两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

數(shù)字證書撤銷方法及設備的制作方法

文檔序號:7806909閱讀:727來源:國知局
專利名稱:數(shù)字證書撤銷方法及設備的制作方法
技術領域
本申請涉及網(wǎng)絡安全領域,特別是涉及一種數(shù)字證書撤銷方法及設備。
背景技術
隨著信息科技的發(fā)展,人們生活質(zhì)量的提高,網(wǎng)絡科技已經(jīng)成為人們生活的一部分,如日常生活中人們經(jīng)常使用的網(wǎng)銀,個人郵箱等。網(wǎng)絡科技已經(jīng)越來越多的改變了人們的生活,與此同時,網(wǎng)絡科技的通信安全問題也越來越多的引起人們的關注,現(xiàn)有的對于網(wǎng)絡科技的通信安全保障大多采用PKI技術。公鑰基礎設施(英文Pubilc Key hfrastructure,簡稱H(I)是通過公鑰技術和數(shù)字證書來提供系統(tǒng)信息安全服務,并負責驗證數(shù)字證書持有者身份的一種體系。PKI基礎設施采用證書管理公鑰,通過證書機構(英文Certificate Authority,簡稱CA),把用戶的公鑰和用戶的其他身份信息捆綁在一起,它是一個具有通用性的安全基礎設施,是一個系統(tǒng)或服務體系。PKI的功能是通過簽發(fā)數(shù)字證書來綁定證書持有者的身份和相關的公開密鑰,為用戶獲取證書、訪問證書和撤銷證書提供了方便的途徑。同時利用數(shù)字證書及相關的各種服務(證書發(fā)布、黑名單發(fā)布等)實現(xiàn)通信過程中各實體的身份認證,保證了通信數(shù)據(jù)的機密性、完整性和不可否認性。證書機構CA是負責數(shù)字證書的發(fā)放和管理的機構,其核心功能就是發(fā)放和管理數(shù)字證書,包括證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書撤銷列表(英文 Certificate Revocation List,簡稱:CRL)的發(fā)布等。數(shù)字證書簡稱為證書,它是由證書機構簽發(fā)的一段數(shù)據(jù)信息,是PKI技術的基礎。 數(shù)字證書格式由X. 509定義,它是網(wǎng)上實體的身份證明,證明某一實體身份和公鑰的合法性以及實體與公鑰的綁定關系。證書是公鑰的載體,證書上的公鑰與唯一實體身份綁定。數(shù)字證書用一句話來概括,就是對實體公鑰的封裝。形象的講就是終端實體的網(wǎng)絡身份證。終端實體,是PKI服務的請求者和使用者,及PKI用戶,它可以是設備、系統(tǒng)、軟件或服務等,通常終端實體負責向證書機構CA申請證書和撤銷證書。在具體應用PKI技術進行網(wǎng)絡安全保障的過程中,由于用戶身份、用戶信息或者用戶公鑰的改變、用戶私鑰泄露或者用戶業(yè)務中止等原因,用戶需要將自己的數(shù)字證書撤銷,即撤銷公鑰與用戶身份信息的綁定關系?,F(xiàn)有的撤銷過程為用戶打電話或發(fā)送E-mail 至證書機構CA的管理員處,由管理員對用戶的數(shù)字證書進行手工撤銷;當證書機構CA的管理員由于某些原因沒有及時接聽用戶的撤銷電話或郵件時,則不能馬上對需要撤銷的數(shù)字證書進行撤銷,從而造成網(wǎng)絡安全隱患。

發(fā)明內(nèi)容
為解決上述技術問題,本發(fā)明實施例提供一種數(shù)字證書撤銷方法及設備。一方面,提供一種數(shù)字證書撤銷方法,包括
獲取數(shù)字證書撤銷指令;依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;將所述經(jīng)過數(shù)字加密并設置有身份標識的數(shù)字證書撤銷請求消息發(fā)送至證書服務器,以請求所述證書服務器對數(shù)字證書進行撤銷。另一方面,還提供一種數(shù)字證書撤銷設備,包括接收器,用于獲取數(shù)字證書撤銷指令;處理器,用于依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;編碼器,用于對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;發(fā)射器,用于將所述經(jīng)過數(shù)字加密并設置有身份標識的證書撤銷請求消息發(fā)送至證書服務器,以請求所述證書服務器對數(shù)字證書進行撤銷。