CN103117987B - 数字证书更新方法 - Google Patents
数字证书更新方法 Download PDFInfo
- Publication number
- CN103117987B CN103117987B CN201110364952.8A CN201110364952A CN103117987B CN 103117987 B CN103117987 B CN 103117987B CN 201110364952 A CN201110364952 A CN 201110364952A CN 103117987 B CN103117987 B CN 103117987B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- certificate
- center
- security terminal
- user security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种数字证书更新方法,其包括:用户安全终端获取注册机构中心的服务器证书信息;用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向认证机构中心发送更新数字证书的证书申请;用户安全终端接收到来自认证机构中心的新的数字证书。本发明采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。
Description
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种数字证书更新方法。
背景技术
公钥基础设施(PublicKeyInfrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的密钥管理平台。该技术广泛应用于网上银行、电子商务、电子政务等领域。一个完整地PKI系统是由认证机构(CertificationAuthority,简称CA)、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构在PKI系统中居于核心地位。
CA中心又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。
注册机构(RegistrationAuthority,简称RA)中心是CA功能的延伸,其负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。RA中心是整个CA中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须遵循统一化和规范化,这些业务都可以由RA中心来实现。
用户安全终端是用户用于在网上电子签名和数字认证的工具,用户安全终端通常使用内置安全芯片,采用1024位或者2048位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。用户安全终端存储着用户的私钥以及数字证书,利用其内置的公钥算法实现对用户身份的认证,同时通过内置的安全芯片也保证了用户证书的私钥无法被复制或者导出。例如网上银行用户、电子商务网站或者移动终端的用户所使用的USB-KEY、SD-KEY就是常用的安全终端。
目前,国内所使用的数字证书更新都采用用户通过网络或者到CA管理机构服务地点提出证书更新申请,由CA管理机构审核通过后通过网络或者寄发信件的方式向用户提供下载新的数字证书的参考码和授权码,用户再通过网络登陆到证书下载网址,输入得到的参考码和授权码从而将新的数字证书下载到自己的安全终端中。例如:各种银行网银、电子商务网站的数字证书更新均采用这种方式。采用这种证书更新技术在一定程度上增加了用户操作的繁琐度,也给CA管理机构带来了很多工作量,特别当出现用户集中进行数字证书更新时,例如在电子政务系统中极易出现年底用户大规模更新证书的情况,在这种情况下很容易出现用户集中发出申请造成等待时间较长,同时证书服务器系统需要对用户登录后的信息校验并提高证书下载,服务器压力较大,容易出现无法及时进行证书更新的情况。
发明内容
为解决上述问题,本发明提供一种数字证书更新方法,包括:
用户安全终端获取注册机构中心的服务器证书信息;用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向认证机构中心发送更新数字证书的证书申请;用户安全终端接收到来自认证机构中心的新的数字证书。
其中,在用户安全终端获取注册机构中心的服务器证书信息之前,该方法还包括:用户安全终端对待更新的数字证书进行初始验证,该初始验证包括对待更新的数字证书的有效期进行验证;若验证通过,则用户安全终端与注册机构中心建立安全连接。
其中,用户安全终端对待更新的数字证书进行初始验证,还包括:验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。
其中,用户安全终端获取注册机构中心的服务器证书信息,包括:用户安全终端通过安全连接获取注册机构中心的服务器证书信息。
其中,用户安全终端通过注册机构中心向认证机构中心发送更新数字证书的证书申请,包括:注册机构中心验证待更新的数字证书是否有更新的权限,若验证该数字证书有更新权限,则用户安全终端向注册机构中心发送更新数字证书的证书申请;注册机构中心与认证机构中心建立安全连接,并将更新数字证书的证书申请发送至认证机构中心。
其中,注册机构中心通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。
其中,在认证机构中心接收到更新数字证书的证书申请之后,该方法还包括:认证机构中心生成新的数字证书,并将新的数字证书通过注册机构中心发送至用户安全终端。
其中,在认证机构中心生成新的数字证书之后,该方法还包括:认证机构中心向目录服务器发送旧的数字证书的注销信息。
其中,用户安全终端接收到来自认证机构中心的新的数字证书之后,该方法还包括:用户安全终端安装新的数字证书,并删除旧的数字证书。
与现有技术相比,根据本发明的技术方案,通过采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的数字证书更新方法的流程图;
图2是本发明实施例的数字证书更新方法的优选处理方案的流程图。
具体实施方式
本发明适用于解决基于用户安全终端的数字证书用户(如网上银行、电子商务、电子政务等领域的用户)对自身的证书进行自助更新的领域。
为使本发明的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本发明作进一步地详细说明。
根据本发明的实施例,提供了一种数字证书更新方法。图1是本发明实施例的数字证书更新方法的流程图,如图1所示,该方法包括:
步骤S102,用户安全终端获取RA(注册机构)中心的服务器证书信息;
步骤S104,用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该RA中心相关联的CA(认证机构)中心颁发的数字证书,若验证通过,则通过RA中心向CA中心发送数字证书的证书申请;
步骤S106,用户安全终端接收到来自CA中心的新的数字证书。
下面结合图2详细描述上述各处理的过程。图2是本发明实施例的数字证书更新方法的优选处理方案的流程图。在图2所示的实施例中,对用户安全终端进行数字证书更新的PKI系统包括:RA中心、CA中心以及目录服务器。如图2所示,该方法具体包括:
步骤S202,首先,用户通过用户安全终端提出数字证书更新申请,用户安全终端根据用户提出的申请进行初始校验。该校验的内容包括:检验用户安全终端中的数字证书是否在有效期内,并且初始验证的内容还可以包括:验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。
步骤S204,若步骤S202中的验证通过,则用户安全终端与RA中心建立安全连接,优选地,该安全连接的方式为安全套接层(SecureSocketsLayer,简称SSL)连接;若验证失败,则不建立连接,并向用户返回拒绝消息。
步骤S206,在用户安全终端与RA中心建立SSL连接之后,用户安全终端获取注册机构中心的服务器证书信息,并根据该服务器证书信息对待更新的数字证书进行第二次验证,验证的内容包括:根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书。
步骤S208,若步骤S206中的验证通过,则用户安全终端向RA中心发送更新数字证书的证书申请;若验证失败,向用户返回拒绝消息。
通过采用步骤S202和S206中的用户安全终端两次自动校验审核证书的方法,减少CA管理机构的工作量,保障了CA管理机构能够高效正确地更新用户的数字证书,确保了在网络中用户更新数字证书的安全性。并且,在用户的证书过期之前用户可以通过自己的安全终端远程自助更新证书,避免用户需要进行繁琐的申请更新流程进行更新,方便用户使用。
步骤S210,RA中心接收到来自用户安全终端的更新数字证书的证书申请后,验证待更新的数字证书是否有更新的权限。具体的验证方式可以是:通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。
步骤S212,若步骤S210的验证结果为该数字证书有更新权限,则RA中心向用户安全终端返回允许更新的信息。
步骤S214,用户安全终端向RA中心发送数字证书的证书申请;
步骤S216,RA中心接收到证书申请后与CA中心建立安全连接,并将证书申请发送至CA中心。优选地,该安全连接的方式为SSL连接。由于RA中心之前已经验证该证书的有效性,因此直接自动审核通过。
步骤S218,CA中心生成新的数字证书。
步骤S220,CA中心将新的数字证书发送至RA中心,同时注销本地旧的数字证书。
步骤S222,CA中心向目录服务器发送旧的数字证书的注销信息。
步骤S224,RA中心接收到新的数字证书后转发至用户安全终端。
步骤S226,用户安全终端安装接收的新的数字证书,并删除旧的数字证书。当数字证书进行更新后,用户会得到新的证书来代替原来旧的证书,新证书和旧证书中除了证书的有效期、序列号变化外,其余内容如证书主题、扩展信息等等都不会改变,这样就确保用户数字证书使用的延续性,同时CA中心对用户旧证书的即时注销删除,也保证了用户信息的保密性。
数字证书更新流程结束。
综上所述,根据本发明的上述技术方案,通过采用用户安全终端自动校验审核证书的方法,减少CA管理机构的工作量,保障了CA管理机构能够高效正确地更新用户的数字证书,也确保了在网络中用户更新数字证书的安全性。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (8)
1.一种数字证书更新方法,其特征在于,包括:
用户安全终端获取注册机构中心的服务器证书信息;
所述用户安全终端根据所述服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书,若验证通过,则通过注册机构中心向所述认证机构中心发送更新数字证书的证书申请;
所述用户安全终端接收到来自所述认证机构中心的新的数字证书;
其中,所述用户安全终端获取所述注册机构中心的服务器证书信息之前,所述用户安全终端根据用户提出的申请对待更新的数字证书进行初始验证,若验证通过,则所述用户安全终端与所述注册机构中心建立安全连接;
在所述用户安全终端与所述注册机构中心建立安全连接之后,用户安全终端通过所述安全连接获取注册机构中心的服务器证书信息;
所述用户安全终端通过注册机构中心向所述认证机构中心发送更新数字证书的证书申请,包括:所述注册机构中心验证待更新的数字证书是否有更新的权限,若验证该数字证书有更新权限,则所述用户安全终端向所述注册机构中心发送更新数字证书的证书申请。
2.根据权利要求1所述的方法,其特征在于,所述初始验证包括对待更新的数字证书的有效期进行验证。
3.根据权利要求1所述的方法,其特征在于,所述用户安全终端对待更新的数字证书进行初始验证,还包括:
验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。
4.根据权利要求1所述的方法,其特征在于,所述用户安全终端通过注册机构中心向所述认证机构中心发送更新数字证书的证书申请,还包括:
所述注册机构中心与所述认证机构中心建立安全连接,并将更新数字证书的证书申请发送至所述认证机构中心。
5.根据权利要求4所述的方法,其特征在于,所述注册机构中心通过验证待更新的数字证书的序列号,验证该数字证书是否有更新权限。
6.根据权利要求4所述的方法,其特征在于,在所述认证机构中心接收到更新数字证书的证书申请之后,所述方法还包括:
所述认证机构中心生成新的数字证书,并将新的数字证书通过所述注册机构中心发送至所述用户安全终端。
7.根据权利要求6所述的方法,其特征在于,在所述认证机构中心生成新的数字证书之后,所述方法还包括:
所述认证机构中心向目录服务器发送旧的数字证书的注销信息。
8.根据权利要求1所述的方法,其特征在于,所述用户安全终端接收到来自所述认证机构中心的新的数字证书之后,所述方法还包括:
所述用户安全终端安装新的数字证书,并删除旧的数字证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110364952.8A CN103117987B (zh) | 2011-11-17 | 2011-11-17 | 数字证书更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110364952.8A CN103117987B (zh) | 2011-11-17 | 2011-11-17 | 数字证书更新方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103117987A CN103117987A (zh) | 2013-05-22 |
| CN103117987B true CN103117987B (zh) | 2016-08-03 |
Family
ID=48416262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110364952.8A Active CN103117987B (zh) | 2011-11-17 | 2011-11-17 | 数字证书更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103117987B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106921481A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种基于pki的租户划分及权限认证的系统和方法 |
| CN106936577B (zh) * | 2015-12-29 | 2020-11-03 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
| CN108964917B (zh) * | 2017-05-17 | 2021-05-07 | 北京安软天地科技有限公司 | 一种用户自助式数字证书远程安全管理方法 |
| CN107171814A (zh) * | 2017-07-26 | 2017-09-15 | 恒宝股份有限公司 | 一种数字证书更新方法及装置 |
| CN112385179A (zh) * | 2018-06-26 | 2021-02-19 | Bbva下一代技术有限责任公司 | 用于监视数字证书的方法 |
| EP3624413A1 (de) * | 2018-09-13 | 2020-03-18 | Siemens Aktiengesellschaft | Automatisiertes zertifikatsmanagement für automatisierungsanlagen |
| CN109784955A (zh) * | 2019-02-22 | 2019-05-21 | 广州番禺职业技术学院 | 自主招生技能证书审核系统 |
| CN110737920B (zh) * | 2019-09-25 | 2021-11-09 | 哈尔滨哈工智慧嘉利通科技股份有限公司 | 一种数字证书管控方法、装置和注册审核服务器 |
| CN110635915B (zh) * | 2019-09-29 | 2022-05-27 | 杭州尚尚签网络科技有限公司 | 一种基于多ca的高并发数字证书注册管理方法 |
| CN111342970B (zh) * | 2019-12-27 | 2023-03-28 | 航天信息股份有限公司 | 一种数字证书管理方法及系统 |
| CN113259108A (zh) * | 2020-02-10 | 2021-08-13 | 上海艾拉比智能科技有限公司 | 证书更新方法、物联网平台及物联网设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136743A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种数字证书更新方法及系统 |
| CN101521883A (zh) * | 2009-03-23 | 2009-09-02 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118374A (zh) * | 2009-12-30 | 2011-07-06 | 鸿富锦精密工业(深圳)有限公司 | 数字证书自动更新系统及方法 |
-
2011
- 2011-11-17 CN CN201110364952.8A patent/CN103117987B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136743A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种数字证书更新方法及系统 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN101521883A (zh) * | 2009-03-23 | 2009-09-02 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103117987A (zh) | 2013-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103117987B (zh) | 数字证书更新方法 | |
| KR101105121B1 (ko) | 진정문서의 전달, 저장 및 회복에 대한 시스템 및 방법 | |
| CN100495963C (zh) | 一种公钥证书状态的获取及验证方法 | |
| CN101647254B (zh) | 用于为终端设备提供服务的方法和系统 | |
| CN101183932B (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
| KR100925329B1 (ko) | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 | |
| US8621206B2 (en) | Authority-neutral certification for multiple-authority PKI environments | |
| RU2515809C2 (ru) | Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи | |
| US20060282670A1 (en) | Relying party trust anchor based public key technology framework | |
| US20100138907A1 (en) | Method and system for generating digital certificates and certificate signing requests | |
| JP2008022526A (ja) | 属性証明書検証方法、属性認証局装置、サービス提供装置、および属性証明書検証システム | |
| CN107820689A (zh) | 将认证密钥分发给应用程序安装 | |
| CN100561919C (zh) | 一种宽带接入用户认证方法 | |
| JP2002335239A (ja) | シングルサインオン認証方法及びシステム装置 | |
| JP2007110377A (ja) | ネットワークシステム | |
| US20080209207A1 (en) | Automated certificate provisioning for non-domain-joined entities | |
| CN110324335A (zh) | 一种基于电子移动证书的汽车软件升级方法及系统 | |
| CN106921481A (zh) | 一种基于pki的租户划分及权限认证的系统和方法 | |
| CN101136098A (zh) | 一种访问证书吊销列表的方法、装置和系统 | |
| JP2023503607A (ja) | 自動デジタル証明書検証のための方法およびデバイス | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP2000196583A (ja) | 同報通信システム | |
| WO2023021572A1 (ja) | データ処理システム、データ処理方法及びデータ処理装置 | |
| CN107171814A (zh) | 一种数字证书更新方法及装置 | |
| CN114978698B (zh) | 网络接入方法、目标终端、凭证管理网元及验证网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |