技術領域

本發明涉及網絡安全領域，特別是涉及一種多證書共享方法、系統 和智能卡。

背景技術

隨著互聯網和信息化應用的發展，尤其是移動互聯網的發展，移動 通信和互聯網業務逐漸融合，很多SP(Service?Provider，服務提供 商)同時開展了Web和WAP(Wireless?Application?Protocol，無線應 用協議)應用，如電子商務、電子政務、移動辦公等業務得到越來越廣 泛的應用。與此同時，安全性成為制約這些應用發展的關鍵問題。

我國于2005年實施的《電子簽名法》解決了電子環境下用戶身份 的法律地位問題，賦予電子簽名與文本簽名同等的法律效力。數字簽名 采用成熟的非對稱加密技術，可以為交易雙方驗證身份。數字簽名保證 網上交易數據的真實性、完整性、有效性以及交易雙方行為的不可抵賴 性，具有法律效力，是應用廣泛的電子簽名技術。其中，私鑰的存儲是 數字簽名最關鍵的安全問題。智能卡由于內置CPU，計算過程在卡內 完成，可以做到私鑰不出卡，其安全性很高。目前常用的智能卡如USB (Universal?Serial?Bus，通用串行總線)Key，針對移動終端，業界有 SD(Secure?Digital，安全數字)或TF(TransFlash)接口的智能卡。

然而，目前的智能卡產品還存在一些問題，比如：各家銀行、企業 獨立發放USB?Key，成本較高；USB?Key只能應用于PC設備，無法在 手機、PDA等移動終端上應用，難以做到Web/WAP等應用的統一；由 于手機接口所限，SP難以推廣SD/TF接口的智能卡；針對不同應用， 需多個智能卡，給用戶攜帶和使用帶來不便，尤其是在移動終端上換 卡。

發明內容

本發明的目的是提出一種多證書共享方法、系統和智能卡，支持多 數字證書的統一管理。

為實現上述目的，本發明提供了一種用于智能卡的多證書共享方 法，包括：當用戶終端訪問SP站點時，請求所述SP站點向所述用戶 終端發送SP證書；所述智能卡通過所述用戶終端接收所述SP站點發 送的所述SP證書，并生成包含所述SP證書的SP認證消息；所述智能 卡用對應于管理平臺的個人私鑰對所述SP認證消息進行簽名，并通過 所述用戶終端將所述SP認證消息發送給管理平臺；所述管理平臺根據 所述SP認證消息對SP的身份進行驗證，并向所述用戶終端返回驗證 結果，如果所述智能卡對所述SP認證消息的簽名合法，且所述SP是 所述管理平臺已簽約的用戶，則所述SP能夠通過所述管理平臺的身份 驗證；所述智能卡通過所述用戶終端接收所述管理平臺返回的所述驗證 結果，如果所述驗證結果表示對所述SP的身份驗證成功，所述智能卡 加載所述SP證書。

在一個實施例中，在所述智能卡加載所述SP證書后包括：所述用 戶終端向所述SP站點申請對應于所述SP的個人證書，所述申請中攜 帶用戶的認證信息，所述用戶的認證信息由所述SP預先提供給用戶； 所述SP站點驗證所述用戶的認證信息，驗證通過后，所述SP站點向 所述用戶終端返回生成一對對應于SP的公鑰和私鑰的指令，所述生成 對應于SP的公鑰和私鑰的指令由SP的私鑰進行簽名；所述智能卡通 過所述用戶終端接收所述SP站點的指令，使用所述SP證書對所述指 令中SP簽名進行驗證；通過對所述簽名的驗證后，所述智能卡生成所 述對應于SP的公鑰和私鑰對；所述用戶終端向所述SP站點申請對所 述對應于SP的公鑰簽名；所述SP站點將所述公鑰及用戶的信息發送 給CA，由所述CA對所述公鑰簽名，形成個人證書，所述CA將所述 個人證書返回給所述SP站點；所述SP站點向所述用戶終端發送加載 所述個人證書的指令，所述加載所述個人證書的指令由所述SP的私鑰 進行簽名；所述智能卡通過所述用戶終端接收所述加載所述個人證書的 指令，通過所述SP證書對所述加載個人證書的指令的驗證后，加載所 述個人證書。