一种数字证书自动申请方法和装置及系统的制作方法

文档序号:7894422阅读:285来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种数字证书自动申请方法和装置及系统的制作方法
技术领域
本发明涉及网络安全技术领域,涉及ー种数字证书自动申请方法和装置及系统。
背景技术
当前的网络环境中,多种技术和设备都需要使用到数字证书,利用数字证书可以实现身份的鉴别和数据加密等功能,但是如何对数字证书自动申请、更新和颁发需要特别的方式来支持。以无线局域网技术为例,无线局域网技术包含两大类的安全方案第一类,WAPI (Wireless LAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构),是中国无线局域网国家标准GB15629. 11中提出的无线局域网安全解决方案;第二类,RSN(Robust Security Network,健壮安全网络),是IEEE无线局域网标准IEEE802. Ili中包含的安全解决方案。它们共同的特点是可以采用基于公钥密码体系的数字证书方案实施鉴别过程,在采用基于公钥密码体系的数字证书方案实施鉴别过程之前,端站(Station, STA)与接入点(Access Point, AP)作为数字证书申请者必须提前向数字证书颁发者证书授证中心(Certificate Authority,缩写为CA)申请可以标识自己身份的数字证书,然后将申请到的数字证书安装到设备当中。为了利用信息交換实现自动申请、更新和颁发不同类型的数字证书,数字证书申请者在数字证书申请和更新过程中需要向数字证书颁发者提供哪些信息,或者数字证书颁发者在数字证书颁发过程中需要向数字证书申请者提供哪些信息,将直接影响到无线局域网技术安全机制能否有效进行。但是如何利用信息交换自动申请、更新和颁发数字证书方法不在无线局域网技术标准的设计范围之内,目前缺乏ー种有效的自动申请、更新和颁发数字证书方法。

发明内容
本发明提供ー种数字证书自动申请方法和装置及系统,用以实现数字证书的自动申请、更新和颁发。本发明提供ー种数字证书自动申请方法,包括数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定没有所述数字证书颁发者所颁发的数字证书,所述数字证书申请者还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者;数字证书颁发者从数字证书申 请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,数字证书颁发者确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书信息通知数字证书申请者;数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。。本发明还提供ー种数字证书申请装置,包括第一通知単元,用于将数字证书申请装置支持的数字证书产生方法通知数字证书颁发者;第二通知単元,用于确定数字证书申请装置已经含有所述数字证书颁发者颁发的数字证书,将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书,将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者;证书确定单元,用于根据数字证书颁发者的通知确定使用的数字证书。本发明还提供ー种数字证书颁发装置,包括第一通知単元,用于根据数字证书申请者通知的数字证书申请者支持的数字证书产生方法,从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者;第二通知単元,用于确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书彳目息通知数字证书申请者。本发明还提供ー种数字证书自动申请系统,包括数字证书申请者,用于将自身支持的数字证书产生方法通知数字证书颁发者,如果确定已经含有所述数字证书颁发者颁发的数字证书,还将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定没有所述数字证书颁发者所颁发的数字证书,还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者,并根据数字证书颁发者的通知确定使用的数字证书;数字证书颁发者,用于从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书彳目息通知数字证书申请者。利用本发明提供的数字证书自动申请方法和装置系统具有以下有益效果通过信息交換可以实现数字证书申请者自动申请不同类型的无线局域网数字证书;数字证书申请者自动更新不同类型的无线局域网数字证书;数字证书颁发者自动判断数字证书申请者的证书状态,为数字证书申请者颁发有效的数字证书。


图I为本发明实施例I中数字证书自动申请方法流程图;图2为本发明实施例I中数字证书自动申请方法中消息内容示意图;图3为本发明实施例2中数字证书自动申请方法流程图;图4为本发明实施例2中数字证书自动申请方法中消息内容示意图。
