数字证书撤销方法及设备
阅读:19发布:2020-05-13
专利汇可以提供数字证书撤销方法及设备专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种数字证书撤销方法,客户端获取数字证书撤销指令;依据所述数字证书撤销指令构造数字证书撤销 请求 消息;对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;将所述经过数字加密并设置有身份标识的数字证书撤销请求消息发送至证书 服务器 ,请求所述证书服务器对数字证书进行撤销。本发明在接收到用户输入的数字证书撤销指令时,通过构造数字证书撤销请求消息;将所述数字证书撤销请求消息发送至证书服务器;对数字证书进行撤销;使撤销过程更加直接快捷,确保了数字证书撤销的及时性,使用户信息更加的安全。,下面是数字证书撤销方法及设备专利的具体信息内容。
1.一种数字证书撤销方法,其特征在于,包括:
获取数字证书撤销指令;
依据所述数字证书撤销指令构造数字证书撤销请求消息;
对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
将所述经过数字加密并设置有身份标识的数字证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
2.根据权利要求1所述的方法,其特征在于,所述依据数字证书撤销指令构造数字证书撤销请求消息包括:
解析所述数字证书撤销指令中包含的待撤销数字证书的数据信息;
依据所述数据信息构造数字证书撤销请求消息;所述数字证书撤销请求消息包括:所述待撤销数字证书在所述证书服务器中的物理地址。
3.根据权利要求1或2所述的方法,其特征在于,将所述数字证书撤销请求消息发送至证书机构中的服务器后,所述方法还包括:
等待接收所述证书服务器响应的数字证书撤销应答消息,并从将所述数字证书撤销请求消息发送至所述证书服务器时开始计时;
当超过预设时间仍未接收到所述证书服务器响应的数字证书撤销应答消息时,重新发送所述数字证书撤销请求消息至所述证书服务器。
4.根据权利要求3所述的方法,其特征在于,还包括:
记录重新发送所述数字证书撤销请求消息至所述证书服务器的次数;
当重新发送的次数超过预设发送次数时,停止发送所述数字证书撤销请求消息,并提示数字证书撤销失败。
5.一种数字证书撤销设备,其特征在于,包括:
获取单元,用于获取数字证书撤销指令;
处理器,用于依据所述数字证书撤销指令构造数字证书撤销请求消息;
编码器,用于对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
发射器,用于将所述经过数字加密并设置有身份标识的证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
6.根据权利要求5所述的设备,其特征在于,所述处理器包括:
解析单元,用于解析所述数字证书撤销指令中包含的待撤销数字证书的数据信息;
构造单元,用于依据所述数据信息构造数字证书撤销请求消息;所述数字证书撤销请求消息包括:待撤销数字证书在证书服务器中的物理地址。
7.根据权利要求5或6所述的设备,其特征在于,还包括:
响应接收器,用于等待接收所述证书机构中的服务器响应的数字证书撤销应答消息;
计时器,用于从将所述数字证书撤销请求消息发送至所述证书服务器时开始计时;并在超过预设时间,且所述响应接收器仍未接收到所述证书服务器响应的数字证书撤销应答消息时,发送控制指令至所述发射器,控制所述发射器重新发送所述数字证书撤销请求消息至所述证书服务器。
8.根据权利要求7所述的设备,其特征在于,还包括:
计数器,用于记录所述发射器重新发送所述数字证书撤销请求消息至所述证书服务器的次数;并在当记录的重新发送的次数超过预设发送次数时,控制所述发射器停止发送所述数字证书撤销请求消息,并提示数字证书撤销失败。
9.一种数字证书撤销方法,其特征在于,包括:
接收终端实体发送的数字证书撤销请求消息;
对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;
当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销。
10.根据权利要求9所述的方法,其特征在于,所述对与数字证书撤销请求消息相对应的数字证书进行撤销包括:
解析所述数字证书撤销请求消息中的待撤销数字证书在证书服务器中的物理地址;
依据所述物理地址查找相应的数字证书,并对所述数字证书进行撤销。
11.根据权利要求9或10所述的方法,其特征在于,还包括:
向所述终端实体响应证书撤销应答消息。
12.一种数字证书撤销设备,其特征在于,包括:
接收器,用于接收终端实体发送的数字证书撤销请求消息;
处理器,用于对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;并在当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销。
13.根据权利要求12所述的设备,其特征在于,所述处理器包括:
解析单元,用于解析所述数字证书撤销请求消息中的待撤销数字证书在证书服务器中的物理地址;
撤销单元,用于依据所述物理地址查找相应的数字证书,并对所述数字证书进行撤销。
14.根据权利要求12或13所述的设备,其特征在于,还包括:
响应器,用于响应证书撤销应答消息至所述终端实体。
数字证书撤销方法及设备
技术领域
[0001] 本申请涉及网络安全领域,特别是涉及一种数字证书撤销方法及设备。
背景技术
[0002] 随着信息科技的发展,人们生活质量的提高,网络科技已经成为人们生活的一部分,如日常生活中人们经常使用的网银,个人邮箱等。网络科技已经越来越多的改变了人们的生活,与此同时,网络科技的通信安全问题也越来越多的引起人们的关注,现有的对于网络科技的通信安全保障大多采用PKI技术。
[0003] 公钥基础设施(英文:Pubilc Key Infrastructure,简称:PKI)是通过公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI基础设施采用证书管理公钥,通过证书机构(英文:Certificate Authority,简称:CA),把用户的公钥和用户的其他身份信息捆绑在一起,它是一个具有通用性的安全基础设施,是一个系统或服务体系。
[0004] PKI的功能是通过签发数字证书来绑定证书持有者的身份和相关的公开密钥,为用户获取证书、访问证书和撤销证书提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、黑名单发布等)实现通信过程中各实体的身份认证,保证了通信数据的机密性、完整性和不可否认性。
[0005] 证书机构CA是负责数字证书的发放和管理的机构,其核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书撤销列表(英文:Certificate Revocation List,简称:CRL)的发布等。
[0006] 数字证书简称为证书,它是由证书机构签发的一段数据信息,是PKI技术的基础。数字证书格式由X.509定义,它是网上实体的身份证明,证明某一实体身份和公钥的合法性以及实体与公钥的绑定关系。证书是公钥的载体,证书上的公钥与唯一实体身份绑定。数字证书用一句话来概括,就是对实体公钥的封装。形象的讲就是终端实体的网络身份证。
[0008] 在具体应用PKI技术进行网络安全保障的过程中,由于用户身份、用户信息或者用户公钥的改变、用户私钥泄露或者用户业务中止等原因,用户需要将自己的数字证书撤销,即撤销公钥与用户身份信息的绑定关系。现有的撤销过程为用户打电话或发送E-mail至证书机构CA的管理员处,由管理员对用户的数字证书进行手工撤销;当证书机构CA的管理员由于某些原因没有及时接听用户的撤销电话或邮件时,则不能马上对需要撤销的数字证书进行撤销,从而造成网络安全隐患。发明内容
[0009] 为解决上述技术问题,本发明实施例提供一种数字证书撤销方法及设备。
[0010] 一方面,提供一种数字证书撤销方法,包括:
[0011] 获取数字证书撤销指令;
[0012] 依据所述数字证书撤销指令构造数字证书撤销请求消息;
[0013] 对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
[0014] 将所述经过数字加密并设置有身份标识的数字证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
[0015] 另一方面,还提供一种数字证书撤销设备,包括:
[0016] 接收器,用于获取数字证书撤销指令;
[0017] 处理器,用于依据所述数字证书撤销指令构造数字证书撤销请求消息;
[0018] 编码器,用于对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
[0019] 发射器,用于将所述经过数字加密并设置有身份标识的证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
[0020] 另一方面,还提供一种数字证书撤销方法,包括:
[0021] 接收终端实体发送的数字证书撤销请求消息;
[0022] 对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;
[0023] 当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销。
[0024] 另一方面,还提供一种数字证书撤销设备,包括:
[0025] 接收器,用于接收终端实体发送的数字证书撤销请求消息;
[0026] 处理器,用于对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;并在当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销。
[0027] 本发明提供的一种数字证书撤销方法及设备,在接收到用户输入的数字证书撤销指令时,依据所述数字证书撤销指令构造数字证书撤销请求消息;将所述数字证书撤销请求消息发送至证书服务器;所述证书服务器在接收到所述数字证书撤销请求消息时,查找与所述数字证书撤销请求相对应的数字证书,对所述数字证书进行撤销。撤销过程更加直接快捷,确保了数字证书撤销的及时性,使用户信息更加的安全。
[0028] 同时,本发明提供的数字证书撤销方法及设备,在将构造的数字证书撤销请求消息发送至证书服务器前,对所述数字证书撤销请求消息进行数字加密,并为所述经过数字加密的数字证书撤销请求消息设置身份标识,保证了所述数字证书撤销请求消息发送过程的安全性。附图说明
[0029] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030] 图1为本发明实施例一提供的一种数字证书撤销方法的流程图;
[0031] 图2为本发明实施例一提供的另一种数字证书撤销方法的流程图;
[0032] 图3为本发明实施例二提供的一种数字证书撤销方法的流程图;
[0033] 图4为本发明实施例二提供的另一种数字证书撤销方法的流程图;
[0034] 图5为本发明实施例三提供的一种数字证书撤销设备的结构示意图;
[0035] 图6为本发明实施例三提供的另一种数字证书撤销设备的结构示意图;
[0036] 图7为本发明实施例三提供的另一种数字证书撤销设备的结构示意图;
[0037] 图8为本发明实施例四提供的一种数字证书撤销方法的流程图;
[0038] 图9为本发明实施例四提供的另一种数字证书撤销方法的流程图;
[0039] 图10为本发明实施例四提供的另一种数字证书撤销方法的流程图;
[0040] 图11为本发明实施例五提供的一种数字证书撤销设备的流程图;
[0041] 图12为本发明实施例五提供的另一种数字证书撤销设备的流程图;
[0042] 图13为本发明实施例六提供的一种数字证书撤销方法的流程图。
具体实施方式
[0043] 为了使本技术领域的人员更好地理解本申请方案。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0044] 实施例一
[0045] 本发明实施例提供的数字证书撤销方法的处理流程图如图1所示,应用于PKI技术的终端实体中,包括:
[0046] 步骤S101:获取数字证书撤销指令。
[0047] 本实施例中,获取数字撤销指令,可以是当由于用户身份、用户信息或者用户公钥的改变、用户私钥泄露或者用户业务中止等原因,用户需要将自己的数字证书撤销时,终端实体接收用户发送的数字证书撤销指令;还可以是作为终端实体的网络设备检测到被攻击后,自动生成的数字证书撤销指令。
[0048] 步骤S102:依据所述数字证书撤销指令构造数字证书撤销请求消息。
[0049] 终端实体在接收到用户输入的数字证书撤销指令时,依据所述数字证书撤销指令构造数字证书撤销请求消息;具体构造过程,如本发明实施例提供的图2所示,包括:
[0050] 步骤S201:解析所述数字证书撤销指令中包含的待撤销数字证书的数据信息;
[0051] 步骤S202:依据所述数据信息构造数字证书撤销请求消息。
[0052] 构造的所述数字证书撤销请求消息中包含以下信息:交互ID、数字证书撤销原因、待撤销数字证书颁发者名字、待撤销数字证书的证书序列号、待撤销数字证书在证书服务器中的物理地址。所述交互ID用于标识数字证书的撤销交互过程。
[0053] 步骤S103:对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
[0054] 采用数字加密方式对所述数字证书撤销请求消息进行数字加密,防止数字证书撤销请求消息在发送过程中被篡改和被窥伺;同时,对经过数字加密的数字证书撤销请求消息设置身份标识,防止数字证书撤销请求被假冒或伪造,并有效审核请求者身份。
[0055] 步骤S104:将所述经过数字加密并设置有身份标识的数字证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
[0056] 本发明实施例提供的数字证书撤销方法,可应用于多种数字证书撤销协议中;以下将本发明实施例中的数字证书撤销方法应用于SCEP协议中为例予以说明。
[0057] SCEP协议,即简单证书注册协议(Simple Certificate Enrollment Protocol),是一个简单的证书管理协议,用于证书注册、证书获取、证书注册状态查询和CRL获取。该协议不支持证书撤销功能。SCEP协议定义了两个SCEP对象:SCEP客户端和SCEP服务器,SCEP服务器通常由证书机构CA承担;SCEP客户端由终端实体承担。
[0058] 基于SCEP协议,应用本发明实施例提供的数字证书撤销方法对需要撤销的数字证书进行撤销,用户需要对某一数字证书进行撤销时,发送数字证书撤销指令至SCEP客户端,使SCEP客户端依据所述数字证书撤销指令构造数字证书撤销请求消息。
[0059] 本发明实施例中,在SCEP协议的基础上,新增一种SCEP消息类型:CertRevokeReq(消息码取值为28),及数字证书撤销请求消息,该消息遵从SCEP安全消息对象(SCEP Secure Message Objects)的格式描述。
[0060] 为了防止构造的数字证书撤销请求消息被攻击者偷窥,在SCEP客户端中对数字证书撤销请求消息通过数字信封形式进行加密封装。
[0063] Encrypted Data=EncryptedWithSymmetricalKey(Data)。
[0064] Digital Envelope=EncryptedWithRecipientPubliKey(Symmetrical_Key)。
[0065] 信息接收方要解密信息时,必须要用自己的私钥解密数字信封,得到对称密码,然后利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和不可窥探性。
[0066] 本发明实施例中在SCEP协议的基础上采用数字信封形式对数字证书撤销请求消息进行加密封装具体为:
[0067] 在SCEP客户端中利用随机生成的对称密钥对数字证书撤销请求消息进行加密,然后利用SCEP服务器中数字证书的公钥对随机生成的对称密钥进行加密生成数字信封。数字信封附加在数字证书撤销请求消息中。
[0068] 为了防止数字证书撤销请求消息被攻击者伪造或篡改,在SCEP客户端中对经过数字信封操作的数字证书撤销请求消息进行数字签名操作。
[0069] 数字指纹是指通过某种哈希算法对数据信息进行计算得到的一个固定长度的数字序列:Finger Print=HASH(Data)。
[0070] 数字签名是指用户用自己的私钥对原始数据的数字指纹进行加密后所得的数据。即用户首先使用哈希算法计算计算出原始数据的数字指纹,然后对数字指纹进行私钥加密,生成数字签名:Digital Signature=EncryPted(HASH(Data))。
[0071] 在SCEP客户端中首先计算数字证书撤销请求消息的数字指纹,然后用自己的私钥对数据指纹进行加密生成数字签名。所述数字签名附加在数字证书撤销请求消息中。
[0072] 将经过数字封装及数字签名的数字证书撤销请求消息发送至SCEP服务器,对需要撤销的数字证书进行撤销。
[0073] 实施例二
[0074] 在图1所示方法的基础上,当将数字证书撤销请求消息发送至证书服务器时,可选的,还包括等待证书服务器对所述数字证书撤销请求消息进行响应过程,如图3所示,包括步骤S101-S107,其中:
[0075] 步骤101-步骤104与实施例一相同,此处不再赘述。
[0076] 步骤S105:等待接收所述证书机构中的服务器响应的数字证书撤销应答消息,并从将所述数字证书撤销请求消息发送至所述证书服务器时开始计时;
[0077] 将数字证书撤销请求消息发送至证书服务器后,从数字证书撤销请求消息发送出的时间点开始计时,记录数字证书撤销请求消息发送出至等待接收所述证书服务器响应的数字证书撤销应答消息的时间段。
[0078] 步骤S106:判断是否超过预设时间;当超过预设时间,仍未接收到所述证书服务器响应的数字证书撤销应答消息时,执行步骤S107;
[0079] 步骤S107:重新发送所述数字证书撤销请求消息至所述证书服务器;然后返回执行步骤S105,直至接收到证书服务器响应的数字证书撤销应答消息为止;
[0080] 预设一固定时间段,从发送数字证书撤销请求消息至证书服务器开始计时,当计时时间超过所述固定时间段,仍未接收到所述证书服务器响应的数字证书撤销应答消息时,重新发送所述数字证书撤销请求消息至所述证书服务器,以保证数字证书的及时撤销。
[0081] 本发明在图3所示方法的基础上,可选的,还包括对重新发送数字证书撤销请求消息至证书服务器的次数进行计数,如图4所示,还包括:
[0082] 步骤S108:记录重新发送所述数字证书撤销请求消息至所述证书服务器的次数;
[0083] 步骤S109:当重新发送的次数超过预设发送次数时,停止发送所述数字证书撤销请求消息,并提示数字证书撤销失败;
[0084] 发送数字证书撤销请求消息至证书服务器中对数字证书进行撤销,若数字证书撤销请求消息在发送至证书服务器的过程中被拦截或由于网络中断而未能正常发送至证书服务器中;或正常发送至证书服务器中,而证书服务器由于故障未能正确处理所述数字证书撤销请求消息,则通过多次发送的方式,在网络恢复及证书服务器恢复工作时即可完成对数字证书的及时撤销。
[0085] 当网络发生严重故障,或证书服务器发生不可恢复的故障,或构造的数字证书撤销请求消息本身存在缺陷不能使证书服务器对其进行识别时,通过多次发送数字证书撤销请求消息的方式也不能对数字证书进行及时撤销;因此,本发明实施例中,对重新发送数字证书撤销请求消息至证书服务器的次数进行预设,当重新发送次数超过预设次数时,停止继续发送数字证书撤销请求消息,提示数字证书撤销失败,以便对失败原因进行及时排查,确保在短时间内,完成对需要撤销的数字证书进行撤销。
[0086] 实施例三
[0087] 本发明实施例提供了与实施例一所示数字证书撤销请求消息相对应的一种数字证书撤销设备,其结构示意图如图5所示,包括:
[0088] 获取单元301、处理器302、编码器303和发射器304;
[0089] 其中:
[0090] 获取单元301用于获取数字证书撤销指令;
[0091] 处理器302用于依据所述数字证书撤销指令构造数字证书撤销请求消息;
[0092] 编码器303用于对所述数字证书撤销请求消息进行数字加密并为所述经过数字加密的数字证书撤销请求消息设置身份标识;
[0093] 发射器304用于将所述经过数字加密并设置有身份标识的证书撤销请求消息发送至证书服务器,以请求所述证书服务器对数字证书进行撤销。
[0094] 在图5所示的数字证书撤销设备的基础上,本发明实施例提供的数字证书撤销设备的另一结构示意图如图6所示,处理器303中包括:
[0095] 解析单元305和构造单元306;
[0096] 解析单元305用于解析所述数字证书撤销指令中包含的待撤销数字证书的数据信息;
[0097] 构造单元306用于依据所述数据信息构造数字证书撤销请求消息;所述数字证书撤销请求消息中包括:待撤销数字证书在证书服务器中的物理地址。
[0098] 可选的,本发明实施例提供的数字证书撤销设备还包括,如图7所示:
[0099] 响应接收器307、计时器308;
[0100] 响应接收器307用于等待接收所述证书机构中的服务器响应的数字证书撤销应答消息;
[0101] 计时器308用于从将所述数字证书撤销请求消息发送至所述证书服务器时开始计时;并在超过预设时间,且所述响应接收器307仍未接收到所述证书服务器响应的数字证书撤销应答消息时,发送控制指令至所述发射器304,控制所述发射器304重新发送所述数字证书撤销请求消息至所述证书服务器。
[0102] 可选的,还包括计数器309;
[0103] 计数器309用于记录所述发射器304重新发送所述数字证书撤销请求消息至所述证书服务器的次数;并在当记录的重新发送的次数超过预设发送次数时,控制所述发射器停止发送所述数字证书撤销请求消息,并提示数字证书撤销失败。
[0104] 本发明实施例三示出的数字证书撤销设备可应用于SCEP协议中,基础SCEP协议对数字证书进行撤销。同时,本发明实施例中,计时器308为一优选计时设备,在具体实施过程中,当数字证书撤销请求消息发送至证书服务器中时,可立即对计时器308进行创建计时,当接收到证书服务器响应的数字证书撤销应答消息时,可销毁创建的计时器。
[0105] 实施例四
[0106] 如图8所示,本发明实施例提供了一种数字证书撤销方法,应用于PKI技术的证书服务器中,包括:
[0107] 步骤S401:接收终端实体发送的数字证书撤销请求消息;
[0108] 步骤S402:对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;
[0109] 接收到终端实体发送的数字证书撤销请求消息后,对数字证书请求消息进行解密,以获得数字证书请求消息中包含的数字证书的相关数据信息;解密过程完成后,验证经过解密的证书撤销请求消息的身份标识,确定所述证书的发送主体,审核请求者的身份。
[0110] 步骤S403:当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销;
[0111] 所述撤销过程如本申请实施例提供图9所示,包括:
[0112] 步骤S501:解析所述数字证书撤销请求消息中的待撤销数字证书在证书服务器中的物理地址;
[0113] 步骤S502:依据所述物理地址查找相应的数字证书,并对所述数字证书进行撤销。
[0114] 本发明实施例对数字证书的撤销过程中,证书服务器接收到数字证书撤销请求消息后,在所述证书服务器中查找与所述数字证书撤销请求消息相对应的数字证书,查找过程可采用多种方式,优选的采用所述待撤销数字证书中包含的待撤销数字证书在证书服务器中的物理地址,直接对所述待撤销数字证书进行查找。也可通过采用依据所述待撤销数字证书的名称,发布日期、颁发者的名字等多种标识并用或单独使用的方式对证书机构中的待撤销数字证书进行查找。
[0115] 在图8所示方法的基础上,对数字证书进行撤销后,可选的,还包括响应证书撤销应答消息至所述终端实体,如图10所示,包括:
[0116] 步骤S401-步骤S403与图1所示步骤相同,此处不再赘述。
[0117] 步骤S404:响应证书撤销应答消息至所述终端实体。
[0118] 本申请实施例四提供的数字证书撤销方法,可应用于多种数字证书撤销协议中;以下将本发明实施例中的数字证书撤销方法应用于SCEP协议中:
[0119] SCEP服务器收到数字证书撤销请求消息后,对数字证书请求消息中的数字信封进行拆封,拆封过程如下:使用自己的私钥解密数字信封(即数字信封拆封),获取加密证书撤销请求消息的对称密钥,然后使用该对称密钥对证书撤销请求消息进行解密。
[0120] 数字信封拆封成功后,SCEP服务器验证数字证书撤销请求消息的数字签名是否正确;当数字证书撤销请求消息的数字签名正确时,对待撤销数字证书进行撤销。
[0121] 如果数字证书撤销结果为成功,SCEP服务器根据颁发者名字和证书序列号,发布CRL,撤销证书,发布的CRL中包含了撤销证书的序列号、撤销原因和撤销日期等信息。
[0122] 同时,SCEP服务器构造数字证书撤销请求响应消息CertRep,响应消息中包含证书撤销结果即PKI状态为Success或Failure。如果数字信封拆封失败或验证数字签名失败,则证书撤销结果为失败。否则撤销结果为成功。
[0123] 实施例五
[0124] 本发明实施例提供了一种数字证书撤销设备,其结构示意图如图11所示,包括:
[0125] 接收器601和处理器602;
[0126] 其中:
[0127] 接收器601用于接收终端实体发送的数字证书撤销请求消息;
[0128] 处理器602用于对所述数字证书撤销请求消息进行数字解密并验证所述经过解密的证书撤销请求消息的身份标识;并在当所述数字证书撤销请求消息解密成功且通过身份标识验证时,对与所述数字证书撤销请求消息相对应的数字证书进行撤销。
[0129] 在图11所示数字证书撤销设备的基础上,本发明实施例提供的数字证书撤销设备的另一结构示意图如图12所示,处理器602中包括:
[0130] 解析单元603和撤销单元604;
[0131] 解析单元603用于解析所述数字证书撤销请求消息中的待撤销数字证书在证书服务器中的物理地址;
[0132] 撤销单元604依据所述物理地址查找相应的数字证书,并对所述数字证书进行撤销。
[0133] 可选的,本发明实施例提供的数字证书撤销设备还包括:响应器605;
[0134] 响应器605用于响应证书撤销应答消息至终端实体。
[0135] 对于上述装置实施例而言,由于其基本相应于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0136] 实施例六
[0137] 本申请实施例提供了在实施例一与实施例四相结合的基础上,数字证书撤销方法应用于SCEP协议中的数字证书撤销流程图:
[0138] 步骤S701~S704的执行主体为SCEP客户端,构造数字证书撤销请求消息,对所述数字证书撤销请求消息进行数字信封封装后设置数字签名后,将所述数字证书撤销请求消息发送至SCEP服务器中。所述数字证书撤销请求消息发送出后,执行步骤S705,并在预设时间段内未收到SCEP服务器未对所述数字证书撤销请求消息进行响应时,执行步骤S706.
[0139] 步骤S707~S709的执行主体为SCEP服务器,接收到数字证书撤销请求消息时,对其拆封数字信封,验证其数字签名,当拆封过程成功并且数字签名验证成功时,发布证书撤销列表对待撤销数字证书进行撤销。同时执行步骤S710:响应证书撤销应答消息至SCEP客户端。SCEP客户端接收到所述证书撤销应答消息后,执行步骤S711销毁定时器,完成整个数字证书撤销过程。
[0140] 本发明实施例中,为了更进一步的验证证书撤销请求者的身份,防止身份假冒,证书机构可以在证书颁发后,证书机构管理员或网络管理员为每一个证书分配一个证书撤销密码,然后通过带外方式例如发送邮件、短信通知等方式将证书撤销密码通知给证书持有者。
[0141] 当证书持有者即SCEP客户端想撤销其证书时,在证书撤销请求消息中携带证书撤销密码,SCEP服务器除了拆封数字信封、验证数字签名外,还必须验证证书撤销请求消息中证书撤销密码是否正确,即比较证书撤销请求消息中证书撤销密码和SCEP服务器本端保存的证书撤销密码是否一致,如果一致,则发布CRL撤销该证书,否则响应证书撤销失败。
[0142] 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种数字证书管理方法及设备 | 2020-05-12 | 562 |
| 一种证书请求消息发送方法、接收方法和装置 | 2020-05-11 | 869 |
| 用于验证SCEP证书注册请求的系统和方法 | 2020-05-11 | 324 |
| 书架页面的展示方法、电子设备及计算机存储介质 | 2020-05-11 | 688 |
| 用于证书签署请求处理的生物特征认证的系统和方法 | 2020-05-11 | 553 |
| 基于请求粒度的证书动态加载方法、装置和服务器 | 2020-05-11 | 157 |
| 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 | 2020-05-13 | 722 |
| 一种许可证书管理方法、装置及系统 | 2020-05-11 | 515 |
| 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 | 2020-05-13 | 140 |
| 证书管理方法、装置、设备及计算机可读存储介质 | 2020-05-13 | 816 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