CN109981278B - 数字证书申请方法、***、用户身份识别卡、设备及介质 - Google Patents
数字证书申请方法、***、用户身份识别卡、设备及介质 Download PDFInfo
- Publication number
- CN109981278B CN109981278B CN201711456434.2A CN201711456434A CN109981278B CN 109981278 B CN109981278 B CN 109981278B CN 201711456434 A CN201711456434 A CN 201711456434A CN 109981278 B CN109981278 B CN 109981278B
- Authority
- CN
- China
- Prior art keywords
- signature
- data
- service system
- certificate
- identification card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了数字证书申请方法、签名服务***、用户身份识别卡、数字证书申请***、数字证书申请设备和计算机可读存储介质。该数字证书申请方法包括:在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将密钥对生成指令发送至用户身份识别卡;在接收到用户身份识别卡返回的公钥信息后,形成包括公钥信息的证书请求信息;对证书请求信息进行哈希运算,得到哈希数据,并将哈希数据发送至用户身份识别卡;在接收到用户身份识别卡返回的签名数据时,形成包括认证请求信息和签名数据的证书请求数据包;根据证书请求数据包,获取数字证书。本发明实施例可以提高数字证书申请过程的可靠性和稳定性。
Description
技术领域
本发明涉及电子认证技术领域,尤其涉及一种数字证书申请方法、签名服务***、用户身份识别卡、数字证书申请***、数字证书申请设备和计算机可读存储介质。
背景技术
近几年,互联网尤其是移动互联网发展迅速,安全、普适的移动签名产品是保护移动互联网业务安全的重要保障。传统的U盾、密码器在便携性、终端兼容性存在诸多不足,因此一种适用于移动互联网时代的电子认证技术应运而生,为各类账号安全、支付安全提供安全防护作用。
目前的数字证书申请方法如下:
1、移动签名平台通过移动网络向SIM卡发送数据短信请求生成P10数据包即证书请求数据包;
2、SIM卡生成公私钥对,组装P10数据包;
3、SIM卡将完整的P10数据包分成多条数据短信发送给移动签名平台;
4、移动签名平台将P10数据包发给数字证书签发平台以获取数字证书。
以上的数字证书申请方法存在以下缺点:
移动签名服务***与SIM卡之间通过数据短信方式进行数据交互,P10数据包中包含多种信息。以长度为1024位的RSA算法为例,根据ASN.1编码方式生成的P10数据包的字节长度至少达到350字节以上。而一条数据短信最多承载长度为140字节的数据,除去数据短信的安全报文头外,SIM卡将完整的P10数据包发到移动签名服务***,至少需要连续上发四条数据短信。考虑到短信时延及短信承载数据长度受限等因素,发送P10数据包所需的短信条数多,移动签名平台的等待时间较长,因此***可靠性及稳定性较差。
发明内容
本发明实施例提供了一种数字证书申请方法、签名服务***、用户身份识别卡、数字证书申请***、数字证书申请设备和计算机可读存储介质。
第一方面,本发明实施例提供了一种数字证书申请方法,方法包括:
在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
根据所述证书请求数据包,获取数字证书。
第二方面,本发明实施例提供了一种数字证书申请方法,方法包括:
在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***。
第三方面,本发明实施例提供了一种数字证书申请方法,方法包括:
签名服务***在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
所述用户身份识别卡在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
所述签名服务***在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
所述用户身份识别卡在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***;
所述签名服务***在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;并根据所述证书请求数据包,获取数字证书。
第四方面,本发明实施例提供了一种签名服务***,该***包括:
指令生成模块,用于在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
信息形成模块,用于在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
哈希运算模块,对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
