智能密钥设备获取数字证书的系统及方法

专利名称：智能密钥设备获取数字证书的系统及方法
技术领域：
本发明涉及数字证书技术领域，特别涉及一种智能密钥设备获取数字证书的系统及方法。
背景技术：
随着信息网络技术的高速发展，网络安全问题已经成为目前最大的网络安全隐患，网上银行、网络游戏、支付平台、网上证券交易等各方面，密码无处不在，带给人们更多的安全。但是密码在给人们必要的安全保障的同时，也存在一些问题， 一旦密码丢失或被盗，则带来很多的麻烦。现有技术中时常发生的网络密码被盗，木马病毒，自我保护意识差被网络钓鱼，或者密码被暴力破解等都是造成密码安全问题的因素，为此有必要采取一些密码安全的保障措施，为保护网上密码增设一道屏障。智能密钥设备是一种通过标准的个人主机
接口 (如USB接口等)，提供信息加密处理的便携式设备，利用它能够提高身份认证强度，它内置单片机或智能卡芯片，可以存储密钥或数字证书，利用其内置的密码算法可以对信息加密或进行身份识别等。智能密钥设备具有PKI应用、数字签名、信息加密、安全网络登录和访问SSL (Secure Sockets Layer,安全套接字层)安全网络等功能，并且具有保证用户的私钥永远不离开硬件的特征，同时智能密钥设备还具有物理上防止非法获取其内部敏感信息等特性。
PKI (Public Key Infrastructure,公钥基础设施)是利用公钥理论和技术建立的提供安全服务的J^出设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。PKI技术釆用证书管理公钥，通过第三方的可信任机构-CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。
CA认证中心是一个负责发放和管理数字证书的权威机构。CA认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。CA认证中心的主要功能证书的颁发、证书的更新、证书的查询、证书的作废、证书的归档。
现有技术中，用户智能密钥设备的持有者通常执行如下步骤来获得合法的数字证书首先向CA提出申请，将用户身份信息和智能密钥设备的硬件信息发送给CA; CA判明申请者的身份及后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息及智能密钥设备的硬件信息绑在一起，并为之签字后，便形成证书发给智能密钥设备的持有者。这样以来，该智能密钥设备中便保存了CA颁发的证书。
这种技术的不足指出在于，增加了用户的操作烦瑣性，用户在拿到智能密钥设备后，必须通过计算机网络执行证书下载的过程，而在此过程中，很容易出现信息错误的情况，或者因为网络故障导致用户无法在第 一时间获取合法的数字证书。

发明内容
本发明的目的在于提供一种智能密钥设备获取数字证书的系统及方法，能够减少用户自己下载数字证书的麻烦，同时能够保障用户私密信息在网络传输过程中的安全性。
为达到上述目的，本发明智能密钥设备获取数字证书的系统采用的技术方案
为
一种智能密钥设备获取数字证书的系统，包括
智能密钥设备，与所述智能密钥设备相连的本地设备，以及通过网络与所 述本地设备相连的安全终端；其中，
所述智能密钥设备和所述本地设备按照预先约定的规则，根据所述智能密 钥设备生成的密钥对以及银行卡的用户信息生成申请数字证书的请求，并将所 述申请数字证书的请求发送给所述安全终端；所述安全终端根据所述申请数字 证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备；所 述本地设备将所述数字证书写入所述智能密钥设备。
本发明智能密钥设备获取数字证书的方法采用的技术方案为 一种智能密钥设备获取数字证书的方法，包括
智能密钥设备与本地设备进行连接；
码进行验证，若验证失败，则所述本地设备提示出错信息，若验证成功，则所 述本地设备根据所述银行卡从内部存储设备中查找与所述银行卡相关的用户信 息，并让用户对所述信息进行确认； 所述智能密钥设备生成密钥对；
所述本地设备和所述智能密钥设备按照预先约定的规则根据所述密钥对、 所述标识信息以及所述用户信息产生申请数字证书的请求，再将所述申请数字
证书的请求发送给所述安全终端；
所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所 述数字证书发送给所述本地设备；所述本地设备将所述数字证书写入所述智能密钥设备。
本发明提供的方法与系统，智能密钥设备通过本地设备，从安全终端获取数 字证书，使用户不必自己下载数字证书，避免了下载数字证书的过程中因网络 通信故障，计算环境故障，未遵守使用方针等故障导致下载数字证书失败的麻
烦，方便用户直接获取存储有数字证书的智能密钥设备；此外，还能避免用户 通过不安全的网络下载数字证书的过程中，个人私密信息被截获的安全隐患， 使用户得以通过专用的安全网络来获取数字证书，保障了用户私密信息在网络 传输过程中的安全性。


