[发明专利]数字证书申请方法和装置

权利要求书

1.一种数字证书申请方法，应用于终端设备，所述终端设备集成有安全元件，并装载有客户端软件，该方法包括：

客户端向服务端发送数字证书申请请求，以供服务端根据该申请请求生成申请信息，并将该申请信息返回给客户端，所述申请信息包括：与所述申请请求唯一对应的申请标识；

客户端将服务端返回的所述申请信息下发给安全元件；

安全元件根据非对称算法生成公私钥对，采用私钥对所述申请标识进行签名，得到终端签名数据，并将该终端签名数据和公钥封装为指定格式后发送给客户端；

客户端将该指定格式数据发送给服务端，以供服务端在根据所述公钥确定所述终端签名数据通过验证，且所述申请标识也通过验证后，将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。

2.根据权利要求1所述的方法，

所述申请信息中还包括：非对称算法信息以及签名算法信息；

所述安全元件根据非对称算法生成公私钥对，并采用私钥对该申请标识进行签名，得到终端签名数据，包括：

所述安全元件根据所述申请信息中的非对称算法信息生成公私钥对，采用所述申请信息中的签名算法信息计算密钥长度和所述申请标识的摘要，并采用私钥对该摘要进行签名，得到终端签名数据。

3.根据权利要求1所述的方法，

所述指定格式为TLV格式。

4.一种数字证书申请方法，应用于服务端，所述服务端用于与终端设备中装载的客户端软件交互，所述终端设备还集成有安全元件，该方法包括：

在接收到客户端发送的数字证书申请请求后，生成申请信息，并将该申请信息发送给客户端和CA，所述申请信息包括：与该申请请求唯一对应的申请标识；

接收客户端发送的指定格式数据，所述指定格式数据由安全元件在生成公私钥对后，采用私钥对所述申请标识进行签名，得到终端签名数据，并对该终端签名数据和公钥封装而成；

解析所述指定格式数据，并根据所述公钥验证所述终端签名数据，得到终端签名数据中的申请标识；

当所述终端签名数据通过验证，且所述申请标识也通过验证后，将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA，以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后，生成数字证书。

5.根据权利要求4所述的方法，

所述申请信息中还包括：非对称算法信息以及签名算法信息，用于供安全元件生成公私钥对并进行签名。

6.根据权利要求4所述的方法，

所述公钥被服务端封装为PKCS1格式。

7.根据权利要求4所述的方法，还包括：

当所述终端签名数据通过验证，且所述申请标识也通过验证后，将服务端签名数据发送给CA，以供CA进行验证；

其中，所述服务端签名数据由服务端采用服务端私钥对服务端信息签名后生成。

8.一种数字证书申请装置，应用于终端设备，所述终端设备还集成有安全元件，该装置包括：

请求发送单元，向服务端发送数字证书申请请求，以供服务端根据该申请请求生成申请信息，并将该申请信息返回，所述申请信息包括：与所述申请请求唯一对应的申请标识；

信息下发单元，将服务端返回的所述申请信息下发给安全元件，以供安全元件根据非对称算法生成公私钥对，采用私钥对所述申请标识进行签名，得到终端签名数据，并将该终端签名数据和公钥封装为指定格式后返回；

数据发送单元，将该指定格式数据发送给服务端，以供服务端在根据所述公钥确定所述终端签名数据通过验证，且所述申请标识也通过验证后，将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。