專利名稱：智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法
技術領域：
本發(fā)明涉及數(shù)字證書技術領域，特別涉及一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法。
背景技術：
隨著信息網絡技術的高速發(fā)展，網絡安全問題已經成為目前最大的網絡安全隱患，網上銀行、網絡游戲、支付平臺、網上證券交易等各方面，密碼無處不在，帶給人們更多的安全。但是密碼在給人們必要的安全保障的同時，也存在一些問題， 一旦密碼丟失或被盜，則帶來很多的麻煩?，F(xiàn)有技術中時常發(fā)生的網絡密碼被盜，木馬病毒，自我保護意識差被網絡釣魚，或者密碼被暴力破解等都是造成密碼安全問題的因素，為此有必要采取一些密碼安全的保障措施，為保護網上密碼增設一道屏障。智能密鑰設備是一種通過標準的個人主機
接口 (如USB接口等)，提供信息加密處理的便攜式設備，利用它能夠提高身份認證強度，它內置單片機或智能卡芯片，可以存儲密鑰或數(shù)字證書，利用其內置的密碼算法可以對信息加密或進行身份識別等。智能密鑰設備具有PKI應用、數(shù)字簽名、信息加密、安全網絡登錄和訪問SSL (Secure Sockets Layer,安全套接字層)安全網絡等功能，并且具有保證用戶的私鑰永遠不離開硬件的特征，同時智能密鑰設備還具有物理上防止非法獲取其內部敏感信息等特性。
PKI (Public Key Infrastructure,公鑰基礎設施)是利用公鑰理論和技術建立的提供安全服務的J^出設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和互聯(lián)網上的各種活動。PKI技術釆用證書管理公鑰，通過第三方的可信任機構-CA認證中心把用戶的公鑰和用戶的其他標識信息捆綁在一起，在互聯(lián)網上驗證用戶的身份。目前，通用的辦法是采用建立在PKI基礎之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。PKI是基于公鑰算法和技術，為網上通信提供安全服務的基礎設施。是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認證機構。
CA認證中心是一個負責發(fā)放和管理數(shù)字證書的權威機構。CA認證中心通常采用多層次的分級結構，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。CA認證中心的主要功能證書的頒發(fā)、證書的更新、證書的查詢、證書的作廢、證書的歸檔。
現(xiàn)有技術中，用戶智能密鑰設備的持有者通常執(zhí)行如下步驟來獲得合法的數(shù)字證書首先向CA提出申請，將用戶身份信息和智能密鑰設備的硬件信息發(fā)送給CA; CA判明申請者的身份及后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息及智能密鑰設備的硬件信息綁在一起，并為之簽字后，便形成證書發(fā)給智能密鑰設備的持有者。這樣以來，該智能密鑰設備中便保存了CA頒發(fā)的證書。
這種技術的不足指出在于，增加了用戶的操作煩瑣性，用戶在拿到智能密鑰設備后，必須通過計算機網絡執(zhí)行證書下載的過程，而在此過程中，很容易出現(xiàn)信息錯誤的情況，或者因為網絡故障導致用戶無法在第 一時間獲取合法的數(shù)字證書。

發(fā)明內容
本發(fā)明的目的在于提供一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法，能夠減少用戶自己下載數(shù)字證書的麻煩，同時能夠保障用戶私密信息在網絡傳輸過程中的安全性。
為達到上述目的，本發(fā)明智能密鑰設備獲取數(shù)字證書的系統(tǒng)采用的技術方案
為
一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，包括
智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所 述本地設備相連的安全終端；其中，
所述智能密鑰設備和所述本地設備按照預先約定的規(guī)則，根據(jù)所述智能密 鑰設備生成的密鑰對以及銀行卡的用戶信息生成申請數(shù)字證書的請求，并將所 述申請數(shù)字證書的請求發(fā)送給所述安全終端；所述安全終端根據(jù)所述申請數(shù)字 證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備；所 述本地設備將所述數(shù)字證書寫入所述智能密鑰設備。
本發(fā)明智能密鑰設備獲取數(shù)字證書的方法采用的技術方案為 一種智能密鑰設備獲取數(shù)字證書的方法，包括
智能密鑰設備與本地設備進行連接；
碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功，則所 述本地設備根據(jù)所述銀行卡從內部存儲設備中查找與所述銀行卡相關的用戶信 息，并讓用戶對所述信息進行確認； 所述智能密鑰設備生成密鑰對；
所述本地設備和所述智能密鑰設備按照預先約定的規(guī)則根據(jù)所述密鑰對、 所述標識信息以及所述用戶信息產生申請數(shù)字證書的請求，再將所述申請數(shù)字
證書的請求發(fā)送給所述安全終端；
所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所 述數(shù)字證書發(fā)送給所述本地設備；所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備。
本發(fā)明提供的方法與系統(tǒng)，智能密鑰設備通過本地設備，從安全終端獲取數(shù) 字證書，使用戶不必自己下載數(shù)字證書，避免了下載數(shù)字證書的過程中因網絡 通信故障，計算環(huán)境故障，未遵守使用方針等故障導致下載數(shù)字證書失敗的麻