数据包形成模块,在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
证书获取模块,用于根据所述证书请求数据包,获取数字证书。
第五方面,本发明实施例提供了一种用户身份识别卡,包括:
密钥对生成模块,用于在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
数据签名模块,用于在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***。
第六方面,本发明实施例提供了一种数字证书申请***,包括第四方面提供的签名服务***和第五方面提供的用户身份识别卡。
第七方面,本发明实施例提供了一种数字证书申请设备,包括至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面或第二方面的方法。
第八方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面或第二方面的方法。
本发明实施例提供的以上方案,证书请求数据包中的认证请求信息由签名服务***形成,且各种数据形成完整的证书请求数据包的过程也是在签名服务***完成,只有证书请求数据包中的签名数据由用户身份识别卡形成,因此用户身份识别卡将签名数据发送给签名服务***只需要一条数据短信,不需要多条数据短信,因此签名服务***的等待时间短,相对于现有技术中用户身份识别卡需要多条数据短信将有关数据发送至签名服务***的情况,数字证书申请过程的可靠性和稳定性都会提高。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一实施例中数字证书申请方法的流程示意图;
图2示出了本发明一实施例中数字证书申请方法的流程示意图;
图3示出了本发明一实施例中数字证书申请方法的流程示意图;
图4示出了本发明一实施例中数字证书申请方法的流程示意图;
图5示出了本发明一实施例中执行签名业务的流程示意图;
图6示出了本发明一实施例中签名服务***的结构框图;
图7示出了本发明一实施例中用户身份识别卡的结构框图;
图8示出本发明一实施例中数字证书申请设备的结构框图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
第一方面,本发明实施例提供一种数字证书申请方法,该方法可以由签名服务***执行,如图1所示,具体可以包括以下步骤:
S101、在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
上述业务***,也可以称为业务平台。
举例来说,用户到业务平台请求业务管理员帮助办理数字证书的下载业务时,管理员对用户的身份进行审核,在审核通过之后,通过业务平台向签名服务***发送证书申请请求,即开启了数字证书的申请流程。当然,在接收到证书申请请求时,还可以依次对业务的合法性和PKI(即公钥基础设施)的合法性进行校验,在校验通过后,生成密钥对生成指令。
上述证书申请请求即申请数字证书的请求。
上述用户身份识别卡,也可以称为SIM卡。可理解的是,SIM卡为金融芯片级的安全介质。当SIM卡接收到签名服务***发送来的密钥对生成指令后,生成密钥对,并将秘钥对中的公钥信息返回给签名服务***。其中,公钥信息可以包括公钥、公钥指数和/或其他公钥有关信息。
S102、在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
上述证书请求信息,即certificationRequestInformation,该信息中包括公钥信息,当然还可以包括其他信息,例如,实体名称。证书请求信息中的其他信息可以为自定义数据,该自定义数据可以根据需要设置。当签名服务***接收到SIM卡返回的公钥信息后,可以通过组装的方式使公钥信息以及其他信息形成证书请求信息。
可理解的是,证书请求信息为证书请求数据包即P10数据包括中的一部分数据,该部分数据由签名服务***形成。
S103、对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
举例来说,利用SHA-1算法对证书请求信息进行哈希运算,从而得到哈希数据。
当SIM卡接收到哈希数据之后,会采用生成的密钥对中的私钥对所述哈希数据签名,从而得到签名数据,进而将签名数据返回给签名服务***。可见,签名数据是由SIM卡形成。
S104、在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
可理解的是,证书请求数据包即PKCS#10数据包(简称P10数据包)中包括认证请求信息、签名数据。当然,还可以包括其他的数据,例如签名算法。具体可以根据P10数据包的格式要求,将认证请求信息、签名数据、签名算法和/或其他数据形成完整的P10数据包。
通过以上步骤即可得到P10数据包,进而可以通过S105得到数字证书。
S105、根据所述证书请求数据包,获取数字证书。
