CN1304109A - 有效地收集、整理和访问证书吊销表的系统和方法 - Google Patents
有效地收集、整理和访问证书吊销表的系统和方法 Download PDFInfo
- Publication number
- CN1304109A CN1304109A CN00100915A CN00100915A CN1304109A CN 1304109 A CN1304109 A CN 1304109A CN 00100915 A CN00100915 A CN 00100915A CN 00100915 A CN00100915 A CN 00100915A CN 1304109 A CN1304109 A CN 1304109A
- Authority
- CN
- China
- Prior art keywords
- crl
- certificate
- certificate revocation
- database
- arrangement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/06—Asset management; Financial planning or analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Abstract
本发明公开了一种有效地收集、整理和访问证书吊销表(CRL)的系统,包括:多个认证机构(CA);多个与认证机构发布证书吊销表的方式相关的CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;多个CRL数据库,用于存储来自多个CRL检索代理的经其整理后的证书吊销表和其副本;以及CRL访问API。这样应用程序就可以通过一组统一的API来访问最近的CRL数据库以此确定一个数字证书是否已被吊销,而不用关心CRL发布机制的细节问题。此外,以上系统还适用于收集、整理和访问各种类型的黑名单。
Description
本发明涉及数字证书的管理,具体地说,涉及有效地收集、整理和访问数字证书吊销表。
实现电子商务的系统正在变得越来越广泛,这部分地由于象因特网之类全球计算机网络的出现,部分地由于公用密钥密码术的发展与成熟,它提高了这种商业活动的安全性。于是,在一些报告中已经预见了公共密钥密码术对于电子商务的应用,诸如:国际通信联盟(ITU,前身是CCITT)的建议X.509。
为了安全地进行电子商务活动,根据传统方法,每个用户有一对相关密钥,即一个私人密钥和一个公用密钥。但是,公用密钥只是一个数值,它与任何人(包括要认证其消息的人)没有任何内在关联。数字签名的广泛商业应用要求有可靠的信息把公用密钥与识别出的人们关联起来。然后,那些被识别出的人们的消息能通过使用这些密钥加以认证。
数字签名证书满足这种要求,这些证书一般由可信任的第三方发出,这些第三方被称作认证机构(CA),它们证明(1)发出的证书的认证机构已经识别出证书的主体,(2)(在证书中)指定的公用密钥对应于由证书主体掌握的私人密钥。为了保证其后能核实一证书的可信性,认证机构在发出证书时要对其进行数字签名。在前文引述的X.509标准中规定了数字签名证书的一般结构,典型的X.509证书具有以下格式:
| X.509证书 | ||
| 版本号 | ||
| 证书序列号 | ||
| 算法标识 | ||
| 证书发出者 | ||
| 有效期 | ||
| 客户 | ||
| 客户的公用密钥信息 | ||
| 发出人签名 | ||
一般在证书中要规定其有效期。过了有效期的证书为无效证书。除过期的证书外,无效证书还包括:
·已被吊销的证书(即已被签发此证书的认证机构声明为永久无效的证书);以及
·已被暂停的证书(即已被签发此证书的认证机构声明为暂时无效的证书)。
吊销和/或暂停证书是最大限度地减小由于认证机构或客户造成的错误后果的重要手段。认证机构可以通过吊销证书来避免由于证书中的不准确性造成的进一步损失。客户可以通过吊销一个证书来防止信赖使用受危害的私人密钥(例如丢失的或被偷的私人密钥)产生的伪造数字签名。根据ITU X.509,那些由于吊销而变为无效的证书一般被列入证书吊销表(CRL)。在ITU X.509中未考虑暂停或暂时无效,所以暂停或暂时无效的证书可以包括在CRL中或可能没有被包括在其中。由于时效使其变为无效的证书无需列入CRL,因为每个证书中都包含了其有效期。一般每个认证机构都维护一个CRL,并以特定的方式定期对CRL进行更新和发布。
在实践中,传统的基于CRL的电子商务系统按如下方式工作:在一客户能造成一个可核实的数字签名之前,该客户必须作出安排,使一个认证机构发出一个能以客户的公用密钥来标识该客户的证书。该客户收回并接受这个被发出的证书,然后造成数字签名,并把该证书的拷贝附着在每个数字签名上。当一个事务的另一方收到这种数字签名时,这另一方必须与认证机构核对,一般是通过在线数据库,以确定该证书当前是否有效。如果有效,而且该数字签名能被证书中的公用密钥核实,则另一方可以信赖这个数字签名。
现代的电子商务系统一般都建立在开放式互联网络的基础上,由于用户可能使用任何一个现有的CA作为其证书签发机构,所以这样的电子商务系统一般需要访问来自多个CA的CRL。由于不同的CA可能使用不同的CRL发布机制,这就需要电子商务系统的开发者了解各种CRL发布机制,此外,一些CA还可能改变其CRL发布机制,这就进一步加重了应用程序开发者的负担。
此外,一些CA采纳诸如通过目录服务器的CRL在线发布机制。应用程序在需要时可以下载这些CRL。但是实时访问CRL不但造价高并且对于大多数应用来说也是不必要的。此外,由于一个应用程序下载和分析的CRL不能被其它应用程序所共享,于是造成了系统资源的浪费。
为解决以上问题本发明提出一种有效地收集、整理和访问CRL的系统和方法。本发明的方法和系统通过对不同的CRL发布机制建立不同的CRL检索代理来收集、整理来自不同的CA的CRL,并将整理后的CRL存储到中央数据库中,然后通过网络将中央数据库复制到其它机器上去。应用程序可以通过一组统一的应用程序接口来访问最近的CRL数据库以确定数字证书是否已被吊销,这样应用程序就不用关心各种CRL发布机制的细节。此外,由于CRL数据库中的内容可被所有应用程序所共享,所以提高了系统资源的利用率。
根据本发明的一个方面,提供了一种有效地收集、整理和访问证书吊销表的系统,包括:
多个认证机构(CA),每个认证机构都以证书吊销表的形式维护和发布已被吊销的数字证书,并且各个认证机构发布证书吊销表的方式可以不同;
多个与认证机构发布证书吊销表的方式相关的CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
多个CRL数据库,用于存储来自多个CRL检索代理的经其整理后的证书吊销表或其副本;以及
CRL访问用户接口,为用户访问CRL数据库中的证书吊销表提供统一的应用程序接口。
根据本发明另一方面,提供了一种在通过数字证书实现安全通信的网络中,有效地收集、整理和访问证书吊销表的方法,其中多个认证机构都以证书吊销表的形式在网络中维护和发布已被吊销的数字证书,并且各个认证机构发布证书吊销表的方式可以不同,该方法包括步骤:
根据认证机构发布的证书吊销表的方式来建立多个CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
将来自多个CRL检索代理的经其整理后的证书吊销表或其副本分别存储在多个CRL数据库中;和
通过统一的应用程序接口访问CRL数据库。
通过以下结合附图对本发明优选实施例的介绍,可以使本发明的目的、优点和特征更加清楚。
图1为根据本发明一个优选实施例的有效地收集、整理和访问CRL的系统的方框图;
图2为根据本发明优选实施例的LDAP/CRL检索代理的工作示意图;
图3为根据本发明优选实施例的HTTP/CRL检索代理的工作示意图;
图4为根据本发明优选实施例的RFC1424/CRL检索代理的工作示意图;
图5为根据本发明优选实施例的Http接收代理的工作示意图;
图6为根据本发明优选实施例的CRL数据库的复制结构的示意图;
图7为根据本发明另一个优选实施例的有效地收集、整理和访问CRL的系统的方框图;和
图8为根据本发明优选实施例的有效地收集、整理和访问CRL的方法的流程图。
在结合具体实施例说明本发明的方法和系统之前,首先讨论一下有关证书吊销表的一般问题,如证书吊销表的格式、证书吊销表的发布方式。
在前文中已介绍过数字证书是用来证明一个特定的公用密钥属于一个特定实体的数字文件,数字证书
·由可信任的第三方或称作认证机构数字签署;
·只在指定的期限内有效;
·可被任何有权访问CA的公用密钥的人来验证;
·具有一个在CA内的唯一的序列号。
然而,数字证书在其有效期届满之前,由于各种原因可能已被吊销,于是,每个CA有责任维护一个证书吊销表,并且应该不断地更新它,并使它能够被公众所得。证书吊销表中的已被吊销的证书可由其序列号来标识。
用ASN.1(抽象语法记法.1)SEQUENCE结构描述的X.509 CRL如下:CertificateList::=SEQUENCE{tbsCertList TBSCertList,signatureAlgorithm AlgorithmIdentifier,signature BIT STRING}
其中SignatureAlgorithm用于标识CA在对TSSCertList结构进行数字签名时所使用的算法,其中TBS CertList本身用ASN.1 SEQUENCE结构表示如下:TBSCertList::=SEQUENCE{version Version OPTIONAL,signature AlgorithmIdentifier,issuer Name,thisUpdate Time,nextUpdate Time OPTIONANL,revokedCertificates SEQUENCE OF SEQUENCE{userCertificate CertificateSeriaNumber, revocationDate Date,crlEntryExtension Extensions OPTIONAL}OPTIONALcrlExtensions[0] EXPLICIT Extensions OPTIONAL
TBSCertList指出CRL的发布者名称、发布日期、下次发布CRL的日期以及已被吊销的数字证书(由序列号来标识的)的清单(后两项为任选项)。
在此需要注意两点。首先,已被吊销的数字证书的清单是任选的,因为有可能某一个CA在应该发布CRL时还没有吊销任何证书。其次,尽管CA可能在其CRL中指定了下次预订的发布CRL的日期,但这并不防碍CA在紧急情况下以更快的频率发布CRL。
对于CA来说,通常有两种发布CRL的方式,即“pull(拉)”和“push(推)”。在“pull”方式下,验证者(需要验证某个数字证书的状态的用户)可以在需要时从CA下载CRL。而在“push”方式下,CA定期地向注册的验证者发送CRL。
由X.509定义的认证框架最初设计成工作在X.500目录环境下。X.500规定使用与CA实体相关的目录属性来存储CRL。X.500还定义了客户用来访问目录的DAP(目录访问协议)。然而,由于DAP协议太复杂,使其难于在诸如PC等机器上运行。于是设计了LDAP(轻型目录访问协议),减少了目录客户机上X.500访问的负担,使这种目录可应用于各种机器和应用程序。LDAP可以直接运行在支持TCP/IP的机器上。验证者可以使用“pull”方式从LDAP服务器中检索CRL。
然而,近期X.500目录服务不会在因特网上迅速普及起来,人们还可能开发其它的使用现有因特网基础设施的CRL发布和访问方法。在Privacy-Enhanced Mail(保密增强型信箱)中定义了一个这样的方法。根据PEM,IPRA(Internet Policy Registration Authority)应当和PCA (PolicyCertification Authorities)进行协调以提供一个安全可靠的包括IPRA、PCA以及所有其它CA发布的CRL的数据库。通过由每个PCA维护的信箱来提供对数据库的访问。验证者可以使用RFC1424中定义的机制检索来自具体一个或多个电子邮件地址的CRL。CRL检索方法根据相关的PCA是否支持非请求型CRL发布方式而或者工作于“pull”方式或者工作于“push”方式。
以上已讨论了证书吊销表的格式和证书吊销表的发布方式,下面就结合具体实施例描述一下根据本发明的用于收集、整理和访问证书吊销表的方法和系统。
在本发明的用于收集、整理和访问证书吊销表的系统中,使用中央数据库来存储由各个CA吊销的所有数字证书。对于各种不同的CRL发布方式,建立不同的CRL检索代理,这些代理周期性地检索来自不同CA的CRL,并对CRL进行整理,之后存入中央CRL数据库。为了便于用户访问CRL,建立多个中央CRL数据库的副本数据库,并提供统一的应用程序接口。
图1示出根据本发明一个优选实施例的用于访问CRL的系统的方框图。图1所示的系统是基于Lotus Domino的。Domino群件是Lotus公司于1996年11月宣布的群件产品,即Notes 4.5的服务器版本。在这个群件中,集成了函件处理、群件应用和因特网出版功能。它采用独创的页式数据库系统(page database system)大大降低了连接管理的复杂性,管理人员可以高效地管理来自不同用户和部门的内容,是一个性能价格比较高的Internet/Intranet管理平台。利用它的内置开发工具,用户可以迅速开发安全的交互式应用程序,并且很容易与企业已有的数据系统集成。在图1所示的系统中目前支持三种CRL检索代理,当然,正如本领域一般技术人员所理解的那样,在此基础上可以很容易地集成其它CRL检索代理。从检索到的CRL提取被吊销的证书并将其存储在称为中央CRL数据库的Domino数据库,中央CRL数据库被复制到其它的CRL副本数据库中,这些数据库在其它相连的Domino服务器上。还提供一组基于Java的CRL访问API,用于电子商务系统以充分利用就近的Domino服务器上的经整理后的CRL,而不用关心各个CA是如何发布CRL的。
尽管对不同的CA可能使用不同的CRL检索方法,但所有的方法都必须包括一个从指定的地址下载CRL的过程,对下载的CRL进行验证以保证该CRL确实是由特定CA发布的,并把下载的CRL保存在中央CRL数据库中。作为一个例子,一个特定CA将其CRL放入LDAP目录,驻留在中央CRL数据库中的Domino代理周期性地运行以通过LDAP协议检索来自指定LDAP服务器的CRL并相应地更新中央数据库。中央数据库中的任何变化将被复制到其它CRL副本数据库中。这不仅使CRL数据库管理更容易,而且还使一个电子商务系统能够更容易、迅速、低成本地访问CRL数据库。当一个电子商务系统想确定一个证书是否已被吊销时,它们只需调用API来对最接近的CRL副本数据库进行访问。用于CRL访问的API然后调用NOI(Notes Object Interface)访问Domino CRL数据库,判断证书是否被列在CRL中,并将结果返回给电子商务系统。
以下结合附图详细介绍图1所示系统的各个组成部分。
1.中央CRL数据库
·用于CRL数据库的Domino表单(form)
CRL数据库包括从三个表单中产生的文档,这三个表单即:TrustedCertificate Authority(认证机构)表单、Revoked Certificate(吊销的证书)表单和Memo表单。Trusted Certificate Authority表单主要包括以下字段。
| 字段名称 | 存储的数据 |
| Distinguished Name | 符合RFC 1779的CA名称 |
| Certificate | CA的X.509证书 |
| This Update | CA上次更新CRL的时间 |
| Next Update | CA下次更新CRL的时间 |
| CRL Number | CA的当前CRL序号 |
| LDAPURL | 符合RFC 2255的LDAP URL |
| HTTPURL | HTTP URL |
| PCAMailbox | 用于RFC 1424 CRL服务的PCA电子邮件地址 |
Distinguished Name字段代表符合RFC 1779的可以与其它CA名称相区别开来的CA名称,Certificate字段以Base64编码的DER格式保持CA的X.509 V3证书。
Certificate字段用于验证由该CA签发的证书和CRL。为了避免输入错误,可以用Clipboard或本地的证书文件作为该字段的输入源。ThisUpdate、Next Update和CRL Number字段从最近检索到CRL中获得值。Next Update和CRL Number字段可以为空。CRL Number字段用于存放CA的当前CRL序号。该字段使用户可以判断一个特定的CRL是否替换其它CRL。LDAPURL字段包含符合RFC2255的LDAPURL,LDAP检索代理使用该字段检索来自特定LDAP服务器的CRL。HTTP检索代理使用HTTPURL字段检索来自特定HTTP服务器的CRL。PCAMail box字段包括用于RFC1424 CRL服务的CA的PCA电子邮件地址。如果PCA支持非请求型CRL发布方式,则该字段可能为空。
将从检索到的CRL中提取的每个被吊销的证书存储在一个由Revoked Certificate表单创建的文档中,Revoked Certificate表单包括以下字段:
| 字段 | 存储的数据 |
| Distinguished Name | 满足RFC 1779的CA名称 |
| Serial Number | 被吊销的证书的顺序号 |
| Revoke Date | 证书被吊销的日期 |
| Revocation Reason | 证书被吊销的原因 |
在Revoked Certificate表单中,除了Revocation Reason字段以外,所有字段都是强制型的。Distinguished Name字段和Serial Nnmber字段唯一地标识一个被吊销的证书。Revocation Reason字段用于标识吊销证书被吊销的原因。
Memo表单用于RFC 1424 PEM消息,该表单主要包括以下字段。
| 字段 | 存储的数据 |
| From | PEM消息发送者的电子信箱地址 |
| To | PEM消息接收者的电子信箱地址 |
| Date | PEM消息的发送日期 |
| Subject | PEM消息的主题 |
| Body | PEM消息的主体 |
·用于CRL数据库的Domino视图
在该Domino数据库中建立三个视图:Trusted CertificateAuthorities视图;Revoked Certificates\By Issuer视图和RevokedCertificates\By Serial Number视图,用于加速对特定CA和/或吊销的证书的检索。
Trusted Certificates Authorities视图具有以下各列:DistinguishedName、Current CRL Update Time、Next CRL Update Time和CurrentCRL Number列,这些列的值来自于每个Trusted Certificate Authority文档的相应字段。在该视图中,“Distinguished Name是用于自动排序列。
Revoked Certificates\By Issuer视图具有以下各列“DistinguishedName、Serial Number、Revoked Date和Revocation Reason列,这些字段的值来自于每个Revoked Certificate文档的相应字段。在该视图中,“Distinguished Name”是主排序列,“Serial Number”是次排序列。此外,“Distinguished Name”还是分类列。
Revoked Certificates\By Serial Number视图和RevokedCertificate\By Issuer视图所包含的列相同,但顺序不同,该视图所包含的列的顺序为:“Serial Number、Distinguished Name、Revoked Date和Revocation Reason”。在该视图中,“Serial Number”是主排序列,“Distinguished Name”为次排序列。
·Domino代理(agent)
CRL数据库还具有以下Java Domino代理:LDAP Retriever(检索)、HTTP Retriever(检索)、RFC 1424 Requester(请求)、RFC1424Receiver(接收)和Http Receiver(接收)。LDAP Retriever代理、HTTPRetriever代理和RFC 1424 Requester代理是后台代理,LDAP Retriever代理周期性地从LDAP服务器或X.500-LDAP网关检索来自CA的CRL,并将CRL存储在CRL数据库,而HTTP Retriever代理周期性地从HTTP服务器上检索来自CA的CRL。此外,RFC 1424 Requester代理每隔一定时间间隔就向PCA信箱发送RFC 1424 CRL检索请求消息。仅当有新的信件到达时,RFC 1424 Receiver代理才被激活,然后该代理从到达的信件中检索CRL,将检索到的CRL存储在CRL数据库中。Http Receiver代理由HTTP请求触发。它对请求者的权限进行验证。如果验证成功,该代理将发送来的CRL存储在CRL数据库中,所以HTTP任务必须运行在宿主Domino服务器上。该代理提供了一种便于加入其它外部CRL检索方法的工作方式,它只需按如下所示在HTTP POST消息中发送已收到的CRL:POST/X509CRL.nsf/HttpReceiver?OpenAgent HTTP/1.0Conternt-length:<content length>Content-type:application/pkix-crlContent-transfer-encoding:base 64<base 64 encoded CRL>
然而,LDAP Retriever代理是一个非限制性代理,因为该代理将进行网络I/O操作,所以为了使该代理运行在服务器上,必须修改公用名称和地址薄中的服务器记录。
2.LDAP检索代理。
如图2所示,LDAP检索代理与LDAP服务器相连,以检索CRL并更新CRL数据库。
当前有两个用于LDAP的Java接口:JDAP和JNDI。JDAP是以IETF草稿定义的LDAP类库。在用于Java的Netscape Directory SDK中支持JDAP。JNDI(Java Naming and Directory Interface,Java命名和目录接口)是Java Enterprise API集的一部分,许多销售商,包括IBM、HP、Novell等都支持它。
LDAP服务器在进行其它操作之前,可能需要绑定操作以对客户机的身份进行认证。在正常情况下,CA的CRL属性是公众可获得的,于是匿名绑定操作就足够了。LDAP V2客户机必须以连接的第一个协议数据单元(PDU)发送绑定请求,而LDAP V3客户机不需要进行绑定操作,由于LDAP V3服务器自动将不带现有绑定的操作看作是匿名操作。为了与LDAP V2服务器兼容,在进行其它LDAP操作之前我们总是请求匿名绑定操作。
在绑定操作之后,LDAP检索代理使用特定的LDAP URL从LDAP服务器中获得CA最近的CRL。然后,该代理使用检索到的CRL更新CRL数据库。
3.HTTP检索代理
HTTP检索代理的工作情况与LDAP检索代理相类似,如图3所示。HTTP检索代理周期性地从HTTP服务器上检索来自CA的CRLs。
4.RFC 1424检索代理。
在前述中我们提到通过由每个CA的PCA维护的信箱可以提供RFC1424 CRL检索服务。如果想得到CA最新的CRL,你必须用PCA注册或向PCA信箱发送一个CRL检索请求。PCA将发回一个包含请求的CRL的CRL检索应答消息。CRL-检索请求消息和CRL-检索应答消息都是PEM(保密加强型消息)。所以必须使用信箱和PEM用户代理来发送CRL-检索请求消息和接收CRL-检索应答消息。
在公用名称和地址簿中的Domino Mail-In数据库记录提供了一种直接将电子邮件接收到Notes应用中的措施,一般将这种应用程序称为信件使能应用,中央CRL数据库就是这样一种信件使能应用。如在前述讨论的,在CRL数据库中驻留有两个代理:RFC 1424 Recevier和RFC1424 Requester,用于完成访问RFC 1424 CRL服务的任务。图4描述这种情况。
如果PCA支持非请求型CRL发布,即当最新CRL可得时,PCA自动向用户信箱发送CRL-检索应答消息,则可以取消对RFC1424Requester代理的调度。
RFC 1424 Requester代理监听到来的CRL检索应答消息,验证检索到的CRL并将它们存储在CRL数据库中。
由于PCA通常使用标准的因特网邮件地址,所以用于CRL数据库的宿主Domino服务器必须能够和因特网电子邮件服务器交换电子邮件消息。
5.Http接收代理
如图5所示,Http接收代理由HTTP请求触发。它对请求者权限进行验证。如果验证成功,该代理将发送来的CRL存储在CRL数据库中。
6.CRL副本数据库
为了把CRL数据库分布到整个Notes网上,我们利用了Notes数据库复制功能将CRL数据库复制到其它Domino服务器上,于是电子商务系统能够容易、快速、低成本地访问最近的CRL副本数据库以得到最新的CRL。
如图6所示,在复制过程中我们采用Hub-and-Spoke(中心-辐射)复制结构以完成复制任务。
Hub服务器(中心服务器)负责:
·从所有的CA检索最新的CRL
·更新中央CRL数据库
·将更新内容传播到各spoke服务器(辐射点服务器)。
