【技术实现步骤摘要】
【国外来华专利技术】用于大量证书的轻量级证书状态检查系统
[0001]本专利技术总体涉及证书状态管理。本专利技术尤其涉及一种证书状态检查系统,能够处理大量被撤销的证书。例如,这种轻量级证书状态检查系统能够应用于拥有数十亿用户的云应用程序和/或物联网(Internet of Things,IoT)应用程序中。本专利技术具体提出了一种用于生成证书撤销列表(Certificate Revocation List,CRL)的设备,一种用于检查给定证书的状态的设备以及对应的系统和方法。
技术介绍
[0002]证书状态管理是基于证书的认证系统的一个关键组成部分。许多基于证书的传统认证系统都提供离线检查证书撤销服务,即提供一个包含被撤销证书的证书撤销列表(Certificate Revocation List,CRL)。这使得客户端能够通过分析CRL来检查给定证书的状态。基于证书的认证系统中都需要状态检查,在这些系统中,用户希望使用证书对服务器进行认证,而服务器希望使用另一证书对用户进行认证。
[0003]标准“Internet X.509Publi...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于生成证书撤销列表(Certificate Revocation List,CRL)(101)的设备(100),其特征在于,所述设备(100)用于将以下两者包含到所述CRL(101)中:包括搜索树(103)的主CRL(102),其中,所述搜索树(103)对应所有证书的序列号范围内的序列号,所述搜索树(103)上的每个叶子(300)与所述序列号组成的不同子范围(301)关联,并且包括根据被撤销证书在与所述叶子(300)关联的子范围(301)内的序列号计算得到的哈希值(302);所述搜索树(103)上的每个叶子(300)对应的从CRL(104),其中,每个从CRL(104)包括所述被撤销证书在与所述叶子(300)关联的子范围(301)内的序列号。2.根据权利要求1所述的设备(100),其特征在于,还用于:使用签名密钥对(305)来对所述主CRL(102)进行签名。3.根据权利要求1或2所述的设备(100),其特征在于,还用于:将所述CRL(101),尤其是最新CRL(101),定期发布到CRL下载服务器(402)上。4.根据权利要求1所述的设备(100),其特征在于,还用于:从证书状态数据库(401)中获取与每个证书相关的认证数据和状态数据;根据所述获取的数据生成所述CRL(101)。5.根据权利要求1至4中任一项所述的设备(100),其特征在于,所述设备(100)是证书颁发中心。6.一种用于检查给定证书(201)的状态的设备(200),其特征在于,所述设备(200)用于:下载包括搜索树(103)的主CRL(102),其中,所述搜索树(103)对应所有证书的序列号范围内的序列号,所述搜索树(103)上的每个叶子(300)与所述序列号组成的不同子范围(301)关联,并且包括根据被撤销证书在与所述叶子(300)关联的所述子范围(301)内的序列号计算得到的哈希值(302);下载所述搜索树(103)上的叶子(300)对应的从CRL(104),其中,所述叶子(300)与包括所述给定证书(201)的序列号的子范围(301)关联;如果所述给定证书(201)的序列号包含在所述从CRL(104)中,则确定所述给定证书(201)处于被撤销证书(202)的状态。7.根据权利要求6所述的设备(200),其特征在于,还用于:计算所述下载的从CRL(104)中的序列号的哈希值;将所述计算得到的哈希值与存储在所述搜索树(103)上的与所述下载的从CRL(104)相关的叶子(300)中的哈希值进行比较;如果所述比较的哈希值相同,则确定所述从CRL(104)的完整性。8.根据权利要求6或7所述的设备(200),其特征在于,还用于:独立下载所述主CRL(102)和至少一个从CRL(104)。9.根据权利要求6至8中任一项所述的设备(200),其特征在于,还用于:将所述下载的主CRL(102)存储在本地;
当要检查所述给定证书(201)的状态时,根据每个请求下载所述搜索树(103)上的叶子(300)对应的从CRL(104)。10.根据权利要求6至9中任一项所述的设备(200),其特征在于,所述设备(200)为客户端,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。