一种处理数字证书申请的方法和系统

本发明属于信息安全技术领域和互联网通信领域，更具体地，涉及一种处理数字证书申请的方法和系统。

随着信息化程度的不断提高，各政府部门或企事业单位都已经在互联网上部署了大量的业务系统，并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来，这些业务数据是政府部门或企事业单位的重要数字资产，信息化建设过程中需要保证其机密性、真实性、完整性和不可否认性。

在这些业务的应用场景中，通常采用数字证书来满足这些要求。数字证书是一种权威性的电子文档，相当于网络环境中的一种身份证，用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书是由证书认证机构(Certificateauthority，简称CA)发行，每一个数字证书包含了主体身份的部分信息、主体所持有的公开密钥及证书认证机构的数字签名。随着各企事业单位的业务种类日益丰富，应用数字证书的业务也不断增加，不同的业务对安全性的要求可能有所不同，因此安装在设备上每个应用程序中通常都有多张不同可信度的数字证书。

双证书的出现打破了之前的一些申请数字证书的规则，导致现有处理证书申请的方法存在以下技术问题：首先，在客户端发出数字证书申请请求后，证书认证机构根据该数字证书申请请求生成数字证书，但是客户端却无法知道该数字证书是否是客户端自身所需要的(例如客户端希望获取的是双证书，但是证书认证机构实际生成的确实单证书)；此外，证书认证机构单凭该数字证书申请请求，并不能判断生成的数字证书是属于单证书体系(即用户仅仅使用签名证书或加密证书进行签名或加密操作)，还是双证书体系(即用户同时使用签名证书和加密证书进行签名和加密操作)。

针对现有技术的以上缺陷或改进需求，本发明提供了一种处理数字证书申请的方法和系统，其目的在于，解决现有处理证书申请的方法中存在的客户端无法知道证书认证机构生成的数字证书是否是该客户端自身所需要的数字证书的技术问题，以及证书认证机构无法判断生成的数字证书是属于单证书体系还是双证书体系的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种处理数字证书申请的方法，是应用在证书认证机构中，且包括以下步骤：

(1)接收来自客户端的数字证书申请请求，并提取数字证书申请请求中用户定义字段中的特征值；

(2)根据步骤(1)中提取的特征值判断数字证书申请请求对应的数字证书是属于单证书体系，还是双证书体系，如果是单证书体系，则制作对应的单证书，并发送给客户端，过程结束；如果是双证书体系，则制作对应的双证书，并将该双证书连同加密结果发送给客户端，过程结束。

优选地，用户定义字段中的特征值用于指示该数字证书申请请求对应的数字证书属于单证书体系/双证书体系。

优选地，数字证书申请请求是证书签名请求，用户定义字段是证书签名请求中可以供用户自由修改的字段，用户定义字段优选为DN字段或扩展字段。

优选地，当客户端接收到来自证书认证机构制作好的单证书或者双证书后，会判断该证书是否是其期望的数字证书，如果不是，则客户端向证书认证机构发送出现问题报告，如果是则过程结束。

优选地，加密结果是在证书认证机构中，通过以下步骤生成：

(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到签名证书的公钥/临时公钥；

(2)获取加密证书密钥对，利用随机产生的对称密钥对加密证书密钥对中的私钥进行加密，以得到第一加密结果，利用签名证书的公钥/临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果。

优选地，对加密证书密钥对中的私钥进行加密是结合对称加密算法和非对称加密算法，对随机产生的对称密钥进行加密是非对称加密算法。

优选地，加密结果是在证书认证机构中，通过以下步骤生成：

(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到签名证书的公钥/临时公钥；

(2)获取加密证书密钥对，并利用签名证书的公钥/临时公钥对加密证书密钥对中的私钥进行加密，以得到加密结果。

优选地，对加密证书密钥对中的私钥进行加密是非对称加密算法。

按照本发明的另一方面，提供了一种处理数字证书申请的系统，是应用在证书认证机构中，且包括：

第一模块，用于接收来自客户端的数字证书申请请求，并提取数字证书申请请求中用户定义字段中的特征值；

第二模块，用于根据第一模块中提取的特征值判断数字证书申请请求对应的数字证书是属于单证书体系，还是双证书体系，如果是单证书体系，则制作对应的单证书，并发送给客户端，过程结束；如果是双证书体系，则制作对应的双证书，并将该双证书连同加密结果发送给客户端，过程结束。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)由于本发明通过在数字证书申请请求的生成过程中就在用户定义字段中设置了特征值用于指示生成的数字证书属于双证书体系，从而使得证书认证机构在根据数字证书申请请求生成数字证书的过程中，就能够根据该特征值直接判断出生成的数字证书是属于单证书体系，还是双证书体系；

(2)由于本发明在步骤(2)中将生成的数字证书发回给客户端，因此客户端能够直接地判断出证书认证机构生成的数字证书是否就是其期望的数字证书，并能够在生成的数字证书与期望的数字证书不一致时向证书认证机构发送问题报告。

图1是本发明处理数字证书申请的方法的流程图。：

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图1所示，本发明提供了一种处理数字证书申请的方法，其是应用在证书认证机构(Certificate authority，简称CA)中，且包括以下步骤：

(1)接收来自客户端的数字证书申请请求，并提取数字证书申请请求中用户定义字段中的特征值；

具体而言，在本发明中，数字证书申请请求是证书签名请求(Certificatesigning request，简称CSR)，应该理解本发明绝不局限于此，任何数字证书申请请求都应落入本发明的保护范围中。

在本实施方式中，客户端可以是诸如移动电话、个人电脑、应用程序、插件等。

在本步骤中，在客户端生成数字证书申请请求时，其需要符合证书认证机构的证书策略(Certificate Policy，简称CP)中的规定，该数字证书申请请求中包括用户定义字段，用户定义字段中填充有特征值，用于指示该数字证书申请请求对应的数字证书是属于双证书体系(在其他实施方式中，也可以用于指示该数字证书申请请求对应的数字证书是属于双证书体系)，该特征值也应符合证书策略中的规定。

举例而言，当数字证书申请请求是CSR请求时，用户定义字段是CSR中可以供用户自由修改的字段，比如使用者(Distinguished name，DN)字段、扩展字段等。

(2)根据步骤(1)中提取的特征值判断数字证书申请请求对应的数字证书是属于单证书体系，还是双证书体系，如果是单证书体系，则制作对应的单证书，并发送给客户端，过程结束；如果是双证书体系，则制作对应的双证书，并将该双证书连同加密结果发送给客户端，过程结束。

在本步骤中，当客户端接收到来自证书认证机构制作好的单证书或者双证书后，会判断该证书是否是其期望的数字证书，如果不是，则客户端向证书认证机构发送出现问题报告，如果是则过程结束。

加密结果是在证书认证机构中，通过以下步骤生成：

(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到签名证书的公钥/临时公钥；

(2)获取加密证书密钥对，利用随机产生的对称密钥对加密证书密钥对中的私钥进行加密，以得到第一加密结果，利用签名证书的公钥/临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果；

上述步骤中对加密证书密钥对中的私钥进行加密是结合对称加密算法和非对称加密算法，其中非对称算法可以是诸如SM2，RSA，ECC等，对称算法可以是诸如AES，3DES，DES，SM4等。应该注意的是该算法绝不局限于上述几种，任何结合非对称加密算法和对称加密算法到的算法均在本发明的保护范围内。

上述步骤中对随机产生的对称密钥进行加密是非对称加密算法，可以是诸如SM2、RSA、ECC等，应该注意的是该算法绝不局限于上述几种，任何非对称加密算法均在本发明的保护范围内。

证书认证机构中加密结果的生成过程也可以通过以下步骤：

(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到签名证书的公钥/临时公钥；

(2)获取加密证书密钥对，并利用签名证书的公钥/临时公钥对加密证书密钥对中的私钥进行加密，以得到加密结果；

本步骤中的加密是非对称加密算法，可以是诸如SM2、RSA、ECC等，应该注意的是该算法绝不局限于上述几种，任何非对称加密算法均在本发明的保护范围内。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。