專利名稱:一種增強數(shù)字證書撤銷列表安全性的方法
技術領域:
本發(fā)明涉及一種數(shù)字證書撤銷方法���,具體涉及增強數(shù)字證書撤銷列表安全性的方法�。
背景技術:
由于hternet網(wǎng)電子商務系統(tǒng)技術使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息����,但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風險。為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性����,保密性等,防范交易及支付過程中的欺詐行為�����,必須在網(wǎng)上建立一種信任機制��。這就要求參加電子商務的買方和賣方都必須擁有合法的身份�, 并且在網(wǎng)上能夠有效無誤的被進行驗證。以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密�����、數(shù)字簽名和簽名驗證����,確保網(wǎng)上傳遞信息的機密性、完整性��。使用了數(shù)字證書���,即使用戶發(fā)送的信息在網(wǎng)上被他人截獲�,甚至丟失了個人的賬戶�、密碼等信息,仍可以保證賬戶�、資金安全。數(shù)字證書是一種權威性的電子文檔����,由權威公正的第三方機構,即證書認證中心簽發(fā)的證書����。以數(shù)字證書為基礎的身份認證體系在出現(xiàn)需要作廢的數(shù)字證書時,采用數(shù)字證書廢止列表的方式來實現(xiàn)�,數(shù)字證書廢止列表(業(yè)界常簡稱CRL)中記錄所有在原定失效日期到達之前被廢止的數(shù)字證書的用戶數(shù)字證書序列號����,供數(shù)字證書使用者在認證對方數(shù)字證書時查詢使用��。為了處理大用戶量的情況���,一般情況下�����,都會采用將數(shù)字證書廢止列表分在多個數(shù)字證書廢止列表文件中的方式���,在數(shù)字證書中表明如若該數(shù)字證書被廢止則對應的證書序列號位于那個數(shù)字證書廢止列表文件中。數(shù)字證書廢止列表的結構如下證書廢止列表(CertificateList) {
待簽名廢止證書列表(tbsCertList)
版本號(version)
簽名算法(signature)
簽發(fā)者(issuer)
本次更新時間(thisUpdate)
下次更新時間(nextUpdate)
I^ih白勺ilH·^ (revokedCertificates)
廢止證書的序列號(userCertificate)
廢止時間(revocationDate)
廢止項擴展(crlEntryExtensions)
證書廢止列表擴展crlExtensions
簽名算法(signatureAlgorithm)
簽名值(signatureValue)}
其中廢止項擴展和證書廢止列表擴展的結構如下
3
擴展標識是否為關鍵擴展擴展值在現(xiàn)有的標準和業(yè)界的操作過程中��,經(jīng)常使用的擴展有簽發(fā)者密鑰標識�����、簽發(fā)者名稱�����、CRL數(shù)量��、增量CRL指示器、簽發(fā)發(fā)布點����、最新CRL和權威信息訪問���。一般的證書驗證流程是首先驗證證書合法性����,然后根據(jù)證書包含的CRL發(fā)布點信息下載或從本地查找對應的CRL文件來查驗對應的證書是否在指定的CRL文件中���。從上面我們描述的證書廢止列表的結構看���,證書廢止列表的這些內容都沒有表示 CRL文件名稱或CRL文件中應涵蓋的CRL范圍,這就導致了 CRL與證書驗證的機制脫節(jié)�����,從而出現(xiàn)安全問題��。
發(fā)明內容
本發(fā)明需要解決的技術問題就在于提供一種增強數(shù)字證書撤銷列表安全性的方法���,本發(fā)明解決了目前數(shù)字證書撤銷方法導致了 CRL與證書驗證的機制脫節(jié)���,從而出現(xiàn)安全隱患的問題���。為解決上述問題,本發(fā)明采用如下技術方案數(shù)字證的廢止過程是(一 )發(fā)起數(shù)字證書撤銷���;( 二)將證書序列號放入數(shù)字證書廢止列表的待廢止列表�����;(三)CA根據(jù)預先設定的廢止規(guī)則將需要廢止的數(shù)字證書序列號構成一個CRL文件�;(四)CA對數(shù)字證書廢止列表簽名�;(五)發(fā)布數(shù)字證書廢止列表至特定的文件中或特定的目錄中;在上述第(三)步驟中���,在CRL文件的待簽名廢止列表內增加可能發(fā)布在本CRL 內的證書序列號的范圍�����,由CRL簽發(fā)者做數(shù)字簽名�����,用于標明本CRL文件將負責的證書的范圍。進一步地,本發(fā)明的一種增強數(shù)字證書撤銷列表安全性的方法����,還具有如下特點 第(三)步驟中����,用于標明本CRL文件將負責的證書的范圍的具體方法�����,按照如下步驟操作1)增加兩種CRL擴展����,該擴展中包含負責證書的起始證書序列號和終止證書序列號��,這種CRL擴展將作為關鍵擴展�����,在驗證CRL有效性時必須檢查���,檢查的方法是下載的CRL 僅負責驗證起始證書序列號到終止證書序列號之間的證書的合法性�;2)在CRL文件中的待簽名廢止證書列表增加兩項內容�����,該兩項內容是負責證書的起始證書序列號和終止證書序列號。本發(fā)明實現(xiàn)數(shù)字證書廢止列表功能�����,又能夠彌補現(xiàn)有技術的數(shù)字證書撤銷方法存在安全性問題��,使得數(shù)字證書和數(shù)字證書廢止列表真正聯(lián)系在一起���。
圖1是本發(fā)明數(shù)字證書廢止流程圖��。
具體實施例方式如圖1所示��,一種增強數(shù)字證書撤銷列表安全性的方法���,數(shù)字證的廢止過程是(一)發(fā)起數(shù)字證書撤銷;( 二)將證書序列號放入數(shù)字證書廢止列表的待廢止列表��;(三)CA根據(jù)預先設定的廢止規(guī)則將需要廢止的數(shù)字證書序列號構成一個CRL文件��;(四)CA對數(shù)字證書廢止列表簽名�����;(五)發(fā)布數(shù)字證書廢止列表至特定的文件中或特定的目錄中;在上述第(三)步驟中�,在CRL文件的待簽名廢止列表內增加可能發(fā)布在本CRL 內的證書序列號的范圍,由CRL簽發(fā)者做數(shù)字簽名�����,用于標明本CRL文件將負責的證書的范圍���。第(三)步驟中���,用于標明本CRL文件將負責的證書的范圍的具體方法����,按照如下步驟操作1)增加兩種CRL擴展,該擴展中包含負責證書的起始證書序列號和終止證書序列號����,這種CRL擴展將作為關鍵擴展,在驗證CRL有效性時必須檢查�����,檢查的方法是下載的CRL 僅負責驗證起始證書序列號到終止證書序列號之間的證書的合法性;2)在CRL文件中的待簽名廢止證書列表增加兩項內容�����,該兩項內容是負責證書的起始證書序列號和終止證書序列號����。
具體實施方式
是定義一種新的CRL擴展CRLNotBeforeSN,其對象標識為 1. 3. 6. 1. 4. 1. 27971. 32. 2. 1 (這僅僅是一個示例對象標識�����,可根據(jù)需要進行標準化)�����; 是否為關鍵擴展標識為關鍵擴展(即取值為true)����;擴展值為經(jīng)過編碼的證書序列號,證書序列號本身為整數(shù)�����;定義一種新的CRL擴展CRLNot After SN��,其對象標識為 1. 3. 6. 1. 4. 1. 27971. 32. 2. 2 ;是否為關鍵擴展標識為關鍵擴展(即取值為true)�;擴展值為經(jīng)過編碼的證書序列號,證書序列號本身為整數(shù)����。最后應說明的是顯然,上述實施例僅僅是為清楚地說明本發(fā)明所作的舉例���,而并非對實施方式的限定�����。對于所屬領域的普通技術人員來說���,在上述說明的基礎上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉�。而由此所引申出的顯而易見的變化或變動仍處于本發(fā)明的保護范圍之中����。
權利要求
1.一種增強數(shù)字證書撤銷列表安全性的方法,其特征在于�,數(shù)字證的廢止過程是(一)發(fā)起數(shù)字證書撤銷;(二)將證書序列號放入數(shù)字證書廢止列表的待廢止列表���;(三)CA根據(jù)預先設定的廢止規(guī)則將需要廢止的數(shù)字證書序列號構成一個CRL文件�;(四)CA對數(shù)字證書廢止列表簽名;(五)發(fā)布數(shù)字證書廢止列表至特定的文件中或特定的目錄中���;在上述第(三)步驟中�����,在CRL文件的待簽名廢止列表內增加可能發(fā)布在本CRL內的證書序列號的范圍���,由CRL簽發(fā)者做數(shù)字簽名,用于標明本CRL文件將負責的證書的范圍�。
2.如權利要求1所述一種增強數(shù)字證書撤銷列表安全性的方法,其特征在于���,第(三) 步驟中�,用于標明本CRL文件將負責的證書的范圍的具體方法����,按照如下步驟操作1)增加兩種CRL擴展,該擴展中包含負責證書的起始證書序列號和終止證書序列號�����, 這種CRL擴展將作為關鍵擴展,在驗證CRL有效性時必須檢查�,檢查的方法是下載的CRL僅負責驗證起始證書序列號到終止證書序列號之間的證書的合法性;2)在CRL文件中的待簽名廢止證書列表增加兩項內容�����,該兩項內容是負責證書的起始證書序列號和終止證書序列號���。
全文摘要
本發(fā)明公開了一種增強數(shù)字證書撤銷列表安全性的方法�����,涉及一種數(shù)字證書撤銷方法��。數(shù)字證的廢止過程是發(fā)起數(shù)字證書撤銷��;將證書序列號放入數(shù)字證書廢止列表的待廢止列表����;CA根據(jù)預先設定的廢止規(guī)則將需要廢止的數(shù)字證書序列號構成一個CRL文件�;CA對數(shù)字證書廢止列表簽名;發(fā)布數(shù)字證書廢止列表至特定的文件中或特定的目錄中�;在CRL文件的待簽名廢止列表內增加可能發(fā)布在本CRL內的證書序列號的范圍����,由CRL簽發(fā)者做數(shù)字簽名�����,用于標明本CRL文件將負責的證書的范圍����。本發(fā)明解決了目前數(shù)字證書撤銷方法導致了CRL與證書驗證的機制脫節(jié)��,從而出現(xiàn)安全隱患的問題��。
文檔編號H04L29/06GK102281288SQ201110192258
公開日2011年12月14日 申請日期2011年7月11日 優(yōu)先權日2011年7月11日
發(fā)明者劉金華, 張慶勇, 李向鋒, 汪宗斌 申請人:北京信安世紀科技有限公司