一种基于工业互联网标识的数字证书查询方法和系统与流程

本发明涉及数字证书，尤其涉及一种基于工业互联网标识的数字证书查询方法和系统。

背景技术：

1、数字证书作为信息安全的公钥基础设施的主要载体，是建立数字世界信任的基础，并已广泛应用于各行各业。签发数字证书的传统做法是通过ca（certificateauthority）认证管理系统签发为工业设备等实体签发数字证书，并通过证书发布系统将数字证书发送到ca机构或者企业的ldap（lightweight directory access protocol，轻量目录访问协议）系统进行信息的发布。工业互联网业务系统在使用数字证书进行安全认证接入和安全通信时，需要到该数字证书所属的机构或企业的ldap系统中进行查询。

2、传统做法的缺点是，1)查询效率底下。由于数字证书是按照其dn（distinguishedname）名称来组织数据，并按照树形结构来建立证书的检索路径。而设备、系统等用户实体证书目前通常采用拥有者组织、序列号作为其dn项来标识证书，而且各个设备、系统数字证书可能由不同企业签发，这样造成通过ldap检索数字证书的效率低。2)不利于跨企业、跨行业、跨地区数据共享。采用基于ldap数字证书发布方式，由于其ldap树形节点构造按照自己企业签发的证书进行节点构造，而且各类数字证书都是按照其拥有者进行树形构造，这样造成属于同一企业的设备拥有者可能属于不同证书认证机构，分布在不同物理资源的服务器上，使得这些数字证书的数据是相互孤立的，形成信息孤岛。这样的结果就使得工业互联网设备的数字证书难以形成跨企业、跨行业、跨地区的数字证书数据共享，极大增加工业互联网标识数字证书应用的复杂度，经济成本较高。

3、有鉴于此，特提出本发明。

技术实现思路

1、为了解决上述技术问题，本发明提供了一种基于工业互联网标识的数字证书查询方法和系统，通过在数字证书的信息中增加该证书所颁发到的用户实体的工业互联网标识编码并将数字证书注册到标识解析系统，来快速高效的查询解析数字证书的数据，实现数字证书的跨企业、跨行业及跨地区的数据共享。

2、第一方面，本发明实施例提供了一种基于工业互联网标识的数字证书查询方法，该方法包括：

3、发起查询的第一用户实体向标识解析系统发送目标工业互联网标识编码，以查询所述目标工业互联网标识编码对应第二用户实体的数字证书；其中，所述数字证书通过数字证书认证系统生成后再通过所述标识解析系统来注册；所述数字证书上记载有工业互联网标识编码；

4、所述标识解析系统根据所述目标工业互联网标识编码在本地存储的多个数字证书中查询，得到记载有所述目标工业互联网标识编码的目标数字证书；

5、将所述目标数字证书反馈给所述第一用户实体；

6、其中，所述第一用户实体与所述第二用户实体跨企业、跨行业或者跨地区。

7、可选的，所述数字证书上记载有工业互联网标识编码，包括：

8、在数字证书主题cn或者其他项目项中记载所述工业互联网标识编码；

9、在数字证书中的主题备用名称中记载所述工业互联网标识编码；

10、在自定义数字证书的扩展项中记载所述工业互联网标识编码，并为不同的标识编码确定唯一的对象标识oid。

11、可选的，在发起查询的第一用户实体向标识解析系统发送目标工业互联网标识编码之前，还包括：

12、第二用户实体向数字证书认证系统发送证书申请请求，所述申请请求包括所述第二用户实体的工业互联网标识编码；

13、所述数字证书认证系统将所述工业互联网标识编码提交标识解析系统以验证标识编码的合法性；

14、如果合法，所述数字证书认证系统向所述第二用户实体签发数字证书，将所述数字证书发送给数字证书发布系统；

15、所述数字证书发布系统在标识解析系统中注册所述数字证书的信息。

16、可选的，在第二用户实体向数字证书认证系统发送证书申请请求之前，还包括：

17、所述第二用户实体向所述标识解析系统请求工业互联网标识编码。

18、可选的，所述第二用户实体向数字证书认证系统发送证书申请请求，包括：

19、所述第二用户实体生成公私钥密钥对，并结合工业互联网标识编码生成证书申请请求，向所述数字证书认证系统发送。

20、可选的，在所述数字证书认证系统将所述工业互联网标识编码提交标识解析系统以验证标识编码的合法性之前，还包括：

21、所述数字证书认证系统通过所述申请请求中包含的数字签名来验证公钥与数字签名是否匹配，申请信息是否完整和可信。

22、第二方面，本发明还提供一种基于工业互联网标识的数字证书查询系统，包括：第一用户实体、第二用户实体、数字证书认证系统和标识解析系统；

23、发起查询的第一用户实体向标识解析系统发送目标工业互联网标识编码，以查询所述目标工业互联网标识编码对应第二用户实体的数字证书；其中，所述数字证书通过数字证书认证系统生成后再通过所述标识解析系统来注册；所述数字证书上记载有工业互联网标识编码；

24、所述标识解析系统根据所述目标工业互联网标识编码在本地存储的多个数字证书中查询，得到记载有所述目标工业互联网标识编码的目标数字证书；

25、将所述目标数字证书反馈给所述第一用户实体；

26、其中，所述第一用户实体与所述第二用户实体跨企业、跨行业或者跨地区。

27、本发明实施例具有以下技术效果：

28、1)使用工业互联网标识来作为第二用户实体数字证书的用以检索的标识信息，解决了证书检索及跨企业搜索的效率问题。通过将数字证书中引入其标识编码，作为其数字证书的可选名称，使得通过标识编码就可以唯一快速地检索到用户实体的数字证书，解决了不同企业数字证书可能发生设备序列号重复的问题，并简化了数字证书检索特别是跨企业检索的复杂性问题。

29、2)使用标识解析系统替代ldap证书发布系统，有效解决了数字证书数据跨企业、跨行业、跨地区的数据共享难题。将附有标识编码的第二用户实体的证书信息，通过标识解析系统，将其数据发布到标识解析平台，由于标识编码体系采用全球唯一的编码方式及统一化的多级标识解析系统，可以无缝地实现数字证书数据的全球共享，解决企业数字证书数据面临的信息孤岛问题，极大简化了跨行业工业互联网标识的数字证书应用的复杂性和经济型。

30、3）本发明中的标识解析系统可以同时用于标识编码的管理、数字证书的注册和查询，从而可以利用标识编码唯一的特点，在标识解析系统中快速地查询数字证书。

技术特征：

1.一种基于工业互联网标识的数字证书查询方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述数字证书上记载有工业互联网标识编码，包括：

3.根据权利要求1所述的方法，其特征在于，在发起查询的第一用户实体向标识解析系统发送目标工业互联网标识编码之前，还包括：

4.根据权利要求3所述的方法，其特征在于，在第二用户实体向数字证书认证系统发送证书申请请求之前，还包括：

5.根据权利要求3所述的方法，其特征在于，所述第二用户实体向数字证书认证系统发送证书申请请求，包括：

6.根据权利要求5所述的方法，其特征在于，在所述数字证书认证系统将所述工业互联网标识编码提交标识解析系统以验证标识编码的合法性之前，还包括：

7.一种基于工业互联网标识的数字证书查询系统，其特征在于，包括：第一用户实体、第二用户实体、数字证书认证系统和标识解析系统；

技术总结本发明涉及数字证书技术领域，公开了一种基于工业互联网标识的数字证书查询方法和系统。该方法在为用户实体签发数字证书时，在数字证书的信息中增加该用户实体的标识编码，这样就可以利用唯一的标识编码来代替传统的通过数字证书DN或者数字证书序列号的方式来进行证书的检索。可以解决每家证书认证机构数字证书编号不唯一的问题，为数字证书数据跨企业应用有了区分；在数字证书检索时，可以利用标识解析系统，来快速高效的查询解析数字证书的数据，实现数字证书的跨企业、跨行业及跨地区的数据共享。技术研发人员：赵万里,张旺,刘天宇,李志强,吴璟希,臧丹丹受保护的技术使用者：中汽智联技术有限公司技术研发日：技术公布日：2024/7/23