图1为本发明实施例一提供的一种智能密钥设备荻取数字证书的系统示意
图2为本发明实施例二提供的一种智能密钥设备获取数字证书的系统示意
图3为本发明实施例二中本地设备的输入/输出模块结构示意图4为本发明实施例三提供的一种智能密钥设备获取数字证书的系统示意
图5为本发明实施例四提供的一种智能密钥设备获取数字证书的系统示意
图6为本发明实施例五提供的一种智能密钥设备获取数字证书的方法流程
图7为本发明实施例六提供的一种智能密钥设备获取数字证书的方法流程
图8为本发明实施例七提供的一种智能密钥设备获取数字证书的方法流程
图9为本发明实施例八提供的一种智能密钥设备获取数字证书的方法流程
具体实施例方式
本发明旨在提供一种能够减少操作繁瑣性、并能保障用户私密信息在网络传 输过程中的安全性的智能密钥设备获取数字证书的系统及方法，下面结合附图 对本发明实施例做详细说明。
实施例一
参看图1所示，本实施例提供一种智能密钥设备获取数字证书的系统，包
括
智能密钥设备IO,与所述智能密钥设备相连的本地设备ll，以及通过网络 与所述本地设备相连的安全终端12;其中，
所述智能密钥设备10和所述本地设备11按照预先约定的规则，根据所述 智能密钥设备10生成的密钥对以及银行卡的用户信息生成申请数字证书的请 求，并将所述申请数字证书的请求发送给所述安全终端12;所述安全终端12 根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给 所述本地设备11;所述本地设备11将所述数字证书写入所述智能密钥设备10。
本发明提供的智能密钥设备获取数字证书的系统，智能密钥设备通过本地设 备，从安全终端获取数字证书，使用户不必自己下载数字证书，避免了下载数 字证书的过程中因网络通信故障，计算环境故障，未遵守使用方针等故障导致 下载数字证书失败的麻烦，方便用户直接获取存储有数字证书的智能密钥设 备；此外，还能避免用户通过不安全的网络下载数字证书的过程中，个人私密 信息被截获的安全隐患，使用户得以通过专用的安全网络来获取数字证书，保 障了用户私密信息在网络传输过程中的安全性。
实施例二
本实施例提供一种智能密钥设备获取数字证书的系统，在本实施例中，以智能密钥设备为USB Key例来进行具体说明。
参看图2所示，本实施例智能密钥设备获取数字证书的系统，包括 USBKey20,与所述USB Key相连的本地设备21 ，以及通过网络(比如银行 内部网络)与所述本地设备相连的安全终端22;其中，所述本地设备21由银行 提供；
所述USB Key20和所述本地设备21按照预先约定的规则，根据所述USB Key20生成的密钥对、所述USBKey20的标识信息以及4艮行卡的用户信息生成申 请数字证书的请求，并将所述申请数字证书的请求发送给所述安全终端22;所 述安全终端22根据所述申请数字证书的请求生成数字证书，并将生成的所述数 字证书发送给所述本地设备21;所述本地设备21将所述数字证书写入所述USB Key20。
本实施例中，所述USB Key20包括 接口模块201，用于与所述本地设备21建立连接；
通讯模块202，用于所述USB Key20与所述本地设备21之间的数据通信；
存储模块203,用于存储密钥对、密钥生成算法以及所述USB Key的标识信 息等各种信息；
密钥生成模块204，用于根据密钥生成算法生成密钥对。 所述本地设备21包括
接口模块211,用于将所述本地设备21与所述USB Key20以及本地设备与4艮 行卡建立连接；
输入/输出模块212,用于信息的输入/输出； 运算模块213，用于处理和解析数据； 存储模块214，用于存储各种信息； 网络控制模块215 ，用于控制网络连接；
查找模块216,用于本地设备21根据银行卡从内银行内部服务器中查找与用 户相关的信息，以及用于本地设备21查找所述USB Key20是否存在没有与数字i正书匹配的密钥对；
通讯模块217,用于所述本地设备21与所述安全终端22之间的数据通信；
生成模块218,用于本地设备21根据USB Key20中的密钥对以及USB Key20 的标识信息产生一个申请数字证书的请求；
验证模块219,用于本地设备21对USB Key20进行验证、对用户的银行卡和 用户输入的相应密码进行验证以及对签名等进行验证；
写入模块2101,用于将接收到的数字证书写入所述USB Key20中。
其中，参看图3所示，所述输入/输出模块212包括
键盘单元2121，用于通过键盘进行输入；
扫描单元2122,用于通过条形码扫描设备进行输入；
磁条单元2123,用于通过磁条设备进行输入；
接触式智能卡单元2124,用于通过接触式智能卡进行输入；
非接触式智能卡单元2125,用于通过非接触式智能卡进行输入；
显示单元2126,用于将相关信息显示出来；
发声单元2127,用于以发声的方式将相关信息显示出来。
所述安全终端22包括
通讯模块221，用于所述安全终端22与所述本地设备21之间的数据通信； 证书生成模块222，用于所述安全终端22根据所述申请数字证书的请求生 成凄t字i正书；
验证模块223,用于所述安全终端22根据所述申请数字证书的请求中的公 钥对所述申请数字证书的请求中签名值进行验证。
本实施例智能密钥设备获取数字证书的系统，USB Key通过本地设备，从与 所述本地设备通过网络相连的安全终端获取数字证书，使用户不必自己下载数 字证书，避免了下载数字证书的过程中因网络通信故障，计算环境故障，未遵 守使用方针等故障导致下载数字证书失败的麻烦，方便用户直接获取存储有数字证书的USBKey;此外，还能避免用户通过不安全的网络下载数字证书的过程 中，个人私密信息被截获的安全隐患，使用户得以通过专用的安全网络来获取 数字证书，保障了用户私密信息在网络传输过程中的安全性。
实施例三
本实施例提供一种智能密钥设备获取数字证书的系统，在本实施例中，以智
能密钥设备为USB Key例来进行具体说明。
参看图4所示，本实施例智能密钥设备获取数字证书的系统，包括 USB Key30，与所述USB Key相连的本地i殳备31，以及通过网络(比如4艮行
内部网络)与所述本地设备相连的安全终端32,在所述本地设备31和所述安全
终端32之间还连接有证书服务器33;其中，所述本地设备31由银行提供，
所述证书服务器33用于暂存所述数字证书；
所述USB Key和所述本地设备按照预先约定的规则，根据所述USB Key生成
的密钥对、所述USB Key的标识信息以及银行卡的用户信息生成申请数字证书
的请求，并将所述申请数字证书的请求发送给所述安全终端；所述安全终端根
据所述申请数字证书的请求生成数字证书，并将所述数字证书发送给所述证书
服务器；所述本地设备从所述证书服务器中获取所述数字证书，并将所述数字
证书写入所述USB Key。
本实施例中，所述USB Key30包括 接口模块301，用于与所述本地设备31建立连接；
通讯模块302，用于所述USB Key30与所述本地设备31之间的数据通信； 存储^t块303,用于存储密钥对、密钥生成算法以及所述USB Key的标识信
白
密钥生成模块304，用于根据密钥生成算法生成密钥对。 所述本地i殳备31包括接口模块311,用于将所述本地设备31与所述USB Key30以及本地设备31 与银行卡建立连接； 输入/输出模块312，用于信息的输入/输出； 运算模块，313用于处理和解析数据； 存储模块314,用于存储各种信息； 网络控制模块315，用于控制网络连接；
查找模块316,用于本地设备31根据银行卡从银行内部服务器中查找与用户 相关的信息，以及用于本地设备31查找所述USB Key是否存在没有与数字证书 匹配的密钥对；
通讯模块317，用于所述本地设备31与所述安全终端32之间的数据通信； 生成模块318，用于生成申请数字证书的请求；
验证模块319，用于本地设备31对USB Key30进行一验证、对用户的银行卡和 用户输入的相应密码进行-睑证以及对签名等进行验证；
写入模块3101，用于将接收到的数字证书写入所述USB Key30中。
其中，所述输入/输出模块312的结构与实施例二中输入/输出模块212的结 构相同。
所述安全终端32包括
通讯模块321，用于所述安全终端32与所述本地设备31之间的数据通信； 证书生成模块322,用于所述安全终端32根据所述申请数字证书的请求生 成数字证书；
验证模块323，用于所述安全终端32根据所述申请数字证书的请求中的公 钥对所述申请数字证书的请求中对签名值进行验证。
本实施例智能密钥设备获取数字证书的系统，USB Key通过本地设备，从与 所述本地设备通过网络相连的安全终端获取数字证书，使用户不必自己下载数字证书，避免了下载数字证书的过程中因网络通信故障，计算环境故障，未遵 守使用方针等故障导致下载数字证书失败的麻烦，方便用户直接获取存储有数
字证书的USBKey;此外，还能避免用户通过不安全的网络下载数字证书的过程 中，个人私密信息被截获的安全隐患，使用户得以通过专用的安全网络来获取 数字证书，保障了用户私密信息在网络传输过程中的安全性。
实施例四
本实施例提供一种智能密钥设备获取数字证书的系统，在本实施例中，以智 能密钥设备为USB Key例来进行具体说明。
参看图5所示，本实施例智能密钥设备获取数字证书的系统，包括
USBKey40，与所述USB Key相连的本地设备41,以及通过4艮行内部网络与 所述本地设备相连的安全终端42，在所述本地设备31和所述安全终端32之间 还连接有安全中继43;其中，所述本地设备21由银行提供，所述安全中继43 用于所述本地设备与所述安全终端之间的安全通信；
