专利名称:分布式证书验证方法
技术领域:
本发明涉及一种数字证书认证方法,尤其是一种分布式证书验证方法。属于IT信息安全领域。
背景技术:
在信息技术飞速发展的今天,网络数字安全已经成为一个日益重要的、不可回避的网络技术课题;PKI技术(公开密钥基础设施)是基础网络安全的核心组成部分,在PKI体系中,验证数字证书持有者的身份是PKI体系中使用非常频繁的一个应用,它可以在网络中辨别用户的身份。
应用系统验证数字证书持有者的身份的过程其实就是验证数字证书以及该证书的数字签名,验证数字签名的原理及过程在PKCS1,PKCS7的标准有详细的描述。
在X.509(RFC2459,Internet X.509 Public Key Infrastructure Certificateand CRL Profile,即国际互联网公钥基础设施证书和证书吊销列表概要)中,根据X.509描述证书的验证过程的理解,验证数字证书的过程可以分为三个步骤1.确认用户证书在有效期内;2.确认用户证书是所信任的根签发的;3.确认用户证书的证书序列号没有在CA中心(数字证书认证中心)发布的CRL(证书废除列表)中;如果以上三步都通过,则说明该证书是有效的。
PKI体系中,证书应用是极为广泛的,每个应用证书的终端实体都有验证证书有效性的需求,这对于在同一个局域网中的终端实体来说,和CA的公共知识库之间的网络流量无疑是比较大的,如果一个局域网和公共网络之间没有足够的带宽的话,也会极大地影响应用系统的响应速度,降低系统性能;并且,对于那些对网络的安全、保密性要求比较严格的局域网络,如政府内部网络,公安网络等局域网,一般的办公PC是不允许连接到Internet上的,从而使得在这些局域网上部署PKI体系有了困难。
发明内容
本发明针对现有技术中存在的上述不足和缺陷,提供一种分布式证书验证方法,使其部署于局域网内部并可完成证书验证,从而实现将证书验证过程本地化。
本发明是通过以下技术方案实现的,本发明的方法具体如下(1)建立一台分布式验证服务器,配置根CA证书、需要下载的CRL的地址和下载时间等必要的信息,配置系统网络,使它能连接CA的CRL知识库,同时又能为其他局域网内的应用实体所服务;(2)分布式验证服务器在指定的时间或根据CRL中规定的时间范围自动从CA知识库中下载、更新CRL;(3)在终端实体的应用中,修改获取CRL的连接,将它重定向到分布式验证服务器中;(4)分布式验证服务器通过对证书中原始CRL的URL的重新编码,从分布式验证服务器的CRL发布目录中获取相应的CRL;(5)应用实体使用从分布式验证服务器中获取到的CRL进行证书的验证。
以上过程就能实现一次证书的验证,使终端实体可以不通过访问CA的知识库,就可以获取CRL,实现证书的验证。
以下对本发明作进一步的说明,具体内容如下1、一个CA的知识库中存在着有该CA发布的所有证书对应的CRL,对一个大型的公共CA来说,它的数量是很大的,而一个局域网中的终端实体所使用的证书只是其中的很小一部分;如果分布式验证服务器把CA知识库中所有的CRL都下载到系统中,不仅增加了系统的压力,也降低了系统的性能,所以,需要有一个很好的机制来尽可能少的从CA知识库中下载CRL数据,同时又确保终端实体能从分布式验证服务器中找到所有需要的CRL。在本发明中,通过web方式来配置需要下载的CRL,同时,也可以通过导入系统中需要使用的证书的方法,由系统自动从证书中获取需要下载的CRL,保证了系统的易使用性和可管理性。
2、分布式验证服务器支持从多个CA知识库中下载CRL,这样,就保证了同一局域网中可以使用多个CA签发的证书;当然,为了保证终端实体能获取正确的CRL,本发明通过对不同CRL的编码,确保在分布式验证服务器中的CRL具有唯一性;同时,分布式验证服务器在导入有CA签发的CRL前,需要先导入该CA的根证书;由于CRL是通过公共网络获取的,它不能保证数据的安全性,所以当分布式验证服务器从CA知识库中获取CRL后,都需要用该CA的根证书对其进行验证,确保数据的完整性和权威性。
并且,对应用系统开发者来说,需要做到分布式证书验证服务器是完全透明的,用不用分布式证书验证服务器,开发过程是完全一致的;本发明通过提供给终端实体的应用开发相应的软件,对应用系统屏蔽获取CRL重定向的过程,来解决这一问题,使得在应用系统中,证书的验证方法完全符合标准。
本发明中,还涉及以下一些具体的技术措施1)证书在线条件导入指定需要导入证书的CA目录服务器,可以根据用户姓名、电子邮件地址、用户唯一号等条件导入证书,可以成批导入,也可以单个导入,分布式验证服务器会根据导入的证书中相应的CRL地址,在系统中添加需要导入和更新的CRL;2)证书离线导入从指定的单个证书介质中导入证书,也可以从批量证书文件中导入证书,分布式验证服务器会根据导入的证书中相应的CRL地址,在系统中添加需要导入和更新的CRL;3)、CRL导入及更新对于已经在分布式验证服务器列表中的所有CRL,系统都会在CRL下一次需要更新以前,进行自动的更新;同时也可以有系统管理员对导入时间进行配置,分布式验证服务器在指定时间CA的知识库中导入CRL,也可以有系统管理员进行手工实时导入;4)、证书链导入根据指定的条件,到相应的CA服务器上导入证书链,或者离线导入证书链,导入了证书链后,有相应的CA签发的证书和CRL才可以被导入分布式验证服务器;5)、证书信息管理对导入的证书做查询和删除等管理操作,分布式验证服务器会根据删除的证书中相应的CRL地址,在系统中删除需要更新的CRL地址;6)、证书自动更新对进入更新临界区的证书,自动查找最新更新的证书。提供从任一张证书获取最新证书的接口;7)、证书导入服务接口提供证书导入的服务接口,根据一定的接口标准,接受外部CA系统向数字证书分布式验证服务器做证书导入请求;8)、系统管理通过web方式提供对数字证书分布式验证服务器的管理和维护功能,例如系统日志管理,系统数据备份,系统时间修改,系统升级,关闭系统等。
由于使用了上述技术方案,本发明具有如下优点(1)在一个使用PKI体系的局域网内,在证书验证的过程中,减少了局域网和公共网络之间的数据流量;(2)由于局域网内的终端实体都通过分布式验证来获取CRL,而不是到位于公共网络的CA知识库中获取CRL,这无疑加快了证书验证过程的系统响应速度,提高了系统的性能;(3)由于局域网内部终端实体的在验证证书过程中不需要连接公共网络,增加了局域网网络的安全性;(4)本发明的方法无疑也减少了CA知识库发布服务器的系统服务压力。
图1是本发明方法实施例的系统结构示意2是本发明方法实施例分布式证书验证服务器的功能模块架构3是本发明方法的流程图具体实施方式
如图1所示,结合本发明方法的内容,提供具体的实施例。本发明实施例采用的分布式证书验证服务器1可部署于由应用服务器3、工作站4、个人电脑5等外部应用系统所构成的局域网内,并与CA服务器2双向连接。所述的分布式证书验证服务器1可与Internet网相连接,而上述应用服务器3、工作站4、个人电脑5均不直接与Internet网相连接。
如图2所示,本发明方法实施例分布式证书验证服务器包括如下功能模块第一层为与外部系统连接的服务模块系统数据定时更新服务,WEB用户服务,客户应用系统服务接口;系统数据定时更新服务根据指定的时间及时间间隔完成黑名单的智能下载和更新;以及更新证书自动检查及下载;WEB用户服务主要以WEB的方式为局域网中分布式证书验证服务器的管理员和操作员提供人机交互的管理和操作界面,同时也供普通用户查询一些公开的数据;客户应用系统服务接口为客户应用系统提供服务,包括指定时间内更新证书的检查,新证书的导入接口等;第二层主要是为第一层系统服务的,主要有证书发布模块、WEB应用实现模块、编解码模块和加解密模块;证书发布模块将证书、黑名单及证书链等发布到目录服务器;WEB应用实现模块实现WEB的应用逻辑;编解码模块实现证书、黑名单及证书链等的编解码;加解密模块运用底层的加解密设备完成数据的加解密,包括随机数的产生、HASH、对称加解密、RSA(不对称运算)等运算的实现接口;第三层主要实现数据的存储及提供底层的加解密,有目录发布服务器、数据库服务器和加解密设备;目录发布服务器提供标准的目录发布服务;数据库服务器存储系统管理、配置信息以及用户的证书、黑名单等信息加解密设备用国密委认可的加解密设备实现数据的加解密;第四层是操作系统,是所有模块运行的基础。
具体实施过程描述财税局网上报税系统是基于PKI客户端或服务器应用程序,他们使用了上海CA中心签发的证书,下面结合图3所示以验证签名的过程为例,说明系统是如何工作的分布式证书验证服务器1的证书管理员首先根据本报税网站的证书发布情况从上海CA服务器2上下载本报税网站的用户证书,或本报税网站管理员把自己用户的证书导入分布式证书验证服务器1;并且在分布式证书验证服务器1上配置黑名单查询的下载地址,从而本服务器可以定时或手工下载黑名单,为验证证书服务;客户或服务器应用程序收到对方的签名包后,先根据对方的姓名、email地址或用户唯一号等信息从分布式证书验证服务器1上下载用户证书和相应的根证书,就可以验证证书了,再根据证书从分布式证书验证服务器1上下载相应的黑名单,就可以验证黑名单了,从而完成整个证书验证过程;本发明充分满足或支持相关的国际标准,包括X509v1、X509v2、X509v3、CRL、OCSP、TimeStamp、PKCS1、PKCS8、PKCS7、PKCS10、ASN1、MIME、SSL、SMIME、LDAP;兼容多种应用软件和常用操作系统;对分布式证书验证的操作管理都基于WEB页面,有效降低维护的成本;支持多种高强度算法,如SSF33、RSA、SHA1、MD5、MD2等,所有的算法均采用国家密码委员会认可的硬件模块。
本发明还具有严格的权限管理,系统管理员对系统的运行负责,但不能接触任何用户数据,同时必须超过半数的系统管理员到场时才能进入系统管理模式。操作员仅能对用户及证书进行操作,不能影响系统的运行。用户仅能对自己的数据进行操作,不能修改他人数据。匿名用户提供公用的服务,如下载他人证书、根证书、下载黑名单等。所有的认证方式均采用数字认证方式进行,确保系统安全。
本发明有明确、细致的操作员权限,分布式证书验证服务器除了对系统划分了不同级别的用户角色外,对其中的系统操作员还做了细致的权限划分,不同的操作员,根据他权限的不同,可以做证书的导入,删除,查询等不同的操作。
本发明支持多种证书存放介质,如软盘、IC卡、USB棒以及服务器上等,并且只要安装了介质驱动,系统就能自动识别介质;同时提供根证书的导入导出功能,也支持所有的数据备份和恢复功能,为数据安全提供保障;还提供详尽的日志功能;包括系统日志和用户日志。系统日志主要提供所有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系统管理员可以通过日志查询获得系统的状态,操作员可以通过日志查询获得证书和用户信息操作的历史记录,用户可以查询本人的操作记录等,并且提供了功能强大的查询条件。本发明提供强大的操作审计功能,用户对系统所有操作均记录在案,以备统计和分析。
权利要求
1.一种分布式证书验证方法,其特征在于,方法具体如下(1)建立一台分布式验证服务器,配置根CA证书、需要下载的CRL的地址和下载时间,配置系统网络,使它能连接CA的CRL知识库,同时又能为其他局域网内的应用实体所服务;(2)分布式验证服务器在指定的时间或根据CRL中规定的时间范围自动从CA知识库中下载、更新CRL;(3)在终端实体的应用中,修改获取CRL的连接,将它重定向到分布式验证服务器中;(4)分布式验证服务器通过对证书中原始CRL的URL的重新编码,从分布式验证服务器的CRL发布目录中获取相应的CRL;(5)应用实体使用从分布式验证服务器中获取到的CRL进行证书的验证。
2.根据权利要求1所述的分布式证书验证方法,其特征是,通过web方式来配置需要下载的CRL,同时,或者通过导入系统中需要使用的证书的方法,由系统自动从证书中获取需要下载的CRL。
3.根据权利要求1所述的分布式证书验证方法,其特征是,所述的分布式验证服务器支持从多个CA知识库中下载CRL,保证同一局域网中使用多个CA签发的证书,为了保证终端实体能获取正确的CRL,通过对各个CRL的分别编码,使在分布式验证服务器中的CRL具有唯一性,同时,分布式验证服务器在导入有CA签发的CRL前,要先导入该CA的根证书,当分布式验证服务器从CA知识库中获取CRL后,都要用该CA的根证书对其进行验证。
4.根据权利要求1所述的分布式证书验证方法,其特征是,还包括以下一些具体的技术措施1)证书在线条件导入指定需要导入证书的CA目录服务器,根据用户姓名、电子邮件地址、用户唯一号这些条件导入证书,成批导入,或者单个导入;2)证书离线导入从指定的单个证书介质中导入证书,或者从批量证书文件中导入证书;3)、CRL导入及更新对于已经在分布式验证服务器列表中的所有CRL,系统都会在CRL下一次需要更新以前,进行自动的更新;或者由系统管理员对导入时间进行配置,分布式验证服务器在指定时间CA的知识库中导入CRL,或者由系统管理员进行手工实时导入;4)、证书链导入根据指定的条件,到相应的CA服务器上导入证书链,或者离线导入证书链;5)、证书信息管理对导入的证书做查询和删除管理操作;6)、证书自动更新对进入更新临界区的证书,自动查找最新更新的证书,提供从任一张证书获取最新证书的接口;7)、证书导入服务接口提供证书导入的服务接口,根据接口标准,接受外部CA系统向数字证书分布式验证服务器做证书导入请求;8)、系统管理通过web方式对数字证书分布式验证服务器进行管理和维护,如系统日志管理,系统数据备份,系统时间修改,系统升级,关闭系统。
全文摘要
一种分布式证书验证方法。属于IT信息安全领域。方法实现如下建立一台分布式验证服务器,配置根CA证书、需要下载的CRL的地址和下载时间,配置系统网络,使它能连接CA的CRL知识库,同时又能为其他局域网内的应用实体所服务;分布式验证服务器在指定的时间或根据CRL中规定的时间范围自动从CA知识库中下载、更新CRL;在终端实体的应用中,修改获取CRL的连接,将它重定向到分布式验证服务器中;分布式验证服务器通过对证书中原始CRL的URL的重新编码,从分布式验证服务器的CRL发布目录中获取相应的CRL;应用实体使用从分布式验证服务器中获取到的CRL进行证书的验证。本发明减少了局域网和公共网络之间的数据流量,提高了系统的性能,增加了局域网网络的安全性。
文档编号H04L9/28GK1558596SQ20041001599
公开日2004年12月29日 申请日期2004年1月19日 优先权日2004年1月19日
发明者何国锋, 吴云飞, 张伟鹏, 马正文, 陈荦祺, 俞桂平, 冯晔, 郑枫 申请人:上海市电子商务安全证书管理中心有限公司, 上海市财政税务信息中心, 上海市电子商务安全证书管理中心有限