[发明专利]一种证书预植系统及其方法

说明书

本发明涉及一种证书预植系统及其方法，该系统包括key厂商、证书预植机构和银行CA机构，银行CA机构颁发设备证书的根证书给key厂商；key厂商生产预植有设备证书的key设备，并将该key设备发送到证书预植机构；证书预植机构向银行CA机构发送包含签名的用户证书请求，由银行CA机构签发用户证书给证书预植机构，并由key设备将用户证书及设备证书进行比对，以完成用户证书预植过程。与现有技术相比，本发明通过在key设备中预植设备证书，在生成证书请求时将申请的证书的序列号与设备序列号进行比对、在签发证书时将申请的证书的序列号与设备序列号进行比对、在下载证书时将用户证书的序列号再次与设备序列号进行比对，以此有效防止非法下载用户证书的行为。

技术领域

本发明涉及数字证书安全技术领域，尤其是涉及一种证书预植系统及其方法。

背景技术

银行给客户发放证书用于电子银行交易在线认证，一般会使用USB key等设 备存放证书。为方便客户使用，银行需要在key设备中预植证书，并将携带用户证 书的key设备发放给客户，银行在发放key设备时，会预先将证书DN中的序列号 与客户号在银行系统中进行绑定。

签发证书的CA(Certificated Authority，认证机构)系统一般部署在银行内部，由银行自建，key厂商生产key设备，但是生产的key设备中不包含用户证书。银 行出于成本考虑，通常会委托证书预植机构做证书预植，即设备厂商将生产出来的 key设备发送给证书预植机构，证书预植机构再调用银行的接口将用户证书下载到 key设备中。

由于证书预植机构调用银行接口下载证书(key设备中生成公私钥对，将公钥 放在证书请求P10中导出，证书预植机构将证书请求P10提交给银行做签发证书， 然后将银行签发的公钥证书导入对应的key设备中)，在下载证书的过程中，一方 面，证书预植机构可能调用银行接口随意下载获取未经银行授权的用户证书，另一 方面，证书预植机构可能使用未经银行确认的key设备下载用户证书，为防止上述 现象的发生，目前大多通过商业协议约束证书预植机构的行为，但这种方式的约束 力较低，并不能真正有效防止证书预植机构非法下载用户证书的行为。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种证书预植系 统及其方法，以有效防止证书预植机构非法下载用户证书的行为。

本发明的目的可以通过以下技术方案来实现：一种证书预植系统，包括key 厂商、证书预植机构和银行CA机构，所述银行CA机构用于颁发设备证书的根证 书给key厂商；

所述key厂商与证书预植机构连接，用于生产预植有设备证书的key设备，并 将该key设备发送到证书预植机构；

所述证书预植机构与银行CA机构双向连接，用于向银行CA机构发送包含签 名的证书请求，由银行CA机构签发用户证书给证书预植机构，并由key设备将用 户证书及设备证书进行比对，以完成用户证书预植过程。

进一步地，所述key设备包括USB key和蓝牙key。

一种证书预植方法，包括以下步骤：

S1、银行CA机构颁发设备证书的根证书给key厂商；

S2、key厂商根据设备证书的根证书，生产预植有设备证书的key设备，并将 生产的key设备发送到证书预植机构；

S3、证书预植机构从key设备中获取包含签名的用户证书请求，并将该包含签 名的证书请求发送给银行CA机构；

S4、银行CA机构对证书请求进行验签，并进行序列号比对操作，若验签通过， 且序列号比对成功，则银行CA机构签发用户证书给证书预植机构，否则结束证书 预植过程；