所述USB Key和所述本地设备按照预先约定的规则，才艮据所述USB Key生 成的密钥对、所述USB Key的标识信息以及银行卡的用户信息生成申请数字证 书的请求，并将所述申请数字证书的请求发送给所述安全中继，所述安全中继 再将所述申请数字证书的请求转发给所述安全终端；所述安全终端根据所述申 请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设 备；所述本地设备将所述数字证书写入所述USB Key。
本实施例中，所述USB Key40包括
接口模块401,用于与所述本地设备41建立连接；
通讯才莫块402,用于所述USB Key40与所述本地设备41之间的数据通信； 存储模块403，用于存储密钥对、密钥生成算法以及所述USB Key的标识信 息等各种信息；
18密钥生成模块404，用于根据密钥生成算法生成密钥对。 所述本地设备41包括
接口模块411，用于将所述本地设备与所述USB Key进行连接；
输入/输出模块412，用于信息的输入/输出；
运算模块413,用于处理和解析数据；
存储模块414,用于存储各种信息；
网络控制模块415 ，用于控制网络连接；
查找模块416 ，用于本地设备41根据银行卡从银行内部服务器中查找与用户 相关的信息，以及用于本地设备41查找所述USB Key是否存在没有与数字证书 匹配的密钥对；
通讯模块417，用于所述本地设备41与所述安全终端42之间的数据通信； 生成模块418，用于生成申请数字证书的请求；
验证模块419，用于本地设备41对USB Key40进行验证、对用户的银行卡和 用户输入的相应密码进行—睑证以及对签名等进行—验证；
写入模块4101，用于将接收到的数字证书写入所述USB Key中。
其中，所述输入/输出模块412的结构与实施例二中输入/输出模块212的结 构相同。
所述安全终端42包括
通讯模块421,用于所述安全终端42与所述本地设备41之间的数据通信； 证书生成模块422，用于所述安全终端42根据所述申请数字证书的请求生 成数字证书；
验证模块423，用于所述安全终端42根据所述申请数字证书的请求中的公 钥对所述申请数字证书的请求中对签名值进行验证。
本实施例智能密钥设备获取数字证书的系统，USB Key通过本地设备，从与 所述本地设备通过网络相连的安全终端获取数字证书，使用户不必自己下载数字证书，避免了下载数字证书的过程中因网络通信故障，计算环境故障，未遵 守使用方针等故障导致下载数字证书失败的麻烦，方便用户直接获取存储有数
字证书的USBKey;此外，还能避免用户通过不安全的网络下载数字证书的过程 中，个人私密信息被截获的安全隐患，使用户得以通过专用的安全网络来获取 数字证书，保障了用户私密信息在网络传输过程中的安全性。
实施例五
参看图6所示，本实施例智能密钥设备获耳又数字证书的方法，包括步骤
550、 智能密钥设备与本地设备进行连接；
551、
应密码进行验证，若验证失败，则所述本地设备提示出错信息，若验证成功， 则所述本地设备根据所述4艮行卡从内部存储设备中查找与所述银行卡相关的用 户信息，并让用户对所述信息进行确认；
552、 所述智能密钥设备生成密钥对；
553、 所述本地设备和所述智能密钥设备按照预先约定的规则根据所述密钥 对以及所述用户信息产生申请数字证书的请求，再将所述申请数字证书的请求
发送给所述安全终端；
554、 所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成
的所述数字证书发送给所述本地设备；
555、 所述本地设备将所述数字证书写入所述智能密钥设备。
本实施例智能密钥设备获取数字证书的方法，智能密钥设备通过本地设备， 从与所述本地设备通过网络相连的安全终端获取数字证书，使用户不必自己下 载数字证书，避免了下载数字证书的过程中因网络通信故障，计算环境故障，未遵守使用方针等故障导致下载数字证书失败的麻烦，方便用户直接获取存储
有数字证书的智能密钥设备；此外，还能避免用户通过不安全的网络下载数字 证书的过程中，个人私密信息被截获的安全隐患，使用户得以通过专用的安全 网络来获取数字证书，保障了用户私密信息在网络传输过程中的安全性。
实施例六
本实施例提供一种智能密钥设备获取数字证书的方法，在本实施例中，以智
能密钥设备为USB Key例来进行具体说明。本实施例中，本地设备与安全终端
预先约定双方互为信任方。
参考图7所示，本实施例智能密钥设备获取数字证书的方法，包括步骤
560、 USB Key与本地设备进行连接；
561、 所述本地设备获取所述USB Key的标识信息；
所述USB Key的标识信息为所述USB Key的^/f牛序列号，或所述USB Key 出厂时设置的数据信息或其它标识信息。
562、 所述本地设备对所述USB Key进行验证，若验证失败，则本地设备向 用户提示出错信息，若验证成功，则执行步骤S63;
所述本地设备对所述USB Key进行验证的步骤具体为
