專利名稱:配置高可用聯(lián)機(jī)證書狀態(tài)協(xié)議應(yīng)答器的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及改進(jìn)的數(shù)據(jù)處理系統(tǒng),具體地說(shuō),涉及用于多計(jì)算機(jī)數(shù)據(jù)傳送的方法和裝置。更具體地說(shuō),本發(fā)明提供計(jì)算機(jī)到計(jì)算機(jī)認(rèn)證的方法和裝置。
背景技術(shù):
隨著采用基于因特網(wǎng)的業(yè)務(wù),人們開始關(guān)心電子通信的完整性和保密性。為了保護(hù)電子通信,人們開發(fā)了各種加密和認(rèn)證技術(shù),如非對(duì)稱加密密鑰。
為了創(chuàng)建使用密鑰的公用、安全計(jì)算架構(gòu),頒布了用于數(shù)字證書的X.509標(biāo)準(zhǔn)集合。X.509數(shù)字證書是國(guó)際電信聯(lián)盟(ITU)標(biāo)準(zhǔn),因特網(wǎng)工程任務(wù)組(IETF)已采納該標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)以密碼方式綁定證書持有者(可能是證書內(nèi)的主體名稱)與其公共密鑰。密碼綁定基于稱為認(rèn)證機(jī)構(gòu)(CA)的用于X.509證書的因特網(wǎng)公共密鑰基礎(chǔ)設(shè)施(PKIX)內(nèi)的可信實(shí)體的參與。因此,證書持有者與其公共密鑰之間的強(qiáng)有力的信任關(guān)系可以成為公共信息,同時(shí)又是防止竄改的并且是可靠的??煽啃缘闹匾矫媸前l(fā)行證書以便使用之前由認(rèn)證機(jī)構(gòu)戳記在證書上的數(shù)字簽名。此后,每當(dāng)因使用服務(wù)而向系統(tǒng)提交證書時(shí),總是在認(rèn)證主體持有者之前驗(yàn)證其簽名。在成功完成認(rèn)證處理后,允許證書持有者訪問(wèn)某些信息、服務(wù)或其他受控資源,如批準(zhǔn)證書持有者訪問(wèn)某些系統(tǒng)。
本質(zhì)上,PKIX創(chuàng)建并管理兩個(gè)不同但密切相關(guān)的結(jié)構(gòu)X.509證書和X.509證書撤消列表(CRL)。如上所述,數(shù)字證書提供持有證書的主體的公共密鑰的保證,即證明,而CRL是認(rèn)證機(jī)構(gòu)宣布解除證書所代表之綁定的一種方法。換句話說(shuō),CRL是認(rèn)證機(jī)構(gòu)宣布先前發(fā)行的尚未到期的證書不再有效的一種方法。撤消證書的原因可能是各種管理因素,如主體與單位的從屬關(guān)系改變,也可能是安全因素,如由于丟失、被盜或非授權(quán)公開私有密鑰而危及證書或相關(guān)密鑰的安全性。已被撤消的證書將永久作廢,不能解除撤消、取回、恢復(fù)或重新使用。發(fā)行機(jī)構(gòu)通過(guò)以加密方式對(duì)證書數(shù)據(jù)結(jié)構(gòu)進(jìn)行簽字,認(rèn)證持有者的公共密鑰。同樣,通過(guò)在CRL數(shù)據(jù)結(jié)構(gòu)中戳記認(rèn)證機(jī)構(gòu)的簽名,認(rèn)證撤消處理。
為了正確驗(yàn)證數(shù)字證書,應(yīng)用必須檢查該證書是否已被撤消。在認(rèn)證機(jī)構(gòu)發(fā)行證書時(shí),認(rèn)證機(jī)構(gòu)生成用于標(biāo)識(shí)該證書的唯一序號(hào),并在X.509證書的“序號(hào)”字段中存儲(chǔ)該序號(hào)。通常,借助證書的序號(hào)標(biāo)識(shí)CRL內(nèi)已撤消的X.509證書;已撤消證書的序號(hào)出現(xiàn)在CRL內(nèi)的序號(hào)列表中。因此,為了確定證書是否已經(jīng)被撤消,驗(yàn)證證書的應(yīng)用必須檢查可能與該證書有關(guān)的所有證書撤消列表。特別地,必須檢查發(fā)行證書的認(rèn)證機(jī)構(gòu)最近公布的所有CRL。
通常,每逢撤消證書時(shí),認(rèn)證機(jī)構(gòu)總會(huì)公布新的CRL。通過(guò)各種機(jī)制,向證書驗(yàn)證系統(tǒng)分發(fā)CRL,但是由于向用戶系統(tǒng)推送信息可能出現(xiàn)的問(wèn)題,商用PKIX系統(tǒng)通常依靠輪詢機(jī)制,其中驗(yàn)證證書的應(yīng)用負(fù)責(zé)輪詢CRL。認(rèn)證機(jī)構(gòu)可以將新公布的CRL放到特定位置,如LDAP(輕量目錄訪問(wèn)協(xié)議)目錄,并在認(rèn)證機(jī)構(gòu)發(fā)行的證書中指定上述特定位置。然而,由使用證書的各應(yīng)用檢查正在處理的各證書的CRL會(huì)嚴(yán)重影響上述應(yīng)用的性能。
除檢查CRL之外,有關(guān)聯(lián)機(jī)證書狀態(tài)協(xié)議(OCSP)的標(biāo)準(zhǔn)業(yè)已頒布。使用OCSP要求使用證書的每個(gè)應(yīng)用與服務(wù)器聯(lián)系,以獲取證書的狀態(tài),如可用、過(guò)期或未知。OCSP客戶機(jī)向OCSP應(yīng)答器發(fā)出狀態(tài)請(qǐng)求,并且暫停接受證書直至應(yīng)答器返回應(yīng)答。在某些情況中,OCSP應(yīng)答器的可用性可能受到大量OCSP狀態(tài)請(qǐng)求的壓倒性負(fù)荷的影響。
因此,需要配置一組OCSP應(yīng)答器的方法和系統(tǒng),以有利改善每個(gè)OCSP應(yīng)答器的可用性。
發(fā)明內(nèi)容
提供用于配置一組OCSP(聯(lián)機(jī)證書狀態(tài)協(xié)議)應(yīng)答器以使其成為高可用應(yīng)答器的方法、系統(tǒng)、裝置和計(jì)算機(jī)程序。小組OCSP應(yīng)答器中的各應(yīng)答器共享通用公共密鑰,但是各OCSP應(yīng)答器保持用于生成小組數(shù)字簽名的特有信息。當(dāng)響應(yīng)OCSP請(qǐng)求時(shí),OCSP應(yīng)答器生成包含小組數(shù)字簽名的OCSP應(yīng)答,該OCSP應(yīng)答附帶有通用公共密鑰的證書,也稱為小組公共密鑰。OCSP客戶機(jī)使用小組公共密鑰驗(yàn)證來(lái)自任一OCSP應(yīng)答器的OCSP應(yīng)答上的數(shù)字簽名。支持多個(gè)OCSP應(yīng)答器的計(jì)算環(huán)境可以提供附加OCSP應(yīng)答器,以至附加OCSP應(yīng)答器能夠生成可以利用小組公共密鑰證書進(jìn)行驗(yàn)證的小組數(shù)字簽名。當(dāng)向以上小組添加OCSP應(yīng)答器時(shí),由于可以降低各OCSP應(yīng)答器的平均處理負(fù)載,所以能夠提高所述小組中各OCSP應(yīng)答器的可用性。
附屬權(quán)利要求書闡述被認(rèn)為是本發(fā)明之特征的全新功能。通過(guò)連同附圖一起閱讀以下詳細(xì)說(shuō)明書,將更好地理解本發(fā)明、其目的以及其優(yōu)點(diǎn),其中圖1A表示可以實(shí)施本發(fā)明的典型分布式數(shù)據(jù)處理系統(tǒng);圖1B表示可以實(shí)施本發(fā)明的數(shù)據(jù)處理系統(tǒng)中使用的典型計(jì)算機(jī)體系結(jié)構(gòu);圖2表示實(shí)體獲取數(shù)字證書的典型方式;圖3是一個(gè)框圖,表示實(shí)體與因特網(wǎng)或應(yīng)用一起使用數(shù)字證書的方式;圖4A表示標(biāo)準(zhǔn)X.509數(shù)字證書的某些字段;圖4B表示X.509證書撤消列表的某些字段;圖4C表示OCSP請(qǐng)求和OCSP應(yīng)答的某些字段;圖4D是一個(gè)框圖,表示簡(jiǎn)單聯(lián)機(jī)證書狀態(tài)協(xié)議(OCSP)事務(wù)處理;圖4E是一個(gè)框圖,表示多OCSP應(yīng)答器的結(jié)構(gòu);
圖5是一個(gè)框圖,表示根據(jù)本發(fā)明一實(shí)施方式具有主OCSP應(yīng)答器的一組多OCSP應(yīng)答器;圖6A是一個(gè)流程圖,表示利用小組公共密鑰配置一組OCSP應(yīng)答器的過(guò)程;圖6B是一個(gè)流程圖,表示OCSP應(yīng)答器準(zhǔn)備生成小組簽名的過(guò)程;圖6C是一個(gè)流程圖,表示共享小組公共密鑰的OCSP應(yīng)答器生成OCSP應(yīng)答的過(guò)程;以及圖6D是一個(gè)流程圖,表示主OCSP應(yīng)答器確定復(fù)位小組公共密鑰的子過(guò)程。
具體實(shí)施例方式
通常,包含或涉及本發(fā)明的設(shè)備包括各種數(shù)據(jù)處理技術(shù)。因此,作為背景,在詳細(xì)描述本發(fā)明之前,描述分布式數(shù)據(jù)處理系統(tǒng)內(nèi)的硬件和軟件組件的典型結(jié)構(gòu)。