具体实施例方式下面结合附图和实施例对本发明提供的数字证书自动申请方法和系统进行更详细地说明。本发明实施例提供了ー种数字证书自动申请方法和系统,能够安全有效实现数字 证书自动申请、更新和颁发。该方法包括数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定没有所述数字证书颁发者所颁发的数字证书,所述数字证书申请者还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者;数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,数字证书颁发者确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书イ目息通知数字证书申请者;数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。利用本发明实施例提供的数字证书自动申请方法,可以实现数字证书的自动申请、更新和颁发,在数字证书申请者没有数字证书颁发者颁发的数字证书时,可以自动申请不同类型的无线局域网数字证书,在数字证书申请者没有数字证书或颁发的数字证书无效时,数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书吋,自动判断数字证书申请者的证书状态,为数字证书申请者颁发有效的数字证书,否则发送无效的数字证书信息,从而实现数字证书的自动申请、更新和颁发,从而保证无线局域网技术安全机制能否有效进行。本发明实施例对数字证书申请者和数字证书颁发者交互采用的消息及交互方式不作限定,只要能够实现上述信息交互实现数字证书的自动申请、更新和颁发,都属于本发明实施方式,下面给出本发明优选的消息交互方式。实施例I本实施例提供一种优选的消息交互方式,如图I所示,数字证书自动申请方法,具体包括如下步骤步骤101,数字证书申请者首先向数字证书颁发者发送数字证书产生能力消息,所述数字证书产生能力消息包括所述数字证书申请者支持的数字证书产生方法;步骤102,数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法,并通过数字证书产生类型消息通知数字证书申请者;步骤103,数字证书申请者向数字证书颁发者发送数字证书申请消息,其中,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请消息中携帯数字证书申请者已有的数字证书信息,如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时,所述数字证书申请消息中携帯需要在申请的新数字证书中包含的证书信息;
步骤104,数字证书颁发者向数字证书申请者发送数字证书确认消息,其中,数字证书颁发者确定数字证书申请者需申请新数字证书时,所述数字证书确认消息包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息,数字证书颁发者确定数字证书申请者不需申请新数字证书时,所述数字证书确认消息携带无效的数字证书信息;步骤105,数字证书申请者接收数字证书颁发者发送的数字证书确认消息,根据数字证书确认消息确定使用的数字证书。本实施例通过四个消息进行交互,实现数字证书的自动申请、更新和颁发。优选地,步骤103中,数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时,在利用数字证书申请消息发送已有的数字证书信息的同时,还发送利用已有数字证书的私钥对已有的数字证书信息的签名;数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中包含的证书信息,或确定接收到数字证书申请者已有的数字证书信息及签名,且验证签名无效时,确定数字证书申请者需申请新数字证书;数字证书颁发者确定接收到数字证书申请者已有的数字证书信息及签名,且验证签名有效时,确定数字证书申请者不需申请新数字证书。即数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书时,为数字证书申请者颁发新数字证书有两种情况I)数字证书申请者没有数字证书颁发者颁发的数字证书,从而实现数字证书申请;2)数字证书申请者有数字证书颁发者颁发的数字证书,但该数字证书为无效的数字证书,从而实现数字证书更新。为了实现本发明实施例提供的方式,上述数字证书申请者和数字证书颁发者交互的消息具体包括的字段这里不作限定,只要能实现上述交互的目的即可,优选地,采用本发明下面实施例提供的方式。如图2所示,本实施例中数字证书自动申请方法包括步骤201,数字证书申请者向数字证书颁发者发送数字证书产生能力消息,所述数字证书产生能力消息包括数字证书申请者身份标识字段、数字证书产生能力标识字段。优选地,数字证书产生能力消息还包括申请者随机数。数字证书申请者身份标识字段标识申请者的身份,数字证书产生能力标识字段用于标识数字证书申请者支持的数字证书产生方法,优选地,数字证书产生能力标识字段列出了数字证书申请者支持的所有数字证书产生的方法。本实施例中数字证书产生能力标识字段标识数字证书产生方法的方式采用但不限于表I所不方式表I数字证书产生能力标识字段
权利要求
1.ー种数字证书自动申请方法,其特征在于,包括 数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定没有所述数字证书颁发者所颁发的数字证书,所述数字证书申请者还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者; 数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,数字证书颁发者确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书信息通知数字证书申请者; 数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。
2.如权利要求I所述的方法,其特征在干, 数字证书申请者首先向数字证书颁发者发送数字证书申请消息,所述数字证书申请消息包括所述数字证书申请者支持的数字证书产生方法,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请消息中还携带数字证书申请者已有的数字证书信息;如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时,所述数字证书申请消息中还携带需要在申请的新数字证书中包含的证书信息; 数字证书颁发者向数字证书申请者发送数字证书确认消息,所述数字证书确认消息包括数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择的数字证书产生方法,数字证书颁发者确定数字证书申请者需申请新数字证书时,所述数字证书确认消息还包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息,数字证书颁发者确定数字证书申请者不需申请新数字证书时,所述数字证书确认消息还携带无效的数字证书信息; 数字证书申请者接收数字证书颁发者发送的数字证书确认消息,根据数字证书确认消息确定使用的数字证书。
3.如权利要求I所述的方法,其特征在干, 数字证书申请者首先向数字证书颁发者发送数字证书产生能力消息,所述数字证书产生能力消息包括所述数字证书申请者支持的数字证书产生方法; 数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法,并通过数字证书产生类型消息通知数字证书申请者; 数字证书申请者向数字证书颁发者发送数字证书申请消息,其中,如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书,所述数字证书申请消息中携帯数字证书申请者已有的数字证书信息,如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时,所述数字证书申请消息中携帯需要在申请的新数字证书中包含的证书信息; 数字证书颁发者向数字证书申请者发送数字证书确认消息,其中,数字证书颁发者确定数字证书申请者需申请新数字证书时,所述数字证书确认消息包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息,数字证书颁发者确定数字证书申请者不需申请新数字证书时,所述数字证书确认消息携带无效的数字证书信息; 数字证书申请者接收数字证书颁发者发送的数字证书确认消息,根据数字证书确认消息确定使用的数字证书。
4.如权利要求2或3所述的方法,其特征在干, 数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时,在发送已有的数字证书信息的同时,还发送利用已有数字证书的私钥对已有的数字证书信息的签名; 数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中包含的证书信息,或确定接收到数字证书申请者已有的数字证书信息及签名,且验证签名无效时,确定数字证书申请者需申请新数字证书; 数字证书颁发者确定接收到数字证书申请者已有的数字证书信息及签名,且验证签名有效时,确定数字证书申请者不需申请新数字证书。
5.如权利要求4所述的方法,其特征在于,所述数字证书申请消息具体包括新数字证书申请标识字段和数字证书申请者请求字段; 数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书吋,新数字证书申请标识字段标识需要新数字证书,数字证书申请者请求字段具体携帯数字证书申请者需要在申请的新数字证书中包含的证书信息; 数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时,新数字证书申请标识字段标识不需要新数字证书,数字证书申请者请求字段具体携帯数字证书申请者已有的数字证书信息和利用已有数字证书的私钥对已有的数字证书信息的签名。
6.如权利要求5所述的方法,其特征在干,数字证书申请者请求字段包括证书信息字段和签名值字段; 数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时,证书信息字段具体携帯数字证书申请者需要在申请的新数字证书中包含的证书信息,签名值字段无效; 数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时,证书信息字段具体携帯数字证书申请者已有的数字证书信息,签名值字段携帯利用已有数字证书的私钥对已有的数字证书信息的签名。
7.如权利要求2或3所述的方法,其特征在于,所述数字证书确认消息具体包括新数字证书颁发标识字段和数字证书申请者证书字段; 数字证书颁发者确定数字证书申请者需申请新数字证书时,新数字证书颁发标识字段标识颁发新的数字证书,数字证书申请者证书字段具体携帯新数字证书信息; 数字证书颁发者确定数字证书申请者不需申请新数字证书时,新数字证书颁发标识字段标识未颁发新的数字证书,数字证书申请者证书字段标识为无效。
8.如权利要求7所述的方法,其特征在干,数字证书申请者证书字段包括证书个数字段和数字证书字段,所述数字证书字段具体包括标识新数字证书类型的证书类型字段、用于标识新数字证书编码方式的证书标识字段、标识新数字证书内容长度的长度字段和表示新数字证书内容的值字段。
9.如权利要求2或3所述的方法,其特征在于,用于通知数字证书申请者支持的数字证书产生方法的数字证书产生能力消息或数字证书申请消息,具体包括数字证书申请者身份标识字段和数字证书产生能力标识字段,所述数字证书产生能力标识字段用于标识数字证书申请者支持的数字证书产生方法。
10.如权利要求2或3所述的方法,其特征在于,用于通知数字证书颁发者选择的数字证书产生方法的数字证书产生类型消息或数字证书确认消息,具体包括数字证书颁发者身份标识字段和数字证书产生类型字段; 数字证书产生类型字段用于数字证书颁发者选择的数字证书产生方法; 数字证书申请者具体根据数字证书颁发者身份标识字段,确定是否已有所述数字证书颁发者所颁发的数字证书。
