一种x509数字证书与证书应用之间的精确化身份认证方法
【专利摘要】本发明一种X509数字证书与证书应用之间的精确化身份认证方法,包括:搭建身份认证平台,通过自动加载证书链、CRL并自动更新的方式,提供高效的证书链和CRL验证,配合在平台上维护的数字证书与证书应用之间的匹配关系,最终形成唯一的可信列表,为证书应用提供身份认证服务;精确化身份认证,证书应用在对数字证书进行身份认证时,只需要验证该证书是否存在于该应用对应的可信列表即可。本发明立足身份认证平台,通过安全高效的证书验证方式,配合维护数字证书与证书应用间的匹配关系,创新性构建唯一的可信列表,减少了证书应用既要验证白名单又要验证黑名单的繁琐,提高了验证效率,实现了数字证书与证书应用之间的精确化身份认证。
【专利说明】一种X509数字证书与证书应用之间的精确化身份认证方法
【技术领域】
[0001]本发明一般应用于公开密钥基础设施系统(PKI)领域,尤其是涉及一种X509数字证书与证书应用之间的精确化身份认证方法,能够安全可靠高效的对数字证书进行精确化身份认证。
【背景技术】
[0002]X509是由ITU-T推荐的一个国际标准,X.509定义了一个已经被广泛接受的PKI基础,它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。
[0003]数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是由一个由权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发行的,最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
[0004]证书指纹是用于保护证书完整性的,是将证书的内容采用一定的哈希算法计算得出。用于数字证书的哈希算法一般为SHAl或MD5,两种算法是单向且不可逆的,也就是说,无法通过哈希之后的数据计算出哈希之前的原文,并且原文数据做过任何一点改动经过哈希值后获得的数据将完全不同。由此可知,证书指纹是唯一的。
[0005]数字签名具备不可篡改、不可抵赖的特性,使得数字证书替代用户名和口令方式,越来越多的成为众多信息系统首选的身份认证方式。
[0006]证书吊销列表CRL:俗称黑名单,是一个被签署的列表,它指定了一套证书发布者认为无效的证书。CRL —定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。
[0007]传统上对于数字证书进行身份认证的方式,主要是验证三个方面,一、验证数字证书的签名者信息,二、验证数字证书的有效期,三、验证数字证书是否存在于其颁发者所签发的CRL中。这种身份认证方法仅能满足一般性的仅限于数字证书本身的场景,但其缺点和局限性也是明显的:
[0008]I)仅能做数字证书合法性认证,无法结合证书应用进行身份认证。这种身份认证方式,仅仅验证数字证书本身是否合法,一旦和某个证书应用结合起来,将无法解决数字证书在这个证书应用当中的身份认证问题。例如,可以验证张三的数字证书是合法的,但无法验证张三的数字证书在某报税系统(证书应用)中的身份是否合法。
[0009]2)证书合法性验证的效率差。传统上对于数字证书进行身份认证的方式,对每一张证书都需要验证是否存在于其颁发者所签发的CRL中,即首先下载该证书所属颁发机构签发的CRL,然后加载,再解析证书的证书序列号,然后在加载的CRL中做匹配,如果存在,则说明此证书已经被注销,为非法状态,否则说明该证书合法。随着CA机构业务量的增大,CRL会越来越大,现在有些CA机构的CRL大小已经有20M。这样每加载一次CRL再做一次验证,其耗时会越来越长,效率将越来越低。[0010]在已公布的专利《一种数字证书精确化认证方法、装置及云认证服务系统》中,提到了 一种数字证书精确化认证方法:首先创建白名单数据,建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入到该条白名单中,根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入到白名单数据中,最后由各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。这种数字证书精确化认证方法,也存在一定的缺点与不足:
[0011]I)数字证书序列号无法唯一确定数字证书身份,存在安全隐患。尽管有规定:由CA机构发行的数字证书其证书序列号必须唯一。但全国有33家合法CA机构,每家CA机构的发证系统各自运行在其安全内网中,互不联通;另外每家CA机构用于生成证书序列号的算法也各不相同,所以完全有可能出现两张不同的数字证书却拥有相同的证书序列号的情况。一旦这种情况发生,《一种数字证书精确化认证方法、装置及云认证服务系统》这个专利描述的精确化认证方法就会出现严重漏洞,造成安全隐患。
[0012]2)证书身份验证的效率差。同传统上对于数字证书进行身份认证的方式一样,《一种数字证书精确化认证方法、装置及云认证服务系统》这个专利提出的身份认证方法是:“各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过”,这里明确的提出也要验证黑名单,即验证某证书所属颁发机构签发的CRL,在上面内容中已有陈述:“随着CA机构业务量的增大,CRL会越来越大,现在有些CA机构的CRL大小已经有20M。这样每加载一次CRL再做一次验证,其耗时会越来越长,效率将越来越低”。经实际测试,加载一个20M左右的CRL需要耗时5000毫秒左右,如果该证书应用同时用到了几家CA证书,那么就需要加载这几家CA所签发的CRL,用时会更久,用户体验也将更差。
【发明内容】
[0013]为了能安全、高效的对数字证书进行精确化认证,同时避免出现上述问题,本发明的目的在于提供一种X509数字证书与证书应用之间的精确化身份认证方法,使得数字证书能够在证书应用中的身份认证既安全又高效,同时保证数字证书的认证不受CA机构的限制。
[0014]为了实现上述目的,本发明采用的技术方案为:一种X509数字证书与证书应用之间的精确化身份认证方法,方法至少包括:
[0015]一、建立一个身份认证平台,针对证书应用提供身份认证服务。其重要构建方式主要有:
[0016]I)在身份认证平台配置证书应用。配置主要包含:该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL(可上传CRL,或配置CRL地址由平台自动下载)。配置完成后身份认证平台会在数据库中为每个证书应用创建一张数字证书与证书应用的匹配表。
[0017]2)证书链以及CRL自动载入。按照国家相关政策法规规定,每家CA机构的证书链以及CRL都必须是公开发布的。平台的数据加载模块会根据第一步中的配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,以保证加载到平台的CRL是CA机构所颁发的最新的,从而最大程度上保证安全性。[0018]3)证书合法性验证。每张数字证书在申请进入证书应用时,都会经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中。三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中。
[0019]4)提供可信、安全的身份认证服务。平台为每个证书应用提供的身份认证服务可以有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由代理证书应用做身份认证的安全网关设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。不管是哪种方式,证书应用获得的认证结果都是经身份认证平台签名,是可信安全的。
[0020]二、精确化身份证书认证。因为身份认证平台已经对加入到匹配表中的证书做了包含验证CRL在内的三次验证,所以证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可,这样极大地减少了证书应用的开发难度,同时因为不再需要验证CRL而大大提供了证书应用的验证效率,提高了用户友好体验度。
[0021]有益效果:本发明立足身份认证平台,在平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及更新的方式,创新性的将本该证书应用验证黑名单的环节放置在身份认证平台上,创新性的将一般方案中的白名单与黑名单合并统一加载到匹配表中处理,不但减少了证书应用既要验证白名单又要验证黑名单的繁琐,又提高了验证效率。本发明还应用了数字签名技术,由身份认证平台对身份认证结果签名,使得身份认证过程更加安全可信。
【专利附图】
【附图说明】
[0022]图1为本发明的证书应用配置流程图。
[0023]图2为本发明的证书链及CRL载入流程图。
[0024]图3为本发明的证书合法性验证流程图。
[0025]图4通过在线身份认证接口完成身份精确认证流程图。
[0026]图5设备与身份认证平台交互流程图。
[0027]图6证书应用和设备对数字证书进行精确化身份认证的流程。
【具体实施方式】
[0028]下面结合附图和【具体实施方式】对本发明进行进一步详细的说明。
[0029]一、搭建身份认证平台
[0030]每个基于数字证书的、需要对数字证书进行身份认证的应用系统,都可以称为一个证书应用。搭建身份认证平台,目的在于在平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及更新的方式,将本该证书应用验证黑名单的环节放置在身份认证平台上,通过这种方式将传统上的白名单和黑名单合二为一形成唯一的可信列表,从而提高验证效率,提高安全可信度。平台的主要构建方式包括:
[0031]I)在身份认证平台配置证书应用。配置主要包含:该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL (可上传CRL,或配置CRL地址由平台自动下载)。配置完成后身份认证平台会为每个证书应用创建一张数字证书与证书应用的匹配表。具体流程参见图1。
