一种数字证书申请快速审核方法

本发明涉及一种数字证书申请快速审核技术，具体涉及一种基于CA信任 集合的数字证书申请快速审核及其实现方法。

PKI是一种遵循既定标准的密钥管理平台，是为网络应用提供加密和数字 签名服务及所需密钥和证书的管理体系。它采用证书管理公钥，通过可信第三 方的认证机构CA，把用户的公钥和用户其他信息(如名称、、身份证 号等)捆绑在一起，在公钥加密技术基础上对证书的产生、管理、存储、发布 以及作废进行管理，并通过延伸到用户本地的接口为各种应用提供安全服务， 包括认证、身份识别、数字签名、加密等。典型的PKI由五部分组成：证书申 请者、注册机构、认证中心、证书库和证书信任方。其中注册机构RA系统提 供了提交证书申请、审核证书申请、提交注销申请、审核注销申请、提交恢复 申请、审核恢复申请、发布审核结果、查询用户、查看用户证书信息、删除用 户等功能。

证书申请可以分为两种方式：面对面的现场申请和通过互联网操作的在线 申请。

现场申请：用户本人到RA填写相关的表格，然后由RA受理人员录入用 户信息，提交给RA的服务器。

在线申请：用户通过互联网将自己的信息传给RA，RA根据认证中心制 定的策略审核用户，批准申请或拒绝发放证书。

现场申请是由受理人员人工进行审核，这样虽然保证申请信息的真实性， 但是需要用户到受理现场进行当面提出申请，对用户来说是非常不方便的，再 者需要受理人员针对每一项申请通过人工的方式对申请人的信息进行审核，并 将用户信息录入到RA服务器，工作效率非常低，人力成本高。

在线申请虽然简化了用户的工作，但对RA来说，仍然需要提供人力来完 成用户信息的比对和证实工作。而且RA在审核用户所提交的信息时，在线申 请所提交的信息无法像现场申请时，能够保证彼此的印证，这无形加大了受理 人员对信息审核的难度，极大影响其工作效果。

因此，不管是现场申请还是在线申请，整个PKI平台都存在RA审核效率 低的问题。这对于日益增长的大批量发证需求来说，是制约效率的瓶颈。由此， 提供一种效率高、安全性高的审核方法是本领域亟需解决的问题。

本发明针对现有数字证书申请系统所存在的效率慢等问题，提供一种数字 证书申请快速审核方法。该方法基于CA信任集合的数字证书来进行数字证书 申请的高速、安全的审核，大大提高数字证书的申请审批效率。

为了达到上述目的，本发明采用如下的技术方案：

一种数字证书申请快速审核方法，该审核方法包括如下步骤：

(1)用户利用由RA所信任的CA颁发的既有用户数字证书对新证书的 申请信息进行签名；

(2)RA利用由CA颁发并信任的既有RA数字证书来解析和验证经步骤 (1)签名的新证书的申请信息，并以此来来判断该新证书的申请信息是否为 用户发送的；

(3)在验证通过后，RA解析既有用户数字证书中所包含的用户申请信息， 并将其与步骤(2)获得的新证书的申请信息进行对比审核，以此判断新证书 的申请信息的真实性。

在本发明的优选方案中，所述步骤(3)通过解析用户既有的多个不同数 字证书中所包含的用户申请信息，来进行对比审核。

进一步的，所述审核方法还包括RA根据验证的用户信息项类型和数量对 用户申请的数字证书进行分级的步骤。

相比于传统的数字证书现场申请方式，本发明所提出的RA快速审核方法 能够实现RA审核的自动化，能有效的提高RA工作效率。

本发明提供的审核流程方便快捷，对用户来说，采用在线提交方式，便于 本地申请；对RA来说，基于既有的证书信息，可以实现RA审核工作的自动 化，提高审核工作的效率，极大地节省RA的人力物力，同时还提高整个审核 工作的安全和准确性，避免误差。

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明的原理图；

图2为本发明的流程图。

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解， 下面结合具体图示，进一步阐述本发明。

实际上，在数字证书应用日趋广泛的信息社会里，用户在申请一个新的数 字证书前可能已拥有一个或几个其他CA颁发的数字证书。比如，用户可能同 时拥有几家银行的数字证书用于账户操作。在用户申请那些数字证书时，对应 PKI系统中的RA实际上已经通过了用户信息的审核，也就是说既有数字证书 所存储的用户信息已被验证是真实可靠的。

为此，本发明利用这些已经被确认其真实性的信息来校验用户当前提交的 申请信息以此解决现有数字证书申请所存在的问题。

基于上述要求，本发明提供一种数字证书申请快速审核方法，该方法实施 时需要建立一CA信任数据库，该数据库中拥有被RA信任的所有CA所颁发 的数字证书，通过该数据库使得RA拥有并信任所有CA所颁发的数字证书。

基于上述原理，本发明提供的数字证书申请快速审核方法，其包括如下步 骤(如图1所示)：

(1)用户利用由CA颁发并信任的既有用户数字证书对新证书的申请信 息进行签名；

(2)RA利用既有RA数字证书来解析和验证经步骤(1)签名的新证书 的申请信息，并以此来来判断该新证书的申请信息是否为用户发送的；

(3)在验证通过后，RA解析用户数字证书中所包含的用户申请信息，并 将其与步骤(2)获得的新证书的申请信息进行对比审核，以此判断新证书的 申请信息的真实性。

这样通过该方法，能够实现RA审核的自动化，提高其审核效率。

为了进一步提高本发明审核方法的准确性和安全性，本发明在步骤(3) 通过解析用户既有的多个不同数字证书中所包含的用户申请信息，来进行对比 审核，由此可以提升申请信息自动化审核的准确性和安全性。

基于上述方案，本发明的具体实施过程如下：

本发明提供的审核方法基于既有的在线申请系统进行，为了使得RA能够 进行自动化的审核，需要定义针对该RA的CA信任集合。在该实施例中，该 信任集合可以表示记为：

GRA＝{CA1，CA2，......，CAn}，n∈{1，2，3，...}。

其中，GRA为RA的CA信任集合，当且仅当GRA具备以下特征：

(1)RA认可该集合内每个CA所颁发的数字证书；

(2)RA自身拥有集合内每个CA颁发的数字证书。

除此之外，RA所在PKI系统的CA所颁发证书与位于GRA的CAi(i＞0) 所颁发证书需要具有一些共性，比如证书的审核策略是类似的，或者证书中所 保存的用户重要私人信息项是相似的(例如姓名、身份证号等)，等等。

本发明所提供的方法进行实施时，还需满足一前提，即当前申请数字证书 的用户已经拥有了其他CA颁发的数字证书，而这些CA属于RA的CA信任 集合。

为便于描述，该实施例中将由属于GRA中的CAi(i＞0)颁发给用户的证书 记为Certi，其对应的公钥和私钥分别记为PKi和SKi；

将用户当前申请的新证书记为Cert；

将CAi(i＞0)颁发给RA的证书记为CertRAi，其对应的公钥和私钥分别记 为PKRAi和SKRAi。

由此，当用户持有一张由属于GRA的CAi所颁发的数字证书Certi时，新 数字证书的申请流程和RA的审核流程可以表述如下(参见图2)：

第一步，用户在客户端用既有数字证书Certi对新证书申请信息INFO签名， 即SIGN(INFO)，具体步骤为：对INFO计算hash值得到INFO摘要信息 INFOhash，并用既有数字证书Certi所对应的私钥SKi加密该摘要。

第二步，客户端将新证书申请信息INFO用RA的公钥PKRAi加密，即 ENCRA(INFO)，然后将SIGN(INFO)和ENCRA(INFO)拼接在一起生成S： SIGN(INFO)‖ENCRA(INFO)，发送给RA，即User→RA：S。

第三步，RA接收到S，分解S得到SIGN(INFO)和ENCRA(INFO)。

第四步，RA验签，具体步骤为：用RA证书CertRAi对应的私钥SKRAi解 密ENCRA(INFO)，得到INFO；用客户既有数字证书Certi对应的公钥PKi解 密SIGN(INFO)，得到INFO’hash；

再由RA对解密得到的INFO计算hash值，并将计算得到的值与解密得到 的INFO’hash比较：如果一致，则表明RA接收的信息是由用户发送来的；如果 不一致，则表示RA接收的信息不是由用户发送来的，RA返回审核失败信息 给用户，通知用户申请被拒绝。

第五步，基本信息审核，若在第四步中RA对用户验签通过，则继续从用 户的既有数字证书Certi中解析用户个人信息INFO’，并将第四步中解析所得到 的INFO与INFO’比对：如果INFO所包含的信息与INFO’中的对应项一致， 则表明用户提交申请信息真实可信，RA可以通过对用户的信息审核，并通知 CA发证。如果INFO所包含的信息与INFO’中的对应项不一致，RA将审核失 败的信息返回给用户，通知用户申请被拒绝。

上述方案在提出一种RA快速审核方法的同时，也提出了一种建立CA横 向信任链的方法。严格分级的CA信任体系是纵向分级的，信任链也因此是纵 向的，即下级CA由上级CA授权。而CA信任集合是一种横向信任链，集合 内各个CA的信任锚不需要是同一个，彼此之间的也不存在严格的互操作关系。 这种信任集合是面向具体应用的，更具有实际操作意义。另外，本发明给出的 CA信任集合GRA定义还仅仅是单向的，即RA认可集合内CA颁发的证书。 这个定义还可以拓展为双向的，即集合内的任意CA所对应的RA认可集合内 所有CA所颁发的证书。此时，GRA可以简写为G，即它的特征不再只针对某 个具体RA成立。

上述方案中还可以依据用户既有数字证书Certi所含用户信息的类别对用 户进行分级管理。CA信任集合所颁发的Certi之所以能用来验证用户申请新证 书时的信息是否真实，是因为在实际应用中，Certi所含信息与用户当前所提交 的申请信息有重合，比如用户的姓名和身份证号等。能证实用户申请信息真实 可信的Certi越多，或者多个Certi所含用户信息的并集越大，用户信息的真实 可靠性就越高。RA可以根据可信度对用户进行分级管理，对应批准的数字证 书也可以赋予相应级别的权限。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业 的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中 描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明 还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本 发明要求保护范围由所附的权利要求书及其等效物界定。