[发明专利]一种用户自助式数字证书远程安全管理方法

说明书

本发明涉及用户数字证书的管理方法，公开了一种用户自助式数字证书远程安全管理方法。目前企业在延长数字证书有效期或者更新证书时，需将智能密钥提交到CA中心，由管理人员重新对证书进行签名。这种方式不仅步骤繁琐、操作周期长，而且增加了CA系统管理人员的工作负担，不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。本发明具体实现包括自助服务网关和自助服务终端，优点在于：1)能够实现网络远程管理；2)证书管理请求必须由用户数字证书签名，保s证了管理操作的安全性；3)通信过程全程SSL加密保护，确保了通信过程中敏感数据的安全性。4)符合自助管理策略的管理请求及时处理，节省了管理和时间成本。

技术领域

本发明涉及用户数字证书的管理方法，尤其涉及一种用户自助式数字证书远程安全管理方法。

背景技术

目前企业自建的CA平台大都通过智能密码钥匙或软证书的方式发放数字证书。由于数字证书具有时效性，经常涉及到数字证书的更新操作，以延长数字证书的使用时间。同时因为证书拥有者的身份信息变更(包括：所属部门、工作岗位、职位、邮件地址等)也需要进行数字证书的更新操作。延长数字证书有效期或者更新证书拥有者身份信息需将智能密码钥匙提交到CA中心，由CA中心重新对证书进行签名，重新签名的过程是有CA系统的管理操作人员执行完成的。

这种由CA系统管理操作人员参与的证书管理方式不仅步骤繁琐、操作周期长，而且增加了CA系统管理人员的工作负担，不能满足数字证书使用过程中及时、高效、简单的管理和使用需求。针对传统方法存在的问题，研究并实现了一种新的基于用户现有证书进行用户身份确认、由用户远程安全自助地完成证书管理的方法。

发明内容

本发明的目的是克服现有方法的不足，提供一种用户自助式数字证书远程安全管理方法。其具体实现包括两个组成部分：自助服务网关和自助服务终端。

自助服务网关扩展CA系统的对外服务，作为自助服务终端与CA系统的通信桥梁，为自助服务终端提供远程服务，并向CA系统转发自助管理终端的证书管理请求。CA系统负责确认自助管理网关的身份和自助管理终端的身份，负责验证自助管理请求是否满足管理策略，同时执行CA中心管理任务。自助服务终端负责为证书管理的安全实现提供保障，向自助服务网关发送证书管理请求并对网关返回的数据进行解释和处理，同时执行本地数字证书管理任务。

自助服务网关与CA系统之间，自助服务网关与自助管理终端之间均基于采用双向认证的SSL协议进行通信。CA系统与自助管理终端之间不直接通信，但是会彼此验证交互数据的数字签名。证书管理请求在自助管理终端产生，被用户证书签名后发送到自助服务网关，自助服务网关接收自助管理终端提供的数据后，附加自助服务网关的数据(数据被自助服务网关的服务器证书进行签名)发送到CA系统，CA系统接收管理请求后，验证自助服务器网关身份信息和用户身份信息，然后检测自助管理请求是否满足自助管理策略，如果满足自助服务策略，CA中心执行证书管理操作，并加执行结果签名后经由自助服务网关返回到自助管理终端，自助管理终端根据CA中心返回的自助服务处理结果执行本地证书管理任务。

用户自助式数字证书远程安全管理方法包括如下步骤：

1)用户激活证书自助管理终端程序，自助服务终端使用智能密码钥匙中存储的数字证书与自助服务网关建立SSL通讯；按照SSL协议通信过程，自助服务终端与自助服务网关相互进行身份认证，确保当前操作用户身份可信、证书状态合法；

2)用户在证书自助管理界面进行证书管理操作，自助服务终端将被更新的证书、相应的管理请求发送到自助服务网关；

3)自助服务网关采用SSL协议与CA证书签发服务器进行通信，将接收的信息预处理后发送到CA证书签发服务器；

4)CA证书签发服务器接收管理请求后，按照数据签名信息是否正确、所管理的证书状态是否正常、所请求的管理操作是否满足自助管理策略三个步骤进行验证；