[发明专利]数字证书更新方法

说明书

技术领域

本发明涉及网络与信息安全领域，尤其涉及一种数字证书更新方法。

背景技术

公钥基础设施(Public Key Infrastructure，简称PKI)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的密钥管理平台。该技术广泛应用于网上银行、电子商务、电子政务等领域。一个完整地PKI系统是由认证机构(Certification Authority，简称CA)、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成，其中认证机构在PKI系统中居于核心地位。

CA中心又称为数字证书认证中心，作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。

注册机构(Registration Authority，简称RA)中心是CA功能的延伸，其负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。RA中心是整个CA中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式；在这种情况下，用户注册、注册审核、统一发证等各个业务步骤都必须遵循统一化和规范化，这些业务都可以由RA中心来实现。

用户安全终端是用户用于在网上电子签名和数字认证的工具，用户安全终端通常使用内置安全芯片，采用1024位或者2048位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。用户安全终端存储着用户的私钥以及数字证书，利用其内置的公钥算法实现对用户身份的认证，同时通过内置的安全芯片也保证了用户证书的私钥无法被复制或者导出。例如网上银行用户、电子商务网站或者移动终端的用户所使用的USB-KEY、SD-KEY就是常用的安全终端。

目前，国内所使用的数字证书更新都采用用户通过网络或者到CA管理机构服务地点提出证书更新申请，由CA管理机构审核通过后通过网络或者寄发信件的方式向用户提供下载新的数字证书的参考码和授权码，用户再通过网络登陆到证书下载网址，输入得到的参考码和授权码从而将新的数字证书下载到自己的安全终端中。例如：各种银行网银、电子商务网站的数字证书更新均采用这种方式。采用这种证书更新技术在一定程度上增加了用户操作的繁琐度，也给CA管理机构带来了很多工作量，特别当出现用户集中进行数字证书更新时，例如在电子政务系统中极易出现年底用户大规模更新证书的情况，在这种情况下很容易出现用户集中发出申请造成等待时间较长，同时证书服务器系统需要对用户登录后的信息校验并提高证书下载，服务器压力较大，容易出现无法及时进行证书更新的情况。

发明内容

为解决上述问题，本发明提供一种数字证书更新方法，包括：

用户安全终端获取注册机构中心的服务器证书信息；用户安全终端根据服务器证书信息验证待更新的数字证书是否为与该注册机构中心相关联的认证机构中心颁发的数字证书，若验证通过，则通过注册机构中心向认证机构中心发送更新数字证书的证书申请；用户安全终端接收到来自认证机构中心的新的数字证书。

其中，在用户安全终端获取注册机构中心的服务器证书信息之前，该方法还包括：用户安全终端对待更新的数字证书进行初始验证，该初始验证包括对待更新的数字证书的有效期进行验证；若验证通过，则用户安全终端与注册机构中心建立安全连接。

其中，用户安全终端对待更新的数字证书进行初始验证，还包括：验证该数字证书以及扩展信息是否与该用户的用户信息相匹配。

其中，用户安全终端获取注册机构中心的服务器证书信息，包括：用户安全终端通过安全连接获取注册机构中心的服务器证书信息。

其中，用户安全终端通过注册机构中心向认证机构中心发送更新数字证书的证书申请，包括：注册机构中心验证待更新的数字证书是否有更新的权限，若验证该数字证书有更新权限，则用户安全终端向注册机构中心发送更新数字证书的证书申请；注册机构中心与认证机构中心建立安全连接，并将更新数字证书的证书申请发送至认证机构中心。

其中，注册机构中心通过验证待更新的数字证书的序列号，验证该数字证书是否有更新权限。

其中，在认证机构中心接收到更新数字证书的证书申请之后，该方法还包括：认证机构中心生成新的数字证书，并将新的数字证书通过注册机构中心发送至用户安全终端。