[发明专利]提供基于策略的网络安全证明撤回的方法和装置

说明书

技术领域

本发明一般地涉及计算机网络中的安全机制。更具体而言，本发明涉及用于撤回诸如数字证书、口令等安全证明的技术。

背景技术

本部分中描述的手段可以被实现，但是不一定是先前已经被设计出或实现的手段。因此，除非这里另外指明，否则本部分中描述的手段不是本申请的权利要求的现有技术，也不因被包括在本部分中而被认定是现有技术。

很多计算机网络安全系统涉及在系统中从机构元件向网络元件分发证明或状态信息。如果状态信息改变，或者证明变为无效，则机构元件可以选择撤回证明或状态信息，并且机构元件需要通知网络元件已经发生了撤回。

在过去的一种手段中，认证机构(CA)向分组交换网络中的路由器、交换机或其他元件分发数字证书。CA维护一个证书撤回列表(CRL)，其列出了标识CA已撤回或声明为无效的所有证书的信息。CRL通过独特的标识符值来标识每个被撤回的证书。每个网络元件可以周期性地联系CA并下载当前的CRL。依赖于是否在CRL中找到特定的数字证书，网络元件验证或不验证特定证书。或者，每次网络元件需要验证证书时，都会参考在线服务；一个示例是OSCP。在周期性地下载CRL的离线模型中，由于网络带宽、流量或其他约束，CRL的大小变得至关重要。

但是，使用该手段，如果发生了使大量证书或其他证明无效的事件，则撤回所有证明将是困难的和耗时的。例如，假设某个被管理网络包括1,000个路由器，每个路由器运行版本为“3.0”的操作系统，并且每个路由器存储数字属性证书。还假设由于安全原因，仅当这些路由器中的请求路由器出示了表明有效和受信的机器配置的属性证书时，特定服务器才会向该路由器提供特定范围。还假设操作系统的供应商确定操作系统版本“3.0”中存在一个重大bug，并且该bug足以要求服务器拒绝对具有该bug的路由器提供服务。为了阻止对这些路由器的服务，全部1,000个证书都需要被撤回。当前没有完成这一操作的容易或高效的方式。例如，CA需要在CRL中存储1,000个条目，这可能是大得不合理的。例如，如果CA是在网络中的路由器中实现的，则路由器处的有限存储资源会约束CRL的可允许大小。

上述手段例如被用在ITU标准X.509、IETF注释请求(RFC)3281以及RFC 3280的IETF PKIX技术中定义的数字证书技术中。基于这些协议的证书机构已经被Microsoft Corporation、Entrust和Verisign在商业上实现。

基于上述情况，很明显需要一种用于撤回计算机网络中的证明的改良技术。

附图说明

附图以示例而非限制的方式示出了本发明，在附图中，相似的标号指示相似的元件，其中：

图1是提供基于策略的网络安全证明撤回的示例性系统的框图；

图2是包含提供基于策略的网络安全证明撤回的软件元素的示例性网络元件的框图；

图3是示例性撤回规则列表的框图；

图4是示出了用于基于策略的网络安全证明撤回的方法的一个实施例的高级别概况的流程图；以及

图5是示出了可以实现本发明的计算机系统的框图。

具体实施方式

下面描述用于基于策略的网络安全证明撤回的方法和装置。在下文中，为了说明而列出了大量具体细节，以便提供对本发明的透彻理解。但是对于本领域技术人员来说很明显，可以在没有这些具体细节的情况下实施本发明。此外，没有以框图的形式示出公知的结构和设备，以免不必要地模糊本发明。

本发明满足了前面背景技术中提到的需求以及将从下文中变得清楚的其他需求和目的，本发明的一个方面包括一种用于基于策略的网络安全证明撤回的方法，包括：接收并存储一个或多个证明撤回规则，其中每个所述证明撤回规则指定与要被撤回的一个或多个证明相关联的一个或多个第一属性和所述第一属性的第一值；接收并存储一个或多个网络证明，其中每个所述网络证明包括一个或多个第二属性和所述第二属性的第二值；以及当所述一个或多个网络证明中的特定网络证明的一个或多个第二属性的第二值与所述证明撤回规则之一的一个或多个第一属性的第一值相匹配时，确定所述特定网络证明是无效的，并执行响应动作。所述网络证明可以被生成和签名或以其他方式被某个机构认证；于是网络证明的用户可以验证该网络证明确实是由该机构生成的。