專利名稱:基于數(shù)字證書的密碼學操作方法及裝置的制作方法
技術領域:
本發(fā)明涉及數(shù)字證書技術領域���,尤其涉及一種基于數(shù)字證書的密碼學操作方法和一種基于數(shù)字證書的密碼學操作裝置�����。
背景技術:
隨著互聯(lián)網(wǎng)及業(yè)務系統(tǒng)應用的逐步深入����,電子商務系統(tǒng)技術使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時也增加了某些敏感或有價值的數(shù)據(jù)被濫用的風險�����。如何防范風險�,增強網(wǎng)上安全問題顯得尤為重要。PKI (Public KeyInfrastructure�,公鑰基礎設施),是一種遵循既定標準的密鑰管理平臺�����,它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系�,有效保證用戶的身份安全和數(shù)據(jù)安全。然而數(shù)字證書實質上表現(xiàn)為帶有用戶信息和密鑰的一個數(shù)據(jù)文件��,如何保護數(shù)字證書本身又成為PKI體系中最薄弱的環(huán)節(jié)�,目前一般的做法是采用USB Key來保存數(shù)字證書和用戶私鑰。每個USB Key都帶有PIN(Personal Identification Number,個人識別密碼)碼保護��,這樣USB Key的硬件和PIN碼構成了可以使用證書的兩個必要因子�,即雙因素認證���。USB Key是一種USB接口的硬件設備�,主體是一塊安全芯片,私鑰和數(shù)字證書存儲在此安全芯片硬件裝置中�����。并且����,安全芯片具備計算能力,支持生成密鑰對�、數(shù)字簽名和加解密等計算任務。USB Key的優(yōu)點是���,個人計算機上的操作系統(tǒng)無法獲知PKI證書����、密鑰對等信息���。但USB Key安全芯片的存儲容量非常有限��,通常只有32KB�����,限制了 USB Key作為通用的解決方案���。此外����,USB Key雖然無需安裝驅動����,但畢竟是硬件設備,無法使用Windows自帶的CSP程序�����。因此USB Key的廠商需要開發(fā)并提供能管理和使用此硬件設備的CSP程序�����,而用戶需安裝此CSP程序才能使用USB Key0因此���,增加了廠商的開發(fā)成本��,影響了用戶體驗���。另外����,密碼學操作需要在USB Key中執(zhí)行����,消耗了用戶終端的資源���。
發(fā)明內容
基于此��,本發(fā)明提供了一種基于數(shù)字證書的密碼學操作方法和一種基于數(shù)字證書的密碼學操作裝置����。一種基于數(shù)字證書的密碼學操作方法�,包括以下步驟:在接入設備中查詢與登錄用戶對應的數(shù)字證書,將查詢到的所述數(shù)字證書返回至所述登錄用戶���;其中��,所述接入設備中預存有各個用戶的數(shù)字證書��;所述接入設備接收所述登錄用戶提交的密碼學操作請求�;所述接入設備根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作�����,將操作結果返回至所述登錄用戶。與一般技術相比��,本發(fā)明基于數(shù)字證書的密碼學操作方法采用接入設備集中存儲和管理用戶數(shù)字證書��,可以批量更新證書���,不存在證書丟失的問題�,克服了 USB Key存儲容量不足的問題�。用戶不需要插入USB Key,只需輸入PIN碼就可實現(xiàn)基于數(shù)字證書的認證����,提升了用戶體驗。本發(fā)明避免了 USB Key的開發(fā)��,密碼學操作由接入設備完成����,節(jié)省了用戶終端的資源,提高用戶終端運行效率����。在其中一種實施例中����,所述接入設備對預存的各個用戶的數(shù)字證書進行批量更新�。在其中一種實施例中���,在所述在接入設備中查詢與登錄用戶對應的數(shù)字證書的步驟之前��,包括以下步驟:所述接入設備對所述登錄用戶進行身份驗證����。在其中一種實施例中���,在所述在接入設備中查詢與登錄用戶對應的數(shù)字證書的步驟之前�,包括以下步驟:所述接入設備對分別分配給各個用戶的數(shù)字證書�、私鑰和用于對PIN碼進行驗證的驗證碼進行預存;其中���,所述數(shù)字證書���、所述私鑰和所述驗證碼一一對應。在其中一種實施例中���,所述接入設備根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作的步驟�����,包括以下步驟:如果所述密碼學操作請求不需要私鑰���,則所述接入設備執(zhí)行相應的密碼學操作���;如果所述密碼學操作請求需要私鑰,則所述接入設備根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證���,驗證通過后調用所述私鑰執(zhí)行相應的密碼學操作�����。在其中一種實施例中�����,所述接入設備根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證的步驟�,包括以下步驟:所述接入設備接收所述登錄用戶輸入的PIN碼����;所述接入設備根據(jù)預設的運算方法對接收的所述PIN碼進行運算����;如果上述運算結果與所述驗證碼一致��,則驗證通過��。在其中一種實施例中�,所述接入設備接收所述登錄用戶提交的密碼學操作請求的步驟�����,包括以下步驟:所述登錄用戶通過IE提交密碼學操作請求����;IE通過CryptoAPI將所述密碼學操作請求發(fā)送至用戶端的加密服務提供程序;所述加密服務提供程序將所述密碼學操作請求發(fā)送至所述接入設備����;所述接入設備接收所述密碼學操作請求;所述接入設備將操作結果返回至所述登錄用戶的步驟�����,包括以下步驟:所述接入設備將所述操作結果發(fā)送至用戶端的加密服務提供程序��;所述加密服務提供程序通過CryptoAPI將所述操作結果發(fā)送至IE。在其中一種實施例中��,所述密碼學操作請求包括簽名�、驗證、加密和/或解密的操作請求���。一種基于數(shù)字證書的密碼學操作裝置�����,包括查詢模塊��、接收模塊和執(zhí)行模塊��;所述查詢模塊���,用于在接入設備中查詢與登錄用戶對應的數(shù)字證書,將查詢到的所述數(shù)字證書返回至所述登錄用戶�;其中,所述接入設備中預存有各個用戶的數(shù)字證書����;所述接收模塊,用于在所述接入設備上接收所述登錄用戶提交的密碼學操作請求;所述執(zhí)行模塊���,用于在所述接入設備上根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作���,將操作結果返回至所述登錄用戶。
與一般技術相比�����,本發(fā)明基于數(shù)字證書的密碼學操作裝置采用接入設備集中存儲和管理用戶數(shù)字證書�,可以批量更新證書,不存在證書丟失的問題���,克服了 USB Key存儲容量不足的問題。用戶不需要插入USB Key����,只需輸入PIN碼就可實現(xiàn)基于數(shù)字證書的認證,提升了用戶體驗����。本發(fā)明避免了 USB Key的開發(fā),密碼學操作由接入設備完成�,節(jié)省了用戶終端的資源,提高用戶終端運行效率����。在其中一種實施例中�,本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括預存模塊���,所述預存模塊在所述接入設備上對分別分配給各個用戶的數(shù)字證書����、私鑰和用于對PIN碼進行驗證的驗證碼進行預存��;其中����,所述數(shù)字證書、所述私鑰和所述驗證碼一一對應�。
圖1為本發(fā)明基于數(shù)字證書的密碼學操作方法的流程示意圖;圖2為實施本發(fā)明基于數(shù)字證書的密碼學操作方法的系統(tǒng)示意圖�;圖3為本發(fā)明基于數(shù)字證書的密碼學操作方法一個優(yōu)選實施例的流程示意圖;圖4為本發(fā)明基于數(shù)字證書的密碼學操作裝置的結構示意圖����。
具體實施例方式為更進一步闡述本發(fā)明所采取的技術手段及取得的效果,下面結合附圖及較佳實施例�����,對本發(fā)明的技術方案,進行清楚和完整的描述�。請參閱圖1,為本發(fā)明基于數(shù)字證書的密碼學操作方法的流程示意圖���。本發(fā)明基于數(shù)字證書的密碼學操作方法�����,包括以下步驟:SlOl在接入設備中查詢與登錄用戶對應的數(shù)字證書�,將查詢到的所述數(shù)字證書返回至所述登錄用戶�;其中,所述接入設備中預存有各個用戶的數(shù)字證書����;S102所述接入設備接收所述登錄用戶提交的密碼學操作請求;S103所述接入設備根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作����,將操作結果返回至所述登錄用戶��。在步驟SlOl中�,對局域網(wǎng)內的每一個用戶分配一張數(shù)字證書、一個私鑰和一個PIN碼,其中����,所述數(shù)字證書、所述私鑰和所述PIN碼一一對應�。所有用戶的數(shù)字證書和私鑰都集中存儲在接入設備中,接入設備中還存有對PIN碼進行驗證的驗證碼�。用戶只需要保存PIN碼,證書管理和簽名��、驗證�、加密、解密等密碼學操作均由接入設備完成�。用戶可以通過虛擬CSP (Cryptographic Service Provider,加密服務提供程序)接口,通過TCP/IP將證書操作��、密碼學操作傳送到接入設備執(zhí)行���。在其中一種實施例中����,在接入設備中查詢與登錄用戶對應的數(shù)字證書之前�,所述接入設備對分別分配給各個用戶的數(shù)字證書、私鑰和用于對PIN碼進行驗證的驗證碼進行預存���;其中�����,所述數(shù)字證書�����、所述私鑰和所述驗證碼一一對應�。在其中一種實施例中,所述接入設備對預存的各個用戶的數(shù)字證書進行批量更新����。在所述將數(shù)字證書和所述驗證碼集中存儲在一個接入設備中之后,可對所述接入設備中存儲的各個用戶的數(shù)字證書進行批量更新�����,這樣可及時存儲用戶的最新數(shù)字證書�,提高了安全性。并且����,批量更新的方式也降低了處理復雜度��,效率更高??蛻舳丝刹捎锰摂MCSP代替Windows內置的CSP程序。虛擬CSP與IE之間采用Microsoft提供的加密應用程序接口(即Cryptography API, CryptoAPI),這樣IE不需要做任何修改��,即可安全的通過CryptoAPI調用虛擬CSP�����。虛擬CSP與接入設備之間建立安全通道�����,所有的密碼學操作由虛擬CSP發(fā)送至接入設備完成����。虛擬CSP和接入設備之間可預先建立好安全通道。IE將通過加密應用編程接口(即CryptoAPI)函數(shù)枚舉到虛擬CSP�����,并通過加密系統(tǒng)編程接口(即CryptoAPI)與虛擬CSP通信����。作為其中一個優(yōu)選的實施例,請參閱圖2���,為實施本發(fā)明基于數(shù)字證書的密碼學操作方法的系統(tǒng)示意圖�����。接入設備分為三個模塊:證書管理����、密碼學計算和網(wǎng)絡管理模塊。證書管理模塊保管局域網(wǎng)所有用戶的數(shù)字證書���、私鑰和用于對PIN碼進行驗證的驗證碼�����。密碼學計算模塊完成簽名�����、驗證���、加密和解密等操作。網(wǎng)絡管理模塊實現(xiàn)連接網(wǎng)絡的功能����。實際應用中����,接入設備可以基于路由器��、網(wǎng)關等開發(fā)�。請參閱圖3��,為本發(fā)明基于數(shù)字證書的密碼學操作方法一個優(yōu)選實施例的流程示意圖�。在其中一種實施例中,在接入設備中查詢與登錄用戶對應的數(shù)字證書之前����,所述接入設備對所述登錄用戶進行身份驗證?���?刹捎肞ortal認證的方式對用戶的身份進行驗證,在增強安全性的同時����,減少了不必要的處理操作(如在無用戶登錄的情況下執(zhí)行查詢步驟等)。用戶身份驗證可采用如下步驟進行:虛擬CSP與接入設備進行身份鑒別����,互相驗證對方的身份���,若驗證通過,則接入設備綁定用戶用于對PIN碼進行驗證的驗證碼���、數(shù)字證書和私鑰�����,并返回用戶證書���。具體的鑒別方式可采用Portal認證等。在其中一種實施例中���,在步驟S102中���,所述接入設備接收所述登錄用戶提交的密碼學操作請求的步驟,包括以下步驟:所述登錄用戶通過IE提交密碼學操作請求��;IE通過CryptoAPI將所述密碼學操作請求發(fā)送至用戶端的加密服務提供程序��;所述加密服務提供程序將所述密碼學操作請求發(fā)送至所述接入設備�;所述接入設備接收所述密碼學操作請求;在其中一種實施例中,所述密碼學操作請求包括簽名���、驗證����、加密和/或解密的操作請求�。對于本領域普通技術人員在閱讀本專利后����,所述密碼學操作請求還可以為其它類型。在步驟S102中���,用戶在IE上提交簽名��、驗證��、加密�、解密等密碼學操作����;IE通過CryptoAPI向虛擬CSP請求操作;若密碼學操作請求不需要使用用戶私鑰�����,虛擬CSP發(fā)送密碼學操作請求給接入設備;否則���,虛擬CSP檢查用戶是否輸入過PIN碼����,若輸入過且PIN碼正確����,發(fā)送密碼學操作請求給接入設備,否則�����,要求用戶輸入PIN碼����;用戶輸入PIN碼,虛擬CSP將PIN碼和密碼學操作發(fā)送給接入設備�。在其中一種實施例中,在步驟S103中���,如果所述密碼學操作請求不需要私鑰�����,則所述接入設備執(zhí)行相應的密碼學操作�����;如果所述密碼學操作請求需要私鑰�,則所述接入設備根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證,驗證通過后調用所述私鑰執(zhí)行相應的密碼學操作�����。在其中一種實施例中�����,所述接入設備接收所述登錄用戶輸入的PIN碼�;所述接入設備根據(jù)預設的運算方法對接收的所述PIN碼進行運算���;如果上述運算結果與所述驗證碼一致�,則驗證通過��。例如����,若密碼學操作請求不需要使用用戶私鑰�����,可通過虛擬CSP發(fā)送密碼學操作請求給接入設備�����,則接入設備執(zhí)行密碼學操作��,并將結果返回給虛擬CSP�����。然后通過虛擬CSP將操作結果返回給IE���,IE將操作結果顯示給用戶。在步驟S103中�����,所述接入設備將操作結果返回至所述登錄用戶的步驟���,包括以下步驟:所述接入設備將所述操作結果發(fā)送至用戶端的加密服務提供程序�����;所述加密服務提供程序通過CryptoAPI將所述操作結果發(fā)送至IE�。在所述接入設備將操作結果返回給用戶之后,所述接入設備接收到用戶發(fā)送的登出請求后���,解除該用戶所述數(shù)字證書��、所述私鑰和所述用于對PIN碼進行驗證的驗證碼之間的綁定���。用戶登出的過程可包括:用戶點擊Portal認證網(wǎng)站的登出按鈕;IE通過CryptoAPI向虛擬CSP請求卸載證書�;虛擬CSP刪除本地證書,并向接入設備發(fā)送解除綁定請求�����;接入設備收到請求后��,解除驗證碼和用戶私鑰的對應關系���,發(fā)送響應給虛擬CSP ;虛擬CSP收到響應后,返回給IE���,用戶登出成功��。與一般技術相比����,本發(fā)明基于數(shù)字證書的密碼學操作方法采用接入設備集中存儲和管理用戶數(shù)字證書,可以批量更新證書����,不存在證書丟失的問題,克服了 USB Key存儲容量不足的問題����。用戶不需要插入USB Key,只需輸入PIN碼就可實現(xiàn)基于數(shù)字證書的認證���,提升了用戶體驗���。本發(fā)明避免了 USB Key的開發(fā),密碼學操作由接入設備完成�����,節(jié)省了用戶終端的資源�,提高用戶終端運行效率�����。對局域網(wǎng)內每一個用戶分配一張證書和一個PIN碼�,證書和PIN碼 對應�,所有用戶的證書和對應的PIN碼都集中存儲在一個接入設備中。用戶只需要保存PIN碼���,證書管理和簽名�、驗證�����、加密����、解密等密碼學操作均由接入設備完成。用戶可以通過虛擬CSP(加密服務提供程序)接口����,通過TCP/IP將證書操作��、密碼學操作傳送到接入設備執(zhí)行��。在一些特定領域,如銀行�����、政府機關等����,用戶人數(shù)比較少,且應用也比較固定��,可以采用一種證書集中存儲和使用的方式�,既可實現(xiàn)USB Key的安全性高、不易丟失優(yōu)點�,又可解決USB Key存儲容量不足問題,并可提高用戶體驗��,降低開發(fā)成本�����。本發(fā)明在不改變用戶體驗的條件下��,將密碼學操作轉移到服務端(即接入設備)�����,用戶端的應用程序不需進行改造。請參閱圖4����,為本發(fā)明基于數(shù)字證書的密碼學操作裝置的結構示意圖。本發(fā)明基于數(shù)字證書的密碼學操作裝置���,包括查詢模塊401�����、接收模塊402和執(zhí)行模塊403 ��;所述查詢模塊401�����,用于在接入設備中查詢與登錄用戶對應的數(shù)字證書�����,將查詢到的所述數(shù)字證書返回至所述登錄用戶��;其中,所述接入設備中預存有各個用戶的數(shù)字證書;所述接收模塊402����,用于在所述接入設備上接收所述登錄用戶提交的密碼學操作請求��;所述執(zhí)行模塊403����,用于在所述接入設備上根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作�,將操作結果返回至所述登錄用戶。
在其中一個實施例中����,本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括更新模塊,所述更新模塊用于在所述接入設備上對預存的各個用戶的數(shù)字證書進行批量更新����。在其中一個實施例中,本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括身份驗證模塊�����,在接入設備中查詢與登錄用戶對應的數(shù)字證書之前�����,所述身份驗證模塊用于在所述接入設備上對所述登錄用戶進行身份驗證。在其中一個實施例中�,本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括預存模塊,在接入設備中查詢與登錄用戶對應的數(shù)字證書之前���,所述預存模塊在所述接入設備上對分別分配給各個用戶的數(shù)字證書�����、私鑰和用于對PIN碼進行驗證的驗證碼進行預存�����;其中�,所述數(shù)字證書�����、所述私鑰和所述驗證碼一一對應�。在其中一個實施例中,如果所述接收模塊402接收的所述密碼學操作請求不需要私鑰��,則所述執(zhí)行模塊403在所述接入設備上執(zhí)行相應的密碼學操作�����;如果所述接收模塊402接收的所述密碼學操作請求需要私鑰,則所述執(zhí)行模塊403在所述接入設備上根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證���,驗證通過后調用所述私鑰執(zhí)行相應的密碼學操作。在其中一個實施例中��,本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括PIN碼驗證模塊����,所述PIN碼驗證模塊用于在所述接入設備上接收所述登錄用戶輸入的PIN碼;以及在所述接入設備上根據(jù)預設的運算方法對接收的所述PIN碼進行運算�;如果上述運算結果與所述驗證碼一致,則所述PIN碼驗證模塊通過此PIN碼驗證�。在其中一個實施例中:所述登錄用戶通過IE提交密碼學操作請求;IE通過CryptoAPI將所述密碼學操作請求發(fā)送至用戶端的加密服務提供程序����;所述加密服務提供程序將所述密碼學操作請求發(fā)送至所述接入設備;所述接收模塊402在所述接入設備上接收所述密碼學操作請求����;本發(fā)明基于數(shù)字證書的密碼學操作裝置還包括發(fā)送模塊,所述發(fā)送模塊用于在所述接入設備上將所述操作結果發(fā)送至用戶端的加密服務提供程序�����;所述加密服務提供程序通過CryptoAPI將所述操作結果發(fā)送至IE。在其中一個實施例中��,所述密碼學操作請求可包括簽名���、驗證�����、加密和/或解密的操作請求�。與一般技術相比����,本發(fā)明基于數(shù)字證書的密碼學操作裝置采用接入設備集中存儲和管理用戶數(shù)字證書,可以批量更新證書�,不存在證書丟失的問題,克服了 USB Key存儲容量不足的問題�����。用戶不需要插入USB Key���,只需輸入PIN碼就可實現(xiàn)基于數(shù)字證書的認證����,提升了用戶體驗。本發(fā)明避免了 USB Key的開發(fā)�,密碼學操作由接入設備完成,節(jié)省了用戶終端的資源�,提高用戶終端運行效率。本發(fā)明在不改變用戶操作復雜度的條件下��,將密碼學操作轉移到服務端(即接入設備)�����,用戶端的應用程序不需進行改造����。以上所述實施例僅表達了本發(fā)明的幾種實施方式����,其描述較為具體和詳細,但并不能因此而理解為對本發(fā)明專利范圍的限制�。應當指出的是,對于本領域的普通技術人員來說��,在不脫離本發(fā)明構思的前提下�����,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍���。因此���,本發(fā)明專利的保護范圍應以所附權利要求為準。
權利要求
1.一種基于數(shù)字證書的密碼學操作方法��,其特征在于���,包括以下步驟: 在接入設備中查詢與登錄用戶對應的數(shù)字證書����,將查詢到的所述數(shù)字證書返回至所述登錄用戶����;其中,所述接入設備中預存有各個用戶的數(shù)字證書���; 所述接入設備接收所述登錄用戶提交的密碼學操作請求�����; 所述接入設備根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作���,將操作結果返回至所述登錄用戶�����。
2.根據(jù)權利要求1所述的基于數(shù)字證書的密碼學操作方法�,其特征在于���,所述接入設備對預存的各個用戶的數(shù)字證書進行批量更新��。
3.根據(jù)權利要求1所述的基于數(shù)字證書的密碼學操作方法,其特征在于�,在所述在接入設備中查詢與登錄用戶對應的數(shù)字證書的步驟之前,包括以下步驟: 所述接入設備對所述登錄用戶進行身份驗證�。
4.根據(jù)權利要求1所述的基于數(shù)字證書的密碼學操作方法,其特征在于����,在所述在接入設備中查詢與登錄用戶對應的數(shù)字證書的步驟之前,包括以下步驟: 所述接入設備對分別分配給各個用戶的數(shù)字證書�、私鑰和用于對PIN碼進行驗證的驗證碼進行預存;其中��,所述數(shù)字證書�、所述私鑰和所述驗證碼一一對應����。
5.根據(jù)權利要求4所述的基于數(shù)字證書的密碼學操作方法�,其特征在于,所述接入設備根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作的步驟��,包括以下步驟: 如果所述密碼學操作請求不需要私鑰�����,則所述接入設備執(zhí)行相應的密碼學操作�;如果所述密碼學操作請求需要私鑰,則所述接入設備根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證�����,驗證通過后調用所述私鑰執(zhí)行相應的密碼學操作�。
6.根據(jù)權利要求5所述的基于數(shù)字證書的密碼學操作方法,其特征在于����,所述接入設備根據(jù)所述驗證碼對登錄用戶輸入的PIN碼進行驗證的步驟,包括以下步驟: 所述接入設備接收所述登錄用戶輸入的PIN碼����; 所述接入設備根據(jù)預設的運算方法對接收的所述PIN碼進行運算��; 如果上述運算結果與所述驗證碼一致����,則驗證通過�。
7.根據(jù)權利要求1所述的基于數(shù)字證書的密碼學操作方法,其特征在于�����,所述接入設備接收所述登錄用戶提交的密碼學操作請求的步驟�����,包括以下步驟: 所述登錄用戶通過IE提交密碼學操作請求�; IE通過CryptoAPI將所述密碼學操作請求發(fā)送至用戶端的加密服務提供程序�����; 所述加密服務提供程序將所述密碼學操作請求發(fā)送至所述接入設備��; 所述接入設備接收所述密碼學操作請求����; 所述接入設備將操作結果返回至所述登錄用戶的步驟�����,包括以下步驟: 所述接入設備將所述操作結果發(fā)送至用戶端的加密服務提供程序���; 所述加密服務提供程序通過CryptoAPI將所述操作結果發(fā)送至IE。
8.根據(jù)權利要求1至7中任一 項所述的基于數(shù)字證書的密碼學操作方法�,其特征在于,所述密碼學操作請求包括簽名���、驗證����、加密和/或解密的操作請求�����。
9.一種基于數(shù)字證書的密碼學操作裝置���,其特征在于��,包括查詢模塊�����、接收模塊和執(zhí)行模塊���; 所述查詢模塊��,用于在接入設備中查詢與登錄用戶對應的數(shù)字證書���,將查詢到的所述數(shù)字證書返回至所述登錄用戶;其中�,所述接入設備中預存有各個用戶的數(shù)字證書; 所述接收模塊���,用于在所述接入設備上接收所述登錄用戶提交的密碼學操作請求�;所述執(zhí)行模塊�����,用于在所述接入設備上根據(jù)所述密碼學操作請求執(zhí)行相應的密碼學操作�����,將操作結果返回至所述登錄用戶�����。
10.根據(jù)權利要求9所述的基于數(shù)字證書的密碼學操作裝置��,其特征在于����,還包括預存模塊,所述預存模塊在所述接入設備上對分別分配給各個用戶的數(shù)字證書��、私鑰和用于對PIN碼進行驗證的驗證碼進行預 存��;其中��,所述數(shù)字證書����、所述私鑰和所述驗證碼一一對應。
全文摘要
本發(fā)明公開了一種基于數(shù)字證書的密碼學操作方法����,包括在接入設備中查詢與登錄用戶對應的數(shù)字證書,將查詢到的數(shù)字證書返回至登錄用戶�����;其中,接入設備中預存有各個用戶的數(shù)字證書����;接入設備接收登錄用戶提交的密碼學操作請求;接入設備根據(jù)密碼學操作請求執(zhí)行相應的密碼學操作���,將操作結果返回至登錄用戶��。還公開了一種基于數(shù)字證書的密碼學操作裝置�。本發(fā)明采用接入設備集中存儲和管理用戶數(shù)字證書�,可以批量更新證書,克服了USB Key存儲容量不足的問題�����。用戶只需輸入PIN碼就可實現(xiàn)基于數(shù)字證書的認證��,提升了用戶體驗���。避免了USB Key的開發(fā)�,密碼學操作由接入設備完成����,節(jié)省了用戶終端的資源,提高用戶終端運行效率�����。
文檔編號H04L29/06GK103152344SQ20131007209
公開日2013年6月12日 申請日期2013年3月6日 優(yōu)先權日2013年3月6日
發(fā)明者王勝男, 黎晉廷, 李斌, 張永強, 劉 申請人:廣東數(shù)字證書認證中心有限公司