專(zhuān)利名稱(chēng)：一種新型x509數(shù)字證書(shū)白名單發(fā)布查詢(xún)驗(yàn)證的方法
技術(shù)領(lǐng)域：
本發(fā)明一般應(yīng)用于公開(kāi)密鑰基礎(chǔ)設(shè)施系統(tǒng)(PKI)領(lǐng)域，為數(shù)字證書(shū)白名單查詢(xún) 提供一種輕量級(jí)的更高效，安全，快捷的方式。
技術(shù)背景X509是由ITU-T推薦的一個(gè)國(guó)際標(biāo)準(zhǔn)，1 509定義了一個(gè)已經(jīng)被廣泛接受的？1(1 基礎(chǔ)，它包括數(shù)據(jù)格式和通過(guò)由證書(shū)機(jī)構(gòu)簽發(fā)的數(shù)字證書(shū)來(lái)進(jìn)行分發(fā)公鑰的過(guò)程。 X509數(shù)字證書(shū)是指由可信任證書(shū)簽發(fā)組織對(duì)特定公鑰和數(shù)據(jù)信息進(jìn)行簽名的數(shù)據(jù)。X509證書(shū)白名單是被可信任證書(shū)簽發(fā)組織所簽發(fā)的或證書(shū)應(yīng)用提供方所認(rèn)定 依然有效的證書(shū)集合。X509證書(shū)黑名單是由可信任證書(shū)簽發(fā)組織所廢除的一系列證書(shū)的集合，被列 入黑名單的證書(shū)公私鑰將失效。證書(shū)吊銷(xiāo)列表CRL:以一定格式儲(chǔ)存證書(shū)黑名單，并能更新名單和驗(yàn)證是否由可信任證書(shū)簽發(fā)組織所發(fā)布的數(shù)據(jù)。OCSP在線(xiàn)證書(shū)協(xié)議即可以實(shí)時(shí)査看證書(shū)狀態(tài)的協(xié)議，由客戶(hù)端發(fā)起，隨時(shí)來(lái)查詢(xún)證書(shū)狀態(tài)。輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議(LDAP)是一個(gè)用于通過(guò)TCP/IP網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)目錄服務(wù)的協(xié) 議，目錄是種專(zhuān)門(mén)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)對(duì)讀取，檢索和瀏覽進(jìn)行優(yōu)化。X500目錄是一種可以在LDAP中使用的數(shù)據(jù)組織結(jié)構(gòu)，數(shù)據(jù)組織結(jié)構(gòu)是一個(gè)樹(shù)狀 的結(jié)構(gòu)，樹(shù)中除了根節(jié)點(diǎn)之外的每一個(gè)節(jié)點(diǎn)都有一個(gè)父節(jié)點(diǎn)和任意數(shù)目的子節(jié)點(diǎn)。一 般用于存儲(chǔ)證書(shū)黑白名單及證書(shū)吊銷(xiāo)列表。X509數(shù)字證書(shū)白名單現(xiàn)階段使用X500目錄在LDAP中發(fā)布，査詢(xún)，驗(yàn)證，此LDAP 數(shù)據(jù)由可信任證書(shū)頒發(fā)組織所發(fā)布。 發(fā)明內(nèi)容針對(duì)現(xiàn)有技術(shù)中所存在的問(wèn)題，本發(fā)明提出了一個(gè)輕量級(jí)，低開(kāi)銷(xiāo)，低網(wǎng)絡(luò)消耗， 快速響應(yīng)，安全，可驗(yàn)證的證書(shū)白名單發(fā)布方式。為了實(shí)現(xiàn)上述目的，本發(fā)明的技術(shù)方案是 一種X509數(shù)字證書(shū)白名單發(fā)布查詢(xún) 驗(yàn)證的方法，方法至少包括建立由一個(gè)串組成；包括證書(shū)部分、簽名算法、簽名值的證書(shū)白名單，所述證書(shū) 白名單列表包括本次更新時(shí)間、下次更新時(shí)間、簽發(fā)者、白名單證書(shū)的唯一標(biāo)識(shí)(例 如序列號(hào))等；可信任證書(shū)頒發(fā)組織簽發(fā)證書(shū)白名單并發(fā)布供用戶(hù)査詢(xún)；用戶(hù)根據(jù) 可信任證書(shū)頒發(fā)組織所發(fā)布的白名單地址獲取白名單的數(shù)據(jù)，并通過(guò)可信任證書(shū)頒發(fā) 組織的CA證書(shū)對(duì)所有白名單證書(shū)序列號(hào)進(jìn)行一次性驗(yàn)證得到相應(yīng)的白名單證書(shū)唯 一標(biāo)識(shí)(例如序列號(hào))。本發(fā)明的白名單發(fā)布系統(tǒng)與原來(lái)白名單發(fā)布系統(tǒng)(例如通過(guò)LDAP發(fā)布)比較， 主要有以下區(qū)別1. 本發(fā)明是一種輕量級(jí)的X509發(fā)布證書(shū)白名單的一種方式，原來(lái)證書(shū)白名單發(fā)布詳盡的證書(shū)信息，組織結(jié)構(gòu)，證書(shū)本身，單個(gè)白名單數(shù)據(jù)容量大小往往有數(shù)千字節(jié)。，此種方式白名單只發(fā)布證書(shū)的唯一標(biāo)識(shí)(例如序列號(hào))及相關(guān)操作時(shí)間。因 此單個(gè)白名單數(shù)據(jù)大小才幾十字節(jié)，大大的減少了儲(chǔ)存空間。2. 對(duì)于原來(lái)的白名單驗(yàn)證方式，驗(yàn)證白名單內(nèi)證書(shū)必須分別驗(yàn)證每一張證書(shū)是 否可信任，由而不能一次性驗(yàn)證白名單內(nèi)的所有證書(shū)。而本發(fā)明使用的方式通過(guò)可信 任證書(shū)頒發(fā)組織的CA證書(shū)對(duì)所有證書(shū)序列號(hào)進(jìn)行一次性驗(yàn)證，從而達(dá)到批量驗(yàn)簽的目的。，大大的提升了驗(yàn)證效率，節(jié)約了驗(yàn)證時(shí)間。3. 對(duì)于傳統(tǒng)的白名單驗(yàn)證方式(例如通過(guò)LDAP發(fā)布白名單)，應(yīng)用用戶(hù)必 須一直連接白名單發(fā)布服務(wù)器(例如:LDAP),每驗(yàn)證一張證書(shū)就必須查詢(xún)一次LDAP 服務(wù)器，此發(fā)明驗(yàn)證白名單的方式，可以離線(xiàn)下載白名單，并一次性的驗(yàn)證白名單中 的所有白名單證書(shū)，極大的減少了網(wǎng)絡(luò)資源消耗，并極大的提高了驗(yàn)證速度，快速安全的驗(yàn)證了白名單中的證書(shū)。4. 可以通過(guò)HTTP，F(xiàn)TP等被廣泛運(yùn)用的網(wǎng)絡(luò)通訊協(xié)議發(fā)布白名單，而不需要專(zhuān)屬協(xié)議。


圖1是本發(fā)明實(shí)施例的白名單驗(yàn)簽過(guò)程流程 。 圖2是本發(fā)明實(shí)施例的白名單發(fā)布過(guò)程示意圖。
具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)地說(shuō)明。本發(fā)明提出了一個(gè)輕量級(jí)的，但具有更高效，簡(jiǎn)潔，安全，可驗(yàn)證的證書(shū)白名單 發(fā)布方式。主要使用以下內(nèi)容來(lái)實(shí)現(xiàn)發(fā)布，驗(yàn)證白名單。一，所發(fā)布的白名單數(shù)據(jù)格式 CertificateList::=SESQUENCE{TbsCertList TBSCertList，S ignatureAlgorithm Algorithmldentifier，Signature Value BIT stringTBSCertList ::=SEQUENCE{ Version Version OPTIONAL, Singature Algorithmldentifier, Issuer name, thisUpdate Time， nextUpdate time OPTIONAL,Trusted Certificates List SEQUENCE OF SEQUENCE{userCertificate Unique identifier (Example:CertificateSerailName), revocationDate Time,}證書(shū)白名單由一個(gè)(ASNl)串組成，包括證書(shū)列表部分，簽名算法，簽名值 證書(shū)列表部分，包括版本信息，簽名認(rèn)證，簽發(fā)者，本次更新時(shí)間，下次更新時(shí)間，證書(shū)唯一標(biāo)識(shí)(例如證書(shū)序列號(hào))集合。二，發(fā)布白名單可信任的證書(shū)發(fā)布組織在白名單到達(dá)下次更新時(shí)間后，會(huì)根據(jù)應(yīng)用需求，調(diào)整白名單證書(shū)列表中證書(shū)的唯一標(biāo)識(shí)(例如序列號(hào))，把需要新添加的證書(shū)的唯一標(biāo)識(shí) (例如序列號(hào))加入列表，把需要?jiǎng)h除的證書(shū)唯一標(biāo)識(shí)(例如序列號(hào))刪除出列 表，最后根據(jù)上訴編碼格式簽發(fā)出新的白名單，并發(fā)布到LDAP或HTTP等上，供用戶(hù)查詢(xún)。三，獲取白名單用戶(hù)根據(jù)可信任證書(shū)頒發(fā)組織所發(fā)布的白名單地址，通過(guò)LDAP或者HTTP等獲 取到白名單的數(shù)據(jù)。5四，驗(yàn)證白名單白名單的可信任性，不可抵賴(lài)性是由可信任頒發(fā)組織機(jī)構(gòu)頒發(fā)的CA證書(shū)對(duì)數(shù)據(jù) 進(jìn)行簽名來(lái)實(shí)現(xiàn)的。用戶(hù)如果要確認(rèn)是否信任該白名單，則需要對(duì)白名單進(jìn)行驗(yàn)證， 即是否是由可信任證書(shū)簽發(fā)機(jī)構(gòu)的CA證書(shū)所對(duì)應(yīng)的私鑰做的簽名。 具體步驟是當(dāng)用戶(hù)獲取到此白名單內(nèi)容后，會(huì)根據(jù)可信任證書(shū)頒發(fā)組織機(jī)構(gòu)頒發(fā)的CA證書(shū) 對(duì)白名單的簽名進(jìn)行驗(yàn)證。驗(yàn)證過(guò)程為公鑰對(duì)私鑰進(jìn)行簽名的數(shù)據(jù)進(jìn)行確認(rèn)。 五，査詢(xún)白名單用戶(hù)根據(jù)證書(shū)獲取所需求的唯一標(biāo)識(shí)(例如序列號(hào))與白名單中的證書(shū)唯一標(biāo) 識(shí)(例如序列號(hào))來(lái)進(jìn)行比對(duì)，如果有則是屬于本白名單的證書(shū)，如果沒(méi)有則不是 屬于本白名單的證書(shū)。本實(shí)例具體描述在同一CA體系，即同一信任域下，企業(yè)使用數(shù)字證書(shū)的實(shí)例 前提CA—O為某可信任證書(shū)頒發(fā)組織，CA一CACERT為這個(gè)組織的CA證書(shū)，此證 書(shū)被用來(lái)簽發(fā)白名單。0—A為一家使用CA—O證書(shū)的一家企業(yè)。CERT—A,CERT—B 為CA_0所頒發(fā)給O—A的2張證書(shū)，序列號(hào)分別為SERIAL—A,SERIAL—B，步驟白名單發(fā)布一. 由CA—O給O—A簽發(fā)證書(shū)CERT—A,CERT—B,并把這兩張證書(shū)的序列號(hào)解析 出來(lái)，并把其加入原來(lái)此組織的白名單中去，根據(jù)本發(fā)明的算法，生成最后的白 名單；二. 把生成的白名單發(fā)布到CA_0的HTTP服務(wù)器中或CA—O的LDAP服務(wù)器中。白名單應(yīng)用一. 0_A企業(yè)從CA—O組織發(fā)布白名單的URL或LDAP中獲取到白名單數(shù)據(jù)；二. O—A從CA一O組織中獲取到CA—CACERT;三. 0_A企業(yè)使用CA—CACERT對(duì)白名單進(jìn)行驗(yàn)簽；四. 如果驗(yàn)簽成功，則從中取出白名單中所包含的證書(shū)序列號(hào)；五. O—A企業(yè)的OA系統(tǒng)得到了證書(shū)序列號(hào)進(jìn)行OA辦公。雖然本發(fā)明已以較佳實(shí)施例公開(kāi)如上，但它們并不是用來(lái)限定本發(fā)明，任何熟悉 此技藝者，在不脫離本發(fā)明之精神和范圍內(nèi)，自當(dāng)可作各種變化或潤(rùn)飾，因此本發(fā)明 的保護(hù)范圍應(yīng)當(dāng)以本申請(qǐng)的權(quán)利要求保護(hù)范圍所界定的為準(zhǔn)。
權(quán)利要求
1、一種X509數(shù)字證書(shū)白名單發(fā)布查詢(xún)驗(yàn)證的方法，其特征在于該方法至少包括證書(shū)白名單由一個(gè)(ASN1)串組成，包括證書(shū)部分，簽名算法，簽名值；證書(shū)部分，包括版本信息，簽名認(rèn)證，簽發(fā)者，本次更新時(shí)間，下次更新時(shí)間，白名單證書(shū)唯一標(biāo)識(shí)(例如序列號(hào))等；可信任證書(shū)頒發(fā)組織使用CA證書(shū)所對(duì)應(yīng)的私鑰簽發(fā)證書(shū)白名單并發(fā)布供用戶(hù)查詢(xún)；用戶(hù)根據(jù)可信任證書(shū)頒發(fā)組織所發(fā)布的白名單地址獲取白名單的數(shù)據(jù)，并通過(guò)可信任證書(shū)頒發(fā)組織的CA證書(shū)對(duì)所有白名單進(jìn)行一次性驗(yàn)證得到相應(yīng)的白名單證書(shū)唯一標(biāo)識(shí)列表等數(shù)據(jù)。
2、 根據(jù)權(quán)利要求1所述的X509數(shù)字證書(shū)白名單發(fā)布査詢(xún)驗(yàn)證的方法，其特征 在于所述的發(fā)布是指可信任的證書(shū)發(fā)布組織在白名單到達(dá)下次更新時(shí)間后，會(huì)根據(jù) 應(yīng)用需求，調(diào)整白名單證書(shū)列表中證書(shū)的唯一標(biāo)識(shí)(例如序列號(hào))，把需要新添加 的證書(shū)的唯一標(biāo)識(shí)(例如序列號(hào))加入列表，把需要?jiǎng)h除的證書(shū)唯一標(biāo)識(shí)(例如 序列號(hào))刪除出列表，最后根據(jù)要求l所述的編碼格式簽發(fā)出新的白名單，并發(fā)布到 LDAP或HTTP等上，供用戶(hù)査詢(xún)。
3、 根據(jù)權(quán)利要求1所述的X509數(shù)字證書(shū)白名單發(fā)布査詢(xún)驗(yàn)證的方法，其特征 在于所述的驗(yàn)證是指當(dāng)用戶(hù)獲取白名單內(nèi)容后，根據(jù)可信任證書(shū)頒發(fā)組織所頒發(fā)的 CA證書(shū)公鑰驗(yàn)簽，來(lái)驗(yàn)證白名單的簽名是否是由可信任證書(shū)頒發(fā)機(jī)構(gòu)CA證書(shū)所簽 發(fā)。
4、 根據(jù)權(quán)利要求l、 2或3所述的X509數(shù)字證書(shū)白名單發(fā)布査詢(xún)驗(yàn)證的方法， 其特征在于當(dāng)用戶(hù)需要對(duì)用戶(hù)證書(shū)做可信任性進(jìn)行判斷時(shí)，首先獲取證書(shū)的唯一性 標(biāo)識(shí)(例如序列號(hào))，然后獲取并驗(yàn)證白名單，得到白名單中所有證書(shū)唯一標(biāo)識(shí)列表， 與用戶(hù)證書(shū)唯一標(biāo)識(shí)做對(duì)比，從而驗(yàn)證用戶(hù)證書(shū)。
全文摘要
本發(fā)明公開(kāi)了一種X509數(shù)字證書(shū)白名單發(fā)布查詢(xún)驗(yàn)證的方法，包括建立由一個(gè)串組成的，包括證書(shū)部分、簽名算法、簽名值的證書(shū)白名單，上述證書(shū)部分包括本次更新時(shí)間、下次更新時(shí)間、簽發(fā)者、白名單證書(shū)唯一標(biāo)識(shí)(例如序列號(hào))等；可信任證書(shū)頒發(fā)組織簽發(fā)證書(shū)白名單并發(fā)布供用戶(hù)查詢(xún)；用戶(hù)獲取白名單的數(shù)據(jù)，并通過(guò)可信任證書(shū)頒發(fā)組織機(jī)構(gòu)的CA證書(shū)對(duì)證書(shū)白名單進(jìn)行一次性驗(yàn)證得到白名單證書(shū)列表(證書(shū)唯一標(biāo)識(shí)的列表)。用戶(hù)可以根據(jù)證書(shū)唯一標(biāo)識(shí)來(lái)判斷用戶(hù)證書(shū)是否在白名單內(nèi)。本發(fā)明采用可信任證書(shū)頒發(fā)組織機(jī)構(gòu)對(duì)數(shù)據(jù)進(jìn)行簽名的方式來(lái)確定安全性，可靠性，用戶(hù)可以獲取到可信任證書(shū)頒發(fā)組織機(jī)構(gòu)所頒發(fā)的CA證書(shū)，通過(guò)這張證書(shū)的公鑰對(duì)證書(shū)白名單的簽名進(jìn)行驗(yàn)簽，從而達(dá)到確認(rèn)白名單是否可信的目的。
文檔編號(hào)H04L29/06GK101616165SQ20091018154
公開(kāi)日2009年12月30日 申請(qǐng)日期2009年7月28日 優(yōu)先權(quán)日2009年7月28日
發(fā)明者莊昱垚, 趙統(tǒng)一, 陳力芳 申請(qǐng)人:江蘇先安科技有限公司