提供数字证书的制作方法

提供数字证书的制作方法
【专利说明】提供数字证书
[0001]相关串请的交叉引用
[0002]本申请要求享有于2013年4月26日提交的南非临时专利申请N0.2013/03076的优先权，并且该申请通过引用并入本文。
技术领域
[0003]本发明涉及用于提供数字证书的系统、方法及设备。
【背景技术】
[0004]从发送设备发送的数据消息(例如电子邮件)可经过多个网关、计算机系统、服务器、路由器或任何其他这种途中节点而到达接收设备。发送方通常不能对数据消息所经过的网关、计算机系统、服务器、路由器或其他节点进行控制，并且通常甚至不知道数据消息在发送给接收方设备时所遵循的路径。
[0005]因此，第三方可在这些节点中的任一处轻易地拦截、读取或甚至更改数据消息，这意味着当数据消息最终到达预期的接收方设备时，数据消息及其内容的完整性、保密性和/或有效性是值得怀疑的。
[0006]许多声称要解决数据消息的完整性、保密性和/或有效性的问题的研究已经持续多年。
[0007]已经取得了一定进展的一种解决方案涉及在发送设备处使用公共密钥加密来数字式签署数据消息，以产生“数字签名”。该数字签名可确保数据消息不能在中间节点处被读取或更改，这意味着可以将在接收设备处接收到的数据消息验证为在传输过程中没有被更改或读取。
[0008]公共密钥加密涉及通常需要两个独立密钥的加密系统，这两个密钥中的一个是“私有的”而另一个则是“公共的”。公共密钥可用于给数据加密或检验数字签名，而私有密钥可用于对加密的数据进行解密或用于创建数字签名。两个密钥均不能单独地执行全部功能。通常，用户的公共密钥可以被公开，而相应的私有密钥应保密的。
[0009]例如，当对数据消息进行数字式签署时，可使用发送方的私有密钥在发送设备端对该数据消息(或更通常地为数据消息的散列)进行加密。然后，这种数字式签署的数据消息能与原始数据消息以及发送方的公共密钥一起传输给接收方。然后，接收方使用公共密钥对数字式签署的数据消息进行解密，并将解密后的数字式签署的数据消息与原始数据消息(或更通常地是这两者的散列)进行比较。
[0010]在对数据消息进行加密时，发送方使用接收方的公共密钥来加密数据消息。将加密的数据消息从发送方传输给接收方。然后，接收方使用接收方的私有密钥对数据消息进行解密。
[0011]数字证书通常由认证中心颁发，并可用于将公共密钥绑定到身份。这些数字证书还可以包含关于该证书颁发给的实体或个人的信息，并还可包含关于颁发该数字证书的认证中心的信息。
[0012]现有的数字证书存储设备缺乏所需的安全等级，并因此使得存储于其中的数字证书容易受到攻击或冒用。

【发明内容】

[0013]根据本发明的第一方面，提出了用于提供数字证书的方法，该方法执行在远程访问服务器处并包含以下步骤:接收数字证书请求，该请求包含标识符；获取与该标识符相关联的移动设备的通信地址，其中移动设备具有与该移动设备进行通信的证书存储模块；通过移动设备将数字证书请求传输给证书存储模块，其中证书存储模块配置为在释放数字证书之前，通过移动设备来提示其用户输入密码；响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中，而通过移动设备从证书存储模块处接收数字证书；以及，将数字证书传输给通信设备以用于数字式签署或加密数据消息。
[0014]本发明的其他特征提出，获取与标识符相关联的移动设备的通信地址的步骤包含以下步骤:从该请求中提取标识符；查询数据库以确定该标识符是否已经在远程访问服务器中进行了注册；并且，如果该标识符已被注册，那么就从数据库中获取与该标识符相关联的移动设备的通信地址，其中移动设备具有与该移动设备进行通信的证书存储模块。
[0015]本发明的另一特征提出，接收数据证书请求的步骤包含:接收超文本传输协议请求消息。
[0016]本发明的其他特征提出，从该请求中提取标识符的步骤包含:从由通信设备递交给远程访问服务器的统一资源定位符(URL)的路径部分中提取标识符，以及该标识符为与证书存储模块唯一地关联的字母数字序列。
[0017]本发明的另一特征提出，从请求中提取标识符的步骤包含:提取包含在请求中的电子邮件地址。
[0018]本发明的另外的特征提出，通过加密通道来执行向证书存储模块请求数字证书、从证书存储模块处接收数字证书以及将数字证书传输给通信设备的步骤；以及加密通道为互联网协议安全(IPSec)加密通道、安全套接层(SSL)加密通道、传输层安全(TLS)加密通道或安全壳(SSH)加密通道。
[0019]本发明的其他特征提出，证书存储模块配置为仅响应于从远程访问服务器处接收到数字证书请求而将数字证书传输给远程访问服务器，以及由单个设备来执行由移动设备执行的功能以及由通信设备执行的功能。
[0020]本发明的其他特征提出，获取与标识符相关联的移动设备的通信地址的步骤包含以下步骤:将获取的通信地址与传来请求的移动设备的通信地址进行比较。
[0021]根据本发明的第二方面，提出了一种执行在移动设备处的用于提供数字证书的方法，移动设备具有与该移动设备耦接的、存储有数字证书的证书存储模块，该方法包含以下步骤:从远程访问服务器处接收数字证书请求，响应于远程访问服务器接收到数字证书请求，由远程访问服务器对该请求进行传输；接收由用户输入的密码，以便对释放数字证书进行授权；将输入的密码与其偏移量进行比较；以及，如果输入的密码与偏移量相对应，那么将数字证书从证书存储模块处传输给远程访问服务器，以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
[0022]本发明的另一特征提出，接收数据证书请求的步骤是通过移动设备在证书存储模块处接收数字证书请求。
[0023]本发明的其他特征提出，接收由用户输入的密码的步骤是通过移动设备在证书存储模块处接收密码，并且将输入的密码与其偏移量进行比较的步骤执行在证书存储模块处。
[0024]根据本发明的第三方面，提出了一种用于提供数字证书的系统，其包括远程访问服务器，所述远程访问服务器包括:请求接收部件，其用于接收数字证书请求，该请求包含标识符；获取部件，其用于获取与标识符相关联的移动设备的通信地址，其中移动设备具有与该移动设备进行通信的证书存储模块；请求传输部件，其用于通过移动设备将数字证书请求传输给证书存储模块，其中证书存储模块配置为在释放证书之前，通过移动设备来提示其用户输入密码；数字证书接收部件，其响应于将与存储在证书存储模块中的偏移量相对应的密码输入到证书存储模块中而通过移动设备从证书存储模块处接收数字证书；以及数字证书传输部件，其用于将数字证书传输给通信设备，以用于对数据消息进行数字式签署或加密。
[0025]本发明的其他特征提出，该系统还包括移动设备，所述移动设备具有与其耦接的存储有数字证书的证书存储模块，移动设备包括:请求接收部件，其用于从远程访问服务器处接收数字证书请求，其中响应于远程访问服务器接收到数字证书请求，由远程访问服务器对该请求进行传输；密码接收部件，其用于接收由用户输入的密码，以便对释放数字证书进行授权；比较部件，其用于将输入的密码与该密码的偏移量进行比较；以及数字证书传输部件，其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块处传输给远程访问服务器，以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
[0026]本发明的其他特征提出，该系统还包括通信设备，所述通信设备配置为:将数字证书请求传输给远程访问服务器；从远程访问服务器处接收数字证书；以及使用接收到的数字证书对数据消息进行数字式签署或加密。
[0027]本发明的另一特征提出，数字证书为用于公共密钥加密的安全/多用途互联网邮件扩展(S/Μ頂E)标准数字证书。
[0028]本发明的又一特征提出，证书存储模块设于移动设备中。
[0029]本发明的其他特征提出，证书存储模块耦接证书存储标签上到或设于证书存储标签中，以及证书存储标签耦接到移动设备的通信部件上。
[0030]本发明的又一特征提出，证书存储模块设于移动设备的通信部件中，以及通信部件为订户身份模块(SIM)卡。
[0031]本发明的其他特征提出，证书存储模块配置为仅响应于从远程访问服务器处接收到数字证书请求而将数字证书传输给远程访问服务器，以及可由单个设备来执行由移动设备执行的功能与由通信设备执行的功能，以及所述单个设备为移动设备。
[0032]根据本发明的第四方面，提出一种用于提供数字证书的证书存储标签，其包括:设置在证书存储标签的顶面上的第一组电触点，以用于与移动设备相配合；设置在证书存储标签的底面上的第二组电触点，以用于与通信部件相配合；耦接元件，其配置为将证书存储标签附接到通信部件上；以及证书存储模块，其设于证书存储标签中并耦接到第一组电触点及第二组电触点上，其中，证书存储模块在其中存储有数字证书，并包括:请求接收部件，其用于从远程访问服务器处接收数字证书请求，其中响应于远程访问服务器接收到数字证书请求，由远程访问服务器对该请求进行传输；密码接收部件，其用于接收由用户输入的密码，以便对释放数字证书进行授权；比较部件，其用于对输入的密码与该密码的偏移量进行比较；以及数字证书传输部件，其用于当输入的密码与偏移量相对应时将数字证书从证书存储模块处传输给远程访问服务器，以便传输给通信设备并用于对该处的数据消息进行数字式签署或加密。
[0033]本发明的其他特征提出，证书存储模块包括安全处理单元以及公共处理单元；安全处理单元与公共处理单元彼此在逻辑上隔离并在物理上隔离；以及数字证书安全地存储在安全处理单元中。
[0034]本发明的其他特征提出，证书存储模块为硬件安全模块；耦接元件为粘接层；通信部件为订户身份模块(S頂)卡；以及数字证书为用于公共密钥加密的安全/多用途互联网邮件扩展(S/Μ頂E)标准数字证书。
[0035]根据本发明的第五方面，提出了一种用于提供数字证书的计算机程序产品，该计算机程序产品包含存储有计算机可读程序代码的计算机可读介质，该计算机可读程序代码用于执行以下步骤:接收数字证书请求，该请求包含标识符；获取与该标识符相关联的移动设备的通信地址，其中该移动设备具有与其进行通信的证书存储模块；通过移动设备将数字证书请求