硬证书生成方法和系统、证书存储设备

本发明涉及数字证书技术领域，特别是涉及一种硬证书生成方法、一种硬 证书生成系统，以及一种证书存储设备。

目前，按照存储介质的不同，数字证书存储方式主要分为两种，一种以电 子文件的形式存储，称为软证书（文件证书），无需数字证书介质，可以在任何 电脑上进行操作，只需下载导入即可使用；另一种是证书存储在硬件安全介质 中，并且私钥不可以导出，称之为硬证书（介质证书）。由于硬件证书的安全级 别比软证书的安全级别高，因此，国内许多安全要求较高的应用系统都要求用 户使用硬证书。随着硬证书使用的广泛推广，CA（Certificate Authority，证书 授证中心）机构发放硬证书的效率也有着更高的要求。

当前，主要有两种发放硬证书的方式，一种是“即办即颁发”方式；另一 种是“提前预颁发”模式。

“即办即颁发”模式的处理方式是：用户到CA的受理点前台提交申请资料， 受理点前台人员检查用户资料，然后审核，审核通过后把用户资料送往CA签发， 证书信息与用户资料有着密切关系，最后把证书下载到硬件设备中。该方式的 缺陷主要有：

颁发速度慢，投入成本高；除了加密密钥在密钥管理中心预先产生外，所 有的操作的临时执行，特别是资料录入、介质初始化、签名密钥的产生等都是 临时产生，严重影响了颁发速度；为了保证服务质量，要么就是增加受理点， 要么就是增加受理人员，这在很大程度上增加了成本。

受理点前台的效率低；受理时，操作员需要打印密码信封、打印受理单， 收费等等，前台效率相当低。一旦前台办理业务量大时，经常会出现用户堆积 在前台，影响了服务质量，甚至可能会引起投诉。

目前已有不少CA机构推出远程下载证书，但此下载过程，要么是采用授权 号来控制权限，要么就是通过短信方式获得授权码方式，此种方式安全性能低。

“提前预颁发”模式的处理方式是：CA提前预颁发一批硬证书（匿名信息）， 证书信息与用户资料无关，用户到受理点前台申请证书时，前台人员就把预颁 发的硬证书发放给用户。该方式由于证书不包含用户信息，无法直接从证书挖 掘用户的有效信息，为应用系统带来不便；对于应用来说，匿名将会存在不可 预知的安全风险。

基于此，本发明提供一种硬证书生成方法和系统，以及一种证书存储设备， 能提高硬证书发放速度，安全风险低。

一种硬证书生成方法，包括如下步骤：

读取接入的证书存储设备中预存的CA系统签发的软证书；

发送证书申请信息，所述证书申请信息中包括所述软证书和用户输入的用 户资料；

接收CA系统返回的数字证书并植入所述证书存储设备，得到硬证书；其中， 所述数字证书为所述CA系统核对所述用户输入的用户资料与预存的用户资料， 并根据软证书通过用户的身份认证后，根据所述用户资料签发的数字证书。

一种硬证书生成方法，包括如下步骤：

接收用户端的证书申请信息，所述证书申请信息中包括证书存储设备中预 存的软证书和用户输入的用户资料；

核对所述用户输入的用户资料与预存的用户资料，并根据所述软证书对所 述用户进行身份认证；

若所述用户通过身份认证，则根据所述用户资料签发数字证书并返回给所 述用户端，供所述用户端生成硬证书。

一种证书存储设备，预存有CA系统签发的软证书，用于供用户向CA系统 申请硬证书。

一种硬证书生成系统，包括用户端，所述用户端包括：

软证书读取模块，用于读取接入的证书存储设备中预存的CA系统签发的软 证书；

申请信息发送模块，用于发送证书申请信息，所述证书申请信息中包括所 述软证书和用户输入的用户资料；

硬证书植入模块，用于接收CA系统返回的数字证书并植入所述证书存储设 备，生成硬证书；其中，所述数字证书为所述CA系统核对所述用户输入的用户 资料与预存的用户资料，并根据所述用户资料签发的数字证书。

一种硬证书生成系统，包括CA系统，所述CA系统包括：

申请信息接收模块，用于接收用户端的证书申请信息，所述证书申请信息 中包括证书存储设备中预存的软证书和用户输入的用户资料；

身份认证模块，用于核对所述用户输入的用户资料与预存的用户资料，并 根据所述软证书对所述用户进行身份认证；

数字证书生成模块，用于若所述用户通过身份认证，则根据所述用户资料 签发数字证书并返回给所述用户端，供所述用户端生成硬证书。

上述硬证书生成方法和系统，以及证书存储设备，证书存储设备中预存有 CA系统预签发的软证书，用户在收到证书存储设备后可向CA系统申请硬证书， CA系统通过证书存储设备中的软证书对用户进行身份认证，通过认证后则可根 据用户资料签发数字证书供用户端植入证书存储设备得到硬证书；本发明中证 书存储设备中存储的软证书由CA系统预签发，用户可自行下载数字证书得到硬 证书，一方面简化了证书发放程序，提高证书发放速度，另一方面以软证书作 为身份的校验凭证，硬证书的发放过程安全性能非常高。

图1为本发明硬证书生成方法在实施例一中的流程示意图。

图2为本发明硬证书生成方法在实施例二中的流程示意图。

图3为本发明硬证书生成方法在实施例三中的流程示意图。

图4为本发明硬证书生成系统在实施例五中的结构示意图。

图5为本发明硬证书生成系统在实施例六中的结构示意图。

下面结合实施例及附图对本发明作进一步详细说明，但本发明的实施方式 不限于此。

实施例一、

如图1所示，为本实施例中一种硬证书生成方法的流程示意图，本实施例 是以用户端的处理流程进行说明的，包括如下步骤：

S11、读取接入的证书存储设备中预存的CA系统签发的软证书；

S12、发送证书申请信息，所述证书申请信息中包括所述软证书和用户输入 的用户资料；

S13、接收CA系统返回的数字证书并植入所述证书存储设备，得到硬证书； 其中，所述数字证书为所述CA系统核对所述用户输入的用户资料与预存的用户 资料，并根据软证书通过用户的身份认证后，根据所述用户资料签发的数字证 书；

本实施例中，证书存储设备中预存有CA系统预签发的软证书，用户至服务 商申请硬证书，由服务商发放该证书存储设备，在收到证书存储设备后与用户 端连接，通过用户端向CA系统申请硬证书；用户在向CA系统申请硬证书时， 向CA系统发出证书申请信息，该证书申请信息中包括有软证书和用户输入的用 户资料，软证书作为用户的身份的校验凭证；

CA系统核对所述用户输入的用户资料与预存的用户资料，并通过软证书对 用户进行身份认证，可采用基于PKI技术的身份认证方式，其安全性较高；用 户若通过身份认证，则可根据用户资料签发数字证书返回给用户端，植入所述 证书存储设备中，最终将软证书转为硬证书，保留了硬证书该有的安全级别与 硬证书的原有特点。

本实施例中的软证书由CA系统预签发并预先植入在证书存储设备中，用户 可自行下载硬证书，一方面简化了证书发放程序，提高证书发放速度，另一方 面以软证书作为身份的校验凭证，硬证书的发放过程安全性能非常高；硬证书 中包含了有效的用户资料，降低了由于匿名用户对应用带来的安全风险，相对 于匿名用户来说，避免了在多个业务系统进行绑定的过程，从而降低了业务系 统维护的工作量。

在一较佳实施例中，所述软证书可为CA系统预签发的软证书，所述软证书 中携带有所述证书存储设备的设备序列号和所述CA系统预设的序列号；

所述CA系统根据软证书通过用户的身份认证的步骤为：所述CA系统通过 所述设备序列号和所述预设的序列号对所述用户进行身份认证。

本实施例中的软证书与用户信息无关，软证书信息里包括了证书存储设备 的设备序列号，以及CA系统预设的自定义规则的序列号，保证证书DN（证书 颁发者的可识别名）项都是唯一的，软证书用于身份认证，最终得到的硬证书 安全性能高。

如图2所示，为本实施例中一种硬证书生成方法的流程示意图，本实施例 是以CA系统的处理流程进行说明的，包括如下步骤：

S21、接收用户端的证书申请信息，所述证书申请信息中包括证书存储设备 中预存的软证书和用户输入的用户资料；

S22、核对所述用户输入的用户资料与预存的用户资料，并根据所述软证书 对所述用户进行身份认证；

S23、若所述用户通过身份认证，则根据所述用户资料签发数字证书并返回 给所述用户端，供所述用户端生成硬证书。

在一较佳实施例中，还可包括步骤：若所述用户无法通过身份认证，则返 回错误信息。

本实施例中，CA系统接收用户的证书申请信息，该证书申请信息中包括有 软证书和用户输入的用户资料；软证书预存在证书存储设备中，由CA系统预签 发，用户在收到证书存储设备后与用户端连接，用户通过用户端向CA系统申请 硬证书，软证书作为用户身份的校验凭证；CA系统核对所述用户输入的用户资 料与预存的用户资料，同时通过软证书对用户进行身份认证，基于PKI技术的 身份认证方式，其安全性较高；用户若通过身份认证，则可根据用户资料签发 数字证书后返回给用户端，供用户端植入证书存储介质，生成硬证书。

本实施例中的软证书由CA系统预签发并预先植入在证书存储设备中，用户 可自行下载硬证书，一方面简化了证书发放程序，提高证书发放速度，另一方 面以软证书作为身份的校验凭证，硬证书的发放过程安全性能非常高；硬证书 中包含了有效的用户资料，降低了由于匿名用户对应用带来的安全风险，相对 于匿名用户来说，避免了在多个业务系统进行绑定的过程，从而降低了业务系 统维护的工作量。

在一较佳实施例中，所述软证书中携带有所述证书存储设备的设备序列号 和所述CA系统预设的序列号；

所述根据所述软证书对所述用户进行身份认证的步骤为：通过所述设备序 列号和预设的序列号对所述用户进行身份认证；

本实施例中的软证书与用户信息无关，软证书信息里包括了证书存储设备 的设备序列号，以及CA系统预设的自定义规则的序列号，保证证书DN（证书 颁发者的可识别名）项都是唯一的，软证书用于身份认证，用户端生成的硬证 书安全性能非常高。

实施例三、

如图3所示，本实施例具体阐述了硬证书的生成和发放处理过程，包括如 下步骤：

S31、用户到服务商的受理前台申请硬证书；

S32、受理前台审核用户资料后，发放证书存储介质给用户，结束前台申请 工作；其中，该服务商提供的证书存储介质中预存有软证书，由证书存储介质 的硬件厂商在出厂时已植入，软证书由CA机构签发；

S33、用户将证书存储介质接入用户端，输入其个人资料，向CA机构发送 证书申请信息；其中证书申请信息中包括证书存储设备中预存的软证书和用户 输入的用户资料；

S34、CA机构接收证书申请信息，核对所述用户输入的用户资料与预存的 用户资料，并根据软证书对用户进行身份认证；

S35、用户通过身份认证，CA机构根据所述用户资料签发数字证书；

S36、用户下载数字证书并植入证书存储介质中，得到硬证书，结束证书申 请流程。

从上述流程可看出，本实施例的证书发放效率非常高，软证书的签发和植 入都已提前完成，服务商的前台受理工作压力大幅减少，只需进行对用户资料 审核后发放证书存储介质的工作即可。

实施例四

在本实施例中，提供了一种证书存储设备，该证书存储设备预存有CA系统 签发的软证书，用于供用户向CA系统申请硬证书；

其中，所述软证书中携带有设备序列号和所述CA系统预设的序列号，所述 设备序列号和预设的序列号用于所述CA系统在用户申请硬证书时对用户进行 身份认证。

相对于传统的证书存储设备，本实施例的证书存储设备中预存有CA系统签 发的软证书，能用于用户向CA系统申请硬证书时进行身份认证；相对于传统的 授权码认证方式，本实施例基于PKI技术的身份认证方式，以软证书作为身份 的校验凭证，安全性能非常高；同时，软证书的签发和植入都已提前完成，能 显著提高工作效率。

本实施例中的软证书与用户信息无关，软证书信息里包括了证书存储设备 的设备序列号，以及CA系统预设的自定义规则的序列号，保证证书DN（证书 颁发者的可识别名）项都是唯一的，设备序列号和预设的序列号用于身份认证， 使用户端最终生成的硬证书安全性能高。

实施例五

如图4所示，为本实施例中一种硬证书生成系统的结构示意图，以用户端 进行说明，包括：

软证书读取模块41，用于读取接入的证书存储设备中预存的CA系统签发 的软证书；

申请信息发送模块42，用于发送证书申请信息，所述证书申请信息中包括 所述软证书和用户输入的用户资料；

硬证书植入模块43，用于接收CA系统返回的数字证书并植入所述证书存 储设备，生成硬证书；其中，所述数字证书为所述CA机构核对所述用户输入的 用户资料与预存的用户资料，并根据软证书通过用户的身份认证后，根据所述 用户资料签发的数字证书。

在一较佳实施例中，所述软证书为CA系统预签发的软证书，所述软证书中 携带有所述证书存储设备的设备序列号和所述CA系统预设的序列号；所述CA 系统通过所述设备序列号和预设的序列号对所述用户进行身份认证。

实施例六

如图5所示，为本实施例中一种硬证书生成系统的结构示意图，以CA系统 进行说明，包括：

申请信息接收模块51，用于接收用户端的证书申请信息，所述证书申请信 息中包括证书存储设备中预存的软证书和用户输入的用户资料；

身份认证模块52，用于核对所述用户输入的用户资料与预存的用户资料， 并根据所述软证书对所述用户进行身份认证；

数字证书生成模块53，用于若所述用户通过身份认证，则根据所述用户资 料签发数字证书并返回给所述用户端，供所述用户端生成硬证书。

在一较佳实施例中，所述身份认证模块还用于若所述用户无法通过身份认 证，则返回错误信息。

在一较佳实施例中，所述软证书中携带有所述证书存储设备的设备序列号 和所述CA系统预设的序列号，所述数字证书生成模块还用于通过所述设备序列 号和预设的序列号对所述用户进行身份认证。

本发明硬证书生成方法和系统，以及证书存储设备，证书存储设备中预存 有CA系统预签发的软证书，用户在收到证书存储设备后可向CA系统申请硬证 书，CA系统通过证书存储设备中的软证书对用户进行身份认证，通过认证后则 可根据用户资料签发数字证书供用户端植入证书存储设备得到硬证书；本发明 中证书存储设备中存储的软证书由CA系统预签发，用户可自行下载数字证书得 到硬证书，一方面简化了证书发放程序，提高证书发放速度，另一方面以软证 书作为身份的校验凭证，硬证书的发放过程安全性能非常高。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细， 但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域 的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和 改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附 权利要求为准。