本发明实施例提供的数字证书申请方法,证书请求数据包中的认证请求信息由签名服务***形成,且各种数据形成完整的证书请求数据包的过程也是在签名服务***完成,只有证书请求数据包中的签名数据由用户身份识别卡形成,因此用户身份识别卡将签名数据发送给签名服务***只需要一条数据短信,不需要多条数据短信,因此签名服务***的等待时间短,相对于现有技术中用户身份识别卡需要多条数据短信将有关数据发送至签名服务***的情况,时延较短,数字证书申请过程的可靠性和稳定性得到提高。而且,由于证书请求数据包中的认证请求信息由签名服务***形成,而并不是在SIM卡中形成,因此认证请求信息除了公钥信息之外的其他数据可以为自定义数据,在与各个PKI(即公钥基础设施)进行对接时,签名服务***可以灵活的适配各个PKI的接口,相对于现有技术中因证书请求消息由SIM卡生成导致证书请求消息的组成固定的情况相比,本发明实施例中签名服务***能够兼容各个PKI接口,提高了签名服务***的灵活性及扩展性,
有利于签名服务***提供签名服务。
在一些实施例中,该步骤S105中根据P10数据包获取数字证书的方式有多种,下面介绍一种可选的方式:
S1051、向数字证书签发***发送携带有所述证书请求数据包的证书申请请求;
上述数字证书签发***,例如公钥基础设施即PKI,例如数字证书注册审批机构RA、数字证书认证中心CA等。当签名服务***形成P10数据包之后,便向数字证书签发***发送证书申请请求,该请求中携带有P10数据包。当数字证书签发***接收到这一请求之后,便生成并签发数字证书,并将数字证书返回给签名服务***。
S1052、在接收到所述数字证书签发***返回的数字证书时,对所述数字证书进行解析,得到证书数据,并将所述证书数据发送至所述用户身份识别卡;
S1053、在接收到所述用户身份识别卡返回的证书安装完成的响应信息时,向所述业务***发送证书申请成功的响应信息。
当用户身份识别卡接收到证书数据后,进行数字证书的安装,在安装完成之后,向签名服务***发送证书安装完成的响应信息。当签名服务***接收到这一响应信息后,向业务***返回一响应信息,以告知业务***数字证书申请成功。
第二方面,本发明还提供一种数字证书申请方法,该方法可以由用户身份识别卡执行,如图2所示,该方法与由签名服务***执行的数字证书申请方法相对应,具体可以包括以下步骤:
S201、在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
可理解的是,上述公钥信息可以包括公钥、公钥指数和/或其他信息。
在实际应用时,还可以在生成秘钥对之前,对是否设置签名口令进行检测。具体为检测SIM卡所属用户的终端或者SIM卡所在的终端是否设置签名口令,若设置了签名口令,则执行生成密钥对的步骤;若没有设置签名口令,则需要向用户终端发送设置签名口令的提示信息,当用户在用户终端上设置了签名口令之后,即可以执行生成密钥对的步骤。这样在执行生成密钥对的步骤时保证用户已经设置了签名口令。
S202、在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***。
可理解的是,所谓的签名,实际上是加密的过程,即利用密钥对中的私钥对哈希数据进行加密。
本发明实施例提供的数字证书申请方法与签名服务***执行的数字证书申请方法相配合,实现数字证书的申请。由于只有证书请求数据包中的签名数据由用户身份识别卡形成,因此用户身份识别卡将签名数据发送给签名服务***只需要一条数据短信,不需要多条数据短信,因此签名服务***的等待时间短,相对于现有技术中用户身份识别卡需要多条数据短信将有关数据发送至签名服务***的情况,数字证书申请过程的可靠性和稳定性都会提高。
在一些实施例中,用户身份识别卡还可执行以下步骤:
S203、在接收到所述签名服务***发送来的证书数据时,安装数字证书;并在所述数字证书安装完成时,向所述签名服务***发送证书安装完成的响应信息。
通过上述步骤S203,使SIM卡完成数字证书的安装。步骤S203与上述步骤S1051~S1053相配合,完成获取数字证书的整个过程。
第三方面,基于第一方面和第二方面提供的数字证书申请方法,本发明实施例还提供一种数字证书申请方法,该方法由签名服务***和用户身份识别卡执行,如图3所示,具体包括:
S301、签名服务***在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
S302、所述用户身份识别卡在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
S303、所述签名服务***在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
S304、所述用户身份识别卡在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***;
S305、所述签名服务***在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;并根据所述证书请求数据包,获取数字证书。
本申请实施例提供的数字证书申请方法中的有关内容的解释、举例、有益效果等可以参考上述第一方面和第二方面中的相应部分,这里不再赘述。
具体参见图4,数字证书申请的整体过程大致包括:
S401、用户向业务管理员请求下载数字证书;
S402、业务管理员对用户的身份进行核实;
S403、在核实通过之后,通过业务***触发证书申请流程;
S404、在证书申请流程触发后,业务***向签名服务***发送证书申请请求;
S405、签名服务***接收到业务***发送来的证书申请请求后,生成密钥对生成指令;
S406、将密钥对生成指令发送至SIM卡;
S407、SIM卡在接收到密钥对生成指令后,生成秘钥对;
S408、将密钥对中的公钥、公钥指数等公钥信息发送至签名服务***;
S409、签名服务***根据公钥信息,形成证书请求信息,并对证书请求信息进行哈希运算,得到哈希数据;
S410、签名服务***将生成的哈希数据发送至SIM卡;
S411、SIM卡采用私钥对哈希数据进行签名,得到签名数据;
S412、SIM卡将签名数据返回给签名服务***;
S413、签名服务***将签名数据、证书请求信息、签名算法等数据按照P10数据包的格式要求组装成P10数据包:
S414、签名服务***向RA/CA发送携带有P10数据包的证书申请请求;
S415、RA/CA接收到证书申请请求时,生成对应的数字证书;
S416、RA/CA将数字证书返回给签名服务***;
S417、签名服务***对数字证书进行解析,得到证书数据(也可以称为证书信息),;
S418、签名服务***将证书数据发送给SIM卡;
S419、SIM卡安装数字证书;
S420、SIM卡在安装完成后,向签名服务***发送安装完成的响应信息;
S421、签名服务***在接收到SIM卡发送的响应信息后,向业务***发送申请成功的响应信息。
通过上述步骤S401~S421,完成数字证书的申请。
在采用上述步骤S401~S421完成数字证书的申请之后,用户便可以提供数字签名业务,具体的签名业务过程可以包括:
S501、业务***将RSA(公钥加密算法)加密后的待签名数据发送至签名服务***;
S502、签名服务***向SIM卡发送携带有待签名数据的业务签名请求;
S503、签名服务***对待签名数据进行RSA加密后,得到交易数据;
S504、签名服务***将交易数据发送至用户终端;
S505、用户终端弹出STK(sim tools kit,即用户识别应用发展工具)菜单,显示交易数据,然后用户对交易数据进行确认;
S506、用户终端将用户确认结果发送至SIM卡;
S507、SIM卡采用私钥对用户确认结果进行签名;
S508、SIM卡根据签名后的用户确认结果,向签名服务***发送响应信息;
S509、签名服务***在接收到SIM卡发来的响应信息后,向业务***发送响应信息。
通过上述步骤S501~S509,实现签名业务。在上述过程中,业务***通过签名服务***直接将待签名数据发送至SIM卡进行签名,签名服务***不再对待签名数据进行哈希运算,签名过程简单、效率高。
第四方面,本发明实施例提供一种签名服务***,如图6所示,该***600包括:
指令生成模块601,用于在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
信息形成模块602,用于在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
哈希运算模块603,对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
数据包形成模块604,在接收到所述用户身份识别卡返回的签名数据时,形成包括所述认证请求信息和所述签名数据的证书请求数据包;其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
证书获取模块605,用于根据所述证书请求数据包,获取数字证书。
在一些实施例中,所述证书获取模块具体用于:向数字证书签发***发送携带有所述证书请求数据包的证书申请请求;在接收到所述数字证书签发***返回的数字证书时,对所述数字证书进行解析,得到证书数据,并将所述证书数据发送至所述用户身份识别卡;在接收到所述用户身份识别卡返回的证书安装完成的响应信息时,向所述业务***发送证书申请成功的响应信息。
在一些实施例中,所述信息形成模块具体形成包括所述认证请求信息、所述签名数据和签名算法的证书请求数据包。
在一些实施例中,所述公钥信息包括公钥和公钥指数。
可理解的是,上述签名服务***中的各个功能模块与第一方面提供的数字证书申请方法中的各个步骤相对应,其有关内容的解释、举例、有益效果等部分可以参考第一方面中的相应内容,此处不再赘述。
第五方面,本发明实施例提供一种用户身份识别卡,如图7所示,该用户身份识别卡700包括:
密钥对生成模块701,用于在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
数据签名模块702,用于在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***。
在一些实施例中,用户身份识别卡还包括:
证书安装模块,用于在接收到所述签名服务***发送来的证书数据时,安装数字证书;在所述数字证书安装完成时,向所述签名服务***发送证书安装完成的响应信息。
在一些实施例中,密钥对生成模块在生成密钥对之前,检测用户终端是否设置签名口令;若是,则执行所述生成密钥对的步骤;否则,向用户终端发出设置签名口令的提示信息,并在用户终端设置签名口令后,执行所述生成密钥对的步骤。
可理解的是,上述用户身份识别卡中的各个功能模块与第二方面提供的数字证书申请方法中的各个步骤相对应,其有关内容的解释、举例、有益效果等部分可以参考第二方面中的相应内容,此处不再赘述。
