[发明专利]一种X509数字证书与证书应用之间的精确化身份认证方法

说明书

技术领域

本发明一般应用于公开密钥基础设施系统（PKI）领域，尤其是涉及一种X509数字证书与证书应用之间的精确化身份认证方法，能够安全可靠高效的对数字证书进行精确化身份认证。

背景技术

X509是由ITU-T推荐的一个国际标准，X.509定义了一个已经被广泛接受的PKI基础，它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。它是由一个由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

证书指纹是用于保护证书完整性的，是将证书的内容采用一定的哈希算法计算得出。用于数字证书的哈希算法一般为SHA1或MD5，两种算法是单向且不可逆的，也就是说，无法通过哈希之后的数据计算出哈希之前的原文，并且原文数据做过任何一点改动经过哈希值后获得的数据将完全不同。由此可知，证书指纹是唯一的。

数字签名具备不可篡改、不可抵赖的特性，使得数字证书替代用户名和口令方式，越来越多的成为众多信息系统首选的身份认证方式。

证书吊销列表CRL：俗称黑名单，是一个被签署的列表，它指定了一套证书发布者认为无效的证书。CRL一定是被CA所签署的，可以使用与签发证书相同的私钥，也可以使用专门的CRL签发私钥。

传统上对于数字证书进行身份认证的方式，主要是验证三个方面，一、验证数字证书的签名者信息，二、验证数字证书的有效期，三、验证数字证书是否存在于其颁发者所签发的CRL中。这种身份认证方法仅能满足一般性的仅限于数字证书本身的场景，但其缺点和局限性也是明显的：

1)仅能做数字证书合法性认证，无法结合证书应用进行身份认证。这种身份认证方式，仅仅验证数字证书本身是否合法，一旦和某个证书应用结合起来，将无法解决数字证书在这个证书应用当中的身份认证问题。例如，可以验证张三的数字证书是合法的，但无法验证张三的数字证书在某报税系统（证书应用）中的身份是否合法。

2)证书合法性验证的效率差。传统上对于数字证书进行身份认证的方式，对每一张证书都需要验证是否存在于其颁发者所签发的CRL中，即首先下载该证书所属颁发机构签发的CRL，然后加载，再解析证书的证书序列号，然后在加载的CRL中做匹配，如果存在，则说明此证书已经被注销，为非法状态，否则说明该证书合法。随着CA机构业务量的增大，CRL会越来越大，现在有些CA机构的CRL大小已经有20M。这样每加载一次CRL再做一次验证，其耗时会越来越长，效率将越来越低。

在已公布的专利《一种数字证书精确化认证方法、装置及云认证服务系统》中，提到了一种数字证书精确化认证方法：首先创建白名单数据，建立一条新的白名单数据，将可应用的数字证书序列号和该证书的具体应用系统信息写入到该条白名单中，根据预先设定的映射规则对数字证书中的信息项进行映射，将映射关系和数据录入到白名单数据中，最后由各网络安全服务器根据获得的白名单列表和黑名单列表进行数字证书认证，仅允许在白名单中列出且未包含在黑名单中的数字证书认证通过。这种数字证书精确化认证方法，也存在一定的缺点与不足：

1)数字证书序列号无法唯一确定数字证书身份，存在安全隐患。尽管有规定：由CA机构发行的数字证书其证书序列号必须唯一。但全国有33家合法CA机构，每家CA机构的发证系统各自运行在其安全内网中，互不联通；另外每家CA机构用于生成证书序列号的算法也各不相同，所以完全有可能出现两张不同的数字证书却拥有相同的证书序列号的情况。一旦这种情况发生，《一种数字证书精确化认证方法、装置及云认证服务系统》这个专利描述的精确化认证方法就会出现严重漏洞，造成安全隐患。