[发明专利]一种下载数字证书的方法和系统

说明书

技术领域

本发明涉及数字签名装置技术，特别涉及基于支持公共密钥体系(PKI：Public Key Infrastructure)功能的数字签名装置的数字证书下载技术，具体地讲涉及一种下载数字证书的方法和系统。

背景技术

随着互联网的发展和网络银行、电子商务、电子政务的广泛应用，基于PKI数字证书技术、智能卡技术和USBKey被广泛的应用到各个行业和地区。越来越多的互联网使用者接受并使用智能卡类的数字签名装置和相关配套软件技术作为身份认证和数字签名的方法。

PKI数字证书技术是一种安全技术，其是由公开密钥密码技术、数字证书、证书发放机构(CA：Certificate Authority)和关于公开密钥的安全策略等共同组成。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通信、网上交易等利用其来保证安全。

随着计算机通信技术和网络安全技术的发展，PKI网络安全体系特别在涉及网络银行、电子商务和电子政务等应用安全体系中得到广泛应用。PKI的建设使得智能卡和USBKey这种数字签名装置的应用得以大规模的扩展。

为了使智能卡类的装置能够稳定可靠的运行在网络安全应用领域，制定了微软CSP规范接口定义和RSA公司的PKCS#11规范接口定义。目前，智能卡类数字签名装置可利用微软机密服务提供商CSP：Cryptographic Service Provider)规范接口和RSA公司的PKCS#11规范接口进行数字证书下载。

在具体的使用环境中的具体使用方式如下：

用户需单独安装一个带有微软CSP规范接口和RSA公司的PKCS#11规范接口的安装程序到用户的计算机当中；当使用智能卡类装置进行安全的网络信息交换时，上层应用，如IE浏览器或者用户自己开发的安全程序通过安装到计算机当中的微软CSP规范接口和RSA公司的PKCS#11规范接口访问智能卡类装置；智能卡类装置可通过微软CSP规范接口和RSA公司的PKCS#11规范接口下载数字证书。

例如工商银行的网上银行，在交易的安全性上面，工行使用U盾来保护每一笔交易。使用U盾下载证书时通常需要如下步骤：

步骤1，安装U盾驱动程序；步骤2，安装U盾对应的软件(CSP)和管理工具；步骤3，安装签名控件；步骤4，利用上述微软CSP规范接口和RSA公司的PKCS#11规范接口下载证书到U盾。如果更换一台电脑使用U盾，还需要重复步骤1，2，3。

由上述可知，由于用户的计算机水平参差不齐，计算机环境各异，导致上述步骤1、2很容易出现问题，经常会由驱动安装不成功，对应软件安装失败的情况发生，这对网上银行的普及十分不利。

因此，虽然目前微软CSP规范接口和RSA公司的PKCS#11规范接口已经广泛的使用在各个领域，充分有效地使客户在信息安全领域使用智能卡类的安全设备，但在具体的使用环境中，尤其是网上银行应用中，客户往往在安装和使用微软CSP规范接口和RSA公司的PKCS#11规范接口时遇到大量的易用性问题。

由于用户是在计算机上安装微软CSP规范接口和RSA公司的PKCS#11规范接口相关软件，因此会受到计算机环境，如操作系统、杀毒软件、优化软件等的限制，往往会出现安装异常的情况。同时在用户使用微软CSP规范接口和RSA公司的PKCS#11规范接口对智能卡类装置进行操作时，也会由于计算机本身环境的影响出现操作异常的情况。因此，使用微软CSP规范接口和RSA公司的PKCS#11规范接口便会有以下的弱点：

1)安装不便；2)黑客容易获取微软CSP规范接口和RSA公司的PKCS#11规范接口的定义进行非法攻击；3)杀毒软件和计算机优化软件的影响而无法正常使用；4)升级和更新比较困难和复杂；5)微软新一代操作系统不兼容。

发明内容

鉴于现有技术中存在的上述问题，本发明提供一种下载数字证书的方法和系统。该方法通过无需用户安装到本地计算机的控件单元，有效地使数字签名装置进行数字证书下载。

本发明的一个目的是提供一种下载数字证书的方法，该方法包括步骤：

下载控件单元到用户端；

所述用户端根据用户信息，调用所述控件单元的证书下载单元；验证数字签名装置的保护密码，若验证通过则在所述数字签名装置中生成RSA密钥对；所述控件单元的证书下载单元获得数字签名装置生成的RSA密钥对中的公钥，并利用该公钥和相关信息生成证书请求；