专利名称:一种增强数字证书撤销列表安全性的方法
技术领域:
本发明涉及一种数字证书撤销方法,具体涉及增强数字证书撤销列表安全性的方法。
背景技术:
由于hternet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份, 并且在网上能够有效无误的被进行验证。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。使用了数字证书,即使用户发送的信息在网上被他人截获,甚至丢失了个人的账户、密码等信息,仍可以保证账户、资金安全。数字证书是一种权威性的电子文档,由权威公正的第三方机构,即证书认证中心签发的证书。以数字证书为基础的身份认证体系在出现需要作废的数字证书时,采用数字证书废止列表的方式来实现,数字证书废止列表(业界常简称CRL)中记录所有在原定失效日期到达之前被废止的数字证书的用户数字证书序列号,供数字证书使用者在认证对方数字证书时查询使用。为了处理大用户量的情况,一般情况下,都会采用将数字证书废止列表分在多个数字证书废止列表文件中的方式,在数字证书中表明如若该数字证书被废止则对应的证书序列号位于那个数字证书废止列表文件中。数字证书废止列表的结构如下证书废止列表(CertificateList) {
待签名废止证书列表(tbsCertList)
版本号(version)
签名算法(signature)
签发者(issuer)
本次更新时间(thisUpdate)
下次更新时间(nextUpdate)
I^ih白勺ilH·^ (revokedCertificates)
废止证书的序列号(userCertificate)
废止时间(revocationDate)
废止项扩展(crlEntryExtensions)
证书废止列表扩展crlExtensions
签名算法(signatureAlgorithm)
签名值(signatureValue)}
其中废止项扩展和证书废止列表扩展的结构如下
3
扩展标识是否为关键扩展扩展值在现有的标准和业界的操作过程中,经常使用的扩展有签发者密钥标识、签发者名称、CRL数量、增量CRL指示器、签发发布点、最新CRL和权威信息访问。一般的证书验证流程是首先验证证书合法性,然后根据证书包含的CRL发布点信息下载或从本地查找对应的CRL文件来查验对应的证书是否在指定的CRL文件中。从上面我们描述的证书废止列表的结构看,证书废止列表的这些内容都没有表示 CRL文件名称或CRL文件中应涵盖的CRL范围,这就导致了 CRL与证书验证的机制脱节,从而出现安全问题。
发明内容
本发明需要解决的技术问题就在于提供一种增强数字证书撤销列表安全性的方法,本发明解决了目前数字证书撤销方法导致了 CRL与证书验证的机制脱节,从而出现安全隐患的问题。为解决上述问题,本发明采用如下技术方案数字证的废止过程是(一 )发起数字证书撤销;( 二)将证书序列号放入数字证书废止列表的待废止列表;(三)CA根据预先设定的废止规则将需要废止的数字证书序列号构成一个CRL文件;(四)CA对数字证书废止列表签名;(五)发布数字证书废止列表至特定的文件中或特定的目录中;在上述第(三)步骤中,在CRL文件的待签名废止列表内增加可能发布在本CRL 内的证书序列号的范围,由CRL签发者做数字签名,用于标明本CRL文件将负责的证书的范围。进一步地,本发明的一种增强数字证书撤销列表安全性的方法,还具有如下特点 第(三)步骤中,用于标明本CRL文件将负责的证书的范围的具体方法,按照如下步骤操作1)增加两种CRL扩展,该扩展中包含负责证书的起始证书序列号和终止证书序列号,这种CRL扩展将作为关键扩展,在验证CRL有效性时必须检查,检查的方法是下载的CRL 仅负责验证起始证书序列号到终止证书序列号之间的证书的合法性;2)在CRL文件中的待签名废止证书列表增加两项内容,该两项内容是负责证书的起始证书序列号和终止证书序列号。本发明实现数字证书废止列表功能,又能够弥补现有技术的数字证书撤销方法存在安全性问题,使得数字证书和数字证书废止列表真正联系在一起。
图1是本发明数字证书废止流程图。
具体实施例方式如图1所示,一种增强数字证书撤销列表安全性的方法,数字证的废止过程是(一)发起数字证书撤销;( 二)将证书序列号放入数字证书废止列表的待废止列表;(三)CA根据预先设定的废止规则将需要废止的数字证书序列号构成一个CRL文件;(四)CA对数字证书废止列表签名;(五)发布数字证书废止列表至特定的文件中或特定的目录中;在上述第(三)步骤中,在CRL文件的待签名废止列表内增加可能发布在本CRL 内的证书序列号的范围,由CRL签发者做数字签名,用于标明本CRL文件将负责的证书的范围。第(三)步骤中,用于标明本CRL文件将负责的证书的范围的具体方法,按照如下步骤操作1)增加两种CRL扩展,该扩展中包含负责证书的起始证书序列号和终止证书序列号,这种CRL扩展将作为关键扩展,在验证CRL有效性时必须检查,检查的方法是下载的CRL 仅负责验证起始证书序列号到终止证书序列号之间的证书的合法性;2)在CRL文件中的待签名废止证书列表增加两项内容,该两项内容是负责证书的起始证书序列号和终止证书序列号。
具体实施方式
是定义一种新的CRL扩展CRLNotBeforeSN,其对象标识为 1. 3. 6. 1. 4. 1. 27971. 32. 2. 1 (这仅仅是一个示例对象标识,可根据需要进行标准化); 是否为关键扩展标识为关键扩展(即取值为true);扩展值为经过编码的证书序列号,证书序列号本身为整数;定义一种新的CRL扩展CRLNot After SN,其对象标识为 1. 3. 6. 1. 4. 1. 27971. 32. 2. 2 ;是否为关键扩展标识为关键扩展(即取值为true);扩展值为经过编码的证书序列号,证书序列号本身为整数。最后应说明的是显然,上述实施例仅仅是为清楚地说明本发明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明的保护范围之中。
权利要求
1.一种增强数字证书撤销列表安全性的方法,其特征在于,数字证的废止过程是(一)发起数字证书撤销;(二)将证书序列号放入数字证书废止列表的待废止列表;(三)CA根据预先设定的废止规则将需要废止的数字证书序列号构成一个CRL文件;(四)CA对数字证书废止列表签名;(五)发布数字证书废止列表至特定的文件中或特定的目录中;在上述第(三)步骤中,在CRL文件的待签名废止列表内增加可能发布在本CRL内的证书序列号的范围,由CRL签发者做数字签名,用于标明本CRL文件将负责的证书的范围。
2.如权利要求1所述一种增强数字证书撤销列表安全性的方法,其特征在于,第(三) 步骤中,用于标明本CRL文件将负责的证书的范围的具体方法,按照如下步骤操作1)增加两种CRL扩展,该扩展中包含负责证书的起始证书序列号和终止证书序列号, 这种CRL扩展将作为关键扩展,在验证CRL有效性时必须检查,检查的方法是下载的CRL仅负责验证起始证书序列号到终止证书序列号之间的证书的合法性;2)在CRL文件中的待签名废止证书列表增加两项内容,该两项内容是负责证书的起始证书序列号和终止证书序列号。
全文摘要
本发明公开了一种增强数字证书撤销列表安全性的方法,涉及一种数字证书撤销方法。数字证的废止过程是发起数字证书撤销;将证书序列号放入数字证书废止列表的待废止列表;CA根据预先设定的废止规则将需要废止的数字证书序列号构成一个CRL文件;CA对数字证书废止列表签名;发布数字证书废止列表至特定的文件中或特定的目录中;在CRL文件的待签名废止列表内增加可能发布在本CRL内的证书序列号的范围,由CRL签发者做数字签名,用于标明本CRL文件将负责的证书的范围。本发明解决了目前数字证书撤销方法导致了CRL与证书验证的机制脱节,从而出现安全隐患的问题。
文档编号H04L29/06GK102281288SQ201110192258
公开日2011年12月14日 申请日期2011年7月11日 优先权日2011年7月11日
发明者刘金华, 张庆勇, 李向锋, 汪宗斌 申请人:北京信安世纪科技有限公司