煩，方便用戶直接獲取存儲有數(shù)字證書的智能密鑰設備；此外，還能避免用戶 通過不安全的網絡下載數(shù)字證書的過程中，個人私密信息被截獲的安全隱患， 使用戶得以通過專用的安全網絡來獲取數(shù)字證書，保障了用戶私密信息在網絡 傳輸過程中的安全性。


圖1為本發(fā)明實施例一提供的一種智能密鑰設備荻取數(shù)字證書的系統(tǒng)示意
圖2為本發(fā)明實施例二提供的一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)示意
圖3為本發(fā)明實施例二中本地設備的輸入/輸出模塊結構示意圖4為本發(fā)明實施例三提供的一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)示意
圖5為本發(fā)明實施例四提供的一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)示意
圖6為本發(fā)明實施例五提供的一種智能密鑰設備獲取數(shù)字證書的方法流程
圖7為本發(fā)明實施例六提供的一種智能密鑰設備獲取數(shù)字證書的方法流程
圖8為本發(fā)明實施例七提供的一種智能密鑰設備獲取數(shù)字證書的方法流程
圖9為本發(fā)明實施例八提供的一種智能密鑰設備獲取數(shù)字證書的方法流程
具體實施例方式
本發(fā)明旨在提供一種能夠減少操作繁瑣性、并能保障用戶私密信息在網絡傳 輸過程中的安全性的智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法，下面結合附圖 對本發(fā)明實施例做詳細說明。
實施例一
參看圖1所示，本實施例提供一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，包
括
智能密鑰設備IO,與所述智能密鑰設備相連的本地設備ll，以及通過網絡 與所述本地設備相連的安全終端12;其中，
所述智能密鑰設備10和所述本地設備11按照預先約定的規(guī)則，根據(jù)所述 智能密鑰設備10生成的密鑰對以及銀行卡的用戶信息生成申請數(shù)字證書的請 求，并將所述申請數(shù)字證書的請求發(fā)送給所述安全終端12;所述安全終端12 根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給 所述本地設備11;所述本地設備11將所述數(shù)字證書寫入所述智能密鑰設備10。
本發(fā)明提供的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，智能密鑰設備通過本地設 備，從安全終端獲取數(shù)字證書，使用戶不必自己下載數(shù)字證書，避免了下載數(shù) 字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵守使用方針等故障導致 下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲有數(shù)字證書的智能密鑰設 備；此外，還能避免用戶通過不安全的網絡下載數(shù)字證書的過程中，個人私密 信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取數(shù)字證書，保 障了用戶私密信息在網絡傳輸過程中的安全性。
實施例二
本實施例提供一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，在本實施例中，以智能密鑰設備為USB Key例來進行具體說明。
參看圖2所示，本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，包括 USBKey20,與所述USB Key相連的本地設備21 ，以及通過網絡(比如銀行 內部網絡)與所述本地設備相連的安全終端22;其中，所述本地設備21由銀行 提供；
所述USB Key20和所述本地設備21按照預先約定的規(guī)則，根據(jù)所述USB Key20生成的密鑰對、所述USBKey20的標識信息以及4艮行卡的用戶信息生成申 請數(shù)字證書的請求，并將所述申請數(shù)字證書的請求發(fā)送給所述安全終端22;所 述安全終端22根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù) 字證書發(fā)送給所述本地設備21;所述本地設備21將所述數(shù)字證書寫入所述USB Key20。
本實施例中，所述USB Key20包括 接口模塊201，用于與所述本地設備21建立連接；
通訊模塊202，用于所述USB Key20與所述本地設備21之間的數(shù)據(jù)通信；
存儲模塊203,用于存儲密鑰對、密鑰生成算法以及所述USB Key的標識信 息等各種信息；
密鑰生成模塊204，用于根據(jù)密鑰生成算法生成密鑰對。 所述本地設備21包括
接口模塊211,用于將所述本地設備21與所述USB Key20以及本地設備與4艮 行卡建立連接；
輸入/輸出模塊212,用于信息的輸入/輸出； 運算模塊213，用于處理和解析數(shù)據(jù)； 存儲模塊214，用于存儲各種信息； 網絡控制模塊215 ，用于控制網絡連接；
查找模塊216,用于本地設備21根據(jù)銀行卡從內銀行內部服務器中查找與用 戶相關的信息，以及用于本地設備21查找所述USB Key20是否存在沒有與數(shù)字i正書匹配的密鑰對；
通訊模塊217,用于所述本地設備21與所述安全終端22之間的數(shù)據(jù)通信；
生成模塊218,用于本地設備21根據(jù)USB Key20中的密鑰對以及USB Key20 的標識信息產生一個申請數(shù)字證書的請求；
驗證模塊219,用于本地設備21對USB Key20進行驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行驗證以及對簽名等進行驗證；
寫入模塊2101,用于將接收到的數(shù)字證書寫入所述USB Key20中。
其中，參看圖3所示，所述輸入/輸出模塊212包括
鍵盤單元2121，用于通過鍵盤進行輸入；
掃描單元2122,用于通過條形碼掃描設備進行輸入；
磁條單元2123,用于通過磁條設備進行輸入；
接觸式智能卡單元2124,用于通過接觸式智能卡進行輸入；
非接觸式智能卡單元2125,用于通過非接觸式智能卡進行輸入；
顯示單元2126,用于將相關信息顯示出來；
發(fā)聲單元2127,用于以發(fā)聲的方式將相關信息顯示出來。
所述安全終端22包括
通訊模塊221，用于所述安全終端22與所述本地設備21之間的數(shù)據(jù)通信； 證書生成模塊222，用于所述安全終端22根據(jù)所述申請數(shù)字證書的請求生 成凄t字i正書；
驗證模塊223,用于所述安全終端22根據(jù)所述申請數(shù)字證書的請求中的公 鑰對所述申請數(shù)字證書的請求中簽名值進行驗證。
本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數(shù)字證書，使用戶不必自己下載數(shù) 字證書，避免了下載數(shù)字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵 守使用方針等故障導致下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲有數(shù)字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數(shù)字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數(shù)字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例三
本實施例提供一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，在本實施例中，以智
能密鑰設備為USB Key例來進行具體說明。
參看圖4所示，本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，包括 USB Key30，與所述USB Key相連的本地i殳備31，以及通過網絡(比如4艮行
內部網絡)與所述本地設備相連的安全終端32,在所述本地設備31和所述安全
終端32之間還連接有證書服務器33;其中，所述本地設備31由銀行提供，
所述證書服務器33用于暫存所述數(shù)字證書；
所述USB Key和所述本地設備按照預先約定的規(guī)則，根據(jù)所述USB Key生成
的密鑰對、所述USB Key的標識信息以及銀行卡的用戶信息生成申請數(shù)字證書
的請求，并將所述申請數(shù)字證書的請求發(fā)送給所述安全終端；所述安全終端根
據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將所述數(shù)字證書發(fā)送給所述證書
服務器；所述本地設備從所述證書服務器中獲取所述數(shù)字證書，并將所述數(shù)字
證書寫入所述USB Key。
本實施例中，所述USB Key30包括 接口模塊301，用于與所述本地設備31建立連接；
通訊模塊302，用于所述USB Key30與所述本地設備31之間的數(shù)據(jù)通信； 存儲^t塊303,用于存儲密鑰對、密鑰生成算法以及所述USB Key的標識信
白
密鑰生成模塊304，用于根據(jù)密鑰生成算法生成密鑰對。 所述本地i殳備31包括接口模塊311,用于將所述本地設備31與所述USB Key30以及本地設備31 與銀行卡建立連接； 輸入/輸出模塊312，用于信息的輸入/輸出； 運算模塊，313用于處理和解析數(shù)據(jù)； 存儲模塊314,用于存儲各種信息； 網絡控制模塊315，用于控制網絡連接；
查找模塊316,用于本地設備31根據(jù)銀行卡從銀行內部服務器中查找與用戶 相關的信息，以及用于本地設備31查找所述USB Key是否存在沒有與數(shù)字證書 匹配的密鑰對；
通訊模塊317，用于所述本地設備31與所述安全終端32之間的數(shù)據(jù)通信； 生成模塊318，用于生成申請數(shù)字證書的請求；
驗證模塊319，用于本地設備31對USB Key30進行一驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行-瞼證以及對簽名等進行驗證；
寫入模塊3101，用于將接收到的數(shù)字證書寫入所述USB Key30中。
其中，所述輸入/輸出模塊312的結構與實施例二中輸入/輸出模塊212的結 構相同。
所述安全終端32包括
通訊模塊321，用于所述安全終端32與所述本地設備31之間的數(shù)據(jù)通信； 證書生成模塊322,用于所述安全終端32根據(jù)所述申請數(shù)字證書的請求生 成數(shù)字證書；
驗證模塊323，用于所述安全終端32根據(jù)所述申請數(shù)字證書的請求中的公 鑰對所述申請數(shù)字證書的請求中對簽名值進行驗證。
本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數(shù)字證書，使用戶不必自己下載數(shù)字證書，避免了下載數(shù)字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵 守使用方針等故障導致下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲有數(shù)
字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數(shù)字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數(shù)字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例四
