一種證書管理方法及系統的制作方法
【專利摘要】本申請提供一種證書管理方法及系統,所述方法包括:步驟S1:獲取證書與AID的映射關系;步驟S2:判斷用戶需要的證書;步驟S3:從實例中調取用戶所需的證書;所述系統包括:映射模塊、判斷模塊和證書調取模塊。本申請提出的證書管理方法及系統,通過在手機KEY中存在多個證書,使得用戶不用帶多個USBKEY,使用更方便,并且通過設置證書管理系統,使證書的使用更為方便,用戶體驗性好,還通過在多證書選擇過程中加入用戶驗證機制,使用更安全,而且通過對過大的證書實現分段讀取,使手機KEY使用更流暢。
【專利說明】
一種證書管理方法及系統
技術領域
[0001 ]本申請涉及通信技術領域,特別是涉及一種證書管理方法及系統。
【背景技術】
[0002]數字認證證書是以數字證書為核心的加密技術,可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的安全性、完整性。使用了數字證書,即使發送的信息在網上被他人截獲,甚至用戶丟失了個人的賬戶、密碼等信息,仍可以保證賬戶、資金安全。簡單來說就是保障網上交易的安全。
[0003]USB KEY是一種智能存儲設備,可用于存放用戶證書。目前USB KEY的應用越來越廣泛,在各種場合都有通過證書實現高安全級別的應用系統。不同的應用系統使用的證書在有效期、密鑰用法、證書屬性都有區別,很難做到用一類證書來滿足所有的應用,所以需要為各個應用系統簽發不同的證書。
[0004]多類證書的保存目前有二種方式:I)將每類證書寫入獨立的介質設備,一個USB設備只保存一類證書;2)多類證書都寫入一個USB設備。
[0005]上述第一種方式由于不同的證書寫入到不同的USB KEY,在證書應用數量大時會給用戶帶來不方便,用戶需要攜帶多個USB設備,在使用不同應用時還需要頻繁的切換KEY,操作繁瑣。
[0006]上述第二種方式雖然可以避開第一種方式的缺點,但由于目前證書應用最常用的CSP()接口,在介質存在多張證書時,會將所有證書同時導入到操作系統的個人證書庫,用戶進行證書應用時需要在多個中選擇一個合適的證書,而這些證書通常只有密鑰用法、有效期有區別,對于普通用戶很難區分,這也是目前普通使用第一種方式來保存多類證書的原因。
【發明內容】
[0007]為了解決上述問題,本申請提供一種證書管理方法及系統
[0008]本申請提出一種證書管理方法,包括:
[0009]步驟S1:獲取證書與AID(applicat1n identifier,應用標識)的映射關系;
[0010]步驟S2:判斷用戶需要的證書;
[0011]步驟S3:從實例中調取用戶所需的證書。
[0012]優選的,所述步驟S1、獲取證書與AID的映射關系,包括:
[0013]步驟SlOl:在SE中創建一個實例,在實例中安裝證書;
[0014]步驟S102:在TA中通過截取選擇AID指令截取安裝在當前實例中的AID;
[0015]步驟S103:將這些AID儲存在數據庫;
[0016]步驟S104: TA建立證書信息與AID的映射關系;
[0017]步驟S105:重復步驟SlOl至S104,得到多個證書與多個AID的映射關系。
[0018]優選的,所述步驟S3、從實例中調取用戶所需的證書,包括:
[0019]步驟S301:CA發出調用證書的選擇AID指令;
[0020]步驟S302:訪問控制初始化;
[0021]步驟S303:訪問控制過濾查看CA是否有訪問該證書的權限,如果是則執行步驟S304,否則結束該方法;
[0022]步驟S304: TA讀取存儲的AID,獲取證書的信息;
[0023]步驟S305:然后將讀取的證書信息返回到CA;
[0024]步驟S306:CA選擇證書;
[0025]步驟S307: TA查看映射關系得到對應的AID;
[0026]步驟S308: TA通過此AID建立與SE的通信鏈路。
[0027]更優選的,在執行步驟S304之后執行如下操作:
[0028]步驟S3041:判斷證書文件大小,如果大于255字節執行步驟S3042,否則執行步驟S305;
[0029]步驟S3042:將證書文件進行分段讀取,執行步驟S305。
[0030]優選的,執行步驟S2、判斷用戶需要的證書時,需要對用戶身份進行判斷;
[0031 ]對身份進行判斷包括密碼識別,生物特征識別中的一種或多種。
[0032]本申請還提出一種證書管理系統,包括:
[0033]映射模塊、判斷模塊和證書調取模塊;
[0034]其中映射模塊:用于獲取證書與AID的映射關系;
[0035]所述判斷模塊:用于判斷用戶需要的證書;
[0036]所述證書調取模塊用于從實例中調取用戶所需的證書。
[0037]優選的,所述映射模塊包括:
[0038]證書創建單元、AID截取單元、存儲單元和映射建立單元;
[0039]其中證書創建單元,用于在SE中創建實例,并在實例中安裝證書;
[0040]所述AID截取單元,用于在TA中通過截取選擇AID指令截取安裝在當前實例中的AID;
[0041 ]所述存儲單元,用于將獲取的AID儲存在數據庫;
[0042]所述映射建立單元,用于在TA中建立證書信息與AID的映射關系。
[0043]優選的,所述證書調取模塊包括:
[0044]AID選擇單元、初始化單元、判定單元、數據交互單元和數據讀取單元;
[0045]其中AID選擇單元,用于發出調用證書的選擇AID指令;
[0046]所述初始化單元,用于執行初始化;
[0047]所述判定單元,用于查看CA是否有訪問該證書的權限;
[0048]所述數據交互單元,用于讀取存儲的AID,獲取證書的信息,并將讀取的證書信息返回到CA;
[0049]所述數據讀取單元,用于選擇證書,并查看映射關系得到對應的AID,通過此AID建立與SE的通信鏈路。
[0050]更優選的,所述證書調取模塊還包括文件大小判斷模塊和文件拆分模塊;
[0051]其中文件大小判斷模塊:用于判斷證書文件大小是否大于255字節;
[0052]所述文件拆分模塊:用于將過大的證書文件進行分段讀取。
[0053]本申請還提出一種帶有多證書的手機KEY(即手機密鑰設備),使用上述的證書管理系統。
[0054]上述本發明提出的一種證書管理方法及系統,獲得了以下技術效果:
[0055]1、本申請提出的證書管理方法及系統,通過在手機KEY中存在多個證書,使得用戶不用帶多個USBKEY,使用更方便。
[0056]2、本申請提出的證書管理方法及系統,通過設置證書管理系統,使證書的使用更為方便,用戶體驗性好。
[0057]3、本申請提出的證書管理方法及系統,通過在多證書選擇過程中加入用戶驗證機制,使用更安全。
[0058]4、本申請提出的證書管理方法及系統,通過對過大的證書實現分段讀取,使手機KEY使用更流暢。
【附圖說明】
[0059]為了更清楚地說明本申請實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實施例,對于本領域普通技術人員來講,還可以根據這些附圖獲得其他的附圖。
[0060]圖1是本申請帶有多證書的手機KEY的結構示意圖;
[0061 ]圖2是本申請證書管理系統的結構示意圖;
[0062]圖3是本申請映射模塊的結構示意圖;
[0063]圖4是本申請證書調取模塊的結構示意圖;
[0064]圖5是本申請證書管理方法的流程圖;
[0065]圖6是本申請獲取證書與AID的映射關系的方法流程圖;
[0066]圖7是本申請從實例中調取用戶所需的證書的方法流程圖;
[0067]圖8是本申請判斷證書文件大小的方法流程圖;
[0068]圖9是本申請實施例1的映射關系不意圖。
【具體實施方式】
[0069]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述。
[0070]本申請提出一種證書管理系統,如圖2所示,包括:
[0071 ]映射模塊21、判斷模塊22和證書調取模塊23;
[0072]其中映射模塊21:用于獲取證書與AID(applicat1n identifier應用標識)的映射關系;
[0073]映射模塊21,如圖3所示,又包括:
[0074]證書創建單元31、AID截取單元32、存儲單元33和映射建立單元34;
[0075]其中證書創建單元31,用于在SE(Secure Element安全元件)中創建實例,并在實例中安裝證書;
[0076]其中,在創建實例之前,首先對SE空間進行判斷,判斷是否有空間進行實例創建,如果有空間則對SE空間進行劃分,劃分出實例建立區,并在實例建立區中建立實例,以存放證書文件。AID截取單元32,用于在TA中通過截取選擇AID指令截取安裝在當前實例中的AID;
[0077]存儲單元33,用于將獲取的AID儲存在數據庫;
[0078]映射建立單元34,用于在TA(Trusted Applicat1n受信應用)中建立證書信息與AID的映射關系。
[0079]判斷模塊22:用于判斷用戶需要的證書;
[0080]具體的,映射模塊21安裝完多個證書之后,用戶在手機上進行操作,當用戶啟動手機KEY時,手機KEY向用戶發出提示,用戶根據提示進行選擇證書操作。
[0081]上述向用戶提示的方式包括彈出窗口讓用戶選擇,讓用戶在輸入框中輸入,讓用戶以語音方式輸入,讓用戶以手勢選擇中的一種或多種。
[0082]證書調取模塊23用于從實例中調取用戶所需的證書。
[0083]如圖4所示,證書調取模塊23包括:
[0084]AID選擇單元41、初始化單元42、判定單元43、數據交互單元44和數據讀取單元45;
[0085]其中AID選擇單元41,用于發出調用證書的選擇AID指令;
[0086]初始化單元42,用于執行初始化;
[0087]判定單元43,用于查看CA(Client Applicat1n用戶應用)是否有訪問該證書的權限;
[0088]數據交互單元44,用于讀取存儲的AID,獲取證書的信息,并將讀取的證書信息返回到CA;
[0089]數據讀取單元45,用于選擇證書,并查看映射關系得到對應的AID,通過此AID建立與SE的通信鏈路。
[0090]證書調取模塊23還包括文件大小判斷模塊和文件拆分模塊;
[0091]其中文件大小判斷模塊:用于判斷證書文件大小是否大于255字節;
[0092]所述文件拆分模塊:用于將過大的證書文件進行分段讀取。
[0093]上述依據圖1-4介紹了本申請提出的證書管理系統,接下來依據圖5-9介紹本申請提出的證書管理方法。
[0094]本申請還提出一種證書管理方法,如圖5所示,包括:
[0095]步驟S1:獲取證書與AID的映射關系;
[0096]如圖6所示,步驟S1、獲取證書與AID的映射關系,又包括:
[0097]步驟SlOl:在SE中創建一個實例,在實例中安裝證書;
[0098]其中,在創建實例之前,首先對SE空間進行判斷,判斷是否有空間進行實例創建,如果有空間則對SE空間進行劃分,劃分出實例建立區,并在實例建立區中建立實例,以存放證書文件。
[0099]步驟S102:在TA中通過截取選擇AID指令截取安裝在當前實例中的AID:
[0100]步驟S103:將這些AID儲存在數據庫;
[0101 ]步驟S104: TA建立證書信息與AID的映射關系;
[0102]步驟S105:重復步驟SlOl至S104,得到多個證書與多個AID的映射關系。
[0103]步驟S2:判斷用戶需要的證書;
[0104]具體的,通過上述方法安裝完多個證書之后,用戶在手機上進行操作,當用戶啟動手機KEY時,手機KEY向用戶發出提示,用戶根據提示進行選擇證書操作。
[0105]上述向用戶提示的方式包括彈出窗口讓用戶選擇,讓用戶在輸入框中輸入,讓用戶以語音方式輸入,讓用戶以手勢選擇中的一種或多種。
[0106]其中,在執行步驟S2、判斷用戶需要的證書時,需要對用戶身份進行判斷;對身份進行判斷包括密碼識別,生物特征識別中的一種或多種。
[0107]步驟S3:從實例中調取用戶所需的證書。
[0108]如圖7所示,步驟S3、從實例中調取用戶所需的證書,包括:
[0109]步驟S301:CA發出調用證書的選擇AID指令;
[0110]步驟S302:訪問控制初始化;
[0111]步驟S303:訪問控制過濾查看CA是否有訪問該證書的權限,如果是則執行步驟S304,否則結束該方法;
[0112]步驟S304: TA讀取存儲的AID,獲取證書的信息;
[0113]其中,在執行步驟S304之后執行如下操作,如圖8所示:
[0114]步驟S3041:判斷證書文件大小,如果大于255字節執行步驟S3042,否則執行步驟S305;
[0115]步驟S3042:將證書文件進行分段讀取,執行步驟S305。
[0116]步驟S305:然后將讀取的證書信息返回到CA;
[0117]步驟S306:CA選擇證書;
[0118]步驟S307: TA查看映射關系得到對應的AID ;
[0119]步驟S308: TA通過此AID建立與SE的通信鏈路。
[0120]本申請還提出一種帶有多證書的手機KEY,使用上述的證書管理方法。
[0121]具體的,如圖9所示,作為本申請的實施例1:
[0122]手機KEY 包括 SE、TA、CA;
[0123]其中,如圖9所示,獲取證書階段在SE中建立實例I,并在實例I中安裝證書I,在TA中通過截取選擇AID指令截取安裝在當前實例中的AIDl,然后將AIDl存儲在數據庫中,并在TA中建立證書I信息與AIDl的映射關系,由上完成證書I的獲取;
[0124]通過反復執行上述操作可以得到圖9中的證書I至證書η與AIDl至AIDn的映射關系;
[0125]其后,用戶需要用到證書3,CA發出調用證書3的選擇AID指令,手機KEY執行初始化過程,并對CA進行驗證,驗證是否有訪問證書3的權限,如果沒有則中斷操作,并向手機KEY發出警示,如果有權限則讓TA讀取存儲在服務器的AID3,對證書信息的大小進行判斷,本例中證書3的大小為500字節,大于255字節,采用分段讀取的方式對證書3進行讀取;將讀取的證書3的信息發送到CA,CA由這些信息選擇證書3為用戶需要的證書,TA查看服務器中證書3對應的的AID,并有此AID建立與SE的通信鏈路,其后用戶便可使用證書3。
[0126]更具體的,上述手機KEY可以適用于手機客戶端、平板電腦、智能電視等智能設備上。
[0127]以上所述,僅是本發明的較佳實施例,并非對本發明作任何形式上的限制,雖然本發明已以較佳實施例揭露如上,然而并非用以限定本發明,任何熟悉本專業的技術人員,在不脫離本發明技術方案范圍內,當可利用上述揭示的技術內容作出些許更動或修飾為等同變化的等效實施例,但凡是未脫離本發明技術方案的內容,依據本發明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾,均仍屬于本發明技術方案的范圍內。
【主權項】
1.一種證書管理方法,其特征在于,包括: 步驟SI:獲取證書與應用標識的映射關系; 步驟S2:判斷用戶需要的證書; 步驟S3:從實例中調取用戶所需的證書。2.如權利要求1所述的證書管理方法,其特征在于,所述步驟S1、獲取證書與應用標識的映射關系,包括: 步驟SlOl:在安全元件中創建一個實例,在實例中安裝證書; 步驟S102:在受信應用中通過截取選擇應用標識指令截取安裝在當前實例中的應用標識; 步驟S103:將這些應用標識儲存在數據庫; 步驟S104:受信應用建立證書信息與應用標識的映射關系; 步驟S105:重復步驟SlOl至S104,得到多個證書與多個應用標識的映射關系。3.如權利要求1所述的證書管理方法,其特征在于,所述步驟S3、從實例中調取用戶所需的證書,包括: 步驟S301:用戶應用發出調用證書的選擇應用標識指令; 步驟S302:訪問控制初始化; 步驟S303:訪問控制過濾查看用戶應用是否有訪問該證書的權限,如果是則執行步驟S304,否則結束該方法; 步驟S304:受信應用讀取存儲的應用標識,獲取證書的信息; 步驟S305:然后將讀取的證書信息返回到用戶應用; 步驟S306:用戶應用選擇證書; 步驟S307:受信應用查看映射關系得到對應的應用標識; 步驟S308:受信應用通過此應用標識建立與安全元件的通信鏈路。4.如權利要求3所述的證書管理方法,其特征在于,在執行步驟S304之后執行如下操作: 步驟S3041:判斷證書文件大小,如果大于255字節執行步驟S3042,否則執行步驟S305 ; 步驟S3042:將證書文件進行分段讀取,執行步驟S305。5.如權利要求1所述的證書管理方法,其特征在于,執行步驟S2、判斷用戶需要的證書時,需要對用戶身份進行判斷; 對身份進行判斷包括密碼識別,生物特征識別中的一種或多種。6.一種證書管理系統,其特征在于,包括: 映射模塊、判斷模塊和證書調取模塊; 其中映射模塊:用于獲取證書與應用標識的映射關系; 所述判斷模塊:用于判斷用戶需要的證書; 所述證書調取模塊用于從實例中調取用戶所需的證書。7.如權利要求6所述的證書管理系統,其特征在于,所述映射模塊包括: 證書創建單元、應用標識截取單元、存儲單元和映射建立單元; 其中證書創建單元,用于在安全元件中創建實例,并在實例中安裝證書; 所述應用標識截取單元,用于在受信應用中通過截取選擇應用標識指令截取安裝在當前實例中的應用標識; 所述存儲單元,用于將獲取的應用標識儲存在數據庫; 所述映射建立單元,用于在受信應用中建立證書信息與應用標識的映射關系。8.如權利要求6所述的證書管理系統,其特征在于,所述證書調取模塊包括: 應用標識選擇單元、初始化單元、判定單元、數據交互單元和數據讀取單元; 其中應用標識選擇單元,用于發出調用證書的選擇應用標識指令; 所述初始化單元,用于執行初始化; 所述判定單元,用于查看用戶應用是否有訪問該證書的權限; 所述數據交互單元,用于讀取存儲的應用標識,獲取證書的信息,并將讀取的證書信息返回到用戶應用; 所述數據讀取單元,用于選擇證書,并查看映射關系得到對應的應用標識,通過此應用標識建立與安全元件的通信鏈路。9.如權利要求8所述的證書管理系統,其特征在于,還包括文件大小判斷模塊和文件拆分模塊; 其中文件大小判斷模塊:用于判斷證書文件大小是否大于255字節; 所述文件拆分模塊:用于將過大的證書文件進行分段讀取。10.—種帶有多證書的手機KEY,其特征在于,使用權利要求6-9中任一所述的證書管理系統。
【文檔編號】H04L29/06GK105871840SQ201610193190
【公開日】2016年8月17日
【申請日】2016年3月30日
【發明人】尚玉, 楊俊 , 杜立翠
【申請人】恒寶股份有限公司