[发明专利]一种将同一数字证书复用于多个终端的方法、装置和系统

说明书

本发明提供了一种将同一数字证书复用于多个终端的方法、装置和系统，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效。本发明解决了如何安全地将同一数字证书复用于多个终端的技术问题，为用户持有的多部智能终端提供一人一证的安全体验，实现安全、便捷与成本的统一。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种将同一数字证书复用于多个终端的方法、装置和系统。

背景技术

基于公钥密码学的数字证书技术已经广泛应用在各类安全认证应用中，数字证书也已经成为互联网上的“身份证”。数字证书是将用户身份(比如证件)与公钥绑定，并经权威认证中心签发的数据文件，可用来确定用户身份，传递信任关系。数字证书的签发机制主要包括三个顺序执行的关键步骤：一是临柜面审，例如用户至银行柜面办理数字证书时，通过面对面的审核机制确保用户身份可靠；二是产生公私钥对，由用户所持有的终端设备产生私钥，亦即产生了与该私钥构成非对称关系的公钥；三是数字证书签发，将绑定了用户身份与公钥的数字证书申请书(CSR)提交至权威认证中心，由权威认证中心完成数字证书的签发。由上可见，数字证书可作为用户在网上进行电子交易的身份证明，是与其严谨的签发机制密不可分的。

随着移动互联网的飞速发展，移动应用全方位地改变着人们的生活习惯，智能终端逐渐替代传统U盾。然而，数字证书签发的复杂性日渐成为制约移动互联网业务发展的枷锁，包括用户体验和数字证书成本两大技术问题。其中，用户体验问题凸显为：现实生活中，人们往往持有多部智能终端，包括智能手机、平板电脑等；且随着智能终端产品的快速更新与推广，“换购新机”已成大众消费习惯。对于已经办理过的数字证书，如何实现一张数字证书在多终端复用，免去二次临柜的繁琐，是改善用户体验亟需解决的首要问题。数字证书成本问题：由于数字证书是针对公钥的绑定技术，亦即间接绑定了私钥，而传统公钥密码体系是基于终端保护私钥的，即一终端对应一私钥，因此，一终端也对应一数字证书，一人多证的使用模式，增加了数字证书成本，也增加了数字证书维护与管理的复杂度。综上所述，兼顾安全、便捷与成本，如何将同一数字证书复用于多个终端，是数字证书技术在移动互联网时代所面临的重要技术问题。

发明内容

为了解决上述技术问题，本发明的提供了一种将同一数字证书复用于多个终端的方法、装置和系统，解决了如何安全地将同一数字证书复用于多个终端的技术问题，为用户持有的多部智能终端提供一人一证的安全体验，实现安全、便捷与成本的统一。

本发明一方面提供了一种将同一数字证书复用于多个终端的方法，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效。

进一步的，所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：

将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1 d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；