一種證書的分配與管理方法

2023-05-31 01:13:51 1

專利名稱：一種證書的分配與管理方法
技術領域：
本發明涉及計算機網絡通信中 一種證書的分配與管理方法。
技術背景現有計算機網絡通信環境下網絡身份證書及對應私鑰主要採用證書頒發 點統一生成，然後將生成的證書與對應私鑰送交申請實體。此種方式在證書及 私鑰頒發過程中證書及私鑰全部由證書頒發實體生成，在傳送至申請實體時存 在私鑰洩露的風險。為提高安全性需要進行將證書及私鑰頒發過程本地化，即 不進行網絡傳輸，直接在本機完成後，通過物理方式交給申請實體，但是這樣 會造成用戶使用不便。 發明內容本發明為解決背景技術中存在的上述技術問題，而提供一種不存在私鑰洩 露的風險且使用方便的證書的分配與管理方法。本發明的技術解決方案是本發明為一種證書的分配與管理方法，其特殊 之處在於該方法包括以下步驟1) 證書申請實體生成公私鑰對；2) 證書申請實體保存私鑰，將公鑰發送至證書頒發實體；3) 當證書頒發實體收到公鑰後，將根據預先設定的信息及收到的公鑰生成 證書；4) 證書頒發實體將生成的證書發送給證書申請實體；5) 證書申請實體將收到的證書保存。上述步驟1)中證書申請實體是通過USBKey生成公私鑰對，私鑰在 USBKey中生成後直接存儲於USBKey。上述預先設定的信息是指生成證書時需要包含的其他信息，包括用戶名、 用戶序列號、證書使用期限、證書是否加密、證書採用的籤名算法或哈希摘要算法。上述步驟3)中根據預先設定的信息及收到的公鑰生成證書的具體步驟如下3.1) 證書頒發實體收到包含有公鑰與證書申請實體序列號的請求，從自身 的設定信息中査找對應用戶序列號，若査找到則進至步驟3.1)，若未查找到則進至步驟3.5);3.2) 證書頒發實體根據X509.v3標準證書格式構造證書的基本結構；3.3) 證書頒發實體按照標準格式將對應用戶的預先設定信息和用戶公鑰填 充到構造完成的證書結構屬性中；3.4) 生成哈希指紋與證書的籤名，完成證書，並將生成的證書返回給證書 申請實體；證書申請流程結束；3.5) 中止執行，返回給證書申請實體錯誤信息，證書申請流程結束。 本發明在證書的分配與管理過程中，採用證書申請實體生成公私鑰對，私鑰保存，公鑰發送至證書頒發實體以供生成證書，並將生成證書回送證書申請 實體，私鑰在證書申請實體中生成，不需要傳送，不存在私鑰洩露的風險，同 時本發明證書的頒發過程遠程進行，明/密文遠程傳送至申請實體，使用方便。


圖l為本發明的方法流程圖；圖2為本發明的最佳實施例示意圖。
具體實施方式
參見圖l，本發明方法流程如下1) 證書申請實體生成公私鑰對；2) 證書申請實體保存私鑰，將公鑰發送至證書頒發實體；3) 當證書頒發實體收到公鑰後，將根據預先設定的信息及收到的公鑰生成 證書；4) 證書頒發實體將生成的證書發送給證書申請實體；5) 證書申請實體將收到的證書保存。其中公私鑰均由證書申請實體生成，私鑰保留，公鑰用於證書申請，通過網 絡傳輸發送至證書頒發實體，證書生成部分中收到公鑰後將根據設定的用戶信息 使用相應公鑰生成證書並通過網絡將證書發送給證書申請實體。預先設定的信息是指生成證書時需要包含的其他信息，包括但不限於用戶 名、用戶序列號、證書使用期限、證書是否加密、證書採用的籤名算法和哈希 摘要算法。根據預先設定的信息及收到的公鑰生成證書的具體步驟如下3.1) 證書頒發實體收到包含有公鑰與證書申請實體序列號的請求，從自身 的設定信息中査找對應用戶序列號，若查找到則進至步驟3.1)，若未查找到則 進至步驟3.5);3.2) 證書頒發實體根據X509.v3標準證書格式構造證書的基本結構；3.3) 證書頒發實體按照標準格式將對應用戶的預先設定信息和用戶公鑰填 充到構造完成的證書結構屬性中；3.4) 生成哈希指紋與證書的籤名，完成證書，並將生成的證書返回給證書 申請實體；3.5) 中止執行，返回給證書申請實體錯誤信息。參見圖2，本發明的應用的較佳實施例中，證書申請實體為系統管理軟體， 證書頒發實體為證書服務單元，其具體步驟如下1) 系統管理軟體與USBKey建立連接；2) 系統管理軟體與證書服務單元建立連接；3 )證書服務單元將用戶信息{User List}發送給系統管理軟體；4) 系統管理者通過系統管理軟體選擇需要頒發證書的用戶(UserlDJ;5) 系統管理軟體調用USBKey生成公私鑰對；6) USBKey在硬體內部生成公私鑰對，並返回生成的公鑰(PublicKeyJ;7) 系統管理軟體發送(PubilcKey， UserID)至證書服務單元申請證書；8) 證書服務單元接受到申請，根據UseriD査找對應用戶預設定信息，並 根據查找到的預設定信息生成證書並籤名；9) 證書服務單元將生成的證書及自身的證書(CertUser，CertAS)發送給系統 管理軟體；10) 系統管理軟體使用CertAS對CertUser進行校驗，通過後將CertUser與 CertAS同時寫入USBKey之中。
權利要求
1. 一種證書的分配與管理方法，其特徵在於該方法包括以下步驟1)證書申請實體生成公私鑰對；2)證書申請實體保存私鑰，發送公鑰至證書頒發實體；3)當證書頒發實體收到公鑰後，根據預先設定的信息及收到的公鑰生成證書；4)證書頒發實體發送生成的證書給證書申請實體；5)證書申請實體保存收到的證書。
2、 根據權利要求1所述的證書的分配與管理方法，其特徵在於所述步 驟l)中證書申請實體是通過USBKey生成公私鑰對。
3、 根據權利要求1或2所述的證書的分配與管理方法，其特徵在於所 述預先設定的信息是指生成證書時需要包含的信息，包括用戶名、用戶序列號、 證書使用期限、證書是否加密、證書採用的籤名算法和哈希摘要算法。4、 根據權利要求3所述的證書的分配與管理方法，其特徵在於所述步 驟3)中根據預先設定的信息及收到的公鑰生成證書的具體步驟如下3.1) 證書頒發實體收到包含有公鑰與證書申請實體序列號的請求，從自身 的設定信息中査找對應用戶序列號，若査找到則進至步驟3.1)，若未查找到則 進至步驟3.5);3.2) 證書頒發實體根據X509.v3標準證書格式構造證書的基本結構；3.3) 證書頒發實體按照標準格式將對應用戶的預先設定信息和用戶公鑰填 充到構造完成的證書結構屬性中；3.4) 生成哈希指紋與證書的籤名，完成證書，並將生成的證書返回給證書 申請實體；證書申請流程結束；3.5) 中止執行，返回給證書申請實體錯誤信息；證書申請流程結束。
全文摘要
本發明涉及一種證書的分配與管理方法，該方法包括以下步驟1)證書申請實體生成公私鑰對；2)證書申請實體保存私鑰，發送公鑰至證書頒發實體；3)當證書頒發實體收到公鑰後，根據預先設定的信息及收到的公鑰生成證書；4)證書頒發實體發送生成的證書給證書申請實體；5)證書申請實體保存收到的證書。本發明提供了一種不存在私鑰洩露的風險且使用方便的證書的分配與管理方法。
文檔編號H04L9/08GK101272252SQ200810017920
公開日2008年9月24日 申請日期2008年4月9日 優先權日2008年4月9日
發明者強 張, 張喜斌, 軍 曹, 磊 王 申請人:西安西電捷通無線網絡通信有限公司