[发明专利]一种新型X509数字证书白名单发布查询验证的方法

说明书

技术领域

本发明一般应用于公开密钥基础设施系统(PKI)领域，为数字证书白名单查询 提供一种轻量级的更高效，安全，快捷的方式。

背景技术

X509是由ITU-T推荐的一个国际标准，X.509定义了一个已经被广泛接受的PKI 基础，它包括数据格式和通过由证书机构签发的数字证书来进行分发公钥的过程。

X509数字证书是指由可信任证书签发组织对特定公钥和数据信息进行签名的数 据。

X509证书白名单：是被可信任证书签发组织所签发的或证书应用提供方所认定 依然有效的证书集合。

X509证书黑名单：是由可信任证书签发组织所废除的一系列证书的集合，被列 入黑名单的证书公私钥将失效。

证书吊销列表CRL：以一定格式储存证书黑名单，并能更新名单和验证是否由可 信任证书签发组织所发布的数据。

OCSP在线证书协议：即可以实时查看证书状态的协议，由客户端发起，随时来 查询证书状态。

轻量级目录访问协议(LDAP)是一个用于通过TCP/IP网络来访问目录服务的协 议，目录是种专门的数据库，该数据库对读取，检索和浏览进行优化。

X500目录是一种可以在LDAP中使用的数据组织结构，数据组织结构是一个树状 的结构，树中除了根节点之外的每一个节点都有一个父节点和任意数目的子节点。一 般用于存储证书黑白名单及证书吊销列表。

X509数字证书白名单现阶段使用X500目录在LDAP中发布，查询，验证，此LDAP 数据由可信任证书颁发组织所发布。

发明内容

针对现有技术中所存在的问题，本发明提出了一个轻量级，低开销，低网络消耗， 快速响应，安全，可验证的证书白名单发布方式。

为了实现上述目的，本发明的技术方案是：一种X509数字证书白名单发布查询 验证的方法，方法至少包括：

建立由一个串组成；包括证书部分、签名算法、签名值的证书白名单，所述证书 白名单列表包括本次更新时间、下次更新时间、签发者、白名单证书的唯一标识(例 如：序列号)等；可信任证书颁发组织签发证书白名单并发布供用户查询；用户根据 可信任证书颁发组织所发布的白名单地址获取白名单的数据，并通过可信任证书颁发 组织的CA证书对所有白名单证书序列号进行一次性验证得到相应的白名单证书唯 一标识(例如：序列号)。

本发明的白名单发布系统与原来白名单发布系统(例如：通过LDAP发布)比较， 主要有以下区别：

1.本发明是一种轻量级的X509发布证书白名单的一种方式，原来证书白名单 发布详尽的证书信息，组织结构，证书本身，单个白名单数据容量大小往往有数千字 节。，此种方式白名单只发布证书的唯一标识(例如：序列号)及相关操作时间。因 此单个白名单数据大小才几十字节，大大的减少了储存空间。

2.对于原来的白名单验证方式，验证白名单内证书必须分别验证每一张证书是 否可信任，由而不能一次性验证白名单内的所有证书。而本发明使用的方式通过可信 任证书颁发组织的CA证书对所有证书序列号进行一次性验证，从而达到批量验签的 目的。，大大的提升了验证效率，节约了验证时间。

3.对于传统的白名单验证方式(例如：通过LDAP发布白名单)，应用用户必 须一直连接白名单发布服务器(例如：LDAP)，每验证一张证书就必须查询一次LDAP 服务器，此发明验证白名单的方式，可以离线下载白名单，并一次性的验证白名单中 的所有白名单证书，极大的减少了网络资源消耗，并极大的提高了验证速度，快速安 全的验证了白名单中的证书。

4.可以通过HTTP，FTP等被广泛运用的网络通讯协议发布白名单，而不需要专 属协议。

附图说明

图1是本发明实施例的白名单验签过程流程图。

图2是本发明实施例的白名单发布过程示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细地说明。

本发明提出了一个轻量级的，但具有更高效，简洁，安全，可验证的证书白名单 发布方式。

主要使用以下内容来实现发布，验证白名单。

一，所发布的白名单数据格式

CertificateList::＝SESQUENCE{

    TbsCertList TBSCertList，