CN104468104B - 一种基于lra受理点信息的数字证书管理方法及装置 - Google Patents
一种基于lra受理点信息的数字证书管理方法及装置 Download PDFInfo
- Publication number
- CN104468104B CN104468104B CN201310421476.8A CN201310421476A CN104468104B CN 104468104 B CN104468104 B CN 104468104B CN 201310421476 A CN201310421476 A CN 201310421476A CN 104468104 B CN104468104 B CN 104468104B
- Authority
- CN
- China
- Prior art keywords
- certificate
- information
- lra
- user
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种基于LRA受理点信息的数字证书管理方法及装置,其特征在于在用户数字证书的签发以及证书的整个生命周期中对证书进行完善的管理。通过对证书的属性进行扩展,同时在CA中心和LDAP目录服务器中对证书的受理点信息进行有效管理,在证书的整个生命周期中,可以有效地对证书签发时间、签发人等信息进行追溯,为PKI体系的安全管理提供了保障。本发明是对PKI建立一套完善的管理体系的有效补充,也可以满足更多类型的业务需求。同时,应用系统可以通过目录服务器得到完整的有效信息,方便用户使用。
Description
技术领域
本发明涉及网络与信息安全领域中数字证书及其应用技术,特别是涉及数字证书发放和管理的技术和方法。
背景技术
当前基于PKI(Public Key Infrastructure,公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛,用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成。
在PKI体系中注册机构RA(Registration Authority)中心负责证书用户的身份审核、用户基本信息维护、证书管理服务,可以对注册的用户信息进行管理和维护。RA中心是整个CA(Certificate Authority)中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须统一化、规范化,这都可以由RA中心来实现。RA中心在不同的部门设立RA业务终端系统,满足中央/节点的分布式机构对证书业务服务的需要,并支持对未来系统结构的扩展。RA中心的设置可以根据具体行业和业务需求来进行,RA的下级机构可以是RA分中心或业务受理点LRA。受理点LRA与注册机构RA共同组成证书申请、审核、注册中心的整体。LRA面向最终用户,负责对用户提交的申请资料进行录入、审核和证书制作。
轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)目录服务器用于存储对象的各类属性和信息,它定义了一个用来发布目录信息到许多不同资源的协议,使得各种应用可以通过标准接口目录服务器获取相应信息。在PKI领域,LDAP目录服务器主要用于存储和发布CA写入的公钥数字证书和CRL证书注销列表。通过该目录服务器,应用系统可以查询到用户的证书基本属性信息和证书状态。
发明内容
本发明所要解决的技术问题是提供一种用于对负责证书业务的受理点LRA进行有效管理,保证可以对每个受理点发放的证书进行有效管理、识别,并可以根据证书来追溯到是由哪个受理点发放的一种基于LRA受理点信息的数字证书管理方法。
为解决上述技术问题,本发明采用的技术方案为:一种基于LRA受理点信息的数字证书管理方法,其包括以下步骤:在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息;CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理点编号,并存储相关信息;轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之关联的LRA受理点编号信息。
本发明可保障证书发放的安全性和高效的可管理性,对PKI体系进行有效的补充和优化。对用户数字证书的签发以及证书的整个生命周期中对证书进行完善的管理。通过对证书的属性进行扩展,同时在CA中心和LDAP目录服务器中对证书的受理点信息进行有效管理,应用系统在业务需要获取受理点信息时可以便捷安全地获取证书关联的受理点信息。同时在证书的整个生命周期中,可以有效地对证书签发时间、签发人等信息进行追溯,为PKI体系的安全管理提供了保障。在现有的PKI体系中,用户证书签发后CA中心和LDAP均只存储证书的基本信息,应用系统在通过目录服务器进行查询时,只能知道该证书是由哪个CA颁发,是否未注销等基本信息,而无法知道该证书是否由哪个LRA受理点颁发,这导致一些业务需求无法满足,也无法对该证书进行有效的追溯。因此该发明的提出很有必要性,是对PKI建立一套完善的管理体系的有效补充,也可以满足更多类型的业务需求。同时,应用系统可以通过目录服务器得到完整的有效信息,方便用户使用。
本发明还提出了一种基于LRA受理点信息的数字证书管理装置,其包括以下模块:
用于在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息的模块;
用于CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理点编号,并存储相关信息的模块;
用于轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之关联的LRA受理点编号信息的模块。
如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于所述CA中心将该用户的公钥数字证书以及其关联的LRA受理点编号信息写入到数据库中的模块。
如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于CA中心在向LDAP目录服务器发送证书信息时,将证书信息和LRA受理点编号一起发送给LDAP目录服务器的模块。
如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于所述LDAP目录服务器先按照受理点编号建立对应的证书目录,然后将公钥数字证书信息按照其关联的LRA受理点选择对应的目录存储的模块。
