[发明专利]一种多个数字证书的关联方法和验证方法

说明书

技术领域

本发明涉及从一个或多个数字证书(称作主证书), 创建一个或者多个相关联的数字证书(称作副证书)，以及这种关联的有效性验证的问题。用于解决目前已经持有合法有效数字证书的单位或者个人，在现有有效证书的基础上，创建或者获取新的关联数字证书，用于其它业务和应用系统的问题。

背景技术

数字证书是证明用户身份的网上标识，在网络中识别通讯各方的身份，即在虚拟社会中解决“我是谁”的问题。通俗的讲，数字证书就好像是网上用户的身份证，能够保证您在网络上进行的交易是安全的和可信的。

数字证书主要有如下作用：

身份认证：数字证书中包括的主要内容有：证书拥有者的单位信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的CA、CA的数字签名等。

加密传输信息：通过数字证书在网上传输数据，这些数据要进行加密，然后以密码的形式在Internet上传输。发送方用接收方的公钥对文件进行加密，接收方用只有自己才有的私钥进行解密，得到文件明文。

数字签名抗否认：在现实生活中用公章、签名等来实现的抗否认，在网上可以借助数字证书的数字签名来实现。

数字证书被广泛的使用于军事、金融、电子政务和电子商务领域，用于在因特网中识别使用者的身份。

但是两张数字证书之间的关联性目前无法得到有效的验证。例如某机构申请一张证书A，用于需要使用法人身份的场合（类似企业公章），另外又申请了一张证书B，用于电子合同（类似企业合同章）。其中证书B在使用范围和权限上是属于证书A的，A有效，B才有效，但是目前的证书体系中对于类似情况并没有体现出这样的关联性。

发明内容

本发明要解决的技术问题是：根据上文中提到的存在问题，通过在签发副证书的时候，加入主证书的专有标识，来实现主副证书之间的关联。

副证书的签发步骤如下：

1.       获取证书签发所需必要信息，例如证书DN项，密钥用途，扩展密钥用途等。

2.       使用主证书对副证书签发信息中的某项或者部分或者全部内容进行签名，并得到主证书签名结果，签名时还可以加入副证书Subject Key Identifier等防重放元素，也可以加入有效期等限制条件。

3.       如果有多张主证书，可以使用每张主证书都进行一次步骤二中的操作，也可以使用每张主证书对上一张主证书的签名结果再次签名，以获取最终的签名结果。

4.       将主证书签名结果、主证书唯一标识等作为主证书专有标识，作为证书签发请求的一部分发送到证书签发系统（CA)。

5.       由证书签发系统（CA)，根据自身的证书策略，在签发副证书的同时，将主证书专有标识附加在副证书内容中，附加的位置可以是副证书的主题项，签发者项，或者其它证书扩展项中。

6.       副证书的持有者获得签发好的副证书。

  有益效果：数字证书是用来标识一个实体（例如单位，个人等）在网络上的数字身份。但是在线下的生活中，一个公司既有公章也有财务章、合同章；一个个人既有身份证，也有护照、工作证等多个身份标识。在申领护照的时候，需要提交身份证，身份证失效，护照也会相应的生效。与本发明类比，显然身份证就是主证书，护照就是副证书。

既然在线下的生活中存在这样的身份标识的关联，当我们在设计和使用网络上的数字身份的时候，也需要具有同样对应的模式，这样才可以在不改变用户使用习惯和（政府等机构）管理方式的情况下，把线下的业务搬到网上。

设想一下基于数字证书的电子护照的实现。通过本发明，在电子护照证书中可以直接嵌入身份证证书的专有标识。这种嵌入，不破坏数字证书原有的结构。在验证时，用户不需要提交自己的主证书（因为证书本身就是公开的信息，验证机构可以通过主证书专有标识中的主证书唯一标识通过其它途径获取），简化了用户的使用过程，同时验证过程的安全性没有降低。

如果身份证证书已经失效，本验证过程会确保电子护照证书也会自动失效。那么如果要失效该用户的所有电子身份标识（副证书），只需要废除该用户的身份证证书（主证书）就可以了。

由于副证书中已经包含了主证书的专有标识，在应用系统中就不再需要自己建立主副证书的对照表，而是从副证书可以直接获取，简化了应用系统的复杂度，降低应用系统管理维护的成本，还可以避免信息更新不及时造成的对照表错误。

这些都是本发明带来的在使用和管理上的优势。

附图说明