專利名稱:一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信技術(shù)領(lǐng)域,特別涉及到一種移動回程網(wǎng)證書有效性驗證的系 統(tǒng)及方法��。
背景技術(shù):
移動回程網(wǎng)的安全問題受到越來越多的關(guān)注���。3GPP��、BBF和NGMN等組織對 移動回程網(wǎng)的安全需求進行了較為深入的分析���,而證書管理是移動回程網(wǎng)安全機制的基 石出���。
3GPP TS 33.401 中提出基于NDS (Network Domain Security)機制保護移動回程網(wǎng)安全,NDS證書的管理服從TS 33.310相關(guān)規(guī)范�����。然而�����,TS 33.310是針對網(wǎng)絡(luò)域證書管 理需求制訂����,并不完全適合移動回程網(wǎng)證書有效性驗證需求����,因此需要對規(guī)范中的證書 有效性驗證機制進行增強。
TS 33.310證書的有效性驗證主要基于CRL實現(xiàn)����。TS 33.310中的CRL分為三 類Local CRL、Public CRL和運營商內(nèi)部CRL���,通過對這些CRL庫的訪問���,實現(xiàn)對證 書有效性的驗證�����。TS 33.310對NDS域CRL庫的訪問方法進行了說明�,SEGs使用LDAP 訪問CRL庫����,NEs通過LDAP或者HTTP訪問CRL庫。
CRL機制存在一定的缺陷����,不適用于某些場景。CRL的主要問題是(I)CRL 的規(guī)模�����,CRL的大小同CA域終端實體數(shù)��、證書生命周期和證書撤銷的概率成正比�����。而撤 銷信息必須在已頒發(fā)證書的整個生命周期里存在,這可能導(dǎo)致CRL規(guī)模非常大���。CRL規(guī) 模過大���,也增加了周期性CRL請求的網(wǎng)絡(luò)負(fù)載。(2) CRL所含撤銷信息的實時性���。CRL 是定期發(fā)布的��,而撤銷請求的到達是隨機的���,所以不能保證證書撤銷信息的實時性和準(zhǔn) 確性����。綜上所述,對于需要實時獲得證書狀態(tài)信息��,并且僅僅需要單個證書狀態(tài)信息的 應(yīng)用場景�����,不適合使用CRL機制�。
為了彌補CRL開銷大、非實時的問題,PKIX工作組在RFC2560中提出了在線 證書狀態(tài)協(xié)議(Online Certificate Status Protocol, OCSP)���,OCSP可實現(xiàn)在線證書狀態(tài)驗證�����。OCSP響應(yīng)器還能提供CRL方式不能提供的其它狀態(tài)信息���,如一些擴展信息。同 CRL相比���,OCSP協(xié)議具有以下優(yōu)點
(I)OCSP可以提供新鮮�、即時的證書狀態(tài)信息����,彌補了 CRL的不足,避免了分 發(fā)大規(guī)模CRL帶來的不便�;
(2)OCSP的工作模式是典型的客戶/服務(wù)器模式,使得OCSP能支持更多的用 戶��;
(3)OCSP響應(yīng)要比發(fā)送整個CRL小���,可占用最小的網(wǎng)絡(luò)帶寬����,節(jié)約網(wǎng)絡(luò)帶寬;
(4)和定期發(fā)布的CRL相比�����,OCSP能提供更好的匿名性����,因為請求者必須對特 定的證書狀態(tài)提出請求信息,而不是簡單地去獲取整個證書撤銷列表�����;
(5) OCSP請求/響應(yīng)消息能傳播于TCP/IP網(wǎng)絡(luò)之上���,并可以基于多種傳輸機制 來傳輸請求/響應(yīng)消息,如HTTP, SMTP, LDAP等�����;
(6)由于OCSP響應(yīng)器對確定的響應(yīng)進行數(shù)字簽名�,因此,如果終端用戶保留數(shù) 字簽名的信息�,OCSP請求發(fā)出的時間以及有效的OCSP響應(yīng)等信息,這些信息就能成為 歷史交易的不可抵賴性的憑證,這與CRL方式相比簡單的多�����。
對于移動回程網(wǎng)�,存在一些場景需要對單個證書的有效性進行查詢。例如H(e) NB對SEG證書有效性的查詢�,eNB重置導(dǎo)致SEG需要對設(shè)備商簽發(fā)的eNB證書有效性 進行查詢等。而現(xiàn)有技術(shù)中尚不存在關(guān)于移動回程網(wǎng)證書有效性驗證的方案�。發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)及方 法,解決了如何實時�、高效地驗證移動回程網(wǎng)中證書有效性的問題。
為了解決上述問題�,本發(fā)明提供了一種移動回程網(wǎng)證書有效性驗證的方法,適 用于對域內(nèi)證書有效性的驗證�,所述方法包括
在線證書狀態(tài)協(xié)議(OCSP)客戶端向OCSP響應(yīng)器發(fā)送OCSP查詢請求,其中攜 帶請求證書表��,OCSP響應(yīng)器收到所述OCSP查詢請求后請求證書庫驗證所述請求證書表 中的證書的有效性���,所述證書庫查詢所述請求證書表中的證書的有效性��,并將證書有效 性檢索結(jié)果經(jīng)所述OCSP響應(yīng)器轉(zhuǎn)發(fā)至OCSP客戶端��。
進一步地�,所述OCSP查詢請求還包括OCSP協(xié)議版本號及請求者名。
進一步地�,所述OCSP響應(yīng)器請求證書庫驗證網(wǎng)元證書的有效性是指,OCSP 口向 應(yīng)器向證書庫發(fā)送證書檢索請求消息���,其中攜帶請求證書表����;
所述請求證書表包括OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書����。
本發(fā)明還提供一種移動回程網(wǎng)證書有效性驗證的方法,適用于對域間證書有效 性的驗證�,所述方法包括
在線證書狀態(tài)協(xié)議(OCSP)客戶端向本地OCSP響應(yīng)器發(fā)送OCSP查詢請求, 其中攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息及請求證書表���,所述本地OCSP響應(yīng)器收到所述 OCSP查詢請求后根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地 址�����,之后向所述遠(yuǎn)程OCSP響應(yīng)器發(fā)送OCSP查詢請求,其中攜帶請求證書表�����;
所述遠(yuǎn)程OCSP響應(yīng)器請求遠(yuǎn)程證書庫驗證所述請求證書表中的證書的有效 性,所述遠(yuǎn)程證書庫查詢所述請求證書表中的證書的有效性����,并將證書有效性檢索結(jié)果 經(jīng)所述遠(yuǎn)程OCSP響應(yīng)器及本地OCSP響應(yīng)器轉(zhuǎn)發(fā)至OCSP客戶端。
進一步地�����,所述本地OCSP響應(yīng)器收到所述OCSP查詢請求后根據(jù)所述遠(yuǎn)程 OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址是指�����,
本地OCSP響應(yīng)器獲取所述OCSP查詢請求中的遠(yuǎn)程OCSP響應(yīng)器的域名信息���, 向域名解析服務(wù)器發(fā)送域名解析服務(wù)器請求����,攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息�����,所述 域名解析服務(wù)器根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地 址�����,之后向所述本地OCSP響應(yīng)器返回域名解析服務(wù)器響應(yīng),其中攜帶所述遠(yuǎn)程OCSP響 應(yīng)器的IP地址����。
進一步地,所述遠(yuǎn)程OCSP響應(yīng)器的域名信息通過OCSP查詢請求的服務(wù)定位器字段攜帶�。
本發(fā)明還提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng),適用于對域內(nèi)證書有效性的驗證����,所述系統(tǒng)包括線證書狀態(tài)協(xié)議(OCSP)客戶端、OCSP響應(yīng)器及證書庫����; 所述OCSP客戶端,用于向所述OCSP響應(yīng)器發(fā)送OCSP查詢請求�����,其中攜帶請 求證書表���;所述OCSP響應(yīng)器用于收到所述OCSP查詢請求后請求證書庫驗證所述請求證書 表中的證書的有效性��,以及將接收的證書有效性檢索結(jié)果發(fā)送至所述OCSP客戶端��;所述證書庫��,用于根據(jù)所述請求證書表查詢所述請求證書表中的證書的有效 性�����,并將證書有效性檢索結(jié)果發(fā)送至所述OCSP響應(yīng)器���。進一步地,所述OCSP查詢請求還包括OCSP協(xié)議版本號及請求者名��;所述請求證書表包括OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書��。本發(fā)明還提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)�,適用于對域間證書有效 性的驗證,包括線證書狀態(tài)協(xié)議(OCSP)客戶端��、本地OCSP響應(yīng)器�、遠(yuǎn)程OCSP響應(yīng)器 及遠(yuǎn)程證書庫;所述OCSP客戶端���,用于向所述本地OCSP響應(yīng)器發(fā)送OCSP查詢請求����,其中攜 帶請求證書表及遠(yuǎn)程OCSP響應(yīng)器的域名信息;所述本地OCSP響應(yīng)器�,用于收到所述OCSP查詢請求后根據(jù)所述遠(yuǎn)程OCSP響 應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址,以及向所述遠(yuǎn)程OCSP響應(yīng)器發(fā)送 OCSP查詢請求����,其中攜帶請求證書表;還用于將接收的證書有效性檢索結(jié)果發(fā)送至所 述OCSP客戶端�����;所述遠(yuǎn)程OCSP響應(yīng)器�����,用于收到所述OCSP查詢請求后請求所述遠(yuǎn)程證書庫驗 證所述請求證書表中的證書的有效性�,以及將接收的證書有效性檢索結(jié)果發(fā)送至所述本 地OCSP響應(yīng)器;所述遠(yuǎn)程證書庫�,用于根據(jù)所述請求證書表查詢所述請求證書表中的證書的有 效性,并將證書有效性檢索結(jié)果發(fā)送至所述遠(yuǎn)程OCSP響應(yīng)器�����。進一步地��,所述系統(tǒng)還包括域名解析服務(wù)器��;所述本地OCSP響應(yīng)器收到所述OCSP查詢請求后根據(jù)其中的遠(yuǎn)程OCSP響應(yīng)器 的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址是指,本地OCSP響應(yīng)器獲取所述OCSP查詢請求中的遠(yuǎn)程OCSP響應(yīng)器的域名信息����, 向域名解析服務(wù)器發(fā)送域名解析服務(wù)器請求����,攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息;所述域名解析服務(wù)器用于根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程 OCSP響應(yīng)器的IP地址�����,之后向所述本地OCSP響應(yīng)器返回域名解析服務(wù)器響應(yīng)��,其中攜 帶所述遠(yuǎn)程OCSP響應(yīng)器的IP地址��。 進一步地�,所述本地OCSP響應(yīng)器通過OCSP查詢請求的服務(wù)定位器字段攜帶所 述遠(yuǎn)程OCSP響應(yīng)器的域名信息。綜上所述����,本發(fā)明提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)及方法,能實現(xiàn) 實時�����、高效地驗證移動回程網(wǎng)中證書的有效性。
圖1基于OCSP的證書有效性域內(nèi)驗證示意圖�����;圖2基于OCSP的證書有效性域間驗證示意圖3eNB/H (e) NB域內(nèi)OCSP查詢示意圖4SEG/MME域內(nèi)OCSP查詢示意圖5SEG/MME域間OCSP查詢示意圖�����。
具體實施方式
本發(fā)明提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)及方法���,解決了如何實時�、 高效地驗證移動回程網(wǎng)中證書有效性的問題�。
系統(tǒng)實施例
實施例一
本實施例一種移動回程網(wǎng)證書有效性驗證的系統(tǒng),適用于對域內(nèi)證書有效性的 驗證���,該系統(tǒng)包括線證書狀態(tài)協(xié)議(OCSP)客戶端�����、OCSP響應(yīng)器及證書庫�����;
OCSP客戶端��,用于向OCSP響應(yīng)器發(fā)送OCSP查詢請求���,其中攜帶請求證書 表�;
OCSP響應(yīng)器用于收到OCSP查詢請求后請求證書庫驗證請求證書表中的證書的 有效性��,以及將接收的證書有效性檢索結(jié)果發(fā)送至OCSP客戶端�;
證書庫,用于根據(jù)請求證書表查詢請求證書表中的證書的有效性�,并向OCSP 響應(yīng)器返回證書檢索應(yīng)答消息����,其中攜帶證書有效性檢索結(jié)果。
OCSP查詢請求還包括OCSP協(xié)議版本號及請求者名���;
請求證書表包括OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書���。
實施例二
本實施例一種移動回程網(wǎng)證書有效性驗證的系統(tǒng),適用于對域間證書有效性的 驗證��,包括線證書狀態(tài)協(xié)議(OCSP)客戶端�、本地OCSP響應(yīng)器、遠(yuǎn)程OCSP響應(yīng)器���、 DNS (域名解析服務(wù)器)及遠(yuǎn)程證書庫�;
OCSP客戶端,用于向本地OCSP響應(yīng)器發(fā)送OCSP查詢請求�,其中攜帶請求證 書表及遠(yuǎn)程OCSP響應(yīng)器的域名信息;
本地OCSP響應(yīng)器����,用于收到OCSP查詢請求后根據(jù)遠(yuǎn)程OCSP響應(yīng)器的域名信 息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址,以及向遠(yuǎn)程OCSP響應(yīng)器發(fā)送OCSP查詢請求��, 其中攜帶請求證書表���;還用于將接收的證書有效性檢索結(jié)果發(fā)送至OCSP客戶端�����;
遠(yuǎn)程OCSP響應(yīng)器�,用于收到OCSP查詢請求后請求遠(yuǎn)程證書庫驗證請求證書表 中的證書的有效性��,以及將接收的證書有效性檢索結(jié)果發(fā)送至本地OCSP響應(yīng)器��;
遠(yuǎn)程證書庫�����,用于根據(jù)請求證書表查詢請求證書表中的證書的有效性,并向遠(yuǎn) 程OCSP響應(yīng)器返回證書檢索應(yīng)答消息����,其中攜帶將證書有效性檢索結(jié)果。
本地OCSP響應(yīng)器收到OCSP查詢請求后根據(jù)其中的遠(yuǎn)程OCSP響應(yīng)器的域名信 息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址是指���,本地OCSP響應(yīng)器獲取OCSP查詢請求中的 遠(yuǎn)程OCSP響應(yīng)器的域名信息��,向DNS發(fā)送DNS請求�,攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信 息�����;
DNS用于根據(jù)遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地 址�����,之后向本地OCSP響應(yīng)器返回本地DNS響應(yīng)�,其中攜帶遠(yuǎn)程OCSP響應(yīng)器的IP地址���。
本地OCSP響應(yīng)器通過OCSP查詢請求的服務(wù)定位器字段攜帶遠(yuǎn)程OCSP響應(yīng)器 的域名信息�。
方法實施例實施例一本實施例提供一種移動回程網(wǎng)證書有效性驗證的方法�����,適用于域內(nèi)證書有效性 驗證,具體流程如圖1所示步驟101 OCSP客戶端發(fā)送OCSP查詢請求給OCSP響應(yīng)器�����;OCSP查詢請求包括OCSP協(xié)議版本號(version)����、請求者名(requestorName)、 請求證書表(request List)��,此處請求者名是OCSP客戶端的名稱��,請求證書表包含OCSP 客戶端所要驗證的一個或多個網(wǎng)元的證書���。步驟102: OCSP響應(yīng)器接收到OCSP查詢請求后��,向證書庫發(fā)送證書檢索請求 消息�����,其中攜帶請求證書表�����,以查詢請求證書表中的證書的有效性�;步驟103:證書庫收到證書檢索請求消息,根據(jù)其中的請求證書表查詢證書的 有效性����,并向OCSP響應(yīng)器返回證書檢索應(yīng)答消息,其中攜帶證書有效性檢索結(jié)果�����;檢 索結(jié)果可以是good�、revoked或unknown。步驟104 OCSP響應(yīng)器基于接收到的證書有效性檢索結(jié)果生成OCSP響應(yīng)消 息�,返回至OCSP客戶端,該OCSP響應(yīng)消息包含證書的檢索結(jié)果�。實施例二本實施例提供一種移動回程網(wǎng)證書有效性驗證的方法,適用于域間證書有效性 驗證�,具體流程如圖2所示步驟201 OCSP客戶端發(fā)送OCSP查詢請求給OCSP響應(yīng)器���,在生成OCSP查
詢請求時��,OCSP客戶端將請求對證書進行驗證的遠(yuǎn)程OCSP響應(yīng)器的域名信息填充到 OCSP查詢請求的service locator (服務(wù)定位器)字段�;OCSP查詢請求包括OCSP協(xié)議版本號(version)�����、請求者名(requestorName)、 請求證書表(request List)及service Locator字段�;此處請求者名是OCSP客戶端的名稱,
請求證書表包含OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書����。步驟202:本地OCSP響應(yīng)器接收到OCSP請求后,解析service locator字段�����,并
向DNS (域名解析服務(wù)器)服務(wù)器發(fā)送DNS請求�����,其中攜帶servicelocator字段中包含的 遠(yuǎn)程OCSP響應(yīng)器的域名信息�����,查詢遠(yuǎn)程OCSP響應(yīng)器對應(yīng)的IP地址�;步驟203 DNS服務(wù)器根據(jù)遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出該遠(yuǎn)程OCSP響 應(yīng)器的IP地址,之后向本地OCSP響應(yīng)器返回DNS應(yīng)答����,其中攜帶遠(yuǎn)程OCSP響應(yīng)器的 IP地址�����;步驟204 本地OCSP響應(yīng)器生成OCSP查詢請求�����,發(fā)送給遠(yuǎn)程OCSP響應(yīng)服務(wù) 器��;OCSP查詢請求包括OCSP協(xié)議版本號(version)���、請求者名(requestorName)、 請求證書表(requestList)�,此處將請求者名字段替換為本地響應(yīng)器的名稱。步驟205:遠(yuǎn)程OCSP響應(yīng)器接收到查詢請求后���,向證書庫發(fā)送證書檢索請求消 息���,其中攜帶請求證書表,以查詢請求證書表中的證書的有效性�;步驟206:證書庫收到證書檢索請求消息�����,根據(jù)其中的請求證書表查詢證書的有效性,并向遠(yuǎn)程OCSP響應(yīng)器返回證書檢索應(yīng)答消息���,其中攜帶證書有效性檢索結(jié) 果����,檢索結(jié)果可以是good�、revoked或unknown。
步驟207 遠(yuǎn)程OCSP響應(yīng)服務(wù)器基于接收到的證書有效性檢索結(jié)果生成OCSP 響應(yīng)消息��,發(fā)送至本地OCSP響應(yīng)器���,該OCSP響應(yīng)消息包含證書的檢索結(jié)果���。
步驟208 本地OCSP響應(yīng)器將將接收的OCSP響應(yīng)消息證轉(zhuǎn)發(fā)至OCSP客戶端。
以下通過幾個應(yīng)用實例進一步說明本發(fā)明
應(yīng)用實例一
如圖3所示是eNB/H(e)NB域內(nèi)OCSP查詢示意圖���,在此場景中��,eNB或H(e)NB需要驗證同一域內(nèi)某個網(wǎng)元的證書有效性��,這個域可以是安全域或者屬于同一管理者 所有的域���。eNB或H(e)NB中部署有OCSP客戶端�。
步驟301:當(dāng)eNB或H(e)NB需要驗證某個或某些網(wǎng)元的證書有效性時��,其 OCSP客戶端發(fā)送OCSP查詢請求給OCSP響應(yīng)器���,該OCSP查詢請求包括OCSP協(xié)議版 本號(version)����、請求者名(requestor Name)�����、請求證書表(request List)�。
步驟302 OCSP響應(yīng)器接收到OCSP查詢請求后,向證書庫發(fā)送證書檢索請求 消息���,其中攜帶請求證書表��,檢索本地RA/CA證書庫��。
步驟303:本地RA/CA證書庫返回證書檢索應(yīng)答消息�,其中攜帶證書有效性檢 索結(jié)果給OCSP響應(yīng)器�����。
步驟304: OCSP響應(yīng)服務(wù)器基于接收到的證書有效性檢索結(jié)果生成OCSP響應(yīng) 消息���,返回給eNB或H (e) NB�。
應(yīng)用實例二
如圖4所示是SEG/MME域內(nèi)OCSP查詢示意圖�����,在此場景中���,SEG或MME需要驗證同一域內(nèi)某個網(wǎng)元證書的有效性���,這個域可以是安全域或者屬于同一管理者所 有的域。SEG和MME部署有OCSP客戶端���。
步驟401 當(dāng)SEG或MME需要驗證某個或某些網(wǎng)元證書的有效性時��,其OCSP客戶端發(fā)送OCSP查詢請求給OCSP響應(yīng)器����。
步驟402: OCSP響應(yīng)器接收到查詢請求后�����,向證書庫發(fā)送證書檢索請求消息, 檢索本地RA/CA證書庫�����。
步驟403:本地RA/CA證書庫返回證書檢索應(yīng)答消息��,其中攜帶證書有效性檢 索結(jié)果給OCSP響應(yīng)器�。
步驟404: OCSP響應(yīng)服務(wù)器基于接收到的證書有效性檢索結(jié)果生成OCSP響應(yīng) 消息,返回給SEG或MME�。
應(yīng)用實例三
如圖5所示是SEG/MME域間OCSP查詢示意圖,在此場景中�,SEG或MME 需要驗證某個網(wǎng)元證書的有效性,而這個網(wǎng)元的證書響應(yīng)器不在本域中���,需要進行跨域 的OCSP查詢���。SEG和MME部署有OCSP客戶端。
步驟501:當(dāng)SEG或MME需要驗證某個網(wǎng)元證書的有效性時�,其OCSP客戶端 發(fā)送OCSP查詢請求給OCSP響應(yīng)器,在生成OCSP查詢請求時�,OCSP客戶端將需要驗 證證書的遠(yuǎn)程OCSP響應(yīng)器域名信息填充到OCSP查詢請求的service locator字段。
步驟502 本地OCSP響應(yīng)器接收到OCSP查詢請求后����,解析service locator字
段�,并向DNS服務(wù)器發(fā)送DNS消息�,其中攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息,查詢遠(yuǎn)程 OCSP響應(yīng)器對應(yīng)的IP地址���;步驟503 DNS服務(wù)器返回DNS應(yīng)答,應(yīng)答包含遠(yuǎn)程OCSP響應(yīng)服務(wù)器的IP地址�。步驟504 本地OCSP響應(yīng)器生成OCSP查詢請求,發(fā)送給遠(yuǎn)程OCSP響應(yīng)服務(wù) 器��;該OCSP查詢請求包括OCSP協(xié)議版本號(version)����、請求者名(requestor Name)、請求證書表(request List)����,此處將請求者名字段替換為本地響應(yīng)器的名稱。步驟505:遠(yuǎn)程OCSP響應(yīng)器接收到查詢請求后���,向本域中的證書庫發(fā)送證書檢 索請求消息�,檢索RA/CA證書庫��。步驟506: RA/CA證書庫返回證書檢索應(yīng)答消息,其中攜帶證書有效性檢索結(jié) 果給遠(yuǎn)程OCSP響應(yīng)器�����。步驟507 遠(yuǎn)程OCSP響應(yīng)服務(wù)器基于接收到的證書有效性檢索結(jié)果生成OCSP 響應(yīng)消息����,發(fā)送至本地OCSP響應(yīng)器。步驟508 本地OCSP響應(yīng)器將接收的OCSP響應(yīng)消息轉(zhuǎn)發(fā)至SEG或MME的 OCSP客戶端��。
權(quán)利要求
1.一種移動回程網(wǎng)證書有效性驗證的方法���,適用于對域內(nèi)證書有效性的驗證�,其特 征在于�����,所述方法包括在線證書狀態(tài)協(xié)議(OCSP)客戶端向OCSP響應(yīng)器發(fā)送OCSP查詢請求�����,其中攜帶請 求證書表�����,OCSP響應(yīng)器收到所述OCSP查詢請求后請求證書庫驗證所述請求證書表中的 證書的有效性,所述證書庫查詢所述請求證書表中的證書的有效性���,并將證書有效性檢 索結(jié)果經(jīng)所述OCSP響應(yīng)器轉(zhuǎn)發(fā)至OCSP客戶端��。
2.如權(quán)利要求1所述的方法�����,其特征在于所述OCSP查詢請求還包括OCSP協(xié)議版本號及請求者名。
3.如權(quán)利要求1所述的方法��,其特征在于所述OCSP響應(yīng)器請求證書庫驗證網(wǎng)元證書的有效性是指�����,OCSP響應(yīng)器向證書庫發(fā) 送證書檢索請求消息�����,其中攜帶請求證書表��;所述請求證書表包括OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書��。
4.一種移動回程網(wǎng)證書有效性驗證的方法�����,適用于對域間證書有效性的驗證,其特 征在于��,所述方法包括在線證書狀態(tài)協(xié)議(OCSP)客戶端向本地OCSP響應(yīng)器發(fā)送OCSP查詢請求�����,其中攜 帶遠(yuǎn)程OCSP響應(yīng)器的域名信息及請求證書表����,所述本地OCSP響應(yīng)器收到所述OCSP查 詢請求后根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址,之 后向所述遠(yuǎn)程OCSP響應(yīng)器發(fā)送OCSP查詢請求���,其中攜帶請求證書表��;所述遠(yuǎn)程OCSP響應(yīng)器請求遠(yuǎn)程證書庫驗證所述請求證書表中的證書的有效性�,所 述遠(yuǎn)程證書庫查詢所述請求證書表中的證書的有效性�,并將證書有效性檢索結(jié)果經(jīng)所述 遠(yuǎn)程OCSP響應(yīng)器及本地OCSP響應(yīng)器轉(zhuǎn)發(fā)至OCSP客戶端。
5.如權(quán)利要求4所述的方法�,其特征在于所述本地OCSP響應(yīng)器收到所述OCSP查詢請求后根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名 信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址是指,本地OCSP響應(yīng)器獲取所述OCSP查詢請求中的遠(yuǎn)程OCSP響應(yīng)器的域名信息���,向域 名解析服務(wù)器發(fā)送域名解析服務(wù)器請求�,攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息,所述域名 解析服務(wù)器根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址���, 之后向所述本地OCSP響應(yīng)器返回域名解析服務(wù)器響應(yīng)�,其中攜帶所述遠(yuǎn)程OCSP響應(yīng)器 的IP地址��。
6.如權(quán)利要求4所述的方法����,其特征在于所述遠(yuǎn)程OCSP響應(yīng)器的域名信息通過OCSP查詢請求的服務(wù)定位器字段攜帶。
7.—種移動回程網(wǎng)證書有效性驗證的系統(tǒng)�,適用于對域內(nèi)證書有效性的驗證,所述 系統(tǒng)包括線證書狀態(tài)協(xié)議(OCSP)客戶端���、OCSP響應(yīng)器及證書庫;其特征在于所述OCSP客戶端����,用于向所述OCSP響應(yīng)器發(fā)送OCSP查詢請求,其中攜帶請求證 書表��;所述OCSP響應(yīng)器用于收到所述OCSP查詢請求后請求證書庫驗證所述請求證書表中 的證書的有效性�,以及將接收的證書有效性檢索結(jié)果發(fā)送至所述OCSP客戶端;所述證書庫,用于根據(jù)所述請求證書表查詢所述請求證書表中的證書的有效性�����,并 將證書有效性檢索結(jié)果發(fā)送至所述OCSP響應(yīng)器�。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于所述OCSP查詢請求還包括OCSP協(xié)議版本號及請求者名��;所述請求證書表包括OCSP客戶端所要驗證的一個或多個網(wǎng)元的證書����。
9.一種移動回程網(wǎng)證書有效性驗證的系統(tǒng),適用于對域間證書有效性的驗證���,包括 線證書狀態(tài)協(xié)議(OCSP)客戶端�、本地OCSP響應(yīng)器����、遠(yuǎn)程OCSP響應(yīng)器及遠(yuǎn)程證書庫; 其特征在于所述OCSP客戶端����,用于向所述本地OCSP響應(yīng)器發(fā)送OCSP查詢請求,其中攜帶請 求證書表及遠(yuǎn)程OCSP響應(yīng)器的域名信息�����;所述本地OCSP響應(yīng)器,用于收到所述OCSP查詢請求后根據(jù)所述遠(yuǎn)程OCSP響應(yīng) 器的域名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址���,以及向所述遠(yuǎn)程OCSP響應(yīng)器發(fā)送 OCSP查詢請求�,其中攜帶請求證書表�����;還用于將接收的證書有效性檢索結(jié)果發(fā)送至所 述OCSP客戶端�;所述遠(yuǎn)程OCSP響應(yīng)器,用于收到所述OCSP查詢請求后請求所述遠(yuǎn)程證書庫驗證 所述請求證書表中的證書的有效性��,以及將接收的證書有效性檢索結(jié)果發(fā)送至所述本地 OCSP響應(yīng)器��;所述遠(yuǎn)程證書庫�����,用于根據(jù)所述請求證書表查詢所述請求證書表中的證書的有效 性���,并將證書有效性檢索結(jié)果發(fā)送至所述遠(yuǎn)程OCSP響應(yīng)器。
10.如權(quán)利要求9所述的系統(tǒng)�����,其特征在于所述系統(tǒng)還包括域名解析服務(wù)器;所述本地OCSP響應(yīng)器收到所述OCSP查詢請求后根據(jù)其中的遠(yuǎn)程OCSP響應(yīng)器的域 名信息查詢出遠(yuǎn)程OCSP響應(yīng)器的IP地址是指���,本地OCSP響應(yīng)器獲取所述OCSP查詢請求中的遠(yuǎn)程OCSP響應(yīng)器的域名信息���,向域 名解析服務(wù)器發(fā)送域名解析服務(wù)器請求,攜帶遠(yuǎn)程OCSP響應(yīng)器的域名信息�����;所述域名解析服務(wù)器用于根據(jù)所述遠(yuǎn)程OCSP響應(yīng)器的域名信息查詢出遠(yuǎn)程OCSP響 應(yīng)器的IP地址��,之后向所述本地OCSP響應(yīng)器返回域名解析服務(wù)器響應(yīng)���,其中攜帶所述 遠(yuǎn)程OCSP響應(yīng)器的IP地址�。
11.如權(quán)利要求9所述的系統(tǒng)�����,其特征在于所述本地OCSP響應(yīng)器通過OCSP查詢請求的服務(wù)定位器字段攜帶所述遠(yuǎn)程OCSP響 應(yīng)器的域名信息�。
全文摘要
本發(fā)明提供一種移動回程網(wǎng)證書有效性驗證的系統(tǒng)及方法,該方法包括�,對域內(nèi)證書有效性進行驗證時�,在線證書狀態(tài)協(xié)議(OCSP)客戶端向OCSP響應(yīng)器發(fā)送OCSP查詢請求�����,其中攜帶請求證書表���,OCSP響應(yīng)器收到所述OCSP查詢請求后請求證書庫驗證所述請求證書表中的證書的有效性���,所述證書庫查詢所述請求證書表中的證書的有效性,并將證書有效性檢索結(jié)果經(jīng)所述OCSP響應(yīng)器轉(zhuǎn)發(fā)至OCSP客戶端�����。采用本發(fā)明�,能實現(xiàn)實時、高效地驗證移動回程網(wǎng)中證書的有效性�����。
文檔編號H04L29/12GK102026161SQ20091017149
公開日2011年4月20日 申請日期2009年9月21日 優(yōu)先權(quán)日2009年9月21日
發(fā)明者王鴻彥, 陳書義, 韋銀星, 顏正清 申請人:中興通訊股份有限公司