[发明专利]数字证书的存储与硬件载体绑定的方法及系统

说明书

技术领域

本发明涉及数字认证技术领域，特别涉及一种数字证书的存储与硬件载体绑定的方法及系统。

背景技术

现有技术包括：

文件数字证书，如PKCS12格式、JKS格式。

支持手机常用接口的USB Key，如micro USB接口或音频接口。

基于无线连接，如蓝牙或Wifi的USB Key。

基于手机可替换部件的USB Key，如SD Card Key，SIM卡Key。

文件数字证书的缺点：

文件证书的私钥是以明文形式交付给上层加密应用进行调用，而硬件USB Key则只接受加密运算的调用并不提供私钥的任何特征，加密运算完成后将运算结果提供给调用者。整个调用过程，数字证书的私钥或对称密钥都是不可见，且不可拷贝导出的。由此可见，文件数字证书的签名加密方式并不安全可靠。

因为通常文件证书仅仅采用单一口令对私钥进行保护，一旦文件被复制，且用户口令泄漏，则标识用户身份的数字证书就会被冒用，产生严重的安全问题。所以，文件证书被谨慎的用于风险不高的身份认证、加解密应用场景，而几乎无法用于具备法律效力合法第三方证书数字签名应用。

多接口USB Key的缺点：

双接口或多接口的USB Key一度成为市场上移动设备数字证书安全应用产品的首选。但是由于手机I/O接口标准较多，除了安卓手机使用的Mini和Micro USB接口，还包括苹果手机4代、5代的dock接口，加上还要支持PC端的USB接口，此类安全设备通常体积较大或需携带额外的转接线，携带并不方便。

无线连接USB Key的缺点：

无线通讯方案可是蓝牙或Wifi，且主要是蓝牙。但由于此类产品需要为蓝牙供电，不定期的需要为USB Key进行充电。所以一定程度上给用户使用带来麻烦。

内置手机部件USB Key的缺点：

此类密码产品不具备通用性。对于替换带加密芯片的SD Card方式，需要手机支持SD Card扩展。像广受欢迎的苹果手机是内置16G,32G或64G存储，并不支持插入SD Card。对于替换带价密芯片的SIM卡方案，由于SIM卡发行是受限的，只能由通信运营商来运作，而我国三大运营商之间存在竞争关系，通讯制式也各不相同。加上用户到电信营业厅更换SIM卡的成本巨大，所以此方案更难以市场化。

综上所述，文件数字证书虽然成本低，但作为安全工具，自身存在诸多安全问题；基于适配移动设备I/O装置的USB Key，由于存在多样性和复杂性，没有一种方案可以通用，且由于用户需要携带额外装置用户体验很差，加上此类设备较高的硬件成本，难以市场化。

发明内容

本发明的目的旨在至少解决所述技术缺陷之一。

为此，本发明的目的在于提出一种数字证书的存储与硬件载体绑定的方法。该方法有效提升了数字证书自身的安全性。

本发明的另一目的在于提出一种数字证书的存储与硬件载体绑定的系统。

为达到所述目的，本发明的实施例提供了一种数字证书的存储与硬件载体绑定的方法，包括以下步骤：从CA获取数字证书；在硬件载体上安装所述数字证书时，获取所述硬件载体的识别码；根据所述识别码生成密钥；根据所述密钥对指定文件型数据库进行加密；将所述数字证书存储到由所述密钥加密后的所述文件型数据库中以完成将所述数字证书安装到所述硬件载体上。

根据本发明实施例的方法，可将数字证书与其所在的硬件载体在第一次安装时，就被有效地绑定在一起，尤其是与所述数字证书相关联的密钥对中的私钥，通过所述绑定过程，变为只能在所述硬件载体上使用，无法在其它硬件载体上使用，让数字证书具有了近似于硬件USB Key的安全性。

另外，根据本发明上述实施例的数字证书的存储与硬件载体绑定的方法还可以具有如下附加的技术特征：

在一些示例中，在所述完成将所述数字证书安装到所述硬件载体上之后，还包括：当使用所述数字证书时，采集当前硬件载体的识别码；根据所述当前硬件载体的识别码生成解密密钥；根据所述解密密钥对所述文件型数据库进行解密；对所述文件型数据库解密成功后，从所述文件型数据库中获取所述数字证书。