專利名稱:一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)業(yè)務(wù)、信息安全技術(shù)領(lǐng)域,尤其涉及一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法、系統(tǒng)和設(shè)備。
背景技術(shù):
在現(xiàn)有的公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)技術(shù)方案中,證書認(rèn)證機(jī)構(gòu)(CA, Certification Authority)往往與固定的一個(gè)或幾個(gè)業(yè)務(wù)應(yīng)用綁定,CA為用戶頒發(fā)相應(yīng)的證書,該證書中包括與上述業(yè)務(wù)應(yīng)用相對(duì)應(yīng)的用戶身份、公鑰和私鑰。目前,已經(jīng)建設(shè)的CA有上百家,例如,作為第三方運(yùn)營(yíng)的北京CA、天威誠(chéng)信、CFCA等,自行建設(shè)以 供特定系統(tǒng)使用的工行CA、建行CA等。上述的各種CA在給用戶頒發(fā)數(shù)字證書時(shí),通常是將CA為用戶所頒發(fā)的數(shù)字證書存儲(chǔ)在USB-Key ( 一種具有USB接口的硬件設(shè)備)或智能卡中,同時(shí)將數(shù)字證書中公鑰所對(duì)應(yīng)的私鑰也保存在USB-Key或智能卡中,然后將上述USB-Key或智能卡交由用戶保管。當(dāng)用戶需要訪問相應(yīng)的業(yè)務(wù)應(yīng)用時(shí),需要將與該業(yè)務(wù)應(yīng)用相對(duì)應(yīng)的USB-Key或智能卡與相應(yīng)的用戶終端連接,并使用USB-Key或智能卡中所存儲(chǔ)的數(shù)字證書中的私鑰對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名,并在服務(wù)器端對(duì)數(shù)字簽名進(jìn)行驗(yàn)證,以實(shí)現(xiàn)用戶對(duì)對(duì)該交易數(shù)據(jù)的驗(yàn)證確認(rèn)或認(rèn)可。在傳統(tǒng)的PKI解決方案中,當(dāng)用戶需要在業(yè)務(wù)應(yīng)用中對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),通常是通過調(diào)用客戶端操作系統(tǒng)的應(yīng)用程序接口(API, Application ProgramInterface)來實(shí)現(xiàn)的,最為典型的實(shí)現(xiàn)方式是客戶端為Windows系列操作系統(tǒng),調(diào)用該系統(tǒng)所提供的CryptoAPI來實(shí)現(xiàn)。在Windows環(huán)境下,實(shí)現(xiàn)CryptoAPI的軟件或軟硬件模塊稱為調(diào)用密碼服務(wù)提供者(CSP)組件,因此在Windows環(huán)境下可認(rèn)為是客戶端調(diào)用CSP的方式來實(shí)現(xiàn)。圖I是現(xiàn)有技術(shù)中用戶進(jìn)行數(shù)字簽名的流程示意圖。如圖I所示,該流程包括步驟101,應(yīng)用服務(wù)器將待簽數(shù)據(jù)傳輸給客戶端/瀏覽器。步驟102,客戶端/瀏覽器調(diào)用Windows CSP組件,通過Windows CSP組件將待簽數(shù)據(jù)發(fā)送給USB-Key。步驟103,USB-Key使用其存儲(chǔ)的私鑰對(duì)待簽數(shù)據(jù)進(jìn)行簽名以得到簽名數(shù)據(jù),并將簽名數(shù)據(jù)發(fā)送給Windows CSP組件。步驟104,Windows CSP組件將接收到的簽名數(shù)據(jù)通過客戶端/瀏覽器發(fā)送給應(yīng)用服務(wù)器。步驟105,應(yīng)用服務(wù)器接收到簽名數(shù)據(jù)后,從CA處獲取該用戶的數(shù)字證書,并根據(jù)該數(shù)字證書對(duì)所接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證。在本步驟中,若驗(yàn)證通過,則認(rèn)為上述待簽數(shù)據(jù)得到了用戶的確認(rèn);若驗(yàn)證未通過,則應(yīng)認(rèn)為上述待簽數(shù)據(jù)未得到用戶的確認(rèn)。
在現(xiàn)有技術(shù)中,通過上述的步驟101 105即可實(shí)現(xiàn)用戶對(duì)待簽數(shù)據(jù)的數(shù)字簽名。然而,雖然現(xiàn)有技術(shù)中的數(shù)字簽名方法可以解決交易安全的問題,但上述實(shí)現(xiàn)數(shù)字簽名的方法中還存在如下所述的一些缺陷或不足I、用戶攜帶不便,且成本較高。在上述的數(shù)字簽名的方法中,一種業(yè)務(wù)應(yīng)用通常只使用某一家CA的數(shù)字證書,所以USB-Key中一般僅存儲(chǔ)一個(gè)私鑰,該私鑰只對(duì)應(yīng)于某一種或某幾種業(yè)務(wù)應(yīng)用,因此一種USB-Key僅能適用于一種或某幾種特定的業(yè)務(wù)應(yīng)用,而并不能用于其它的業(yè)務(wù)應(yīng)用,因而導(dǎo)致各種業(yè)務(wù)應(yīng)用的USB-Key之間并不能通用。用戶如果要想使用某一種業(yè)務(wù)應(yīng)用,就必須購(gòu)買與該業(yè)務(wù)應(yīng)用相對(duì)應(yīng)的USB-Key ;而且當(dāng)用戶需要使用多種業(yè)務(wù)應(yīng)用時(shí),還需要隨身攜帶多個(gè)USB-Key,不僅使用不便,而且還需要承擔(dān)額外的使用成本。2、具有平臺(tái)依賴性,只能用于Windows環(huán)境。 由于上述實(shí)現(xiàn)數(shù)字簽名的方法必須依賴于Windows系統(tǒng)的CSP組件,因此只能適用于Windows系列的平臺(tái),而無法適用于其他的操作系統(tǒng)。3、終端適應(yīng)性差。由于USB-Key需要通過USB插口與用戶終端連接,因此用戶所使用的用戶終端上必須具備USB插口,而不具備USB插口的其他設(shè)備(例如,手機(jī)、Pad等)則無法使用,因此終端適應(yīng)性差。4、需安裝特定的客戶端程序。由于各種USB-Key之間并不通用,因此對(duì)于不同的USB-Key,需要在用戶終端上安裝不同的客戶端程序,從而要求用戶具有較高的操作水平,增加了用戶的操作復(fù)雜度,而且還存在各種客戶端程序的版本適配的問題,經(jīng)常出現(xiàn)安裝不成功導(dǎo)致無法使用USB-Key的情形。在當(dāng)今的移動(dòng)互聯(lián)網(wǎng)時(shí)代,用戶終端和業(yè)務(wù)應(yīng)用的種類越來越多,各種業(yè)務(wù)應(yīng)用對(duì)安全的要求也越來越強(qiáng),而現(xiàn)有技術(shù)中實(shí)現(xiàn)數(shù)字簽名的方法存在如上所述的不足之處,因此現(xiàn)有技術(shù)中通過傳統(tǒng)PKI實(shí)現(xiàn)數(shù)字簽名的方法已經(jīng)無法滿足用戶的需求。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供了一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法、系統(tǒng)和設(shè)備,從而大大方便了用戶對(duì)多個(gè)數(shù)字證書的管理和使用,并降低了用戶的使用成本。本發(fā)明采用的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法,該方法包括A、在移動(dòng)簽名服務(wù)平臺(tái)MSSP中設(shè)置一個(gè)包括多條CA信息的CA映射表;所述CA息中包括CA標(biāo)識(shí)、CA編號(hào)和CA名稱;B、當(dāng)證書中心根據(jù)用戶的證書申請(qǐng)請(qǐng)求向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求時(shí),MSSP根據(jù)證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,向與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,以指示所述移動(dòng)簽名裝置存儲(chǔ)CA信息、生成并存儲(chǔ)公私密鑰對(duì)以及向證書中心發(fā)送證書請(qǐng)求,并將證書中心根據(jù)證書請(qǐng)求生成的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置;C、當(dāng)需要用戶對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),MSSP根據(jù)應(yīng)用服務(wù)器發(fā)送的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將所述CA信息和應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將移動(dòng)簽名裝置返回的簽名數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證。一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng),該系統(tǒng)包括證書中心、移動(dòng)簽名服務(wù)平臺(tái)MSSP、移動(dòng)終端中的移動(dòng)簽名裝置和至少一個(gè)應(yīng)用服務(wù)器;其中,所述應(yīng)用服務(wù)器,用于將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP,并接收MSSP發(fā)送的簽名數(shù)據(jù);還用于根據(jù)從證書中心獲得的數(shù)字證書對(duì)所接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證;所述證書中心,用于根據(jù)接收到的證書申請(qǐng)請(qǐng)求向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求;還用于根據(jù)接收到的證書請(qǐng)求為用戶簽發(fā)數(shù)字證書,并將數(shù)字證書發(fā)送給MSSP和相應(yīng)的應(yīng)用服務(wù)器;
所述MSSP,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表;還用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,根據(jù)CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令;將接收到的證書請(qǐng)求發(fā)送給證書中心;將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置;還用于根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將待簽數(shù)據(jù)和CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置;將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器;所述移動(dòng)終端中的移動(dòng)簽名裝置,用于根據(jù)激活指令存儲(chǔ)相應(yīng)的CA信息,生成并存儲(chǔ)公私密鑰對(duì);生成證書請(qǐng)求,將證書請(qǐng)求和所述激活指令中攜帶的CA信息發(fā)送給MSSP ;存儲(chǔ)所接收到的與所述CA信息相對(duì)應(yīng)的證書信息文件;還用于根據(jù)所存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給MSSP。一種移動(dòng)簽名服務(wù)平臺(tái),該移動(dòng)簽名服務(wù)平臺(tái)包括存儲(chǔ)模塊、查詢模塊、轉(zhuǎn)換模塊和轉(zhuǎn)發(fā)模塊;所述存儲(chǔ)模塊,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表;所述查詢模塊,用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求或CA標(biāo)識(shí)查詢所述存儲(chǔ)模塊中存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,將所述CA信息發(fā)送給轉(zhuǎn)發(fā)模塊;所述轉(zhuǎn)換模塊,用于將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給轉(zhuǎn)發(fā)模塊;所述轉(zhuǎn)發(fā)模塊,用于根據(jù)所接收到的CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,將接收到的證書請(qǐng)求發(fā)送給證書中心,并將證書信息文件發(fā)送給所述移動(dòng)簽名裝置;還用于將待簽數(shù)據(jù)和相應(yīng)的CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。一種移動(dòng)簽名裝直,該移動(dòng)簽名裝直包括存儲(chǔ)模塊、接收處理模塊、密鑰生成模塊、證書請(qǐng)求模塊、簽名模塊和發(fā)送模塊;所述存儲(chǔ)模塊,用于存儲(chǔ)CA信息和與所述CA信息相對(duì)應(yīng)的公私密鑰對(duì)和證書信息文件;所述接收處理模塊,用于將接收到的激活指令中的CA信息發(fā)送給所述存儲(chǔ)模塊和發(fā)送模塊,并根據(jù)所述激活指令向所述密鑰生成模塊發(fā)送生成指令;將接收到的證書信息文件發(fā)送給所述存儲(chǔ)模塊;將接收到的待簽數(shù)據(jù)發(fā)送給所述簽名模塊;所述密鑰生成模塊,用于根據(jù)生成指令生成公私密鑰對(duì),并將所生成的公私密鑰對(duì)發(fā)送給存儲(chǔ)模塊和請(qǐng)求模塊;所述證書請(qǐng)求模塊,用于生成證書請(qǐng)求,并將所述證書請(qǐng)求發(fā)送給所述發(fā)送模塊;所述簽名模塊,用于根據(jù)所述存儲(chǔ)模塊中存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給發(fā)送模塊;所述發(fā)送模塊,用于將證書請(qǐng)求和相應(yīng)的CA信息發(fā)送給移動(dòng)簽名服務(wù)平臺(tái);還用于將所述簽名數(shù)據(jù)發(fā)送給所述移動(dòng)簽名服務(wù)平臺(tái)。一種移動(dòng)終端,該移動(dòng)終端中包括如上所述的移動(dòng)簽名裝置。 由上述技術(shù)方案可見,由于本發(fā)明在MSSP設(shè)置了一個(gè)包括多條CA信息的CA映射表,因此MSSP可根據(jù)用戶的證書申請(qǐng)請(qǐng)求和所述CA映射表,指示相應(yīng)移動(dòng)終端中的移動(dòng)簽名裝置存儲(chǔ)相應(yīng)的CA信息、生成并存儲(chǔ)公私密鑰對(duì),然后將相應(yīng)的CA為該用戶所簽發(fā)的證書轉(zhuǎn)換成證書信息文件存儲(chǔ)在移動(dòng)簽名裝置,從而為用戶申請(qǐng)一個(gè)數(shù)字證書;還可將應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給移動(dòng)簽名裝置進(jìn)行數(shù)字簽名,并將簽名數(shù)據(jù)返回給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證,以完成用戶的數(shù)字簽名。通過使用本發(fā)明的技術(shù)方案,可以在移動(dòng)簽名裝置中存儲(chǔ)與多個(gè)應(yīng)用相對(duì)應(yīng)的多個(gè)數(shù)字證書的信息(例如,CA信息、公私密鑰對(duì)等),使得用戶可以在一個(gè)移動(dòng)終端中的移動(dòng)簽名裝置中存儲(chǔ)并管理多個(gè)數(shù)字證書的信息,用戶只需持有該移動(dòng)簽名裝置即可對(duì)多種業(yè)務(wù)應(yīng)用進(jìn)行交易數(shù)據(jù)的數(shù)字簽名,而無需攜帶多個(gè)USB-Key,因此大大方便了用戶的使用,并降低了用戶的使用成本,而且還有效地利用了帶寬資源,節(jié)省了移動(dòng)簽名裝置中寶貴的存儲(chǔ)空間,從而可以存儲(chǔ)更多的數(shù)字證書的信息。
圖I是現(xiàn)有技術(shù)中用戶進(jìn)行數(shù)字簽名的流程示意圖。圖2是本發(fā)明中基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法的流程圖。圖3為本發(fā)明中步驟202的一種實(shí)現(xiàn)方法的流程圖。圖4為本發(fā)明中步驟203的一種實(shí)現(xiàn)方法的流程圖。圖5為本發(fā)明中基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng)的示意圖。圖6為本發(fā)明中的MSSP的結(jié)構(gòu)示意圖。圖7為本發(fā)明中的移動(dòng)簽名裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)表達(dá)得更加清楚明白,下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明。圖2是本發(fā)明中基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法的流程圖。如圖2所示,該方法包括步驟201,在移動(dòng)簽名服務(wù)平臺(tái)(MSSP,Mobile Signature Service Platform)中設(shè)置一個(gè)包括多條CA信息的CA映射表。在本步驟中,可以預(yù)先在MSSP中設(shè)置一個(gè)CA映射表,用于記錄各個(gè)業(yè)務(wù)應(yīng)用所對(duì)應(yīng)的多條CA信息。因此,該CA映射表中包括多條與不同的業(yè)務(wù)應(yīng)用相對(duì)應(yīng)的CA信息,每條CA信息中可以包括CA標(biāo)識(shí)、CA編號(hào)和CA名稱。其中,上述的CA標(biāo)識(shí)是可唯一標(biāo)識(shí)一條CA信息的特定字符串。例如,在本發(fā)明的實(shí)施例中,所述CA標(biāo)識(shí)可以是數(shù)字證書中的甄別名稱(DN,長(zhǎng)度一般為數(shù)十個(gè)字節(jié)到數(shù)百字節(jié))或者數(shù)字證書中的公鑰的哈希值(長(zhǎng)度一般為20字節(jié));也可以是其它可以唯一標(biāo)識(shí)該CA信息的特定字符串。因此,可以直接從CA證書中提取可以唯一標(biāo)識(shí)所述CA信息的特定字符串作為CA標(biāo)識(shí)。在本發(fā)明的具體實(shí)施例中,MSSP可以和CA中心預(yù)先約定CA標(biāo)識(shí)的具體內(nèi)容。上述的CA編號(hào)為CA信息在CA映射表中的編號(hào),該CA編號(hào)由MSSP內(nèi)部進(jìn)行維護(hù),MSSP可以預(yù)先給各條CA信息指定相應(yīng)的CA編號(hào),也可對(duì)映射表中的各條CA信息按照排列 順序進(jìn)行編號(hào)。另外,上述CA編號(hào)的長(zhǎng)度可預(yù)先設(shè)置。例如,可將CA編號(hào)的長(zhǎng)度設(shè)置為I個(gè)字節(jié)(其中,I個(gè)字節(jié)為8個(gè)比特),此時(shí),該CA映射表中可存儲(chǔ)28 = 256條CA信息;也可將CA編號(hào)的長(zhǎng)度設(shè)置為2個(gè)字節(jié),此時(shí),該CA映射表中可存儲(chǔ)216 = 65536條CA信息。上述的CA名稱為CA信息所對(duì)應(yīng)的CA的名稱。例如,當(dāng)某條CA信息所對(duì)應(yīng)的CA為中國(guó)工商銀行(ICBC)的CA時(shí),則該CA信息中的CA名稱可為ICBC CA;而當(dāng)某條CA信息所對(duì)應(yīng)的CA為中國(guó)移動(dòng)通信集團(tuán)公司(CMCC)的CA時(shí),則該CA信息中的CA名稱可為CMBCCA。步驟202,當(dāng)證書中心根據(jù)用戶的證書申請(qǐng)請(qǐng)求向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求時(shí),MSSP根據(jù)證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,向與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,以指示所述移動(dòng)簽名裝置存儲(chǔ)CA信息、生成并存儲(chǔ)公私密鑰對(duì)以及向證書中心發(fā)送證書請(qǐng)求,并將證書中心根據(jù)證書請(qǐng)求生成的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置。其中,在本發(fā)明的具體實(shí)施例中,所述的證書中心可以是CA或注冊(cè)機(jī)構(gòu)(RA,Registration Authority)。所述證書請(qǐng)求可以是PKCSlO請(qǐng)求(可簡(jiǎn)稱為PlO請(qǐng)求)或其它請(qǐng)求生成數(shù)字證書的請(qǐng)求,以下將以所述證書請(qǐng)求為PKCSlO請(qǐng)求為例進(jìn)行相應(yīng)的說明。在本發(fā)明的具體實(shí)施例中,上述步驟202的實(shí)現(xiàn)方式有很多種。例如,圖3為本發(fā)明中步驟202的一種實(shí)現(xiàn)方法的流程圖。如圖3所示,步驟202可通過如下所述的步驟來實(shí)現(xiàn)步驟301,用戶向證書中心發(fā)送證書申請(qǐng)請(qǐng)求。本步驟中,當(dāng)用戶需要申請(qǐng)所需的業(yè)務(wù)應(yīng)用的數(shù)字證書時(shí),該用戶可通過用戶終端向證書中心發(fā)送一個(gè)證書申請(qǐng)請(qǐng)求,也可以由管理員根據(jù)用戶的要求(例如,書面或口頭請(qǐng)求等)代該用戶向證書中心發(fā)送一個(gè)證書申請(qǐng)請(qǐng)求。其中,所述的用戶終端可以是個(gè)人電腦(PC),也可以是移動(dòng)終端(例如,手機(jī)、Pad等);所述的證書中心可以是CA或注冊(cè)機(jī)構(gòu)(RA,Registration Authority)。例如,用戶可通過PC登錄到證書中心,在證書中心的服務(wù)界面上選擇與業(yè)務(wù)應(yīng)用相關(guān)的證書,并點(diǎn)擊“證書下載”按鈕,從而向證書中心發(fā)送證書申請(qǐng)請(qǐng)求;或者,用戶也可通過移動(dòng)終端發(fā)送確認(rèn)短信到證書中心,從而向證書中心發(fā)送證書申請(qǐng)請(qǐng)求;或者,可以由證書中心的管理員根據(jù)用戶的要求(例如,書面或口頭請(qǐng)求)點(diǎn)擊“證書下載”按鈕,向證書中心發(fā)送證書申請(qǐng)請(qǐng)求。
步驟302,當(dāng)證書中心接收到證書申請(qǐng)請(qǐng)求時(shí),證書中心向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求。在本步驟中,證書中心在接收到證書申請(qǐng)請(qǐng)求后,將向MSSP發(fā)送相應(yīng)的證書申請(qǐng)激活請(qǐng)求。其中,證書申請(qǐng)激活請(qǐng)求中可以攜帶CA標(biāo)識(shí)和用戶信息。其中,所述用戶信息是用于標(biāo)識(shí)各個(gè)用戶的信息。在本發(fā)明的具體實(shí)施例中,所述用戶信息可以是用戶的手機(jī)號(hào)碼、用戶名或用戶編號(hào)等信息。進(jìn)一步地,為了標(biāo)識(shí)上述由證書中心發(fā)送的的證書申請(qǐng)激活請(qǐng)求,證書中心還可生成一個(gè)第一事務(wù)標(biāo)識(shí)(TransactionIDl),并將該TransactionIDl攜帶于上述證書申請(qǐng)激活請(qǐng)求中發(fā)送給MSSP。步驟303,MSSP根據(jù)所接收到的證書申請(qǐng)激活請(qǐng)求查詢其所存儲(chǔ)的CA映射表,并根據(jù)查詢結(jié)果向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送激活指令。具體來說,在本步驟中,MSSP首先可根據(jù)所接收到的證書申請(qǐng)激活請(qǐng)求查詢其所 存儲(chǔ)的CA映射表,得到相應(yīng)的查詢結(jié)果。例如,MSSP可根據(jù)證書申請(qǐng)激活請(qǐng)求中的CA標(biāo)識(shí)查詢其所存儲(chǔ)的CA映射表,查找到與該CA標(biāo)識(shí)相對(duì)應(yīng)的CA信息。然后,MSSP可向與所述證書申請(qǐng)激活請(qǐng)求中的用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送激活指令,其中,該激活指令中攜帶有所查詢到的CA信息中的CA編號(hào)和CA名稱。進(jìn)一步地,當(dāng)證書申請(qǐng)激活請(qǐng)求中攜帶有TransactionIDl時(shí),由于證書申請(qǐng)激活請(qǐng)求中的事務(wù)標(biāo)識(shí)(即TransactionIDl)是由各個(gè)證書中心獨(dú)立生成的,因此不同的證書中心發(fā)送的證書申請(qǐng)激活請(qǐng)求可能會(huì)具有相同的事務(wù)標(biāo)識(shí)。為了區(qū)分不同證書中心所發(fā)送的證書申請(qǐng)激活請(qǐng)求,MSSP可存儲(chǔ)上述所接收到的TransactionIDl,將該TransactionIDl與上述查找到的查詢結(jié)果(即上述的CA信息)相關(guān)聯(lián),然后再生成一個(gè)與上述TransactionIDl 唯一對(duì)應(yīng)的第二事務(wù)標(biāo)識(shí)(TransactionID2),并將上述 TransactionID2攜帶于所述激活指令中發(fā)送給移動(dòng)簽名裝置。步驟304,移動(dòng)終端中的移動(dòng)簽名裝置根據(jù)所接收到的激活指令存儲(chǔ)相應(yīng)的CA信息,生成并存儲(chǔ)公私密鑰對(duì);使用該公私密鑰對(duì)生成PKCSlO請(qǐng)求(可簡(jiǎn)稱為PlO請(qǐng)求),將PlO請(qǐng)求和所述激活指令中攜帶的CA編號(hào)發(fā)送給MSSP。例如,在本步驟中,移動(dòng)終端中的移動(dòng)簽名裝置可以根據(jù)激活指令在存儲(chǔ)空間中選取一塊未使用的具有預(yù)定大小的存儲(chǔ)區(qū)域(可稱之為密鑰容器),將所接受到的CA信息(例如,所述激活指令中攜帶的CA編號(hào)和CA名稱)存儲(chǔ)在所選取的密鑰容器中。然后,所述移動(dòng)簽名裝置還將根據(jù)上述的激活指令生成相應(yīng)的公私密鑰對(duì)(該公私密鑰對(duì)包括一個(gè)公鑰和一個(gè)私鑰),將該公私密鑰對(duì)存儲(chǔ)于上述所選取的密鑰容器中;移動(dòng)簽名裝置還將根據(jù)該公私密鑰對(duì)生成相應(yīng)的PlO請(qǐng)求,并將PlO請(qǐng)求和所述激活指令中攜帶的CA編號(hào)發(fā)送給MSSP。具體的公私密鑰對(duì)和PlO請(qǐng)求的生成方法可使用現(xiàn)有技術(shù)中常用的生成方法,在此不再贅述。另外,在本發(fā)明的具體實(shí)施例中,所述移動(dòng)終端中的移動(dòng)簽名裝置可以是SIM卡或移動(dòng)終端(例如,手機(jī)或Pad等)中的安全芯片。進(jìn)一步地,在本步驟中,如果激活指令中攜帶有TransactionID2,則當(dāng)移動(dòng)簽名裝置將所述PlO請(qǐng)求和相應(yīng)的CA編號(hào)發(fā)送給MSSP時(shí),所述移動(dòng)簽名裝置還可將所接收到的激活指令中的TransactionID2也發(fā)送給MSSP。
步驟305,MSSP接收到的PlO請(qǐng)求后,查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí);根據(jù)所得到的CA標(biāo)識(shí)將所接收到的PlO請(qǐng)求發(fā)送給相應(yīng)的證書中心。在本步驟中,MSSP在接收到的PlO請(qǐng)求后,可以根據(jù)CA編號(hào)查詢CA映射表得到與所述CA編號(hào)相對(duì)應(yīng)的CA標(biāo)識(shí),然后根據(jù)所得到的CA標(biāo)識(shí)將所接收到的PlO請(qǐng)求發(fā)送給相應(yīng)的證書中心。進(jìn)一步地,當(dāng)MSSP接收到PlO請(qǐng)求時(shí),如果MSSP還接收到所述移動(dòng)簽名裝置發(fā)送的 TransactionID2,則 MSSP 也可根據(jù)該 TransactionID2 查找到相應(yīng)的 TransactionIDl,并查找到與TransactionIDl相關(guān)聯(lián)的CA信息中的CA標(biāo)識(shí);然后,在本步驟中,還可以進(jìn)一步將所述TransactionIDl也發(fā)送給相應(yīng)的證書中心。步驟306,證書中心對(duì)所接收到的PlO請(qǐng)求進(jìn)行驗(yàn)證;如果驗(yàn)證通過,則為用戶簽發(fā)數(shù)字證書,并將數(shù)字證書、相應(yīng)的CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP。在本步驟中,證書中心使用現(xiàn)有技術(shù)中常用的驗(yàn)證方法對(duì)所接收到的PlO請(qǐng)求進(jìn) 行驗(yàn)證。如果驗(yàn)證通過,則證書中心將為用戶簽發(fā)數(shù)字證書,并將該數(shù)字證書、相應(yīng)的CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP。其中,在本發(fā)明的具體實(shí)施例中,所述的數(shù)字證書可以是X. 509證書。該證書具有固定的格式,采用ASN. I編碼方式,通常有I 2KB大小。進(jìn)一步地,如果在步驟305中MSSP將PlO請(qǐng)求發(fā)送給證書中心時(shí),還將TransactionIDl發(fā)送給該證書中心,則在本步驟中,所述證書中心還可將TransactionIDI發(fā)送給MSSP。步驟307,MSSP查詢CA映射表得到CA編號(hào),并對(duì)所接收到的數(shù)字證書進(jìn)行解析,提取所需的有效信息生成證書信息文件;將證書信息文件和CA編號(hào)發(fā)送給移動(dòng)終端中的移動(dòng)簽名裝置。在本步驟中,MSSP可根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA編號(hào),再對(duì)數(shù)字證書進(jìn)行解析,提取所需的有效信息生成相應(yīng)的證書信息文件;然后,MSSP將所述證書信息文件和CA編號(hào)發(fā)送給所述移動(dòng)簽名裝置。進(jìn)一步地,MSSP也可根據(jù)證書中心發(fā)送的TransactionIDl查找到相應(yīng)的TransactionID2和CA映射表中的CA編號(hào),然后再根據(jù)CA編號(hào)對(duì)數(shù)字證書進(jìn)行解析,提取所需的有效信息生成相應(yīng)的證書信息文件;此后,MSSP還可將所述TransactionID2發(fā)送給所述移動(dòng)簽名裝置。另外,所述證書信息文件是從所接收到的數(shù)字證書中提取出的、可在移動(dòng)簽名裝置上供用戶查看的文本信息文件。因此,在本發(fā)明的具體實(shí)施例中,所述有效信息可以包括證書版本號(hào)、證書序列號(hào)、證書有效期、頒發(fā)者DN、主體DN和其它的證書擴(kuò)展項(xiàng)所對(duì)應(yīng)的信息中的任意一個(gè)或多個(gè)信息。步驟308,移動(dòng)終端中的移動(dòng)簽名裝置存儲(chǔ)所接收到的證書信息文件。具體來說,在本步驟中,移動(dòng)終端中的移動(dòng)簽名裝置(例如,SM卡或安全芯片等)可根據(jù)所接收到的CA編號(hào)將所接收到的證書信息文件存儲(chǔ)在與CA編號(hào)相對(duì)應(yīng)的密鑰容器中。通過上述的步驟301 308,可以實(shí)現(xiàn)上述的步驟202,從而使得用戶可以實(shí)現(xiàn)數(shù)字證書的申請(qǐng)。而當(dāng)需要用戶對(duì)業(yè)務(wù)應(yīng)用進(jìn)行數(shù)字簽名時(shí),則可執(zhí)行如下所述的步驟203。
步驟203,當(dāng)需要用戶對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),MSSP根據(jù)應(yīng)用服務(wù)器發(fā)送的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將所述CA信息和應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將移動(dòng)簽名裝置返回的簽名數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證。例如,在本發(fā)明的具體實(shí)施例中,當(dāng)需要用戶對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),應(yīng)用服務(wù)器可將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP ;MSSP將根據(jù)所述CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA編號(hào),然后將待簽數(shù)據(jù)和CA編號(hào)發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置;移動(dòng)簽名裝置根據(jù)CA編號(hào)使用所存儲(chǔ)的相應(yīng)的私鑰對(duì)接收到的待簽數(shù)據(jù)進(jìn)行數(shù)字簽名以得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)和CA編號(hào)發(fā)送給MSSP ;MSSP查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí),將所接收到的簽名數(shù)據(jù)和CA標(biāo)識(shí)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器;應(yīng)用服務(wù)器接收到簽名數(shù)據(jù)后,從CA處獲取相對(duì)應(yīng)的數(shù)字證書,根據(jù)該數(shù)字證書對(duì)接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證。在本發(fā)明的具體實(shí)施例中,上述步驟203的實(shí)現(xiàn)方式也有很多種。例如,圖4為本·發(fā)明中步驟203的一種實(shí)現(xiàn)方法的流程圖。如圖4所示,步驟203可通過如下所述的步驟來實(shí)現(xiàn)步驟401,應(yīng)用服務(wù)器將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP。在本步驟中,當(dāng)應(yīng)用服務(wù)器需要用戶對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),可以觸發(fā)該應(yīng)用服務(wù)器將該待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP。進(jìn)一步地,為了標(biāo)識(shí)上述由應(yīng)用服務(wù)器發(fā)送的的待簽數(shù)據(jù),該應(yīng)用服務(wù)器還可生成一個(gè)第三事務(wù)標(biāo)識(shí)(TransactionID3),并將該TransactionID3發(fā)送給MSSP。