本實施例提供一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，在本實施例中，以智 能密鑰設備為USB Key例來進行具體說明。
參看圖5所示，本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，包括
USBKey40，與所述USB Key相連的本地設備41,以及通過4艮行內部網絡與 所述本地設備相連的安全終端42，在所述本地設備31和所述安全終端32之間 還連接有安全中繼43;其中，所述本地設備21由銀行提供，所述安全中繼43 用于所述本地設備與所述安全終端之間的安全通信；
所述USB Key和所述本地設備按照預先約定的規(guī)則，才艮據(jù)所述USB Key生 成的密鑰對、所述USB Key的標識信息以及銀行卡的用戶信息生成申請數(shù)字證 書的請求，并將所述申請數(shù)字證書的請求發(fā)送給所述安全中繼，所述安全中繼 再將所述申請數(shù)字證書的請求轉發(fā)給所述安全終端；所述安全終端根據(jù)所述申 請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設 備；所述本地設備將所述數(shù)字證書寫入所述USB Key。
本實施例中，所述USB Key40包括
接口模塊401,用于與所述本地設備41建立連接；
通訊才莫塊402,用于所述USB Key40與所述本地設備41之間的數(shù)據(jù)通信； 存儲模塊403，用于存儲密鑰對、密鑰生成算法以及所述USB Key的標識信 息等各種信息；
18密鑰生成模塊404，用于根據(jù)密鑰生成算法生成密鑰對。 所述本地設備41包括
接口模塊411，用于將所述本地設備與所述USB Key進行連接；
輸入/輸出模塊412，用于信息的輸入/輸出；
運算模塊413,用于處理和解析數(shù)據(jù)；
存儲模塊414,用于存儲各種信息；
網絡控制模塊415 ，用于控制網絡連接；
查找模塊416 ，用于本地設備41根據(jù)銀行卡從銀行內部服務器中查找與用戶 相關的信息，以及用于本地設備41查找所述USB Key是否存在沒有與數(shù)字證書 匹配的密鑰對；
通訊模塊417，用于所述本地設備41與所述安全終端42之間的數(shù)據(jù)通信； 生成模塊418，用于生成申請數(shù)字證書的請求；
驗證模塊419，用于本地設備41對USB Key40進行驗證、對用戶的銀行卡和 用戶輸入的相應密碼進行—瞼證以及對簽名等進行—驗證；
寫入模塊4101，用于將接收到的數(shù)字證書寫入所述USB Key中。
其中，所述輸入/輸出模塊412的結構與實施例二中輸入/輸出模塊212的結 構相同。
所述安全終端42包括
通訊模塊421,用于所述安全終端42與所述本地設備41之間的數(shù)據(jù)通信； 證書生成模塊422，用于所述安全終端42根據(jù)所述申請數(shù)字證書的請求生 成數(shù)字證書；
驗證模塊423，用于所述安全終端42根據(jù)所述申請數(shù)字證書的請求中的公 鑰對所述申請數(shù)字證書的請求中對簽名值進行驗證。
本實施例智能密鑰設備獲取數(shù)字證書的系統(tǒng)，USB Key通過本地設備，從與 所述本地設備通過網絡相連的安全終端獲取數(shù)字證書，使用戶不必自己下載數(shù)字證書，避免了下載數(shù)字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵 守使用方針等故障導致下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲有數(shù)
字證書的USBKey;此外，還能避免用戶通過不安全的網絡下載數(shù)字證書的過程 中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取 數(shù)字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例五
參看圖6所示，本實施例智能密鑰設備獲耳又數(shù)字證書的方法，包括步驟
550、 智能密鑰設備與本地設備進行連接；
551、
應密碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功， 則所述本地設備根據(jù)所述4艮行卡從內部存儲設備中查找與所述銀行卡相關的用 戶信息，并讓用戶對所述信息進行確認；
552、 所述智能密鑰設備生成密鑰對；
553、 所述本地設備和所述智能密鑰設備按照預先約定的規(guī)則根據(jù)所述密鑰 對以及所述用戶信息產生申請數(shù)字證書的請求，再將所述申請數(shù)字證書的請求
發(fā)送給所述安全終端；
554、 所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成
的所述數(shù)字證書發(fā)送給所述本地設備；
555、 所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備。
本實施例智能密鑰設備獲取數(shù)字證書的方法，智能密鑰設備通過本地設備， 從與所述本地設備通過網絡相連的安全終端獲取數(shù)字證書，使用戶不必自己下 載數(shù)字證書，避免了下載數(shù)字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵守使用方針等故障導致下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲
有數(shù)字證書的智能密鑰設備；此外，還能避免用戶通過不安全的網絡下載數(shù)字 證書的過程中，個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全 網絡來獲取數(shù)字證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例六
