[发明专利]一种数字证书远程在线管理装置及方法

权利要求书

1.一种利用数字证书远程在线管理装置进行证书管理的方法，其特征在于：

所述数字证书远程在线管理装置包括：终端密码模块、终端证书应用、证书管理服务器、识别认证服务器、证书授权中心和终端设备；

终端密码模块，用于密钥生成、证书请求组装、数字签名、验签、加解密、密钥和证书的存储；

终端证书应用，包括具备获取用户居民身份证信息以及生物特征信息的功能的装置、与证书管理服务器通信的装置、与终端密码模块通信的装置、收集终端设备的信息的装置；

证书管理服务器，包括与终端证书应用通信的装置、判定证书请求合法性和与用户身份一致性的装置、存储及关联管理终端设备软硬件和证书信息的装置、与识别认证服务器通信的装置、与证书授权中心通信的装置；

识别认证服务器，包括与证书管理服务器通信的装置，存储用户身份证信息、生物特征信息和属性认证信息的装置，综合身份证信息、生物特征信息和属性认证信息识别认证用户身份信息的装置；

证书授权中心，用于颁发管理用户数字证书；

终端设备，为具备读取用户居民身份证和生物特征信息的功能，以及可运行终端证书应用和使用终端密码模块的终端设备；

所述方法包括如下步骤：

S1管理人员将用户居民身份证信息和生物特征信息导入识别认证服务器；

S2用户通过终端证书应用进行证书管理，终端证书应用与证书管理服务器建立安全访问连接，确认证书管理服务器的身份合法性和保证后续通信的安全性；

S3终端证书应用获取用户的居民身份证信息和生物特征信息，包括用户居民身份证安全芯片中的信息和用户活体检测信息，在进行信息收集过程中，如需识别认证服务器参与交互，则终端证书应用通过证书管理服务器连接识别认证服务器；

S4终端证书应用将居民身份证信息、生物特征信息发送至证书管理服务器；

S5证书管理服务器调用识别认证服务器，对识别认证信息进行验证；

S6识别认证服务器对收到的用户的居民身份证信息和用户的生物特征信息结合预导入信息进行识别认证，确认用户居民身份证信息的正确性，识别用户的生物特征信息，判断识别生物特征信息与用户身份证信息是否一致，如果用户居民身份证信息不正确或与生物特征信息识别结果不一致，表示识别认证的结果为错误，则跳转至步骤S15；如果用户的居民身份证信息正确且与生物特征信息识别结果一致，表示识别认证的结果为正确，并得到用户真实的身份信息，则继续步骤S7；

S7证书管理服务器存储识别认证服务器识别到的用户的身份信息，并返回用户身份信息至终端证书应用；

S8终端证书应用获取终端设备、终端密码模块中生成证书申请所需的用户身份信息；

S9终端证书应用调用终端密码模块，生成公私密钥对并保存在终端密码模块中，输入识别后的用户身份信息，生成用户证书申请请求；

S10终端证书应用将用户证书申请请求消息发送至证书管理服务器；

S11证书管理服务器解析证书申请请求消息，从证书申请中获取公钥和用户居民身份证信息，使用该公钥对用户证书申请的正确性进行校验，并将用户证书申请中携带的用户身份信息与步骤S7中存储的用户身份信息进行一致性的比对校验，如果校验错误，则跳转至步骤S15；如果校验正确，则继续步骤S12；

S12证书管理服务器调用证书授权中心，输入从终端证书应用接收到的用户证书申请请求，生成得到用户证书；

S13证书管理服务器从证书授权中心获得的用户证书，并将证书发送至终端证书应用；

S14终端证书应用收到证书后，将证书下发至终端密码模块存储，并向用户提示证书操作成功信息，证书管理操作正常结束；

S15证书管理服务器将拒绝该次证书操作请求，返回错误信息至终端证书应用；

S16终端证书应用收到证书管理服务器返回的错误信息后，调用终端密码模块，清除终端密码模块中的密钥对，并向用户提示证书操作错误信息，证书管理操作异常结束。

2.根据权利要求1所述的方法，其特征在于，所述终端设备为可穿戴式终端、手持式终端、便携式终端、车载终端或计算机终端。

3.根据权利要求1所述的方法，其特征在于，所述用户终端通过近场通信获取用户居民身份证信息。

4.根据权利要求1所述的方法，其特征在于，所述生物特征信息包括人像、虹膜、视网膜、声纹及指纹，所述终端设备通过摄像头、麦克风、指纹识别模块获取用户的生物特征信息。