CN102801532A - 一种多个数字证书的关联方法和验证方法 - Google Patents
一种多个数字证书的关联方法和验证方法 Download PDFInfo
- Publication number
- CN102801532A CN102801532A CN2012103384610A CN201210338461A CN102801532A CN 102801532 A CN102801532 A CN 102801532A CN 2012103384610 A CN2012103384610 A CN 2012103384610A CN 201210338461 A CN201210338461 A CN 201210338461A CN 102801532 A CN102801532 A CN 102801532A
- Authority
- CN
- China
- Prior art keywords
- certificate
- main symptom
- book
- symptom book
- secondary certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种多个数字证书的关联方法和验证方法,以一个或者多个数字证书作为主证书,通过主证书,对副证书的签发请求中的特定信息进行数字签名等操作,获得主证书专有标识,并由副证书的签发机构(CA)将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。验证时,提取副证书中的主证书专有标识,通过签名验证等方法,验证该专有标识的有效性,从而获得该关联的有效性。由于副证书中已经包含了主证书的专有标识,在应用系统中就不再需要自己建立主副证书的对照表,而是从副证书可以直接获取,简化了应用系统的复杂度,降低应用系统管理维护的成本,还可以避免信息更新不及时造成的对照表错误。
Description
技术领域
本发明涉及从一个或多个数字证书(称作主证书), 创建一个或者多个相关联的数字证书(称作副证书),以及这种关联的有效性验证的问题。用于解决目前已经持有合法有效数字证书的单位或者个人,在现有有效证书的基础上,创建或者获取新的关联数字证书,用于其它业务和应用系统的问题。
背景技术
数字证书是证明用户身份的网上标识,在网络中识别通讯各方的身份,即在虚拟社会中解决“我是谁”的问题。通俗的讲,数字证书就好像是网上用户的身份证,能够保证您在网络上进行的交易是安全的和可信的。
数字证书主要有如下作用:
身份认证:数字证书中包括的主要内容有:证书拥有者的单位信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的CA、CA的数字签名等。
加密传输信息:通过数字证书在网上传输数据,这些数据要进行加密,然后以密码的形式在Internet上传输。发送方用接收方的公钥对文件进行加密,接收方用只有自己才有的私钥进行解密,得到文件明文。
数字签名抗否认:在现实生活中用公章、签名等来实现的抗否认,在网上可以借助数字证书的数字签名来实现。
数字证书被广泛的使用于军事、金融、电子政务和电子商务领域,用于在因特网中识别使用者的身份。
但是两张数字证书之间的关联性目前无法得到有效的验证。例如某机构申请一张证书A,用于需要使用法人身份的场合(类似企业公章),另外又申请了一张证书B,用于电子合同(类似企业合同章)。其中证书B在使用范围和权限上是属于证书A的,A有效,B才有效,但是目前的证书体系中对于类似情况并没有体现出这样的关联性。
发明内容
本发明要解决的技术问题是:根据上文中提到的存在问题,通过在签发副证书的时候,加入主证书的专有标识,来实现主副证书之间的关联。
副证书的签发步骤如下:
1. 获取证书签发所需必要信息,例如证书DN项,密钥用途,扩展密钥用途等。
2. 使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名时还可以加入副证书Subject Key Identifier等防重放元素,也可以加入有效期等限制条件。
3. 如果有多张主证书,可以使用每张主证书都进行一次步骤二中的操作,也可以使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果。
4. 将主证书签名结果、主证书唯一标识等作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统(CA)。
5. 由证书签发系统(CA),根据自身的证书策略,在签发副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中。
6. 副证书的持有者获得签发好的副证书。
有益效果:数字证书是用来标识一个实体(例如单位,个人等)在网络上的数字身份。但是在线下的生活中,一个公司既有公章也有财务章、合同章;一个个人既有身份证,也有护照、工作证等多个身份标识。在申领护照的时候,需要提交身份证,身份证失效,护照也会相应的生效。与本发明类比,显然身份证就是主证书,护照就是副证书。
既然在线下的生活中存在这样的身份标识的关联,当我们在设计和使用网络上的数字身份的时候,也需要具有同样对应的模式,这样才可以在不改变用户使用习惯和(政府等机构)管理方式的情况下,把线下的业务搬到网上。
设想一下基于数字证书的电子护照的实现。通过本发明,在电子护照证书中可以直接嵌入身份证证书的专有标识。这种嵌入,不破坏数字证书原有的结构。在验证时,用户不需要提交自己的主证书(因为证书本身就是公开的信息,验证机构可以通过主证书专有标识中的主证书唯一标识通过其它途径获取),简化了用户的使用过程,同时验证过程的安全性没有降低。
如果身份证证书已经失效,本验证过程会确保电子护照证书也会自动失效。那么如果要失效该用户的所有电子身份标识(副证书),只需要废除该用户的身份证证书(主证书)就可以了。
由于副证书中已经包含了主证书的专有标识,在应用系统中就不再需要自己建立主副证书的对照表,而是从副证书可以直接获取,简化了应用系统的复杂度,降低应用系统管理维护的成本,还可以避免信息更新不及时造成的对照表错误。
