专利名称:一种数字证书扩展项信息保护方法
技术领域:
本发明专利涉及一种计算机信息安全领域的信息保护方法,特别涉及一种适用于 PKI系统中对数字证书扩展项所含信息进行保护的数字证书扩展项信息保护方法。
背景技术:
随着大规模网络的发展,数据涉及局域网、广域网、Internet等,数据安全性问题 越来越突出。数据的安全性、保密性、真实性、完整性,成为人们关注的焦点。
为解决网络数据安全问题,世界各国纷纷开展了以公开密钥加密技术为基础的公 钥基础设施的研究和应用。PKI技术采用证书管理公钥,通过第三方的可信任机构——认证 中心CA,把用户的公钥和其他标识信息(如名称、Email等)绑定在一起,从而验证用户的 身份。目前比较常用的办法是以RSA公钥为基础,建立PKI基础上的数字证书,通过把传输 的数据信息进行RSA加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性, 确保信息在网络上的安全传输。 在大多数场合下,普遍被接受的证书格式是由ITU-T定义的X. 509国际标准,该标 准为公钥证书定义了一个框架,即规定了与每个用户联系的公钥证书规范,用于绑定用户 信息和公钥,还包括对那些已发出并且不应该再被信任的证书的撤销的相关规范。
目前通用的X.509国际标准已经是V3版本,其扩展项包含有密钥和策略信息、主 体和签发者信息、证书路径约束、证书撤销列表识别等,其结构如图l所示。如果证书仅仅 采用左边所列的几个基本字段,不能满足设计和实际的需求。比如,向公钥用户传递密钥拥 有者身份的话,主体名称字段是不充分的,X. 509的名称可能相对较短,缺少用户需要的明 显的身份细节。另外,某些安全应用如IPSec需要将证书和特定策略关联起来,所以需要制 定安全策略信息。因此,在证书的设计中,加入了扩展项,使证书的使用更加灵活。
同时,证书内容的灵活也带来了不安全性。X. 509V3证书格式还允许系统为传递特 有信息而自定义扩展。这些特定信息的用户对象应该是特定的而不应该是对所有被认证中 心CA认证的用户。 当数字证书被广泛使用后,其扩展项信息也被广泛流传。而很多情况下,用户对数 字证书的使用只限于验证数字证书用户的身份,或者用户所关心的只是某一部分的扩展项 信息而非全部,而数字证书的扩展项相对于数字证书本身是不加密的。对于下载数字证书 的用户来说,数字证书拥有者的一些个人信息是透明的,如果将扩展项信息完全展现就造 成了数字证书所含个人信息不必要的暴露,造成个人信息的泄密。
发明内容
本发明的目的在于提供一种数字证书扩展项信息保护方法,解决现有数字证书在 使用过程中将数字证书中不必要的扩展项信息暴露的问题,加强数字证书扩展项信息的安 全。 本发明所解决的技术问题可以采用以下技术方案来实现
—种数字证书扩展项信息保护方法,其特征在于,它包括如下步骤 (1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标
识符; (2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对; (3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信
息提取出来; (4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分 别加密; (5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私 钥签发数字证书。 在本发明的一个实施例中,数字证书签发后发布在目录服务器的目录树中,并同 时将结果反馈给用户。 在本发明的一个实施例中,如果需要得知数字证书中的扩展信息,需要获取对应 的扩展项信息的密钥并进行读取。 本发明的数字证书扩展项信息保护方法,通过密钥管理中心针对数字证书中扩展 项信息里的不同类型信息分别加密,加密所用的密钥由密钥管理中心统一管理;当用户需 要使用到数字证书中具体某项类型的信息时,需要用专门的密码卡来读取信息,避免来个 人信息被滥用,实现本发明的目的。 本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了 解。
图1为现有的国际数字证书格式标准X. 509的V3版本的结构示意图;
图2为本发明的数字证书扩展项信息保护方法实现结构的示意图;
图3为本发明的数字证书扩展项信息保护方法的流程示意图。
具体实施例方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结
合具体图示,进一步阐述本发明。
实施例 本发明的数字证书扩展项信息保护方法,它包括如下步骤 (1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标 识符; (2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对; (3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信
息提取出来; (4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分 别加密; (5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私钥签发数字证书。
本发明的数字证书扩展项信息保护方法分两部分的工作加密前的准备工作和加
密扩展项信息过程。 加密前的准备工作 包括认证中心CA、密钥管理中心KMC和其他通信终端的初始化,过程如图2所示。
密钥管理中心KMC保存的内容是数字证书中扩展项信息的类型及与其相对应的密钥对,一
种类型的信息对应一个密钥对,意即不同类型的信息加解密所用的密钥是不一样的;拥有
一种密钥的密码卡,只能读取一种类型的信息,这样就避免了信息的滥用。 数字证书中的扩展项信息内容的分类方法由认证中心CA制定,在一个认证中心
CA中,数字证书的格式,尤其是扩展项信息格式是统一的。认证中心CA对此统一格式的内
容做分类,每一个类别有一标识符。 加密所用的密钥由PKI系统中的密钥管理中心KMC管理,密钥管理中心KMC初始 化时,针对认证中心CA分类的标识符,生成对应的密钥对。在认证中心CA写数字证书的扩 展项信息时,提取密钥管理中心KMC中对应的密钥对信息,加密对应类型信息。
加密扩展项信息 认证中心CA从注册中心RA传来的PKI消息中获得数字证书申请信息,用密钥管 理中心KMC提供的密钥对来加密数字证书中扩展项信息的不同类型信息。数字证书中扩展 项信息可能含有多种类型的信息,每种类型的信息根据自身的类型标识符分别加密。对于 数字证书中扩展项信息,除了存放加密后的信息外,还存放类型的标识符,便于解密装置读 取。 处理完扩展项信息后,用认证中心CA的私钥来签发数字证书。具体过程如图3所 示。 认证中心CA先将数字证书请求和认证中心CA根证书转换成用ASN. 1语法描述的
数据结构,然后依次设置版本号和序列号、设置签名字段、设置数字证书发行者、设置数字
证书主体、设置数字证书的有效期、设置数字证书主体公钥、用密钥管理中心KMC提供的不
同密钥分别加密扩展项中不同类型的信息,最后完成认证中心CA签名。 至此,认证中心CA可以将证书发布到数字证书及数字证书吊销列表CRL,以备安
全服务器下载使用。 例如,在一般PKI系统中,具有认证中心CA、注册中心RA、终端实体EE、数字证书及 数字证书吊销列表CRL几个模块。为了加强数字证书扩展项的安全性,PKI系统增加一个 密钥管理中心KMC,用于管理扩展项加解密相关密钥。 数字证书中的扩展项含有不同类型的信息,比如职业、健康状况等,这些信息的使 用范围、使用对象均有所不同。特定用户只关心他们会用到的扩展项信息,而不是、也不应 该是扩展项全部信息。密钥管理中心KMC存储的就是针对扩展项中不同类型信息的密钥。 密钥管理中心KMC的初始化在PKI系统初始化阶段完成,主要工作是针对不同的信息类型, 生成不同的密钥对。 在初始化后,整个PKI工作的过程如下 1、 key商在key内生成密钥对,并将公钥导出,将公钥数据提交给注册中心RA ;
2、用户申领key;
3、认证中心CA根据注册中心RA发来的信息获取签发用户数字证书所需信息,并用密钥管理中心KMC提供的不同密钥对扩展项所含的不同类型信息进行加密。之后,签发用户数字证书,并将用户数字证书发布在目录服务器的目录树中,同时将生成结果反馈给用户; 4、安全服务器访问目录服务器的目录树,获取数字证书及数字证书吊销列表CRL的信息; 5、用户通过key发送的信息传送至安全服务器,安全服务器根据key上的信息在本地证书库中查找用户数字证书及数字证书吊销列表CRL,以确定数字证书是否有效,如果数字证书有效,则取得用户公钥,验证用户签名。 如果安全服务器需要得知用户的扩展项信息,需要使用密码卡获取扩展项信息的密钥,并用专门的证书读写装置读取。 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
一种数字证书扩展项信息保护方法,其特征在于,它包括如下步骤(1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标识符;(2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对;(3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信息提取出来;(4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分别加密;(5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私钥签发数字证书。
2. 如权利要求1所述的数字证书扩展项信息保护方法,其特征在于,数字证书签发后 发布在目录服务器的目录树中,并同时将结果反馈给用户。
3. 如权利要求1所述的数字证书扩展项信息保护方法,其特征在于,如果需要得知数 字证书中的扩展信息,需要获取对应的扩展项信息的密钥并进行读取。
全文摘要
本发明的目的在于公开一种数字证书扩展项信息保护方法,通过密钥管理中心针对数字证书中扩展项信息里的不同类型信息分别加密,加密所用的密钥由密钥管理中心统一管理;当用户需要使用到数字证书中具体某项类型的信息时,需要用专门的密码卡来读取信息,避免来个人信息被滥用,解决现有数字证书在使用过程中将数字证书中不必要的扩展项信息暴露的问题,加强数字证书扩展项信息的安全,实现本发明的目的。
文档编号H04L9/32GK101777980SQ20091024785
公开日2010年7月14日 申请日期2009年12月31日 优先权日2009年12月31日
发明者侯强, 倪力舜, 刘旻斐, 姚静晶, 朱政洪, 柯耀宏, 王佳, 胡永涛, 邹翔, 金波, 高峰 申请人:公安部第三研究所