[发明专利]一种颁发双数字证书的方法和系统

说明书

本发明公开了一种颁发双数字证书的方法，是应用在证书认证机构中，包括：向用户颁发两张数字证书，其中每张数字证书的第一用户定义字段中填充有第一校验值，用于指示该数字证书是属于双证书体系，每张数字证书的第二用户定义字段中填充有第二校验值，用于指示根据证书认证机构发布的校验规则对与之匹配的另一个数字证书的身份信息进行校验计算的结果，每张数字证书的第三用户定义字段中填充有第三校验值，用于指示该数字证书是签名证书还是加密证书。本发明能够解决现有双数字证书使用过程中存在的第三方用户容易替换双数字证书中的任意一张，同时不被双数字证书的拥有者所知，从而会产生不良后果的技术问题。

技术领域

本发明属于信息安全技术领域和互联网通信领域，更具体地，涉及一种颁发双数字证书的方法和系统。

背景技术

随着信息化程度的不断提高，各政府部门或企事业单位都已经在互联网上部署了大量的业务系统，并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来。这些业务数据是政府部门或企事业单位的重要数字资产，需要保证其机密性、真实性、完整性和不可否认性，目前主要是采用数字证书来满足这些要求。

数字证书是一种权威性的电子文档，用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书分为签名证书和加密证书，其中签名证书用于通信过程中的身份验证，其密钥对在客户端产生；加密证书用于通信过程中的密钥数据加密，其密钥对在服务端产生。现有的数字证书，要么是属于单证书体系，即用户仅仅使用签名证书或加密证书进行签名或加密操作，要么是属于双证书体系，即用户同时使用签名证书和加密证书进行签名和加密操作。

然而，现有双数字证书的使用过程中存在一些不可忽略的技术问题：第一，由于数字证书之间缺乏有效的匹配性，这会导致任意两张数字证书都能够被组合成双数字证书，从而使得第三方用户容易替换双数字证书中的任意一张，同时不被双数字证书的拥有者所知，因此会产生不良后果，给双数字证书的拥有者造成不必要的损失；第二，用户在使用时需要区分签名证书和加密证书，但是目前缺乏简易有效的区分方式，当不法分子使用加密证书作为签名证书、并使用签名证书作为加密证书时，很难获取不法交易的相关证据；第三，用户无法确定数字证书是属于单证书体系还是双证书体系，从而带来数字证书混用的问题。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种颁发双数字证书的方法和系统，其目的在于，解决现有双数字证书使用过程中存在的第三方用户容易替换双数字证书中的任意一张，同时不被双数字证书的拥有者所知，从而会产生不良后果的技术问题，以及无法有效区分加密证书和签名证书，导致很难获取不法分子交易证据的技术问题，以及用户无法确定数字证书是属于单证书体系还是双证书体系的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种颁发双数字证书的方法，是应用在证书认证机构中，包括：向用户颁发两张数字证书，其中每张数字证书的第一用户定义字段中填充有第一校验值，用于指示该数字证书是属于双证书体系，每张数字证书的第二用户定义字段中填充有第二校验值，用于指示根据证书认证机构发布的校验规则对与之匹配的另一个数字证书的身份信息进行校验计算的结果，每张数字证书的第三用户定义字段中填充有第三校验值，用于指示该数字证书是签名证书还是加密证书。

优选地，第一校验值和第三校验值可由证书认证机构自由设置，校验规则是Func(ID_a)或者Func(ID_a，ID_b)，其中Func表示校验函数，ID_a表示与当前数字证书b匹配的另一个数字证书a的身份信息，ID_b表示数字证书b的身份信息。

优选地，校验函数为哈希函数、MAC函数、或HMAC函数，身份信息为公钥、序列号、唯一名称、或者为两张证书专门约定的特征值。

优选地，第一用户定义字段、第二用户定义字段、以及第三用户定义字段三者是同一个字段，或者任意两个是同一个字段，或者三个都不是同一个字段。