[发明专利]有效地收集、整理和访问证书吊销表的系统和方法

说明书

本发明涉及数字证书的管理，具体地说，涉及有效地收集、整理和访问数字证书吊销表。

实现电子商务的系统正在变得越来越广泛，这部分地由于象因特网之类全球计算机网络的出现，部分地由于公用密钥密码术的发展与成熟，它提高了这种商业活动的安全性。于是，在一些报告中已经预见了公共密钥密码术对于电子商务的应用，诸如：国际通信联盟(ITU，前身是CCITT)的建议X.509。

为了安全地进行电子商务活动，根据传统方法，每个用户有一对相关密钥，即一个私人密钥和一个公用密钥。但是，公用密钥只是一个数值，它与任何人(包括要认证其消息的人)没有任何内在关联。数字签名的广泛商业应用要求有可靠的信息把公用密钥与识别出的人们关联起来。然后，那些被识别出的人们的消息能通过使用这些密钥加以认证。

数字签名证书满足这种要求，这些证书一般由可信任的第三方发出，这些第三方被称作认证机构(CA)，它们证明(1)发出的证书的认证机构已经识别出证书的主体，(2)(在证书中)指定的公用密钥对应于由证书主体掌握的私人密钥。为了保证其后能核实一证书的可信性，认证机构在发出证书时要对其进行数字签名。在前文引述的X.509标准中规定了数字签名证书的一般结构，典型的X.509证书具有以下格式：

    X.509证书    版本号    证书序列号    算法标识    证书发出者    有效期    客户    客户的公用    密钥信息    发出人签名

一般在证书中要规定其有效期。过了有效期的证书为无效证书。除过期的证书外，无效证书还包括：

·已被吊销的证书(即已被签发此证书的认证机构声明为永久无效的证书)；以及

·已被暂停的证书(即已被签发此证书的认证机构声明为暂时无效的证书)。

吊销和/或暂停证书是最大限度地减小由于认证机构或客户造成的错误后果的重要手段。认证机构可以通过吊销证书来避免由于证书中的不准确性造成的进一步损失。客户可以通过吊销一个证书来防止信赖使用受危害的私人密钥(例如丢失的或被偷的私人密钥)产生的伪造数字签名。根据ITU X.509，那些由于吊销而变为无效的证书一般被列入证书吊销表(CRL)。在ITU X.509中未考虑暂停或暂时无效，所以暂停或暂时无效的证书可以包括在CRL中或可能没有被包括在其中。由于时效使其变为无效的证书无需列入CRL，因为每个证书中都包含了其有效期。一般每个认证机构都维护一个CRL，并以特定的方式定期对CRL进行更新和发布。