[发明专利]用于监视数字证书的方法

说明书

本发明涉及一种用于监视、注册和验证未连接至因特网的专用计算机网络中的数字证书的计算机实现的方法。

技术领域

本发明涉及用于监视、注册和验证未连接至因特网的专用计算机网络中的数字证书的计算机实现的方法。

背景技术

数字证书是当今安全通信中在机密性、认证和授权方面必不可少的部分。尽管在过去的几十年中已经经受了显著的发展，但该领域仍然具有其必须克服的一系列重要挑战，例如，防盗和防篡改的安全性、管理和分发成本的降低、通信协议的兼容性以及在未连接至因特网的情况下对所述数字证书的验证。

用于管理数字证书的标准解决方案是公共密钥基础结构(PKI)，其具有两种不同类型的机构，即，CA(认证机构)和RA(注册机构)。必须验证数字证书的合法性的个人或软件(即客户端服务器系统中的客户端)需要具有CA的公共密钥，该CA创建了用于验证参数和数字签名的证书。

这种PKI配置具有基本问题。通过假设CA是固定的元素，其在给定时刻创建并且可能逐渐增长，CA中的每次公布或新CA的每次创建需要修改需要执行验证的客户端(至少了解其公共密钥)。因此，在根据系统的需求而要求具有短持续时间的证书或新的CA时，该问题引起低效的证书管理以及很高的成本。

关于安全性，PKI具有附加的问题，因为它们不能够应对过去十年来出现的新型攻击。例如，PKI不允许容易地检测何时在系统中使用被盗或篡改的证书。在主动查询证书时，检测这种类型的动作的唯一方法是允许撤销证书或将证书报告给CA。因此，这在任何计算机网络中都是巨大的安全风险。

PKI的附加负面方面是基础结构的部署。该技术无法适应于在可能不使用当前协议或标准的组织中存在的不同系统。因此，系统连接和隔离问题是常见的。

关于管理证书和降低成本的问题已经出现新趋势。让根据需要免费生成加密证书的加密技术特别相关。然而，该解决方案要求网络能够接入因特网，这例如使该解决方案在没有接入因特网的诸如银行组织的专用网络中的使用是不可能的。

正在提出用于解决PKI安全问题的新提议，例如除了PKI之外还使用SSL协议的HSTS(HTTP严格传输安全性)技术或HPKP(HTTP公共密钥固定)技术。然而，它们不足以解决近年来出现的新攻击场景。

以Saba Eskandarian的名义发布的文档“Certificate Transparency withPrivacy”描述了一种机制，该机制使得web浏览器能够在不侵犯用户隐私的情况下审核证书透明性日志，并扩展证书透明性以支持非公共的子域。

下述发明提出了借助于安全、高效和灵活的方法的对上述问题的解决方案，该方法用于监视、注册和验证异构专用网络中——特别是未连接至因特网的网络中——的数字证书。

发明内容

本发明提出了上述问题的解决方案，该解决方案借助于根据权利要求1的用于监视未连接至因特网的专用计算机网络中的数字证书的计算机实现的方法、根据权利要求13的用于监视、注册和验证证书的系统、根据权利要求14的计算机程序以及根据权利要求15的计算机可读介质。从属权利要求限定了本发明的优选的实施方式。

第一发明方面提供了一种用于监视和验证未连接至因特网的专用计算机网络中的数字证书的计算机实现方法，其中，该专用计算机网络包括：

·至少一个注册服务器，其被配置成用于注册所述数字证书，将数字证书托管在基于默克尔树的第一数据库中；以及

·至少一个监视服务器，其被配置成用于：

ο托管至少一个审核规则，

ο将至少一个审核规则应用在注册服务器的第一数据库的证书上，以及