智能密码钥匙的持有者通常需由如下步骤获得合法的数字证书:首先向数字证书认证中心提出申请,把用户身份信息和智能密钥设备的硬件信息发到CA;CA断定申请者的身份后,就给该申请者分配一个公钥,然后CA绑定此公钥和申请者的身份信息及智能密钥设备的硬件信息,并为之签字形成数字证书,之后将该数字证书下发到申请者持有的智能密码钥匙中。现有一种制证的方法、装置及系统,实现自动地为智能密码钥匙下载数字证书,从而简化流程,提高工作效率。
本地安全终端含本地设备和多个智能密码钥匙,可直接插在本地设备上的多个USB接口上,也可通过USB HUB与本地设备连接;且本地设备通过安全中继从安全终端中向上述多个智能密码钥匙中下载数字证书。本地设备与安全中继预先约定双方互为信任方,并将本地设备发送的任意请求都转发给安全终端。安全中继可以视为一个通信通道,主要用于实现本地设备与安全终端之间的数据通信。
本地设备验证智能密码钥匙的方法包括但不限于以下方法:
·本地设备将内部存储的PIN码发送给智能密码钥匙,智能密码钥匙比较接收到的PIN码与自身内置的PIN码是否一致;若一致,则验证成功;若不一致,则验证失败。
·本地设备用内置的算法对智能密码钥匙的硬件序列号进行计算,得到PIN码并发送给智能密码钥匙,且智能密码钥匙用内置的算法对硬件序列号进行计算得到PIN码,再比较计算得到的PIN码与接收到的PIN码是不是一样;若一样,那么验证成功;若不同,则验证失败。
空闲密钥对指的是没有数字证书与其匹配的密钥对。本地设备查找智能密码钥匙中是否存在空闲密钥对的具体步骤为:本地设备从智能密码钥匙中查找密钥对,然后判断智能密码钥匙中是否有数字证书与查找得到的密钥对相匹配。
智能密码钥匙中可以存在多个密钥对,相应地,也可存在多个与所述密钥对相匹配的证书,证书之间不相互覆盖。
上述预先设定的规则是:本地设备先读取智能密码钥匙中空闲密钥对的公钥信息,再生成一个含有密钥对中的公钥信息、智能密码钥匙的硬件序列号及证书的用途信息的数据包,并将该数据包发给智能密码钥匙,智能密码钥匙用其中的空闲密钥对中的私钥对所述数据包签名,并将对数据包签名后的签名值发送给本地设备,本地设备再将数据包、签名算法标识及签名后的签名值组合成一个PKCS#10请求数据包。
PKCS#10请求数据包中包含三部分内容:数据包、用空闲密钥对中的私钥对数据包签名后的签名值以及签名算法标识;数据包包括密钥对中的公钥信息、智能密码钥匙的硬件序列号及证书的用途信息等信息;在本发明实施例中的PKCS#10请求数据包不包含用户信息。
