一種x509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法
【專利摘要】本發(fā)明一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法�����,包括:搭建身份認(rèn)證平臺�����,通過自動加載證書鏈、CRL并自動更新的方式�,提供高效的證書鏈和CRL驗(yàn)證�����,配合在平臺上維護(hù)的數(shù)字證書與證書應(yīng)用之間的匹配關(guān)系����,最終形成唯一的可信列表,為證書應(yīng)用提供身份認(rèn)證服務(wù)�����;精確化身份認(rèn)證���,證書應(yīng)用在對數(shù)字證書進(jìn)行身份認(rèn)證時(shí)�,只需要驗(yàn)證該證書是否存在于該應(yīng)用對應(yīng)的可信列表即可����。本發(fā)明立足身份認(rèn)證平臺,通過安全高效的證書驗(yàn)證方式�����,配合維護(hù)數(shù)字證書與證書應(yīng)用間的匹配關(guān)系,創(chuàng)新性構(gòu)建唯一的可信列表��,減少了證書應(yīng)用既要驗(yàn)證白名單又要驗(yàn)證黑名單的繁瑣�����,提高了驗(yàn)證效率��,實(shí)現(xiàn)了數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證����。
【專利說明】一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般應(yīng)用于公開密鑰基礎(chǔ)設(shè)施系統(tǒng)(PKI)領(lǐng)域,尤其是涉及一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法����,能夠安全可靠高效的對數(shù)字證書進(jìn)行精確化身份認(rèn)證。
【背景技術(shù)】
[0002]X509是由ITU-T推薦的一個(gè)國際標(biāo)準(zhǔn)�,X.509定義了一個(gè)已經(jīng)被廣泛接受的PKI基礎(chǔ),它包括數(shù)據(jù)格式和通過由證書機(jī)構(gòu)簽發(fā)的數(shù)字證書來進(jìn)行分發(fā)公鑰的過程�����。
[0003]數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件����。它是由一個(gè)由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)�����,又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行的�,最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。
[0004]證書指紋是用于保護(hù)證書完整性的���,是將證書的內(nèi)容采用一定的哈希算法計(jì)算得出����。用于數(shù)字證書的哈希算法一般為SHAl或MD5��,兩種算法是單向且不可逆的��,也就是說���,無法通過哈希之后的數(shù)據(jù)計(jì)算出哈希之前的原文����,并且原文數(shù)據(jù)做過任何一點(diǎn)改動經(jīng)過哈希值后獲得的數(shù)據(jù)將完全不同��。由此可知�,證書指紋是唯一的��。
[0005]數(shù)字簽名具備不可篡改�、不可抵賴的特性���,使得數(shù)字證書替代用戶名和口令方式��,越來越多的成為眾多信息系統(tǒng)首選的身份認(rèn)證方式���。
[0006]證書吊銷列表CRL:俗稱黑名單,是一個(gè)被簽署的列表���,它指定了一套證書發(fā)布者認(rèn)為無效的證書��。CRL —定是被CA所簽署的��,可以使用與簽發(fā)證書相同的私鑰���,也可以使用專門的CRL簽發(fā)私鑰。
[0007]傳統(tǒng)上對于數(shù)字證書進(jìn)行身份認(rèn)證的方式����,主要是驗(yàn)證三個(gè)方面,一�、驗(yàn)證數(shù)字證書的簽名者信息����,二�����、驗(yàn)證數(shù)字證書的有效期���,三、驗(yàn)證數(shù)字證書是否存在于其頒發(fā)者所簽發(fā)的CRL中�����。這種身份認(rèn)證方法僅能滿足一般性的僅限于數(shù)字證書本身的場景����,但其缺點(diǎn)和局限性也是明顯的:
[0008]I)僅能做數(shù)字證書合法性認(rèn)證,無法結(jié)合證書應(yīng)用進(jìn)行身份認(rèn)證�����。這種身份認(rèn)證方式���,僅僅驗(yàn)證數(shù)字證書本身是否合法�����,一旦和某個(gè)證書應(yīng)用結(jié)合起來��,將無法解決數(shù)字證書在這個(gè)證書應(yīng)用當(dāng)中的身份認(rèn)證問題�。例如,可以驗(yàn)證張三的數(shù)字證書是合法的���,但無法驗(yàn)證張三的數(shù)字證書在某報(bào)稅系統(tǒng)(證書應(yīng)用)中的身份是否合法�����。
[0009]2)證書合法性驗(yàn)證的效率差�����。傳統(tǒng)上對于數(shù)字證書進(jìn)行身份認(rèn)證的方式�����,對每一張證書都需要驗(yàn)證是否存在于其頒發(fā)者所簽發(fā)的CRL中�,即首先下載該證書所屬頒發(fā)機(jī)構(gòu)簽發(fā)的CRL��,然后加載��,再解析證書的證書序列號,然后在加載的CRL中做匹配�,如果存在,則說明此證書已經(jīng)被注銷�,為非法狀態(tài),否則說明該證書合法�。隨著CA機(jī)構(gòu)業(yè)務(wù)量的增大,CRL會越來越大�,現(xiàn)在有些CA機(jī)構(gòu)的CRL大小已經(jīng)有20M。這樣每加載一次CRL再做一次驗(yàn)證�,其耗時(shí)會越來越長,效率將越來越低�。[0010]在已公布的專利《一種數(shù)字證書精確化認(rèn)證方法、裝置及云認(rèn)證服務(wù)系統(tǒng)》中���,提到了 一種數(shù)字證書精確化認(rèn)證方法:首先創(chuàng)建白名單數(shù)據(jù),建立一條新的白名單數(shù)據(jù)�����,將可應(yīng)用的數(shù)字證書序列號和該證書的具體應(yīng)用系統(tǒng)信息寫入到該條白名單中�����,根據(jù)預(yù)先設(shè)定的映射規(guī)則對數(shù)字證書中的信息項(xiàng)進(jìn)行映射�,將映射關(guān)系和數(shù)據(jù)錄入到白名單數(shù)據(jù)中�����,最后由各網(wǎng)絡(luò)安全服務(wù)器根據(jù)獲得的白名單列表和黑名單列表進(jìn)行數(shù)字證書認(rèn)證�����,僅允許在白名單中列出且未包含在黑名單中的數(shù)字證書認(rèn)證通過�����。這種數(shù)字證書精確化認(rèn)證方法��,也存在一定的缺點(diǎn)與不足:
[0011]I)數(shù)字證書序列號無法唯一確定數(shù)字證書身份��,存在安全隱患����。盡管有規(guī)定:由CA機(jī)構(gòu)發(fā)行的數(shù)字證書其證書序列號必須唯一��。但全國有33家合法CA機(jī)構(gòu)����,每家CA機(jī)構(gòu)的發(fā)證系統(tǒng)各自運(yùn)行在其安全內(nèi)網(wǎng)中,互不聯(lián)通;另外每家CA機(jī)構(gòu)用于生成證書序列號的算法也各不相同���,所以完全有可能出現(xiàn)兩張不同的數(shù)字證書卻擁有相同的證書序列號的情況�。一旦這種情況發(fā)生��,《一種數(shù)字證書精確化認(rèn)證方法��、裝置及云認(rèn)證服務(wù)系統(tǒng)》這個(gè)專利描述的精確化認(rèn)證方法就會出現(xiàn)嚴(yán)重漏洞����,造成安全隱患。
[0012]2)證書身份驗(yàn)證的效率差����。同傳統(tǒng)上對于數(shù)字證書進(jìn)行身份認(rèn)證的方式一樣,《一種數(shù)字證書精確化認(rèn)證方法�、裝置及云認(rèn)證服務(wù)系統(tǒng)》這個(gè)專利提出的身份認(rèn)證方法是:“各網(wǎng)絡(luò)安全服務(wù)器根據(jù)獲得的白名單列表和黑名單列表進(jìn)行數(shù)字證書認(rèn)證,僅允許在白名單中列出且未包含在黑名單中的數(shù)字證書認(rèn)證通過”����,這里明確的提出也要驗(yàn)證黑名單�,即驗(yàn)證某證書所屬頒發(fā)機(jī)構(gòu)簽發(fā)的CRL,在上面內(nèi)容中已有陳述:“隨著CA機(jī)構(gòu)業(yè)務(wù)量的增大��,CRL會越來越大,現(xiàn)在有些CA機(jī)構(gòu)的CRL大小已經(jīng)有20M����。這樣每加載一次CRL再做一次驗(yàn)證,其耗時(shí)會越來越長����,效率將越來越低”。經(jīng)實(shí)際測試����,加載一個(gè)20M左右的CRL需要耗時(shí)5000毫秒左右,如果該證書應(yīng)用同時(shí)用到了幾家CA證書��,那么就需要加載這幾家CA所簽發(fā)的CRL�����,用時(shí)會更久�,用戶體驗(yàn)也將更差。
【發(fā)明內(nèi)容】
[0013]為了能安全��、高效的對數(shù)字證書進(jìn)行精確化認(rèn)證�����,同時(shí)避免出現(xiàn)上述問題,本發(fā)明的目的在于提供一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法����,使得數(shù)字證書能夠在證書應(yīng)用中的身份認(rèn)證既安全又高效,同時(shí)保證數(shù)字證書的認(rèn)證不受CA機(jī)構(gòu)的限制���。
[0014]為了實(shí)現(xiàn)上述目的����,本發(fā)明采用的技術(shù)方案為:一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法�����,方法至少包括:
[0015]一��、建立一個(gè)身份認(rèn)證平臺�����,針對證書應(yīng)用提供身份認(rèn)證服務(wù)��。其重要構(gòu)建方式主要有:
[0016]I)在身份認(rèn)證平臺配置證書應(yīng)用�。配置主要包含:該證書應(yīng)用支持CA機(jī)構(gòu)的證書鏈�、該證書應(yīng)用支持CA機(jī)構(gòu)的CRL(可上傳CRL,或配置CRL地址由平臺自動下載)。配置完成后身份認(rèn)證平臺會在數(shù)據(jù)庫中為每個(gè)證書應(yīng)用創(chuàng)建一張數(shù)字證書與證書應(yīng)用的匹配表���。
[0017]2)證書鏈以及CRL自動載入�。按照國家相關(guān)政策法規(guī)規(guī)定����,每家CA機(jī)構(gòu)的證書鏈以及CRL都必須是公開發(fā)布的。平臺的數(shù)據(jù)加載模塊會根據(jù)第一步中的配置���,將證書鏈以及CRL加載到內(nèi)存中��,并能根據(jù)設(shè)置及時(shí)更新CRL�,以保證加載到平臺的CRL是CA機(jī)構(gòu)所頒發(fā)的最新的��,從而最大程度上保證安全性��。[0018]3)證書合法性驗(yàn)證����。每張數(shù)字證書在申請進(jìn)入證書應(yīng)用時(shí),都會經(jīng)過身份認(rèn)證平臺的三次驗(yàn)證��,依次是:驗(yàn)證該數(shù)字證書的有效期��;驗(yàn)證該數(shù)字證書的證書鏈;驗(yàn)證該證書是否存在于CRL中�����。三次驗(yàn)證均通過說明數(shù)字證書合法���,平臺將該數(shù)字證書加入到匹配表中����。
[0019]4)提供可信����、安全的身份認(rèn)證服務(wù)。平臺為每個(gè)證書應(yīng)用提供的身份認(rèn)證服務(wù)可以有兩種方式:一種是對證書應(yīng)用提供在線身份認(rèn)證接口��,以直接的開放接口形式的提供即時(shí)身份認(rèn)證服務(wù)����;另外一種是對證書應(yīng)用提供平臺設(shè)備接口,由代理證書應(yīng)用做身份認(rèn)證的安全網(wǎng)關(guān)設(shè)備通過該接口和身份認(rèn)證平臺交互���,獲取數(shù)字證書與該證書應(yīng)用匹配表的部分或全部信息�,并能確保其有效更新����,從而完成身份認(rèn)證。不管是哪種方式�����,證書應(yīng)用獲得的認(rèn)證結(jié)果都是經(jīng)身份認(rèn)證平臺簽名�,是可信安全的。
[0020]二�、精確化身份證書認(rèn)證。因?yàn)樯矸菡J(rèn)證平臺已經(jīng)對加入到匹配表中的證書做了包含驗(yàn)證CRL在內(nèi)的三次驗(yàn)證�,所以證書應(yīng)用在對數(shù)字證書進(jìn)行身份認(rèn)證時(shí),只需要驗(yàn)證該數(shù)字證書是否存在于該數(shù)字證書應(yīng)用對應(yīng)的可信列表即可�,這樣極大地減少了證書應(yīng)用的開發(fā)難度,同時(shí)因?yàn)椴辉傩枰?yàn)證CRL而大大提供了證書應(yīng)用的驗(yàn)證效率�,提高了用戶友好體驗(yàn)度。
[0021]有益效果:本發(fā)明立足身份認(rèn)證平臺��,在平臺上維護(hù)數(shù)字證書與證書應(yīng)用之間的匹配關(guān)系���,通過自動加載證書鏈��、CRL并能及更新的方式�����,創(chuàng)新性的將本該證書應(yīng)用驗(yàn)證黑名單的環(huán)節(jié)放置在身份認(rèn)證平臺上����,創(chuàng)新性的將一般方案中的白名單與黑名單合并統(tǒng)一加載到匹配表中處理,不但減少了證書應(yīng)用既要驗(yàn)證白名單又要驗(yàn)證黑名單的繁瑣����,又提高了驗(yàn)證效率。本發(fā)明還應(yīng)用了數(shù)字簽名技術(shù)��,由身份認(rèn)證平臺對身份認(rèn)證結(jié)果簽名��,使得身份認(rèn)證過程更加安全可信����。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明的證書應(yīng)用配置流程圖。
[0023]圖2為本發(fā)明的證書鏈及CRL載入流程圖�。
[0024]圖3為本發(fā)明的證書合法性驗(yàn)證流程圖。
[0025]圖4通過在線身份認(rèn)證接口完成身份精確認(rèn)證流程圖�����。
[0026]圖5設(shè)備與身份認(rèn)證平臺交互流程圖����。
[0027]圖6證書應(yīng)用和設(shè)備對數(shù)字證書進(jìn)行精確化身份認(rèn)證的流程��。
【具體實(shí)施方式】
[0028]下面結(jié)合附圖和【具體實(shí)施方式】對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)的說明����。
[0029]一��、搭建身份認(rèn)證平臺
[0030]每個(gè)基于數(shù)字證書的����、需要對數(shù)字證書進(jìn)行身份認(rèn)證的應(yīng)用系統(tǒng)���,都可以稱為一個(gè)證書應(yīng)用����。搭建身份認(rèn)證平臺��,目的在于在平臺上維護(hù)數(shù)字證書與證書應(yīng)用之間的匹配關(guān)系��,通過自動加載證書鏈���、CRL并能及更新的方式�,將本該證書應(yīng)用驗(yàn)證黑名單的環(huán)節(jié)放置在身份認(rèn)證平臺上�����,通過這種方式將傳統(tǒng)上的白名單和黑名單合二為一形成唯一的可信列表,從而提高驗(yàn)證效率��,提高安全可信度���。平臺的主要構(gòu)建方式包括:
[0031]I)在身份認(rèn)證平臺配置證書應(yīng)用�。配置主要包含:該證書應(yīng)用支持CA機(jī)構(gòu)的證書鏈���、該證書應(yīng)用支持CA機(jī)構(gòu)的CRL (可上傳CRL����,或配置CRL地址由平臺自動下載)���。配置完成后身份認(rèn)證平臺會為每個(gè)證書應(yīng)用創(chuàng)建一張數(shù)字證書與證書應(yīng)用的匹配表��。具體流程參見圖1�。
[0032]2)證書鏈以及CRL自動載入���。平臺的數(shù)據(jù)加載模塊會根據(jù)第一步中的配置����,將證書鏈以及CRL加載到內(nèi)存中,并能根據(jù)設(shè)置及時(shí)更新CRL��,以保證加載到平臺的CRL是CA機(jī)構(gòu)所頒發(fā)的最新的���,從而最大程度上保證安全性����。具體流程參見圖2��。
[0033]3)證書合法性驗(yàn)證�����。每張數(shù)字證書在申請進(jìn)入證書應(yīng)用時(shí)�,都會經(jīng)過身份認(rèn)證平臺的三次驗(yàn)證���,依次是:驗(yàn)證該數(shù)字證書的有效期��;驗(yàn)證該數(shù)字證書的證書鏈��;驗(yàn)證該證書是否存在于CRL中����。三次驗(yàn)證均通過說明數(shù)字證書合法,平臺將該數(shù)字證書加入到匹配表中���,該匹配表采用數(shù)字證書指紋作為唯一主鍵�。具體流程參見圖3����。
[0034]4)提供可信、安全的身份認(rèn)證服務(wù)�����。平臺為每個(gè)證書應(yīng)用提供的身份認(rèn)證服務(wù)可以有兩種方式:一種是對證書應(yīng)用提供在線身份認(rèn)證接口�,以直接的開放接口形式的提供即時(shí)身份認(rèn)證服務(wù);另外一種是對證書應(yīng)用提供平臺設(shè)備接口���,由設(shè)備代理證書應(yīng)用進(jìn)行身份認(rèn)證����,即設(shè)備通過該接口和身份認(rèn)證平臺交互���,獲取數(shù)字證書與該證書應(yīng)用匹配表的部分或全部信息����,并能確保其有效更新,從而完成身份認(rèn)證����。不管是哪種方式,證書應(yīng)用獲得的認(rèn)證結(jié)果都是經(jīng)身份認(rèn)證平臺簽名��,是可信安全的�����。
[0035]二�、精確化身份證書認(rèn)證。因?yàn)樯矸菡J(rèn)證平臺已經(jīng)對加入到匹配表中的證書做了包含驗(yàn)證CRL在內(nèi)的三次驗(yàn)證��,所以證書應(yīng)用在對數(shù)字證書進(jìn)行身份認(rèn)證時(shí)����,只需要驗(yàn)證該數(shù)字證書是否存在于該數(shù)字證書應(yīng)用對應(yīng)的可信列表即可����,這樣極大地減少了證書應(yīng)用的開發(fā)難度,同時(shí)因?yàn)椴辉傩枰?yàn)證CRL而大大提供了證書應(yīng)用的驗(yàn)證效率����,提高了用戶友好體驗(yàn)度�����。
[0036]結(jié)合身份認(rèn)證平臺“對證書應(yīng)用提供在線身份認(rèn)證接口”這種方式�����,證書應(yīng)用對數(shù)字證書進(jìn)行精確化身份認(rèn)證的流程如圖4所示�����。
[0037]結(jié)合身份認(rèn)證平臺“對證書應(yīng)用提供平臺設(shè)備接口”這種方式��,將設(shè)備作為證書應(yīng)用的身份認(rèn)證代理�����,設(shè)備和身份認(rèn)證平臺進(jìn)行交互����,獲取數(shù)字證書與證書應(yīng)用匹配表的信息并加載�,證書應(yīng)用只需要在設(shè)備上進(jìn)行數(shù)字證書的身份認(rèn)證即可。設(shè)備和身份認(rèn)證平臺之間的交互如圖5所示���。證書應(yīng)用和設(shè)備對數(shù)字證書進(jìn)行精確化身份認(rèn)證的流程如圖6所
/Jn ο
[0038]以上實(shí)施例只是對于本發(fā)明的部分功能進(jìn)行描述�,但實(shí)施例和附圖并不是用來限定本發(fā)明的。在不脫離本發(fā)明之精神和范圍內(nèi)�,所做的任何等效變化或潤飾,同樣屬于本發(fā)明之保護(hù)范圍���,因此本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以本申請的權(quán)利要求所界定的內(nèi)容為標(biāo)準(zhǔn)���。
【權(quán)利要求】
1.一種X509數(shù)字證書與證書應(yīng)用之間的精確化身份認(rèn)證方法,其特征在于: 步驟一���、搭建身份認(rèn)證平臺��,針對證書應(yīng)用提供身份認(rèn)證服務(wù)����;每個(gè)基于數(shù)字證書的�����、需要對數(shù)字證書進(jìn)行身份認(rèn)證的應(yīng)用系統(tǒng)��,稱為一個(gè)證書應(yīng)用���,搭建身份認(rèn)證平臺���,在該身份認(rèn)證平臺上維護(hù)數(shù)字證書與證書應(yīng)用之間的匹配關(guān)系,通過自動加載證書鏈��、CRL并能及更新的方式��,形成唯一的可信列表����; 步驟二、精確化身份證書認(rèn)證��;證書應(yīng)用在對數(shù)字證書進(jìn)行身份認(rèn)證時(shí)�,只需要驗(yàn)證該數(shù)字證書是否存在于該數(shù)字證書應(yīng)用對應(yīng)的可信列表即可。
2.根據(jù)權(quán)利要求1所述的精確化身份認(rèn)證方法���,其特征在于�,步驟一中: (1)在身份認(rèn)證平臺配置證書應(yīng)用���,該證書應(yīng)用支持CA機(jī)構(gòu)的證書鏈�、該證書應(yīng)用支持CA機(jī)構(gòu)的CRL����,配置完成后身份認(rèn)證平臺會在數(shù)據(jù)庫中為每個(gè)證書應(yīng)用創(chuàng)建一張數(shù)字證書與證書應(yīng)用的匹配表�; (2)證書鏈以及CRL自動載入��,對于CA機(jī)構(gòu)的公開發(fā)布的證書鏈以及CRL�,平臺的數(shù)據(jù)加載模塊相關(guān)配置,將證書鏈以及CRL加載到內(nèi)存中�����,并能根據(jù)設(shè)置及時(shí)更新CRL�����,保證加載到平臺的CRL是CA機(jī)構(gòu)所頒發(fā)的最新的���; (3)證書合法性驗(yàn)證�,每張數(shù)字證書在申請進(jìn)入證書應(yīng)用時(shí)�����,經(jīng)過身份認(rèn)證平臺的三次驗(yàn)證���,依次是:驗(yàn)證該數(shù)字證書的有效期�;驗(yàn)證該數(shù)字證書的證書鏈����;驗(yàn)證該證書是否存在于CRL中;三次驗(yàn)證均通過說明數(shù)字證書合法��,平臺將該數(shù)字證書加入到匹配表中�; (4)提供可信、安全的身份認(rèn)證服務(wù)����。
3.根據(jù)權(quán)利要求2所述的精確化身份認(rèn)證方法,其特征在于:所述匹配表采用數(shù)字證書指紋作為唯一主鍵����。
4.根據(jù)權(quán)利要求2所述的精確化身份認(rèn)證方法,其特征在于:所述提供可信���、安全的身份認(rèn)證服務(wù)��,身份認(rèn)證平臺為每個(gè)證書應(yīng)用提供的身份認(rèn)證服務(wù)有兩種方式:一種是對證書應(yīng)用提供在線身份認(rèn)證接口��,以直接的開放接口形式的提供即時(shí)身份認(rèn)證服務(wù)���;另外一種是對證書應(yīng)用提供平臺設(shè)備接口���,由代理證書應(yīng)用做身份認(rèn)證的安全網(wǎng)關(guān)設(shè)備通過該接口和身份認(rèn)證平臺交互,獲取數(shù)字證書與該證書應(yīng)用匹配表的部分或全部信息����,并能確保其有效更新,從而完成身份認(rèn)證����。
5.根據(jù)權(quán)利要求3或4所述的精確化身份認(rèn)證方法,其特征在于:證書應(yīng)用驗(yàn)證黑名單的環(huán)節(jié)放置在身份認(rèn)證平臺上���,通過這種方式將傳統(tǒng)上的白名單和黑名單合二為一形成唯一的可信列表�����;身份認(rèn)證平臺對加入到匹配表中的證書做了包含驗(yàn)證CRL在內(nèi)的三次驗(yàn)證��,證書應(yīng)用在對數(shù)字證書進(jìn)行身份認(rèn)證時(shí)��,只需要驗(yàn)證該數(shù)字證書是否存在于該數(shù)字證書應(yīng)用對應(yīng)的可信列表即可�。
【文檔編號】H04L9/32GK103560889SQ201310542386
【公開日】2014年2月5日 申請日期:2013年11月5日 優(yōu)先權(quán)日:2013年11月5日
【發(fā)明者】王杰勛, 李業(yè)兵, 莊昱垚 申請人:江蘇先安科技有限公司