基于pki體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法
【專利摘要】本發(fā)明公開了基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，該方法查詢時，首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)，根據(jù)B1用戶的用戶唯一標(biāo)識信息獲得B1用戶的證書唯一標(biāo)識項值，其次再通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對應(yīng)的證書存儲服務(wù)器配置信息，再利用已經(jīng)獲取到的B1用戶證書唯一標(biāo)識項值，在證書服務(wù)器中找到B1用戶的簽名公鑰證書或加密公鑰證書。該方法對原有系統(tǒng)改動小且能夠?qū)崿F(xiàn)多個應(yīng)用系統(tǒng)之間用戶公鑰證書的互查。
【專利說明】基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機和信息安全【技術(shù)領(lǐng)域】，具體涉及基于PKI體系的局域網(wǎng)或?qū)＞W(wǎng)應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法。
【背景技術(shù)】
[0002]隨著人們對應(yīng)用系統(tǒng)安全意識的增強，基于PKI體系的應(yīng)用系統(tǒng)越來越多，基于PKI體系的應(yīng)用系統(tǒng)之間相互結(jié)合的需求也相應(yīng)產(chǎn)生，在基于PKI體系的應(yīng)用系統(tǒng)中，很多業(yè)務(wù)流程都會有業(yè)務(wù)數(shù)據(jù)利用證書加密簽名、解密驗簽的需求，但由于不同的應(yīng)用系統(tǒng)使用的發(fā)證系統(tǒng)不同，證書存儲方式不同，多個應(yīng)用系統(tǒng)之間加密簽名很難實現(xiàn)在另一系統(tǒng)能解密驗簽，主要難點還是在于多個應(yīng)用系統(tǒng)之間用戶公鑰證書的互相查詢不容易實現(xiàn)。
[0003]針對上述情況，特別需要一種方法能實現(xiàn)多個應(yīng)用系統(tǒng)間的用戶公鑰證書互查，并且支持不同應(yīng)用系統(tǒng)使用不同發(fā)證系統(tǒng)，支持不同應(yīng)用系統(tǒng)使用不同的證書存放服務(wù)器?？紤]到對于已經(jīng)建設(shè)好的應(yīng)用系統(tǒng)的改造，也要求提供的方法盡量少的改動原有系統(tǒng)。
[0004]由此，提供一種對原有系統(tǒng)改動小且能夠?qū)崿F(xiàn)多個應(yīng)用系統(tǒng)間的用戶公鑰證書互查的方法是本領(lǐng)域亟需解決的問題。

【發(fā)明內(nèi)容】

[0005]本發(fā)明針對現(xiàn)有多個應(yīng)用系統(tǒng)之間用戶公鑰證書不能互相查詢的問題，而提供一種基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法。該方法對原有系統(tǒng)改動小且能夠?qū)崿F(xiàn)多個應(yīng)用系統(tǒng)之間用戶公鑰證書的互查。
[0006]為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案:
[0007]基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，該方法基于PKI體系的局域網(wǎng)或?qū)＞W(wǎng)應(yīng)用系統(tǒng)實施，其包括如下步驟:
[0008](I)應(yīng)用系統(tǒng)在注冊用戶時將用戶唯一標(biāo)識信息和該用戶對應(yīng)的證書唯一標(biāo)識項值的對應(yīng)關(guān)系存儲在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫或配置文件中；
[0009](2)應(yīng)用系統(tǒng)需要配置所對應(yīng)的存放證書的證書存儲服務(wù)器，并將配置信息保存在數(shù)據(jù)庫或配置文件中；
[0010](3)應(yīng)用系統(tǒng)本身對外提供一種數(shù)據(jù)獲取服務(wù)，通過該服務(wù)，其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲服務(wù)器配置信息；
[0011](4)若A應(yīng)用系統(tǒng)要獲取B應(yīng)用系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書，首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)，根據(jù)BI用戶的用戶唯一標(biāo)識信息獲得BI用戶的證書唯一標(biāo)識項值，其次再通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對應(yīng)的證書存儲服務(wù)器配置信息，再利用已經(jīng)獲取到的BI用戶證書唯一標(biāo)識項值，在證書服務(wù)器中找到BI用戶的簽名公鑰證書或加密公鑰證書。
[0012]在本發(fā)明的優(yōu)選實例中，所述步驟(I)中涉及的用戶唯一標(biāo)識信息可以包括GBK字符集包含的字符信息。[0013]進(jìn)一步的，所述步驟(I)中涉及的證書唯一標(biāo)識項值可以包括GBK字符集包含的
字符信息。
[0014]進(jìn)一步的，所述步驟(2)中描述的證書存儲服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)。
[0015]進(jìn)一步的，所述需要相互查詢證書的應(yīng)用系統(tǒng)中的證書存儲服務(wù)器類型可以不同。
[0016]進(jìn)一步的，所述應(yīng)用系統(tǒng)對外提供的數(shù)據(jù)獲取服務(wù)為基于TCP協(xié)議的數(shù)據(jù)獲取服務(wù)。
[0017]根據(jù)上述技術(shù)方案得到的本發(fā)明能夠為所有基于PKI體系的應(yīng)用系統(tǒng)提供與其它系統(tǒng)互通基于證書的加密簽名數(shù)據(jù)的方法，從而為PKI體系應(yīng)用系統(tǒng)的廣泛使用建立了一個良好的基礎(chǔ)。
[0018]同時，本發(fā)明對原有系統(tǒng)的改動非常小，能夠在對對原有系統(tǒng)改動盡可能小的情況下實現(xiàn)多個應(yīng)用系統(tǒng)間的用戶公鑰證書互查，大大提高方案的實用性。
【專利附圖】

【附圖說明】
[0019]以下結(jié)合附圖和【具體實施方式】來進(jìn)一步說明本發(fā)明。
[0020]圖1應(yīng)用系統(tǒng)內(nèi)部數(shù)據(jù)存放模式及多應(yīng)用之間相互證書查詢過程圖。
【具體實施方式】
[0021]為了使本發(fā)明實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。
[0022]本發(fā)明提供的基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，該方法基于PKI體系的局域網(wǎng)或?qū)＞W(wǎng)應(yīng)用系統(tǒng)實施。
[0023]其中涉及的應(yīng)用系統(tǒng)都是基于PKI體系，且所有的應(yīng)用系統(tǒng)相互間網(wǎng)絡(luò)可以互通。
[0024]每個應(yīng)用系統(tǒng)對所注冊的用戶都會形成用戶唯一標(biāo)識信息，每個用戶都有相應(yīng)的證書，并且每個證書都有唯一標(biāo)識項值。對于應(yīng)用系統(tǒng)中的用戶唯一標(biāo)識信息可以包括GBK字符集包含的字符信息，但是并不限于此，還以包括其他需要的信息。而證書唯一標(biāo)識項值可以包括GBK字符集包含的字符信息，但是并不限于此，還以包括其他需要的信息。
[0025]同時，應(yīng)用系統(tǒng)將用戶的用戶唯一標(biāo)識信息與用戶對應(yīng)證書的唯一標(biāo)識項值之間形成一一對應(yīng)關(guān)系，并將該對應(yīng)關(guān)系存儲在應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫或配置文件中。
[0026]每個應(yīng)用系統(tǒng)中都具有用于存放證書的證書存儲服務(wù)器，該證書存儲服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)。每個應(yīng)用系統(tǒng)對應(yīng)的證書存儲服務(wù)器都在局域網(wǎng)或?qū)＞W(wǎng)內(nèi)，其它應(yīng)用系統(tǒng)也可以訪問。
[0027]為進(jìn)一步提高本方案的實用新型，本發(fā)明中需要相互查詢證書的應(yīng)用系統(tǒng)所對應(yīng)的證書存儲服務(wù)器的類型可以不同。
[0028]為了實現(xiàn)其它應(yīng)用系統(tǒng)對證書存儲服務(wù)器的訪問，每個應(yīng)用系統(tǒng)都對本系統(tǒng)對應(yīng)的存放證書的證書存儲服務(wù)器進(jìn)行配置，并將這些配置信息存儲在系統(tǒng)內(nèi)置數(shù)據(jù)庫或配置文件中。[0029]為了實現(xiàn)相互的查詢，每個應(yīng)用系統(tǒng)都具有一對外的查詢借口，通過該查詢結(jié)構(gòu)應(yīng)用系統(tǒng)能夠提供一種對外的數(shù)據(jù)獲取服務(wù)，通過該服務(wù)，其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲服務(wù)器配置信息。在具體實現(xiàn)方式上，該對外的數(shù)據(jù)獲取服務(wù)可以為提供基于TCP協(xié)議的服務(wù)，但是并不限于此，根據(jù)需要同樣可以采用其它協(xié)議的服務(wù)。
[0030]據(jù)此，本發(fā)明在不同應(yīng)用系統(tǒng)之間相互查詢用戶公鑰證書的過程如下(參見圖1):
[0031](I)應(yīng)用系統(tǒng)在注冊用戶時將用戶唯一標(biāo)識信息和該用戶對應(yīng)的證書唯一標(biāo)識項值的對應(yīng)關(guān)系存儲在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫或配置文件中。
[0032]如，A系統(tǒng)中用戶Al的用戶唯一標(biāo)識信息與Al證書標(biāo)識對應(yīng)、A2的用戶唯一標(biāo)識信息與A2證書標(biāo)識對應(yīng)等，該對應(yīng)信息存儲在A系統(tǒng)的內(nèi)置數(shù)據(jù)庫或配置文件中，這樣便于后續(xù)的查詢。
[0033]B系統(tǒng)中用戶BI的用戶唯一標(biāo)識信息與BI證書標(biāo)識對應(yīng)、B2的用戶唯一標(biāo)識信息與B2證書標(biāo)識對應(yīng)等，該對應(yīng)信息存儲在B系統(tǒng)的內(nèi)置數(shù)據(jù)庫或配置文件中，這樣便于后續(xù)的查詢。
[0034](2)應(yīng)用系統(tǒng)需要配置所對應(yīng)的存放證書的證書存儲服務(wù)器，并將配置信息保存在數(shù)據(jù)庫或配置文件中。
[0035]如，A系統(tǒng)中配置對應(yīng)證書存儲服務(wù)器的目錄服務(wù)器IP:1.1.1.1、目錄服務(wù)器端口 3306、目錄服務(wù)器類型:mySql等，由此可知A系統(tǒng)證書存放在mysql服務(wù)器中。A系統(tǒng)對證書存儲服務(wù)器的配置信息保存在數(shù)據(jù)庫或配置文件中，以便查詢。
[0036]B系統(tǒng)中配置對應(yīng)證書存儲服務(wù)器的目錄服務(wù)器IP:1.1.1.2、目錄服務(wù)器端口389、目錄服務(wù)器類型:LDAP等，由此可知B系統(tǒng)證書存放在LDAP服務(wù)器中。B系統(tǒng)對證書存儲服務(wù)器的配置信息保存在數(shù)據(jù)庫或配置文件中，以便查詢。
[0037](3)應(yīng)用系統(tǒng)本身對外提供一種數(shù)據(jù)獲取服務(wù)，通過該服務(wù)，其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲服務(wù)器配置信息。
[0038]如A系統(tǒng)和B系統(tǒng)都配置對外提供數(shù)據(jù)獲取服務(wù)的接口，通過該接口可以實現(xiàn)其它系統(tǒng)根據(jù)用戶唯一標(biāo)識信息來獲取證書中唯一標(biāo)識項值，以及獲取本應(yīng)用系統(tǒng)用戶證書存放的服務(wù)器配置信息。
[0039](4) A系統(tǒng)根據(jù)需求查詢B系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書，具體如下:
[0040]如，UA系統(tǒng)中的業(yè)務(wù)X需要查詢B系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書，首先A系統(tǒng)向B系統(tǒng)的對外提供數(shù)據(jù)獲取服務(wù)接口發(fā)送數(shù)據(jù)獲取請求，即根據(jù)BI用戶的用戶唯一標(biāo)識信息查詢BI用戶的證書的唯一標(biāo)識項值和B系統(tǒng)中存放的證書存儲服務(wù)
器配置信息。
[0041]2、B系統(tǒng)根據(jù)請求查詢到相應(yīng)的數(shù)據(jù)，并將BI用戶的證書的唯一標(biāo)識項值和存放的證書存儲服務(wù)器配置信息返回給A系統(tǒng)。
[0042]3、A系統(tǒng)根據(jù)獲取到的證書存儲服務(wù)器配置信息訪問B系統(tǒng)中存放證書的證書存儲服務(wù)器，并根據(jù)獲取到的BI用戶的證書的唯一標(biāo)識項值查找到BI用戶相應(yīng)的加密公鑰證書或簽名公鑰證書，由此完成查詢。
[0043]由上可知，本發(fā)明提供的方案提供的查詢方法簡便實用。[0044]以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實施例的限制，上述實施例和說明書中描述的只是說明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
【權(quán)利要求】
1.基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，該方法基于PKI體系的局域網(wǎng)或?qū)＞W(wǎng)應(yīng)用系統(tǒng)實施，其特征在于，所述方法包括如下步驟: (1)應(yīng)用系統(tǒng)在注冊用戶時將用戶唯一標(biāo)識信息和該用戶對應(yīng)的證書唯一標(biāo)識項值的對應(yīng)關(guān)系存儲在該應(yīng)用系統(tǒng)內(nèi)置數(shù)據(jù)庫或配置文件中； (2)應(yīng)用系統(tǒng)需要配置所對應(yīng)的存放證書的證書存儲服務(wù)器，并將配置信息保存在數(shù)據(jù)庫或配置文件中； (3)應(yīng)用系統(tǒng)本身對外提供一種數(shù)據(jù)獲取服務(wù)，通過該服務(wù)，其它應(yīng)用系統(tǒng)可獲取此系統(tǒng)的用戶和證書對應(yīng)關(guān)系信息以及此應(yīng)用系統(tǒng)的證書存儲服務(wù)器配置信息； (4)若A應(yīng)用系統(tǒng)要獲取B應(yīng)用系統(tǒng)中BI用戶的加密公鑰證書或簽名公鑰證書，首先A應(yīng)用系統(tǒng)通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)，根據(jù)BI用戶的用戶唯一標(biāo)識信息獲得BI用戶的證書唯一標(biāo)識項值，其次再通過B應(yīng)用系統(tǒng)提供的對外數(shù)據(jù)獲取服務(wù)獲取B應(yīng)用系統(tǒng)對應(yīng)的證書存儲服務(wù)器配置信息，再利用已經(jīng)獲取到的BI用戶證書唯一標(biāo)識項值，在證書服務(wù)器中找到BI用戶的簽名公鑰證書或加密公鑰證書。
2.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，其特征在于，所述步驟(I)中涉及的用戶唯一標(biāo)識信息可以包括GBK字符集包含的字符信息。
3.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，其特征在于，所述步驟(I)中涉及的證書唯一標(biāo)識項值可以包括GBK字符集包含的字符信息。
4.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，其特征在于，所述步驟(2)中描述的證書存儲服務(wù)器可以提供基于LDAP協(xié)議的查詢服務(wù)。
5.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，其特征在于，所述需要相互查詢證書的應(yīng)用系統(tǒng)中的證書存儲服務(wù)器類型可以不同。
6.根據(jù)權(quán)利要求1所述基于PKI體系的應(yīng)用系統(tǒng)相互之間用戶公鑰證書查詢方法，其特征在于，所述應(yīng)用系統(tǒng)對外提供的數(shù)據(jù)獲取服務(wù)為基于TCP協(xié)議的數(shù)據(jù)獲取服務(wù)。
【文檔編號】H04L29/06GK103873237SQ201210548183
【公開日】2014年6月18日 申請日期:2012年12月17日 優(yōu)先權(quán)日:2012年12月17日
【發(fā)明者】應(yīng)哲峰, 任偉, 衛(wèi)杰, 譚武征 申請人:上海格爾軟件股份有限公司