[0032]2)证书链以及CRL自动载入。平台的数据加载模块会根据第一步中的配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,以保证加载到平台的CRL是CA机构所颁发的最新的,从而最大程度上保证安全性。具体流程参见图2。
[0033]3)证书合法性验证。每张数字证书在申请进入证书应用时,都会经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中。三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中,该匹配表采用数字证书指纹作为唯一主键。具体流程参见图3。
[0034]4)提供可信、安全的身份认证服务。平台为每个证书应用提供的身份认证服务可以有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由设备代理证书应用进行身份认证,即设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。不管是哪种方式,证书应用获得的认证结果都是经身份认证平台签名,是可信安全的。
[0035]二、精确化身份证书认证。因为身份认证平台已经对加入到匹配表中的证书做了包含验证CRL在内的三次验证,所以证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可,这样极大地减少了证书应用的开发难度,同时因为不再需要验证CRL而大大提供了证书应用的验证效率,提高了用户友好体验度。
[0036]结合身份认证平台“对证书应用提供在线身份认证接口”这种方式,证书应用对数字证书进行精确化身份认证的流程如图4所示。
[0037]结合身份认证平台“对证书应用提供平台设备接口”这种方式,将设备作为证书应用的身份认证代理,设备和身份认证平台进行交互,获取数字证书与证书应用匹配表的信息并加载,证书应用只需要在设备上进行数字证书的身份认证即可。设备和身份认证平台之间的交互如图5所示。证书应用和设备对数字证书进行精确化身份认证的流程如图6所
/Jn ο
[0038]以上实施例只是对于本发明的部分功能进行描述,但实施例和附图并不是用来限定本发明的。在不脱离本发明之精神和范围内,所做的任何等效变化或润饰,同样属于本发明之保护范围,因此本发明的保护范围应当以本申请的权利要求所界定的内容为标准。
【权利要求】
1.一种X509数字证书与证书应用之间的精确化身份认证方法,其特征在于: 步骤一、搭建身份认证平台,针对证书应用提供身份认证服务;每个基于数字证书的、需要对数字证书进行身份认证的应用系统,称为一个证书应用,搭建身份认证平台,在该身份认证平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及更新的方式,形成唯一的可信列表; 步骤二、精确化身份证书认证;证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可。
2.根据权利要求1所述的精确化身份认证方法,其特征在于,步骤一中: (1)在身份认证平台配置证书应用,该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL,配置完成后身份认证平台会在数据库中为每个证书应用创建一张数字证书与证书应用的匹配表; (2)证书链以及CRL自动载入,对于CA机构的公开发布的证书链以及CRL,平台的数据加载模块相关配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,保证加载到平台的CRL是CA机构所颁发的最新的; (3)证书合法性验证,每张数字证书在申请进入证书应用时,经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中;三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中; (4)提供可信、安全的身份认证服务。
3.根据权利要求2所述的精确化身份认证方法,其特征在于:所述匹配表采用数字证书指纹作为唯一主键。
4.根据权利要求2所述的精确化身份认证方法,其特征在于:所述提供可信、安全的身份认证服务,身份认证平台为每个证书应用提供的身份认证服务有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由代理证书应用做身份认证的安全网关设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。
5.根据权利要求3或4所述的精确化身份认证方法,其特征在于:证书应用验证黑名单的环节放置在身份认证平台上,通过这种方式将传统上的白名单和黑名单合二为一形成唯一的可信列表;身份认证平台对加入到匹配表中的证书做了包含验证CRL在内的三次验证,证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可。
【文档编号】H04L9/32GK103560889SQ201310542386
【公开日】2014年2月5日 申请日期:2013年11月5日 优先权日:2013年11月5日
【发明者】王杰勋, 李业兵, 庄昱垚 申请人:江苏先安科技有限公司