本发明专利技术公开了一种X509数字证书白名单发布查询验证的方法,包括:建立由一个串组成的,包括证书部分、签名算法、签名值的证书白名单,上述证书部分包括本次更新时间、下次更新时间、签发者、白名单证书唯一标识(例如序列号)等;可信任证书颁发组织签发证书白名单并发布供用户查询;用户获取白名单的数据,并通过可信任证书颁发组织机构的CA证书对证书白名单进行一次性验证得到白名单证书列表(证书唯一标识的列表)。用户可以根据证书唯一标识来判断用户证书是否在白名单内。本发明专利技术采用可信任证书颁发组织机构对数据进行签名的方式来确定安全性,可靠性,用户可以获取到可信任证书颁发组织机构所颁发的CA证书,通过这张证书的公钥对证书白名单的签名进行验签,从而达到确认白名单是否可信的目的。
【技术实现步骤摘要】
本专利技术一般应用于公开密钥基础设施系统(PKI)领域,为数字证书白名单查询 提供一种轻量级的更高效,安全,快捷的方式。技术背景X509是由ITU-T推荐的一个国际标准,1 509定义了一个已经被广泛接受的?1(1 基础,它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。 X509数字证书是指由可信任证书签发组织对特定公钥和数据信息进行签名的数据。X509证书白名单是被可信任证书签发组织所签发的或证书应用提供方所认定 依然有效的证书集合。X509证书黑名单是由可信任证书签发组织所废除的一系列证书的集合,被列 入黑名单的证书公私钥将失效。证书吊销列表CRL:以一定格式储存证书黑名单,并能更新名单和验证是否由可信任证书签发组织所发布的数据。OCSP在线证书协议即可以实时査看证书状态的协议,由客户端发起,随时来查询证书状态。轻量级目录访问协议(LDAP)是一个用于通过TCP/IP网络来访问目录服务的协 议,目录是种专门的数据库,该数据库对读取,检索和浏览进行优化。X500目录是一种可以在LDAP中使用的数据组织结构,数据组织结构是一个树状 的结构,树中除了根节点之外的每一个节点都有一个父节点和任意数目的子节点。一 般用于存储证书黑白名单及证书吊销列表。X509数字证书白名单现阶段使用X500目录在LDAP中发布,査询,验证,此LDAP 数据由可信任证书颁发组织所发布。
技术实现思路
针对现有技术中所存在的问题,本专利技术提出了一个轻量级,低开销,低网络消耗, 快速响应,安全,可验证的证书白名单发布方式。为了实现上述目的,本专利技术的技术方案是 一种X509数字证书白名单发布查询 验证的方法,方法至少包括建立由一个串组成;包括证书部分、签名算法、签名值的证书白名单,所述证书 白名单列表包括本次更新时间、下次更新时间、签发者、白名单证书的唯一标识(例 如序列号)等;可信任证书颁发组织签发证书白名单并发布供用户査询;用户根据 可信任证书颁发组织所发布的白名单地址获取白名单的数据,并通过可信任证书颁发 组织的CA证书对所有白名单证书序列号进行一次性验证得到相应的白名单证书唯 一标识(例如序列号)。本专利技术的白名单发布系统与原来白名单发布系统(例如通过LDAP发布)比较, 主要有以下区别1. 本专利技术是一种轻量级的X509发布证书白名单的一种方式,原来证书白名单发布详尽的证书信息,组织结构,证书本身,单个白名单数据容量大小往往有数千字节。,此种方式白名单只发布证书的唯一标识(例如序列号)及相关操作时间。因 此单个白名单数据大小才几十字节,大大的减少了储存空间。2. 对于原来的白名单验证方式,验证白名单内证书必须分别验证每一张证书是 否可信任,由而不能一次性验证白名单内的所有证书。而本专利技术使用的方式通过可信 任证书颁发组织的CA证书对所有证书序列号进行一次性验证,从而达到批量验签的目的。,大大的提升了验证效率,节约了验证时间。3. 对于传统的白名单验证方式(例如通过LDAP发布白名单),应用用户必 须一直连接白名单发布服务器(例如:LDAP),每验证一张证书就必须查询一次LDAP 服务器,此专利技术验证白名单的方式,可以离线下载白名单,并一次性的验证白名单中 的所有白名单证书,极大的减少了网络资源消耗,并极大的提高了验证速度,快速安全的验证了白名单中的证书。4. 可以通过HTTP,FTP等被广泛运用的网络通讯协议发布白名单,而不需要专属协议。 附图说明图1是本专利技术实施例的白名单验签过程流程 。 图2是本专利技术实施例的白名单发布过程示意图。具体实施方式下面结合附图和具体实施方式对本专利技术作进一步详细地说明。本专利技术提出了一个轻量级的,但具有更高效,简洁,安全,可验证的证书白名单 发布方式。主要使用以下内容来实现发布,验证白名单。一,所发布的白名单数据格式 CertificateList::=SESQUENCE{TbsCertList TBSCertList,S ignatureAlgorithm Algorithmldentifier,Signature Value BIT stringTBSCertList ::=SEQUENCE{ Version Version OPTIONAL, Singature Algorithmldentifier, Issuer name, thisUpdate Time, nextUpdate time OPTIONAL,Trusted Certificates List SEQUENCE OF SEQUENCE{userCertificate Unique identifier (Example:CertificateSerailName), revocationDate Time,}证书白名单由一个(ASNl)串组成,包括证书列表部分,签名算法,签名值 证书列表部分,包括版本信息,签名认证,签发者,本次更新时间,下次更新时间,证书唯一标识(例如证书序列号)集合。二,发布白名单可信任的证书发布组织在白名单到达下次更新时间后,会根据应用需求,调整白名单证书列表中证书的唯一标识(例如序列号),把需要新添加的证书的唯一标识 (例如序列号)加入列表,把需要删除的证书唯一标识(例如序列号)删除出列 表,最后根据上诉编码格式签发出新的白名单,并发布到LDAP或HTTP等上,供用户查询。三,获取白名单用户根据可信任证书颁发组织所发布的白名单地址,通过LDAP或者HTTP等获 取到白名单的数据。5四,验证白名单白名单的可信任性,不可抵赖性是由可信任颁发组织机构颁发的CA证书对数据 进行签名来实现的。用户如果要确认是否信任该白名单,则需要对白名单进行验证, 即是否是由可信任证书签发机构的CA证书所对应的私钥做的签名。 具体步骤是当用户获取到此白名单内容后,会根据可信任证书颁发组织机构颁发的CA证书 对白名单的签名进行验证。验证过程为公钥对私钥进行签名的数据进行确认。 五,査询白名单用户根据证书获取所需求的唯一标识(例如序列号)与白名单中的证书唯一标 识(例如序列号)来进行比对,如果有则是属于本白名单的证书,如果没有则不是 属于本白名单的证书。本实例具体描述在同一CA体系,即同一信任域下,企业使用数字证书的实例 前提CA—O为某可信任证书颁发组织,CA一CACERT为这个组织的CA证书,此证 书被用来签发白名单。0—A为一家使用CA—O证书的一家企业。CERT—A,CERT—B 为CA_0所颁发给O—A的2张证书,序列号分别为SERIAL—A,SERIAL—B,步骤白名单发布一. 由CA—O给O—A签发证书CERT—A,CERT—B,并把这两张证书的序列号解析 出来,并把其加入原来此组织的白名单中去,根据本专利技术的算法,生成最后的白 名单;二. 把生成的白名单发布到CA_0的HTTP服务器中或CA—O的LDAP服务器中。白名单应用一. 0_A企业从CA—O组织发布白名单的URL或LDAP中获取到白名单数据;二. O—A从CA一O组织中获取到CA—CACERT;三. 0_A企业使用CA—CACERT对白名单进行验签;四. 如果验签成功,则从中取出白名单中所包含的证书序列号;五. O—A企业的OA本文档来自技高网...
【技术保护点】
一种X509数字证书白名单发布查询验证的方法,其特征在于该方法至少包括: 证书白名单由一个(ASN1)串组成,包括证书部分,签名算法,签名值;证书部分,包括版本信息,签名认证,签发者,本次更新时间,下次更新时间,白名单证书唯一标识(例 如:序列号)等;可信任证书颁发组织使用CA证书所对应的私钥签发证书白名单并发布供用户查询;用户根据可信任证书颁发组织所发布的白名单地址获取白名单的数据,并通过可信任证书颁发组织的CA证书对所有白名单进行一次性验证得到相应的白名单证书唯一标识列表等数据。
【技术特征摘要】
1、一种X509数字证书白名单发布查询验证的方法,其特征在于该方法至少包括证书白名单由一个(ASN1)串组成,包括证书部分,签名算法,签名值;证书部分,包括版本信息,签名认证,签发者,本次更新时间,下次更新时间,白名单证书唯一标识(例如序列号)等;可信任证书颁发组织使用CA证书所对应的私钥签发证书白名单并发布供用户查询;用户根据可信任证书颁发组织所发布的白名单地址获取白名单的数据,并通过可信任证书颁发组织的CA证书对所有白名单进行一次性验证得到相应的白名单证书唯一标识列表等数据。2、 根据权利要求1所述的X509数字证书白名单发布査询验证的方法,其特征 在于所述的发布是指可信任的证书发布组织在白名单到达下次更新时间后,会根据 应用需求,调整白名单证书列表中证书的唯一标识(例如序列号),把需...
【专利技术属性】
技术研发人员:庄昱垚,赵统一,陈力芳,
申请(专利权)人:江苏先安科技有限公司,
类型:发明
国别省市:84[中国|南京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。