[发明专利]一种读取用户数字证书的方法、装置及系统

权利要求书

1.一种读取用户数字证书的方法，其特征在于，包括：

接收识别用户key的接口方式的请求信息；

从预设的多种接口识别方式中依次选取一种接口识别方式对用户key的接口方式进行识别，直至识别出所述用户key的接口方式或者所述多种接口识别方式均无法识别出所述用户key的接口方式；

若识别出所述用户key的接口方式，则通过所述接口方式对应的读取方法读取所述用户key内的数字证书；

其中，所述从预设的多种接口识别方式中依次选取一种接口识别方式对用户key的接口方式进行识别，具体包括：

采用CertOpenSystemStore函数打开windows证书库；

若能够打开，则标识用户key的接口方式为CryptoAPI；

判断能否利用C_Initialize函数初始化环境；

若能够初始化，则标识用户key的接口方式为PKCS#11；

判断能否利用SCardEstablishContext函数获得资源管理控制器上下文；

若能够获得，则标识用户key的接口方式为PC/SC；

判断能否利用SKF_ConnectDev函数连接用户key；

若连接成功，则标识用户key的接口方式为国密接口。

2.根据权利要求1所述的读取用户数字证书的方法，其特征在于，还包括：

根据预设协议解析所述数字证书，获得证书信息；

根据所述证书信息中的有效期判断所述数字证书是否过期；

根据判断结果确定所述数字证书的交易认证的有效性；

若所述数字证书未过期，则判断所述证书信息与用户输入的认证信息是否一致，以及判断所述证书信息中的颁发者是否在工业与信息化部CA列表中；

根据判断结果确定所述数字证书的电子签名的有效性。

3.根据权利要求2所述的读取用户数字证书的方法，其特征在于，所述根据判断结果确定所述数字证书的电子签名的有效性，包括：

若所述数字证书未过期且所述证书信息中的颁发者在工业与信息化部CA列表中，则向后台加密机发送吊销验证请求和所述数字证书的CRL分发点信息，以使所述后台加密机根据所述CRL分发点信息通过LDAP或API方式在证书吊销列表中查询，并判断所述数字证书是否已吊销；

若未吊销，则接收所述后台加密机发送的证书不存在提示信息，确定所述数字证书的电子签名有效，否则接收所述后台加密机发送的证书存在提示信息，确定所述数字证书的电子签名无效。

4.根据权利要求2所述的读取用户数字证书的方法，其特征在于，所述根据判断结果确定所述数字证书的电子签名的有效性之后，还包括：

若确定所述数字证书为有效，则将所述证书信息中除私钥以外的信息同步至后台加密机。

5.一种读取用户数字证书的装置，其特征在于，包括：

请求信息接收模块，用于接收识别用户key的接口方式的请求信息；

用户key的接口方式识别模块，用于从预设的多种接口识别方式中依次选取一种接口识别方式对用户key的接口方式进行识别，直至识别出所述用户key的接口方式或者所述多种接口识别方式均无法识别所述用户key的接口方式；

数字证书读取模块，用于若识别出所述用户key的接口方式，则通过所述接口方式对应的读取方法读取所述用户key内的数字证书；

其中，所述用户key的接口方式识别模块，具体包括：

第一识别单元，用于采用CertOpenSystemStore函数打开windows证书库；若能够打开，则标识用户key的接口方式为CryptoAPI；

第二识别单元，用于判断能否利用C_Initialize函数初始化环境；若能够初始化，则标识用户key的接口方式为PKCS#11；

第三识别单元，用于判断能否利用SCardEstablishContext函数获得资源管理控制器上下文；若能够获得，则标识用户key的接口方式为PC/SC；

第四识别单元，用于判断能否利用SKF_ConnectDev函数连接用户key；若连接成功，则标识用户key的接口方式为国密接口。