[发明专利]用于离线装置的验证在线证书的设备和方法

说明书

技术领域

与本发明一致的方法和设备涉及用于离线装置的验证在线证书，更具体地讲，涉及一种允许离线装置使用在线证书状态协议(online certificate statusprotocol，OCSP)而鉴别在线装置。

背景技术

OCSP是允许在线或连接装置鉴别其它装置的整数状态的协议。OCSP被设计为仅用于在线装置，而没有考虑离线(未连接)装置。

所述在线装置可以是，但不限于，提供网络连接的主机，所述离线装置可以是，但不限于，不提供网络连接的安全卡。

为了验证在线装置的可靠性，离线装置可请求OCSP响应服务器(响应者)以验证在线装置的证书的状态。在此，OCSP响应服务器存储发布的证书的状态，并根据客户机的OCSP请求报告相应的证书的状态。

发明公开

技术问题

离线装置在不提供网络连接的情况下无法直接连接到OCSP响应服务器。但是，离线装置可通过在线装置或在线装置的支持互连到OCSP响应服务器。不通过在线装置的验证，离线装置无法信任在线装置的OCSP请求以及通过OCSP请求得到的响应。具体地，在线装置可在特定装置的证书被撤销之前存储OCSP响应结果；在特定装置的证书被撤销之后重放先前存储的OCSP响应结果；响应离线装置好像相应装置的撤销的证书仍然有效。这被公知为重放攻击。

在线装置可防止重放攻击。然而，在这种情况下，仅在线装置与OCSP响应服务器之间的部分可靠时，不能防止可出现在离线装置与在线装置之间的伪造(forgery)。

本发明提供的用于离线装置的验证在线证书的设备和方法通过使离线装置产生随机数(nonce)并将产生的随机数添加到被鉴别的目标在线装置的OCSP请求消息和OCSP响应消息来使OCSP响应服务器的响应请求可靠。

然而，本发明的各方面没有限定于在此阐述的一方面。通过参照以下给定的本发明的详细描述，对本发明所属技术领域的技术人员而言，本发明的上述和其它方面经变得更清楚。

技术方案

根据本发明的一方面，提供了一种用于离线装置的验证在线证书的设备，所述设备包括：随机数产生单元，产生随机数和证书验证请求消息，该证书验证请求消息请求验证被鉴别的目标在线装置的证书并包括产生的随机数；发送/接收单元，将证书验证请求发送到在线装置并从在线装置接收OCSP响应消息；证书验证结果确定单元，从接收的消息提取随机数并将提取的随机数与产生的随机数进行比较以确定接收的消息是否可靠。

根据本发明的另一方面，提供了一种用于离线装置的验证在线证书的设备，所述设备包括：消息产生单元，根据从离线装置接收的请求验证被鉴别的目标在线装置的证书的证书验证请求消息产生OCSP请求消息；发送/接收单元，将产生的消息发送到OCSP响应服务器，并从OCSP响应服务器接收OCSP响应消息。

根据本发明的另一方面，提供了一种用于离线装置的验证在线证书的设备，所述设备包括：验证单元，根据从在线装置接收的OCSP请求消息验证目标在线装置的证书；响应消息产生单元，基于验证结果产生OCSP响应消息；发送/接收单元，将产生的消息发送到在线装置。

根据本发明的另一方面，提供了一种用于离线装置的验证在线证书的方法，所述方法包括：产生随机数；产生证书验证请求消息，该证书验证请求消息包括产生的随机数并请求验证被鉴别的目标在线装置的证书；将证书验证请求消息发送到在线装置；从在线装置接收OCSP响应消息；从接收的消息提取随机数并将提取的随机数与产生的随机数进行比较以确定接收的消息是否可靠。

根据本发明的另一方面，提供了一种用于离线装置的验证在线证书的方法，所述方法包括：从离线装置接收请求验证目标在线装置的证书的证书验证请求消息；根据证书验证请求消息产生OCSP请求消息；将OCSP请求消息发送到OCSP响应服务器；从OCSP响应服务器接收OCSP响应消息。

根据本发明的另一方面，提供了一种用于离线装置的验证在线证书的方法，所述方法包括：根据从在线装置接收的OCSP请求消息验证目标在线装置的证书；基于验证结果产生OCSP响应消息；将产生的消息发送到在线装置。

附图说明

通过下面结合附图对示例性实施例进行的详细描述，本发明的上述和其它方面将会变得更清楚，其中：

图1是示出具有根据本发明示例性实施例的用于离线装置的验证在线证书的设备的系统的示图；