一种用于证书申请的方法、终端和系统

本发明涉及网络安全技术领域，具体地，涉及一种用于证书申请的方法、 终端和系统。

目前CA(certificate authority，认证机构)中心的证书申请和更新操作 一般都需要用户到柜台申请，或者通过网上系统填写申请，由系统管理员审 核通过以后，再以自助方式或者管理员来完成证书的制作。证书申请和更新 的整个过程都需要用户的参与，此外可能还需要用户安装驱动、安装管理工 具、进行相应配置等等，对于不熟悉CA应用的用户而言非常麻烦。

本发明的目的是提供一种用于证书申请的方法、终端和系统，用于解决 现有技术中证书申请及证书更新的流程繁琐的问题。

为了实现上述目的，本发明提供了一种用于证书申请的方法，该方法包 括：终端从加密认证设备中获取用户身份信息，其中，所述加密认证设备被 配置为存储有用户身份信息；终端根据所述用户身份信息生成证书请求文件 及该证书请求文件对应的业务序号；终端将所述业务序号和所述证书请求文 件发送给证书注册机构的RA服务器进行审核；以及在RA服务器审核通过 后，终端从所述RA服务器中下载证书，并将下载的证书安装至所述加密认 证设备中。

优选地，所述加密认证设备包括U盾以及具有U盾功能的可穿戴设备 和税盘设备。

优选地，所述终端根据所述用户身份信息生成证书请求文件及该证书请 求文件对应的业务序号，包括：终端在所述加密认证设备中生成签名密钥对， 并结合所述签名密钥对和所述用户身份信息生成证书请求文件及该证书请 求文件对应的业务序号。

优选地，在安装至所述加密认证设备中的证书需要更新时，该方法还包 括：终端从加密认证设备中获取原证书；终端根据所述用户身份信息生成证 书更新请求文件及该证书更新请求文件对应的业务序号；终端将所述证书更 新请求文件、该证书更新请求文件对应的业务序号及原证书序号发送给RA 服务器进行审核；以及在RA服务器审核通过后，终端从所述RA服务器中 下载新证书，并将下载的新证书安装至所述加密认证设备中，并删除所述原 证书。

优选地，该方法还包括：终端采用原证书对所述证书请求文件、该证书 更新请求文件对应的业务序号和原证书序号中的任意一者或多者签名，生成 签名信息，并将所述证书更新请求文件、该证书更新请求文件对应的业务序 号及原证书序号一起发送给RA服务器审核。

本发明还提供了一种用于证书申请的终端，该终端包括：获取单元，用 于从加密认证设备中获取用户身份信息，其中，所述加密认证设备被配置为 存储有用户身份信息；生成单元，用于根据所述用户身份信息生成证书请求 文件及该证书请求文件对应的业务序号；发送单元，用于将所述业务序号和 所述证书请求文件发送给证书注册机构的RA服务器进行审核；以及下载单 元，用于在RA服务器审核通过后，从所述RA服务器中下载证书，并将下 载的证书安装至所述加密认证设备中。

优选地，所述加密认证设备包括U盾以及具有U盾功能的可穿戴设备 和税盘设备。

优选地，所述生成单元用于根据所述用户身份信息生成证书请求文件及 该证书请求文件对应的业务序号包括：所述生成单元用于先在所述加密认证 设备中生成签名密钥对，再结合所述签名密钥对和所述用户身份信息生成证 书更新请求文件及该证书更新请求文件对应的业务序号。

优选地，在安装至所述加密认证设备中的证书需要更新时，所述获取单 元、生成单元、发送单元及下载单元，还用于执行以下操作：所述获取单元， 还用于从加密认证设备中获取原证书；所述生成单元，还用于根据所述用户 身份信息生成证书更新请求文件及该证书更新请求文件对应的业务序号；所 述发送单元，还用于将所述证书更新请求文件、该证书更新请求文件对应的 业务序号和原证书序号发送给RA服务器进行审核；以及所述下载单元，还 用于在RA服务器审核通过后，从所述RA服务器中下载新证书，并将下载 的新证书安装至所述加密认证设备中，并删除所述原证书。

本发明还提供了一种用于证书申请的系统，该系统包括：根据上述所述 的终端；加密认证设备，用于存储用户身份信息和证书；以及RA服务器， 用于对所述终端发送的数据进行审核，还用于向所述终端提供证书。

通过上述技术方案，本发明的技术效果是：本发明在通过可靠渠道获取 确切用户身份信息和用户不参与的情况下，实现证书的自动申请和更新，使 证书申请和证书更新对于用户透明化，在简化用户操作的同时还提供了相当 的安全措施，有利于证书的应用推广。

本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与 下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在 附图中：

图1是本发明实施例中的用于证书申请的方法的流程示意图；

图2是本发明实施例中的用于证书更新的方法的流程示意图；

图3是本发明实施例中的用于证书申请的终端的结构示意图。

附图标记说明

1 获取单元 2 生成单元

3 发送单元 4 下载单元

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是， 此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发 明。

本发明的实施例给出了一种用于证书申请的方法，如图1所示，该方法 包括以下步骤：

步骤S11，终端从加密认证设备中获取用户身份信息。

其中，所述加密认证设备被配置为存储有用户身份信息。

本实施例的加密认证设备作为终端用户数字证书和私钥的存储和密码 计算设备，其中较为典型的一种加密认证设备是一般称为智能密码钥匙或者 U盾的UKEY。随着互联网、电子政务、电子商务的发展，UKEY作为网络 用户身份识别和数字签名、数据加密、数据保护的电子钥匙，正越来越被用 户所认识和使用。UKEY的核心是密码芯片，内置国密局批准的国密算法， 具有严格权限管理机制，可保证硬件本身的安全性；UKEY中含有的高安全 性操作系统实现对内资源的安全管理，该操作系统提供了内部认证、外部认 证、口令校验、安全报文、杂凑计算、加解密、数字签名、签名签证等功能。 UKEY一般可支持多个证书容器，每个证书容器含签名证书和加密证书各一 张。

本实施例中，所述加密认证设备包括UKEY以及具有UKEY功能的专 用设备，比如集成了UKEY功能的可穿戴设备(如智能手环、智能手表)和 税盘设备(如金税盘)等。用户真实的身份信息存储在加密认证设备中，以 便后续步骤中终端可以安全自动地获取用户身份信息，在用户不参与操作过 程的情况下，自动给用户申请和更新证书，简化用户证书的申请和更新过程， 方便用户的使用。

步骤S12，终端根据所述用户身份信息生成证书请求文件及该证书请求 文件对应的业务序号。

终端启动后，首先检查加密认证设备是否已申请过证书，若未申请，则 开始证书申请的流程。在证书申请的开始时，终端检查是否经过了专用业务 的初始化，且含有用户身份信息，若未经初始化，则先对加密认证设备进行 初始化，以保证加密设备含有用户身份信息。确定加密认证设备含有用户身 份信息后，终端根据所述用户身份信息生成针对证书申请的证书请求文件及 该证书请求文件对应的业务序号。

这里，所述终端根据所述用户身份信息生成证书请求文件及该证书请求 文件对应的业务序号，具体包括：终端获取用户身份信息，并在加密认证设 备中生成证书容器A及签名密钥对，并结合所述签名密钥对和所述用户身份 信息生成证书请求文件及该证书请求文件对应的业务序号。其中，所述证书 请求文件为PKCS10证书请求文件，而PKCS(The Public-Key Cryptography Standards，公钥密码学标准)是由美国RSA数据安全公司及其合作伙伴制 定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、 扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。

步骤S13，终端将所述业务序号和所述证书请求文件发送给证书注册机 构的RA(Registry Authority，注册机构)服务器进行审核。

RA服务器是数字证书注册机构的专用服务器，其功能是CA的证书发 放、管理的功能的延伸。RA服务器主要负责证书申请者的信息录入、审核 以及证书发放等工作(安全审计)。同时，对发放的证书完成相应的管理功能 (安全管理)。

本实施例中，RA服务器提供有申请和更新的服务接口，RA服务器登 记终端发送的业务序号和证书请求文件，并向终端程序返回申请序号。RA 管理员登录RA服务器检查并核准或者拒绝终端的证书申请请求。终端可以 通过申请序号检查申请处理状态，如果未处理则一段时间间隔后继续检查； 如果已经审核通过，则转到下一步骤；如果未通过则退出。从而，申请操作 和结果确认采用了异步方式。

另外，本实施例不改变RA服务器审核申请请求的流程，保证了申请的 审核的安全性。

步骤S14，在RA服务器审核通过后，终端从所述RA服务器中下载证 书，并将下载的证书安装至所述加密认证设备中。

具体地，终端通过申请序号从所述RA服务器中下载证书，并将证书安 装至所述加密认证设备的证书容器A中。至此，证书安装成功。

在证书安装成功后，通常会涉及证书更新的问题，因此本实施例进一步 提出了用于证书更新的方法，如图2所示，具体包括以下步骤：

步骤S21，终端从加密认证设备中获取原证书。

本实施例中，若加密认证设备中未单独存储用户身份信息，还可在获取 原证书后，通过解析原证书来获取用户身份信息。

另外，执行该步骤时，首先要检查加密认证设备中已有的原证书是否因 将要到期而需要更新。

步骤S22，终端根据所述用户身份信息生成证书更新请求文件及该证书 更新请求文件对应的业务序号。

其中，与步骤S12相一致，所述终端根据所述用户身份信息生成证书更 新请求文件及该证书更新请求文件对应的业务序号，包括：终端在所述加密 认证设备中生成证书容器B和签名密钥对，并结合所述签名密钥对和所述用 户身份信息生成证书更新请求文件及该证书更新请求文件对应的业务序号。

步骤S23，终端将所述证书更新请求文件、该证书更新请求文件对应的 业务序号及原证书序号发送给RA服务器进行审核。

进一步地，终端还可以采用原证书对所述证书请求文件、该证书更新请 求文件对应的业务序号和原证书序号中的任意一者或多者签名，生成签名信 息，并将所述证书更新请求文件、该证书更新请求文件对应的业务序号及原 证书序号一起发送给RA服务器审核。如此，在证书更新需要发送给RA服 务器的数据中采用了原证书的签名，而获取的签名信息具有很好的安全性。

RA服务器提供有申请和更新的服务接口，RA服务器收到终端发送的 数据后，验证签名信息，并保存业务序号、原证书序号、签名信息和证书更 新请求文件，并向终端反馈更新申请序号。RA服务器的功能与上述步骤S13 中一致，在此主要是检查并审查证书更新请求文件，可核准或者拒绝该证书 更新请求。

另外，本实施例不改变RA服务器审核证书更新请求的流程，保证了申 请的审核的安全性。

步骤S24，在检测到RA服务器审核通过后，终端从所述RA服务器中 下载新证书，并将下载的新证书安装至所述加密认证设备中，并删除所述原 证书。

具体地，终端利用更新申请序号从RA服务器下载新证书，并安装到加 密认证设备的证书容器B中，同时删除证书容器A，更新成功。

基于与上述用于证书申请的方法相同的发明思路，本实施例还提供一种 用于证书申请的终端和系统，其中，如图3所示，所述终端包括：获取单元 1，用于从加密认证设备中获取用户身份信息，其中，所述加密认证设备被 配置为存储有用户身份信息；生成单元2，用于根据所述用户身份信息生成 证书请求文件及该证书请求文件对应的业务序号；发送单元3，用于将所述 业务序号和所述证书请求文件发送给证书注册机构的RA服务器进行审核； 以及下载单元4，用于在RA服务器审核通过后，从所述RA服务器中下载 证书，并将下载的证书安装至所述加密认证设备中。

其中，所述生成单元2用于根据所述用户身份信息生成证书请求文件及 该证书请求文件对应的业务序号包括：所述生成单元2用于先在所述加密认 证设备中生成签名密钥对，再结合所述签名密钥对和所述用户身份信息生成 证书更新请求文件及该证书更新请求文件对应的业务序号。

优选地，在安装至所述加密认证设备中的证书需要更新时，所述获取单 元1、生成单元2、发送单元3及下载单元4，还用于执行以下操作：所述获 取单元1，还用于从加密认证设备中获取原证书；所述生成单元2，还用于 根据所述用户身份信息生成证书更新请求文件及该证书更新请求文件对应 的业务序号；所述发送单元3，还用于将所述证书更新请求文件、该证书更 新请求文件对应的业务序号和原证书序号发送给RA服务器进行审核；以及 所述下载单元4，还用于在RA服务器审核通过后，从所述RA服务器中下 载新证书，并将下载的新证书安装至所述加密认证设备中，并删除所述原证 书。

进一步地，本实施例还提供了一种用于证书申请的系统，该系统包括： 上述的终端；加密认证设备，用于存储用户身份信息和证书；以及RA服务 器，用于对所述终端发送的数据进行审核，还用于向所述终端提供证书。其 中，所述终端发送的数据是指证书申请中终端向RA服务器发送的证书请求 文件和业务序号等，以及在证书更新中终端向RA服务器发送的证书更新请 求文件、该证书更新请求文件对应的业务序、原证书序号、签名信息等。

需说明的是，用于证书申请的终端及系统所对应的功能单元和部件的具 体应用与上述用于证书申请的方法的相关步骤相对应，在此不再赘述。

综上所述，本发明的实施例提供了一种简单的证书发放模式，在可以自 动获取到用户真实信息的情况下，使证书的申请和更新对用户透明，方便用 户对于证书的使用。另外，在某些应用领域存在大规模的加密认证设备的用 户，已经具有获取数字证书服务的授权，该发明可以使这些用户简单快速 地得到证书服务，有利于该模式下的证书应用推广。因此，本发明对于证书 申请和证书更新，在简化用户操作的同时还提供了相当的安全措施，保证了 安全性。

这里，应当理解，流程图和/或框图的每个方框以及流程图和/或框图中 各方框的组合，都可以由计算机可读程序指令实现。这些计算机可读程序指 令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理 器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处 理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中 规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可 读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以 特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其 包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方 面的指令。也可以把计算机可读程序指令加载到计算机、其它可编程数据处 理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设 备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、 其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中 的一个或多个方框中规定的功能/动作。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限 于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明 的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特 征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必 要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其 不违背本发明的思想，其同样应当视为本发明所公开的内容。