本實施例提供一種智能密鑰設備獲取數(shù)字證書的方法，在本實施例中，以智
能密鑰設備為USB Key例來進行具體說明。本實施例中，本地設備與安全終端
預先約定雙方互為信任方。
參考圖7所示，本實施例智能密鑰設備獲取數(shù)字證書的方法，包括步驟
560、 USB Key與本地設備進行連接；
561、 所述本地設備獲取所述USB Key的標識信息；
所述USB Key的標識信息為所述USB Key的^/f牛序列號，或所述USB Key 出廠時設置的數(shù)據(jù)信息或其它標識信息。
562、 所述本地設備對所述USB Key進行驗證，若驗證失敗，則本地設備向 用戶提示出錯信息，若驗證成功，則執(zhí)行步驟S63;
所述本地設備對所述USB Key進行驗證的步驟具體為
所述本地設備將用戶lt入的PIN碼發(fā)送給所述USB Key,所述USB Key比 較所述接收到的PIN碼與自身內置的PIN碼是否一致，若一致，則驗證成功， 若不一致，則驗證失敗，驗證失敗時本地設備向用戶提示出錯信息；或
所述本地設備用內置的算法對所述USB Key的標識信息進行計算，得 到PIN碼并發(fā)送給所述USB Key,所述USB Key用內置的算法對所述標識信息進 行計算，得到PIN碼，再比較計算得到的PIN碼與接收到的PIN碼是否相同，若相同，則驗證成功，若不相同，則驗證失敗，驗證失敗時本地設備向用戶提 示出錯信息。
應當理解的是，所述本地設備對所述USB Key進行驗證的步驟，也可 以在所述USB Key與本地設備進行連接時進行。
S63、所述本地設備對USB Key驗證成功之后，提示用戶將銀行卡與本地設 備進行連接，并輸入相應的密碼；
S64、
應密碼進行驗證，若驗證失敗，則所述本地設備向用戶提示出錯信息，若驗證
成功，執(zhí)行步驟S65。
其中，所述銀行卡為接觸式銀行卡、非接觸式銀行卡、帶有條形碼的銀行卡
或帶有磁頭的銀行卡等。
相應地，所述銀行卡與所述本地設備相連的方式具體為 通過所述本地設備的接觸式智能卡設備將所述接觸式4艮行卡插入到所述本
地設備中，或
通過所述本地設備的非接觸式智能卡設備將所述非接觸式銀行卡與所述本 地設備進行連接，或
通過所述本地設備的掃描設備將所述帶有條形碼的4艮行卡與所述本地設備 進行連接，或
通過所述本地設備的磁條設備將所述帶有磁頭的銀行卡與所述本地設備進 行連接。
S65、所述本地設備根據(jù)所述銀行卡從銀行內部服務器中查找與所述銀行卡 相關的用戶信息，并讓用戶對所述信息進行確認；
其中，所述查找得到的用戶信息為用戶的身份證號、用戶的姓名、用戶的電話號碼、用戶的手^L號碼、用戶的家庭住址或用戶的郵箱地址中的一個或多 個的組合。
其中，所述本地設備讓用戶對所述信息進行確認包括 所述本地設備通過顯示屏將所述用戶信息顯示給所述用戶看；和/或
所述本地設備以語音發(fā)聲的方法將所述用戶信息讀給所述用戶聽。
待用戶對所述信息確認后，則所述USB Key才艮據(jù)如下步驟S66或S67生成
密鑰對。
對，若不存在，則執(zhí)行步驟S67，若存在，則執(zhí)行步驟S68。
在本實施例中，USB Key中可以存在多個密鑰對，相應地，也可以存在多個 與密鑰對相匹配的證書，證書之間不相互覆蓋。
567、 所述USB Key根據(jù)內置的密鑰生成算法生成密鑰對。
568、 所述本地設備和所述USB Key按照預先約定的規(guī)則根據(jù)所述密鑰對、 所述標識信息以及所述用戶信息產生申請數(shù)字證書的請求，再將所述申請數(shù)字 證書的請求發(fā)送給所述安全終端；
其中，所述預先約定的規(guī)則為所述本地設備先生成一個具有預定格式的 數(shù)據(jù)包，將所述數(shù)據(jù)包發(fā)給所述USB Key,所述USB Key用所述密鑰對中的私 鑰對所述數(shù)據(jù)包進行簽名，并將簽名后的簽名值發(fā)送給所述本地設備，所述本 地設備再將所述預定格式的數(shù)據(jù)包、所述簽名值以及所述簽名算法標識組合成 一個申請數(shù)字證書的請求。
其中，所述具有預定格式的數(shù)據(jù)包中包括所述密鑰對中的公鑰、數(shù)字證 書的用途信息、用戶信息和USB Key的標識信息等。
所述申請數(shù)字證書的請求中包括所述預定格式的數(shù)據(jù)包、用所述密鑰對識；
進一步地，所述數(shù)據(jù)信息包括所述密鑰對中的公鑰信息、數(shù)字證書的用途信
息、用戶信息和USB Key的標識信息。
S69、所述安全終端用接收到的所述申請數(shù)字證書的請求中的公鑰，對所述 申請數(shù)字證書請求中的簽名值進行驗證。若驗證成功，則執(zhí)行步驟S610,若驗
證失敗，則安全終端不生成數(shù)字證書。
5610、 所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生
成的所述數(shù)字證書發(fā)送給所述本地設備；
所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并直接將所述 數(shù)字證書發(fā)送給所述本地設備；或者
所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書后，給所述本地設 備發(fā)送一個能夠下載所述數(shù)字證書的提示消息，所述本地設備接收到所述提示 消息后，從所述安全終端中下載所述數(shù)字證書。
其中，所述安全終端生成的數(shù)字證書中包含有用戶信息和USB Key的標識信
臺
5611、 所述本地設備獲取所述安全終端的公鑰；
所述本地設備在接收到的所述簽名后的數(shù)字證書后，從所述安全終端的根證 書中獲取所述安全終端的7>鑰。
5612、 所述本地設備用所述公鑰對所述接收到的數(shù)字證書進行驗證，若驗證 失敗，則本地設備向用戶提示出錯信息，若驗證成功，則執(zhí)行步驟S613;
