[发明专利]利用证书透明化技术控制交叉证书信任传递的方法及系统

说明书

本发明公开了一种利用证书透明化技术控制交叉证书信任传递的方法，包括：1)签发CA收到主体CA的交叉证书签名请求时，签发交叉证书并添加包含必选日志服务器获取方式的必选日志服务器扩展项，必选日志服务器为签发CA控制的透明化日志服务器；2)主体CA签发的终端实体证书须提交给相关必选日志服务器，必选日志服务器审核通过后返回SCT；3)证书校验时，检查各CA证书是否存在必选日志服务器扩展项；若是，则检查终端实体证书的SCT列表是否满足2)中的要求；若不满足，则拒绝接受证书。采用本方法，对给定的证书认证路径中任意主体CA的签发CA，均能通过必选日志服务器对签发的交叉证书的信任传递过程加以细粒度控制，避免信任传递的失控。

技术领域

本发明涉及信息安全中身份认证技术领域，尤其涉及一种利用证书透明化技术控制交叉证书信任传递的方法及系统。

背景技术

随着5G技术和人工智能技术的广泛普及，包括商业行为、政务办公在内的众多对数据安全、隐私保护和身份认证要求较高的行业领域，也越来越依赖于通过线上的方式进行活动的宣传和开展，例如：网上购物、线上会议等。数据的价值正随着网络应用的不断扩大而上升。因此，如何在使用应用系统的过程中确保通信双方实体身份的可验证性、确保通信数据的保密性和完整性也愈发重要。

公钥基础设施(Public Key Infrastructure，PKI)，是基于公钥密码学算法的安全基础服务设施。基于数字证书的PKI系统在当今互联网中发挥着信任建立等重要的基础性作用。PKI技术采用数字证书在网络中建立并传递信任。在PKI系统应用和部署中，认证机构(Certificate Authority，CA)作为信任锚负责签发证书，绑定证书订户(Subscriber)的身份信息和公钥。在通信过程中，通信双方通过本地信任的根CA证书验证对方发送来的证书链，可信地获得对方公钥，进而用于确保数据传输过程中的真实性、机密性、完整性和不可否认。

在PKI实施应用与部署中，某一CA机构通常只被一定范围内的PKI用户(RelyingParty，以下称为证书依赖方)所信任，各个PKI体系之间无法相互传递信任关系，导致某一CA机构签发的证书可能不被所有PKI用户信任并接受，继而形成分离的“信任孤岛”。为此，业界提出了交叉认证的解决方案，即通过已被PKI用户信任的CA机构(Issuer CA，以下称为签发CA)为其他不被信任的CA机构签发证书的方式，使得信任该CA的证书依赖方能够与更多的证书持有者进行安全通信。通过交叉认证为其他CA机构(Subject CA，以下称为主体CA)签发的证书，称之为交叉证书。这样，对于已被信任的CA可以通过交叉认证的方式扩展PKI用户对其他不被信任的CA的信任。

然而，近年来发生的多起安全事件及现有的研究成果表明，一方面CA系统可能会遭受各种网络攻击，CA机构可能因行为不当、错误操作或私钥被盗等原因，为任何用户甚至是攻击者颁发证书，导致虚假证书；另一方面，持有交叉证书的主体CA在获得交叉证书之后，有可能扩大自己服务的订户范围，为更多原先签发CA没有预计的订户颁发证书，这将导致交叉证书信任传递的失控。

已有的证书透明化(Certificate Transparency，CT)方案在解决CA机构证书颁发行为的公开可审计上已经被证实起到了很好的效果。在证书透明化方案中，借助第三方日志服务器的Append-only(即只允许追加内容，不可修改)特性，CA机构和证书订户将自己所颁发或拥有的证书提交到日志服务器上。证书依赖方在验证证书时，需要额外地检查该证书是否已经被记录在日志服务器上；若未出现在日志服务器中，则依赖方拒绝接受该证书。此外，任何利益相关方均可通过公开的接口访问日志服务器，一旦日志服务器中出现虚假证书，该虚假证书的利益相关方就能观察到该证书，并采取相关措施避免由该虚假证书导致的潜在安全风险。

如何合理地借助现有的证书透明化技术对交叉证书的信任传递进行细粒度控制，这将对PKI体系的整体安全性产生显著影响，但是目前还没有相关技术方案。

发明内容