专利名称:数字证书吊销方式的改进的制作方法
技术领域:
本发明属于计算机软件相关领域,是对数字认证中心(Certificate Authority,CA)吊销数字证书(Certificate)方式的改进。
按照数字证书格式的X.509国际标准,证书吊销列的URL(Univeral Resource Location)地址作为数字证书的一项条目写在证书中,用户据此查找证书吊销列表。由于颁发证书时无法事先估计证书何时将会吊销,实际吊销的证书将会随意分散在各个CRL中,会出现虽然一个CRL中大部分证书已经被吊销,仍然要为其中没有被吊销的几个证书不断维护和更新这个CRL的情况,给证书的管理带来负担。对CRL分段方式带来的另外一个问题是,某个证书的吊销列表会包含与这个证书共享吊销列表的其它证书的吊销信息,这给证书吊销状况的查询带来额外的负担。另外,这种按照方式当需要同时查询多个证书的吊销情况时,如果这些证书的CRL不同,则需要分别下载它们的CRL,处理起来十分麻烦。
此外,CRL的签发需要一定的间隔时间,由于证书机构没有经常签发CRL,业务伙伴可能需要几天的时间才能收到有关撤销证书的通知,即证书的吊销状态发布有延迟,从而增加了破坏安全性的可能。
在线证书状态协议OCSP(Online Certificate Status Protocol)是IETF(InternetEngineering Task Force)颁布的用于检查数字证书在某一交易时间是否有效的标准。OCSP可以实时进行证书的有效性检查,比下载和处理证书撤销清单(CRL)的传统方式更快、更方便和更具独立性。但OCSP的引入使证书的吊销变得十分复杂,实际中应用较少。
CA服务器在签发数字证书时,在证书吊销列表的URL后面加上证书的唯一识别参数,将带有参数的证书吊销列表的URL写到证书里,使每一个证书的CRL都不相同,当用户按照这个URL向CA服务器查找CRL时,CA服务器按照这个唯一识别参数从数据库中查找证书的吊销状态,并生成一个只包含这个证书吊销状态的CRL,传给用户,这样,每个证书对应唯一的一个CRL(“一证一表”),CRL的长度达到最小。另外,由于CRL是临时生成的,证书的吊销状态发布没有延迟。
充当证书唯一识别参数的可以是证书序列号或证书在数据库中的ID等
http//CAServer/CRL.crl? http//CAServer/CRL.crl? ......
以上示例中斜体字为参数值。
文件扩展名“crl”在服务器端映射成可执行的脚本文件,以根据参数动态生成证书吊销列表。
当查找一组证书的吊销状态时,可以将查询条件以参数的形式写在证书吊销列表的URL后,CA服务器根据查询条件从数据库中查找这些证书的吊销状态,并生成一个只包含这些证书吊销状态的CRL,传给用户,这样可以实现一个CRL同时查找多个证书的吊销状态信息,并且不含多余的证书信息,查询效率大大提高。
查询条件一般为证书主题项,多个条件可以组合(当然也可以用其它证书项目作为查询条件)http//CAServer/CRL.crl?Serial= http//CAServer/CRL.crl?CN= http//CAServer/CRL.crl?CN= http//CAServer/CRL.crl?CN= ......
以上示例中斜体字为参数值。
查询CRL时服务器返回的是符合X.509的CRL文件,CRL一般为二进制文件,其中包含CA的签名。在有些情况下,用户处理CRL文件有困难,在网络安全有保障的情况下,可以考虑用简单的纯文本字符代替CRL,如当证书有效时返回“1”;当证书吊效时返回“0”。当然,同时查询包含多个证书的吊销列表时,用户应该定义更复杂的规则http//CAServer/CRL.txt?Serial= http//CAServer/CRL.txt?CN= http//CAServer/CRL.txt?CN= http//CAServer/CRL.txt?CN= ......
以上示例中斜体字为参数值。
文件扩展名“txt”在服务器端映射成可执行的脚本文件,以根据参数动态生成证书吊销列表。
同样方式可用于数字证书的查询http//CAServer/Cert.cer?Serial= http//CAServer/Cert.cer?CN= http//CAServer/Cert.cer?CN=
http//CAServer/Cert.cer?CN= ......
以上示例中斜体字为参数值。
文件扩展名“cer”在服务器端映射成可执行的脚本文件,根据参数,从数据库中查找数字证书,并传给用户。当根据参数条件从数据库中查不到证书或证书不唯一时,返回错误。
权利要求
1.数字证书吊销及查询方式的改进,其特征是将证书查询条件以参数的形式写在证书吊销列表的URL(Univeral Resource Location)地址后。
2.在数字证书中的证书吊销列表项目中,添加证书唯一识别参数,实现“一证一表”。
3.在查询证书吊销列时,将查询条件以参数的形式传到CA(Certificate Authority)服务器,CA服务器根据这些参数动态生成包含这些证书吊销信息的证书吊销列表。
全文摘要
本发明是对数字认证中心(Certificate Authority,CA)吊销数字证书(Certificate)方式的改进,属于计算机软件相关领域。其核心内容是通过在证书吊销列表的URL(Univeral Resource Location)地址后添加证书唯一识别参数,实现“一证一表”。CA服务器在用户查询证书时临时生成证书吊销列表,以消除证书吊销列表(Certificate Revocation List,CRL)发布证书吊销信息的时间延迟。根据用户查询条件,CA服务器可以生成只包含符合查询条件证书吊销信息的CRL,CRL中没有冗余数据。
文档编号G06F17/30GK1477565SQ0314594
公开日2004年2月25日 申请日期2003年7月18日 优先权日2003年7月18日
发明者李新, 李 新 申请人:李新, 李 新