技術(shù)領(lǐng)域

本發(fā)明涉及從一個或多個數(shù)字證書(稱作主證書),?創(chuàng)建一個或者多個相關(guān)聯(lián)的數(shù)字證書(稱作副證書)，以及這種關(guān)聯(lián)的有效性驗證的問題。用于解決目前已經(jīng)持有合法有效數(shù)字證書的單位或者個人，在現(xiàn)有有效證書的基礎(chǔ)上，創(chuàng)建或者獲取新的關(guān)聯(lián)數(shù)字證書，用于其它業(yè)務(wù)和應(yīng)用系統(tǒng)的問題。

背景技術(shù)

數(shù)字證書是證明用戶身份的網(wǎng)上標識，在網(wǎng)絡(luò)中識別通訊各方的身份，即在虛擬社會中解決“我是誰”的問題。通俗的講，數(shù)字證書就好像是網(wǎng)上用戶的身份證，能夠保證您在網(wǎng)絡(luò)上進行的交易是安全的和可信的。

數(shù)字證書主要有如下作用：

身份認證：數(shù)字證書中包括的主要內(nèi)容有：證書擁有者的單位信息、證書擁有者的公鑰、公鑰的有效期、頒發(fā)數(shù)字證書的CA、CA的數(shù)字簽名等。

加密傳輸信息：通過數(shù)字證書在網(wǎng)上傳輸數(shù)據(jù)，這些數(shù)據(jù)要進行加密，然后以密碼的形式在Internet上傳輸。發(fā)送方用接收方的公鑰對文件進行加密，接收方用只有自己才有的私鑰進行解密，得到文件明文。

數(shù)字簽名抗否認：在現(xiàn)實生活中用公章、簽名等來實現(xiàn)的抗否認，在網(wǎng)上可以借助數(shù)字證書的數(shù)字簽名來實現(xiàn)。

數(shù)字證書被廣泛的使用于軍事、金融、電子政務(wù)和電子商務(wù)領(lǐng)域，用于在因特網(wǎng)中識別使用者的身份。

但是兩張數(shù)字證書之間的關(guān)聯(lián)性目前無法得到有效的驗證。例如某機構(gòu)申請一張證書A，用于需要使用法人身份的場合（類似企業(yè)公章），另外又申請了一張證書B，用于電子合同（類似企業(yè)合同章）。其中證書B在使用范圍和權(quán)限上是屬于證書A的，A有效，B才有效，但是目前的證書體系中對于類似情況并沒有體現(xiàn)出這樣的關(guān)聯(lián)性。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是：根據(jù)上文中提到的存在問題，通過在簽發(fā)副證書的時候，加入主證書的專有標識，來實現(xiàn)主副證書之間的關(guān)聯(lián)。

副證書的簽發(fā)步驟如下：

1.???????獲取證書簽發(fā)所需必要信息，例如證書DN項，密鑰用途，擴展密鑰用途等。

2.???????使用主證書對副證書簽發(fā)信息中的某項或者部分或者全部內(nèi)容進行簽名，并得到主證書簽名結(jié)果，簽名時還可以加入副證書Subject?Key?Identifier等防重放元素，也可以加入有效期等限制條件。

3.???????如果有多張主證書，可以使用每張主證書都進行一次步驟二中的操作，也可以使用每張主證書對上一張主證書的簽名結(jié)果再次簽名，以獲取最終的簽名結(jié)果。

4.???????將主證書簽名結(jié)果、主證書唯一標識等作為主證書專有標識，作為證書簽發(fā)請求的一部分發(fā)送到證書簽發(fā)系統(tǒng)（CA)。

5.???????由證書簽發(fā)系統(tǒng)（CA)，根據(jù)自身的證書策略，在簽發(fā)副證書的同時，將主證書專有標識附加在副證書內(nèi)容中，附加的位置可以是副證書的主題項，簽發(fā)者項，或者其它證書擴展項中。

6.???????副證書的持有者獲得簽發(fā)好的副證書。

??有益效果：數(shù)字證書是用來標識一個實體（例如單位，個人等）在網(wǎng)絡(luò)上的數(shù)字身份。但是在線下的生活中，一個公司既有公章也有財務(wù)章、合同章；一個個人既有身份證，也有護照、工作證等多個身份標識。在申領(lǐng)護照的時候，需要提交身份證，身份證失效，護照也會相應(yīng)的生效。與本發(fā)明類比，顯然身份證就是主證書，護照就是副證書。

既然在線下的生活中存在這樣的身份標識的關(guān)聯(lián)，當我們在設(shè)計和使用網(wǎng)絡(luò)上的數(shù)字身份的時候，也需要具有同樣對應(yīng)的模式，這樣才可以在不改變用戶使用習慣和（政府等機構(gòu)）管理方式的情況下，把線下的業(yè)務(wù)搬到網(wǎng)上。

設(shè)想一下基于數(shù)字證書的電子護照的實現(xiàn)。通過本發(fā)明，在電子護照證書中可以直接嵌入身份證證書的專有標識。這種嵌入，不破壞數(shù)字證書原有的結(jié)構(gòu)。在驗證時，用戶不需要提交自己的主證書（因為證書本身就是公開的信息，驗證機構(gòu)可以通過主證書專有標識中的主證書唯一標識通過其它途徑獲取），簡化了用戶的使用過程，同時驗證過程的安全性沒有降低。

如果身份證證書已經(jīng)失效，本驗證過程會確保電子護照證書也會自動失效。那么如果要失效該用戶的所有電子身份標識（副證書），只需要廢除該用戶的身份證證書（主證書）就可以了。

由于副證書中已經(jīng)包含了主證書的專有標識，在應(yīng)用系統(tǒng)中就不再需要自己建立主副證書的對照表，而是從副證書可以直接獲取，簡化了應(yīng)用系統(tǒng)的復雜度，降低應(yīng)用系統(tǒng)管理維護的成本，還可以避免信息更新不及時造成的對照表錯誤。

這些都是本發(fā)明帶來的在使用和管理上的優(yōu)勢。

附圖說明