本发明专利技术涉及用户数字证书的管理方法,公开了一种用户自助式数字证书远程安全管理方法。目前企业在延长数字证书有效期或者更新证书时,需将智能密钥提交到CA中心,由管理人员重新对证书进行签名。这种方式不仅步骤繁琐、操作周期长,而且增加了CA系统管理人员的工作负担,不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。本发明专利技术具体实现包括自助服务网关和自助服务终端,优点在于:1)能够实现网络远程管理;2)证书管理请求必须由用户数字证书签名,保s证了管理操作的安全性;3)通信过程全程SSL加密保护,确保了通信过程中敏感数据的安全性。4)符合自助管理策略的管理请求及时处理,节省了管理和时间成本。
【技术实现步骤摘要】
一种用户自助式数字证书远程安全管理方法
本专利技术涉及用户数字证书的管理方法,尤其涉及一种用户自助式数字证书远程安全管理方法。
技术介绍
目前企业自建的CA平台大都通过智能密码钥匙或软证书的方式发放数字证书。由于数字证书具有时效性,经常涉及到数字证书的更新操作,以延长数字证书的使用时间。同时因为证书拥有者的身份信息变更(包括:所属部门、工作岗位、职位、邮件地址等)也需要进行数字证书的更新操作。延长数字证书有效期或者更新证书拥有者身份信息需将智能密码钥匙提交到CA中心,由CA中心重新对证书进行签名,重新签名的过程是有CA系统的管理操作人员执行完成的。这种由CA系统管理操作人员参与的证书管理方式不仅步骤繁琐、操作周期长,而且增加了CA系统管理人员的工作负担,不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。针对传统方法存在的问题,研究并实现了一种新的基于用户现有证书进行用户身份确认、由用户远程安全自助地完成证书管理的方法。
技术实现思路
本专利技术的目的是克服现有方法的不足,提供一种用户自助式数字证书远程安全管理方法。其具体实现包括两个组成部分:自助服务网关和自助服务终端。自助服务网关扩展CA系统的对外服务,作为自助服务终端与CA系统的通信桥梁,为自助服务终端提供远程服务,并向CA系统转发自助管理终端的证书管理请求。CA系统负责确认自助管理网关的身份和自助管理终端的身份,负责验证自助管理请求是否满足管理策略,同时执行CA中心管理任务。自助服务终端负责为证书管理的安全实现提供保障,向自助服务网关发送证书管理请求并对网关返回的数据进行解释和处理,同时执行本地数字证书管理任务。自助服务网关与CA系统之间,自助服务网关与自助管理终端之间均基于采用双向认证的SSL协议进行通信。CA系统与自助管理终端之间不直接通信,但是会彼此验证交互数据的数字签名。证书管理请求在自助管理终端产生,被用户证书签名后发送到自助服务网关,自助服务网关接收自助管理终端提供的数据后,附加自助服务网关的数据(数据被自助服务网关的服务器证书进行签名)发送到CA系统,CA系统接收管理请求后,验证自助服务器网关身份信息和用户身份信息,然后检测自助管理请求是否满足自助管理策略,如果满足自助服务策略,CA中心执行证书管理操作,并加执行结果签名后经由自助服务网关返回到自助管理终端,自助管理终端根据CA中心返回的自助服务处理结果执行本地证书管理任务。用户自助式数字证书远程安全管理方法包括如下步骤:1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法;2)用户在证书自助管理界面进行证书管理操作,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关;3)自助服务网关采用SSL协议与CA证书签发服务器进行通信,将接收的信息预处理后发送到CA证书签发服务器;4)CA证书签发服务器接收管理请求后,按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证;5)根据验证结果,CA证书签发系统对数字证书进行相应的操作,并将操作结果返回给自助服务网关;6)自助服务网关将CA返回的信息转发到自助管理终端;7)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,依据返回的操作结果对用户证书进行相应的操作。所述的步骤2)中,用户在证书自助管理界面进行的证书管理操作包括:1)在证书自助管理界面选择证书延期操作;2)在证书自助管理界面选择证书更新操作,并输入新的证书拥有的身份信息(包括:所属部门、工作岗位、职位、邮件地址等)。所述的步骤2)中,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关时,采用被更新证书的私钥进行数字签名。所述的步骤5)中,根据验证结果,CA证书签发系统对数字证书进行相应的操作包括:1)如果数据签名信息不正确,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;2)如果被更新的证书状态不正常,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;3)如果所请求的管理操作和被更新的证书不满足自助管理策略,则CA证书签发系统不进行后续判断和操作,并将错误原因签名后返回给自助服务网关;4)如果上述验证均通过,且证书管理的请求为延期请求,则CA证书签发系统对数字证书进行重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关;5)如果上述验证均通过,且证书管理的请求为更新请求,则CA证书签发系统对生成新的用户信息,进行证书重签操作,执行证书更新操作;CA证书签发系统将更新后的数字证书及其它带CA签名的操作结果返回给自助服务网关。所述的步骤7)中,自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,如果验证失败,则提示用户验证失败结果。如果自助管理终端对返回结果的数字签名验证成功,则进行后续操作,包括两类情况:1)如果CA中心未成功执行证书管理操作,则提示用户操作失败,并给出问题发生在哪个环节;2)如果CA中心成功执行了证书管理操作,则自助服务终端安装CA中心返回的已更新的数字证书到智能密码钥匙中,并替换之前的证书,自助管理过程结束。本专利技术的优点在于:1)避免了智能密码钥匙必须物理返回CA管理中心的问题,实现网络远程管理;2)证书管理请求必须由用户数字证书签名,保证了管理操作的安全性;3)通信过程全程SSL加密保护,确保了通信过程中敏感数据的安全性。4)符合自助管理策略的管理请求及时处理,节省了管理成本和时间成本。附图说明下面结合附图及实施方式对本专利技术作进一步详细的说明:图1为用户自助式数字证书远程安全管理的基本流程。具体实施方式在CA中心对外服务区部署并配置自助服务网关,CA系统为自助服务网关颁发SSL服务器证书。CA系统设置自助服务策略,为各种不同的自助管理请求定制管理策略。同时,在网络计算机部署自助服务终端程序,且用户拥有的智能密码钥匙存储的数字证书身份合法,状态有效。用户自助远程安全更新数字证书的流程包括如下步骤:1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法。2)用户在证书自助管理界面选择证书延期操作,自助服务终端将被更新的证书、延期管理请求(采用被更新证书的私钥进行数字签名)发送到自助服务网关;3)自助服务网关将接收的信息预处理后发送到CA证书签发服务;4)CA证书签发服务器接收管理请求后,首先验证数据签名信息是否正确,如果签名正确,继续执行5),否则跳转到9);5)CA证书签发系统继续验证被延期的证书状态是否正常,如果正常,继续执行6),否则跳转到9);6)CA证书签发系统验证被延期的证书是否满足自助管理策略,如果满足,则继续执行7),否则跳转到9);7)CA证书签发系统对数字证书进行重签操作,执行证书更本文档来自技高网...
【技术保护点】
1.一种用户自助式数字证书远程安全管理方法,其特征在于包括如下步骤:1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法;2)用户在证书自助管理界面进行证书管理操作,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关;3)自助服务网关采用SSL协议与CA证书签发服务器进行通信,将接收的信息预处理后发送到CA证书签发服务器;4)CA证书签发服务器接收管理请求后,按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证;5)根据验证结果,CA证书签发系统对数字证书进行相应的操作,并将操作结果返回给自助服务网关;6)自助服务网关将CA返回的信息转发到自助管理终端;7)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,依据返回的操作结果对用户证书进行相应的操作。
【技术特征摘要】
1.一种用户自助式数字证书远程安全管理方法,其特征在于包括如下步骤:1)用户激活证书自助管理终端程序,自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯;按照SSL协议通信过程,自助服务终端与自助服务网关相互进行身份认证,确保当前操作用户身份可信、证书状态合法;2)用户在证书自助管理界面进行证书管理操作,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关;3)自助服务网关采用SSL协议与CA证书签发服务器进行通信,将接收的信息预处理后发送到CA证书签发服务器;4)CA证书签发服务器接收管理请求后,按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证;5)根据验证结果,CA证书签发系统对数字证书进行相应的操作,并将操作结果返回给自助服务网关;6)自助服务网关将CA返回的信息转发到自助管理终端;7)自助管理终端接收自助服务网关返回的证书更新结果,并对返回结果的数字签名进行验证,依据返回的操作结果对用户证书进行相应的操作。2.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤2)中,用户在证书自助管理界面进行的证书管理操作包括:1)在证书自助管理界面选择证书延期操作;2)在证书自助管理界面选择证书更新操作,并输入新的证书拥有的身份信息,包括:所属部门、工作岗位、职位、邮件地址等。3.根据权利要求1所述的一种用户自助式数字证书远程安全管理方法,其特征在于所述的步骤2)中,自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关时,采用被更新证书的私钥进行数字签名。4.根据权利要求1所述的一种用户自助式数字证书远程安全管...
【专利技术属性】
技术研发人员:赵治国,肖贺,
申请(专利权)人:北京安软天地科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。