一种可视化数字证书申请方法

本发明属于信息安全技术领域，更具体地，涉及一种可视化数字证书申请方法。

作为身份识别的关键技术，数字证书广泛应用于安全通讯、代码签名保护、身份授权等领域，是现代金融行业的安全支柱。而随着近几年移动互联网的高速发展，客户端的多种平台系统(如iOS/Android/Windows/Mac/Linux)和多种技术框架(如原生iOS/HTML5等)对于新兴算法的数字证书支持水平却参差不齐，并且，随着近些年国产密码算法的推进，这个问题变得愈发严重。现有数字证书申请方法存在以下技术问题：

首先，现有方法申请的数字证书需要专业的解析框架才能支持，但由于客户端的各种平台系统的数字证书解析框架存在差异，在部分客户端的平台系统中会出现无法解析和显示数字证书中的新的密钥算法，导致数字证书无法使用；此外，不同客户端的平台系统根据所解析到的数字证书信息自行排版设计，无法达到统一的显示效果。

针对现有技术的以上缺陷或改进需求，本发明提供了一种可视化数字证书申请方法，其目的在于解决不同客户端的平台系统的数字证书解析框架差异导致的数字证书无法解析或无法正常显示和不同客户端的平台系统的数字证书显示效果不统一的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种可视化数字证书申请方法，具体包括如下步骤：

(1)数字证书认证中心获取可视化数字证书图片模板；

(2)数字证书认证中心接收来自客户端的可视化数字证书申请请求；

(3)数字证书认证中心对可视化数字证书申请请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请请求中的可视化数字证书信息，并使用该可视化数字证书信息签发标准数字证书C1，然后进入步骤(4)，否则向客户端返回可视化数字证书申请失败的通知，过程结束；

(4)数字证书认证中心将提取的可视化数字证书信息绘制在可视化数字证书图片模板中，以得到可视化证书信息图片P1；

(5)数字证书认证中心对标准数字证书C1和可视化证书信息图片P1进行签名，生成签名数据S4；

(6)数字证书认证中心对标准数字证书C1、可视化证书信息图片P1和签名数据S4进行编码，以生成可视化数字证书C2，并将可视化数字证书C2下发给客户端，过程结束；

按照本发明的另一方面，提供了一种可视化数字证书申请方法，具体包括如下步骤：

(1)客户端获取可视化数字证书图片模板；

(2)客户端生成可视化数字证书申请请求，将可视化数字证书申请请求和可视化数字证书图片模板发送给数字证书认证中心；

(3)数字证书认证中心对可视化数字证书申请请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请请求中的可视化数字证书信息和可视化数字证书图片模板，并使用该可视化数字证书信息签发标准数字证书C1，然后进入步骤(4)，否则向客户端返回可视化数字证书申请失败的通知，过程结束；

(4)数字证书认证中心将提取的可视化数字证书信息绘制在可视化数字证书图片模板中，以得到可视化证书信息图片P1；

(5)数字证书认证中心对标准数字证书C1和可视化证书信息图片P1进行签名，生成签名数据S4；

(6)数字证书认证中心对标准数字证书C1、可视化证书信息图片P1和签名数据S4进行编码，以生成可视化数字证书C2，并将可视化数字证书C2下发给客户端，过程结束；

优选地，步骤(2)中客户端向数字证书认证中心发起可视化数字证书申请请求时，客户端对可视化数字证书图片模板信息进行哈希运算，以得到哈希结果H1，利用与可视化数字证书申请请求中的公钥对应的私钥对哈希结果H1进行签名，以生成签名数据S2，并将可视化数字证书申请请求、可视化数字证书图片模板、签名原文(即哈希结果H1)和签名数据S2发送给数字证书认证中心。

按照本发明的又一方面，提供了一种可视化数字证书申请方法，具体包括如下步骤：

(1)数字证书认证中心获取可视化数字证书图片模板；

(2)当客户端已有标准数字证书C1时，客户端将标准数字证书C1发送给数字证书认证中心，向数字证书认证中心发起可视化数字证书申请补发请求；

(3)数字证书认证中心对可视化数字证书申请补发请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请补发请求中的标准数字证书C1和可视化数字证书信息，然后进入步骤(4)，否则向客户端返回可视化数字证书申请补发失败的通知，过程结束；

(4)数字证书认证中心将提取的可视化数字证书信息绘制在可视化数字证书图片模板中，以得到可视化证书信息图片P1；

(5)数字证书认证中心对标准数字证书C1和可视化证书信息图片P1进行签名，生成签名数据S4；

(6)数字证书认证中心对标准数字证书C1、可视化证书信息图片P1和签名数据S4进行编码，以生成可视化数字证书C2，并将可视化数字证书C2下发给客户端，过程结束；

优选地，步骤(2)中客户端向数字证书认证中心发起可视化数字证书申请补发请求时，客户端首先利用标准数字证书的私钥对任意随机数和当前时间戳进行签名，生成签名数据S1，然后对标准数字证书C1、签名原文(即任意随机数和当前时间戳)、签名数据S1进行组包后发送给数字证书认证中心，向数字证书认证中心发起可视化数字证书申请补发请求。

按照本发明的再一方面，提供了一种可视化数字证书申请方法，具体包括如下步骤：

(1)数字证书认证中心获取可视化数字证书图片模板；

(2)当客户端已有标准数字证书C1时，客户端将标准数字证书C1和可视化数字证书图片模板发送给数字证书认证中心，并向数字证书认证中心发起可视化数字证书申请补发请求；

(3)数字证书认证中心对可视化数字证书申请补发请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请补发请求中的标准数字证书C1、可视化数字证书信息和可视化数字证书图片模板，然后进入步骤(4)，否则向客户端返回可视化数字证书申请补发失败的通知，过程结束；

(4)数字证书认证中心将提取的可视化数字证书信息绘制在可视化数字证书图片模板中，以得到可视化证书信息图片P1；

(5)数字证书认证中心对标准数字证书C1和可视化证书信息图片P1进行签名，生成签名数据S4；

(6)数字证书认证中心对标准数字证书C1、可视化证书信息图片P1和签名数据S4进行编码，以生成可视化数字证书C2，并将可视化数字证书C2下发给客户端，过程结束。

优选地，步骤(2)中客户端向数字证书认证中心发起可视化数字证书申请补发请求时，客户端首先对可视化数字证书图片模板信息进行哈希运算得到哈希结果H1，然后利用标准数字证书的私钥对任意随机数、当前时间戳和哈希结果值H1进行签名，生成签名数据S3，最后对标准数字证书C1、签名原文(即任意随机数、当前时间戳和哈希结果H1)、签名数据S3进行组包，将组包后的数据和可视化数字证书图片模板发送给数字证书认证中心，并向数字证书认证中心发起可视化数字证书申请补发请求。

优选地，上述四种方案中步骤(1)中的可视化数字证书图片模板是按照如下子步骤建立的：

(1-1)随机获取一张背景图片；

(1-2)将可视化数字证书信息中的证书标题按照预先配置的位置、字体和字体颜依次绘制在步骤(1-1)中获取的背景图片中，以得到可视化数字证书显示图片；

(1-3)将可视化数字证书信息中的证书内容按照预先配置的位置、字体和字体颜配置在可视化数字证书显示图片中，以得到可视化数字证书图片模板。

优选地，可视化数字证书信息包括证书标题和证书内容两部分，二者是以键值对的方式存在，可视化数字证书信息具体包括：证书专用名称、证书序列号、颁发者、生效时间、失效日期、证书公钥信息、密钥算法类型和密钥用途。

优选地，可视化数字证书信息中的证书标题和证书内容的位置，是用可视化数字证书信息中的证书标题和证书内容的左下角和右上角在可视化数字证书显示图片中的坐标来表示。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)本发明采用的步骤(1)和步骤(4)生成的可视化证书信息图片P1，经过步骤(5)签名和步骤(6)编码后生成可视化数字证书，客户端收到该可视化数字证书，只需解析出可视化证书信息图片P1，就得到数字证书的全部信息，避免了客户端没有专业工具或者解析库时，无法解析标准数字证书，或者客户端不支持数字证书内所用密钥算法类型时，无法正常显示数字证书的全部内容；

(2)本发明的可视化证书信息图片P1，是按照可视化步骤(1)中的可视化数字证书图片模板的格式生成的，不区分客户端的平台系统，都能按照统一的排版格式，实现相同的显示效果；

(3)本发明的另一种实施方式采用由客户端生成可视化数字证书图片模板，可根据客户自身的需求和偏好来设置模板，实现上更简单，应用上更灵活；

(4)本发明的另一种实施方式适用于已有标准数字证书，再申请可视化数字证书的客户端中，针对不同情况的客户端，提供不同实施方式的方法，应用范围更广。

图1是本发明的流程图。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

一种可视化数字证书申请方法，具体包括如下步骤：

(1)数字证书认证中心(CertificationAuthority，简称CA)获取可视化数字证书图片模板；

具体而言，可视化数字证书图片模板是按照如下子步骤建立的：

(1-1)随机获取一张背景图片；

(1-2)将可视化数字证书信息中的证书标题按照预先配置的位置、字体和字体颜依次绘制在步骤(1-1)中获取的背景图片中，以得到可视化数字证书显示图片；

具体而言，可视化数字证书信息包括证书标题和证书内容两部分，二者是以键值对的方式存在，可视化数字证书信息具体包括：证书专用名称(DistinguishedName，简称DN)、证书序列号(Serial Number，简称SN)、颁发者(Issuer)、生效时间(NotBefore)、失效日期(NotAfter)、证书公钥信息(Public Key)、密钥算法类型(KeyAlgorithm)和密钥用途(Key Usage)；

(1-3)将可视化数字证书信息中的证书内容按照预先配置的位置、字体和字体颜配置在可视化数字证书显示图片中，以得到可视化数字证书图片模板；

优选地，步骤(1-2)和步骤(1-3)中，可视化数字证书信息中的证书标题和证书内容的位置，是用可视化数字证书信息中的证书标题和证书内容的左下角和右上角在可视化数字证书显示图片中的坐标来表示；

(2)CA接收来自客户端的可视化数字证书申请请求；

具体而言，在本发明中，可视化数字证书申请请求是标准证书签名请求(Certificate Signing Request，简称CSR)，应该理解本发明绝不局限于此，任何数字证书申请请求都应落入本发明的保护范围中。

(3)CA对可视化数字证书申请请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请请求中的可视化数字证书信息，并使用该可视化数字证书信息签发标准数字证书C1，然后进入步骤(4)，否则向客户端返回可视化数字证书申请失败的通知，过程结束；

具体而言，如果可视化数字证书申请请求中的证书签名信息能够被签名验证通过，则表示验证通过，否则表示验证不通过。

进一步优选地，本发明的上述步骤(2)和步骤(3)可以被替换为步骤(2a)和(2b)：

(2a)当客户端已有标准数字证书C1时，客户端首先利用标准数字证书的私钥对任意随机数和当前时间戳进行签名，生成签名数据S1，然后对标准数字证书C1、签名原文(即任意随机数和当前时间戳)、签名数据S1进行组包后发送给CA，向CA发起可视化数字证书申请补发请求；

本步骤中的组包方式优选使用Attached模式。

本步骤(2a)是在客户端已有标准数字证书的情况下，再次申请可视化数字证书，本发明既适用初次申请可视化数字证书，又适用于申请补发可视化数字证书，应用场景广泛。

(3a)CA对可视化数字证书申请补发请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请补发请求中的标准数字证书C1和可视化数字证书信息，然后进入步骤(4)，否则向客户端返回可视化数字证书申请补发失败的通知，过程结束；

具体而言，如果可视化数字证书申请补发请求中的签名数据S1利用标准数字证书的公钥能够被签名验证通过，则表示验证通过，否则表示验证不通过。

作为另一种实施方式，本发明的上述步骤(1)至步骤(3)也可以被替换为：

(1’)客户端获取可视化数字证书图片模板；

其中，可视化数字证书图片模板的建立过程同上述步骤(1)；

(2’)客户端生成可视化数字证书申请请求，对可视化数字证书图片模板信息进行哈希运算，以得到哈希结果H1，利用与可视化数字证书申请请求中的公钥对应的私钥对哈希结果H1进行签名，以生成签名数据S2，并将可视化数字证书申请请求、可视化数字证书图片模板、签名原文(即哈希结果H1)和签名数据S2发送给CA；

具体而言，在本发明中，可视化数字证书申请请求是标准CSR，应该理解本发明绝不局限于此，任何数字证书申请请求都应落入本发明的保护范围中。

本步骤中的哈希运算优选使用SM3算法。

(3’)CA对可视化数字证书申请请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请请求中的可视化数字证书信息和可视化数字证书图片模板，并使用该可视化数字证书信息签发标准数字证书C1，然后进入步骤(4)，否则向客户端返回可视化数字证书申请失败的通知，过程结束；

具体而言，如果可视化数字证书申请请求中的证书签名信息能够被签名验证通过，并且可视化数字证书申请请求中的签名数据S2利用可视化数字证书申请请求中的公钥能够被签名验证通过，则表示验证通过，否则表示验证不通过。

步骤(1’)至步骤(3’)，由客户端生成可视化数字证书图片模板，可根据客户端的需求和偏好来设置自己所需要的模板，方法更灵活。

作为另一种实施方式，本发明上述步骤(2’)和步骤(3’)可以被替换为：

(2b)当客户端已有标准数字证书C1时，客户端首先对可视化数字证书图片模板信息进行哈希运算得到哈希结果H1，然后利用标准数字证书的私钥对任意随机数、当前时间戳和哈希结果值H1进行签名，生成签名数据S3，最后对标准数字证书C1、签名原文(即任意随机数、当前时间戳和哈希结果H1)、签名数据S3进行组包，将组包后的数据和可视化数字证书图片模板发送给CA，并向CA发起可视化数字证书申请补发请求；

本步骤中的哈希运算优选使用SM3算法。

(3b)CA对可视化数字证书申请补发请求进行解析和验证，如果验证通过，则提取该可视化数字证书申请补发请求中的标准数字证书C1、可视化数字证书信息和可视化数字证书图片模板，然后进入步骤(4)，否则向客户端返回可视化数字证书申请补发失败的通知，过程结束；

具体而言，如果可视化数字证书申请补发请求中的签名数据S3利用标准数字证书的公钥能够被签名验证通过，则表示验证通过，否则表示验证不通过。

(4)CA按照可视化数字证书图片模板中配置的位置、字体和字体颜，将提取的可视化数字证书信息中的证书内容绘制在可视化数字证书图片模板中，以得到可视化证书信息图片P1；

本步骤中生成的可视化证书信息图片P1优选为JPEG格式，该格式有利于减小可视化数字证书文件大小；应该理解的是，可视化证书信息图片P1并不局限于该图片格式，任何本领域中为人所熟知的图片格式(例如Tiff、Png、Gif等)，均在本发明的保护范围内。

(5)CA对标准数字证书C1和可视化证书信息图片P1进行签名，生成签名数据S4；

具体而言，本发明中使用的签名算法可以是SM2算法，也可以是RSA算法；应该理解本发明不局限于此，任何签名算法都应落入本发明的保护范围中。

(6)CA对标准数字证书C1、可视化证书信息图片P1和签名数据S4进行编码，以生成可视化数字证书C2，并将可视化数字证书C2下发给客户端，过程结束；

具体而言，本步骤中采用的编码方式是抽象语法标记(Abstract SyntaxNotation One，简称ASN.1)编码；

可替换地，本步骤中采用的编码方式也可以是可扩展置标语言(EXtensibleMarkup Language，简称XML)编码；

可替换地，本步骤中采用的编码方式还可以是自定义编码，具体为：

将标准数字证书C1、可视化证书信息图片P1、签名数据S4、签名过程中用到的摘要算法digistAlgorithms使用固定间隔字符进行串联，如：C1|P1|digistAlgorithms|S4，其中digistAlgorithms表示摘要算法，其与步骤(5)的签名算法相对应，也就是说如果步骤(5)采用的签名算法是SM2，则摘要算法是SM3；如果步骤(5)采用的签名算法是RSA，则摘要算法是SHA256；

需要说明的是，该自定义编码不限定为以上描述顺序，上述四者可以以任何顺序进行排列组合。

客户端在接收到CA下发的可视化数字证书C2，对其进行解码，获得标准数字证书C1和可视化证书信息图片P1；

客户端采用的解码方式和上述步骤(6)中的编码方式完全对应，也就是说，如果步骤(6)采用ASN.1编码，则客户端采用ASN.1解码。

标准数字证书C1需要专业工具或者解析库才能解析，对不支持数字证书内所用密钥算法类型(KeyAlgorithm)的客户端，无法解析数字证书，或者无法正常显示全部证书信息；对支持解析数字证书的客户端，可视化显示证书信息时，各客户端自行排版，显示效果各不相同。客户端解码出来的可视化证书信息图片P1，则是由CA统一生成，图片显示的内容和格式完全一致，在客户端没有专业工具或者解析库时，也能正常的显示数字证书的全部内容。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。