CN1306749C - 数字证书跨信任域互通方法 - Google Patents
数字证书跨信任域互通方法 Download PDFInfo
- Publication number
- CN1306749C CN1306749C CNB2003101090562A CN200310109056A CN1306749C CN 1306749 C CN1306749 C CN 1306749C CN B2003101090562 A CNB2003101090562 A CN B2003101090562A CN 200310109056 A CN200310109056 A CN 200310109056A CN 1306749 C CN1306749 C CN 1306749C
- Authority
- CN
- China
- Prior art keywords
- certificate
- gateway
- client
- digital
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000006243 chemical reaction Methods 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 4
- 239000012467 final product Substances 0.000 claims description 4
- 230000009977 dual effect Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000013332 literature search Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Abstract
一种数字证书跨信任域互通方法,属于计算机和信息安全技术领域。本发明采取证书应用网关方法,首先用户在两个信任域之间申请证书,拥有两张数字证书,分别为数字证书a和数字证书b,两张证书均符合X.509V3标准证书格式,并使用相同的私钥构造,分别由两个信任域CA签发,然后通过证书应用网关实现证书转换、数据转发,即证书应用网关接受用户发出的数字证书a及相对应的SSL协议包,替换数字证书b并将相对应的SSL协议包发送至安全认证网关,从而在安全认证网关之前将用户数字证书a转换为数字证书b,其中由证书应用网关来负责对用户数字证书a的验证。本发明解决上述给证书应用尤其是跨行业互通带来不利的问题,加速数字证书认证系统的推广。
Description
技术领域
本发明涉及的是一种数字证书认证方法,特别是一种数字证书跨信任域互通方法,属于计算机和信息安全技术领域。
背景技术
当前我国PKI信任体系建设,特别是面向公众服务的PKI信任体系建设条块分割问题突出,传统观点就是在互联当中只强调网络身份鉴别一种功能。换句话说,PKI证书只起网络身份证的作用。国家可成立CA管理机构,一方面负责对CA进行安全审查和权威性的审查以及批准建立和撤消;另一方面由它负责指导全国PKI互联问题的解决。实现互联的技术模式主要有三种。第一种模式是全国统一在一个根CA下,其他CA按其重要性和所在的地位可以分别处于二级CA或者三级CA的信任节点上。不同CA的用户通过数字证书同根下的信任链追溯就可以实现相互的认证。第二种模式是采用不同根CA下的交叉认证方式。在这种模式下,不同的CA要对其他CA发的证书的公钥进行数字签名,然后通过对数字签名的认证实现不同CA证书之间的交叉认证。但这种网格状信任链显然要比第一种树状信任链复杂。第三种方式是由国家在不同的CA上面再建一个桥接CA,实现各个CA之间的互相信任关系的连接。这三种模式都各有优点和缺点。但它们仅仅满足网上身份识别这样一种功能,还有一个必须面对的现实是,各行各业网上认证方面可能存在有特殊的要求。如果这种信息需求是不可缺少的,就会给不同行业CA之间进行交互认证带来障碍。
经文献检索发现,数字证书认证系统的研究主要集中在数字证书在单一应用的使用方法上,中国专利申请号:00123530.3,名称:通用电子信息网络认证系统及方法。该专利提供了为用户创建的电子信息提供网络签名及相应的签名验证,但没有考虑到目前多应用及如何实现一张证书跨应用互通等实际环境。
发明内容
本发明针对背景技术中存在的不足和缺陷,提供一种数字证书跨信任域互通方法,使其在提供证书信任服务的同时,证书能囊括实体的各种应用信息,满足应用对实体信息的不同要求,从而在CA互联中能够同时满足应用的实际需求,解决上述给证书应用尤其是跨信任域互通带来不利的问题,加速数字证书认证的推广。
本发明是通过以下技术方案实现的,本发明采取证书应用网关方法,首先用户在两个信任域之间申请证书,拥有两张数字证书,分别为数字证书a和数字证书b,两张证书均符合X.509V3标准证书格式,并使用相同的私钥构造,分别由两个信任域CA签发,然后通过证书应用网关实现证书转换、数据转发,即证书应用网关接受用户发出的数字证书a及相对应的SSL协议包,替换数字证书b并将相对应的SSL协议包发送至安全认证网关,从而在安全认证网关之前将用户数字证书a转换为数字证书b。相当于用户与安全认证网关建立了SSL协议通道,而证书应用网关在中间将证书替换,对通信密钥无影响(证书a和证书b的公钥一样)。其中由证书应用网关来负责对用户数字证书a的验证。而对于应用服务看来,用户是使用数字证书b来登陆,故可利用数字证书b中相对应的应用信息。
以下对本发明作进一步的说明,包含如下内容:
1、信任域之间的证书申请
两个信任域A和信任域B,他们之间有一共同的用户,A已为该用户颁发了一张用户数字证书a,该用户首先到B处申请一张采用X.509V3的数字证书b,这张数字证书b的私钥是用户数字证书a的私钥,这也就是说数字证书a和b均使用同一个公钥来构造,但数字证书a和b中所填写的证书信息根据各自CA的证书策略CPS所决定,同时数字证书b签发完后并不写入用户的证书介质中,而是直接发布至证书发布点,如果写入证书介质,那用户手中看到的就是两张证书。
用户在信任域A中申请了数字证书a后,用户手持信任域A所颁发的证书来使用“一证通”,信任域B还需要颁发证书,这是因为:(1)并非所有的信任域A的证书用户均是信任域B的用户,而且同时信任域B也需要对自己的用户进行管理;(2)信任域B的CPS与信任域A的CPS会有所不同,信任域B所颁发的证书可能会包含更多的本信任域内的应用信息;(3)信任域内的应用出于统一性和方便性,一般只会接受本信任域CA所颁发的证书。
信任域B所颁发的数字证书b与普通的证书有所不同。用户在使用的过程中看不到这张数字证书b,他们使用数字证书a去访问信任域B的应用,而信任域B的应用看到的是数字证书b。用户的身份在访问过程中有一个自动转换的过程,即从信任域A的用户转变为信任域B的用户(应用所限定的)。
证书申请、发放的流程可有两种方式,一种为用户直接到信任域B处申请证书,另一种则可通过信任域A向信任域B申请证书。但与通常的证书申请流程不同的是用户需要提交数字证书a来证明自己在信任域A中的身份。同时信任域B在证书发布时,数字证书a与数字证书b需要进行捆绑,可通过证书的ID建立对应关系,即通过数字证书a可以在信任域B的证书发布点上找到数字证书b。
2、证书应用网关
证书应用网关是构建在SSLV3协议之上,是在SSL安全认证网关之前将用户数字证书a转换为数字证书b。证书应用网关起到转换证书、数据转发等功能。由客户端访问SSL安全认证网关的SSLV3标准协议流程如下:
(1)客户端与SSL安全认证网关建立连接的时候,首先由客户端发送客户端握手(Client Hello)信息;
(2)SSL安全认证网关收到客户端握手消息后,即响应,发送服务器握手、服务端的证书、客户端证书请求、服务器握手结束(Server Hello Done)信息;
(3)接着,当客户端收到服务器握手结束消息后,即发送客户端证书、客户端密钥交换、服务端证书验证、选择算法列表、客户端结束(finished)信息;
(4)SSL安全认证网关收到服务端结束后,验证客户端证书,验证通过后即响应发出选择算法列表、服务端结束。此时,客户端与SSL安全认证网关握手完成。
(5)这样,客户端即可安全的发送应用请求,由SSL安全认证网关转发给WEB SERVER,WEB SERVER响应后,将结果发送给SSL安全认证网关,SSL安全认证网关便将此结果安全的反馈给客户端,如此交互下去。
证书应用网关中,由客户端通过证书应用网关访问应用的认证网关,具体如下:
(1)客户端与SSL安全认证网关建立连接的时候,首先由客户端发送客户端握手信息;
(2)证书应用网关收到客户端握手消息后,向SSL安全认证网关转发。SSL安全认证网关收到此消息后响应,通过证书应用网关向客户端发送服务器握手、服务端的证书、客户端证书请求、服务器握手结束信息;
(3)接着,当客户端收到服务器握手结束消息后,即发送客户端证书、客户端密钥交换、服务端证书验证、选择算法列表、客户端结束信息;
(4)证书应用网关收到客户端证书消息后,验证证书合法性,验证通过后替换证书,即将数字证书a替换为数字证书b,同时将客户端证书(已替换)、客户端密钥交换、服务端证书验证、选择算法列表、服务端结束信息发送至SSL安全认证网关;
(5)SSL安全认证网关收到服务端结束后,验证客户端证书,验证通过后即响应发出选择算法列表、服务端结束,通过证书应用网关向客户端发送。此时,客户端通过证书应用网关与SSL安全认证网关握手完成。
(6)这样,客户端即可安全的发送应用请求,通过证书应用网关由SSL安全认证网关转发给WEB SERVER,WEB SERVER响应后,将结果发送给SSL安全认证网关,SSL安全认证网关便将此结果安全的反馈给客户端,如此交互下去。
本发明中,证书应用网关方式不需要对应用服务端进行任何改造,而是在安全认证网关之前将用户数字证书a转换为数字证书b。证书应用网关实际上起到一个身份转换的作用,即将一个用户在信任域A中的身份a转换为信任域B中的b,而且对于客户端和应用服务端来说是透明的,不需要参与。
与现有技术相比,通过证书应用网关可非常方便、快速地实现“一证通”,即使用一张证书能够访问不同区域,不同行业的应用。该网关提出了如何提供一种数字证书认证系统中实体证书跨行业互通方法,使其解决上述给证书应用尤其是跨行业互通带来不利的问题,加速数字证书认证系统的推广。
附图说明
图1本发明采用证书应用网关后的证书应用流程图
具体实施方式
如图1所示,为本发明采用证书应用网关后的证书应用流程图,结合本发明的内容提供以下实施例:
以面向公众服务的PKI信任体系建设条块分割问题为例。“块”可理解为地域方面建设的CA,如上海ECA,浙江CA等,“条”可理解为行业方面建设的CA,如CFCA等。假定一个省级的数字证书认证系统为信任域A,工商行业的数字证书认证系统为信任域B。用户在A中已申请了数字证书a。欲使用数字证书a使用工商行业的全国性应用。
首先用户使用数字证书a到信任域B申请了数字证书b,那么他可以通过证书应用网关使用数字证书a登陆工商行业的应用。证书应用网关起到转换证书、数据转发等功能。该网关可放置在区域性CA或区域性行业内,由其负责向全国性行业转发。
实施的具体效果:用户使用数字证书a通过证书应用网关访问安全认证网关,并建立SSL安全连接,证书应用网关转发相应的消息,并且验证数字证书a的合法性,验证通过后将用户数字证书a转换为数字证书b。SSL安全认证网关接受相应消息并作出响应,同时验证数字证书b的合法性。验证通过后即可通过证书应用网关与客户端建立SSL连接,传送数据。客户端使用数字证书a可以访问应用服务器中的应用。本发明在CA互联中能够同时满足应用的实际需求,解决跨信任域互通带来不利的问题,加速数字证书认证的推广。
Claims (5)
1、一种数字证书跨信任域互通方法,其特征在于,采取证书应用网关方法,首先用户在两个信任域之间申请证书,拥有两张数字证书,分别为数字证书a和数字证书b,两张证书均符合X.509V3标准证书格式,并使用相同的私钥构造,分别由两个信任域CA签发,然后通过证书应用网关实现证书转换、数据转发,即证书应用网关接受用户发出的数字证书a及相对应的SSL协议包,替换数字证书b并将相对应的SSL协议包发送至安全认证网关,从而在安全认证网关之前将用户数字证书a转换为数字证书b,其中由证书应用网关来负责对用户数字证书a的验证。
2、根据权利要求1所述的数字证书跨信任域互通方法,其特征是,所述的信任域之间的证书申请,具体如下:
两个信任域A和信任域B,他们之间有一共同的用户,A已为该用户颁发了一张用户数字证书a,该用户首先到B处申请一张采用X.509V3的数字证书b,数字证书a和b均使用同一个公钥来构造,但数字证书a和b中所填写的证书信息根据各自CA的证书策略CPS所决定,同时数字证书b签发完后直接发布至证书发布点,如果写入证书介质,那用户手中看到的就是两张证书。
3、根据权利要求2所述的数字证书跨信任域互通方法,其特征是,证书申请、发放的流程有两种方式,一种为用户直接到信任域B处申请证书,另一种则通过信任域A向信任域B申请证书,但用户需要提交数字证书a来证明自己在信任域A中的身份,同时信任域B在证书发布时,数字证书a与数字证书b必须进行捆绑,通过证书的ID建立对应关系,即通过数字证书a在信任域B的证书发布点上找到数字证书b。
4、根据权利要求1所述的数字证书跨信任域互通方法,其特征是,所述的证书应用网关,是构建在SSLV3协议之上,是在SSL安全认证网关之前将用户数字证书a转换为数字证书b,由客户端访问SSL安全认证网关的SSLV3标准协议流程如下:
(1)客户端与SSL安全认证网关建立连接时,首先由客户端发送客户端握手信息;
(2)SSL安全认证网关收到客户端握手消息后,即响应,发送服务器握手、服务端的证书、客户端证书请求、服务器握手结束信息;
(3)接着,当客户端收到服务器握手结束消息后,即发送客户端证书、客户端密钥交换、服务端证书验证、选择算法列表、客户端结束信息;
(4)SSL安全认证网关收到服务端结束后,验证客户端证书,验证通过后即响应发出选择算法列表、服务端结束,此时,客户端与SSL安全认证网关握手完成;
(5)这样,客户端即可安全的发送应用请求,由SSL安全认证网关转发给WEB SERVER,WEB SERVER响应后,将结果发送给SSL安全认证网关,SSL安全认证网关便将此结果安全的反馈给客户端,如此交互下去。
5、根据权利要求1或4所述的数字证书跨信任域互通方法,其特征是,证书应用网关中,由客户端通过证书应用网关访问应用的认证网关,具体流程如下:
(1)客户端与SSL安全认证网关建立连接的时候,首先由客户端发送客户端握手信息;
(2)证书应用网关收到客户端握手消息后,向SSL安全认证网关转发,SSL安全认证网关收到此消息后响应,通过证书应用网关向客户端发送服务器握手、服务端的证书、客户端证书请求、服务器握手结束信息;
(3)接着,当客户端收到服务器握手结束消息后,即发送客户端证书、客户端密钥交换、服务端证书验证、选择算法列表、客户端结束信息;
(4)证书应用网关收到客户端证书消息后,验证证书合法性,验证通过后替换证书,即将数字证书a替换为数字证书b,同时将已替换的客户端证书、客户端密钥交换、服务端证书验证、选择算法列表、服务端结束信息发送至SSL安全认证网关;
(5)SSL安全认证网关收到服务端结束后,验证客户端证书,验证通过后即响应发出选择算法列表、服务端结束,通过证书应用网关向客户端发送,此时,客户端通过证书应用网关与SSL安全认证网关握手完成;
(6)这样,客户端即可安全的发送应用请求,通过证书应用网关由SSL安全认证网关转发给WEB SERVER,WEB SERVER响应后,将结果发送给SSL安全认证网关,SSL安全认证网关将此结果安全反馈给客户端,如此交互下去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101090562A CN1306749C (zh) | 2003-12-04 | 2003-12-04 | 数字证书跨信任域互通方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101090562A CN1306749C (zh) | 2003-12-04 | 2003-12-04 | 数字证书跨信任域互通方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1547341A CN1547341A (zh) | 2004-11-17 |
| CN1306749C true CN1306749C (zh) | 2007-03-21 |
Family
ID=34335000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101090562A Expired - Lifetime CN1306749C (zh) | 2003-12-04 | 2003-12-04 | 数字证书跨信任域互通方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1306749C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10075417B2 (en) | 2016-09-12 | 2018-09-11 | International Business Machines Corporation | Verifying trustworthiness of redirection targets in a tiered web delivery network |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| CN105099679B (zh) * | 2014-05-05 | 2019-02-12 | 中国电子信息产业发展研究院 | 一种应用数字证书认证用户身份的方法及装置 |
| DE102014212443A1 (de) * | 2014-06-27 | 2015-12-31 | Robert Bosch Gmbh | Verringerung des Speicherbedarfs für kryptographische Schlüssel |
| US20180287804A1 (en) * | 2017-04-03 | 2018-10-04 | Microsoft Technology Licensing, Llc | Resilient public key infrastructure for cloud computing |
| CN109995737B (zh) * | 2018-01-02 | 2021-08-10 | 中国移动通信有限公司研究院 | 去中心化的数字证书管理方法及装置、节点、系统 |
| CN111342968B (zh) * | 2018-12-18 | 2023-04-07 | 武汉信安珞珈科技有限公司 | 一种颁发双数字证书的方法和系统 |
| CN111339537B (zh) * | 2018-12-18 | 2023-03-14 | 武汉信安珞珈科技有限公司 | 一种数字证书的检测方法和系统 |
| CN109842626B (zh) * | 2019-02-14 | 2021-07-02 | 众安信息技术服务有限公司 | 分配安全区域访问凭证的方法和装置 |
| CN111049798B (zh) * | 2019-11-11 | 2022-08-09 | 深信服科技股份有限公司 | 一种信息处理方法、装置和计算机可读存储介质 |
| CN113824566B (zh) * | 2021-10-19 | 2022-12-02 | 恒宝股份有限公司 | 证书认证方法、码号下载方法、装置、服务器及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002021464A2 (en) * | 2000-09-11 | 2002-03-14 | Nokia Corporation | System and method of bootstrapping a temporary public -key infrastructure from a cellular telecommunication authentication and billing infrastructure |
| CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
-
2003
- 2003-12-04 CN CNB2003101090562A patent/CN1306749C/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002021464A2 (en) * | 2000-09-11 | 2002-03-14 | Nokia Corporation | System and method of bootstrapping a temporary public -key infrastructure from a cellular telecommunication authentication and billing infrastructure |
| CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10075417B2 (en) | 2016-09-12 | 2018-09-11 | International Business Machines Corporation | Verifying trustworthiness of redirection targets in a tiered web delivery network |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1547341A (zh) | 2004-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107767267B (zh) | 一种虚拟资源的转移方法和装置 | |
| EP2586179B1 (en) | Federation among services for supporting virtual-network overlays | |
| US6367009B1 (en) | Extending SSL to a multi-tier environment using delegation of authentication and authority | |
| US7222107B2 (en) | Method for inter-enterprise role-based authorization | |
| US20040003247A1 (en) | Non-centralized secure communication services | |
| CN1306749C (zh) | 数字证书跨信任域互通方法 | |
| US20030131232A1 (en) | Directory-based secure communities | |
| CN112702402A (zh) | 基于区块链技术实现政务信息资源共享和交换的系统、方法、装置、处理器及其存储介质 | |
| KR20050057416A (ko) | 웹 서비스들 사이의 보안 협정 동적 교섭 | |
| CN101193103A (zh) | 一种分配和验证身份标识的方法及系统 | |
| EP2504772A1 (en) | Binding resources in a shared computing environment | |
| CN102497356A (zh) | 一种互联网药品交易市场公共服务平台集成系统 | |
| CN107135081A (zh) | 一种双证书ca系统及其实现方法 | |
| Fahrenholtz et al. | Transactional security for a distributed reputation management system | |
| Liu et al. | Cross-heterogeneous domain authentication scheme based on blockchain | |
| WO2002007377A2 (en) | Systems and methods for secured electronic transactions | |
| CN114760071A (zh) | 基于零知识证明的跨域数字证书管理方法、系统和介质 | |
| CN1300721C (zh) | 一种对等网络体系结构实现方法 | |
| Zhong et al. | Jointcloud cross-chain verification model of decentralized identifiers | |
| WO2009089697A1 (fr) | Type de plan de réseau, station et procédé pour réaliser un service faisant coopérer des stations multiples sur celui-ci | |
| CN107071016A (zh) | 一种云ac管理平台及其多域认证源管理方法 | |
| CN100512306C (zh) | 一种基于对等计算的服务网络安全体系的访问控制方法 | |
| WO2003046748A1 (en) | Directory-based secure network communities using bridging services | |
| Johnston et al. | A use-condition centered approach to authenticated global capabilities: Security architectures for large-scale distributed collaboratory environments | |
| CN1373423A (zh) | 电子商务信息安全处理系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Assignee: Shanghai best information technology Co.,Ltd. Assignor: SHANGHAI KOAL SOFTWARE Co.,Ltd. Contract record no.: 2010310000166 Denomination of invention: Method for Trust Domain spanning intercommunication of digital certificate Granted publication date: 20070321 License type: Exclusive License Open date: 20041117 Record date: 20100909 |
|
| CX01 | Expiry of patent term |
Granted publication date: 20070321 |
|
| CX01 | Expiry of patent term |