數字證書吊銷方式的改進的製作方法
2023-10-08 08:58:04
專利名稱:數字證書吊銷方式的改進的製作方法
技術領域:
本發明屬於計算機軟體相關領域,是對數字認證中心(Certificate Authority,CA)吊銷數字證書(Certificate)方式的改進。
按照數字證書格式的X.509國際標準,證書吊銷列的URL(Univeral Resource Location)地址作為數字證書的一項條目寫在證書中,用戶據此查找證書吊銷列表。由於頒發證書時無法事先估計證書何時將會弔銷,實際吊銷的證書將會隨意分散在各個CRL中,會出現雖然一個CRL中大部分證書已經被吊銷,仍然要為其中沒有被吊銷的幾個證書不斷維護和更新這個CRL的情況,給證書的管理帶來負擔。對CRL分段方式帶來的另外一個問題是,某個證書的吊銷列表會包含與這個證書共享吊銷列表的其它證書的吊銷信息,這給證書吊銷狀況的查詢帶來額外的負擔。另外,這種按照方式當需要同時查詢多個證書的吊銷情況時,如果這些證書的CRL不同,則需要分別下載它們的CRL,處理起來十分麻煩。
此外,CRL的籤發需要一定的間隔時間,由於證書機構沒有經常籤發CRL,業務夥伴可能需要幾天的時間才能收到有關撤銷證書的通知,即證書的吊銷狀態發布有延遲,從而增加了破壞安全性的可能。
在線證書狀態協議OCSP(Online Certificate Status Protocol)是IETF(InternetEngineering Task Force)頒布的用於檢查數字證書在某一交易時間是否有效的標準。OCSP可以實時進行證書的有效性檢查,比下載和處理證書撤銷清單(CRL)的傳統方式更快、更方便和更具獨立性。但OCSP的引入使證書的吊銷變得十分複雜,實際中應用較少。
CA伺服器在籤發數字證書時,在證書吊銷列表的URL後面加上證書的唯一識別參數,將帶有參數的證書吊銷列表的URL寫到證書裡,使每一個證書的CRL都不相同,當用戶按照這個URL向CA伺服器查找CRL時,CA伺服器按照這個唯一識別參數從資料庫中查找證書的吊銷狀態,並生成一個只包含這個證書吊銷狀態的CRL,傳給用戶,這樣,每個證書對應唯一的一個CRL(「一證一表」),CRL的長度達到最小。另外,由於CRL是臨時生成的,證書的吊銷狀態發布沒有延遲。
充當證書唯一識別參數的可以是證書序列號或證書在資料庫中的ID等
http//CAServer/CRL.crl? http//CAServer/CRL.crl? ......
以上示例中斜體字為參數值。
文件擴展名「crl」在伺服器端映射成可執行的腳本文件,以根據參數動態生成證書吊銷列表。
當查找一組證書的吊銷狀態時,可以將查詢條件以參數的形式寫在證書吊銷列表的URL後,CA伺服器根據查詢條件從資料庫中查找這些證書的吊銷狀態,並生成一個只包含這些證書吊銷狀態的CRL,傳給用戶,這樣可以實現一個CRL同時查找多個證書的吊銷狀態信息,並且不含多餘的證書信息,查詢效率大大提高。
查詢條件一般為證書主題項,多個條件可以組合(當然也可以用其它證書項目作為查詢條件)http//CAServer/CRL.crl?Serial= http//CAServer/CRL.crl?CN= http//CAServer/CRL.crl?CN= http//CAServer/CRL.crl?CN= ......
以上示例中斜體字為參數值。
查詢CRL時伺服器返回的是符合X.509的CRL文件,CRL一般為二進位文件,其中包含CA的籤名。在有些情況下,用戶處理CRL文件有困難,在網絡安全有保障的情況下,可以考慮用簡單的純文本字符代替CRL,如當證書有效時返回「1」;當證書吊效時返回「0」。當然,同時查詢包含多個證書的吊銷列表時,用戶應該定義更複雜的規則http//CAServer/CRL.txt?Serial= http//CAServer/CRL.txt?CN= http//CAServer/CRL.txt?CN= http//CAServer/CRL.txt?CN= ......
以上示例中斜體字為參數值。
文件擴展名「txt」在伺服器端映射成可執行的腳本文件,以根據參數動態生成證書吊銷列表。
同樣方式可用於數字證書的查詢http//CAServer/Cert.cer?Serial= http//CAServer/Cert.cer?CN= http//CAServer/Cert.cer?CN=
http//CAServer/Cert.cer?CN= ......
以上示例中斜體字為參數值。
文件擴展名「cer」在伺服器端映射成可執行的腳本文件,根據參數,從資料庫中查找數字證書,並傳給用戶。當根據參數條件從資料庫中查不到證書或證書不唯一時,返回錯誤。
權利要求
1.數字證書吊銷及查詢方式的改進,其特徵是將證書查詢條件以參數的形式寫在證書吊銷列表的URL(Univeral Resource Location)地址後。
2.在數字證書中的證書吊銷列表項目中,添加證書唯一識別參數,實現「一證一表」。
3.在查詢證書吊銷列時,將查詢條件以參數的形式傳到CA(Certificate Authority)伺服器,CA伺服器根據這些參數動態生成包含這些證書吊銷信息的證書吊銷列表。
全文摘要
本發明是對數字認證中心(Certificate Authority,CA)吊銷數字證書(Certificate)方式的改進,屬於計算機軟體相關領域。其核心內容是通過在證書吊銷列表的URL(Univeral Resource Location)地址後添加證書唯一識別參數,實現「一證一表」。CA伺服器在用戶查詢證書時臨時生成證書吊銷列表,以消除證書吊銷列表(Certificate Revocation List,CRL)發布證書吊銷信息的時間延遲。根據用戶查詢條件,CA伺服器可以生成只包含符合查詢條件證書吊銷信息的CRL,CRL中沒有冗餘數據。
文檔編號G06F17/30GK1477565SQ0314594
公開日2004年2月25日 申請日期2003年7月18日 優先權日2003年7月18日
發明者李新, 李 新 申請人:李新, 李 新