[发明专利]一种数字证书的申请方法

说明书

本发明公开了一种数字证书的申请方法，包括：第一设备生成第一密钥对，从第一密钥对中导出第一公钥，将第一公钥与数字证书用户的标识名打包生成第一证书请求信息，并将第一证书请求信息发送给第二设备，第二设备生成第二密钥对，从收到的第一证书请求信息中解析出第一公钥，并使用第二密钥对中的第二私钥和第一公钥进行运算，以生成完整的证书公钥，第二设备利用完整的证书公钥替换第一证书请求信息中的第一公钥，以生成第二证书请求信息。本发明能解决现有方法中存在的数字证书用户必须随身携带硬件安全设备以完成数字证书操作所造成的用户使用复杂度高，以及不能满足两方协同申请数字证书的技术问题。

技术领域

本发明属于信息安全领域，更具体地，涉及一种数字证书的申请方法。

背景技术

目前，业务系统多采用基于数字证书的公钥基础设施(Public KeyInfrastructure，简称PKI)系统来保障业务数据安全，数字证书是由证书授权(Certificate Authority，简称CA)机构或第三方CA签发的，以数字证书为核心的公钥密码机制可以对网络上传输的信息进行加密和解密、数字签名和验证，以确保网络上传递消息的机密性和完整性，交易实体的真实性，以及签名的不可否认性，进而保障网络应用的安全性。

在传统的数字证书申请过程中，证书申请者同时生成密钥对和证书请求文件(Certificate Signing Request，简称CSR)，CSR包含三部分：证书请求信息、签名算法标识和一段对应于证书请求信息的数字签名信息，其中证书请求信息包含证书用户的标识名(Distinguished Name，简称DN)、证书申请者的公钥、以及证书申请者的其他信息(可选)；数字签名信息为证书申请者使用私钥对证书请求信息进行数字签名后生成的一段信息。证书申请者把CSR提交给证书授权机构以后，证书授权机构使用其根证书私钥签名，就生成了证书公钥文件，即最终颁发给用户的证书。

然而，上述数字证书的申请方法存在以下几个技术问题：

第一，数字证书对应的私钥是由证书申请者独立生成并保管，容易被黑客窃取。为了保障数字证书私钥的安全，目前通行的做法是使用专门的硬件安全设备(譬如智能卡、U盾、智能密钥设备等)来存储和保护数字证书私钥，但这就要求用户必须购买并随身携带该硬件安全设备才能完成数字证书的使用操作，从而既增加了用户使用的成本，也增加了用户使用的复杂度；

第二，目前的数字证书申请方式不支持两方协同申请数字证书。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种数字证书的申请方法，其目的在于，解决现有方法中存在的数字证书用户必须随身携带硬件安全设备以完成数字证书操作所造成的用户使用复杂度高，以及不能满足两方协同申请数字证书的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种数字证书的申请方法，其特征在于，包括以下步骤：

(1)第一设备生成第一密钥对(pk₁，sk₁)，从第一密钥对(pk₁,sk₁)中导出第一公钥pk₁，将第一公钥pk₁与数字证书用户的标识名打包生成第一证书请求信息，并将第一证书请求信息发送给第二设备；

(2)第二设备生成第二密钥对(pk₂，sk₂)，从收到的第一证书请求信息中解析出第一公钥pk₁，并使用第二密钥对(pk₂，sk₂)中的第二私钥和第一公钥pk₁进行运算，以生成完整的证书公钥PK；