CN102255925A - 一种数字证书申请快速审核方法 - Google Patents
一种数字证书申请快速审核方法 Download PDFInfo
- Publication number
- CN102255925A CN102255925A CN2011102534298A CN201110253429A CN102255925A CN 102255925 A CN102255925 A CN 102255925A CN 2011102534298 A CN2011102534298 A CN 2011102534298A CN 201110253429 A CN201110253429 A CN 201110253429A CN 102255925 A CN102255925 A CN 102255925A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- user
- information
- application
- new authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种数字证书申请快速审核方法,该方法针对RA建立一个CA信任集合,并且RA认可集合内的CA所颁发的证书。用户向RA提交申请信息时,以自己某个既有的、由属于CA信任集合的某个CA颁发的数字证书签名。本发明能够实现RA审核的自动化,提高其审核效率。
Description
技术领域
本发明涉及一种数字证书申请快速审核技术,具体涉及一种基于CA信任集合的数字证书申请快速审核及其实现方法。
背景技术
PKI是一种遵循既定标准的密钥管理平台,是为网络应用提供加密和数字签名服务及所需密钥和证书的管理体系。它采用证书管理公钥,通过可信第三方的认证机构CA,把用户的公钥和用户其他信息(如名称、电子邮件、身份证号等)捆绑在一起,在公钥加密技术基础上对证书的产生、管理、存储、发布以及作废进行管理,并通过延伸到用户本地的接口为各种应用提供安全服务,包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成:证书申请者、注册机构、认证中心、证书库和证书信任方。其中注册机构RA系统提供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用户等功能。
证书申请可以分为两种方式:面对面的现场申请和通过互联网操作的在线申请。
现场申请:用户本人到RA填写相关的表格,然后由RA受理人员录入用户信息,提交给RA的服务器。
在线申请:用户通过互联网将自己的信息传给RA,RA根据认证中心制定的策略审核用户,批准申请或拒绝发放证书。
现场申请是由受理人员人工进行审核,这样虽然保证申请信息的真实性,但是需要用户到受理现场进行当面提出申请,对用户来说是非常不方便的,再者需要受理人员针对每一项申请通过人工的方式对申请人的信息进行审核,并将用户信息录入到RA服务器,工作效率非常低,人力成本高。
在线申请虽然简化了用户的工作,但对RA来说,仍然需要提供人力来完成用户信息的比对和证实工作。而且RA在审核用户所提交的信息时,在线申请所提交的信息无法像现场申请时,能够保证彼此的印证,这无形加大了受理人员对信息审核的难度,极大影响其工作效果。
因此,不管是现场申请还是在线申请,整个PKI平台都存在RA审核效率低的问题。这对于日益增长的大批量发证需求来说,是制约效率的瓶颈。由此,提供一种效率高、安全性高的审核方法是本领域亟需解决的问题。
发明内容
本发明针对现有数字证书申请系统所存在的效率慢等问题,提供一种数字证书申请快速审核方法。该方法基于CA信任集合的数字证书来进行数字证书申请的高速、安全的审核,大大提高数字证书的申请审批效率。
为了达到上述目的,本发明采用如下的技术方案:
一种数字证书申请快速审核方法,该审核方法包括如下步骤:
(1)用户利用由RA所信任的CA颁发的既有用户数字证书对新证书的申请信息进行签名;
(2)RA利用由CA颁发并信任的既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;
(3)在验证通过后,RA解析既有用户数字证书中所包含的用户申请信息,并将其与步骤(2)获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。
在本发明的优选方案中,所述步骤(3)通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核。
进一步的,所述审核方法还包括RA根据验证的用户信息项类型和数量对用户申请的数字证书进行分级的步骤。
相比于传统的数字证书现场申请方式,本发明所提出的RA快速审核方法能够实现RA审核的自动化,能有效的提高RA工作效率。
本发明提供的审核流程方便快捷,对用户来说,采用在线提交方式,便于本地申请;对RA来说,基于既有的证书信息,可以实现RA审核工作的自动化,提高审核工作的效率,极大地节省RA的人力物力,同时还提高整个审核工作的安全和准确性,避免误差。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的原理图;
图2为本发明的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
实际上,在数字证书应用日趋广泛的信息社会里,用户在申请一个新的数字证书前可能已拥有一个或几个其他CA颁发的数字证书。比如,用户可能同时拥有几家银行的数字证书用于账户操作。在用户申请那些数字证书时,对应PKI系统中的RA实际上已经通过了用户信息的审核,也就是说既有数字证书所存储的用户信息已被验证是真实可靠的。
为此,本发明利用这些已经被确认其真实性的信息来校验用户当前提交的申请信息以此解决现有数字证书申请所存在的问题。
基于上述要求,本发明提供一种数字证书申请快速审核方法,该方法实施时需要建立一CA信任数据库,该数据库中拥有被RA信任的所有CA所颁发的数字证书,通过该数据库使得RA拥有并信任所有CA所颁发的数字证书。
基于上述原理,本发明提供的数字证书申请快速审核方法,其包括如下步骤(如图1所示):
(1)用户利用由CA颁发并信任的既有用户数字证书对新证书的申请信息进行签名;
(2)RA利用既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;
(3)在验证通过后,RA解析用户数字证书中所包含的用户申请信息,并将其与步骤(2)获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。
这样通过该方法,能够实现RA审核的自动化,提高其审核效率。
为了进一步提高本发明审核方法的准确性和安全性,本发明在步骤(3)通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核,由此可以提升申请信息自动化审核的准确性和安全性。
基于上述方案,本发明的具体实施过程如下:
本发明提供的审核方法基于既有的在线申请系统进行,为了使得RA能够进行自动化的审核,需要定义针对该RA的CA信任集合。在该实施例中,该信任集合可以表示记为:
GRA={CA1,CA2,......,CAn},n∈{1,2,3,...}。
其中,GRA为RA的CA信任集合,当且仅当GRA具备以下特征:
(1)RA认可该集合内每个CA所颁发的数字证书;
(2)RA自身拥有集合内每个CA颁发的数字证书。
除此之外,RA所在PKI系统的CA所颁发证书与位于GRA的CAi(i>0)所颁发证书需要具有一些共性,比如证书的审核策略是类似的,或者证书中所保存的用户重要私人信息项是相似的(例如姓名、身份证号等),等等。
本发明所提供的方法进行实施时,还需满足一前提,即当前申请数字证书的用户已经拥有了其他CA颁发的数字证书,而这些CA属于RA的CA信任集合。
为便于描述,该实施例中将由属于GRA中的CAi(i>0)颁发给用户的证书记为Certi,其对应的公钥和私钥分别记为PKi和SKi;
将用户当前申请的新证书记为Cert;
将CAi(i>0)颁发给RA的证书记为CertRAi,其对应的公钥和私钥分别记为PKRAi和SKRAi。
由此,当用户持有一张由属于GRA的CAi所颁发的数字证书Certi时,新数字证书的申请流程和RA的审核流程可以表述如下(参见图2):
第一步,用户在客户端用既有数字证书Certi对新证书申请信息INFO签名,即SIGN(INFO),具体步骤为:对INFO计算hash值得到INFO摘要信息INFOhash,并用既有数字证书Certi所对应的私钥SKi加密该摘要。
第二步,客户端将新证书申请信息INFO用RA的公钥PKRAi加密,即ENCRA(INFO),然后将SIGN(INFO)和ENCRA(INFO)拼接在一起生成S:SIGN(INFO)‖ENCRA(INFO),发送给RA,即User→RA:S。
第三步,RA接收到S,分解S得到SIGN(INFO)和ENCRA(INFO)。
第四步,RA验签,具体步骤为:用RA证书CertRAi对应的私钥SKRAi解密ENCRA(INFO),得到INFO;用客户既有数字证书Certi对应的公钥PKi解密SIGN(INFO),得到INFO’hash;
再由RA对解密得到的INFO计算hash值,并将计算得到的值与解密得到的INFO’hash比较:如果一致,则表明RA接收的信息是由用户发送来的;如果不一致,则表示RA接收的信息不是由用户发送来的,RA返回审核失败信息给用户,通知用户申请被拒绝。
第五步,基本信息审核,若在第四步中RA对用户验签通过,则继续从用户的既有数字证书Certi中解析用户个人信息INFO’,并将第四步中解析所得到的INFO与INFO’比对:如果INFO所包含的信息与INFO’中的对应项一致,则表明用户提交申请信息真实可信,RA可以通过对用户的信息审核,并通知CA发证。如果INFO所包含的信息与INFO’中的对应项不一致,RA将审核失败的信息返回给用户,通知用户申请被拒绝。
上述方案在提出一种RA快速审核方法的同时,也提出了一种建立CA横向信任链的方法。严格分级的CA信任体系是纵向分级的,信任链也因此是纵向的,即下级CA由上级CA授权。而CA信任集合是一种横向信任链,集合内各个CA的信任锚不需要是同一个,彼此之间的也不存在严格的互操作关系。这种信任集合是面向具体应用的,更具有实际操作意义。另外,本发明给出的CA信任集合GRA定义还仅仅是单向的,即RA认可集合内CA颁发的证书。这个定义还可以拓展为双向的,即集合内的任意CA所对应的RA认可集合内所有CA所颁发的证书。此时,GRA可以简写为G,即它的特征不再只针对某个具体RA成立。
上述方案中还可以依据用户既有数字证书Certi所含用户信息的类别对用户进行分级管理。CA信任集合所颁发的Certi之所以能用来验证用户申请新证书时的信息是否真实,是因为在实际应用中,Certi所含信息与用户当前所提交的申请信息有重合,比如用户的姓名和身份证号等。能证实用户申请信息真实可信的Certi越多,或者多个Certi所含用户信息的并集越大,用户信息的真实可靠性就越高。RA可以根据可信度对用户进行分级管理,对应批准的数字证书也可以赋予相应级别的权限。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种数字证书申请快速审核方法,其特征在于,所述审核方法包括如下步骤:
(1)用户利用由RA所信任的CA颁发的既有用户数字证书对新证书的申请信息进行签名;
(2)RA利用由CA颁发并信任的既有RA数字证书来解析和验证经步骤(1)签名的新证书的申请信息,并以此来来判断该新证书的申请信息是否为用户发送的;
(3)在验证通过后,RA解析既有用户数字证书中所包含的用户申请信息,并将其与步骤(2)获得的新证书的申请信息进行对比审核,以此判断新证书的申请信息的真实性。
2.根据权利要求1所述的一种数字证书申请快速审核方法,其特征在于,所述步骤(3)通过解析用户既有的多个不同数字证书中所包含的用户申请信息,来进行对比审核。
3.根据权利要求1所述的一种数字证书申请快速审核方法,其特征在于,所述审核方法还包括RA根据验证的用户信息项对用户申请的数字证书进行分级的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110253429.8A CN102255925B (zh) | 2011-08-30 | 2011-08-30 | 一种数字证书申请快速审核方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110253429.8A CN102255925B (zh) | 2011-08-30 | 2011-08-30 | 一种数字证书申请快速审核方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255925A true CN102255925A (zh) | 2011-11-23 |
| CN102255925B CN102255925B (zh) | 2016-01-20 |
Family
ID=44982920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110253429.8A Active CN102255925B (zh) | 2011-08-30 | 2011-08-30 | 一种数字证书申请快速审核方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102255925B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833070A (zh) * | 2012-08-08 | 2012-12-19 | 北京九恒星科技股份有限公司 | 普通用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN107463806A (zh) * | 2017-06-20 | 2017-12-12 | 国家计算机网络与信息安全管理中心 | 一种Android应用程序安装包的签名和验签方法 |
| CN107645726A (zh) * | 2016-07-20 | 2018-01-30 | 航天信息股份有限公司 | 一种用于移动终端用户身份认证的方法和系统 |
| CN107645471A (zh) * | 2016-07-20 | 2018-01-30 | 航天信息股份有限公司 | 一种用于移动终端用户身份认证的方法和系统 |
| CN108667615A (zh) * | 2018-04-26 | 2018-10-16 | 济南浪潮高新科技投资发展有限公司 | 一种证书用户远程管理方法 |
| CN110546917A (zh) * | 2017-05-05 | 2019-12-06 | 霍尼韦尔国际公司 | 用于工业控制系统或其他系统中的设备的自动化证书注册 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1349327A (zh) * | 2001-12-03 | 2002-05-15 | 上海交通大学 | 基于公钥基础设施的网络信息内容分级管理方法 |
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
-
2011
- 2011-08-30 CN CN201110253429.8A patent/CN102255925B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1349327A (zh) * | 2001-12-03 | 2002-05-15 | 上海交通大学 | 基于公钥基础设施的网络信息内容分级管理方法 |
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833070A (zh) * | 2012-08-08 | 2012-12-19 | 北京九恒星科技股份有限公司 | 普通用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN107645726A (zh) * | 2016-07-20 | 2018-01-30 | 航天信息股份有限公司 | 一种用于移动终端用户身份认证的方法和系统 |
| CN107645471A (zh) * | 2016-07-20 | 2018-01-30 | 航天信息股份有限公司 | 一种用于移动终端用户身份认证的方法和系统 |
| CN110546917A (zh) * | 2017-05-05 | 2019-12-06 | 霍尼韦尔国际公司 | 用于工业控制系统或其他系统中的设备的自动化证书注册 |
| CN107463806A (zh) * | 2017-06-20 | 2017-12-12 | 国家计算机网络与信息安全管理中心 | 一种Android应用程序安装包的签名和验签方法 |
| CN107463806B (zh) * | 2017-06-20 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种Android应用程序安装包的签名和验签方法 |
| CN108667615A (zh) * | 2018-04-26 | 2018-10-16 | 济南浪潮高新科技投资发展有限公司 | 一种证书用户远程管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102255925B (zh) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11349645B2 (en) | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys | |
| CN105991278B (zh) | 一种基于cp-abe的密文访问控制方法 | |
| CN110874464A (zh) | 用户身份认证数据的管理方法和设备 | |
| US20030217264A1 (en) | System and method for providing a secure environment during the use of electronic documents and data | |
| CN106341493A (zh) | 实体权益数字化电子合同签署方法 | |
| CN108933667A (zh) | 一种基于区块链的公钥证书的管理方法及管理系统 | |
| CN102255925A (zh) | 一种数字证书申请快速审核方法 | |
| US20140013110A1 (en) | Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (igcp/pki) | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN107277000B (zh) | 一种电子凭证安全管理方法及系统 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN102255732B (zh) | 一种基于智能密码钥匙的安全发证方法 | |
| US9680655B2 (en) | Public-key certificate management system and method | |
| CN105635070A (zh) | 一种数字文件的防伪方法及系统 | |
| Sharma et al. | Public key infrastructure and trust of web based knowledge discovery | |
| CN107229879A (zh) | 基于安全二维码的电子询证函自动生成方法及系统 | |
| CN102970302A (zh) | 一种基于个人信息通用编码的个人信息保护平台及方法 | |
| CN1829150B (zh) | 一种基于cpk的网关认证装置及方法 | |
| CN111770081B (zh) | 基于角色认证的大数据机密文件访问方法 | |
| Buccafurri et al. | Ethereum Transactions and Smart Contracts among Secure Identities. | |
| US20070118877A1 (en) | Method and system for secured online collaboration | |
| CN112733192A (zh) | 基于联盟链和同态加密的司法电子证据系统及方法 | |
| Al-Khouri | PKI in government identity management systems | |
| Sangeetha et al. | Development of novel blockchain technology for certificate management system using cognitive image steganography techniques | |
| CN114936224A (zh) | 基于Hadoop的轨检数据服务系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |