CN103873237B - 基于pki体系的应用系统相互之间用户公钥证书查询方法 - Google Patents
基于pki体系的应用系统相互之间用户公钥证书查询方法 Download PDFInfo
- Publication number
- CN103873237B CN103873237B CN201210548183.1A CN201210548183A CN103873237B CN 103873237 B CN103873237 B CN 103873237B CN 201210548183 A CN201210548183 A CN 201210548183A CN 103873237 B CN103873237 B CN 103873237B
- Authority
- CN
- China
- Prior art keywords
- certificate
- application system
- user
- public key
- pki
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了基于PKI体系的应用系统相互之间用户公钥证书查询方法,该方法查询时,首先A应用系统通过B应用系统提供的对外数据获取服务,根据B1用户的用户唯一标识信息获得B1用户的证书唯一标识项值,其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息,再利用已经获取到的B1用户证书唯一标识项值,在证书服务器中找到B1用户的签名公钥证书或加密公钥证书。该方法对原有系统改动小且能够实现多个应用系统之间用户公钥证书的互查。
Description
技术领域
本发明属于计算机和信息安全技术领域,具体涉及基于PKI体系的局域网或专网应用系统相互之间用户公钥证书查询方法。
背景技术
随着人们对应用系统安全意识的增强,基于PKI体系的应用系统越来越多,基于PKI体系的应用系统之间相互结合的需求也相应产生,在基于PKI体系的应用系统中,很多业务流程都会有业务数据利用证书加密签名、解密验签的需求,但由于不同的应用系统使用的发证系统不同,证书存储方式不同,多个应用系统之间加密签名很难实现在另一系统能解密验签,主要难点还是在于多个应用系统之间用户公钥证书的互相查询不容易实现。
针对上述情况,特别需要一种方法能实现多个应用系统间的用户公钥证书互查,并且支持不同应用系统使用不同发证系统,支持不同应用系统使用不同的证书存放服务器。考虑到对于已经建设好的应用系统的改造,也要求提供的方法尽量少的改动原有系统。
由此,提供一种对原有系统改动小且能够实现多个应用系统间的用户公钥证书互查的方法是本领域亟需解决的问题。
发明内容
本发明针对现有多个应用系统之间用户公钥证书不能互相查询的问题,而提供一种基于PKI体系的应用系统相互之间用户公钥证书查询方法。该方法对原有系统改动小且能够实现多个应用系统之间用户公钥证书的互查。
为了达到上述目的,本发明采用如下的技术方案:
基于PKI体系的应用系统相互之间用户公钥证书查询方法,该方法基于PKI体系的局域网或专网应用系统实施,其包括如下步骤:
(1)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中;
(2)应用系统需要配置所对应的存放证书的证书存储服务器,并将配置信息保存在数据库或配置文件中;
(3)应用系统本身对外提供一种数据获取服务,通过该服务,其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息;
(4)若A应用系统要获取B应用系统中B1用户的加密公钥证书或签名公钥证书,首先A应用系统通过B应用系统提供的对外数据获取服务,根据B1用户的用户唯一标识信息获得B1用户的证书唯一标识项值,其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息,再利用已经获取到的B1用户证书唯一标识项值,在证书存储服务器中找到B1用户的签名公钥证书或加密公钥证书。
在本发明的优选实例中,所述步骤(1)中涉及的用户唯一标识信息可以包括GBK字符集包含的字符信息。
进一步的,所述步骤(1)中涉及的证书唯一标识项值可以包括GBK字符集包含的字符信息。
进一步的,所述步骤(2)中描述的证书存储服务器可以提供基于LDAP协议的查询服务。
进一步的,所述需要相互查询证书的应用系统中的证书存储服务器类型可以不同。
进一步的,所述应用系统对外提供的数据获取服务为基于TCP协议的数据获取服务。
根据上述技术方案得到的本发明能够为所有基于PKI体系的应用系统提供与其它系统互通基于证书的加密签名数据的方法,从而为PKI体系应用系统的广泛使用建立了一个良好的基础。
同时,本发明对原有系统的改动非常小,能够在对对原有系统改动尽可能小的情况下实现多个应用系统间的用户公钥证书互查,大大提高方案的实用性。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1是应用系统内部数据存放模式及多应用之间相互证书查询过程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的基于PKI体系的应用系统相互之间用户公钥证书查询方法,该方法基于PKI体系的局域网或专网应用系统实施。
其中涉及的应用系统都是基于PKI体系,且所有的应用系统相互间网络可以互通。
每个应用系统对所注册的用户都会形成用户唯一标识信息,每个用户都有相应的证书,并且每个证书都有唯一标识项值。对于应用系统中的用户唯一标识信息可以包括GBK字符集包含的字符信息,但是并不限于此,还以包括其他需要的信息。而证书唯一标识项值可以包括GBK字符集包含的字符信息,但是并不限于此,还以包括其他需要的信息。
同时,应用系统将用户的用户唯一标识信息与用户对应证书的唯一标识项值之间形成一一对应关系,并将该对应关系存储在应用系统内置数据库或配置文件中。
每个应用系统中都具有用于存放证书的证书存储服务器,该证书存储服务器可以提供基于LDAP协议的查询服务。每个应用系统对应的证书存储服务器都在局域网或专网内,其它应用系统也可以访问。
为进一步提高本方案的实用性,本发明中需要相互查询证书的应用系统所对应的证书存储服务器的类型可以不同。
为了实现其它应用系统对证书存储服务器的访问,每个应用系统都对本系统对应的存放证书的证书存储服务器进行配置,并将这些配置信息存储在系统内置数据库或配置文件中。
为了实现相互的查询,每个应用系统都具有一对外的查询结构应用系统,通过该查询结构应用系统能够提供一种对外的数据获取服务,通过该服务,其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息。在具体实现方式上,该对外的数据获取服务可以为提供基于TCP协议的服务,但是并不限于此,根据需要同样可以采用其它协议的服务。
据此,本发明在不同应用系统之间相互查询用户公钥证书的过程如下(参见图1):
(1)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中。
如,A系统中用户A1的用户唯一标识信息与A1证书标识对应、A2的用户唯一标识信息与A2证书标识对应等,该对应信息存储在A系统的内置数据库或配置文件中,这样便于后续的查询。
B系统中用户B1的用户唯一标识信息与B1证书标识对应、B2的用户唯一标识信息与B2证书标识对应等,该对应信息存储在B系统的内置数据库或配置文件中,这样便于后续的查询。
(2)应用系统需要配置所对应的存放证书的证书存储服务器,并将配置信息保存在数据库或配置文件中。
如,A系统中配置对应证书存储服务器的目录服务器IP:1.1.1.1、目录服务器端口3306、目录服务器类型:mysql等,由此可知A系统证书存放在mysql服务器中。A系统对证书存储服务器的配置信息保存在数据库或配置文件中,以便查询。
B系统中配置对应证书存储服务器的目录服务器IP:1.1.1.2、目录服务器端口389、目录服务器类型:LDAP等,由此可知B系统证书存放在LDAP服务器中。B系统对证书存储服务器的配置信息保存在数据库或配置文件中,以便查询。
(3)应用系统本身对外提供一种数据获取服务,通过该服务,其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息。
如A系统和B系统都配置对外提供数据获取服务的接口,通过该接口可以实现其它系统根据用户唯一标识信息来获取证书中唯一标识项值,以及获取本应用系统用户证书存放的服务器配置信息。
(4)A系统根据需求查询B系统中B1用户的加密公钥证书或签名公钥证书,具体如下:
如,1、A系统中的业务X需要查询B系统中B1用户的加密公钥证书或签名公钥证书,首先A系统向B系统的对外提供数据获取服务接口发送数据获取请求,即根据B1用户的用户唯一标识信息查询B1用户的证书的唯一标识项值和B系统中存放的证书存储服务器配置信息。
2、B系统根据请求查询到相应的数据,并将B1用户的证书的唯一标识项值和存放的证书存储服务器配置信息返回给A系统。
3、A系统根据获取到的证书存储服务器配置信息访问B系统中存放证书的证书存储服务器,并根据获取到的B1用户的证书的唯一标识项值查找到B1用户相应的加密公钥证书或签名公钥证书,由此完成查询。
由上可知,本发明提供的方案提供的查询方法简便实用。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.基于PKI体系的应用系统相互之间用户公钥证书查询方法,该方法基于PKI体系的局域网或专网应用系统实施,其特征在于,所述方法包括如下步骤:
(1)应用系统在注册用户时将用户唯一标识信息和该用户对应的证书唯一标识项值的对应关系存储在该应用系统内置数据库或配置文件中;
(2)应用系统需要配置所对应的存放证书的证书存储服务器,并将配置信息保存在数据库或配置文件中;
(3)应用系统本身对外提供一种数据获取服务,通过该服务,其它应用系统可获取此系统的用户和证书对应关系信息以及此应用系统的证书存储服务器配置信息;
(4)若A应用系统要获取B应用系统中B1用户的加密公钥证书或签名公钥证书,首先A应用系统通过B应用系统提供的对外数据获取服务,根据B1用户的用户唯一标识信息获得B1用户的证书唯一标识项值,其次再通过B应用系统提供的对外数据获取服务获取B应用系统对应的证书存储服务器配置信息,再利用已经获取到的B1用户证书唯一标识项值,在证书存储服务器中找到B1用户的签名公钥证书或加密公钥证书。
2.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法,其特征在于,所述步骤(1)中涉及的用户唯一标识信息可以包括GBK字符集包含的字符信息。
3.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法,其特征在于,所述步骤(1)中涉及的证书唯一标识项值可以包括GBK字符集包含的字符信息。
4.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法,其特征在于,所述步骤(2)中描述的证书存储服务器可以提供基于LDAP协议的查询服务。
5.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法,其特征在于,所述需要相互查询证书的应用系统中的证书存储服务器类型可以不同。
6.根据权利要求1所述基于PKI体系的应用系统相互之间用户公钥证书查询方法,其特征在于,所述应用系统对外提供的数据获取服务为基于TCP协议的数据获取服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210548183.1A CN103873237B (zh) | 2012-12-17 | 2012-12-17 | 基于pki体系的应用系统相互之间用户公钥证书查询方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210548183.1A CN103873237B (zh) | 2012-12-17 | 2012-12-17 | 基于pki体系的应用系统相互之间用户公钥证书查询方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103873237A CN103873237A (zh) | 2014-06-18 |
CN103873237B true CN103873237B (zh) | 2017-02-08 |
Family
ID=50911387
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210548183.1A Active CN103873237B (zh) | 2012-12-17 | 2012-12-17 | 基于pki体系的应用系统相互之间用户公钥证书查询方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103873237B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105515771A (zh) * | 2016-01-28 | 2016-04-20 | 中国科学院信息工程研究所 | 一种基于离散对数难题构造并关联公钥证书的方法 |
CN107204843B (zh) * | 2017-04-11 | 2020-10-27 | 北京奇艺世纪科技有限公司 | 一种公钥处理方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1162780A2 (en) * | 2000-06-09 | 2001-12-12 | TRW Inc. | System and method for cross directory authentication in a public key infrastructure |
CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
CN101741817A (zh) * | 2008-11-21 | 2010-06-16 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
CN101888415A (zh) * | 2010-06-30 | 2010-11-17 | 创想空间软件技术(北京)有限公司 | 对等网络用户信用系统 |
-
2012
- 2012-12-17 CN CN201210548183.1A patent/CN103873237B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1162780A2 (en) * | 2000-06-09 | 2001-12-12 | TRW Inc. | System and method for cross directory authentication in a public key infrastructure |
CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
CN101741817A (zh) * | 2008-11-21 | 2010-06-16 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
CN101888415A (zh) * | 2010-06-30 | 2010-11-17 | 创想空间软件技术(北京)有限公司 | 对等网络用户信用系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103873237A (zh) | 2014-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Qi et al. | Cpds: Enabling compressed and private data sharing for industrial Internet of Things over blockchain | |
CN109819061B (zh) | 一种在云系统中处理云服务的方法、装置和设备 | |
JP6961960B2 (ja) | 情報処理装置および情報処理方法 | |
Yao et al. | PBCert: Privacy-preserving blockchain-based certificate status validation toward mass storage management | |
CN108460577A (zh) | 学籍档案管理方法、平台及其系统 | |
KR20090068183A (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
CN101493910A (zh) | 一种利用互联网而进行文件签署与交换的方法 | |
CN105472613B (zh) | 认证请求接收方法和系统及用户端和ap | |
CN110417863A (zh) | 生成身份识别码的方法和装置、身份认证的方法和装置 | |
CN106027243A (zh) | 一种电子凭证生成方法、客户端、云平台、授权端和系统 | |
CN106603225B (zh) | 为企业信息服务器提供信息验证的验证方法 | |
CN113094334A (zh) | 基于分布式存储的数字服务方法、装置、设备及储存介质 | |
EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
CN103873237B (zh) | 基于pki体系的应用系统相互之间用户公钥证书查询方法 | |
Giannikos et al. | Towards secure and context-aware information lookup for the Internet of Things | |
Chen | A trust evaluation gateway for distributed blockchain IoT network | |
CN113656839A (zh) | 基于联盟链的电子学位证照管理系统 | |
Fukami et al. | The impact of decentralized identity architecture on data exchange | |
Jian et al. | Internet of things (IOT) cybersecurity based on the hybrid cryptosystem | |
CN111460489A (zh) | 基于ipfs区块链客户永续存储方法 | |
CN105227781A (zh) | 一种移动终端配置的方法及系统 | |
Bush | The resource public key infrastructure (rpki) ghostbusters record | |
CN110247921A (zh) | 一种应用智能合约的投票数据上链方法及其设备 | |
Jia et al. | Cross‐organisational data sharing framework based on blockchain‐probes | |
CN104717309A (zh) | 网络服务提供方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Patentee after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Patentee before: Geer Software Co., Ltd., Shanghai |