CN101124765A - 分布式代表路径发现与确认 - Google Patents

分布式代表路径发现与确认 Download PDF

Info

Publication number
CN101124765A
CN101124765A CNA2004800342963A CN200480034296A CN101124765A CN 101124765 A CN101124765 A CN 101124765A CN A2004800342963 A CNA2004800342963 A CN A2004800342963A CN 200480034296 A CN200480034296 A CN 200480034296A CN 101124765 A CN101124765 A CN 101124765A
Authority
CN
China
Prior art keywords
certificate
confirmation
path
executable code
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004800342963A
Other languages
English (en)
Other versions
CN101124765B (zh
Inventor
戴维·恩贝里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buga Technologies GmbH
Original Assignee
Corestreet Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Corestreet Ltd filed Critical Corestreet Ltd
Publication of CN101124765A publication Critical patent/CN101124765A/zh
Application granted granted Critical
Publication of CN101124765B publication Critical patent/CN101124765B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

为系统提供路径确认信息包括确定系统证书子集和至少一信任根之间的路径,在请求路径确认信息之前将每一路径均保存在表中,及响应于请求路径确认信息的请求取回保存在表中的确认信息。提供路径确认信息还包括数字签署确认信息。提供路径确认信息还包括对确认信息应用约束条件并仅提供满足约束条件的确认信息。确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。

Description

分布式代表路径发现与确认
相关申请交叉索引
本申请要求2003年11月19日申请的美国临时申请60/523,398的优先权,其通过引用组合于此。
发明背景
1.技术领域
本申请涉及数据安全和确认领域,特别是涉及验证和确认数字证书及其它信息的领域。
2.背景技术
能够确定数字证书的状态是有用的,其包括确定证书是否被正当地发出和/或证书在其过期之前是否已被废除。现在有很多确定单个数字证书的状态的技术。例如,美国专利5,666,416和5,717,758描述了提供单个证书状态的技术。其它散布和确定证书状态的技术也广为人知,包括证书废除表(CRL),其为数字签署的作废证书的列表。
验证数字证书要求必须信任数字证书的发行人和/或作废信息的签署人,二者可以是也可以不是同一实体。在数字证书的情况下,“信任”发行人和/或作废信息的签署人涉及这样一个事实,即发行人和/或签署人是具有对应于秘密密钥的有效公钥的已知管理机构,所述密钥用于签署证书和/或作废信息。例如,用户可接收由管理机构A数字签署的数字证书,也可接收由不同的管理机构A’签署的最新CRL(其不包含数字证书)。然而,用户可能想要能够同时信任A及A’连同它们的公钥(对应于用于签署证书和CRL的秘密密钥)以能够认同证书。
有多种机制用于帮助发布证书及作废信息的另外的未知管理机构的散布与信任。在一些情况下,可能使可信管理机构数字签署信息(或确认信息)以验证另外的未知管理机构。其后,先前未知的管理机构可呈现数字签署的信息(如数字证书和/或作废信息),其可使用先前未知的管理机构的公钥进行验证。例如,如果用户不知道或不信任管理机构A1和A2的数字签名,但用户知道和信任管理机构A3,则用户可获得(或被呈现以)由A3(因而由A3担保)数字签署的、表明A1和A2是可信赖管理机构的信息。因此,如果该用户被呈现以A1签署的数字证书及A2签署的CRL(其未列出数字证书),用户可使用由A3担保的信息验证所呈现的证书的有效性。
另外还有可用在管理机构担保其它管理机构情况中的嵌套机制。例如,通过引用组合于此的美国专利5,717,759公开了这样的技术:第一管理机构A1担保第二管理机构A2、第二管理机构A2担保第三管理机构A3等,直到嵌套达到潜在用户信任的管理机构为止。在一些情况下,担保可包括提供担保机构的数字签名。
尽管嵌套和其它机制是有用的,但在某些情况下,用户可能被呈现以数字证书和/或作废信息和/或某些其它信息,但没有简单直接的机制可确定证书/作废信息的签署人可被信任,因而用户不能确定数字证书在当前是否有效。因此,解决该问题是有用的。
发明内容
根据本发明,为系统提供路径确认信息包括确定系统证书子集和至少一信任根之间的路径,在请求路径确认信息之前将每一路径均保存在表中,及响应于请求路径确认信息的请求取回保存在表中的确认信息。提供路径确认信息还包括数字签署确认信息。提供路径确认信息还包括对确认信息应用约束条件并仅提供满足约束条件的确认信息。确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。表可使用可信的根或使用证书进行索引。提供路径确认信息还包括接收证书子集的废除状态的证明,在请求路径确认信息之前保存证明,及响应于请求路径确认信息的请求取回证明及确认信息。提供路径确认信息还包括数字签署确认信息及证明。提供路径确认信息还包括对确认信息应用约束条件且仅提供满足约束条件的确认信息。确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。证明可被保存在包含确认信息的表中。表可使用可信的根进行索引。表可使用证书进行索引。证明可被保存在与包含确认信息的表分开的其它表中。其它表可使用可信的根或使用证书进行索引。证书子集可包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。证书子集还可包括终端用户证书。
根据本发明,为系统提供路径确认信息的计算机程序产品包括包含计算机程序产品的可执行代码的存储介质,确定系统证书子集和至少一信任根之间的路径的可执行代码,在请求路径确认信息之前将每一路径保存在表中的可执行代码,及响应于请求路径确认信息的请求取回保存在表中的确认信息的可执行代码。计算机程序产品还包括数字签署确认信息的可执行代码。计算机程序产品还包括对确认信息应用约束条件并仅提供满足约束条件的确认信息的可执行代码。确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。表可使用可信的根进行索引。表可使用证书进行索引。计算机程序产品还包括接收证书子集的废除状态的证明的可执行代码,在请求路径确认信息之前保存证明的可执行代码,及响应于请求路径确认信息的请求取回证明及确认信息的可执行代码。计算机程序产品还包括数字签署确认信息及证明的可执行代码。计算机程序产品还包括对确认信息应用约束条件且仅提供满足约束条件的确认信息的可执行代码。确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。证明可被保存在包含确认信息的表中。表可使用可信的根或使用证书进行索引。证明可被保存在与包含确认信息的表分开的其它表中。其它表可使用可信的根或使用证书进行索引。证书子集可包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。证书子集还可包括终端用户证书。
根据本发明,服务器包括处理器、连到处理器的内存储器、提供在内存储器上的确定证书子集和至少一可信根之间的路径的可执行代码、提供在内存储器上的在请求路径确认信息之前将每一路径保存在表中的可执行代码、及提供在内存储器上的响应于请求路径确认信息的请求取回保存在表中的确认信息的可执行代码。服务器可包括提供在内存储器上的数字签署确认信息的可执行代码。服务器可包括提供在内存储器上的、对确认信息应用约束条件并仅提供满足约束条件的确认信息的可执行代码。确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。表可使用可信的根或使用证书进行索引。服务器可包括提供在内存储器上的接收证书子集的废除状态的证明的可执行代码,提供在内存储器上的在请求路径确认信息之前保存证明的可执行代码,及提供在内存储器上的响应于请求路径确认信息的请求取回证明及确认信息的可执行代码。服务器还包括提供在内存储器上的数字签署确认信息及证明的可执行代码。服务器可包括提供在内存储器上的对确认信息应用约束条件且仅提供满足约束条件的确认信息的可执行代码。确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。证明可被保存在包含确认信息的表中。表可使用可信的根或使用证书进行索引。证明可被保存在与包含确认信息的表分开的其它表中。其它表可使用可信的根或使用证书进行索引。证书子集可包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。证书子集还可包括终端用户证书。
附图说明
图1为根据在此描述的系统的实施例的非置信的代表路径/确认服务器。
图2为根据在此描述的系统的实施例的可信代表路径/确认服务器。
图3为根据在此描述的系统的实施例的两个互连的区域,每一区域包含本地证书信息。
图4为根据在此描述的系统的实施例使用网络将证书信息传送给用户的情形。
图5为根据在此描述的系统的实施例预计算信任路径的流程图。
图6为根据在此描述的系统,与填充证书及信任路径的表有关的通过信任路径迭代的流程图。
图7A、7B和7C为根据在此描述的系统的实施例的包含信任路径和/或证明的表。
图8为根据在此描述的系统的实施例,返回预先计算的信任路径和/或证明的流程图。
图9为根据在此描述的系统的实施例,由可信的代表路径/确认服务器执行的处理的流程图。
具体实施方式
提供单个证书状态信息的技术公知为用于验证证书和/或数字签署证书的管理机构的技术。例如,参见美国专利5,420,927、5,604,804、5,610,982、6,097,811、6,301,659、5,793,868、5,717,758、5,717,757、6,487,658及5,717,759的公开内容,这些专利均通过引用组合于此。在此描述的系统可使用这些专利中的一个或多个公开的技术,可能与一个或多个其它适当的技术结合。可被使用的技术包括,单独地或任何形式的组合,完整CRL、分割的CRL、CRL增量、OCSP响应(单独地或成组)、迷你型CRL(逐位压缩的CRL)、VToken(单向散列链)、及各种Merkle树或其它树形。
路径发现涉及发现任意证书和用户的信任根之一之间的信任路径(信任关系)的过程,其为对应于用户信任的管理机构的数字证书。信任路径是从一证书到另一证书的授权链,其在一端具有目标证书而在另一端具有信任根。例如,如果证书C1对应于可信的管理机构A1,及A1签署未知管理机构A2的C2,管理机构A2签署未知管理机构A3的C3,未知管理机构A3签署目标证书,则从C1(信任根)到目标证书的信任路径为C1到C2、C2到C3、及C3到目标证书。
在一些情况下,无论信任路径中的所有证书在何时在本地可用,路径发现可由用户以相当简单直接的方式在本地执行。然而,在一些情况下,包括那些具有基于交叉认证的联合信任模型的情况,用户可能不具有执行本地路径发现所需要的所有信息。
同样还应注意,即使完整的信任路径已在信任根和目标证书之间发现时,仍然要考虑信任路径上的一个或多个证书自其发布后可能已被废除。路径确认指证实信任路径中所有证书的当前状态,包括证书的有效性(作废状态)并考虑对应于证书的使用的任何及所有规则和/或约束条件(如检查安全策略)。集合信任路径中每一证书的废除状态信息在某些情况下对某些用户而言可能相当困难(如那些阻止访问公用网的特殊防火墙设置)。因此,能够提供可在单一事务中验证证书的服务是有用的。这可以这样实现:首先确定信任路径,接收关于信任路径中的证书的废除信息(和/或约束信息),及处理所接收的信息以验证目标证书。
参考图1,非置信代表路径发现/确认(UDPDV)服务器30接收确定一个或多个信任根的信息(可信管理机构的证书)及对应于用户希望确认的目标证书(或其它信息/数据)的标识符作为输入。可选地,除了接收信任根作为输入以外或代替接收信任根作为输入,UDPDV服务器30可被预先配置以信任根。
当然,如果用户已经信任发出目标证书的管理机构且用户有权使用目标证书(可能及可信管理机构的证书)的可靠废除信息,则用户可使用该信息验证目标证书而不必使用UDPDV服务器30。因而,UDPDV服务器30在这样的情况是有用的:用户想验证目标证书的状态,但用户不信任(知道)发出目标证书的管理机构和/或用户未拥有关于目标证书(可能及发出目标证书的管理机构的证书)的可靠废除信息。
UDPDV服务器30处理对其的输入以确定目标证书和信任根(或输入或预先配置在UDPDV服务器30中,如上所述)之间的一个或多个信任路径。应注意,在许多情况下,证实信任路径中没有证书已被废除同样有用(例如,指示管理机构的秘密密钥的泄密情况)。在这样的情况下,使UDPDV服务器30也提供已确认废除信息(如CRL或OCSP响应)形式的证明是有用的。因而,在一些实施例中,UDPDV服务器30还可为信任路径中的证书提供证明。
因此,在图1中公开的实施例中,UDPDV服务器30集合目标证书的信任路径信息,及可选地,还集合路径元素的废除信息。UDPDV服务器30向用户的输出不被单独鉴别(如签署)。相反,UDPDV服务器30将信任路径的所有单个元素(及,可选地,证明)返回给用户,其继而单独验证信任路径的正确性及信任路径元素(证书)的有效性。UDPDV服务器30的运行将在本文别处详细描述。
参考图2,可信代表路径发现/确认服务器40接收用户的信任根及对应于用户希望验证的目标证书(或其它信息/数据)的标识符作为输入。可选地,除了接收信任根作为输入以外或代替接收信任根作为输入,可信的代表路径发现/确认服务器40可被预先配置以信任根。
可信的代表路径发现/确认服务器40输出表明目标证书(或其它信息/数据)是否有效的结果。在于此描述的实施例中,服务器40对提供给用户的信息执行其自身的密码鉴别。在该实施例中,服务器40可签署因此提供的响应,其允许服务器40提供少量数据给用户(如“是,你可信任证书X”)。然而,这样的实施设定用户明确信任可信的代表路径服务器40的内部运行的完整性和正确性。如果服务器40被泄密,则服务器40可被不适当地用于鉴别确认任何证书的响应,不管来源或当前状态如何。
服务器30、40可由计算机工作站提供,其具有处理器和用于保存可执行代码和数据的内存储器、提供在通用计算机中的一个或多个软件模块、专用硬件、或能够提供在此描述的功能的硬件和软件的任意组合。对于在此描述的系统,UDPDV服务器30可由一个或多个轻便服务器提供,其不需要具备鉴别能力(如用于数字签名的私钥)。
UDPDV服务器30可被定期配置以两种类型的信息列表。第一类型的列表包含一组可用在路径确认中的证书,且其在于此的实施例中代表所有或几乎所有可为UDPDV服务器30接近(如通过网络)的证书。在另一实施例中,第一类型的列表包含仅用于发布证书和废除信息的管理机构及担保这些管理机构的管理机构的证书,而不必包含所有或甚至任何终端用户证书。第一类型的列表可包含自签署的根证书(可信的根),其用作信任锚。可信的根可由系统用户信任的管理机构签署。第一类型的列表还可包含发行人(aka“认证授权”)证书,其用于发布证书的管理机构、发布废除信息的管理机构、担保其它管理机构的管理机构。在一实施例中,第一类型的列表还可包含终端用户证书,而在另一实施例中,第一类型的列表不包含终端用户证书。如在此所述的,证书的第一类型列表可用于提供路径发现服务。
在UDPDV服务器30中提供的第二类型的列表可包括预先产生的证书状态证明。每一证明可包含一个或多个证书(来自第一列表)在固定时间间隔期间的状态,且证明可被安全鉴别,如使用数字签名。如本文别处所描述的,证明可用于提供路径确认服务。证明可由任何适当的手段提供,包括CRL、OCSP响应、VToken等。
检查可信的根和目标证书之间的路径在本领域是公知的并在证书标准(如RFC3280)中有明确记载。然而,通过大量证书发现信任路径基于库中的证书量可能需要指数时间。这在某些情形下和/或对于小量证书是可接受的,但在其它情形下不可接受,如大的同盟管理机构团体的情况。
在此描述的系统设计来在发现请求时以对数时间或恒定时间执行路径发现,其首先预计算每一可信的根证书和所有其它可由发布证书和/或担保其它管理机构的管理机构获得的证书之间的信任路径。当UDPDV服务器30接收新的证书列表时(或被连接到新的证书源时),服务器可通过N矩阵预计算M,其中M是可信的根的数量,N是证书总数。矩阵中的每一单元(如行r1和列c1)可包含一个或多个从由行r1表示的特定可信根到由列c1表示的特定证书的合法路径,否则包含空集以表明不可能有路径。可选地,每一单元(或相似表的每一单元)还可包含适当的证明以提供确认。
当验证目标证书的用户请求到达时,UDPDV服务器30使用预计算的矩阵查寻该用户的可信根并查寻发出目标证书的管理机构,可选地,及查寻发布目标证书的废除信息的管理机构(如果不同于发证管理机构)以发现其间的一个或多个有效路径。这可以恒定时间查寻完成,因为路径已被预先计算并保存在UDPDV服务器30中。应注意,如果有一个以上的可能信任路径或如果有与信任路径相关的约束条件(如名称或政策约束条件),所述约束条件以任何方式限制信任路径中任何证书的使用,则需要应用与发现的任何信任路径相对的路径策略。通过预先计算所有可能的路径,UDPDV服务器30可以相当高的性能可扩缩性为大的团体提供路径发现。
除路径发现以外,UDPDV服务器30还可为信任路径的元素(证书)提供确认信息(证明)。在一实施例中,UDPDV服务器30为信任路径中的每一元素(证明)实时获得证明(如CRL或OCSP响应形式的证明),其接着被提供给用户。尽管可能通过缓存证明而改善性能,但当证明被实时获得时,仍然有可能在请求时不是最佳性能。在另一实施例中,在UDPDV服务器30中有路径确认机制,其定期接收UDPDV服务器30使用的每一证书与产生信任路径有关的预先产生的、纹理细密的状态证明。对于该实施例,UDPDV服务器30能够快速访问所有需要的确认信息,其可在不要求任何额外的处理时间的情况下提供给依赖方,从而检索用于实时确认的证书状态信息。
还应注意,如果证明被进栈到UDPDV服务器30(如以预签署的OCSP响应的形式),UDPDV服务器30对信任路径中的每一证书的状态可进行瞬时本地访问。对于某些实施例,UDPDV服务器30在返回路径代表团的信任路径之前证实信任路径的状态。UDPDV服务器30还可将状态证明返回给用户以允许由用户进行信任路径的本地完全确认。证明的各不相同、预先产生的特性(如预先产生的OCSP响应)允许有效使用网络资源,同时避免任何与可信的在线服务器相关联的安全风险。
参考图3,图50示出了第一区52和分开的第二区54。区52、54可通过任何适当的手段(如网络或直接连接)互连以能在其间交换信号。第一区52包括多个证书62-64。第二区54包括多个不同的证书66-68。第一区52表示可由那里的用户本地管理和访问的局部性。类似地,第二区54表示可由那里的不同用户本地管理和访问的另外的局部性。因此,例如,在区52中的用户可本地访问证书62-64中的任意一个或全部。
在区52,证书62是管理机构A1的自证实根证书(可信的根)。证书62还通过使A1签署证书63而证实管理机构A2的证书63。证书63证实管理机构A3的证书64。应注意,在该例子中,如果用户信任A1,则用户也应信任A2(由A1担保)且还应信任A3(由A2担保)。在区54,证书66是管理机构A1’的自证实根证书(可信的根)。证书66还证实管理机构A2’的证书67及证书67证实管理机构A3’的证书68。证书62与证书66交叉证明,使得证书62、66中的每一个证实证书62、66中的另一个。
如果在区52的用户被呈现以由A3’签署的目标证书,如果在区52的用户开始仅知道(及信任)A1、A2和A3,则用户不能立即验证目标证书是否有效。然而,应注意,管理机构A2’担保管理机构A3’,及管理机构A1’担保管理机构A2’。还应注意管理机构A1担保管理机构A1’。因此,假设在区52的本地用户信任A1,则对于该用户有下述信任路径:从证书62到证书66到证书67到证书68到已被A3’签署的目标证书。因而,用户可接受由管理机构A3’签署的目标证书,因为有从目标证书到已由可信的管理机构A1签署的证书62的信任路径。同样,如本文别处所述,可能为沿信任路径的每一证书及发布废除信息的管理机构(如果不同于发证机构)提供确认信息(有效性证明),使得接收信任路径的用户也可接收证书62、66-68的最新废除信息。
参考图4,图80示出了用户从通过网络88连到用户82的多个数据存储设备84-86中的一个或多个接收证书信息(包括信任路径信息及可能的确认信息)。在于此的实施例中,网络可以是因特网,尽管也可使用其它适当的网络,包括在用户和一个或多个数据存储设备84-86之间提供直接连接的网络。还应注意,用户82可本地保存部分证书信息。在于此的实施例中,用户82可被呈现以一个或多个用户希望确定其有效性的证书。在某些情况下,用户82可使用本地数据确定证书的有效性。然而,如本说明书别处所描述的,在其它情形下,用户82从类似数据存储设备84-86的其它源获得证书信息是必要的。在这些情况下,证书信息及其请求可在网络88上以简单直接的方式在用户和存储设备之间传输。当然,任何适当的连通和信息请求/传输技术均可用于提供在此描述的功能。
参考图5,流程图100示出了初始化UDPDV服务器30以包含可信的根(可信管理机构的根证书)及发出证书和/或担保其它管理机构的一个或多个其它证书之间的所有路径。如本说明书别处所述的,每一信任路径可被预先计算,从而当用户呈现目标证书时,UDPDV服务器可查阅表、查寻发出目标证书的管理机构(或查寻目标证书本身),并提供预先计算的从目标证书到可信的根证书的信任路径。同样,如在此所述的,UDPDV服务器30也可为信任路径中的证书提供表明证书尚未被废除的证明。
流程图100的处理在第一步骤102开始,为所有其信息将被保存的证书建立有向图。有向图是本领域公知的数学作图。对于在此的实施例,系统中的所有证书包括终端用户证书均被使用。对于另一实施例,终端用户证书不被包括,或者仅包括部分终端用户证书。在步骤102,所建立的有向图表示证书之间的关系,其中图的边缘(连接线)指示第一管理机构(对应于连接在边缘一端的证书)已担保第二管理机构(对应于连接在边缘另一端的证书)。
在步骤102之后是步骤104,下标变量被设定为等于1。下标变量I被用于通过UDPDV服务器30的每一可信的根证书进行迭代。如本说明书别处所述,可信的根证书被提供为UDPDV服务器30的输入或被预先配置在UDPDV服务器30中。
在步骤104之后是测试步骤106,确定下标变量I是否大于可信的根证书的数量。如果是,则处理结束。否则,控制从测试步骤106转到步骤108以确定从可信的根证书(对应于下标变量I)到有向图中的所有其它证书的所有路径。步骤108将在本说明书别处详细讨论。在步骤108之后是步骤112,递增下标变量I。在步骤112之后,控制转回到如上所述的测试步骤106。
参考图6,流程图120更详细地示出了连同图5的流程图100的步骤执行的处理。对于每一可信的根,对有向图执行深度优先的非循环搜索以发现所有信任路径。对于在每一路径中发现的每一证书,在表中进行登记,其指示从证书到可信根的可信路径。
处理在第一步骤122开始,确定是否有更多的路径要被检查。应注意,在某些情况下,可能存在无路径到其的可信根。然而,在大多数情况下,预计每一可信的根将具有至少一到其的路径。如果在测试步骤122确定没有更多的路径需要被检查(处理),则处理结束。否则,控制从测试步骤122转到步骤124,其中下一路径使用对有向图的深度优先的非循环搜索进行确定。在步骤124之后是步骤126,证书指针CP被设定为指向被检查(处理)的路径的末端。
在步骤126之后是测试步骤128,确定CP是否指向可信的根,因而表明所有路径均已被遍历。如果是,则控制从测试步骤128转回到如上所述的步骤122以开始下一迭代。否则,控制从测试步骤128转到步骤132,从CP到可信的根的路径被记录在保存证书及至其的可信路径的表中(如本说明书别处所述)。在一实施例中,在表的由CP指向的证书索引的部分,从CP到可信的根的路径在步骤132进行记录。在步骤132之后是步骤134,CP被设定为指向路径中在前的证书。因而,CP初始指向路径的末端,随后指向路径中在前的证书,即朝向可信的根往回工作。在步骤134之后,控制转回到如上所述的测试步骤128。
参考图7A,表140包括由系统中的证书索引的第一部分142,并具有到每一证书的可信路径作为其元素。表140还可包括同样由系统中的证书索引的第二部分144。第二部分具有描述证明(如OCSP响应、CRL等)的元素,所述证明指示每一相应证书的废除状态。在于此描述的实施例中,在第二部分144中提供的证明对应于索引证书,从而由C2索引的表项目对应于C2的证明。在另一实施例中,在第二部分144中提供的证明对应于对于第一部分142中特定项的所有路径中的所有证书。因此,例如,在第二部分144中提供的证明连同证书C2对应于在第一部分142用于C2的项中提供的信任路径中的所有证书。
在一些实施例中,可能排除部分142、144之一。因此,例如,在只有部分142的实施例中,UDPDV服务器30提供预先计算的信任路径,但不提供证明。对于这样的实施例,用户或完全放弃证明或实时获得证明或其结合(即为路径中的部分证书获取证明而不获取其它证书的证明)。对于只有部分144的实施例,信任路径可被实时确定,且来自部分144的预先计算的证明可由UDPDV服务器30提供。
参考图7B,另一实施例使用根据证书索引的单表140’,信任路径和证明均被提供为表140’的元素。
参考图7C,另一实施例示出了表的另一结构140″。表140″可根据特定的可信根证书TR1、TR2、…、TRN及其它证书C1、C2、…、CN进行索引。在表140″的项的元素包含信任路径及(可选地)证明“P/P”,从而用于可信的根TRx及证书Cy的项包含一个或多个从Cy到TRx的信任路径(如果存在),及可选地,包含一个或多个仅用于Cy的证明(一实施例)或用于信任路径中的所有证书的证明(另一实施例)。
参考图8,流程图150示出了UDPDV服务器30服务于来自用户的请求信任路径及其中证书的证明时的处理步骤。如本说明书别处所述,UDPDV服务器30可被呈现以特定的目标证书,UDPDV服务器30为其提供信任路径及指明信任路径中每一证书的状态的证明。在一实施例中,信任路径被提供给发出目标证书的管理机构的证书,及可选地,提供给发布目标证书的废除信息的管理机构(如果不同于发证机构)的证书。在另一实施例中,UDPDV服务器30提供信任路径及目标证书自身的废除信息。
处理在第一步骤152开始,确定对目标证书或其发行人是否有任何信任路径可用。如果否,则控制从步骤152转到步骤154,在该步骤执行特殊的处理。在步骤154执行的特殊处理可包括公布出错消息和/或以某些其它方式向用户指明没有为目标证书发现信任路径。在步骤154之后,处理结束。
如果在测试步骤152确定有信任路径可用,则控制从测试步骤152转到步骤156,下一信任路径被选择以进行处理。在于此的实施例中,系统可通过每一信任路径(由表140、表140’、或表140″提供)进行迭代以发现目标证书(或其发行人)和一个或多个可信的根证书之间的适当信任路径。在步骤156选择的下一信任路径可使用大量标准中的任意一个进行选择,如最短的路径、包含特定证书的路径等。
在步骤156之后是测试步骤158,确定对在步骤156选择的特定信任路径(信任路径的证书)是否有约束条件。如本说明书别处所述,可能有一个或多个约束条件阻止特定信任路径的使用,如因为某些目的一个或多个证书不被接受。如果在测试步骤158确定有约束条件使信任路径被检查为不可接受,则控制从测试步骤158转回到如上所述的步骤152。否则,控制从测试步骤158转到步骤162,确定用于信任路径中的证书的证明是否已被请求。如果否,则控制从步骤162转到步骤164,目标证书(或其发行人)及可信的根证书之间的信任路径被返回给用户。在步骤164之后,处理结束。
如果在测试步骤162确定证明已被请求,则控制从测试步骤162转到步骤166,(来自表140、表140’、或表140″)的证明被获得。在其它实施例中,证明可被实时获取。在步骤166之后是步骤168,返回信任路径和证明。在步骤168之后,处理结束。
如本说明书别处所述,在某些情形下,用户可能希望使用可信的分布式代表路径发现和确认服务器40,其返回指明特定证书是否有效的经签署(或经鉴别)的消息。服务器40可签署指明特定证书是否可接受的消息。用户依赖于来自服务器40的经签署的响应,而不必直接知道或检查路径和/或确认信息。
参考图9,流程图180示出了服务器40在建立和返回指明特定目标证书是否有效的签署消息时所执行的步骤。处理在第一步骤182开始,可信的路径和证明根据本说明书别处所述的那样获取。在步骤182之后是测试步骤184,其中信任路径和证明被检查以确定目标证书是否有效。在步骤184的确定可使用在步骤182获得的信任路径和证明进行。如果在测试步骤184确定目标证书有效,则控制从测试步骤184转到步骤186,表明目标证书有效的、肯定的消息被产生。否则,如果在测试步骤184确定目标证书无效,则控制从测试步骤184转到步骤188,产生否定消息。
在步骤186或步骤188之后是步骤192,消息由服务器40数字签署。在步骤192之后是步骤194,经签署的结果被返回给用户。在步骤194之后,处理结束。
在此描述的系统可使用通用计算机上的硬件和/或软件的任意适当组合实施,所述软件包括在专用硬件上的存储器中提供的软件。
在本发明已结合多个实施例公开的同时,其修改对本领域技术人员而言是容易的。因此,本发明的实质和范围在下述权利要求中提出。

Claims (54)

1.为系统提供路径确认信息的方法,包括:
确定系统证书子集和至少一信任根之间的路径;
在请求路径确认信息之前将每一路径保存在表中;及
响应于请求路径确认信息的请求取回保存在表中的确认信息。
2.根据权利要求1的方法,还包括:
数字签署确认信息。
3.根据权利要求1的方法,还包括:
对确认信息应用约束条件并仅提供满足约束条件的确认信息。
4.根据权利要求1的方法,其中确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
5.根据权利要求1的方法,其中表使用可信的根进行索引。
6.根据权利要求1的方法,其中表使用证书进行索引。
7.根据权利要求1的方法,还包括:
接收证书子集的废除状态的证明;
在请求路径确认信息之前保存证明;及
响应于请求路径确认信息的请求取回证明及确认信息。
8.根据权利要求7的方法,还包括:
数字签署确认信息及证明。
9.根据权利要求7的方法,还包括:
对确认信息应用约束条件且仅提供满足约束条件的确认信息。
10.根据权利要求7的方法,其中确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
11.根据权利要求7的方法,其中证明被保存在包含确认信息的表中。
12.根据权利要求11的方法,其中表使用可信的根进行索引。
13.根据权利要求11的方法,其中表使用证书进行索引。
14.根据权利要求7的方法,其中证明被保存在与包含确认信息的表分开的其它表中。
15.根据权利要求14的方法,其中其它表使用可信的根进行索引。
16.根据权利要求14的方法,其中其它表使用证书进行索引。
17.根据权利要求1的方法,其中证书子集包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。
18.根据权利要求17的方法,其中证书子集还包括终端用户证书。
19.为系统提供路径确认信息的计算机程序产品,包括:
包含计算机程序产品的可执行代码的存储介质;
确定系统证书子集和至少一信任根之间的路径的可执行代码;
在请求路径确认信息之前将每一路径保存在表中的可执行代码;及
响应于请求路径确认信息的请求取回保存在表中的确认信息的可执行代码。
20.根据权利要求19的计算机程序产品,还包括:
数字签署确认信息的可执行代码。
21.根据权利要求19的计算机程序产品,还包括:
对确认信息应用约束条件并仅提供满足约束条件的确认信息的可执行代码。
22.根据权利要求19的计算机程序产品,其中确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
23.根据权利要求19的计算机程序产品,其中表使用可信的根进行索引。
24.根据权利要求19的计算机程序产品,其中表使用证书进行索引。
25.根据权利要求19的计算机程序产品,还包括:
接收证书子集的废除状态证明的可执行代码;
在请求路径确认信息之前保存证明的可执行代码;及
响应于请求路径确认信息的请求取回证明及确认信息的可执行代码。
26.根据权利要求25的计算机程序产品,还包括:
数字签署确认信息及证明的可执行代码。
27.根据权利要求25的计算机程序产品,还包括:
对确认信息应用约束条件且仅提供满足约束条件的确认信息的可执行代码。
28.根据权利要求25的计算机程序产品,其中确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
29.根据权利要求25的计算机程序产品,其中证明被保存在包含确认信息的表中。
30.根据权利要求29的计算机程序产品,其中表使用可信的根进行索引。
31.根据权利要求29的计算机程序产品,其中表使用证书进行索引。
32.根据权利要求25的计算机程序产品,其中证明被保存在与包含确认信息的表分开的其它表中。
33.根据权利要求32的计算机程序产品,其中其它表使用可信的根进行索引。
34.根据权利要求32的计算机程序产品,其中其它表使用证书进行索引。
35.根据权利要求19的计算机程序产品,其中证书子集包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。
36.根据权利要求35的计算机程序产品,其中证书子集还包括终端用户证书。
37.服务器,包括:
处理器;
连到处理器的内存储器;
提供在内存储器上的、确定系统证书子集和至少一信任根之间的路径的可执行代码;
提供在内存储器上的、在请求路径确认信息之前将每一路径保存在表中的可执行代码;及
提供在内存储器上的、响应于请求路径确认信息的请求取回保存在表中的确认信息的可执行代码。
38.根据权利要求37的服务器,还包括:
提供在内存储器上的、数字签署确认信息的可执行代码。
39.根据权利要求37的服务器,还包括:
提供在内存储器上的、对确认信息应用约束条件并仅提供满足约束条件的确认信息的可执行代码。
40.根据权利要求37的服务器,其中确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
41.根据权利要求37的服务器,其中表使用可信的根进行索引。
42.根据权利要求37的服务器,其中表使用证书进行索引。
43.根据权利要求37的服务器,还包括:
提供在内存储器上的、接收证书子集的废除状态证明的可执行代码;
提供在内存储器上的、在请求路径确认信息之前保存证明的可执行代码;及
提供在内存储器上的、响应于请求路径确认信息的请求取回证明及确认信息的可执行代码。
44.根据权利要求43的服务器,还包括:
提供在内存储器上的、数字签署确认信息及证明的可执行代码。
45.根据权利要求43的服务器,还包括:
提供在内存储器上的、对确认信息应用约束条件且仅提供满足约束条件的确认信息的可执行代码。
46.根据权利要求43的服务器,其中确定路径的可执行代码建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
47.根据权利要求43的服务器,其中证明被保存在包含确认信息的表中。
48.根据权利要求47的服务器,其中表使用可信的根进行索引。
49.根据权利要求47的服务器,其中表使用证书进行索引。
50.根据权利要求43的服务器,其中证明被保存在与包含确认信息的表分开的其它表中。
51.根据权利要求50的服务器,其中其它表使用可信的根进行索引。
52.根据权利要求50的服务器,其中其它表使用证书进行索引。
53.根据权利要求37的服务器,其中证书子集包括可信的根、向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。
54.根据权利要求53的服务器,其中证书子集还包括终端用户证书。
CN2004800342963A 2003-11-19 2004-11-19 分布式代表路径发现与确认 Expired - Fee Related CN101124765B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US52339803P 2003-11-19 2003-11-19
US60/523,398 2003-11-19
PCT/US2004/039126 WO2005052752A2 (en) 2003-11-19 2004-11-19 Distributed delegated path discovery and validation

Publications (2)

Publication Number Publication Date
CN101124765A true CN101124765A (zh) 2008-02-13
CN101124765B CN101124765B (zh) 2013-08-07

Family

ID=34632777

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004800342963A Expired - Fee Related CN101124765B (zh) 2003-11-19 2004-11-19 分布式代表路径发现与确认

Country Status (9)

Country Link
US (1) US8707030B2 (zh)
EP (1) EP1692596B1 (zh)
JP (1) JP2007511983A (zh)
KR (1) KR20060097131A (zh)
CN (1) CN101124765B (zh)
AU (1) AU2004294164B2 (zh)
CA (1) CA2544273C (zh)
ES (1) ES2572810T3 (zh)
WO (1) WO2005052752A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102053999A (zh) * 2009-10-28 2011-05-11 北京大学 一种基于进程的路径收集方法及系统
US20220045868A1 (en) * 2019-01-10 2022-02-10 Siemens Aktiengesellschaft Method for validating a digital user certificate

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US8732457B2 (en) * 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US7822989B2 (en) * 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US7404080B2 (en) 2001-04-16 2008-07-22 Bjorn Markus Jakobsson Methods and apparatus for efficient computation of one-way chains in cryptographic applications
CA2525398C (en) * 2003-05-13 2014-03-11 Corestreet, Ltd. Efficient and secure data currentness systems
EP1636682A4 (en) * 2003-06-24 2009-04-29 Corestreet Ltd ACCESS CONTROL
CN101124765B (zh) 2003-11-19 2013-08-07 科尔街有限公司 分布式代表路径发现与确认
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
CA2551819C (en) * 2004-01-09 2015-02-24 Corestreet, Ltd. Signature-efficient real time credentials for ocsp and distributed ocsp
CA2564904C (en) * 2004-04-30 2011-11-15 Research In Motion Limited System and method for handling certificate revocation lists
US7205882B2 (en) * 2004-11-10 2007-04-17 Corestreet, Ltd. Actuating a security system using a wireless device
GB0428596D0 (en) * 2004-12-24 2005-08-10 Qinetiq Ltd Public key infrastructures
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
IL174614A (en) * 2006-03-29 2013-03-24 Yaakov Levy Method of enforcing use of certificate revocation lists
JP5130722B2 (ja) * 2007-01-19 2013-01-30 セイコーエプソン株式会社 認証装置及び方法
US8321841B2 (en) * 2008-01-08 2012-11-27 International Business Machines Corporation Validation framework for service oriented architecture (SOA) application adoption
JP5053179B2 (ja) * 2008-05-30 2012-10-17 株式会社日立製作所 検証サーバ、プログラム及び検証方法
US8130146B2 (en) * 2008-07-29 2012-03-06 Motorola Solutions, Inc. Method for measuring the time of arrival of radio signals
US8595484B2 (en) * 2008-07-29 2013-11-26 Motorola Solutions, Inc. Method and device for distributing public key infrastructure (PKI) certificate path data
US20100036981A1 (en) * 2008-08-08 2010-02-11 Raghavendra Ganesh Finding Hot Call Paths
JP5452099B2 (ja) * 2009-07-01 2014-03-26 株式会社日立製作所 証明書の有効性確認方法、証明書検証サーバ、プログラム及び記憶媒体
US9647925B2 (en) 2014-11-05 2017-05-09 Huawei Technologies Co., Ltd. System and method for data path validation and verification
US10708256B1 (en) * 2015-10-13 2020-07-07 Amazon Technologies, Inc. Identification of trusted certificates
DE102016207294A1 (de) * 2016-04-28 2017-11-02 Siemens Aktiengesellschaft Verfahren und Zertifikatspeicher zur Zertifikatsverwaltung
CN108596618B (zh) * 2018-04-26 2022-03-04 众安信息技术服务有限公司 区块链系统的数据处理方法、装置和计算机可读存储介质
US11038699B2 (en) * 2019-08-29 2021-06-15 Advanced New Technologies Co., Ltd. Method and apparatus for performing multi-party secure computing based-on issuing certificate

Family Cites Families (145)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4200770A (en) * 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US4218582A (en) * 1977-10-06 1980-08-19 The Board Of Trustees Of The Leland Stanford Junior University Public key cryptographic apparatus and method
US4309569A (en) * 1979-09-05 1982-01-05 The Board Of Trustees Of The Leland Stanford Junior University Method of providing digital signatures
US4326098A (en) * 1980-07-02 1982-04-20 International Business Machines Corporation High security system for electronic signature verification
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
FR2592510B1 (fr) * 1985-12-31 1988-02-12 Bull Cp8 Procede et appareil pour certifier des services obtenus a l'aide d'un support portatif tel qu'une carte a memoire
FR2596177B1 (fr) * 1986-03-19 1992-01-17 Infoscript Procede et dispositif de sauvegarde qualitative de donnees numerisees
US4943707A (en) * 1987-01-06 1990-07-24 Visa International Service Association Transaction approval system
US4881264A (en) 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5214702A (en) * 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US4944009A (en) * 1988-02-25 1990-07-24 Massachusetts Institute Of Technology Pseudo-random sequence generator
US4995081A (en) * 1988-03-21 1991-02-19 Leighton Frank T Method and system for personal identification using proofs of legitimacy
US4879747A (en) 1988-03-21 1989-11-07 Leighton Frank T Method and system for personal identification
US4888801A (en) 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US5016274A (en) * 1988-11-08 1991-05-14 Silvio Micali On-line/off-line digital signing
US5003597A (en) * 1989-12-21 1991-03-26 Xerox Corporation Method and apparatus for data encryption
US5136646A (en) * 1991-03-08 1992-08-04 Bell Communications Research, Inc. Digital document time-stamping with catenate certificate
US5136647A (en) * 1990-08-02 1992-08-04 Bell Communications Research, Inc. Method for secure time-stamping of digital documents
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
US5396624A (en) * 1990-12-20 1995-03-07 Visa International Service Association Account file for off-line transaction authorization
SE470001B (sv) * 1991-09-12 1993-10-18 Televerket Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik
US5340969A (en) * 1991-10-01 1994-08-23 Dresser Industries, Inc. Method and apparatus for approving transaction card based transactions
US5157726A (en) 1991-12-19 1992-10-20 Xerox Corporation Document copy authentication
US5261002A (en) 1992-03-13 1993-11-09 Digital Equipment Corporation Method of issuance and revocation of certificates of authenticity used in public key networks and other systems
US5315658B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
US5231666A (en) * 1992-04-20 1993-07-27 International Business Machines Corporation Cryptographic method for updating financial records
US5276737B1 (en) * 1992-04-20 1995-09-12 Silvio Micali Fair cryptosystems and methods of use
USRE36918E (en) 1992-04-20 2000-10-17 Certco Llc Fair cryptosystems and methods of use
JP2583010B2 (ja) * 1993-01-07 1997-02-19 インターナショナル・ビジネス・マシーンズ・コーポレイション 多層インデックス構造におけるローカルインデックステーブル及び大域インデックステーブルの間の一貫性を維持する方法
US5299263A (en) * 1993-03-04 1994-03-29 Bell Communications Research, Inc. Two-way public key authentication and key agreement for low-cost terminals
NL9300566A (nl) 1993-03-31 1994-10-17 Nedap Nv Toegangsverleningssysteem met decentrale autorisaties.
US5351302A (en) 1993-05-26 1994-09-27 Leighton Frank T Method for authenticating objects identified by images or other identifying information
CA2169449A1 (en) * 1993-08-13 1995-02-23 Frank Thomson Leighton Secret key exchange
US5432852A (en) * 1993-09-29 1995-07-11 Leighton; Frank T. Large provably fast and secure digital signature schemes based on secure hash functions
US5497422A (en) * 1993-09-30 1996-03-05 Apple Computer, Inc. Message protection mechanism and graphical user interface therefor
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
US5450493A (en) 1993-12-29 1995-09-12 At&T Corp. Secure communication method and apparatus
US5434919A (en) * 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5825880A (en) * 1994-01-13 1998-10-20 Sudia; Frank W. Multi-step digital signature method and system
US20020013898A1 (en) * 1997-06-04 2002-01-31 Sudia Frank W. Method and apparatus for roaming use of cryptographic values
NZ329891A (en) 1994-01-13 2000-01-28 Certco Llc Method of upgrading firmware of trusted device using embedded key
US5420927B1 (en) * 1994-02-01 1997-02-04 Silvio Micali Method for certifying public keys in a digital signature scheme
US5537475A (en) * 1994-02-01 1996-07-16 Micali; Silvio Efficient digital signature algorithm and use thereof technical field
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
FR2722596A1 (fr) * 1994-07-13 1996-01-19 France Telecom Systeme de controle d'acces limites a des places horaires autorisees et renouvables au moyen d'un support de memorisation portable
US7904722B2 (en) * 1994-07-19 2011-03-08 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system
RU2144269C1 (ru) * 1994-07-19 2000-01-10 Сертко, Ллс Способ секретного использования цифровых подписей в коммерческой криптографической системе
US5499296A (en) * 1994-08-22 1996-03-12 Micali; Silvio Natural input encryption and method of use
US5659617A (en) * 1994-09-22 1997-08-19 Fischer; Addison M. Method for providing location certificates
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
US5748738A (en) * 1995-01-17 1998-05-05 Document Authentication Systems, Inc. System and method for electronic transmission, storage and retrieval of authenticated documents
US5615268A (en) * 1995-01-17 1997-03-25 Document Authentication Systems, Inc. System and method for electronic transmission storage and retrieval of authenticated documents
CA2167631A1 (en) 1995-01-20 1996-07-21 W. Dale Hopkins Method and apparatus for user and security device authentication
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US6141750A (en) 1995-03-21 2000-10-31 Micali; Silvio Simultaneous electronic transactions with subscriber verification
US6137884A (en) 1995-03-21 2000-10-24 Bankers Trust Corporation Simultaneous electronic transactions with visible trusted parties
US5553145A (en) * 1995-03-21 1996-09-03 Micali; Silvia Simultaneous electronic transactions with visible trusted parties
US6134326A (en) 1996-11-18 2000-10-17 Bankers Trust Corporation Simultaneous electronic transactions
US5677955A (en) 1995-04-07 1997-10-14 Financial Services Technology Consortium Electronic funds transfer instruments
US20030014629A1 (en) * 2001-07-16 2003-01-16 Zuccherato Robert J. Root certificate management system and method
CN1192834A (zh) * 1995-06-05 1998-09-09 塞特科有限公司 多步数字签名方法和系统
US5666415A (en) 1995-07-28 1997-09-09 Digital Equipment Corporation Method and apparatus for cryptographic authentication
US5793868A (en) * 1996-08-29 1998-08-11 Micali; Silvio Certificate revocation system
US6292893B1 (en) 1995-10-24 2001-09-18 Silvio Micali Certificate revocation system
US6487658B1 (en) 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US5604804A (en) 1996-04-23 1997-02-18 Micali; Silvio Method for certifying public keys in a digital signature scheme
US5717757A (en) 1996-08-29 1998-02-10 Micali; Silvio Certificate issue lists
US8732457B2 (en) 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US7822989B2 (en) * 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US7353396B2 (en) * 1995-10-02 2008-04-01 Corestreet, Ltd. Physical access control
US8015597B2 (en) * 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US5717758A (en) * 1995-11-02 1998-02-10 Micall; Silvio Witness-based certificate revocation system
US7337315B2 (en) 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US5666416A (en) 1995-10-24 1997-09-09 Micali; Silvio Certificate revocation system
US7600129B2 (en) * 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
US7716486B2 (en) * 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US6097811A (en) 1995-11-02 2000-08-01 Micali; Silvio Tree-based certificate revocation system
US8261319B2 (en) * 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US5687235A (en) 1995-10-26 1997-11-11 Novell, Inc. Certificate revocation performance optimization
US6301659B1 (en) 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
US5699431A (en) 1995-11-13 1997-12-16 Northern Telecom Limited Method for efficient management of certificate revocation lists and update information
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
US6026163A (en) * 1995-12-13 2000-02-15 Micali; Silvio Distributed split-key cryptosystem and applications
US5812670A (en) 1995-12-28 1998-09-22 Micali; Silvio Traceable anonymous transactions
US5615269A (en) * 1996-02-22 1997-03-25 Micali; Silvio Ideal electronic negotiations
US5790665A (en) * 1996-01-17 1998-08-04 Micali; Silvio Anonymous information retrieval system (ARS)
US5666414A (en) 1996-03-21 1997-09-09 Micali; Silvio Guaranteed partial key-escrow
US5826262A (en) 1996-03-22 1998-10-20 International Business Machines Corporation Parallel bottom-up construction of radix trees
DE19611632A1 (de) 1996-03-25 1997-10-02 Deutsche Telekom Ag Off-Line-Datenstationen mit virtueller On-Line-Fähigkeit
US5742035A (en) * 1996-04-19 1998-04-21 Kohut; Michael L. Memory aiding device for credit card pin numbers
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US5903651A (en) * 1996-05-14 1999-05-11 Valicert, Inc. Apparatus and method for demonstrating and confirming the status of a digital certificates and other data
US5638447A (en) * 1996-05-15 1997-06-10 Micali; Silvio Compact digital signatures
US5610982A (en) * 1996-05-15 1997-03-11 Micali; Silvio Compact certification with threshold signatures
JP2000515649A (ja) 1996-08-07 2000-11-21 バンカーズ・トラスト・コーポレーション 見ることができ信頼できる当事者による同時性電子トランザクション
US6502191B1 (en) 1997-02-14 2002-12-31 Tumbleweed Communications Corp. Method and system for binary data firewall delivery
US6192407B1 (en) 1996-10-24 2001-02-20 Tumbleweed Communications Corp. Private, trackable URLs for directed document delivery
US6119137A (en) 1997-01-30 2000-09-12 Tumbleweed Communications Corp. Distributed dynamic document conversion server
US6385655B1 (en) * 1996-10-24 2002-05-07 Tumbleweed Communications Corp. Method and apparatus for delivering documents over an electronic network
US5790790A (en) * 1996-10-24 1998-08-04 Tumbleweed Software Corporation Electronic document delivery system in which notification of said electronic document is sent to a recipient thereof
US5903882A (en) * 1996-12-13 1999-05-11 Certco, Llc Reliance server for electronic transaction system
US20010050990A1 (en) 1997-02-19 2001-12-13 Frank Wells Sudia Method for initiating a stream-oriented encrypted communication
US5982898A (en) 1997-03-07 1999-11-09 At&T Corp. Certification process
US5995625A (en) 1997-03-24 1999-11-30 Certco, Llc Electronic cryptographic packing
US6061448A (en) * 1997-04-01 2000-05-09 Tumbleweed Communications Corp. Method and system for dynamic server document encryption
US6044462A (en) * 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
EP1010283B1 (en) 1997-07-24 2006-11-29 Tumbleweed Communications Corp. E-mail firewall with stored key encryption/decryption
US5875894A (en) * 1997-09-18 1999-03-02 Stromme; Bonnie S. Combined sandwich holder and place mat
US6651166B1 (en) 1998-04-09 2003-11-18 Tumbleweed Software Corp. Sender driven certification enrollment system
US6397329B1 (en) * 1997-11-21 2002-05-28 Telcordia Technologies, Inc. Method for efficiently revoking digital identities
FR2774833B1 (fr) 1998-02-09 2003-02-21 France Telecom Protocole de controle d'acces entre une cle et une serrure electroniques
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
JP3801782B2 (ja) * 1998-06-22 2006-07-26 三菱電機株式会社 証明証収集情報生成装置、証明証検証装置および公開鍵暗号運用システム
US6189103B1 (en) * 1998-07-21 2001-02-13 Novell, Inc. Authority delegation with secure operating system queues
US6151675A (en) 1998-07-23 2000-11-21 Tumbleweed Software Corporation Method and apparatus for effecting secure document format conversion
US6397197B1 (en) 1998-08-26 2002-05-28 E-Lynxx Corporation Apparatus and method for obtaining lowest bid from information product vendors
ES2236973T3 (es) 1999-01-28 2005-07-16 International Business Machines Corporation Metodo y sistema de control de acceso electronico.
US6671805B1 (en) 1999-06-17 2003-12-30 Ilumin Corporation System and method for document-driven processing of digitally-signed electronic documents
JP2001005793A (ja) * 1999-06-24 2001-01-12 Mitsubishi Electric Corp 事象管理システム
WO2001006701A1 (en) * 1999-07-15 2001-01-25 Sudia Frank W Certificate revocation notification systems
WO2001011843A1 (en) * 1999-08-06 2001-02-15 Sudia Frank W Blocked tree authorization and status systems
AU6760900A (en) 1999-08-09 2001-03-05 Frank W Sudia Distributed rule enforcement systems
US6725381B1 (en) * 1999-08-31 2004-04-20 Tumbleweed Communications Corp. Solicited authentication of a specific user
US20020029200A1 (en) * 1999-09-10 2002-03-07 Charles Dulin System and method for providing certificate validation and other services
WO2001025874A2 (en) 1999-10-04 2001-04-12 Os Crypto, Inc. System and methods of providing verified network sessions with visual confirmation
US6404337B1 (en) * 1999-10-28 2002-06-11 Brivo Systems, Inc. System and method for providing access to an unattended storage
US6826609B1 (en) 2000-03-31 2004-11-30 Tumbleweed Communications Corp. Policy enforcement in a secure data file delivery system
JP3588042B2 (ja) 2000-08-30 2004-11-10 株式会社日立製作所 証明書の有効性確認方法および装置
JP3971890B2 (ja) * 2000-11-01 2007-09-05 日本電信電話株式会社 署名検証支援装置、署名検証支援方法、及び電子署名検証方法
JP3901463B2 (ja) * 2001-02-21 2007-04-04 日本電信電話株式会社 認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体
US6970862B2 (en) 2001-05-31 2005-11-29 Sun Microsystems, Inc. Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
JP2003030145A (ja) * 2001-07-16 2003-01-31 Fujitsu Ltd 情報処理方法およびプログラム
US7328344B2 (en) * 2001-09-28 2008-02-05 Imagitas, Inc. Authority-neutral certification for multiple-authority PKI environments
NL1019722C2 (nl) * 2002-01-09 2003-07-11 Fountain Tech Bv Inrichting en werkwijze voor het verpakken van plaatvormige informatiedragers.
US8195933B2 (en) * 2002-01-10 2012-06-05 International Business Machines Corporation Method and system for computing digital certificate trust paths using transitive closures
WO2003088166A2 (en) * 2002-04-08 2003-10-23 Corestreet, Ltd. Physical access control
US7318155B2 (en) * 2002-12-06 2008-01-08 International Business Machines Corporation Method and system for configuring highly available online certificate status protocol responders
CA2525398C (en) 2003-05-13 2014-03-11 Corestreet, Ltd. Efficient and secure data currentness systems
EP1636682A4 (en) * 2003-06-24 2009-04-29 Corestreet Ltd ACCESS CONTROL
JP3894181B2 (ja) 2003-10-10 2007-03-14 株式会社日立製作所 公開鍵証明書検証の高速化方法、および装置
CN101124765B (zh) 2003-11-19 2013-08-07 科尔街有限公司 分布式代表路径发现与确认
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
CA2551819C (en) 2004-01-09 2015-02-24 Corestreet, Ltd. Signature-efficient real time credentials for ocsp and distributed ocsp

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102053999A (zh) * 2009-10-28 2011-05-11 北京大学 一种基于进程的路径收集方法及系统
CN102053999B (zh) * 2009-10-28 2013-03-13 北京大学 一种基于进程的路径收集方法及系统
US20220045868A1 (en) * 2019-01-10 2022-02-10 Siemens Aktiengesellschaft Method for validating a digital user certificate
US11764975B2 (en) * 2019-01-10 2023-09-19 Siemens Aktiengesellschaft Method for validating a digital user certificate

Also Published As

Publication number Publication date
US8707030B2 (en) 2014-04-22
WO2005052752A2 (en) 2005-06-09
CA2544273A1 (en) 2005-06-09
EP1692596B1 (en) 2016-03-09
JP2007511983A (ja) 2007-05-10
CN101124765B (zh) 2013-08-07
KR20060097131A (ko) 2006-09-13
AU2004294164B2 (en) 2010-06-10
US20050154918A1 (en) 2005-07-14
ES2572810T3 (es) 2016-06-02
CA2544273C (en) 2015-01-13
EP1692596A2 (en) 2006-08-23
EP1692596A4 (en) 2013-10-16
AU2004294164A1 (en) 2005-06-09
WO2005052752A3 (en) 2006-12-28

Similar Documents

Publication Publication Date Title
CN101124765B (zh) 分布式代表路径发现与确认
US11818142B2 (en) Distributed data authentication and validation using blockchain
US7472277B2 (en) User controlled anonymity when evaluating into a role
US7698736B2 (en) Secure delegation using public key authentication
US6134550A (en) Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
US7512782B2 (en) Method and system for using a web service license
Lu et al. Pseudo trust: Zero-knowledge authentication in anonymous P2Ps
KR101405509B1 (ko) 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템
US20030014629A1 (en) Root certificate management system and method
US7290133B1 (en) Method and apparatus improving efficiency of end-user certificate validation
Yu et al. DNSTSM: DNS cache resources trusted sharing model based on consortium blockchain
Khan et al. Accountable and Transparent TLS Certificate Management: An Alternate Public‐Key Infrastructure with Verifiable Trusted Parties
US11582024B2 (en) Blockchain-based decentralized public key management system
CN113747433B (zh) 一种雾网络中基于区块侧链结构的设备认证方法
Chen et al. Cipherchain: a secure and efficient ciphertext blockchain via mpeck
Chen et al. How to bind a TPM’s attestation keys with its endorsement key
Khoury et al. Implementation of blockchain domain control verification (B-DCV)
KR100419484B1 (ko) 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
US20240031341A1 (en) Methods, devices and system related to a distributed ledger and user identity attribute
Bao et al. BAP: A Blockchain-Assisted Privacy-Preserving Authentication Protocol With User-Controlled Data Linkability for VANETs
US20020152383A1 (en) Method for measuring the latency of certificate providing computer systems
Saha et al. A model for detecting fake Negative Acknowledgements (NACK) in named Data Network (NDN) using Blockchain Technology
JP4543789B2 (ja) トランザクションに基づく証明書検証情報管理方法
CN115277014A (zh) 一种基于区块链的物联网设备跨域认证与数据共享方法
CN118246060A (zh) 一种去中心化存储的私有集交集计算方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: ASSA ABLOY CO., LTD.

Free format text: FORMER OWNER: CORESTREET LTD.

Effective date: 20150105

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150105

Address after: Stockholm

Patentee after: BUGA Technologies GmbH

Address before: Massachusetts, USA

Patentee before: Corestreet Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130807

Termination date: 20171119