尽管可以使用Pull-Push(拉-推)、Pull-Pull(拉-拉)、Push-Only(只推)和Pull-Only(只拉)等复制类型,但是本领域一般技术人员会清楚在以上情形中最适合使用Push-Only(只推)或Pull-Only(只拉),因为不需要从幅射点服务器向中心服务器传播任何修改。指定使用Push-Only(只推)或Pull-Only(只拉)只影响哪个服务器启动复制工作,或者中央报务器“推”或者辐射点服务器“拉”。只需相应地修改复制连接记录和数据库ACL。
对于每个辐射点服务器,必须在公用名称和地址簿中创建复制连接记录。在所有这些记录中,如果在“Routing and Replication(路由和复制)”节中“Replication Type(复制类型)”字段被设置为“Push-Only(只推),则在“Basics(基本)”节的“Source Server(源服务器)”字段和“Destination server(目标服务器)”字段应该分别被指定为中央服务器和辐射点服务器。如果“Replication Type”字段被设置为“Pull-Only(只拉)”,则源服务器应该是辐射点服务器,而目标服务器应该是中央服务器。
对于“Push-Only”模式,辐射点服务器中的CRL数据库必须至少为中央服务器分配“Designer(设计者)”权限。然而,对于“Pull-Only”模式,中央服务器中的CRL数据库只需为辐射点服务器分配“Reader(读者)”权限。所以建议采纳“Pull-Only”复制模式。
5.用于对CRL进行访问的Java API
我们的系统不只检索和整理来自多个CA的CRL,还为电子商务系统提供一组用于对CRL进行访问的Java API。API表示为Java类CRLAccess Agent。CRL Access Agent类的构造器取CRL数据库的名称作为参数:
public CRL Access Agent(string db Name);
在示例CRL Access Agent对象之后,我们调用该类的方法获取有关特定CA的当前CRL的信息,并检验证书是否已被吊销。例如:CRLAccessAgent CrlChecker;crl Checker=new CRLAccessAgent(“RevokedCert.nsf”);if(!crlChecker,is Revoked(aDigitalCertificate)){System.out.println(“The certificate is revoded!”);return;}
因为CRL Access Agent类使用用于Notes Object Interface(NOI)的Java类来访问吊销证书数据库,则必须将notes.jar文件加到类路径上。
图7示出了根据本发明又一个实施例的有效地收集、整理和访问CRL的系统的方框图。如图所示,所有的CRL数据库不分主次,都可以接收来自CRL检索代理的经其整理后的证书吊销表,同时为了保持数据库之间的一致性,每一数据库都可以向其它数据库复制CRL更新结果。正如本领域一般技术人员所清楚的那样,在不违背本发明的精神的前提条件下,可以对以上实施例做出各种修改。
以上结合具体实施例描述了本发明的用于有效地整理和访问证书吊销表的系统。从以上有关本发明的介绍可以得出这样一种在通过数字证书实现安全通信的网络中,有效地整理和访问证书吊销表(CRL)的方法,如图8所示,在步骤801,根据认证机构发布证书吊销表的方式来建立多个CRL检索代理,用于整理来自多个认证机构的证书吊销表。在步骤802,将来自多个CRL检索代理的经其整理后的证书吊销表存储在中央CRL数据库中。在步骤803,从中央CRL数据库向多个CRL副本数据库复制证书吊销表。在步骤804,通过统一的应用程序接口访问中央CRL数据库或CRL-副本数据库。
以上我们描述的CRL访问机制,是一种独立于具体CA的CRL发布方式的有效地整理和访问CRL的机制。尽管在本发明实施例中利用了Lotus Domino的某些先进特点,但本领域一般技术人员应清楚,这并不构成对本发明的限制。此外,本领域一般技术人员还应清楚,在稍加修改后,本发明的用于收集、整理和访问证书吊销表的系统和方法还适合用于收集、整理和访问各种类型的黑名单,所以本发明旨在包括所有的这些修改和变型,本发明的保护范围应由所附权利要求书来限定。
Claims (13)
1.一种有效地收集、整理和访问证书吊销表(CRL)的系统,包括:
多个认证机构(CA),每个认证机构都以证书吊销表的形式维护和发布已被吊销的数字证书,并且各个认证机构发布证书吊销表的方式可以不同;
多个与认证机构发布证书吊销表的方式相关的CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
多个CRL数据库,用于存储来自多个CRL检索代理的经其整理后的证书吊销表或其副本;以及
CRL访问用户接口,为用户访问CRL数据库中的证书吊销表提供统一的应用程序接口。
2.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中多个CRL数据库包括中央CRL数据库和多个CRL副本数据库,中央CRL数据库用于存储来自多个CRL检索代理的经其整理后的证书吊销表,多个CRL副本数据库用于存储中央CRL数据库中证书吊销表的副本。
3.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的CRL检索代理包括一个LDAP/CRL检索代理,用于周期性地从特定的LDAP服务器上检测证书吊销表和更新CRL数据库中的证书吊销表。
4.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的CRL检索代理包括一个HTTP/CRL检索代理,用于周期性地从特定的HTTP服务器上检测证书吊销表和更新CRL数据库中的证书吊销表。
5.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的CLR检索代理包括一个RFC 1424/CRL检索代理,用于周期性地发送RFC1424CRL检索请求和接收CRL检索应答。
6.根据权利要求1的有效地收集、整和访问证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的CRL检索代理包括一个Http接收代理,该代理由HTTP请求触发,该代理对请求者的权限进行验证,如果验证成功,该代理则将请求者发送来的CRL存储在CRL数据库中。
7.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中多个与认证机构发布证书吊销表的方式相关的CRL检索代理还对检索到的证书吊销表的完整性和合法性进行检验。
8.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,其中,多个CRL数据库之间可以采用某种复制结构以保持数据库之间的致性。
9.根据权利要求2的有效地收集、整理和访问证书吊销表的系统,其中,中央CRL数据库和多个CRL副本数据库之间可以采用Hub-and-Spoke复制结构。
10.根据权利要求1的有效地收集、整理和访问证书吊销表的系统,适用于收集、整理和访问各种类型的黑名单。
11.一种在通过数字证书实现安全通信的网络中,有效地收集、整理和访问证书吊销表(CRL)的方法,其中多个认证机构(CA)都以证书吊销表的形式在网络中维护和发布已被吊销的数字证书,并且各个认证机构发布证书吊销表的方式可以不同,所述方法的特征在于步骤:
根据认证机构发布证书吊销表的方式来建立多个CRL检索代理,用于收集、整理来自多个认证机构的证书吊销表;
将来自多个CRL检索代理的经其整理后的证书吊销表或其副本分别存储在多个CRL数据库中;和
通过统一的应用程序接口访问CRL数据库。
12.根据权利要求11的有效地收集、整理和访问证书吊销表的系统,其中多个CRL数据库包括中央CRL数据库和多个CRL副本数据库,中央CRL数据库用于存储来自多个CRL检索代理的经其整理后的证书吊销表,多个CRL副本数据库用于存储中央CRL数据库中证书吊销表的副本。
13.根据权利要求11的有效地收集、整理和访问证书吊销表的方法,适用于收集、整理和访问各种类型的黑名单。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB00100915XA CN1182479C (zh) | 2000-01-07 | 2000-01-07 | 有效地收集、整理和访问证书吊销表的系统和方法 |
| CA002328645A CA2328645C (en) | 2000-01-07 | 2000-12-15 | A method and a system for certificate revocation list consolidation and access |
| SG200007699A SG92778A1 (en) | 2000-01-07 | 2000-12-28 | A method and a system for certificate revocation list consolidation and access |
| US09/754,813 US7761467B2 (en) | 2000-01-07 | 2001-01-04 | Method and a system for certificate revocation list consolidation and access |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB00100915XA CN1182479C (zh) | 2000-01-07 | 2000-01-07 | 有效地收集、整理和访问证书吊销表的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1304109A true CN1304109A (zh) | 2001-07-18 |
| CN1182479C CN1182479C (zh) | 2004-12-29 |
Family
ID=4575733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB00100915XA Expired - Fee Related CN1182479C (zh) | 2000-01-07 | 2000-01-07 | 有效地收集、整理和访问证书吊销表的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7761467B2 (zh) |
| CN (1) | CN1182479C (zh) |
| CA (1) | CA2328645C (zh) |
| SG (1) | SG92778A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100401669C (zh) * | 2001-11-06 | 2008-07-09 | 国际商业机器公司 | 用于数据供应、交易和电子投票的方法和系统 |
| CN1832400B (zh) * | 2005-11-14 | 2011-08-17 | 四川长虹电器股份有限公司 | 内容保护系统以及方法 |
| CN1682490B (zh) * | 2002-07-18 | 2012-11-14 | 伊奥里金纳尔公司 | 从多证书管理机构报告组件检索证书状态时远程访问使能信托和互用服务的系统及方法 |
| CN1838594B (zh) * | 2005-03-23 | 2014-08-06 | 戴尔产品有限公司 | 用于适应认证的系统和方法 |
| CN113132111A (zh) * | 2020-01-14 | 2021-07-16 | 西门子股份公司 | 用于技术设施的具有证书管理的控制系统 |
| CN114157432A (zh) * | 2021-11-25 | 2022-03-08 | 上海派拉软件股份有限公司 | 数字证书获取方法、装置、电子设备、系统和存储介质 |
| CN117314476A (zh) * | 2023-11-28 | 2023-12-29 | 四川隧唐科技股份有限公司 | 一种证书数据的整合方法及装置 |
Families Citing this family (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7730300B2 (en) | 1999-03-30 | 2010-06-01 | Sony Corporation | Method and apparatus for protecting the transfer of data |
| US7039614B1 (en) | 1999-11-09 | 2006-05-02 | Sony Corporation | Method for simulcrypting scrambled data to a plurality of conditional access devices |
| US7225164B1 (en) * | 2000-02-15 | 2007-05-29 | Sony Corporation | Method and apparatus for implementing revocation in broadcast networks |
| US20020099822A1 (en) * | 2001-01-25 | 2002-07-25 | Rubin Aviel D. | Method and apparatus for on demand certificate revocation updates |
| US6912582B2 (en) * | 2001-03-30 | 2005-06-28 | Microsoft Corporation | Service routing and web integration in a distributed multi-site user authentication system |
| US6970862B2 (en) * | 2001-05-31 | 2005-11-29 | Sun Microsystems, Inc. | Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL) |
| US7747853B2 (en) | 2001-06-06 | 2010-06-29 | Sony Corporation | IP delivery of secure digital content |
| US20030005326A1 (en) * | 2001-06-29 | 2003-01-02 | Todd Flemming | Method and system for implementing a security application services provider |
| US20030037234A1 (en) * | 2001-08-17 | 2003-02-20 | Christina Fu | Method and apparatus for centralizing a certificate revocation list in a certificate authority cluster |
| KR100698514B1 (ko) * | 2002-03-11 | 2007-03-21 | (주)케이사인 | 효율적인 인증서폐기목록 처리 방법 및 컴퓨터 프로그램제품 |
| US8423763B2 (en) * | 2002-03-20 | 2013-04-16 | Research In Motion Limited | System and method for supporting multiple certificate status providers on a mobile communication device |
| US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US8572408B2 (en) | 2002-11-05 | 2013-10-29 | Sony Corporation | Digital rights management of a digital device |
| US7724907B2 (en) | 2002-11-05 | 2010-05-25 | Sony Corporation | Mechanism for protecting the transfer of digital content |
| US8667525B2 (en) | 2002-12-13 | 2014-03-04 | Sony Corporation | Targeted advertisement selection from a digital stream |
| US8645988B2 (en) | 2002-12-13 | 2014-02-04 | Sony Corporation | Content personalization for digital content |
| US7934263B2 (en) | 2002-12-17 | 2011-04-26 | Sony Pictures Entertainment Inc. | License management in a media network environment |
| US7370212B2 (en) * | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
| US20070016784A1 (en) * | 2003-04-28 | 2007-01-18 | Koninklijke Philips Electronics N.V. | Method of storing revocation list |
| US7483532B2 (en) * | 2003-07-03 | 2009-01-27 | Microsoft Corporation | RTP payload format |
| US7805344B2 (en) * | 2004-03-12 | 2010-09-28 | Sybase, Inc. | System providing methodology for consolidation of financial information |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
| US8838794B2 (en) * | 2004-06-30 | 2014-09-16 | International Business Machines Corporation | Method, system and program product for simulating activity in a server environment |
| US7631183B2 (en) * | 2004-09-01 | 2009-12-08 | Research In Motion Limited | System and method for retrieving related certificates |
| US8438645B2 (en) | 2005-04-27 | 2013-05-07 | Microsoft Corporation | Secure clock with grace periods |
| US8725646B2 (en) * | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
| US20060265758A1 (en) * | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
| US7684566B2 (en) * | 2005-05-27 | 2010-03-23 | Microsoft Corporation | Encryption scheme for streamed multimedia content protected by rights management system |
| US7818575B2 (en) * | 2005-06-24 | 2010-10-19 | Microsoft Corporation | Efficient retrieval of cryptographic evidence |
| US7769880B2 (en) | 2005-07-07 | 2010-08-03 | Microsoft Corporation | Carrying protected content using a control protocol for streaming and a transport protocol |
| US7561696B2 (en) * | 2005-07-12 | 2009-07-14 | Microsoft Corporation | Delivering policy updates for protected content |
| US8321690B2 (en) * | 2005-08-11 | 2012-11-27 | Microsoft Corporation | Protecting digital media of various content types |
| US7634816B2 (en) * | 2005-08-11 | 2009-12-15 | Microsoft Corporation | Revocation information management |
| US9054879B2 (en) * | 2005-10-04 | 2015-06-09 | Google Technology Holdings LLC | Method and apparatus for delivering certificate revocation lists |
| US7720096B2 (en) * | 2005-10-13 | 2010-05-18 | Microsoft Corporation | RTP payload format for VC-1 |
| KR100749803B1 (ko) * | 2005-11-03 | 2007-08-17 | 한국전자통신연구원 | 자격폐기목록을 이용한 디지털 방송 제한수신 시스템 및 그방법 |
| US8316230B2 (en) * | 2005-11-14 | 2012-11-20 | Microsoft Corporation | Service for determining whether digital certificate has been revoked |
| US20080052510A1 (en) * | 2006-05-12 | 2008-02-28 | Samsung Electronics Co., Ltd. | Multi certificate revocation list support method and apparatus for digital rights management |
| US7958349B2 (en) * | 2007-08-30 | 2011-06-07 | Red Hat, Inc. | Method for revoking a digital signature |
| WO2009118801A1 (ja) * | 2008-03-28 | 2009-10-01 | パナソニック株式会社 | ソフトウェア更新装置、ソフトウェア更新システム、無効化方法、及び無効化プログラム |
| US8464347B2 (en) * | 2008-03-28 | 2013-06-11 | Panasonic Corporation | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| US8438388B2 (en) * | 2008-03-31 | 2013-05-07 | Motorola Solutions, Inc. | Method and apparatus for distributing certificate revocation lists (CRLs) to nodes in an ad hoc network |
| US10270602B2 (en) * | 2008-10-01 | 2019-04-23 | International Business Machines Corporation | Verifying and enforcing certificate use |
| US8707276B2 (en) | 2011-01-07 | 2014-04-22 | Mastercard International Incorporated | Method and system for managing programmed applications in an open API environment |
| US9083534B2 (en) | 2011-01-07 | 2015-07-14 | Mastercard International Incorporated | Method and system for propagating a client identity |
| US8677308B2 (en) | 2011-01-07 | 2014-03-18 | Mastercard International Incorporated | Method and system for generating an API request message |
| US9032204B2 (en) | 2011-01-07 | 2015-05-12 | Mastercard International Incorporated | Methods and systems for providing a signed digital certificate in real time |
| US8671385B2 (en) | 2011-01-07 | 2014-03-11 | Mastercard International Incorporated | Methods and systems for throttling calls to a service application through an open API |
| TWI433558B (zh) | 2011-12-05 | 2014-04-01 | Ind Tech Res Inst | 動態調整憑證撤銷清單更新頻率的方法及系統 |
| US9641343B1 (en) * | 2011-12-20 | 2017-05-02 | Google Inc. | Efficient unified certificate revocation lists |
| US8581633B2 (en) | 2012-01-17 | 2013-11-12 | Hamilton Sundstrand Corporation | Analog peak hold circuits |
| US8656155B2 (en) * | 2012-02-10 | 2014-02-18 | International Business Machines Corporation | Dynamic generation and processing of certificate public information directories |
| US9424405B2 (en) * | 2012-11-28 | 2016-08-23 | Apple Inc. | Using receipts to control assignments of items of content to users |
| US8719908B1 (en) * | 2012-12-21 | 2014-05-06 | Disney Enterprises, Inc. | Digital certificate management |
| US10142108B2 (en) * | 2013-06-17 | 2018-11-27 | Qube Cinema, Inc. | Copy protection scheme for digital audio and video content authenticated HDCP receivers |
| WO2015092949A1 (ja) * | 2013-12-16 | 2015-06-25 | パナソニックIpマネジメント株式会社 | 認証システムおよび認証方法 |
| CN104778165A (zh) * | 2014-01-09 | 2015-07-15 | 山西太钢不锈钢股份有限公司 | 一种Domino与关系型数据库系统集成设计方法 |
| CN104980438B (zh) * | 2015-06-15 | 2018-07-24 | 中国科学院信息工程研究所 | 一种虚拟化环境中数字证书撤销状态检查的方法和系统 |
| US9906374B2 (en) | 2016-02-29 | 2018-02-27 | Red Hat, Inc. | Efficient certificate revocation list processing |
| TWI600334B (zh) | 2016-03-23 | 2017-09-21 | 財團法人工業技術研究院 | 車輛網路節點之安全憑證管理方法與應用其之車輛網路節 點 |
| EP4162381A1 (en) * | 2020-06-03 | 2023-04-12 | IOT.nxt BV | System and method for maintaining a list of cryptographic certificates |
| EP3993339B1 (de) * | 2020-10-29 | 2023-05-31 | Siemens Aktiengesellschaft | Zertifikatsmanagement in einer technischen anlage |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6658568B1 (en) * | 1995-02-13 | 2003-12-02 | Intertrust Technologies Corporation | Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management |
| US6134551A (en) * | 1995-09-15 | 2000-10-17 | Intel Corporation | Method of caching digital certificate revocation lists |
| US5745574A (en) * | 1995-12-15 | 1998-04-28 | Entegrity Solutions Corporation | Security infrastructure for electronic transactions |
| US6028938A (en) * | 1996-04-30 | 2000-02-22 | Shana Corporation | Secure electronic forms permitting layout revision |
| US5903651A (en) * | 1996-05-14 | 1999-05-11 | Valicert, Inc. | Apparatus and method for demonstrating and confirming the status of a digital certificates and other data |
| US5903882A (en) * | 1996-12-13 | 1999-05-11 | Certco, Llc | Reliance server for electronic transaction system |
| US6035402A (en) * | 1996-12-20 | 2000-03-07 | Gte Cybertrust Solutions Incorporated | Virtual certificate authority |
| US6044462A (en) * | 1997-04-02 | 2000-03-28 | Arcanvs | Method and apparatus for managing key revocation |
| US6092201A (en) * | 1997-10-24 | 2000-07-18 | Entrust Technologies | Method and apparatus for extending secure communication operations via a shared list |
| US6128740A (en) * | 1997-12-08 | 2000-10-03 | Entrust Technologies Limited | Computer security system and method with on demand publishing of certificate revocation lists |
| US6304882B1 (en) * | 1998-05-05 | 2001-10-16 | Informix Software, Inc. | Data replication system and method |
| US6564219B1 (en) * | 1998-11-19 | 2003-05-13 | Emc Corporation | Method and apparatus for obtaining an identifier for a logical unit of data in a database |
| US6411956B1 (en) * | 1999-06-14 | 2002-06-25 | Sun Microsystems, Inc. | Method for distributed transaction support using JDBC 1.0 drivers |
| US20020007346A1 (en) * | 2000-06-06 | 2002-01-17 | Xin Qiu | Method and apparatus for establishing global trust bridge for multiple trust authorities |
-
2000
- 2000-01-07 CN CNB00100915XA patent/CN1182479C/zh not_active Expired - Fee Related
- 2000-12-15 CA CA002328645A patent/CA2328645C/en not_active Expired - Fee Related
- 2000-12-28 SG SG200007699A patent/SG92778A1/en unknown
-
2001
- 2001-01-04 US US09/754,813 patent/US7761467B2/en not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100401669C (zh) * | 2001-11-06 | 2008-07-09 | 国际商业机器公司 | 用于数据供应、交易和电子投票的方法和系统 |
| CN1682490B (zh) * | 2002-07-18 | 2012-11-14 | 伊奥里金纳尔公司 | 从多证书管理机构报告组件检索证书状态时远程访问使能信托和互用服务的系统及方法 |
| CN1838594B (zh) * | 2005-03-23 | 2014-08-06 | 戴尔产品有限公司 | 用于适应认证的系统和方法 |
| CN1832400B (zh) * | 2005-11-14 | 2011-08-17 | 四川长虹电器股份有限公司 | 内容保护系统以及方法 |
| CN113132111A (zh) * | 2020-01-14 | 2021-07-16 | 西门子股份公司 | 用于技术设施的具有证书管理的控制系统 |
| CN114157432A (zh) * | 2021-11-25 | 2022-03-08 | 上海派拉软件股份有限公司 | 数字证书获取方法、装置、电子设备、系统和存储介质 |
| CN117314476A (zh) * | 2023-11-28 | 2023-12-29 | 四川隧唐科技股份有限公司 | 一种证书数据的整合方法及装置 |
| CN117314476B (zh) * | 2023-11-28 | 2024-02-27 | 四川隧唐科技股份有限公司 | 一种证书数据的整合方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2328645C (en) | 2009-04-21 |
| SG92778A1 (en) | 2002-11-19 |
| CN1182479C (zh) | 2004-12-29 |
| CA2328645A1 (en) | 2001-07-07 |
| US7761467B2 (en) | 2010-07-20 |
| US20020004773A1 (en) | 2002-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1182479C (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
| US10474795B2 (en) | Enhancement to volume license keys | |
| US7620630B2 (en) | Directory system | |
| CN1881879B (zh) | 用于验证用户的公钥框架和方法 | |
| Anagnostopoulos et al. | Persistent authenticated dictionaries and their applications | |
| US6192405B1 (en) | Method and apparatus for acquiring authorized access to resources in a distributed system | |
| US6314425B1 (en) | Apparatus and methods for use of access tokens in an internet document management system | |
| US6438690B1 (en) | Vault controller based registration application serving web based registration authorities and end users for conducting electronic commerce in secure end-to-end distributed information system | |
| US20180139183A1 (en) | Signed ephemeral email addresses | |
| US20010049786A1 (en) | Information storage | |
| US20070061864A1 (en) | Computer-implemented method, system, and program product for managing log-in strikes | |
| CN1606269A (zh) | 高速化验证公开密钥证件的方法和装置 | |
| JP2003526835A (ja) | ドメイン名関連の申請登録用の共用登録のシステム | |
| CN1514653A (zh) | 基于隐私策略的消息路由方法和系统 | |
| RU2373572C2 (ru) | Система и способ для разрешения имен | |
| CN1353836A (zh) | 分布式环境中的文件管理方法和系统 | |
| TW583539B (en) | Internet-based document management system and method of providing Internet-based document management | |
| JP2000250832A (ja) | 分散ディレクトリ管理システム | |
| JP2002215585A (ja) | 個人証明書サブジェクト名処理装置および方法 | |
| Pesonen et al. | Secure event types in content-based, multi-domain publish/subscribe systems | |
| KR100246542B1 (ko) | 엑스트라넷 상에서의 전자 결재 처리 방법 | |
| CN1921383A (zh) | 一种基于门限ca和x.509公钥证书的密钥管理实现方法 | |
| JP2003264538A (ja) | 公開鍵証明書の無効化方法、失効証明書作成方法ならびに無効化申請書作成方法、公開鍵証明書の無効化装置、失効証明書作成装置ならびに無効化申請書作成装置、公開鍵証明書の無効化プログラム、失効証明書作成プログラムならびに無効化申請書作成プログラム、公開鍵証明書の無効化プログラム、失効証明書作成プログラムならびに無効化申請書作成プログラムをそれぞれ記録したコンピュータ読み取り可能な記録媒体 | |
| WO2023152797A1 (ja) | 検証方法、検証プログラムおよび情報処理装置 | |
| KR101037673B1 (ko) | 분산형 컨텐츠 수집 및 처리 시스템 및 그 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20041229 Termination date: 20190107 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |