CN101777980B - 一种数字证书扩展项信息保护方法 - Google Patents
一种数字证书扩展项信息保护方法 Download PDFInfo
- Publication number
- CN101777980B CN101777980B CN2009102478549A CN200910247854A CN101777980B CN 101777980 B CN101777980 B CN 101777980B CN 2009102478549 A CN2009102478549 A CN 2009102478549A CN 200910247854 A CN200910247854 A CN 200910247854A CN 101777980 B CN101777980 B CN 101777980B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- information
- key
- expansion
- kmc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明的目的在于公开一种数字证书扩展项信息保护方法,通过密钥管理中心针对数字证书中扩展项信息里的不同类型信息分别加密,加密所用的密钥由密钥管理中心统一管理;当用户需要使用到数字证书中具体某项类型的信息时,需要用专门的密码卡来读取信息,避免来个人信息被滥用,解决现有数字证书在使用过程中将数字证书中不必要的扩展项信息暴露的问题,加强数字证书扩展项信息的安全,实现本发明的目的。
Description
技术领域
本发明专利涉及一种计算机信息安全领域的信息保护方法,特别涉及一种适用于PKI***中对数字证书扩展项所含信息进行保护的数字证书扩展项信息保护方法。
背景技术
随着大规模网络的发展,数据涉及局域网、广域网、Internet等,数据安全性问题越来越突出。数据的安全性、保密性、真实性、完整性,成为人们关注的焦点。
为解决网络数据安全问题,世界各国纷纷开展了以公开密钥加密技术为基础的公钥基础设施的研究和应用。PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心CA,把用户的公钥和其他标识信息(如名称、Email等)绑定在一起,从而验证用户的身份。目前比较常用的办法是以RSA公钥为基础,建立PKI基础上的数字证书,通过把传输的数据信息进行RSA加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,确保信息在网络上的安全传输。
在大多数场合下,普遍被接受的证书格式是由ITU-T定义的X.509国际标准,该标准为公钥证书定义了一个框架,即规定了与每个用户联系的公钥证书规范,用于绑定用户信息和公钥,还包括对那些已发出并且不应该再被信任的证书的撤销的相关规范。
目前通用的X.509国际标准已经是V3版本,其扩展项包含有密钥和策略信息、主体和签发者信息、证书路径约束、证书撤销列表识别等,其结构如图1所示。如果证书仅仅采用左边所列的几个基本字段,不能满足设计和实际的需求。比如,向公钥用户传递密钥拥有者身份的话,主体名称字段是不充分的,X.509的名称可能相对较短,缺少用户需要的明显的身份细节。另外,某些安全应用如IPSec需要将证书和特定策略关联起来,所以需要制定安全策略信息。因此,在证书的设计中,加入了扩展项,使证书的使用更加灵活。
同时,证书内容的灵活也带来了不安全性。X.509V3证书格式还允许***为传递特有信息而自定义扩展。这些特定信息的用户对象应该是特定的而不应该是对所有被认证中心CA认证的用户。
当数字证书被广泛使用后,其扩展项信息也被广泛流传。而很多情况下,用户对数字证书的使用只限于验证数字证书用户的身份,或者用户所关心的只是某一部分的扩展项信息而非全部,而数字证书的扩展项相对于数字证书本身是不加密的。对于下载数字证书的用户来说,数字证书拥有者的一些个人信息是透明的,如果将扩展项信息完全展现就造成了数字证书所含个人信息不必要的暴露,造成个人信息的泄密。
发明内容
本发明的目的在于提供一种数字证书扩展项信息保护方法,解决现有数字证书在使用过程中将数字证书中不必要的扩展项信息暴露的问题,加强数字证书扩展项信息的安全。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种数字证书扩展项信息保护方法,其特征在于,它包括如下步骤:
(1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标识符;
(2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对;
(3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信息提取出来;
(4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分别加密;
(5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私钥签发数字证书。
在本发明的一个实施例中,数字证书签发后发布在目录服务器的目录树中,并同时将结果反馈给用户。
在本发明的一个实施例中,如果需要得知数字证书中的扩展信息,需要获取对应的扩展项信息的密钥并进行读取。
本发明的数字证书扩展项信息保护方法,通过密钥管理中心针对数字证书中扩展项信息里的不同类型信息分别加密,加密所用的密钥由密钥管理中心统一管理;当用户需要使用到数字证书中具体某项类型的信息时,需要用专门的密码卡来读取信息,避免来个人信息被滥用,实现本发明的目的。
本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。
附图说明
图1为现有的国际数字证书格式标准X.509的V3版本的结构示意图;
图2为本发明的数字证书扩展项信息保护方法实现结构的示意图;
图3为本发明的数字证书扩展项信息保护方法的流程示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
实施例
本发明的数字证书扩展项信息保护方法,它包括如下步骤:
(1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标识符;
(2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对;
(3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信息提取出来;
(4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分别加密;
(5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私钥签发数字证书。
本发明的数字证书扩展项信息保护方法分两部分的工作:加密前的准备工作和加密扩展项信息过程。
加密前的准备工作
包括认证中心CA、密钥管理中心KMC和其他通信终端的初始化,过程如图2所示。密钥管理中心KMC保存的内容是数字证书中扩展项信息的类型及与其相对应的密钥对,一种类型的信息对应一个密钥对,意即不同类型的信息加解密所用的密钥是不一样的;拥有一种密钥的密码卡,只能读取一种类型的信息,这样就避免了信息的滥用。
数字证书中的扩展项信息内容的分类方法由认证中心CA制定,在一个认证中心CA中,数字证书的格式,尤其是扩展项信息格式是统一的。认证中心CA对此统一格式的内容做分类,每一个类别有一标识符。
加密所用的密钥由PKI***中的密钥管理中心KMC管理,密钥管理中心KMC初始化时,针对认证中心CA分类的标识符,生成对应的密钥对。在认证中心CA写数字证书的扩展项信息时,提取密钥管理中心KMC中对应的密钥对信息,加密对应类型信息。
加密扩展项信息
认证中心CA从注册中心RA传来的PKI消息中获得数字证书申请信息,用密钥管理中心KMC提供的密钥对来加密数字证书中扩展项信息的不同类型信息。数字证书中扩展项信息可能含有多种类型的信息,每种类型的信息根据自身的类型标识符分别加密。对于数字证书中扩展项信息,除了存放加密后的信息外,还存放类型的标识符,便于解密装置读取。
处理完扩展项信息后,用认证中心CA的私钥来签发数字证书。具体过程如图3所示。
认证中心CA先将数字证书请求和认证中心CA根证书转换成用ASN.1语法描述的数据结构,然后依次设置版本号和序列号、设置签名字段、设置数字证书发行者、设置数字证书主体、设置数字证书的有效期、设置数字证书主体公钥、用密钥管理中心KMC提供的不同密钥分别加密扩展项中不同类型的信息,最后完成认证中心CA签名。
至此,认证中心CA可以将证书发布到数字证书及数字证书吊销列表CRL,以备安全服务器下载使用。
例如,在一般PKI***中,具有认证中心CA、注册中心RA、终端实体EE、数字证书及数字证书吊销列表CRL几个模块。为了加强数字证书扩展项的安全性,PKI***增加一个密钥管理中心KMC,用于管理扩展项加解密相关密钥。
数字证书中的扩展项含有不同类型的信息,比如职业、健康状况等,这些信息的使用范围、使用对象均有所不同。特定用户只关心他们会用到的扩展项信息,而不是、也不应该是扩展项全部信息。密钥管理中心KMC存储的就是针对扩展项中不同类型信息的密钥。密钥管理中心KMC的初始化在PKI***初始化阶段完成,主要工作是针对不同的信息类型,生成不同的密钥对。
在初始化后,整个PKI工作的过程如下:
1、key商在key内生成密钥对,并将公钥导出,将公钥数据提交给注册中心RA;
2、用户申领key;
3、认证中心CA根据注册中心RA发来的信息获取签发用户数字证书所需信息,并用密钥管理中心KMC提供的不同密钥对扩展项所含的不同类型信息进行加密。之后,签发用户数字证书,并将用户数字证书发布在目录服务器的目录树中,同时将生成结果反馈给用户;
4、安全服务器访问目录服务器的目录树,获取数字证书及数字证书吊销列表CRL的信息;
5、用户通过key发送的信息传送至安全服务器,安全服务器根据key上的信息在本地证书库中查找用户数字证书及数字证书吊销列表CRL,以确定数字证书是否有效,如果数字证书有效,则取得用户公钥,验证用户签名。
如果安全服务器需要得知用户的扩展项信息,需要使用密码卡获取扩展项信息的密钥,并用专门的证书读写装置读取。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种数字证书扩展项信息保护方法,其特征在于,它包括如下步骤:
(1)认证中心对数字证书中的扩展项信息的内容进行分类,每个类别设置一个标识符;
(2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对;
(3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的扩展项信息提取出来;
(4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥对进行分别加密;
(5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证中心的私钥签发数字证书。
2.如权利要求1所述的数字证书扩展项信息保护方法,其特征在于,数字证书签发后发布在目录服务器的目录树中,并同时将结果反馈给用户。
3.如权利要求1所述的数字证书扩展项信息保护方法,其特征在于,如果需要得知数字证书中的扩展项信息,需要获取对应的扩展项信息的密钥并进行读取。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102478549A CN101777980B (zh) | 2009-12-31 | 2009-12-31 | 一种数字证书扩展项信息保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102478549A CN101777980B (zh) | 2009-12-31 | 2009-12-31 | 一种数字证书扩展项信息保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101777980A CN101777980A (zh) | 2010-07-14 |
CN101777980B true CN101777980B (zh) | 2011-11-16 |
Family
ID=42514322
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102478549A Active CN101777980B (zh) | 2009-12-31 | 2009-12-31 | 一种数字证书扩展项信息保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101777980B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105099681B (zh) * | 2014-05-05 | 2019-02-12 | 中国电子信息产业发展研究院 | 一种应用数字证书认证用户身份的方法及装置 |
CN105099680B (zh) * | 2014-05-05 | 2019-02-12 | 中国电子信息产业发展研究院 | 一种根据数字证书认证用户身份的方法及装置 |
CN110493234B (zh) * | 2019-08-23 | 2021-08-03 | 中国工商银行股份有限公司 | 证书处理方法、证书处理装置和电子设备 |
CN110635915B (zh) * | 2019-09-29 | 2022-05-27 | 杭州尚尚签网络科技有限公司 | 一种基于多ca的高并发数字证书注册管理方法 |
-
2009
- 2009-12-31 CN CN2009102478549A patent/CN101777980B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN101777980A (zh) | 2010-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4638990B2 (ja) | 暗号鍵情報の安全な配布と保護 | |
JP4625234B2 (ja) | トークン使用可能公開鍵インフラストラクチャ・システムにおけるユーザ証明書/秘密鍵の割り当て | |
CN106100850B (zh) | 基于二维码的智能安全芯片签名信息传输方法及*** | |
CN109583219A (zh) | 一种数据签名、加密及保存的方法、装置和设备 | |
US20110197283A1 (en) | Security and ticketing system control and management | |
US20060280297A1 (en) | Cipher communication system using device authentication keys | |
CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
EP1129541A1 (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
CN101674304A (zh) | 一种网络身份认证***及方法 | |
TW200952439A (en) | Method and system for on-screen authentication using secret visual message | |
CN101790166A (zh) | 基于手机智能卡的数字签名方法 | |
CN102255732B (zh) | 一种基于智能密码钥匙的安全发证方法 | |
CN112532656B (zh) | 基于区块链的数据加解密方法、装置及相关设备 | |
CN103580868A (zh) | 一种电子公文安全传输***的安全传输方法 | |
US11997075B1 (en) | Signcrypted envelope message | |
TWI476629B (zh) | Data security and security systems and methods | |
CN101777980B (zh) | 一种数字证书扩展项信息保护方法 | |
JPH10135943A (ja) | 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム | |
CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和*** | |
WO2021027982A1 (en) | System and method for electronic signature creation and management for long-term archived documents | |
CN115378623B (zh) | 身份认证方法、装置、设备及存储介质 | |
CN112311534A (zh) | 产生非对称算法密钥对的方法 | |
CN103023642B (zh) | 一种移动终端及其数字证书功能实现方法 | |
CN106211108A (zh) | 一种基于rsa公钥的短信加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |