[发明专利]一种数字证书扩展项信息保护方法

说明书

技术领域

本发明专利涉及一种计算机信息安全领域的信息保护方法，特别涉及一种 适用于PKI系统中对数字证书扩展项所含信息进行保护的数字证书扩展项信 息保护方法。

背景技术

随着大规模网络的发展，数据涉及局域网、广域网、Internet等，数据安 全性问题越来越突出。数据的安全性、保密性、真实性、完整性，成为人们关 注的焦点。

为解决网络数据安全问题，世界各国纷纷开展了以公开密钥加密技术为基 础的公钥基础设施的研究和应用。PKI技术采用证书管理公钥，通过第三方的 可信任机构——认证中心CA，把用户的公钥和其他标识信息(如名称、Email 等)绑定在一起，从而验证用户的身份。目前比较常用的办法是以RSA公钥 为基础，建立PKI基础上的数字证书，通过把传输的数据信息进行RSA加密 和签名，保证信息传输的机密性、真实性、完整性和不可否认性，确保信息在 网络上的安全传输。

在大多数场合下，普遍被接受的证书格式是由ITU-T定义的X.509国际标 准，该标准为公钥证书定义了一个框架，即规定了与每个用户联系的公钥证书 规范，用于绑定用户信息和公钥，还包括对那些已发出并且不应该再被信任的 证书的撤销的相关规范。

目前通用的X.509国际标准已经是V3版本，其扩展项包含有密钥和策略 信息、主体和签发者信息、证书路径约束、证书撤销列表识别等，其结构如图 1所示。如果证书仅仅采用左边所列的几个基本字段，不能满足设计和实际的 需求。比如，向公钥用户传递密钥拥有者身份的话，主体名称字段是不充分的， X.509的名称可能相对较短，缺少用户需要的明显的身份细节。另外，某些安 全应用如IPSec需要将证书和特定策略关联起来，所以需要制定安全策略信息。 因此，在证书的设计中，加入了扩展项，使证书的使用更加灵活。

同时，证书内容的灵活也带来了不安全性。X.509V3证书格式还允许系统 为传递特有信息而自定义扩展。这些特定信息的用户对象应该是特定的而不应 该是对所有被认证中心CA认证的用户。

当数字证书被广泛使用后，其扩展项信息也被广泛流传。而很多情况下， 用户对数字证书的使用只限于验证数字证书用户的身份，或者用户所关心的只 是某一部分的扩展项信息而非全部，而数字证书的扩展项相对于数字证书本身 是不加密的。对于下载数字证书的用户来说，数字证书拥有者的一些个人信息 是透明的，如果将扩展项信息完全展现就造成了数字证书所含个人信息不必要 的暴露，造成个人信息的泄密。

发明内容

本发明的目的在于提供一种数字证书扩展项信息保护方法，解决现有数字 证书在使用过程中将数字证书中不必要的扩展项信息暴露的问题，加强数字证 书扩展项信息的安全。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种数字证书扩展项信息保护方法，其特征在于，它包括如下步骤：

(1)认证中心对数字证书中的扩展项信息的内容进行分类，每个类别设 置一个标识符；

(2)密钥管理中心针对认证中心各个类别的标识符生成对应的密钥对；

(3)认证中心收到注册中心的数字证书申请信息并将数字证书信息中的 扩展项信息提取出来；

(4)根据扩展项信息各个类别的标识符采用密钥管理中心的对应的密钥 对进行分别加密；

(5)将数字证书申请信息连同加密后扩展项信息生成数字证书并由认证 中心的私钥签发数字证书。

在本发明的一个实施例中，数字证书签发后发布在目录服务器的目录树 中，并同时将结果反馈给用户。

在本发明的一个实施例中，如果需要得知数字证书中的扩展信息，需要获 取对应的扩展项信息的密钥并进行读取。

本发明的数字证书扩展项信息保护方法，通过密钥管理中心针对数字证书 中扩展项信息里的不同类型信息分别加密，加密所用的密钥由密钥管理中心统 一管理；当用户需要使用到数字证书中具体某项类型的信息时，需要用专门的 密码卡来读取信息，避免来个人信息被滥用，实现本发明的目的。

本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清 楚地了解。

附图说明

图1为现有的国际数字证书格式标准X.509的V3版本的结构示意图；

图2为本发明的数字证书扩展项信息保护方法实现结构的示意图；