一种基于多CA的高并发数字证书注册管理方法

本发明涉及数字证书申请技术领域，具体涉及一种基于多CA的高并发数字证书注册管理方法。

电子合同是目前安全高效的合同订立方法，符合国家法律法规。现有各第三方电子签名公司，往往采用集中托管数字证书私钥的方式，提供电子签名服务。数字证书私钥的效力相当于实体公章或签名，尽管电子签名公司可能会对数字证书私钥进行安全的加密存储，但实际比较难于约束和监管是否确实有效执行，所以秘钥的保存还是存在诸多风险的。

CA中心，又称为数字证书认证中心，即证书授权中心(Certificate Authority)，作为电子商务交易中受信任的第三方，专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。

RA(Registration Authority)，数字证书注册审批机构。RA系统是CA中心的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。

本发明的目的在于对当前的CA已经可以作为权威的、公正的、可信赖的第三方时，为其设计一个RA系统，提供了一种基于多CA的高并发数字证书注册管理方法，能够使得用户更方便的以自己的名义获取证书，并且提高证书存储的可靠性，对数字证书进行有效的管理；同时可以针对不同的CA机构能够提供一个统一的接口实现完成证书的申请。

一种基于多CA的高并发数字证书注册管理方法，包括以下步骤：

S1.对于证书申请者的注册信息进行审核以及录入，形成证书申请数据；

S2.将证书申请者的注册信息按照证书编号格式生成对应的证书编号；

S3.RA(数字证书注册审批机构，Registration Authority，RA)向秘钥管理中心(KMC)请求获得证书请求文件(Certificate Signing Request,CSR)，秘钥管理中心(KMC)生成秘钥对并绑定步骤S2的证书编号，然后通过秘钥对生成证书请求文件，返回给RA；

S4.RA使用步骤S1的证书申请数据和步骤S3的证书请求文件向CA(数字证书认证中心)发送申请证书请求，数字证书认证中心(CA)返回证书数据给RA；

S5.RA将步骤S2的证书编号和步骤S4的证书数据同步至秘钥管理中心(KMC)；

S6.RA保存步骤S1的证书申请数据以及步骤S4的证书数据，RA返回证书编号给证书申请者。

RA是CA进行证书发放、管理的延伸。其主要负责证书申请者的信息录入、注册审核以及证书发放等工作，同时对发放证书完成对应的存储以及管理功能。

步骤S1中，所述的注册信息包括：姓名、身份证号、手机号、企业名称、企业统一信用证代码。

步骤S1中，对于证书申请者的注册信息(姓名、身份证号、手机号、企业名称、企业统一信用证代码)进行审核以及录入，形成证书申请数据，还包括：

在审核之前，对于证书申请者的证书请求进行重复性判断，若是则返回重复性请求的提示信息并不进行下一步操作；若否则进行注册操作。对于证书申请者的注册信息(姓名、身份证号、手机号、企业名称、企业统一信用证代码)进行审核以及录入。

所述的证书申请者的注册信息进行审核，具体包括：

对于证书申请者的注册信息，需要进行输入校验，防止必要的信息未录入，若按要求输入了完整的必要的信息则进行二要素校验。

将注册信息的姓名以及身份证号等信息，利用公安部的提供的二要素校验接口，对注册信息进行二要素校验，若是则将信息进行存储并生成指定格式的证书编号，若否则返回二要素验证信息不通过的提示信息。

步骤S2中，针对已校验的信息，将其按照本发明设计的证书编号规则生成对应的证书编号，该证书编号与申请信息一一对应，按照本发明生成的证书编号具有有效且易于申请者查阅的特点。

步骤S3中，针对RA而言，RA向KMC请求证书申请数据。

针对KMC而言，KMC解析需要的长度和算法，KMC获取秘钥对，利用单独的服务器离线生成RSA2048以及RSA1024等非对称秘钥，离线生成的非对称秘钥信息存储在RabbitMQ以及MongoDB等不同介质中，最后返回证书申请数据给RA。

步骤S4中，RA使用步骤S1的证书申请数据和步骤S3的证书请求文件向数字证书认证中心(CA)发送申请证书请求，数字证书认证中心(CA)返回证书数据给RA，具体包括：

1)针对已经完成校验的证书申请数据，根据各个CA要求进行转换，转换成符合CA要求的请求数据；

转换过程包括：

a申请证书请求的CSR对应的秘钥对长度和算法；

b申请证书请求的CSR中的DN(Distinct Name，唯一标识)项；

c申请证书请求的参数(如有限期、证书类型)

2)通过对实时申请信息的流量进行计算实现不同CA的切换，达到自适应控制流量的目的，通过分布式锁来设计一个定时任务，每25～35秒(优选为每28～32秒，最优选为每30秒)执行一次，根据申请CA的数据来计算流量比，将新申请请求分配至不同CA，有效的缓解了CA服务器宕机等问题。

3)将步骤1)的符合CA要求的请求数据发送至步骤2)中的分配的CA，RA获取数字证书认证中心(CA)返回的证书数据。

本发明结合步骤S4中1)所述，首先对申请数据进行转换，转换为满足各个CA要求的请求数据，其过程包括获取证书申请请求的CSR对应的密钥对长度与算法；申请证书申请请求的CSR中的DN项；申请证书请求的参数。该步骤实现了多CA接入的基础，但是不能实现对多CA的实时切换，僵化度较高，特别是出现某个CA宕机的情况时，系统将会出现阻塞甚至崩溃。

本发明结合步骤S4中2)所述，利用构造定时任务，对于不同时刻各个CA的状态，实时计算出各个CA能够处理的流量比，将该时刻的证书申请请求按照不同流量比分配至不同的CA，达到多CA实时切换的目的，有效的缓解了CA服务器宕机等问题。

本发明结合步骤S4中的1)、2)两部分，通过1)实现多CA接入的基础，通过2)实现实时切换的基础，两部分相结合既能实时达到每一个CA的最大的并发量也能通过多CA达到整个系统最大并发量，相较于单CA，达到多CA高并发的目的。

与现有技术相比，本发明具有以下有益效果：

一、现有的大部分采用只有一个主CA和一个临时备用CA，当主CA出现故障时或连接不上时，使用临时备用CA，会有一个中断过程，会有服务不可用期，因为只有一个主CA在线无法实现高并发。本发明采用多CA的高并发数字证书注册，针对已经完成校验的申请信息，通过RA系统自带的多CA兼容模块，将传统(single RA-single CA pair)运行模式下转换成(single RA-multiple CA pair)的模式，将用户的请求可以有效的接入不同的CA机构，可以将传统模式下的吞吐量提高数倍。

二、本发明针对现有的CA与RA证书申请体系，由于CA已经成为了一个可信的第三方机构，因此为其设计了一个RA管理方法。在国内，目前有CFCA、ZJCA、SHCA等CA机构，但是对于申请者而言，向每一个CA申请数字证书时，所需要的接口都不相同，因此会给用户带来很多不便。本发明通过设计一个RA管理方法来兼容市场上的主流CA机构，使得申请者可以任意选择申请的CA机构证书，对于申请者而言，申请证书的过程被被简化为通过RA作为代理发送请求向CA申请证书，大大提高了申请者申请证书的用户体验。

三、本发明通过设计的RA管理方法，可以将申请者申请的证书信息进行有效保存。RA系统在申请完证书后，将得到的证书以及证书编号发送给KMC进行存储，同时将证书编号和秘钥对的对应关系保存在KMC中，RA仅将申请记录保存在本地。申请者遇到法律纠纷需要查证书的时候，RA可以通过申请者的姓名以及其他身份信息，到数据库中进行证书的查询，能够有效保证用户的证书信息的存储安全。

四、本发明设计的RA管理方法，信息审核更严格、安全、拥有活体检验、多要素校验、实名认证等能力，能够安全高速审核证书所需资料。不同于现有的RA系统，本发明拥有多种证书管理功能，方便对证书进行存储。

五、本发明可以进行跨CA重试以及分流来保证回环链路数据的最有可用性；本发明采用集架构部署，通过均分流量来保证各结点服务的快速响应，实现高并发；本发明通过基于响应的多CA自动调度方案与分布式缓存技术实现低延迟；本发明通过微服务分布式架构来保障调用服务高可用、通过多CA通道保障证书相关服务高可用；本发明通过将申请证书用户资料信息加密存储于数据库，方便后续追溯和安全审计，证书对应的私钥数据存储于基于三级密钥体系的高可靠性KMC来实现高安全存储。

图1为本发明一种基于多CA的高并发数字证书注册管理方法的流程示意图；

图2为本发明实施例提供的一种超高吞吐量数字证书注册管理平台的模块图；

图3为本发明实施例提供的一种数字证书申请所需的机构调用关系示意图；

图4为本发明实施例提供的一种超高吞吐量数字证书注册管理平台的系统设计时序图。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，一种基于多CA的高并发数字证书注册管理方法，包括以下步骤：

S1.对于证书申请者的注册信息进行审核以及录入，形成证书申请数据；

S2.将证书申请者的注册信息按照证书编号格式生成对应的证书编号；

S3.RA(数字证书注册审批机构，Registration Authority，RA)向秘钥管理中心(KMC)请求获得证书请求文件(Certificate Signing Request,CSR)，秘钥管理中心(KMC)生成秘钥对并绑定步骤S2的证书编号，然后通过秘钥对生成证书请求文件，返回给RA；

S4.RA使用步骤S1的证书申请数据和步骤S3的证书请求文件向CA(数字证书认证中心)发送申请证书请求，数字证书认证中心(CA)返回证书数据给RA；

S5.RA将步骤S2的证书编号和步骤S4的证书数据同步至秘钥管理中心(KMC)；

S6.RA保存步骤S1的证书申请数据以及步骤S4的证书数据，RA返回证书编号给证书申请者。

RA是CA进行证书发放、管理的延伸。其主要负责证书申请者的信息录入、注册审核以及证书发放等工作，同时对发放证书完成对应的存储以及管理功能。

步骤S1中，所述的注册信息包括：姓名、身份证号、手机号、企业名称、企业统一信用证代码。

对于证书申请者的注册信息(姓名、身份证号、手机号、企业名称、企业统一信用证代码)进行审核以及录入，形成证书申请数据，还包括：

在审核之前，对于证书申请者的证书请求进行重复性判断，若是则返回重复性请求的提示信息并不进行下一步操作；若否则进行注册操作。对于证书申请者的注册信息(姓名、身份证号、手机号、企业名称、企业统一信用证代码)进行审核以及录入。

所述的证书申请者的注册信息进行审核，具体包括：

对于注册的信息，需要进行输入校验，防止必要的信息未录入，若按要求输入了完整的必要的信息则进行二要素校验。

将注册信息的姓名以及身份证号等信息，利用公安部的提供的二要素校验接口，对注册信息进行二要素校验，若是则将信息进行存储并生成指定格式的证书编号，若否则返回二要素验证信息不通过的提示信息。

步骤S2中，针对已校验的信息，将其按照本发明设计的证书编号规则生成对应的证书编号，该证书编号与申请信息一一对应，按照本发明生成的证书编号具有有效且易于申请者查阅的特点。

步骤S3中，针对RA而言，RA向KMC请求证书申请数据。

针对KMC而言，KMC解析需要的长度和算法，KMC获取秘钥对，利用单独的服务器离线生成RSA2048以及RSA1024等非对称秘钥，离线生成的非对称秘钥信息存储在RabbitMQ以及MongoDB等不同介质中，最后返回证书申请数据给RA。

步骤S4中，RA使用步骤S1的证书申请数据和步骤S3的证书请求文件向数字证书认证中心(CA)发送申请证书请求，数字证书认证中心(CA)返回证书数据给RA，具体包括：

1)针对已经完成校验的证书申请数据，根据各个CA要求进行转换，转换成符合CA要求的请求数据；

转换过程包括：

a申请证书请求的CSR对应的秘钥对长度和算法；

b申请证书请求的CSR中的DN(Distinct Name，唯一标识)项；

c申请证书请求的参数(如有限期、证书类型)

2)通过对实时申请信息的流量进行计算实现不同CA的切换，达到自适应控制流量的目的，通过分布式锁来设计一个定时任务，每30秒执行一次，根据申请CA的数据来计算流量比，将新申请请求分配至不同CA，有效的缓解了CA服务器宕机等问题。

3)将步骤1)的符合CA要求的请求数据发送至步骤2)中的分配的CA，RA获取数字证书认证中心(CA)返回的证书数据。

具体地，如图2所示，一种基于多CA的高并发数字证书注册管理方法，该方法包括以下8个步骤，图3为本发明实施例提供的一种数字证书申请所需的机构调用关系示意图；图4为本发明实施例提供的一种超高吞吐量数字证书注册管理平台的系统设计时序图。上上签的某银行客户，希望获取数字证书，因此向上述的RA系统发送证书申请请求，具体实施方式如下：

步骤1.申请者客户Clienti收到系统提示SysINFO后通过RA证书申请模块向RA系统提交本人的注册信息RegINFO，RA系统RASYS对申请请求AppREQ进行重复性请求判断，即若是重复性请求则返回重复性请求的提示信息给用户Clienti，若不是重复性请求则进入到注册信息的校验阶段，即RA系统首先对信息的必要性和完整性进行校验，比如必要信息是否注册完整，即判断身份证号是否符合规定以及姓名是否合理等，即RA系统通过调用公安部的身份信息库POLDB再对用户的姓名与身份证号的二要素TEMName，IdNum是否对应进行校验，即若完成了以上步骤则进入步骤S2，若有任意一项步骤没完成则返回对应的提示信息，即

步骤2.本公司为了方便后期通过证书编号来索引证书，因此对应每一个申请者申请的证书都提供一个证书编号，即Cer_noUser，证书编号的设计准则是编号唯一、与用户一一对应，具有唯一性、方便用户查询等优势，例如：本公司的证书编号设置为CA机构-日期-时间-5位随机数。将步骤S1得到的注册信息生成一个新的证书编号并绑定，即

步骤3.RA系统先向秘钥管理中心KMC申请证书申请数据AppDataREQ，由于本公司生成的秘钥对Keypair(Cer_noUser)离线进行生成，因此KMC获取秘钥对后，KMC返回证书申请数据给RA系统。

步骤4.RA系统使用证书申请数据通过CA对接模块向数字证书认证中心CA机构发送证书请求由于本发明可适用于任何一个CA，因此在本段以及后文中用ACA来代替一个具体的CA机构。以ACA为例：RA系统将步骤S1，S2，S3得到的数据使用证书服务模块中的包装函数，将证书请求数据封装成ACA申请证书的所需的格式，RA代替用户来调用ACA的接口，由于每一个CA机构的申请请求可能存在不同，但是由于RA系统的存在，可以帮助用户在向任意一个CA机构进行证书申请，即最后CA机构返回证书数据给RA系统，即RETCA(Certcomment)。

步骤5.RA系统在接收到返回的证书数据(证书数据里面包含有证书内容以及证书编号)后，RA系统的KMC交互模块将证书与证书编号发送给KMC。

步骤6.KMC保存证书编号和秘钥对的对应关系，即Keypair(Cer_noUser)≡Cer_noUser，方便后续通过证书编号查询对应的秘钥对时更方便。

步骤7.RA系统在成功申请到证书的请求信息与用户的申请数据保存在本地，在用户遇到合同纠纷时，可以通过证书编号快速检索到证书数据。

步骤8.在完成以上所有步骤后，RA系统返回证书编号给证书申请者，申请者以后可以通过证书编号查询到证书申请的整个过程。

本发明重点在于对于现有的CA、RA证书申请体系来设计了一个通过单RA与多CA配合来实现超高吞吐量的RA系统，通过RA系统的各个模块统一对申请者的证书申请进行处理，具体的处理流程可以分为8个步骤，通过该RA系统，对于用户而言，不需要考虑申请证书时各个CA之间的不同，同时也不需考虑证书的保存以及合同合法性的问题，也不需承担合同被篡改的风险；对于CA机构而言，由于RA系统已经对申请数据进行了很好的校验，因此CA不需考虑注册信息是否合法的问题，大大减少了CA机构的工作量，同时在数字证书领域，可以将整个系统的吞吐量提高10倍，有效的在大数据时代，完成数字证书的签署过程。

以上，仅为本申请较佳的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。