5613、 所述本地i殳備將所述數(shù)字證書寫入所述USB Key;所述本地設備將驗證成功的數(shù)字證書寫入所述USB Key中。
S614、在所述數(shù)字證書寫入失敗或成功時，所述本地設備或所述USB Key向
用戶提示寫入失敗信息或寫入成功信息。
在本實施例步驟614中，本地設備向用戶提示失敗信息或成功信息的方法包
括但不限于以下方法
本地設備通過語音發(fā)聲的方法向用戶提示失敗信息或成功信息；
本地設備通過彈出對話框的方法向用戶提示失敗信息或成功信息；
相應地，USB Key向用戶提示失敗信息或成功信息的方法包括但不限于以下
方法
USB Key通過語音發(fā)聲的方法向用戶提示失敗信息或成功信息； USB Key通過顯示對話框的方法向用戶提示失敗信息或成功信息。 本實施例USB Key獲取數(shù)字證書的方法，USB Key通過本地設備，從與所述 本地設備通過網絡相連的安全終端獲取數(shù)字證書，使用戶不必自己下載數(shù)字證 書，避免了下載數(shù)字證書的過程中因網絡通信故障，計算環(huán)境故障，未遵守使 用方針等故障導致下載數(shù)字證書失敗的麻煩，方便用戶直接獲取存儲有數(shù)字證 書的USB Key;此外，還能避免用戶通過不安全的網絡下載數(shù)字證書的過程中， 個人私密信息被截獲的安全隱患，使用戶得以通過專用的安全網絡來獲取數(shù)字 證書，保障了用戶私密信息在網絡傳輸過程中的安全性。
實施例七
參看圖8所示，本實施例智能密鑰設備獲取數(shù)字證書的方法與實施例五基 本相同，不同之處在于
在實施例五中，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備具體為所述安全終端根據(jù)所述 申請數(shù)字證書的請求生成數(shù)字證書，并直接將所述數(shù)字證書發(fā)送給所述本地設 備；或者，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書后，給所 述本地設備發(fā)送一個能夠下載所述數(shù)字證書的提示消息，所述本地設備接收到 所述提示消息后，從所述安全終端中下載所述數(shù)字證書。
在本實施例中，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書， 并將生成的所述數(shù)字證書發(fā)送給所述本地設備具體為所述安全終端根據(jù)所述 申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給證書服務 器；所述本地設備從所述證書服務器中獲取所述數(shù)字證書。
本實施例中的其它步驟和流程與實施例五相同，在此不再贅述。 實施例八
參看圖9所示，本實施例智能密鑰設備獲取數(shù)字證書的方法與實施例五也 基本相同，不同之處在于
在實施例五中，本地設備將所述申請數(shù)字證書的請求發(fā)送給所述安全終端； 所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù) 字證書發(fā)送給所述本地設備。
在本實施例中，本地設備將所述申請數(shù)字證書的請求發(fā)送給所述安全中繼， 所述安全中繼再將所述申請數(shù)字證書的請求轉發(fā)給所述安全終端；相應地，所 述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字 證書發(fā)送給所述安全中繼，所述安全中繼再將所述^:字證書轉發(fā)給所述本地i殳 備。
本實施例中的其它步驟和流程與實施例五相同，在此不再贅述。
以上對本發(fā)明所提供的智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法進行了詳實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領 域的一般技術人員，依據(jù)本發(fā)明的思想，在具體實施方式
及應用范圍上均會有 改變之處，綜上，本說明書內容不應理解為對本發(fā)明的限制，凡在本發(fā)明的精 神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保 護范圍之內。
權利要求
1、一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于，包括智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所述本地設備相連的安全終端；其中，所述智能密鑰設備和所述本地設備按照預先約定的規(guī)則，根據(jù)所述智能密鑰設備生成的密鑰對以及銀行卡的用戶信息生成申請數(shù)字證書的請求，并將所述申請數(shù)字證書的請求發(fā)送給所述安全終端；所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備；所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備。
2、 根據(jù)權利要求1所述的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于， 所述智能密鑰設備包括接口模塊，用于與所述本地設備建立連接；通訊模塊，用于所述智能密鑰設備與所述本地設備之間的數(shù)據(jù)通信；存儲模塊，用于存儲密鑰對、密鑰生成算法以及所述智能密鑰設備的標識信白 ,&，密鑰生成模塊，用于根據(jù)密鑰生成算法生成密鑰對。
3、根據(jù)權利要求1所述的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于， 所述本地設備包括接口模塊，用于將所述本地設備與所述智能密鑰設備以及所述本地設備與銀 行卡建立連接；輸入/輸出模塊，用于信息的輸入/輸出； 運算模塊，用于處理和解析數(shù)據(jù)； 網絡控制模塊，用于控制網絡連接；查找模塊，用于本地設備根據(jù)銀行卡從銀行內部服務器中查找與用戶相關的 信息，以及用于本地設備查找所述智能密鑰設備中是否存在沒有與數(shù)字證書匹 配的密鑰對；通訊模塊，用于所述本地設備與所述安全終端之間的數(shù)據(jù)通信；生成模塊，用于生成申請數(shù)字證書的請求； 驗證模塊，用于對用戶的4艮行卡和用戶輸入的密碼進行驗證； 寫入模塊，用于將接收到的數(shù)字證書寫入所述智能密鑰設備中。
