[发明专利]具有替代数字证书的网络安全系统、方法及存储介质

权利要求书

1.一种用于具有替代数字证书的网络安全的系统，其包括：

包括处理器的计算机系统；以及

包含可执行指令的存储器，作为由所述处理器执行的结果，所述可执行指令使所述系统：

接收从服务器传输到客户端的证书链，所述证书链包括：

包括中间授权机构公钥和主体信息的中间证书，其中所述中间证书的有效性是能至少部分地基于所述中间证书与受信任根证书之间的第一信任链加密地验证的；以及

包括终端实体公钥的终端实体证书，其中所述终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的；

通过以下方式生成替代证书链：

获得替代中间证书，所述替代中间证书包括替代中间授权机构公钥和与所述中间证书的所述主体信息相关联的主体信息，其中所述替代中间证书的有效性是能至少部分地基于所述替代中间证书与受信任的替代根证书之间的第二信任链加密地验证的；以及

获得替代终端实体证书，所述替代终端实体证书包括替代终端实体公钥和与所述终端实体证书的所述主体信息相关联的主体信息，其中使用对应于所述替代中间授权机构公钥的替代中间授权机构私钥来对所述替代终端实体证书进行数字签名；以及

将所述替代证书链作为所述接收到的证书链的替换物传输到所述客户端。

2.如权利要求1所述的系统，其中：

所述计算机系统至少使用所述终端实体证书和所述证书链来与所述服务器建立第一加密保护的通信会话；以及

所述计算机系统至少使用所述替代证书链和对应于所述替代终端实体公钥的替代终端实体私钥来与所述客户端建立第二加密保护的通信会话。

3.如权利要求2所述的系统，其中所述存储器包含可执行指令，作为由所述处理器执行的结果，所述可执行指令还使所述系统：

通过所述第二加密保护的通信会话，接收加密的消息；

解密所述加密的消息；

至少部分地基于所述解密的消息来检测指出所述服务器不应该接收所述解密的消息的条件的满足；

修改所述解密的消息，使得所述条件不再被满足；

使用所述终端实体公钥来加密所述修改的消息；以及

通过所述第一加密保护的通信会话来传输所述加密的修改的消息。

4.如权利要求1所述的系统，其中所述证书链和所述替代证书链具有相同的长度。

5.一种用于具有替代数字证书的网络安全的计算机实现的方法，其包括：

获得中间授权机构证书，所述中间授权机构证书包括中间授权机构公钥；

生成替代终端实体证书，所述替代终端实体证书包括：

替代终端实体公钥；

与终端实体证书相关联的主体信息；

与所述终端实体证书相关联的发布者信息；并且

其中所述替代终端实体证书的有效性是能至少部分地基于所述中间授权机构公钥加密地验证的；以及

至少使所述替代终端实体证书可用于替换所述终端实体证书。

6.如权利要求5所述的计算机实现的方法，其中所述中间授权机构证书的有效性能通过包括第一受信任根授权机构的信任链来加密地验证，所述第一受信任根授权机构不同于能用于确定所述终端实体证书的有效性的第二受信任根授权机构。

7.如权利要求5所述的计算机实现的方法，其中所述终端实体证书的大小和所述替代终端实体证书的大小相等。

8.如权利要求5所述的计算机实现的方法，其中：

所述终端实体证书通过第一数据包获得，所述第一数据包包括协议类型和数据包大小；以及

通过第二数据包获得所述替代终端实体证书，所述第二数据包包括相同的协议类型和相同的数据包大小。

9.如权利要求8所述的计算机实现的方法，其中所述协议类型选自由以下组成的组：因特网协议(IP)、传输层安全性(TLS)、传输控制协议(TCP)和用户数据报协议(UDP)。