CN103109508B - 基于证书的验证方法和通信网 - Google Patents
基于证书的验证方法和通信网 Download PDFInfo
- Publication number
- CN103109508B CN103109508B CN201180043126.1A CN201180043126A CN103109508B CN 103109508 B CN103109508 B CN 103109508B CN 201180043126 A CN201180043126 A CN 201180043126A CN 103109508 B CN103109508 B CN 103109508B
- Authority
- CN
- China
- Prior art keywords
- user
- certificate
- requirement
- validity
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于证书进行验证的方法,其中向第二用户(R2)借助于分配给第一用户(R1)的数字证书(C)来对第一用户(R1)进行验证。该证书(C、C′)规定一个或多个要求(CL、CL′),其中以第三用户(R3)发布要求(CL、CL′)的方式来通过第三用户(R3)保证满足要求。在通过第二用户(R2)验证的范围内检查有效条件,如果满足有效条件,则第二用户(R2)把证书(C、C′)分类为有效,其中有效条件依赖于通过第三用户(R3)发布和/或缺席发布一个或多个在证书(C、C′)中规定的要求(CL、CL′)。本发明方法特征在于,要求用于证书的有效性限制,其中要求例如基于本来已知的SAML断言。由此可以简单并灵活地控制证书的有效性,不必在证书中明确确定有效性。该方法可以用于在任意技术领域中的验证,例如可以用于验证自动化设备中部件形式的用户。
Description
技术领域
本发明涉及一种基于证书的验证方法,在该方法中向第二用户借助于一个分配给第一用户的数字证书来对第一用户进行验证。本发明还涉及用于这种方法的通信网。
背景技术
从现有技术中公知了数字证书。其包含人员或者机构或者机器形式的实体身份信息,对于这些实体签发证书。在此并且在下面应用用户的概念,可以给该用户分配一个证书。对此用户可以是一个计算机或者一个机器,为用户签发证书。同样一个用户可能涉及一个计算机或者机器,其对人员或者机构的证书进行管理。通过证书管理的权限给计算机或者机器分配证书。
证书包含针对相应实体的一个公共密钥,通过在证书上的数字签名可以确认证书的所有者。对此由证书发放机构计算数字签名。通过发行机构的根证书或者通向根证书的证书链可以证实签名有效。在一个数字证书中以所谓属性的形式可以编码附加信息,通过该附加信息确认证书使用者的资格或证书的使用限制。
证书通常具有一个有限的有效期,其规定为证书中的信息。在有效期结束之后该证书自动失效。因此在证书管理的范围内必须确保,及时用一个具有新有效期的相应证书替换过期的证书。这在实践中管理费用较高。特别是在签发自动化设备的证书的情况下、该证书使用时间长并且没有严格的计算机管理,这是很难转换的。虽然存在这种可能性,即签发长期有效或者无限制有效期的证书,可是由此提高了滥用的危险。
此外在现有技术中还公知,收回证书。可是证书的回收非常复杂,因为为此必须签发并分配证书撤销单。此外一次撤销的证书长期无效并且不可以再度恢复。
已知为了一个用户或者服务(例如网络服务)验证另一个用户使用所谓的SAML断言(SAML=Security Assertion Markup Language)。该断言是一个语句,其通过断言发布者保证。因此一个用户或者业务对另一个用户的验证因此可以结合相应SAML断言的发布。仅仅如果对于一个用户保证预定的断言,则实现其验证。
此外在现技术背景中已知了微软公司研制的、所谓“基于要求的授权模式”。对此不是通过确定的身份体现使用者,而是通过大量的所谓、确认使用者特性的要求。一个可能的要求例如是借助于证书、借助于护照或类似物品进行验证。依赖于存在的要求允许或者拒绝访问。
2010年1月25日瑞士Rue des Falaises CH-1205,Internet Engineering TaskForce IETF;Standard,Internet Society4,都柏林Trinity大学的S.Farrell、R.housley,Vigil Security、S.turner,IECA的文献“An Internet Attribute Certificate Profilefor Authorization,rfc5755.txt”1至50页描述了属性证书的应用,其包含一组属性,这些属性可以用于用户的授权。
在2010年10月8日匿名文献“SAML V2.0 Holder-of-Key Web Browser SSOProfile Version 1.0”的1至24页描述了在应用SAML断言的情况下用户的验证。
2007年1月17日的Cantor、Scott等人的文献“An X.509 Binding for SAML”第一和第二页公开了在X.509证书中嵌入SAML断言。
发明内容
本发明技术问题是:建立一个基于证书的验证,其中可以简单并灵活地控制在此使用的证书的有效性。
通过如下的方法或者通信网解决该技术问题。在说明书其他部分中定义了本发明的改进。
在本发明方法的范围内基于证书实施验证,其中向第二用户借助于分配给第一用户的数字证书来对第一用户进行验证,该数字证书包含第一用户的公共密钥。对此数字证书规定一个或多个要求,其中以第三用户发布要求的方式来通过第三用户保证满足要求。在通过第二用户验证的范围内检查有效条件,如果满足有效条件,则第二用户把第一用户的数字证书分类为有效,其中有效条件依赖于通过第三用户发布和/或缺席发布一个或多个在数字证书中规定的要求;在该方法中第一用户向第三用户询问信息:第三用户是否已发布一个或多个在数字证书中规定的要求,其中第一用户给第二用户提供已询问的信息,紧接着第二用户基于这些信息检查有效条件,或者第二用户向第三用户询问信息:第三用户是否已发布了一个或多个在数字证书中规定的要求,其中第二用户基于已询问的信息检查有效条件。对此要认真理解在证书中规定要求的概念。规定的要求可以直接存储在证书中或者通过标志符或名字规定。同样可以通过参阅要求、比如URI或URL的推荐规定一个或多个要求。在本发明的意义上认真理解发布要求的概念。如果要求存储在相应的第三用户或者可以由这个用户调用,则该要求然后例如可以看作发布的要求。
在本发明验证的范围内通过第二用户检查有效条件,如果满足有效条件,则第二用户当然把第一用户的数字证书分类为有效。对此本发明重要的是,有效条件依赖于通过第三用户发布和/或缺席发布一个或多个在证书中规定的要求。对此如果不满足相应确定的有效条件,则该证书被认为无效并且中断相应的验证。对此作为有效条件通过第二用户特别检查,在检查第一用户证书的时刻基于通过第三用户发布的要求是否满足规定的要求。
本发明方法特征在于,证书的有效性本身不是直接在证书中确定,而是间接通过应用相应的要求确定,通过发布相应要求的第三用户简单并灵活管理这些要求。在一个特别优选的实施形式中动用了本来已知的、用于定义相应要求的语法,特别是这些要求可以是开始提到的SAML断言或者“基于要求的授权模式”中的相应要求。
在本发明方法的一个优选实施形式中第一用户向第三用户询问信息:第三用户是否已发布一个或多个在证书中规定的要求。对此例如第一用户把已发布的要求传递给第二用户,这样第一用户向第二用户提供已询问的信息。接着第二用户基于该信息检查有效条件。备选或附加这也是可能的,即第二用户直接向第三用询问信息:第三用户是否已发布了一个或多个在证书中规定的要求,以便接下来基于已询问的信息检查有效条件。
为了避免由于未授权的向第三用户询问要求的滥用,在一个特别优选的实施形式中在用于询问要求的第三用户上验证第一和/或第二用户。仅仅在成功验证的情况下相应的用户然后获得关于要求的信息。
按应用情况在证书中可以规定任意形式的要求。特别是可以规定关于证书时间有效性的要求,也就是说证书的时间有效性结合相应要求的发布,不必考虑另外的标准。此外要求可能涉及通信环境,第一用户运行在该通信环境中。例如可以通过特殊的特性或者通信网的相应地址确定该通信环境。同样要求可能涉及第一和/或第二和/或第三用户的一个或多个特性。例如可以规定,在基于证书的验证范围内仅仅允许应用确定的第一或者第二或者第三用户。对此也可以特别规定,发布的证书必须来自于那一个用户。此外要求可以规定第一用户在第二用户中验证的可信度。仅仅如果例如以信任值的形式给出在要求中确定的可信度,则该证书视为有效。由此可以考虑,验证的可信度可以随着时间改变,因为例如已知对确定用户的攻击。
在本发明方法的另一个实施形式中有效条件是一个逻辑链、包含一个或多个AND和/或NAND和/或OR和/或XOR和/或NOR逻辑运算符,其中逻辑链最好在证书中编码。通过这种方式可以非常容易地处理例如禁止要求,其中在存在禁止要求的情况下该证书被视为无效。通过NAND逻辑运算符证书的有效性因此可以结合禁止要求的缺席。
在本发明方法的另一个特别优选的实施形式中在第二用户验证第一用户的范围内除了上述检查证书的有效条件外也能证实该证书。可以以本来已知的方式通过检查证书的签名进行证实。
在本发明方法的另一个实施形式中以在证书中包含的、第一用户的所述公共密钥以及分配给该公共密钥的专用密钥在第一和第二用户之间建立一个加密的可靠连接。在这个加密的可靠连接的范围内也许可以传递用于检查有效条件的相应要求。对此如果得出,不满足有效条件,则中断加密连接并因此中断验证。在一个变体中在建立加密连接的情况下例如每5分钟或每小时周期性地重复重新检查有效条件。如果都不满足,则在本发明的这个变体中结束连接。
以本发明方法实施的验证基于本来已知的协议、例如SSL/TLS协议和/或IKE/IPsec协议和/或IKEv2/IPsec协议,其中根据相应要求本发明附加检查有效条件。同样在本发明范围使用的证书基于本来已知的证书。该证书特别可以是扩展的X.509证书,其附加于本来已知的登记规定一个或多个要求。
本发明方法也许可以用于在第一和第二用户之间的相互验证。也就是说以该方法在第二用户中验证第一用户并且在第一和第二用户调换角色的情况下类似在第一用户中验证第二用户。
本发明方法可以以计算机或者机器的形式用于任意的第一或者第二或者第三用户。对此用户最好是自动化设备的一个部件、例如相应的控制设备、传感器、执行元件和类似元件。
除了上述方法外本发明此外涉及一个具有第一、第二和第三用户的通信网,其中在该通信网的运行中可以根据上述方法或者上述方法中一个或多个变体执行基于证书的验证。尤其是,在该通信网运行中可以实施基于证书的验证,其中向第二用户借助于分配给第一用户的数字证书来对第一用户进行验证,该数字证书包含第一用户的公共密钥,其中该数字证书规定一个或多个要求,并且以第三用户发布要求的方式来通过第三用户保证满足要求,在通过第二用户验证的范围内检查有效条件,并且如果满足有效条件,则第二用户把第一用户的数字证书分类为有效,其中有效条件依赖于通过第三用户发布和/或缺席发布一个或多个在数字证书中规定的要求,在该通信网中:第一用户向第三用户询问信息:第三用户是否已发布一个或多个在数字证书中规定的要求,其中第一用户给第二用户提供已询问的信息,紧接着第二用户基于这些信息检查有效条件,或者第二用户向第三用户询问信息:第三用户是否已发布了一个或多个在数字证书中规定的要求,其中第二用户基于已询问的信息检查有效条件。
附图说明
下面根据附图详细说明本发明的实施例
图1示出了一个通信网的示意图,在该通信网中执行基于证书的验证实施形式;
图2示出了在一个通信网中的两个用户之间信息交换的示意图,基于本发明的方法的一个实施形式这两个用户相互验证。
具体实施方式
图1以示意图指出了一个具有多个计算机的通信网N,其中以R1、R2和R3表示参与下面描述的、基于证书进行验证的计算机。对此计算机R1相当于权利要求1意义上的第一用户,计算机R2相当于第二用户并且计算机R3相当于第三用户。用户不是必然涉及计算机,而是用户也可能是任意的另外通信单元、比如自动化单元或者机器。自动化单元可能特别涉及自动化设备的相应部件,其执行自动的制造或者生产过程。各个自动化单元例如可以是一个可编程的控制单元、一个传感器、电动轿车、电动轿车的充电电池、电表、能量自动仪器、计算机层析X射线摄影仪、X射线仪器或类似设备。所有的自动化单元特征在于,其经过一个用于通信的相应通信接口赋予另外的单元。通信接口可能涉及一个以太网接口、IP接口、WLAN接口、蓝牙接口或Zig-Bee接口。
在图1的情景中在应用扩展的X.509证书的情况下计算机R2验证计算机R1。除了另外的信息外该证书以本来已知的方式包含用户R1的一个公共密钥,其在验证的范围内用于在计算机R1和R2之间加密交换秘密并且为加密的可靠通信产生对话密钥。对此通过一个可靠的安全认证中心签署证书。证书传递给计算机R2以便证实该证书,计算机R2接下来以本来已知的方式基于发行证书的安全认证中心的根证书或者通向根证书的证书链证实该签名。
在下表1中描述了常规X.509证书的主要信息。该证书例如用在已知的SSL/TLS验证或IKE/IPsec验证中。
表1:
在上表中文字“CertificateID”表示证书的身份,其通过序号“SerialNumber”规定。通过英文“issuedTo”表明,为哪一个用户签发证书,其中用户名字在文字“issuedTo”后面。通过文字“issuer”表示证书的发布者,其通过发布者的适当名称规定。通过文字“validFrom”和“validTo”规定证书的有效时间,其中文字“validFrom”规定一个时刻“Time”,在该时刻证书开始有效,文字“validTo”再度规定一个时刻“Time”,其确定证书的截止日期。紧接着在证书中包含用户的公共密钥“PublicKey”。在证书中可能附加存在多个属性,其在证书的“Attributes”部分中定义。对此示范性地给出一个属性AttributeA和一个属性AttributeB。如此属性例如规定资格,通过该资格确定,证书所属用户可以执行那个动作。同样属性可以规定证书的使用限制,例如可以确定,该证书仅适合于数字签名和验证,不可用于加密。该证书此外包含上面已经说明的签名,其以“Signature”表示并且基于根证书或者通向根证书的证书链能够证实该证书。
在下面还要进一步详细说明的、计算机R2对计算机R1验证的范围内在所描述的实施形式中使用了扩展的X.509证书,在下表2中描述其结构。
表2
表2的证书结构几乎相当于表1的证书,如此相同部分不再阐述。区别于表1证书,扩展的X.509证书包含一个另外的属性,其称作“requiredClaims”。对此规定所谓的要求分类,其给出一个或多个所谓要求,这些要求必须满足,因此证书被认为有效。对此这些要求在权利要求1的意义上是要求的实施形式。在所描述的实施形式中要求的语法基于所谓的“基于要求的授权模式”,微软公司将其确定为日内瓦结构2008的部分(参见:http://msdn.micsoft.com/en---us/magazine/dd278426.aspx)。要求分类可以在证书中直接编码,可是也可能在证书中包含要求分类的推荐(例如URL或URI),通过它可以访问要求分类。
语法的一个实例内容如下、根据该语法可以规定通过上述基于要求的授权模式的分类要求:
所描述的语法在现技术背景下本来已知并且因此不再详细阐述。通过文字“claimType”指明相应的要求或者其名称。文字"isOptional"规定,相应要求的存在是否可选择。在上面的要求分类中变量“isOptional”设置为“否”,也就是说要求必须满足,因此证书被认为有效。
代替上述要求用于规定要求,在本发明方法的另一个实施形式中也存在这种可能性,在证书中编码SAML断言。通过基于已知的、以XML为基础的SAML语言的SAML断言规定一个语句。语法的一个实例、比如SAML断言可以代替要求分类在本发明证书中编码,内容如下:
该语法本来已知并因此不再详细阐述。该语法包含变量“value”,其规定必须满足的SAML断言,因此证书被认为有效。
为了在图1的通信网中确保,实际满足相应的要求或者相应的SAML断言,应用计算机3,该计算机是相应要求或者断言的发布者。仅仅这个计算机发布一个或多个在相应证书中规定的断言或者要求,该证书被认为有效。对此在图1中计算机R1的相应证书以相应参考符号C表明并且其中包含的要求以参考符号CL表明。在一个变体中在证书中可以附加告知,必须通过哪一个发布计算机签发相应的要求或者SAML断言,并因此证书具有有效性。也许再度以相应要求或者相应SAML断言的形式在证书中编码这些信息。
下面根据图1阐述基于上述扩展的X.509证书的验证的实现,其中以证书C中的要求CL的形式规定相应的要求。在步骤S1中计算机R2需要验证的计算机R1首先向计算机R3请求一个在其证书中基于要求分类的相应要求。如果计算机R3发布一个相应的要求,则其因此也保证,满足根据要求的相应的请求。基于在步骤S1中请求的要求计算机R3确定,其实际发布哪一个要求。计算机R3然后在步骤S2把该信息传输给计算机R1。在所描述的实施形式中要求本身传递给计算机R1。
下面最后实现真正的、基于证书的验证,该验证通过步骤S3表明。对此计算机R1的证书C以及所有或部分在步骤S2中传输的要求传递给计算机R2。计算机R2然后以本身已知的方式证实该证书并且此外检查,其是否把该证书归类为有效。这当然特别是这种情况,即在证书中规定的要求与另外传递的要求一致。如果证书C没有归类为有效,则中断验证。对此验证可以基于本身已知的协议、比如SSL/TLS或者IKE/IPsec或者IKEv2/IPsec,其中在这些协议的范围内附加检查要求的存在。如果上述根据步骤S3的验证结束,则接下来通过证书中的相应公共密钥可以达成一个会话秘要并且在计算机R1和R2之间进行加密的可靠通信。这在图1中通过步骤S4表明。
在图1实施形式的一个变形中也存在这种可能性,即通过计算机R2直接检查在证书C中规定的要求CL,也就是说计算机R2本身向发布计算机R3请求要求。在这种情况下该要求不再必须从计算机R1传输给计算机R2。在另一个设计方案中此外存在这种可能性,即在验证的范围内计算机R2的证书也与相应包含其中的要求一起传输给计算机R1并且在那里检查。也就是说不仅可以计算机R2对计算机R1而且也可以计算机R1对计算机R2进行相互验证。为了避免在通过相应要求确定证书有效性的范围内的滥用, 在通过计算机R1或者计算机R2向计算机R3请求要求的范围内也可以前置一个验证,也就是说仅仅在计算机R3中验证计算机R1或者计算机R2,计算机R3可以访问发布的要求。
在图2的范围内再次图解表明了在计算机R2和R1之间用于在计算机之间相互基于证书进行验证的信息交换。对此通过本来已知的SSL/TLS协议实现信息交换。对此下面提到的步骤S101至S104通常包含多个分步骤,这些步骤本来在SSL/TLS协议中已知并因此不再详细阐述。在步骤S101的范围内计算机R2从计算机R1请求具有包含其中要求CL的其证书C。在步骤S102中传递该证书,其中在步骤S103中检查该证书。在该步骤范围内也检查,在证书C中包含的要求是否也由计算机R3实际发布。在步骤S104中计算机R2也把其证书C′与其中包含的要求CL′一起传递给计算机R1。当在计算机R1中接收证书之后在步骤S105中类似于步骤S103如下检查证书C′,即要求CL′实际上也由计算机R3发布。如果在步骤S103和S105中的检查是两个肯定结果,则相应计算机的这两个证书视为有效并且可以进行相应的验证,在验证范围内在两个计算机R1和R2之间建立一个会话密钥SK。借助于该密钥下面可以进行值得信任的通信。
在图2的变体中在协议流程范围内检查证书的相应请求。可是除了协议外也可以有选择地在验证的通信伙伴之间单独进行检查,例如借助于HTTP协议在一个结束的SSL/TLS连接建立之后检查已建立的SSL/TLS连接。
正如从上述实施形式中得出的,在描述的实施例中通过相应在证书中规定的要求确定证书的有效性,其中借助于一个用户检查,是否满足要求,该用户发布要求并因此保证满足相应要求。为了实现如此的有效性限制对此可以使用从现技术背景下本来已知的、在上述基于要求的授权模式的相应要求的基础上或者在SAML断言基础上的程序过程。在本发明范围内应用的证书因此不仅仅是有效,而且附加具有相应发布的要求。通过发布要求的用户发布相应要求或者撤销相应要求的发布可以灵活提供或者收回数字证书的有效性。
对此要求可以结合任意的标准。例如可以为一个用户发放一个证书,只要用户处于当前通信环境中,该证书就有效,其中例如通过一个相应的网络地址规定通信环境。也可以依赖于用户签发要求,该用户需要验证或者也许由进行验证的用户验证。对此如此确定要求,即例如一个用户可以验证一个用户,相反另一个用户则不能验证。在本发明的一个改进中也可以对一个要求规定信任值,其确定执行验证的可信度。对此必须注意,在用户的使用寿命进程中该验证质量可以改变的,例如已知攻击或一个确定的用户被黑或用户也许可能受到控制,例如在一个不被信任的原物主的情况下。
在另一个实施形式中在证书中规定的要求也可以适当链接。因此能够限制用户的范围,其例如允许动用确定的、在网络中存在的资源。一个与用户证书结合的要求在此可以请求用户的另外要求,该要求说明,怎样验证该用户。例如可以由相应用户的仪器制造商发布相应要求。该仪器制造商通常也为用户发布证书。
以本来已知的逻辑运算符AND、NAND、OR、XOR和NOR实现要求的上述链接。对此相应的逻辑链接最好在证书中编码。通过如此的链接例如能够为相应的证书发出禁止要求。该禁止要求可以用于多个用户的证书宣布为无效。如果对此禁止要求以一个NAND逻辑运算与另外要求结合,则一个必要的标准是,即该证书有效,禁止要求空缺。
前面描述的、本发明方法的实施形式具有一系列优点。特别是可以为相应用户签发实用一直有效的证书。在X.509证书中这例如由此实现,即相应分类"validFrom"和"validTo”置于无尽的有效时间。可是为了能够收回证书,对此必须满足,不再通过要求的发布者提供为了相应证书的有效性必须存在的要求。
同样存在这种可能性,即在本地通信网、例如在自动化设备的通信网中通过设备中的一个本地用户发放用于调节证书有效性的相应要求。自动化设备的制造商特别可以为各个部件签发相应具有在其中规定的要求的证书,可是其中本地通过自动化设备的运行商调节要求的发布。
Claims (12)
1.一种基于证书进行验证的方法,其中向第二用户(R2)借助于分配给第一用户(R1)的数字证书(C、C′)来对第一用户(R1)进行验证,该数字证书(C、C′)包含第一用户(R1)的公共密钥,其中
-该数字证书(C、C′)规定一个或多个要求(CL、CL′),以第三用户(R3)发布要求(CL、CL′)的方式来通过第三用户(R3)保证满足要求(CL、CL′);
-在通过第二用户(R2)验证的范围内检查有效条件,如果满足有效条件,则第二用户(R2)把第一用户(R1)的数字证书(C、C′)分类为有效,其中有效条件依赖于通过第三用户(R3)发布和/或缺席发布一个或多个在数字证书(C、C′)中规定的要求(CL、CL′);
在该方法中:
第一用户(R1)向第三用户(R3)询问信息:第三用户(R3)是否已发布一个或多个在数字证书(C、C′)中规定的要求(CL、CL′),其中第一用户(R1)给第二用户(R2)提供已询问的信息,紧接着第二用户(R2)基于这些信息检查有效条件,或者
第二用户(R2)向第三用户(R3)询问信息:第三用户(R3)是否已发布了一个或多个在数字证书(C、C′)中规定的要求(CL、CL′),其中第二用户(R2)基于已询问的信息检查有效条件。
2.根据权利要求1所述的方法,其特征在于,在用于询问要求(CL、CL′)的第三用户(R3)中必须验证第一和/或第二用户(R1、R2)。
3.根据权利要求1所述的方法,其特征在于,在数字证书(C、C′)中规定一个或多个如下要求(CL、CL′):
-关于数字证书(C、C′)时间有效性的要求(CL、CL′);
-关于通信环境的要求(CL、CL′),第一用户(R1)运行在该通信环境中;
-关于第一和/或第二和/或第三用户(R1、R2、R3)的一个或多个特性的要求(CL、CL′);
-关于在第二用户(R2)中验证第一用户(R1)可信度的要求(CL、CL′)。
4.根据权利要求1所述的方法,其特征在于,有效条件是包含多个AND和/或NAND和/或OR和/或XOR和/或NOR逻辑运算符的逻辑链,其中最好在数字证书(C、C′)中对逻辑链编码。
5.根据权利要求1所述的方法,其特征在于,要求(CL、CL′)基于SAML。
6.根据上述权利要求1-5中任一项所述的方法,其特征在于,在第二用户(R2)验证第一用户(R1)的范围内通过第二用户(R)证实第一用户的数字证书(C、C′)。
7.根据上述权利要求1-5中任一项所述的方法,其特征在于,以第一用户(R1)的、在数字证书(C、C′)中包含的所述公共密钥以及分配给这个公共密钥的专用密钥在第一和第二用户(R1、R2)之间建立加密的可靠连接。
8.根据上述权利要求1-5中任一项所述的方法,其特征在于,验证基于SSL/TLS协议和/或IKE/IPsec协议和/或IKEv2/IPsec协议。
9.根据上述权利要求1-5中任一项所述的方法,其特征在于,数字证书是扩展的X.509证书,其附加规定一个或多个要求(CL、CL′)。
10.根据上述权利要求1-5中任一项所述的方法,其特征在于,该方法用于在第二用户(R2)中验证第一用户(R1)和在第一用户(R1)中验证第二用户(R2)。
11.根据上述权利要求1-5中任一项所述的方法,其特征在于,第一和/或第二和/或第三用户(R1、R2、R3)是自动化设备的部件。
12.一种具有第一、第二和第三用户(R1、R2、R3)的通信网,其中在通信网运行中可以实施基于证书的验证,其中向第二用户(R2)借助于分配给第一用户(R1)的数字证书(C、C′)来对第一用户进行验证,该数字证书(C、C′)包含第一用户(R1)的公共密钥,其中
-该数字证书(C、C′)规定一个或多个要求(CL、CL′),并且以第三用户发布要求的方式来通过第三用户(R3)保证满足要求(CL、CL′),
-在通过第二用户(R2)验证的范围内检查有效条件,并且如果满足有效条件,则第二用户(R2)把第一用户(R1)的数字证书(C、C′)分类为有效,其中有效条件依赖于通过第三用户(R3)发布和/或缺席发布一个或多个在数字证书(C、C′)中规定的要求(CL、CL′),
在该通信网中:
第一用户(R1)向第三用户(R3)询问信息:第三用户(R3)是否已发布一个或多个在数字证书(C、C′)中规定的要求(CL、CL′),其中第一用户(R1)给第二用户(R2)提供已询问的信息,紧接着第二用户(R2)基于这些信息检查有效条件,或者
第二用户(R2)向第三用户(R3)询问信息:第三用户(R3)是否已发布了一个或多个在数字证书(C、C′)中规定的要求(CL、CL′),其中第二用户(R2)基于已询问的信息检查有效条件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102010044517.7 | 2010-09-07 | ||
| DE102010044517A DE102010044517A1 (de) | 2010-09-07 | 2010-09-07 | Verfahren zur Zertifikats-basierten Authentisierung |
| PCT/EP2011/062644 WO2012031821A1 (de) | 2010-09-07 | 2011-07-22 | Verfahren zur zertifikats-basierten authentisierung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103109508A CN103109508A (zh) | 2013-05-15 |
| CN103109508B true CN103109508B (zh) | 2016-10-19 |
Family
ID=44509274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180043126.1A Active CN103109508B (zh) | 2010-09-07 | 2011-07-22 | 基于证书的验证方法和通信网 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9432198B2 (zh) |
| EP (1) | EP2594047A1 (zh) |
| CN (1) | CN103109508B (zh) |
| DE (1) | DE102010044517A1 (zh) |
| WO (1) | WO2012031821A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010044517A1 (de) | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
| CN103716794A (zh) * | 2013-12-25 | 2014-04-09 | 北京握奇数据系统有限公司 | 一种基于便携式设备的双向安全验证方法及系统 |
| DE102014000168A1 (de) | 2014-01-02 | 2015-07-02 | Benedikt Burchard | Verfahren zur Abrechnung einer Internetdienstleistung |
| PE20211336A1 (es) | 2014-01-31 | 2021-07-26 | Goldcorp Inc | Proceso para la separacion y recuperacion de sulfuros de metales de una mena o concentrado de sulfuros mixtos |
| EP2958265B1 (en) * | 2014-06-16 | 2017-01-11 | Vodafone GmbH | Revocation of a root certificate stored in a device |
| DE102015200209A1 (de) * | 2015-01-09 | 2016-07-14 | Wobben Properties Gmbh | Verfahren zum Autorisieren für Steuerzugriffe auf Windenergieanlagen sowie Schnittstelle von Windenergieanlagen und Zertifizierungsstelle |
| US10193699B2 (en) * | 2015-05-15 | 2019-01-29 | Microsoft Technology Licensing, Llc | Probabilistic classifiers for certificates |
| EP3208674A1 (de) * | 2016-02-19 | 2017-08-23 | Siemens Aktiengesellschaft | Netzwerksystem und verfahren zur datenübertragung in einem netzwerksystem |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| US9722803B1 (en) * | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| CN106603519B (zh) * | 2016-12-07 | 2019-12-10 | 中国科学院信息工程研究所 | 一种基于证书特征泛化和服务器变迁行为的ssl/tls加密恶意服务发现方法 |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| WO2019045914A1 (en) * | 2017-09-01 | 2019-03-07 | InfoSci, LLC | DEVICE AUTHENTICATION SYSTEMS AND METHODS |
| US11729160B2 (en) * | 2019-10-16 | 2023-08-15 | Nutanix, Inc. | System and method for selecting authentication methods for secure transport layer communication |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5995625A (en) * | 1997-03-24 | 1999-11-30 | Certco, Llc | Electronic cryptographic packing |
| US6058484A (en) * | 1997-10-09 | 2000-05-02 | International Business Machines Corporation | Systems, methods and computer program products for selection of date limited information |
| US7581011B2 (en) * | 2000-12-22 | 2009-08-25 | Oracle International Corporation | Template based workflow definition |
| US20070204078A1 (en) * | 2006-02-09 | 2007-08-30 | Intertrust Technologies Corporation | Digital rights management engine systems and methods |
| EP2053531B1 (en) * | 2007-10-25 | 2014-07-30 | BlackBerry Limited | Authentication certificate management for access to a wireless communication device |
| US9973491B2 (en) * | 2008-05-16 | 2018-05-15 | Oracle International Corporation | Determining an identity of a third-party user in an SAML implementation of a web-service |
| DE102009031817A1 (de) * | 2009-07-03 | 2011-01-05 | Charismathics Gmbh | Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen |
| US8522335B2 (en) * | 2009-12-01 | 2013-08-27 | International Business Machines Corporation | Token mediation service in a data management system |
| DE102010044517A1 (de) | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
-
2010
- 2010-09-07 DE DE102010044517A patent/DE102010044517A1/de not_active Withdrawn
-
2011
- 2011-07-22 US US13/820,811 patent/US9432198B2/en active Active
- 2011-07-22 CN CN201180043126.1A patent/CN103109508B/zh active Active
- 2011-07-22 EP EP11741165.2A patent/EP2594047A1/de not_active Ceased
- 2011-07-22 WO PCT/EP2011/062644 patent/WO2012031821A1/de active Application Filing
Non-Patent Citations (1)
| Title |
|---|
| An Internet Attribute Certificate Profile for Authorization;Sean Truner et.al;《Internet Engineering Task Force (IETF)》;20100131;4-7,15-26 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2594047A1 (de) | 2013-05-22 |
| DE102010044517A1 (de) | 2012-03-08 |
| US9432198B2 (en) | 2016-08-30 |
| US20130173914A1 (en) | 2013-07-04 |
| CN103109508A (zh) | 2013-05-15 |
| WO2012031821A1 (de) | 2012-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103109508B (zh) | 基于证书的验证方法和通信网 | |
| EP2232761B1 (en) | Binding a digital certificate to multiple trust domains | |
| Burr et al. | Electronic authentication guideline | |
| CN102377788B (zh) | 单点登录系统及其单点登录方法 | |
| CN108206821A (zh) | 一种身份认证的方法及系统 | |
| CN101296230B (zh) | 基于PKI和PMI的Web服务安全控制方法 | |
| CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
| Burr et al. | Sp 800-63-1. electronic authentication guideline | |
| WO2005040995A2 (en) | Systems and methods of establishment of secure, trusted dynamic environments and facilitation of secured communication exchange networks | |
| CN106506500A (zh) | 一种基于saml和xacml的云计算统一身份认证的方法 | |
| Foltz et al. | Enterprise level security–basic security model | |
| Baldwin et al. | Trust services: a framework for service-based solutions | |
| CN105471579B (zh) | 一种信任登录方法及装置 | |
| Prout et al. | Securing HPC using Federated Authentication | |
| Raymond Choo | Issue report on business adoption of Microsoft Passport | |
| Gandhi et al. | Certificate policy and certification practice statement for root CA Indonesia | |
| Camenisch et al. | A language framework for privacy-preserving attribute-based authentication | |
| Moulinos et al. | Towards secure sealing of privacy policies | |
| DE102021112754A1 (de) | Ausstellen eines digitalen verifizierbaren Credentials | |
| Kefallinos et al. | Secure PKI-enabled e-government infrastructures implementation: the SYZEFXIS-PKI case | |
| Chen et al. | Security Design for Electronic Medical Record Sharing System | |
| Sultan et al. | Overcoming Barriers to Client-Side Digital Certificate Adoption | |
| Caronni | Dynamic security in communication systems | |
| DE102021103997A1 (de) | Nutzerauthentifizierung unter Verwendung zweier unabhängiger Sicherheitselemente | |
| Foltz et al. | Building a Secure Enterprise |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |