CN100344091C - 分布式证书验证方法 - Google Patents
分布式证书验证方法 Download PDFInfo
- Publication number
- CN100344091C CN100344091C CNB200410015996XA CN200410015996A CN100344091C CN 100344091 C CN100344091 C CN 100344091C CN B200410015996X A CNB200410015996X A CN B200410015996XA CN 200410015996 A CN200410015996 A CN 200410015996A CN 100344091 C CN100344091 C CN 100344091C
- Authority
- CN
- China
- Prior art keywords
- certificate
- blacklist
- distributed
- service device
- validation service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种分布式证书验证方法。属于IT信息安全领域。方法如下:建立一台分布式验证服务器,配置根CA证书、需要下载的证书黑名单的地址和下载时间,配置系统网络;分布式验证服务器从CA的证书黑名单知识库中下载、更新证书黑名单;在用户终端的应用中,修改获取证书黑名单的连接,将它重定向到分布式验证服务器中;分布式验证服务器通过对证书中原始证书黑名单的URL的重新编码,从分布式验证服务器的证书黑名单发布目录中获取相应的证书黑名单;应用单元使用从分布式验证服务器中获取到的证书黑名单进行证书的验证。本发明减少了局域网和公共网络之间的数据流量,提高了系统的性能,增加了局域网网络的安全性。
Description
技术领域
本发明涉及一种数字证书认证方法,尤其是一种分布式证书验证方法。属于IT信息安全领域。
背景技术
在信息技术飞速发展的今天,网络数字安全已经成为一个日益重要的、不可回避的网络技术课题;PKI技术(公开密钥基础设施)是基础网络安全的核心组成部分,在PKI体系中,验证数字证书持有者的身份是PKI体系中使用非常频繁的一个应用,它可以在网络中辨别用户的身份。
应用系统验证数字证书持有者的身份的过程其实就是验证数字证书以及该证书的数字签名,验证数字签名的原理及过程在PKCS1,PKCS7的标准有详细的描述。
在X.509(RFC2459,Internet X.509 Public Key Infrastructure Certificate and证书黑名单Profile,即国际互联网公钥基础设施证书和证书吊销列表概要)中,根据X.509描述证书的验证过程的理解,验证数字证书的过程可以分为三个步骤:
1.确认用户证书在有效期内;
2.确认用户证书是所信任的根签发的;
3.确认用户证书的证书序列号没有在CA中心(数字证书认证中心)发布的证书黑名单(证书废除列表)中;
如果以上三步都通过,则说明该证书是有效的。
PKI体系中,证书应用是极为广泛的,每个应用证书的用户终端都有验证证书有效性的需求,这对于在同一个局域网中的用户终端来说,和CA的公共知识库之间的网络流量无疑是比较大的,如果一个局域网和公共网络之间没有足够的带宽的话,也会极大地影响应用系统的响应速度,降低系统性能;并且,对于那些对网络的安全、保密性要求比较严格的局域网络,如政府内部网络,公安网络等局域网,一般的办公PC是不允许连接到Internet上的,从而使得在这些局域网上部署PKI体系有了困难。
发明内容
本发明针对现有技术中存在的上述不足和缺陷,提供一种分布式证书验证方法,使其部署于局域网内部并可完成证书验证,从而实现将证书验证过程本地化。
本发明是通过以下技术方案实现的,本发明的方法具体如下:
(1)建立一台分布式验证服务器,配置根CA证书、需要下载的证书黑名单的地址和下载时间等必要的信息,配置系统网络,使它能连接CA的证书黑名单知识库,同时又能为其他局域网内的应用单元所服务;
(2)分布式验证服务器在指定的时间或根据证书黑名单中规定的时间范围自动从CA的证书黑名单知识库中下载、更新证书黑名单;
(3)在用户终端的应用中,修改获取证书黑名单的连接,将它重定向到分布式验证服务器中;
(4)分布式验证服务器通过对证书中原始证书黑名单的URL的重新编码,从分布式验证服务器的证书黑名单发布目录中获取相应的证书黑名单;
(5)应用单元使用从分布式验证服务器中获取到的证书黑名单进行证书的验证。
以上过程就能实现一次证书的验证,使用户终端可以不通过访问CA的知识库,就可以获取证书黑名单,实现证书的验证。
以下对本发明作进一步的说明,具体内容如下:
1、一个CA的知识库中存在着有该CA发布的所有证书对应的证书黑名单,对一个大型的公共CA来说,它的数量是很大的,而一个局域网中的用户终端所使用的证书只是其中的很小一部分;如果分布式验证服务器把CA知识库中所有的证书黑名单都下载到系统中,不仅增加了系统的压力,也降低了系统的性能,所以,需要有一个很好的机制来尽可能少的从CA知识库中下载证书黑名单数据,同时又确保用户终端能从分布式验证服务器中找到所有需要的证书黑名单。在本发明中,通过web方式来配置需要下载的证书黑名单,同时,也可以通过导入系统中需要使用的证书的方法,由系统自动从证书中获取需要下载的证书黑名单,保证了系统的易使用性和可管理性。
2、分布式验证服务器支持从多个CA知识库中下载证书黑名单,这样,就保证了同一局域网中可以使用多个CA签发的证书;当然,为了保证用户终端能获取正确的证书黑名单,本发明通过对不同证书黑名单的编码,确保在分布式验证服务器中的证书黑名单具有唯一性;同时,分布式验证服务器在导入有CA签发的证书黑名单前,需要先导入该CA的根证书;由于证书黑名单是通过公共网络获取的,它不能保证数据的安全性,所以当分布式验证服务器从CA知识库中获取证书黑名单后,都需要用该CA的根证书对其进行验证,确保数据的完整性和权威性。
并且,对应用系统开发者来说,需要做到分布式证书验证服务器是完全透明的,用不用分布式证书验证服务器,开发过程是完全一致的;本发明通过提供给用户终端的应用开发相应的软件,对应用系统屏蔽获取证书黑名单重定向的过程,来解决这一问题,使得在应用系统中,证书的验证方法完全符合标准。
本发明中,还涉及以下一些具体的技术措施:
1)证书在线条件导入:指定需要导入证书的CA目录服务器,可以根据用户姓名、电子邮件地址、用户唯一号等条件导入证书,可以成批导入,也可以单个导入,分布式验证服务器会根据导入的证书中相应的证书黑名单地址,在系统中添加需要导入和更新的证书黑名单;
2)证书离线导入:从指定的单个证书介质中导入证书,也可以从批量证书文件中导入证书,分布式验证服务器会根据导入的证书中相应的证书黑名单地址,在系统中添加需要导入和更新的证书黑名单;
3)、证书黑名单导入及更新:对于已经在分布式验证服务器列表中的所有证书黑名单,系统都会在证书黑名单下一次需要更新以前,进行自动的更新;同时也可以有系统管理员对导入时间进行配置,分布式验证服务器在指定时间CA的知识库中导入证书黑名单,也可以有系统管理员进行手工实时导入;
4)、证书链导入:根据指定的条件,到相应的CA服务器上导入证书链,或者离线导入证书链,导入了证书链后,有相应的CA签发的证书和证书黑名单才可以被导入分布式验证服务器;
5)、证书信息管理:对导入的证书做查询和删除等管理操作,分布式验证服务器会根据删除的证书中相应的证书黑名单地址,在系统中删除需要更新的证书黑名单地址;
6)、证书自动更新:对进入更新临界区的证书,自动查找最新更新的证书。提供从任一张证书获取最新证书的接口;
7)、证书导入服务接口:提供证书导入的服务接口,根据一定的接口标准,接受外部CA系统向数字证书分布式验证服务器做证书导入请求;
8)、系统管理:通过web方式提供对数字证书分布式验证服务器的管理和维护功能,例如系统日志管理,系统数据备份,系统时间修改,系统升级,关闭系统等。
由于使用了上述技术方案,本发明具有如下优点:(1)在一个使用PKI体系的局域网内,在证书验证的过程中,减少了局域网和公共网络之间的数据流量;(2)由于局域网内的用户终端都通过分布式验证来获取证书黑名单,而不是到位于公共网络的CA知识库中获取证书黑名单,这无疑加快了证书验证过程的系统响应速度,提高了系统的性能;(3)由于局域网内部用户终端的在验证证书过程中不需要连接公共网络,增加了局域网网络的安全性;(4)本发明的方法无疑也减少了CA知识库发布服务器的系统服务压力。
附图说明
图1是本发明方法实施例的系统结构示意图
图2是本发明方法实施例分布式证书验证服务器的功能模块架构图
图3是本发明方法的流程图
具体实施方式
如图1所示,结合本发明方法的内容,提供具体的实施例。本发明实施例采用的分布式证书验证服务器1可部署于由应用服务器3、工作站4、个人电脑5等外部应用系统所构成的局域网内,并与CA服务器2双向连接。所述的分布式证书验证服务器1可与Internet网相连接,而上述应用服务器3、工作站4、个人电脑5均不直接与Internet网相连接。
如图2所示,本发明方法实施例分布式证书验证服务器包括如下功能模块:
第一层为与外部系统连接的服务模块:系统数据定时更新服务,WEB用户服务,客户应用系统服务接口;
系统数据定时更新服务根据指定的时间及时间间隔完成证书黑名单的智能下载和更新;以及更新证书自动检查及下载;
WEB用户服务主要以WEB的方式为局域网中分布式证书验证服务器的管理员和操作员提供人机交互的管理和操作界面,同时也供普通用户查询一些公开的数据;
客户应用系统服务接口为客户应用系统提供服务,包括指定时间内更新证书的检查,新证书的导入接口等;
第二层主要是为第一层系统服务的,主要有:证书发布模块、WEB应用实现模块、编解码模块和加解密模块;
证书发布模块将证书、证书黑名单及证书链等发布到目录服务器;
WEB应用实现模块实现WEB的应用逻辑;
编解码模块实现证书、证书黑名单及证书链等的编解码;
加解密模块运用底层的加解密设备完成数据的加解密,包括随机数的产生、HASH、对称加解密、RSA(不对称运算)等运算的实现接口;
第三层主要实现数据的存储及提供底层的加解密,有:目录发布服务器、数据库服务器和加解密设备;
目录发布服务器提供标准的目录发布服务;
数据库服务器存储系统管理、配置信息以及用户的证书、证书黑名单等信息
加解密设备用国密委认可的加解密设备实现数据的加解密;
第四层是操作系统,是所有模块运行的基础。
具体实施过程描述
财税局网上报税系统是基于PKI客户端或服务器应用程序,他们使用了上海CA中心签发的证书,下面结合图3所示以验证签名的过程为例,说明系统是如何工作的:
分布式证书验证服务器1的证书管理员首先根据本报税网站的证书发布情况从上海CA服务器2上下载本报税网站的用户证书,或本报税网站管理员把自己用户的证书导入分布式证书验证服务器1;并且在分布式证书验证服务器1上配置证书黑名单查询的下载地址,从而本服务器可以定时或手工下载证书黑名单,为验证证书服务;
客户或服务器应用程序收到对方的签名包后,先根据对方的姓名、email地址或用户唯一号等信息从分布式证书验证服务器1上下载用户证书和相应的根证书,就可以验证证书了,再根据证书从分布式证书验证服务器1上下载相应的证书黑名单,就可以验证证书黑名单了,从而完成整个证书验证过程;
本发明充分满足或支持相关的国际标准,包括:X509v1、X509v2、X509v3、证书黑名单、OCSP、TimeStamp、PKCS1、PKCS8、PKCS7、PKCS10、ASN1、MIME、SSL、SMIME、LDAP;兼容多种应用软件和常用操作系统;对分布式证书验证的操作管理都基于WEB页面,有效降低维护的成本;支持多种高强度算法,如SSF33、RSA、SHA1、MD5、MD2等,所有的算法均采用国家密码委员会认可的硬件模块。
本发明还具有严格的权限管理,系统管理员对系统的运行负责,但不能接触任何用户数据,同时必须超过半数的系统管理员到场时才能进入系统管理模式。操作员仅能对用户及证书进行操作,不能影响系统的运行。用户仅能对自己的数据进行操作,不能修改他人数据。匿名用户提供公用的服务,如下载他人证书、根证书、下载证书黑名单等。所有的认证方式均采用数字认证方式进行,确保系统安全。
本发明有明确、细致的操作员权限,分布式证书验证服务器除了对系统划分了不同级别的用户角色外,对其中的系统操作员还做了细致的权限划分,不同的操作员,根据他权限的不同,可以做证书的导入,删除,查询等不同的操作。
本发明支持多种证书存放介质,如软盘、IC卡、USB棒以及服务器上等,并且只要安装了介质驱动,系统就能自动识别介质;同时提供根证书的导入导出功能,也支持所有的数据备份和恢复功能,为数据安全提供保障;还提供详尽的日志功能;包括系统日志和用户日志。系统日志主要提供所有系统管理员、系统操作员、用户对系统信息、或证书信息的操作。系统管理员可以通过日志查询获得系统的状态,操作员可以通过日志查询获得证书和用户信息操作的历史记录,用户可以查询本人的操作记录等,并且提供了功能强大的查询条件。本发明提供强大的操作审计功能,用户对系统所有操作均记录在案,以备统计和分析。
Claims (4)
1、一种分布式证书验证方法,其特征在于,方法具体如下:
(1)建立一台分布式验证服务器,配置根CA证书、需要下载的证书黑名单的地址和下载时间,配置系统网络,使它能连接CA的证书黑名单知识库,同时又能为其他局域网内的应用单元所服务;
(2)分布式验证服务器在指定的时间或根据证书黑名单中规定的时间范围自动从CA的证书黑名单知识库中下载、更新证书黑名单;
(3)在用户终端的应用中,修改获取证书黑名单的连接,将它重定向到分布式验证服务器中;
(4)分布式验证服务器通过对证书中原始证书黑名单的URL的重新编码,从分布式验证服务器的证书黑名单发布目录中获取相应的证书黑名单;
(5)应用单元使用从分布式验证服务器中获取到的证书黑名单进行用户证书的验证:
应用单元收到用户终端的签名包后,先根据用户终端的信息从分布式证书验证服务器上下载用户证书和相应的根证书,就能验证用户证书了,再根据用户证书从分布式证书验证服务器上下载相应的证书黑名单,确认用户证书的证书序列号没有在证书黑名单中,从而完成整个证书验证过程。
2、根据权利要求1所述的分布式证书验证方法,其特征是,通过web方式来配置需要下载的证书黑名单,或者通过导入系统中需要使用的证书的方法,由系统自动从证书中获取需要下载的证书黑名单。
3、根据权利要求1所述的分布式证书验证方法,其特征是,所述的分布式验证服务器支持从多个CA的证书黑名单知识库中下载证书黑名单,保证同一局域网中使用多个CA签发的证书,为了保证用户终端能获取正确的证书黑名单,通过对各个证书黑名单的分别编码,使在分布式验证服务器中的证书黑名单具有唯一性,同时,分布式验证服务器在导入有CA签发的证书黑名单前,要先导入该CA的根证书,当分布式验证服务器从CA知识库中获取证书黑名单后,都要用该CA的根证书对其进行验证。
4、根据权利要求1所述的分布式证书验证方法,其特征是,还包括:
1)证书在线条件导入:指定需要导入证书的CA目录服务器,根据用户姓名、电子邮件地址、用户唯一号这些条件导入证书,成批导入,或者单个导入;
2)证书离线导入:从指定的单个证书介质中导入证书,或者从批量证书文件中导入证书;
3)、证书黑名单导入及更新:对于已经在分布式验证服务器列表中的所有证书黑名单,系统都会在证书黑名单下一次需要更新以前,进行自动的更新;或者由系统管理员对导入时间进行配置,分布式验证服务器在指定时间CA的知识库中导入证书黑名单,或者由系统管理员进行手工实时导入;
4)、证书链导入:根据指定的条件,到相应的CA服务器上导入证书链,或者离线导入证书链;
5)、证书信息管理:对导入的证书做查询和删除管理操作;
6)、证书自动更新:对进入更新临界区的证书,自动查找最新更新的证书,提供从任一张证书获取最新证书的接口;
7)、证书导入服务接口:提供证书导入的服务接口,根据接口标准,接受外部CA系统向数字证书分布式验证服务器做证书导入请求;
8)、系统管理:通过web方式对数字证书分布式验证服务器进行管理和维护,包括系统日志管理,系统数据备份,系统时间修改,系统升级,关闭系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410015996XA CN100344091C (zh) | 2004-01-19 | 2004-01-19 | 分布式证书验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200410015996XA CN100344091C (zh) | 2004-01-19 | 2004-01-19 | 分布式证书验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1558596A CN1558596A (zh) | 2004-12-29 |
| CN100344091C true CN100344091C (zh) | 2007-10-17 |
Family
ID=34351641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410015996XA Expired - Lifetime CN100344091C (zh) | 2004-01-19 | 2004-01-19 | 分布式证书验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100344091C (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4148246B2 (ja) * | 2005-06-30 | 2008-09-10 | ブラザー工業株式会社 | 通信システム、証明書更新装置、証明書更新プログラム、通信装置及び代替更新プログラム |
| JP4483817B2 (ja) * | 2006-03-30 | 2010-06-16 | 村田機械株式会社 | 失効リスト取得機能付き通信装置 |
| US7941405B2 (en) * | 2007-03-30 | 2011-05-10 | Data Center Technologies | Password protection for file backups |
| DE102011108003B4 (de) * | 2011-07-19 | 2013-07-25 | Abb Technology Ag | Prozessleitsystem |
| CN103560889B (zh) * | 2013-11-05 | 2017-01-18 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
| CN104753676A (zh) * | 2013-12-31 | 2015-07-01 | 北龙中网(北京)科技有限责任公司 | 移动app开发者的身份验证方法及装置 |
| US11070506B2 (en) * | 2018-01-10 | 2021-07-20 | Vmware, Inc. | Email notification system |
| WO2020010279A1 (en) * | 2018-07-03 | 2020-01-09 | Gmo Globalsign, Inc. | Systems and methods for blockchain addresses and owner verification |
| CN110300096B (zh) * | 2019-05-22 | 2022-09-23 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
| CN111786781B (zh) * | 2020-06-29 | 2021-03-26 | 友谊时光科技股份有限公司 | 一种ssl证书监控方法、系统、装置、设备及存储介质 |
| CN115481385B (zh) * | 2022-10-31 | 2023-03-31 | 麒麟软件有限公司 | 证书管理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003005638A1 (fr) * | 2001-07-05 | 2003-01-16 | Gurov, Georgy Borisovich | Procede de protection integree du traitement reparti de donnees dans des systemes informatiques et systeme de mise en oeuvre correspondant |
| CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
-
2004
- 2004-01-19 CN CNB200410015996XA patent/CN100344091C/zh not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003005638A1 (fr) * | 2001-07-05 | 2003-01-16 | Gurov, Georgy Borisovich | Procede de protection integree du traitement reparti de donnees dans des systemes informatiques et systeme de mise en oeuvre correspondant |
| CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 高性能CA认证解决方案 何国锋 方志 陈荦祺,计算机系统应用,第6期 2001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1558596A (zh) | 2004-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2408069C2 (ru) | Согласование полномочий | |
| CN1881879A (zh) | 用于验证用户的公钥框架和方法 | |
| CN110278462B (zh) | 一种基于区块链的流动放映授权管理方法 | |
| AU2004251364B2 (en) | Access control | |
| CN101616165B (zh) | 一种新型x509数字证书白名单发布查询验证的方法 | |
| CN1274105C (zh) | 基于数字证书实现的动态口令认证方法 | |
| CN100344091C (zh) | 分布式证书验证方法 | |
| CN101064717A (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN1304109A (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
| CN101034983A (zh) | 一种对网络接入用户实现上网实名的系统及其方法 | |
| CN1855814A (zh) | 一种安全的统一身份认证方案 | |
| CN106533693B (zh) | 轨道车辆监控检修系统的接入方法和装置 | |
| CN1731723A (zh) | 电子/手机令牌动态口令认证系统 | |
| CN1889081A (zh) | 一种数据库安全访问方法和系统 | |
| CN112464215B (zh) | 一种针对企业服务系统的身份鉴别及控制方法 | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| CN2891503Y (zh) | 信息系统或设备的安全防护系统 | |
| US20050240765A1 (en) | Method and apparatus for authorizing access to grid resources | |
| CN1581144A (zh) | 数字证书本地认证的方法及系统 | |
| CN1829150A (zh) | 一种基于cpk的网关认证装置及方法 | |
| CN110620750A (zh) | 一种分布式系统的网络安全验证方法 | |
| CN1956376A (zh) | 一种宽带接入用户认证方法 | |
| CN112291244A (zh) | 一种工业生产数据实时处理平台系统多租用户方法 | |
| JP2001202332A (ja) | 認証プログラム管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI CITY DIGITAL CERTIFICATE AUTHENTICATION C Free format text: FORMER NAME OR ADDRESS: SHANGHAI CITY E-BUSINESS SAFETY CERTIFICATE ADMINISTRATIVE CENTER CO., LTD.; SHANGHAI FINANCIAL AND TAX INFORMATION CENTER |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 200040, No. 1318 West Beijing Road, Shanghai, 2F Co-patentee after: Shanghai Finance and Taxation Information Center Patentee after: Shanghai Digital Certificate Certification Center Co.,Ltd. Address before: 200040, No. 1318 West Beijing Road, Shanghai, 2F Co-patentee before: Shanghai finance and taxation information center Patentee before: Shanghai Electronic Certificate Authority Center Co.,Ltd. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20071017 |