为系统提供路径确认信息包括确定系统证书子集和至少一信任根之间的路径,在请求路径确认信息之前将每一路径均保存在表中,及响应于请求路径确认信息的请求取回保存在表中的确认信息。提供路径确认信息还包括数字签署确认信息。提供路径确认信息还包括对确认信息应用约束条件并仅提供满足约束条件的确认信息。确定路径包括建立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。
【技术实现步骤摘要】
【国外来华专利技术】分布式代表路径发现与确认 相关申请交叉索引本申请要求2003年11月19日申请的美国临时申请60/523, 398 的优先权,其通过引用组合于此。专利技术背景1.
本申请涉及数据安全和确认领域,特别是涉及验证和确认数字证 书及其它信息的领域。2.
技术介绍
能够确定数字证书的状态是有用的,其包括确定证书是否被正当 地发出和/或证书在其过期之前是否已被废除。现在有很多确定单个 数字证书的状态的技术。例如,美国专利5, 666, 416和5, 717, 758描 述了提供单个证书状态的技术。其它散布和确定证书状态的技术也广 为人知,包括证书废除表(CRL),其为数字签署的作废证书的列表。验证数字证书要求必须信任数字证书的发行人和/或作废信息的 签署人,二者可以是也可以不是同一实体。在数字证书的情况下,"信 任"发行人和/或作废信息的签署人涉及这样一个事实,即发行人和/ 或签署人是具有对应于秘密密钥的有效公钥的已知管理机构,所述密 钥用于签署证书和/或作废信息。例如,用户可接收由管理机构A数 字签署的数字证书,也可接收由不同的管理机构A'签署的最新CRL (其不包含数字证书)。然而,用户可能想要能够同时信任A及A' 连同它们的公钥(对应于用于签署证书和CRL的秘密密钥)以能够认 同证书。有多种机制用于帮助发布证书及作废信息的另外的未知管理机 构的散布与信任。在一些情况下,可能使可信管理机构数字签署信息 (或确认信息)以验证另外的未知管理机构。其后,先前未知的管理机构可呈现数字签署的信息(如数字证书和/或作废信息),其可使 用先前未知的管理机构的公钥进行验证。例如,如果用户不知道或不信任管理机构Al和A2的数字签名,但用户知道和信任管理机构A3, 则用户可获得(或被呈现以)由A3 (因而由A3担保)数字签署的、 表明A1和A2是可信赖管理机构的信息。因此,如果该用户被呈现以 Al签署的数字证书及A2签署的CRL (其未列出数字证书),用户可 使用由A3担保的信息验证所呈现的证书的有效性。另外还有可用在管理机构担保其它管理机构情况中的嵌套机制。 例如,通过引用组合于此的美国专利5, 717, 759公开了这样的技术-第一管理机构Al担保第二管理机构A2、第二管理机构A2担保第三 管理机构A3等,直到嵌套达到潜在用户信任的管理机构为止。在一 些情况下,担保可包括提供担保机构的数字签名。尽管嵌套和其它机制是有用的,但在某些情况下,用户可能被呈 现以数字证书和/或作废信息和/或某些其它信息,但没有简单直接的 机制可确定证书/作废信息的签署人可被信任,因而用户不能确定数 字证书在当前是否有效。因此,解决该问题是有用的。
技术实现思路
根据本专利技术,为系统提供路径确认信息包括确定系统证书子集和 至少一信任根之间的路径,在请求路径确认信息之前将每一路径均保 存在表中,及响应于请求路径确认信息的请求取回保存在表中的确认 信息。提供路径确认信息还包括数字签署确认信息。提供路径确认信 息还包括对确认信息应用约束条件并仅提供满足约束条件的确认信 息。确定路径包括建立可信根及证书子集的有向图并对图执行深度优 先的非循环搜索。表可使用可信的根或使用证书进行索引。提供路径 确认信息还包括接收证书子集的废除状态的证明,在请求路径确认信 息之前保存证明,及响应于请求路径确认信息的请求取回证明及确认 信息。提供路径确认信息还包括数字签署确认信息及证明。提供路径 确认信息还包括对确认信息应用约束条件且仅提供满足约束条件的确认信息。确定路径包括建立可信根及证书子集的有向图并对图执行 深度优先的非循环搜索。证明可被保存在包含确认信息的表中。表可 使用可信的根进行索引。表可使用证书进行索引。证明可被保存在与 包含确认信息的表分开的其它表中。其它表可使用可信的根或使用证 书进行索引。证书子集可包括可信的根、向终端用户发出证书的管理 机构、及担保其它管理机构的管理机构。证书子集还可包括终端用户 证书。根据本专利技术,为系统提供路径确认信息的计算机程序产品包括包 含计算机程序产品的可执行代码的存储介质,确定系统证书子集和至 少一信任根之间的路径的可执行代码,在请求路径确认信息之前将每 一路径保存在表中的可执行代码,及响应于请求路径确认信息的请求 取回保存在表中的确认信息的可执行代码。计算机程序产品还包括数 字签署确认信息的可执行代码。计算机程序产品还包括对确认信息应 用约束条件并仅提供满足约束条件的确认信息的可执行代码。确定路 径的可执行代码建立可信根及证书子集的有向图并对图执行深度优 先的非循环搜索。表可使用可信的根进行索引。表可使用证书进行索 引。计算机程序产品还包括接收证书子集的废除状态的证明的可执行 代码,在请求路径确认信息之前保存证明的可执行代码,及响应于请 求路径确认信息的请求取回证明及确认信息的可执行代码。计算机程 序产品还包括数字签署确认信息及证明的可执行代码。计算机程序产 品还包括对确认信息应用约束条件且仅提供满足约束条件的确认信 息的可执行代码。确定路径的可执行代码建立可信根及证书子集的有 向图并对图执行深度优先的非循环搜索。证明可被保存在包含确认信 息的表中。表可使用可信的根或使用证书进行索引。证明可被保存在 与包含确认信息的表分开的其它表中。其它表可使用可信的根或使用 证书进行索引。证书子集可包括可信的根、向终端用户发出证书的管 理机构、及担保其它管理机构的管理机构。证书子集还可包括终端用 户证书。根据本专利技术,服务器包括处理器、连到处理器的内存储器、提供 在内存储器上的确定证书子集和至少一可信根之间的路径的可执行 代码、提供在内存储器上的在请求路径确认信息之前将每一路径保存 在表中的可执行代码、及提供在内存储器上的响应于请求路径确认信 息的请求取回保存在表中的确认信息的可执行代码。服务器可包括提 供在内存储器上的数字签署确认信息的可执行代码。服务器可包括提 供在内存储器上的、对确认信息应用约束条件并仅提供满足约束条件 的确认信息的可执行代码。确定路径的可执行代码建立可信根及证书 子集的有向图并对图执行深度优先的非循环搜索。表可使用可信的根 或使用证书进行索引。服务器可包括提供在内存储器上的接收证书子 集的废除状态的证明的可执行代码,提供在内存储器上的在请求路径 确认信息之前保存证明的可执行代码,及提供在内存储器上的响应于 请求路径确认信息的请求取回证明及确认信息的可执行代码。服务器 还包括提供在内存储器上的数字签署确认信息及证明的可执行代码。 服务器可包括提供在内存储器上的对确认信息应用约束条件且仅提 供满足约束条件的确认信息的可执行代码。确定路径的可执行代码建 立可信根及证书子集的有向图并对图执行深度优先的非循环搜索。证 明可被保存在包含确认信息的表中。表可使用可信的根或使用证书进 行索引。证明可被保存在与包含确认信息的表分开的其它表中。其它 表可使用可信的根或使用证书进行索引。证书子集可包括可信的根、 向终端用户发出证书的管理机构、及担保其它管理机构的管理机构。 证书子集还可包括终端用户证书。附图说明图1为根据在此描述的系统的实施例的非置信的代表路径/确认 服务器。图2为根据在此描述的系统的实施例的可信代表路径/确认服务器。本文档来自技高网...
【技术保护点】
为系统提供路径确认信息的方法,包括: 确定系统证书子集和至少一信任根之间的路径; 在请求路径确认信息之前将每一路径保存在表中;及 响应于请求路径确认信息的请求取回保存在表中的确认信息。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:戴维恩贝里,
申请(专利权)人:科尔街有限公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。