另一方面,還提供一種數(shù)字證書撤銷方法,包括接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷。另一方面,還提供一種數(shù)字證書撤銷設備,包括接收器,用于接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;處理器,用于對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;并在當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷。本發(fā)明提供的一種數(shù)字證書撤銷方法及設備,在接收到用戶輸入的數(shù)字證書撤銷指令時,依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;將所述數(shù)字證書撤銷請求消息發(fā)送至證書服務器;所述證書服務器在接收到所述數(shù)字證書撤銷請求消息時,查找與所述數(shù)字證書撤銷請求相對應的數(shù)字證書,對所述數(shù)字證書進行撤銷。撤銷過程更加直接快捷,確保了數(shù)字證書撤銷的及時性,使用戶信息更加的安全。同時,本發(fā)明提供的數(shù)字證書撤銷方法及設備,在將構造的數(shù)字證書撤銷請求消息發(fā)送至證書服務器前,對所述數(shù)字證書撤銷請求消息進行數(shù)字加密,并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識,保證了所述數(shù)字證書撤銷請求消息發(fā)送過程的安全性。


為了更清楚地說明本發(fā)明實施例中的技術方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
5
圖1為本發(fā)明實施例一提供的一種數(shù)字證書撤銷方法的流程圖2為本發(fā)明實施例一提供的另一種數(shù)字證書撤銷方法的流程圖3為本發(fā)明實施例二提供的一種數(shù)字證書撤銷方法的流程圖4為本發(fā)明實施例二提供的另一種數(shù)字證書撤銷方法的流程圖5為本發(fā)明實施例三提供的一種數(shù)字證書撤銷設備的結(jié)構示意圖6為本發(fā)明實施例三提供的另一種數(shù)字證書撤銷設備的結(jié)構示意圖7為本發(fā)明實施例三提供的另一種數(shù)字證書撤銷設備的結(jié)構示意圖8為本發(fā)明實施例四提供的一種數(shù)字證書撤銷方法的流程圖9為本發(fā)明實施例四提供的另一種數(shù)字證書撤銷方法的流程圖10為本發(fā)明實施例四提供的另一種數(shù)字證書撤銷方法的流程圖11為本發(fā)明實施例五提供的一種數(shù)字證書撤銷設備的流程圖12為本發(fā)明實施例五提供的另一種數(shù)字證書撤銷設備的流程圖13為本發(fā)明實施例六提供的一種數(shù)字證書撤銷方法的流程圖。
具體實施例方式為了使本技術領域的人員更好地理解本申請方案。下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例?;诒旧暾堉械膶嵤├?,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應當屬于本申請保護的范圍。實施例一本發(fā)明實施例提供的數(shù)字證書撤銷方法的處理流程圖如圖1所示,應用于PKI技術的終端實體中,包括步驟SlOl 獲取數(shù)字證書撤銷指令。本實施例中,獲取數(shù)字撤銷指令,可以是當由于用戶身份、用戶信息或者用戶公鑰的改變、用戶私鑰泄露或者用戶業(yè)務中止等原因,用戶需要將自己的數(shù)字證書撤銷時,終端實體接收用戶發(fā)送的數(shù)字證書撤銷指令;還可以是作為終端實體的網(wǎng)絡設備檢測到被攻擊后,自動生成的數(shù)字證書撤銷指令。步驟S102 依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息。