专利名称:数字证书更新方法
技术领域:
本发明涉及网络与信息安全领域,尤其涉及一种数字证书更新方法。
背景技术:
公钥基础设施(Public Key Infrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的密钥管理平台。该技术广泛应用于网上银行、电子商务、电子政务等领域。一个完整地PKI系统是由认证机构(Certification Authority,简称CA)、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构在PKI系统中居于核心地位。CA中心又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。注册机构(Registration Authority,简称RA)中心是CA功能的延伸,其负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。RA中心是整个CA中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须遵循统一化和规范化,这些业务都可以由RA中心来实现。用户安全终端是用户用于在网上电子签名和数字认证的工具,用户安全终端通常使用内置安全芯片,采用1024位或者2048位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。用户安全终端存储着用户的私钥以及数字证书,利用其内置的公钥算法实现对用户身份的认证,同时通过内置的安全芯片也保证了用户证书的私钥无法被复制或者导出。例如网上银行用户、电子商务网站或者移动终端的用户所使用的USB-KEY、SD-KEY就是常用的安全终端。目前,国内所使用的数字证书更新都采用用户通过网络或者到CA管理机构服务地点提出证书更新申请,由CA管理机构审核通过后通过网络或者寄发信件的方式向用户提供下载新的数字证书的参考码和授权码,用户再通过网络登陆到证书下载网址,输入得到的参考码和授权码从而将新的数字证书下载到自己的安全终端中。例如:各种银行网银、电子商务网站的数字证书更新均采用这种方式。采用这种证书更新技术在一定程度上增加了用户操作的繁琐度,也给CA管理机构带来了很多工作量,特别当出现用户集中进行数字证书更新时,例如在电子政务系统中极易出现年底用户大规模更新证书的情况,在这种情况下很容易出现用户集中发出申请造成等待时间较长,同时证书服务器系统需要对用户登录后的信息校验并提高证书下载,服务器压力较大,容易出现无法及时进行证书更新的情况
发明内容
为解决上述问题,本发明提供一种数字证书更新方法,包括:用户安全终端获取注册机构中心的服务器证书信息;用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向认证机构中心发送更新数字证书的证书申请;用户安全终端接收到来自认证机构中心的新的数字证书。其中,在用户安全终端获取注册机构中心的服务器证书信息之前,该方法还包括:用户安全终端对待更新的数字证书进行初始验证,该初始验证包括对待更新的数字证书的有效期进行验证;若验证通过,则用户安全终端与注册机构中心建立安全连接。其中,用户安全终端对待更新的数字证书进行初始验证,还包括:验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。其中,用户安全终端获取注册机构中心的服务器证书信息,包括:用户安全终端通过安全连接获取注册机构中心的服务器证书信息。其中,用户安全终端通过注册机构中心向认证机构中心发送更新数字证书的证书申请,包括:注册机构中心验证待更新的数字证书是否有更新的权限,若验证该数字证书有更新权限,则用户安全终端向注册机构中心发送更新数字证书的证书申请;注册机构中心与认证机构中心建立安全连接,并将更新数字证书的证书申请发送至认证机构中心。其中,注册机构中心通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。其中,在认证机构中心接收到更新数字证书的证书申请之后,该方法还包括:认证机构中心生成新的数字证书,并将新的数字证书通过注册机构中心发送至用户安全终端。其中,在认证机构中心生成新的数字证书之后,该方法还包括:认证机构中心向目录服务器发送旧的数字证书的注销信息。其中,用户安全终端接收到来自认证机构中心的新的数字证书之后,该方法还包括:用户安全终端安装新的数字证书,并删除旧的数字证书。与现有技术相比,根据本发明的技术方案,通过采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了 CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:图1是本发明实施例的数字证书更新方法的流程图;图2是本发明实施例的数字证书更新方法的优选处理方案的流程图。
具体实施例方式本发明适用于解决基于用户安全终端的数字证书用户(如网上银行、电子商务、电子政务等领域的用户)对自身的证书进行自助更新的领域。为使本发明的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本发明作进一步地详细说明。
根据本发明的实施例,提供了一种数字证书更新方法。图1是本发明实施例的数字证书更新方法的流程图,如图1所示,该方法包括:步骤S102,用户安全终端获取RA(注册机构)中心的服务器证书信息;步骤S104,用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该RA中心相关联的CA (认证机构)中心颁发的数字证书,若验证通过,则通过RA中心向CA中心发送数字证书的证书申请;步骤S106,用户安全终端接收到来自CA中心的新的数字证书。下面结合图2详细描述上述各处理的过程。图2是本发明实施例的数字证书更新方法的优选处理方案的流程图。在图2所示的实施例中,对用户安全终端进行数字证书更新的PKI系统包括:RA中心、CA中心以及目录服务器。如图2所示,该方法具体包括:步骤S202,首先,用户通过用户安全终端提出数字证书更新申请,用户安全终端根据用户提出的申请进行初始校验。该校验的内容包括:检验用户安全终端中的数字证书是否在有效期内,并且初始验证的内容还可以包括:验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。步骤S204,若步骤S202中的验证通过,则用户安全终端与RA中心建立安全连接,优选地,该安全连接的方式为安全套接层(Secure Sockets Layer,简称SSL)连接;若验证失败,则不建立连接,并向用户返回拒绝消息。步骤S206,在用户安全终端与RA中心建立SSL连接之后,用户安全终端获取注册机构中心的服务器证书信息,并根据该服务器证书信息对待更新的数字证书进行第二次验证,验证的内容包括:根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书。 步骤S208,若步骤S206中的验证通过,则用户安全终端向RA中心发送更新数字证书的证书申请;若验证失败,向用户返回拒绝消息。通过采用步骤S202和S206中的用户安全终端两次自动校验审核证书的方法,减少CA管理机构的工作量,保障了 CA管理机构能够高效正确地更新用户的数字证书,确保了在网络中用户更新数字证书的安全性。并且,在用户的证书过期之前用户可以通过自己的安全终端远程自助更新证书,避免用户需要进行繁琐的申请更新流程进行更新,方便用户使用。步骤S210,RA中心接收到来自用户安全终端的更新数字证书的证书申请后,验证待更新的数字证书是否有更新的权限。具体的验证方式可以是:通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。步骤S212,若步骤S210的验证结果为该数字证书有更新权限,则RA中心向用户安全终端返回允许更新的信息。步骤S214,用户安全终端向RA中心发送数字证书的证书申请;步骤S216,RA中心接收到证书申请后与CA中心建立安全连接,并将证书申请发送至CA中心。优选地,该安全连接的方式为SSL连接。由于RA中心之前已经验证该证书的有效性,因此直接自动审核通过。步骤S218,CA中心生成新的数字证书。步骤S220,CA中心将新的数字证书发送至RA中心,同时注销本地旧的数字证书。
步骤S222,CA中心向目录服务器发送旧的数字证书的注销信息。步骤S224,RA中心接收到新的数字证书后转发至用户安全终端。步骤S226,用户安全终端安装接收的新的数字证书,并删除旧的数字证书。当数字证书进行更新后,用户会得到新的证书来代替原来旧的证书,新证书和旧证书中除了证书的有效期、序列号变化外,其余内容如证书主题、扩展信息等等都不会改变,这样就确保用户数字证书使用的延续性,同时CA中心对用户旧证书的即时注销删除,也保证了用户信息的保密性。数字证书更新流程结束。综上所述,根据本发明的上述技术方案,通过采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了 CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
权利要求
1.一种数字证书更新方法,其特征在于,包括: 所述用户安全终端获取注册机构中心的服务器证书信息; 所述用户安全终端根据所述服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向所述认证机构中心发送更新数字证书的证书申请; 所述用户安全终端接收到来自所述认证机构中心的新的数字证书。
2.根据权利要求1所述的方法,其特征在于,在所述用户安全终端获取注册机构中心的服务器证书信息之前,所述方法还包括: 所述用户安全终端对待更新的数字证书进行初始验证,该初始验证包括对待更新的数字证书的有效期进行验证; 若验证通过,则所述用户安全终端与注册机构中心建立安全连接。
3.根据权利要求2所述的方法,其特征在于,所述用户安全终端对待更新的数字证书进行初始验证,还包括: 验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。
4.根据权利要求2所述的方法,其特征在于,所述用户安全终端获取注册机构中心的服务器证书信息,包括: 所述用户安全终端通过所述安全连接获取注册机构中心的服务器证书信息。
5.根据权利要求1所述的方法,其特征在于,所述用户安全终端通过注册机构中心向所述认证机构中心发送更新数字证书的证书申请,包括: 所述注册机构中心验证待更新的数字证书是否有更新的权限,若验证该数字证书有更新权限,则所述用户安全终端向所述注册机构中心发送更新数字证书的证书申请; 所述注册机构中心与所述认证机构中心建立安全连接,并将更新数字证书的证书申请发送至所述认证机构中心。
6.根据权利要求5所述的方法,其特征在于,所述注册机构中心通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。
7.根据权利要求5所述的方法,其特征在于,在所述认证机构中心接收到更新数字证书的证书申请之后,所述方法还包括: 所述认证机构中心生成新的数字证书,并将新的数字证书通过所述注册机构中心发送至所述用户安全终端。
8.根据权利要求7所述的方法,其特征在于,在所述认证机构中心生成新的数字证书之后,所述方法还包括: 所述认证机构中心向目录服务器发送旧的数字证书的注销信息。
9.根据权利要求1所述的方法,其特征在于,所述用户安全终端接收到来自所述认证机构中心的新的数字证书之后,所述方法还包括: 所述用户安全终端安装新的数字证书,并删除旧的数字证书。
全文摘要
本发明公开了一种数字证书更新方法,其包括用户安全终端获取注册机构中心的服务器证书信息;用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向认证机构中心发送更新数字证书的证书申请;用户安全终端接收到来自认证机构中心的新的数字证书。本发明采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。
文档编号H04L29/06GK103117987SQ20111036495
公开日2013年5月22日 申请日期2011年11月17日 优先权日2011年11月17日
发明者林文辉, 华刚, 郭向国 申请人:航天信息股份有限公司