鬼佬大哥大
  • / 15
  • 下載費用:30 金幣  

USBKEY、USBKEY數字證書寫入方法和裝置.pdf

摘要
申請專利號:

CN201410353939.6

申請日:

2014.07.23

公開號:

CN105281908A

公開日:

2016.01.27

當前法律狀態:

實審

有效性:

審中

法律詳情: 實質審查的生效IPC(主分類):H04L 9/32申請日:20140723|||公開
IPC分類號: H04L9/32; H04L29/06; G06F21/34(2013.01)I 主分類號: H04L9/32
申請人: 阿里巴巴集團控股有限公司
發明人: 夏巨鵬
地址: 英屬開曼群島大開曼資本大廈一座四層847號郵箱
優先權:
專利代理機構: 北京博思佳知識產權代理有限公司11415 代理人: 林祥
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201410353939.6

授權公告號:

|||

法律狀態公告日:

2016.02.24|||2016.01.27

法律狀態類型:

實質審查的生效|||公開

摘要

本申請提供一種USB Key、USB Key數字證書寫入方法和裝置。該方法包括:接收客戶端發送的第一簽名證書請求,所述第一簽名證書請求由客戶端使用USB Key內置的標識數字證書及其對應的第一私鑰簽名數字證書請求而生成;根據所述第一簽名證書請求校驗所述USB Key是否合法;在校驗所述USB Key合法時,頒發數字證書,以供客戶端將所述數字證書寫入所述USB Key。通過本申請的技術方案能夠確保頒發的數字證書能夠寫入到合法的USB Key中。

權利要求書

1.一種USBKey數字證書寫入方法,其特征在于,所述方法包括:
接收客戶端發送的第一簽名證書請求,所述第一簽名證書請求由客戶端
使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數字證書請求
而生成;
根據所述第一簽名證書請求校驗所述USBKey是否合法;
在校驗所述USBKey合法時,頒發數字證書,以供客戶端將所述數字證
書寫入所述USBKey。
2.根據權利要求1所述的方法,其特征在于,
所述根據所述第一簽名證書請求校驗所述USBKey的合法性包括:
校驗所述第一簽名證書請求;
如果校驗所述第一簽名證書請求成功,則校驗所述標識證書的合法性;
如果校驗所述標識證書合法,則校驗所述數字證書請求;
如果校驗所述數字證書請求成功,則確認所述USBKey合法。
3.根據權利要求2所述的方法,其特征在于,
所述校驗所述第一簽名證書請求包括:
獲取所述第一簽名證書請求中攜帶的所述標識數字證書對應的第一公鑰;
使用所述第一公鑰校驗所述第一簽名證書請求。
4.根據權利要求2所述的方法,其特征在于,
所述校驗所述標識證書的合法性包括:
從所述標識證書中獲取所述標識證書的發行者;
查找所述發行者對應的子CA證書;
使用所述子CA證書中攜帶的第二公鑰校驗所述標識證書是否合法。
5.根據權利要求3所述的方法,其特征在于,
所述校驗所述標識證書的合法性包括:
從所述標識證書中獲取所述USBKey的序列號;
查看本設備上是否存儲有所述序列號與所述第一公鑰的對應關系;
如果是,則校驗所述標識證書合法。
6.一種USBKey數字證書寫入方法,其特征在于,所述方法包括:
使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數字證書
請求,以生成第一簽名證書請求;
將所述第一簽名證書請求發送給服務端,以供服務端校驗所述USBKey
是否合法;
將服務端在校驗所述USBKey合法時頒發的數字證書寫入所述USB
Key。
7.一種USBKey數字證書寫入裝置,其特征在于,所述裝置包括:
接收單元,接收客戶端發送的第一簽名證書請求,所述第一簽名證書請
求由客戶端使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數
字證書請求而生成;
校驗單元,根據所述第一簽名證書請求校驗所述USBKey是否合法;
頒發單元,在校驗所述USBKey合法時,頒發數字證書,以供客戶端將
所述數字證書寫入所述USBKey。
8.根據權利要求7所述的裝置,其特征在于,
所述校驗單元,具體校驗所述第一簽名證書請求;
在校驗所述第一簽名證書請求成功時,校驗所述標識證書的合法性;
在校驗所述標識證書合法時,校驗所述數字證書請求;
在校驗所述數字證書請求成功時,確認所述USBKey合法。
9.根據權利要求8所述的裝置,其特征在于,
所述校驗單元校驗所述第一簽名證書請求包括:獲取所述第一簽名證書
請求中攜帶的所述標識數字證書對應的第一公鑰;
使用所述第一公鑰校驗所述第一簽名證書請求。
10.根據權利要求8所述的裝置,其特征在于,
所述校驗單元校驗所述標識證書的合法性包括:
從所述標識證書中獲取所述標識證書的發行者;
查找所述發行者對應的子CA證書;
使用所述子CA證書中攜帶的第二公鑰校驗所述標識證書是否合法。
11.根據權利要求6所述的裝置,其特征在于,
所述校驗單元校驗所述標識證書的合法性包括:
從所述標識證書中獲取所述USBKey的序列號;
查看本設備上是否存儲有所述序列號與所述第一公鑰的對應關系;
在本設備上存儲有所述序列號與所述第一公鑰的對應關系時,確認校驗
所述標識證書合法。
12.一種USBKey數字證書寫入裝置,其特征在于,所述裝置包括:
簽名單元,使用USBKey內置的標識數字證書及其對應的第一私鑰簽名
數字證書請求,以生成第一簽名證書請求;
發送單元,將所述第一簽名證書請求發送給服務端,以供服務端校驗所
述USBKey是否合法;
寫入單元,將服務端在校驗所述USBKey合法時頒發的數字證書寫入所
述USBKey。
13.一種USBKey,包括:USBKey接口、USBKey芯片以及存儲模塊,
其特征在于,
所述USBKey的存儲模塊中內置有標識數字證書以其對應的第一私鑰,
以供客戶端根據所述標識數字證書以及對應的第一私鑰生成第一簽名證書請
求;
所述客戶端通過所述USBKey接口與USBKey連接。
14.根據權利要求13所述的USBKey,其特征在于,
所述USBKey芯片根據客戶端的請求生成第三私鑰和對應的第三公鑰,
以供客戶端根據所述第三私鑰和第三公鑰生成數字證書請求;以供客戶端根
據所述標識數字證書以及對應的第一私鑰,簽名所述數字證書請求生成所述
第一簽名證書請求。
15.根據權利要求13所述的USBKey,其特征在于,
所述USBKey芯片根據客戶端的指令,將服務端在根據所述第一簽名證
書請求驗證所述USBKey合法時頒發的數字證書存儲在所述存儲模塊中。
16.根據權利要求13所述的USBKey,其特征在于,
所述標識數字證書是USBKey生產廠商或第三方CA頒發的。

說明書

USB Key、USB Key數字證書寫入方法和裝置

技術領域

本申請涉及信息安全領域,尤其涉及一種USBKey、USBKey數字證書
寫入方法和裝置。

背景技術

隨著互聯網技術的廣泛發展,信息安全問題尤為突出,USBKey應運而
生。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,
有一定的存儲空間,可以存儲用戶的私鑰和數字證書。數字證書由第三方權
威機構CA機構(CertificateAuthority,證書授權中心)發行,使用USBKey
設備的用戶通過數字證書來表明用戶的身份。

其中,將數字證書寫入USBKey的過程如下:

1.客戶端請求USBKey生成非對稱的密鑰對;

2.客戶端使用該非對稱的密鑰對生成CSR(CertificateSigningRequest,
證書請求文件),并發送給服務端;

3.服務端在校驗USBKey合法時,頒發數字證書;

4.客戶端將所述數字證書寫入USBKey,并將其與私鑰進行關聯。

上述步驟中,服務端通過USBKey的序列號校驗USBKey是否合法。
然而,USBKey的序列號是一個字符串,極易被偽造并提交到服務端,故難
以保證用戶的數字證書被寫入到合法的USBKey中。

針對序列號極易被仿造的問題,還可以在USBKey中內置一個外界無法
獲取到的共享密鑰對,由服務端存儲USBKey序列號和所述共享密鑰對的對
應關系。客戶端在生成CSR時,使用所述共享密鑰對的私鑰加密CSR,如果
服務端解密成功,則認為所述USBKey合法。

然而,在這樣的實現方式中,攻擊者可以自行生成共享密鑰對和CSR,
然后隨機生成的一個序列號,發送給服務端進行校驗,也難以保證用戶的數
字證書被寫入到合法的USBKey中。

發明內容

有鑒于此,本申請提供一種USBKey、USBKey數字證書寫入方法和裝
置。

具體地,本申請是通過如下技術方案實現的:

一種USBKey數字證書寫入方法,所述方法包括:

