[发明专利]一种证书的分配与管理方法

说明书

技术领域

本发明涉及计算机网络通信中一种证书的分配与管理方法。

背景技术

现有计算机网络通信环境下网络身份证书及对应私钥主要采用证书颁发点统一生成，然后将生成的证书与对应私钥送交申请实体。此种方式在证书及私钥颁发过程中证书及私钥全部由证书颁发实体生成，在传送至申请实体时存在私钥泄露的风险。为提高安全性需要进行将证书及私钥颁发过程本地化，即不进行网络传输，直接在本机完成后，通过物理方式交给申请实体，但是这样会造成用户使用不便。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种不存在私钥泄露的风险且使用方便的证书的分配与管理方法。

本发明的技术解决方案是：本发明为一种证书的分配与管理方法，其特殊之处在于：该方法包括以下步骤：

1)证书申请实体生成公私钥对；

2)证书申请实体保存私钥，将公钥发送至证书颁发实体；

3)当证书颁发实体收到公钥后，将根据预先设定的信息及收到的公钥生成证书；

4)证书颁发实体将生成的证书发送给证书申请实体；

5)证书申请实体将收到的证书保存。

上述步骤1)中证书申请实体是通过USBKey生成公私钥对，私钥在USBKey中生成后直接存储于USBKey。

上述预先设定的信息是指生成证书时需要包含的其他信息，包括用户名、用户序列号、证书使用期限、证书是否加密、证书采用的签名算法或哈希摘要算法。

上述步骤3)中根据预先设定的信息及收到的公钥生成证书的具体步骤如下：

3.1)证书颁发实体收到包含有公钥与证书申请实体序列号的请求，从自身的设定信息中查找对应用户序列号，若查找到则进至步骤3.1)，若未查找到则进至步骤3.5)；

3.2)证书颁发实体根据X509.v3标准证书格式构造证书的基本结构；

3.3)证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填充到构造完成的证书结构属性中；

3.4)生成哈希指纹与证书的签名，完成证书，并将生成的证书返回给证书申请实体；证书申请流程结束；

3.5)中止执行，返回给证书申请实体错误信息，证书申请流程结束。

本发明在证书的分配与管理过程中，采用证书申请实体生成公私钥对，私钥保存，公钥发送至证书颁发实体以供生成证书，并将生成证书回送证书申请实体，私钥在证书申请实体中生成，不需要传送，不存在私钥泄露的风险，同时本发明证书的颁发过程远程进行，明/密文远程传送至申请实体，使用方便。

附图说明

图1为本发明的方法流程图；

图2为本发明的最佳实施例示意图。

具体实施方式

参见图1，本发明方法流程如下：

1)证书申请实体生成公私钥对；

2)证书申请实体保存私钥，将公钥发送至证书颁发实体；

3)当证书颁发实体收到公钥后，将根据预先设定的信息及收到的公钥生成证书；

4)证书颁发实体将生成的证书发送给证书申请实体；

5)证书申请实体将收到的证书保存。

其中公私钥均由证书申请实体生成，私钥保留，公钥用于证书申请，通过网络传输发送至证书颁发实体，证书生成部分中收到公钥后将根据设定的用户信息使用相应公钥生成证书并通过网络将证书发送给证书申请实体。

预先设定的信息是指生成证书时需要包含的其他信息，包括但不限于用户名、用户序列号、证书使用期限、证书是否加密、证书采用的签名算法和哈希摘要算法。

根据预先设定的信息及收到的公钥生成证书的具体步骤如下：

3.1)证书颁发实体收到包含有公钥与证书申请实体序列号的请求，从自身的设定信息中查找对应用户序列号，若查找到则进至步骤3.1)，若未查找到则进至步骤3.5)；

3.2)证书颁发实体根据X509.v3标准证书格式构造证书的基本结构；

3.3)证书颁发实体按照标准格式将对应用户的预先设定信息和用户公钥填充到构造完成的证书结构属性中；

3.4)生成哈希指纹与证书的签名，完成证书，并将生成的证书返回给证书申请实体；

3.5)中止执行，返回给证书申请实体错误信息。

参见图2，本发明的应用的较佳实施例中，证书申请实体为系统管理软件，证书颁发实体为证书服务单元，其具体步骤如下：

1)系统管理软件与USBKey建立连接；

2)系统管理软件与证书服务单元建立连接；

3)证书服务单元将用户信息{User List}发送给系统管理软件；