技術領域

本發明涉及信息安全領域，特別涉及一種下發數字證書的方法。

背景技術

近些年來，隨著網絡技術的蓬勃發展，網上銀行業務也開始迅速的發展。 目前國內大多數銀行都推出了自己的網上銀行業務。用戶在體驗方便、快捷的 網上銀行服務之余，難免會擔心網上銀行的安全性。

目前，大多數銀行采用的安全措施為向用戶提供專用于網上銀行業務的 USB?Key，用戶在進行網上銀行業務時需要USB?Key的參與才能完成相應的業 務。USB?Key是一種具有USB接口的硬件設備，其內置單片機或智能卡芯片， 用于利用內置的密鑰算法實現對用戶身份的認證。通常情況下，USB?Key內置 的密鑰算法大多是非對稱算法，利用非對稱算法能夠生成一對密鑰，分別為公 鑰和私鑰，其中私鑰保存在USB?Key中，理論上使用任何方式都無法被非法讀 取，用以對USB?Key中的信息進行加密，公鑰保存在銀行客戶端主機中，用以 對USB?Key發送的加密信息進行解密，保護了用戶交易信息的安全性。

每個USB?Key設備中需要保存數字證書。數字證書是由一個第三方的權威 機構——CA(Certificate?Authority，數字證書認證中心)發行的，是一種權威性 的電子文檔，作用類似于公民的身份證或者司機的駕駛執照。使用USB?Key的 用戶通過數字證書來識別對方的身份。由于CA作為權威的、公正的、可信賴的 第三方，因此CA提供的數字證書可以給用戶的身份認證充分保證。

在實現本發明的過程中，發明人發現現有技術存在如下缺點：

由于現有的CA對數字證書的載體USB?Key的管理手段非常有限，用戶可 以從CA處將數字證書下載到自己選擇的USB?Key中，無法對用戶使用的USB Key進行規范化的管理，使一些不符合CA要求的USB?Key成為證書的載體， 甚至用戶的證書可能被非法用戶盜取并復制到其他的USB?Key中使用，對用戶 的網銀賬戶造成了極大的威脅。

發明內容

為了確保將數字證書下發給合法的USB?Key中，本發明提供了一種下發數 字證書的方法。所述技術方案如下：

一種下發數字證書的方法，所述方法包括：

認證中心接收USB?Key發送的證書請求，所述證書請求中攜帶所述USB Key的標識信息及其數字簽名、所述USB?Key的公鑰；

根據所述USB?Key的標識信息及其數字簽名、以及所述USB?Key的公鑰對 所述USB?Key進行驗證；

當所述驗證成功時，根據所述USB?Key的標識信息進行檢索，判斷是否存 在所述USB?Key的相關記錄，并且所述USB?Key的狀態為未使用；是則保存所 述USB?Key的公鑰，并為所述USB?Key生成數字證書，并將所述數字證書與所 述USB?Key相關聯，再將所述數字證書發送給所述USB?Key；否則結束操作；

當所述驗證不成功時，結束操作。

所述根據所述USB?Key的標識信息及其數字簽名、以及所述USB?Key的公 鑰對所述USB?Key進行驗證的方法具體包括：

所述認證中心使用接收到的所述USB?Key的公鑰解密USB?Key的標識信息 的數字簽名，將解密結果與所述USB?Key的標識信息進行比對；

當比對結果為相同時，驗證成功；

當比對結果為不同時，驗證失敗。

所述根據所述USB?Key的標識信息及其數字簽名、以及所述USB?Key的公 鑰對所述USB?Key進行驗證的方法具體包括：

所述認證中心使用接收到的所述USB?Key的公鑰解密USB?Key的標識信息 的數字簽名，將解密結果進行散列運算生成消息摘要，并使用所述散列運算對 所述USB?Key的標識信息進行運算生成消息摘要，將所述解密結果的消息摘要 與所述USB?Key的標識信息的消息摘要進行比對；

當比對結果為相同時，驗證成功；

當比對結果為不同時，驗證失敗。

所述根據所述USB?Key的標識信息及其數字簽名、以及所述USB?Key的公 鑰對所述USB?Key進行驗證的方法具體包括：