步驟402,MSSP根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表,查找到相應(yīng)的CA編號(hào),將待簽數(shù)據(jù)和CA編號(hào)發(fā)送給與用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置。在本步驟中,MSSP可先根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表,從而查找到與該CA標(biāo)識(shí)相對(duì)應(yīng)的CA編號(hào);然后,該MSSP可將待簽數(shù)據(jù)和CA編號(hào)發(fā)送給與用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置。進(jìn)一步地,由于步驟401中的事務(wù)標(biāo)識(shí)(即TransactionID3)是由各個(gè)應(yīng)用服務(wù)器獨(dú)立生成的,因此不同的應(yīng)用服務(wù)器所發(fā)送的事務(wù)標(biāo)識(shí)可能會(huì)相同。為了區(qū)分不同應(yīng)用服務(wù)器所發(fā)送的事務(wù)標(biāo)識(shí),MSSP在接收到應(yīng)用服務(wù)器發(fā)送的TranSaCtionID3時(shí),將存儲(chǔ)上述的TransactionID3,并將該TransactionID3與上述查找到的CA編號(hào)相關(guān)聯(lián),然后再生成一個(gè)與上述TransactionID3唯一對(duì)應(yīng)的第四事務(wù)標(biāo)識(shí)(TransactionID4),并將上述TransactionID4也發(fā)送給與用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置。步驟403,移動(dòng)簽名裝置根據(jù)所接收到的CA編號(hào)找到所存儲(chǔ)的對(duì)應(yīng)的私鑰,根據(jù)私鑰對(duì)接收到的待簽數(shù)據(jù)進(jìn)行簽名以得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)和CA編號(hào)發(fā)送給MSSP。進(jìn)一步地,在本步驟中,移動(dòng)簽名裝置還可將所接收到的TransactionID4發(fā)送給MSSP。步驟404,MSSP查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí),將所接收到的簽名數(shù)據(jù)和CA標(biāo)識(shí)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。進(jìn)一步地,在本步驟中,MSSP還可根據(jù)所接收到的TransactionID4查找到相對(duì)應(yīng)的TransactionID3,并將TransactionID3也發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。步驟405,應(yīng)用服務(wù)器接收到簽名數(shù)據(jù)后,從證書中心獲取與用戶信息相對(duì)應(yīng)的數(shù)字證書,根據(jù)該數(shù)字證書對(duì)接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證。在本步驟中,當(dāng)應(yīng)用服務(wù)器對(duì)簽名數(shù)據(jù)進(jìn)行驗(yàn)證時(shí),如果驗(yàn)證通過,則認(rèn)為上述待簽數(shù)據(jù)得到了用戶的確認(rèn);若驗(yàn)證未通過,則應(yīng)認(rèn)為上述待簽數(shù)據(jù)未得到用戶的確認(rèn)。通過上述的步驟401 405,可以實(shí)現(xiàn)上述的步驟203,即實(shí)現(xiàn)了用戶在業(yè)務(wù)應(yīng)用中對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名。另外,在本發(fā)明的實(shí)施例中,所述的移動(dòng)終端中的移動(dòng)簽名裝置可以是SIM卡或手機(jī)終端中的安全芯片。
當(dāng)所述移動(dòng)簽名裝置為SIM卡時(shí),由于受機(jī)卡訪問受限(機(jī)卡訪問指令只能是GSMlI. 11和GSM11. 13所規(guī)定的指令,不能擴(kuò)展,手機(jī)終端通常會(huì)過濾掉非標(biāo)指令)的限制,MSSP只能通過數(shù)據(jù)短信與SM卡進(jìn)行信息交互。一般來說,一條數(shù)據(jù)短信的總長(zhǎng)度為140字節(jié),數(shù)據(jù)短信的傳輸速度也較慢。因此,為了有效利用帶寬資源、提高傳輸效率、并將進(jìn)行數(shù)字簽名的時(shí)間長(zhǎng)度控制在可接受的范圍內(nèi),在本發(fā)明的具體實(shí)施例中,在MSSP中設(shè)置了相應(yīng)的CA映射表,因此使得MSSP在與SIM卡進(jìn)行信息交互時(shí),只需傳輸少量字節(jié)(例如,I 2個(gè)字節(jié))的CA編號(hào)即可指定相應(yīng)的CA,因而可定位到正確的密鑰,從而可最大限度地減少所需傳輸?shù)淖止?jié)數(shù),有效利用了僅140字節(jié)的帶寬資源。另外,SIM卡的存儲(chǔ)空間也很寶貴,由于本發(fā)明中使用CA編號(hào)來指定相應(yīng)的CA,而且所述SIM卡中所存儲(chǔ)的不是數(shù)字證書本身,而是從數(shù)字證書中提取的證書信息文件,從而大大減少了存儲(chǔ)密鑰所需的存儲(chǔ)空間,有效地節(jié)省了 SIM卡中寶貴的存儲(chǔ)空間,因而可以存儲(chǔ)更多的密鑰。而當(dāng)所述移動(dòng)簽名裝置為手機(jī)終端中的安全芯片時(shí),MSSP與手機(jī)終端中的安全芯片之間可通過IP傳輸通道進(jìn)行信息交互,用于數(shù)字簽名的密鑰可存儲(chǔ)在手機(jī)終端中的安全芯片中。由于安全芯片的存儲(chǔ)空間也比較有限,因此,在本發(fā)明的技術(shù)方案中,由于使用CA編號(hào)來指定相應(yīng)的CA,而且所述安全芯片中所存儲(chǔ)的不是數(shù)字證書本身,而是從數(shù)字證書中提取的證書信息文件,從而也大大減少了存儲(chǔ)密鑰所需的存儲(chǔ)空間,有效地節(jié)省了安全芯片中寶貴的存儲(chǔ)空間,因而可以存儲(chǔ)更多的密鑰。在本發(fā)明的實(shí)施例中,還提供了一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng)。圖5為本發(fā)明中基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng)的示意圖。如圖5所示,該系統(tǒng)包括至少一個(gè)應(yīng)用服務(wù)器501 (圖5中只示出一個(gè)應(yīng)用服務(wù)器)、證書中心502、MSSP 503和移動(dòng)終端中的移動(dòng)簽名裝置504。所述應(yīng)用服務(wù)器501,用于將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP,并接收MSSP發(fā)送的簽名數(shù)據(jù);還用于根據(jù)從證書中心502獲得的數(shù)字證書對(duì)所接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證;所述證書中心502,用于根據(jù)接收到的證書申請(qǐng)請(qǐng)求向MSSP 503發(fā)送證書申請(qǐng)激活請(qǐng)求;還用于根據(jù)接收到的證書請(qǐng)求為用戶簽發(fā)數(shù)字證書,并將數(shù)字證書發(fā)送給MSSP503和相應(yīng)的應(yīng)用服務(wù)器501 ;所述MSSP 503,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表;還用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,根據(jù)CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置504發(fā)送攜帶有CA信息的激活指令;將接收到的證書請(qǐng)求發(fā)送給證書中心502 ;將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置504 ;還用于根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將待簽數(shù)據(jù)和CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置504 ;將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器501 ;所述移動(dòng)終端中的移動(dòng)簽名裝置504,用于根據(jù)激活指令存儲(chǔ)相應(yīng)的CA信息,生成并存儲(chǔ)公私密鑰對(duì);生成證書請(qǐng)求,將證書請(qǐng)求和所述激活指令中攜帶的CA信息發(fā)送給MSSP 503 ;存儲(chǔ)所接收到的與所述CA信息相對(duì)應(yīng)的證書信息文件;還用于根據(jù)所存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給MSSP 503。另外,在本發(fā)明的技術(shù)方案中,上述基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng)中的MSSP中可以包括多個(gè)模塊。例如,圖6為本發(fā)明中的MSSP的結(jié)構(gòu)示意圖。如圖6所示,所述MSSP 503包括存儲(chǔ)模塊601、查詢模塊602、轉(zhuǎn)換模塊603和轉(zhuǎn)發(fā)模塊604。
所述存儲(chǔ)模塊601,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表;所述查詢模塊602,用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求或CA標(biāo)識(shí)查詢所述存儲(chǔ)模塊601中存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,將所述CA信息發(fā)送給轉(zhuǎn)發(fā)模塊604 ;所述轉(zhuǎn)換模塊603,用于將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給轉(zhuǎn)發(fā)模塊604 ;所述轉(zhuǎn)發(fā)模塊604,用于根據(jù)所接收到的CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,將接收到的證書請(qǐng)求發(fā)送給證書中心,并將證書信息文件發(fā)送給所述移動(dòng)簽名裝置;還用于將待簽數(shù)據(jù)和相應(yīng)的CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。再者,在本發(fā)明的技術(shù)方案中,所述移動(dòng)簽名裝置中也可以包括多個(gè)模塊。例如,圖7是本發(fā)明中的移動(dòng)簽名裝置的結(jié)構(gòu)示意圖。如圖7所示,所述移動(dòng)簽名裝置504包括存儲(chǔ)模塊701、接收處理模塊702、密鑰生成模塊703、證書請(qǐng)求模塊704、簽名模塊705和發(fā)送模塊706 ;所述存儲(chǔ)模塊701,用于存儲(chǔ)CA信息和與所述CA信息相對(duì)應(yīng)的公私密鑰對(duì)和證書信息文件;所述接收處理模塊702,用于將接收到的激活指令中的CA信息發(fā)送給所述存儲(chǔ)模塊701和發(fā)送模塊706,并根據(jù)所述激活指令向所述密鑰生成模塊703發(fā)送生成指令;將接收到的證書信息文件發(fā)送給所述存儲(chǔ)模塊701 ;將接收到的待簽數(shù)據(jù)發(fā)送給所述簽名模塊705 ;所述密鑰生成模塊703,用于根據(jù)生成指令生成公私密鑰對(duì),并將所生成的公私密鑰對(duì)發(fā)送給存儲(chǔ)模塊701和證書請(qǐng)求模塊704 ;所述證書請(qǐng)求模塊704,用于根據(jù)公私密鑰對(duì)生成證書請(qǐng)求,并將所述證書請(qǐng)求發(fā)送給所述發(fā)送模塊706 ;所述簽名模塊705,用于根據(jù)所述存儲(chǔ)模塊701中存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給發(fā)送模塊706 ;所述發(fā)送模塊706,用于將證書請(qǐng)求和相應(yīng)的CA信息發(fā)送給MSSP ;還用于將所述簽名數(shù)據(jù)發(fā)送給MSSP。其中,在本發(fā)明的具體實(shí)施例中,所述中的接收處理模塊、密鑰生成模塊、證書請(qǐng)求模塊和簽名模塊也可集成于同一個(gè)處理模塊中。此外,在本發(fā)明的技術(shù)方案中,所述移動(dòng)終端中可以包括一個(gè)如圖7所示的移動(dòng)
簽名裝置。綜上所述,在本發(fā)明的技術(shù)方案中,由于在MSSP設(shè)置了一個(gè)包括多條CA信息的CA映射表,因此MSSP可根據(jù)用戶的證書申請(qǐng)請(qǐng)求和所述CA映射表,指示相應(yīng)移動(dòng)終端中的移動(dòng)簽名裝置存儲(chǔ)相應(yīng)的CA信息、生成并存儲(chǔ)公私密鑰對(duì),然后將相應(yīng)的CA為該用戶所簽發(fā)的證書轉(zhuǎn)換成證書信息文件存儲(chǔ)在移動(dòng)簽名裝置,從而為用戶申請(qǐng)一個(gè)數(shù)字證書;還可將應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給移動(dòng)簽名裝置進(jìn)行數(shù)字簽名,并將簽名數(shù)據(jù)返回給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證,以完成用戶的數(shù)字簽名。通過使用本發(fā)明的技術(shù)方案,可以在移動(dòng)簽名裝置中存儲(chǔ)與多個(gè)應(yīng)用相對(duì)應(yīng)的多個(gè)數(shù)字證書的信息(例如,CA信息、公私密鑰對(duì)等),使得用戶可以在一個(gè)移動(dòng)終端中的移動(dòng)簽名裝置中存儲(chǔ)并管理多個(gè)數(shù)字證書的信息,用戶只需持有該移動(dòng)簽名裝置即可對(duì)多種業(yè)務(wù)應(yīng)用進(jìn)行交易數(shù)據(jù)的數(shù)字簽名,而無需攜帶多個(gè) USB-Key,因此大大方便了用戶的使用,并降低了用戶的使用成本,可滿足當(dāng)前國(guó)內(nèi)上百家CA、幾十萬(wàn)業(yè)務(wù)應(yīng)用的產(chǎn)業(yè)環(huán)境,從而對(duì)電子簽名的應(yīng)用具有重大促進(jìn)作用。此外,由于在MSSP中設(shè)置了 CA映射表,使得MSSP在與移動(dòng)簽名裝置進(jìn)行信息交互時(shí)只需傳輸少量的字節(jié)(例如,I 2個(gè)字節(jié))的CA編號(hào)即可指定相應(yīng)的CA,最大限度地減少了所需傳輸?shù)淖止?jié)數(shù),有效利用了僅140字節(jié)的帶寬資源。另外,還大大減少了移動(dòng)簽名裝置中存儲(chǔ)與數(shù)字證書相關(guān)的信息所需的存儲(chǔ)空間,有效地節(jié)省了移動(dòng)簽名裝置中寶貴的存儲(chǔ)空間,因而可以存儲(chǔ)更多的數(shù)字證書的信息。此外,由于MSSP將證書解析為證書信息文件,從而在不影響用戶使用(查看)的情況下,還大大降低了帶寬要求和存儲(chǔ)要求。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法,其特征在于,該方法包括 A、在移動(dòng)簽名服務(wù)平臺(tái)MSSP中設(shè)置一個(gè)包括多條CA信息的CA映射表;所述CA信息中包括CA標(biāo)識(shí)、CA編號(hào)和CA名稱; B、當(dāng)證書中心根據(jù)用戶的證書申請(qǐng)請(qǐng)求向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求時(shí),MSSP根據(jù)證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,向與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,以指示所述移動(dòng)簽名裝置存儲(chǔ)CA信息、生成并存儲(chǔ)公私密鑰對(duì)以及向證書中心發(fā)送證書請(qǐng)求,并將證書中心根據(jù)證書請(qǐng)求生成的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置; C、當(dāng)需要用戶對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名時(shí),MSSP根據(jù)應(yīng)用服務(wù)器發(fā)送的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將所述CA信息和應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給與用戶對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將移動(dòng)簽名裝置返回的簽名數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于 所述CA標(biāo)識(shí)為數(shù)字證書中的甄別名稱或者數(shù)字證書中的公鑰的哈希值。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述步驟B包括 bl、用戶向證書中心發(fā)送證書申請(qǐng)請(qǐng)求; b2、當(dāng)證書中心接收到證書申請(qǐng)請(qǐng)求時(shí),證書中心向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求;b3、MSSP根據(jù)所接收到的證書申請(qǐng)激活請(qǐng)求查詢其所存儲(chǔ)的CA映射表,并根據(jù)查詢結(jié)果向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送激活指令; b4、移動(dòng)終端中的移動(dòng)簽名裝置根據(jù)所接收到的激活指令存儲(chǔ)相應(yīng)的CA信息,生成并存儲(chǔ)公私密鑰對(duì);使用該公私密鑰對(duì)生成PKCSlO請(qǐng)求,將PKCSlO請(qǐng)求和所述激活指令中攜帶的CA編號(hào)發(fā)送給MSSP ; b5、MSSP接收到的PlO請(qǐng)求后,查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí);根據(jù)所得到的CA標(biāo)識(shí)將所接收到的PlO請(qǐng)求發(fā)送給相應(yīng)的證書中心; b6、證書中心對(duì)所接收到的PlO請(qǐng)求進(jìn)行驗(yàn)證;如果驗(yàn)證通過,則為用戶簽發(fā)數(shù)字證書,并將數(shù)字證書、相應(yīng)的CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP ; b7、MSSP查詢CA映射表得到CA編號(hào),并對(duì)所接收到的數(shù)字證書進(jìn)行解析,提取所需的有效信息生成證書信息文件;將證書信息文件和CA編號(hào)發(fā)送給移動(dòng)終端中的移動(dòng)簽名裝置; b8、移動(dòng)終端中的移動(dòng)簽名裝置存儲(chǔ)所接收到的證書信息文件。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟bl包括 所述用戶通過用戶終端向證書中心發(fā)送一個(gè)證書申請(qǐng)請(qǐng)求; 或者,管理員根據(jù)所述用戶的要求代所述用戶向證書中心發(fā)送一個(gè)證書申請(qǐng)請(qǐng)求。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于 所述證書申請(qǐng)激活請(qǐng)求中攜帶CA標(biāo)識(shí)和用戶信息; 其中,所述用戶信息是用于標(biāo)識(shí)各個(gè)用戶的信息。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于 所述用戶信息為用戶的手機(jī)號(hào)碼、用戶名或用戶編號(hào)。
7.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟b2中還進(jìn)一步包括所述證書中心生成一個(gè)第一事務(wù)標(biāo)識(shí),并將該第一事務(wù)標(biāo)識(shí)攜帶于所述證書申請(qǐng)激活請(qǐng)求中發(fā)送給MSSP。
8.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟b3包括 MSSP根據(jù)證書申請(qǐng)激活請(qǐng)求中的CA標(biāo)識(shí)查詢其所存儲(chǔ)的CA映射表,查找到與該CA標(biāo)識(shí)相對(duì)應(yīng)的CA信息; MSSP向與所述證書申請(qǐng)激活請(qǐng)求中的用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送激活指令;所述激活指令中攜帶有所查詢到的CA信息中的CA編號(hào)和CA名稱。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述步驟b3中還進(jìn)一步包括 MSSP存儲(chǔ)所接收到的第一事務(wù)標(biāo)識(shí),將該第一事務(wù)標(biāo)識(shí)與所述查詢結(jié)果相關(guān)聯(lián),然后再生成一個(gè)與所述第一事務(wù)標(biāo)識(shí)唯一對(duì)應(yīng)的第二事務(wù)標(biāo)識(shí),并將所述第二事務(wù)標(biāo)識(shí)攜帶于所述激活指令中發(fā)送給移動(dòng)簽名裝置。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于,所述步驟b4中還進(jìn)一步包括 所述移動(dòng)簽名裝置還將所接收到的激活指令中的第二事務(wù)標(biāo)識(shí)發(fā)送給所述MSSP。
11.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟b5中的所述查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí)包括 根據(jù)CA編號(hào)查詢CA映射表得到與所述CA編號(hào)相對(duì)應(yīng)的CA標(biāo)識(shí)。
12.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述步驟b5中的所述查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí)包括 所述MSSP根據(jù)所述第二事務(wù)標(biāo)識(shí)查找到相應(yīng)的第一事務(wù)標(biāo)識(shí),并查找到與所述第一事務(wù)標(biāo)識(shí)相關(guān)聯(lián)的CA信息中的CA標(biāo)識(shí)。
13.根據(jù)權(quán)利要求12所述的方法,其特征在于,所述步驟b5中還進(jìn)一步包括 將所述第一事務(wù)標(biāo)識(shí)發(fā)送給相應(yīng)的證書中心。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于,所述步驟b6中還進(jìn)一步包括 所述證書中心還將所述第一事務(wù)標(biāo)識(shí)發(fā)送給所述MSSP。
15.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述步驟b7中的所述MSSP查詢CA映射表得到CA編號(hào)包括 所述MSSP根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA編號(hào)。
16.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述步驟b7中的所述MSSP查詢CA映射表得到CA編號(hào)包括 所述MSSP根據(jù)證書中心發(fā)送的所述第一事務(wù)標(biāo)識(shí)查找到相應(yīng)的所述第二事務(wù)標(biāo)識(shí)和CA映射表中的CA編號(hào)。
17.根據(jù)權(quán)利要求16所述的方法,其特征在于,所述步驟b7中還進(jìn)一步包括 所述MSSP將所述第二事務(wù)標(biāo)識(shí)發(fā)送給所述移動(dòng)簽名裝置。
18.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述有效信息包括 證書版本號(hào)、證書序列號(hào)、證書有效期、頒發(fā)者DN、主體DN和其它的證書擴(kuò)展項(xiàng)所對(duì)應(yīng)的信息中的任意一個(gè)或多個(gè)信息。
19.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述步驟C包括 Cl、應(yīng)用服務(wù)器將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP ; c2、MSSP根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表,查找到相應(yīng)的CA編號(hào),將待簽數(shù)據(jù)和CA編號(hào)發(fā)送給與用戶信息相對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置; c3、所述移動(dòng)簽名裝置根據(jù)所接收到的CA編號(hào)找到所存儲(chǔ)的對(duì)應(yīng)的私鑰,根據(jù)私鑰對(duì)接收到的待簽數(shù)據(jù)進(jìn)行簽名以得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)和CA編號(hào)發(fā)送給MSSP ;c4、MSSP查詢CA映射表得到相應(yīng)的CA標(biāo)識(shí),將所接收到的簽名數(shù)據(jù)和CA標(biāo)識(shí)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器; c5、應(yīng)用服務(wù)器接收到簽名數(shù)據(jù)后,從證書中心獲取與用戶信息相對(duì)應(yīng)的數(shù)字證書,根據(jù)該數(shù)字證書對(duì)接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證。
20.根據(jù)權(quán)利要求19所述的方法,其特征在于,所述步驟Cl中還進(jìn)一步包括 所述應(yīng)用服務(wù)器生成一個(gè)第三事務(wù)標(biāo)識(shí),并將該第三事務(wù)標(biāo)識(shí)發(fā)送給所述MSSP。
21.根據(jù)權(quán)利要求20所述的方法,其特征在于,所述步驟c2中還進(jìn)一步包括 所述MSSP存儲(chǔ)上述的第三事務(wù)標(biāo)識(shí),并將所述第三事務(wù)標(biāo)識(shí)與所查找到的CA編號(hào)相關(guān)聯(lián),然后再生成一個(gè)與所述第三事務(wù)標(biāo)識(shí)唯一對(duì)應(yīng)的第四事務(wù)標(biāo)識(shí),并將所述第四事務(wù)標(biāo)識(shí)發(fā)送給所述移動(dòng)簽名裝置。
22.根據(jù)權(quán)利要求21所述的方法,其特征在于,所述步驟c3中還進(jìn)一步包括 所述移動(dòng)簽名裝置將所接收到的所述第四事務(wù)標(biāo)識(shí)發(fā)送給所述MSSP。
23.根據(jù)權(quán)利要求22所述的方法,其特征在于,所述步驟c4中還進(jìn)一步包括 MSSP根據(jù)所接收到的第四事務(wù)標(biāo)識(shí)查找到相對(duì)應(yīng)的第三事務(wù)標(biāo)識(shí),并將所述第三事務(wù)標(biāo)識(shí)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。
24.根據(jù)權(quán)利要求I至23中的任一所述的方法,其特征在于 所述移動(dòng)終端中的移動(dòng)簽名裝直為SIM卡或手機(jī)終端中的安全芯片。
25.一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理系統(tǒng),其特征在于,該系統(tǒng)包括證書中心、移動(dòng)簽名服務(wù)平臺(tái)MSSP、移動(dòng)終端中的移動(dòng)簽名裝置和至少一個(gè)應(yīng)用服務(wù)器;其中, 所述應(yīng)用服務(wù)器,用于將待簽數(shù)據(jù)、CA標(biāo)識(shí)和用戶信息發(fā)送給MSSP,并接收MSSP發(fā)送的簽名數(shù)據(jù);還用于根據(jù)從證書中心獲得的數(shù)字證書對(duì)所接收到的簽名數(shù)據(jù)進(jìn)行驗(yàn)證;所述證書中心,用于根據(jù)接收到的證書申請(qǐng)請(qǐng)求向MSSP發(fā)送證書申請(qǐng)激活請(qǐng)求;還用于根據(jù)接收到的證書請(qǐng)求為用戶簽發(fā)數(shù)字證書,并將數(shù)字證書發(fā)送給MSSP和相應(yīng)的應(yīng)用服務(wù)器; 所述MSSP,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表;還用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,根據(jù)CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令;將接收到的證書請(qǐng)求發(fā)送給證書中心;將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給所述移動(dòng)簽名裝置; 還用于根據(jù)所接收到的CA標(biāo)識(shí)查詢CA映射表得到相應(yīng)的CA信息,將待簽數(shù)據(jù)和CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置;將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器; 所述移動(dòng)終端中的移動(dòng)簽名裝置,用于根據(jù)激活指令存儲(chǔ)相應(yīng)的CA信息,生成并存儲(chǔ)公私密鑰對(duì);生成證書請(qǐng)求,將證書請(qǐng)求和所述激活指令中攜帶的CA信息發(fā)送給MSSP ;存儲(chǔ)所接收到的與所述CA信息相對(duì)應(yīng)的證書信息文件;還用于根據(jù)所存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給MSSP。
26.—種移動(dòng)簽名服務(wù)平臺(tái),其特征在于,該移動(dòng)簽名服務(wù)平臺(tái)包括存儲(chǔ)模塊、查詢模塊、轉(zhuǎn)換模塊和轉(zhuǎn)發(fā)模塊; 所述存儲(chǔ)模塊,用于存儲(chǔ)一個(gè)包括多條CA信息的CA映射表; 所述查詢模塊,用于根據(jù)接收到的證書申請(qǐng)激活請(qǐng)求或CA標(biāo)識(shí)查詢所述存儲(chǔ)模塊中存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,將所述CA信息發(fā)送給轉(zhuǎn)發(fā)模塊;所述轉(zhuǎn)換模塊,用于將接收到的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給轉(zhuǎn)發(fā)模塊;所述轉(zhuǎn)發(fā)模塊,用于根據(jù)所接收到的CA信息向?qū)?yīng)的移動(dòng)終端中的移動(dòng)簽名裝置發(fā)送攜帶有CA信息的激活指令,將接收到的證書請(qǐng)求發(fā)送給證書中心,并將證書信息文件發(fā)送給所述移動(dòng)簽名裝置;還用于將待簽數(shù)據(jù)和相應(yīng)的CA信息發(fā)送給對(duì)應(yīng)的移動(dòng)終端中的移動(dòng)簽名裝置,并將接收到的簽名數(shù)據(jù)發(fā)送給相應(yīng)的應(yīng)用服務(wù)器。
27.—種移動(dòng)簽名裝置,其特征在于,該移動(dòng)簽名裝置包括 存儲(chǔ)模塊、接收處理模塊、密鑰生成模塊、證書請(qǐng)求模塊、簽名模塊和發(fā)送模塊; 所述存儲(chǔ)模塊,用于存儲(chǔ)CA信息和與所述CA信息相對(duì)應(yīng)的公私密鑰對(duì)和證書信息文件; 所述接收處理模塊,用于將接收到的激活指令中的CA信息發(fā)送給所述存儲(chǔ)模塊和發(fā)送模塊,并根據(jù)所述激活指令向所述密鑰生成模塊發(fā)送生成指令;將接收到的證書信息文件發(fā)送給所述存儲(chǔ)模塊;將接收到的待簽數(shù)據(jù)發(fā)送給所述簽名模塊; 所述密鑰生成模塊,用于根據(jù)生成指令生成公私密鑰對(duì),并將所生成的公私密鑰對(duì)發(fā)送給存儲(chǔ)模塊和請(qǐng)求模塊; 所述證書請(qǐng)求模塊,用于生成證書請(qǐng)求,并將所述證書請(qǐng)求發(fā)送給所述發(fā)送模塊;所述簽名模塊,用于根據(jù)所述存儲(chǔ)模塊中存儲(chǔ)的公私密鑰對(duì)對(duì)待簽數(shù)據(jù)進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù),將所述簽名數(shù)據(jù)發(fā)送給發(fā)送模塊; 所述發(fā)送模塊,用于將證書請(qǐng)求和相應(yīng)的CA信息發(fā)送給移動(dòng)簽名服務(wù)平臺(tái);還用于將所述簽名數(shù)據(jù)發(fā)送給所述移動(dòng)簽名服務(wù)平臺(tái)。
28.一種移動(dòng)終端,其特征在于,該移動(dòng)終端中包括 如權(quán)利要求27中所示的移動(dòng)簽名裝置。
全文摘要
本發(fā)明提供了一種基于移動(dòng)終端的多個(gè)數(shù)字證書的管理方法、系統(tǒng)和設(shè)備。其中的方法包括在MSSP中設(shè)置一個(gè)包括多條CA信息的CA映射表;當(dāng)用戶申請(qǐng)數(shù)字證書時(shí),MSSP根據(jù)查詢所存儲(chǔ)的CA映射表得到相應(yīng)的CA信息,指示移動(dòng)終端中的移動(dòng)簽名裝置存儲(chǔ)CA信息、生成并存儲(chǔ)公私密鑰對(duì),并將證書中心生成的數(shù)字證書轉(zhuǎn)換成證書信息文件后發(fā)送給移動(dòng)簽名裝置;當(dāng)進(jìn)行數(shù)字簽名時(shí),MSSP將應(yīng)用服務(wù)器發(fā)送的待簽數(shù)據(jù)發(fā)送給移動(dòng)簽名裝置,并將移動(dòng)簽名裝置返回的簽名數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器進(jìn)行驗(yàn)證。應(yīng)用本發(fā)明用戶可在一個(gè)移動(dòng)終端中的移動(dòng)簽名裝置中存儲(chǔ)并管理多個(gè)數(shù)字證書的信息,方便了用戶對(duì)多個(gè)數(shù)字證書的管理和使用,降低了用戶的使用成本。
文檔編號(hào)H04L29/06GK102904865SQ20111021649
公開日2013年1月30日 申請(qǐng)日期2011年7月29日 優(yōu)先權(quán)日2011年7月29日
發(fā)明者劉海龍, 楊超 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司