所述本地设备将用户lt入的PIN码发送给所述USB Key,所述USB Key比 较所述接收到的PIN码与自身内置的PIN码是否一致，若一致，则验证成功， 若不一致，则验证失败，验证失败时本地设备向用户提示出错信息；或
所述本地设备用内置的算法对所述USB Key的标识信息进行计算，得 到PIN码并发送给所述USB Key,所述USB Key用内置的算法对所述标识信息进 行计算，得到PIN码，再比较计算得到的PIN码与接收到的PIN码是否相同，若相同，则验证成功，若不相同，则验证失败，验证失败时本地设备向用户提 示出错信息。
应当理解的是，所述本地设备对所述USB Key进行验证的步骤，也可 以在所述USB Key与本地设备进行连接时进行。
S63、所述本地设备对USB Key验证成功之后，提示用户将银行卡与本地设 备进行连接，并输入相应的密码；
S64、
应密码进行验证，若验证失败，则所述本地设备向用户提示出错信息，若验证
成功，执行步骤S65。
其中，所述银行卡为接触式银行卡、非接触式银行卡、带有条形码的银行卡
或带有磁头的银行卡等。
相应地，所述银行卡与所述本地设备相连的方式具体为 通过所述本地设备的接触式智能卡设备将所述接触式4艮行卡插入到所述本
地设备中，或
通过所述本地设备的非接触式智能卡设备将所述非接触式银行卡与所述本 地设备进行连接，或
通过所述本地设备的扫描设备将所述带有条形码的4艮行卡与所述本地设备 进行连接，或
通过所述本地设备的磁条设备将所述带有磁头的银行卡与所述本地设备进 行连接。
S65、所述本地设备根据所述银行卡从银行内部服务器中查找与所述银行卡 相关的用户信息，并让用户对所述信息进行确认；
其中，所述查找得到的用户信息为用户的身份证号、用户的姓名、用户的电话号码、用户的手^L号码、用户的家庭住址或用户的邮箱地址中的一个或多 个的组合。
其中，所述本地设备让用户对所述信息进行确认包括 所述本地设备通过显示屏将所述用户信息显示给所述用户看；和/或
所述本地设备以语音发声的方法将所述用户信息读给所述用户听。
待用户对所述信息确认后，则所述USB Key才艮据如下步骤S66或S67生成
密钥对。
对，若不存在，则执行步骤S67，若存在，则执行步骤S68。
在本实施例中，USB Key中可以存在多个密钥对，相应地，也可以存在多个 与密钥对相匹配的证书，证书之间不相互覆盖。
567、 所述USB Key根据内置的密钥生成算法生成密钥对。
568、 所述本地设备和所述USB Key按照预先约定的规则根据所述密钥对、 所述标识信息以及所述用户信息产生申请数字证书的请求，再将所述申请数字 证书的请求发送给所述安全终端；
其中，所述预先约定的规则为所述本地设备先生成一个具有预定格式的 数据包，将所述数据包发给所述USB Key,所述USB Key用所述密钥对中的私 钥对所述数据包进行签名，并将签名后的签名值发送给所述本地设备，所述本 地设备再将所述预定格式的数据包、所述签名值以及所述签名算法标识组合成 一个申请数字证书的请求。
其中，所述具有预定格式的数据包中包括所述密钥对中的公钥、数字证 书的用途信息、用户信息和USB Key的标识信息等。
所述申请数字证书的请求中包括所述预定格式的数据包、用所述密钥对识；
进一步地，所述数据信息包括所述密钥对中的公钥信息、数字证书的用途信
息、用户信息和USB Key的标识信息。
S69、所述安全终端用接收到的所述申请数字证书的请求中的公钥，对所述 申请数字证书请求中的签名值进行验证。若验证成功，则执行步骤S610,若验
证失败，则安全终端不生成数字证书。
5610、 所述安全终端根据所述申请数字证书的请求生成数字证书，并将生
成的所述数字证书发送给所述本地设备；
所述安全终端根据所述申请数字证书的请求生成数字证书，并直接将所述 数字证书发送给所述本地设备；或者
所述安全终端根据所述申请数字证书的请求生成数字证书后，给所述本地设 备发送一个能够下载所述数字证书的提示消息，所述本地设备接收到所述提示 消息后，从所述安全终端中下载所述数字证书。
其中，所述安全终端生成的数字证书中包含有用户信息和USB Key的标识信
台
5611、 所述本地设备获取所述安全终端的公钥；
所述本地设备在接收到的所述签名后的数字证书后，从所述安全终端的根证 书中获取所述安全终端的7>钥。
5612、 所述本地设备用所述公钥对所述接收到的数字证书进行验证，若验证 失败，则本地设备向用户提示出错信息，若验证成功，则执行步骤S613;
5613、 所述本地i殳备将所述数字证书写入所述USB Key;所述本地设备将验证成功的数字证书写入所述USB Key中。
S614、在所述数字证书写入失败或成功时，所述本地设备或所述USB Key向
用户提示写入失败信息或写入成功信息。
在本实施例步骤614中，本地设备向用户提示失败信息或成功信息的方法包
括但不限于以下方法
本地设备通过语音发声的方法向用户提示失败信息或成功信息；
本地设备通过弹出对话框的方法向用户提示失败信息或成功信息；
相应地，USB Key向用户提示失败信息或成功信息的方法包括但不限于以下
方法
USB Key通过语音发声的方法向用户提示失败信息或成功信息； USB Key通过显示对话框的方法向用户提示失败信息或成功信息。 本实施例USB Key获取数字证书的方法，USB Key通过本地设备，从与所述 本地设备通过网络相连的安全终端获取数字证书，使用户不必自己下载数字证 书，避免了下载数字证书的过程中因网络通信故障，计算环境故障，未遵守使 用方针等故障导致下载数字证书失败的麻烦，方便用户直接获取存储有数字证 书的USB Key;此外，还能避免用户通过不安全的网络下载数字证书的过程中， 个人私密信息被截获的安全隐患，使用户得以通过专用的安全网络来获取数字 证书，保障了用户私密信息在网络传输过程中的安全性。
实施例七
参看图8所示，本实施例智能密钥设备获取数字证书的方法与实施例五基 本相同，不同之处在于
在实施例五中，所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备具体为所述安全终端根据所述 申请数字证书的请求生成数字证书，并直接将所述数字证书发送给所述本地设 备；或者，所述安全终端根据所述申请数字证书的请求生成数字证书后，给所 述本地设备发送一个能够下载所述数字证书的提示消息，所述本地设备接收到 所述提示消息后，从所述安全终端中下载所述数字证书。
在本实施例中，所述安全终端根据所述申请数字证书的请求生成数字证书， 并将生成的所述数字证书发送给所述本地设备具体为所述安全终端根据所述 申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给证书服务 器；所述本地设备从所述证书服务器中获取所述数字证书。
本实施例中的其它步骤和流程与实施例五相同，在此不再赘述。 实施例八
参看图9所示，本实施例智能密钥设备获取数字证书的方法与实施例五也 基本相同，不同之处在于
在实施例五中，本地设备将所述申请数字证书的请求发送给所述安全终端； 所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数 字证书发送给所述本地设备。
在本实施例中，本地设备将所述申请数字证书的请求发送给所述安全中继， 所述安全中继再将所述申请数字证书的请求转发给所述安全终端；相应地，所 述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字 证书发送给所述安全中继，所述安全中继再将所述^:字证书转发给所述本地i殳 备。
本实施例中的其它步骤和流程与实施例五相同，在此不再赘述。
以上对本发明所提供的智能密钥设备获取数字证书的系统及方法进行了详实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领 域的一般技术人员，依据本发明的思想，在具体实施方式
及应用范围上均会有 改变之处，综上，本说明书内容不应理解为对本发明的限制，凡在本发明的精 神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保 护范围之内。
权利要求
1、一种智能密钥设备获取数字证书的系统，其特征在于，包括智能密钥设备，与所述智能密钥设备相连的本地设备，以及通过网络与所述本地设备相连的安全终端；其中，所述智能密钥设备和所述本地设备按照预先约定的规则，根据所述智能密钥设备生成的密钥对以及银行卡的用户信息生成申请数字证书的请求，并将所述申请数字证书的请求发送给所述安全终端；所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备；所述本地设备将所述数字证书写入所述智能密钥设备。
2、 根据权利要求1所述的智能密钥设备获取数字证书的系统，其特征在于， 所述智能密钥设备包括接口模块，用于与所述本地设备建立连接；通讯模块，用于所述智能密钥设备与所述本地设备之间的数据通信；存储模块，用于存储密钥对、密钥生成算法以及所述智能密钥设备的标识信白 ,&，密钥生成模块，用于根据密钥生成算法生成密钥对。
3、根据权利要求1所述的智能密钥设备获取数字证书的系统，其特征在于， 所述本地设备包括接口模块，用于将所述本地设备与所述智能密钥设备以及所述本地设备与银 行卡建立连接；输入/输出模块，用于信息的输入/输出； 运算模块，用于处理和解析数据； 网络控制模块，用于控制网络连接；查找模块，用于本地设备根据银行卡从银行内部服务器中查找与用户相关的 信息，以及用于本地设备查找所述智能密钥设备中是否存在没有与数字证书匹 配的密钥对；通讯模块，用于所述本地设备与所述安全终端之间的数据通信；生成模块，用于生成申请数字证书的请求； 验证模块，用于对用户的4艮行卡和用户输入的密码进行验证； 写入模块，用于将接收到的数字证书写入所述智能密钥设备中。
4、根据权利要求1所述的智能密钥设备获取数字证书的系统，其特征在于， 所述安全终端包括通讯模块，用于所述安全终端与所述本地设备之间的数据通信；证书生成模块，用于所述安全终端根据所述申请数字证书的请求生成数字证书。
5、 根据权利要求4所述的智能密钥设备获取数字证书的系统，其特征在于， 所述系统还包括证书服务器，用于暂存所述数字证书；所述安全终端根据所述申请数字证书的请求生成证书，并将所述数字证书发 送给所述证书服务器；所述本地设备从所述证书服务器中获取所述数字证书， 并将所述数字证书写入所述智能密钥设备。
6、 根据权利要求4所述的智能密钥设备获取数字证书的系统，其特征在于， 所述系统还包括安全中继，用于所述本地设备与所述安全终端之间的安全通信；所述本地设备将所述申请数字证书的请求发送给所述安全中继，所述安全中 继再将所述申请数字"^正书的请求转发给所述安全终端；所述安全终端根据所述 申请数字证书的请求生成数字证书，并将所述数字证书发送给所述安全中继，所述安全中继再将所述数字证书转发给所述本地设备。
7、 一种智能密钥设备获取数字证书的方法，其特征在于，包括智能密钥设备与本地设备进行连接；码进行验证，若验证失败，则所述本地设备提示出错信息，若验证成功，则所 述本地设备根据所述银行卡银行内部服务器中查找与所述银行卡相关的用户信息，并等待用户对所述信息进行确认； 所述智能密钥设备生成密钥对；所述本地设备和所述智能密钥设备按照预先约定的规则根据所述密钥对以 及所述用户信息产生申请数字证书的请求，再将所述申请数字证书的请求发送 给所述安全终端；所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所 述数字证书发送给所述本地设备；所述本地设备将所述数字证书写入所述智能密钥设备。
8、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于， 所述智能密钥设备与所述本地设备进行连接之后还包括所述本地设备获取所述智能密钥设备的标识信息。
9、 根据权利要求8所述的智能密钥设备获取数字证书的方法，其特征在于， 所述智能密钥设备的标识信息为所述智能密钥设备的硬件序列号，或所述智能密钥设备出厂时设置的数据信息。
10、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于， 在所述智能密钥设备生成密钥对之前，还包括所述本地设备对所述智能密钥设备进行验证的步骤。
11、 根据权利要求IO所述的智能密钥设备获取数字证书的方法，其特征在 于，所述本地设备对所述智能密钥设备进行验证的步骤具体为所述本地设备将用户输入的PIN码发送给所述智能密钥设备，所述智能密钥 设备比较所述接收到的PIN码与自身内置的PIN码是否一致，若一致，则验证 成功，若不一致，则验证失败；或所述本地设备用内置的算法对所述智能密钥设备的标识信息进行计算，得到PIN码并发送给所述智能密钥设备，所述智能密钥设备用内置的算法对所述标识信息进行计算，得到PIN码，再比较计算得到的PIN码与接收到的PIN码是否相同，若相同，则验证成功，若不相同，则验证失败。
12、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述银行卡为接触式银行卡、非接触式银行卡、带有条形码的银行卡或带有磁头的银行卡。
13、 根据权利要求12所述的智能密钥设备获取数字证书的方法，其特征在于，所述银行卡与所述本地设备相连的方式具体为通过所述本地设备的接触式智能卡设备将所述接触式银行卡插入到所述本地设备中，或通过所述本地设备的非接触式智能卡设备将所述非接触式银行卡与所述本地设备进行连接，或通过所述本地设备的扫描设备将所述带有条形码的银行卡与所述本地设备进行连接，或通过所述本地设备的磁条设备将所述带有磁头的银行卡与所述本地设备进行连接。
14、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述查找得到的用户信息为用户的身份i正号、用户的姓名、用户的电话号码、用户的手机号码、用户的家庭住址或用户的邮箱地址中的 一个或多个的组合。
15、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备让用户对所述信息进行确认包括所述本地设备通过显示屏将所述用户信息显示给所述用户看；和/或所述本地设备以语音发声的方法将所述用户信息读给所述用户听。
16、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述智能密钥设备生成密钥对具体为所述本地设备判断所述智能密钥设备中是否存在没有数字证书匹配的密钥对，若存在，则执行下一步操作，若不存在，则所述智能密钥设备根据内置的密钥生成算法生成密钥对，再执行下一步操作。
17、 根据权利要求7所述的智能密钥设备荻取数字证书的方法，其特征在于，所述预先约定的规则为所述本地设备先生成一个具有预定格式的数据包，将所述数据包发给所述智能密钥设备，所述智能密钥设备用所述密钥对中的私钥对所述数据包进行签名，并将所述对数据包进行签名后的签名值发送给所述本地设备，所述本地设备再将所述数据包、所述签名值以及签名算法标识组合成一个申请数字证书的请求。
18、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述具有预定格式的数据包中包括密钥对中的公钥、数字证书的用途信息和用户信息。
19、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述申请数字证书的请求中包括所述具有预定格式的数据包、用所述密钥对中的私钥对所述数据包进行签名后的签名值以及签名算法标识。
20、 根据权利要求19所述的智能密钥设备获取数字证书的方法，其特征在于，在所述本地设备将所述申请数字证书的请求发送给所述安全终端与所述安全终端根据所述申请数字证书的请求生成数字证书之间包括所述安全终端用接收到的所述申请数字证书的请求中的公钥，对所述申请数字证书的请求中的签名值进行验证。
21、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述安全终端生成的数字"i正书中包含有用户信息。
22、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备具体为所述安全终端根据所述申请数字证书的请求生成数字证书，并直接将所述数字证书发送给所述本地设备；或者所述安全终端根据所述申请数字证书的请求生成数字证书后，给所述本地设备发送一个能够下载所述数字证书的提示消息，所述本地设备接收到所述提示消息后，从所述安全终端中下载所述数字证书。
23、 根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备具体为所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给证书服务器；所述本地设备从所述证书服务器中获取所述数字证书。
24、根据权利要求7所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备将所迷申请数字证书的请求发送给所述安全终端具体为所述本地设备将所述申请数字证书的请求发送给所述安全中继，所述安全中继再将所述申请数字证书的请求转发给所述安全终端；相应地，所述安全终端根据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述本地设备具体为所述安全终端才艮据所述申请数字证书的请求生成数字证书，并将生成的所述数字证书发送给所述安全中继，所述安全中继再将所述数字证书转发给所述本地设备。
25、 根据权利要求7、 22、 23或24所述的智能密钥设备获取数字证书的方法，其特征在于，在所述本地设备将所述数字证书写入所述智能密钥设备之前,包括所述本地设备获取所述安全终端的公钥的步骤。
26、 根据权利要求25所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备获取所述安全终端的公钥的步骤具体为所述本地设备在接收到的所述签名后的数字证书后，从所述安全终端的根证书中获取所述安全终端的公钥。
27、 根据权利要求26所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备将所述数字证书写入所述智能密钥设备之前还包括所述本地设备用所述公钥对所述接收到的数字证书进行验证。
28、 根据权利要求27所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备将所述数字证书写入所述智能密钥设备具体为所述本地设备将验证成功的数字证书写入所述智能密钥设备。
29、 根据权利要求28所述的智能密钥设备获取数字证书的方法，其特征在于，所述本地设备将所述数字证书写入所述智能密钥设备之后还包括在所述数字证书写入失败时，所述本地设备或所述智能密钥设备向用户提示写入失败信息。
全文摘要
本发明公开了一种智能密钥设备获取数字证书的系统及方法，涉及数字证书技术领域，为减少用户自己下载数字证书的麻烦，同时保障了用户私密信息在网络传输过程中的安全性。智能密钥设备获取数字证书的系统包括智能密钥设备，与所述智能密钥设备相连的本地设备，以及通过网络与所述本地设备相连的安全终端。本发明适用于智能密钥设备对数字证书的获取。
文档编号H04L9/32GK101527633SQ20081024705
公开日2009年9月9日 申请日期2008年12月31日 优先权日2008年12月31日
发明者于华章, 舟 陆 申请人:北京飞天诚信科技有限公司