終端實體在接收到用戶輸入的數(shù)字證書撤銷指令時,依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;具體構造過程,如本發(fā)明實施例提供的圖2所示,包括步驟S201 解析所述數(shù)字證書撤銷指令中包含的待撤銷數(shù)字證書的數(shù)據(jù)信息;步驟S202 依據(jù)所述數(shù)據(jù)信息構造數(shù)字證書撤銷請求消息。構造的所述數(shù)字證書撤銷請求消息中包含以下信息交互ID、數(shù)字證書撤銷原因、待撤銷數(shù)字證書頒發(fā)者名字、待撤銷數(shù)字證書的證書序列號、待撤銷數(shù)字證書在證書服務器中的物理地址。所述交互ID用于標識數(shù)字證書的撤銷交互過程。步驟S103 對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;采用數(shù)字加密方式對所述數(shù)字證書撤銷請求消息進行數(shù)字加密,防止數(shù)字證書撤銷請求消息在發(fā)送過程中被篡改和被窺伺;同時,對經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識,防止數(shù)字證書撤銷請求被假冒或偽造,并有效審核請求者身份。步驟S104 將所述經(jīng)過數(shù)字加密并設置有身份標識的數(shù)字證書撤銷請求消息發(fā)送至證書服務器,以請求所述證書服務器對數(shù)字證書進行撤銷。本發(fā)明實施例提供的數(shù)字證書撤銷方法,可應用于多種數(shù)字證書撤銷協(xié)議中;以下將本發(fā)明實施例中的數(shù)字證書撤銷方法應用于SCEP協(xié)議中為例予以說明。SCEP 協(xié)議,即簡單證書注冊協(xié)議(Simple Certificate Enrollment Protocol), 是一個簡單的證書管理協(xié)議,用于證書注冊、證書獲取、證書注冊狀態(tài)查詢和CRL獲取。該協(xié)議不支持證書撤銷功能。SCEP協(xié)議定義了兩個SCEP對象SCEP客戶端和SCEP服務器, SCEP服務器通常由證書機構CA承擔;SCEP客戶端由終端實體承擔?;赟CEP協(xié)議,應用本發(fā)明實施例提供的數(shù)字證書撤銷方法對需要撤銷的數(shù)字證書進行撤銷,用戶需要對某一數(shù)字證書進行撤銷時,發(fā)送數(shù)字證書撤銷指令至SCEP客戶端,使SCEP客戶端依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息。本發(fā)明實施例中,在SCEP協(xié)議的基礎上,新增一種SCEP消息類型 CertReVOkeReq(消息碼取值為觀),及數(shù)字證書撤銷請求消息,該消息遵從SCEP安全消息對象(SCEP Secure Message Objects)的格式描述。為了防止構造的數(shù)字證書撤銷請求消息被攻擊者偷窺,在SCEP客戶端中對數(shù)字證書撤銷請求消息通過數(shù)字信封形式進行加密封裝。數(shù)字信封的功能類似于普通信封,數(shù)字信封采用密碼技術保證只有指定的接收人才能閱讀信息的內(nèi)容。數(shù)字信封中采用了對稱加密算法和非對稱加密算法。信息發(fā)送者首先利用隨機產(chǎn)生或預先配置的對稱密碼加密信息,再利用接收方的公鑰加密對稱密碼,被公鑰加密后的對稱密碼被稱之為數(shù)字信封Encrypted Data = EncryptedWithSymmetricalKey(Data)。Digital Envelope = EncryptedWithRecipientPubliKey(Symmetrical—Key)。信息接收方要解密信息時,必須要用自己的私鑰解密數(shù)字信封,得到對稱密碼,然后利用對稱密碼解密所得到的信息,這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院筒豢筛Q探性。本發(fā)明實施例中在SCEP協(xié)議的基礎上采用數(shù)字信封形式對數(shù)字證書撤銷請求消息進行加密封裝具體為在SCEP客戶端中利用隨機生成的對稱密鑰對數(shù)字證書撤銷請求消息進行加密, 然后利用SCEP服務器中數(shù)字證書的公鑰對隨機生成的對稱密鑰進行加密生成數(shù)字信封。 數(shù)字信封附加在數(shù)字證書撤銷請求消息中。為了防止數(shù)字證書撤銷請求消息被攻擊者偽造或篡改,在SCEP客戶端中對經(jīng)過數(shù)字信封操作的數(shù)字證書撤銷請求消息進行數(shù)字簽名操作。數(shù)字指紋是指通過某種哈希算法對數(shù)據(jù)信息進行計算得到的一個固定長度的數(shù)字序列Finger Print = HASH(Data)。數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的數(shù)字指紋進行加密后所得的數(shù)據(jù)。 即用戶首先使用哈希算法計算計算出原始數(shù)據(jù)的數(shù)字指紋,然后對數(shù)字指紋進行私鑰加密,生成數(shù)字簽名Digital Signature = EncryPted(HASH(Data)) 在SCEP客戶端中首先計算數(shù)字證書撤銷請求消息的數(shù)字指紋,然后用自己的私鑰對數(shù)據(jù)指紋進行加密生成數(shù)字簽名。所述數(shù)字簽名附加在數(shù)字證書撤銷請求消息中。將經(jīng)過數(shù)字封裝及數(shù)字簽名的數(shù)字證書撤銷請求消息發(fā)送至SCEP服務器,對需要撤銷的數(shù)字證書進行撤銷。實施例二在圖1所示方法的基礎上,當將數(shù)字證書撤銷請求消息發(fā)送至證書服務器時,可選的,還包括等待證書服務器對所述數(shù)字證書撤銷請求消息進行響應過程,如圖3所示,包括步驟S101-S107,其中步驟101-步驟104與實施例一相同,此處不再贅述。步驟S105 等待接收所述證書機構中的服務器響應的數(shù)字證書撤銷應答消息,并從將所述數(shù)字證書撤銷請求消息發(fā)送至所述證書服務器時開始計時;將數(shù)字證書撤銷請求消息發(fā)送至證書服務器后,從數(shù)字證書撤銷請求消息發(fā)送出的時間點開始計時,記錄數(shù)字證書撤銷請求消息發(fā)送出至等待接收所述證書服務器響應的數(shù)字證書撤銷應答消息的時間段。步驟S106 判斷是否超過預設時間;當超過預設時間,仍未接收到所述證書服務器響應的數(shù)字證書撤銷應答消息時,執(zhí)行步驟S107 ;步驟S107 重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器;然后返回執(zhí)行步驟S105,直至接收到證書服務器響應的數(shù)字證書撤銷應答消息為止;預設一固定時間段,從發(fā)送數(shù)字證書撤銷請求消息至證書服務器開始計時,當計時時間超過所述固定時間段,仍未接收到所述證書服務器響應的數(shù)字證書撤銷應答消息時,重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器,以保證數(shù)字證書的及時撤銷。本發(fā)明在圖3所示方法的基礎上,可選的,還包括對重新發(fā)送數(shù)字證書撤銷請求消息至證書服務器的次數(shù)進行計數(shù),如圖4所示,還包括步驟S108 記錄重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器的次數(shù);步驟S109 當重新發(fā)送的次數(shù)超過預設發(fā)送次數(shù)時,停止發(fā)送所述數(shù)字證書撤銷請求消息,并提示數(shù)字證書撤銷失?。话l(fā)送數(shù)字證書撤銷請求消息至證書服務器中對數(shù)字證書進行撤銷,若數(shù)字證書撤銷請求消息在發(fā)送至證書服務器的過程中被攔截或由于網(wǎng)絡中斷而未能正常發(fā)送至證書服務器中;或正常發(fā)送至證書服務器中,而證書服務器由于故障未能正確處理所述數(shù)字證書撤銷請求消息,則通過多次發(fā)送的方式,在網(wǎng)絡恢復及證書服務器恢復工作時即可完成對數(shù)字證書的及時撤銷。當網(wǎng)絡發(fā)生嚴重故障,或證書服務器發(fā)生不可恢復的故障,或構造的數(shù)字證書撤銷請求消息本身存在缺陷不能使證書服務器對其進行識別時,通過多次發(fā)送數(shù)字證書撤銷請求消息的方式也不能對數(shù)字證書進行及時撤銷;因此,本發(fā)明實施例中,對重新發(fā)送數(shù)字證書撤銷請求消息至證書服務器的次數(shù)進行預設,當重新發(fā)送次數(shù)超過預設次數(shù)時,停止繼續(xù)發(fā)送數(shù)字證書撤銷請求消息,提示數(shù)字證書撤銷失敗,以便對失敗原因進行及時排查, 確保在短時間內(nèi),完成對需要撤銷的數(shù)字證書進行撤銷。實施例三本發(fā)明實施例提供了與實施例一所示數(shù)字證書撤銷請求消息相對應的一種數(shù)字證書撤銷設備,其結(jié)構示意圖如圖5所示,包括
獲取單元301、處理器302、編碼器303和發(fā)射器304 ;其中獲取單元301用于獲取數(shù)字證書撤銷指令;處理器302用于依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;編碼器303用于對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;發(fā)射器304用于將所述經(jīng)過數(shù)字加密并設置有身份標識的證書撤銷請求消息發(fā)送至證書服務器,以請求所述證書服務器對數(shù)字證書進行撤銷。在圖5所示的數(shù)字證書撤銷設備的基礎上,本發(fā)明實施例提供的數(shù)字證書撤銷設備的另一結(jié)構示意圖如圖6所示,處理器303中包括解析單元305和構造單元306 ;解析單元305用于解析所述數(shù)字證書撤銷指令中包含的待撤銷數(shù)字證書的數(shù)據(jù) fn息;構造單元306用于依據(jù)所述數(shù)據(jù)信息構造數(shù)字證書撤銷請求消息;所述數(shù)字證書撤銷請求消息中包括待撤銷數(shù)字證書在證書服務器中的物理地址??蛇x的,本發(fā)明實施例提供的數(shù)字證書撤銷設備還包括,如圖7所示響應接收器307、計時器308 ;響應接收器307用于等待接收所述證書機構中的服務器響應的數(shù)字證書撤銷應答消息;計時器308用于從將所述數(shù)字證書撤銷請求消息發(fā)送至所述證書服務器時開始計時;并在超過預設時間,且所述響應接收器307仍未接收到所述證書服務器響應的數(shù)字證書撤銷應答消息時,發(fā)送控制指令至所述發(fā)射器304,控制所述發(fā)射器304重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器。可選的,還包括計數(shù)器309 ;計數(shù)器309用于記錄所述發(fā)射器304重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器的次數(shù);并在當記錄的重新發(fā)送的次數(shù)超過預設發(fā)送次數(shù)時,控制所述發(fā)射器停止發(fā)送所述數(shù)字證書撤銷請求消息,并提示數(shù)字證書撤銷失敗。本發(fā)明實施例三示出的數(shù)字證書撤銷設備可應用于SCEP協(xié)議中,基礎SCEP協(xié)議對數(shù)字證書進行撤銷。同時,本發(fā)明實施例中,計時器308為一優(yōu)選計時設備,在具體實施過程中,當數(shù)字證書撤銷請求消息發(fā)送至證書服務器中時,可立即對計時器308進行創(chuàng)建計時,當接收到證書服務器響應的數(shù)字證書撤銷應答消息時,可銷毀創(chuàng)建的計時器。實施例四如圖8所示,本發(fā)明實施例提供了一種數(shù)字證書撤銷方法,應用于PKI技術的證書服務器中,包括步驟S401 接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;步驟S402 對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;接收到終端實體發(fā)送的數(shù)字證書撤銷請求消息后,對數(shù)字證書請求消息進行解密,以獲得數(shù)字證書請求消息中包含的數(shù)字證書的相關數(shù)據(jù)信息;解密過程完成后,驗證經(jīng)過解密的證書撤銷請求消息的身份標識,確定所述證書的發(fā)送主體,審核請求者的身份。步驟S403 當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷;所述撤銷過程如本申請實施例提供圖9所示,包括步驟S501 解析所述數(shù)字證書撤銷請求消息中的待撤銷數(shù)字證書在證書服務器中的物理地址;步驟S502 依據(jù)所述物理地址查找相應的數(shù)字證書,并對所述數(shù)字證書進行撤銷。本發(fā)明實施例對數(shù)字證書的撤銷過程中,證書服務器接收到數(shù)字證書撤銷請求消息后,在所述證書服務器中查找與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書,查找過程可采用多種方式,優(yōu)選的采用所述待撤銷數(shù)字證書中包含的待撤銷數(shù)字證書在證書服務器中的物理地址,直接對所述待撤銷數(shù)字證書進行查找。也可通過采用依據(jù)所述待撤銷數(shù)字證書的名稱,發(fā)布日期、頒發(fā)者的名字等多種標識并用或單獨使用的方式對證書機構中的待撤銷數(shù)字證書進行查找。在圖8所示方法的基礎上,對數(shù)字證書進行撤銷后,可選的,還包括響應證書撤銷應答消息至所述終端實體,如圖10所示,包括步驟S401-步驟S403與圖1所示步驟相同,此處不再贅述。步驟S404 響應證書撤銷應答消息至所述終端實體。本申請實施例四提供的數(shù)字證書撤銷方法,可應用于多種數(shù)字證書撤銷協(xié)議中; 以下將本發(fā)明實施例中的數(shù)字證書撤銷方法應用于SCEP協(xié)議中SCEP服務器收到數(shù)字證書撤銷請求消息后,對數(shù)字證書請求消息中的數(shù)字信封進行拆封,拆封過程如下使用自己的私鑰解密數(shù)字信封(即數(shù)字信封拆封),獲取加密證書撤銷請求消息的對稱密鑰,然后使用該對稱密鑰對證書撤銷請求消息進行解密。數(shù)字信封拆封成功后,SCEP服務器驗證數(shù)字證書撤銷請求消息的數(shù)字簽名是否正確;當數(shù)字證書撤銷請求消息的數(shù)字簽名正確時,對待撤銷數(shù)字證書進行撤銷。如果數(shù)字證書撤銷結(jié)果為成功,SCEP服務器根據(jù)頒發(fā)者名字和證書序列號,發(fā)布 CRL,撤銷證書,發(fā)布的CRL中包含了撤銷證書的序列號、撤銷原因和撤銷日期等信息。同時,SCEP服務器構造數(shù)字證書撤銷請求響應消息CertR印,響應消息中包含證書撤銷結(jié)果即PKI狀態(tài)為Success或failure。如果數(shù)字信封拆封失敗或驗證數(shù)字簽名失敗,則證書撤銷結(jié)果為失敗。否則撤銷結(jié)果為成功。實施例五本發(fā)明實施例提供了一種數(shù)字證書撤銷設備,其結(jié)構示意圖如圖11所示,包括接收器601和處理器602 ;其中接收器601用于接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;處理器602用于對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;并在當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷。在圖11所示數(shù)字證書撤銷設備的基礎上,本發(fā)明實施例提供的數(shù)字證書撤銷設備的另一結(jié)構示意圖如圖12所示,處理器602中包括解析單元603和撤銷單元604 ;解析單元603用于解析所述數(shù)字證書撤銷請求消息中的待撤銷數(shù)字證書在證書服務器中的物理地址;撤銷單元604依據(jù)所述物理地址查找相應的數(shù)字證書,并對所述數(shù)字證書進行撤銷??蛇x的,本發(fā)明實施例提供的數(shù)字證書撤銷設備還包括響應器605 ;響應器605用于響應證書撤銷應答消息至終端實體。對于上述裝置實施例而言,由于其基本相應于方法實施例,所以描述的比較簡單, 相關之處參見方法實施例的部分說明即可。實施例六本申請實施例提供了在實施例一與實施例四相結(jié)合的基礎上,數(shù)字證書撤銷方法應用于SCEP協(xié)議中的數(shù)字證書撤銷流程圖步驟S701 S704的執(zhí)行主體為SCEP客戶端,構造數(shù)字證書撤銷請求消息,對所述數(shù)字證書撤銷請求消息進行數(shù)字信封封裝后設置數(shù)字簽名后,將所述數(shù)字證書撤銷請求消息發(fā)送至SCEP服務器中。所述數(shù)字證書撤銷請求消息發(fā)送出后,執(zhí)行步驟S705,并在預設時間段內(nèi)未收到SCEP服務器未對所述數(shù)字證書撤銷請求消息進行響應時,執(zhí)行步驟 S706.步驟S707 S709的執(zhí)行主體為SCEP服務器,接收到數(shù)字證書撤銷請求消息時, 對其拆封數(shù)字信封,驗證其數(shù)字簽名,當拆封過程成功并且數(shù)字簽名驗證成功時,發(fā)布證書撤銷列表對待撤銷數(shù)字證書進行撤銷。同時執(zhí)行步驟S710 響應證書撤銷應答消息至SCEP 客戶端。SCEP客戶端接收到所述證書撤銷應答消息后,執(zhí)行步驟S711銷毀定時器,完成整個數(shù)字證書撤銷過程。本發(fā)明實施例中,為了更進一步的驗證證書撤銷請求者的身份,防止身份假冒,證書機構可以在證書頒發(fā)后,證書機構管理員或網(wǎng)絡管理員為每一個證書分配一個證書撤銷密碼,然后通過帶外方式例如發(fā)送郵件、短信通知等方式將證書撤銷密碼通知給證書持有
者ο當證書持有者即SCEP客戶端想撤銷其證書時,在證書撤銷請求消息中攜帶證書撤銷密碼,SCEP服務器除了拆封數(shù)字信封、驗證數(shù)字簽名外,還必須驗證證書撤銷請求消息中證書撤銷密碼是否正確,即比較證書撤銷請求消息中證書撤銷密碼和SCEP服務器本端保存的證書撤銷密碼是否一致,如果一致,則發(fā)布CRL撤銷該證書,否則響應證書撤銷失敗。本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。以上所述僅是本申請的具體實施方式
,應當指出,對于本技術領域的普通技術人員來說,在不脫離本申請原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本申請的保護范圍。
1權利要求
1.一種數(shù)字證書撤銷方法,其特征在于,包括 獲取數(shù)字證書撤銷指令;依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;將所述經(jīng)過數(shù)字加密并設置有身份標識的數(shù)字證書撤銷請求消息發(fā)送至證書服務器, 以請求所述證書服務器對數(shù)字證書進行撤銷。
2.根據(jù)權利要求1所述的方法,其特征在于,所述依據(jù)數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息包括解析所述數(shù)字證書撤銷指令中包含的待撤銷數(shù)字證書的數(shù)據(jù)信息; 依據(jù)所述數(shù)據(jù)信息構造數(shù)字證書撤銷請求消息;所述數(shù)字證書撤銷請求消息包括所述待撤銷數(shù)字證書在所述證書服務器中的物理地址。
3.根據(jù)權利要求1或2所述的方法,其特征在于,將所述數(shù)字證書撤銷請求消息發(fā)送至證書機構中的服務器后,所述方法還包括等待接收所述證書服務器響應的數(shù)字證書撤銷應答消息,并從將所述數(shù)字證書撤銷請求消息發(fā)送至所述證書服務器時開始計時;當超過預設時間仍未接收到所述證書服務器響應的數(shù)字證書撤銷應答消息時,重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器。
4.根據(jù)權利要求3所述的方法,其特征在于,還包括記錄重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器的次數(shù); 當重新發(fā)送的次數(shù)超過預設發(fā)送次數(shù)時,停止發(fā)送所述數(shù)字證書撤銷請求消息,并提示數(shù)字證書撤銷失敗。
5.一種數(shù)字證書撤銷設備,其特征在于,包括 獲取單元,用于獲取數(shù)字證書撤銷指令;處理器,用于依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息; 編碼器,用于對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;發(fā)射器,用于將所述經(jīng)過數(shù)字加密并設置有身份標識的證書撤銷請求消息發(fā)送至證書服務器,以請求所述證書服務器對數(shù)字證書進行撤銷。
6.根據(jù)權利要求5所述的設備,其特征在于,所述處理器包括解析單元,用于解析所述數(shù)字證書撤銷指令中包含的待撤銷數(shù)字證書的數(shù)據(jù)信息; 構造單元,用于依據(jù)所述數(shù)據(jù)信息構造數(shù)字證書撤銷請求消息;所述數(shù)字證書撤銷請求消息包括待撤銷數(shù)字證書在證書服務器中的物理地址。
7.根據(jù)權利要求5或6所述的設備,其特征在于,還包括響應接收器,用于等待接收所述證書機構中的服務器響應的數(shù)字證書撤銷應答消息; 計時器,用于從將所述數(shù)字證書撤銷請求消息發(fā)送至所述證書服務器時開始計時;并在超過預設時間,且所述響應接收器仍未接收到所述證書服務器響應的數(shù)字證書撤銷應答消息時,發(fā)送控制指令至所述發(fā)射器,控制所述發(fā)射器重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器。
8.根據(jù)權利要求7所述的設備,其特征在于,還包括計數(shù)器,用于記錄所述發(fā)射器重新發(fā)送所述數(shù)字證書撤銷請求消息至所述證書服務器的次數(shù);并在當記錄的重新發(fā)送的次數(shù)超過預設發(fā)送次數(shù)時,控制所述發(fā)射器停止發(fā)送所述數(shù)字證書撤銷請求消息,并提示數(shù)字證書撤銷失敗。
9.一種數(shù)字證書撤銷方法,其特征在于,包括接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷。
10.根據(jù)權利要求9所述的方法,其特征在于,所述對與數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷包括解析所述數(shù)字證書撤銷請求消息中的待撤銷數(shù)字證書在證書服務器中的物理地址;依據(jù)所述物理地址查找相應的數(shù)字證書,并對所述數(shù)字證書進行撤銷。
11.根據(jù)權利要求9或10所述的方法,其特征在于,還包括向所述終端實體響應證書撤銷應答消息。
12.—種數(shù)字證書撤銷設備,其特征在于,包括接收器,用于接收終端實體發(fā)送的數(shù)字證書撤銷請求消息;處理器,用于對所述數(shù)字證書撤銷請求消息進行數(shù)字解密并驗證所述經(jīng)過解密的證書撤銷請求消息的身份標識;并在當所述數(shù)字證書撤銷請求消息解密成功且通過身份標識驗證時,對與所述數(shù)字證書撤銷請求消息相對應的數(shù)字證書進行撤銷。
13.根據(jù)權利要求12所述的設備,其特征在于,所述處理器包括解析單元,用于解析所述數(shù)字證書撤銷請求消息中的待撤銷數(shù)字證書在證書服務器中的物理地址;撤銷單元,用于依據(jù)所述物理地址查找相應的數(shù)字證書,并對所述數(shù)字證書進行撤銷。
14.根據(jù)權利要求12或13所述的設備,其特征在于,還包括響應器,用于響應證書撤銷應答消息至所述終端實體。
全文摘要
本發(fā)明公開了一種數(shù)字證書撤銷方法,客戶端獲取數(shù)字證書撤銷指令;依據(jù)所述數(shù)字證書撤銷指令構造數(shù)字證書撤銷請求消息;對所述數(shù)字證書撤銷請求消息進行數(shù)字加密并為所述經(jīng)過數(shù)字加密的數(shù)字證書撤銷請求消息設置身份標識;將所述經(jīng)過數(shù)字加密并設置有身份標識的數(shù)字證書撤銷請求消息發(fā)送至證書服務器,請求所述證書服務器對數(shù)字證書進行撤銷。本發(fā)明在接收到用戶輸入的數(shù)字證書撤銷指令時,通過構造數(shù)字證書撤銷請求消息;將所述數(shù)字證書撤銷請求消息發(fā)送至證書服務器;對數(shù)字證書進行撤銷;使撤銷過程更加直接快捷,確保了數(shù)字證書撤銷的及時性,使用戶信息更加的安全。
文檔編號H04L29/06GK102447705SQ201110451508
公開日2012年5月9日 申請日期2011年12月29日 優(yōu)先權日2011年12月29日
發(fā)明者邵官閣 申請人:華為技術有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
克山县| 辽阳市| 吉首市| 洪洞县| 文山县| 灌南县| 新和县| 洪洞县| 宁陵县| 西城区| 茌平县| 城市| 姜堰市| 九龙县| 扶余县| 汉源县| 镇宁| 宝应县| 琼海市| 喀喇沁旗| 九江县| 县级市| 宁武县| 濉溪县| 郴州市| 清新县| 丘北县| 乌鲁木齐县| 虎林市| 抚顺市| 崇明县| 巢湖市| 富裕县| 福泉市| 黄浦区| 溧阳市| 正镶白旗| 泰来县| 合川市| 安新县| 定西市|