这些都是本发明带来的在使用和管理上的优势。
附图说明
图1为本发明的副证书签发流程示意图。
图2为新旧证书结构对比图。
图3为主证书专有标识示意图。
图4为本发明的副证书验证流程示意图。
具体实施方式
以下结合附图和具体实施例对本发明作进一步详细阐述。
图1是副证书签发过程的流程示意图。一种多个数字证书的关联办法,以一个或者多个数字证书作为主证书,通过主证书,对副证书的签发请求中的特定信息进行数字签名等操作,获得主证书专有标识,并由副证书的签发机构(CA)将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。至此,主副证书之间,通过主证书的专有标识(签名)建立起了相互的关联。
图2是现有证书结构和新的证书结构的对比图。需要说明的是,虽然图2中把主证书专有标识放在证书扩展项内,但是在实际使用中,主证书的专有标识的放置位置不受到这个限制,可以根据实际应用的要求,放在证书中的任何位置。
主证书专有标识:主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN.1或者其它格式。其中包括但不限于以下内容:主证书对副证书中的特定信息(例如DN,Subject Key Identifier等)等部分或者全部内容的数字签名、主证书唯一标识(例如主证书的证书指纹)。
图3是一个典型的主证书专有标识的结构图。其中主证书签发者标识可以用来快速定位主证书的签发者,便于向主证书的签发者查询主证书(如果只有一个主证书签发者,这一项可以省略);主证书唯一标识用来在查询主证书的时候,作为查询条件;主证书对副证书Subject Key Identifier的签名作为主证书关联该副证书的关键信息。
一种多个数字证书关联有效性的验证方法,提取副证书中的主证书专有标识,通过签名验证等方法,验证该专有标识的有效性,从而获得该关联的有效性。上述签名不限于目前已知的数字证书签名方式,只要满足以下条件均可以视作是签名操作:完整性和不可否认性。
副证书的验证过程如下:
1. 验证副证书的证书链,有效期,黑名单,白名单等;
2. 从副证书中提取主证书专有标识,获取主证书唯一标识,通过主证书唯一标识,获取主证书;
3. 验证主证书有效性;
4. 验证主证书专有标识中的签名;
5. 其它验证过程,例如验证主证书签名时指定的限制条件等;
6. 如果有多个主证书,则可以重复二到五验证过程。
上述验证过程的次序并不一定必须按照上面的描述过程,可以打乱执行,或者只执行其中的一部分。
图4是副证书验证流程的示意图。
经过上述的验证过程,可以确认该副证书与主证书关联的有效性。
如果用户手上已经持有原先签发的某张证书B(在性质上从属于某张主证书A,但是在签发的时候没有添加主证书专有标识,因此从验证系统来看,证书B是一张独立证书),那么我们可以通过以下流程更新证书B,使其成为证书A的副证书。
1. 从证书B获取证书签发或者更新所需必要信息,例如证书DN项,密钥用途,扩展密钥用途等。
2. 使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名还可以加入副证书Subject Key Identifier等防重放元素,也可以加入有效期等限制条件。
3. 如果有多张主证书,可以使用每张主证书都进行一次步骤二中的操作,也可以使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果。
4. 将主证书签名结果、主证书唯一标识等作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统(CA)。
5. 由证书签发系统(CA),根据自身的证书策略,在签发或者更新副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中。
6. 证书B的持有者获得签发好的新的副证书B。
虽然本发明通过具体实施例和附图进行了描述,但实施例和附图并非用来限定本发明。本领域技术人员可在本发明的精神范围内,做出各种变形和改进,其同样在本发明的保护范围之内。因此本发明的保护范围应当以本申请的权利要求保护所界定的相同或等同的范围为准。
Claims (9)
1.一种多个数字证书的关联方法,至少包括一个主证书、至少包括一个副证书,其特征在于,通过主证书,对副证书的签发请求中的特定信息进行数字签名操作,获得主证书专有标识,并由副证书的签发机构CA将主证书专有标识作为副证书内容中的组成部分,包含在签发后的副证书中。
2.根据权利要求1所述的多个数字证书的关联方法,其特征在于:对副证书的签发步骤如下,
步骤一、获取副证书签发所需必要信息;
步骤二、使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名,并得到主证书签名结果,签名时可以加入防重放元素,或者加入限制条件;
步骤三、如果有多张主证书,使用每张主证书都进行一次步骤二中的操作,或者使用每张主证书对上一张主证书的签名结果再次签名,以获取最终的签名结果;
步骤四、将主证书签名结果、主证书唯一标识作为主证书专有标识,作为证书签发请求的一部分发送到证书签发系统CA;
步骤五、由证书签发系统CA,根据自身的证书策略,在签发副证书的同时,将主证书专有标识附加在副证书内容中,附加的位置可以是副证书的主题项,签发者项,或者其它证书扩展项中;
步骤六、副证书的持有者获得签发好的副证书。
3.根据权利要求2所述的多个数字证书的关联方法,其特征在于:所述必要信息是指证书DN项、有效期;所述防重放元素是指副证书的Subject Key Identifier;所述限制条件是指主证书授权有效期;所述主证书的唯一标识是指主证书指纹。
4.根据权利要求1、2或者3所述的多个数字证书的关联方法,其特征在于:所述主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN.1或者其它格式,其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。
5.根据权利要求1所述的多个数字证书的关联方法,其特征在于:
所述签名应满足完整性和不可否认性的操作。
6.一种多个数字证书的验证方法,其验证多个数字证书间的关联有效性,至少包括一个主证书、至少包括一个关联副证书,其特征在于,提取副证书中的主证书专有标识,通过签名验证的方法,验证所述主证书专有标识的有效性,从而获得该关联的有效性。
7.根据权利要求6所述的多个数字证书的验证方法,其特征在于:对副证书中主证书专有标识的验证步骤如下,
步骤一、从副证书中提取主证书专有标识,获取主证书唯一标识,通过主证书唯一标识,获取主证书;
步骤二、验证主证书有效性;
步骤三、验证主证书专有标识中的签名;
步骤四、如果有多个主证书,则重复步骤一到步骤三验证过程。
8.根据权利要求6或者7所述的多个数字证书的关联方法,其特征在于:
所述主证书专有标识是一个或者多个经过编码的数据,编码方式可以是ASN.1或者其它格式,其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。
9.根据权利要求6所述的多个数字证书的关联方法,其特征在于:
所述签名应满足完整性和不可否认性的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338461.0A CN102801532B (zh) | 2012-09-14 | 2012-09-14 | 一种多个数字证书的关联方法和验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210338461.0A CN102801532B (zh) | 2012-09-14 | 2012-09-14 | 一种多个数字证书的关联方法和验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102801532A true CN102801532A (zh) | 2012-11-28 |
| CN102801532B CN102801532B (zh) | 2015-07-08 |
Family
ID=47200506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210338461.0A Active CN102801532B (zh) | 2012-09-14 | 2012-09-14 | 一种多个数字证书的关联方法和验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102801532B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753673A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN105981326A (zh) * | 2014-02-26 | 2016-09-28 | 三菱电机株式会社 | 证书管理装置和证书管理方法 |
| CN106031124A (zh) * | 2014-02-28 | 2016-10-12 | 西门子公司 | 借助于肯定名单来使用证书 |
| CN107005416A (zh) * | 2014-12-15 | 2017-08-01 | 亚马逊技术有限公司 | 基于长持续时间数字证书验证的短持续时间数字证书颁发 |
| CN107786344A (zh) * | 2017-10-30 | 2018-03-09 | 阿里巴巴集团控股有限公司 | 数字证书申请、使用的实现方法和装置 |
| CN108471419A (zh) * | 2018-03-28 | 2018-08-31 | 湖南东方华龙信息科技有限公司 | 基于可信身份的证书共享方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010135890A1 (zh) * | 2009-05-27 | 2010-12-02 | 西安西电捷通无线网络通信有限公司 | 基于对称加密算法的双向认证方法及系统 |
| CN101911089A (zh) * | 2008-01-21 | 2010-12-08 | 索尼公司 | 信息处理设备,盘,信息处理方法和程序 |
| CN102255729A (zh) * | 2011-07-07 | 2011-11-23 | 武汉理工大学 | 一种基于媒介数字证书的ibe数据加密系统 |
-
2012
- 2012-09-14 CN CN201210338461.0A patent/CN102801532B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101911089A (zh) * | 2008-01-21 | 2010-12-08 | 索尼公司 | 信息处理设备,盘,信息处理方法和程序 |
| WO2010135890A1 (zh) * | 2009-05-27 | 2010-12-02 | 西安西电捷通无线网络通信有限公司 | 基于对称加密算法的双向认证方法及系统 |
| CN102255729A (zh) * | 2011-07-07 | 2011-11-23 | 武汉理工大学 | 一种基于媒介数字证书的ibe数据加密系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753673A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN104753673B (zh) * | 2013-12-30 | 2019-04-30 | 格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN105981326B (zh) * | 2014-02-26 | 2019-05-14 | 三菱电机株式会社 | 证书管理装置和证书管理方法 |
| CN105981326A (zh) * | 2014-02-26 | 2016-09-28 | 三菱电机株式会社 | 证书管理装置和证书管理方法 |
| CN106031124A (zh) * | 2014-02-28 | 2016-10-12 | 西门子公司 | 借助于肯定名单来使用证书 |
| US10911432B2 (en) | 2014-02-28 | 2021-02-02 | Siemens Aktiengesellschaft | Use of certificates using a positive list |
| CN106031124B (zh) * | 2014-02-28 | 2020-12-04 | 西门子公司 | 借助于肯定名单来使用证书 |
| CN107005416A (zh) * | 2014-12-15 | 2017-08-01 | 亚马逊技术有限公司 | 基于长持续时间数字证书验证的短持续时间数字证书颁发 |
| CN107005416B (zh) * | 2014-12-15 | 2020-12-04 | 亚马逊技术有限公司 | 基于长持续时间数字证书验证的短持续时间数字证书颁发 |
| CN107786344B (zh) * | 2017-10-30 | 2020-05-19 | 阿里巴巴集团控股有限公司 | 数字证书申请、使用的实现方法和装置 |
| US10904241B2 (en) | 2017-10-30 | 2021-01-26 | Advanced New Technologies Co., Ltd. | Digital certificate management |
| CN107786344A (zh) * | 2017-10-30 | 2018-03-09 | 阿里巴巴集团控股有限公司 | 数字证书申请、使用的实现方法和装置 |
| US11025609B2 (en) | 2017-10-30 | 2021-06-01 | Advanced New Technologies Co., Ltd. | Digital certificate management |
| CN108471419A (zh) * | 2018-03-28 | 2018-08-31 | 湖南东方华龙信息科技有限公司 | 基于可信身份的证书共享方法 |
| CN108471419B (zh) * | 2018-03-28 | 2021-03-16 | 湖南东方华龙信息科技有限公司 | 基于可信身份的证书共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102801532B (zh) | 2015-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088855B2 (en) | System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation | |
| CN109792381B (zh) | 用于存储和分享综合数据的方法和装置 | |
| CN102932149B (zh) | 一种集成ibe数据加密系统 | |
| CN102801532B (zh) | 一种多个数字证书的关联方法和验证方法 | |
| US8988187B2 (en) | Proximity based biometric identification systems and methods | |
| CN111092737B (zh) | 数字证书管理方法、装置及区块链节点 | |
| CN102722931B (zh) | 基于智能移动通讯设备的投票系统及其方法 | |
| KR20190128309A (ko) | 블록체인 기반 디지털 신분증 및 이의 발급과 신원확인 방법 및 시스템 | |
| CN101567780A (zh) | 一种针对加密数字证书的密钥管理与恢复方法 | |
| CN101183439A (zh) | 电子票据处理系统及处理方法 | |
| CN102420690A (zh) | 一种工业控制系统中身份与权限的融合认证方法及系统 | |
| CN110677259B (zh) | 一种电子合同全链路实时公证系统及方法 | |
| US20220020008A1 (en) | Smart Contract-Based Electronic Contract Preservation System | |
| US20190097811A1 (en) | Open, secure electronic signature system and associated method | |
| CN109246055A (zh) | 医疗信息安全交互系统及方法 | |
| Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
| CN114944937A (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
| CN104363217A (zh) | 一种Web系统的CA数字签名认证系统及认证方法 | |
| RU2444063C1 (ru) | Способ голосования с высоконадежной биометрической защитой анонимности голосующего | |
| JP5287727B2 (ja) | 情報通信システム、オーガニゼーション装置およびユーザ装置 | |
| CN104766172A (zh) | 一种可验证的印章取模方法 | |
| CN106487796A (zh) | 身份证阅读机具中的安全加密单元及其应用方法 | |
| CN109359479B (zh) | 证书生成和验证的方法、装置、存储介质及电子设备 | |
| KR20220092748A (ko) | Did 기반의 문서 관리 서버, 블록 체인 서버, 시스템 및 그것의 제어 방법 | |
| KR101303026B1 (ko) | 영업 비밀 원본 증명 서비스 시스템 및 그 시스템의 원본 증명 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |