給USB Key預制系統�����; USB Key預制系統�����,用于將接收到的數字證書預先下載到USB Key中��。
9�����、 如權利要求8所述的銀行系統����,其特征在于,所述USBKey預制系統 包括公私密鑰對產生模塊�,用于根據非對稱加密算法計算產生公私密鑰對; 公鑰傳送模塊�,用于將所述公私密鑰對產生模塊產生的公鑰傳送給所述 網上銀行CA系統;所述網上銀行CA系統包括公鑰接收模塊�����,用于接收所述USB Key預制系統傳送的公鑰����; 數字證書生成模塊����,用于根據所述公鑰接收模塊接收的公鑰生成數字證書��;數字證書傳送模塊�,用于將所述數字證書生成模塊生成的數字證書傳送 給所述USB Key預制系統。
10�、 如權利要求9所述的銀行系統,其特征在于�����,所述USBKey預制系 統還包括公鑰檢驗模塊���,用于檢驗接收到的數字證書中的公鑰是否與所述公私密 鑰對產生模塊產生的公鑰 一致�;下載模塊���,用于當所述公鑰檢驗模塊的檢驗結果為是時��,將所述數字證 書預先下載到USB Key中。
11���、 如權利要求10所述的銀行系統��,其特征在于�,所述USBKey預制系 統還包括散列值產生模塊,用于根據所述公私密鑰對產生模塊產生的公鑰由散列算法計算產生所述公鑰的散列值���;公鑰驗證碼產生模塊����,用于通過預置密鑰加密所述散列值產生模塊產生 的散列值��,產生公鑰驗證碼����;公鑰驗證碼傳送模塊,用于向所述網上銀行CA系統傳送所述公鑰驗證 碼產生模塊產生的公鑰驗證碼��;所述網上銀行CA系統還包括 公鑰驗證碼接收模塊��,用于接收公鑰驗證碼�����;檢查模塊�,用于檢查所述公鑰驗證碼接收模塊接收的公鑰驗證碼是否正確���;檢查處理模塊,用于當所述檢查模塊的檢查結果為是時�,觸發(fā)所述數字 證書生成模塊生成數字證書。
12��、如權利要求ll所述的銀行系統�,其特征在于,所述USBKey預制系 統還包括測試簽名模塊����,用于根據所述接收的數字證書對測試數據進行簽名,并 將簽名后的測試數據傳送給所述網上銀行CA系統��;判斷模塊����,用于判斷接收到的解密后的測試數據是否正確,所述解密后 的測試數據為網上銀行CA系統根據所述數字證書的公鑰對接收到的簽名后 的測試數據進行解密后的數據�����;判斷處理模塊��,用于當所述判斷模塊的判斷結果為否時�,通知所述網上 4艮行CA系統重新傳送數字證書����;所述網上銀行CA系統還包括測試解密模塊��,用于根據所述數字證書的公鑰對接收到的簽名后的測試 數據進行解密���,并向所述USB Key預制系統傳送解密后的測試數據。
13�、如權利要求8至12任意項所迷的銀行系統,其特征在于����,所述USB Key預制系統還包括序列號信息生成才莫塊,用于生成與所述USBKey對應的序列號信息����,并 向所述網上銀行CA系統傳送所述序列號信息;所述網上4艮行CA系統還包括記錄模塊�,用于當接收到所述序列號信息之后,記錄所述序列號信息與 所述數字"^i書的對應關系��。
14���、如權利要求8至12任意項所述的銀行系統���,其特征在于����,所述USB Key攜帶有用于指紋驗證的指紋信息���;和/或所述USB Key攜帶有用于顯示凄t據信息的顯示屏�����;和/或 所述USB Key攜帶有用于播放數據信息的揚聲器��;和/或 所述USB Key攜帶有用于按鍵驗證的按鍵信息�����。
15��、 一種USBKey預制系統��,其特征在于�,所述USB Key預制系統為權 利要求8至12任意項所述的USB Key預制系統�����。
16、如權利要求15所述的USB Key預制系統�����,其特征在于��,所述USB Key 預制系統還包括序列號信息生成模塊�����,用于生成與所述USBKey對應的序列號信息���,并 向所述網上銀行CA系統傳送所述序列號信息; 所述網上4艮行CA系統還包括記錄模塊���,用于當接收到所述序列號信息之后���,記錄所述序列號信息與 所述數字證書的對應關系。
全文摘要
本發(fā)明實施例公開了一種管理數字證書的方法����,該方法包括網上銀行數字證書認證中心CA系統將生成的數字證書傳送給硬件數字證書載體USBKey預制系統;所述USB Key預制系統將接收到的數字證書預先下載到USBKey中���。相應地���,本發(fā)明實施例還公開了一種銀行系統�����,本發(fā)明實施例�����,通過銀行系統預先制作下載有數字證書的USB Key�����,使客戶在開通網上銀行�����,領取USB Key后無需自行下載數字證書即可立即使用��,避免了客戶開通網上銀行后需要自行下載數字證書到USB Key中�,簡化了客戶操作���,提高了客戶的體驗���。
文檔編號H04L9/08GK101447867SQ20081019291
公開日2009年6月3日 申請日期2008年12月31日 優(yōu)先權日2008年12月31日
發(fā)明者宋龍峰, 張華明, 張小勇, 李天寧, 林東旭, 梁世棟, 王進成, 田國林, 胡萍萍, 嵐 閆, 琳 陳 申請人:中國建設銀行股份有限公司