用于限制數(shù)字憑證的有效性的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)字憑證��,尤其涉及用于限制數(shù)字憑證的有效性的方法。
【背景技術(shù)】
[0002]目前,在行政告知����、行政服務(wù)、行政許可審批�����、資質(zhì)認(rèn)定等領(lǐng)域��,仍以紙質(zhì)憑證的應(yīng)用為主。紙質(zhì)憑證的申請(qǐng)流程復(fù)雜�、制作效率低���、數(shù)據(jù)共享難����、管理成本高����,難以滿足簡單��、快速���、共享的現(xiàn)代化服務(wù)需求。將憑證信息化�,使用數(shù)字憑證(又稱電子憑證)替換紙質(zhì)憑證,能提高行政效率�、實(shí)現(xiàn)數(shù)據(jù)快速傳送與共享����。例如紙質(zhì)憑證在各個(gè)單位之間流轉(zhuǎn)需要人工親自傳遞�,數(shù)字憑證可以通過網(wǎng)絡(luò)直接傳遞�����,大大提高了效率。
[0003]在帶來便利性的同時(shí)�,如何保證數(shù)字憑證的有效性至關(guān)重要。由于數(shù)字憑證容易在流轉(zhuǎn)環(huán)節(jié)中進(jìn)行復(fù)制和破壞從而被冒用和濫用,因此在使用單位必須有能力對(duì)數(shù)字憑證的有效性進(jìn)行鑒別�����。
[0004]如圖1所示,數(shù)字憑證主要在數(shù)字憑證頒發(fā)單位�����、數(shù)字憑證持有單位和數(shù)字憑證使用單位這三類單位之間進(jìn)行流轉(zhuǎn)���。首先�,“數(shù)字憑證頒發(fā)單位A”將數(shù)字憑證頒發(fā)給“數(shù)字憑證持有單位B”��。這個(gè)過程的流轉(zhuǎn)是單一而且安全可控的���。然后���,數(shù)字憑證持有單位B憑該數(shù)字憑證到多家數(shù)字憑證使用單位C1-C3辦理事務(wù)。由于同一個(gè)數(shù)字憑證可以有很多的辦事用途����,因此����,同一個(gè)數(shù)字憑證將會(huì)流轉(zhuǎn)到多個(gè)使用單位��。如何保證持有單位和使用單位之間流轉(zhuǎn)的數(shù)字憑證的安全可靠不被濫用�,至為關(guān)鍵�。
[0005]以數(shù)字憑證為“高新技術(shù)企業(yè)證書”(以下簡稱:高企證書)為例�����。上海市科委(數(shù)字憑證頒發(fā)單位A)制作“高企證書”(數(shù)字憑證)�,并頒發(fā)給一高新技術(shù)企業(yè)(數(shù)字憑證持有單位B)���。該高新技術(shù)企業(yè)使用該證書可以去多家單位辦不同的事情���,比如去稅務(wù)局(數(shù)字憑證使用單位Cl)可能辦理退稅事宜�,去工商局(數(shù)字憑證使用單位C2)可能進(jìn)行企業(yè)審查事宜���,去房產(chǎn)中介(數(shù)字憑證使用單位C3)可能利用高企證書能獲得某處辦公樓的減免房租事宜�。企業(yè)往往是將高企證書采用網(wǎng)絡(luò)發(fā)送或者使用U盤的方式讓辦事員去辦事單位辦理相關(guān)事宜��,甚至有可能讓代理機(jī)構(gòu)幫忙辦事���。因此���,如何限定數(shù)字憑證在辦事員手中或者代理機(jī)構(gòu)手中的權(quán)利���,比如限定使用期限為三天�����、限定只能用于辦對(duì)應(yīng)的事情從而防止辦事員或代理機(jī)構(gòu)復(fù)制憑證后另做它用至關(guān)重要。
[0006]因此�����,本領(lǐng)域亟需一種用于限制數(shù)字憑證的有效性的方法以防止數(shù)字憑證的冒用和濫用。
【發(fā)明內(nèi)容】
[0007]以下給出一個(gè)或多個(gè)方面的簡要概述以提供對(duì)這些方面的基本理解�。此概述不是所有構(gòu)想到的方面的詳盡綜覽����,并且既非旨在指認(rèn)出所有方面的關(guān)鍵性或決定性要素亦非試圖界定任何或所有方面的范圍�����。其唯一的目的是要以簡化形式給出一個(gè)或多個(gè)方面的一些概念以為稍后給出的更加詳細(xì)的描述之序。
[0008]根據(jù)本發(fā)明的一方面��,提供了一種用于限制數(shù)字憑證的有效性的方法���,包括:在該數(shù)字憑證的文件末尾的發(fā)證簽名之后附連應(yīng)用數(shù)據(jù)部分��,該應(yīng)用數(shù)據(jù)部分包括應(yīng)用條件字段;對(duì)該數(shù)字憑證的本體數(shù)據(jù)部分�����、該發(fā)證簽名和該應(yīng)用數(shù)據(jù)部分執(zhí)行數(shù)字簽名以獲得應(yīng)用簽名���;以及在該應(yīng)用數(shù)據(jù)部分之后附連該應(yīng)用簽名。
[0009]在一實(shí)例中���,該方法還包括:使用唯一性密鑰對(duì)該發(fā)證簽名和該應(yīng)用數(shù)據(jù)部分進(jìn)行加密,其中該執(zhí)行數(shù)字簽名是對(duì)該數(shù)字憑證的該本體數(shù)據(jù)部分����、以及經(jīng)加密的發(fā)證簽名和應(yīng)用數(shù)據(jù)部分執(zhí)行數(shù)字簽名計(jì)算獲得的��。
[0010]在一實(shí)例中��,該數(shù)字憑證的該本體數(shù)據(jù)部分包括分散因子字段�,該方法還包括:使用該分散因子字段中的分散因子和母密鑰生成該唯一性密鑰��。
[0011]在一實(shí)例中,該應(yīng)用條件字段包括使用期字段��。
[0012]根據(jù)本發(fā)明的另一方面,提供了一種用于限制數(shù)字憑證的有效性的方法�,包括:對(duì)該數(shù)字憑證的文件末尾的應(yīng)用簽名執(zhí)行驗(yàn)證�����;若驗(yàn)證成功,則從該數(shù)字憑證中位于該應(yīng)用簽名之前的應(yīng)用數(shù)據(jù)部分讀取應(yīng)用條件字段��;若該應(yīng)用條件字段不符合預(yù)定條件�����,則該數(shù)字憑證無效�;以及若該應(yīng)用條件字段符合預(yù)定條件����,則對(duì)該數(shù)字憑證中位于該應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名執(zhí)行驗(yàn)證。
[0013]在一實(shí)例中�,該數(shù)字憑證中位于該發(fā)證簽名之前的本體數(shù)據(jù)部分包括文件長度字段����,該方法還包括:從該文件長度字段讀取該數(shù)字憑證的文件長度�;將所讀取文件長度與該數(shù)字憑證的實(shí)際文件長度進(jìn)行比較�����;若不等�,則執(zhí)行該應(yīng)用簽名驗(yàn)證的步驟;若相等�����,則直接執(zhí)行該發(fā)證簽名驗(yàn)證的步驟����。
[0014]在一實(shí)例中��,該方法還包括:若該應(yīng)用簽名驗(yàn)證成功,則使用唯一性密鑰對(duì)該數(shù)字憑證中位于該應(yīng)用簽名之前的應(yīng)用數(shù)據(jù)部分和位于該應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名進(jìn)行解密����,其中��,該讀取應(yīng)用條件字段是從經(jīng)解密后的應(yīng)用數(shù)據(jù)部分讀取該應(yīng)用條件字段���,以及該發(fā)證簽名驗(yàn)證是對(duì)經(jīng)解密的發(fā)證簽名進(jìn)行驗(yàn)證����。
[0015]在一實(shí)例中,該數(shù)字憑證的該本體數(shù)據(jù)部分包括分散因子字段��,該方法還包括:使用該分散因子字段中的分散因子和母密鑰生成該唯一性密鑰。
[0016]在一實(shí)例中�����,該應(yīng)用條件字段包括使用期字段。
[0017]在一實(shí)例中����,若當(dāng)前日期不在該使用期字段的期限內(nèi),則該數(shù)字憑證無效���。
【附圖說明】
[0018]在結(jié)合以下附圖閱讀本公開的實(shí)施例的詳細(xì)描述之后,能夠更好地理解本發(fā)明的上述特征和優(yōu)點(diǎn)�。在附圖中��,各組件不一定是按比例繪制,并且具有類似的相關(guān)特性或特征的組件可能具有相同或相近的附圖標(biāo)記。
[0019]圖1是示出了數(shù)字憑證的使用環(huán)境的示意圖���;
[0020]圖2是示出了現(xiàn)有技術(shù)的數(shù)字憑證的文件結(jié)構(gòu)的示意圖���;
[0021]圖3是示出了根據(jù)本發(fā)明的一方面的數(shù)字憑證的文件結(jié)構(gòu)的示意圖;
[0022]圖4是示出了根據(jù)本發(fā)明的一方面的用于限制數(shù)字憑證的有效性的方法的流程圖�;
[0023]圖5是示出了根據(jù)本發(fā)明的一方面的用于限制數(shù)字憑證的有效性的方法的流程圖����;
[0024]圖6是示出了根據(jù)本發(fā)明的另一方面的數(shù)字憑證的文件結(jié)構(gòu)的示意圖���;
[0025]圖7是示出了根據(jù)本發(fā)明的另一方面的用于限制數(shù)字憑證的有效性的方法的流程圖��;以及
[0026]圖8是示出了根據(jù)本發(fā)明的另一方面的用于限制數(shù)字憑證的有效性的方法的流程圖��。
【具體實(shí)施方式】
[0027]以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作詳細(xì)描述。注意�����,以下結(jié)合附圖和具體實(shí)施例描述的諸方面僅是示例性的����,而不應(yīng)被理解為對(duì)本發(fā)明的保護(hù)范圍進(jìn)行任何限制����。
[0028]圖2是示出了現(xiàn)有技術(shù)的數(shù)字憑證200的文件結(jié)構(gòu)的示意圖����。數(shù)字憑證200由數(shù)字憑證頒發(fā)單位制作頒發(fā)�。如圖2所示,數(shù)字憑證200包括本體數(shù)據(jù)部分202和發(fā)證簽名204�����。數(shù)字憑證頒發(fā)單位使用數(shù)字簽名技術(shù)來保證數(shù)字憑證是由其頒發(fā)的獨(dú)一無二的憑證,同時(shí)也保證數(shù)字憑證的本體數(shù)據(jù)部分任何一個(gè)字節(jié)的修改都會(huì)造成發(fā)證簽名204的驗(yàn)證不被通過����。然而如上文討論的,在數(shù)字憑證的流轉(zhuǎn)過程中�����,很有可能會(huì)造成數(shù)字憑證的冒用和濫用��。因此,本發(fā)明提供了用于限制數(shù)字憑證的有效性的方案�。
[0029]根據(jù)本發(fā)明的一方面����,數(shù)字憑證持有單位可以為數(shù)字憑證設(shè)置有效使用期�����,從而只有在該使用期內(nèi),數(shù)字憑證才是有效的����。一旦超出該使用期之外,數(shù)字憑證將失效��,從而有效防止數(shù)字憑證的冒用和濫用。
[0030]圖3是示出了根據(jù)本發(fā)明的一方面的數(shù)字憑證300的文件結(jié)構(gòu)的示意圖���。