4、根據(jù)權利要求1所述的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于， 所述安全終端包括通訊模塊，用于所述安全終端與所述本地設備之間的數(shù)據(jù)通信；證書生成模塊，用于所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書。
5、 根據(jù)權利要求4所述的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于， 所述系統(tǒng)還包括證書服務器，用于暫存所述數(shù)字證書；所述安全終端根據(jù)所述申請數(shù)字證書的請求生成證書，并將所述數(shù)字證書發(fā) 送給所述證書服務器；所述本地設備從所述證書服務器中獲取所述數(shù)字證書， 并將所述數(shù)字證書寫入所述智能密鑰設備。
6、 根據(jù)權利要求4所述的智能密鑰設備獲取數(shù)字證書的系統(tǒng)，其特征在于， 所述系統(tǒng)還包括安全中繼，用于所述本地設備與所述安全終端之間的安全通信；所述本地設備將所述申請數(shù)字證書的請求發(fā)送給所述安全中繼，所述安全中 繼再將所述申請數(shù)字"^正書的請求轉發(fā)給所述安全終端；所述安全終端根據(jù)所述 申請數(shù)字證書的請求生成數(shù)字證書，并將所述數(shù)字證書發(fā)送給所述安全中繼，所述安全中繼再將所述數(shù)字證書轉發(fā)給所述本地設備。
7、 一種智能密鑰設備獲取數(shù)字證書的方法，其特征在于，包括智能密鑰設備與本地設備進行連接；碼進行驗證，若驗證失敗，則所述本地設備提示出錯信息，若驗證成功，則所 述本地設備根據(jù)所述銀行卡銀行內部服務器中查找與所述銀行卡相關的用戶信息，并等待用戶對所述信息進行確認； 所述智能密鑰設備生成密鑰對；所述本地設備和所述智能密鑰設備按照預先約定的規(guī)則根據(jù)所述密鑰對以 及所述用戶信息產生申請數(shù)字證書的請求，再將所述申請數(shù)字證書的請求發(fā)送 給所述安全終端；所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所 述數(shù)字證書發(fā)送給所述本地設備；所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備。
8、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于， 所述智能密鑰設備與所述本地設備進行連接之后還包括所述本地設備獲取所述智能密鑰設備的標識信息。
9、 根據(jù)權利要求8所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于， 所述智能密鑰設備的標識信息為所述智能密鑰設備的硬件序列號，或所述智能密鑰設備出廠時設置的數(shù)據(jù)信息。
10、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于， 在所述智能密鑰設備生成密鑰對之前，還包括所述本地設備對所述智能密鑰設備進行驗證的步驟。
11、 根據(jù)權利要求IO所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在 于，所述本地設備對所述智能密鑰設備進行驗證的步驟具體為所述本地設備將用戶輸入的PIN碼發(fā)送給所述智能密鑰設備，所述智能密鑰 設備比較所述接收到的PIN碼與自身內置的PIN碼是否一致，若一致，則驗證 成功，若不一致，則驗證失敗；或所述本地設備用內置的算法對所述智能密鑰設備的標識信息進行計算，得到PIN碼并發(fā)送給所述智能密鑰設備，所述智能密鑰設備用內置的算法對所述標識信息進行計算，得到PIN碼，再比較計算得到的PIN碼與接收到的PIN碼是否相同，若相同，則驗證成功，若不相同，則驗證失敗。
12、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述銀行卡為接觸式銀行卡、非接觸式銀行卡、帶有條形碼的銀行卡或帶有磁頭的銀行卡。
13、 根據(jù)權利要求12所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述銀行卡與所述本地設備相連的方式具體為通過所述本地設備的接觸式智能卡設備將所述接觸式銀行卡插入到所述本地設備中，或通過所述本地設備的非接觸式智能卡設備將所述非接觸式銀行卡與所述本地設備進行連接，或通過所述本地設備的掃描設備將所述帶有條形碼的銀行卡與所述本地設備進行連接，或通過所述本地設備的磁條設備將所述帶有磁頭的銀行卡與所述本地設備進行連接。
14、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述查找得到的用戶信息為用戶的身份i正號、用戶的姓名、用戶的電話號碼、用戶的手機號碼、用戶的家庭住址或用戶的郵箱地址中的 一個或多個的組合。
15、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備讓用戶對所述信息進行確認包括所述本地設備通過顯示屏將所述用戶信息顯示給所述用戶看；和/或所述本地設備以語音發(fā)聲的方法將所述用戶信息讀給所述用戶聽。
16、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述智能密鑰設備生成密鑰對具體為所述本地設備判斷所述智能密鑰設備中是否存在沒有數(shù)字證書匹配的密鑰對，若存在，則執(zhí)行下一步操作，若不存在，則所述智能密鑰設備根據(jù)內置的密鑰生成算法生成密鑰對，再執(zhí)行下一步操作。
17、 根據(jù)權利要求7所述的智能密鑰設備荻取數(shù)字證書的方法，其特征在于，所述預先約定的規(guī)則為所述本地設備先生成一個具有預定格式的數(shù)據(jù)包，將所述數(shù)據(jù)包發(fā)給所述智能密鑰設備，所述智能密鑰設備用所述密鑰對中的私鑰對所述數(shù)據(jù)包進行簽名，并將所述對數(shù)據(jù)包進行簽名后的簽名值發(fā)送給所述本地設備，所述本地設備再將所述數(shù)據(jù)包、所述簽名值以及簽名算法標識組合成一個申請數(shù)字證書的請求。
18、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述具有預定格式的數(shù)據(jù)包中包括密鑰對中的公鑰、數(shù)字證書的用途信息和用戶信息。
19、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述申請數(shù)字證書的請求中包括所述具有預定格式的數(shù)據(jù)包、用所述密鑰對中的私鑰對所述數(shù)據(jù)包進行簽名后的簽名值以及簽名算法標識。
20、 根據(jù)權利要求19所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，在所述本地設備將所述申請數(shù)字證書的請求發(fā)送給所述安全終端與所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書之間包括所述安全終端用接收到的所述申請數(shù)字證書的請求中的公鑰，對所述申請數(shù)字證書的請求中的簽名值進行驗證。
21、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述安全終端生成的數(shù)字"i正書中包含有用戶信息。
22、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備具體為所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并直接將所述數(shù)字證書發(fā)送給所述本地設備；或者所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書后，給所述本地設備發(fā)送一個能夠下載所述數(shù)字證書的提示消息，所述本地設備接收到所述提示消息后，從所述安全終端中下載所述數(shù)字證書。
23、 根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備具體為所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給證書服務器；所述本地設備從所述證書服務器中獲取所述數(shù)字證書。
24、根據(jù)權利要求7所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備將所迷申請數(shù)字證書的請求發(fā)送給所述安全終端具體為所述本地設備將所述申請數(shù)字證書的請求發(fā)送給所述安全中繼，所述安全中繼再將所述申請數(shù)字證書的請求轉發(fā)給所述安全終端；相應地，所述安全終端根據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述本地設備具體為所述安全終端才艮據(jù)所述申請數(shù)字證書的請求生成數(shù)字證書，并將生成的所述數(shù)字證書發(fā)送給所述安全中繼，所述安全中繼再將所述數(shù)字證書轉發(fā)給所述本地設備。
25、 根據(jù)權利要求7、 22、 23或24所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，在所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備之前,包括所述本地設備獲取所述安全終端的公鑰的步驟。
26、 根據(jù)權利要求25所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備獲取所述安全終端的公鑰的步驟具體為所述本地設備在接收到的所述簽名后的數(shù)字證書后，從所述安全終端的根證書中獲取所述安全終端的公鑰。
27、 根據(jù)權利要求26所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備之前還包括所述本地設備用所述公鑰對所述接收到的數(shù)字證書進行驗證。
28、 根據(jù)權利要求27所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備具體為所述本地設備將驗證成功的數(shù)字證書寫入所述智能密鑰設備。
29、 根據(jù)權利要求28所述的智能密鑰設備獲取數(shù)字證書的方法，其特征在于，所述本地設備將所述數(shù)字證書寫入所述智能密鑰設備之后還包括在所述數(shù)字證書寫入失敗時，所述本地設備或所述智能密鑰設備向用戶提示寫入失敗信息。
全文摘要
本發(fā)明公開了一種智能密鑰設備獲取數(shù)字證書的系統(tǒng)及方法，涉及數(shù)字證書技術領域，為減少用戶自己下載數(shù)字證書的麻煩，同時保障了用戶私密信息在網絡傳輸過程中的安全性。智能密鑰設備獲取數(shù)字證書的系統(tǒng)包括智能密鑰設備，與所述智能密鑰設備相連的本地設備，以及通過網絡與所述本地設備相連的安全終端。本發(fā)明適用于智能密鑰設備對數(shù)字證書的獲取。
文檔編號H04L9/32GK101527633SQ20081024705
公開日2009年9月9日 申請日期2008年12月31日 優(yōu)先權日2008年12月31日
發(fā)明者于華章, 舟 陸 申請人:北京飛天誠信科技有限公司