[go: up one dir, main page]

CN1182479C - 有效地收集、整理和访问证书吊销表的系统和方法 - Google Patents

有效地收集、整理和访问证书吊销表的系统和方法 Download PDF

Info

Publication number
CN1182479C
CN1182479C CNB00100915XA CN00100915A CN1182479C CN 1182479 C CN1182479 C CN 1182479C CN B00100915X A CNB00100915X A CN B00100915XA CN 00100915 A CN00100915 A CN 00100915A CN 1182479 C CN1182479 C CN 1182479C
Authority
CN
China
Prior art keywords
certificate revocation
crl
database
certificate
collecting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB00100915XA
Other languages
English (en)
Other versions
CN1304109A (zh
Inventor
刘友祥
田忠
徐景民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to CNB00100915XA priority Critical patent/CN1182479C/zh
Priority to CA002328645A priority patent/CA2328645C/en
Priority to SG200007699A priority patent/SG92778A1/en
Priority to US09/754,813 priority patent/US7761467B2/en
Publication of CN1304109A publication Critical patent/CN1304109A/zh
Application granted granted Critical
Publication of CN1182479C publication Critical patent/CN1182479C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/06Asset management; Financial planning or analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Accounting & Taxation (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Signal Processing (AREA)
  • Game Theory and Decision Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种有效地收集、整理和访问由认证机构发布的证书吊销表(CRL)的系统,包括:多个与认证机构发布证书吊销表的方式相关的CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;CRL数据库,用于存储来自多个CRL检索代理的经其整理后的证书吊销表;以及CRL访问API。这样应用程序就可以通过一组统一的API来访问最近的CRL数据库以此确定一个数字证书是否已被吊销,而不用关心CRL发布机制的细节问题。此外,以上系统还适用于收集、整理和访问各种类型的黑名单。

Description

有效地收集、整理和访问证书吊销表的系统和方法
技术领域
本发明涉及数字证书的管理,具体地说,涉及有效地收集、整理和访问数字证书吊销表。
背景技术
实现电子商务的系统正在变得越来越广泛,这部分地由于象因特网之类全球计算机网络的出现,部分地由于公用密钥密码术的发展与成熟,它提高了这种商业活动的安全性。于是,在一些报告中已经预见了公共密钥密码术对于电子商务的应用,诸如:国际通信联盟(ITU,前身是CCITT)的建议X.509。
为了安全地进行电子商务活动,根据传统方法,每个用户有一对相关密钥,即一个私人密钥和一个公用密钥。但是,公用密钥只是一个数值,它与任何人(包括要认证其消息的人)没有任何内在关联。数字签名的广泛商业应用要求有可靠的信息把公用密钥与识别出的人们关联起来。然后,那些被识别出的人们的消息能通过使用这些密钥加以认证。
数字签名证书满足这种要求,这些证书一般由可信任的第三方发出,这些第三方被称作认证机构(CA),它们证明(1)发出的证书的认证机构已经识别出证书的主体,(2)(在证书中)指定的公用密钥对应于由证书主体掌握的私人密钥。为了保证其后能核实一证书的可信性,认证机构在发出证书时要对其进行数字签名。在前文引述的X.509标准中规定了数字签名证书的一般结构,典型的X.509证书具有以下格式:
一般在证书中要规定其有效期。过了有效期的证书为无效证书。除过期的证书外,无效证书还包括:
·已被吊销的证书(即已被签发此证书的认证机构声明为永久无效的证书);以及
·已被暂停的证书(即已被签发此证书的认证机构声明为暂时无效的证书)。
吊销和/或暂停证书是最大限度地减小由于认证机构或客户造成的错误后果的重要手段。认证机构可以通过吊销证书来避免由于证书中的不准确性造成的进一步损失。客户可以通过吊销一个证书来防止信赖使用受危害的私人密钥(例如丢失的或被偷的私人密钥)产生的伪造数字签名。根据ITU X.509,那些由于吊销而变为无效的证书一般被列入证书吊销表(CRL)。在ITU X.509中未考虑暂停或暂时无效,所以暂停或暂时无效的证书可以包括在CRL中或可能没有被包括在其中。由于时效使其变为无效的证书无需列入CRL,因为每个证书中都包含了其有效期。一般每个认证机构都维护一个CRL,并以特定的方式定期对CRL进行更新和发布。
在实践中,传统的基于CRL的电子商务系统按如下方式工作:在一客户能造成一个可核实的数字签名之前,该客户必须作出安排,使一个认证机构发出一个能以客户的公用密钥来标识该客户的证书。该客户收回并接受这个被发出的证书,然后造成数字签名,并把该证书的拷贝附着在每个数字签名上。当一个事务的另一方收到这种数字签名时,这另一方必须与认证机构核对,一般是通过在线数据库,以确定该证书当前是否有效。如果有效,而且该数字签名能被证书中的公用密钥核实,则另一方可以信赖这个数字签名。
现代的电子商务系统一般都建立在开放式互联网络的基础上,由于用户可能使用任何一个现有的CA作为其证书签发机构,所以这样的电子商务系统一般需要访问来自多个CA的CRL。由于不同的CA可能使用不同的CRL发布机制,这就需要电子商务系统的开发者了解各种CRL发布机制,此外,一些CA还可能改变其CRL发布机制,这就进一步加重了应用程序开发者的负担。
此外,一些CA采纳诸如通过目录服务器的CRL在线发布机制。应用程序在需要时可以下载这些CRL。但是实时访问CRL不但造价高并且对于大多数应用来说也是不必要的。此外,由于一个应用程序下载和分析的CRL不能被其它应用程序所共享,于是造成了系统资源的浪费。
为解决以上问题本发明提出一种有效地收集、整理和访问CRL的系统和方法。本发明的方法和系统通过对不同的CRL发布机制建立不同的CRL检索代理来收集、整理来自不同的CA的CRL,并将整理后的CRL存储到中央数据库中,然后通过网络将中央数据库复制到其它机器上去。应用程序可以通过一组统一的应用程序接口来访问最近的CRL数据库以确定数字证书是否已被吊销,这样应用程序就不用关心各种CRL发布机制的细节。此外,由于CRL数据库中的内容可被所有应用程序所共享,所以提高了系统资源的利用率。
根据本发明的一个方面,提供了一种用于收集、整理和访问由认证机构发布的证书吊销表的系统,包括:
多个与认证机构发布证书吊销表的方式相关的CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
CRL数据库,用于存储来自多个CRL检索代理的经其整理后的证书吊销表;以及
CRL访问用户接口,为用户访问CRL数据库中的证书吊销表提供统一的应用程序接口。
根据本发明另一方面,提供了一种用于在通过数字证书实现安全通信的网络中收集、整理和访问由认证机构发布的证书吊销表的方法,该方法包括步骤:
根据认证机构发布的证书吊销表的方式来建立多个CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
将来自多个CRL检索代理的经其整理后的证书吊销表存储在CRL数据库中;和
通过统一的应用程序接口访问CRL数据库。
附图说明
通过以下结合附图对本发明优选实施例的介绍,可以使本发明的目的、优点和特征更加清楚。
图1为根据本发明一个优选实施例的有效地收集、整理和访问CRL的系统的方框图;
图2为根据本发明优选实施例的LDAP/CRL检索代理的工作示意图;
图3为根据本发明优选实施例的HTTP/CRL检索代理的工作示意图;
图4为根据本发明优选实施例的RFC1424/CRL检索代理的工作示意图;
图5为根据本发明优选实施例的HTTP接收代理的工作示意图;
图6为根据本发明优选实施例的CRL数据库的复制结构的示意图;
图7为根据本发明另一个优选实施例的有效地收集、整理和访问CRL的系统的方框图;和
图8为根据本发明优选实施例的有效地收集、整理和访问CRL的方法的流程图。
具体实施方式
在结合具体实施例说明本发明的方法和系统之前,首先讨论一下有关证书吊销表的一般问题,如证书吊销表的格式、证书吊销表的发布方式。
在前文中已介绍过数字证书是用来证明一个特定的公用密钥属于一个特定实体的数字文件,数字证书
·由可信任的第三方或称作认证机构数字签署;
·只在指定的期限内有效;
·可被任何有权访问CA的公用密钥的人来验证;
·具有一个在CA内的唯一的序列号。
然而,数字证书在其有效期届满之前,由于各种原因可能已被吊销,于是,每个CA有责任维护一个证书吊销表,并且应该不断地更新它,并使它能够被公众所得。证书吊销表中的已被吊销的证书可由其序列号来标识。
用ASN.1(抽象语法记法.1)SEQUENCE结构描述的X.509 CRL如下:
CertificateList  ∷=SEQUENCE{
  tbsCertList        TBSCertList,
  signatureAlgorithm       AlgorithmIdentifier,
  signature                BIT STRING
}
其中SignatureAlgorithm用于标识CA在对TSSCertList结构进行数字签名时所使用的算法,其中TBS CertList本身用ASN.1 SEQUENCE结构表示如下:
TBSCertList  ∷=SEQUENCE{
 version            Version OPTIONAL.
 signature          AlgorithmIdentifier,
 issuer             Name,
 thisUpdate         Time,
 nextUpdate         Time OPTIONANL,
 revokedCertificates     SEQUENCE OF SEQUENCE {
       userCertificate         CertificateSeriaNumber,
       revocationDate Date,
       crlEntryExtension Extensions OPTIONAL
  }OPTIONAL
  cr1Extensions[0] EXPLICIT Extensions OPTIONAL
}
TBSCertList指出CRL的发布者名称、发布日期、下次发布CRL的日期以及已被吊销的数字证书(由序列号来标识的)的清单(后两项为任选项)。
在此需要注意两点。首先,已被吊销的数字证书的清单是任选的,因为有可能某一个CA在应该发布CRL时还没有吊销任何证书。其次,尽管CA可能在其CRL中指定了下次预订的发布CRL的日期,但这并不防碍CA在紧急情况下以更快的频率发布CRL。
对于CA来说,通常有两种发布CRL的方式,即“pull(拉)”和“push(推)”。在“pull”方式下,验证者(需要验证某个数字证书的状态的用户)可以在需要时从CA下载CRL。而在“push”方式下,CA定期地向注册的验证者发送CRL。
由X.509定义的认证框架最初设计成工作在X.500目录环境下。X.500规定使用与CA实体相关的目录属性来存储CRL。X.500还定义了客户用来访问目录的DAP(目录访问协议)。然而,由于DAP协议太复杂,使其难于在诸如PC等机器上运行。于是设计了LDAP(轻型目录访问协议),减少了目录客户机上X.500访问的负担,使这种目录可应用于各种机器和应用程序。LDAP可以直接运行在支持TCP/IP的机器上。验证者可以使用“pull”方式从LDAP服务器中检索CRL。
然而,近期X.500目录服务不会在因特网上迅速普及起来,人们还可能开发其它的使用现有因特网基础设施的CRL发布和访问方法。在Privacy-Enhanced Mail(保密增强型信箱)中定义了一个这样的方法。根据PEM,IPRA(Internet Policy Registration Authority)应当和PCA(PolicyCertification Authorities)进行协调以提供一个安全可靠的包括IPRA、PCA以及所有其它CA发布的CRL的数据库。通过由每个PCA维护的信箱来提供对数据库的访问。验证者可以使用RFC1424中定义的机制检索来自具体一个或多个电子邮件地址的CRL。CRL检索方法根据相关的PCA是否支持非请求型CRL发布方式而或者工作于“pull”方式或者工作于“push”方式。
以上已讨论了证书吊销表的格式和证书吊销表的发布方式,下面就结合具体实施例描述一下根据本发明的用于收集、整理和访问证书吊销表的方法和系统。
在本发明的用于收集、整理和访问证书吊销表的系统中,使用中央数据库来存储由各个CA吊销的所有数字证书。对于各种不同的CRL发布方式,建立不同的CRL检索代理,这些代理周期性地检索来自不同CA的CRL,并对CRL进行整理,之后存入中央CRL数据库。为了便于用户访问CRL,建立多个中央CRL数据库的副本数据库,并提供统一的应用程序接口。
图1示出根据本发明一个优选实施例的用于访问CRL的系统的方框图。图1所示的系统是基于Lotus Domino的。Domino群件是Lotus公司于1996年11月宣布的群件产品,即Notes 4.5的服务器版本。在这个群件中,集成了函件处理、群件应用和因特网出版功能。它采用独创的页式数据库系统(page database system)大大降低了连接管理的复杂性,管理人员可以高效地管理来自不同用户和部门的内容,是一个性能价格比较高的Internet/Intranet管理平台。利用它的内置开发工具,用户可以迅速开发安全的交互式应用程序,并且很容易与企业已有的数据系统集成。在图1所示的系统中目前支持三种CRL检索代理,当然,正如本领域一般技术人员所理解的那样,在此基础上可以很容易地集成其它CRL检索代理。从检索到的CRL提取被吊销的证书并将其存储在称为中央CRL数据库的Domino数据库,中央CRL数据库被复制到其它的CRL副本数据库中,这些数据库在其它相连的Domino服务器上。还提供一组基于Java的CRL访问API,用于电子商务系统以充分利用就近的Domino服务器上的经整理后的CRL,而不用关心各个CA是如何发布CRL的。
尽管对不同的CA可能使用不同的CRL检索方法,但所有的方法都必须包括一个从指定的地址下载CRL的过程,对下载的CRL进行验证以保证该CRL确实是由特定CA发布的,并把下载的CRL保存在中央CRL数据库中。作为一个例子,一个特定CA将其CRL放入LDAP目录,驻留在中央CRL数据库中的Domino代理周期性地运行以通过LDAP协议检索来自指定LDAP服务器的CRL并相应地更新中央数据库。中央数据库中的任何变化将被复制到其它CRL副本数据库中。这不仅使CRL数据库管理更容易,而且还使一个电子商务系统能够更容易、迅速、低成本地访问CRL数据库。当一个电子商务系统想确定一个证书是否已被吊销时,它们只需调用API来对最接近的CRL副本数据库进行访问。用于CRL访问的API然后调用NOI(Notes Object Interface)访问Domino CRL数据库,判断证书是否被列在CRL中,并将结果返回给电子商务系统。
以下结合附图详细介绍图1所示系统的各个组成部分。
1.中央CRL数据库
·用于CRL数据库的Domino表单(form)
CRL数据库包括从三个表单中产生的文档,这三个表单即:TrustedCertificate Authority(认证机构)表单、Revoked Certificate(吊销的证书)表单和Memo表单。Trusted Certificate Authority表单主要包括以下字段。
字段名称 存储的数据
Distinguished Name 符合RFC 1779的CA名称
Certificate CA的X.509证书
This Update CA上次更新CRL的时间
Next Update CA下次更新CRL的时间
CRL Number CA的当前CRL序号
LDAPURL 符合RFC 2255的LDAP URL
HTTPURL HTTP URL
PCAMailbox 用于RFC 1424 CRL服务的PCA电子邮件地址
Distinguished Name字段代表符合RFC 1779的可以与其它CA名称相区别开来的CA名称,Certificate字段以Base 64编码的DER格式保持CA的X.509 V3证书。
Certificate字段用于验证由该CA签发的证书和CRL。为了避免输入错误,可以用Clipboard或本地的证书文件作为该字段的输入源。ThisUpdate、Next Update和CRL Number字段从最近检索到CRL中获得值。Next Update和CRL Number字段可以为空。CRL Number字段用于存放CA的当前CRL序号。该字段使用户可以判断一个特定的CRL是否替换其它CRL。LDAPURL字段包含符合RFC 2255的LDAPURL,LDAP检索代理使用该字段检索来自特定LDAP服务器的CRL。HTTP检索代理使用HTTPURL字段检索来自特定HTTP服务器的CRL。PCAMail box字段包括用于RFC1424 CRL服务的CA的PCA电子邮件地址。如果PCA支持非请求型CRL发布方式,则该字段可能为空。
将从检索到的CRL中提取的每个被吊销的证书存储在一个由Revoked Certificate表单创建的文档中,Revoked Cerfificate表单包括以下字段:
字段 存储的数据
Distinguished Name 满足RFC 1779的CA名称
Serial Number 被吊销的证书的顺序号
Revoke Date 证书被吊销的日期
Revocation Reason 证书被吊销的原因
在Revoked Certificate表单中,除了Revocation Reason字段以外,所有字段都是强制型的。Distinguished Name字段和Serial Number字段唯一地标识一个被吊销的证书。Revocation Reason字段用于标识吊销证书被吊销的原因。
Memo表单用于RFC 1424 PEM消息,该表单主要包括以下字段。
字段  存储的数据
From  PEM消息发送者的电子信箱地址
To  PEM消息接收者的电子信箱地址
Date  PEM消息的发送日期
Subject  PEM消息的主题
Body  PEM消息的主体
用于CRL数据库的Domino视图
在该Domino数据库中建立三个视图:Trusted CertificateAuthorities视图;Revoked Certificates\By Issuer视图和RevokedCertificates\By Serial Number视图,用于加速对特定CA和/或吊销的证书的检索。
Trusted Certificates Authorities视图具有以下各列:DistinguishedName、Current CRL Update Time、Next CRL Update Time和CurrentCRL Number列,这些列的值来自于每个Trusted Certificate Authority文档的相应字段。在该视图中,“Distinguished Name是用于自动排序列。
Revoked Certificates\By Issuer视图具有以下各列“DistinguishedName、Serial Number、Revoked Date和Revocation Reason列,这些字段的值来自于每个Revoked Certificate文档的相应字段。在该视图中,“Distinguished Name”是主排序列,“Serial Number”是次排序列。此外,“Distinguished Name”还是分类列。
Revoked Certificates\By Serial Number视图和RevokedCertificate\By Issuer视图所包含的列相同,但顺序不同,该视图所包含的列的顺序为:“Serial Number、Distinguished Name、Revoked Date和Revocation Reason”。在该视图中,“Serial Number”是主排序列,“Distinguished Name”为次排序列。
·Domino代理(agent)
CRL数据库还具有以下Java Domino代理:LDAP Retriever(检索)、HTTP Retriever(检索)、RFC 1424 Requester(请求)、RFC 1424Receiver(接收)和HTTP Receiver(接收)。LDAP Retriever代理、HTTPRetriever代理和RFC 1424 Requester代理是后台代理,LDAP Retriever代理周期性地从LDAP服务器或X.500-LDAP网关检索来自CA的CRL,并将CRL存储在CRL数据库,而HTTP Retriever代理周期性地从HTTP服务器上检索来自CA的CRL。此外,RFC 1424 Requester代理每隔一定时间间隔就向PCA信箱发送RFC 1424 CRL检索请求消息。仅当有新的信件到达时,RFC 1424 Receiver代理才被激活,然后该代理从到达的信件中检索CRL,将检索到的CRL存储在CRL数据库中。Http Receiver代理由HTTP请求触发。它对请求者的权限进行验证。如果验证成功,该代理将发送来的CRL存储在CRL数据库中,所以HTTP任务必须运行在宿主Domino服务器上。该代理提供了一种便于加入其它外部CRL检索方法的工作方式,它只需按如下所示在HTTP POST消息中发送已收到的CRL:
POST/X509CRL.nsf/HttpReceiver?OpenAgent HTTP/1.0
Conternt-length:<content length>
Content-type:application/pkix-cr1
Content-transfer-encoding:base 64
<base 64 encoded CRL>
然而,LDAP Retriever代理是一个非限制性代理,因为该代理将进行网络I/O操作,所以为了使该代理运行在服务器上,必须修改公用名称和地址薄中的服务器记录。
2.LDAP检索代理。
如图2所示,LDAP检索代理与LDAP服务器相连,以检索CRL并更新CRL数据库。
当前有两个用于LDAP的Java接口:JDAP和JNDI。JDAP是以IETF草稿定义的LDAP类库。在用于Java的Netscape Directory SDK中支持JDAP。JNDI(Java Naming and Directory Interface,Java命名和目录接口)是Java Enterprise API集的一部分,许多销售商,包括IBM、HP、Novell等都支持它。
LDAP服务器在进行其它操作之前,可能需要绑定操作以对客户机的身份进行认证。在正常情况下,CA的CRL属性是公众可获得的,于是匿名绑定操作就足够了。LDAP V2客户机必须以连接的第一个协议数据单元(PDU)发送绑定请求,而LDAP V3客户机不需要进行绑定操作,由于LDAP V3服务器自动将不带现有绑定的操作看作是匿名操作。为了与LDAP V2服务器兼容,在进行其它LDAP操作之前我们总是请求匿名绑定操作。