附图说明
图1是本发明实施例提供的一种包含证书受理点信息的数字证书属性的示意图。
图2是本发明实施例提供的一种包含证书受理点信息的数字证书成功签发的流程示意图。
具体实施方式
下面结合附图将就本发明中基于受理点信息的证书签发管理方法进行详细说明。
如附图1所示,标准的X.509数字证书包括如下主要属性:
●证书序列号(sn):在每个CA体系中产生的证书,对应的序列号都是唯一的。
●签名算法标识:描述该证书所用的算法,如RSA算法。
●签名者(issuer):描述数字证书由哪个CA签发的信息,对所有国家认可的CA中心,这个信息也是唯一的。
●证书有效期:描述该数字证书生效和失效的日期。
●证书主题(subject):描述数字证书的主题信息,对同一个CA下的用户,这个信息也是唯一的。
●证书扩展选项:用于写入该证书在实际应用时所需要的数据信息。
其中证书扩展选项具有很好的灵活性,在实际应用中,证书使用的具体业务可以根据需要向CA签发机构注册扩展选项。每一种扩展包括三个域:类型、可否缺省、值。类型字段定义了扩展值字段中的数据类型。这个类型可以是简单的字符串,数值,日期,图片或一个复杂的数据类型。可否缺省字段是一比特标识位。当扩展标识为不可缺省时,说明相应的扩展值非常重要,应用程序不能忽略这个信息。如果使用证书的应用程序不能处理该字段的内容,就应该拒绝此证书。扩展值字段包含了这个扩展实际的数据,由使用证书的应用程序来读取使用。
为了对各个LRA受理点发放的证书进行管理和追溯,本发明在证书的扩展选项中加入了授权受理点信息。即证书的一个扩展选项中含有说明该证书由哪个受理点签发。通过在CA中心和目录服务器中对证书和受理点信息进行相应的关联处理和存储。
如图2所示,当用户向一个证书受理点LRA提出数字证书申请时,用户提交证书申请表和用户相关信息,证书受理点的管理员根据用户提出的申请进行初审。当符合条件时,由录入人员将申请信息录入证书注册机构RA中心,证书注册审核(RA)的管理员对申请信息进行审核,RA管理员审核通过后,RA中心根据该用户信息和LRA受理点信息,生成相应的证书请求向CA签发机构申请该用户证书。RA中心发送的证书请求中包含审核该用户信息的LRA受理点编号信息,CA中心收到该证书请求后签发用户证书,并将该证书的扩展信息中LRA受理点编号信息提取出存入数据库。
当CA中心向LDAP目录服务器发布该CA的公钥数字证书和CRL证书注销列表时,CA中心将公钥数字证书和与之关联的LRA受理点编号信息发送到LDAP目录服务器,LDAP目录服务器按照受理点编号建立相应的证书目录,然后将公钥数字证书信息按照其关联的LRA受理点选择对应的目录进行存储。
当应用系统在需要查询证书相关信息时,通过相应的查询接口向LDAP目录服务器发送查询请求,目录服务器返回该证书相关信息,从而应用系统可以得到该证书是由哪个LRA受理点发布的详细信息。
下面具体说明本发明的实施方式:
实施方式1,用户向一个证书受理点LRA提出数字证书申请
1)用户提交证书申请表和用户相关信息;
2)证书受理点的管理员根据用户提出的申请进行初审;
3)当符合条件时,由录入人员将申请信息录入证书注册中心RA,否则不予录入;
4)证书注册审核的管理员对申请信息进行审核;
5)若审核未通过,则管理员对该申请信息给予拒绝,若审核通过,RA中心根据该用户信息和LRA受理点信息,生成相应的证书请求并发送到CA中心;
6)CA中心根据证书请求生成用户证书,并在该证书的扩展选项中写入LRA受理点编号信息;
7)CA中心把生成的用户证书发送给RA中心;
8)CA中心将该用户的公钥数字证书以及其关联的LRA受理点编号信息写入到数据库中;
9)CA中心将公钥数字证书和与之关联的LRA受理点编号信息发送到LDAP目录服务器;
10)LDAP目录服务器按照受理点编号建立对应的证书目录;
11)LDAP目录服务器将公钥数字证书信息按照其关联的LRA受理点选择对应的目录存储。
实施方式2,应用系统向目录服务器查询证书信息
1)应用系统向LDAP目录服务器申请建立通信连接;
2)LDAP目录服务器验证该应用系统是否是合法用户;
3)若不合法,则给予拒绝连接;若合法则允许该应用系统与目录服务器建立连接;
4)应用系统向LDAP目录服务器发送证书查询请求;
5)目录服务器返回该证书相关信息,包括该证书是否有效、由哪个LRA受理点审核;
6)应用系统获取自己需要的相关证书,则完成一次证书信息查询。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干可以预期的改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (4)
1.一种基于LRA受理点信息的数字证书管理方法,其包括以下步骤:
在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息;
CA中心签发其扩展选项中包含其关联的LRA受理点编号的用户证书,并将所述用户证书以及其关联的LRA受理点编号信息写入数据库,其中,所述用户证书是公钥数字证书;
CA中心在向轻量级目录访问协议LDAP目录服务器发送证书信息时,将证书信息和LRA受理点编号一起发送给LDAP目录服务器;
所述LDAP目录服务器按照受理点编号建立对应的证书目录,并存储用户证书信息和与之关联的LRA受理点编号信息。
2.根据权利要求1所述的一种基于LRA受理点信息的数字证书管理方法,还包括:所述LDAP目录服务器将公钥数字证书信息按照其关联的LRA受理点选择对应的目录存储。
3.一种基于LRA受理点信息的数字证书管理装置,其包括以下模块:
用于在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息的模块;
用于在CA中心签发其扩展选项中包含其关联的LRA受理点编号的用户证书,并将所述用户证书以及其关联的LRA受理点编号信息写入数据库的模块,其中,所述用户证书是公钥数字证书;
用于在CA中心向轻量级目录访问协议LDAP目录服务器发送证书信息时,将证书信息和LRA受理点编号一起发送给LDAP目录服务器的模块;
用于使所述LDAP目录服务器按照受理点编号建立对应的证书目录,并存储用户证书信息和与之关联的LRA受理点编号信息。
4.根据权利要求3所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于所述LDAP目录服务器将公钥数字证书信息按照其关联的LRA受理点选择对应的目录存储的模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310421476.8A CN104468104B (zh) | 2013-09-16 | 2013-09-16 | 一种基于lra受理点信息的数字证书管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310421476.8A CN104468104B (zh) | 2013-09-16 | 2013-09-16 | 一种基于lra受理点信息的数字证书管理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104468104A CN104468104A (zh) | 2015-03-25 |
CN104468104B true CN104468104B (zh) | 2018-08-24 |
Family
ID=52913538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310421476.8A Active CN104468104B (zh) | 2013-09-16 | 2013-09-16 | 一种基于lra受理点信息的数字证书管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104468104B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1352434A (zh) * | 2001-11-29 | 2002-06-05 | 上海维豪信息安全技术有限公司 | 基于信任与授权服务的电子政务安全平台系统 |
CN102255732A (zh) * | 2011-08-31 | 2011-11-23 | 公安部第三研究所 | 一种基于智能密码钥匙的安全发证方法 |
CN102883321A (zh) * | 2012-09-21 | 2013-01-16 | 哈尔滨工业大学深圳研究生院 | 一种面向移动微技的数字签名认证方法 |
-
2013
- 2013-09-16 CN CN201310421476.8A patent/CN104468104B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1352434A (zh) * | 2001-11-29 | 2002-06-05 | 上海维豪信息安全技术有限公司 | 基于信任与授权服务的电子政务安全平台系统 |
CN102255732A (zh) * | 2011-08-31 | 2011-11-23 | 公安部第三研究所 | 一种基于智能密码钥匙的安全发证方法 |
CN102883321A (zh) * | 2012-09-21 | 2013-01-16 | 哈尔滨工业大学深圳研究生院 | 一种面向移动微技的数字签名认证方法 |
Non-Patent Citations (1)
Title |
---|
"商业银行自建RA系统开发";王强;《中国优秀硕士学位论文全文数据库信息科技辑》;20060918;4.2.2 系统结构-4.2.5 系统功能说明 * |
Also Published As
Publication number | Publication date |
---|---|
CN104468104A (zh) | 2015-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107566117B (zh) | 一种区块链密钥管理系统及方法 | |
CN109522735B (zh) | 一种基于智能合约的数据权限验证方法及装置 | |
CN113271211B (zh) | 一种数字身份验证系统、方法、电子设备及存储介质 | |
CN102420690B (zh) | 一种工业控制系统中身份与权限的融合认证方法及系统 | |
CN106453222B (zh) | 基于ela电子证照节点网络系统的电子证照管理方法 | |
CN109617698A (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
Al-Khouri | PKI in government digital identity management systems | |
CN108696348A (zh) | 一种实现ca互信的方法、装置、系统和电子设备 | |
CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
CN101493910A (zh) | 一种利用互联网而进行文件签署与交换的方法 | |
JP2007110377A (ja) | ネットワークシステム | |
CN107277079A (zh) | 一种面向混合云的跨云用户认证系统 | |
CN102857501A (zh) | 一种用户身份认证系统及其认证方法 | |
CN108763967A (zh) | 获取设备证书的系统、方法、装置及存储介质 | |
CN114666168B (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
CN103077461B (zh) | 使用移动通信装置申请金融凭证的系统及其方法 | |
CN108449325A (zh) | 一种基于身份密码的区块链认证方法、设备及存储设备 | |
CN110516417A (zh) | 一种智能合约的权限验证方法及装置 | |
CN112507300A (zh) | 基于eID的电子签名系统及电子签名验证方法 | |
CN114944937B (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
CN109978479A (zh) | 一种电子发票报销方法、装置、数据共享服务器及系统 | |
JP2009205230A (ja) | 認証・認可システム、認証・認可方法 | |
CN102647296B (zh) | 一种基于权限设置的业务注册方法 | |
CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
CN104363217A (zh) | 一种Web系统的CA数字签名认证系统及认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |