保证数字证书安全的方法及保证数字证书安全的终端

摘要

本发明公开一种保证数字证书安全的方法，包括：在第一服务器上注册固定硬件安全单元，其中所述固定硬件安全单元和移动硬件安全单元间具有双向通信管道且为相互绑定关系；接收从所述第一服务器向所述固定硬件安全单元下发的数字证书，所述数字证书为根证书；将所述根证书生成子证书；将所述子证书向所述第一服务器进行注册；向所述移动硬件安全单元派发所述子证书。本发明提供一种保证数字证书安全的方法及保证数字证书安全的终端，既能保证数字证书的安全，又能方便用户对数字证书更新或者删除。

说明书

技术领域

本发明涉及一种证书安全系统，尤指一种保证数字证书安全的方法及保证数字证书安全的终端。

背景技术

现有USBKey和智能卡的证书、密钥放置在USBKey和智能卡的安全芯片内，该安全芯片作为一个黑匣子，该安全芯片对外提供身份认证和密码学服务功能。在典型的网银应用里，USBKey和智能卡作为使用者的身份标识使用。USBKey里存在一个安全芯片，且该安全芯片需要得到银行或服务器的认证。服务器发行的数字证书被安全的下载至USBKey，数字证书中含有签章使用的密钥。使用者与银行或服务器连接的阶段，要通过口令或其他认证手段如指纹等确认USBKey的使用者身份，获得密钥的使用权。在使用者向服务器提交数据时，例如“转帐到XX帐户XX元”，该信息要被USBKey的数字证书签章，作为确认使用者操作的重要依据。同时，USBKey里的安全芯片，还可以产生使用者密钥，用该密钥加密的数据，只能被使用者授权的该密钥解密。

现有USBKey、智能卡方案标识使用者身份，为保证安全性，现有数字证书都是由发行方的服务器统一管理和下载，使用者无法对USBKey、智能卡的数字证书进行更新、新增或者发放等操作。由于数字证书只能由发行方的服务器写入，这导致了使用者手中的数字证书，只能通过发行方的服务器更新或销毁。

如何提供一种保证数字证书安全的方法及保证数字证书安全的终端，既能够保证数字证书的安全，又能方便用户对数字证书进行更新或者删除，是本领域技术人员需要解决的技术问题。

发明内容

本发明的目的是提供一种保证数字证书安全的方法及保证数字证书安全的终端，用于既能保证数字证书的安全，又能方便用户对数字证书进行更新或者删除。

本发明提供一种保证电子证书安全的方法，所述方法包括：

在第一服务器上注册固定硬件安全单元，其中所述固定硬件安全单元和移动硬件安全单元间具有双向通信管道且为相互绑定关系；

接收从所述第一服务器向所述固定硬件安全单元下发的数字证书，所述数字证书为根证书；

将所述根证书生成子证书；

将所述子证书向所述第一服务器进行注册；

向所述移动硬件安全单元派发所述子证书。

优选地，所述根证书的策略由下载所述根证书的服务器决定，所述根证书的策略至少包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

优选地，所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为对等模式，所述根证书的策略包括数字证书是否可迁移的标志；

数字证书是否可迁移的标志为可迁移，作为根证书的所述数字证书在所述固定硬件安全单元和移动硬件安全单元绑定间迁移。

优选地，所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为协作模式，所述根证书或所述根证书产生的子证书拆分为两部分，由所述移动硬件安全单元和固定硬件安全单元分别存放；所述移动硬件安全单元经所述固定硬件安全单元授权后解密得到所述子证书。

优选地，所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位；

所述根证书是否可产生子证书的标志为可产生子证书，所述固定硬件安全单元产生子证书，并将所述子证书向所述服务器或其它服务器注册，注册后的子证书安全的发布或迁移给处于从属地位的所述移动硬件安全单元；

所述根证书有主导权控制所述子证书的销毁、更新或再发放。

优选地，数字证书是否可产生子证书的标志为可产生子证书，产生的所述子证书的策略至少包括：密钥、所述根证书标识、使用范围、使用限制。

优选地，在高安全等级的应用模式里，所述子证书被根证书或相关密钥加密存储于所述固定硬件安全单元；

在子证书需要使用时，由所述固定硬件安全单元确定所述子证书的合法性，通过校验后，所述固定硬件安全单元解密或提供解密密钥。

优选地，作为根证书的数字证书所产生的子证书包括两种格式：纯证书格式和模块证书格式；

所述纯证书格式的子证书与普通电子证书相同；

所述模块证书格式的子证书内至少包括：证书数据、证书调用接口、证书调用执行程序、证书策略、证书校验信息、证书存储使用方的校验信息、模块加解密单元。

优选地，所述子证书向所述服务器或其它服务器注册，迁移至所述移动硬件安全单元；

对于纯证书格式的子证书，所述移动硬件安全单元直接访问所述子证书内容；

对于模块证书格式的子证书，所述移动硬件安全单元通过证书调用接口实现所述子证书的访问和修改。

优选地，所述移动硬件安全单元接收所述子证书，将所述子证书作为身份标识符使用；

所述移动硬件安全单元具有日志功能，所述固定硬件安全单元通过所述移动硬件安全单元的日志进行查询和回溯。

本发明提供一种保证数字证书安全的终端，包括：

固定硬件安全单元，用于表征平台身份并保存所述终端从第一服务器下载的数字证书，所述数字证书为根证书；并将所述根证书生成子证书；

创建单元，用于在移动硬件安全单元和所述固定硬件安全单元间创建双向通信管道；

绑定单元，用于在所述移动硬件安全单元和固定硬件安全单元间建立相互绑定关系；

发送单元，用于向所述第一服务器发送所述固定硬件安全单元的注册请求，以及向所述第一服务器发送的所述固定硬件安全单元根据所述根证书派生的子证书的注册请求；

下载单元，用于从所述第一服务器下载所述数字证书；

存储单元，用于存储所述数字证书，所述数字证书为根证书；

派发单元，用于将向所述第一服务器注册的子证书派发所述移动硬件安全单元。

优选地，所述数字证书的策略由发放所述数字证书的服务器决定；

所述数字证书的策略至少包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

优选地，所述绑定单元设置的所述移动硬件安全单元和所述固定硬件安全单元之间绑定的关系具体为对等模式，所述数字证书的策略包括数字证书是否可以迁移的标志；

数字证书是否可迁移的标志为可迁移，作为根证书的所述数字证书在所述固定硬件安全单元和移动硬件安全单元绑定间迁移。

优选地，所述绑定单元设置的所述移动硬件安全单元和所述固定硬件安全单元之间绑定的关系具体为协作模式，所述数字证书或所述数字证书产生的子证书拆分为两部分，由所述移动硬件安全单元和固定硬件安全单元分别存放；所述移动硬件安全单元经所述固定硬件安全单元授权后解密所述子证书。

优选地，所述绑定单元设置的所述移动硬件安全单元和所述固定硬件安全单元之间绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位；

所述根证书是否可产生子证书的标志为可产生子证书，所述固定硬件安全单元产生子证书，并将所述子证书向所述服务器或其它服务器注册，注册后的子证书安全的发布或迁移给处于从属地位的所述移动硬件安全单元；

所述根证书有主导权控制所述子证书的销毁、更新或再发放。

与上述现有技术相比，本发明实施例所述保证数字证书安全的方法，所述固定硬件安全单元从所述服务器下载数字证书之前，包括在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道的步骤，由于在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道，使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件，并且将所述移动硬件安全单元和固定硬件安全单元进行了绑定，绑定关系确立后，所述固定硬件安全单元向第一服务器端注册。所述固定硬件安全单元能够将作为根证书的数字证书生成子证书，再将所述子证书向第一服务器进行注册。注册后所述固定硬件安全单元即可将所述子证书向所述移动硬件安全单元进行派发。因此，所述硬件安全单元从所述第一服务器下载数字证书作为根证书存储。在保证安全性的前提下，把数字证书的发放和管理交由用户实现，减少服务器成本。

附图说明

图1是本发明所述保证数字证书安全的方法第一种实施方式流程图；

图2是本发明所述保证数字证书安全的方法第二种实施方式流程图；

图3是本发明所述通信管道结构示意图；

图4是本发明所述保证数字证书安全的方法第三种实施方式流程图；

图5是本发明所述保证数字证书安全的终端第一种实施方式结构图；

图6是本发明所述保证数字证书安全的系统第一种实施方式结构图；

图7是本发明所述保证数字证书安全的系统第二种实施方式结构图。

具体实施方式

本发明提供一种保证数字证书安全的方法，用于既保证数字证书的安全，同时方便使用者对数字证书的更新或者删除。

参见图1，该图为本发明所述保证数字证书安全的方法第一种实施方式流程图。

S1000、在第一服务器上注册固定硬件安全单元，其中所述固定硬件安全单元和移动硬件安全单元间具有双向通信管道且为相互绑定关系。

固定硬件安全单元在第一服务器上注册，其中所述固定硬件安全单元和移动硬件安全单元间具有双向通信管道且为相互绑定关系。

S2000、接收从所述第一服务器向所述固定硬件安全单元下发的数字证书，所述数字证书为根证书。

所述第一服务器向所述固定硬件安全单元下发数字证书，所述数字证书为根证书。

S3000、将所述根证书生成子证书。

所述固定硬件安全单元将所述根证书生成子证书。

S4000、将所述子证书向所述第一服务器进行注册。

所述固定硬件安全单元将所述子证书向第一服务器进行注册。

S5000、向所述移动硬件安全单元派发所述子证书。

所述固定硬件安全单元向移动硬件安全单元派发所述子证书。

本发明实施例所述保证数字证书安全的方法，所述固定硬件安全单元从所述服务器下载数字证书之前，包括在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道的步骤，由于在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道，使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件，并且将所述移动硬件安全单元和固定硬件安全单元进行了绑定，绑定关系确立后，所述固定硬件安全单元向第一服务器端注册。所述固定硬件安全单元能够将作为根证书的数字证书生成子证书，再将所述子证书向第一服务器进行注册。注册后所述固定硬件安全单元即可将所述子证书向所述移动硬件安全单元进行派发。因此，所述硬件安全单元从所述第一服务器下载数字证书作为根证书存储。在保证安全性的前提下，把数字证书的发放和管理交由用户实现，减少服务器成本。

参见图2，该图为本发明所述保证数字证书安全的方法第二种实施方式流程图。

本发明第二种实施方式所述保证数字证书安全的方法，包括以下步骤：

S100、设置表征使用者身份的移动硬件安全单元。

移动硬件安全单元可以是USBKey或智能卡中的身份识别安全芯片，USBKey或智能卡可以是由服务器授权身份的USBKey或智能卡。

USBKey或智能卡里存在一个身份识别安全芯片，该身份识别安全芯片可以得到服务器的认证。

服务器对身份识别安全芯片的认证过程：该身份识别安全芯片下载服务器发行的包含签章使用的密钥的数字证书，使用者通过口令或者其他认证手段例如指纹识别，确认USBKey的使用者身份，获得钥匙的使用权。

当使用者向所述服务器提交数据时，需要对该数据进行数字证书签章，这个签章将作为确认使用者所述操作的重要依据。

上述身份识别安全芯片可以作为本发明实施例所述移动硬件安全单元。

USBKey里的身份识别安全芯片可以产生使用者密钥，只能使用该使用者授权的密钥解密该加密的数据。

S200、设置表征平台身份的基于计算机或其他设备的固定硬件安全单元。

计算机或其他设备内部设置平台识别安全芯片，平台识别安全芯片内部载入平台证书，负责对外提供平台身份标识。该平台识别安全芯片可以作为本发明实施例所述固定硬件安全单元。

S300、所述移动硬件安全单元和固定硬件安全单元创建双向通信管道。

所述移动硬件安全单元和固定硬件安全单元可以通过公钥交换的手段，创建双向通信管道。

所谓公钥交换，就是将固定硬件安全单元的公钥Ka交给移动硬件安全单元，把移动硬件安全单元的公钥Kb交给固定硬件安全单元，移动硬件安全单元和固定硬件安全单元各自的私钥Ka’、Kb’自己保留。

参见图3，该图为本发明所述通信管道结构示意图。图3中所示构建的过程，即为“公钥交换”的过程。

固定硬件安全单元将需要发送的明文M通过固定硬件安全单元的公钥Ka进行加密，生成密文C。固定硬件安全单元将所述密文C发送至移动硬件安全单元。移动硬件安全单元通过移动硬件安全单元自身的私钥Kb’进行解密，得到明文M。此时就建立了一个固定硬件安全单元到移动硬件安全单元的单向通信管道。

移动硬件安全单元将需要发送的明文M通过移动硬件安全单元的公钥Kb进行加密，生成密文C。移动硬件安全单元将所述密文C发送至固定硬件安全单元。固定硬件安全单元通过固定硬件安全单元自身的私钥Ka’进行解密，得到明文M。此时就建立了一个移动硬件安全单元到固定硬件安全单元的单向通信管道。

固定硬件安全单元到移动硬件安全单元的单向通信管道与移动硬件安全单元到固定硬件安全单元的单向通信管道共同构成了固定硬件安全单元和移动硬件安全单元之间的双向通信管道。

上述双向通信管道的创建是所述移动硬件安全单元和固定硬件安全单元通过公钥交换的手段实现的。

所述移动硬件安全单元和固定硬件安全单元还可以通过密钥协商的手段，创建双向通信管道。

在不安全的环境中，密钥系统经常用于对发送的信息加密以达到安全性和完整性要求，在信息接收方需要相应的解密密钥对信息解密。

传统的密钥系统被称为单密钥系统，其特点是加密密钥与解密密钥可互相推导信息的发送者和接收者。

在单密钥系统中，成员能够用共享的密钥加密信息再传递给其他成员，但如果双方距离很远的话，就不容易建立密钥会话。

密钥会话的建立有两种方式：密钥分配和密钥协商。

密钥分配是一种机制，成员能够选择将密钥安全地传递给其他成员。

密钥协商则是要会话的成员联合建立公共的密钥，在网络环境中，密钥协商相对密钥分配的优势：参与方能够随机的建立密钥，且不需要密钥分配和管理机构。

群组密钥协商(Group Key Agreement)，是基于分布式的思想，它的特点是：1)群组的多个成员一起参与密钥生成；2)群组中的密钥是由每个成员提供的参数以及密钥生成算法共同决定的；3)群组中任何成员均不能事先确定密钥。

有几种流行的的群组密钥协商及分配方法，包括CKD(Centralized GroupKey Distribution)，BD(Burmester-Desmedt)，STR(Steer et al.)，GDH(GroupDiffie-Hellman)和TGDH(Tree-Based Group Diffie-Hellman)。

Whit Diffie和Martin Hellman共同提出了Diffie-Hellman算法(简称DH)，这是一种两方密钥交换协议，用于两个对等实体安全地协商共享密钥。DH算法实质是一个通信双方进行密钥协定的协议，DH算法安全性基于有限域上计算离散对数的困难性。

Diffie-Hellman密钥交换协议如下：

首先，Alice和Bob双方约定2个大整数n和g，其中1<g<n，这两个整数无需保密，然后，执行下面的过程：

1)Alice随机选择一个大整数x(保密)，并计算X＝gx mod n；

2)Bob随机选择一个大整数y(保密)，并计算Y＝gy mod n；

3)Alice将X发送给Bob，Bob将Y发送给ALICE；

4)Alice计算K＝Yx mod n；

5)Bob计算K＝Xy mod n。

K即是共享的密钥。

监听者在网络上只能监听到X和Y，但无法通过X，Y计算出x和y，因此，监听者无法计算出K＝gxy mod n。

所述通信管道可以由所述移动硬件安全单元或固定硬件安全单元更新或者废除。所述通信管道也可以由所述移动硬件安全单元和固定硬件安全单元共同更新或者废除。

通信管道更新过程：所述移动硬件安全单元或固定硬件安全单元通过所述通信管道，用原加密密钥加密新密钥发送给对方，再使用新的密钥通信，所述通信管道实现了更新。

通信管道删除过程：所述移动硬件安全单元或固定硬件安全单元直接把原有密钥删除，所述通信管道废弃。

当然所述通信管道还可以根据所述移动硬件安全单元或固定硬件安全单元设定的条件例如预定时间段或者预定次数，进行更新或者废除。当时间或者数据交互次数达到预定时间段或者预定次数时，所述通信管道进行更新或者废除。

所述通信管道还可以根据所述移动硬件安全单元和固定硬件安全单元共同设定的条件比如预定时间段或者预定次数，进行更新或者废除。当时间或者数据交互次数达到预定时间段或者预定次数时，所述通信管道进行更新或者废除。

S400、所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互，实现互相绑定。

所述唯一识别信息的交互具体为所述移动硬件安全单元将自身唯一识别信息发送到所述固定硬件安全单元，所述固定硬件安全单元识别和记录所述移动硬件安全单元的唯一识别信息。同时所述固定硬件安全单元将自身唯一识别信息发送到所述移动硬件安全单元，所述移动硬件安全单元识别和记录所述固定硬件安全单元的唯一识别信息。

所述移动硬件安全单元的唯一识别信息或所述固定硬件安全单元的唯一识别信息可以先通过密码学方法处理后，再进行交互。交互的内容可以是通过密码学的方法，进行一些糅杂、加密、扩展、HASH、HMAC等操作，进行处理的结果。将所述处理的结果互相“交换”，再作为绑定、识别的依据。当然，原始信息也可以不进行处理，直接进行“交换”。

所述移动硬件安全单元和所述固定硬件安全单元可以通过证书、密钥、ID、口令等唯一识别信息进行交互，实现互相绑定。

由于上述通信管道建立后，所有的通信都被要求在所述通信管道里进行。而且所述通信管道是经过加密的，绑定实际上就是一个相互识别和记录的过程，彼此分别记住对方的固定的、唯一的且可识别的信息，或者是这些信息的HASH值。

所述移动硬件安全单元和所述固定硬件安全单元之间的绑定可以被创建、查询、删除，也可以被设定的条件如定时、定次进行更新或废弃，以保证绑定的安全。

所述移动硬件安全单元和固定硬件安全单元之间的绑定模式包括对等模式、协作模式、主从模式三种模式。

所述移动硬件安全单元和固定硬件安全单元之间的绑定模式是由所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互，通过设定所述移动硬件安全单元和固定硬件安全单元之间绑定对立关系，从而确定所述绑定模式。

S500、所述固定硬件安全单元向服务器注册。

绑定关系确立后，需所述固定硬件安全单元均向服务器注册，可以一并提交各自的相关信息或密钥。

该相关信息只要能够保证服务器可以准确的识别该硬件安全单元即可，可以仅仅是一个作为签名的验证依据的公钥，也有可以是绑定识别信息，还有可以是上述这些信息的集合。

当使用者需要向服务器表征身份时，需要所述移动硬件安全单元和固定硬件安全单元在绑定关系下共同签章，同时表征平台身份和使用者身份。两种表征缺一不可，否则服务器拒绝该服务。

当移动硬件安全单元和固定硬件安全单元在绑定关系下，向服务器发送服务请求时，所述移动硬件安全单元和固定硬件安全单元需要在绑定关系下共同签章，同时表征平台身份和使用者身份。

当使用者向服务器提交数据时，例如“转帐到XX帐户XX元”，该信息需要被所述移动硬件安全单元例如USBKey进行电子证书签章。同样需要固定硬件安全单元例如计算机上的TPM(Trusted Platform Module，可信根)进行电子证书认证，或者进行签章。所述移动硬件安全单元和固定硬件安全单元共同签章后，再发送至所述服务器。

所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的内容进行二次加密。

所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的明文进行所述移动硬件安全单元和固定硬件安全单元的二次加密。

所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的表征身份信息的签名进行所述移动硬件安全单元和固定硬件安全单元的二次签名。

在采用非对称密钥的前提下，所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的明文可以进行所述移动硬件安全单元和固定硬件安全单元的二次公钥加密。所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的表征身份信息的签名可以进行所述移动硬件安全单元和固定硬件安全单元的二次私钥加密。

关于重要数据的加密、解密操作，例如电子证书、极其重要的数据等，必须在所述移动硬件安全单元和固定硬件安全单元绑定的前提下，由所述移动硬件安全单元和固定硬件安全单元进行两次加、解密。或者，分别由所述移动硬件安全单元和固定硬件安全单元对某些数据不重复地单独进行加密，完成加密过程，以提高安全性。

所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。

重要数据的加、解密密钥不应在绑定关系中的双方间进行迁移，这样可以进一步保证数据的安全性。但重要密钥可以被加密后再进行迁移存储。除重要数据的加、解密密钥之外的密钥是可以迁移的，也可以在所述移动硬件安全单元和固定硬件安全单元间进行备份。

密钥上可以设定表示是否进行迁移的标志位。例如“No”或者“Yes”。当密钥是否进行迁移的标志位为“No”时，表示不能进行迁移。当密钥是否进行迁移的标志位为“Yes”时，表示可以进行迁移。

该密钥被创建的时候，可以由创建者(使用者或者上层应用)设定属性。当然，如有必要，该属性可以根据需要进行更改。

S600、所述固定硬件安全单元从所述服务器下载数字证书并存储所述数字证书，所述数字证书为根证书。

所述根证书的策略是由下载该跟证书的所述服务器决定。所述根证书的策略至少包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

数字证书产生子证书的限制包括时间、使用次数、支付额度等限制。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系为对等模式时，并且所述根证书的策略包括数字证书是否可以迁移的标志，且所述数字证书是否可迁移的标志为可迁移，作为根证书的所述数字证书在所述固定硬件安全单元和移动硬件安全单元绑定间迁移。这种迁移与现有的网上支付模式相同。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为协作模式时，所述根证书或所述根证书产生的子证书可以被拆分为两部分，由所述固定硬件安全单元和移动硬件安全单元分别存放；所述移动硬件安全单元需要经所述固定硬件安全单元授权后才能解密得到其存储的部分所述子证书。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位时，所述数字证书是否可产生子证书的标志为可产生子证书，由使用者发起，所述固定硬件安全单元产生子证书，并将所述子证书向所述服务器或其它服务器注册，注册后的子证书可以安全地发布或迁移给处于从属地位的所述移动硬件安全单元。

所述子证书向其它服务器注册时，所述其它服务器需要向根证书发放的服务器查询子证书的合法性，然后才可以给予注册。

数字证书是否可产生子证书的标志为可产生子证书，所述产生的子证书的策略至少包括：密钥、所述根证书标识、使用范围、是否需拷贝、使用限制。

当本发明实施例所述方法应用到网银时，所述使用范围可以包括：金额范围、支付用途范围、是否可以再生成子证书、几次错误口令即被销毁等限定。

所述使用限制可以是使用次数或者时间等的限制。

作为根证书的数字证书所产生的子证书包括两种格式：纯证书格式和模块证书格式。

所述纯证书格式的子证书与普通电子证书相同。

所述模块证书格式的子证书内至少包括：证书数据、证书调用接口、证书调用执行程序、证书策略、证书校验信息、证书存储使用方的校验信息、模块加解密单元。

在高安全等级的应用模式里，所述子证书可被根证书或相关密钥加密存储于所述固定硬件安全单元中。

在子证书需要使用时，由所述固定硬件安全单元的证书载体，通过硬件信息校验或绑定关系校验来确定所述子证书的合法性，通过校验后，所述固定硬件安全单元的证书载体解密或提供解密密钥。

所述子证书向所述服务器注册后，迁移至所述移动硬件安全单元，并存储在所述移动硬件安全单元的证书载体中。

对于纯证书格式的子证书，所述移动硬件安全单元可以直接访问所述子证书内容。

对于模块证书格式的子证书，所述移动硬件安全单元必须通过证书调用接口来实现所述子证书的访问和修改。所述移动硬件安全单元的证书载体不能对子证书的内容、使用策略进行直接访问和修改。

模块证书格式的子证书在被调用时，有义务检查所述子证书的调用策略，并作出相应的反馈，例如拒绝服务，销毁证书等反馈。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位时，所述根证书具有控制所述子证书的销毁、更新或再发放的主导权。

拥有根证书的固定硬件安全单元对拥有子证书的移动硬件安全单元有最大限度的控制权。根证书有完全的主导权来进行子证书的销毁、更新或再发放等操作。

所述移动硬件安全单元在接收到所述子证书后，即可以作为电子支付的身份标识符使用。

所述移动硬件安全单元可以具有日志功能，所述固定硬件安全单元可以通过所述移动硬件安全单元的日志，查询和回溯存储在所述移动硬件安全单元的证书载体中的子证书。

当一个子证书被废弃或删除时，其相关的数据也被所述移动硬件安全单元清除，且该清除操作能够被所述根证书的拥有者即所述固定硬件安全单元查询、监控和比较。

本发明实施例所述保证数字证书安全的方法，所述固定硬件安全单元从所述第一服务器下载数字证书之前，包括在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道的步骤，由于在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道，使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件，并且将所述移动硬件安全单元和固定硬件安全单元进行了绑定，绑定关系确立后，所述固定硬件安全单元向第一服务器端注册。所述固定硬件安全单元能够将作为根证书的数字证书生成子证书，再将所述子证书向第一服务器进行注册。注册后所述固定硬件安全单元即可将所述子证书向所述移动硬件安全单元进行派发。因此，所述固定硬件安全单元从所述第一服务器下载数字证书作为根证书存储。在保证安全性的前提下，把数字证书的发放和管理交由用户实现，减少服务器成本。

参见参考图4，该图为本发明所述保证数字证书安全的方法第三种实施方式流程图。

本发明第三种实施方式所述保证数字证书安全的方法，包括以下步骤：

S100、设置表征使用者身份的移动硬件安全单元。

移动硬件安全单元可以是USBKey或智能卡中的身份识别安全芯片，USBKey或智能卡可以是由服务器授权身份的USBKey或智能卡。

USBKey或智能卡里存在一个身份识别安全芯片，该身份识别安全芯片可以得到服务器的认证。服务器对身份识别安全芯片的认证过程：该身份识别安全芯片下载服务器发行的包含签章使用的密钥的数字证书，使用者通过口令或者其他认证手段例如指纹识别，确认USBKey的使用者身份，获得钥匙的使用权力。

USBKey里的身份识别安全芯片可以产生使用者密钥，只能用该使用者授权的钥匙解密该加密的数据。

S200、设置表征平台身份的基于计算机或其他设备的固定硬件安全单元。

计算机或其他设备内部设置平台识别安全芯片，平台识别安全芯片内部载入平台证书，负责对外提供平台身份标识。该平台识别安全芯片可以作为固定硬件安全单元。

S300、所述移动硬件安全单元和固定硬件安全单元创建双向通信管道。

S400、所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互，实现互相绑定。

所述唯一识别信息的交互具体为所述移动硬件安全单元唯一识别信息发送到所述固定硬件安全单元，所述固定硬件安全单元识别和记录所述移动硬件安全单元唯一识别信息。同时所述固定硬件安全单元唯一识别信息发送到所述移动硬件安全单元，所述移动硬件安全单元识别和记录所述固定硬件安全单元唯一识别信息。

所述移动硬件安全单元唯一识别信息或所述固定硬件安全单元唯一识别信息可以通过密码学方法处理后，再进行交互。交互的内容可以是通过密码学的方法，进行一些糅杂、加密、扩展、HASH、HMAC等操作，进行处理的结果。将所述处理的结果互相“交换”，再作为绑定、识别的依据。当然，原始信息也可以不进行处理，直接进行“交换”。

所述移动硬件安全单元唯一识别信息以及所述固定硬件安全单元唯一识别信息均可以通过密码学方法处理后，再进行交互。

所述移动硬件安全单元和所述固定硬件安全单元可以通过证书、密钥、ID、口令等唯一识别信息进行交互，实现互相绑定。

绑定实际上就是一个相互识别和记录的过程，彼此分别记住对方的固定的、唯一的且可识别的信息，或者是这些信息的HASH值。

所述移动硬件安全单元和固定硬件安全单元之间的绑定模式包括对等模式、协作模式、主从模式三种模式。

所述移动硬件安全单元和固定硬件安全单元之间的绑定模式是由所述移动硬件安全单元和固定硬件安全单元通过唯一识别信息的交互，设定所述移动硬件安全单元和固定硬件安全单元之间邦定对立关系，确定所述绑定模式。

S500A、所述固定硬件安全单元至少向两个服务器注册。

所述固定硬件安全单元可以向两个或者两个以上的服务器进行注册。

绑定关系确立后，所述固定硬件安全单元可以向至少两个服务器进行注册，并提交各自的相关信息或密钥。

所述相关信息只要能够保证每个服务器可以准确地识别该硬件安全单元即可。所述相关信息可以仅仅是一个作为签名的验证依据的公钥，也有可以是绑定识别信息，还有可以是上述这些信息的集合。

当使用者需要向某个服务器表征身份时，需要所述移动硬件安全单元和固定硬件安全单元在绑定关系下共同签章，同时表征平台身份和使用者身份。两种表征缺一不可，否则该服务器会拒绝该服务。

当使用者向某个服务器提交数据时，例如“转帐到XX帐户XX元”，该信息需要被所述移动硬件安全单元进行签章，同样需要固定硬件安全单元进行证书认证，或者进行签章。所述移动硬件安全单元和固定硬件安全单元共同签章后，再发送至该服务器。

所述移动硬件安全单元和固定硬件安全单元对向每个服务器发送的内容可以进行二次加密。

所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的明文进行所述移动硬件安全单元和固定硬件安全单元的二次加密。

所述移动硬件安全单元和固定硬件安全单元对向所述服务器发送的表征身份信息的签名进行所述移动硬件安全单元和固定硬件安全单元的二次签名。

关于重要数据的加密、解密操作，例如电子证书、极其重要的数据等，必须在所述移动硬件安全单元和固定硬件安全单元绑定的前提下，由所述移动硬件安全单元和固定硬件安全单元进行两次加、解密。或者，分别由所述移动硬件安全单元和固定硬件安全单元对某些数据不重复地单独进行加密，完成加密过程，以提高安全性。所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。

S600A、所述固定硬件安全单元从每个服务器分别下载数字证书并存储所述数字证书，所述数字证书为根证书。

所述根证书的策略是由下载所述根证书的服务器决定。所述根证书的策略至少包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

数字证书产生子证书的限制包括时间、使用次数等方面的限制。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系为对等模式时，并且所述数字证书的策略包括数字证书是否可以迁移的标志，且所述数字证书是否可迁移的标志为可迁移，作为根证书的所述数字证书在所述固定硬件安全单元和移动硬件安全单元绑定间迁移。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为协作模式时，所述数字证书或所述数字证书产生的子证书可以被拆分为两部分，由所述固定硬件安全单元和移动硬件安全单元分别存放；所述移动硬件安全单元需要经所述固定硬件安全单元授权后才能解密得到其存储的部分所述子证书。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位时，所述数字证书是否可产生子证书的标志为可产生子证书，由使用者发起，所述固定硬件安全单元产生子证书，并将所述子证书向需要注册的服务器注册，注册后的子证书可以安全地发布或迁移给处于从属地位的所述移动硬件安全单元。

数字证书是否可产生子证书的标志为可产生子证书，所述产生的子证书的策略至少包括：密钥、所述根证书标识、使用范围、是否需拷贝、使用限制等。

当本发明实施例所述方法应用到网银时，使用范围可以包括：金额范围、支付用途范围、是否可以在生成子证书、几次错误口令即被销毁等限定。

所述使用限制可以是使用次数或者时间等的限制。

作为根证书的数字证书所产生的子证书包括两种格式：纯证书格式和模块证书格式。

所述纯证书格式与普通电子证书相同。

所述模块证书内至少包括：证书数据、证书调用接口、证书调用执行程序、证书策略、证书校验信息、证书存储使用方的校验信息、模块加解密单元。

在高安全等级的应用模式里，所述子证书可被根证书或相关密钥加密存储于所述固定硬件安全单元中。

在子证书需要使用时，由所述固定硬件安全单元的证书载体，通过硬件信息校验或绑定关系校验来确定所述子证书的合法性，通过校验后，所述固定硬件安全单元的证书载体解密或提供解密密钥。

所述子证书向需要注册的服务器注册后，迁移至所述移动硬件安全单元，并保存在所述移动硬件安全单元的证书载体。

对于纯证书格式的子证书，所述移动硬件安全单元可以直接访问所述子证书内容。

对于模块证书格式的子证书，所述移动硬件安全单元需要通过证书调用接口来实现所述子证书的访问和修改。所述移动硬件安全单元的证书载体不能对子证书的内容、使用策略进行直接访问和修改。

模块证书格式的子证书在被调用时，有义务检查所述子证书的调用策略，并作出相应的反馈，例如：拒绝服务，销毁证书等反馈。

由于子证书的临时性，当移动硬件安全单元的证书载体丢失，并不能影响根证书的安全性，提高安全等级。

多服务器时，多子证书管理，更方便用户的审计操作，可以集中管理。

当所述移动硬件安全单元和固定硬件安全单元绑定的关系具体为主从模式，即所述固定硬件安全单元处于主控地位，所述移动硬件安全单元处于从属地位时，所述根证书有主导权控制所述子证书的销毁、更新或再发放。

拥有根证书的固定硬件安全单元对拥有子证书的移动硬件安全单元有最大限度的控制权。根证书有完全的主导权来进行子证书的销毁、更新或再发放等操作。

所述移动硬件安全单元在接收到所述子证书后，即可以作为电子支付的身份标识符使用。

所述移动硬件安全单元可以具有日志功能，所述固定硬件安全单元可以通过所述移动硬件安全单元的日志，查询和回溯存储在所述移动硬件安全单元的证书载体中的子证书。

当一个子证书被废弃或删除时，其相关的数据也被所述移动硬件安全单元清除，且该清除操作能够被所述根证书的拥有者即所述固定硬件安全单元查询、监控和比较。

本发明实施例所述保证数字证书安全的方法，所述固定硬件安全单元从至少两个服务器下载数字证书之前，包括在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道的步骤，由于在移动硬件安全单元和固定硬件安全单元之间建立双向通信管道，使得移动硬件安全单元和固定硬件安全单元之间能够安全的传输文件，并且将所述移动硬件安全单元和固定硬件安全单元进行了绑定。绑定关系确立后，所述固定硬件安全单元向所述全部服务器端注册。所述固定硬件安全单元能够将作为根证书的数字证书生成子证书，再将所述子证书向所述全部服务器进行注册。注册后所述固定硬件安全单元即可将所述子证书向所述移动硬件安全单元进行派发。因此，所述固定硬件安全单元从所述全部服务器下载数字证书作为根证书存储。在保证安全性的前提下，把数字证书的发放和管理交由用户实现，减少服务器成本。

用户可以只用一个移动硬件安全单元实现移动的、多服务器的操作，减少用户成本。例如可以实现多银行的电子支付操作。

本发明提供一种保证数字证书安全的终端，用于既能够保证数字证书的安全，又能方便用户对数字证书进行更新或者删除。

参见图5，该图为本发明所述保证数字证书安全的终端第一种实施方式结构图。

本发明第一种实施方式所述保证数字证书安全的终端，包括固定硬件安全单元1a、创建单元2a、绑定单元3a、发送单元4a、下载单元5a、存储单元6a以及派发单元7a。

所述固定硬件安全单元1a，用于表征平台身份并保存所述终端从第一服务器15a下载的数字证书，所述数字证书为根证书；并将所述根证书生成子证书。

所述创建单元2a，用于在移动硬件安全单元8a和所述固定硬件安全单元1a间创建双向通信管道。

所述绑定单元3a，用于在所述移动硬件安全单元8a和固定硬件安全单元1a间建立相互绑定关系。

所述发送单元4a，用于向第一服务器15a发送所述固定硬件安全单元1a的注册请求，以及向第一服务器15a发送的所述固定硬件安全单元1a根据所述根证书派生的子证书的注册请求。

所述下载单元5a，用于从第一服务器15a下载所述数字证书。

所述存储单元6a，用于存储所述下载单元5a下载的所述数字证书，所述数字证书为根证书。

所述派发单元7a，用于将向第一服务器15a注册的子证书派发所述移动硬件安全单元8a。

本发明实施例所述保证数字证书安全的终端，所述固定硬件安全单元1a从第一服务器15a下载数字证书之前，所述创建单元2a在移动硬件安全单元8a和固定硬件安全单元1a之间建立双向通信管道，由于在移动硬件安全单元8a和固定硬件安全单元1a之间建立双向通信管道，使得移动硬件安全单元8a和固定硬件安全单元1a之间能够安全的传输文件。并且所述绑定单元3a将所述移动硬件安全单元8a和固定硬件安全单元1a进行了绑定。绑定关系确立后，所述发送单元4a将所述固定硬件安全单元1a向第一服务器端注册。所述下载单元5a从第一服务器15a下载所述数字证书。所述固定硬件安全单元1a能够将作为根证书的数字证书生成子证书，所述发送单元4a将所述子证书向第一服务器15a进行注册。所述派发单元7a将所述子证书向所述移动硬件安全单元15a进行派发。因此，所述固定硬件安全单元1a从所述第一服务器15a下载数字证书作为根证书存储。在保证安全性的前提下，把数字证书的发放和管理交由用户实现，减少服务器成本。

本发明提供一种保证数字证书安全的系统，用于既能够保证数字证书的安全，又能方便用户对数字证书进行更新或者删除。

参见图6，该图为本发明所述保证数字证书安全的系统第一种实施方式结构图。

本发明第一种实施方式所述保证数字证书安全的系统，所述系统包括服务器15、移动硬件安全单元11、固定硬件安全单元12、通信管道创建单元13以及绑定单元14。

所述移动硬件安全单元11，用于表征使用者身份的硬件安全单元。

所述固定硬件安全单元12，基于计算机或其他设备，用于表征平台身份的硬件安全单元。所述固定硬件安全单元12从所述服务器15下载数字证书并存储所述数字证书，所述数字证书为根证书。

所述数字证书的策略是由所述服务器15决定的。所述数字证书的策略至少应该包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

数字证书产生子证书的限制包括时间、使用次数、支付额度等方面的限制。

当所述移动硬件安全单元11和固定硬件安全单元12绑定的关系为对等模式时，并且所述数字证书的策略包括数字证书是否可以迁移的标志，且所述数字证书是否可迁移的标志为可迁移，作为根证书的所述数字证书在所述移动硬件安全单元11和固定硬件安全单元12绑定间迁移。这种迁移与现有的网上支付模式相同。

当所述移动硬件安全单元11和固定硬件安全单元12绑定的关系具体为协作模式时，所述数字证书或所述数字证书产生的子证书可以被拆分为两部分，由所述移动硬件安全单元11和固定硬件安全单元12分别存放；所述移动硬件安全单元11需要经所述固定硬件安全单元12授权后才能解密得到其存储的部分所述子证书。

当所述移动硬件安全单元11和固定硬件安全单元12绑定的关系具体为主从模式，即所述固定硬件安全单元12处于主控地位，所述移动硬件安全单元11处于从属地位时，所述数字证书是否可产生子证书的标志为可产生子证书，由用户发起，所述固定硬件安全单元12产生子证书，并将所述子证书向所述服务器或其他服务器注册，注册后的子证书可以安全地发布或迁移给处于从属地位的所述移动硬件安全单元11。

数字证书是否可产生子证书的标志为可产生子证书，所述产生的子证书的策略至少包括：密钥、所述根证书标识、使用范围、是否需拷贝、使用限制。

当本发明实施例所述系统应用到网银时，所述使用范围可以包括：金额范围、支付用途范围、是否可以在生成子证书、几次错误口令即被销毁等限定。

所述使用限制可以是使用次数或者时间等的限制。

作为根证书的数字证书所产生的子证书包括两种格式：纯证书格式和模块证书格式。

所述纯证书格式与普通电子证书相同。

所述模块证书内至少包括：证书数据、证书调用接口、证书调用执行程序、证书策略、证书校验信息、证书存储使用方的校验信息、模块加解密单元。

在高安全等级的应用模式里，所述子证书可被根证书或相关密钥加密存储于所述固定硬件安全单元中。

在子证书需要使用时，所述固定硬件安全单元12的证书载体，通过硬件信息校验或绑定关系校验来确定所述子证书的合法性，通过校验后，所述固定硬件安全单元12的证书载体解密或提供解密密钥。

所述子证书向所述服务器15注册后，迁移至所述移动硬件安全单元11，并保存在所述移动硬件安全单元11的证书载体。

对于纯证书格式的子证书，所述移动硬件安全单元11可以直接访问所述子证书内容。

对于模块证书格式的子证书，所述移动硬件安全单元11必须通过证书调用接口来实现所述子证书的访问和修改。所述移动硬件安全单元11的证书载体不能对子证书的内容、使用策略进行直接访问和修改。

模块证书格式的子证书在被调用时，有义务检查所述子证书的调用策略，并作出相应的反馈，例如：拒绝服务，销毁证书等反馈。

当所述移动硬件安全单元11和固定硬件安全单元12绑定的关系具体为主从模式，即所述固定硬件安全单元12处于主控地位，所述移动硬件安全单元11处于从属地位时，所述根证书有主导权控制所述子证书的销毁、更新或再发放。

拥有根证书的固定硬件安全单元12对拥有子证书的移动硬件安全单元11有最大限度的控制权。根证书有完全的主导权来进行子证书的销毁、更新或再发放等操作。

所述移动硬件安全单元11在接收到所述子证书后，即可以作为电子支付的身份标识符使用。

所述移动硬件安全单元11可以具有日志功能，所述固定硬件安全单元12可以通过所述移动硬件安全单元11的日志，查询和回溯存储在所述移动硬件安全单元11的证书载体中的子证书。

当一个子证书被废弃或删除时，其相关的数据也被所述移动硬件安全单元11清除，且该清除操作能够被所述根证书的拥有者即所述固定硬件安全单元12查询、监控和比较。

所述通信管道创建单元13，通过密钥协商或者公钥交换的手段在所述移动硬件安全单元11和固定硬件安全单元12之间创建通信管道。

所述绑定单元14，所述移动硬件安全单元11和固定硬件安全单元12通过交互自身的唯一识别信息，实现互相绑定。

所述绑定单元14将所述移动硬件安全单元11和固定硬件安全单元12进行绑定后，所述移动硬件安全单元11和固定硬件安全单元12同时向服务器15注册，并各自提交各自的相关信息或密钥。

该相关信息只要能够保证服务器15可以准确的识别该硬件安全单元即可。

当使用者需要向服务器15表征身份时，需要所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下共同签章，同时表征平台身份和使用者身份。两种表征缺一不可，否则服务器15拒绝该服务。

当使用者向服务器15提交数据时，例如“转帐到XX帐户XX元”，该信息需要被所述移动硬件安全单元11例如USBKey进行电子证书签章。同样需要固定硬件安全单元12例如计算机上的TPM(Trusted Platform Module，可信根)进行电子证书认证，或者进行签章。经过所述移动硬件安全单元11和固定硬件安全单元12共同签章，再可以发送至所述服务器15。

所述移动硬件安全单元11和固定硬件安全单元12对向所述服务器15发送的内容进行二次加密。

所述移动硬件安全单元11和固定硬件安全单元12对向所述服务器15发送的明文进行所述移动硬件安全单元11和固定硬件安全单元12的二次加密。

所述移动硬件安全单元11和固定硬件安全单元12对向所述服务器15发送的表征身份信息的签名进行所述移动硬件安全单元11和固定硬件安全单元12的二次签名。

关于重要数据的加密、加密操作，例如电子证书、极其重要的数据等，需要在所述移动硬件安全单元11和固定硬件安全单元12绑定的前提下，由所述移动硬件安全单元11和固定硬件安全单元12进行两次加、解密完成。或者，分别由所述移动硬件安全单元11和固定硬件安全单元12对某些数据不重复地单独进行加密，完成加密过程，以提高安全性。

所述重要数据可以根据应用情况或者使用者的需要进行设定或确定。

所述重要数据的加、解密密钥不应在所述移动硬件安全单元11和固定硬件安全单元12绑定关系中的双方间进行迁移，这样可以进一步保证数据的安全性。但重要密钥可以被加密后再进行迁移存储。除所述重要数据的加、解密密钥之外的密钥可以迁移，也可以在所述移动硬件安全单元11和固定硬件安全单元12间备份。

该密钥被创建的时候，可以由创建者(使用者或者上层应用)设定属性。当然，如有必要，该属性可以根据需要进行更改。

所述服务器15，与所述移动硬件安全单元11、所述固定硬件安全单元12以及所述绑定单元14均相通信，用于在所述移动硬件安全单元11与所述固定硬件安全单元12绑定关系确立后，提供所述移动硬件安全单元11和固定硬件安全单元12的注册，并为所述固定硬件安全单元提供下载的数字证书。

参见图7，该图为本发明所述保证数字证书安全的系统第二种实施方式结构图。

本发明所述保证数字证书安全的系统第二种实施方式相对第一种实施方式，所述服务器15包括第一服务器15a和第二服务器15b。

所述移动硬件安全单元11，用于表征使用者身份的硬件安全单元。

所述固定硬件安全单元12，基于计算机或其他设备，用于表征平台身份的硬件安全单元。所述固定硬件安全单元12可以从所述第一服务器15a和第二服务器15b分别下载数字证书并存储所述数字证书，将所述数字证书作为根证书。

从所述第一服务器15a下载的第一数字证书的策略由所述第一服务器15a决定。从所述第二服务器15b下载的第二数字证书的策略由所述第二服务器15b决定。

所述第一数字证书、第二数字证书的策略至少应该包括：数字证书的时效、数字证书是否可迁移的标志，数字证书是否可产生子证书的标志，数字证书产生子证书的限制。

所述通信管道创建单元13，通过密钥协商或者公钥交换的手段在所述移动硬件安全单元11和固定硬件安全单元12之间创建通信管道。

所述绑定单元14，所述移动硬件安全单元11和固定硬件安全单元12通过交互自身的唯一识别信息，实现互相绑定。

所述绑定单元14将所述移动硬件安全单元11和固定硬件安全单元12进行绑定后，所述移动硬件安全单元11和固定硬件安全单元12同时向第一服务器15a和第二服务器15b注册，并各自提交各自的相关信息或密钥。

该相关信息只要能够保证所述第一服务器15a和第二服务器15b可以准确的识别该硬件安全单元即可，可以仅仅是一个作为签名的验证依据的公钥，也有可以是绑定识别信息；还可以是上述这些信息的集合。

当使用者需要向第一服务器15a表征身份时，需要所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下共同签章，同时表征平台身份和使用者身份。两种表征缺一不可，否则第一服务器15a拒绝该服务。

当使用者需要向第二服务器15b表征身份时，需要所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下共同签章，同时表征平台身份和使用者身份。两种表征缺一不可，否则第二服务器15b拒绝该服务。

所述移动硬件安全单元11和固定硬件安全单元12在绑定关系下向第一服务器15a发送服务请求时，所述移动硬件安全单元11和固定硬件安全单元12需要在绑定关系下共同签章，同时表征平台身份和使用者身份。

当使用者向第一服务器15a提交数据时，例如“转帐到XX帐户XX元”，该信息需要被所述移动硬件安全单元11例如USBKey进行电子证书签章。同样需要固定硬件安全单元12例如计算机上的TPM(Trusted Platform Module，可信根)进行电子证书认证，或者进行签章。经过所述移动硬件安全单元11和固定硬件安全单元12共同签章，再可以发送至所述第一服务器15a。

所述第一服务器15a与所述移动硬件安全单元11、所述固定硬件安全单元12以及所述绑定单元14均相通信，用于在所述移动硬件安全单元11与所述固定硬件安全单元12绑定关系确立后，提供所述移动硬件安全单元11和固定硬件安全单元12的注册，并为所述固定硬件安全单元11提供下载的数字证书。

所述第二服务器15b也与所述移动硬件安全单元11、所述固定硬件安全单元12以及所述绑定单元14均相通信，用于在所述移动硬件安全单元11与所述固定硬件安全单元12绑定关系确立后，提供所述移动硬件安全单元11和固定硬件安全单元12的注册，并为所述固定硬件安全单元11提供下载的数字证书。

所述固定硬件安全单元12还可以向第三方服务器或其它服务器下载数字证书，作为根证书。这样根证书的策略就需要与第三方服务器或其它服务器相关。

所述移动硬件安全单元11和固定硬件安全单元12可以向三个或者更多的服务器进行注册。只要能够保证所述三个或者更多的服务器可以准确的识别该硬件安全单元即可。

所述第一服务器15a和所述第二服务器15b可以是网银服务器。

以上所述仅为本发明的优选实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的权利要求保护范围之内。