接收客戶端發送的第一簽名證書請求,所述第一簽名證書請求由客戶端
使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數字證書請求
而生成;

根據所述第一簽名證書請求校驗所述USBKey是否合法;

在校驗所述USBKey合法時,頒發數字證書,以供客戶端將所述數字證
書寫入所述USBKey。

進一步地,所述根據所述第一簽名證書請求校驗所述USBKey的合法性
包括:

校驗所述第一簽名證書請求;

如果校驗所述第一簽名證書請求成功,則校驗所述標識證書的合法性;

如果校驗所述標識證書合法,則校驗所述數字證書請求;

如果校驗所述數字證書請求成功,則確認所述USBKey合法。

進一步地,所述校驗所述第一簽名證書請求包括:

獲取所述第一簽名證書請求中攜帶的所述標識數字證書對應的第一公鑰;

使用所述第一公鑰校驗所述第一簽名證書請求。

進一步地,所述校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述標識證書的發行者;

查找所述發行者對應的子CA證書;

使用所述子CA證書中攜帶的第二公鑰校驗所述標識證書是否合法。

進一步地,所述校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述USBKey的序列號;

查看本設備上是否存儲有所述序列號與所述第一公鑰的對應關系;

如果是,則校驗所述標識證書合法。

一種USBKey數字證書寫入方法,所述方法包括:

使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數字證書
請求,以生成第一簽名證書請求;

將所述第一簽名證書請求發送給服務端,以供服務端校驗所述USBKey
是否合法;

將服務端在校驗所述USBKey合法時頒發的數字證書寫入所述USB
Key。

一種USBKey數字證書寫入裝置,所述裝置包括:

接收單元,接收客戶端發送的第一簽名證書請求,所述第一簽名證書請
求由客戶端使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數
字證書請求而生成;

校驗單元,根據所述第一簽名證書請求校驗所述USBKey是否合法;

頒發單元,在校驗所述USBKey合法時,頒發數字證書,以供客戶端將
所述數字證書寫入所述USBKey。

進一步地,所述校驗單元,具體校驗所述第一簽名證書請求;

在校驗所述第一簽名證書請求成功時,校驗所述標識證書的合法性;

在校驗所述標識證書合法時,校驗所述數字證書請求;

在校驗所述數字證書請求成功時,確認所述USBKey合法。

進一步地,所述校驗單元校驗所述第一簽名證書請求包括:獲取所述第
一簽名證書請求中攜帶的所述標識數字證書對應的第一公鑰;

使用所述第一公鑰校驗所述第一簽名證書請求。

進一步地,所述校驗單元校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述標識證書的發行者;

查找所述發行者對應的子CA證書;

使用所述子CA證書中攜帶的第二公鑰校驗所述標識證書是否合法。

進一步地,所述校驗單元校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述USBKey的序列號;

查看本設備上是否存儲有所述序列號與所述第一公鑰的對應關系;

在本設備上存儲有所述序列號與所述第一公鑰的對應關系時,確認校驗
所述標識證書合法。

一種USBKey數字證書寫入裝置,所述裝置包括:

簽名單元,使用USBKey內置的標識數字證書及其對應的第一私鑰簽名
數字證書請求,以生成第一簽名證書請求;

發送單元,將所述第一簽名證書請求發送給服務端,以供服務端校驗所
述USBKey是否合法;

寫入單元,將服務端在校驗所述USBKey合法時頒發的數字證書寫入所
述USBKey。

一種USBKey,包括:USBKey接口、USBKey芯片以及存儲模塊,

所述USBKey的存儲模塊中內置有標識數字證書以其對應的第一私鑰,
以供客戶端根據所述標識數字證書以及對應的第一私鑰生成第一簽名證書請
求;

所述客戶端通過所述USBKey接口與USBKey連接。

進一步地,所述USBKey芯片根據客戶端的請求生成第三私鑰和對應的
第三公鑰,以供客戶端根據所述第三私鑰和第三公鑰生成數字證書請求;以
供客戶端根據所述標識數字證書以及對應的第一私鑰,簽名所述數字證書請
求生成所述第一簽名證書請求。

進一步地,所述USBKey芯片根據客戶端的指令,將服務端在根據所述
第一簽名證書請求驗證所述USBKey合法時頒發的數字證書存儲在所述存
儲模塊中。

進一步地,所述標識數字證書是USBKey生產廠商或第三方CA頒發的。

由以上描述可以看出,本申請利用標準的USBKey證書寫入流程,為
USBKey預置標識證書,服務端在頒發數字證書時,通過校驗所述標識證書
的合法性來校驗USBKey的合法性,進而確保頒發的數字證書能夠寫入到合
法的USBKey中。

附圖說明

圖1是本申請一實施例中USBKey數字證書寫入方法的流程示意圖。

圖2是本申請另一實施例中USBKey數字證書寫入方法的流程示意圖。

圖3是本申請另一實施例中USBKey數字證書寫入方法的流程示意圖。

圖4是本申請一實施例中服務端的結構示意圖。

圖5是本申請一實施例中USBKey數字證書寫入裝置的結構示意圖。

圖6是本申請一實施例中客戶端的結構示意圖。

圖7是本申請另一實施例中USBKey數字證書寫入裝置的結構示意圖。

圖8是本申請一實施例中USBKey的結構示意圖。

具體實施方式

這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的
描述涉及附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的
要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所
有實施方式。相反,它們僅是與如所附權利要求書中所詳述的、本申請的一
些方面相一致的裝置和方法的例子。

在本申請使用的術語是僅僅出于描述特定實施例的目的,而非旨在限制
本申請。在本申請和所附權利要求書中所使用的單數形式的“一種”、“所
述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應
當理解,本文中使用的術語“和/或”是指并包含一個或多個相關聯的列出項
目的任何或所有可能組合。

應當理解,盡管在本申請可能采用術語第一、第二、第三等來描述各種
信息,但這些信息不應限于這些術語。這些術語僅用來將同一類型的信息彼
此區分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第
二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所
使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應
于確定”。

針對上述問題,本申請提供一種USBKey數字證書寫入方案,通過在
USBKey內預先存儲一張標識證書,在服務端驗證所述標識證書的合法性以
驗證所述USBKey的合法性。

下面結合具體的實施例來描述本申請的實現過程。

本申請提供一種USBKey數字證書寫入方法,分別應用在客戶端和服務
端上。請參考圖1,應用在客戶端的數字證書寫入方法包括以下步驟:

步驟101,使用USBKey內置的標識數字證書及其對應的第一私鑰簽名
數字證書請求,以生成第一簽名證書請求。

步驟102,將所述第一簽名證書請求發送給服務端,以供服務端校驗所
述USBKey是否合法。

步驟103,將服務端在校驗所述USBKey合法時頒發的數字證書寫入所
述USBKey。

請參考圖2,應用在服務端的數字證書寫入方法包括以下步驟:

步驟201,接收客戶端發送的第一簽名證書請求,所述第一簽名證書請
求由客戶端使用USBKey內置的標識數字證書及其對應的第一私鑰簽名數
字證書請求而生成。

步驟202,根據所述第一簽名證書請求校驗所述USBKey是否合法。

步驟203,在校驗所述USBKey合法時,頒發數字證書,以供客戶端將
所述數字證書寫入所述USBKey。

在本申請中,服務端在接收到客戶端發送的第一簽名證書請求后,可以
通過驗證USBKey標識證書的合法性來判斷USBKey的合法性。所述標識
證書通常是在所述USBKey售賣前寫入的,可以是USBKey的生產廠商寫
入的,也可以是第三方CA的服務在USBKey出廠售賣前寫入的,比如:銀
行在將USBKey售賣給用戶前在所述USBKey中寫入標識證書。具體地,
所述標識證書的寫入過程可以使用背景技術中描述的標準的USBKey證書
寫入流程:

1.在連接USBKey后,客戶端請求USBKey生成非對稱的密鑰對:第
一私鑰和第一公鑰。

2.客戶端根據所述第一公鑰和第一私鑰生成CSR,并發送給服務端。

3.服務端使用所述第一公鑰校驗所述CSR,如果校驗成功,則將標識
證書頒發給客戶端。

4.客戶端將所述標識證書寫入USBKey,并將所述標識證書與所述第
一私鑰關聯。

在這個過程中,由于是在售賣前向所述USBKey寫入標識證書,客戶端
和服務端可以使用內網通信,進而可以確保將合法的標識證書寫入到USB
Key中。

將標識證書寫入USBKey之后,就可以將所述USBKey售賣給用戶。
用戶在購買到所述USBKey之后,首次使用所述USBKey時,需要向CA
請求數字證書,然后將CA頒發的數字證書寫入USBKey中,以后在使用所
述USBKey時,就可以直接使用所述數字證書來證明自己是身份。當然,在
實際應用中也可以由USBKey售賣方協助用戶將其數字證書寫入USBKey
中。所述CA可以是獨立的CA服務器,也可以將CA功能集成到商家的服
務端上,本申請對此不作限制。以下以服務端集成CA功能模塊為例進行描
述。

請參考圖3,在獲取用戶數字證書的過程中,依據標準的USBKey證書
寫入流程,包括以下步驟:

步驟301,客戶端請求USBKey生成非對稱密鑰對。

為了進行區分,在本步驟中,將USBKey生成的非對稱密鑰對稱為第三
公鑰和第三私鑰。

步驟302,客戶端根據所述第三公鑰和第三私鑰生成用戶的數字證書請
求。

在本步驟中,使用所述第三私鑰簽名用戶提交申請的內容和所述第三公
鑰,以生成第三簽名。所述數字證書請求通常包括:用戶提交申請的內容、
第三公鑰以及所述第三簽名。其中,所述用戶提交申請的內容包括有用戶的
信息,比如:用戶名、密碼、Email地址等等。所述數字證書請求可以使用
PKCS10標準。

步驟303,客戶端使用USBKey內置的標識證書以及其對應的第一私鑰
簽名所述數字證書請求,以生成第一簽名證書請求。

在本步驟中,可以使用PKCS7標準簽名所述數字證書請求,生成的所述
第一簽名證書請求中攜帶有所述標識證書。

步驟304,客戶端將所述第一簽名證書請求發送給服務端。

步驟305,服務端接收客戶端發送的所述第一簽名證書請求。

步驟306,服務端校驗所述第一簽名證書請求。

本步驟中,服務端從所述第一簽名證書請求中攜帶的標識證書中獲取所
述標識證書對應的第一公鑰,然后使用所述第一公鑰校驗所述第一簽名證書
的簽名,如果校驗成功,則轉步驟307,如果校驗不成功,則結束流程。

步驟307,服務端校驗所述標識證書的合法性。

本步驟中,服務端從是標識證書中獲取所述標識證書的發行者。具體地,
以所述標識證書是USBKey生產廠商頒發的為例,所述標識證書的發行者為
所述USBKey生產廠商。服務端進而根據所述USBKey生產廠商查找對應
的子CA證書,即查找所述USBKey生產廠商的證書。具體地,可以在服務
端上預先存儲各個USBKey生產廠商的證書。如果根據標識證書的發行者沒
有查找到所述USBKey生產廠商的證書,則結束流程。如果根據所述標識證
書查找到所述USBKey生產廠商的證書,則從所述USBKey生產廠商的證
書中獲取USBKey生產廠商的公鑰,本申請中稱之為第二公鑰,然后使用所
述第二公鑰驗證所述標識證書是否合法。具體地,合法的標識證書會帶有
USBKey生產廠商簽名,所以可以使用USBKey生產廠商的公鑰,即所述第
二公鑰驗證所述標識證書的合法性,如果所述標識證書合法,則轉步驟308。
如果所述標識證書不合法,則結束流程。

在本申請的另一種實施方式中,也可以使用USBKey的序列號來驗證所
述標識證書的合法性。具體地,USBKey生產廠商可以將USBKey的序列號
存在所述標識證書中,比如將所述標識證書的主題設為USBKey的序列號。
然后將所述序列號和標識證書對應的第一公鑰的對應關系記錄下來,并讓服
務端預先存儲。在校驗標識證書的合法性時,服務端從所述標識證書中獲取
USBKey的序列號,然后查看本設備上是否存儲有所述序列號和第一公鑰的
對應關系,如果有,則確認所述標識證書合法,轉步驟308。如果沒有,則
結束流程。使用序列號來驗證標識證書的合法性,在USBKey生產廠商的私
鑰泄露時,攻擊者仍無法偽造序列號以及所述第一公鑰的對應關系,可以進
一步提高USBKey的安全性。

步驟308,服務端校驗所述數字證書請求。

本步驟中,服務端使用所述數字證書請求中攜帶的所述第三公鑰校驗所
述第三簽名,如果校驗成功,則確認所述USBKey合法,轉步驟309。如果
校驗失敗,則結束流程。

步驟309,服務端頒發數字證書。

步驟310,客戶端將所述數字證書寫入所述USBKey。

由以上描述可以看出,本申請利用標準的USBKey證書寫入流程,為
USBKey預置標識證書,服務端在頒發數字證書時,通過校驗所述標識證書
的合法性來校驗USBKey的合法性,進而確保頒發的數字證書能夠寫入到合
法的USBKey中。

與上述USBKey數字證書寫入方法相對應,在本申請另一實施例中,提
供一種USBKey數字證書寫入裝置400。請參考圖4和圖5,所述裝置400
應用在服務端上,包括有:接收單元401、校驗單元402以及頒發單元403。

其中,所述接收單元401,接收客戶端發送的第一簽名證書請求,所述
第一簽名證書請求由客戶端使用USBKey內置的標識數字證書及其對應的
第一私鑰簽名數字證書請求而生成。

所述校驗單元402,根據所述第一簽名證書請求校驗所述USBKey是否
合法。

所述頒發單元403,在校驗所述USBKey合法時,頒發數字證書,以供
客戶端將所述數字證書寫入所述USBKey。

進一步地,所述校驗單元402,具體校驗所述第一簽名證書請求;

在校驗所述第一簽名證書請求成功時,校驗所述標識證書的合法性;

在校驗所述標識證書合法時,校驗所述數字證書請求;

在校驗所述數字證書請求成功時,確認所述USBKey合法。

進一步地,所述校驗單元402校驗所述第一簽名證書請求包括:獲取所
述第一簽名證書請求中攜帶的所述標識數字證書對應的第一公鑰;

使用所述第一公鑰校驗所述第一簽名證書請求。

進一步地,所述校驗單元402校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述標識證書的發行者;

查找所述發行者對應的子CA證書;

使用所述子CA證書中攜帶的第二公鑰校驗所述標識證書是否合法。

進一步地,所述校驗單元402校驗所述標識證書的合法性包括:

從所述標識證書中獲取所述USBKey的序列號;

查看本設備上是否存儲有所述序列號與所述第一公鑰的對應關系;

在本設備上存儲有所述序列號與所述第一公鑰的對應關系時,確認校驗
所述標識證書合法。

在本申請另一實施例中,提供一種USBKey數字證書寫入裝置500。請
參考圖6和圖7,所述裝置應用在客戶端上,包括有:簽名單元501、發送單
元502以及寫入單元503。

其中,所述簽名單元501,使用USBKey內置的標識數字證書及其對應
的第一私鑰簽名數字證書請求,以生成第一簽名證書請求。

所述發送單元502,將所述第一簽名證書請求發送給服務端,以供服務
端校驗所述USBKey是否合法。

所述寫入單元503,將服務端在校驗所述USBKey合法時頒發的數字證
書寫入所述USBKey。

上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應
步驟的實現過程,在此不再贅述。

對于裝置實施例而言,由于其基本對應于方法實施例,所以相關之處參
見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,
其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作
為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,
或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或
者全部模塊來實現本公開方案的目的。本領域普通技術人員在不付出創造性
勞動的情況下,即可以理解并實施。

請參考圖8,本申請還提供一種USBKey。所述USBKey包括有:USB
Key接口、USBKey芯片以及存儲模塊,當然,所述USBKey內還可能包括
有硬件電路等。所述存儲模塊通常可以設置在USBKey芯片上,用于存儲各
種數字證書。

具體地,所述USBKey的存儲模塊中內置有標識數字證書以其對應的第
一私鑰,以供客戶端根據所述標識數字證書以及對應的第一私鑰生成第一簽
名證書請求;

所述客戶端通過所述USBKey接口與USBKey連接。

進一步地,所述USBKey芯片根據客戶端的請求生成第三私鑰和對應的
第三公鑰,以供客戶端根據所述第三私鑰和第三公鑰生成數字證書請求;以
供客戶端根據所述標識數字證書以及對應的第一私鑰,簽名所述數字證書請
求生成所述第一簽名證書請求。

進一步地,所述USBKey芯片根據客戶端的指令,將服務端在根據所述
第一簽名證書請求驗證所述USBKey合法時頒發的數字證書存儲在所述存
儲模塊中。

進一步地,所述標識數字證書是USBKey生產廠商或第三方CA頒發的。

所述USBKey的上述具體實現可以參照本申請方法實施例中的描述,在
此不再贅述。

以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本
申請的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在
本申請保護的范圍之內。

關 鍵 詞:
USBKEY 數字證書 寫入 方法 裝置
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:USBKEY、USBKEY數字證書寫入方法和裝置.pdf
鏈接地址:http://www.wwszu.club/p-6405425.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大