專(zhuān)利名稱:一種多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法和驗(yàn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及從一個(gè)或多個(gè)數(shù)字證書(shū)(稱作主證書(shū))���,創(chuàng)建一個(gè)或者多個(gè)相關(guān)聯(lián)的數(shù)字證書(shū)(稱作副證書(shū))�����,以及這種關(guān)聯(lián)的有效性驗(yàn)證的問(wèn)題��。用于解決目前已經(jīng)持有合法有效數(shù)字證書(shū)的單位或者個(gè)人,在現(xiàn)有有效證書(shū)的基礎(chǔ)上����,創(chuàng)建或者獲取新的關(guān)聯(lián)數(shù)字證書(shū),用于其它業(yè)務(wù)和應(yīng)用系統(tǒng)的問(wèn)題���。
背景技術(shù):
數(shù)字證書(shū)是證明用戶身份的網(wǎng)上標(biāo)識(shí)��,在網(wǎng)絡(luò)中識(shí)別通訊各方的身份����,即在虛擬社會(huì)中解決“我是誰(shuí)”的問(wèn)題��。通俗的講,數(shù)字證書(shū)就好像是網(wǎng)上用戶的身份證�,能夠保證您在網(wǎng)絡(luò)上進(jìn)行的交易是安全的和可信的。數(shù)字證書(shū)主要有如下作用
身份認(rèn)證數(shù)字證書(shū)中包括的主要內(nèi)容有證書(shū)擁有者的單位信息�、證書(shū)擁有者的公鑰、公鑰的有效期���、頒發(fā)數(shù)字證書(shū)的CA�����、CA的數(shù)字簽名等��。加密傳輸信息通過(guò)數(shù)字證書(shū)在網(wǎng)上傳輸數(shù)據(jù)���,這些數(shù)據(jù)要進(jìn)行加密,然后以密碼的形式在Internet上傳輸��。發(fā)送方用接收方的公鑰對(duì)文件進(jìn)行加密��,接收方用只有自己才有的私鑰進(jìn)行解密�����,得到文件明文�����。數(shù)字簽名抗否認(rèn)在現(xiàn)實(shí)生活中用公章、簽名等來(lái)實(shí)現(xiàn)的抗否認(rèn)��,在網(wǎng)上可以借助數(shù)字證書(shū)的數(shù)字簽名來(lái)實(shí)現(xiàn)�����。數(shù)字證書(shū)被廣泛的使用于軍事����、金融、電子政務(wù)和電子商務(wù)領(lǐng)域����,用于在因特網(wǎng)中識(shí)別使用者的身份�。但是兩張數(shù)字證書(shū)之間的關(guān)聯(lián)性目前無(wú)法得到有效的驗(yàn)證。例如某機(jī)構(gòu)申請(qǐng)一張證書(shū)A���,用于需要使用法人身份的場(chǎng)合(類(lèi)似企業(yè)公章)�,另外又申請(qǐng)了一張證書(shū)B(niǎo)���,用于電子合同(類(lèi)似企業(yè)合同章)����。其中證書(shū)B(niǎo)在使用范圍和權(quán)限上是屬于證書(shū)A的,A有效�,B才有效,但是目前的證書(shū)體系中對(duì)于類(lèi)似情況并沒(méi)有體現(xiàn)出這樣的關(guān)聯(lián)性��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是根據(jù)上文中提到的存在問(wèn)題����,通過(guò)在簽發(fā)副證書(shū)的時(shí)候,加入主證書(shū)的專(zhuān)有標(biāo)識(shí)����,來(lái)實(shí)現(xiàn)主副證書(shū)之間的關(guān)聯(lián)。副證書(shū)的簽發(fā)步驟如下
I.獲取證書(shū)簽發(fā)所需必要信息��,例如證書(shū)DN項(xiàng)����,密鑰用途,擴(kuò)展密鑰用途等���。2.使用主證書(shū)對(duì)副證書(shū)簽發(fā)信息中的某項(xiàng)或者部分或者全部?jī)?nèi)容進(jìn)行簽名����,并得到主證書(shū)簽名結(jié)果,簽名時(shí)還可以加入副證書(shū)Subject Key Identifier等防重放元素,也可以加入有效期等限制條件�����。3.如果有多張主證書(shū)��,可以使用每張主證書(shū)都進(jìn)行一次步驟二中的操作�����,也可以使用每張主證書(shū)對(duì)上一張主證書(shū)的簽名結(jié)果再次簽名���,以獲取最終的簽名結(jié)果�。4.將主證書(shū)簽名結(jié)果���、主證書(shū)唯一標(biāo)識(shí)等作為主證書(shū)專(zhuān)有標(biāo)識(shí)����,作為證書(shū)簽發(fā)請(qǐng)求的一部分發(fā)送到證書(shū)簽發(fā)系統(tǒng)(CA)����。5.由證書(shū)簽發(fā)系統(tǒng)(CA)�����,根據(jù)自身的證書(shū)策略,在簽發(fā)副證書(shū)的同時(shí)��,將主證書(shū)專(zhuān)有標(biāo)識(shí)附加在副證書(shū)內(nèi)容中���,附加的位置可以是副證書(shū)的主題項(xiàng)���,簽發(fā)者項(xiàng),或者其它證書(shū)擴(kuò)展項(xiàng)中���。6.副證書(shū)的持有者獲得簽發(fā)好的副證書(shū)���。有益效果數(shù)字證書(shū)是用來(lái)標(biāo)識(shí)一個(gè)實(shí)體(例如單位,個(gè)人等) 在網(wǎng)絡(luò)上的數(shù)字身份���。但是在線下的生活中���,一個(gè)公司既有公章也有財(cái)務(wù)章、合同章�����;一個(gè)個(gè)人既有身份證,也有護(hù)照��、工作證等多個(gè)身份標(biāo)識(shí)����。在申領(lǐng)護(hù)照的時(shí)候,需要提交身份證�����,身份證失效���,護(hù)照也會(huì)相應(yīng)的生效��。與本發(fā)明類(lèi)比��,顯然身份證就是主證書(shū)��,護(hù)照就是副證書(shū)���。既然在線下的生活中存在這樣的身份標(biāo)識(shí)的關(guān)聯(lián),當(dāng)我們?cè)谠O(shè)計(jì)和使用網(wǎng)絡(luò)上的數(shù)字身份的時(shí)候�,也需要具有同樣對(duì)應(yīng)的模式���,這樣才可以在不改變用戶使用習(xí)慣和(政府等機(jī)構(gòu))管理方式的情況下���,把線下的業(yè)務(wù)搬到網(wǎng)上���。設(shè)想一下基于數(shù)字證書(shū)的電子護(hù)照的實(shí)現(xiàn)。通過(guò)本發(fā)明����,在電子護(hù)照證書(shū)中可以直接嵌入身份證證書(shū)的專(zhuān)有標(biāo)識(shí)。這種嵌入�����,不破壞數(shù)字證書(shū)原有的結(jié)構(gòu)����。在驗(yàn)證時(shí),用戶不需要提交自己的主證書(shū)(因?yàn)樽C書(shū)本身就是公開(kāi)的信息����,驗(yàn)證機(jī)構(gòu)可以通過(guò)主證書(shū)專(zhuān)有標(biāo)識(shí)中的主證書(shū)唯一標(biāo)識(shí)通過(guò)其它途徑獲取),簡(jiǎn)化了用戶的使用過(guò)程�����,同時(shí)驗(yàn)證過(guò)程的安全性沒(méi)有降低。如果身份證證書(shū)已經(jīng)失效�����,本驗(yàn)證過(guò)程會(huì)確保電子護(hù)照證書(shū)也會(huì)自動(dòng)失效����。那么如果要失效該用戶的所有電子身份標(biāo)識(shí)(副證書(shū)),只需要廢除該用戶的身份證證書(shū)(主證書(shū))就可以了����。由于副證書(shū)中已經(jīng)包含了主證書(shū)的專(zhuān)有標(biāo)識(shí),在應(yīng)用系統(tǒng)中就不再需要自己建立主副證書(shū)的對(duì)照表����,而是從副證書(shū)可以直接獲取,簡(jiǎn)化了應(yīng)用系統(tǒng)的復(fù)雜度��,降低應(yīng)用系統(tǒng)管理維護(hù)的成本��,還可以避免信息更新不及時(shí)造成的對(duì)照表錯(cuò)誤��。這些都是本發(fā)明帶來(lái)的在使用和管理上的優(yōu)勢(shì)�����。
圖I為本發(fā)明的副證書(shū)簽發(fā)流程示意圖。圖2為新舊證書(shū)結(jié)構(gòu)對(duì)比圖�。圖3為主證書(shū)專(zhuān)有標(biāo)識(shí)示意圖����。圖4為本發(fā)明的副證書(shū)驗(yàn)證流程示意圖。
具體實(shí)施例方式以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)闡述���。圖I是副證書(shū)簽發(fā)過(guò)程的流程示意圖����。一種多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)辦法��,以一個(gè)或者多個(gè)數(shù)字證書(shū)作為主證書(shū)����,通過(guò)主證書(shū),對(duì)副證書(shū)的簽發(fā)請(qǐng)求中的特定信息進(jìn)行數(shù)字簽名等操作�,獲得主證書(shū)專(zhuān)有標(biāo)識(shí),并由副證書(shū)的簽發(fā)機(jī)構(gòu)(CA)將主證書(shū)專(zhuān)有標(biāo)識(shí)作為副證書(shū)內(nèi)容中的組成部分�,包含在簽發(fā)后的副證書(shū)中。至此�����,主副證書(shū)之間,通過(guò)主證書(shū)的專(zhuān)有標(biāo)識(shí)(簽名)建立起了相互的關(guān)聯(lián)�。圖2是現(xiàn)有證書(shū)結(jié)構(gòu)和新的證書(shū)結(jié)構(gòu)的對(duì)比圖。需要說(shuō)明的是����,雖然圖2中把主證書(shū)專(zhuān)有標(biāo)識(shí)放在證書(shū)擴(kuò)展項(xiàng)內(nèi),但是在實(shí)際使用中�����,主證書(shū)的專(zhuān)有標(biāo)識(shí)的放置位置不受到這個(gè)限制�,可以根據(jù)實(shí)際應(yīng)用的要求,放在證書(shū)中的任何位置�。主證書(shū)專(zhuān)有標(biāo)識(shí)主證書(shū)專(zhuān)有標(biāo)識(shí)是一個(gè)或者多個(gè)經(jīng)過(guò)編碼的數(shù)據(jù),編碼方式可以是ASN. I或者其它格式�。其中包括但不限于以下內(nèi)容主證書(shū)對(duì)副證書(shū)中的特定信息(例如DN, Subject Key Identifier等)等部分或者全部?jī)?nèi)容的數(shù)字簽名、主證書(shū)唯一標(biāo)識(shí)(例如主證書(shū)的證書(shū)指紋)�。圖3是一個(gè)典型的主證書(shū)專(zhuān)有標(biāo)識(shí)的結(jié)構(gòu)圖。其中主證書(shū)簽發(fā)者標(biāo)識(shí)可以用來(lái)快速定位主證書(shū)的簽發(fā)者����,便于向主證書(shū)的簽發(fā)者查詢主證書(shū)(如果只有一個(gè)主證書(shū)簽發(fā)者,這一項(xiàng)可以省略)��;主證書(shū)唯一標(biāo)識(shí)用來(lái)在查詢主證書(shū)的時(shí)候,作為查詢條件�����;主證書(shū)對(duì)副證書(shū)Subject Key Identifier的簽名作為主證書(shū)關(guān)聯(lián)該副證書(shū)的關(guān)鍵信息��。一種多個(gè)數(shù)字證書(shū)關(guān)聯(lián)有效性的驗(yàn)證方法���,提取副證書(shū)中的主證書(shū)專(zhuān)有標(biāo)識(shí),通過(guò)簽名驗(yàn)證等方法�,驗(yàn)證該專(zhuān)有標(biāo)識(shí)的有效性,從而獲得該關(guān)聯(lián)的有效性�。上述簽名不限于目前已知的數(shù)字證書(shū)簽名方式,只要滿足以下條件均可以視作是簽名操作完整性和不可 否認(rèn)性�����。副證書(shū)的驗(yàn)證過(guò)程如下
1.驗(yàn)證副證書(shū)的證書(shū)鏈�����,有效期���,黑名單��,白名單等�����;
2.從副證書(shū)中提取主證書(shū)專(zhuān)有標(biāo)識(shí)�����,獲取主證書(shū)唯一標(biāo)識(shí)��,通過(guò)主證書(shū)唯一標(biāo)識(shí)��,獲取主證書(shū)���;
3.驗(yàn)證主證書(shū)有效性�����;
4.驗(yàn)證主證書(shū)專(zhuān)有標(biāo)識(shí)中的簽名��;
5.其它驗(yàn)證過(guò)程�����,例如驗(yàn)證主證書(shū)簽名時(shí)指定的限制條件等�����;
6.如果有多個(gè)主證書(shū)�����,則可以重復(fù)二到五驗(yàn)證過(guò)程�。上述驗(yàn)證過(guò)程的次序并不一定必須按照上面的描述過(guò)程,可以打亂執(zhí)行��,或者只執(zhí)行其中的一部分��。圖4是副證書(shū)驗(yàn)證流程的示意圖��。經(jīng)過(guò)上述的驗(yàn)證過(guò)程�����,可以確認(rèn)該副證書(shū)與主證書(shū)關(guān)聯(lián)的有效性��。如果用戶手上已經(jīng)持有原先簽發(fā)的某張證書(shū)B(niǎo) (在性質(zhì)上從屬于某張主證書(shū)A�,但是在簽發(fā)的時(shí)候沒(méi)有添加主證書(shū)專(zhuān)有標(biāo)識(shí)�����,因此從驗(yàn)證系統(tǒng)來(lái)看,證書(shū)B(niǎo)是一張獨(dú)立證書(shū))���,那么我們可以通過(guò)以下流程更新證書(shū)B(niǎo)���,使其成為證書(shū)A的副證書(shū)。I.從證書(shū)B(niǎo)獲取證書(shū)簽發(fā)或者更新所需必要信息�,例如證書(shū)DN項(xiàng),密鑰用途��,擴(kuò)展密鑰用途等��。2.使用主證書(shū)對(duì)副證書(shū)簽發(fā)信息中的某項(xiàng)或者部分或者全部?jī)?nèi)容進(jìn)行簽名���,并得到主證書(shū)簽名結(jié)果�,簽名還可以加入副證書(shū)Subject Key Identifier等防重放元素,也可以加入有效期等限制條件�。3.如果有多張主證書(shū),可以使用每張主證書(shū)都進(jìn)行一次步驟二中的操作�,也可以使用每張主證書(shū)對(duì)上一張主證書(shū)的簽名結(jié)果再次簽名,以獲取最終的簽名結(jié)果��。4.將主證書(shū)簽名結(jié)果���、主證書(shū)唯一標(biāo)識(shí)等作為主證書(shū)專(zhuān)有標(biāo)識(shí)���,作為證書(shū)簽發(fā)請(qǐng)求的一部分發(fā)送到證書(shū)簽發(fā)系統(tǒng)(CA)��。5.由證書(shū)簽發(fā)系統(tǒng)(CA)��,根據(jù)自身的證書(shū)策略�,在簽發(fā)或者更新副證書(shū)的同時(shí)�,將主證書(shū)專(zhuān)有標(biāo)識(shí)附加在副證書(shū)內(nèi)容中,附加的位置可以是副證書(shū)的主題項(xiàng)��,簽發(fā)者項(xiàng)�,或者其它證書(shū)擴(kuò)展項(xiàng)中。6.證書(shū)B(niǎo)的持有者獲得簽發(fā)好的新的副證書(shū)B(niǎo)�。雖然本發(fā)明通過(guò)具體實(shí)施例和附圖進(jìn)行了描述,但實(shí)施例和附圖并非用來(lái)限定本發(fā)明�����。本領(lǐng)域技術(shù)人員可在本發(fā)明的精神 范圍內(nèi)���,做出各種變形和改進(jìn),其同樣在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以本申請(qǐng)的權(quán)利要求保護(hù)所界定的相同或等同的范圍為準(zhǔn)。
權(quán)利要求
1.一種多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法���,至少包括一個(gè)主證書(shū)�、至少包括一個(gè)副證書(shū)��,其特征在于���,通過(guò)主證書(shū)�,對(duì)副證書(shū)的簽發(fā)請(qǐng)求中的特定信息進(jìn)行數(shù)字簽名操作����,獲得主證書(shū)專(zhuān)有標(biāo)識(shí),并由副證書(shū)的簽發(fā)機(jī)構(gòu)CA將主證書(shū)專(zhuān)有標(biāo)識(shí)作為副證書(shū)內(nèi)容中的組成部分���,包含在簽發(fā)后的副證書(shū)中��。
2.根據(jù)權(quán)利要求I所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法���,其特征在于對(duì)副證書(shū)的簽發(fā)步驟如下, 步驟一��、獲取副證書(shū)簽發(fā)所需必要信息; 步驟二����、使用主證書(shū)對(duì)副證書(shū)簽發(fā)信息中的某項(xiàng)或者部分或者全部?jī)?nèi)容進(jìn)行簽名,并得到主證書(shū)簽名結(jié)果�,簽名時(shí)可以加入防重放元素,或者加入限制條件�����; 步驟三���、如果有多張主證書(shū)����,使用每張主證書(shū)都進(jìn)行一次步驟二中的操作�,或者使用每張主證書(shū)對(duì)上一張主證書(shū)的簽名結(jié)果再次簽名,以獲取最終的簽名結(jié)果�����; 步驟四�、將主證書(shū)簽名結(jié)果�、主證書(shū)唯一標(biāo)識(shí)作為主證書(shū)專(zhuān)有標(biāo)識(shí),作為證書(shū)簽發(fā)請(qǐng)求的一部分發(fā)送到證書(shū)簽發(fā)系統(tǒng)CA ; 步驟五��、由證書(shū)簽發(fā)系統(tǒng)CA��,根據(jù)自身的證書(shū)策略����,在簽發(fā)副證書(shū)的同時(shí),將主證書(shū)專(zhuān)有標(biāo)識(shí)附加在副證書(shū)內(nèi)容中��,附加的位置可以是副證書(shū)的主題項(xiàng)�����,簽發(fā)者項(xiàng)�����,或者其它證書(shū)擴(kuò)展項(xiàng)中����; 步驟六、副證書(shū)的持有者獲得簽發(fā)好的副證書(shū)���。
3.根據(jù)權(quán)利要求2所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法���,其特征在于所述必要信息是指證書(shū)DN項(xiàng)����、有效期��;所述防重放元素是指副證書(shū)的Subject Key Identifier ;所述限制條件是指主證書(shū)授權(quán)有效期����;所述主證書(shū)的唯一標(biāo)識(shí)是指主證書(shū)指紋。
4.根據(jù)權(quán)利要求1���、2或者3所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法����,其特征在于所述主證書(shū)專(zhuān)有標(biāo)識(shí)是一個(gè)或者多個(gè)經(jīng)過(guò)編碼的數(shù)據(jù)���,編碼方式可以是ASN. I或者其它格式���,其中包括主證書(shū)對(duì)副證書(shū)中的特定信息、限制條件的部分或者全部?jī)?nèi)容的數(shù)字簽名�����、主證書(shū)唯一標(biāo)識(shí)等�����。
5.根據(jù)權(quán)利要求I所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法��,其特征在于 所述簽名應(yīng)滿足完整性和不可否認(rèn)性的操作�����。
6.一種多個(gè)數(shù)字證書(shū)的驗(yàn)證方法��,其驗(yàn)證多個(gè)數(shù)字證書(shū)間的關(guān)聯(lián)有效性��,至少包括一個(gè)主證書(shū)�、至少包括一個(gè)關(guān)聯(lián)副證書(shū),其特征在于�,提取副證書(shū)中的主證書(shū)專(zhuān)有標(biāo)識(shí),通過(guò)簽名驗(yàn)證的方法����,驗(yàn)證所述主證書(shū)專(zhuān)有標(biāo)識(shí)的有效性,從而獲得該關(guān)聯(lián)的有效性����。
7.根據(jù)權(quán)利要求6所述的多個(gè)數(shù)字證書(shū)的驗(yàn)證方法��,其特征在于對(duì)副證書(shū)中主證書(shū)專(zhuān)有標(biāo)識(shí)的驗(yàn)證步驟如下�, 步驟一���、從副證書(shū)中提取主證書(shū)專(zhuān)有標(biāo)識(shí)���,獲取主證書(shū)唯一標(biāo)識(shí),通過(guò)主證書(shū)唯一標(biāo)識(shí)���,獲取主證書(shū)����; 步驟二��、驗(yàn)證主證書(shū)有效性���; 步驟三�、驗(yàn)證主證書(shū)專(zhuān)有標(biāo)識(shí)中的簽名���; 步驟四����、如果有多個(gè)主證書(shū),則重復(fù)步驟一到步驟三驗(yàn)證過(guò)程�����。
8.根據(jù)權(quán)利要求6或者7所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法�����,其特征在于 所述主證書(shū)專(zhuān)有標(biāo)識(shí)是一個(gè)或者多個(gè)經(jīng)過(guò)編碼的數(shù)據(jù)�,編碼方式可以是ASN. I或者其它格式����,其中包括主證書(shū)對(duì)副證書(shū)中的特定信息、限制條件的部分或者全部?jī)?nèi)容的數(shù)字簽名����、主證書(shū)唯一標(biāo)識(shí)等。
9.根據(jù)權(quán)利要求6所述的多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法�����,其特征在于 所述簽名應(yīng)滿足完整性和不可否認(rèn)性的操作���。
全文摘要
本發(fā)明公開(kāi)了一種多個(gè)數(shù)字證書(shū)的關(guān)聯(lián)方法和驗(yàn)證方法�����,以一個(gè)或者多個(gè)數(shù)字證書(shū)作為主證書(shū)����,通過(guò)主證書(shū),對(duì)副證書(shū)的簽發(fā)請(qǐng)求中的特定信息進(jìn)行數(shù)字簽名等操作�����,獲得主證書(shū)專(zhuān)有標(biāo)識(shí)����,并由副證書(shū)的簽發(fā)機(jī)構(gòu)(CA)將主證書(shū)專(zhuān)有標(biāo)識(shí)作為副證書(shū)內(nèi)容中的組成部分,包含在簽發(fā)后的副證書(shū)中�����。驗(yàn)證時(shí)�����,提取副證書(shū)中的主證書(shū)專(zhuān)有標(biāo)識(shí)����,通過(guò)簽名驗(yàn)證等方法��,驗(yàn)證該專(zhuān)有標(biāo)識(shí)的有效性���,從而獲得該關(guān)聯(lián)的有效性。由于副證書(shū)中已經(jīng)包含了主證書(shū)的專(zhuān)有標(biāo)識(shí)�,在應(yīng)用系統(tǒng)中就不再需要自己建立主副證書(shū)的對(duì)照表,而是從副證書(shū)可以直接獲取���,簡(jiǎn)化了應(yīng)用系統(tǒng)的復(fù)雜度,降低應(yīng)用系統(tǒng)管理維護(hù)的成本���,還可以避免信息更新不及時(shí)造成的對(duì)照表錯(cuò)誤�����。
文檔編號(hào)H04L9/32GK102801532SQ20121033846
公開(kāi)日2012年11月28日 申請(qǐng)日期2012年9月14日 優(yōu)先權(quán)日2012年9月14日
發(fā)明者莊昱垚, 陳鵬, 董必成 申請(qǐng)人:江蘇先安科技有限公司