技術領域

本發明涉及電子身份證明技術和方法。更具體地說，本發明涉及一種新的和改進的方法和系統，用于根據先前證認合格的電子身份證明來請求和發放電子身份證明。

背景技術

關于安全的通信，往往要求實體在利用服務或執行交易之前電子認證它們本身。這種認證可以是以用戶名和口令的組合或以證書的形式進行。為實現這一技術，這些實體首先必須物理地或虛擬地登錄它們的存在，從而使它們會收到身份證明。

提供證明，如用戶名和口令的組合，使其進行實際的認證。可惜，前面提到的簡單的認證方案相當地針對特定的內容：基于用戶名和口令的身份證明在所有其他場合可能完全沒有意義。再有，這種證明不能無可辯駁地區分不同的實體。

由數字證書認證合格的電子身份證明用于唯一地標識如因特網等網絡上的人和資源。借助數字證書，有可能在雙方之間進行安全的、保密的通信。當某人到另一國家旅行時，他/她的護照是建立你的身份證明和許可入境的通用方式。數字證書提供類似的識別。證書可由可信賴的第三方(TTP)發出，例如認證機構(CA)。與護照機關的作用很相似，可信賴的第三方的作用是證實證書持有者的身份并“簽署”該證書，使其不能被偽造或竄改。一旦一個TTP簽署了一個證書，持有者能把他們的證書呈現給人們、萬維網站和網絡資源，以證明他們的身份和建立加密的、保密的通信。

一份證書通常包括關于它的所有者和關于發出它的TTP的各種信息。這種信息可以是下列信息：持有者的名字以及為唯一標識該持有者所需要的其他識別信息，如使用該證書的萬維網服務器的URL，個人的電子郵箱地址或該持有者的公用密鑰。公用密鑰能用于為證書持有者的敏感信息加密；發出該證書的認證機構的名稱；唯一標識等；該證書的有效期(或生命期)(起始和終止日期)。

在創建該證書時，這一信息被發出證書的TTP數字簽署。TTP在證書上的簽名類似于藥瓶上的竄改檢測封口-對內容的任何竄改都易被檢測出來。數字證書通常基于公用密鑰加密法，它使用一對密鑰進行加密和解密。利用公用密鑰加密法，密鑰是以匹配的“公用”和“專用”密鑰成對地發揮作用。在加密系統中，術語“密鑰”是指由算法改變信息所使用的一個數值，使那信息成為安全的，只有那些具有相應密鑰來恢復該信息的個人才可看到該信息。

公用密鑰能自由分發，但不能泄露專用密鑰，它必須由其所有者保持秘密。由于這些密鑰只能成對地起作用，以公用密鑰完成的一個操作(例如加密)只能以相應的專用密鑰完成其反操作，反之亦然。數字證書在由可信賴的第三方(一個CA)證實時便安全地把你的身份證明與你的公用密鑰綁在了一起。

CA證書是標識一個認證機構的證書。CA證書恰象其他數字證書一樣，只是它們是自簽署的。CA證書用于確定是否要相信由該CA發放的證書。

在護照的情況中，護照控制官員將證實你的護照的有效性和真實性，并確定是否允許你入境。類似地，CA證書用于認證和批準萬維網服務器證書。當向瀏覽器呈現一個萬維網服務器證書時，該瀏覽器使用該CA證書確定是否要相信該萬維網服務器證書。如果該萬維網服務器證書是有效的，則繼續進行該安全會話。如果該服務器證書是無效的，則該服務器證書被拒絕，該安全會話被停止。

在數字環境中，身份卡的同期等效物是一個證書：一個被證實了的實體獨特身份證明。一個證書通常不只是證實它的主體的屬性。(公用密鑰)證書的最通常的用途是把一個實體的公用密鑰與它的身份綁在一起。這些密鑰能用于各種目的，如提供鑒定、授權、保密、完整性或非拒付。

在理論上，證書不是針對具體內容的，但在實踐中，不同的用途需要不同的證書。例如，標準X.509證書不包括電子郵箱地址信息，而這一信息是安全電子郵件中所需要的(例如PGP或S/MIME)。類似地，其他應用可能需要讓它們自己的專有屬性包括在證書中。盡管這種對屬性的包括在本質上并不是問題，然而，需要創建新的證書。

美國專利5,982,898描述了一種方法，用于為已經有先前的證書的人發放短期證書。這一新證書是在先前證書的所有權證實過程之后發放的，這種證實是通過把身份確認和證書發放兩項任務分開來完成的，這允許使個人和他/她的公用密鑰/專用密鑰對之間的長期捆綁解除關聯。這是由登錄機構一旦對此人的真實性滿意時便向他發放口令來實現的。其后，每當此人希望有一個新的證書或電子身份證明時，此人便與一認證機構接觸，以該口令標識自己，并得到一份證書。該證書通常包括此人的名字、以明文寫成的公用密鑰以及簽名。該簽名是通過對證書的明文部分進行散列得到一個值再以該CA的專用密鑰對該值加密導出的。