11.如权利要求3所述的方法,其特征在干, 数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者的同时,还将数字证书申请者产生的申请者随机数发送给数字证书颁发者; 数字证书颁发者将选择的数字证书产生方法通知数字证书申请者的同时,还将数字证书颁发者产生的颁发者随机数发送给数字证书申请者; 数字证书申请者向数字证书颁发者发送的数字证书申请消息,还携带数字证书申请消息完整性校验值,所述数字证书申请消息完整性校验值由申请者随机数和颁发者随机数产生的密钥对数字证书申请消息中除申请消息完整性校验值外其它内容加密计算得到; 数字证书颁发者接收到数字证书申请消息,确定数字证书申请消息完整性校验值正确时,再向数字证书申请者发送数字证书确认消息,所述数字证书确认消息还包括数字证书确认消息完整性校验值,所述数字证书确认消息完整性校验值由申请者随机数和颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到; 数字证书申请接收到数字证书确认消息后,确定数字证书确认消息完整性校验值正确时,再根据数字证书确认消息确定使用的数字证书。
12.如权利要求2所述的方法,其特征在干, 数字证书申请者向数字证书颁发者发送的数字证书申请消息还包括数字证书申请者产生的申请者随机数; 数字证书颁发者接收到数字证书申请消息后,再向数字证书申请者发送数字证书确认消息,所述数字证书确认消息还包括数字证书颁发者产生的颁发者随机数以及数字证书确认消息完整性校验值,所述数字证书确认消息完整性校验值由申请者随机数和颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到; 数字证书申请者接收到数字证书确认消息后,确定数字证书确认消息完整性校验值正确时,再根据数字证书确认消息确定使用的数字证书。
13.ー种数字证书申请装置,其特征在于,包括 第一通知単元,用于将数字证书申请装置支持的数字证书产生方法通知数字证书颁发者; 第二通知単元,用于确定数字证书申请装置已经含有所述数字证书颁发者颁发的数字证书,将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书,将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者; 证书确定单元,用于根据数字证书颁发者的通知确定使用的数字证书。
14.ー种数字证书颁发装置,其特征在于,包括 第一通知単元,用于根据数字证书申请者通知的数字证书申请者支持的数字证书产生方法,从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者; 第二通知単元,用于确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书信息通知数字证书申请者。
15.ー种数字证书自动申请系统,其特征在于,包括 数字证书申请者,用于将自身支持的数字证书产生方法通知数字证书颁发者,如果确定已经含有所述数字证书颁发者颁发的数字证书,还将数字证书申请者已有的数字证书信息通知数字证书颁发者,如果确定没有所述数字证书颁发者所颁发的数字证书,还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者,并根据数字证书颁发者的通知确定使用的数字证书; 数字证书颁发者,用于从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,确定数字证书申请者需申请新数字证书时,根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者,确定数字证书申请者不需申请新数字证书时,将无效的数字证书信息通知数字证书申请者。
全文摘要
本发明公开了一种数字证书自动申请方法和装置及系统,该方法包括数字证书申请者将支持的数字证书产生方法通知数字证书颁发者,如果含有数字证书颁发者颁发的数字证书,还将已有的数字证书信息通知数字证书颁发者,否则,还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者;数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者,确定数字证书申请者需申请新数字证书时,产生新数字证书信息并通知数字证书申请者,否则,将无效的数字证书信息通知数字证书申请者;数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。本发明可以实现数字证书的自动申请、更新和颁发。
文档编号H04L9/32GK102624531SQ20121012406
公开日2012年8月1日 申请日期2012年4月25日 优先权日2012年4月25日
发明者张变玲, 童伟刚, 简练, 胡亚楠, 袁鹏, 铁满霞, 黄振海 申请人:西安西电捷通无线网络通信股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:胡亚楠;铁满霞;童伟刚;张变玲;黄振海;简练;袁鹏
  • 技术所有人:西安西电捷通无线网络通信股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数字证书申请系统相关技术
数字证书认证系统相关技术
数字证书管理系统相关技术
数字证书在线更新系统相关技术
北京数字证书更新系统相关技术
数字证书系统相关技术
电力调度数字证书系统相关技术
福田汽车数字证书系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2