本发明专利技术提出了一种基于LRA受理点信息的数字证书管理方法及装置,其特征在于在用户数字证书的签发以及证书的整个生命周期中对证书进行完善的管理。通过对证书的属性进行扩展,同时在CA中心和LDAP目录服务器中对证书的受理点信息进行有效管理,在证书的整个生命周期中,可以有效地对证书签发时间、签发人等信息进行追溯,为PKI体系的安全管理提供了保障。本发明专利技术是对PKI建立一套完善的管理体系的有效补充,也可以满足更多类型的业务需求。同时,应用系统可以通过目录服务器得到完整的有效信息,方便用户使用。
【技术实现步骤摘要】
本专利技术涉及网络与信息安全领域中数字证书及其应用技术,特别是涉及数字证书发放和管理的技术和方法。
技术介绍
当前基于PKI(Public Key Infrastructure,公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛,用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成。在PKI体系中注册机构RA(Registration Authority)中心负责证书用户的身份审核、用户基本信息维护、证书管理服务,可以对注册的用户信息进行管理和维护。RA中心是整个CA(Certificate Authority)中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须统一化、规范化,这都可以由RA中心来实现。RA中心在不同的部门设立RA业务终端系统,满足中央/节点的分布式机构对证书业务服务的需要,并支持对未来系统结构的扩展。RA中心的设置可以根据具体行业和业务需求来进行,RA的下级机构可以是RA分中心或业务受理点LRA。受理点LRA与注册机构RA共同组成证书申请、审核、注册中心的整体。LRA面向最终用户,负责对用户提交的申请资料进行录入、审核和证书制作。轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)目录服务器用于存储对象的各类属性和信息,它定义了一个用来发布目录信息到许多不同资源的协议,使得各种应用可以通过标准接口目录服务器获取相应信息。在PKI领域,LDAP目录服务器主要用于存储和发布CA写入的公钥数字证书和CRL证书注销列表。通过该目录服务器,应用系统可以查询到用户的证书基本属性信息和证书状态。
技术实现思路
本专利技术所要解决的技术问题是提供一种用于对负责证书业务的受理点LRA进行有效管理,保证可以对每个受理点发放的证书进行有效管理、识别,并可以根据证书来追溯到是由哪个受理点发放的一种基于LRA受理点信息的数字证书管理方法。为解决上述技术问题,本专利技术采用的技术方案为:一种基于LRA受理点信息的数字证书管理方法,其包括以下步骤:在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息;CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理点编号,并存储相关信息;轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之关联的LRA受理点编号信息。本专利技术可保障证书发放的安全性和高效的可管理性,对PKI体系进行有效的补充和优化。对用户数字证书的签发以及证书的整个生命周期中对证书进行完善的管理。通过对证书的属性进行扩展,同时在CA中心和LDAP目录服务器中对证书的受理点信息进行有效管理,应用系统在业务需要获取受理点信息时可以便捷安全地获取证书关联的受理点信息。同时在证书的整个生命周期中,可以有效地对证书签发时间、签发人等信息进行追溯,为PKI体系的安全管理提供了保障。在现有的PKI体系中,用户证书签发后CA中心和LDAP均只存储证书的基本信息,应用系统在通过目录服务器进行查询时,只能知道该证书是由哪个CA颁发,是否未注销等基本信息,而无法知道该证书是否由哪个LRA受理点颁发,这导致一些业务需求无法满足,也无法对该证书进行有效的追溯。因此该专利技术的提出很有必要性,是对PKI建立一套完善的管理体系的有效补充,也可以满足更多类型的业务需求。同时,应用系统可以通过目录服务器得到完整的有效信息,方便用户使用。本专利技术还提出了一种基于LRA受理点信息的数字证书管理装置,其包括以下模块:用于在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息的模块;用于CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理点编号,并存储相关信息的模块;用于轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之关联的LRA受理点编号信息的模块。如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于所述CA中心将该用户的公钥数字证书以及其关联的LRA受理点编号信息写入到数据库中的模块。如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于CA中心在向LDAP目录服务器发送证书信息时,将证书信息和LRA受理点编号一起发送给LDAP目录服务器的模块。如上所述的一种基于LRA受理点信息的数字证书管理装置,还包括:用于所述LDAP目录服务器先按照受理点编号建立对应的证书目录,然后将公钥数字证书信息按照其关联的LRA受理点选择对应的目录存储的模块。附图说明图1是本专利技术实施例提供的一种包含证书受理点信息的数字证书属性的示意图。图2是本专利技术实施例提供的一种包含证书受理点信息的数字证书成功签发的流程示意图。具体实施方式下面结合附图将就本专利技术中基于受理点信息的证书签发管理方法进行详细说明。如附图1所示,标准的X.509数字证书包括如下主要属性:●证书序列号(sn):在每个CA体系中产生的证书,对应的序列号都是唯一的。●签名算法标识:描述该证书所用的算法,如RSA算法。●签名者(issuer):描述数字证书由哪个CA签发的信息,对所有国家认可的CA中心,这个信息也是唯一的。●证书有效期:描述该数字证书生效和失效的日期。●证书主题(subject):描述数字证书的主题信息,对同一个CA下的用户,这个信息也是唯一的。●证书扩展选项:用于写入该证书在实际应用时所需要的数据信息。其中证书扩展选项具有很好的灵活性,在实际应用中,证书使用的具体业务可以根据需要向CA签发机构注册扩展选项。每一种扩展包括三个域:类型、可否缺省、值。类型字段定义了扩展值字段中的数据类型。这个类型可以是简单的字符串,数值,日期,图片或一个复杂的数据类型。可否缺省字段是一比特标识位。当扩展标识为不可缺省时,说明相应的扩展值非常重要,应用程序不能忽略这个信息。如果使用证书的应用程序不能处理该字段的内容,就应该拒绝此证书。扩展值字段包含了这个扩展实本文档来自技高网...
【技术保护点】
一种基于LRA受理点信息的数字证书管理方法,其包括以下步骤:在注册机构RA中心发送的用户证书申请信息中附加受理该用户申请的LRA受理点编号信息;CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理点编号,并存储相关信息;轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之关联的LRA受理点编号信息。
【技术特征摘要】
1.一种基于LRA受理点信息的数字证书管理方法,其包括以下
步骤:
在注册机构RA中心发送的用户证书申请信息中附加受理该用户
申请的LRA受理点编号信息;
CA中心签发的该用户证书的扩展选项中包含其关联的LRA受理
点编号,并存储相关信息;
轻量级目录访问协议LDAP目录服务器存储用户证书信息和与之
关联的LRA受理点编号信息。
2.根据权利要求1所述的一种基于LRA受理点信息的数字证书
管理方法,还包括:所述CA中心将该用户的公钥数字证书以及其关
联的LRA受理点编号信息写入到数据库中。
3.根据权利要求1所述的一种基于LRA受理点信息的数字证书
管理方法,还包括:CA中心在向LDAP目录服务器发送证书信息时,
将证书信息和LRA受理点编号一起发送给LDAP目录服务器。
4.根据权利要求1所述的一种基于LRA受理点信息的数字证书
管理方法,还包括:所述LDAP目录服务器先按照受理点编号建立对
应的证书目录,然后将公钥数字证书信息按照其关联的LRA受理点选
择对应的目录存储。
5.一种基于LRA受理点信息的数字...
【专利技术属性】
技术研发人员:林文辉,耿方,郭向国,林凉,杜悦琨,周珅珅,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。