专利名称::一种下发数字证书的方法
技术领域:
:本发明涉及信息安全领域,特别涉及一种下发数字证书的方法。
背景技术:
:近些年来,随着网络技术的蓬勃发展,网上银行业务也开始迅速的发展。目前国内大多数银行都推出了自己的网上银行业务。用户在体验方便、快捷的网上银行服务之余,难免会担心网上银行的安全性。目前,大多数银行采用的安全措施为向用户提供专用于网上银行业务的USBKey,用户在进行网上银行业务时需要USBKey的参与才能完成相应的业务。USBKey是一种具有USB接口的硬件设备,其内置单片机或智能卡芯片,用于利用内置的密钥算法实现对用户身份的认证。通常情况下,USBKey内置的密钥算法大多是非对称算法,利用非对称算法能够生成一对密钥,分别为公钥和私钥,其中私钥保存在USBKey中,理论上使用任何方式都无法被非法读取,用以对USBKey中的信息进行加密,公钥保存在银行客户端主机中,用以对USBKey发送的加密信息进行解密,保护了用户交易信息的安全性。每个USBKey设备中需要保存数字证书。数字证书是由一个第三方的权威机构——CA(CertificateAuthority,数字证书认证中心)发行的,是一种权威性的电子文档,作用类似于公民的身份证或者司机的驾驶执照。使用USBKey的用户通过数字证书来识别对方的身份。由于CA作为权威的、公正的、可信赖的第三方,因此CA提供的数字证书可以给用户的身份认证充分保证。在实现本发明的过程中,发明人发现现有技术存在如下缺点由于现有的CA对数字证书的载体USBKey的管理手^R非常有限,用户可以从CA处将数字证书下载到自己选择的USBKey中,无法对用户使用的USBKey进行规范化的管理,使一些不符合CA要求的USBKey成为证书的载体,甚至用户的证书可能被非法用户盗取并复制到其他的USBKey中使用,对用户的网银账户造成了极大的威胁。
发明内容为了确保将数字证书下发给合法的USBKey中,本发明提供了一种下发数字证书的方法。所述技术方案如下一种下发数字证书的方法,所述方法包括认证中心接收USBKey发送的证书请求,所述证书请求中携带所述USBKey的标识信息及其数字签名、所述USBKey的公钥;根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进^f亍-睑^正;当所述验证成功时,保存所述USBKey的公钥,并为所述USBKey生成数字证书,并将所述数字证书与所述USBKey相关联,再将所述数字证书发送给所述USBKey;当所述-睑证不成功时,结束操作。所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果与所述USBKey的标识信息进行比对;当比对结果为相同时,—睑^L成功;当比对结果为不同时,验证失败。所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果进行散列运算生成消息摘要,并使用所述散列运算对所述USBKey的标识信息进行运算生成消息摘要,将所述解密结果的消息摘要与所述USBKey的标识信息的消息摘要进行比对;当比对结果为相同时,-验"^正成功;当比对结果为不同时,验证失败。所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果进行变换和散列运算生成消息摘要,对USBKey的标识信息使用所述变换和散列运算生成消息摘要,将所述解密结果的消息摘要与所述USBKey的标识信息的消息摘要进行比对;当比对结果为相同时,-睑i正成功;当比对结果为不同时,验"i正失败。当所述验证成功时,为所述USBKey生成数字证书之前,所述方法还包括根据所述USBKey的标识信息进行检索,判断是否存在所述USBKey的相关记录,并且所述USBKey的状态为未4吏用;当判断结果为是时,为所述USBKey生成凄t字证书;当判断结果为否时,结束操作。包括当所述数字证书的状态为有效时,所述认证中心将所述USBKey的状态设置为允许使用的状态;当所述数字证书的状态为无效时,所述认证中心将所述USBKey的状态设置为禁止使用的状态。所述方法还包括所述认证中心接收到状态查询请求,所述状态查询请求中携带所述USBKey的关键信息,所述关键信息至少包括所述USBKey标识信息、与USBKey具有关联关系的数字证书的标识、USBKey用户的身份信息中的一项;所述认证中心根据所述关键信息查询所述USBKey的状态和与所述USBKey相关联的数字证书的信息,并返回查询结果。所述方法还包括所述认证中心接收到撤销证书请求,将所述用户使用的USBKey中的数字证书无效,并修改所述USBKey的状态为禁止使用的状态。所述方法还包括所述认证中心接收到挂起证书请求,将所述用户申请挂起的数字证书无效,并修改所述USBKey的状态为禁止使用的状态。所述方法还包括所述认证中心4妾收所述USBKey发送的解挂证书请求,所述解挂证书请求中携带所述USBKey的关键信息和所述USBKey标识信息的数字签名,所述关键信息至少包括所述USBKey的标识信息、与所述USBKey具有关联关系的数字证书的标识、所述USBKey的用户的身份信息中的一项;根据所述USBKey的关4建信息、所述USBKey的标识信息的数字签名、以及保存的所述USBKey的公钥对所述USBKey进行-验i正;当所述验证均成功时,所述认证中心将所述用户的数字证书有效,并修改所述USBKey的状态为允许使用的状态;当所述验证不成功时,结束操作。所述方法还包括所述认证中心接收所述USBKey发送的更新证书请求,所述更新证书请求中携带所述USBKey使用其原有私钥产生的标识信息的数字签名、以及所述USBKey新生成的/>钥;根据所述USBKey标识信息的数字签名、以及所述USBKey的原有公钥对所述USBKey进行-睑证;当所述验证成功时,将所述USBKey原有的数字证书无效、保存接收到的所述USBKey新生成的/>钥、为所述USBKey生成新的lt字i正书,并将所述新的数字证书与所述USBKey相关联,再将所述新的数字证书发送给所述USBKey;当所述验证不成功时,结束操作。所述方法还包括所述USBKey接收到所述数字证书,并对所述数字证书进行保存;当所述保存成功时,结束操作;当所述保存失败时,发送保存失败消息给所述认证中心,所述认证中心将所述数字证书无效,并修改所述USBKey的状态为禁止使用的状态。本发明提供的技术方案带来的有益效果是通过将对证书的管理和USBKey的管理相结合,确保了将数字证书下发到合法的USBKey中,增强了对数字证书以及USBKey设备的管理,为用户的信息安全提供了保证。还进一步提供了关联查询、撤销证书、挂起证书、解挂证书、更新证书的方法,方便了用户的使用。9图l是本发明实施例1中提供的下发数字证书的方法流程图;图2是本发明实施例1中提供的下发数字证书的方法流程图;图3是本发明实施例1中提供的下发数字证书的方法流程图;图4是本发明实施例1中提供的下发数字证书的方法流程图;图5是本发明实施例1中提供的下发数字证书的方法流程图;图6是本发明实施例1中提供的下发数字证书的方法流程图。具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。实施例1参见图l,本实施例提供了一种下发数字证书的方法,该方法包括步骤101:将合法的USBKey的标识信息在CA中进行登记;其中,每个USBKey的标识信息都是唯一的,该标识信息被写入USBKey后不能被修改,但可以被读取。在本实施例中,标识信息可以但不限于为USBKey的硬件序列号、可以唯一代表USBKey的字符串等。在CA中进行登记的方法有很多方式,本实施例以银行的网银业务为例,当银行向网银用户提供USBKey时,将USBKey的标识信息进行记录,并提供给CA,这种登记方式可以确保在CA中进行登记的USBKey均为银行官方提供的合法USBKey,这种在CA中进行登记的方法并不用以限制本实施例步骤101的登记方式。步骤102:CA将USBKey的使用状态进行设置;其中,USBKey的使用状态可以但不限于包括"未使用"、"使用中"、"暂停使用"、"废止"等。一般情况下,USBKey的初始使用状态为"未使用"。以表1为例,但表1并不用以限制USBKey相关信息的设置形式表1<table>tableseeoriginaldocumentpage11</column></row><table>步骤103:USBKey在接收到申请数字证书的指令时,根据内置的密钥生成算法产生一个密钥对;需要说明的是,当用户希望为USBKey申请数字证书时,可以通过多种方式向USBKey发送申请数字证书的指令,如用户可以将USBKey与CA的终端机相连接,并通过在终端机上选择相应的选项为USBKey发送申请数字证书的指令。USBKey内置的密钥生成算法可以为非对称算法,常用的非对称算法包括RSA、DSA(DigitalSignatureAlgorithm,数字签名算法)、ECC(EllipticCurveCryptosystems,椭圆曲线密码体制)等,使用非对称算法产生的密钥对为私钥和公钥。步骤104:USBKey将其标识信息进行数字签名;其中,USBKey可以使用步骤103中产生的私钥对其标识信息进行数字签名。步骤105:USBKey产生i正书请求发送给CA;其中,USBKey产生的证书请求中可以携带包括USBKey的标识信息及其数字签名、步骤103中产生的公钥;进一步还可以包括用户的身份信息等,当然根据不同CA的策略,CA还可以通过其他方式获得使用USBKey的用户的身份信息。其中,用户的身份信息可以但不限于包括用户的姓名、用户ID、电话号码、家庭住址等相关信息。步骤106:CA接收到USBKey发送的证书请求,对申请证书的用户进行身份认证;如果认证成功,则执行步骤107;如果认证不成功,则执行步骤115。CA在接收到USBKey发送的证书请求时,对证书请求中携带的USBKey的标识信息及其数字签名,以及公钥进行保存。这里需要说明的是根据用户的身份信息对用户进行身份认证的方法可以包括CA主动向身份权威(如政府部门)或合作方(如银行等)发出申请,由身份权威或合作方将与该用户有关的身份信息发送给CA,CA将身份权威或合作方发送的用户的身份信息与其接收到的使用USBKey的用户的身份信息进行比对,如果全部相同,则iU正成功;否则iU正不成功。或者,CA主动向身份权威或合作方发出申请,在申请中附带其接收到的使用USBKey的用户的身份信息,由身份权威或合作方对用户的身份信息进行比对,并将比对的结果返回给CA,如果全部相同,则认证成功;否则认证不成功。或者,CA预先保存身份权威或合作方的合法用户的身Y分信息,并将接收到的使用USBKey的用户的身份信息与预先保存的合法用户的身份信息进行比对,如果全部相同,则认证成功;否则认证不成功。步骤107:CA对USBKey进行验证;如果验证都成功,则执行步骤108;如果验证不成功,则执行步骤115。其中,具体的验证方法可以为CA使用接收到的证书请求中的公钥对接收到的USBKey的标识信息的数字签名进行解密运算,然后将解密得到的结果与接收到的标识信息进行比较,如果相同,则说明USBKey是合法的硬件设备,则-验证成功,否则-睑证不成功;或者CA使用接收到的证书请求中的公钥对接收到的USBKey的标识信息的数字签名进行解密运算,然后将解密结果进行散列运算生成消息摘要,并使用同样的散列运算对USBKey的标识信息进行运算生成消息摘要,将解密结果的消息摘要与USBKey的标识信息的消息摘要进行比较,如果相同,则说明USBKey是合法的硬件设备,则验证成功,否则验证不成功;其中,在对解密结果和USBKEY的标识信息进4亍散列运算之前,还可以对需要进行散列运算的数据进行变换。变换的方式有多种,如可以数据中的一部分进行散列运算,和/或按照预设的规则进行位置调换和/或数值变换等方法。其中,比如USBKEY的标识信息为1A2B3C4D,则可以直接对1A2B3C4D进行12散列运算提取消息摘要;如提取数据中的一部分进行散列运算,则可以对2B3C进行散列运算提取消息摘要,当然提取除了可以连续提取其中一部分外,还可以不连续的进行提取;还可以将数据进行位置调换和/或凄t值变换等操作后再对其进行散列运算或提取其中一部分进行散列运算,比如USBKEY的标识信息为1A2B3C4D,对其进行位置调换和/或数值变换后得到关键信息的方法为其中,位置调换是指按照预设的规则调换上述信息中部分位或全部位的位置,假设位置调换规则为将上述信息进行位置倒置,则为D4C3B2A1;其中,数值变换是指按照预设的规则替换上述数据中相应位置的值,假设预先设定的规则为将1替换成9,2替换成8,3替换成7,4替换成6,其它不变,则为9A8B7C6D,此时可以对处理后的值进行散列运算,也可以提取其中一部分进行散列运算,比如提取9A8B或A86D作为进行散列运算。另夕卜,还可以同时使用位置调换和数值变换两种方式,当然,在实际应用中,可以依据需要自己设计具体的变换方法,只要是可逆的变换即可;具体地,散列运算的算法包括但不限于SHA-1、MD2、MD5、H-MAC;另外,如果使用H-MAC算法进行散列运算,则两次计算使用的密钥也是相同的。还需要进一步说明的是,本发明实施例以先进行用户的身份认证、后进行USBKey的-验证为例对本方法进行说明,但这并不用以限制这两个步骤的先后顺序,还可以先进行USBKey的验证、后进行用户的身份认证,或者USBKey的验证与用户的身份认证同时进行。步骤108:CA根据接收到的USBKey的标识信息,在其保存的登记信息中进行检索;具体的检索方式可以为将接收到的USBKey的标识信息作为检索关键字查询匹配的i己录。如果在CA保存的登记信息中检索到与该USBKey的标识信息相匹配的记录,且其对应的使用状态为"未使用",则执行步骤109;否则,执行步骤115。步骤109:CA为USBKey生成数字证书,并将生成的数字证书与USBKey的相关信息相关联;需要说明的是,数字证书与USBKey之间的关联可以理解为将数字证书的状态与USBKey的状态相关联当数字证书有效时,USBKey的状态为允许13使用的状态;当数字证书无效时,USBKey的状态为禁止使用的状态。数字证书无效时会被CA放入到黑名单当中,但放入黑名单并不用于限制本发明处理证书无效的形式。其中,允许使用的状态可以但不限於包括"使用中",禁止使用的状态可以但不限於包括"未使用"、"暂停使用"、"废止使用,,等。CA为USBKey生成的数字证书的相关信息可以如表2所示,但并不用以限制数字证书的保存形式和信息内容。表2数字"i正书标识颁发曰期废止曰期是否有效A2009年6月10日2009年7月10曰是其中,将数字证书列入黑名单的情形可以包括很多。例如,当用户的数字证书仍然处于有效期,但却被他人非法盗取时,CA会根据用户的要求将该数字证书列入黑名单。将数字证书与USBKey的相关信息相关联,具体的^L法可以包括在数字证书的相关信息中增加一项与USBKey相关的信息;或者,在USBKey的相关信息中增加一项与数字证书相关的信息;或者,将数字证书的相关信息与USBKey的相关信息合成在一起。以表1、表2为例,将数字证书与USBKey的相关信息相关联可以包括如下几种情形表3数字证书标识颁发曰期废止曰期是否有效对应的USBKeyA2009年6月10曰2009年7月10曰是1A2B3C4D或者表4USBKey的标识信息使用状态数字证书标识1A2B3C4D未使用A5A6B7C8D使用中B1F2G3E4H暂停使用C5G6E7R8S废止D或者表5<table>tableseeoriginaldocumentpage15</column></row><table>步骤110:CA在其保存的登记信息中将该USBKey对应的使用状态设置为"使用中",如表6:表6<table>tableseeoriginaldocumentpage15</column></row><table>步骤111:CA向USBKey下发生成的数字证书;步骤112:USBKey接收到CA下发的数字证书,并将数字证书进行保存;如杲保存成功,则结束操作;如果保存不成功,则执行步骤113;步骤113:USBKey向CA发送证书保存失败消息;在证书保存失败消息中携带数字证书标识、USBKey的标识信息;步骤114:CA将证书保存失败消息中的数字证书放入黑名单,并将相应标识信息的USBKey的使用状态设置为"废止";步骤115:提示错误的详细信息,结束操作。需要说明的是,当USBKey申请证书成功后,如果用户在USBKey的使用过程中需要查询USBKey的状态以及与其相关联的数字证书的状态,参见图2,该方法可以进一步包括步骤201:CA接收到状态的查询请求;在查询请求中可以携带USBKey的关4建信息,USBKey的关键信息包括以下各项信息中的至少一项USBKey标识信息、与USBKey具有关联关系的数字证书的标识、USBKey用户的身份信息;查询请求中还可以携带USBKey标识信息的数字签名。步骤202:CA对USBKey进行—睑证;如果验证成功,则执行步骤203;如果一睑证失败,则结束操作。其中,具体的验证方法可以为CA根据USBKey的关键信息查询得到该USBKey的标识信息以及对应的公钥,并使用查询到的公钥对接收到的USBKey的标识信息的数字签名进行解密运算,然后将解密得到的结果与查询到的标识信息进行比较,如果相同,则说明USBKey是合法的硬件设备,则验证成功;否则-睑证不成功。还需要进一步说明的是,在本发明实施例中执行步骤203之前,CA还可以对用户进行身份认证,具体的认证方式可以参见步骤106,这里不做赘述。可以先进行用户的身份认证、后进行USBKey的验证,还可以先进行USBKey的验证、后进行用户的身份认证,或者USBKey的验证与用户的身份认证同时进行。步骤203:CA根据USBKey的标识信息,在保存的登记信息中查询USBKey的使用状态;如果存在相应的USBKey的记录并且USBKey的状态为"使用中",则执行步骤204;如果没有,则返回失败信息,结束操作。步骤204:在关联信息(如表3、4、5或6)中查询与该USBKey相关联的数字证书及其状态;如果存在关联数字证书,则返回数字证书信息;如果不存在,返回失败信息,并结束操作。需要说明的是,当USBKey申请证书成功后,如果用户在USBKey的使用过程中希望撤销数字证书时,参见图3,该方法可以进一步包括步骤301:CA接收到撤销证书请求;其中,撤销证书请求中可以包括数字证书标识、或USBKey的标识信息。步骤302:CA根据撤销证书请求中携带的数字证书标识或USBKey的标识信息找到相应的数字证书,并将该数字证书放入黑名单中,同时CA解除该数字证书与USBKey的关联关系;其中,CA解除该数字证书与USBKey的关联关系的方法可以但不限於包16括在CA保存的关联信息中删除USBKey中与该数字证书相关的全部内容。需要说明的是,CA还可以在步骤302之前对用户进行身份认证;如果认证成功,则执行步骤302;如果认证不成功,则结束操作。其中,根据用户的身份信息对用户进行身份认证的方法可以参见步骤106的描述,这里不做赘述。步骤303:CA在登记的信息中查询到USBKey的标识信息,并将USBKey的使用状态修改为"废止"。还需要说明的是,CA也可以主动进行证书撤销的工作由于CA下发的数字证书是具有使用期限的,当证书过期时,CA会自动将过期的证书放入黑名单,并将与该过期的证书相关联的USBKey的状态设置为"废止"。需要说明的是,当USBKey申请证书成功后,如果用户在USBKey的使用过程中希望将数字证书挂起(即暂停使用)时,参见图4,该方法可以进一步包括步骤401:CA接收到挂起证书请求;其中,挂起证书请求中可以包括数字证书标识、或USBKey的标识信息。步骤402:CA根据接收到的挂起证书请求中携带的数字证书标识或USBKey的标识信息找到数字证书,并将该数字证书放入黑名单中;需要说明的是,CA还可以在步骤402之前对用户进行身份认证;如果认证成功,则执行步骤402;如果认证不成功,则结束操作。其中,根据用户的身份信息对用户进行身份认证的方法可以参见步骤106的描述,这里不做赘述。步骤403:CA在关联:信息中查询到USBKey的标识信息,并将USBKey的使用状态修改为"暂停使用"。需要说明的是,当USBKey挂起证书成功后,如果用户在USBKey的使用过程中希望将挂起的数字证书解挂时,参见图5,该方法可以进一步包括步骤501:USBKey根据接收到的解挂证书的指令后,向CA发送解挂证书请求;其中,解挂证书请求中可以携带USBKey标识信息的数字签名、USBKey的关键信息。步骤502:CA对申请解挂证书的用户进行身份认证;如果认证成功,则执行步骤503;如果认证不成功,则执行步骤505。具体的认证方式可以参见步骤106,这里不做赘述。步骤503:CA对USBKey进行验证;如果验证成功,则执行步骤504;如果验证失败,则结束操作。具体的验证方式可以参见步骤107,这里不做赘述。其中,可以通过数字证书标识在保存的关联关系中查找到USBKey的标识信息以及相应的公钥等。还需要进一步说明的是,在本发明实施例可以先进行用户的身份认证、后进行USBKey的验证,还可以先进行USBKey的验证、后进行用户的身份认证,或者USBKey的验证与用户的身份认证同时进行。步骤504:CA将该数字证书从黑名单中移出;步骤505:CA在关联信息中查询到USBKey的标识信息,并将USBKey的使用状态修改为"使用中"。需要说明的是,当USBKey申请证书成功后,如果用户在USBKey的使用过程中希望将数字证书进行更新时,参见图6,该方法可以进一步包括步骤601:USBKey根据接收到的更新证书的指令后,根据内置的密钥生成算法生成一个新的密钥对;其中,密钥对包括7>钥和私钥步骤602:USBKey将其标识信息进行数字签名;其中,USBKey使用其原有的私钥对其标识信息进行数字签名。这里不限制步骤601和步骤602之间的先后顺序,可以同时进行,也可以先进行步骤601后进行步骤602、或者先进行步骤602后进行步骤601。步骤603:USBKey产生更新证书请求发送给CA;18其中,USBKey产生的更新证书请求中包括步骤602中产生的USBKey标识信息的数字签名、步骤601中产生的公钥;还可以包括USBKey的关4定信自步骤604:CA接收到USBKey发送的更新证书请求,CA对USBKey进行验证;如果验证成功,则执行步骤605;如果验证不成功,则结束操作。具体的验证方式可以参见步骤107,这里不做赘述。还需要进一步说明的是,在本发明实施例中CA还可以对用户的身份信息进行认证,可以先进行用户的身份认证、后进行USBKey的验证,还可以先进行USBKey的验证、后进行用户的身份认证,或者USBKey的验证与用户的身份认证同时进行。步骤605:CA生成数字证书,将旧的证书放入黑名单中,并解除旧的证书与USBKey之间的关联关系,同时将新生成的数字证书与USBKey相关联;步骤606:CA向USBKey下发生成的数字i正书;步骤607:USBKey接收到CA下发的数字证书,并将数字证书进行保存;如果保存成功,则结束才喿作;如果保存不成功,则执行步骤608;步骤608:USBKey向CA发送证书保存失败消息;在证书保存失败消息中携带数字证书、USBKey的标识信息;步骤609:CA将证书保存失败消息中的数字证书放入黑名单,并将相应标识信息的USBKey的使用状态设置为"废止"。本发明实施例提供了一种下发数字证书的方法,将对证书的管理和USBKey的管理相结合,确保了将数字证书下发到合法的USBKey中,增强了对数字证书以及USBKey设备的管理,为用户的信息安全提供了保证。还进一步提高了关联查询、撤销证书、挂起证书、解挂证书、更新证书的方法,方便了用户的使用。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1、一种下发数字证书的方法,其特征在于,所述方法包括认证中心接收USBKey发送的证书请求,所述证书请求中携带所述USBKey的标识信息及其数字签名、所述USBKey的公钥;根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证;当所述验证成功时,保存所述USBKey的公钥,并为所述USBKey生成数字证书,并将所述数字证书与所述USBKey相关联,再将所述数字证书发送给所述USBKey;当所述验证不成功时,结束操作。2、如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验i正的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果与所述USBKey的标识信息进行比对;当比对结果为相同时,-验证成功;当比对结果为不同时,-验证失败。3、如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果进行散列运算生成消息摘要,并使用所述散列运算对所述USBKey的标识信息进行运算生成消息摘要,将所述解密结果的消息摘要与所述USBKey的标识信息的消息摘要进行比对;当比对结果为相同时,-睑"i正成功;当比对结果为不同时,-验"^正失败。4、如权利要求1中所述的下发数字证书的方法,其特征在于,所述根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证的方法具体包括所述认证中心使用接收到的所述USBKey的公钥解密USBKey的标识信息的数字签名,将解密结果进行变换和散列运算生成消息摘要,对USBKey的标识信息使用所述变换和散列运算生成消息摘要,将所述解密结果的消息摘要与所述USBKey的标识信息的消息摘要进行比对;当比对结果为相同时,验证成功;当比对结果为不同时,-睑证失败。5、如权利要求1中所述的下发数字证书的方法,其特征在于,当所述验证成功时,为所述USBKey生成数字证书之前,所述方法还包括根据所述USBKey的标识信息进行检索,判断是否存在所述USBKey的相关记录,并且所述USBKey的状态为未#_用;当判断结果为是时,为所述USBKey生成数字证书;当判断结果为否时,结束操作。6、如权利要求1所述的下发数字证书的方法,其特征在于,所述将所述数字证书与所述USBKey相关联,具体包括当所述数字证书的状态为有效时,所述认证中心将所述USBKey的状态设置为允许使用的状态;当所述数字证书的状态为无效时,所述认证中心将所述USBKey的状态设置为禁止使用的状态。7、如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括所述认证中心接收到状态查询请求,所述状态查询请求中携带所述USBKey的关键信息,所述关键信息至少包括所迷USBKey标识信息、与所述USBKey具有关联关系的数字证书的标识、所述USBKey的用户的身份信息中的一项;所述^人证中心才艮据所述关《建信息查询所述USBKey的状态和与所述USBKey相关联的数字证书的信息,并返回查询结果。8、如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括所述认证中心接收到撤销证书请求,将所述用户使用的USBKey中的数字证书无效,并修改所述USBKey的状态为禁止使用的状态。9、如权利要求1所述的下发数字证书的方法,其特征在于,所迷方法还包括所述认证中心接收到挂起证书请求,将所述用户申请挂起的数字证书无效,并修改所述USBKey的状态为禁止使用的状态。10、如权利要求9所述的下发数字证书的方法,其特征在于,所述方法还包括所述认证中心接收所述USBKey发送的解挂证书请求,所述解挂证书请求中携带所述USBKey的关键信息和所述USBKey标识信息的数字签名,所述关键信息至少包括所述USBKey的标识信息、与所述USBKey具有关联关系的数字证书的标识、所述USBKey的用户的身4分信息中的一项;根据所述USBKey的关4建信息、所述USBKey的标识信息的数字签名、以及保存的所述USBKey的/>钥对所述USBKey进ff-险i正;当所述验证均成功时,所述认证中心将所述用户的数字证书有效,并修改所述USBKey的状态为允许4吏用的状态;当所述验证不成功时,结束操作。11、如权利要求1所述的下发数字证书的方法,其特征在于,所述方法还包括所述认证中心接收所述USBKey发送的更新证书请求,所述更新证书请求中携带所述USBKey使用其原有私钥产生的标识信息的数字签名、以及所述USBKey新生成的/〉钥;根据所述USBKey标识信息的数字签名、以及所述USBKey的原有7>钥对所述USBKey进4亍-睑证;当所述验证成功时,将所述USBKey原有的数字证书无效、保存接收到的所述USBKey新生成的公钥、为所述USBKey生成新的数字证书,并将所述新的数字证书与所述USBKey相关联,再将所述新的数字证书发送给所述USBKey;当所述验证不成功时,结束操作。12、如权利要求1中所述的下发数字证书的方法,其特征在于,所述方法还包括所述USBKey接收到所述数字证书,并对所述数字证书进行保存;当所述保存成功时,结束4喿作;当所述保存失败时,发送保存失败消息给所迷认证中心,所述认证中心将所述数字证书无效,并修改所述USBKey的状态为禁止使用的状态。全文摘要本发明公开了一种下发数字证书的方法,属于信息安全领域。该方法包括认证中心接收USBKey发送的证书请求,所述证书请求中携带所述USBKey的标识信息及其数字签名、所述USBKey的公钥;根据所述USBKey的标识信息及其数字签名、以及所述USBKey的公钥对所述USBKey进行验证;当所述验证成功时,保存所述USBKey的公钥,为所述USBKey生成数字证书,并将所述数字证书与所述USBKey相关联,再将所述数字证书发送给所述USBKey;当所述验证不成功时,结束操作。用以确保将数字证书下发给合法的USBKey。文档编号H04L29/06GK101645889SQ200910087969公开日2010年2月10日申请日期2009年6月26日优先权日2009年6月26日发明者于华章,舟陆申请人:北京飞天诚信科技有限公司