制证的方法、装置及系统的制作方法

专利名称：制证的方法、装置及系统的制作方法
技术领域：
本发明涉及制证领域，尤其涉及一种制证的方法、装置及系统。
背景技术：
智能密钥设备是一种通过标准的个人主机接口 (如USB接口等)，提供信 息加密处理的便携式设备；智能密钥设备中内置单片机或智能卡芯片，可以存 储密钥或数字证书，而且利用其内置的密钥算法可以对信息加密或对用户身份 进行识别等，因此利用智能密钥设备能够大大提高身份认证的强度。
现有技术中，智能密钥设备的持有者通常需要执行如下步骤来获得合法的 数字证书首先向数字证书认证中心(CertificateAuthority, CA)提出申请，将 用户身份信息和智能密钥设备的硬件信息发送给CA; CA判明申请者的身份以 后，便为该申请者分配一个公钥，然后CA将该爿^钥与申请者的身份信息及智能 密钥设备的硬件信息绑在一起，并为之签字形成数字证书，之后将该数字证书 下发到申请者持有的智能密钥设备中。
这种技术的不足之处在于，增加了用户的操作烦瑣性，用户在拿到智能密 钥设备后，必须通过计算机网络执行数字证书下载的过程；而在此过程中，很 容易出现信息错误的情况，或者因为网络故障导致用户无法在第一时间获取合 法的数字证书。

发明内容
本发明的实施例提供一种制证的方法、装置及系统，以实现自动地为智能 密钥设备下载数字证书，从而简化现有技术中进行数字证书下载时烦瑣的流程， 提高工作效率。
为达到上述目的，本发明的实施例采用如下技术方案
一种制证的方法，包括
从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息； 生成数字证书请求数据包并发送给安全终端，所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥对中的公
钥信息；
接收所述安全终端下发的数字证书，所述数字证书包含有所述智能密钥设 备的标识信息；
将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。 一种制证装置，包括
读取模块，用于从与本地设备连接的智能密钥设备中读取所述智能密钥设 备的标识信息；
请求模块，用于生成数字证书请求数据包，所述数字证书请求数据包中包 含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中的公 钥信息；
发送模块，用于将所述请求模块生成的数字证书请求数据包发送给安全终
端；
接收模块，用于接收所述安全终端下发的数字证书，所述数字证书包含有 所述智能密钥设备的标识信息；
写入模块，用于将所述数字证书写入与其包含的标识信息对应的智能密钥 设备中。
一种制证的系统，包括制证装置、安全终端以及智能密钥设备；其中， 所述制证装置，用于读取与所述制证装置连接的所述智能密钥设备中的标
识信息，结合所述智能密钥设备中的标识信息生成数字证书请求数据包并将其
发送给所述安全终端，并且，将从所述安全终端处获取到的数字证书写入到所
述智能密钥设备中；
所述安全终端，用于结合所述制证装置发送的数字证书请求数据包，生成
包含有所述智能密钥设备中的标识信息的数字证书，并将所述数字证书发送给
所述制证装置；
其中，所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥 i殳备的标识信息。
本发明实施例提供的制证的方法、装置及系统，通过将数字证书与智能密钥设备进行绑定，数字证书中不需要包含用户信息，使得下载数字证书的过程 中不再需要用户输入个人信息，因此整个数字证书的下载过程成为 一个可以由 智能密钥设备提供方来完成的、可自动实现的过程，不仅省却了用户自己下载 数字证书时的烦瑣过程，而且进一步地可以将原有的多个单一证书的下载流程 筒化成批量下载证书的流程，大大提高了工作效率。


图1为本发明实施例一提供的制证的方法流程图； 图2为本发明实施例二提供的制证的方法流程图； 图3为本发明实施例三提供的制证的方法流程图； 图4为本发明实施例四提供的制证的装置示意图； 图5为本发明实施例五提供的制证的系统示意图一； 图6为本发明实施例五提供的制证的系统示意图二。
具体实施例方式
