[发明专利]一种下发数字证书的方法

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种下发数字证书的方法。

背景技术

近些年来，随着网络技术的蓬勃发展，网上银行业务也开始迅速的发展。 目前国内大多数银行都推出了自己的网上银行业务。用户在体验方便、快捷的 网上银行服务之余，难免会担心网上银行的安全性。

目前，大多数银行采用的安全措施为向用户提供专用于网上银行业务的 USB Key，用户在进行网上银行业务时需要USB Key的参与才能完成相应的业 务。USB Key是一种具有USB接口的硬件设备，其内置单片机或智能卡芯片， 用于利用内置的密钥算法实现对用户身份的认证。通常情况下，USB Key内置 的密钥算法大多是非对称算法，利用非对称算法能够生成一对密钥，分别为公 钥和私钥，其中私钥保存在USB Key中，理论上使用任何方式都无法被非法读 取，用以对USB Key中的信息进行加密，公钥保存在银行客户端主机中，用以 对USB Key发送的加密信息进行解密，保护了用户交易信息的安全性。

每个USB Key设备中需要保存数字证书。数字证书是由一个第三方的权威 机构——CA(Certificate Authority，数字证书认证中心)发行的，是一种权威性 的电子文档，作用类似于公民的身份证或者司机的驾驶执照。使用USB Key的 用户通过数字证书来识别对方的身份。由于CA作为权威的、公正的、可信赖的 第三方，因此CA提供的数字证书可以给用户的身份认证充分保证。

在实现本发明的过程中，发明人发现现有技术存在如下缺点：

由于现有的CA对数字证书的载体USB Key的管理手段非常有限，用户可 以从CA处将数字证书下载到自己选择的USB Key中，无法对用户使用的USB Key进行规范化的管理，使一些不符合CA要求的USB Key成为证书的载体， 甚至用户的证书可能被非法用户盗取并复制到其他的USB Key中使用，对用户 的网银账户造成了极大的威胁。

发明内容

为了确保将数字证书下发给合法的USB Key中，本发明提供了一种下发数 字证书的方法。所述技术方案如下：

一种下发数字证书的方法，所述方法包括：

认证中心接收USB Key发送的证书请求，所述证书请求中携带所述USB Key的标识信息及其数字签名、所述USB Key的公钥；

根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公钥对 所述USB Key进行验证；

当所述验证成功时，根据所述USB Key的标识信息进行检索，判断是否存 在所述USB Key的相关记录，并且所述USB Key的状态为未使用；是则保存所 述USB Key的公钥，并为所述USB Key生成数字证书，并将所述数字证书与所 述USB Key相关联，再将所述数字证书发送给所述USB Key；否则结束操作；

当所述验证不成功时，结束操作。

所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公 钥对所述USB Key进行验证的方法具体包括：

所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息 的数字签名，将解密结果与所述USB Key的标识信息进行比对；

当比对结果为相同时，验证成功；

当比对结果为不同时，验证失败。

所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公 钥对所述USB Key进行验证的方法具体包括：

所述认证中心使用接收到的所述USB Key的公钥解密USB Key的标识信息 的数字签名，将解密结果进行散列运算生成消息摘要，并使用所述散列运算对 所述USB Key的标识信息进行运算生成消息摘要，将所述解密结果的消息摘要 与所述USB Key的标识信息的消息摘要进行比对；

当比对结果为相同时，验证成功；

当比对结果为不同时，验证失败。

所述根据所述USB Key的标识信息及其数字签名、以及所述USB Key的公 钥对所述USB Key进行验证的方法具体包括：