[发明专利]基于智能安全芯片的多证书签发及验证方法

说明书

本发明涉及一种基于智能安全芯片的多证书签发及验证方法，可以使用单一智能安全芯片载体向多个CA申请证书并加以存储，其中只有其中一个CA(以下称为第一CA)的证书签发需要进行严格的身份审核，并设置唯一的签名PIN码，向其它CA申请证书时只需要使用第一CA签发的证书证明用户身份即可完成线上证书申请。采用了该发明中的基于智能安全芯片的多证书签发及验证方法，解决了以往用户向多个CA申请证书和进行电子签名的不便，只需要进行一次严格的身份审核即可向多个CA申请数字证书，经过严格身份审核申请到的证书用于身份认证，其它证书可以用于各业务系统的电子签名，而签名验证时先使用第一证书完成身份认证再使用指定证书进行业务数据电子签名验证。

技术领域

本发明涉及计算机技术领域，尤其涉及信息安全技术领域，具体是指一种基于智能安全芯片的多证书签发及验证方法。

背景技术

随着互联网上电子政务、电子商务业务的发展以及《电子签名法》的颁布，使用PKI(Public Key Infrastructure)技术的电子签名应用越来越广泛，因此用户可能需要在不同的应用场景中使用自己的私钥进行电子签名。而由于应用所属的信任域不同，用户需要向不同信任域中的数字证书签发机构(以下简称CA(Certificate Authority))申请验证电子签名的数字证书。CA向用户签发数字证书时需要审核用户身份，目前的身份审核方式可以分为线下和线上两种方式，线下方式需要用户本人亲自到CA的线下窗口由审核人员进行实人实证审核，而线上方式是用户在CA的网站或APP上填写身份信息甚至还需要上传身份证照片和进行人脸图像采集以此验证身份。线下方式需要用户亲自到场费时费力，而线上方式需要用户传递自己的隐私信息存在泄露风险而CA又无法有效验证身份的真实性。而且以往CA都需要向用户提供一个独立的证书载体用于保存各自签发的证书，并设置独立的PIN码加以管理，为用户使用这些证书增加了很大的负担。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种仅需一次用户身份认证的基于智能安全芯片的多证书签发及验证方法。

为了实现上述目的，本发明的基于智能安全芯片的多证书签发及验证方法具有如下构成：

该基于智能安全芯片的多证书签发方法，其主要特点是，所述的方法包括：

(1)在存储有所述智能安全芯片的载体内部产生第一公钥和第一私钥；

(2)通过所述载体内部的预置私钥对所述第一公钥进行签名以产生第一证书请求数据，并将所述的第一证书请求数据发送至第一授权机构，以及在通过所述载体内部的预置公钥的验证后签发第一证书；

(3)将所述的第一证书写入至所述的智能安全芯片中；

(4)在所述载体内部产生第i公钥和第i私钥；

(5)通过所述第一私钥对第i公钥进行签名以产生第i证书请求数据，并将所述的第i证书请求数据发送至第i授权机构，以及在通过所述第一公钥的验证后签发第i证书；

(6)将所述的第i证书写入至所述的智能安全芯片中；

(7)判断i是否大于系统预设正整数j，若大于，则结束整个过程，否则将i重新赋值为i+1，并继续步骤(2)；

其中，所述的i、j均为正整数，且所述i的初始值为正整数2，所述j为大于2的正整数。

该基于智能安全芯片的多证书签发方法的步骤(1)之前，还包括：

(0)通过所述第一授权机构验证用户身份，并在所述用户身份验证通过后向所述智能安全芯片提供所述载体。

该基于智能安全芯片的多证书签发方法的步骤(0)还包括：

所述用户在所述载体上设置PIN码。