CN101572707A - 一种证书状态的验证方法、装置和系统 - Google Patents
一种证书状态的验证方法、装置和系统 Download PDFInfo
- Publication number
- CN101572707A CN101572707A CNA2009100594719A CN200910059471A CN101572707A CN 101572707 A CN101572707 A CN 101572707A CN A2009100594719 A CNA2009100594719 A CN A2009100594719A CN 200910059471 A CN200910059471 A CN 200910059471A CN 101572707 A CN101572707 A CN 101572707A
- Authority
- CN
- China
- Prior art keywords
- crl
- file
- certificate
- server
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种证书状态的验证方法、证书认证设备、证书撤销列表CRL服务器以及CRL系统,其中,该CRL系统包括:证书认证设备,用于根据获得的CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息,并当收到的与该CRL下载请求消息关联的响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证;CRL服务器,用于比较接收的CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。通过前述技术方案避免了重复下载CRL,从而减轻网络负荷。
Description
技术领域
本发明涉及数字证书的管理领域,尤其涉及一种证书状态的验证方法、装置和系统。
背景技术
随着互联网的普及和电子商务的发展,人们对信息安全的要求越来越高。基于公钥体制的PKI(Public Key Infrastructure,公钥基础设施)技术为网络上的各种应用提供了机密性、完整性、身份鉴别的安全保障。PKI采用证书来管理公钥,通过第三方的可信任机构CA(Certification Authority,认证权威机构)来证明用户身份与其公钥的捆绑关系。由于PKI基于证书提供安全保障,故只有在对证书进行有效管理的前提下,才能确保PKI得到安全有效的应用。
在部署PKI时,证书被发放后即植入产品,并从产品中发放给许多客户端用户。如果攻击者得到了证书私钥,即使攻击者无法得到该证书,他仍然能够使用该证书。一旦证书的合法拥有者使用新的私钥申请一张新的证书,并将该新证书投入使用后,这种情况下,一个实体将存在两张证书,且两张证书都是有效的,只是其中一张证书不应该被信任。
CA可以通过撤销证书来避免证书被攻击者非法使用的情况,即通过证书的撤销和验证可避免和阻止攻击者非法使用证书。那些已经发行且没有过期但已被CA撤销的证书一般被列入证书撤销列表CRL(Certificate Revocation List,证书撤销列表),其中,CRL的大小由撤销证书的数量决定。而现有的证书状态验证方法中,通常是客户端每次验证证书时,均需要下载CRL,从CRL列表中获取撤销的证书信息,从而验证客户端证书的有效性。
发明人在实现本发明的过程中,发现现有技术中,在每次验证证书时均需要下载一个CRL文件,从而导致网络负荷较大,并且具有较长的延时。
发明内容
本发明实施例提供一种证书状态的验证方法、证书认证设备、CRL服务器以及CRL系统,以避免重复下载CRL,从而减轻网络负荷。
本发明实施例提供如下技术方案:
一种证书状态的验证方法,包括:
获得证书撤销列表CRL下载位置信息;
根据该CRL下载位置信息,向对应的CRL服务器发送CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
接收返回的与所述CRL下载请求消息关联的响应消息;
当所述响应消息中携带有未修改标识时,利用本地保存的CRL文件对用户证书的状态进行有效性验证。
以及,一种证书状态的验证方法,包括:
接收证书撤销列表CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息;
当第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
以及,一种证书认证设备,包括:
信息获得单元,用于获得证书撤销列表CRL下载位置信息;
通信单元,用于根据该CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息;并接收返回的与所述CRL下载请求消息关联的响应消息;
处理单元,用于当所述响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证。
以及,一种证书撤销列表CRL服务器,包括:
通信单元,用于接收CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息,并返回与该CRL下载请求消息关联的响应消息;
检查单元,用于比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,由所述通信单元返回携带有未修改标识的响应消息。
以及,一种证书撤销列表CRL系统,包括:
证书认证设备,用于根据获得的CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息,并当收到的与该CRL下载请求消息关联的响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证;
CRL服务器,用于比较接收的CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
本发明实施例中,通过向CRL服务器发送携带第一CRL文件标识信息的CRL下载请求消息,使得CRL服务器根据该请求消息中的第一CRL文件标识信息和CRL服务器侧存有的CRL文件的第二CRL文件标识信息的比较结果,有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
以及,通过利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证,实现了用户证书状态的快速检测,提高证书状态验证的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种CRL系统的结构示意图;
图2为本发明实施例提供的一种证书状态的验证方法的流程示意图;
图3为本发明实施例提供的一种证书状态的验证方法的流程示意图;
图4为本发明实施例提供的一种证书状态的验证方法的交互示意图;
图5为本发明实施例提供的一种用户证书的格式示意图;
图6为本发明实施例提供的一种证书状态的验证方法的交互示意图;
图7为本发明实施例提供的一种CRL文件的格式示意图;
图8为图7所示CRL文件中的单个撤销的证书记录的格式示意图;
图9为本发明实施例提供的一种证书状态的验证方法的交互示意图;
图10为本发明实施例提供的一种证书状态的验证方法的交互示意图;
图11为本发明实施例提供的CRL下载缓存方法的交互示意图;
图12为本发明实施例提供的一种证书认证设备的结构示意图;
图13为本发明实施例提供的一种CRL服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,为本发明实施例的一种CRL系统的结构示意图,如图1所示,该系统包括:
证书认证设备10,用于根据获得的CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息,并当收到的与该CRL下载请求消息关联的响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证;
具体的,证书认证服务器10中保存有CA证书和CRL文件,这里的第一CRL文件标识信息表示的是该证书认证设备10本地保存的CRL文件的标识信息,具体可以是CRL文件的修改时间,表示为第一修改时间,或者CRL文件的散列值,表示为第一散列值,也可以是CRL文件的修改时间和CRL文件的散列值的组合(即第一修改时间和第一散列值的组合),包括但不限于此。
以及,这里的未修改标识表示CRL服务器20侧对应的CRL文件相对于证书认证设备10本地保存的CRL文件没有修改或更新,两者的属性是相同的,例如,修改时间是相同的,等等。
以及,这里的利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证可以包括:利用证书撤销列表CRL信息检查该用户证书是否被撤销/吊销;应当理解的是,用户证书的状态验证还可以包括:检查用户证书是否过期,以及验证用户证书签名等。
CRL服务器20,用于比较接收的CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
可选,CRL服务器20进一步用于当比较结果为第一CRL文件标识信息和第二CRL文件标识信息不相同时,返回携带有CRL服务器上的对应CRL文件的响应消息。
相应的,证书认证设备10进一步用于当收到的与该CRL下载请求消息关联的响应消息中携带有CRL文件时,利用从该响应消息中解析出的CRL文件对用户证书的状态进行有效性验证,并更新本地的CRL文件(即将解析出的CRL文件写入本地缓存)。
具体的,在一种实现下,CRL服务器20具体用于比较接收的CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果两者相同,返回携带有未修改标识的响应消息;如果第二修改时间大于第一修改时间,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在另一种实现下,CRL服务器20具体用于比较接收的CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,如果两者相同,返回携带有未修改标识的响应消息;如果不相同,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在另一种实现下,CRL服务器20具体用于比较收到的CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,以及比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果均相同,返回携带有未修改标识的响应消息;如果第一散列值与第二散列值不相同,和/或,第二修改时间大于第一修改时间,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
应当理解的是,如果CRL服务器20上的CRL文件和证书认证设备100本地保存的CRL文件的修改时间和/或散列值相同,则响应消息中不必携带CRL文件,证书认证设备10从本地获取CRL文件进行验证。如果CRL服务器20上的CRL文件和证书认证设备10本地保存的CRL文件的修改时间和/或散列值不相同,则响应消息中携带CRL文件,证书认证设备10解析出CRL文件进行验证,并更新本地的CRL文件。
以及,本发明实施例的CRL系统中,可选的,如果该系统结构采用C/S模式,该系统可以进一步包括:客户端30,用于向证书认证设备10发送用户证书(客户端证书),并接收证书认证设备10返回的所述用户证书的验证结果。
以及,可选的,该系统可以进一步包括:CA(Certification Authority,认证权威机构)服务器40,用于签发CRL文件并发布。
在一种实现下,该证书认证设备10可以是网关或者安全接入网关或者虚拟专用网VPN;以及该CRL服务器20可以为基于Web的服务器或LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)服务器,等等。
可见,本发明实施例的CRL系统中,证书认证设备10通过向CRL服务器20发送携带有第一CRL文件标识信息的CRL下载请求消息,该CRL服务器20比较收到的该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器本地的CRL文件的第二CRL文件标识信息,根据比较结果有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
以及,网络传输携带未修改标识的响应消息相对于传输携带CRL文件的响应消息所需要的时间减少了,通过利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证,实现了用户证书状态的快速检测/验证,提高证书状态检测/验证的效率。
请参阅图2,为本发明实施例的一种证书状态的验证方法,可应用于证书认证设备,包括:
S301、获得CRL下载位置信息;
具体可以是,在该证书认证设备上预先配置CRL下载位置信息,也可以是动态获得的,如从收到的客户端发来的用户证书中获取CDP(CRLDistribution Points,证书撤销列表发布点)信息;
这里的CDP(CRL Distribution Points,证书撤销列表发布点)信息,即CRL下载位置信息,具体可以用URL表示,例如:URL=http://172.16.40.3/crl1.crl;
S302、根据该CRL下载位置信息,向对应的CRL服务器发送CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
这里的第一CRL文件标识信息表示的是该证书认证设备本地保存的CRL文件的标识信息,具体可以是CRL文件修改时间,表示为第一修改时间,或者CRL文件散列值,表示为第一散列值,也可以是CRL文件修改时间和CRL文件散列值的组合(即第一修改时间和第一散列值的组合),包括但不限于此。
S303、接收返回的与所述CRL下载请求消息关联的响应消息;
S304、当所述响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证。
这里的未修改标识表示CRL服务器侧对应的CRL文件相对于证书认证设备本地保存的该CRL文件没有修改/更新,两者的属性是相同的,例如,修改时间是相同的,等等。
以及,这里的利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证可以包括:从本地缓存中获得对应的CRL文件,并利用该CRL文件中的撤销列表CRL信息检查该用户证书是否被撤销/吊销;应当理解的是,用户证书的状态验证还可以包括:检查用户证书是否过期,以及验证用户证书签名等。
可选的,本发明实施例的方法,可以进一步包括:
S305、当所述响应消息中携带有CRL文件时,利用该CRL文件对用户证书的状态进行有效性验证,并更新本地的CRL文件。
具体可以包括,从该CRL文件中解析并获得证书撤销列表CRL信息,利用该证书撤销列表信息检查用户证书是否被撤销,并使用该CRL文件更新本地的CRL文件。
需要说明的是,返回的响应消息中的CRL文件可以是仅包括当前证书相关的证书撤销列表信息的CRL文件,也可以是一个全局的CRL文件,可以根据实际需要灵活选择方式,形式不限。
可见,本发明实施例的方法中,通过向CRL服务器发送携带第一CRL文件标识信息的CRL下载请求消息,使得CRL服务器根据该请求消息中的第一CRL文件标识信息和CRL服务器侧存有的CRL文件的第二CRL文件标识信息的比较结果,有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
以及,网络传输携带未修改标识的响应消息相对于传输携带CRL文件的响应消息所需要的时间减少了,通过利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证,实现了用户证书状态的快速检测,提高证书状态检测的效率。
请参阅图3,为本发明实施例的一种证书状态的验证方法,可以应用于CRL服务器,包括:
S401、接收CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
这里的第一CRL文件标识信息表示的是该证书认证设备本地保存的CRL文件的标识信息,具体可以是CRL文件的修改时间,表示为第一修改时间,也可以是CRL文件的散列值,表示为第一散列值,也可以是第一修改时间和第一散列值的组合,包括但不限于此。
S402、比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
可选的,本发明实施例方法可以进一步包括:
S403、当第一CRL文件标识信息和第二CRL文件标识信息不相同时,返回携带有CRL服务器上的对应CRL文件的响应消息。
具体的,在一种实现下,比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果两者相同,表示CRL文件未更新过,返回携带有未修改标识的响应消息;如果第二修改时间大于第一修改时间,表示CRL文件有更新,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在另一种实现下,比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,如果两者相同,表示CRL文件未更新过,返回携带有未修改标识的响应消息;如果不相同,表示CRL文件有更新,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在再一种实现下,比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,以及比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果均相同,返回携带有未修改标识的响应消息;如果第一散列值与第二散列值不相同,和/或,第二修改时间大于第一修改时间,返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
需要说明的是,返回的响应消息中的CRL文件可以是仅包括当前证书相关的证书撤销列表信息的CRL文件,也可以是一个全局的CRL文件,可以根据实际需要选择,形式不限。
可见,本发明实施例的方法中,通过接收携带第一CRL文件标识信息的CRL下载请求消息,根据该请求消息中的第一CRL文件标识信息和CRL服务器侧存有的CRL文件的第二CRL文件标识信息的比较结果,有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
下面结合具体的应用场景来详细描述本发明实施例的方法:
如图4所示,为本发明实施例的一种证书状态的验证方法的交互示意图,应用于包括客户端/浏览器、证书认证设备和CRL服务器的系统环境下,其中CRL服务器为基于HTTP(Hypertext Transfer Protocol,超文本传输协议)协议的服务器,证书认证设备可以为认证网关,以及本实施例具体介绍的是基于HTTP协议的证书状态的验证方法,如图4所示,该方法包括:
S501、客户端(或浏览器)在认证过程中向证书认证设备发送用户证书(客户端证书);
S502、证书认证设备从用户证书中提取得到CDP信息,该CDP信息即该用户证书的CRL下载位置信息;
一种用户证书(客户端证书)格式,如图5所示,包括版本号、证书序列号、CA签名算法、签发者CA名称、证书有效期、证书持有者名称、证书公钥、密钥/证书用途、证书扩展域和CA对证书的签名;其中,该“证书扩展域”中包含CDP信息,即CRL服务器信息,例如:URL=http://172.16.40.3/crl1.crl。以及,对于CA证书,密钥/证书用途是证书签名(Certificate Signing)、CRL签名(CRL Signing)。
S503、证书认证设备向客户端(或浏览器)返回一个消息号为100Continue的HTTP响应消息,以通知客户端(或浏览器)暂时需要等待一段时间;
S504、证书认证设备根据提取的CDP信息,向对应的CRL服务器发送下载CRL的HTTP请求报文,其中该HTTP请求报文头中包括If-Modified-Since字段,该If-Modified-Since字段携带当前系统中缓存的CRL文件的修改时间(表示为第一修改时间);
在一种实现下,如果当前系统的缓存中没有对应的CRL文件,则该If-Modified-Since字段填充为1970年1月1日0点0分0秒;
这里的当前系统缓存的CRL文件的修改时间可以指的是证书认证设备上缓存的CRL文件的修改时间,也可以是证书认证设备外挂的存储设备上缓存的CRL文件的修改时间,包括但不限于此。
应当理解的是,通过HTTP请求报文头中的If-Modified-Since字段携带第一修改时间,仅是一种实现,也可以通过HTTP请求报文中的其他字段来携带。
S505、CRL服务器从接收的HTTP请求报文的If-Modified-Since字段中提取得到第一修改时间,比较该第一修改时间与CRL服务器上的对应CRL文件的修改时间(表示为第二修改时间),当比较结果为第二修改时间与第一修改时间相等,执行步骤S506;
应当理解的是,CRL服务器上存有CRL文件,系统可以读到该CRL文件的修改时间。
S506、CRL服务器向证书认证设备返回304Not Modified的HTTP响应消息;
S507、证书认证设备根据收到的304Not Modified的HTTP响应消息,从本地的CRL cache中获得对应的证书撤销列表CRL信息,利用该CRL信息对该用户证书的状态进行有效性验证;
具体是,利用证书撤销列表CRL信息检查该用户证书是否已经被撤销。
S508、证书认证设备向客户端(或浏览器)返回S507中的证书验证结果。流程结束。
如图6所示,为本发明实施例的另一种证书状态的验证方法的交互示意图,应用于包括客户端/浏览器、证书认证设备和CRL服务器的系统环境下,其中CRL服务器为基于HTTP协议的服务器,证书认证设备可以为认证网关,以及本实施例具体介绍的是基于HTTP协议的证书状态的验证方法,如图6所示,该方法包括:
S601、客户端(或浏览器)在认证过程中向证书认证设备发送用户证书(客户端证书);
S602、证书认证设备从客户端证书中提取得到CDP信息,其中该CDP信息即该证书的CRL下载位置信息;
一种证书格式,如图5所示,包括版本号、证书序列号、CA签名算法、签发者CA名称、证书有效期、证书持有者名称、证书公钥、密钥/证书用途、证书扩展域和CA对证书的签名;其中,该证书扩展域中包含CRL分发点(CDP)信息,以及,对于CA证书,密钥/证书用途是证书签名(CertificateSigning)、CRL签名(CRL Signing)。
S603、证书认证设备向客户端(或浏览器)返回一个消息号为100Continue的HTTP响应消息,以通知客户端(或浏览器)暂时需要等待一段时间;
S604、证书认证设备根据提取的CDP信息向对应的CRL服务器发送下载CRL的HTTP请求报文,其中该HTTP请求报文头中包括If-Modified-Since字段,该If-Modified-Since字段携带当前系统中缓存的CRL文件的修改时间(表示为第一修改时间);
在一种实现下,如果当前系统的缓存中没有对应的CRL文件,则该If-Modified-Since字段填充为1970年1月1日0点0分0秒;
这里的当前系统缓存的CRL文件的修改时间可以指的是证书认证设备上缓存的CRL文件的修改时间,也可以是证书认证设备外挂的存储设备上缓存的CRL文件的修改时间,包括但不限于此。
应当理解的是,通过HTTP请求报文头中的If-Modified-Since字段携带第一修改时间,仅是一种实现,也可以通过HTTP请求报文中的其他字段来携带。
S605、CRL服务器从接收的HTTP请求报文的If-Modified-Since字段中提取得到第一修改时间,比较该第一修改时间与CRL服务器上的对应CRL文件的修改时间(表示为第二修改时间),当比较结果为第二修改时间大于第一修改时间时,执行步骤S606;
应当理解的是,CRL服务器上存有CRL文件,系统可以读到该CRL文件的修改时间。
S606、CRL服务器将CRL服务器上对应的CRL文件携带在200OK的HTTP响应报文中,并向证书认证设备返回所述200OK的HTTP响应报文;
S607、证书认证设备从收到的HTTP响应报文中解析出CRL文件,并从该CRL文件中获得证书撤销列表CRL信息,利用该CRL信息对用户证书的状态进行有效性验证。
具体是,利用证书撤销列表CRL信息检查该用户证书是否被撤销。
一种CRL文件格式,如图7所示,包括版本号、CA签名算法、签发者CA名称、本次更新时间、下次更新时间、撤销的证书列表、CRL扩展项和CA对文件的签名;其中,该“本次更新时间”和“下次更新时间”,是CRL文件发布的时间,该“撤销的证书列表”可以包含很多撤销的证书记录,其中单个撤销的证书记录格式如图8所示,其中的条目扩展项可以是吊销理由等。
S608、证书认证设备向客户端(或浏览器)返回S607中的证书验证结果。流程结束。
可见,本发明实施例的方法中,通过向CRL服务器发送携带第一修改时间的CRL下载请求消息,使得CRL服务器根据该请求消息中的第一修改时间和CRL服务器侧存有的CRL文件的第二修改时间的比较结果,有选择的返回304Not Modified的HTTP响应报文或携带有CRL文件的200OK的响应报文,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
如图9所示,为本发明实施例的另一种证书状态的验证方法的交互示意图,应用于包括客户端/浏览器、证书认证设备和CRL服务器的系统环境下,其中CRL服务器为基于LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)协议的服务器,证书认证设备可以为认证网关,以及本实施例具体介绍的是基于LDAP协议的证书状态的验证方法,如图9所示,该方法包括:
S701、客户端(或浏览器)在认证过程中向证书认证设备发送用户证书(客户端证书);
S702、证书认证设备从客户端证书中提取得到CDP信息,其中该CDP信息即该证书的CRL下载位置信息;
S703、证书认证设备根据提取的CDP信息,向对应的CRL服务器发送下载CRL的LDAP请求报文,其中该LDAP请求报文头中携带当前系统中缓存的CRL文件的散列值(表示为第一散列值);
在一种实现下,如果当前系统的缓存中没有对应的CRL文件,则第一散列值为全0;
S704、CRL服务器从接收的LDAP请求报文中提取得到第一散列值,比较该第一散列值与CRL服务器上的对应CRL文件的散列值(表示为第二散列值),如果比较结果为第一散列值与第二散列值相同,执行步骤S705;
具体包括,从LDAP请求报文中获取第一散列值,保存为hash(哈西/散列)1;
将CRL服务器上对应的CRL文件利用统一的算法进行散列计算,得到的散列结果为hash2,即第二散列值;这里的统一的算法指的是客户端和服务器端两者采用相同的算法,例如,都采用MD5(Message-Digest Algorithm 5,信息-摘要算法)、SHA(Secure Hash Algorithm,安全散列算法);
以及,将hash1和hash2进行比较,如果两者相同,表示CRL没有更新;如果两者不相同,表示CRL文件有更新。
应当理解的是,也可以是利用统一的算法预先进行散列计算得到第二散列值,并保存在CRL服务器侧。
S705、CRL服务器向证书认证设备返回携带有未修改标识的LDAP响应报文;
S706、证书认证设备根据收到的携带有未修改标识的LDAP响应报文,从本地的CRL cache中获得对应的证书撤销列表CRL文件,利用该CRL文件中的CRL信息对该用户证书的状态进行有效性验证;
具体是,利用证书撤销列表CRL信息检查该用户证书是否被撤销。
S707、证书认证设备向客户端(或浏览器)返回S706中的证书验证结果。流程结束。
需要说明的是,如图10所示,S701-S703同上不再赘述,如果S704′中比较结果为第一散列值与第二散列值不同,则执行步骤S705′;
S705′、CRL服务器将CRL服务器上对应的CRL文件携带在LDAP响应报文中,并向证书认证设备返回该LDAP响应报文;
S706′、证书认证设备从收到的LDAP响应报文中解析出CRL文件,并从该CRL文件中获得证书撤销列表CRL信息,利用该CRL信息对用户证书的状态进行有效性验证。
具体是,利用证书撤销列表CRL信息检查该用户证书是否被撤销。
S707′、证书认证设备向客户端(或浏览器)返回S706′中的证书验证结果。流程结束。
可见,本发明实施例的方法中,通过向CRL服务器发送携带第一散列值的CRL下载请求消息,使得CRL服务器根据该请求消息中的第一散列值和CRL服务器侧存有的CRL文件的第二散列值的比较结果,有选择性的返回携带有未修改标识或者CRL文件的LDAP响应报文,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
本发明实施例的方法中,进一步可以实现CRL的缓存机制,进行证书状态的快速验证/检测,与前述实施例的区别在于,本实施例用于下载最新的CRL并本地缓存(可以选择系统任务闲时触发下载最新的CRL),以便当后续执行本发明实施例的证书状态的验证方法时,可以利用本地缓存的CRL信息去验证证书状态的有效性。如图11所示,该方法包括:
S801、证书认证设备根据CRL下载配置定时或由管理员手动触发CRL文件下载任务;
S802、证书认证设备获取预先配置的用于CRL下载的CDP信息,其中该CDP信息即该证书的CRL下载位置信息;
S803、证书认证设备根据该CDP信息,向对应的CRL服务器发送下载CRL的HTTP请求报文,该HTTP请求报文头中包括If-Modified-Since字段,该If-Modified-Since字段携带当前系统中缓存的CRL文件的修改时间(表示为第一修改时间);
在一种实现下,如果当前系统的缓存中没有对应的CRL文件,则该If-Modified-Since字段填充为1970年1月1日0点0分0秒;
S804、CRL服务器从接收的HTTP请求报文的If-Modified-Since字段中提取得到第一修改时间,比较该第一修改时间与CRL服务器上的对应CRL文件的修改时间(表示为第二修改时间),如果比较结果为第二修改时间与第一修改时间相等,执行步骤S705;如果比较结果为第二修改时间大于第一修改时间,执行步骤S705′;
S805、CRL服务器向证书认证设备返回304Not Modified的HTTP响应消息;
S806、证书认证设备根据收到的304Not Modified的HTTP响应消息,不作处理;流程结束。
S805′、CRL服务器向证书认证设备返回携带有CRL服务器上对应的CRL文件内容的HTTP响应消息;
S806′、证书认证设备从收到的HTTP响应消息中解析出CRL文件,并写入本地缓存中(即使用该CRL文件更新本地CRL文件)。流程结束。
可见,本发明实施例中,通过CRL的缓存机制实现在证书认证设备上预先进行了CRL的缓存,从而当CRL服务器上的CRL文件的第一修改时间与收到的请求报文中第二修改时间相同时,能避免重复下载,证书认证设备直接利用缓存的CRL进行证书的有效性验证,从而实现了证书状态的快速检测,提高了证书状态检测的效率,进一步的降低网络负载。
请参阅图12,为本发明实施例的一种证书认证设备的结构示意图,如图12所示,该证书认证设备包括:
信息获得单元1201,用于获得CRL下载位置信息;
具体可以是,在该证书认证设备上预先配置CRL下载位置信息,也可以是动态获得的,如从收到的客户端发来的证书中获取CDP信息;这里的CDP信息即CRL下载位置信息,具体可以用URL表示;
通信单元1202,用于根据该CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息;并接收返回的与所述CRL下载请求消息关联的响应消息;
这里的第一CRL文件标识信息表示的是该证书认证设备本地保存的CRL文件的标识信息,具体可以是CRL文件修改时间,表示为第一修改时间,也可以是CRL文件散列值,表示为第一散列值,也可以是CRL文件修改时间和CRL文件散列值的组合(即第一修改时间和第一散列值的组合),包括但不限于此。
需要说明的是,返回的响应消息中的CRL文件可以是仅包括当前证书相关的证书撤销列表信息的CRL文件,也可以是一个全局的CRL文件,可以根据实际需要选择,形式不限。
处理单元1203,用于当所述响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证。
这里的未修改标识表示CRL服务器侧对应的CRL文件相对于证书认证设备本地保存的CRL文件没有修改/更新,两者的属性是相同的,例如,修改时间是相同的,等等。
在一种实现下,处理单元1203为第一处理单元,用于当所述响应消息中携带有未修改标识时,从本地缓存中获得对应的证书撤销列表CRL文件,利用所述证书撤销列表CRL文件中的证书撤销列表CRL信息检查该用户证书是否被撤销。应当理解的是,用户证书的状态验证还可以包括:检查用户证书是否过期,以及验证用户证书签名等
可选的,本发明实施例的证书认证设备中:
处理单元1203进一步用于当所述响应消息中携带有CRL文件时,利用该CRL文件对用户证书的状态进行有效性验证,并更新本地的CRL文件。
具体可以包括,从该CRL文件中解析并获得证书撤销列表CRL信息,利用该证书撤销列表信息检查用户证书是否被撤销,并使用该CRL文件更新本地的CRL文件。
以及,在实际的组网环境中,本发明实施例的证书认证设备可以是网关,或者是虚拟专用网VPN,或者是安全接入网关。
可见,本发明实施例的证书认证设备中,通过向CRL服务器发送携带第一CRL文件标识信息的CRL下载请求消息,使得CRL服务器根据该请求消息中的第一CRL文件标识信息和CRL服务器侧存有的CRL文件的第二CRL文件标识信息的比较结果,有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
以及,网络传输携带未修改标识的响应消息相对于传输携带CRL文件的响应消息所需要的时间减少了,通过利用本地保存的证书撤销列表CRL文件对用户证书(客户端证书)的状态进行有效性验证,实现了用户证书状态的快速检测,提高证书状态检测的效率。
请参阅图13,为本发明实施例的一种CRL服务器的结构示意图,如图13所示,该CRL服务器包括:
通信单元1301,用于接收CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息,并返回与该CRL下载请求消息关联的响应消息;
这里的第一CRL文件标识信息表示的是该证书认证设备本地保存的CRL文件的标识信息,具体可以是CRL文件的修改时间,表示为第一修改时间,也可以是CRL文件的散列值,表示为第一散列值,也可以是第一修改时间和第一散列值的组合,包括但不限于此。
检查单元1302,用于比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,由通信单元1301返回携带有未修改标识的响应消息。
可选的,检查单元1302进一步用于当比较结果为第一CRL文件标识信息和第二CRL文件标识信息不相同时,由通信单元1301返回携带有CRL服务器上的对应CRL文件的响应消息。
具体的,在一种实现下,检查单元1302为第一检查单元,用于比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果两者相同,由通信单元1301返回携带有未修改标识的响应消息;如果第二修改时间大于第一修改时间,由通信单元1301返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在另一种实现下,检查单元1302为第二检查单元,用于比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,如果两者相同,由通信单元1301返回携带有未修改标识的响应消息;如果不相同,由通信单元1301返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
在再一种实现下,检查单元1302为第三检查单元,用于比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,以及比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果均相同,由通信单元1301返回携带有未修改标识的响应消息;如果第一散列值与第二散列值不相同,和/或,第二修改时间大于第一修改时间,由通信单元1301返回携带有最新CRL文件(即CRL服务器上的对应CRL文件)的响应消息。
需要说明的是,返回的响应消息中的CRL文件可以是仅包括当前证书相关的证书撤销列表信息的CRL文件,也可以是一个全局的CRL文件,可以根据实际需要选择方式,形式不限。
以及,在实际的组网环境中,本发明实施例的CRL服务器可以是WEB服务器,或者是LDAP服务器,等等。
可见,本发明实施例的CRL服务器中,通过接收携带第一CRL文件标识信息的CRL下载请求消息,根据该请求消息中的第一CRL文件标识信息和CRL服务器侧存有的CRL文件的第二CRL文件标识信息的比较结果,有选择的返回携带有未修改标识或最新CRL文件的响应消息,解决了现有技术每次检测或验证用户证书都需要下载CRL的问题,避免重复下载CRL,有效的减轻了网络负荷。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
Claims (15)
1、一种证书状态的验证方法,其特征在于,包括:
获得证书撤销列表CRL下载位置信息;
根据该CRL下载位置信息,向对应的CRL服务器发送CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
接收返回的与所述CRL下载请求消息关联的响应消息;
当所述响应消息中携带有未修改标识时,利用本地保存的CRL文件对用户证书的状态进行有效性验证。
2、如权利要求1所述的方法,其特征在于,所述方法进一步包括:
当所述响应消息中携带有CRL文件时,利用从该响应消息中解析出的CRL文件对用户证书的状态进行有效性验证,并更新本地的CRL文件。
3、如权利要求1所述的方法,其特征在于,所述利用本地保存的CRL文件对用户证书的状态进行有效性验证,包括:
从本地缓存中获得对应的CRL文件,利用所述CRL文件中的证书撤销列表CRL信息检查该用户证书是否被撤销。
4、如权利要求1所述的方法,其特征在于,所述获得CRL下载位置信息,包括:
预先配置CRL下载位置信息,或者,从接收的客户端发来的用户证书中获取CRL下载位置信息。
5、如权利要求1至4中任一项所述的方法,其特征在于,所述第一CRL文件标识信息包括:第一修改时间、第一散列值,或者第一修改时间和第一散列值的组合。
6、一种证书状态的验证方法,其特征在于,包括:
接收证书撤销列表CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息;
比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息;
当第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
7、如权利要求6所述的方法,其特征在于,所述方法进一步包括:
当第一CRL文件标识信息和第二CRL文件标识信息不相同时,返回携带有CRL服务器上的对应CRL文件的响应消息。
8、如权利要求7所述的方法,其特征在于,所述比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息,当第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息;当第一CRL文件标识信息和第二CRL文件标识信息不相同时,返回携带有CRL服务器上的对应CRL文件的响应消息,包括:
比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果相同,返回携带有未修改标识的响应消息;如果第二修改时间大于第一修改时间,返回携带有CRL服务器上的对应CRL文件的响应消息;或者,
比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,如果相同,返回携带有未修改标识的响应消息;如果不相同,返回携带有CRL服务器上的对应CRL文件的响应消息;或者,
比较该CRL下载请求消息中的第一散列值与CRL服务器上的对应CRL文件的第二散列值,以及比较该CRL下载请求消息中的第一修改时间与CRL服务器上的对应CRL文件的第二修改时间,如果均相同,返回携带有未修改标识的响应消息;如果第一散列值与第二散列值不相同,和/或,第二修改时间大于第二修改时间,返回携带有CRL服务器上的对应CRL文件的响应消息。
9、一种证书认证设备,其特征在于,包括:
信息获得单元,用于获得证书撤销列表CRL下载位置信息;
通信单元,用于根据该CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息;并接收返回的与所述CRL下载请求消息关联的响应消息;
处理单元,用于当所述响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证。
10、如权利要求9所述的装置,其特征在于,所述处理单元进一步用于当所述响应消息中携带有CRL文件时,利用从该响应消息中解析出的CRL文件对用户证书的状态进行有效性验证,并更新本地的CRL文件。
11、如权利要求9所述的装置,其特征在于,所述处理单元为第一处理单元,用于当所述响应消息中携带有未修改标识时,从本地缓存中获得对应的CRL文件,利用所述CRL文件中的证书撤销列表CRL信息检查该用户证书是否被撤销。
12、一种证书撤销列表CRL服务器,其特征在于,包括:
通信单元,用于接收CRL下载请求消息,所述CRL下载请求消息携带有第一CRL文件标识信息,并返回与该CRL下载请求消息关联的响应消息;
检查单元,用于比较该CRL下载请求消息中的第一CRL文件标识信息与所述CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,由所述通信单元返回携带有未修改标识的响应消息。
13、如权利要求12所述的装置,其特征在于,所述检查单元进一步用于当比较结果为第一CRL文件标识信息和第二CRL文件标识信息不相同时,由所述通信单元返回携带有所述CRL服务器上的对应CRL文件的响应消息。
14、如权利要求13所述的装置,其特征在于,所述检查单元为第一检查单元,用于比较该CRL下载请求消息中的第一修改时间与所述CRL服务器上的对应CRL文件的第二修改时间,如果相同,由所述通信单元返回携带有未修改标识的响应消息;如果第二修改时间大于第一修改时间,由所述通信单元返回携带有CRL服务器上的对应CRL文件的响应消息;或者,
所述检查单元为第二检查单元,用于比较该CRL下载请求消息中的第一散列值与所述CRL服务器上的对应CRL文件的第二散列值,如果相同,由所述通信单元返回携带有未修改标识的响应消息;如果不相同,由所述通信单元返回携带有CRL服务器上的对应CRL文件的响应消息;或者,
所述检查单元为第三检查单元,用于比较该CRL下载请求消息中的第一散列值与所述CRL服务器上的对应CRL文件的第二散列值,以及比较该CRL下载请求消息中的第一修改时间与所述CRL服务器上的对应CRL文件的第二修改时间,如果均相同,由所述通信单元返回携带有未修改标识的响应消息;如果第一散列值与第二散列值不相同,和/或,第二修改时间大于第二修改时间,由所述通信单元返回携带有CRL服务器上的对应CRL文件的响应消息。
15、一种证书撤销列表CRL系统,其特征在于,包括:
证书认证设备,用于根据获得的CRL下载位置信息,向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息,并当收到的与该CRL下载请求消息关联的响应消息中携带有未修改标识时,利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证;
CRL服务器,用于比较接收的CRL下载请求消息中的第一CRL文件标识信息与所述CRL服务器上的对应CRL文件的第二CRL文件标识信息,当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时,返回携带有未修改标识的响应消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100594719A CN101572707B (zh) | 2009-05-31 | 2009-05-31 | 一种证书状态的验证方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100594719A CN101572707B (zh) | 2009-05-31 | 2009-05-31 | 一种证书状态的验证方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101572707A true CN101572707A (zh) | 2009-11-04 |
| CN101572707B CN101572707B (zh) | 2012-08-08 |
Family
ID=41231944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100594719A Expired - Fee Related CN101572707B (zh) | 2009-05-31 | 2009-05-31 | 一种证书状态的验证方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101572707B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101840365A (zh) * | 2010-04-30 | 2010-09-22 | 广州广电运通金融电子股份有限公司 | Bios安全保护方法及系统 |
| CN102196506A (zh) * | 2010-03-15 | 2011-09-21 | 华为技术有限公司 | 网络资源访问控制方法、系统及装置 |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN103841156A (zh) * | 2012-11-26 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 一种基于端对端协议的文件下载保护方法、装置,及系统 |
| CN103873240A (zh) * | 2012-12-10 | 2014-06-18 | 华为技术有限公司 | 一种crl传输方法、装置及系统 |
| CN106464667A (zh) * | 2015-02-09 | 2017-02-22 | 华为技术有限公司 | 一种证书管理方法、设备及系统 |
| CN112385178A (zh) * | 2018-08-14 | 2021-02-19 | 华为技术有限公司 | 用于大量证书的轻量级证书状态检查系统 |
| US11070541B2 (en) | 2015-10-21 | 2021-07-20 | Huawei Technologies Co., Ltd. | Certificate management method and apparatus in network functions virtualization architecture |
| CN113541930A (zh) * | 2020-04-21 | 2021-10-22 | 中国电信股份有限公司 | 数字证书状态的检查方法、装置、系统和存储介质 |
| WO2023023959A1 (en) * | 2021-08-24 | 2023-03-02 | Huawei Technologies Co.,Ltd. | Digital certificate revocation |
| CN115802350A (zh) * | 2023-02-07 | 2023-03-14 | 中汽智联技术有限公司 | 证书撤销状态验证系统、方法和存储介质 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101100385B1 (ko) * | 2004-03-22 | 2011-12-30 | 삼성전자주식회사 | 인증서 폐지 목록을 이용한 디지털 저작권 관리 방법 및장치 |
| EP1594250A1 (en) * | 2004-05-03 | 2005-11-09 | Thomson Licensing | Distributed management of a certificate revocation list |
| KR101346734B1 (ko) * | 2006-05-12 | 2014-01-03 | 삼성전자주식회사 | 디지털 저작권 관리를 위한 다중 인증서 철회 목록 지원방법 및 장치 |
-
2009
- 2009-05-31 CN CN2009100594719A patent/CN101572707B/zh not_active Expired - Fee Related
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196506A (zh) * | 2010-03-15 | 2011-09-21 | 华为技术有限公司 | 网络资源访问控制方法、系统及装置 |
| CN102196506B (zh) * | 2010-03-15 | 2013-12-04 | 华为技术有限公司 | 网络资源访问控制方法、系统及装置 |
| CN101840365A (zh) * | 2010-04-30 | 2010-09-22 | 广州广电运通金融电子股份有限公司 | Bios安全保护方法及系统 |
| CN101840365B (zh) * | 2010-04-30 | 2012-08-29 | 广州广电运通金融电子股份有限公司 | Bios安全保护方法及系统 |
| CN103841156A (zh) * | 2012-11-26 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 一种基于端对端协议的文件下载保护方法、装置,及系统 |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN103873240A (zh) * | 2012-12-10 | 2014-06-18 | 华为技术有限公司 | 一种crl传输方法、装置及系统 |
| CN103001965B (zh) * | 2012-12-10 | 2016-01-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN106464667A (zh) * | 2015-02-09 | 2017-02-22 | 华为技术有限公司 | 一种证书管理方法、设备及系统 |
| CN106464667B (zh) * | 2015-02-09 | 2020-01-10 | 华为技术有限公司 | 一种证书管理方法、设备及系统 |
| US10581619B2 (en) | 2015-02-09 | 2020-03-03 | Huawei Technologies Co., Ltd. | Certificate management method, device, and system |
| US11070541B2 (en) | 2015-10-21 | 2021-07-20 | Huawei Technologies Co., Ltd. | Certificate management method and apparatus in network functions virtualization architecture |
| CN112385178A (zh) * | 2018-08-14 | 2021-02-19 | 华为技术有限公司 | 用于大量证书的轻量级证书状态检查系统 |
| CN112385178B (zh) * | 2018-08-14 | 2022-03-08 | 华为技术有限公司 | 用于大量证书的轻量级证书状态检查系统 |
| CN113541930A (zh) * | 2020-04-21 | 2021-10-22 | 中国电信股份有限公司 | 数字证书状态的检查方法、装置、系统和存储介质 |
| WO2023023959A1 (en) * | 2021-08-24 | 2023-03-02 | Huawei Technologies Co.,Ltd. | Digital certificate revocation |
| CN115802350A (zh) * | 2023-02-07 | 2023-03-14 | 中汽智联技术有限公司 | 证书撤销状态验证系统、方法和存储介质 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116455633B (zh) * | 2023-04-17 | 2024-01-30 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101572707B (zh) | 2012-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101572707B (zh) | 一种证书状态的验证方法、装置和系统 | |
| CN111092737B (zh) | 数字证书管理方法、装置及区块链节点 | |
| CN108933667B (zh) | 一种基于区块链的公钥证书的管理方法及管理系统 | |
| US8392709B1 (en) | System and method for a single request—single response protocol with mutual replay attack protection | |
| CN103037312B (zh) | 消息推送方法及装置 | |
| US7958349B2 (en) | Method for revoking a digital signature | |
| CN109639661B (zh) | 服务器证书更新方法、装置、设备及计算机可读存储介质 | |
| Dominikus et al. | mCoupons: An application for near field communication (NFC) | |
| JP5597230B2 (ja) | 情報操作装置、情報出力装置および情報操作プログラム | |
| CN102271042A (zh) | 数字证书认证方法、系统、USB Key设备和服务器 | |
| JP2004102951A (ja) | ネットワークシステム | |
| KR101974062B1 (ko) | 클라우드 하드웨어 모듈 기반 전자 서명 방법 | |
| JP2011015258A5 (ja) | 無線通信システム、ホスト、デバイスおよび無線通信方法 | |
| CN105335667A (zh) | 创新创意数据处理方法、装置、系统及存证设备 | |
| KR20170081504A (ko) | 암호 데이터의 중복 제거 방법 및 장치 | |
| WO2011096452A1 (ja) | デジタルデータ内容証明システム、データ証明装置、ユーザ端末、コンピュータプログラム及び方法 | |
| JP2001142398A (ja) | フォルダ型時刻認証システムおよび分散時刻認証システム | |
| CN109565518A (zh) | 可互换的内容取回 | |
| EP2913973A1 (en) | Trusted NFC smart poster tag | |
| JP2004185263A (ja) | 分散協調型コンテンツ配信システム | |
| US20140289532A1 (en) | Validity determination method and validity determination apparatus | |
| JP5785875B2 (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
| WO2021030545A1 (en) | Securing browser cookies | |
| CN114079645B (zh) | 注册服务的方法及设备 | |
| JP2019036781A (ja) | 認証システムおよび認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 Termination date: 20180531 |