一種x509數字證書與證書應用之間的精確化身份認證方法
2023-06-10 21:57:51
一種x509數字證書與證書應用之間的精確化身份認證方法
【專利摘要】本發明一種X509數字證書與證書應用之間的精確化身份認證方法,包括:搭建身份認證平臺,通過自動加載證書鏈、CRL並自動更新的方式,提供高效的證書鏈和CRL驗證,配合在平臺上維護的數字證書與證書應用之間的匹配關係,最終形成唯一的可信列表,為證書應用提供身份認證服務;精確化身份認證,證書應用在對數字證書進行身份認證時,只需要驗證該證書是否存在於該應用對應的可信列表即可。本發明立足身份認證平臺,通過安全高效的證書驗證方式,配合維護數字證書與證書應用間的匹配關係,創新性構建唯一的可信列表,減少了證書應用既要驗證白名單又要驗證黑名單的繁瑣,提高了驗證效率,實現了數字證書與證書應用之間的精確化身份認證。
【專利說明】一種X509數字證書與證書應用之間的精確化身份認證方法
【技術領域】
[0001]本發明一般應用於公開密鑰基礎設施系統(PKI)領域,尤其是涉及一種X509數字證書與證書應用之間的精確化身份認證方法,能夠安全可靠高效的對數字證書進行精確化身份認證。
【背景技術】
[0002]X509是由ITU-T推薦的一個國際標準,X.509定義了一個已經被廣泛接受的PKI基礎,它包括數據格式和通過由證書機構籤發的數字證書來進行分發公鑰的過程。
[0003]數字證書是一個經證書授權中心數字籤名的包含公開密鑰擁有者信息以及公開密鑰的文件。它是由一個由權威機構——CA機構,又稱為證書授權(CertificateAuthority)中心發行的,最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字籤名。
[0004]證書指紋是用於保護證書完整性的,是將證書的內容採用一定的哈希算法計算得出。用於數字證書的哈希算法一般為SHAl或MD5,兩種算法是單向且不可逆的,也就是說,無法通過哈希之後的數據計算出哈希之前的原文,並且原文數據做過任何一點改動經過哈希值後獲得的數據將完全不同。由此可知,證書指紋是唯一的。
[0005]數字籤名具備不可篡改、不可抵賴的特性,使得數字證書替代用戶名和口令方式,越來越多的成為眾多信息系統首選的身份認證方式。
[0006]證書吊銷列表CRL:俗稱黑名單,是一個被籤署的列表,它指定了一套證書發布者認為無效的證書。CRL —定是被CA所籤署的,可以使用與籤發證書相同的私鑰,也可以使用專門的CRL籤發私鑰。
[0007]傳統上對於數字證書進行身份認證的方式,主要是驗證三個方面,一、驗證數字證書的籤名者信息,二、驗證數字證書的有效期,三、驗證數字證書是否存在於其頒發者所籤發的CRL中。這種身份認證方法僅能滿足一般性的僅限於數字證書本身的場景,但其缺點和局限性也是明顯的:
[0008]I)僅能做數字證書合法性認證,無法結合證書應用進行身份認證。這種身份認證方式,僅僅驗證數字證書本身是否合法,一旦和某個證書應用結合起來,將無法解決數字證書在這個證書應用當中的身份認證問題。例如,可以驗證張三的數字證書是合法的,但無法驗證張三的數字證書在某報稅系統(證書應用)中的身份是否合法。
[0009]2)證書合法性驗證的效率差。傳統上對於數字證書進行身份認證的方式,對每一張證書都需要驗證是否存在於其頒發者所籤發的CRL中,即首先下載該證書所屬頒發機構籤發的CRL,然後加載,再解析證書的證書序列號,然後在加載的CRL中做匹配,如果存在,則說明此證書已經被註銷,為非法狀態,否則說明該證書合法。隨著CA機構業務量的增大,CRL會越來越大,現在有些CA機構的CRL大小已經有20M。這樣每加載一次CRL再做一次驗證,其耗時會越來越長,效率將越來越低。[0010]在已公布的專利《一種數字證書精確化認證方法、裝置及雲認證服務系統》中,提到了 一種數字證書精確化認證方法:首先創建白名單數據,建立一條新的白名單數據,將可應用的數字證書序列號和該證書的具體應用系統信息寫入到該條白名單中,根據預先設定的映射規則對數字證書中的信息項進行映射,將映射關係和數據錄入到白名單數據中,最後由各網絡安全伺服器根據獲得的白名單列表和黑名單列表進行數字證書認證,僅允許在白名單中列出且未包含在黑名單中的數字證書認證通過。這種數字證書精確化認證方法,也存在一定的缺點與不足:
[0011]I)數字證書序列號無法唯一確定數字證書身份,存在安全隱患。儘管有規定:由CA機構發行的數字證書其證書序列號必須唯一。但全國有33家合法CA機構,每家CA機構的發證系統各自運行在其安全內網中,互不聯通;另外每家CA機構用於生成證書序列號的算法也各不相同,所以完全有可能出現兩張不同的數字證書卻擁有相同的證書序列號的情況。一旦這種情況發生,《一種數字證書精確化認證方法、裝置及雲認證服務系統》這個專利描述的精確化認證方法就會出現嚴重漏洞,造成安全隱患。
[0012]2)證書身份驗證的效率差。同傳統上對於數字證書進行身份認證的方式一樣,《一種數字證書精確化認證方法、裝置及雲認證服務系統》這個專利提出的身份認證方法是:「各網絡安全伺服器根據獲得的白名單列表和黑名單列表進行數字證書認證,僅允許在白名單中列出且未包含在黑名單中的數字證書認證通過」,這裡明確的提出也要驗證黑名單,即驗證某證書所屬頒發機構籤發的CRL,在上面內容中已有陳述:「隨著CA機構業務量的增大,CRL會越來越大,現在有些CA機構的CRL大小已經有20M。這樣每加載一次CRL再做一次驗證,其耗時會越來越長,效率將越來越低」。經實際測試,加載一個20M左右的CRL需要耗時5000毫秒左右,如果該證書應用同時用到了幾家CA證書,那麼就需要加載這幾家CA所籤發的CRL,用時會更久,用戶體驗也將更差。
【發明內容】
[0013]為了能安全、高效的對數字證書進行精確化認證,同時避免出現上述問題,本發明的目的在於提供一種X509數字證書與證書應用之間的精確化身份認證方法,使得數字證書能夠在證書應用中的身份認證既安全又高效,同時保證數字證書的認證不受CA機構的限制。
[0014]為了實現上述目的,本發明採用的技術方案為:一種X509數字證書與證書應用之間的精確化身份認證方法,方法至少包括:
[0015]一、建立一個身份認證平臺,針對證書應用提供身份認證服務。其重要構建方式主要有:
[0016]I)在身份認證平臺配置證書應用。配置主要包含:該證書應用支持CA機構的證書鏈、該證書應用支持CA機構的CRL(可上傳CRL,或配置CRL地址由平臺自動下載)。配置完成後身份認證平臺會在資料庫中為每個證書應用創建一張數字證書與證書應用的匹配表。
[0017]2)證書鏈以及CRL自動載入。按照國家相關政策法規規定,每家CA機構的證書鏈以及CRL都必須是公開發布的。平臺的數據加載模塊會根據第一步中的配置,將證書鏈以及CRL加載到內存中,並能根據設置及時更新CRL,以保證加載到平臺的CRL是CA機構所頒發的最新的,從而最大程度上保證安全性。[0018]3)證書合法性驗證。每張數字證書在申請進入證書應用時,都會經過身份認證平臺的三次驗證,依次是:驗證該數字證書的有效期;驗證該數字證書的證書鏈;驗證該證書是否存在於CRL中。三次驗證均通過說明數字證書合法,平臺將該數字證書加入到匹配表中。
[0019]4)提供可信、安全的身份認證服務。平臺為每個證書應用提供的身份認證服務可以有兩種方式:一種是對證書應用提供在線身份認證接口,以直接的開放接口形式的提供即時身份認證服務;另外一種是對證書應用提供平臺設備接口,由代理證書應用做身份認證的安全網關設備通過該接口和身份認證平臺交互,獲取數字證書與該證書應用匹配表的部分或全部信息,並能確保其有效更新,從而完成身份認證。不管是哪種方式,證書應用獲得的認證結果都是經身份認證平臺籤名,是可信安全的。
[0020]二、精確化身份證書認證。因為身份認證平臺已經對加入到匹配表中的證書做了包含驗證CRL在內的三次驗證,所以證書應用在對數字證書進行身份認證時,只需要驗證該數字證書是否存在於該數字證書應用對應的可信列表即可,這樣極大地減少了證書應用的開發難度,同時因為不再需要驗證CRL而大大提供了證書應用的驗證效率,提高了用戶友好體驗度。
[0021]有益效果:本發明立足身份認證平臺,在平臺上維護數字證書與證書應用之間的匹配關係,通過自動加載證書鏈、CRL並能及更新的方式,創新性的將本該證書應用驗證黑名單的環節放置在身份認證平臺上,創新性的將一般方案中的白名單與黑名單合併統一加載到匹配表中處理,不但減少了證書應用既要驗證白名單又要驗證黑名單的繁瑣,又提高了驗證效率。本發明還應用了數字籤名技術,由身份認證平臺對身份認證結果籤名,使得身份認證過程更加安全可信。
【專利附圖】
【附圖說明】
[0022]圖1為本發明的證書應用配置流程圖。
[0023]圖2為本發明的證書鏈及CRL載入流程圖。
[0024]圖3為本發明的證書合法性驗證流程圖。
[0025]圖4通過在線身份認證接口完成身份精確認證流程圖。
[0026]圖5設備與身份認證平臺交互流程圖。
[0027]圖6證書應用和設備對數字證書進行精確化身份認證的流程。
【具體實施方式】
[0028]下面結合附圖和【具體實施方式】對本發明進行進一步詳細的說明。
[0029]一、搭建身份認證平臺
[0030]每個基於數字證書的、需要對數字證書進行身份認證的應用系統,都可以稱為一個證書應用。搭建身份認證平臺,目的在於在平臺上維護數字證書與證書應用之間的匹配關係,通過自動加載證書鏈、CRL並能及更新的方式,將本該證書應用驗證黑名單的環節放置在身份認證平臺上,通過這種方式將傳統上的白名單和黑名單合二為一形成唯一的可信列表,從而提高驗證效率,提高安全可信度。平臺的主要構建方式包括:
[0031]I)在身份認證平臺配置證書應用。配置主要包含:該證書應用支持CA機構的證書鏈、該證書應用支持CA機構的CRL (可上傳CRL,或配置CRL地址由平臺自動下載)。配置完成後身份認證平臺會為每個證書應用創建一張數字證書與證書應用的匹配表。具體流程參見圖1。
[0032]2)證書鏈以及CRL自動載入。平臺的數據加載模塊會根據第一步中的配置,將證書鏈以及CRL加載到內存中,並能根據設置及時更新CRL,以保證加載到平臺的CRL是CA機構所頒發的最新的,從而最大程度上保證安全性。具體流程參見圖2。
[0033]3)證書合法性驗證。每張數字證書在申請進入證書應用時,都會經過身份認證平臺的三次驗證,依次是:驗證該數字證書的有效期;驗證該數字證書的證書鏈;驗證該證書是否存在於CRL中。三次驗證均通過說明數字證書合法,平臺將該數字證書加入到匹配表中,該匹配表採用數字證書指紋作為唯一主鍵。具體流程參見圖3。
[0034]4)提供可信、安全的身份認證服務。平臺為每個證書應用提供的身份認證服務可以有兩種方式:一種是對證書應用提供在線身份認證接口,以直接的開放接口形式的提供即時身份認證服務;另外一種是對證書應用提供平臺設備接口,由設備代理證書應用進行身份認證,即設備通過該接口和身份認證平臺交互,獲取數字證書與該證書應用匹配表的部分或全部信息,並能確保其有效更新,從而完成身份認證。不管是哪種方式,證書應用獲得的認證結果都是經身份認證平臺籤名,是可信安全的。
[0035]二、精確化身份證書認證。因為身份認證平臺已經對加入到匹配表中的證書做了包含驗證CRL在內的三次驗證,所以證書應用在對數字證書進行身份認證時,只需要驗證該數字證書是否存在於該數字證書應用對應的可信列表即可,這樣極大地減少了證書應用的開發難度,同時因為不再需要驗證CRL而大大提供了證書應用的驗證效率,提高了用戶友好體驗度。
[0036]結合身份認證平臺「對證書應用提供在線身份認證接口」這種方式,證書應用對數字證書進行精確化身份認證的流程如圖4所示。
[0037]結合身份認證平臺「對證書應用提供平臺設備接口」這種方式,將設備作為證書應用的身份認證代理,設備和身份認證平臺進行交互,獲取數字證書與證書應用匹配表的信息並加載,證書應用只需要在設備上進行數字證書的身份認證即可。設備和身份認證平臺之間的交互如圖5所示。證書應用和設備對數字證書進行精確化身份認證的流程如圖6所
/Jn ο
[0038]以上實施例只是對於本發明的部分功能進行描述,但實施例和附圖並不是用來限定本發明的。在不脫離本發明之精神和範圍內,所做的任何等效變化或潤飾,同樣屬於本發明之保護範圍,因此本發明的保護範圍應當以本申請的權利要求所界定的內容為標準。
【權利要求】
1.一種X509數字證書與證書應用之間的精確化身份認證方法,其特徵在於: 步驟一、搭建身份認證平臺,針對證書應用提供身份認證服務;每個基於數字證書的、需要對數字證書進行身份認證的應用系統,稱為一個證書應用,搭建身份認證平臺,在該身份認證平臺上維護數字證書與證書應用之間的匹配關係,通過自動加載證書鏈、CRL並能及更新的方式,形成唯一的可信列表; 步驟二、精確化身份證書認證;證書應用在對數字證書進行身份認證時,只需要驗證該數字證書是否存在於該數字證書應用對應的可信列表即可。
2.根據權利要求1所述的精確化身份認證方法,其特徵在於,步驟一中: (1)在身份認證平臺配置證書應用,該證書應用支持CA機構的證書鏈、該證書應用支持CA機構的CRL,配置完成後身份認證平臺會在資料庫中為每個證書應用創建一張數字證書與證書應用的匹配表; (2)證書鏈以及CRL自動載入,對於CA機構的公開發布的證書鏈以及CRL,平臺的數據加載模塊相關配置,將證書鏈以及CRL加載到內存中,並能根據設置及時更新CRL,保證加載到平臺的CRL是CA機構所頒發的最新的; (3)證書合法性驗證,每張數字證書在申請進入證書應用時,經過身份認證平臺的三次驗證,依次是:驗證該數字證書的有效期;驗證該數字證書的證書鏈;驗證該證書是否存在於CRL中;三次驗證均通過說明數字證書合法,平臺將該數字證書加入到匹配表中; (4)提供可信、安全的身份認證服務。
3.根據權利要求2所述的精確化身份認證方法,其特徵在於:所述匹配表採用數字證書指紋作為唯一主鍵。
4.根據權利要求2所述的精確化身份認證方法,其特徵在於:所述提供可信、安全的身份認證服務,身份認證平臺為每個證書應用提供的身份認證服務有兩種方式:一種是對證書應用提供在線身份認證接口,以直接的開放接口形式的提供即時身份認證服務;另外一種是對證書應用提供平臺設備接口,由代理證書應用做身份認證的安全網關設備通過該接口和身份認證平臺交互,獲取數字證書與該證書應用匹配表的部分或全部信息,並能確保其有效更新,從而完成身份認證。
5.根據權利要求3或4所述的精確化身份認證方法,其特徵在於:證書應用驗證黑名單的環節放置在身份認證平臺上,通過這種方式將傳統上的白名單和黑名單合二為一形成唯一的可信列表;身份認證平臺對加入到匹配表中的證書做了包含驗證CRL在內的三次驗證,證書應用在對數字證書進行身份認證時,只需要驗證該數字證書是否存在於該數字證書應用對應的可信列表即可。
【文檔編號】H04L9/32GK103560889SQ201310542386
【公開日】2014年2月5日 申請日期:2013年11月5日 優先權日:2013年11月5日
【發明者】王傑勳, 李業兵, 莊昱垚 申請人:江蘇先安科技有限公司