基于pki体系的应用系统相互之间用户公钥证书查询方法

基于pki体系的应用系统相互之间用户公钥证书查询方法
【专利摘要】本发明公开了基于PKI体系的应用系统相互之间用户公钥证书查询方法，该方法查询时，首先A应用系统通过B应用系统提供的对外数据获取服务，根据B1用户的用户唯一标识信息获得B1用户的证书唯一标识项值，其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息，再利用已经获取到的B1用户证书唯一标识项值，在证书服务器中找到B1用户的签名公钥证书或加密公钥证书。该方法对原有系统改动小且能够实现多个应用系统之间用户公钥证书的互查。
【专利说明】基于PKI体系的应用系统相互之间用户公钥证书查询方法
【技术领域】
[0001]本发明属于计算机和信息安全【技术领域】，具体涉及基于PKI体系的局域网或专网应用系统相互之间用户公钥证书查询方法。
【背景技术】
[0002]随着人们对应用系统安全意识的增强，基于PKI体系的应用系统越来越多，基于PKI体系的应用系统之间相互结合的需求也相应产生，在基于PKI体系的应用系统中，很多业务流程都会有业务数据利用证书加密签名、解密验签的需求，但由于不同的应用系统使用的发证系统不同，证书存储方式不同，多个应用系统之间加密签名很难实现在另一系统能解密验签，主要难点还是在于多个应用系统之间用户公钥证书的互相查询不容易实现。
[0003]针对上述情况，特别需要一种方法能实现多个应用系统间的用户公钥证书互查，并且支持不同应用系统使用不同发证系统，支持不同应用系统使用不同的证书存放服务器。考虑到对于已经建设好的应用系统的改造，也要求提供的方法尽量少的改动原有系统。
[0004]由此，提供一种对原有系统改动小且能够实现多个应用系统间的用户公钥证书互查的方法是本领域亟需解决的问题。

【发明内容】

[0005]本发明针对现有多个应用系统之间用户公钥证书不能互相查询的问题，而提供一种基于PKI体系的应用系统相互之间用户公钥证书查询方法。该方法对原有系统改动小且能够实现多个应用系统之间用户公钥证书的互查。
[0006]为了达到上述目的，本发明采用如下的技术方案:
[0007]基于PKI体系的应用系统相互之间用户公钥证书查询方法，该方法基于PKI体系的局域网或专网应用系统实施，其包括如下步骤:
[0008](I)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中；
[0009](2)应用系统需要配置所对应的存放证书的证书存储服务器，并将配置信息保存在数据库或配置文件中；
[0010](3)应用系统本身对外提供一种数据获取服务，通过该服务，其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息；
[0011](4)若A应用系统要获取B应用系统中BI用户的加密公钥证书或签名公钥证书，首先A应用系统通过B应用系统提供的对外数据获取服务，根据BI用户的用户唯一标识信息获得BI用户的证书唯一标识项值，其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息，再利用已经获取到的BI用户证书唯一标识项值，在证书服务器中找到BI用户的签名公钥证书或加密公钥证书。
[0012]在本发明的优选实例中，所述步骤(I)中涉及的用户唯一标识信息可以包括GBK字符集包含的字符信息。[0013]进一步的，所述步骤(I)中涉及的证书唯一标识项值可以包括GBK字符集包含的
字符信息。
[0014]进一步的，所述步骤(2)中描述的证书存储服务器可以提供基于LDAP协议的查询服务。
[0015]进一步的，所述需要相互查询证书的应用系统中的证书存储服务器类型可以不同。
[0016]进一步的，所述应用系统对外提供的数据获取服务为基于TCP协议的数据获取服务。
[0017]根据上述技术方案得到的本发明能够为所有基于PKI体系的应用系统提供与其它系统互通基于证书的加密签名数据的方法，从而为PKI体系应用系统的广泛使用建立了一个良好的基础。
[0018]同时，本发明对原有系统的改动非常小，能够在对对原有系统改动尽可能小的情况下实现多个应用系统间的用户公钥证书互查，大大提高方案的实用性。
【专利附图】

【附图说明】
[0019]以下结合附图和【具体实施方式】来进一步说明本发明。
[0020]图1应用系统内部数据存放模式及多应用之间相互证书查询过程图。
【具体实施方式】
[0021]为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
[0022]本发明提供的基于PKI体系的应用系统相互之间用户公钥证书查询方法，该方法基于PKI体系的局域网或专网应用系统实施。
[0023]其中涉及的应用系统都是基于PKI体系，且所有的应用系统相互间网络可以互通。
[0024]每个应用系统对所注册的用户都会形成用户唯一标识信息，每个用户都有相应的证书，并且每个证书都有唯一标识项值。对于应用系统中的用户唯一标识信息可以包括GBK字符集包含的字符信息，但是并不限于此，还以包括其他需要的信息。而证书唯一标识项值可以包括GBK字符集包含的字符信息，但是并不限于此，还以包括其他需要的信息。
[0025]同时，应用系统将用户的用户唯一标识信息与用户对应证书的唯一标识项值之间形成一一对应关系，并将该对应关系存储在应用系统内置数据库或配置文件中。
[0026]每个应用系统中都具有用于存放证书的证书存储服务器，该证书存储服务器可以提供基于LDAP协议的查询服务。每个应用系统对应的证书存储服务器都在局域网或专网内，其它应用系统也可以访问。
[0027]为进一步提高本方案的实用新型，本发明中需要相互查询证书的应用系统所对应的证书存储服务器的类型可以不同。
[0028]为了实现其它应用系统对证书存储服务器的访问，每个应用系统都对本系统对应的存放证书的证书存储服务器进行配置，并将这些配置信息存储在系统内置数据库或配置文件中。[0029]为了实现相互的查询，每个应用系统都具有一对外的查询借口，通过该查询结构应用系统能够提供一种对外的数据获取服务，通过该服务，其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息。在具体实现方式上，该对外的数据获取服务可以为提供基于TCP协议的服务，但是并不限于此，根据需要同样可以采用其它协议的服务。
[0030]据此，本发明在不同应用系统之间相互查询用户公钥证书的过程如下(参见图1):
[0031](I)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中。
[0032]如，A系统中用户Al的用户唯一标识信息与Al证书标识对应、A2的用户唯一标识信息与A2证书标识对应等，该对应信息存储在A系统的内置数据库或配置文件中，这样便于后续的查询。
[0033]B系统中用户BI的用户唯一标识信息与BI证书标识对应、B2的用户唯一标识信息与B2证书标识对应等，该对应信息存储在B系统的内置数据库或配置文件中，这样便于后续的查询。
[0034](2)应用系统需要配置所对应的存放证书的证书存储服务器，并将配置信息保存在数据库或配置文件中。
[0035]如，A系统中配置对应证书存储服务器的目录服务器IP:1.1.1.1、目录服务器端口 3306、目录服务器类型:mySql等，由此可知A系统证书存放在mysql服务器中。A系统对证书存储服务器的配置信息保存在数据库或配置文件中，以便查询。
[0036]B系统中配置对应证书存储服务器的目录服务器IP:1.1.1.2、目录服务器端口389、目录服务器类型:LDAP等，由此可知B系统证书存放在LDAP服务器中。B系统对证书存储服务器的配置信息保存在数据库或配置文件中，以便查询。
[0037](3)应用系统本身对外提供一种数据获取服务，通过该服务，其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息。
[0038]如A系统和B系统都配置对外提供数据获取服务的接口，通过该接口可以实现其它系统根据用户唯一标识信息来获取证书中唯一标识项值，以及获取本应用系统用户证书存放的服务器配置信息。
[0039](4) A系统根据需求查询B系统中BI用户的加密公钥证书或签名公钥证书，具体如下:
[0040]如，UA系统中的业务X需要查询B系统中BI用户的加密公钥证书或签名公钥证书，首先A系统向B系统的对外提供数据获取服务接口发送数据获取请求，即根据BI用户的用户唯一标识信息查询BI用户的证书的唯一标识项值和B系统中存放的证书存储服务
器配置信息。
[0041]2、B系统根据请求查询到相应的数据，并将BI用户的证书的唯一标识项值和存放的证书存储服务器配置信息返回给A系统。
[0042]3、A系统根据获取到的证书存储服务器配置信息访问B系统中存放证书的证书存储服务器，并根据获取到的BI用户的证书的唯一标识项值查找到BI用户相应的加密公钥证书或签名公钥证书，由此完成查询。
[0043]由上可知，本发明提供的方案提供的查询方法简便实用。[0044]以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
【权利要求】
1.基于PKI体系的应用系统相互之间用户公钥证书查询方法，该方法基于PKI体系的局域网或专网应用系统实施，其特征在于，所述方法包括如下步骤: (1)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中； (2)应用系统需要配置所对应的存放证书的证书存储服务器，并将配置信息保存在数据库或配置文件中； (3)应用系统本身对外提供一种数据获取服务，通过该服务，其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息； (4)若A应用系统要获取B应用系统中BI用户的加密公钥证书或签名公钥证书，首先A应用系统通过B应用系统提供的对外数据获取服务，根据BI用户的用户唯一标识信息获得BI用户的证书唯一标识项值，其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息，再利用已经获取到的BI用户证书唯一标识项值，在证书服务器中找到BI用户的签名公钥证书或加密公钥证书。
2.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法，其特征在于，所述步骤(I)中涉及的用户唯一标识信息可以包括GBK字符集包含的字符信息。
3.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法，其特征在于，所述步骤(I)中涉及的证书唯一标识项值可以包括GBK字符集包含的字符信息。
4.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法，其特征在于，所述步骤(2)中描述的证书存储服务器可以提供基于LDAP协议的查询服务。
5.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法，其特征在于，所述需要相互查询证书的应用系统中的证书存储服务器类型可以不同。
6.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法，其特征在于，所述应用系统对外提供的数据获取服务为基于TCP协议的数据获取服务。
【文档编号】H04L29/06GK103873237SQ201210548183
【公开日】2014年6月18日 申请日期:2012年12月17日 优先权日:2012年12月17日
【发明者】应哲峰, 任伟, 卫杰, 谭武征 申请人:上海格尔软件股份有限公司