专利名称:一种多个数字证书的关联方法和验证方法
技术领域:
本发明涉及从一个或多个数字证书(称作主证书),创建一个或者多个相关联的数字证书(称作副证书),以及这种关联的有效性验证的问题。用于解决目前已经持有合法有效数字证书的单位或者个人,在现有有效证书的基础上,创建或者获取新的关联数字证书,用于其它业务和应用系统的问题。
背景技术:
数字证书是证明用户身份的网上标识,在网络中识别通讯各方的身份,即在虚拟社会中解决“我是谁”的问题。通俗的讲,数字证书就好像是网上用户的身份证,能够保证您在网络上进行的交易是安全的和可信的。数字证书主要有如下作用
身份认证数字证书中包括的主要内容有证书拥有者的单位信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的CA、CA的数字签名等。加密传输信息通过数字证书在网上传输数据,这些数据要进行加密,然后以密码的形式在Internet上传输。发送方用接收方的公钥对文件进行加密,接收方用只有自己才有的私钥进行解密,得到文件明文。数字签名抗否认在现实生活中用公章、签名等来实现的抗否认,在网上可以借助数字证书的数字签名来实现。数字证书被广泛的使用于军事、金融、电子政务和电子商务领域,用于在因特网中识别使用者的身份。但是两张数字证书之间的关联性目前无法得到有效的验证。例如某机构申请一张证书A,用于需要使用法人身份的场合(类似企业公章),另外又申请了一张证书B,用于电子合同(类似企业合同章)。其中证书B在使用范围和权限上是属于证书A的,A有效,B才有效,但是目前的证书体系中对于类似情况并没有体现出这样的关联性。
发明内容
本发明要解决的技术问题是根据上文中提到的存在问题,通过在签发副证书的时候,加入主证书的专有标识,来实现主副证书之间的关联。副证书的签发步骤如下
I.获取证书签发所需必要信息,例如证书DN项,密钥用途,扩展密钥用途等。2.使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名时还可以加入副证书Subject Key Identifier等防重放元素,也可以加入有效期等限制条件。3.如果有多张主证书,可以使用每张主证书都进行一次步骤二中的操作,也可以使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果。4.将主证书签名结果、主证书唯一标识等作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统(CA)。5.由证书签发系统(CA),根据自身的证书策略,在签发副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中。6.副证书的持有者获得签发好的副证书。有益效果数字证书是用来标识一个实体(例如单位,个人等) 在网络上的数字身份。但是在线下的生活中,一个公司既有公章也有财务章、合同章;一个个人既有身份证,也有护照、工作证等多个身份标识。在申领护照的时候,需要提交身份证,身份证失效,护照也会相应的生效。与本发明类比,显然身份证就是主证书,护照就是副证书。既然在线下的生活中存在这样的身份标识的关联,当我们在设计和使用网络上的数字身份的时候,也需要具有同样对应的模式,这样才可以在不改变用户使用习惯和(政府等机构)管理方式的情况下,把线下的业务搬到网上。设想一下基于数字证书的电子护照的实现。通过本发明,在电子护照证书中可以直接嵌入身份证证书的专有标识。这种嵌入,不破坏数字证书原有的结构。在验证时,用户不需要提交自己的主证书(因为证书本身就是公开的信息,验证机构可以通过主证书专有标识中的主证书唯一标识通过其它途径获取),简化了用户的使用过程,同时验证过程的安全性没有降低。如果身份证证书已经失效,本验证过程会确保电子护照证书也会自动失效。那么如果要失效该用户的所有电子身份标识(副证书),只需要废除该用户的身份证证书(主证书)就可以了。由于副证书中已经包含了主证书的专有标识,在应用系统中就不再需要自己建立主副证书的对照表,而是从副证书可以直接获取,简化了应用系统的复杂度,降低应用系统管理维护的成本,还可以避免信息更新不及时造成的对照表错误。这些都是本发明带来的在使用和管理上的优势。
图I为本发明的副证书签发流程示意图。图2为新旧证书结构对比图。图3为主证书专有标识示意图。图4为本发明的副证书验证流程示意图。
具体实施例方式以下结合附图和具体实施例对本发明作进一步详细阐述。图I是副证书签发过程的流程示意图。一种多个数字证书的关联办法,以一个或者多个数字证书作为主证书,通过主证书,对副证书的签发请求中的特定信息进行数字签名等操作,获得主证书专有标识,并由副证书的签发机构(CA)将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。至此,主副证书之间,通过主证书的专有标识(签名)建立起了相互的关联。图2是现有证书结构和新的证书结构的对比图。需要说明的是,虽然图2中把主证书专有标识放在证书扩展项内,但是在实际使用中,主证书的专有标识的放置位置不受到这个限制,可以根据实际应用的要求,放在证书中的任何位置。主证书专有标识主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN. I或者其它格式。其中包括但不限于以下内容主证书对副证书中的特定信息(例如DN, Subject Key Identifier等)等部分或者全部内容的数字签名、主证书唯一标识(例如主证书的证书指纹)。图3是一个典型的主证书专有标识的结构图。其中主证书签发者标识可以用来快速定位主证书的签发者,便于向主证书的签发者查询主证书(如果只有一个主证书签发者,这一项可以省略);主证书唯一标识用来在查询主证书的时候,作为查询条件;主证书对副证书Subject Key Identifier的签名作为主证书关联该副证书的关键信息。一种多个数字证书关联有效性的验证方法,提取副证书中的主证书专有标识,通过签名验证等方法,验证该专有标识的有效性,从而获得该关联的有效性。上述签名不限于目前已知的数字证书签名方式,只要满足以下条件均可以视作是签名操作完整性和不可 否认性。副证书的验证过程如下
1.验证副证书的证书链,有效期,黑名单,白名单等;