現(xiàn)在參照附圖,圖1A表示可實(shí)施本發(fā)明之某一部分的數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)。分布式數(shù)據(jù)處理系統(tǒng)100包括網(wǎng)絡(luò)101,網(wǎng)絡(luò)101是一種媒介,利用該媒介提供連接在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)的各種設(shè)備和計(jì)算機(jī)之間的通信鏈路。網(wǎng)絡(luò)101包括諸如金屬線或光纖電纜之類的永久連接,或經(jīng)由電話或無(wú)線通信進(jìn)行的臨時(shí)連接。在所示示例中,將服務(wù)器102和服務(wù)器103以及存儲(chǔ)裝置104連接到網(wǎng)絡(luò)101。另外,將客戶機(jī)105-107也連接到網(wǎng)絡(luò)101??蛻魴C(jī)105-107和服務(wù)器102-103可以為各種計(jì)算設(shè)備,如大型機(jī)、個(gè)人計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)等。分布式數(shù)據(jù)處理系統(tǒng)100可以包括附加服務(wù)器、客戶機(jī)、路由器、其他設(shè)備和對(duì)等體系結(jié)構(gòu)(未示出)。
在所示例子中,分布式數(shù)據(jù)處理系統(tǒng)100包括與網(wǎng)絡(luò)101相連的因特網(wǎng),因特網(wǎng)表示全世界的利用各種協(xié)議彼此進(jìn)行通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的集合,如輕量目錄訪問(wèn)協(xié)議(LDAP)、傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)、超文本傳輸協(xié)議(HTTP)、無(wú)線應(yīng)用協(xié)議(WAP)等。當(dāng)然,分布式數(shù)據(jù)處理系統(tǒng)100可以包括多種不同類型的網(wǎng)絡(luò),如內(nèi)聯(lián)網(wǎng)、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)等。例如,服務(wù)器102直接支持客戶機(jī)109和網(wǎng)絡(luò)110,其中網(wǎng)絡(luò)110包括無(wú)線通信鏈路。支持網(wǎng)絡(luò)的電話111通過(guò)無(wú)線鏈路112連接到網(wǎng)絡(luò)110,PDA 113通過(guò)無(wú)線鏈路114連接到網(wǎng)絡(luò)110。電話111和PDA 113利用適當(dāng)技術(shù),如利用藍(lán)牙TM無(wú)線技術(shù)通過(guò)無(wú)線鏈路115創(chuàng)建所謂的個(gè)人局域網(wǎng)(PAN)或個(gè)人專用網(wǎng),也能在兩者之間直接傳送數(shù)據(jù)。同樣,PDA 113能夠借助無(wú)線通信鏈路116向PDA 107傳送數(shù)據(jù)。
可以在各種硬件平臺(tái)上實(shí)現(xiàn)本發(fā)明;圖1A作為異質(zhì)計(jì)算環(huán)境的示例,而非對(duì)本發(fā)明的體系結(jié)構(gòu)限制。
現(xiàn)在參照?qǐng)D1B,該圖表示可實(shí)施本發(fā)明的圖1A所示的數(shù)據(jù)處理系統(tǒng)的典型計(jì)算機(jī)體系結(jié)構(gòu)。數(shù)據(jù)處理系統(tǒng)120包括與內(nèi)部系統(tǒng)總線123相連的一個(gè)或多個(gè)中央處理器(CPU)122,其中內(nèi)部系統(tǒng)總線123互連隨機(jī)存取存儲(chǔ)器(RAM)124、只讀存儲(chǔ)器126和輸入/輸出適配器128,輸入/輸出適配器128支持各種I/O設(shè)備,如打印機(jī)130、磁盤機(jī)132、或諸如音頻輸出系統(tǒng)之類的其他設(shè)備(未示出)。系統(tǒng)總線123還連接通信適配器134,后者提供對(duì)通信鏈路136的訪問(wèn)。用戶接口適配器148連接各種用戶設(shè)備,如鍵盤140、鼠標(biāo)142或諸如觸屏、觸筆、麥克風(fēng)之類的其他設(shè)備(未示出)。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146。
一般技術(shù)人員可以理解,圖1B所示的硬件可以隨系統(tǒng)實(shí)現(xiàn)而變化。例如,該系統(tǒng)可以有一個(gè)或多個(gè)處理器,如基于英特爾奔騰的處理器和數(shù)字信號(hào)處理器(DSP),以及一種或多種類型的易失和非易失存儲(chǔ)器。除圖1B所示的硬件之外或替代圖1B所示的硬件,也可以使用其他外圍設(shè)備。換句話說(shuō),一般技術(shù)人員認(rèn)為不會(huì)在支持web或支持網(wǎng)絡(luò)的電話與全功能桌面工作站中找到完全相同的組件或體系結(jié)構(gòu)。所示示例并不意味著對(duì)本發(fā)明的體系結(jié)構(gòu)限制。
除了能夠在各種硬件平臺(tái)上實(shí)施之外,也可以在各種軟件環(huán)境中實(shí)施本發(fā)明。可使用典型操作系統(tǒng)來(lái)控制各數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行。例如,一臺(tái)設(shè)備運(yùn)行Unix操作系統(tǒng),而另一臺(tái)設(shè)備包含簡(jiǎn)單Java運(yùn)行時(shí)環(huán)境。典型計(jì)算機(jī)平臺(tái)可能包括瀏覽器,后者是一個(gè)眾所周知的軟件應(yīng)用,用于訪問(wèn)各種格式的超文本文檔,如圖形文件、字處理文件、擴(kuò)展標(biāo)記語(yǔ)言(XML)、超文本標(biāo)記語(yǔ)言(HTML)、手持設(shè)備標(biāo)記語(yǔ)言(HDML)、無(wú)線標(biāo)記語(yǔ)言(WML),以及各種其他格式和類型的文件。
如上所述,可以在各種硬件和軟件平臺(tái)上實(shí)施本發(fā)明。更確切地說(shuō),本發(fā)明的目的在于提高采用OCSP(聯(lián)機(jī)證書狀態(tài)協(xié)議)的分布式數(shù)據(jù)處理環(huán)境內(nèi)的應(yīng)用或系統(tǒng)的性能。為了實(shí)現(xiàn)上述目的,本發(fā)明以全新方式使用與數(shù)字證書關(guān)聯(lián)的信任關(guān)系。在詳細(xì)描述本發(fā)明之前,提供有關(guān)數(shù)字證書的某些背景信息,以評(píng)估本發(fā)明的運(yùn)行效率和其他優(yōu)勢(shì)。
數(shù)字證書支持公共密鑰加密,其中參與通信或事務(wù)的每一方均具有一對(duì)密鑰,稱為公共密鑰或私有密鑰。每一方的公共密鑰均是公開的,而其私有密鑰是保密的。公共密鑰是與特定實(shí)體關(guān)聯(lián)的數(shù)字,需要與該實(shí)體建立信任互動(dòng)的所有人均了解公共密鑰。私有密鑰是只有特定實(shí)體才了解的數(shù)字,亦即,是保密的。在典型的非對(duì)稱密碼系統(tǒng)中,一個(gè)私有密鑰只與一個(gè)公共密鑰對(duì)應(yīng)。
在公共密鑰密碼系統(tǒng)中,由于所有通信僅僅涉及公共密鑰,并且從不傳輸或共享私有密鑰,所以僅僅使用公開信息就能生成秘密消息,并且僅僅使用私有密鑰就能解密,其中只有預(yù)定接受者才擁有私有密鑰。另外,公共密鑰密碼術(shù)可以用于認(rèn)證(即數(shù)字簽名)或保密(即,加密)。
加密是將數(shù)據(jù)轉(zhuǎn)換為沒(méi)有解密密鑰的任何人均無(wú)法讀取的形式;加密處理通過(guò)對(duì)預(yù)定接收人之外的所有人隱藏信息內(nèi)容來(lái)保證私密性,即使他人能夠看到經(jīng)過(guò)加密的數(shù)據(jù)。認(rèn)證是一個(gè)過(guò)程,通過(guò)認(rèn)證,數(shù)字消息的接受者能夠確信發(fā)送者的身份和/或消息的完整性。
例如,當(dāng)發(fā)送者對(duì)消息加密時(shí),利用接受者的公共密鑰將原始消息內(nèi)的數(shù)據(jù)轉(zhuǎn)換為經(jīng)過(guò)加密的消息內(nèi)容。發(fā)送者使用預(yù)定接受者的公共密鑰對(duì)數(shù)據(jù)進(jìn)行加密,接受者使用其私有密鑰對(duì)經(jīng)過(guò)加密的消息進(jìn)行解密。
當(dāng)認(rèn)證數(shù)據(jù)時(shí),通過(guò)使用簽名人的私有密鑰計(jì)算該數(shù)據(jù)的數(shù)字簽名,對(duì)數(shù)據(jù)進(jìn)行簽名。在以數(shù)字方式對(duì)該數(shù)據(jù)進(jìn)行簽名后,可以與簽名人的身份和簽名一起存儲(chǔ),其中簽名證明該數(shù)據(jù)源自簽名人。簽名人使用其私有密鑰對(duì)數(shù)據(jù)進(jìn)行簽名,接收者使用簽名人的公共密鑰來(lái)驗(yàn)證簽名。
證書是數(shù)字文檔,用于保證實(shí)體的身份和密鑰所有權(quán),實(shí)體例如是個(gè)人、計(jì)算機(jī)系統(tǒng)或在該系統(tǒng)上運(yùn)行的特定服務(wù)器。證書是由認(rèn)證機(jī)構(gòu)發(fā)行的。認(rèn)證機(jī)構(gòu)(CA)是一個(gè)實(shí)體,通常是事務(wù)的受信第三方,人們信任其簽名或向他人或?qū)嶓w發(fā)行的證書。CA通常對(duì)公共密鑰與其所有人之間的綁定保證負(fù)某種類型的法律責(zé)任,其中上述綁定保證允許人們信任簽署證書的實(shí)體。有許多認(rèn)證機(jī)構(gòu),如VeriSign、Entrust等。當(dāng)發(fā)行證書時(shí),上述機(jī)構(gòu)負(fù)責(zé)驗(yàn)證實(shí)體的身份和密鑰所有權(quán)。
如果認(rèn)證機(jī)構(gòu)為某個(gè)實(shí)體發(fā)行證書,則該實(shí)體必須提供公共密鑰和有關(guān)該實(shí)體的某些信息。特別配備有Web瀏覽器之類的軟件工具能夠以數(shù)字方式對(duì)該信息進(jìn)行簽名,然后發(fā)送到認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)可能為諸如VeriSign之類的公司,此類公司提供可以信任的第三方認(rèn)證授權(quán)服務(wù)。接著,認(rèn)證機(jī)構(gòu)生成證書,并返回證書。證書可能包含其他信息,如序號(hào)和證書的有效日期。認(rèn)證機(jī)構(gòu)提供的一部分價(jià)值在于,部分基于其驗(yàn)證需求,提供一種中立的、可以信任的介紹服務(wù),其中在其認(rèn)證服務(wù)操作規(guī)程(CSP)中公開其驗(yàn)證需求。
CA通過(guò)嵌入請(qǐng)求實(shí)體的公共密鑰與其他標(biāo)識(shí)信息,然后利用CA的私有密鑰對(duì)數(shù)字證書進(jìn)行簽名,創(chuàng)建新的數(shù)字證書。在事務(wù)或通信期間收到數(shù)字證書的任何人可以使用CA的公共密鑰,來(lái)驗(yàn)證證書內(nèi)簽名的公共密鑰。其目的在于,CA的簽名作為數(shù)字證書上的防止竄改封條,從而確保證書內(nèi)的數(shù)據(jù)的完整性。
同時(shí)對(duì)證書處理的其他方面進(jìn)行標(biāo)準(zhǔn)化。證書請(qǐng)求消息格式(RFC2511)規(guī)定信任方向CA請(qǐng)求證書時(shí)推薦使用的格式。并且頒布了用于傳輸證書的證書管理協(xié)議。有關(guān)X.509公共密鑰基礎(chǔ)設(shè)施(PKIX)的更多信息,可以從網(wǎng)址為www.ietf.org的因特網(wǎng)工程任務(wù)組(IETF)那里獲得。圖2-4B的描述提供有關(guān)數(shù)字證書的某些有用背景信息,因?yàn)楸景l(fā)明駐留在處理數(shù)字證書的分布式數(shù)據(jù)處理系統(tǒng)中。
現(xiàn)在參照?qǐng)D2,圖2是一個(gè)框圖,表示個(gè)人獲得數(shù)字證書的典型方式。在桌類客戶計(jì)算機(jī)上運(yùn)行的用戶202先前獲得或生成一個(gè)公共密鑰/私有密鑰對(duì),如用戶公共密鑰204和用戶私有密鑰206。用戶202生成一個(gè)對(duì)包含用戶公共密鑰204的證書的請(qǐng)求208,將該請(qǐng)求發(fā)送到認(rèn)證機(jī)構(gòu)210,后者擁有CA公共密鑰212和CA私有密鑰214。認(rèn)證機(jī)構(gòu)210以某種方式驗(yàn)證用戶202的身份,然后生成包含用戶公共密鑰218的X.509數(shù)字證書216。利用CA私有密鑰214對(duì)整個(gè)證書進(jìn)行簽名,該證書包含用戶的公共密鑰,與該用戶關(guān)聯(lián)的名稱以及其他屬性。用戶202接收新生成的數(shù)字證書216,并在參與信任事務(wù)或信任通信時(shí),用戶202在必要時(shí)提交數(shù)字證書216。從用戶202那里接收數(shù)字證書216的實(shí)體利用CA公共密鑰212,驗(yàn)證CA的簽名,其中CA公共密鑰212是公開的,并且驗(yàn)證實(shí)體能夠獲得該公共密鑰。
現(xiàn)在參照?qǐng)D3,圖3是一個(gè)框圖,表示某個(gè)實(shí)體使用數(shù)字證書的典型方式,其中因特網(wǎng)系統(tǒng)或應(yīng)用需要驗(yàn)證數(shù)字證書。用戶302擁有X.509數(shù)字證書304,將該證書傳送到主機(jī)系統(tǒng)308上的因特網(wǎng)或內(nèi)聯(lián)網(wǎng)應(yīng)用306,應(yīng)用306包括用于處理和使用數(shù)字證書的X.509功能。用戶302利用其私有密鑰對(duì)數(shù)據(jù)進(jìn)行簽名和加密,然后發(fā)送到應(yīng)用306。
接收證書304的實(shí)體可以為應(yīng)用、系統(tǒng)或子系統(tǒng)等。證書304包含向應(yīng)用306標(biāo)識(shí)用戶302的主體名稱或主體標(biāo)識(shí)符,應(yīng)用306為用戶302完成某類服務(wù)。對(duì)于來(lái)自用戶302的經(jīng)過(guò)簽名或加密的數(shù)據(jù),使用證書304的實(shí)體在使用證書前,驗(yàn)證證書的真實(shí)性。
主機(jī)系統(tǒng)308可能包含系統(tǒng)注冊(cè)表310,利用后者授權(quán)用戶302使用系統(tǒng)308內(nèi)的服務(wù)和資源,亦即,使用戶的身份和用戶權(quán)限一致。例如,系統(tǒng)管理員將用戶的身份配置為屬于某個(gè)安全組,并且限定該用戶只能訪問(wèn)為整個(gè)安全組配置的可用資源??梢栽谠撓到y(tǒng)內(nèi)使用實(shí)施授權(quán)方案的各種周知方法。
如前所述,關(guān)于現(xiàn)有技術(shù),為了正確驗(yàn)證數(shù)字證書,應(yīng)用必須檢查該證書是否已被撤消。當(dāng)認(rèn)證機(jī)構(gòu)發(fā)行證書時(shí),認(rèn)證機(jī)構(gòu)生成用于標(biāo)識(shí)該證書的唯一序號(hào),并在X.509證書的“序號(hào)”字段中存儲(chǔ)該序號(hào)。通常,借助證書的序號(hào)標(biāo)識(shí)CRL內(nèi)已撤消的X.509證書;已撤消證書的序號(hào)出現(xiàn)在CRL內(nèi)的序號(hào)列表中。
為了確定證書304是否依然有效,應(yīng)用306從CRL庫(kù)312中獲取證書撤消列表(CRL),并驗(yàn)證該CRL。應(yīng)用306比較證書304內(nèi)的序號(hào)與檢索到的CRL內(nèi)的序號(hào)列表,如果沒(méi)有匹配的序號(hào),則應(yīng)用306確認(rèn)證書304。如果CRL中有匹配序號(hào),則拒絕證書304,并且應(yīng)用306可以采取適當(dāng)措施,以拒絕該用戶對(duì)訪問(wèn)任何受控資源的請(qǐng)求。
現(xiàn)在參照?qǐng)D4A,該圖表示標(biāo)準(zhǔn)X.509數(shù)字證書的某些字段。圖4A所示的結(jié)構(gòu)為抽象句法符號(hào)1(ASN.1),并且由X.509標(biāo)準(zhǔn)定義。
現(xiàn)在參照?qǐng)D4B,該圖表示X.509證書撤消列表的某些字段。利用圖4B所示的結(jié)構(gòu)標(biāo)識(shí)CRL中的每個(gè)已被撤消的證書,該結(jié)構(gòu)亦采用ASN.1符號(hào)。“因特網(wǎng)X.509公共密鑰基礎(chǔ)設(shè)施證書和CRL概要”,IETF RFC 2459,1999年1月,詳細(xì)敘述數(shù)字證書和證書撤消列表的定義。
如上所述,證書撤消列表是收回證書的一種機(jī)制。換句話說(shuō),CRL表示解除或拒絕接受信任第三方與持有或提交證書的一組主體(即,用戶)之間的關(guān)系。因此,在為用戶執(zhí)行某些操作之前,通常利用CRL來(lái)確定證書是否有效。正如圖3所示,通常在驗(yàn)證證書的認(rèn)證處理中使用CRL。