为了实现自动地为智能密钥设备下载数字证书，从而简化现有技术中进行 数字证书下载时烦瑣的流程，提高工作效率，本发明实施例提供了一种制证的 方法、装置及系统。下面结合附图对本发明实施例制证的方法、装置及系统进 行详细描述。
实施例一
如图1所示，本发明实施例提供的制证的方法，包括以下步骤 步骤101、从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标 "i只j吕息;
步骤102、生成数字证书请求数据包并发送给安全终端，所述数字证书请求 数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥 对中的公钥信息；
步骤103、接收所述安全终端下发的数字证书，所述数字证书包含有所述智 能密钥设备的标识信息；
步骤104、将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
本发明实施例提供的制证的方法，通过将数字证书与智能密钥设备进行绑 定，数字证书中不需要包含用户信息，使得下载数字证书的过程中不再需要用 户输入个人信息，因此整个数字证书的下载过程成为 一个可以由智能密钥设备 提供方来完成的、可自动实现的过程，不仅省却了用户自己下载数字证书时的 烦瑣过程，而且进一步地可以将原有的多个单一证书的下载流程简化成批量下 栽证书的流程，大大提高了工作效率。
实施例二
参见图2，本实施例提供的是一种制证的方法，在本实施例中，智能密钥设 备为USB Key，本地安全终端包含本地设备和多个USB Key;上述多个USB Key 可以是直接插在本地设备上的多个USB接口上，也可以是通过USB HUB与本 地设备进行连接；并且本地设备通过安全中继从安全终端中向上述多个USB Key中下载数字i正书。
本地设备与安全中继预先约定双方互为信任方，并将本地设备发送的任意 请求都转发给安全终端。在本实施例中，安全中继可以看作是一个通信通道， 主要用于实现本地设备与安全终端之间的数据通信，具体实现步骤如下
步骤201、本地设备对操作者身份进行认证；如果认证成功，则进行步骤 202;否则，向用户提示出错。
其中，对用户身份进行认证的方法包括但不限于以下方法
验证用户输入的PIN码是否合法；
验证用户的生物特征是否合法；
验证用户提供的权限验证设备中是否包含合法数据；
验证用户提供的权限验证设备是否具有合法的硬件序列号；
将一些数据发送给权限验证设备进行运算，检查运算结果是否合法；
若验证结果为合法数据，则认证成功；否则，认证失败；
其中，所述权限验证设备可以为USB Key或智能卡。
步骤202、本地设备进行本机初始化操作，以激活本地设备中的各个模块从 而使本地设备能够正常工作；步骤203、本地i殳备检查USB Key是否与本地设备建立连接，若已建立连 接，则执行步骤204;否则，向用户提示出错；
步骤204、本地设备对USBKey进行验证，以确认所述USB Key是否可用 于数字证书下载；若验证成功，则执行步骤205;否则，向用户提示出错。
在本实施例中，本地设备对USB Key进行-睑证的方法包括但不限于以下方
法
本地设备将内部存储的PIN码发送给USB Key, USB Key比较接收到的PIN 码与自身内置的PIN码是否一致；若一致，则验证成功；若不一致，则验证失 败；
本地设备用内置的算法对USB Key的标识信息进行计算，得到PIN码并发 送给USB Key,并且USB Key用内置的算法对标识信息进行计算得到PIN码， 再比较计算得到的PIN码与接收到的PIN码是否相同；若相同，则验证成功； 若不相同，则验证失败；
在本实施例中，USB Key的标识信息可以是但不限于是USB Key的硬件序 列号。
步骤205、本地设备从所有与本机连接的USB Key中选择一个USB Key, 与其建立通信连接，并查找该USBKey中是否存在空闲密钥对；若不存在，则 执行步骤206;若存在，则执行步骤207;
在本实施例中，所述空闲密钥对指的是没有数字证书与其匹配的密钥对， 本地设备查找USB Key中是否存在空闲密钥对的具体步骤为本地设备从USB Key中查找密钥对，然后判断USB Key中是否有数字证书与查找得到的密钥对 相匹配。
在本实施例中，USB Key中可以存在多个密钥对，相应地，也可以存在多 个与所述密钥对相匹配的证书，证书之间不相互覆盖。