第六方面,本发明实施例提供一种数字证书申请***,包括第四方面中的签名服务***和第五方面中的用户身份识别卡。
第七方面,本发明实施例提供一种数字证书申请设备,以执行第一方面或者第二方面中的数字证书申请方法,图8示出了本发明实施例提供的数字证书申请设备的硬件结构示意图。
数字证书申请设备设备可以包括处理器801以及存储有计算机程序指令的存储器802。
具体地,上述处理器801可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器802可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器802可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器802可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器802可在数据处理装置的内部或外部。在特定实施例中,存储器802是非易失性固态存储器。在特定实施例中,存储器802包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器801通过读取并执行存储器802中存储的计算机程序指令,以实现上述实施例中的任意一种数字证书申请方法。
在一个示例中,数字证书申请设备还可包括通信接口803和总线810。其中,如图8所示,处理器801、存储器802、通信接口803通过总线810连接并完成相互间的通信。
通信接口803,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线810包括硬件、软件或两者,将数字证书申请设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、***组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线810可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
该数字证书申请设备可以基于获取到待测小区的网管性能指标,执行本发明实施例中的数字证书申请方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
第八方面,本发明实施例提供一种计算机可读存储介质,该其上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或者第二方面中提供的数字证书申请方法。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或***。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (13)
1.一种数字证书申请方法,应用于签名服务***,其特征在于,包括:
在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
在接收到所述用户身份识别卡返回的签名数据时,形成包括所述证书请求信息和所述签名数据的证书请求数据包,其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
根据所述证书请求数据包,获取数字证书。
2.根据权利要求1所述的方法,其特征在于,所述根据所述证书请求数据包,获取数字证书,包括:
向数字证书签发***发送携带有所述证书请求数据包的证书申请请求;
在接收到所述数字证书签发***返回的数字证书时,对所述数字证书进行解析,得到证书数据,并将所述证书数据发送至所述用户身份识别卡;
在接收到所述用户身份识别卡返回的证书安装完成的响应信息时,向所述业务***发送证书申请成功的响应信息。
3.根据权利要求1所述的方法,其特征在于,所述形成包括所述证书请求信息和所述签名数据的证书请求数据包,包括:形成包括所述证书请求信息、所述签名数据和签名算法的证书请求数据包。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述公钥信息包括公钥和公钥指数。
5.一种数字证书申请方法,应用于用户身份识别卡,其特征在于,包括:
在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***,以用于所述签名服务***在接收到用户身份识别卡返回的签名数据时,形成包括证书请求信息和所述签名数据的证书请求数据包。
6.根据权利要求5所述的方法,其特征在于,还包括:
在接收到所述签名服务***发送来的证书数据时,安装数字证书;
在所述数字证书安装完成时,向所述签名服务***发送证书安装完成的响应信息。
7.根据权利要求5或6所述的方法,其特征在于,所述生成密钥对之前,所述方法还包括:
检测用户终端是否设置签名口令;
若是,则执行所述生成密钥对的步骤;
否则,向用户终端发出设置签名口令的提示信息,并在用户终端设置签名口令后,执行所述生成密钥对的步骤。
8.一种数字证书申请方法,其特征在于,包括:
签名服务***在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
所述用户身份识别卡在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
所述签名服务***在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
所述用户身份识别卡在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***;
所述签名服务***在接收到所述用户身份识别卡返回的签名数据时,形成包括所述证书请求信息和所述签名数据的证书请求数据包;并根据所述证书请求数据包,获取数字证书。
9.一种签名服务***,其特征在于,包括:
指令生成模块,用于在接收到业务***发送来的证书申请请求时,生成密钥对生成指令,并将所述密钥对生成指令发送至用户身份识别卡;
信息形成模块,用于在接收到所述用户身份识别卡返回的公钥信息后,形成包括所述公钥信息的证书请求信息;
哈希运算模块,对所述证书请求信息进行哈希运算,得到哈希数据,并将所述哈希数据发送至所述用户身份识别卡;
数据包形成模块,在接收到所述用户身份识别卡返回的签名数据时,形成包括所述证书请求信息和所述签名数据的证书请求数据包;其中,所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到;
证书获取模块,用于根据所述证书请求数据包,获取数字证书。
10.一种用户身份识别卡,其特征在于,包括:
密钥对生成模块,用于在接收到签名服务***发送来的密钥对生成指令时,生成密钥对,并将所述密钥对中的公钥信息返回至所述签名服务***;
数据签名模块,用于在接收到所述签名服务***发送来的哈希数据时,采用所述密钥对中的私钥对所述哈希数据进行签名,得到签名数据,并将所述签名数据返回至所述签名服务***,以用于所述签名服务***在接收到用户身份识别卡返回的签名数据时,形成包括证书请求信息和所述签名数据的证书请求数据包。
11.一种数字证书申请***,其特征在于,包括权利要求9所述的签名服务***和权利要求10所述的用户身份识别卡。
12.一种数字证书申请设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-4中任一项或者权利要求5-7中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-4中任一项或者权利要求5-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711456434.2A CN109981278B (zh) | 2017-12-28 | 2017-12-28 | 数字证书申请方法、***、用户身份识别卡、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711456434.2A CN109981278B (zh) | 2017-12-28 | 2017-12-28 | 数字证书申请方法、***、用户身份识别卡、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981278A CN109981278A (zh) | 2019-07-05 |
| CN109981278B true CN109981278B (zh) | 2022-09-13 |
Family
ID=67074332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711456434.2A Active CN109981278B (zh) | 2017-12-28 | 2017-12-28 | 数字证书申请方法、***、用户身份识别卡、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981278B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111125665A (zh) * | 2019-12-04 | 2020-05-08 | 中国联合网络通信集团有限公司 | 认证方法及设备 |
| CN111209589A (zh) * | 2019-12-31 | 2020-05-29 | 航天信息股份有限公司 | 一种基于区域链的数据动态脱敏的方法及*** |
| CN111291392B (zh) * | 2020-01-22 | 2022-09-06 | 京东科技控股股份有限公司 | 电子签章方法、装置、电子设备及存储介质 |
| CN111428279B (zh) * | 2020-03-26 | 2023-12-08 | 国汽(北京)智能网联汽车研究院有限公司 | 一种显式证书生成方法、装置、设备及存储介质 |
| CN112491613B (zh) * | 2020-11-26 | 2022-02-22 | 北京航空航天大学 | 信息服务标识生成方法及装置 |
| CN114125844B (zh) * | 2021-11-24 | 2024-04-19 | 中国银行股份有限公司 | 数字证书的生成下载方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、***及无线终端 |
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付***及方法 |
| CN102904865A (zh) * | 2011-07-29 | 2013-01-30 | ***通信集团公司 | 一种基于移动终端的多个数字证书的管理方法、***和设备 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和*** |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| CN101527630B (zh) * | 2008-12-31 | 2011-02-16 | 北京飞天诚信科技有限公司 | 远程制证的方法、服务器及*** |
| CN101977193B (zh) * | 2010-10-28 | 2013-11-13 | 飞天诚信科技股份有限公司 | 安全下载证书的方法及*** |
| CN106921496A (zh) * | 2015-12-25 | 2017-07-04 | 卓望数码技术(深圳)有限公司 | 一种数字签名方法和*** |
-
2017
- 2017-12-28 CN CN201711456434.2A patent/CN109981278B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101777978A (zh) * | 2008-11-24 | 2010-07-14 | 华为终端有限公司 | 一种基于无线终端的数字证书申请方法、***及无线终端 |
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付***及方法 |
| WO2012031433A1 (zh) * | 2010-09-07 | 2012-03-15 | 中兴通讯股份有限公司 | 一种基于移动终端远程支付***及方法 |
| CN102904865A (zh) * | 2011-07-29 | 2013-01-30 | ***通信集团公司 | 一种基于移动终端的多个数字证书的管理方法、***和设备 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981278A (zh) | 2019-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981278B (zh) | 数字证书申请方法、***、用户身份识别卡、设备及介质 | |
| CN111224788B (zh) | 一种基于区块链的电子合同管理方法、装置及*** | |
| CN107133520B (zh) | 云计算平台的可信度量方法和装置 | |
| EP3101607A1 (en) | NFC-ENABLED DEVICES FOR & xA;PERFORMING SECURE CONTACTLESS TRANSACTIONS AND USING HCE | |
| CN110393019B (zh) | 更新固件的方法及相关装置 | |
| CN101527714B (zh) | 制证的方法、装置及*** | |
| CN105227319A (zh) | 一种验证服务器的方法及装置 | |
| CN109245899B (zh) | 一种基于sm9密码算法信任链设计方法 | |
| US10158990B2 (en) | SMS message reading control method and terminal | |
| CN112579125B (zh) | 一种固件升级方法、装置、电子设备和存储介质 | |
| CN110955921A (zh) | 电子签章方法、装置、设备及存储介质 | |
| CN112199644A (zh) | 移动终端应用程序安全检测方法、***、终端及存储介质 | |
| JPWO2018179293A1 (ja) | 検証情報付与装置、検証装置、情報管理システム、方法およびプログラム | |
| CN111147259B (zh) | 鉴权方法和设备 | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
| CN108075895B (zh) | 一种基于区块链的节点许可方法和*** | |
| CN113824566B (zh) | 证书认证方法、码号下载方法、装置、服务器及存储介质 | |
| CN111148213B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
| CN115344848B (zh) | 标识获取方法、装置、设备及计算机可读存储介质 | |
| CN112651835B (zh) | 联盟链的交易方法、装置、电子设备及存储介质 | |
| CN114390478A (zh) | 设备认证***、方法及终端设备 | |
| CN114172923A (zh) | 数据传输方法、通信***及通信装置 | |
| CN113572717A (zh) | 通信连接的建立方法、洗护设备及服务器 | |
| CN114205237B (zh) | 应用程序的鉴权方法、装置、电子设备及计算机存储介质 | |
| CN113553125B (zh) | 可信应用程序的调用方法、装置、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |