專利名稱：一種數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法
技術(shù)領(lǐng)域：
本發(fā)明專利涉及一種計(jì)算機(jī)信息安全領(lǐng)域的信息保護(hù)方法，特別涉及一種適用于 PKI系統(tǒng)中對(duì)數(shù)字證書擴(kuò)展項(xiàng)所含信息進(jìn)行保護(hù)的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法。
背景技術(shù)：
隨著大規(guī)模網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)涉及局域網(wǎng)、廣域網(wǎng)、Internet等，數(shù)據(jù)安全性問題 越來越突出。數(shù)據(jù)的安全性、保密性、真實(shí)性、完整性，成為人們關(guān)注的焦點(diǎn)。
為解決網(wǎng)絡(luò)數(shù)據(jù)安全問題，世界各國(guó)紛紛開展了以公開密鑰加密技術(shù)為基礎(chǔ)的公 鑰基礎(chǔ)設(shè)施的研究和應(yīng)用。PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)——認(rèn)證 中心CA，把用戶的公鑰和其他標(biāo)識(shí)信息(如名稱、Email等)綁定在一起，從而驗(yàn)證用戶的 身份。目前比較常用的辦法是以RSA公鑰為基礎(chǔ)，建立PKI基礎(chǔ)上的數(shù)字證書，通過把傳輸 的數(shù)據(jù)信息進(jìn)行RSA加密和簽名，保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性， 確保信息在網(wǎng)絡(luò)上的安全傳輸。 在大多數(shù)場(chǎng)合下，普遍被接受的證書格式是由ITU-T定義的X. 509國(guó)際標(biāo)準(zhǔn)，該標(biāo) 準(zhǔn)為公鑰證書定義了一個(gè)框架，即規(guī)定了與每個(gè)用戶聯(lián)系的公鑰證書規(guī)范，用于綁定用戶 信息和公鑰，還包括對(duì)那些已發(fā)出并且不應(yīng)該再被信任的證書的撤銷的相關(guān)規(guī)范。
目前通用的X.509國(guó)際標(biāo)準(zhǔn)已經(jīng)是V3版本，其擴(kuò)展項(xiàng)包含有密鑰和策略信息、主 體和簽發(fā)者信息、證書路徑約束、證書撤銷列表識(shí)別等，其結(jié)構(gòu)如圖l所示。如果證書僅僅 采用左邊所列的幾個(gè)基本字段，不能滿足設(shè)計(jì)和實(shí)際的需求。比如，向公鑰用戶傳遞密鑰擁 有者身份的話，主體名稱字段是不充分的，X. 509的名稱可能相對(duì)較短，缺少用戶需要的明 顯的身份細(xì)節(jié)。另外，某些安全應(yīng)用如IPSec需要將證書和特定策略關(guān)聯(lián)起來，所以需要制 定安全策略信息。因此，在證書的設(shè)計(jì)中，加入了擴(kuò)展項(xiàng)，使證書的使用更加靈活。
同時(shí)，證書內(nèi)容的靈活也帶來了不安全性。X. 509V3證書格式還允許系統(tǒng)為傳遞特 有信息而自定義擴(kuò)展。這些特定信息的用戶對(duì)象應(yīng)該是特定的而不應(yīng)該是對(duì)所有被認(rèn)證中 心CA認(rèn)證的用戶。 當(dāng)數(shù)字證書被廣泛使用后，其擴(kuò)展項(xiàng)信息也被廣泛流傳。而很多情況下，用戶對(duì)數(shù) 字證書的使用只限于驗(yàn)證數(shù)字證書用戶的身份，或者用戶所關(guān)心的只是某一部分的擴(kuò)展項(xiàng) 信息而非全部，而數(shù)字證書的擴(kuò)展項(xiàng)相對(duì)于數(shù)字證書本身是不加密的。對(duì)于下載數(shù)字證書 的用戶來說，數(shù)字證書擁有者的一些個(gè)人信息是透明的，如果將擴(kuò)展項(xiàng)信息完全展現(xiàn)就造 成了數(shù)字證書所含個(gè)人信息不必要的暴露，造成個(gè)人信息的泄密。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，解決現(xiàn)有數(shù)字證書在 使用過程中將數(shù)字證書中不必要的擴(kuò)展項(xiàng)信息暴露的問題，加強(qiáng)數(shù)字證書擴(kuò)展項(xiàng)信息的安 全。 本發(fā)明所解決的技術(shù)問題可以采用以下技術(shù)方案來實(shí)現(xiàn)
—種數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，其特征在于，它包括如下步驟 (1)認(rèn)證中心對(duì)數(shù)字證書中的擴(kuò)展項(xiàng)信息的內(nèi)容進(jìn)行分類，每個(gè)類別設(shè)置一個(gè)標(biāo)
識(shí)符； (2)密鑰管理中心針對(duì)認(rèn)證中心各個(gè)類別的標(biāo)識(shí)符生成對(duì)應(yīng)的密鑰對(duì)； (3)認(rèn)證中心收到注冊(cè)中心的數(shù)字證書申請(qǐng)信息并將數(shù)字證書信息中的擴(kuò)展項(xiàng)信
息提取出來； (4)根據(jù)擴(kuò)展項(xiàng)信息各個(gè)類別的標(biāo)識(shí)符采用密鑰管理中心的對(duì)應(yīng)的密鑰對(duì)進(jìn)行分 別加密； (5)將數(shù)字證書申請(qǐng)信息連同加密后擴(kuò)展項(xiàng)信息生成數(shù)字證書并由認(rèn)證中心的私 鑰簽發(fā)數(shù)字證書。 在本發(fā)明的一個(gè)實(shí)施例中，數(shù)字證書簽發(fā)后發(fā)布在目錄服務(wù)器的目錄樹中，并同 時(shí)將結(jié)果反饋給用戶。 在本發(fā)明的一個(gè)實(shí)施例中，如果需要得知數(shù)字證書中的擴(kuò)展信息，需要獲取對(duì)應(yīng) 的擴(kuò)展項(xiàng)信息的密鑰并進(jìn)行讀取。 本發(fā)明的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，通過密鑰管理中心針對(duì)數(shù)字證書中擴(kuò)展 項(xiàng)信息里的不同類型信息分別加密，加密所用的密鑰由密鑰管理中心統(tǒng)一管理；當(dāng)用戶需 要使用到數(shù)字證書中具體某項(xiàng)類型的信息時(shí)，需要用專門的密碼卡來讀取信息，避免來個(gè) 人信息被濫用，實(shí)現(xiàn)本發(fā)明的目的。 本發(fā)明的特點(diǎn)可參閱本案圖式及以下較好實(shí)施方式的詳細(xì)說明而獲得清楚地了 解。


圖1為現(xiàn)有的國(guó)際數(shù)字證書格式標(biāo)準(zhǔn)X. 509的V3版本的結(jié)構(gòu)示意圖；
圖2為本發(fā)明的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法實(shí)現(xiàn)結(jié)構(gòu)的示意圖；
圖3為本發(fā)明的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法的流程示意圖。
具體實(shí)施例方式
為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)
合具體圖示，進(jìn)一步闡述本發(fā)明。
實(shí)施例 本發(fā)明的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，它包括如下步驟 (1)認(rèn)證中心對(duì)數(shù)字證書中的擴(kuò)展項(xiàng)信息的內(nèi)容進(jìn)行分類，每個(gè)類別設(shè)置一個(gè)標(biāo) 識(shí)符； (2)密鑰管理中心針對(duì)認(rèn)證中心各個(gè)類別的標(biāo)識(shí)符生成對(duì)應(yīng)的密鑰對(duì)； (3)認(rèn)證中心收到注冊(cè)中心的數(shù)字證書申請(qǐng)信息并將數(shù)字證書信息中的擴(kuò)展項(xiàng)信
息提取出來； (4)根據(jù)擴(kuò)展項(xiàng)信息各個(gè)類別的標(biāo)識(shí)符采用密鑰管理中心的對(duì)應(yīng)的密鑰對(duì)進(jìn)行分 別加密； (5)將數(shù)字證書申請(qǐng)信息連同加密后擴(kuò)展項(xiàng)信息生成數(shù)字證書并由認(rèn)證中心的私鑰簽發(fā)數(shù)字證書。
本發(fā)明的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法分兩部分的工作加密前的準(zhǔn)備工作和加
密擴(kuò)展項(xiàng)信息過程。 加密前的準(zhǔn)備工作 包括認(rèn)證中心CA、密鑰管理中心KMC和其他通信終端的初始化，過程如圖2所示。
密鑰管理中心KMC保存的內(nèi)容是數(shù)字證書中擴(kuò)展項(xiàng)信息的類型及與其相對(duì)應(yīng)的密鑰對(duì)，一
種類型的信息對(duì)應(yīng)一個(gè)密鑰對(duì)，意即不同類型的信息加解密所用的密鑰是不一樣的；擁有
一種密鑰的密碼卡，只能讀取一種類型的信息，這樣就避免了信息的濫用。 數(shù)字證書中的擴(kuò)展項(xiàng)信息內(nèi)容的分類方法由認(rèn)證中心CA制定，在一個(gè)認(rèn)證中心
CA中，數(shù)字證書的格式，尤其是擴(kuò)展項(xiàng)信息格式是統(tǒng)一的。認(rèn)證中心CA對(duì)此統(tǒng)一格式的內(nèi)
容做分類，每一個(gè)類別有一標(biāo)識(shí)符。 加密所用的密鑰由PKI系統(tǒng)中的密鑰管理中心KMC管理，密鑰管理中心KMC初始 化時(shí)，針對(duì)認(rèn)證中心CA分類的標(biāo)識(shí)符，生成對(duì)應(yīng)的密鑰對(duì)。在認(rèn)證中心CA寫數(shù)字證書的擴(kuò) 展項(xiàng)信息時(shí)，提取密鑰管理中心KMC中對(duì)應(yīng)的密鑰對(duì)信息，加密對(duì)應(yīng)類型信息。
加密擴(kuò)展項(xiàng)信息 認(rèn)證中心CA從注冊(cè)中心RA傳來的PKI消息中獲得數(shù)字證書申請(qǐng)信息，用密鑰管 理中心KMC提供的密鑰對(duì)來加密數(shù)字證書中擴(kuò)展項(xiàng)信息的不同類型信息。數(shù)字證書中擴(kuò)展 項(xiàng)信息可能含有多種類型的信息，每種類型的信息根據(jù)自身的類型標(biāo)識(shí)符分別加密。對(duì)于 數(shù)字證書中擴(kuò)展項(xiàng)信息，除了存放加密后的信息外，還存放類型的標(biāo)識(shí)符，便于解密裝置讀 取。 處理完擴(kuò)展項(xiàng)信息后，用認(rèn)證中心CA的私鑰來簽發(fā)數(shù)字證書。具體過程如圖3所 示。 認(rèn)證中心CA先將數(shù)字證書請(qǐng)求和認(rèn)證中心CA根證書轉(zhuǎn)換成用ASN. 1語法描述的
數(shù)據(jù)結(jié)構(gòu)，然后依次設(shè)置版本號(hào)和序列號(hào)、設(shè)置簽名字段、設(shè)置數(shù)字證書發(fā)行者、設(shè)置數(shù)字
證書主體、設(shè)置數(shù)字證書的有效期、設(shè)置數(shù)字證書主體公鑰、用密鑰管理中心KMC提供的不
同密鑰分別加密擴(kuò)展項(xiàng)中不同類型的信息，最后完成認(rèn)證中心CA簽名。 至此，認(rèn)證中心CA可以將證書發(fā)布到數(shù)字證書及數(shù)字證書吊銷列表CRL，以備安
全服務(wù)器下載使用。 例如，在一般PKI系統(tǒng)中，具有認(rèn)證中心CA、注冊(cè)中心RA、終端實(shí)體EE、數(shù)字證書及 數(shù)字證書吊銷列表CRL幾個(gè)模塊。為了加強(qiáng)數(shù)字證書擴(kuò)展項(xiàng)的安全性，PKI系統(tǒng)增加一個(gè) 密鑰管理中心KMC，用于管理擴(kuò)展項(xiàng)加解密相關(guān)密鑰。 數(shù)字證書中的擴(kuò)展項(xiàng)含有不同類型的信息，比如職業(yè)、健康狀況等，這些信息的使 用范圍、使用對(duì)象均有所不同。特定用戶只關(guān)心他們會(huì)用到的擴(kuò)展項(xiàng)信息，而不是、也不應(yīng) 該是擴(kuò)展項(xiàng)全部信息。密鑰管理中心KMC存儲(chǔ)的就是針對(duì)擴(kuò)展項(xiàng)中不同類型信息的密鑰。 密鑰管理中心KMC的初始化在PKI系統(tǒng)初始化階段完成，主要工作是針對(duì)不同的信息類型， 生成不同的密鑰對(duì)。 在初始化后，整個(gè)PKI工作的過程如下 1、 key商在key內(nèi)生成密鑰對(duì)，并將公鑰導(dǎo)出，將公鑰數(shù)據(jù)提交給注冊(cè)中心RA ;
2、用戶申領(lǐng)key;
3、認(rèn)證中心CA根據(jù)注冊(cè)中心RA發(fā)來的信息獲取簽發(fā)用戶數(shù)字證書所需信息，并用密鑰管理中心KMC提供的不同密鑰對(duì)擴(kuò)展項(xiàng)所含的不同類型信息進(jìn)行加密。之后，簽發(fā)用戶數(shù)字證書，并將用戶數(shù)字證書發(fā)布在目錄服務(wù)器的目錄樹中，同時(shí)將生成結(jié)果反饋給用戶； 4、安全服務(wù)器訪問目錄服務(wù)器的目錄樹，獲取數(shù)字證書及數(shù)字證書吊銷列表CRL的信息； 5、用戶通過key發(fā)送的信息傳送至安全服務(wù)器，安全服務(wù)器根據(jù)key上的信息在本地證書庫(kù)中查找用戶數(shù)字證書及數(shù)字證書吊銷列表CRL，以確定數(shù)字證書是否有效，如果數(shù)字證書有效，則取得用戶公鑰，驗(yàn)證用戶簽名。 如果安全服務(wù)器需要得知用戶的擴(kuò)展項(xiàng)信息，需要使用密碼卡獲取擴(kuò)展項(xiàng)信息的密鑰，并用專門的證書讀寫裝置讀取。 以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實(shí)施例的限制，上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)，本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求
一種數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，其特征在于，它包括如下步驟(1)認(rèn)證中心對(duì)數(shù)字證書中的擴(kuò)展項(xiàng)信息的內(nèi)容進(jìn)行分類，每個(gè)類別設(shè)置一個(gè)標(biāo)識(shí)符；(2)密鑰管理中心針對(duì)認(rèn)證中心各個(gè)類別的標(biāo)識(shí)符生成對(duì)應(yīng)的密鑰對(duì)；(3)認(rèn)證中心收到注冊(cè)中心的數(shù)字證書申請(qǐng)信息并將數(shù)字證書信息中的擴(kuò)展項(xiàng)信息提取出來；(4)根據(jù)擴(kuò)展項(xiàng)信息各個(gè)類別的標(biāo)識(shí)符采用密鑰管理中心的對(duì)應(yīng)的密鑰對(duì)進(jìn)行分別加密；(5)將數(shù)字證書申請(qǐng)信息連同加密后擴(kuò)展項(xiàng)信息生成數(shù)字證書并由認(rèn)證中心的私鑰簽發(fā)數(shù)字證書。
2. 如權(quán)利要求1所述的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，其特征在于，數(shù)字證書簽發(fā)后 發(fā)布在目錄服務(wù)器的目錄樹中，并同時(shí)將結(jié)果反饋給用戶。
3. 如權(quán)利要求1所述的數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，其特征在于，如果需要得知數(shù) 字證書中的擴(kuò)展信息，需要獲取對(duì)應(yīng)的擴(kuò)展項(xiàng)信息的密鑰并進(jìn)行讀取。
全文摘要
本發(fā)明的目的在于公開一種數(shù)字證書擴(kuò)展項(xiàng)信息保護(hù)方法，通過密鑰管理中心針對(duì)數(shù)字證書中擴(kuò)展項(xiàng)信息里的不同類型信息分別加密，加密所用的密鑰由密鑰管理中心統(tǒng)一管理；當(dāng)用戶需要使用到數(shù)字證書中具體某項(xiàng)類型的信息時(shí)，需要用專門的密碼卡來讀取信息，避免來個(gè)人信息被濫用，解決現(xiàn)有數(shù)字證書在使用過程中將數(shù)字證書中不必要的擴(kuò)展項(xiàng)信息暴露的問題，加強(qiáng)數(shù)字證書擴(kuò)展項(xiàng)信息的安全，實(shí)現(xiàn)本發(fā)明的目的。
文檔編號(hào)H04L9/32GK101777980SQ20091024785
公開日2010年7月14日 申請(qǐng)日期2009年12月31日 優(yōu)先權(quán)日2009年12月31日
發(fā)明者侯強(qiáng), 倪力舜, 劉旻斐, 姚靜晶, 朱政洪, 柯耀宏, 王佳, 胡永濤, 鄒翔, 金波, 高峰 申請(qǐng)人:公安部第三研究所