如上所述,替代或除檢查CRL之外,應(yīng)用可以使用OCSP來(lái)獲取證書的狀態(tài)。使用OCSP要求使用證書的每個(gè)應(yīng)用與服務(wù)器聯(lián)系,以獲取有關(guān)證書的狀態(tài),如良好、過(guò)期或未知,從而將確定證書狀態(tài)的負(fù)荷從使用證書的應(yīng)用程序轉(zhuǎn)移到OCSP服務(wù)器。應(yīng)用可以增加處理OCSP事務(wù)的專用客戶機(jī)模塊??梢杂砂l(fā)行有關(guān)證書的認(rèn)證機(jī)構(gòu)來(lái)操作該服務(wù)器,或者該服務(wù)器為其他應(yīng)用獲取并處理CRL,從而這些應(yīng)用不必處理CRL。
現(xiàn)在參照?qǐng)D4C,該圖表示OCSP請(qǐng)求和OCSP應(yīng)答的某些字段。圖4C所示的結(jié)構(gòu)采用抽象句法符號(hào)1(ASN.1),并且“X.509因特網(wǎng)公共密鑰基礎(chǔ)設(shè)施聯(lián)機(jī)證書狀態(tài)協(xié)議-OCSP”,IETF RFC 2560,1999年6月,詳細(xì)敘述該構(gòu)造。
現(xiàn)在參照?qǐng)D4D,該圖是一個(gè)框圖,表示簡(jiǎn)單OCSP(聯(lián)機(jī)證書狀態(tài)協(xié)議)事務(wù)。OCSP客戶機(jī)402向OCSP應(yīng)答器404發(fā)出狀態(tài)請(qǐng)求,并且暫停接受證書直至應(yīng)答器返回經(jīng)過(guò)簽名的應(yīng)答。根據(jù)OCSP規(guī)范,必須對(duì)OCSP應(yīng)答消息進(jìn)行簽名,并且對(duì)應(yīng)答進(jìn)行簽名的密鑰必須屬于發(fā)行有關(guān)證書的CA;請(qǐng)求者信任其公共密鑰的信任應(yīng)答器;或持有CA直接發(fā)行的有特殊記號(hào)的證書的CA指定應(yīng)答器(授權(quán)應(yīng)答器),其中記號(hào)表示該應(yīng)答器可以發(fā)行該CA的OCSP應(yīng)答。因此,在OCSP客戶機(jī)驗(yàn)證OCSP應(yīng)答有效之前,該OCSP客戶機(jī)必須與OCSP應(yīng)答器建立信任關(guān)系,并獲得OCSP應(yīng)答器的公共密鑰。
現(xiàn)在參照?qǐng)D4E,該圖是一個(gè)框圖,表示多OCSP應(yīng)答器的結(jié)構(gòu)。如上所述,在某些情況中,某個(gè)OCSP應(yīng)答器可能因多個(gè)OCSP狀態(tài)請(qǐng)求而過(guò)載。減輕OCSP應(yīng)答器之負(fù)載的常規(guī)方法包括,將處理負(fù)載分布到多個(gè)OCSP應(yīng)答器上,如圖4E所示??蛻魴C(jī)410已經(jīng)建立與多個(gè)OCSP應(yīng)答器412-416的信任關(guān)系,并且已獲得各OCSP應(yīng)答器的公共密鑰。如果客戶機(jī)410未能收到特定OCSP應(yīng)答器的應(yīng)答,則客戶機(jī)410進(jìn)到OCSP應(yīng)答器列表中,直至找到提供應(yīng)答的OCSP應(yīng)答器。另外,如果客戶機(jī)410檢測(cè)到某個(gè)OCSP應(yīng)答器的響應(yīng)時(shí)間不能令人滿意,則客戶機(jī)410可以向不同的OCSP應(yīng)答器發(fā)送后繼OCSP請(qǐng)求。然而,該方法不能很好地進(jìn)行縮放,并且客戶機(jī)負(fù)責(zé)管理眾多信任關(guān)系和有關(guān)公共密鑰。
現(xiàn)在轉(zhuǎn)到本發(fā)明,剩余附圖的敘述旨在解釋提高多OCSP應(yīng)答器之可用性的全新技術(shù)。在本發(fā)明中,把多個(gè)OCSP應(yīng)答器與小組中的其他應(yīng)答器關(guān)聯(lián)起來(lái)。OCSP客戶機(jī)最好通過(guò)主OCSP應(yīng)答器與該小組建立信任關(guān)系。小組OCSP應(yīng)答器的各應(yīng)答器共享同一公共密鑰,但各OCSP應(yīng)答器保持其自己的私有密鑰。在應(yīng)答OCSP請(qǐng)求時(shí),OCSP應(yīng)答器生成利用該OCSP應(yīng)答器之私有密鑰進(jìn)行簽名的OCSP應(yīng)答,該OCSP應(yīng)答附帶有同一公共密鑰的證書,也稱為小組公共密鑰。OCSP客戶機(jī)使用小組公共密鑰驗(yàn)證來(lái)自任一OCSP應(yīng)答器的OCSP應(yīng)答上的簽名。OCSP客戶機(jī)能夠根據(jù)證書鏈代表的信任鏈,確定該組成員利用數(shù)字方式簽名的消息。以下詳細(xì)描述本發(fā)明。
現(xiàn)在參照?qǐng)D5,該圖是一個(gè)框圖,表示根據(jù)本發(fā)明一實(shí)施方式具有主OCSP應(yīng)答器的一組多個(gè)OCSP應(yīng)答器。在某些時(shí)候,OCSP客戶機(jī)502需要檢查某事務(wù)使用的證書的狀態(tài),因此OCSP客戶機(jī)502向任一OCSP應(yīng)答器504-512發(fā)送OCSP請(qǐng)求消息。OCSP客戶機(jī)從認(rèn)證機(jī)構(gòu)或其他機(jī)構(gòu)那里獲得網(wǎng)絡(luò)地址、URI或其他標(biāo)識(shí)符。
正如在各個(gè)實(shí)體均使用非對(duì)稱密碼術(shù)的典型系統(tǒng)中那樣,各OCSP應(yīng)答器具有其自己的私有密鑰,主OCSP應(yīng)答器504具有主OCSP應(yīng)答器私有密鑰514,OCSP應(yīng)答器506具有私有密鑰516。另外,主OCSP應(yīng)答器504具有公共密鑰證書518和私有密鑰514,公共密鑰證書518包含構(gòu)成私有密鑰/公共密鑰對(duì)的公共密鑰。同樣,OCSP應(yīng)答器具有公共密鑰證書520和私有密鑰516,公共密鑰證書520包含構(gòu)成私有密鑰/公共密鑰對(duì)的公共密鑰。主OCSP應(yīng)答器504和OCSP應(yīng)答器506按照非對(duì)稱密碼術(shù)的典型方式使用其私有密鑰/公共密鑰,例如對(duì)通信進(jìn)行加密和簽名。然而,正如下面詳細(xì)說(shuō)明的那樣,上述密鑰用于非OCSP通信,而非對(duì)稱密鑰的特殊集合用于OCSP通信。
最好將一組OCSP應(yīng)答器中的一個(gè)OCSP應(yīng)答器指定為主OCSP應(yīng)答器,如主OCSP應(yīng)答器504,并且小組OCSP應(yīng)答器中的主OCSP應(yīng)答器包括小組公共密鑰管理模塊522??梢哉街付▎我籓CSP應(yīng)答器,從而將唯一一個(gè)OCSP應(yīng)答器配置為包括小組公共密鑰管理模塊,以下詳細(xì)說(shuō)明其重要性。作為選擇,可以將小組OCSP應(yīng)答器中的每個(gè)OCSP應(yīng)答器配置為包括小組公共密鑰管理模塊,從而在需要時(shí)每個(gè)OCSP應(yīng)答器均能作為主OCSP應(yīng)答器。此時(shí),在初始化一組OCSP應(yīng)答器時(shí),動(dòng)態(tài)確定小組中的哪個(gè)OCSP應(yīng)答器作為主OCSP應(yīng)答器,如到達(dá)特定初始化狀態(tài)的第一個(gè)OCSP應(yīng)答器。接著,主OCSP應(yīng)答器的小組公共密鑰管理模塊開始起作用,從而其他OCSP應(yīng)答器的小組公共密鑰管理模塊不起作用。如果主OCSP應(yīng)答器出故障,則該小組中的一個(gè)其他OCSP應(yīng)答器以故障轉(zhuǎn)移方式宣稱它自己為主OCSP應(yīng)答器,如果需要的話。將OCSP應(yīng)答器指定為主OCSP應(yīng)答器的方式隨本發(fā)明的實(shí)現(xiàn)而變化。
如上所述,在典型的非對(duì)稱密碼系統(tǒng)中,共同生成一對(duì)非對(duì)稱密鑰,從而每個(gè)私有密鑰正好與一個(gè)公共密鑰對(duì)應(yīng)。有許多種不同的非對(duì)稱密鑰生成方案,上述密鑰生成方案依賴于用于生成密鑰的參數(shù)之間的數(shù)學(xué)關(guān)系。例如,常常按照所謂的RSA算法生成非對(duì)稱密鑰,該算法使用大素?cái)?shù)性質(zhì)來(lái)構(gòu)造私有密鑰/公共密鑰對(duì),每對(duì)密鑰共用兩個(gè)素?cái)?shù)的乘積,即模數(shù)。了解公共密鑰有可能獲得私有密鑰,但取決于將模數(shù)因式分解為分量素?cái)?shù),通過(guò)選擇合適長(zhǎng)度的密鑰使得上述任務(wù)實(shí)際上不能實(shí)行,會(huì)使得因式分解非常困難。
與通常使用的一個(gè)公共密鑰只對(duì)應(yīng)一個(gè)私有密鑰的非對(duì)稱密碼方法相反,某些非對(duì)稱密碼方案不保證一對(duì)一關(guān)系。通過(guò)使用小組簽名方案,可以生成與單一公共密鑰相對(duì)應(yīng)的一組保密密鑰。通過(guò)審慎選擇參數(shù),密鑰具有特定數(shù)量性質(zhì)。小組簽名方案允許小組內(nèi)的各方對(duì)信息進(jìn)行簽名,以表示該信息源自該小組,但是驗(yàn)證簽名的實(shí)體不能將該小組的任一特定成員視為該信息的簽名者。圖5表示采用特定小組簽名方案的本發(fā)明的實(shí)施方式的示例,但是應(yīng)該理解,可以采用其他小組簽名方案而并不影響本發(fā)明的功效。
特別地,圖5中的示例遵循作者為Camenisch等的“用于較大分組的有效分組簽名方案”(密碼學(xué)進(jìn)展-CRYPTO′97,第17屆國(guó)際密碼學(xué)年會(huì),計(jì)算機(jī)科學(xué)講稿第1294卷,Springer-Verlag,p410-424,1997)中描述的小組加密方案。在一個(gè)分組簽名方案中,在初始化期間,小組管理器根據(jù)特定的數(shù)量需求選擇公共密鑰。當(dāng)某個(gè)實(shí)體希望加入該小組時(shí),該實(shí)體選擇一個(gè)保密密鑰,然后根據(jù)特定公式和其他參數(shù)計(jì)算成員資格密鑰。接著,參加實(shí)體利用典型私有密鑰對(duì)成員資格密鑰進(jìn)行簽名,并將成員資格密鑰的簽名和其他信息發(fā)送到小組管理器。在驗(yàn)證成員資格密鑰和附帶信息滿足某些標(biāo)準(zhǔn)后,小組管理器向參加實(shí)體發(fā)送成員資格證書。成員資格證書包含參加實(shí)體用來(lái)與成員資格密鑰一起生成小組簽名的信息。
再次參照?qǐng)D5,主OCSP應(yīng)答器504作為相對(duì)于OCSP應(yīng)答器506-512的小組管理器,OCSP應(yīng)答器506-512是小組OCSP應(yīng)答器的成員。對(duì)該小組進(jìn)行配置以根據(jù)本發(fā)明生成小組簽名,本發(fā)明以全新方式組合小組簽名方案的使用和OCSP協(xié)議的使用。如上所述,小組公共密鑰管理模塊522管理與小組公共密鑰有關(guān)的管理任務(wù),其中小組OCSP應(yīng)答器使用小組公共密鑰生成小組簽名。需要的任務(wù)之一是生成小組公共密鑰524;小組公共密鑰證書526包含小組公共密鑰524,并且是由認(rèn)證機(jī)構(gòu)生成的或者由主OCSP應(yīng)答器504本身簽名的。
每個(gè)OCSP應(yīng)答器均有小組公共密鑰證書526的一個(gè)副本。在初始化或配置各OCSP應(yīng)答器時(shí),從主OCSP應(yīng)答器那里或從其他實(shí)體那里獲得小組公共密鑰證書的副本。例如,主OCSP應(yīng)答器504負(fù)責(zé)在適當(dāng)目錄中公布小組公共密鑰證書526,從而能夠公開獲得證書。
每個(gè)OCSP應(yīng)答器保持一個(gè)特有成員資格密鑰和一個(gè)特有成員資格證書,如OCSP應(yīng)答器506有成員資格密鑰528和成員資格證書530。上述項(xiàng)目使OCSP應(yīng)答器506能夠作為小組OCSP應(yīng)答器的成員生成小組簽名。OCSP客戶機(jī)502能夠使用小組公共密鑰證書中的小組公共密鑰,驗(yàn)證從任一OCSP應(yīng)答器那里接收的小組簽名。
成員資格密鑰、成員資格證書和小組公共密鑰證書是數(shù)據(jù)項(xiàng),它們與各OCSP應(yīng)答器保存的典型私有密鑰/公共密鑰對(duì)分開并且不同,如私有密鑰516和公共密鑰證書520。成員資格密鑰、成員資格證書和小組公共密鑰證書用于對(duì)OCSP應(yīng)答消息進(jìn)行簽名和驗(yàn)證,而私有密鑰/公共密鑰對(duì)用于對(duì)其他信息流進(jìn)行簽名和驗(yàn)證。
例如,如果OCSP應(yīng)答器506在配置、初始化或設(shè)置期間希望主動(dòng)加入小組OCSP應(yīng)答器,則OCSP應(yīng)答器506利用其私有密鑰516對(duì)其成員資格密鑰528進(jìn)行簽名,并在適當(dāng)消息中將經(jīng)過(guò)簽名的成員資格密鑰發(fā)送到主OCSP應(yīng)答器504,其中所述消息表示加入小組的請(qǐng)求。主OCSP應(yīng)答器504接收公共密鑰證書520與該消息;作為選擇,主OCSP應(yīng)答器504可以從某個(gè)目錄中檢索公共密鑰證書520或通過(guò)其他方法獲得。主OCSP應(yīng)答器504通過(guò)使用公共密鑰證書520中存儲(chǔ)的公共密鑰,驗(yàn)證OCSP應(yīng)答器506的成員資格密鑰上的簽名。
同樣,主OCSP應(yīng)答器504能夠利用其私有密鑰514對(duì)發(fā)送給OCSP應(yīng)答器的消息進(jìn)行簽名,并且OCSP應(yīng)答器能夠利用公共密鑰證書518的副本驗(yàn)證來(lái)自主OCSP應(yīng)答器504的消息。OCSP應(yīng)答器能夠在接收一消息的同時(shí)接收公共密鑰證書518的副本;作為選擇,OCSP應(yīng)答器可以從目錄中檢索公共密鑰證書518或通過(guò)其他方法獲得。來(lái)自主OCSP應(yīng)答器504的消息包括主OCSP應(yīng)答器504為小組OCSP應(yīng)答器中各成員生成的成員資格證書??梢园凑杖魏芜m當(dāng)方式,最好使用符合公共密鑰密碼標(biāo)準(zhǔn)(PKCS)的消息,格式化主OCSP應(yīng)答器與小組OCSP應(yīng)答器之成員之間的請(qǐng)求。
如果需要,則使用反向代理532以負(fù)載平衡方式在一組OCSP應(yīng)答器之間分配入站OCSP請(qǐng)求。由于各OCSP應(yīng)答器能夠以小組名義生成小組簽名,所以處理OCSP請(qǐng)求不會(huì)對(duì)入站OCSP請(qǐng)求之目的地造成不利影響。作為選擇,OCSP客戶機(jī)502可以直接將一個(gè)OCSP請(qǐng)求發(fā)送給一個(gè)OCSP應(yīng)答器。
現(xiàn)在參照?qǐng)D6A,該圖是一個(gè)流程圖,表示利用小組公共密鑰配置一組OCSP應(yīng)答器的過(guò)程。首先,主OCSP應(yīng)答器確定初始化、刷新、復(fù)位或修改小組公共密鑰(步驟602),此后,主OCSP應(yīng)答器獲得用于生成公共密鑰或用于獲得適當(dāng)公共密鑰證書所需的全部信息(步驟604)。
接著,主OCSP應(yīng)答器生成公共密鑰(步驟606)。新的小組公共密鑰是以特定域(如企業(yè)分布計(jì)算環(huán)境)支持的一組OCSP應(yīng)答器的名義生成的。主OCSP應(yīng)答器響應(yīng)管理員或認(rèn)證機(jī)構(gòu)的命令生成新的小組公共密鑰,或者主OCSP應(yīng)答器周期或根據(jù)預(yù)先確定的標(biāo)準(zhǔn)刷新小組公共密鑰。作為選擇,主OCSP應(yīng)答器也可以在使一或多OCSP應(yīng)答器聯(lián)機(jī)時(shí)復(fù)位小組公共密鑰。以下會(huì)進(jìn)一步討論復(fù)位小組公共密鑰的其他情況。確定生成新的小組公共密鑰的方法可以改變而并不影響本發(fā)明。
接著,主OCSP應(yīng)答器獲得小組公共密鑰的證書(步驟608),最好從第三方認(rèn)證機(jī)構(gòu)那里獲得,但是主OCSP應(yīng)答器可以生成該證書并對(duì)證書進(jìn)行簽名,前提是OCSP客戶機(jī)與主OCSP應(yīng)答器具有信任關(guān)系,并且愿意接受此類證書。根據(jù)OCSP規(guī)范,對(duì)證書狀態(tài)信息進(jìn)行簽名的密鑰,與對(duì)正在請(qǐng)求其狀態(tài)的證書進(jìn)行簽名的密鑰可以不同,并且證書發(fā)行者通過(guò)發(fā)行其OCSP簽名者證書之“extendedKeyUsage”字段中包含唯一值的證書,可以代表OCSP簽名機(jī)構(gòu)。因此,主OCSP應(yīng)答器可以要求由表示代表機(jī)構(gòu)的適當(dāng)認(rèn)證機(jī)構(gòu)發(fā)行小組公共密鑰的證書。
接著,主OCSP應(yīng)答器向小組OCSP應(yīng)答器中的各OCSP應(yīng)答器分發(fā)小組公共密鑰(步驟610)。通過(guò)使用與PKCS有關(guān)的消息格式在主OCSP應(yīng)答器與其他OCSP應(yīng)答器之間交換請(qǐng)求/應(yīng)答,實(shí)現(xiàn)上述處理。作為選擇,也可以由管理員向小組OCSP應(yīng)答器分發(fā)包含小組公共密鑰的配置文件,或者管理員通過(guò)其他方式分發(fā)該信息,例如在配置或初始化OCSP應(yīng)答器時(shí)通過(guò)圖形用戶界面輸入該信息。分發(fā)小組公共密鑰的方式可以改變而并不影響本發(fā)明。
