【技术实现步骤摘要】
一种域名所有者自定义验证策略的证书透明化方法和系统
[0001]本专利技术属于信息安全、身份认证
,具体涉及一种域名所有者自定义验证策略的证书透明化方法和系统。
技术介绍
[0002]随着计算机网络和信息技术的迅速发展,人们的生活、工作、学习等各方面越来越多依赖于网络通信。PKI技术在实际应用系统中已被大规模应用,是认证通信方身份、保护通信数据的重要方法。PKI体系的安全性依赖于CA的绝对可信,然而CA可能由于审核不严格、管理不规范、被黑客入侵等原因错误的签发证书。可以看出,即使是CA按照协议规定签发的证书,也可能是欺诈性证书。证书透明化方案(Certificate Transparency,CT)是目前应用最为广泛的PKI信任增强方案,CT将CA签发的所有证书都记录在日志中,任何人都可以查看这个日志,这有效限制了CA的权利,提高了对CA的问责能力,虽然CT不能阻止CA签发欺诈性证书,但是一旦CA签发了欺诈性证书就会被发现。
[0003]与传统PKI系统相比,CT框架增加了三个新的组件。1)日志服务器(Log Server),接收、存储各种网络实体提交的数字证书,并返回已签证书时间戳(Signed Certificate Timestamp,SCT)作为证书被公开记录的证明,并接受相关方(主要是域名所有者)的审计。2)监视器(Monitor),定期从所监视的Log Server获取证书、并检查感兴趣的证书;Monitor可以由专业的机构承担(第三方Monitor),域名所有者通过第三方Monitor来查 ...
【技术保护点】
【技术特征摘要】
1.一种域名所有者自定义验证策略的证书透明化方法,其步骤包括:1)域名所有者自定义CT验证策略,对其进行数据编码后,使用自己的TLS证书进行签名,形成CVP;其中,CT验证策略为证书透明化验证策略;2)域名所有者将CVP及对应的签名证书发送给策略日志服务器Policy
‑
Log Server,并从所述Policy
‑
Log Server获得SPT;SPT是由Policy
‑
Log Server对CVP进行数字签名得到的结果;3)域名所有者将其数字证书、SPT、以及所述CT验证策略所指定的SCT发送给TLS客户端;其中,SCT为已签证书时间戳;4)TLS客户端对所访问的网站进行域名证书验证,包括验证数字证书及其证书链,验证SPT及其包含的CVP,以及根据CVP中所声明的CT验证策略逐一验证SCT;将以上验证均通过的数字证书才被认为是有效数字证书;5)所述域名所有者仅监视CVP中所声明的日志服务器Log Server,即可获得所有绑定其域名的有效数字证书,通过对比获取的有效数字证书与自己实际申请的数字证书,确定是否存在欺诈性的有效数字证书。2.根据权利要求1所述的方法,其特征在于,所述CVP中包含作用域、具体CT验证策略;其中,所述作用域为一个域名列表,所述域名列表中的每一个域名的证书均满足CVP指定的策略;所述具体CT验证策略包含SCT数量以及针对每个SCT的策略;所述SCT的策略用来限定SCT所来自的Log Server。3.根据权利要求1所述的方法,其特征在于,所述Policy
‑
Log Server签发SPT的方法为:Policy
‑
Log Server验证收到的CVP的有效性,包括验证CVP的签名、验证对应的签名证书的作用域是否完全覆盖CVP的作用域、验证签名证书及其证书链;若验证成功,则为所述域名所有者签发SPT。4.根据权利要求1或3所述的方法,其特征在于,所述SPT中包含CVP、签发时间、签发者的身份标识、签名算法以及相应的签名值。5.根据权利要求1所述的方法,其特征在于,步骤5)中,所述域名所有者还需监视Policy
‑
Log Server,从中获取CVP,通过对比获取的CVP与步骤1)中自己实际制定的CVP确定是否存在欺诈性的CVP;当发现欺诈性的CVP,则域名所有者撤销该CVP,其方法为:所述域名所有者向所述Policy
‑
Log Server提交利用域名所有者数字证书签名的CVP撤销申请;所述Policy
‑
Log Server验证所述CVP撤销申请的签名、数字证书、证书链、作用域、以及所要撤销的CVP是否存在;若验证通过,则所述Policy
‑
Log Server撤销对应的CVP。6.根据权利要求1所述的方法,其特征在于,步骤2)中,所述域名所有者在证书申请阶段将SPT发送给证书颁发机构,所述证书颁发机构将SPT嵌入到证书扩展当中,所述域名所有者利用证书扩展将SPT发送给TLS客户端。7.根据权利要求1...
【专利技术属性】
技术研发人员:王琼霄,孙傲卓,宋利,王伟,万会庆,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。