[发明专利]证书机构

说明书

技术领域

本发明针对被用来发行通常供与公钥密码算法配合使用的数字证书的证书机构。

背景技术

公钥加密是一种使用非对称密钥来提供安全的妥善建立的技术。如本领域熟知的，可以生成公钥和私钥对，其中私钥被保密而公钥则可以被广泛公布。使用特定公钥所加密的任何消息仅能够使用相对应的私钥进行解密。类似地，使用特定私钥所加密的任何消息仅能够使用相对应的公钥进行解密。重要的是，公钥和私钥在数学上是相关的，但是私钥无法从公钥可行地得出。因此，知道公钥无法使得私钥能够得以被确定。

图1示出了总体上由参考标记1所指示的系统，其包括第一用户2和第二用户4。第一用户具有加密模块6；第二用户具有解密模块8。如图1所示，第一用户的加密模块6具有接收消息M的第一输入以及接收第一密钥Key1的第二输入。加密模块具有以加密形式提供消息M的输出。加密模块6的输出被用作到第二用户4的解密模块8的第一输入。解密模块8具有接收第二密钥Key2的第二输入并且具有输出。

如果第一密钥是第一用户2的私钥，则加密模块6所输出的加密消息可以被知道第一用户的公钥的任何解密模块所解密。因此，如果第二密钥是第一用户的公钥，则解密模块的输出将是消息M。在这种情况下，消息M的加密证明第一用户具有与第一用户的公钥相匹配的私钥，并且因此提供了第一用户的身份的良好证据。这种形式的加密通常被称之为数字签名。

类似地，如果第一密钥是第二用户4的公钥，则加密模块6所输出的加密消息仅能够被知道第二用户的私钥的解密模块所解密。因此，如果第二密钥是第二用户的私钥，则解密模块的输出将是消息M。在这种情况下，消息M的加密确保了该消息仅能够由持有第二用户的私钥的某人所读取。这种形式的加密通常被称之为公钥加密。

假定公钥和私钥对能够被用来证明用户的身份，如果第三方要信任该密钥系统，密钥的安全是至关重要的。一种增加公钥和私钥对中的信任的已知方法是使用公钥基础设施（PKI）系统。

公钥基础设施（PKI）是将公钥和用户身份进行绑定的配置。这是使用证书（或认证）机构（CA）来实现的。证书机构（有时被称作“信任的第三方”）发行与特定用户身份相关联的公钥证书。为了这样做，用户需要证明其身份以使得认证机构满意。因此，在PKI系统中，特定公钥与特定身份相关的、第三方具有的信任水平取决于该第三方在发行公钥证书的证书机构中所具有的信任水平。

证书处理在建立公钥基础设施（PKI）以及对其进行部署和保护时需要来自用户/客户端和服务提供商两者的至少一些技术知识。典型地，客户端证书和客户端私钥存储在客户端硬件中并且因此不易进行传输，这可能是不安全的并且通常并非是用户友好的。签署客户端证书在正常情况下由根证书机构（CA）离线完成并且占用时间，这是因为根证书机构需要验证客户端的身份。很多公司可被用来作为公共的根证书机构，但是这样的公司针对签署其顾客的证书而对他们进行收费；因此，即使专家级用户也被要求支付额外的费用。

在市场中存在若干可用工具，如OpenSSL、SSL或Java Keytool。这些工具能够生成私钥，并且利用该密钥创建最终保存在介质（例如，记忆棒）处的CSR（证书签署请求）。为了识别用户，需要如post-ident的机制。该解决方案公开了一些安全风险。

发明内容

本发明寻求解决以上所概括的问题中的至少一些问题。

本发明提供了一种方法，包括：提供输入以使得用户能够管理该用户的一个或多个数字证书；使用身份管理系统来识别该用户；并且使用身份管理系统签署和控制该用户的所述一个或多个数字证书。数字证书的管理通常采取签署和控制该用户的数字证书的形式。

本发明还提供了一种身份管理系统，包括：第一输入，其用于使得用户能够管理该用户的一个或多个数字证书（例如，通过请求数字证书的发布/签署或者通过请求数字证书的撤销）；识别模块，其用于识别用户；和证书模块，其适于签署和控制该用户的所述一个或多个数字证书。

因此，本发明提供了一种证书签署/生成/处理协议，其中使用身份管理系统来提供/生成/撤销证书（作为证书机构进行操作）。本发明因此使得能够实现基于IDM的PKI系统。

本发明提供了一种用于提供证书的相对快捷和容易的解决方案。

所述输入可以使用图形用户界面来提供。这为用户提供了与本发明的装置和方法进行交互的简单手段。

该身份管理系统通常能够签署该用户的多个数字证书（典型地，根据用户的请求）。