現(xiàn)在參照?qǐng)D6B,該圖是一個(gè)流程圖,表示OCSP應(yīng)答器準(zhǔn)備生成小組簽名的過(guò)程。圖6B僅僅示出配置OCSP應(yīng)答器以生成OCSP應(yīng)答消息上的小組簽名的幾個(gè)步驟;可以在初始化OCSP應(yīng)答器時(shí)執(zhí)行圖6B所示的過(guò)程,其中可以分別初始化各OCSP應(yīng)答器,或者作為設(shè)置過(guò)程的一部分初始化整組OCSP應(yīng)答器。作為選擇,接收來(lái)自主OCSP應(yīng)答器之小組公共密鑰證書可以觸發(fā)各OCSP應(yīng)答器的處理。
如上所述,OCSP應(yīng)答器以某種方式獲得小組公共密鑰證書(步驟622)。假設(shè)個(gè)別小組簽名方案需要成員資格密鑰和成員資格證書,則OCSP應(yīng)答器產(chǎn)生成員資格密鑰(步驟624),此后,OCSP應(yīng)答器獲得成員資格證書(步驟626)。OCSP應(yīng)答器最好在準(zhǔn)備個(gè)別小組簽名方案所需的全部信息之前獲得小組公共密鑰證書,因?yàn)樾〗M公共密鑰證書可能包含產(chǎn)生成員資格密鑰所需的參數(shù)。在作好準(zhǔn)備生成小組簽名后,OCSP應(yīng)答器等待接收OCSP請(qǐng)求消息。
現(xiàn)在參照?qǐng)D6C,該圖是一個(gè)流程圖,表示共用小組公共密鑰的OCSP應(yīng)答器生成OCSP應(yīng)答的過(guò)程。主OCSP應(yīng)答器或小組內(nèi)的每個(gè)其他OCSP應(yīng)答器均能執(zhí)行圖6C所示的過(guò)程,因?yàn)樾〗M內(nèi)的所有OCSP應(yīng)答器(包括主OCSP應(yīng)答器)使用通用小組簽名方案。該過(guò)程假定已經(jīng)預(yù)先利用小組OCSP應(yīng)答器內(nèi)各OCSP應(yīng)答器通用的小組公共密鑰證書配置了該OCSP應(yīng)答器,例如通過(guò)參照?qǐng)D6A說(shuō)明的示例過(guò)程。同時(shí),該過(guò)程假定已經(jīng)預(yù)先利用OCSP應(yīng)答器需要的其他小組簽名信息配置了該OCSP應(yīng)答器,例如通過(guò)參照?qǐng)D6B說(shuō)明的示例過(guò)程。
首先,OCSP應(yīng)答器接收OCSP客戶機(jī)的OCSP請(qǐng)求消息(步驟632)。接著OCSP應(yīng)答器從OCSP請(qǐng)求中檢索證書標(biāo)識(shí)符(步驟634),并確定已識(shí)別證書的狀態(tài)(步驟636);應(yīng)答器通過(guò)掃描認(rèn)證機(jī)構(gòu)公布的證書撤消列表,或通過(guò)其他方法,確定證書狀態(tài)。OCSP應(yīng)答器利用確定的證書狀態(tài)生成OCSP應(yīng)答消息(步驟638),并利用其特有的小組簽名信息(如其成員資格密鑰和來(lái)自成員資格證書的信息),對(duì)OCSP應(yīng)答消息進(jìn)行簽名(步驟640)。然后,OCSP應(yīng)答器將小組公共密鑰證書附加到OCSP應(yīng)答消息上(步驟642),并向OCSP客戶機(jī)返回OCSP應(yīng)答消息(步驟644),由此結(jié)束過(guò)程。
OCSP應(yīng)答消息的格式規(guī)定OCSP應(yīng)答器可以附加零個(gè)或多個(gè)證書,正如圖4C中的OCSP應(yīng)答的“證書”字段所示,因此在本發(fā)明的一實(shí)施方式中的OCSP應(yīng)答器可以附加證書鏈。例如,如果主OCSP應(yīng)答器從認(rèn)證機(jī)構(gòu)那里獲得小組公共密鑰證書,則該OCSP應(yīng)答器可以將小組公共密鑰證書附加到OCSP應(yīng)答消息中,并假定OCSP客戶機(jī)擁有或者能夠檢索認(rèn)證機(jī)構(gòu)的公共密鑰證書,從而能夠在利用小組公共密鑰證書驗(yàn)證OCSP應(yīng)答消息的真實(shí)性之前,驗(yàn)證小組公共密鑰證書的真實(shí)性。然而,如果主OCSP應(yīng)答器已經(jīng)生成小組公共密鑰證書,并且已經(jīng)對(duì)其簽名,則OCSP應(yīng)答器可以附加小組公共密鑰證書以及驗(yàn)證小組公共密鑰證書之真實(shí)性所需要的主OCSP應(yīng)答器的公共密鑰證書;換句話說(shuō),按照標(biāo)準(zhǔn)方式擴(kuò)展證書鏈,以容納小組公共密鑰證書。作為選擇,可以假定OCSP客戶機(jī)能夠從預(yù)先存儲(chǔ)有公共密鑰證書的適當(dāng)LDAP(輕量目錄訪問(wèn)協(xié)議)目錄中檢索所需的公共密鑰證書,而不是附加公共密鑰證書;通常利用上述目錄公布公共密鑰證書,從而許多實(shí)體都能夠在需要時(shí)獲得公共密鑰。
必須以某種方式用私有密鑰/公共密鑰對(duì)配置現(xiàn)有OCSP應(yīng)答器,此后,OCSP應(yīng)答器接收OCSP請(qǐng)求并生成OCSP應(yīng)答。通常,現(xiàn)有OCSP應(yīng)答器生成其自己的私有密鑰/公共密鑰對(duì),并獲得其自己的公共密鑰證書。
同樣,用公共密鑰證書配置本發(fā)明的OCSP應(yīng)答器,只是在本發(fā)明中,一個(gè)OCSP應(yīng)答器與一組OCSP應(yīng)答器共用公共密鑰。換句話說(shuō),根據(jù)圖6C容易理解,在利用特有的小組簽名信息以及一組OCSP應(yīng)答器內(nèi)各OCSP應(yīng)答器通用的小組公共密鑰證書配置OCSP應(yīng)答器之后,OCSP應(yīng)答器按照現(xiàn)有OCSP應(yīng)答器的典型方式運(yùn)行。因此,在本發(fā)明中,關(guān)于聯(lián)機(jī)證書狀態(tài)協(xié)議,OCSP應(yīng)答器無(wú)需任何改變;OCSP應(yīng)答器使用OCSP協(xié)議,而無(wú)需對(duì)OCSP協(xié)議進(jìn)行任何修改。
同樣,OCSP客戶機(jī)通過(guò)使用OCSP協(xié)議來(lái)請(qǐng)求、接收證書狀態(tài),而無(wú)需任何修改。OCSP客戶機(jī)能夠按照信任等級(jí)利用任何適當(dāng)證書驗(yàn)證OCSP應(yīng)答的真實(shí)性。如果小組公共密鑰的證書是由認(rèn)證機(jī)構(gòu)授權(quán)的,則客戶機(jī)信任該證書,因?yàn)樗湃握J(rèn)證機(jī)構(gòu);客戶機(jī)擁有允許其驗(yàn)證小組公共密鑰證書上的簽名的認(rèn)證機(jī)構(gòu)的證書。如果小組公共密鑰證書是由主OCSP應(yīng)答器授權(quán)的,則客戶機(jī)信任該證書,因?yàn)樵撟C書是由主OCSP應(yīng)答器發(fā)行并進(jìn)行簽名的,而主OCSP應(yīng)答器的證書是由認(rèn)證機(jī)構(gòu)發(fā)行并進(jìn)行簽名的。無(wú)論如何,均不需要修改OCSP協(xié)議,因?yàn)榭蛻魴C(jī)能夠接收或檢索用于驗(yàn)證OCSP應(yīng)答消息之?dāng)?shù)字簽名的適當(dāng)數(shù)字證書。此外,OCSP客戶機(jī)能夠根據(jù)證書之終止限制來(lái)高速緩存小組公共密鑰證書,而無(wú)需像現(xiàn)有解決方案那樣額外維護(hù)眾多OCSP應(yīng)答器的眾多公共密鑰證書。
OCSP客戶機(jī)知道是用哪個(gè)算法對(duì)收到的OCSP應(yīng)答進(jìn)行簽名的,因?yàn)镺CSP應(yīng)答中指定了簽名算法。因此,OCSP客戶機(jī)知道用于驗(yàn)證從某個(gè)OCSP應(yīng)答器接收的OCSP應(yīng)答中之小組簽名的小組簽名算法。例如,圖4C表示“BasicOCSPResponse”數(shù)據(jù)結(jié)構(gòu)中的“signatureAlgorithm”字段;利用表示小組簽名算法的標(biāo)準(zhǔn)或已達(dá)成一致的數(shù)值,填充簽名算法標(biāo)志。正如RFC 2560之4.3小節(jié)“強(qiáng)制與可選加密算法”所述
請(qǐng)求OCSP服務(wù)的客戶機(jī)必須能夠處理利用RFC 2459之7.2.2小節(jié)中規(guī)定的DSA sig-alg-oid標(biāo)識(shí)的DSA密鑰進(jìn)行簽名的應(yīng)答。同時(shí),客戶機(jī)應(yīng)該能夠處理RFC 2459之7.2.1小節(jié)中規(guī)定的RSA簽名。OCSP應(yīng)答器必須支持SHA1散列算法。
因此,OCSP客戶機(jī)只需知道對(duì)OCSP應(yīng)答消息進(jìn)行簽名所使用的小組數(shù)字簽名算法以及許多其他數(shù)字簽名算法;無(wú)需改變與OCSP協(xié)議有關(guān)的處理。
現(xiàn)在參照?qǐng)D6D,該圖是一個(gè)流程圖,表示主OCSP應(yīng)答器確定復(fù)位小組公共密鑰的子過(guò)程。主OCSP應(yīng)答器負(fù)責(zé)小組公共密鑰的生命周期管理。為了管理小組公共密鑰的生命周期,主OCSP應(yīng)答器可以保存小組OCSP應(yīng)答器中各成員的信息。作為生命周期管理任務(wù)的一部分,主OCSP應(yīng)答器負(fù)責(zé)確定小組公共密鑰的有效期,初始化密鑰更新,處理小組公共密鑰的撤消。正如參照?qǐng)D6A之步驟602說(shuō)明的那樣,主OCSP應(yīng)答器在某些時(shí)候確定需要初始化、復(fù)位、刷新、或修改小組公共密鑰;圖6D通過(guò)顯示某些條件提供用于上述確定的子過(guò)程,盡管本發(fā)明的其他實(shí)施方式可能具有不同或附加條件或考慮。子過(guò)程可以為主OCSP應(yīng)答器連續(xù)處理事件的循環(huán)的一部分。
在該子過(guò)程中,主OCSP應(yīng)答器首先確定是否收到刷新小組公共密鑰的特定請(qǐng)求(步驟652)。該請(qǐng)求可能是另一個(gè)管理應(yīng)用發(fā)起的,也可能是小組OCSP應(yīng)答器中的某個(gè)OCSP應(yīng)答器發(fā)起的。各小組成員的部分管理責(zé)任包括監(jiān)視或接收例如管理員或其他應(yīng)用發(fā)送的OCSP應(yīng)答器的密鑰或證書已被泄密指示。例如,如果有理由懷疑特定OCSP應(yīng)答器的成員資格密鑰被盜,則該OCSP應(yīng)答器應(yīng)請(qǐng)求更新小組公共密鑰。作為選擇,主OCSP應(yīng)答器可以從小組中刪除發(fā)出請(qǐng)求的OCSP應(yīng)答器,直至稍后主OCSP應(yīng)答器確定更新小組公共密鑰,而不是生成新的小組公共密鑰。
無(wú)論如何,如果主OCSP應(yīng)答器收到有效請(qǐng)求,則主OCSP應(yīng)答器開始生成新的小組公共密鑰(步驟654),并完成子過(guò)程。如上所述,如果主OCSP應(yīng)答器沒(méi)有生成小組公共密鑰證書并對(duì)其簽名,則主OCSP應(yīng)答器將向認(rèn)證機(jī)構(gòu)請(qǐng)求小組公共密鑰證書。此時(shí),作為啟動(dòng)生成新的小組公共密鑰的一部分,主OCSP應(yīng)答器向發(fā)行小組公共密鑰證書的認(rèn)證機(jī)構(gòu)發(fā)送撤消請(qǐng)求。然后按照參照?qǐng)D6A所述的方式,生成新的小組公共密鑰和有關(guān)證書,可能包括通知小組OCSP應(yīng)答器的各成員正在生成新的公共密鑰。
再次參照?qǐng)D6D,另一個(gè)條件是小組OCSP應(yīng)答器中的小組成員資格是否有變化(步驟656)。例如,如果某個(gè)OCSP應(yīng)答器出現(xiàn)故障,則從小組中刪除該OCSP應(yīng)答器,或者使另一臺(tái)OCSP應(yīng)答器在線。根據(jù)本發(fā)明之特定實(shí)施方式中使用的小組簽名方案,小組成員資格變化要求更新小組公共密鑰(步驟654)。然而,以上參照?qǐng)D5論述的小組簽名方案允許成員加入小組,而并不妨礙使用部署的小組公共密鑰。
生成新的小組公共密鑰的另一個(gè)考慮包括是否已撤消小組OCSP應(yīng)答器的公共密鑰證書(步驟658)。在本發(fā)明中,在驗(yàn)證主OCSP應(yīng)答器與小組中其他OCSP應(yīng)答器之間的消息流時(shí),主OCSP應(yīng)答器依靠各OCSP應(yīng)答器的公共密鑰證書的有效性。如果某個(gè)OCSP應(yīng)答器的公共密鑰證書泄密,則主OCSP應(yīng)答器可能收到惡意第三方的成員資格證書請(qǐng)求。因此,主OCSP應(yīng)答器掃描公布的CRL,查找其存儲(chǔ)的已被撤消的所有公共密鑰證書。同樣,主OCSP應(yīng)答器掃描公布的CRL,查找已撤消的小組公共密鑰證書。盡管主OCSP應(yīng)答器很可能啟動(dòng)撤消小組公共密鑰證書,但是可能存在以下情況,即,發(fā)行小組公共密鑰證書的認(rèn)證機(jī)構(gòu)單方面撤消該證書。
生成新的小組公共密鑰的另一個(gè)條件或考慮包括小組公共密鑰證書的有效期是否已到期(步驟660)。如上所述,主OCSP應(yīng)答器確定小組公共密鑰的有效期和關(guān)聯(lián)信息。例如,主OCSP應(yīng)答器通過(guò)檢查小組OCSP應(yīng)答器公共密鑰證書的終止日期,計(jì)算有效期,其中主OCSP應(yīng)答器能夠從目錄或其他類型的數(shù)據(jù)塊中獨(dú)立獲得該終止日期。在典型實(shí)施方式中,主OCSP應(yīng)答器將小組公共密鑰證書的終止日期設(shè)置為所有OCSP應(yīng)答器的公共密鑰證書的最早終止日期。終止日期為數(shù)字證書中的一部分信息;如果小組公共密鑰證書是由認(rèn)證機(jī)構(gòu)生成的,則將計(jì)算的終止日期連同證書請(qǐng)求消息中的小組公共密鑰發(fā)送到認(rèn)證機(jī)構(gòu)。
作為選擇,可以將主OCSP應(yīng)答器配置為在小組公共密鑰證書過(guò)期前的閾值期限內(nèi),啟動(dòng)小組公共密鑰的更新過(guò)程,而不是等待小組公共密鑰證書過(guò)期才進(jìn)行更新。例如,可以將閾值限定為一天或幾天,從而主OCSP應(yīng)答器有足夠時(shí)間與其他OCSP應(yīng)答器通信,并確保利用生成小組簽名的適當(dāng)信息重新進(jìn)行配置。
根據(jù)以上詳細(xì)說(shuō)明,本發(fā)明的優(yōu)點(diǎn)是顯而易見(jiàn)的。支持多個(gè)OCSP應(yīng)答器的計(jì)算環(huán)境通過(guò)在小組OCSP應(yīng)答器中使用小組簽名方案,能夠以簡(jiǎn)單方式提供附加OCSP應(yīng)答器。假定通過(guò)由OCSP隨機(jī)選擇或者通過(guò)使用支持負(fù)載平衡的代理服務(wù)器,將入站OCSP請(qǐng)求平均分發(fā)到小組OCSP應(yīng)答器,則對(duì)于OCSP客戶機(jī)而言,小組應(yīng)答器的可用性高于該小組之任一成員的可用性。
請(qǐng)注意,盡管在全功能數(shù)據(jù)處理系統(tǒng)的情境中敘述本發(fā)明,但是一般技術(shù)人員可以理解,能夠以計(jì)算機(jī)可讀介質(zhì)或其他形式上的指令或其他方法的形式,分發(fā)與本發(fā)明有關(guān)的某些過(guò)程,而不管進(jìn)行分發(fā)實(shí)際使用的特定類型的信號(hào)承載介質(zhì)。計(jì)算機(jī)可讀介質(zhì)的示例包括諸如EPROM、ROM、磁帶、穿孔紙、軟盤、硬盤驅(qū)動(dòng)器、RAM和CD-ROM之類的介質(zhì),以及諸如數(shù)字和模擬通信鏈路之類的傳輸類型的介質(zhì)。
通常認(rèn)為方法是導(dǎo)致所需結(jié)果的前后一致的步驟序列。上述步驟需要物理處理物理量。通常,物理量的表現(xiàn)形式為能夠進(jìn)行存儲(chǔ)、傳輸、組合、比較或其他處理的電磁信號(hào),盡管未必如此。有時(shí),為方便起見(jiàn),特別是為了日常習(xí)慣,將上述信號(hào)稱為比特、數(shù)值、參數(shù)、項(xiàng)目、元素、對(duì)象、符號(hào)、字符、項(xiàng)、數(shù)字等。然而,應(yīng)該理解,所有上述術(shù)語(yǔ)和類似術(shù)語(yǔ)是與特定物理量關(guān)聯(lián)的,并且只是應(yīng)用于物理量的方便標(biāo)識(shí)。
提供本發(fā)明之詳細(xì)說(shuō)明書是為了進(jìn)行說(shuō)明,其意圖并不是窮舉或限制公開的實(shí)施方式。一般技術(shù)人員容易想到許多修改或變更。選擇上述實(shí)施方式的目的是解釋本發(fā)明的原理及其實(shí)際應(yīng)用,并使一般技術(shù)人員理解本發(fā)明,以便借助適于其他預(yù)期用途的各種修改實(shí)現(xiàn)各種實(shí)施方式。
權(quán)利要求
1.一種從分布式計(jì)算環(huán)境中提供證書狀態(tài)的方法,其中分布式計(jì)算環(huán)境包括一組OCSP應(yīng)答器,該方法包括配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器,從而各OCSP應(yīng)答器均能生成小組數(shù)字簽名;小組OCSP應(yīng)答器中的一OCSP應(yīng)答器接收OCSP客戶機(jī)的OCSP請(qǐng)求消息;以及向OCSP客戶機(jī)返回包含小組數(shù)字簽名的OCSP應(yīng)答消息。
2.權(quán)利要求1的方法,還包括獲得一個(gè)非對(duì)稱公共密鑰和一組相關(guān)的唯一非對(duì)稱密鑰,其中非對(duì)稱公共密鑰能夠驗(yàn)證使用一組相關(guān)的唯一非對(duì)稱密鑰中之任一密鑰生成的小組數(shù)字簽名;利用唯一非對(duì)稱密鑰配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器;以及生成OCSP應(yīng)答消息,該消息包含OCSP應(yīng)答器利用其唯一非對(duì)稱密鑰生成的小組數(shù)字簽名。
3.權(quán)利要求1的方法,還包括將公共密鑰證書的副本附加到OCSP應(yīng)答消息中。
4.權(quán)利要求1的方法,還包括指定小組OCSP應(yīng)答器中的一個(gè)OCSP應(yīng)答器作為主OCSP應(yīng)答器。
5.權(quán)利要求4的方法,還包括主OCSP應(yīng)答器向小組OCSP應(yīng)答器中的各OCSP應(yīng)答器分發(fā)公共密鑰證書的副本,其中在公共密鑰證書中存儲(chǔ)非對(duì)稱公共密鑰。
6.權(quán)利要求4的方法,還包括由主OCSP應(yīng)答器生成非對(duì)稱公共密鑰。
7.權(quán)利要求4的方法,還包括由主OCSP應(yīng)答器管理非對(duì)稱公共密鑰的生命周期。
8.權(quán)利要求1的方法,還包括將非對(duì)稱公共密鑰的公共密鑰證書的終止期限設(shè)置為,與小組OCSP應(yīng)答器中的OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書的最早終止日期。
9.權(quán)利要求1的方法,還包括如果與小組OCSP應(yīng)答器中的一個(gè)OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書到期或被撤消,則撤消非對(duì)稱公共密鑰的公共密鑰證書。
10.一種用于提供證書狀態(tài)的數(shù)據(jù)處理系統(tǒng),其中數(shù)據(jù)處理系統(tǒng)包括一組OCSP應(yīng)答器,該數(shù)據(jù)處理系統(tǒng)包括用于配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器,從而各OCSP應(yīng)答器均能生成小組數(shù)字簽名的裝置;用于在小組OCSP應(yīng)答器中的一OCSP應(yīng)答器接收OCSP客戶機(jī)的OCSP請(qǐng)求消息的裝置;以及用于向OCSP客戶機(jī)返回包含小組數(shù)字簽名的OCSP應(yīng)答消息的裝置。
11.權(quán)利要求10的數(shù)據(jù)處理系統(tǒng),還包括用于獲得一個(gè)非對(duì)稱公共密鑰和一組相關(guān)的唯一非對(duì)稱密鑰的裝置,其中非對(duì)稱公共密鑰能夠驗(yàn)證使用一組相關(guān)的唯一非對(duì)稱密鑰中之任一密鑰生成的小組數(shù)字簽名;利用唯一非對(duì)稱密鑰配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器的裝置;以及用于生成OCSP應(yīng)答消息的裝置,該消息包含OCSP應(yīng)答器利用其唯一非對(duì)稱密鑰生成的小組數(shù)字簽名。
12.權(quán)利要求10的數(shù)據(jù)處理系統(tǒng),還包括用于將公共密鑰證書的副本附加到OCSP應(yīng)答消息中的裝置。
13.權(quán)利要求10的數(shù)據(jù)處理系統(tǒng),還包括用于指定小組OCSP應(yīng)答器中的一OCSP應(yīng)答器作為主OCSP應(yīng)答器的裝置。
14.權(quán)利要求13的數(shù)據(jù)處理系統(tǒng),還包括從主OCSP應(yīng)答器向小組OCSP應(yīng)答器中的各OCSP應(yīng)答器分發(fā)公共密鑰證書之副本的裝置,其中在公共密鑰證書中存儲(chǔ)非對(duì)稱公共密鑰。
15.權(quán)利要求13的數(shù)據(jù)處理系統(tǒng),還包括供主OCSP應(yīng)答器生成非對(duì)稱公共密鑰的裝置。
16.權(quán)利要求13的數(shù)據(jù)處理系統(tǒng),還包括供主OCSP應(yīng)答器管理非對(duì)稱公共密鑰之生命周期的裝置。
17.權(quán)利要求10的數(shù)據(jù)處理系統(tǒng),還包括用于將非對(duì)稱公共密鑰的公共密鑰證書的終止期限設(shè)置為與小組OCSP應(yīng)答器中的OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書的最早終止日期的裝置。
18.權(quán)利要求10的數(shù)據(jù)處理系統(tǒng),還包括當(dāng)與小組OCSP應(yīng)答器中的一OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書到期或被撤消時(shí),用于撤消非對(duì)稱公共密鑰之公共密鑰證書的裝置。
19.一種在數(shù)據(jù)處理系統(tǒng)中使用的計(jì)算機(jī)可讀介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品,其中數(shù)據(jù)處理系統(tǒng)在包含一組OCSP應(yīng)答器的分布式計(jì)算環(huán)境中提供證書狀態(tài),該計(jì)算機(jī)程序產(chǎn)品包括用于配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器,從而各OCSP應(yīng)答器均能生成小組數(shù)字簽名的單元;用于在小組OCSP應(yīng)答器中的一OCSP應(yīng)答器接收OCSP客戶機(jī)的OCSP請(qǐng)求消息的單元;以及用于向OCSP客戶機(jī)返回包含小組數(shù)字簽名的OCSP應(yīng)答消息的單元。
20.權(quán)利要求19的計(jì)算機(jī)程序產(chǎn)品,還包括用于獲得一個(gè)非對(duì)稱公共密鑰和一組相關(guān)的唯一非對(duì)稱密鑰的單元,其中非對(duì)稱公共密鑰能夠驗(yàn)證使用一組相關(guān)的唯一非對(duì)稱密鑰中之任一密鑰生成的小組數(shù)字簽名;利用唯一非對(duì)稱密鑰配置小組OCSP應(yīng)答器中的各OCSP應(yīng)答器的單元;以及用于生成OCSP應(yīng)答消息的單元,該消息包含OCSP應(yīng)答器利用其唯一非對(duì)稱密鑰生成的小組數(shù)字簽名。
21.權(quán)利要求19的計(jì)算機(jī)程序產(chǎn)品,還包括用于將公共密鑰證書的副本附加到OCSP應(yīng)答消息中的單元。
22.權(quán)利要求19的計(jì)算機(jī)程序產(chǎn)品,還包括用于指定小組OCSP應(yīng)答器中的一OCSP應(yīng)答器作為主OCSP應(yīng)答器的單元。
23.權(quán)利要求22的計(jì)算機(jī)程序產(chǎn)品,還包括從主OCSP應(yīng)答器向小組OCSP應(yīng)答器中的各OCSP應(yīng)答器分發(fā)公共密鑰證書之副本的單元,其中在公共密鑰證書中存儲(chǔ)非對(duì)稱公共密鑰。
24.權(quán)利要求22的計(jì)算機(jī)程序產(chǎn)品,還包括供主OCSP應(yīng)答器生成非對(duì)稱公共密鑰的單元。
25.權(quán)利要求22的計(jì)算機(jī)程序產(chǎn)品,還包括供主OCSP應(yīng)答器管理非對(duì)稱公共密鑰之生命周期的單元。
26.權(quán)利要求19的計(jì)算機(jī)程序產(chǎn)品,還包括用于將非對(duì)稱公共密鑰的公共密鑰證書的終止期限設(shè)置為與小組OCSP應(yīng)答器中的OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書的最早終止日期的單元。
27.權(quán)利要求19的計(jì)算機(jī)程序產(chǎn)品,還包括當(dāng)與小組OCSP應(yīng)答器中的一OCSP應(yīng)答器關(guān)聯(lián)的公共密鑰證書到期或被撤消時(shí),用于撤消非對(duì)稱公共密鑰之公共密鑰證書的單元。
全文摘要
本發(fā)明提供了一種用于配置小組OCSP(聯(lián)機(jī)證書狀態(tài)協(xié)議)應(yīng)答器以使其成為高可用應(yīng)答器的方法和系統(tǒng)。小組OCSP應(yīng)答器中的各應(yīng)答器共享通用公共密鑰。當(dāng)響應(yīng)OCSP請(qǐng)求時(shí),OCSP應(yīng)答器生成利用小組數(shù)字簽名進(jìn)行簽名的OCSP應(yīng)答;可以將公用的或小組公共密鑰的證書附加到OCSP應(yīng)答中。OCSP客戶機(jī)使用小組公共密鑰驗(yàn)證來(lái)自任一OCSP應(yīng)答器的OCSP應(yīng)答上的小組數(shù)字簽名。對(duì)OCSP客戶機(jī)而言,小組應(yīng)答器的可用性高于該小組之任一成員的可用性。
文檔編號(hào)H04L29/06GK1506869SQ20031011362
公開日2004年6月23日 申請(qǐng)日期2003年11月13日 優(yōu)先權(quán)日2002年12月6日
發(fā)明者K·K·耶萊佩迪, K K 耶萊佩迪 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司