技術領域

本發明涉及網絡與信息安全領域，尤其涉及一種數字證書更新方法。

背景技術

公鑰基礎設施(Public?Key?Infrastructure，簡稱PKI)是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份的密鑰管理平臺。該技術廣泛應用于網上銀行、電子商務、電子政務等領域。一個完整地PKI系統是由認證機構(Certification?Authority，簡稱CA)、密鑰管理中心(KMC)、注冊機構、目錄服務、以及安全認證應用軟件、證書應用服務等部分組成，其中認證機構在PKI系統中居于核心地位。

CA中心又稱為數字證書認證中心，作為電子商務交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證實證書中列出的用戶名稱和證書中列出的公開密鑰相對應。CA中心的數字簽名使得攻擊者不能偽造和篡改數字證書。

注冊機構(Registration?Authority，簡稱RA)中心是CA功能的延伸，其負責證書申請者的信息錄入、審核以及證書發放等工作；同時，對發放的證書完成相應的管理功能。RA中心是整個CA中心正常運營不可缺少的一部分。CA中心以集中發放證書或網上發放證書為主要發證模式；在這種情況下，用戶注冊、注冊審核、統一發證等各個業務步驟都必須遵循統一化和規范化，這些業務都可以由RA中心來實現。

用戶安全終端是用戶用于在網上電子簽名和數字認證的工具，用戶安全終端通常使用內置安全芯片，采用1024位或者2048位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，確保網上交易的保密性、真實性、完整性和不可否認性。用戶安全終端存儲著用戶的私鑰以及數字證書，利用其內置的公鑰算法實現對用戶身份的認證，同時通過內置的安全芯片也保證了用戶證書的私鑰無法被復制或者導出。例如網上銀行用戶、電子商務網站或者移動終端的用戶所使用的USB-KEY、SD-KEY就是常用的安全終端。

目前，國內所使用的數字證書更新都采用用戶通過網絡或者到CA管理機構服務地點提出證書更新申請，由CA管理機構審核通過后通過網絡或者寄發信件的方式向用戶提供下載新的數字證書的參考碼和授權碼，用戶再通過網絡登陸到證書下載網址，輸入得到的參考碼和授權碼從而將新的數字證書下載到自己的安全終端中。例如：各種銀行網銀、電子商務網站的數字證書更新均采用這種方式。采用這種證書更新技術在一定程度上增加了用戶操作的繁瑣度，也給CA管理機構帶來了很多工作量，特別當出現用戶集中進行數字證書更新時，例如在電子政務系統中極易出現年底用戶大規模更新證書的情況，在這種情況下很容易出現用戶集中發出申請造成等待時間較長，同時證書服務器系統需要對用戶登錄后的信息校驗并提高證書下載，服務器壓力較大，容易出現無法及時進行證書更新的情況。

發明內容

為解決上述問題，本發明提供一種數字證書更新方法，包括：

用戶安全終端獲取注冊機構中心的服務器證書信息；用戶安全終端根據服務器證書信息驗證待更新的數字證書是否為與該注冊機構中心相關聯的認證機構中心頒發的數字證書，若驗證通過，則通過注冊機構中心向認證機構中心發送更新數字證書的證書申請；用戶安全終端接收到來自認證機構中心的新的數字證書。

其中，在用戶安全終端獲取注冊機構中心的服務器證書信息之前，該方法還包括：用戶安全終端對待更新的數字證書進行初始驗證，該初始驗證包括對待更新的數字證書的有效期進行驗證；若驗證通過，則用戶安全終端與注冊機構中心建立安全連接。

其中，用戶安全終端對待更新的數字證書進行初始驗證，還包括：驗證該數字證書以及擴展信息是否與該用戶的用戶信息相匹配。

其中，用戶安全終端獲取注冊機構中心的服務器證書信息，包括：用戶安全終端通過安全連接獲取注冊機構中心的服務器證書信息。

其中，用戶安全終端通過注冊機構中心向認證機構中心發送更新數字證書的證書申請，包括：注冊機構中心驗證待更新的數字證書是否有更新的權限，若驗證該數字證書有更新權限，則用戶安全終端向注冊機構中心發送更新數字證書的證書申請；注冊機構中心與認證機構中心建立安全連接，并將更新數字證書的證書申請發送至認證機構中心。

其中，注冊機構中心通過驗證待更新的數字證書的序列號，驗證該數字證書是否有更新權限。

其中，在認證機構中心接收到更新數字證書的證書申請之后，該方法還包括：認證機構中心生成新的數字證書，并將新的數字證書通過注冊機構中心發送至用戶安全終端。