[发明专利]一种数字证书更新方法及系统

权利要求书

1.一种数字证书更新方法，其特征在于，该方法包括以下步骤：

A、便携式存储设备通过终端向数字证书认证中心CA发送更新请求；

B、CA收到便携式存储设备发送来的更新请求后，为便携式存储设备重新签发数字证书和私钥，并通过终端将重新签发的数字证书和私钥发送给便携式存储设备；

C、便携式存储设备收到CA返回的重新签发的数字证书和私钥后，用收到的数字证书和私钥替换失效的数字证书和私钥。

2.根据权利要求1所述的方法，其特征在于，所述更新请求中包括请求信息：便携式存储设备标识和失效的数字证书；

步骤B所述重新签发之前进一步包括：

B1、CA用自身公钥解密便携式存储设备数字证书中CA的签名，恢复出便携式存储设备标识的明文，并判断恢复出的便携式存储设备标识是否与所述更新请求中携带的便携式存储设备标识相同，如果相同，则为便携式存储设备重新签发数字证书和私钥；否则，结束本流程的处理。

3.根据权利要求2所述的方法，其特征在于，所述请求信息用CA公钥加密；

所述步骤B1之前进一步包括：

B0、CA用自身私钥对收到的请求信息进行解密，恢复出请求信息明文。

4.根据权利要求2或3所述的方法，其特征在于，所述更新请求中进一步包括请求信息：CA数字签名；

步骤B所述重新签发之前进一步包括：

B2、CA根据更新请求中携带的CA数字签名判断该更新请求是否是便携式存储设备发送来的，如果是，则为便携式存储设备重新签发数字证书和私钥；否则，结束本流程的处理。

5.根据权利要求4所述的方法，其特征在于，所述CA数字签名为CA对便携式存储设备标识的签名时，

步骤B2所述判断包括：CA用自身公钥解密CA数字签名，恢复出便携式存储设备标识的明文，并判断恢复出的便携式存储设备标识是否与所述更新请求中携带的便携式存储设备标识相同，如果相同，则确定该更新请求是便携式存储设备发送来的；如果不同，则确定该更新请求不是便携式存储设备发送来的；

所述CA数字签名为CA对便携式存储设备证书序列号的签名时，

步骤B2所述判断包括：CA用自身公钥解密CA数字签名，恢复出便携式存储设备证书序列号的明文，并判断恢复出的便携式存储设备证书序列号是否与所述更新请求中携带的便携式存储设备数字证书中的序列号相同，如果相同，则确定该更新请求是便携式存储设备发送来的；如果不同，则确定该更新请求不是便携式存储设备发送来的。

6.根据权利要求1、2、3或5所述的方法，其特征在于，所述更新请求中进一步包括请求信息：会话密钥；

步骤B所述通过终端将重新签发的数字证书和私钥发送给便携式存储设备包括：CA用便携式存储设备发送来的会话密钥对重新签发的数字证书和私钥加密，并通过终端将加密后的数字证书和私钥发送给便携式存储设备；

步骤C所述替换之前进一步包括：便携式存储设备用会话密钥对加密后的数字证书和私钥进行解密，恢复出CA重新签发的数字证书和私钥的明文。

7.根据权利要求4所述的方法，其特征在于，所述更新请求中进一步包括请求信息：会话密钥；

步骤B所述通过终端将重新签发的数字证书和私钥发送给便携式存储设备包括：CA用便携式存储设备发送来的会话密钥对重新签发的数字证书和私钥加密，并通过终端将加密后的数字证书和私钥发送给便携式存储设备；

步骤C所述替换之前进一步包括：便携式存储设备用会话密钥对加密后的数字证书和私钥进行解密，恢复出CA重新签发的数字证书和私钥的明文。

8.根据权利要求1、2、3或5所述的方法，其特征在于，

步骤B所述通过终端将重新签发的数字证书和私钥发送给便携式存储设备包括：CA用自身私钥对重新签发的数字证书和私钥加密，并通过终端将加密后的数字证书和私钥发送给便携式存储设备；

步骤C所述替换之前进一步包括：便携式存储设备用CA公钥对加密后的数字证书和私钥进行解密，恢复出CA重新签发的数字证书和私钥的明文。