專利名稱:一種新型x509數(shù)字證書白名單發(fā)布查詢驗證的方法
技術領域:
本發(fā)明一般應用于公開密鑰基礎設施系統(tǒng)(PKI)領域����,為數(shù)字證書白名單查詢 提供一種輕量級的更高效,安全���,快捷的方式�����。
技術背景X509是由ITU-T推薦的一個國際標準�,1 509定義了一個已經(jīng)被廣泛接受的��?1(1 基礎��,它包括數(shù)據(jù)格式和通過由證書機構簽發(fā)的數(shù)字證書來進行分發(fā)公鑰的過程��。 X509數(shù)字證書是指由可信任證書簽發(fā)組織對特定公鑰和數(shù)據(jù)信息進行簽名的數(shù)據(jù)����。X509證書白名單是被可信任證書簽發(fā)組織所簽發(fā)的或證書應用提供方所認定 依然有效的證書集合�����。X509證書黑名單是由可信任證書簽發(fā)組織所廢除的一系列證書的集合��,被列 入黑名單的證書公私鑰將失效�����。證書吊銷列表CRL:以一定格式儲存證書黑名單����,并能更新名單和驗證是否由可信任證書簽發(fā)組織所發(fā)布的數(shù)據(jù)��。OCSP在線證書協(xié)議即可以實時査看證書狀態(tài)的協(xié)議���,由客戶端發(fā)起����,隨時來查詢證書狀態(tài)����。輕量級目錄訪問協(xié)議(LDAP)是一個用于通過TCP/IP網(wǎng)絡來訪問目錄服務的協(xié) 議����,目錄是種專門的數(shù)據(jù)庫��,該數(shù)據(jù)庫對讀取���,檢索和瀏覽進行優(yōu)化�����。X500目錄是一種可以在LDAP中使用的數(shù)據(jù)組織結構,數(shù)據(jù)組織結構是一個樹狀 的結構�����,樹中除了根節(jié)點之外的每一個節(jié)點都有一個父節(jié)點和任意數(shù)目的子節(jié)點���。一 般用于存儲證書黑白名單及證書吊銷列表�����。X509數(shù)字證書白名單現(xiàn)階段使用X500目錄在LDAP中發(fā)布��,査詢���,驗證�,此LDAP 數(shù)據(jù)由可信任證書頒發(fā)組織所發(fā)布�����。 發(fā)明內(nèi)容針對現(xiàn)有技術中所存在的問題�,本發(fā)明提出了一個輕量級,低開銷��,低網(wǎng)絡消耗��, 快速響應�,安全,可驗證的證書白名單發(fā)布方式����。為了實現(xiàn)上述目的,本發(fā)明的技術方案是 一種X509數(shù)字證書白名單發(fā)布查詢 驗證的方法����,方法至少包括建立由一個串組成;包括證書部分����、簽名算法�����、簽名值的證書白名單�����,所述證書 白名單列表包括本次更新時間���、下次更新時間、簽發(fā)者����、白名單證書的唯一標識(例 如序列號)等�;可信任證書頒發(fā)組織簽發(fā)證書白名單并發(fā)布供用戶査詢;用戶根據(jù) 可信任證書頒發(fā)組織所發(fā)布的白名單地址獲取白名單的數(shù)據(jù)�����,并通過可信任證書頒發(fā) 組織的CA證書對所有白名單證書序列號進行一次性驗證得到相應的白名單證書唯 一標識(例如序列號)�。本發(fā)明的白名單發(fā)布系統(tǒng)與原來白名單發(fā)布系統(tǒng)(例如通過LDAP發(fā)布)比較, 主要有以下區(qū)別1. 本發(fā)明是一種輕量級的X509發(fā)布證書白名單的一種方式�����,原來證書白名單發(fā)布詳盡的證書信息,組織結構��,證書本身��,單個白名單數(shù)據(jù)容量大小往往有數(shù)千字節(jié)�����。�,此種方式白名單只發(fā)布證書的唯一標識(例如序列號)及相關操作時間。因 此單個白名單數(shù)據(jù)大小才幾十字節(jié)���,大大的減少了儲存空間���。2. 對于原來的白名單驗證方式,驗證白名單內(nèi)證書必須分別驗證每一張證書是 否可信任�,由而不能一次性驗證白名單內(nèi)的所有證書。而本發(fā)明使用的方式通過可信 任證書頒發(fā)組織的CA證書對所有證書序列號進行一次性驗證���,從而達到批量驗簽的目的�。����,大大的提升了驗證效率����,節(jié)約了驗證時間�����。3. 對于傳統(tǒng)的白名單驗證方式(例如通過LDAP發(fā)布白名單)��,應用用戶必 須一直連接白名單發(fā)布服務器(例如:LDAP),每驗證一張證書就必須查詢一次LDAP 服務器��,此發(fā)明驗證白名單的方式�,可以離線下載白名單,并一次性的驗證白名單中 的所有白名單證書��,極大的減少了網(wǎng)絡資源消耗���,并極大的提高了驗證速度,快速安全的驗證了白名單中的證書�����。4. 可以通過HTTP��,F(xiàn)TP等被廣泛運用的網(wǎng)絡通訊協(xié)議發(fā)布白名單,而不需要專屬協(xié)議�。
圖1是本發(fā)明實施例的白名單驗簽過程流程 。 圖2是本發(fā)明實施例的白名單發(fā)布過程示意圖���。
具體實施方式
下面結合附圖和具體實施方式
對本發(fā)明作進一步詳細地說明���。本發(fā)明提出了一個輕量級的,但具有更高效��,簡潔���,安全��,可驗證的證書白名單 發(fā)布方式���。主要使用以下內(nèi)容來實現(xiàn)發(fā)布,驗證白名單��。一��,所發(fā)布的白名單數(shù)據(jù)格式 CertificateList::=SESQUENCE{TbsCertList TBSCertList�����,S ignatureAlgorithm Algorithmldentifier,Signature Value BIT stringTBSCertList ::=SEQUENCE{ Version Version OPTIONAL, Singature Algorithmldentifier, Issuer name, thisUpdate Time����, nextUpdate time OPTIONAL,Trusted Certificates List SEQUENCE OF SEQUENCE{userCertificate Unique identifier (Example:CertificateSerailName), revocationDate Time,}證書白名單由一個(ASNl)串組成,包括證書列表部分���,簽名算法����,簽名值 證書列表部分�,包括版本信息,簽名認證���,簽發(fā)者�����,本次更新時間����,下次更新時間����,證書唯一標識(例如證書序列號)集合。二����,發(fā)布白名單可信任的證書發(fā)布組織在白名單到達下次更新時間后,會根據(jù)應用需求����,調整白名單證書列表中證書的唯一標識(例如序列號),把需要新添加的證書的唯一標識 (例如序列號)加入列表�,把需要刪除的證書唯一標識(例如序列號)刪除出列 表,最后根據(jù)上訴編碼格式簽發(fā)出新的白名單����,并發(fā)布到LDAP或HTTP等上,供用戶查詢����。三,獲取白名單用戶根據(jù)可信任證書頒發(fā)組織所發(fā)布的白名單地址����,通過LDAP或者HTTP等獲 取到白名單的數(shù)據(jù)。5四��,驗證白名單白名單的可信任性,不可抵賴性是由可信任頒發(fā)組織機構頒發(fā)的CA證書對數(shù)據(jù) 進行簽名來實現(xiàn)的�。用戶如果要確認是否信任該白名單,則需要對白名單進行驗證��, 即是否是由可信任證書簽發(fā)機構的CA證書所對應的私鑰做的簽名���。 具體步驟是當用戶獲取到此白名單內(nèi)容后����,會根據(jù)可信任證書頒發(fā)組織機構頒發(fā)的CA證書 對白名單的簽名進行驗證��。驗證過程為公鑰對私鑰進行簽名的數(shù)據(jù)進行確認���。 五�,査詢白名單用戶根據(jù)證書獲取所需求的唯一標識(例如序列號)與白名單中的證書唯一標 識(例如序列號)來進行比對�����,如果有則是屬于本白名單的證書�,如果沒有則不是 屬于本白名單的證書。本實例具體描述在同一CA體系���,即同一信任域下�����,企業(yè)使用數(shù)字證書的實例 前提CA—O為某可信任證書頒發(fā)組織�,CA一CACERT為這個組織的CA證書��,此證 書被用來簽發(fā)白名單�����。0—A為一家使用CA—O證書的一家企業(yè)�����。CERT—A,CERT—B 為CA_0所頒發(fā)給O—A的2張證書����,序列號分別為SERIAL—A,SERIAL—B,步驟白名單發(fā)布一. 由CA—O給O—A簽發(fā)證書CERT—A,CERT—B,并把這兩張證書的序列號解析 出來���,并把其加入原來此組織的白名單中去�,根據(jù)本發(fā)明的算法��,生成最后的白 名單����;二. 把生成的白名單發(fā)布到CA_0的HTTP服務器中或CA—O的LDAP服務器中���。白名單應用一. 0_A企業(yè)從CA—O組織發(fā)布白名單的URL或LDAP中獲取到白名單數(shù)據(jù);二. O—A從CA一O組織中獲取到CA—CACERT;三. 0_A企業(yè)使用CA—CACERT對白名單進行驗簽���;四. 如果驗簽成功�����,則從中取出白名單中所包含的證書序列號����;五. O—A企業(yè)的OA系統(tǒng)得到了證書序列號進行OA辦公�。雖然本發(fā)明已以較佳實施例公開如上,但它們并不是用來限定本發(fā)明�,任何熟悉 此技藝者,在不脫離本發(fā)明之精神和范圍內(nèi)���,自當可作各種變化或潤飾����,因此本發(fā)明 的保護范圍應當以本申請的權利要求保護范圍所界定的為準����。
權利要求
1���、一種X509數(shù)字證書白名單發(fā)布查詢驗證的方法,其特征在于該方法至少包括證書白名單由一個(ASN1)串組成���,包括證書部分,簽名算法�,簽名值;證書部分�����,包括版本信息�����,簽名認證�����,簽發(fā)者��,本次更新時間�,下次更新時間����,白名單證書唯一標識(例如序列號)等���;可信任證書頒發(fā)組織使用CA證書所對應的私鑰簽發(fā)證書白名單并發(fā)布供用戶查詢��;用戶根據(jù)可信任證書頒發(fā)組織所發(fā)布的白名單地址獲取白名單的數(shù)據(jù)���,并通過可信任證書頒發(fā)組織的CA證書對所有白名單進行一次性驗證得到相應的白名單證書唯一標識列表等數(shù)據(jù)。
2���、 根據(jù)權利要求1所述的X509數(shù)字證書白名單發(fā)布査詢驗證的方法�,其特征 在于所述的發(fā)布是指可信任的證書發(fā)布組織在白名單到達下次更新時間后�,會根據(jù) 應用需求,調整白名單證書列表中證書的唯一標識(例如序列號)�����,把需要新添加 的證書的唯一標識(例如序列號)加入列表�,把需要刪除的證書唯一標識(例如 序列號)刪除出列表,最后根據(jù)要求l所述的編碼格式簽發(fā)出新的白名單���,并發(fā)布到 LDAP或HTTP等上����,供用戶査詢。
3���、 根據(jù)權利要求1所述的X509數(shù)字證書白名單發(fā)布査詢驗證的方法���,其特征 在于所述的驗證是指當用戶獲取白名單內(nèi)容后,根據(jù)可信任證書頒發(fā)組織所頒發(fā)的 CA證書公鑰驗簽���,來驗證白名單的簽名是否是由可信任證書頒發(fā)機構CA證書所簽 發(fā)。
4�、 根據(jù)權利要求l、 2或3所述的X509數(shù)字證書白名單發(fā)布査詢驗證的方法��, 其特征在于當用戶需要對用戶證書做可信任性進行判斷時���,首先獲取證書的唯一性 標識(例如序列號)��,然后獲取并驗證白名單�����,得到白名單中所有證書唯一標識列表��, 與用戶證書唯一標識做對比�����,從而驗證用戶證書�。
全文摘要
本發(fā)明公開了一種X509數(shù)字證書白名單發(fā)布查詢驗證的方法,包括建立由一個串組成的��,包括證書部分���、簽名算法���、簽名值的證書白名單,上述證書部分包括本次更新時間���、下次更新時間����、簽發(fā)者����、白名單證書唯一標識(例如序列號)等;可信任證書頒發(fā)組織簽發(fā)證書白名單并發(fā)布供用戶查詢�;用戶獲取白名單的數(shù)據(jù)��,并通過可信任證書頒發(fā)組織機構的CA證書對證書白名單進行一次性驗證得到白名單證書列表(證書唯一標識的列表)���。用戶可以根據(jù)證書唯一標識來判斷用戶證書是否在白名單內(nèi)。本發(fā)明采用可信任證書頒發(fā)組織機構對數(shù)據(jù)進行簽名的方式來確定安全性�����,可靠性�����,用戶可以獲取到可信任證書頒發(fā)組織機構所頒發(fā)的CA證書�����,通過這張證書的公鑰對證書白名單的簽名進行驗簽��,從而達到確認白名單是否可信的目的���。
文檔編號H04L29/06GK101616165SQ20091018154
公開日2009年12月30日 申請日期2009年7月28日 優(yōu)先權日2009年7月28日
發(fā)明者莊昱垚, 趙統(tǒng)一, 陳力芳 申請人:江蘇先安科技有限公司