2.从副证书中提取主证书专有标识,获取主证书唯一标识,通过主证书唯一标识,获取主证书;
3.验证主证书有效性;
4.验证主证书专有标识中的签名;
5.其它验证过程,例如验证主证书签名时指定的限制条件等;
6.如果有多个主证书,则可以重复二到五验证过程。上述验证过程的次序并不一定必须按照上面的描述过程,可以打乱执行,或者只执行其中的一部分。图4是副证书验证流程的示意图。经过上述的验证过程,可以确认该副证书与主证书关联的有效性。如果用户手上已经持有原先签发的某张证书B (在性质上从属于某张主证书A,但是在签发的时候没有添加主证书专有标识,因此从验证系统来看,证书B是一张独立证书),那么我们可以通过以下流程更新证书B,使其成为证书A的副证书。I.从证书B获取证书签发或者更新所需必要信息,例如证书DN项,密钥用途,扩展密钥用途等。2.使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名还可以加入副证书Subject Key Identifier等防重放元素,也可以加入有效期等限制条件。3.如果有多张主证书,可以使用每张主证书都进行一次步骤二中的操作,也可以使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果。4.将主证书签名结果、主证书唯一标识等作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统(CA)。5.由证书签发系统(CA),根据自身的证书策略,在签发或者更新副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中。6.证书B的持有者获得签发好的新的副证书B。虽然本发明通过具体实施例和附图进行了描述,但实施例和附图并非用来限定本发明。本领域技术人员可在本发明的精神 范围内,做出各种变形和改进,其同样在本发明的保护范围之内。因此本发明的保护范围应当以本申请的权利要求保护所界定的相同或等同的范围为准。
权利要求
1.一种多个数字证书的关联方法,至少包括一个主证书、至少包括一个副证书,其特征在于,通过主证书,对副证书的签发请求中的特定信息进行数字签名操作,获得主证书专有标识,并由副证书的签发机构CA将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。
2.根据权利要求I所述的多个数字证书的关联方法,其特征在于对副证书的签发步骤如下, 步骤一、获取副证书签发所需必要信息; 步骤二、使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名时可以加入防重放元素,或者加入限制条件; 步骤三、如果有多张主证书,使用每张主证书都进行一次步骤二中的操作,或者使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果; 步骤四、将主证书签名结果、主证书唯一标识作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统CA ; 步骤五、由证书签发系统CA,根据自身的证书策略,在签发副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中; 步骤六、副证书的持有者获得签发好的副证书。
3.根据权利要求2所述的多个数字证书的关联方法,其特征在于所述必要信息是指证书DN项、有效期;所述防重放元素是指副证书的Subject Key Identifier ;所述限制条件是指主证书授权有效期;所述主证书的唯一标识是指主证书指纹。
4.根据权利要求1、2或者3所述的多个数字证书的关联方法,其特征在于所述主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN. I或者其它格式,其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。
5.根据权利要求I所述的多个数字证书的关联方法,其特征在于 所述签名应满足完整性和不可否认性的操作。
6.一种多个数字证书的验证方法,其验证多个数字证书间的关联有效性,至少包括一个主证书、至少包括一个关联副证书,其特征在于,提取副证书中的主证书专有标识,通过签名验证的方法,验证所述主证书专有标识的有效性,从而获得该关联的有效性。
7.根据权利要求6所述的多个数字证书的验证方法,其特征在于对副证书中主证书专有标识的验证步骤如下, 步骤一、从副证书中提取主证书专有标识,获取主证书唯一标识,通过主证书唯一标识,获取主证书; 步骤二、验证主证书有效性; 步骤三、验证主证书专有标识中的签名; 步骤四、如果有多个主证书,则重复步骤一到步骤三验证过程。
8.根据权利要求6或者7所述的多个数字证书的关联方法,其特征在于 所述主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN. I或者其它格式,其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。
9.根据权利要求6所述的多个数字证书的关联方法,其特征在于 所述签名应满足完整性和不可否认性的操作。
全文摘要
本发明公开了一种多个数字证书的关联方法和验证方法,以一个或者多个数字证书作为主证书,通过主证书,对副证书的签发请求中的特定信息进行数字签名等操作,获得主证书专有标识,并由副证书的签发机构(CA)将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。验证时,提取副证书中的主证书专有标识,通过签名验证等方法,验证该专有标识的有效性,从而获得该关联的有效性。由于副证书中已经包含了主证书的专有标识,在应用系统中就不再需要自己建立主副证书的对照表,而是从副证书可以直接获取,简化了应用系统的复杂度,降低应用系统管理维护的成本,还可以避免信息更新不及时造成的对照表错误。
文档编号H04L9/32GK102801532SQ20121033846
公开日2012年11月28日 申请日期2012年9月14日 优先权日2012年9月14日
发明者庄昱垚, 陈鹏, 董必成 申请人:江苏先安科技有限公司