步骤206、 USBKey根据内置的密钥生成算法产生密钥对； 步骤207、本地设备读取该USB Key中的标识信息；
步骤208、结合USB Key中的空闲密钥对以及USB Key的标识信息，本地 设备与所述USB Key按照预先设定的规则产生一个P10请求数据包，并将该P10请求数据包发送给安全中继；
在本实施例中，所述预先设定的规则是本地设备先读取上述USBKey中 空闲密钥对的公钥信息，再生成一个包含有密钥对中的公钥信息、智能密钥设 备的标识信息以及证书的用途信息的数据包，并将该数据包发给USB Key，所 述USB Key用其中的空闲密钥对中的私钥对所述数据包进行签名，并将对所述 数据包进行签名后的签名值发送给本地设备，本地设备再将上述数据包、签名 算法标识以及签名后的签名值组合成一个P10请求lt据包；
在本实施例中，P10请求数据包中包含三部分内容数据包、用空闲密钥对 中的私钥对所述数据包进行签名后的签名值以及签名算法标识；所述数据包包 括密钥对中的公钥信息、USB Key的标识信息以及证书的用途信息等各种信 息；在本发明实施例中的P10请求数据包不包含用户信息。
步骤209、安全中继将接收到的P10请求数据包发送给安全终端；
步骤210、安全终端接收上述P10请求数据包，并用所述P10请求数据包中 携带的公钥对签名值进行验证；若验证成功，则执行步骤211;否则，向用户提 示出错；
步骤211、安全终端根据所述P10请求数据包中的数据信息生成数字证书， 并将该数字证书发送给安全中继；
在本实施例步骤211中，安全终端生成的证书中不包含有用户信息，但包 含有USB Key的标识信息。
步骤212、安全中继将接收到数字证书发送给本地设备；
步骤213、本地设备获取安全终端的公钥，并用该公钥对所述数字证书进行 验证；
在本实施例中，本地设备获取安全终端的公钥的方法可以是 本地设备预先从安全终端中获取安全终端的公钥；
本地设备在接收到签名后的证书后，从安全终端的根证书中获取安全终端 的公钥。
步骤214、本地设备将验证成功后的证书写入USB Key中；如果证书写入 失败，则向用户提示失败信息，如果证书写入成功，则向用户提示成功信息；在本实施例步骤214中，向用户提示失败或成功信息的方法包括但不限于 以下方法
本地设备通过语音发声的方法向用户提示失败或成功信息； 本地设备通过弹出对话框的方法向用户提示失败或成功信息； USB Key通过语音发声的方法向用户提示失败或成功信息； USB Key通过显示对话框的方法向用户提示失败或成功信息。 如果所述本地设备上连接有至少两个USB Key,则还需要进行以下步骤 步骤215、本地设备与当前通信的USB Key断开连接，并与一个新的智能 密钥设备建立通信连接，再重复进行制证过程。
在本实施例中，步骤209至步骤210还可以通过如下步骤来实现
步骤209'、安全中继接收上述P10请求数据包，并对该PIO请求数据包进 行验证；若验证成功，则执行步骤210';否则，向用户提示出错；
在本实施例步骤209'中，安全中继对P10请求数据包进行验证的方法包括 ^f旦不限于以下方法
安全中继用上述P10请求数据包中携带的/>钥对该P10请求数据包中的签 名值进行验证；
安全中继对上述P10请求数据包中的携带的USB Key的标识信息进行判断， 判断上述USBKey的标识信息是否在合法的范围，若是，则验证成功，若不是， 则验证失败；
其中，合法的范围是指本地设备与安全中继预先约定USB Key的标识信息 的范围。
步骤210'、安全中继将验证成功后的上述P10请求数据包发送给安全终端。
如果所述本地设备上连接有至少两个USB Key,那么可以由所述本地设备 依次读取所述至少两个USB Key中的标识信息，根据所述标识信息依次生成至 少两个数字证书请求数据包并将其一并发送给安全终端，在所述数字证书请求 数据包中包含有USB Key的标识信息而不包含用户信息；所述安全终端在接收到所述数字证书请求数据包后根据其中包含的数据生成至少两个数字证书并将
所述至少两个数字证书一并下发给所述本地设备，所述数字证书包含有USB Key的标识信息而不包含用户信息；然后，所述本地设备将所述至少两个数字证 书分别写入与其携带的标识信息相对应的智能密钥设备中。
