CN108964917B - 一种用户自助式数字证书远程安全管理方法 - Google Patents
一种用户自助式数字证书远程安全管理方法 Download PDFInfo
- Publication number
- CN108964917B CN108964917B CN201710342662.0A CN201710342662A CN108964917B CN 108964917 B CN108964917 B CN 108964917B CN 201710342662 A CN201710342662 A CN 201710342662A CN 108964917 B CN108964917 B CN 108964917B
- Authority
- CN
- China
- Prior art keywords
- certificate
- self
- service
- management
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及用户数字证书的管理方法,公开了一种用户自助式数字证书远程安全管理方法。目前企业在延长数字证书有效期或者更新证书时,需将智能密钥提交到CA中心,由管理人员重新对证书进行签名。这种方式不仅步骤繁琐、操作周期长,而且增加了CA系统管理人员的工作负担,不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。本发明具体实现包括自助服务网关和自助服务终端,优点在于:1)能够实现网络远程管理;2)证书管理请求必须由用户数字证书签名,保s证了管理操作的安全性;3)通信过程全程SSL加密保护,确保了通信过程中敏感数据的安全性。4)符合自助管理策略的管理请求及时处理,节省了管理和时间成本。
Description
技术领域
本发明涉及用户数字证书的管理方法,尤其涉及一种用户自助式数字证书远程安全管理方法。
背景技术
目前企业自建的CA平台大都通过智能密码钥匙或软证书的方式发放数字证书。由于数字证书具有时效性,经常涉及到数字证书的更新操作,以延长数字证书的使用时间。同时因为证书拥有者的身份信息变更(包括:所属部门、工作岗位、职位、邮件地址等)也需要进行数字证书的更新操作。延长数字证书有效期或者更新证书拥有者身份信息需将智能密码钥匙提交到CA中心,由CA中心重新对证书进行签名,重新签名的过程是有CA系统的管理操作人员执行完成的。
这种由CA系统管理操作人员参与的证书管理方式不仅步骤繁琐、操作周期长,而且增加了CA系统管理人员的工作负担,不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。针对传统方法存在的问题,研究并实现了一种新的基于用户现有证书进行用户身份确认、由用户远程安全自助地完成证书管理的方法。
发明内容
本发明的目的是克服现有方法的不足,提供一种用户自助式数字证书远程安全管理方法。其具体实现包括两个组成部分:自助服务网关和自助服务终端。
自助服务网关扩展CA系统的对外服务,作为自助服务终端与CA系统的通信桥梁,为自助服务终端提供远程服务,并向CA系统转发自助管理终端的证书管理请求。CA系统负责确认自助管理网关的身份和自助管理终端的身份,负责验证自助管理请求是否满足管理策略,同时执行CA中心管理任务。自助服务终端负责为证书管理的安全实现提供保障,向自助服务网关发送证书管理请求并对网关返回的数据进行解释和处理,同时执行本地数字证书管理任务。
自助服务网关与CA系统之间,自助服务网关与自助管理终端之间均基于采用双向认证的SSL协议进行通信。CA系统与自助管理终端之间不直接通信,但是会彼此验证交互数据的数字签名。证书管理请求在自助管理终端产生,被用户证书签名后发送到自助服务网关,自助服务网关接收自助管理终端提供的数据后,附加自助服务网关的数据(数据被自助服务网关的服务器证书进行签名)发送到CA系统,CA系统接收管理请求后,验证自助服务器网关身份信息和用户身份信息,然后检测自助管理请求是否满足自助管理策略,如果满足自助服务策略,CA中心执行证书管理操作,并加执行结果签名后经由自助服务网关返回到自助管理终端,自助管理终端根据CA中心返回的自助服务处理结果执行本地证书管理任务。
用户自助式数字证书远程安全管理方法包括如下步骤:
1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法;
2)用户在证书自助管理界面进行证书管理操作,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关;
3)自助服务网关采用SSL协议与CA证书签发服务器进行通信,将接收的信息预处理后发送到CA证书签发服务器;
4)CA证书签发服务器接收管理请求后,按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证;
5)根据验证结果,CA证书签发系统对数字证书进行相应的操作,并将操作结果返回给自助服务网关;
6)自助服务网关将CA返回的信息转发到自助管理终端;
7)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,依据返回的操作结果对用户证书进行相应的操作。
所述的步骤2)中,用户在证书自助管理界面进行的证书管理操作包括:
1)在证书自助管理界面选择证书延期操作;
2)在证书自助管理界面选择证书更新操作,并输入新的证书拥有的身份信息(包括:所属部门、工作岗位、职位、邮件地址等)。
所述的步骤2)中,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关时,采用被更新证书的私钥进行数字签名。
所述的步骤5)中,根据验证结果,CA证书签发系统对数字证书进行相应的操作包括:
1)如果数据签名信息不正确,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;
2)如果被更新的证书状态不正常,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;
3)如果所请求的管理操作和被更新的证书不满足自助管理策略,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;
4)如果上述验证均通过,且证书管理的请求为延期请求,则CA证书签发系统对数字证书进行重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关;
5)如果上述验证均通过,且证书管理的请求为更新请求,则CA证书签发系统对生成新的用户信息,进行证书重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关。
所述的步骤7)中,自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,如果验证失败,则提示用户验证失败结果。如果自助管理终端对返回结果的数字签名验证成功,则进行后续操作,包括两类情况:
1)如果CA中心未成功执行证书管理操作,则提示用户操作失败,并给出问题发生在哪个环节;
2)如果CA中心成功执行了证书管理操作,则自助服务终端安装CA中心返回的已更新的数字证书到智能密码钥匙中,并替换之前的证书,自助管理过程结束。
本发明的优点在于:
1)避免了智能密码钥匙必须物理返回CA管理中心的问题,实现网络远程管理;
2)证书管理请求必须由用户数字证书签名,保证了管理操作的安全性;
3)通信过程全程SSL加密保护,确保了通信过程中敏感数据的安全性。
4)符合自助管理策略的管理请求及时处理,节省了管理成本和时间成本。
附图说明
下面结合附图及实施方式对本发明作进一步详细的说明:
图1为用户自助式数字证书远程安全管理的基本流程。
具体实施方式
在CA中心对外服务区部署并配置自助服务网关,CA系统为自助服务网关颁发SSL服务器证书。CA系统设置自助服务策略,为各种不同的自助管理请求定制管理策略。同时,在网络计算机部署自助服务终端程序,且用户拥有的智能密码钥匙存储的数字证书身份合法,状态有效。
用户自助远程安全更新数字证书的流程包括如下步骤:
1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法。
2)用户在证书自助管理界面选择证书延期操作,自助服务终端将被更新的证书、延期管理请求(采用被更新证书的私钥进行数字签名)发送到自助服务网关;
3)自助服务网关将接收的信息预处理后发送到CA证书签发服务;
4)CA证书签发服务器接收管理请求后,首先验证数据签名信息是否正确,如果签名正确,继续执行5),否则跳转到9);
5)CA证书签发系统继续验证被延期的证书状态是否正常,如果正常,继续执行6),否则跳转到9);
6)CA证书签发系统验证被延期的证书是否满足自助管理策略,如果满足,则继续执行7),否则跳转到9);
7)CA证书签发系统对数字证书进行重签操作,执行证书更新操作;
8)CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关;
9)CA证书签发系统将错误原因签名后返回给自助服务网关;
10)自助服务网关将CA返回的信息转发到自助管理终端;
11)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,如果签名验证失败,则执行14);
12)如果CA中心成功执行了证书延期操作,则自助服务终端安装CA中心返回的已延期的数字证书到智能密码钥匙中,并替换之前的证书,自助更新过程结束;
13)如果CA中心未成功执行证书延期操作,跳转到14);
14)提示用户证书自助延期操作失败,用户根据错误原因执行后续操作。
Claims (5)
1.一种用户自助式数字证书远程安全管理方法,其特征在于包括如下步骤:
1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法;
2)用户在证书自助管理界面进行证书管理操作,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关;
3)自助服务网关采用SSL协议与CA证书签发服务器进行通信,将接收的信息预处理后发送到CA证书签发服务器;
4)CA证书签发服务器接收管理请求后,按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证;
5)根据验证结果,CA证书签发系统对数字证书进行相应的操作,并将操作结果返回给自助服务网关;
所述步骤5)中,根据验证结果,CA证书签发系统对数字证书进行相应的操作包括:1)如果数据签名信息不正确,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;2)如果被更新的证书状态不正常,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;3)如果所请求的管理操作和被更新的证书不满足自助管理策略,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;4)如果上述验证均通过,且证书管理的请求为延期请求,则CA证书签发系统对数字证书进行重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关;5)如果上述验证均通过,且证书管理的请求为更新请求,则CA证书签发系统对生成新的用户信息,进行证书重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关;
6)自助服务网关将CA返回的信息转发到自助管理终端;
7)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,依据返回的操作结果对用户证书进行相应的操作。
2.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤2)中,用户在证书自助管理界面进行的证书管理操作包括:
1)在证书自助管理界面选择证书延期操作;
2)在证书自助管理界面选择证书更新操作,并输入新的证书拥有的身份信息,包括:所属部门、工作岗位、职位、邮件地址。
3.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤2)中,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关时,采用被更新证书的私钥进行数字签名。
4.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤7)中,自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,如果验证失败,则提示用户验证失败结果。
5.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤7)中,如果自助管理终端对返回结果的数字签名验证成功,则进行后续操作,包括两类情况:
1)如果CA中心未成功执行证书管理操作,则提示用户操作失败,并给出问题发生在哪个环节;
2)如果CA中心成功执行了证书管理操作,则自助服务终端安装CA中心返回的已更新的数字证书到智能密码钥匙中,并替换之前的证书,自助管理过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710342662.0A CN108964917B (zh) | 2017-05-17 | 2017-05-17 | 一种用户自助式数字证书远程安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710342662.0A CN108964917B (zh) | 2017-05-17 | 2017-05-17 | 一种用户自助式数字证书远程安全管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108964917A CN108964917A (zh) | 2018-12-07 |
| CN108964917B true CN108964917B (zh) | 2021-05-07 |
Family
ID=64461289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710342662.0A Active CN108964917B (zh) | 2017-05-17 | 2017-05-17 | 一种用户自助式数字证书远程安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108964917B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111376865B (zh) * | 2018-12-29 | 2021-03-16 | 上海银基信息安全技术股份有限公司 | 车辆数字钥匙激活方法、系统及存储介质 |
| CN111556376B (zh) * | 2020-03-23 | 2022-06-14 | 视联动力信息技术股份有限公司 | 数字证书签发方法、装置及计算机可读存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4576210B2 (ja) * | 2003-12-16 | 2010-11-04 | 株式会社リコー | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
| JP4148246B2 (ja) * | 2005-06-30 | 2008-09-10 | ブラザー工業株式会社 | 通信システム、証明書更新装置、証明書更新プログラム、通信装置及び代替更新プログラム |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN102118374A (zh) * | 2009-12-30 | 2011-07-06 | 鸿富锦精密工业(深圳)有限公司 | 数字证书自动更新系统及方法 |
| CN103117987B (zh) * | 2011-11-17 | 2016-08-03 | 航天信息股份有限公司 | 数字证书更新方法 |
| CN102523095B (zh) * | 2012-01-12 | 2015-04-15 | 公安部第三研究所 | 具有智能卡保护的用户数字证书远程更新方法 |
-
2017
- 2017-05-17 CN CN201710342662.0A patent/CN108964917B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108964917A (zh) | 2018-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107911421B (zh) | 用于配置区块链中跨网络通信的方法、设备和计算机存储介质 | |
| US9544300B2 (en) | Method and system for providing device-specific operator data for an automation device in an automation installation | |
| CN108549580B (zh) | 自动部署Kubernetes从节点的方法及终端设备 | |
| CN109150828B (zh) | 一种验证注册方法及系统 | |
| CN103117987B (zh) | 数字证书更新方法 | |
| CN105051627A (zh) | 自动化设备的数字设备证书的更新 | |
| CN103888252A (zh) | 一种基于uid、pid、appid控制应用访问权限方法 | |
| CN102215488A (zh) | 智能手机数字证书的应用方法和系统 | |
| CN111666578A (zh) | 数据管理的方法、装置、电子设备及计算机可读存储介质 | |
| CN110535807B (zh) | 一种业务鉴权方法、装置和介质 | |
| CN104811433A (zh) | 一种c/s架构的分布式物联网解决方案 | |
| EP3232322A1 (en) | Software verifying method and device | |
| CN103164260B (zh) | 用于移动终端的应用程序管理系统及方法 | |
| CN103078932A (zh) | 一种实现通用单点登录的方法、装置和系统 | |
| CN108964917B (zh) | 一种用户自助式数字证书远程安全管理方法 | |
| CN105553920A (zh) | 数据交互方法及装置、系统 | |
| CN110557318B (zh) | 一种实现iot设备安全远程操作的方法 | |
| CN111709012A (zh) | 基于私有链的用户验证方法、装置及计算机设备 | |
| CN109587142A (zh) | 一种面向业务流的数据安全接入模块和设备 | |
| CN105100028A (zh) | 账号管理方法及装置 | |
| US20220150325A1 (en) | Device provisioning in a multi-tenant service | |
| CN105337978A (zh) | 一种基于安全服务阻断的切面权限验证方法及系统 | |
| CN105118100A (zh) | 车载电子标签程序更新方法、移动终端及程序更新系统 | |
| CN108809930B (zh) | 用户权限管理方法及装置 | |
| CN112532649B (zh) | 安全态势管理平台的安全设备入网管理方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |