CN103560889B - 一种x509数字证书与证书应用之间的精确化身份认证方法 - Google Patents
一种x509数字证书与证书应用之间的精确化身份认证方法 Download PDFInfo
- Publication number
- CN103560889B CN103560889B CN201310542386.4A CN201310542386A CN103560889B CN 103560889 B CN103560889 B CN 103560889B CN 201310542386 A CN201310542386 A CN 201310542386A CN 103560889 B CN103560889 B CN 103560889B
- Authority
- CN
- China
- Prior art keywords
- certificate
- application
- identity authentication
- digital certificate
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明一种X509数字证书与证书应用之间的精确化身份认证方法,包括:搭建身份认证平台,通过自动加载证书链、CRL并自动更新的方式,提供高效的证书链和CRL验证,配合在平台上维护的数字证书与证书应用之间的匹配关系,最终形成唯一的可信列表,为证书应用提供身份认证服务;精确化身份认证,证书应用在对数字证书进行身份认证时,只需要验证该证书是否存在于该应用对应的可信列表即可。本发明立足身份认证平台,通过安全高效的证书验证方式,配合维护数字证书与证书应用间的匹配关系,创新性构建唯一的可信列表,减少了证书应用既要验证白名单又要验证黑名单的繁琐,提高了验证效率,实现了数字证书与证书应用之间的精确化身份认证。
Description
技术领域
本发明一般应用于公开密钥基础设施系统(PKI)领域,尤其是涉及一种X509数字证书与证书应用之间的精确化身份认证方法,能够安全可靠高效的对数字证书进行精确化身份认证。
背景技术
X509是由ITU-T推荐的一个国际标准,X.509定义了一个已经被广泛接受的PKI基础,它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是由一个由权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发行的,最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
证书指纹是用于保护证书完整性的,是将证书的内容采用一定的哈希算法计算得出。用于数字证书的哈希算法一般为SHA1或MD5,两种算法是单向且不可逆的,也就是说,无法通过哈希之后的数据计算出哈希之前的原文,并且原文数据做过任何一点改动经过哈希值后获得的数据将完全不同。由此可知,证书指纹是唯一的。
数字签名具备不可篡改、不可抵赖的特性,使得数字证书替代用户名和口令方式,越来越多的成为众多信息系统首选的身份认证方式。
证书吊销列表CRL:俗称黑名单,是一个被签署的列表,它指定了一套证书发布者认为无效的证书。CRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。
传统上对于数字证书进行身份认证的方式,主要是验证三个方面,一、验证数字证书的签名者信息,二、验证数字证书的有效期,三、验证数字证书是否存在于其颁发者所签发的CRL中。这种身份认证方法仅能满足一般性的仅限于数字证书本身的场景,但其缺点和局限性也是明显的:
1)仅能做数字证书合法性认证,无法结合证书应用进行身份认证。这种身份认证方式,仅仅验证数字证书本身是否合法,一旦和某个证书应用结合起来,将无法解决数字证书在这个证书应用当中的身份认证问题。例如,可以验证张三的数字证书是合法的,但无法验证张三的数字证书在某报税系统(证书应用)中的身份是否合法。
2)证书合法性验证的效率差。传统上对于数字证书进行身份认证的方式,对每一张证书都需要验证是否存在于其颁发者所签发的CRL中,即首先下载该证书所属颁发机构签发的CRL,然后加载,再解析证书的证书序列号,然后在加载的CRL中做匹配,如果存在,则说明此证书已经被注销,为非法状态,否则说明该证书合法。随着CA机构业务量的增大,CRL会越来越大,现在有些CA机构的CRL大小已经有20M。这样每加载一次CRL再做一次验证,其耗时会越来越长,效率将越来越低。
在已公布的专利《一种数字证书精确化认证方法、装置及云认证服务系统》中,提到了一种数字证书精确化认证方法:首先创建白名单数据,建立一条新的白名单数据,将可应用的数字证书序列号和该证书的具体应用系统信息写入到该条白名单中,根据预先设定的映射规则对数字证书中的信息项进行映射,将映射关系和数据录入到白名单数据中,最后由各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。这种数字证书精确化认证方法,也存在一定的缺点与不足:
1)数字证书序列号无法唯一确定数字证书身份,存在安全隐患。尽管有规定:由CA机构发行的数字证书其证书序列号必须唯一。但全国有33家合法CA机构,每家CA机构的发证系统各自运行在其安全内网中,互不联通;另外每家CA机构用于生成证书序列号的算法也各不相同,所以完全有可能出现两张不同的数字证书却拥有相同的证书序列号的情况。一旦这种情况发生,《一种数字证书精确化认证方法、装置及云认证服务系统》这个专利描述的精确化认证方法就会出现严重漏洞,造成安全隐患。
2)证书身份验证的效率差。同传统上对于数字证书进行身份认证的方式一样,《一种数字证书精确化认证方法、装置及云认证服务系统》这个专利提出的身份认证方法是:“各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证,仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过”,这里明确的提出也要验证黑名单,即验证某证书所属颁发机构签发的CRL,在上面内容中已有陈述:“随着CA机构业务量的增大,CRL会越来越大,现在有些CA机构的CRL大小已经有20M。这样每加载一次CRL再做一次验证,其耗时会越来越长,效率将越来越低”。经实际测试,加载一个20M左右的CRL需要耗时5000毫秒左右,如果该证书应用同时用到了几家CA证书,那么就需要加载这几家CA所签发的CRL,用时会更久,用户体验也将更差。
发明内容
为了能安全、高效的对数字证书进行精确化认证,同时避免出现上述问题,本发明的目的在于提供一种X509数字证书与证书应用之间的精确化身份认证方法,使得数字证书能够在证书应用中的身份认证既安全又高效,同时保证数字证书的认证不受CA机构的限制。
为了实现上述目的,本发明采用的技术方案为:一种X509数字证书与证书应用之间的精确化身份认证方法,方法至少包括:
一、建立一个身份认证平台,针对证书应用提供身份认证服务。其重要构建方式主要有:
1)在身份认证平台配置证书应用。配置主要包含:该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL(可上传CRL,或配置CRL地址由平台自动下载)。配置完成后身份认证平台会在数据库中为每个证书应用创建一张数字证书与证书应用的匹配表。
2)证书链以及CRL自动载入。按照国家相关政策法规规定,每家CA机构的证书链以及CRL都必须是公开发布的。平台的数据加载模块会根据第一步中的配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,以保证加载到平台的CRL是CA机构所颁发的最新的,从而最大程度上保证安全性。
3)证书合法性验证。每张数字证书在申请进入证书应用时,都会经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中。三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中。
4)提供可信、安全的身份认证服务。平台为每个证书应用提供的身份认证服务可以有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由代理证书应用做身份认证的安全网关设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。不管是哪种方式,证书应用获得的认证结果都是经身份认证平台签名,是可信安全的。
二、精确化身份证书认证。因为身份认证平台已经对加入到匹配表中的证书做了包含验证CRL在内的三次验证,所以证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可,这样极大地减少了证书应用的开发难度,同时因为不再需要验证CRL而大大提供了证书应用的验证效率,提高了用户友好体验度。
有益效果:本发明立足身份认证平台,在平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及更新的方式,创新性的将本该证书应用验证黑名单的环节放置在身份认证平台上,创新性的将一般方案中的白名单与黑名单合并统一加载到匹配表中处理,不但减少了证书应用既要验证白名单又要验证黑名单的繁琐,又提高了验证效率。本发明还应用了数字签名技术,由身份认证平台对身份认证结果签名,使得身份认证过程更加安全可信。
附图说明
图1为本发明的证书应用配置流程图。
图2为本发明的证书链及CRL载入流程图。
图3为本发明的证书合法性验证流程图。
图4通过在线身份认证接口完成身份精确认证流程图。
图5设备与身份认证平台交互流程图。
图6证书应用和设备对数字证书进行精确化身份认证的流程。
具体实施方式
下面结合附图和具体实施方式对本发明进行进一步详细的说明。
一、搭建身份认证平台
每个基于数字证书的、需要对数字证书进行身份认证的应用系统,都可以称为一个证书应用。搭建身份认证平台,目的在于在平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及更新的方式,将本该证书应用验证黑名单的环节放置在身份认证平台上,通过这种方式将传统上的白名单和黑名单合二为一形成唯一的可信列表,从而提高验证效率,提高安全可信度。平台的主要构建方式包括:
1)在身份认证平台配置证书应用。配置主要包含:该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL(可上传CRL,或配置CRL地址由平台自动下载)。配置完成后身份认证平台会为每个证书应用创建一张数字证书与证书应用的匹配表。具体流程参见图1。
2)证书链以及CRL自动载入。平台的数据加载模块会根据第一步中的配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,以保证加载到平台的CRL是CA机构所颁发的最新的,从而最大程度上保证安全性。具体流程参见图2。
3)证书合法性验证。每张数字证书在申请进入证书应用时,都会经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中。三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中,该匹配表采用数字证书指纹作为唯一主键。具体流程参见图3。
4)提供可信、安全的身份认证服务。平台为每个证书应用提供的身份认证服务可以有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由设备代理证书应用进行身份认证,即设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。不管是哪种方式,证书应用获得的认证结果都是经身份认证平台签名,是可信安全的。
二、精确化身份证书认证。因为身份认证平台已经对加入到匹配表中的证书做了包含验证CRL在内的三次验证,所以证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可,这样极大地减少了证书应用的开发难度,同时因为不再需要验证CRL而大大提供了证书应用的验证效率,提高了用户友好体验度。
结合身份认证平台“对证书应用提供在线身份认证接口”这种方式,证书应用对数字证书进行精确化身份认证的流程如图4所示。
结合身份认证平台“对证书应用提供平台设备接口”这种方式,将设备作为证书应用的身份认证代理,设备和身份认证平台进行交互,获取数字证书与证书应用匹配表的信息并加载,证书应用只需要在设备上进行数字证书的身份认证即可。设备和身份认证平台之间的交互如图5所示。证书应用和设备对数字证书进行精确化身份认证的流程如图6所示。
以上实施例只是对于本发明的部分功能进行描述,但实施例和附图并不是用来限定本发明的。在不脱离本发明之精神和范围内,所做的任何等效变化或润饰,同样属于本发明之保护范围,因此本发明的保护范围应当以本申请的权利要求所界定的内容为标准。
Claims (4)
1.一种X509数字证书与证书应用之间的精确化身份认证方法,其特征在于:
步骤一、搭建身份认证平台,针对证书应用提供身份认证服务;每个基于数字证书的、需要对数字证书进行身份认证的应用系统,称为一个证书应用,搭建身份认证平台,在该身份认证平台上维护数字证书与证书应用之间的匹配关系,通过自动加载证书链、CRL并能及时更新的方式,形成唯一的可信列表;
具体包括以下步骤:(1)在身份认证平台配置证书应用,该证书应用支持CA机构的证书链、该证书应用支持CA机构的CRL,配置完成后身份认证平台会在数据库中为每个证书应用创建一张数字证书与证书应用的匹配表;
(2)证书链以及CRL自动载入,对于CA机构的公开发布的证书链以及CRL,平台的数据加载模块相关配置,将证书链以及CRL加载到内存中,并能根据设置及时更新CRL,保证加载到平台的CRL是CA机构所颁发的最新的;
(3)证书合法性验证,每张数字证书在申请进入证书应用时,经过身份认证平台的三次验证,依次是:验证该数字证书的有效期;验证该数字证书的证书链;验证该证书是否存在于CRL中;三次验证均通过说明数字证书合法,平台将该数字证书加入到匹配表中;
(4)提供可信、安全的身份认证服务;
步骤二、精确化身份证书认证;证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可。
2.根据权利要求1所述的精确化身份认证方法,其特征在于:所述匹配表采用数字证书指纹作为唯一主键。
3.根据权利要求1所述的精确化身份认证方法,其特征在于:所述提供可信、安全的身份认证服务,身份认证平台为每个证书应用提供的身份认证服务有两种方式:一种是对证书应用提供在线身份认证接口,以直接的开放接口形式的提供即时身份认证服务;另外一种是对证书应用提供平台设备接口,由代理证书应用做身份认证的安全网关设备通过该接口和身份认证平台交互,获取数字证书与该证书应用匹配表的部分或全部信息,并能确保其有效更新,从而完成身份认证。
4.根据权利要求2或3所述的精确化身份认证方法,其特征在于:证书应 用验证黑名单的环节放置在身份认证平台上,通过这种方式将传统上的白名单和黑名单合二为一形成唯一的可信列表;身份认证平台对加入到匹配表中的证书做了包含验证CRL在内的三次验证,证书应用在对数字证书进行身份认证时,只需要验证该数字证书是否存在于该数字证书应用对应的可信列表即可。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310542386.4A CN103560889B (zh) | 2013-11-05 | 2013-11-05 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310542386.4A CN103560889B (zh) | 2013-11-05 | 2013-11-05 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103560889A CN103560889A (zh) | 2014-02-05 |
| CN103560889B true CN103560889B (zh) | 2017-01-18 |
Family
ID=50015045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310542386.4A Active CN103560889B (zh) | 2013-11-05 | 2013-11-05 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103560889B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105490998B (zh) * | 2014-12-12 | 2019-05-07 | 哈尔滨安天科技股份有限公司 | 一种基于数字证书认证的安全信用评估方法及系统 |
| US11032266B2 (en) * | 2014-12-23 | 2021-06-08 | Mcafee, Llc | Determining the reputation of a digital certificate |
| CN106330449A (zh) * | 2015-07-02 | 2017-01-11 | 西安西电捷通无线网络通信股份有限公司 | 一种验证数字证书有效性的方法及其鉴别服务器 |
| CN106899542B (zh) * | 2015-12-17 | 2021-04-20 | 中兴通讯股份有限公司 | 安全接入方法、装置及系统 |
| CN106911477A (zh) * | 2015-12-23 | 2017-06-30 | 上海格尔软件股份有限公司 | 针对慢速的数字证书验证设备缓存其验证结果的加速方法 |
| CN105871840B (zh) * | 2016-03-30 | 2019-08-27 | 恒宝股份有限公司 | 一种证书管理方法及系统 |
| CN106713279B (zh) * | 2016-11-29 | 2019-12-13 | 北京航天爱威电子技术有限公司 | 一种视频终端身份认证系统 |
| CN108990060B (zh) * | 2017-06-05 | 2021-02-02 | 中国移动通信集团公司 | 一种基站设备的证书分发系统及方法 |
| CN108022194A (zh) * | 2017-11-28 | 2018-05-11 | 深圳市华德安科技有限公司 | 执法记录仪及其数据安全处理方法、服务器及系统 |
| US11303458B2 (en) | 2018-04-09 | 2022-04-12 | Blackberry Limited | Method and system for reduced V2X receiver processing load using network based application layer message processing |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558596A (zh) * | 2004-01-19 | 2004-12-29 | 上海市电子商务安全证书管理中心有限 | 分布式证书验证方法 |
| CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
| US8032742B2 (en) * | 2008-12-05 | 2011-10-04 | Unisys Corporation | Dynamic updating of trusted certificates and certificate revocation lists in a computing system |
| CN102811218A (zh) * | 2012-07-24 | 2012-12-05 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
| CN102833754A (zh) * | 2012-08-17 | 2012-12-19 | 中国电力科学研究院 | 一种基于数字证书的移动设备可信接入方法 |
-
2013
- 2013-11-05 CN CN201310542386.4A patent/CN103560889B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558596A (zh) * | 2004-01-19 | 2004-12-29 | 上海市电子商务安全证书管理中心有限 | 分布式证书验证方法 |
| CN101404579A (zh) * | 2008-10-31 | 2009-04-08 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
| US8032742B2 (en) * | 2008-12-05 | 2011-10-04 | Unisys Corporation | Dynamic updating of trusted certificates and certificate revocation lists in a computing system |
| CN102811218A (zh) * | 2012-07-24 | 2012-12-05 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务系统 |
| CN102833754A (zh) * | 2012-08-17 | 2012-12-19 | 中国电力科学研究院 | 一种基于数字证书的移动设备可信接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103560889A (zh) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103560889B (zh) | 一种x509数字证书与证书应用之间的精确化身份认证方法 | |
| US9419806B2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| CN103685138B (zh) | 移动互联网上的Android平台应用软件的认证方法和系统 | |
| CN111224788B (zh) | 一种基于区块链的电子合同管理方法、装置及系统 | |
| US12008145B2 (en) | Method and server for certifying an electronic document | |
| CN108173659B (zh) | 一种基于ukey设备的证书管理方法、系统及终端设备 | |
| CN101969440B (zh) | 软件证书生成方法 | |
| CN103080958A (zh) | 用于产生/发行电子文档分发证书的方法、用于验证电子文档分发证书的方法以及用于分发电子文档的系统 | |
| US20140075517A1 (en) | Authorization scheme to enable special privilege mode in a secure electronic control unit | |
| BR102014030327B1 (pt) | Método implementado por computador para impedir problemas de segurança no uso de certificados digitais na assinatura de código; e sistema de computador para impedir problemas de segurança no uso de certificados digitais na assinatura de código | |
| KR20040096264A (ko) | 컨텐츠 제공자 인증 및 컨텐츠 무결성 보장 방법 | |
| CN103888252A (zh) | 一种基于uid、pid、appid控制应用访问权限方法 | |
| EP2608477B1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| CN105743910A (zh) | 通过数字签名安装程序的方法及系统 | |
| US7996677B2 (en) | Digitally certified stationery | |
| US20100211772A1 (en) | Collaborative Reconciliation of Application Trustworthiness | |
| CN102724042B (zh) | 一种基于电子签名技术的第三方平台电子缔约系统 | |
| CN112311779B (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
| CN112766896A (zh) | 一种基于互联网的电子合同签署系统 | |
| CN114760071B (zh) | 基于零知识证明的跨域数字证书管理方法、系统和介质 | |
| BR102019005184A2 (pt) | Método e sistema para provisionar um terminal seguro | |
| CN109962785A (zh) | 一种包括tee的系统及其电子签名系统 | |
| US20130318353A1 (en) | Method for Creating and Installing a Digital Certificate | |
| US8646099B2 (en) | Midlet signing and revocation | |
| WO2022248938A1 (en) | Authenticating data and communication sources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |