[发明专利]数字证书申请方法、系统、用户身份识别卡、设备及介质

说明书

本发明公开了数字证书申请方法、签名服务系统、用户身份识别卡、数字证书申请系统、数字证书申请设备和计算机可读存储介质。该数字证书申请方法包括：在接收到业务系统发送来的证书申请请求时，生成密钥对生成指令，并将密钥对生成指令发送至用户身份识别卡；在接收到用户身份识别卡返回的公钥信息后，形成包括公钥信息的证书请求信息；对证书请求信息进行哈希运算，得到哈希数据，并将哈希数据发送至用户身份识别卡；在接收到用户身份识别卡返回的签名数据时，形成包括认证请求信息和签名数据的证书请求数据包；根据证书请求数据包，获取数字证书。本发明实施例可以提高数字证书申请过程的可靠性和稳定性。

技术领域

本发明涉及电子认证技术领域，尤其涉及一种数字证书申请方法、签名服务系统、用户身份识别卡、数字证书申请系统、数字证书申请设备和计算机可读存储介质。

背景技术

近几年，互联网尤其是移动互联网发展迅速，安全、普适的移动签名产品是保护移动互联网业务安全的重要保障。传统的U盾、密码器在便携性、终端兼容性存在诸多不足，因此一种适用于移动互联网时代的电子认证技术应运而生，为各类账号安全、支付安全提供安全防护作用。

目前的数字证书申请方法如下：

1、移动签名平台通过移动网络向SIM卡发送数据短信请求生成P10数据包即证书请求数据包；

2、SIM卡生成公私钥对，组装P10数据包；

3、SIM卡将完整的P10数据包分成多条数据短信发送给移动签名平台；

4、移动签名平台将P10数据包发给数字证书签发平台以获取数字证书。

以上的数字证书申请方法存在以下缺点：

移动签名服务系统与SIM卡之间通过数据短信方式进行数据交互，P10数据包中包含多种信息。以长度为1024位的RSA算法为例，根据ASN.1编码方式生成的P10数据包的字节长度至少达到350字节以上。而一条数据短信最多承载长度为140字节的数据，除去数据短信的安全报文头外，SIM卡将完整的P10数据包发到移动签名服务系统，至少需要连续上发四条数据短信。考虑到短信时延及短信承载数据长度受限等因素，发送P10数据包所需的短信条数多，移动签名平台的等待时间较长，因此系统可靠性及稳定性较差。

发明内容

本发明实施例提供了一种数字证书申请方法、签名服务系统、用户身份识别卡、数字证书申请系统、数字证书申请设备和计算机可读存储介质。

第一方面，本发明实施例提供了一种数字证书申请方法，方法包括：

在接收到业务系统发送来的证书申请请求时，生成密钥对生成指令，并将所述密钥对生成指令发送至用户身份识别卡；

在接收到所述用户身份识别卡返回的公钥信息后，形成包括所述公钥信息的证书请求信息；

对所述证书请求信息进行哈希运算，得到哈希数据，并将所述哈希数据发送至所述用户身份识别卡；

在接收到所述用户身份识别卡返回的签名数据时，形成包括所述认证请求信息和所述签名数据的证书请求数据包；其中，所述签名数据为所述用户身份识别卡采用生成的密钥对中的私钥对所述哈希数据签名得到；

根据所述证书请求数据包，获取数字证书。

第二方面，本发明实施例提供了一种数字证书申请方法，方法包括：

在接收到签名服务系统发送来的密钥对生成指令时，生成密钥对，并将所述密钥对中的公钥信息返回至所述签名服务系统；

在接收到所述签名服务系统发送来的哈希数据时，采用所述密钥对中的私钥对所述哈希数据进行签名，得到签名数据，并将所述签名数据返回至所述签名服务系统。