专利名称:一种证书的分配与管理方法
技术领域:
本发明涉及计算机网络通信中 一种证书的分配与管理方法。
技术背景现有计算机网络通信环境下网络身份证书及对应私钥主要采用证书颁发 点统一生成,然后将生成的证书与对应私钥送交申请实体。此种方式在证书及 私钥颁发过程中证书及私钥全部由证书颁发实体生成,在传送至申请实体时存 在私钥泄露的风险。为提高安全性需要进行将证书及私钥颁发过程本地化,即 不进行网络传输,直接在本机完成后,通过物理方式交给申请实体,但是这样 会造成用户使用不便。 发明内容本发明为解决背景技术中存在的上述技术问题,而提供一种不存在私钥泄 露的风险且使用方便的证书的分配与管理方法。本发明的技术解决方案是本发明为一种证书的分配与管理方法,其特殊 之处在于该方法包括以下步骤1) 证书申请实体生成公私钥对;2) 证书申请实体保存私钥,将公钥发送至证书颁发实体;3) 当证书颁发实体收到公钥后,将根据预先设定的信息及收到的公钥生成 证书;4) 证书颁发实体将生成的证书发送给证书申请实体;5) 证书申请实体将收到的证书保存。上述步骤1)中证书申请实体是通过USBKey生成公私钥对,私钥在 USBKey中生成后直接存储于USBKey。上述预先设定的信息是指生成证书时需要包含的其他信息,包括用户名、 用户序列号、证书使用期限、证书是否加密、证书采用的签名算法或哈希摘要算法。上述步骤3)中根据预先设定的信息及收到的公钥生成证书的具体步骤如下3.1) 证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中査找对应用户序列号,若査找到则进至步骤3.1),若未查找到则进至步骤3.5);3.2) 证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;3.3) 证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;3.4) 生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;证书申请流程结束;3.5) 中止执行,返回给证书申请实体错误信息,证书申请流程结束。 本发明在证书的分配与管理过程中,采用证书申请实体生成公私钥对,私钥保存,公钥发送至证书颁发实体以供生成证书,并将生成证书回送证书申请 实体,私钥在证书申请实体中生成,不需要传送,不存在私钥泄露的风险,同 时本发明证书的颁发过程远程进行,明/密文远程传送至申请实体,使用方便。
图l为本发明的方法流程图;图2为本发明的最佳实施例示意图。
具体实施方式
参见图l,本发明方法流程如下1) 证书申请实体生成公私钥对;2) 证书申请实体保存私钥,将公钥发送至证书颁发实体;3) 当证书颁发实体收到公钥后,将根据预先设定的信息及收到的公钥生成 证书;4) 证书颁发实体将生成的证书发送给证书申请实体;5) 证书申请实体将收到的证书保存。其中公私钥均由证书申请实体生成,私钥保留,公钥用于证书申请,通过网 络传输发送至证书颁发实体,证书生成部分中收到公钥后将根据设定的用户信息 使用相应公钥生成证书并通过网络将证书发送给证书申请实体。预先设定的信息是指生成证书时需要包含的其他信息,包括但不限于用户 名、用户序列号、证书使用期限、证书是否加密、证书采用的签名算法和哈希 摘要算法。根据预先设定的信息及收到的公钥生成证书的具体步骤如下3.1) 证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中査找对应用户序列号,若查找到则进至步骤3.1),若未查找到则 进至步骤3.5);3.2) 证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;3.3) 证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;3.4) 生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;3.5) 中止执行,返回给证书申请实体错误信息。参见图2,本发明的应用的较佳实施例中,证书申请实体为系统管理软件, 证书颁发实体为证书服务单元,其具体步骤如下1) 系统管理软件与USBKey建立连接;2) 系统管理软件与证书服务单元建立连接;3 )证书服务单元将用户信息{User List}发送给系统管理软件;4) 系统管理者通过系统管理软件选择需要颁发证书的用户(UserlDJ;5) 系统管理软件调用USBKey生成公私钥对;6) USBKey在硬件内部生成公私钥对,并返回生成的公钥(PublicKeyJ;7) 系统管理软件发送(PubilcKey, UserID)至证书服务单元申请证书;8) 证书服务单元接受到申请,根据UseriD査找对应用户预设定信息,并 根据查找到的预设定信息生成证书并签名;9) 证书服务单元将生成的证书及自身的证书(CertUser,CertAS)发送给系统 管理软件;10) 系统管理软件使用CertAS对CertUser进行校验,通过后将CertUser与 CertAS同时写入USBKey之中。
权利要求
1. 一种证书的分配与管理方法,其特征在于该方法包括以下步骤1)证书申请实体生成公私钥对;2)证书申请实体保存私钥,发送公钥至证书颁发实体;3)当证书颁发实体收到公钥后,根据预先设定的信息及收到的公钥生成证书;4)证书颁发实体发送生成的证书给证书申请实体;5)证书申请实体保存收到的证书。
2、 根据权利要求1所述的证书的分配与管理方法,其特征在于所述步 骤l)中证书申请实体是通过USBKey生成公私钥对。
3、 根据权利要求1或2所述的证书的分配与管理方法,其特征在于所 述预先设定的信息是指生成证书时需要包含的信息,包括用户名、用户序列号、 证书使用期限、证书是否加密、证书采用的签名算法和哈希摘要算法。4、 根据权利要求3所述的证书的分配与管理方法,其特征在于所述步 骤3)中根据预先设定的信息及收到的公钥生成证书的具体步骤如下3.1) 证书颁发实体收到包含有公钥与证书申请实体序列号的请求,从自身 的设定信息中査找对应用户序列号,若査找到则进至步骤3.1),若未查找到则 进至步骤3.5);3.2) 证书颁发实体根据X509.v3标准证书格式构造证书的基本结构;3.3) 证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填 充到构造完成的证书结构属性中;3.4) 生成哈希指纹与证书的签名,完成证书,并将生成的证书返回给证书 申请实体;证书申请流程结束;3.5) 中止执行,返回给证书申请实体错误信息;证书申请流程结束。
全文摘要
本发明涉及一种证书的分配与管理方法,该方法包括以下步骤1)证书申请实体生成公私钥对;2)证书申请实体保存私钥,发送公钥至证书颁发实体;3)当证书颁发实体收到公钥后,根据预先设定的信息及收到的公钥生成证书;4)证书颁发实体发送生成的证书给证书申请实体;5)证书申请实体保存收到的证书。本发明提供了一种不存在私钥泄露的风险且使用方便的证书的分配与管理方法。
文档编号H04L9/08GK101272252SQ200810017920
公开日2008年9月24日 申请日期2008年4月9日 优先权日2008年4月9日
发明者强 张, 张喜斌, 军 曹, 磊 王 申请人:西安西电捷通无线网络通信有限公司