移动数字证书申请方法及装置与流程

本发明涉及网络通讯技术领域，具体而言，涉及一种移动数字证书申请方法及装置。

背景技术：

目前，ca是基于pki技术的第三方电子认证服务提供商，为用户提供身份鉴别、证书发放、密钥管理等服务。随着移动互联网的飞速发展和移动终端的普及，众多的应用已经转入了手机等移动终端，包括新闻浏览、即时通讯、购物、地图、健身、游戏、金融支付、移动办公等等。随着应用平台的大量使用，引发了人们对移动安全的关注，证书应用逐渐向移动平台发展。由于移动终端对于信息输入的局限性，通过移动终端进行证书申请操作给申请人带来了诸多不便。

技术实现要素：

鉴于此，本发明提出了一种可以通过移动终端进行移动数字证书申请方法及装置。

一个方面，本发明提出了一种移动数字证书申请方法，该方法包括如下步骤：第一接收步骤，接收用户的申请信息，并对申请信息进行审核；生成步骤，如果审核通过，则生成授权信息二维码并发送给所述用户；第二接收步骤，接收用户通过移动终端发送的授权信息和证书申请；所述授权信息为用户的移动终端通过扫描授权信息二维码后得到的；所述证书申请为所述移动终端中的控制应用生成的；验证步骤，验证所述授权信息，如果验证通过，则生成用户数字证书和根证书链，并发送给用户的移动终端。

进一步地，上述移动数字证书申请方法中，所述生成步骤中，如果审核通过，还生成控制应用下载地址二维码并发送给所述用户；所述第二接收步骤中的控制应用为所述移动终端扫描所述控制应用下载地址二维码后安装在所述移动终端的。

进一步地，上述移动数字证书申请方法中，所述第二接收步骤中还接收移动终端发送的公钥；所述验证步骤还通过所述公钥对存有私钥的证书申请进行验证，所述公钥和所述私钥为控制应用生成的密钥对。

进一步地，上述移动数字证书申请方法中，所述生成步骤和所述第二接收步骤之间还包括：第三接收步骤，接收用户通过移动终端发送的验证码申请，并向移动终端发送验证码；所述第二接收步骤中接收到的用户通过移动终端发送的证书申请为通过所述验证码加密后的证书申请。

进一步地，上述移动数字证书申请方法中，所述证书申请为pkcs10证书申请。

本发明把二维码引入到ca中心的证书发放过程中，本实施例把二维码引入到ca中心的证书发放过程中，通过二维码对移动终端传输授权码信息，简化了传输过程，保证了整个操作过程中信息传输的安全性。

另一方面，本发明提出了一种移动数字证书申请装置，该装置包括：第一接收步模块，用于接收用户的申请信息，并对申请信息进行审核；生成模块，用于如果审核通过，则生成授权信息二维码并发送给所述用户；第二接收模块，用于接收用户通过移动终端发送的授权信息和证书申请；所述授权信息为用户的移动终端通过扫描授权信息二维码后得到的；所述证书申请为所述移动终端中的控制应用生成的；验证模块，用于验证所述授权信息，如果验证通过，则生成用户数字证书和根证书链，并发送给用户的移动终端。

进一步地，上述移动数字证书申请装置中，所述生成模块还用于如果审核通过，还生成控制应用下载地址二维码并发送给所述用户；所述第二接收模块中的控制应用为所述移动终端扫描所述控制应用下载地址二维码后安装在所述移动终端的。

进一步地，上述移动数字证书申请装置中，所述第二接收模块还接收移动终端发送的公钥；所述验证模块还用于通过所述公钥对存有私钥的证书申请进行验证，所述公钥和所述私钥为控制应用生成的密钥对。

进一步地，上述移动数字证书申请装置还包括：第三接收模块，用于接收用户通过移动终端发送的验证码申请，并向移动终端发送验证码；所述第二接收模块中接收到的用户通过移动终端发送的证书申请为通过所述验证码加密后的证书申请。

由于该移动数字证书申请装置具有与移动数字证书申请方相同的技术效果，故不赘述。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明实施例提供的移动数字证书申请方法的流程图；

图2为本发明实施例提供的移动数字证书申请方法的另一流程图；

图3为本发明实施例提供的移动数字证书申请装置的结构框图；

图4为本发明实施例提供的移动数字证书申请装置的另一结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

方法实施例：

参见图1，图1为本发明实施例提供的移动数字证书申请方法的流程图。如图所示，该方法包括如下步骤：

第一接收步骤s1，接收用户的申请信息，并对接收到的申请信息进行审核。具体地，用户可以在pc机登入ra（registrationauthority，数字证书注册审批机构）系统页面，输入申请信息，申请信息可以包括身份证件类型、证件号码、名称、住址、电话、电子邮件等信息，录入完毕后，提交给系统。

生成步骤s2，如果审核通过，则生成授权信息二维码并发送给用户。具体地，ra系统管理员对申请信息进行审核，若审核通过，则生成包括授权信息的授权信息二维码图像文件，并以邮件形式，发送到用户邮箱。

第二接收步骤s3，接收用户通过移动终端发送的授权信息和证书申请；授权信息为用户的移动终端通过扫描授权信息二维码后得到的；证书申请为移动终端中的控制应用生成的。具体地，用户可以在移动终端上安装控制应用，即通过下载app的方式来安装该控制应用，移动终端通过该控制应用来扫描授权信息二维码，获取授权信息，并生成证书申请，然后把该申请发送给ra系统。具体实施时，证书申请可以为pkcs10证书申请。

验证步骤s4，验证该授权信息，如果验证通过，则生成用户数字证书和根证书链，并发送给用户的移动终端。具体地，ra系统在接收到授权信息后，根据生成步骤s2中生成的授权信息对第二接收步骤s3接收到的授权信息进行验证，若验证通过，则生成用户数字证书和根证书链，并发送给用户的移动终端。移动终端中的控制应用解密该信息后，把根证书链和用户证书安全存储到证书空间中，并作证书验证，保证证书的有效性，到此，证书申请工作全部完成。

本实施例把二维码引入到ca中心的证书发放过程中，通过二维码对移动终端传输授权码信息，简化了传输过程，保证了整个操作过程中信息传输的安全性。

参见图2，图2为本发明实施例提供的移动数字证书申请方法的又一流程图。如图所示，本实施方式在图1所示方法的基础上，还包括：生成步骤s2中，如果审核通过，还生成控制应用下载地址二维码并发送给用户；第二接收步骤s3中的控制应用为移动终端扫描控制应用下载地址二维码后安装在移动终端的。

本实施例中，ra系统哈生成控制应用下载地址二维码并发送给用户，移动终端通过扫描该二维码获取下载该控制应用的地址，然后直接链接到该地址，进而安装该控制应用，方便了用户。

上述实施方式中，为了保证数据传输过程中数据的安全性，第二接收步骤s3中还接收移动终端发送的公钥；验证步骤s4还通过该公钥对存有私钥的证书申请进行验证，公钥和私钥为控制应用生成的密钥对。

安装在移动终端的控制应用汇自动生成密钥对，并通过私钥对证书申请进行加密，然后把公钥和加密后的证书申请发送给ra系统，ra系统通过该公钥对私钥进行解密，若解密成功，认为是正确的证书申请，向用户发送数字证书和根证书链。若解密失败，认为是错误的证书申请，该证书申请可能在传输过程中被篡改，向用户发送申请失败的消息。

为了更进一步的保证数据传输过程的安全性，生成步骤s2和第二接收步骤s3之间还可以包括：第三接收步骤s5，接收用户通过移动终端发送的验证码申请，并向移动终端发送验证码；第二接收步骤s3中接收到的用户通过移动终端发送的证书申请为通过验证码加密后的证书申请。

用户通过移动终端向ra系统发送验证码申请，ra系统接收到该申请后，向移动终端发送验证码，移动终端接收到该验证码后，使用该验证码对证书申请进行加密，并把加密后的证书申请发送给ra系统。ra系统使用发送的验证码对证书申请进行解密。

可以看出，本实施例通过移动终端得到的验证码做共享密钥加密申请信息，保证了证书申请和证书信息传输的保密性。

下面对本发明的优选实施方式做更为详细的说明：

步骤1，首先，用户在pc端登入ra系统页面，录入申请信息，申请信息可以包括身份证件类型、证件号码、名称、住址、电话、电子邮件等信息。录入完毕后，提交系统。

步骤2，ra系统管理员对该申请信息进行审核通过后，生成包含授权信息、控制应用下载地址的两个二维码图像文件，并以邮件形式，发送到用户邮箱。

步骤3，用户收到该邮件后，用移动终端上的摄像头扫描控制应用app下载地址的二维码，下载安装证书控制应用app。

步骤4，用户打开证书控制应用app，扫描证书授权二维码，获取授权信息。通过控制应用自动生成密钥对，生成pkcs10证书申请。控制应用向证书平台申请手机验证码。

步骤5，ra系统接收到该申请后，以短信方式发送验证码到手机。

步骤6，控制应用把pkcs10证书申请书、授权信息用验证码加密后，发送到控制应用。

步骤7，ra系统解密该信息，获取pkcs10申请文件和授权信息，并通过公约对经过私钥加密的申请文件进行验证，验证无误后，生成用户数字证书和根证书链，用验证码做密钥，采用对称算法加密后，发送给控制应用app。

步骤8，控制应用解密信息后，把根证书链和用户证书安全存储到证书空间中，并作证书验证，保证证书的有效性。到此，证书申请工作全部完成。

综上，本实施例把二维码引入到ca中心的证书发放过程中，用于在pc和移动终端间传输授权码信息，实现了数字证书应用从pc平台向移动平台的自然过渡，简化了移动平台使用证书的难度，且通过对授权信息的验证保证了整个操作过程中信息传输的安全性。

装置实施例：

参见图3，图3为本发明实施例提供的移动数字证书申请装置的结构框图。如图所示，该装置包括：第一接收模块100，用于接收用户在pc机上输入的申请信息，并对申请信息进行审核；生成模块200，用于如果审核通过，则生成授权信息二维码并发送给用户；第二接收模块300，用于接收用户通过移动终端发送的授权信息和证书申请；该授权信息为用户的移动终端通过扫描授权信息二维码后得到的；该证书申请为移动终端中的控制应用生成的；验证模块400，用于验证所述授权信息，如果验证通过，则生成用户数字证书和根证书链，并发送给用户的移动终端。

本实施例把二维码引入到ca中心的证书发放过程中，本实施例把二维码引入到ca中心的证书发放过程中，通过二维码对移动终端传输授权码信息，简化了传输过程，保证了整个操作过程中信息传输的安全性。

继续参见图3，生成模块200还用于如果审核通过，还生成控制应用下载地址二维码并发送给用户；第二接收模块300中的控制应用为移动终端扫描控制应用下载地址二维码后安装在移动终端的。

本实施例中，ra系统哈生成控制应用下载地址二维码并发送给用户，移动终端通过扫描该二维码获取下载该控制应用的地址，然后直接链接到该地址，进而安装该控制应用，方便了用户。

再参见图3，为了保证数据传输过程中数据的安全性，第二接收模块300还接收移动终端发送的公钥；验证模块400还用于通过该公钥对存有私钥的证书申请进行验证，公钥和私钥为控制应用生成的密钥对。

为了更进一步的保证数据传输过程中数据的安全性，参见图4，上述各实施例中，还可以包括第三接收模块500，用于接收用户通过移动终端发送的验证码申请，并向移动终端发送验证码；第二接收模块300中接收到的用户通过移动终端发送的证书申请为通过验证码加密后的证书申请。

需要说明的是，本发明中装置实施例的具体实施过程参见上述方法实施例即可，本实施例在此不再赘述。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。