在绑定操作之后,LDAP检索代理使用特定的LDAP URL从LDAP服务器中获得CA最近的CRL。然后,该代理使用检索到的CRL更新CRL数据库。
3.HTTP检索代理
HTTP检索代理的工作情况与LDAP检索代理相类似,如图3所示。HTTP检索代理周期性地从HTTP服务器上检索来自CA的CRLs。
4.RFC 1424检索代理。
在前述中我们提到通过由每个CA的PCA维护的信箱可以提供RFC1424 CRL检索服务。如果想得到CA最新的CRL,你必须用PCA注册或向PCA信箱发送一个CRL检索请求。PCA将发回一个包含请求的CRL的CRL检索应答消息。CRL-检索请求消息和CRL-检索应答消息都是PEM(保密加强型消息)。所以必须使用信箱和PEM用户代理来发送CRL-检索请求消息和接收CRL-检索应答消息。
在公用名称和地址簿中的Domino Mail-In数据库记录提供了一种直接将电子邮件接收到Notes应用中的措施,一般将这种应用程序称为信件使能应用,中央CRL数据库就是这样一种信件使能应用。如在前述讨论的,在CRL数据库中驻留有两个代理:RFC 1424 Recevier和RFC1424 Requester,用于完成访问RFC 1424 CRL服务的任务。图4描述这种情况。
如果PCA支持非请求型CRL发布,即当最新CRL可得时,PCA自动向用户信箱发送CRL-检索应答消息,则可以取消对RFC 1424Requester代理的调度。
RFC 1424 Requester代理监听到来的CRL检索应答消息,验证检索到的CRL并将它们存储在CRL数据库中。
由于PCA通常使用标准的因特网邮件地址,所以用于CRL数据库的宿主Domino服务器必须能够和因特网电子邮件服务器交换电子邮件消息。
5.HTTP接收代理
如图5所示,HTTP接收代理由HTTP请求触发。它对请求者权限进行验证。如果验证成功,该代理将发送来的CRL存储在CRL数据库中。
6.CRL副本数据库
为了把CRL数据库分布到整个Notes网上,我们利用了Notes数据库复制功能将CRL数据库复制到其它Domino服务器上,于是电子商务系统能够容易、快速、低成本地访问最近的CRL副本数据库以得到最新的CRL。
如图6所示,在复制过程中我们采用Hub-and-Spoke(中心-辐射)复制结构以完成复制任务。
Hub服务器(中心服务器)负责:
·从所有的CA检索最新的CRL
·更新中央CRL数据库
·将更新内容传播到各spoke服务器(辐射点服务器)。
尽管可以使用Pull-Push(拉-推)、Pull-Pull(拉-拉)、Push-Only(只推)和Pull-Only(只拉)等复制类型,但是本领域一般技术人员会清楚在以上情形中最适合使用Push-Only(只推)或Pull-Only(只拉),因为不需要从幅射点服务器向中心服务器传播任何修改。指定使用Push-Only(只推)或Pull-Only(只拉)只影响哪个服务器启动复制工作,或者中央报务器“推”或者辐射点服务器“拉”。只需相应地修改复制连接记录和数据库ACL。
对于每个辐射点服务器,必须在公用名称和地址簿中创建复制连接记录。在所有这些记录中,如果在“Routing and Replication(路由和复制)”节中“Replication Type(复制类型)”字段被设置为“Push-Only(只推),则在“Basics(基本)”节的“Source Server(源服务器)”字段和“Destination server(目标服务器)”字段应该分别被指定为中央服务器和辐射点服务器。如果“Replication Type”字段被设置为“Pull-Only(只拉)”,则源服务器应该是辐射点服务器,而目标服务器应该是中央服务器。
对于“Push-Only”模式,辐射点服务器中的CRL数据库必须至少为中央服务器分配“Designer(设计者)”权限。然而,对于“Pull-Only”模式,中央服务器中的CRL数据库只需为辐射点服务器分配“Reader(读者)”权限。所以建议采纳“Pull-Only”复制模式。
5.用于对CRL进行访问的Java API
我们的系统不只检索和整理来自多个CA的CRL,还为电子商务系统提供一组用于对CRL进行访问的Java API。API表示为Java类CRLAccess Agent。CRL Access Agent类的构造器取CRL数据库的名称作为参数:
public CRL Access Agent(string db Name);
在示例CRL Access Agent对象之后,我们调用该类的方法获取有关特定CA的当前CRL的信息,并检验证书是否已被吊销。例如:
CRLAccessAgent CrlChecker;
cr1Checker=new CRLAccessAgent(“RevokedCert.nsf”);
if(!cr1Checker.is Revoked(aDigita1Certificate)){
   System.out.print1n(“The certificate is revoded!”);
  return;
}
......
因为CRL Access Agent类使用用于Notes Object Interface(NOI)的Java类来访问吊销证书数据库,则必须将notes.jar文件加到类路径上。
图7示出了根据本发明又一个实施例的有效地收集、整理和访问CRL的系统的方框图。如图所示,所有的CRL数据库不分主次,都可以接收来自CRL检索代理的经其整理后的证书吊销表,同时为了保持数据库之间的一致性,每一数据库都可以向其它数据库复制CRL更新结果。正如本领域一般技术人员所清楚的那样,在不违背本发明的精神的前提条件下,可以对以上实施例做出各种修改。
以上结合具体实施例描述了本发明的用于有效地整理和访问证书吊销表的系统。从以上有关本发明的介绍可以得出这样一种在通过数字证书实现安全通信的网络中,有效地整理和访问证书吊销表(CRL)的方法,如图8所示,在步骤801,根据认证机构发布证书吊销表的方式来建立多个CRL检索代理,用于整理来自多个认证机构的证书吊销表。在步骤802,将来自多个CRL检索代理的经其整理后的证书吊销表存储在中央CRL数据库中。在步骤803,从中央CRL数据库向多个CRL副本数据库复制证书吊销表。在步骤804,通过统一的应用程序接口访问中央CRL数据库或CRL-副本数据库。
以上我们描述的CRL访问机制,是一种独立于具体CA的CRL发布方式的有效地整理和访问CRL的机制。尽管在本发明实施例中利用了Lotus Domino的某些先进特点,但本领域一般技术人员应清楚,这并不构成对本发明的限制。此外,本领域一般技术人员还应清楚,在稍加修改后,本发明的用于收集、整理和访问证书吊销表的系统和方法还适合用于收集、整理和访问各种类型的黑名单,所以本发明旨在包括所有的这些修改和变型,本发明的保护范围应由所附权利要求书来限定。

Claims (13)

1.一种用于收集、整理和访问由认证机构发布的证书吊销表的系统,包括:
多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理,分别用于收集、整理由认证机构以相关方式发布的证书吊销表;
证书吊销表数据库,用于存储来自多个证书吊销表检索代理的经其整理后的证书吊销表;以及
证书吊销表访问用户接口,为用户访问证书吊销表数据库中的证书吊销表提供统一的应用程序接口。
2.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中证书吊销表数据库包括中央证书吊销表数据库和多个证书吊销表副本数据库,中央证书吊销表数据库用于存储来自多个证书吊销表检索代理的经其整理后的证书吊销表,多个证书吊销表副本数据库用于存储中央证书吊销表数据库中证书吊销表的副本。
3.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理包括一个LDAP证书吊销表检索代理,用于周期性地从特定的LDAP服务器上检测证书吊销表和更新证书吊销表数据库中的证书吊销表,所述LDAP服务器用于以LDAP目录形式存放来自认证机构的证书吊销表。
4.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理包括一个HTTP证书吊销表检索代理,用于周期性地从特定的HTTP服务器上检测证书吊销表和更新证书吊销表数据库中的证书吊销表,所述HTTP服务器用于以超文本形式存放来自认证机构的证书吊销表。
5.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理包括一个RFC1424证书吊销表检索代理,用于周期性地发送RFC1424证书吊销表检索请求和接收证书吊销表检索应答。
6.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理包括一个HTTP接收代理,该代理由HTTP请求触发,该代理对请求者的权限进行验证,如果验证成功,该代理则将请求者发送来的证书吊销表存储在证书吊销表数据库中。
7.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的证书吊销表检索代理还对检索到的证书吊销表的完整性和合法性进行检验。
8.根据权利要求2的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中,中央证书吊销表数据库与多个证书吊销表副本数据库之间可以通过采用复制结构来保持数据库之间的一致性。
9.根据权利要求8的用于收集、整理和访问由认证机构发布的证书吊销表的系统,其中,中央证书吊销表数据库和多个证书吊销表副本数据库之间采用中心-辐射复制结构。
10.根据权利要求1的用于收集、整理和访问由认证机构发布的证书吊销表的系统,适用于收集、整理和访问各种类型的黑名单。
11.一种用于在通过数字证书实现安全通信的网络中收集、整理和访问由认证机构发布的证书吊销表的方法,所述方法的特征在于以下步骤:
根据认证机构发布证书吊销表的方式来建立多个证书吊销表检索代理,用于收集、整理来自多个认证机构的证书吊销表;
将来自多个证书吊销表检索代理的经其整理后的证书吊销表存储在证书吊销表数据库中;和
通过统一的应用程序接口访问证书吊销表数据库。
12.根据权利要求11的用于收集、整理和访问由认证机构发布的证书吊销表的方法,其中证书吊销表数据库包括中央证书吊销表数据库和多个证书吊销表副本数据库,中央证书吊销表数据库用于存储来自多个证书吊销表检索代理的经其整理后的证书吊销表,多个证书吊销表副本数据库用于存储中央证书吊销表数据库中证书吊销表的副本。
13.根据权利要求11的用于收集、整理和访问由认证机构发布的证书吊销表的方法,适用于收集、整理和访问各种类型的黑名单。
CNB00100915XA 2000-01-07 2000-01-07 有效地收集、整理和访问证书吊销表的系统和方法 Expired - Fee Related CN1182479C (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CNB00100915XA CN1182479C (zh) 2000-01-07 2000-01-07 有效地收集、整理和访问证书吊销表的系统和方法
CA002328645A CA2328645C (en) 2000-01-07 2000-12-15 A method and a system for certificate revocation list consolidation and access
SG200007699A SG92778A1 (en) 2000-01-07 2000-12-28 A method and a system for certificate revocation list consolidation and access
US09/754,813 US7761467B2 (en) 2000-01-07 2001-01-04 Method and a system for certificate revocation list consolidation and access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB00100915XA CN1182479C (zh) 2000-01-07 2000-01-07 有效地收集、整理和访问证书吊销表的系统和方法

Publications (2)

Publication Number Publication Date
CN1304109A CN1304109A (zh) 2001-07-18
CN1182479C true CN1182479C (zh) 2004-12-29

Family

ID=4575733

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB00100915XA Expired - Fee Related CN1182479C (zh) 2000-01-07 2000-01-07 有效地收集、整理和访问证书吊销表的系统和方法

Country Status (4)

Country Link
US (1) US7761467B2 (zh)
CN (1) CN1182479C (zh)
CA (1) CA2328645C (zh)
SG (1) SG92778A1 (zh)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US7730300B2 (en) 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
US7565546B2 (en) 1999-03-30 2009-07-21 Sony Corporation System, method and apparatus for secure digital content transmission
US7039614B1 (en) 1999-11-09 2006-05-02 Sony Corporation Method for simulcrypting scrambled data to a plurality of conditional access devices
US7225164B1 (en) 2000-02-15 2007-05-29 Sony Corporation Method and apparatus for implementing revocation in broadcast networks
US20020099822A1 (en) * 2001-01-25 2002-07-25 Rubin Aviel D. Method and apparatus for on demand certificate revocation updates
US6912582B2 (en) * 2001-03-30 2005-06-28 Microsoft Corporation Service routing and web integration in a distributed multi-site user authentication system
US6970862B2 (en) * 2001-05-31 2005-11-29 Sun Microsystems, Inc. Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
US7747853B2 (en) 2001-06-06 2010-06-29 Sony Corporation IP delivery of secure digital content
US20030005326A1 (en) * 2001-06-29 2003-01-02 Todd Flemming Method and system for implementing a security application services provider
US20030037234A1 (en) * 2001-08-17 2003-02-20 Christina Fu Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster
JP3935879B2 (ja) * 2001-11-06 2007-06-27 インターナショナル・ビジネス・マシーンズ・コーポレーション データ供給のためのシステム
KR100698514B1 (ko) * 2002-03-11 2007-03-21 (주)케이사인 효율적인 인증서폐기목록 처리 방법 및 컴퓨터 프로그램제품
US8423763B2 (en) * 2002-03-20 2013-04-16 Research In Motion Limited System and method for supporting multiple certificate status providers on a mobile communication device
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US8572408B2 (en) 2002-11-05 2013-10-29 Sony Corporation Digital rights management of a digital device
US7724907B2 (en) 2002-11-05 2010-05-25 Sony Corporation Mechanism for protecting the transfer of digital content
US8645988B2 (en) 2002-12-13 2014-02-04 Sony Corporation Content personalization for digital content
US8667525B2 (en) 2002-12-13 2014-03-04 Sony Corporation Targeted advertisement selection from a digital stream
US20040139022A1 (en) 2002-12-17 2004-07-15 Singer Mitch Fredrick Content states in a media network environment
US7370212B2 (en) * 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
WO2004097605A1 (en) * 2003-04-28 2004-11-11 Koninklijke Philips Electronics N.V. Method of storing revocation list
US7483532B2 (en) * 2003-07-03 2009-01-27 Microsoft Corporation RTP payload format
US7805344B2 (en) * 2004-03-12 2010-09-28 Sybase, Inc. System providing methodology for consolidation of financial information
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
US8838794B2 (en) * 2004-06-30 2014-09-16 International Business Machines Corporation Method, system and program product for simulating activity in a server environment
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US20060218393A1 (en) * 2005-03-23 2006-09-28 Hernandez Hendrich M Systems and methods for adaptive authentication
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US8725646B2 (en) * 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US20060265758A1 (en) * 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US7684566B2 (en) * 2005-05-27 2010-03-23 Microsoft Corporation Encryption scheme for streamed multimedia content protected by rights management system
US7818575B2 (en) * 2005-06-24 2010-10-19 Microsoft Corporation Efficient retrieval of cryptographic evidence
US7769880B2 (en) 2005-07-07 2010-08-03 Microsoft Corporation Carrying protected content using a control protocol for streaming and a transport protocol
US7561696B2 (en) * 2005-07-12 2009-07-14 Microsoft Corporation Delivering policy updates for protected content
US8321690B2 (en) * 2005-08-11 2012-11-27 Microsoft Corporation Protecting digital media of various content types
US7634816B2 (en) * 2005-08-11 2009-12-15 Microsoft Corporation Revocation information management
US9054879B2 (en) * 2005-10-04 2015-06-09 Google Technology Holdings LLC Method and apparatus for delivering certificate revocation lists
US7720096B2 (en) * 2005-10-13 2010-05-18 Microsoft Corporation RTP payload format for VC-1
KR100749803B1 (ko) * 2005-11-03 2007-08-17 한국전자통신연구원 자격폐기목록을 이용한 디지털 방송 제한수신 시스템 및 그방법
US8316230B2 (en) * 2005-11-14 2012-11-20 Microsoft Corporation Service for determining whether digital certificate has been revoked
CN1832400B (zh) * 2005-11-14 2011-08-17 四川长虹电器股份有限公司 内容保护系统以及方法
US20080052510A1 (en) * 2006-05-12 2008-02-28 Samsung Electronics Co., Ltd. Multi certificate revocation list support method and apparatus for digital rights management
US7958349B2 (en) * 2007-08-30 2011-06-07 Red Hat, Inc. Method for revoking a digital signature
JP4932034B2 (ja) * 2008-03-28 2012-05-16 パナソニック株式会社 ソフトウェア更新装置、ソフトウェア更新システム、無効化方法、及び無効化プログラム
US8464347B2 (en) * 2008-03-28 2013-06-11 Panasonic Corporation Software updating apparatus, software updating system, alteration verification method and alteration verification program
US8438388B2 (en) * 2008-03-31 2013-05-07 Motorola Solutions, Inc. Method and apparatus for distributing certificate revocation lists (CRLs) to nodes in an ad hoc network
US10270602B2 (en) * 2008-10-01 2019-04-23 International Business Machines Corporation Verifying and enforcing certificate use
US8707276B2 (en) * 2011-01-07 2014-04-22 Mastercard International Incorporated Method and system for managing programmed applications in an open API environment
US8677308B2 (en) 2011-01-07 2014-03-18 Mastercard International Incorporated Method and system for generating an API request message
US9083534B2 (en) 2011-01-07 2015-07-14 Mastercard International Incorporated Method and system for propagating a client identity
US9032204B2 (en) 2011-01-07 2015-05-12 Mastercard International Incorporated Methods and systems for providing a signed digital certificate in real time
US8671385B2 (en) 2011-01-07 2014-03-11 Mastercard International Incorporated Methods and systems for throttling calls to a service application through an open API
TWI433558B (zh) 2011-12-05 2014-04-01 Ind Tech Res Inst 動態調整憑證撤銷清單更新頻率的方法及系統
US9641343B1 (en) * 2011-12-20 2017-05-02 Google Inc. Efficient unified certificate revocation lists
US8581633B2 (en) 2012-01-17 2013-11-12 Hamilton Sundstrand Corporation Analog peak hold circuits
US8656155B2 (en) * 2012-02-10 2014-02-18 International Business Machines Corporation Dynamic generation and processing of certificate public information directories
US9424405B2 (en) * 2012-11-28 2016-08-23 Apple Inc. Using receipts to control assignments of items of content to users
US8719908B1 (en) * 2012-12-21 2014-05-06 Disney Enterprises, Inc. Digital certificate management
US10142108B2 (en) * 2013-06-17 2018-11-27 Qube Cinema, Inc. Copy protection scheme for digital audio and video content authenticated HDCP receivers
WO2015092949A1 (ja) * 2013-12-16 2015-06-25 パナソニックIpマネジメント株式会社 認証システムおよび認証方法
CN104778165A (zh) * 2014-01-09 2015-07-15 山西太钢不锈钢股份有限公司 一种Domino与关系型数据库系统集成设计方法
CN104980438B (zh) * 2015-06-15 2018-07-24 中国科学院信息工程研究所 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US9906374B2 (en) 2016-02-29 2018-02-27 Red Hat, Inc. Efficient certificate revocation list processing
TWI600334B (zh) 2016-03-23 2017-09-21 財團法人工業技術研究院 車輛網路節點之安全憑證管理方法與應用其之車輛網路節 點
EP3851923B1 (de) 2020-01-14 2023-07-12 Siemens Aktiengesellschaft Leitsystem für technische anlagen mit zertifikatsmanagement
WO2021245600A1 (en) * 2020-06-03 2021-12-09 IOT.nxt BV System and method for maintaining a list of cryptographic certificates
EP3993339B1 (de) * 2020-10-29 2023-05-31 Siemens Aktiengesellschaft Zertifikatsmanagement in einer technischen anlage
CN114157432B (zh) * 2021-11-25 2024-08-23 上海派拉软件股份有限公司 数字证书获取方法、装置、电子设备、系统和存储介质
CN117314476B (zh) * 2023-11-28 2024-02-27 四川隧唐科技股份有限公司 一种证书数据的整合方法及装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658568B1 (en) * 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US6134551A (en) * 1995-09-15 2000-10-17 Intel Corporation Method of caching digital certificate revocation lists
US5745574A (en) * 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
US6028938A (en) * 1996-04-30 2000-02-22 Shana Corporation Secure electronic forms permitting layout revision
US5903651A (en) * 1996-05-14 1999-05-11 Valicert, Inc. Apparatus and method for demonstrating and confirming the status of a digital certificates and other data
US5903882A (en) * 1996-12-13 1999-05-11 Certco, Llc Reliance server for electronic transaction system
US6035402A (en) * 1996-12-20 2000-03-07 Gte Cybertrust Solutions Incorporated Virtual certificate authority
US6044462A (en) * 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
US6092201A (en) * 1997-10-24 2000-07-18 Entrust Technologies Method and apparatus for extending secure communication operations via a shared list
US6128740A (en) * 1997-12-08 2000-10-03 Entrust Technologies Limited Computer security system and method with on demand publishing of certificate revocation lists
US6304882B1 (en) * 1998-05-05 2001-10-16 Informix Software, Inc. Data replication system and method
US6564219B1 (en) * 1998-11-19 2003-05-13 Emc Corporation Method and apparatus for obtaining an identifier for a logical unit of data in a database
US6411956B1 (en) * 1999-06-14 2002-06-25 Sun Microsystems, Inc. Method for distributed transaction support using JDBC 1.0 drivers
WO2001095555A1 (en) * 2000-06-06 2001-12-13 Bex.Com Pte. Ltd. Method and apparatus for establishing global trust bridge for multiple trust authorities

Also Published As

Publication number Publication date
CA2328645A1 (en) 2001-07-07
SG92778A1 (en) 2002-11-19
CN1304109A (zh) 2001-07-18
US7761467B2 (en) 2010-07-20
CA2328645C (en) 2009-04-21
US20020004773A1 (en) 2002-01-10

Similar Documents

Publication Publication Date Title
CN1182479C (zh) 有效地收集、整理和访问证书吊销表的系统和方法
CN1287305C (zh) 网络系统
CN1278252C (zh) 配置高可用联机证书状态协议应答器的方法和装置
US6792531B2 (en) Method and system for revocation of certificates used to certify public key users
CN1096166C (zh) 为多个客户机提供口令组合检查的方法和网络系统服务器
US6438690B1 (en) Vault controller based registration application serving web based registration authorities and end users for conducting electronic commerce in secure end-to-end distributed information system
US9894039B2 (en) Signed ephemeral email addresses
US10715502B2 (en) Systems and methods for automating client-side synchronization of public keys of external contacts
US20090198997A1 (en) System and method for secure electronic communication services
JP2003526835A (ja) ドメイン名関連の申請登録用の共用登録のシステム
CN1379339A (zh) 无服务器的分布式文件系统
CN1606269A (zh) 高速化验证公开密钥证件的方法和装置
CN1863044A (zh) 电子邮件服务器设备及其证书管理方法
JP2013532328A (ja) クレームベースのコンテンツ評価サービス
US20060168443A1 (en) Transparent on-demand certificate provisioning for secure email
JP5065682B2 (ja) 名前解決のためのシステムおよび方法
US20030172296A1 (en) Method and system for maintaining secure access to web server services using permissions delegated via electronic messaging systems
US7013388B2 (en) Vault controller context manager and methods of operation for securely maintaining state information between successive browser connections in an electronic business system
CN1722710A (zh) 电子邮件管理系统及方法
JP2002007551A (ja) 個人情報提供システムおよび方法
TW583539B (en) Internet-based document management system and method of providing Internet-based document management
US7007091B2 (en) Method and apparatus for processing subject name included in personal certificate
US20030172298A1 (en) Method and system for maintaining secure access to web server services using server-delegated permissions
US20030172297A1 (en) Method and system for maintaining secure access to web server services using public keys
US20030172299A1 (en) Method and system for maintaining secure access to web server services using permissions

Legal Events

Date Code Title Description
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C06 Publication
PB01 Publication
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20041229

Termination date: 20190107