使用基于时间的中间证书颁发机构表示证书有效期的制作方法

此公开涉及使用基于时间的中间证书颁发机构表示证书有效期。

背景技术：

1、数字证书是通常用于在网络上建立公钥的所有权的电子文档。一旦为特定用户或实体建立了公钥的所有权，就可以使用公钥与用户或实体进行安全通信。数字证书通常具有内嵌的基于时间的有效期，限制了数字证书的有效时段。有效时段已经到期后，证书将不再有效。这要求从与证书相关联的公钥的声称所有者接收该证书的每个设备都具有可靠的时钟，以便比较当前时间和有效时段。数字证书也可以通过使用证书吊销列表在其预定到期日期之前吊销。

技术实现思路

1、该公开的一个方面提供了一种方法，用于使用基于时间的中间证书颁发机构表示证书有效期。所述方法包括在数据处理硬件处，从根证书颁发机构获得由所述根证书颁发机构数字签名的根数字证书。该方法还包括由所述数据处理硬件生成中间证书颁发机构链。所述中间证书颁发机构链中每个相应的中间证书颁发机构包括由所述中间证书颁发机构或所述根证书颁发机构数字签名的相应的中间证书，所述中间证书颁发机构或所述根证书颁发机构在所述中间证书颁发机构链中紧邻且高于所述相应的中间证书颁发机构，以及相应的验证时间段，所述相应的验证时间段指示允许所述相应的中间证书颁发机构对中间证书和最终实体证书进行数字签名的时间范围，所述相应的中间证书颁发机构的所述相应的验证时间段包括在所述中间证书颁发机构链中低于所述相应的中间证书颁发机构的每个中间证书颁发机构的所述验证时间段。该方法还包括由所述数据处理硬件为所述中间证书颁发机构链生成证书吊销列表。该方法还包括由所述数据处理硬件从所述中间证书颁发机构链中的最低中间证书颁发机构生成多个最终实体证书。所述多个最终实体证书的每个最终实体证书由所述中间证书颁发机构链中的最低中间证书颁发机构进行数字签名。该方法还包括，在所述中间证书颁发机构链中的最低中间证书颁发机构的所述相应的验证时间段已经过期之后，由所述数据处理硬件将所述中间证书颁发机构链中的最低中间证书颁发机构生成的所述多个最终实体证书中的一个或多个添加到所述证书吊销列表中。

2、本公开的实现可以包括下列一个或多个可选特性。在一些实现中，当由中间证书颁发机构链中的相应的中间证书颁发机构数字签名的每个最终实体证书已添加到所述证书吊销列表中，且当前时间是在所述相应的中间证书颁发机构的所述相应的验证时间段结束时或之后，所述方法包括由所述数据处理硬件将所述多个最终实体证书中的每一个从所述证书吊销列表中移除，以及由所述数据处理硬件将与所述相应的中间证书颁发机构相关联的所述相应的中间证书添加到证书吊销列表中。在一些示例中，所述方法包括在与所述中间证书颁发机构链中的相应的中间证书颁发机构相关联的所述相应的验证时间段已经过期之后，由所述数据处理硬件生成与验证时间段相关联的另一个中间证书颁发机构，所述验证时间段和与所述相应的中间证书颁发机构相关联的所述验证时间段具有相同的持续时间。所述方法还可以包括由所述数据处理硬件用所述中间证书颁发机构链中的所述另一中间证书颁发机构替换所述相应的中间证书颁发机构。所述方法还可以包括，在用所述另一中间证书颁发机构替换所述相应的中间证书颁发机构之后，由所述数据处理硬件生成由所述另一中间证书颁发机构数字签名而不是由所述相应的中间证书颁发机构数字签名的最终实体证书。

3、可选地，每个验证时间段与天、周、月、季度或年中的一个相关联。在一些实现中，每个最终实体证书都没有有效期时间。在一些例子中，所述方法包括由所述数据处理硬件确定所述多个最终实体证书中的相应的最终实体证书被破坏，以及由所述数据处理硬件将所述相应的最终实体证书添加到证书吊销列表中。

4、每个中间证书颁发机构都可以与从公共种子值派生的唯一密钥相关联。在一些实现中，每个唯一密钥都是使用密钥派生函数派生的。可选地，所述相应的中间证书颁发机构的所述相应的验证时间段短于所述中间证书颁发机构链中比所述相应的中间证书颁发机构更高的任何中间证书颁发机构的所述验证时间段。在一些实现中，所述方法进一步包括由所述数据处理硬件确定多个最终实体证书中的相应的最终实体证书已经轮换，以及由所述数据处理硬件将所述相应的最终实体证书添加到证书吊销列表中。

5、本公开的另一方面提供了数据处理硬件和与所述数据处理硬件通信的存储器硬件。所述存储器硬件存储指令，所述指令在所述数据处理硬件上执行时使所述数据处理硬件进行操作。所述操作包括，从根证书颁发机构获得由所述根证书颁发机构数字签名的根数字证书。所述操作还包括生成中间证书颁发机构链。所述中间证书颁发机构链中的每个相应的中间证书颁发机构包括由所述中间证书颁发机构或根证书颁发机构数字签名的相应的中间证书，所述中间证书颁发机构或所述根证书颁发机构在所述中间证书颁发机构链中紧邻且高于所述相应的中间证书颁发机构，以及相应的验证时间段，所述相应的验证时间段指示允许所述相应的中间证书颁发机构对中间证书和最终实体证书进行数字签名的时间范围。所述相应的中间证书颁发机构的所述相应验证时间段包括在所述中间证书颁发机构链中低于所述相应中间证书颁发机构的每个中间证书颁发机构的所述验证时间段。所述操作还包括为所述中间证书颁发机构链生成证书吊销列表。所述操作还包括从所述中间证书颁发机构链中的最低中间证书颁发机构生成多个最终实体证书。所述多个最终实体证书中的每个最终实体证书由所述中间证书颁发机构链中的最低中间证书颁发机构进行数字签名。所述操作还包括，在所述中间证书颁发机构链中的最低中间证书颁发机构的所述相应的验证时间段已经过期之后，将所述中间证书颁发机构链中的最低中间证书颁发机构生成的所述多个最终实体证书中的一个或多个添加到所述证书吊销列表中。

6、此方面可以包括以下一个或多个可选特性。在一些实现中，当由所述中间证书颁发机构链中的相应的中间证书颁发机构数字签名的每个最终实体证书已添加到证书吊销列表中，并且当前时间处于所述相应的中间证书颁发机构的所述相应的验证时间段结束时或之后，所述操作包括将所述多个叶证书中的每一个从所述证书吊销列表中移除，以及将与所述相应的中间证书颁发机构相关联的所述相应的中间证书添加到所述证书吊销列表中。在一些示例中，所述操作包括，在与所述中间证书颁发机构链中的相应的中间证书颁发机构相关联的所述相应的验证时间段已经过期之后，生成与验证时间段相关联的另一中间证书颁发机构，所述验证时间段和与所述相应的中间证书颁发机构相关联的所述验证时间段具有相同的持续时间。所述操作还可以包括用所述中间证书颁发机构链中的所述另一中间证书颁发机构替换所述相应的中间证书颁发机构。所述操作还可以包括，在用所述另一中间证书颁发机构替换所述相应的中间证书颁发机构之后，生成由所述另一中间证书颁发机构数字签名而不是由所述相应的中间证书颁发机构数字签名的最终实体证书。

7、可选地，每个验证时间段与天、周、月、季度或年中的一个相关联。在一些实现中，每个最终实体证书没有有效期时间。在一些示例中，所述操作包括，确定所述多个最终实体证书中的相应的最终实体证书被破坏，并将所述相应的最终实体证书添加到所述证书吊销列表中。

8、每个中间证书颁发机构可以与从公共种子值派生的唯一密钥相关联。在一些实现中，每个唯一密钥是使用密钥派生函数派生的。可选地，所述相应的中间证书颁发机构的所述相应的验证时间段短于所述中间证书颁发机构链中比所述相应的中间证书颁发机构更高的任何中间证书颁发机构的所述验证时间段。在一些实现中，所述方法进一步包括确定所述多个最终实体证书中的相应的最终实体证书已被轮换，以及将所述相应的最终实体证书添加到证书吊销列表中。

9、本公开的一个或多个实施方式的细节在下面的附图和说明中阐述。其他方面、特征和优点将从说明书和附图以及权利要求书中显而易见。