本发明实施例提供的制证的方法，通过将数字证书与智能密钥设备进行绑 定，数字证书中不需要包含用户信息，使得下载数字证书的过程中不再需要用 户输入个人信息，因此整个数字证书的下栽过程成为一个可以由智能密钥设备 提供方来完成的、可自动实现的过程，不仅省却了用户自己下载数字证书时的 烦瑣过程，而且进一步地可以将原有的多个单一证书的下栽流程简化成批量下 载证书的流程，大大提高了工作效率。
实施例三
参见图3，本实施例提供的是一种制证的方法，在本实施例中，智能密钥设 备为USB Key,本地安全终端包含本地设备和多个USB Key;上述多个USB Key 可以是直接插在本地设备的多个USB接口上，也可以是通过USB HUB与本地 设备进行连接。
在本实施例中，本地设备与安全终端预先约定双方互为信任方，并且本地 设备直接向安全终端发送P10请求数据包申请证书，安全终端将生成的证书放 在证书服务器上，本地设备再从上述证书服务器上下栽证书到多个USB Key中， 具体实现步骤如下
步骤301、本地设备对操作者身份进行认证；如果认证成功，则进行步骤 302;否则，向用户提示出错；
其中，对用户身份进行认证的方法包括但不限于以下方法
验证用户输入的PIN码是否合法；
验证用户的生物特征是否合法；
验证用户提供的权限验证设备中是否包含合法数据；
验证用户提供的权限验证设备是否具有合法的硬件序列号；
将一些数椐发送给权限验证设备进行运算，检查运算结果是否合法；
若验证结果为合法数据，则认证成功；否则，认证失败；其中，所述权限验证设备可以为USB Key或智能卡。
步骤302、本地设备进行本机初始化操作，以激活本地设备中的各个模块从 而使本地设备能够正常工作；
步骤303、本地设备检查USB Key是否与本地设备建立连接，若已建立连 接，则执行步骤304;否则，向用户提示出错；
步骤304、本地设备对USBKey进行验证，以确认所述USB Key是否可用 于数字证书下载；若验证成功，则执行步骤305;否则，向用户提示出错；
在本实施例中，本地设备对USB Key进行-验i正的方法包括但不限于以下方
法
PIN
码与自身内置的PIN码是否一致；若一致，则验证成功；若不一致，则验证失 败；
本地设备用内置的算法对USB Key的标识信息进行计算，得到PIN码并发 送给USB Key,并且USB Key用内置的算法对标识信息进行计算得到PIN码， 再比较计算得到的PIN码与接收到的PIN码是否相同；若相同，则验证成功； 若不相同，则验证失败；
在本实施例中，USB Key的标识信息可以是USB Key的硬件序列号。
步骤305、本地设备从所有与本机连接的USB Key中选择一个USB Key, 与其建立通信过程，并查找上述USBKey中是否存在空闲密钥对；若不存在， 则执行步骤306;若存在，则执行步骤307;
在本实施例中，所述空闲密钥对指的是没有数字证书与其匹配的密钥对， 本地设备查找USB Key中是否存在空闲密钥对的具体步骤为本地设备从USB Key中查找密钥对，然后判断USB Key中是否有数字证书与查找得到的密钥对 神目匹配。
在本实施例中，USB Key中可以存在多个密钥对，相应地，也可以存在多 个与所述密钥对相匹配的证书，证书之间不相互覆盖。
步骤306、 USBKey根据内置的密钥生成算法产生密钥对； 步骤307、本地设备读取该USB Key中的标识信息；步骤308、结合USB Key中的空闲密钥对以及USB Key的标识信息，本地 设备与所述USB Key按照预先设定的规则产生一个P10请求数据包，并将该PIO 请求数据包发送给安全终端；
在本实施例中，所述预先设定的规则是本地设备先读取上述USBKey中 空闲密钥对中的公钥信息，再生成一个包含有密钥对中的公钥信息、智能密钥 设备的标识信息以及证书的用途信息的数据包，并将该数据包发给USB Key, 所述USB Key用其中的空闲密钥对中的私钥对所述数据包进行签名，并将对所 述数据包进行签名后的签名值发送给本地设备，本地设备再将上述数据包、签 名算法标识以及签名后的签名值组合成一个P10请求数据包；
在本实施例中，P10请求数据包中包含三部分内容数据包、用空闲密钥对 中的私钥对所述数据包进行签名后的签名值以及签名算法标识；所述数据包包 括密钥对中的公钥信息、USB Key的标识信息以及证书的用途信息等各种信 息；在本发明实施例中的PIO请求数据包不包含用户信息。
步骤309、安全终端接收上述P10请求数据包，用所述PIO请求数据包中携 带的公钥对签名值进行验证；若验证成功，则执行步骤310;否则，向用户提示 出错；
步骤310、安全终端根据所述P10请求数据包中的数据信息生成数字证书， 并将该数字证书发送给证书服务器，然后安全终端向本地设备发送一个可以下 载证书的提示消息；
在本实施例步骤310中，安全终端生成的证书中不包含有用户信息，但包 含有USB Key的标识信息。
步骤3U、本地设备从证书服务器上获取所述数字证书；
步骤312、本地设备获取安全终端的公钥，并用该公钥对所述数字证书进行 验证；
在本实施例中，本地设备获取安全终端的公钥的方法可以是 本地设备预先从安全终端中获取安全终端的公钥；
本地设备在接收到签名后的证书后，从安全终端的根证书中获取安全终端 的公钥。步骤313、才艮据数字证书中的USB Key的标识信息，将-险证成功后的证书 写入对应的USB Key中；如杲证书写入失败，则向用户提示失败信息，如果证 书写入成功，则向用户提示成功信息；
在本实施例步骤313中，向用户提示失败或成功信息的方法包括但不限于 以下方法
本地设备通过语音发声的方法向用户提示失败或成功信息； 本地设备通过弹出对话框的方法向用户提示失败或成功信息； USBKey通过语音发声的方法向用户提示失败或成功信息； USB Key通过显示对话框的方法向用户提示失败或成功信息。 如杲所述本地设备上连接有至少两个USB Key,则还可以进行以下步骤 步骤314、本地设备与当前通信的USB Key断开连接，并与一个新的智能 密钥设备建立通信连接，再重复进行制证过程。
如果所述本地设备上连接有至少两个USB Key,那么还可以由所述本地设 备依次读取所述至少两个USB Key中的标识信息，根据所述标识信息依次生成 至少两个数字证书请求数据包并将其一并发送给安全终端，在所述数字证书请 求数据包中包含有USB Key的标识信息而不包含用户信息；所述安全终端在接 收到所述数字证书请求数据包后根据其中包含的数据生成至少两个数字证书并 将所述至少两个数字证书一并下发给所述本地设备，所述数字证书包含有USB Key的标识信息而不包含用户信息；然后，所述本地设备将所述至少两个数字证 书分别写入与其携带的标识信息相对应的智能密钥i史备中。
本发明实施例提供的制证的方法，通过将数字证书与智能密钥设备进行绑 定，数字证书中不需要包含用户信息，使得下载数字证书的过程中不再需要用 户输入个人信息，因此整个数字证书的下载过程成为一个可以由智能密钥设备 提供方来完成的、可自动实现的过程，不仅省却了用户自己下载数字证书时的 烦瑣过程，而且进一步地可以将原有的多个单一证书的下载流程简化成批量下 载证书的流程，大大提高了工作效率。 实施例四
如图4所示，本发明实施例提供一种制证装置，包括读取模块401、请求模块402、发送模块403、接收模块404以及写入模块405;其中，
读取模块401,用于从与本地设备连接的智能密钥设备中读取所述智能密钥 设备的标识信息；
请求模块402,用于生成数字证书请求数椐包，所述^t字证书请求数据包分 别包含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中 的公钥信息；
发送模块403，用于将所述请求模块402生成的数字证书请求数据包发送给 安全终端；
接收模块404，用于接收所述安全终端下发的数字证书，所述数字证书包含 有所述智能密钥设备的标识信息而不包含用户信息；
写入模块405,用于将所述数字证书写入与其包含的标识信息对应的智能密 钥设备中。
其中，所述请求模块402具体包括
读取单元4021 ，用于读取所述智能密钥设备中的空闲密钥对中的公钥信息； 生成单元4022,用于生成一个包含有密钥对中的公钥信息、智能密钥设备
的标识信息以及证书的用途信息的数据包；
发送单元4023，用于将所述生成单元4022生成的数据包发送给所述智能密
钥设备；
接收单元4024，用于接收经所述智能密钥设备中的空闲密钥对中的私钥对 所述数据包进行签名后的签名值；
组合单元4025,用于将所述数据包、所述签名后的签名值以及所述签名算 法标识组合成一个数字证书请求数据包。
本发明实施例提供的制证装置，还可以包括
第一判断模块406,用于判断所述用户是否具有进行数字证书下载的权限； 初始化模块407,用于在所述第一判断模块406判断所述用户具有进行数字 证书下栽的权限时，进行本地设备的初始化操作。 本发明实施例提供的制证装置，还可以包括
第二判断模块408,用于判断所述智能密钥设备是否可用于数字证书下栽。
18进一步地，本发明实施例提供的制证装置，还可以包括
查找模块409，用于在所述第二判断模块408判断所述智能密钥设备可用于 数字证书下载时，查找所述智能密钥设备中的空闲密钥对；
通知模块410,用于在所述查找模块409查找所述智能密钥设备中不存在空 闲密钥对时，通知所述智能密钥设备根据内置的密钥算法生成一密钥对。
获取模块411，用于获取所述安全终端的密钥对的公钥；
验证模块412,用于利用所述公钥对所接收到的所述数字证书进行验证。
如果所述制证装置上连接有至少两个智能密钥设备，则本发明实施例提供 的制证装置还包括一跳转模块413;
所述跳转模块413,用于断开与所述智能密钥设备之间的通信连接，并与一 个新的智能密钥设备建立通信连接，再重复进行制证过程。
或者，如果所述制证装置上连接有至少两个智能密钥设备，则所述请求模 块402生成至少两个数字证书请求数据包，且每个数字证书请求数据包中对应 地包含有所述至少两个智能密钥设备中 一个智能密钥i更备的标识信息；
相应地，所述发送模块403发送至少两个数字证书请求数据包；
所述接收模块404接收到至少两个数字证书，且每个数字证书对应地包含 有所述至少两个智能密钥设备中一个智能密钥设备的标识信息；
所述验证模块412，用于利用所述获^^莫块411获取的公钥对所接收到的至 少两个数字证书进行验证；
所述写入模块405,用于在所述验证模块412对接收到的至少两个数字证书 进行验证的结果为合法时，将所述至少两个数字证书分别写入与其包含的标识 信息对应的智能密钥设备中，
本发明实施例提供的制证装置，通过将数字证书与智能密钥设备进行绑定， 数字证书中不需要包含用户信息，使得下载数字证书的过程中不再需要用户输 入个人信息，因此整个数字证书的下载过程成为一个可以由智能密钥设备提供 方来完成的、可自动实现的过程，不仅省却了用户自己下载数字证书时的烦瑣 过程，而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证 书的流程，大大提高了工作效率。实施例五
参考图5和图6，本发明实施例提供的制证的系统，包括制证装置501、安 全终端502以及智能密钥设备503;其中，
所述制证装置501,用于读取与所述制证装置501连接的所述智能密钥设备 中的标识信息，结合所述标识信息生成数字证书请求数据包并将其发送给所述 安全终端502,并且，将从所述安全终端502处获取到的数字证书写入到所述智 能密钥设备中；
所述安全终端502，用于根据所述制证装置501发送的数字证书请求数据包， 生成包含有所述标识信息的数字证书，并将所述数字证书发送给所述制证装置 501;
其中，所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥 设备的标识信息而不包含用户信息。
如图5所示，本发明实施例提供的制证系统还可以包括安全中继504;其中，
所述安全中继504，用于接收所述制证装置501发送的数字证书请求数据包， 并将该数字证书请求数据包转发给所述安全终端502;并且，接收所述安全终端 502下发的数字证书并将该数字证书转发给所述制证装置501;或者，
所述安全中继504，用于接收所述制证装置501发送的数字证书请求数据包， 并验证该数字证书请求数据包的合法性；在所述数字证书请求数据包合法时， 将其转发给所述安全终端502;并且，接收所述安全终端502下发的数字证书并 将该数字证书转发给所述制证装置501。
如图6所示，本发明施例提供的制证系统还可以包括证书服务器505;其中，
所述证书服务器505，用于接收并存放所述安全终端502下发的数字证书， 并供所述制证装置501下载数字证书。
本发明实施例提供的制证的系统，通过将数字证书与智能密钥设备进行绑 定，数字证书中不需要包含用户信息，使得下载数字证书的过程中不再需要用 户输入个人信息，因此整个数字证书的下载过程成为一个可以由智能密钥设备 提供方来完成的、可自动实现的过程，不仅省却了用户自己下载数字证书时的 烦瑣过程，而且进一步地可以将原有的多个单一证书的下载流程简化成批量下载证书的流程，大大提高了工作效率。
以上所述，仅为本发明的具体实施方式
，但本发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到 的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围 应所述以权利要求的保护范围为准。
权利要求
1、一种制证的方法，其特征在于，包括从与本地设备连接的智能密钥设备中读取所述智能密钥设备的标识信息；生成数字证书请求数据包并发送给安全终端，所述数字证书请求数据包中包含有所述智能密钥设备的标识信息和所述智能密钥设备中空闲密钥对中的公钥信息；接收所述安全终端下发的数字证书，所述数字证书包含有所述智能密钥设备的标识信息；将所述数字证书写入与其包含的标识信息对应的智能密钥设备中。
2、 根据权利要求1所述的制证的方法，其特征在于，所述智能密钥设备的 标识信息是所述智能密钥设备的硬件序列号。
3、 根据权利要求1所述的制证的方法，其特征在于，在所述从与本地设备 连接的智能密钥设备中读取所述智能密钥设备的标识信息的步骤之前，还包括查找所述智能密钥设备中的空闲密钥对；如果所述智能密钥设备中不存在空闲密钥对，则由所述智能密钥设备根据 内置的密钥算法生成密钥对。
4、 根据权利要求3所述的制证的方法，其特征在于，在所述查找所述智能 密钥设备中的空闲密钥对的步骤之前，还包括判断所述智能密钥设备是否可用于数字证书下载；所述查找所述智能密钥设备中的空闲密钥对为如果所述智能密钥设备可 用于数字证书下载，则查找该智能密钥设备中的空闲密钥对。
5、 根据权利要求4所述的制证的方法，其特征在于，所述判断所述智能密 钥设备是否可用于数字证书下载的步骤具体包括将预设的PIN码发送给所述智能密钥设备；所述智能密钥设备比较接收到的PIN码与自身内置的PIN码是否一致，若 一致，则所述智能密钥设备可用于数字证书下载，若不一致，则所述智能密钥 设备不可用于数字证书下载。
6、 根据权利要求1所述的制证的方法，其特征在于，在所述读取所述智能 密钥设备的标识信息的步骤之前，还包括判断所述操作员是否具有进行数字证书下载的权限；如果所述操作员具有进行数字证书下栽的权限，则进行本地设备的初始化操作。
7、 根据权利要求1所述的制证的方法，其特征在于，所述生成数字证书请 求数据包的步骤，具体为读取所述智能密钥设备中空闲密钥对中的公钥信息；生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书 用途信息的数据包并将其发送给所述智能密钥设备；接收经所述智能密钥设备中的空闲密钥对中的私钥对所述数据包进行签名 后的签名值；将所述数据包、签名算法标识以及所述签名值组合生成一个数字证书请求 数据包。
8、 根据权利要求1所述的制证的方法，其特征在于，在所述将所述数字证 书写入与其包含的标识信息对应的智能密钥设备中的步骤之后，还包括与所述智能密钥设备断开通信连接，并与一个新的智能密钥设备建立通信 连接，再重复进行制证过程。
9、 根据权利要求1所述的制证的方法，其特征在于，如果所述智能密钥设 备为至少两个智能密钥设备，则所述数字证书请求数椐包为至少两个数字证书请求数据包，且每个数字证 书请求数据包中对应地包含有至少两个智能密钥设备中一个智能密钥设备的标 "i只4吕息;所述数字证书至少为两个数字证书，且每个数字证书对应地包含有至少两 个智能密钥设备中 一个智能密钥设备的标识信息。
10、 一种制证装置，其特征在于，包括读取模块，用于从与本地设备连接的智能密钥设备中读取所述智能密钥设 备的标识信息；请求模块，用于生成数字证书请求数据包，所述数字证书请求数据包中包 含有所述智能密钥设备的标识信息和所述智能密钥设备中的空闲密钥对中的公钥信息；发送模块，用于将所述请求模块生成的数字证书请求数据包并发送给安全 终端；接收模块，用于接收所述安全终端下发的数字证书，所述数字证书包含有 所述智能密钥设备的标识信息；写入模块，用于将所述数字证书写入与其包含的标识信息对应的智能密钥 设备中。
11、 根据权利要求IO所述的制证装置，其特征在于，所述制证装置还包括 第一判断模块，用于判断所述操作员是否具有进行数字证书下载的权限； 初始化模块，用于在所述第一判断模块判断所述操作员具有进行数字证书下载的权限时，进行本地设备的初始化操作。
12、 根据权利要求IO所述的制证装置，其特征在于，所述制证装置还包括 第二判断模块，用于判断所述智能密钥设备是否可用于数字证书下载。
13、 根据权利要求IO所述的制证装置，其特征在于，所述制证装置还包括 查找模块，用于在所述第二判断模块判断所述智能密钥设备可用于数字证书下载时，查找所述智能密钥设备中的空闲密钥对；通知模块，用于在所述查找模块查找所述智能密钥设备中不存在空闲密钥 对时，通知所述智能密钥设备根据内置的密钥算法生成一密钥对。
14、 根据权利要求10所述的制证装置，其特征在于，所述请求模块进一步 包括读取单元，用于读取所述智能密钥设备中空闲密钥对中的公钥信息； 生成单元，用于生成一个包含有密钥对中的公钥信息、智能密钥设备的标识信息以及证书用途信息的数据包；发送单元，用于将所述生成单元生成的数据包发送给所述智能密钥设备； 接收单元，用于接收经所述智能密钥设备中的空闲密钥对中的私钥对所述数据包进行签名后的签名值；组合单元，用于将所述数据包、签名算法标识以及所述签名值组合成数字证书请求数据包。
15、 根据权利要求IO所述的制证装置，其特征在于，所述制证装置还包括 跳转模块，用于断开与所述智能密钥设备之间的通信连接，并与一个新的智能密钥设备建立通信连接，再重复进行制证过程。
16、 根据权利要求IO所述的制证装置，其特征在于，如果所述制证装置上 连接有至少两个智能密钥设备，则所述请求模块生成至少两个数字证书请求数据包，且每个数字证书请求数 据包中对应地包含有至少两个智能密钥设备中一个智能密钥设备的标识信息； 所述发送模块发送至少两个数字证书请求数据包给安全终端； 所述接收模块接收到至少两个数字证书，且每个数字证书对应地包含有至 少两个智能密钥设备中一个智能密钥设备的标识信息。
17、 一种制证的系统，其特征在于，包括制证装置、安全终端以及智能密 钥设备；其中，所述制证装置，用于读取与所述制证装置连接的所述智能密钥设备中的标 识信息，结合所述智能密钥设备中的标识信息生成数字证书请求数据包并将其 发送给所述安全终端，并且，将从所述安全终端处获取到的数字证书写入到所 述智能密钥设备中；所述安全终端，用于结合所述制证装置发送的数字证书请求数据包，生成 包含有所述智能密钥设备中的标识信息的数字证书，并将所述数字证书发送给 所述制证装置；其中，所述数字证书请求数据包和所述数字证书中均包含有所述智能密钥 设备的标识信息。
18、 根椐权利要求17所述的制证的系统，其特征在于，该系统还包括安全 中继；其中，所述安全中继，用于接收所述制证装置发送的数字证书请求数据包，并将 该数字证书请求数据包转发给所述安全终端；并且，接收所述安全终端下发的 数字证书并将该数字证书转发给所述制证装置；或者，所述安全中继，用于接收所述制证装置发送的数字证书请求数据包，并验 证该数字证书请求数据包的合法性；当验证所述数字证书请求数据包合法时，将其转发给所述安全终端；并且，接收所述安全终端下发的数字证书并将该数 字证书转发给所述制证装置。
19、根据权利要求17所述的制证的系统，其特征在于，该系统还包括证书 服务器；所述证书服务器，用于接收并保存所述安全终端下发的数字证书，并供所 述制证装置下载数字证书。
全文摘要
本发明实施例公开了一种制证的方法、装置及系统，涉及制证领域，用以简化现有技术中数字证书下载时烦琐的流程。本发明实施例提供的制证的方法，包括从与本地设备连接的智能密钥设备中读取智能密钥设备的标识信息；生成数字证书请求数据包并发送给安全终端；接收所述安全终端下发的数字证书并将所述数字证书写入与其包含的标识信息对应的智能密钥设备中；其中，所述数字证书请求数据包和所述数字证书均包含有所述智能密钥设备的标识信息。本发明实施例提供的方法、装置及系统适用于实现向智能密钥设备自动下载数字证书的过程。
文档编号H04L29/06GK101527714SQ20081024705
公开日2009年9月9日 申请日期2008年12月31日 优先权日2008年12月31日
发明者于华章, 舟 陆 申请人:北京飞天诚信科技有限公司