一种USBKey设备生产过程批量灌装其设备证书的方法及系统与流程

一种usbkey设备生产过程批量灌装其设备证书的方法及系统
技术领域
1.本发明属于设备证书安全技术领域，具体为一种usbkey设备生产过程批量灌装其设备证书的方法及系统。


背景技术：

2.银行在线发行其业务证书的过程中，需要确保客户手中的usbkey设备确实是其发行的，那么需要对客户手中的usbkey设备做合法性认证，这可以通过设备证书实现，因为设备证书有其身份可鉴别性，不可抵赖性，唯一性，并且基于安全信任根。不同于在线的pki体系签发的自主以及便捷性，usbkey的生产环境需要保证产能，又需要颁发过程不需要人工干预，还需要保证每个设备有其各自基于自身唯一特殊信息的设备证书。故需要设计一种满足上述需求的生产方法。


技术实现要素：

3.为解决现有技术存在的缺陷，本发明的目的在于提供一种usbkey设备生产过程批量灌装其设备证书的方法及系统，通过该方法及系统，既能够保证usbkey设备生产效率，又能保证usbkey设备证书的安全性和唯一性。
4.为达到以上目的，本发明采用的一种技术方案是：
5.一种usbkey设备生产过程批量灌装其设备证书的方法，包括以下步骤：
6.s1：usbkey设备个人化客户端识别插入的usbkey设备并为其生成唯一个人化信息；
7.s2：所述usbkey设备个人化客户端使用所述usbkey设备的唯一个人化信息向设备证书颁发服务发送设备证书请求；
8.s3：所述设备证书颁发服务根据所述设备证书请求生成秘钥，并使用所述秘钥和所述设备证书请求生成设备证书原文；
9.s4：所述设备证书颁发服务将所述设备证书原文发送到根证书存储设备，所述根证书存储设备对所述设备证书原文做签名，并将所述签名结果返回给所述设备证书颁发服务；
10.s5：所述设备证书颁发服务获取所述根证书存储设备中的根证书；
11.s6：所述设备证书颁发服务根据所述设备证书原文、所述签名结果和所述根证书生成设备证书；
12.s7：所述设备证书颁发服务将所述秘钥和所述设备证书发送给所述usbkey设备个人化客户端；
13.s8：所述usbkey设备个人化客户端将所述秘钥和所述设备证书写入所述usbkey设备。
14.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的方法，所述usbkey设备个人化客户端具有多个usbkey设备接口，可同时识别多个usbkey设备。
15.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的方法，步骤s3中所述设备证书颁发服务为每个usbkey设备生成的所述秘钥具有唯一性。
16.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的方法，所述根证书存储设备内的根秘钥无法被读取，而所述根秘钥对应的所述根证书可被读取；所述根秘钥和所述根证书作为证书链的信任根。
17.一种usbkey设备生产过程批量灌装其设备证书的系统，包括usbkey设备、usbkey设备个人化客户端、设备证书颁发服务和根证书存储设备；
18.所述usbkey设备个人化客户端用于：
19.识别插入的usbkey设备并为其生成唯一个人化信息；
20.使用所述usbkey设备的唯一个人化信息向所述设备证书颁发服务发送设备证书请求；
21.接收所述设备证书颁发服务发送来的秘钥和设备证书，并将所述秘钥和所述设备证书写入所述usbkey设备；
22.所述设备证书颁发服务用于：
23.根据所述设备证书请求生成秘钥，并使用所述秘钥和所述设备证书请求生成设备证书原文；
24.将所述设备证书原文发送到所述根证书存储设备做签名，获取所述根证书存储设备中的根证书，根据所述设备证书原文、签名结果和所述根证书生成设备证书；
25.将所述秘钥和所述设备证书发送给所述usbkey设备个人化客户端；
26.根证书存储设备用于：
27.对所述设备证书原文做签名，并将所述签名结果返回给所述设备证书颁发服务；
28.为所述系统提供根秘钥和根证书。
29.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的系统，所述usbkey设备个人化客户端具有多个usbkey设备接口，可同时识别多个usbkey设备。
30.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的系统，所述设备证书颁发服务根据所述设备证书请求生成的秘钥具有唯一性。
31.进一步，如上所述的usbkey设备生产过程批量灌装其设备证书的系统，所述根证书存储设备内的根秘钥无法被读取，而所述根秘钥对应的所述根证书可被读取；所述根秘钥和所述根证书作为证书链的信任根。
32.采用本发明所述的usbkey设备生产过程批量灌装其设备证书的方法及系统，具有以下显著的技术效果：
33.usbkey设备的秘钥由设备证书颁发服务生成，提高每个设备的效率；每个usbkey设备证书个人化信息都从其对应设备获取，保证设备唯一性；每个usbkey设备证书都是基于相同的可信任根，保证其不可抵赖性，可鉴别性；根证书存储设备保证根秘钥无法被读取，可防止非法伪造。
附图说明
34.图1是本发明具体实施方式中提供的一种usbkey设备生产过程批量灌装其设备证书的方法流程图；
35.图2是本发明具体实施方式中提供的一种usbkey设备生产过程批量灌装其设备证书的系统框图。
具体实施方式
36.下面结合具体的实施例与说明书附图对本发明进行进一步的描述。
37.图1示出了本发明实施例中一种usbkey生产过程批量灌装其设备证书的方法的流程图，由图中可以看出，该方法可以包括以下步骤：
38.步骤s1：usbkey设备个人化客户端识别插入的usbkey设备并为其生成唯一个人化信息。
39.usbkey设备个人化客户端具有多个usbkey设备接口，可同时识别多个usbkey设备，并为每个usbkey设备生成唯一的个人化信息。
40.步骤s2：usbkey设备个人化客户端使用所述usbkey设备的唯一个人化信息向设备证书颁发服务发送设备证书请求。
41.步骤s3：设备证书颁发服务根据所述设备证书请求生成秘钥，并使用所述秘钥和所述设备证书请求生成设备证书原文。
42.需要说明的是，设备证书颁发服务为每个usbkey设备生成的秘钥具有唯一性。
43.步骤s4：设备证书颁发服务将所述设备证书原文发送到根证书存储设备，所述根证书存储设备对所述设备证书原文做签名，并将所述签名结果返回给设备证书颁发服务。
44.步骤s5：设备证书颁发服务获取根证书存储设备中的根证书。
45.需要说明的是，根证书存储设备内的根秘钥无法被读取，而根秘钥对应的根证书可被读取；根秘钥和根证书作为证书链的信任根。
46.步骤s6：设备证书颁发服务根据所述设备证书原文、签名结果和所述根证书生成设备证书。
47.步骤s7：设备证书颁发服务将所述秘钥和所述设备证书发送给usbkey设备个人化客户端。
48.步骤s8：usbkey设备个人化客户端将所述秘钥和所述设备证书写入所述usbkey设备。
49.最后将usbkey设备与usbkey设备个人化客户端断开，完成usbkey设备证书的批量灌装。
50.本发明实施例还提供一种usbkey设备生产过程批量灌装其设备证书的系统，包括usbkey设备1、usbkey设备个人化客户端2、设备证书颁发服务3和根证书存储设备4；其中：
51.usbkey设备个人化客户端2用于：识别插入的usbkey设备1并为其生成唯一个人化信息；使用usbkey设备的唯一个人化信息向所述设备证书颁发服务3发送设备证书请求；接收设备证书颁发服务3发送来的秘钥和设备证书，并将所述秘钥和所述设备证书写入所述usbkey设备1。
52.设备证书颁发服务3用于：根据设备证书请求生成秘钥，并使用所述秘钥和设备证书请求生成设备证书原文；将所述设备证书原文发送到所述根证书存储设备4做签名，获取根证书存储设备中的根证书，并根据所述设备证书原文、签名结果和所述根证书生成设备证书；将所述秘钥和设备证书发送给所述usbkey设备个人化客户端2。
53.根证书存储设备4用于：对所述设备证书原文做签名，并将所述签名结果返回给所述设备证书颁发服务3；为所述系统提供根秘钥和根证书。
54.本实施例中，usbkey设备个人化客户端2具有多个usbkey设备接口，可同时识别多个usbkey设备1。
55.本实施例中，设备证书颁发服务3根据所述设备证书请求生成的秘钥具有唯一性。
56.需要说明的是，根证书存储设备4内的根秘钥无法被读取，而所述根秘钥对应的所述根证书可被读取；所述根秘钥和根证书作为证书链的信任根。
57.本发明提供的usbkey设备生产过程批量灌装其设备证书的方法和系统中，usbkey设备的秘钥由设备证书颁发服务生成，提高了每个设备的效率；每个usbkey设备证书个人化信息都从其对应设备获取，可保证设备唯一性；每个usbkey设备证书都是基于相同的可信任根，保证其不可抵赖性，可鉴别性；根证书存储设备保证根秘钥无法被读取，可防止非法伪造。
58.上述实施例只是对本发明的举例说明，本发明也可以以其它的特定方式或其它的特定形式实施，而不偏离本发明的要旨或本质特征。因此，描述的实施方式从任何方面来看均应视为说明性而非限定性的。本发明的范围应由附加的权利要求说明，任何与权利要求的意图和范围等效的变化也应包含在本发明的范围内。