文档介绍：
刘宝龙*收稿日期:2012年5月2日
基金辅助:陕西省教育厅自然科学专项项目(12JK0728)
作者简介:刘宝龙(1976-),男,西安工业大学计算机科学与工程学院,博士,主要从事XML安全技术方面的研究。Email: @ 电话:**********
*通信作者:刘宝龙 Email: @
陈桦
西安工业大学计算机科学与工程学院,西安,710032
摘要:。Certificate Authority (CA)与客户之间大规模的数据交互成了数字证书状态验证的一个主要瓶颈。本文基于XML数字签名技术提出了一个新颖的数字证书有效性自验证方案,该方案的主要思想是在证书中心颁发一个数字证书后,证书的拥有者添加证书状态并进行数字签名。这样一个改进后的数字证书包含了该证书的当前有效状态信息,不需要客户与CA通信进行状态的验证,使得数字证书有效性检验变得简单、高效。评估结果显示,提出的数字证书自验证方案比传统采用的证书作废列表(CRL)和证书状态在线验证协议(OCSP)具有更高的实际使用效率,解决了数字证书实际使用时有效性验证的瓶颈问题。
关键词:;X-Certificate;自验证;XML数字签名
中图号: 文献标志码:A
0. 引言
,如:电子商务中需要可追究性保护等。。在数字证书使用过程中,一个重要的问题是对作废证书的有效验证机制[1-5]。数字证书作废是指一个证书在其失效期未到之前所作的无效处理。现有两种主要的证书有效性检查方式为:证书废除列表(Certificate Revocation List)和证书状态在线协议(Online Certificate Status Protocol)。
证书废除列表是由证书中心签名并颁发,它包含了已经废除或者撤销了的证书编号。这个列表具有一个生命周期,因此,用户需要及时下载更新最新的列表。然而,如果客户不能及时下载更新证书废除列表,这种方法不能支持较为及时的证书状态更新信息[6-9]。已有几种方法来提高数字证书有效性验证的效率。证书废除系统(Certificate Revocation System)能够有效支持用户的证书验证[10]。在这个方案中,证书中心在创建一个数字证书时,选择
两个随机数和,并计算,这里是一个单向HASH算法,比如:SHA1。然后使,同样,是一个单向HASH算法。数字365代表一年中每天的编号。这样,将和包含在数字证书中,并与证书中其它的信息一起签名,而由证书中心秘密保管。假设在一年中第天证书中心接到了用户的验证请求,证书中心经过检查CRL后可以做出两种选择。如果证书作废了,那么证书中心给用户返回,用户在得到这个值后通过相同的HASH算法可以计算得到值,这就预示着此证书已经作废。如果查询的证书有效,那么证书中心返回值,用户在得到该值后,经过次运算,可以得到,由此可以判断该证书依然有效。尽管该方法可以实现用户对证书有效性的自验证,但是该方法在分布式系统中部署较为困难[8],