[发明专利]一种基于SCEP协议的国密证书签发方法和系统

说明书

本发明提出了一种基于SCEP协议的国密证书签发方法和系统，所述方法包括：客户端通过SCEP协议基于新PKCSReq消息结构体对申请书P10数据进行封装获得双数字证书请求消息体，以向服务端发起数字证书请求；所述服务端接收到双数字证书请求消息体后，通过解析双数字证书请求消息体获取申请书P10数据，然后根据申请书P10数据签发签名证书、加密证书，并生成私钥密文数据；所述服务端通过SCEP协议基于新CertRep数据结构体对签名证书、加密证书以及私钥密文数据进行封装获得双数字证书响应消息体，并将其返回给客户端。本发明通过对请求的PKCSReq消息结构体和返回的CertRep数据结构体进行国密算法扩展，以支持使用SCEP协议的设备对接数字证书认证系统，签发国密算法的双证证书。

技术领域

本发明涉及数字证书技术领域，尤其涉及一种基于SCEP协议的国密证书签发方法和系统。

背景技术

对于一些标准硬件设备在进行证书申请时，会通过SCEP协议和数字证书认证系统进行系统交互，如图1所示，SCEP协议在进行证书申请时，在客户端发起证书申请时，会封装PKCSReq消息结构体作为请求体，其包含申请证书时需要的申请书P10数据。服务端接收到该请求时，通过解析请求体，获取P10数据；根据证书申请P10进行单证证书的签发流程，该过程需要使用PKCS#协议中的EnvelopedData结构体加密明文数据，以达到保护数据安全性的目的。但由于该SCEP协议是由Cisco和Verisign一起制定的一个通信协议，其仅支持RSA的单证书申请流程。对于需要申请国密双证体系证书的设备，该协议暂不支持。

发明内容

鉴于上述内容，有必要提供一种基于SCEP协议的国密证书签发方法和系统。

本发明第一方面提出一种基于SCEP协议的国密证书签发方法，所述方法包括：

构建用于申请双数字证书的新PKCSReq消息结构体，构建用于响应双证书申请请求的新CertRep数据结构体，基于所述新PKCSReq消息结构体和所述新CertRep数据结构体，对服务端和客户端进行预配置；

在客户端向服务端申请双数字证书时，客户端生成用于申请双数字证书的申请书P10数据， 所述客户端通过SCEP协议基于所述新PKCSReq消息结构体对所述申请书P10数据进行封装获得双数字证书请求消息体，并将所述双数字证书请求消息体发送至服务端，以发起双数字证书请求；

所述服务端接收到所述双数字证书请求消息体后，基于所述新PKCSReq消息结构体对所述双数字证书请求消息体进行解析，获取所述申请书P10数据；所述服务端还根据所述申请书P10数据签发签名证书和加密证书，并采用所述签名证书的公钥加密所述加密证书的私钥以生成私钥密文数据；

所述服务端通过SCEP协议基于所述新CertRep数据结构体对所述签名证书、所述加密证书以及所述私钥密文数据进行封装获得双数字证书响应消息体，并将所述双数字证书响应消息体返回给所述客户端；

所述客户端收到所述双数字证书响应消息体后，基于所述新CertRep数据结构体对所述双数字证书响应消息体进行解析，得到服务端回执的签名证书、加密证书以及加密证书的私钥。

本发明第二方面还提出一种基于SCEP协议的国密证书签发系统，所述系统包括：客户端和服务端，所述客户端与所述服务端通信连接；

所述客户端，用于生成双申请数字证书的申请书P10数据，通过SCEP协议基于新PKCSReq消息结构体对所述申请书P10数据进行封装获得双数字证书请求消息体，并将所述双数字证书请求消息体发送至服务端，以发起双数字证书请求；以及用于在接收到双数字证书响应消息体后，基于新CertRep数据结构体对所述双数字证书响应消息体进行解析，得到服务端回执的签名证书、加密证书以及加密证书的私钥；