基于pki體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法
【專利摘要】本發(fā)明公開了基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法,該方法查詢時(shí)�����,首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)��,根據(jù)B1用戶的用戶唯一標(biāo)識(shí)信息獲得B1用戶的證書唯一標(biāo)識(shí)項(xiàng)值����,其次再通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對(duì)應(yīng)的證書存儲(chǔ)服務(wù)器配置信息,再利用已經(jīng)獲取到的B1用戶證書唯一標(biāo)識(shí)項(xiàng)值�����,在證書服務(wù)器中找到B1用戶的簽名公鑰證書或加密公鑰證書����。該方法對(duì)原有系統(tǒng)改動(dòng)小且能夠?qū)崿F(xiàn)多個(gè)應(yīng)用系統(tǒng)之間用戶公鑰證書的互查。
【專利說明】基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)和信息安全【技術(shù)領(lǐng)域】��,具體涉及基于PKI體系的局域網(wǎng)或?qū)>W(wǎng)應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法。
【背景技術(shù)】
[0002]隨著人們對(duì)應(yīng)用系統(tǒng)安全意識(shí)的增強(qiáng)�,基于PKI體系的應(yīng)用系統(tǒng)越來越多,基于PKI體系的應(yīng)用系統(tǒng)之間相互結(jié)合的需求也相應(yīng)產(chǎn)生�,在基于PKI體系的應(yīng)用系統(tǒng)中,很多業(yè)務(wù)流程都會(huì)有業(yè)務(wù)數(shù)據(jù)利用證書加密簽名��、解密驗(yàn)簽的需求��,但由于不同的應(yīng)用系統(tǒng)使用的發(fā)證系統(tǒng)不同����,證書存儲(chǔ)方式不同,多個(gè)應(yīng)用系統(tǒng)之間加密簽名很難實(shí)現(xiàn)在另一系統(tǒng)能解密驗(yàn)簽���,主要難點(diǎn)還是在于多個(gè)應(yīng)用系統(tǒng)之間用戶公鑰證書的互相查詢不容易實(shí)現(xiàn)�。
[0003]針對(duì)上述情況�����,特別需要一種方法能實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)間的用戶公鑰證書互查�,并且支持不同應(yīng)用系統(tǒng)使用不同發(fā)證系統(tǒng)��,支持不同應(yīng)用系統(tǒng)使用不同的證書存放服務(wù)器�����。考慮到對(duì)于已經(jīng)建設(shè)好的應(yīng)用系統(tǒng)的改造��,也要求提供的方法盡量少的改動(dòng)原有系統(tǒng)���。
[0004]由此��,提供一種對(duì)原有系統(tǒng)改動(dòng)小且能夠?qū)崿F(xiàn)多個(gè)應(yīng)用系統(tǒng)間的用戶公鑰證書互查的方法是本領(lǐng)域亟需解決的問題�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明針對(duì)現(xiàn)有多個(gè)應(yīng)用系統(tǒng)之間用戶公鑰證書不能互相查詢的問題���,而提供一種基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法����。該方法對(duì)原有系統(tǒng)改動(dòng)小且能夠?qū)崿F(xiàn)多個(gè)應(yīng)用系統(tǒng)之間用戶公鑰證書的互查���。
[0006]為了達(dá)到上述目的�,本發(fā)明采用如下的技術(shù)方案:
[0007]基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法���,該方法基于PKI體系的局域網(wǎng)或?qū)>W(wǎng)應(yīng)用系統(tǒng)實(shí)施����,其包括如下步驟:
[0008](I)應(yīng)用系統(tǒng)在注冊(cè)用戶時(shí)將用戶唯一標(biāo)識(shí)信息和該用戶對(duì)應(yīng)的證書唯一標(biāo)識(shí)項(xiàng)值的對(duì)應(yīng)關(guān)系存儲(chǔ)在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫(kù)或配置文件中;
[0009](2)應(yīng)用系統(tǒng)需要配置所對(duì)應(yīng)的存放證書的證書存儲(chǔ)服務(wù)器����,并將配置信息保存在數(shù)據(jù)庫(kù)或配置文件中;
[0010](3)應(yīng)用系統(tǒng)本身對(duì)外提供一種數(shù)據(jù)獲取服務(wù)���,通過該服務(wù)�,其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對(duì)應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲(chǔ)服務(wù)器配置信息���;
[0011](4)若A應(yīng)用系統(tǒng)要獲取B應(yīng)用系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書�,首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)�,根據(jù)BI用戶的用戶唯一標(biāo)識(shí)信息獲得BI用戶的證書唯一標(biāo)識(shí)項(xiàng)值,其次再通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對(duì)應(yīng)的證書存儲(chǔ)服務(wù)器配置信息�,再利用已經(jīng)獲取到的BI用戶證書唯一標(biāo)識(shí)項(xiàng)值,在證書服務(wù)器中找到BI用戶的簽名公鑰證書或加密公鑰證書�。
[0012]在本發(fā)明的優(yōu)選實(shí)例中,所述步驟(I)中涉及的用戶唯一標(biāo)識(shí)信息可以包括GBK字符集包含的字符信息�����。[0013]進(jìn)一步的��,所述步驟(I)中涉及的證書唯一標(biāo)識(shí)項(xiàng)值可以包括GBK字符集包含的
字符信息��。
[0014]進(jìn)一步的�,所述步驟(2)中描述的證書存儲(chǔ)服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)。
[0015]進(jìn)一步的�����,所述需要相互查詢證書的應(yīng)用系統(tǒng)中的證書存儲(chǔ)服務(wù)器類型可以不同��。
[0016]進(jìn)一步的����,所述應(yīng)用系統(tǒng)對(duì)外提供的數(shù)據(jù)獲取服務(wù)為基于TCP協(xié)議的數(shù)據(jù)獲取服務(wù)。
[0017]根據(jù)上述技術(shù)方案得到的本發(fā)明能夠?yàn)樗谢赑KI體系的應(yīng)用系統(tǒng)提供與其它系統(tǒng)互通基于證書的加密簽名數(shù)據(jù)的方法�����,從而為PKI體系應(yīng)用系統(tǒng)的廣泛使用建立了一個(gè)良好的基礎(chǔ)�。
[0018]同時(shí),本發(fā)明對(duì)原有系統(tǒng)的改動(dòng)非常小����,能夠在對(duì)對(duì)原有系統(tǒng)改動(dòng)盡可能小的情況下實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)間的用戶公鑰證書互查,大大提高方案的實(shí)用性����。
【專利附圖】
【附圖說明】
[0019]以下結(jié)合附圖和【具體實(shí)施方式】來進(jìn)一步說明本發(fā)明��。
[0020]圖1應(yīng)用系統(tǒng)內(nèi)部數(shù)據(jù)存放模式及多應(yīng)用之間相互證書查詢過程圖���。
【具體實(shí)施方式】
[0021]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征����、達(dá)成目的與功效易于明白了解,下面結(jié)合具體圖示���,進(jìn)一步闡述本發(fā)明���。
[0022]本發(fā)明提供的基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法,該方法基于PKI體系的局域網(wǎng)或?qū)>W(wǎng)應(yīng)用系統(tǒng)實(shí)施�。
[0023]其中涉及的應(yīng)用系統(tǒng)都是基于PKI體系,且所有的應(yīng)用系統(tǒng)相互間網(wǎng)絡(luò)可以互通�����。
[0024]每個(gè)應(yīng)用系統(tǒng)對(duì)所注冊(cè)的用戶都會(huì)形成用戶唯一標(biāo)識(shí)信息���,每個(gè)用戶都有相應(yīng)的證書�����,并且每個(gè)證書都有唯一標(biāo)識(shí)項(xiàng)值�����。對(duì)于應(yīng)用系統(tǒng)中的用戶唯一標(biāo)識(shí)信息可以包括GBK字符集包含的字符信息�,但是并不限于此�,還以包括其他需要的信息。而證書唯一標(biāo)識(shí)項(xiàng)值可以包括GBK字符集包含的字符信息����,但是并不限于此,還以包括其他需要的信息���。
[0025]同時(shí)����,應(yīng)用系統(tǒng)將用戶的用戶唯一標(biāo)識(shí)信息與用戶對(duì)應(yīng)證書的唯一標(biāo)識(shí)項(xiàng)值之間形成一一對(duì)應(yīng)關(guān)系�,并將該對(duì)應(yīng)關(guān)系存儲(chǔ)在應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫(kù)或配置文件中。
[0026]每個(gè)應(yīng)用系統(tǒng)中都具有用于存放證書的證書存儲(chǔ)服務(wù)器����,該證書存儲(chǔ)服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)。每個(gè)應(yīng)用系統(tǒng)對(duì)應(yīng)的證書存儲(chǔ)服務(wù)器都在局域網(wǎng)或?qū)>W(wǎng)內(nèi)�����,其它應(yīng)用系統(tǒng)也可以訪問。
[0027]為進(jìn)一步提高本方案的實(shí)用新型�����,本發(fā)明中需要相互查詢證書的應(yīng)用系統(tǒng)所對(duì)應(yīng)的證書存儲(chǔ)服務(wù)器的類型可以不同�����。
[0028]為了實(shí)現(xiàn)其它應(yīng)用系統(tǒng)對(duì)證書存儲(chǔ)服務(wù)器的訪問����,每個(gè)應(yīng)用系統(tǒng)都對(duì)本系統(tǒng)對(duì)應(yīng)的存放證書的證書存儲(chǔ)服務(wù)器進(jìn)行配置,并將這些配置信息存儲(chǔ)在系統(tǒng)內(nèi)置數(shù)據(jù)庫(kù)或配置文件中���。[0029]為了實(shí)現(xiàn)相互的查詢��,每個(gè)應(yīng)用系統(tǒng)都具有一對(duì)外的查詢借口�����,通過該查詢結(jié)構(gòu)應(yīng)用系統(tǒng)能夠提供一種對(duì)外的數(shù)據(jù)獲取服務(wù)�����,通過該服務(wù)�����,其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對(duì)應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲(chǔ)服務(wù)器配置信息����。在具體實(shí)現(xiàn)方式上����,該對(duì)外的數(shù)據(jù)獲取服務(wù)可以為提供基于TCP協(xié)議的服務(wù),但是并不限于此�,根據(jù)需要同樣可以采用其它協(xié)議的服務(wù)。
[0030]據(jù)此�����,本發(fā)明在不同應(yīng)用系統(tǒng)之間相互查詢用戶公鑰證書的過程如下(參見圖1):
[0031](I)應(yīng)用系統(tǒng)在注冊(cè)用戶時(shí)將用戶唯一標(biāo)識(shí)信息和該用戶對(duì)應(yīng)的證書唯一標(biāo)識(shí)項(xiàng)值的對(duì)應(yīng)關(guān)系存儲(chǔ)在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫(kù)或配置文件中����。
[0032]如,A系統(tǒng)中用戶Al的用戶唯一標(biāo)識(shí)信息與Al證書標(biāo)識(shí)對(duì)應(yīng)��、A2的用戶唯一標(biāo)識(shí)信息與A2證書標(biāo)識(shí)對(duì)應(yīng)等�,該對(duì)應(yīng)信息存儲(chǔ)在A系統(tǒng)的內(nèi)置數(shù)據(jù)庫(kù)或配置文件中��,這樣便于后續(xù)的查詢�。
[0033]B系統(tǒng)中用戶BI的用戶唯一標(biāo)識(shí)信息與BI證書標(biāo)識(shí)對(duì)應(yīng)�����、B2的用戶唯一標(biāo)識(shí)信息與B2證書標(biāo)識(shí)對(duì)應(yīng)等���,該對(duì)應(yīng)信息存儲(chǔ)在B系統(tǒng)的內(nèi)置數(shù)據(jù)庫(kù)或配置文件中�����,這樣便于后續(xù)的查詢��。
[0034](2)應(yīng)用系統(tǒng)需要配置所對(duì)應(yīng)的存放證書的證書存儲(chǔ)服務(wù)器����,并將配置信息保存在數(shù)據(jù)庫(kù)或配置文件中���。
[0035]如���,A系統(tǒng)中配置對(duì)應(yīng)證書存儲(chǔ)服務(wù)器的目錄服務(wù)器IP:1.1.1.1、目錄服務(wù)器端口 3306、目錄服務(wù)器類型:mySql等���,由此可知A系統(tǒng)證書存放在mysql服務(wù)器中���。A系統(tǒng)對(duì)證書存儲(chǔ)服務(wù)器的配置信息保存在數(shù)據(jù)庫(kù)或配置文件中,以便查詢���。
[0036]B系統(tǒng)中配置對(duì)應(yīng)證書存儲(chǔ)服務(wù)器的目錄服務(wù)器IP:1.1.1.2����、目錄服務(wù)器端口389���、目錄服務(wù)器類型:LDAP等,由此可知B系統(tǒng)證書存放在LDAP服務(wù)器中�����。B系統(tǒng)對(duì)證書存儲(chǔ)服務(wù)器的配置信息保存在數(shù)據(jù)庫(kù)或配置文件中��,以便查詢�����。
[0037](3)應(yīng)用系統(tǒng)本身對(duì)外提供一種數(shù)據(jù)獲取服務(wù),通過該服務(wù)�����,其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對(duì)應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲(chǔ)服務(wù)器配置信息�。
[0038]如A系統(tǒng)和B系統(tǒng)都配置對(duì)外提供數(shù)據(jù)獲取服務(wù)的接口,通過該接口可以實(shí)現(xiàn)其它系統(tǒng)根據(jù)用戶唯一標(biāo)識(shí)信息來獲取證書中唯一標(biāo)識(shí)項(xiàng)值�����,以及獲取本應(yīng)用系統(tǒng)用戶證書存放的服務(wù)器配置信息�����。
[0039](4) A系統(tǒng)根據(jù)需求查詢B系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書���,具體如下:
[0040]如�,UA系統(tǒng)中的業(yè)務(wù)X需要查詢B系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書�����,首先A系統(tǒng)向B系統(tǒng)的對(duì)外提供數(shù)據(jù)獲取服務(wù)接口發(fā)送數(shù)據(jù)獲取請(qǐng)求��,即根據(jù)BI用戶的用戶唯一標(biāo)識(shí)信息查詢BI用戶的證書的唯一標(biāo)識(shí)項(xiàng)值和B系統(tǒng)中存放的證書存儲(chǔ)服務(wù)
器配置信息����。
[0041]2��、B系統(tǒng)根據(jù)請(qǐng)求查詢到相應(yīng)的數(shù)據(jù)����,并將BI用戶的證書的唯一標(biāo)識(shí)項(xiàng)值和存放的證書存儲(chǔ)服務(wù)器配置信息返回給A系統(tǒng)����。
[0042]3、A系統(tǒng)根據(jù)獲取到的證書存儲(chǔ)服務(wù)器配置信息訪問B系統(tǒng)中存放證書的證書存儲(chǔ)服務(wù)器�,并根據(jù)獲取到的BI用戶的證書的唯一標(biāo)識(shí)項(xiàng)值查找到BI用戶相應(yīng)的加密公鑰證書或簽名公鑰證書,由此完成查詢�。
[0043]由上可知,本發(fā)明提供的方案提供的查詢方法簡(jiǎn)便實(shí)用�����。[0044]以上顯示和描述了本發(fā)明的基本原理��、主要特征和本發(fā)明的優(yōu)點(diǎn)�。本行業(yè)的技術(shù)人員應(yīng)該了解��,本發(fā)明不受上述實(shí)施例的限制�����,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下�����,本發(fā)明還會(huì)有各種變化和改進(jìn)����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定�。
【權(quán)利要求】
1.基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法,該方法基于PKI體系的局域網(wǎng)或?qū)>W(wǎng)應(yīng)用系統(tǒng)實(shí)施�����,其特征在于�����,所述方法包括如下步驟: (1)應(yīng)用系統(tǒng)在注冊(cè)用戶時(shí)將用戶唯一標(biāo)識(shí)信息和該用戶對(duì)應(yīng)的證書唯一標(biāo)識(shí)項(xiàng)值的對(duì)應(yīng)關(guān)系存儲(chǔ)在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫(kù)或配置文件中�����; (2)應(yīng)用系統(tǒng)需要配置所對(duì)應(yīng)的存放證書的證書存儲(chǔ)服務(wù)器�,并將配置信息保存在數(shù)據(jù)庫(kù)或配置文件中�����; (3)應(yīng)用系統(tǒng)本身對(duì)外提供一種數(shù)據(jù)獲取服務(wù)��,通過該服務(wù)��,其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對(duì)應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲(chǔ)服務(wù)器配置信息�����; (4)若A應(yīng)用系統(tǒng)要獲取B應(yīng)用系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書�����,首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)�����,根據(jù)BI用戶的用戶唯一標(biāo)識(shí)信息獲得BI用戶的證書唯一標(biāo)識(shí)項(xiàng)值,其次再通過B應(yīng)用系統(tǒng)提供的對(duì)外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對(duì)應(yīng)的證書存儲(chǔ)服務(wù)器配置信息����,再利用已經(jīng)獲取到的BI用戶證書唯一標(biāo)識(shí)項(xiàng)值,在證書服務(wù)器中找到BI用戶的簽名公鑰證書或加密公鑰證書����。
2.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法���,其特征在于,所述步驟(I)中涉及的用戶唯一標(biāo)識(shí)信息可以包括GBK字符集包含的字符信息��。
3.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法���,其特征在于�,所述步驟(I)中涉及的證書唯一標(biāo)識(shí)項(xiàng)值可以包括GBK字符集包含的字符信息�。
4.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法,其特征在于���,所述步驟(2)中描述的證書存儲(chǔ)服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)�����。
5.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法�����,其特征在于�,所述需要相互查詢證書的應(yīng)用系統(tǒng)中的證書存儲(chǔ)服務(wù)器類型可以不同�����。
6.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法,其特征在于���,所述應(yīng)用系統(tǒng)對(duì)外提供的數(shù)據(jù)獲取服務(wù)為基于TCP協(xié)議的數(shù)據(jù)獲取服務(wù)�����。
【文檔編號(hào)】H04L29/06GK103873237SQ201210548183
【公開日】2014年6月18日 申請(qǐng)日期:2012年12月17日 優(yōu)先權(quán)日:2012年12月17日
【發(fā)明者】應(yīng)哲峰, 任偉, 衛(wèi)杰, 譚武征 申請(qǐng)人:上海格爾軟件股份有限公司