[发明专利]一种多个数字证书的关联方法和验证方法

权利要求书

1.一种多个数字证书的关联方法，至少包括一个主证书、至少包括一个副证书，其特征在于，通过主证书，对副证书的签发请求中的特定信息进行数字签名操作，获得主证书专有标识，并由副证书的签发机构CA将主证书专有标识作为副证书内容中的组成部分，包含在签发后的副证书中。

2.根据权利要求1所述的多个数字证书的关联方法，其特征在于：对副证书的签发步骤如下，

步骤一、获取副证书签发所需必要信息；

步骤二、使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名，并得到主证书签名结果，签名时可以加入防重放元素，或者加入限制条件；

步骤三、如果有多张主证书，使用每张主证书都进行一次步骤二中的操作，或者使用每张主证书对上一张主证书的签名结果再次签名，以获取最终的签名结果；

步骤四、将主证书签名结果、主证书唯一标识作为主证书专有标识，作为证书签发请求的一部分发送到证书签发系统CA；

步骤五、由证书签发系统CA，根据自身的证书策略，在签发副证书的同时，将主证书专有标识附加在副证书内容中，附加的位置可以是副证书的主题项，签发者项，或者其它证书扩展项中；

步骤六、副证书的持有者获得签发好的副证书。

3.根据权利要求2所述的多个数字证书的关联方法，其特征在于：所述必要信息是指证书DN项、有效期；所述防重放元素是指副证书的Subject Key Identifier；所述限制条件是指主证书授权有效期；所述主证书的唯一标识是指主证书指纹。

4.根据权利要求1、2或者3所述的多个数字证书的关联方法，其特征在于：所述主证书专有标识是一个或者多个经过编码的数据，编码方式可以是ASN.1或者其它格式，其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。

5.根据权利要求1所述的多个数字证书的关联方法，其特征在于：

所述签名应满足完整性和不可否认性的操作。

6.一种多个数字证书的验证方法，其验证多个数字证书间的关联有效性，至少包括一个主证书、至少包括一个关联副证书，其特征在于，提取副证书中的主证书专有标识，通过签名验证的方法，验证所述主证书专有标识的有效性，从而获得该关联的有效性。

7.根据权利要求6所述的多个数字证书的验证方法，其特征在于：对副证书中主证书专有标识的验证步骤如下，

步骤一、从副证书中提取主证书专有标识，获取主证书唯一标识，通过主证书唯一标识，获取主证书；

步骤二、验证主证书有效性；

步骤三、验证主证书专有标识中的签名；

步骤四、如果有多个主证书，则重复步骤一到步骤三验证过程。

8.根据权利要求6或者7所述的多个数字证书的关联方法，其特征在于：

所述主证书专有标识是一个或者多个经过编码的数据，编码方式可以是ASN.1或者其它格式，其中包括主证书对副证书中的特定信息、限制条件的部分或者全部内容的数字签名、主证书唯一标识等。

9.根据权利要求6所述的多个数字证书的关联方法，其特征在于：

所述签名应满足完整性和不可否认性的操作。