专利名称:一种数字证书申请快速审核方法
技术领域:
本发明涉及一种数字证书申请快速审核技术,具体涉及一种基于CA信任集合的数字证书申请快速审核及其实现方法。
背景技术:
PKI是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名服务及所需密钥和证书的管理体系。它采用证书管理公钥,通过可信第三方的认证机构CAjE 用户的公钥和用户其他信息(如名称、电子邮件、身份证号等)捆绑在一起,在公钥加密技术基础上对证书的产生、管理、存储、发布以及作废进行管理,并通过延伸到用户本地的接口为各种应用提供安全服务,包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成证书申请者、注册机构、认证中心、证书库和证书信任方。其中注册机构RA系统提供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用户等功能。证书申请可以分为两种方式面对面的现场申请和通过互联网操作的在线申请。现场申请用户本人到RA填写相关的表格,然后由RA受理人员录入用户信息,提交给RA的服务器。在线申请用户通过互联网将自己的信息传给RA,RA根据认证中心制定的策略审核用户,批准申请或拒绝发放证书。现场申请是由受理人员人工进行审核,这样虽然保证申请信息的真实性,但是需要用户到受理现场进行当面提出申请,对用户来说是非常不方便的,再者需要受理人员针对每一项申请通过人工的方式对申请人的信息进行审核,并将用户信息录入到RA服务器, 工作效率非常低,人力成本高。在线申请虽然简化了用户的工作,但对RA来说,仍然需要提供人力来完成用户信息的比对和证实工作。而且RA在审核用户所提交的信息时,在线申请所提交的信息无法像现场申请时,能够保证彼此的印证,这无形加大了受理人员对信息审核的难度,极大影响其工作效果。因此,不管是现场申请还是在线申请,整个PKI平台都存在RA审核效率低的问题。 这对于日益增长的大批量发证需求来说,是制约效率的瓶颈。由此,提供一种效率高、安全性高的审核方法是本领域亟需解决的问题。
发明内容
本发明针对现有数字证书申请系统所存在的效率慢等问题,提供一种数字证书申请快速审核方法。该方法基于CA信任集合的数字证书来进行数字证书申请的高速、安全的审核,大大提高数字证书的申请审批效率。为了达到上述目的,本发明采用如下的技术方案一种数字证书申请快速审核方法,该审核方法包括如下步骤
(1)用户利用由RA所信任的CA颁发的既有用户数字证书对新证书的申请信息进行签名;(2)RA利用由CA颁发并信任的既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;(3)在验证通过后,RA解析既有用户数字证书中所包含的用户申请信息,并将其与步骤O)获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。在本发明的优选方案中,所述步骤C3)通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核。进一步的,所述审核方法还包括RA根据验证的用户信息项类型和数量对用户申请的数字证书进行分级的步骤。相比于传统的数字证书现场申请方式,本发明所提出的RA快速审核方法能够实现RA审核的自动化,能有效的提高RA工作效率。本发明提供的审核流程方便快捷,对用户来说,采用在线提交方式,便于本地申请;对RA来说,基于既有的证书信息,可以实现RA审核工作的自动化,提高审核工作的效率,极大地节省RA的人力物力,同时还提高整个审核工作的安全和准确性,避免误差。
以下结合附图和具体实施方式
来进一步说明本发明。
图1为本发明的原理图;图2为本发明的流程图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。实际上,在数字证书应用日趋广泛的信息社会里,用户在申请一个新的数字证书前可能已拥有一个或几个其他CA颁发的数字证书。比如,用户可能同时拥有几家银行的数字证书用于账户操作。在用户申请那些数字证书时,对应PKI系统中的RA实际上已经通过了用户信息的审核,也就是说既有数字证书所存储的用户信息已被验证是真实可靠的。为此,本发明利用这些已经被确认其真实性的信息来校验用户当前提交的申请信息以此解决现有数字证书申请所存在的问题。基于上述要求,本发明提供一种数字证书申请快速审核方法,该方法实施时需要建立一 CA信任数据库,该数据库中拥有被RA信任的所有CA所颁发的数字证书,通过该数据库使得RA拥有并信任所有CA所颁发的数字证书。基于上述原理,本发明提供的数字证书申请快速审核方法,其包括如下步骤(如图1所示)(1)用户利用由CA颁发并信任的既有用户数字证书对新证书的申请信息进行签名;(2)RA利用既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;(3)在验证通过后,RA解析用户数字证书中所包含的用户申请信息,并将其与步骤⑵获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。这样通过该方法,能够实现RA审核的自动化,提高其审核效率。为了进一步提高本发明审核方法的准确性和安全性,本发明在步骤C3)通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核,由此可以提升申请信息自动化审核的准确性和安全性。基于上述方案,本发明的具体实施过程如下本发明提供的审核方法基于既有的在线申请系统进行,为了使得RA能够进行自动化的审核,需要定义针对该RA的CA信任集合。在该实施例中,该信任集合可以表示记为Gea = ICA1, CA2,......,CAj,η e {1,2,3,· · · }。其中,Gka为RA的CA信任集合,当且仅当Gka具备以下特征(I)RA认可该集合内每个CA所颁发的数字证书;(2)RA自身拥有集合内每个CA颁发的数字证书。除此之外,RA所在PKI系统的CA所颁发证书与位于Gea的CAi (i > 0)所颁发证书需要具有一些共性,比如证书的审核策略是类似的,或者证书中所保存的用户重要私人信息项是相似的(例如姓名、身份证号等),等等。本发明所提供的方法进行实施时,还需满足一前提,即当前申请数字证书的用户已经拥有了其他CA颁发的数字证书,而这些CA属于RA的CA信任集合。为便于描述,该实施例中将由属于Gka中的CAiG >0)颁发给用户的证书记为 Certi,其对应的公钥和私钥分别记为PKi和SKi ;将用户当前申请的新证书记为Cert ;将CAi (i > 0)颁发给RA的证书记为Cert·,其对应的公钥和私钥分别记为PKem
和邠謝。由此,当用户持有一张由属于Gea的CAi所颁发的数字证书Certi时,新数字证书的申请流程和RA的审核流程可以表述如下(参见图2)第一步,用户在客户端用既有数字证书Certi对新证书申请信息INFO签名,即 SIGN(INFO),具体步骤为对INFO计算hash值得到INFO摘要信息INFOhash,并用既有数字证书Certi所对应的私钥SKi加密该摘要。第二步,客户端将新证书申请信息INFO用RA的公钥PKem加密,即ENCka(INFO),然后将 SIGN(INFO)和 ENCea(INFO)拼接在一起生成 S :SIGN(INF0) Il ENCka(INFO),发送给 RA, 即 User — RA :S。第三步,RA接收到 S,分解 S 得到 SIGN(INFO)和 ENCea(INFO)。第四步,RA验签,具体步骤为用RA证书CertKAi对应的私钥SKem解密 ENCea(INFO),得到INFO ;用客户既有数字证书Certi对应的公钥PKi解密SIGN(INFO),得到 INFO' hash ;再由RA对解密得到的INFO计算hash值,并将计算得到的值与解密得到的 INF0'hash比较如果一致,则表明RA接收的信息是由用户发送来的;如果不一致,则表示RA接收的信息不是由用户发送来的,RA返回审核失败信息给用户,通知用户申请被拒绝。第五步,基本信息审核,若在第四步中RA对用户验签通过,则继续从用户的既有数字证书Certi中解析用户个人信息INFO’,并将第四步中解析所得到的INFO与INFO’比对如果INFO所包含的信息与INFO’中的对应项一致,则表明用户提交申请信息真实可信, RA可以通过对用户的信息审核,并通知CA发证。如果INFO所包含的信息与INFO’中的对应项不一致,RA将审核失败的信息返回给用户,通知用户申请被拒绝。上述方案在提出一种RA快速审核方法的同时,也提出了一种建立CA横向信任链的方法。严格分级的CA信任体系是纵向分级的,信任链也因此是纵向的,即下级CA由上级 CA授权。而CA信任集合是一种横向信任链,集合内各个CA的信任锚不需要是同一个,彼此之间的也不存在严格的互操作关系。这种信任集合是面向具体应用的,更具有实际操作意义。另外,本发明给出的CA信任集合Gka定义还仅仅是单向的,即RA认可集合内CA颁发的证书。这个定义还可以拓展为双向的,即集合内的任意CA所对应的RA认可集合内所有CA 所颁发的证书。此时,Gka可以简写为G,即它的特征不再只针对某个具体RA成立。上述方案中还可以依据用户既有数字证书Certi所含用户信息的类别对用户进行分级管理。CA信任集合所颁发的Certi之所以能用来验证用户申请新证书时的信息是否真实,是因为在实际应用中,Certi所含信息与用户当前所提交的申请信息有重合,比如用户的姓名和身份证号等。能证实用户申请信息真实可信的Certi越多,或者多个Certi所含用户信息的并集越大,用户信息的真实可靠性就越高。RA可以根据可信度对用户进行分级管理,对应批准的数字证书也可以赋予相应级别的权限。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1.一种数字证书申请快速审核方法,其特征在于,所述审核方法包括如下步骤(1)用户利用由RA所信任的CA颁发的既有用户数字证书对新证书的申请信息进行签名;(2)RA利用由CA颁发并信任的既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;(3)在验证通过后,RA解析既有用户数字证书中所包含的用户申请信息,并将其与步骤⑵获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。
2.根据权利要求1所述的一种数字证书申请快速审核方法,其特征在于,所述步骤(3) 通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核。
3.根据权利要求1所述的一种数字证书申请快速审核方法,其特征在于,所述审核方法还包括RA根据验证的用户信息项对用户申请的数字证书进行分级的步骤。
全文摘要
本发明公开了一种数字证书申请快速审核方法,该方法针对RA建立一个CA信任集合,并且RA认可集合内的CA所颁发的证书。用户向RA提交申请信息时,以自己某个既有的、由属于CA信任集合的某个CA颁发的数字证书签名。本发明能够实现RA审核的自动化,提高其审核效率。
文档编号H04L9/08GK102255925SQ201110253429
公开日2011年11月23日 申请日期2011年8月30日 优先权日2011年8月30日
发明者姚静晶, 崔宇寅, 杭强伟, 梁皓, 胡善学 申请人:公安部第三研究所