一种双证书CA系统及其实现方法与流程
本发明涉及证书认证技术领域,具体涉及一种双证书ca系统及其实现方法。
背景技术:
公钥密码技术是实现网络信息安全的核心技术之一。pki(publickeyinfrastructure,公钥基础设施)是实际部署公钥密码技术的支撑性基础设施。生成数字证书是pki体系中的关键环节:在pki体系中,ca(certificateauthority,证书中心)负责生成数字证书来绑定用户身份和用户公钥,即在声明“该用户拥有该公钥”的电子文本上做数字签名。
在设备或业务进行交互时,需要对设备或业务进行身份认证,这样就需要对设备或业务信息的获取,现有的认证系统要不对设备进行认证,要不对业务进行认证,均是单一的证书系统;单一证书系统会导致业务无法扩展、无法交叉,且只能针对一种应用类型发放证书,因此现在有一系列的证书发放系统和机构,比如有给网页发放证书的,有给一个设备如ukey发放证书的,有给卡发放证书的,等等,它们由不同的证书体系维护,相互之间无交叉,单独运作。
技术实现要素:
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种双证书ca系统及其实现方法,本发明可以实现设备或业务的互联互通,设备与设备间可以进行交互,业务与业务间可以进行交互,设备与业务间可以进行交互。
为了达到上述目的,本发明采用以下技术方案予以实现:
一种双证书ca系统,其特征在于,包括:
第一证书系统,用于对设备或业务的第一证书进行认证;
第二证书系统,用于对设备或业务的第二证书进行认证;
接口,用于给经第一证书系统和第二证书系统认证的设备或业务发放第一证书和认证证书;
开户业务机,用于实现接口发放第一证书和第二证书后的设备或业务的互联互通;
所述第一证书系统和第二证书系统通过接口与开户业务机通信。
进一步地,所述第一证书系统包括:
第一密钥管理单元,负责为ca系统提供密钥的生成、保存、备份、更新、恢复、查询的密钥服务;
第一证书发放、撤销管理单元,检查证书持有者身份,确定是否签发证书,并对证书和密钥进行管理;
第一证书申请审核单元,负责对证书申请者的信息录入、审核以及证书发放工作,并对发放的证书进行管理;
所述第一证书申请审核单元与第一证书发放、撤销管理单元连接,所述第一证书发放、撤销管理单元与第一密钥管理单元连接,所述第一证书申请审核单元和第一证书发放、撤销管理单元通过第一证书接口单元与接口连接。
进一步地,所述第二证书系统包括:
第二密钥管理单元,负责为ca系统提供密钥的生成、保存、备份、更新、恢复、查询的密钥服务;
第二证书认证中心,检查证书持有者身份,确定是否签发证书,并对证书和密钥进行管理;
第二数字证书注册审批中心,负责对证书申请者的信息录入、审核以及证书发放工作,并对发放的证书进行管理;
所述第二数字证书注册审批中心与第二证书认证中心连接,所述第二证书认证中心与第二密钥管理单元连接,所述第二数字证书注册审批中心和第二证书认证中心通过第一证书接口单元与接口连接。
进一步地,所述第一证书发放、撤销管理单元和第二证书认证中心采用双层架构发放证书,具体为:根证书负责发放二级根证书;二级根证书负责发放最终证书;第一证书发放、撤销管理单元的最终证书为基础信任证书,第二认证中心的最终证书为使用证书。
一种双证书ca系统的实现方法,包括以下步骤:
证书申请;
证书认证。
进一步地,所述证书申请具体包括:第一证书系统和第二证书系统接收通过接口连接的开户业务机的证书申请,通过第一证书申请审核单元和第二数字证书注册审批中心对该证书申请进行审核,第一发放、撤销管理单元和第二证书认证中心对审核通过的证书申请发放经第一密钥管理单元和第二密钥管理单元加密的第一证书和第二证书。
进一步地,所述第一证书发放、撤销管理单元和第二证书认证中心采用双层架构发放证书,具体为:根证书负责发放二级根证书;二级根证书负责发放最终证书;第一证书发放、撤销管理单元的最终证书为基础信任证书,第二认证中心的最终证书为使用证书。
进一步地,所述证书认证具体包括:
第一证书认证通过,基础信任建立;
第二证书认证,业务建立。
进一步地,所述证书认证包括以下步骤:
认证设备或业务证书的合法性;
设备或业务启动;
设备或业务证书认证;
设备或业务交互。
进一步地,所述证书认证包括以下步骤:
设备或业务证书认证;
认证设备或业务证书的合法性;
设备或业务启动;
设备或业务交互。
本发明有益效果是:本发明提供的双证书ca系统,是一个双角色、双层架构、双证书的证书系统,其有效解决了证书之间互信问题从而解决业务的交叉问题;通过设置第一证书系统和第二证书系统对第一证书和第二证书进行认证,通过接口与开户业务机实现互联互通,方便设备或业务之间的交互。
附图说明
图1为本发明提供的一种双证书ca系统结构示意图;
图2为本发明提供的证书双层架构结构图;
图3为本发明提供的一种双证书ca系统的实现方法流程图;
图4为本发明提供的所述证书认证一种实施例的流程图;
图5为本发明提供的所述证书认证另一种实施例的流程图。
具体实施方式
下面结合附图及实施例描述本发明具体实施方式:
如图1和图2所示,其中图1为本发明提供的一种双证书ca系统结构示意图;图2为本发明提供的证书双层架构结构图。
如图1和图2所示,一种双证书ca系统,包括:
第一证书系统,用于对设备或业务的第一证书进行认证;
第二证书系统,用于对设备或业务的第二证书进行认证;
接口,用于给经第一证书系统和第二证书系统认证的设备或业务发放第一证书和认证证书;
开户业务机,用于实现接口发放第一证书和第二证书后的设备或业务的互联互通;
所述第一证书系统和第二证书系统通过接口与开户业务机通信。
本发明提供的双证书ca系统,由于采用的双证书,可用于给多种角色发放证书,比如网元设备等公用设备,比如实际的一张卡等用户设备。通过设置第一证书系统和第二证书系统对第一证书和第二证书进行认证,通过接口与开户业务机实现互联互通,实现第一证书和第二证书的双证书认证系统,其中设备或业务的互联互通包括设备与设备间可以进行交互,业务与业务间可以进行交互,设备与业务间可以进行交互。
第一证书系统与第二证书系统的结构相同,其中第一证书系统包括:
第一密钥管理单元,负责为ca系统提供密钥的生成、保存、备份、更新、恢复、查询的密钥服务;
第一证书发放、撤销管理单元,检查证书持有者身份,确定是否签发证书,并对证书和密钥进行管理;
第一证书申请审核单元,负责对证书申请者的信息录入、审核以及证书发放工作,并对发放的证书进行管理;
所述第一证书申请审核单元与第一证书发放、撤销管理单元连接,所述第一证书发放、撤销管理单元与第一密钥管理单元连接,所述第一证书申请审核单元和第一证书发放、撤销管理单元通过第一证书接口单元与接口连接。
进一步地,所述第二证书系统包括:
第二密钥管理单元,负责为ca系统提供密钥的生成、保存、备份、更新、恢复、查询的密钥服务;
第二证书认证中心,检查证书持有者身份,确定是否签发证书,并对证书和密钥进行管理;
第二数字证书注册审批中心,负责对证书申请者的信息录入、审核以及证书发放工作,并对发放的证书进行管理;
所述第二数字证书注册审批中心与第二证书认证中心连接,所述第二证书认证中心与第二密钥管理单元连接,所述第二数字证书注册审批中心和第二证书认证中心通过第一证书接口单元与接口连接。
第一密钥管理中心和第二密钥管理中心,是公钥基础设施中的一个重要组成部分,负责为ca系统提供密钥的生成、保存、备份、更新、恢复、查询等密钥服务,以解决分布式企业应用环境中大规模密码技术应用所带来的密钥管理问题;
每一个ca中心都需要有一个kmc负责该ca区域内的密钥管理任务。kmc可以根据应用所需pki规模的大小灵活设置,既可以建立单独的kmc,也可以采用镶嵌式kmc,让kmc模块直接运行在ca服务器上。
密钥管理中心包括两套密码模块:加密模块和符合pkcs#11标准的加密模块(硬设备)。支持高强度的密钥及加密算法,并提供客户端的支持环境。通过pkcs#11接口直接硬件加密,实现了黑盒管理,系统密钥不出主机加密服务器,拥有很强的安全性和保密性。
在密钥管理中心里,其中密钥包括ca的密钥和用户的密钥;
ca的密钥:ca(certificationauthority,证书认证中心)的密钥是整个系统的核心机密,它在系统安装时产生,生成之后加密存储在存储服务器的数据库或硬件主机加密服务器中;
用户的密钥:用户的签名密钥由客户端产生,生成后加密存储在客户端本机文件或操作系统安全区中。
可以以加密的方式对密钥进行归档和备份。如果使用硬件加密,则支持密钥管理员身份ic卡的备份与管理;如果使用软件加密,则支持标准pbe/pkcs#5算法对密钥进行高强度的加密存贮与备份。密钥的管理通过提供客户端软件,对客户端密钥的管理,包括:生成、存贮、备份。通过使用标准的pbe/pkcs#5实现对客户端密钥本地化存贮和备份的保护。
第一证书发放、撤销管理单元和第二证书认证中心中,ca作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
ca中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中,ca不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
ca是证书的签发机构,它是pki的核心。ca是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
ca也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证ca的签字从而信任ca,任何人都可以得到ca的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向ca提出申请。在ca判明申请者的身份后,便为他分配一个公钥,并且ca将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证,并负责管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
第一证书申请审核单元和第二数字证书注册审批中心,是数字证书注册审批的机构,ra中心是ca的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于ic卡、硬盘或软盘等介质中。ra中心是整个ca中心得以正常运营不可缺少的一部分。
第一证书接口单元和第二证书接口单元完成证书目录查询、证书申请接口以及安全防护功能。
进一步地,所述第一证书发放、撤销管理单元和第二证书认证中心采用双层架构发放证书,具体为:根证书负责发放二级根证书;二级根证书负责发放最终证书;第一证书发放、撤销管理单元的最终证书为基础信任证书,第二认证中心的最终证书为使用证书。
本发明实施例中,对于多个业务或设备的应用时,每个业务或设备均包括第一证书和第二证书,对于具有多个应用时,可以包括其他证书,这样在第一证书的基础信任下,可以实现多业务应用的交互,简化交互过程,业务可以互通。
本发明由根证书给二级根证书发放证书;二级根证书给设备或者业务或者用户发放实际的使用证书;即双层结构,两个根证书可以是不同的角色,可以是不同的服务商;即双角色特点;每个终端等至少有2个或2个以上的证书;即双证书特点;两个还可以增加到多个证书体系。
第一证书、第二证书可以是设备证书,也可以是业务证书,也可以是用户证书等;其中一个证书可以为基础信任证书,如网络通道证书,其他证书可以为在此基础信任证书上的证书,如多个业务的证书;可实现多个业务的互通互联。
本发明提出的证书系统,是一个双角色、双层架构、双证书的证书系统,其有效解决了证书之间互信问题从而解决业务的交叉问题;双角色是指可以多个机构对同一个设备进行发证;双层架构指证书系统包括由根证书、二级根证书、以及最终证书组成,根证书负责发放二级根证书;二级根证书负责发放最终证书;双证书是指在一个设备中可以发放多个证书。
参见图3,为本发明的一种双证书ca系统的实现方法流程图。
如图3所示,一种双证书ca系统的实现方法,包括以下步骤:
证书申请;
证书认证。
进一步地,所述证书申请具体包括:第一证书系统和第二证书系统接收通过接口连接的开户业务机的证书申请,通过第一证书申请审核单元和第二数字证书注册审批中心对该证书申请进行审核,第一发放、撤销管理单元和第二证书认证中心对审核通过的证书申请发放经第一密钥管理单元和第二密钥管理单元加密的第一证书和第二证书。
进一步地,所述第一证书发放、撤销管理单元和第二证书认证中心采用双层架构发放证书,具体为:根证书负责发放二级根证书;二级根证书负责发放最终证书;第一证书发放、撤销管理单元的最终证书为基础信任证书,第二认证中心的最终证书为使用证书。
本发明实施例中,对于多个业务或设备的应用时,每个业务或设备均包括第一证书和第二证书,对于具有多个应用时,可以包括其他证书,这样在第一证书的基础信任下,可以实现多业务应用的交互,简化交互过程,业务可以互通。
本发明由根证书给二级根证书发放证书;二级根证书给设备或者业务或者用户发放实际的使用证书;即双层结构,两个根证书可以是不同的角色,可以是不同的服务商;即双角色特点;每个终端等至少有2个或2个以上的证书;即双证书特点;两个还可以增加到多个证书体系;
第一证书、第二证书可以是设备证书,也可以是业务证书,也可以是用户证书等;其中一个证书可以为基础信任证书,如网络通道证书,其他证书可以为在此基础信任证书上的证书,如多个业务的证书;可实现多个业务的互通互联;
进一步地,所述证书认证具体包括:
第一证书认证通过,基础信任建立;
第二证书认证,业务建立。
参见图4,为本发明的所述证书认证一种实施例的流程图。该实施例中,证书认证包括以下步骤:
认证设备或业务证书的合法性;
设备或业务启动;
设备或业务证书认证;
设备或业务交互。
本发明实施例中,证书认证的第一步为认证设备证书的合法性,判断证书是合法的,进行设备或业务的启动,在进行设备或业务证书的认证,实现设备或业务的交互。
参见图5,为本发明的所述证书认证另一种实施例的流程图。在该实施例中,证书认证包括以下步骤:
设备或业务证书认证;
认证设备或业务证书的合法性;
设备或业务启动;
设备或业务交互。
在本发明实施例中,证书认证的第一步为对设备或业务证书进行认证,判断设备或业务的证书是否合法,如果合法,则进行业务或设备启动,实现业务或设备交互。
上面结合附图对本发明优选实施方式作了详细说明,但是本发明不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化,这些变化涉及本领域技术人员所熟知的相关技术,这些都落入本发明专利的保护范围。
不脱离本发明的构思和范围可以做出许多其他改变和改型。应当理解,本发明不限于特定的实施方式,本发明的范围由所附权利要求限定。
- 还没有人留言评论。精彩留言会获得点赞!