專利名稱:用于離線裝置的驗(yàn)證在線證書的設(shè)備和方法
技術(shù)領(lǐng)域:
與本發(fā)明 一致的方法和設(shè)備涉及用于離線裝置的驗(yàn)證在線證書,更具體
地講,涉及一種允許離線裝置使用在線證書狀態(tài)協(xié)議(online certificate statusprotocol, OCSP )而鑒別在線裝置。
背景技術(shù):
OCSP是允許在線或連接裝置鑒別其它裝置的整數(shù)狀態(tài)的協(xié)議。OCSP
被設(shè)計(jì)為僅用于在線裝置,而沒有考慮離線(未連接)裝置。
所述在線裝置可以是,但不限于,提供網(wǎng)絡(luò)連接的主機(jī),所述離線裝置可以是,但不限于,不提供網(wǎng)絡(luò)連接的安全卡。
為了驗(yàn)證在線裝置的可靠性,離線裝置可請(qǐng)求OCSP響應(yīng)服務(wù)器(響應(yīng)者)以驗(yàn)證在線裝置的證書的狀態(tài)。在此,OCSP響應(yīng)服務(wù)器存儲(chǔ)發(fā)布的證書的狀態(tài),并根據(jù)客戶機(jī)的OCSP請(qǐng)求報(bào)告相應(yīng)的證書的狀態(tài)。
發(fā)明公開
技術(shù)問題
離線裝置在不提供網(wǎng)絡(luò)連接的情況下無(wú)法直接連接到OCSP響應(yīng)服務(wù)器。但是,離線裝置可通過(guò)在線裝置或在線裝置的支持互連到OCSP響應(yīng)服務(wù)器。不通過(guò)在線裝置的驗(yàn)證,離線裝置無(wú)法信任在線裝置的OCSP請(qǐng)求以及通過(guò)OCSP請(qǐng)求得到的響應(yīng)。具體地,在線裝置可在特定裝置的證書被撤銷之前存儲(chǔ)OCSP響應(yīng)結(jié)果;在特定裝置的證書被撤銷之后重放先前存儲(chǔ)的OCSP響應(yīng)結(jié)果;響應(yīng)離線裝置好像相應(yīng)裝置的撤銷的證書仍然有效。這被7>知為重》文攻擊。
在線裝置可防止重放攻擊。然而,在這種情況下,僅在線裝置與OCSP響應(yīng)服務(wù)器之間的部分可靠時(shí),不能防止可出現(xiàn)在離線裝置與在線裝置之間的4為造(forgery )。
本發(fā)明提供的用于離線裝置的驗(yàn)證在線證書的設(shè)備和方法通過(guò)使離線裝置產(chǎn)生隨機(jī)數(shù)(nonce)并將產(chǎn)生的隨機(jī)數(shù)添加到被鑒別的目標(biāo)在線裝置的OCSP請(qǐng)求消息和OCSP響應(yīng)消息來(lái)使OCSP響應(yīng)服務(wù)器的響應(yīng)請(qǐng)求可靠。
然而,本發(fā)明的各方面沒有限定于在此闡述的一方面。通過(guò)參照以下給定的本發(fā)明的詳細(xì)描述,對(duì)本發(fā)明所屬技術(shù)領(lǐng)域的技術(shù)人員而言,本發(fā)明的上述和其它方面經(jīng)變得更清楚。技術(shù)方案
根據(jù)本發(fā)明的一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括隨機(jī)數(shù)產(chǎn)生單元,產(chǎn)生隨機(jī)數(shù)和證書驗(yàn)證請(qǐng)求消息,該證書驗(yàn)證請(qǐng)求消息請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書并包括產(chǎn)生的隨機(jī)數(shù);發(fā)送/接收單元,將證書驗(yàn)證請(qǐng)求發(fā)送到在線裝置并從在線裝置接收OCSP響應(yīng)消息;證書驗(yàn)證結(jié)果確定單元,從接收的消息提取隨機(jī)數(shù)并將提取的隨機(jī)數(shù)與產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較以確定接收的消息是否可靠。
根據(jù)本發(fā)明的另 一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括消息產(chǎn)生單元,根據(jù)從離線裝置接收的請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息產(chǎn)生OCSP請(qǐng)求消息;發(fā)送/接收單元,將產(chǎn)生的消息發(fā)送到OCSP響應(yīng)服務(wù)器,并從OCSP響應(yīng)服務(wù)器接收OCSP響應(yīng)消息。
根據(jù)本發(fā)明的另 一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括驗(yàn)證單元,根據(jù)從在線裝置接收的OCSP請(qǐng)求消息驗(yàn)證目標(biāo)在線裝置的證書;響應(yīng)消息產(chǎn)生單元,基于驗(yàn)證結(jié)果產(chǎn)生OCSP響應(yīng)消息;發(fā)送"妻收單元,將產(chǎn)生的消息發(fā)送到在線裝置。
根據(jù)本發(fā)明的另 一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的方法,所述方法包括產(chǎn)生隨機(jī)數(shù);產(chǎn)生證書-驗(yàn)證請(qǐng)求消息,該證書驗(yàn)證請(qǐng)求消息包括產(chǎn)生的隨機(jī)數(shù)并請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書;將證書驗(yàn)證請(qǐng)求消息發(fā)送到在線裝置;從在線裝置接收OCSP響應(yīng)消息;從接收的消
是否可靠。,、 、、一 、''、 、'
根據(jù)本發(fā)明的另 一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的方法,所述方法包括從離線裝置接收請(qǐng)求驗(yàn)證目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息;根據(jù)證書驗(yàn)證請(qǐng)求消息產(chǎn)生OCSP請(qǐng)求消息;將OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器;從OCSP響應(yīng)服務(wù)器接收OCSP響應(yīng)消息。根據(jù)本發(fā)明的另 一方面,提供了 一種用于離線裝置的驗(yàn)證在線證書的方
法,所述方法包括根據(jù)從在線裝置接收的OCSP請(qǐng)求消息驗(yàn)證目標(biāo)在線裝置的證書;基于驗(yàn)證結(jié)果產(chǎn)生OCSP響應(yīng)消息;將產(chǎn)生的消息發(fā)送到在線裝置。
通過(guò)下面結(jié)合附圖對(duì)示例性實(shí)施例進(jìn)行的詳細(xì)描述,本發(fā)明的上述和其它方面將會(huì)變得更清楚,其中
圖1是示出具有根據(jù)本發(fā)明示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備的系統(tǒng)的示圖2是示出圖1中示出的系統(tǒng)的進(jìn)行在線證書驗(yàn)證處理的示圖3是示出根據(jù)本發(fā)明示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備的配置的示圖4是示出根據(jù)本發(fā)明另 一示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備的配置的示圖5是示出根據(jù)本發(fā)明另一示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備的配置的示圖6是示出根據(jù)本發(fā)明離線裝置的示例性實(shí)施例的在線證書驗(yàn)證處理的流程圖。
具體實(shí)施例方式
通過(guò)參照以下的示例性實(shí)施例和附圖的詳細(xì)描述,將更容易地理解本發(fā)明的優(yōu)點(diǎn)和特點(diǎn)以及實(shí)現(xiàn)本發(fā)明的方法。
然而,本發(fā)明可以以各種不同方式實(shí)施并且不應(yīng)理解為限于在此闡述的示例性實(shí)施例。而且,提供這些實(shí)施例從而使此公開是徹底和完整的,將本發(fā)明的構(gòu)思完整地傳達(dá)給本領(lǐng)域技術(shù)人員,并且本發(fā)明僅由所附權(quán)利要求限定。
貫穿說(shuō)明書,相同的標(biāo)號(hào)表示相同的元件。
以下將參照根據(jù)本發(fā)明示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備和方法的框圖或流程圖來(lái)描述本發(fā)明。
應(yīng)該理解的是,流程圖的每個(gè)塊和流程圖中的塊的結(jié)合可通過(guò)計(jì)算機(jī)程序執(zhí)行。
可將這些計(jì)算機(jī)程序指令提供給通用計(jì)算機(jī)、專用計(jì)算機(jī)或其它可編程 數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生機(jī)器,從而通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理 設(shè)備的處理器執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)在一個(gè)流程圖方框或多個(gè)流程圖方框 中描述的功能的裝置。
這些計(jì)算機(jī)程序指令也可被存儲(chǔ)在可引導(dǎo)計(jì)算機(jī)或者其他可編程數(shù)據(jù)處 理設(shè)備以特定方式工作的計(jì)算機(jī)可用或計(jì)算機(jī)可讀存儲(chǔ)器中,從而存儲(chǔ)在計(jì) 算機(jī)可用或計(jì)算機(jī)可讀存儲(chǔ)器中的指令生產(chǎn)包括實(shí)現(xiàn)在一個(gè)流程圖方框或多 個(gè)流程圖方框中描述的功能的指令裝置的產(chǎn)品。
計(jì)算機(jī)程序指令也可被載入計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以使得一 系列操作步驟在計(jì)算機(jī)或其他可編程設(shè)備上被執(zhí)行以產(chǎn)生計(jì)算機(jī)執(zhí)行的過(guò) 程,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在一個(gè)流程 圖方框或多個(gè)流程圖方框中描述的功能的步驟。
此外,每個(gè)方框可以表示包括一個(gè)或多個(gè)實(shí)現(xiàn)特定邏輯功能的可執(zhí)行指 令的模塊、代碼段、或者部分代碼。
還應(yīng)該注意到,在一些另外的實(shí)現(xiàn)方式中,方框中表示的功能可能次序 顛倒地發(fā)生。
例如,根據(jù)涉及的功能性,連續(xù)顯示的兩個(gè)方框可能基本上同時(shí)執(zhí)行, 或者可能有時(shí)以相反的次序執(zhí)行。
以下,參照附圖對(duì)本發(fā)明的示例性實(shí)施例進(jìn)行詳細(xì)的描述。
作為參考,隨機(jī)數(shù)(nonce )是為了驗(yàn)證消息的完整性而添加到消息的值。 所述隨機(jī)數(shù)用于允許消息的發(fā)送對(duì)象確認(rèn)消息中的隨機(jī)數(shù)是否無(wú)變化地被接 收,從而確認(rèn)響應(yīng)是否可靠。
上述的隨機(jī)數(shù)可以,但不限于隨機(jī)數(shù)字。例如,可使用根據(jù)特定規(guī)則的 數(shù)字或字符或計(jì)數(shù)值(例如,時(shí)間標(biāo)記)。
圖1是示出具有根據(jù)本發(fā)明示例性實(shí)施例的驗(yàn)證用于離線裝置的設(shè)備和 方法的系統(tǒng)的示圖。
系統(tǒng)100包括離線裝置100、在線裝置120和OCSP響應(yīng)服務(wù)器130。離 線裝置100產(chǎn)生隨機(jī)數(shù)和包括產(chǎn)生的隨機(jī)數(shù)的在線裝置證書驗(yàn)證請(qǐng)求消息, 并發(fā)送在線裝置證書驗(yàn)證請(qǐng)求消息。在線裝置120根據(jù)從離線裝置110接收 的證書驗(yàn)證請(qǐng)求消息產(chǎn)生OCSP請(qǐng)求消息,該證書驗(yàn)證請(qǐng)求消息請(qǐng)求驗(yàn)證目標(biāo)在線裝置的證書,并將產(chǎn)生的OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器130。 OCSP響應(yīng)服務(wù)器130根據(jù)從在線裝置120接收的OCSP請(qǐng)求消息驗(yàn)證目標(biāo) 在線裝置的證書,基于驗(yàn)證結(jié)果產(chǎn)生OCSP響應(yīng)消息,并將產(chǎn)生的OCSP響 應(yīng)消息發(fā)送到在線裝置120。
作為參考,如果離線裝置110是可以直接產(chǎn)生OCSP請(qǐng)求消息的高性能 裝置,則在線裝置120不產(chǎn)生附加OCSP請(qǐng)求消息,并將從離線裝置110接 收的OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器130。離線裝置110產(chǎn)生的OCSP 請(qǐng)求消息包括離線裝置IIO產(chǎn)生的隨機(jī)數(shù)。
另一方面,如果離線裝置110是無(wú)法直接產(chǎn)生OCSP請(qǐng)求消息的低性能 裝置,則在線裝置120從離線裝置110接收在線裝置證書驗(yàn)證請(qǐng)求消息,并 產(chǎn)生將被發(fā)送到OCSP響應(yīng)服務(wù)器130的OCSP請(qǐng)求消息。從離線裝置110 發(fā)送到在線裝置120的在線裝置證書驗(yàn)證請(qǐng)求消息包括離線裝置110產(chǎn)生的 隨機(jī)數(shù)。然后,在線裝置120從接收自離線裝置110的在線裝置證書驗(yàn)證請(qǐng) 求消息提耳又隨才幾數(shù),產(chǎn)生OCSP請(qǐng)求消息并將OCSP請(qǐng)求消息發(fā)送到OCSP 響應(yīng)服務(wù)器130。
根據(jù)本發(fā)明的示例性實(shí)施例,從離線裝置IIO發(fā)送到在線裝置120的在 線裝置證書驗(yàn)證請(qǐng)求消息優(yōu)選地,但不是必須地,包括包含離線裝置110產(chǎn) 生的隨機(jī)數(shù)的在線裝置證書驗(yàn)證請(qǐng)求消息和包括離線裝置110產(chǎn)生的隨機(jī)數(shù) 的OCSP請(qǐng)求消息中的至少一個(gè)。
此外,OCSP響應(yīng)服務(wù)器130產(chǎn)生的OCSP響應(yīng)消息可包括離線裝置110 產(chǎn)生的隨機(jī)數(shù)。在這種情況中,可從接收自離線裝置120的OCSP請(qǐng)求消息 提取隨機(jī)數(shù)。
然后,接收從OCSP響應(yīng)服務(wù)器130發(fā)送的OCSP響應(yīng)消息的在線裝置 120將OCSP響應(yīng)消息發(fā)送到離線裝置110。然后,離線裝置IIO接收OCSP 響應(yīng)消息并從接收的消息提取隨機(jī)數(shù)。
然后,離線裝置110將提取的隨機(jī)數(shù)與離線裝置110產(chǎn)生的隨機(jī)數(shù)進(jìn)行 比較以確定接收消息是否可靠。當(dāng)提取的隨機(jī)數(shù)與離線裝置IIO產(chǎn)生的隨機(jī)
數(shù)相互一致時(shí),確定接收的消息可靠。
如上所述,離線裝置110可根據(jù)離線裝置110的性能等級(jí)直接產(chǎn)生OCSP 請(qǐng)求消息或可請(qǐng)求在線裝置120產(chǎn)生OCSP請(qǐng)求消息。
離線裝置不需要直接產(chǎn)生OCSP請(qǐng)求消息,但是離線裝置應(yīng)具有足夠性 8能以確定OCSP響應(yīng)消息。在此,響應(yīng)消息的確認(rèn)表示離線裝置從OCSP響
應(yīng)消息提取隨機(jī)數(shù)并將提取的隨機(jī)數(shù)與其自身產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較以確認(rèn) 這些隨機(jī)數(shù)是否相互一致。
以下,假設(shè)在此4吏用的離線裝置IIO是無(wú)法直接產(chǎn)生OCSP請(qǐng)求消息但 至少能夠確認(rèn)OCSP響應(yīng)消息的裝置。
圖2是示出使用圖1的系統(tǒng)的在線證書驗(yàn)證處理的示圖。 為了便于解釋,將參照?qǐng)D1的系統(tǒng)IOO進(jìn)行描述。
首先,離線裝置IIO產(chǎn)生隨機(jī)數(shù)和包括產(chǎn)生的隨機(jī)數(shù)的證書驗(yàn)證請(qǐng)求消 息,該證書驗(yàn)證請(qǐng)求消息請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書(操作S201 )。 操作S201之后,離線裝置110將證書驗(yàn)證請(qǐng)求消息發(fā)送到在線裝置120 (操作S202 )。
在操作S202之后,在線裝置120根據(jù)從離線裝置IIO接收的證書驗(yàn)證請(qǐng) 求消息產(chǎn)生OCSP請(qǐng)求消息(操作S203 )。
在操作S203之后,在線裝置120將OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服 務(wù)器130 (操作S204)。
此時(shí),在線裝置120產(chǎn)生的OCSP請(qǐng)求消息可包括離線裝置110產(chǎn)生的 隨機(jī)數(shù)。
在操作S204之后,OCSP響應(yīng)服務(wù)器130驗(yàn)證關(guān)于目標(biāo)在線裝置的證書 并基于驗(yàn)證結(jié)果產(chǎn)生OCSP響應(yīng)消息(操作S205 )。
在操作S205之后,OCSP響應(yīng)服務(wù)器130將OCSP響應(yīng)消息發(fā)送到在線 裝置120 (操作S206)。
OCSP響應(yīng)服務(wù)器130產(chǎn)生的OCSP響應(yīng)消息包括關(guān)于目標(biāo)在線裝置的 證書的驗(yàn)證結(jié)果和離線裝置IIO產(chǎn)生的隨機(jī)數(shù)。
作為參考,OCSP響應(yīng)服務(wù)器130可從接收自在線裝置120的OCSP請(qǐng) 求消息中提取隨機(jī)數(shù)。
在操作S206之后,在線裝置120接收OCSP響應(yīng)消息并將接收的消息發(fā) 送到離線裝置110 (操作S207 )。
在操作S207之后,離線裝置110從接收的OCSP響應(yīng)消息提取隨機(jī)數(shù), 并對(duì)提取的隨機(jī)數(shù)與離線裝置110產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較以確定驗(yàn)證結(jié)果是 否可靠(操作S208)。
圖3是示出根據(jù)本發(fā)明示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的設(shè)備的配置的示圖。
作為參考,圖3中示出的設(shè)備300可以合并到圖1中示出的系統(tǒng)100的 離線裝置IIO。為了便于解釋,將參照?qǐng)D1中示出的系統(tǒng)IOO進(jìn)行描述。
設(shè)備300包括隨機(jī)數(shù)產(chǎn)生單元310、發(fā)送/接收單元320、證書驗(yàn)證結(jié)果 確定單元330和控制單元340。隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生隨機(jī)數(shù)和包括產(chǎn)生 的隨機(jī)數(shù)的證書驗(yàn)證請(qǐng)求消息,該證書驗(yàn)證請(qǐng)求消息請(qǐng)求驗(yàn)證被鑒別的目標(biāo) 在線裝置的證書。發(fā)送/接收單元320將隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的證書驗(yàn)證 請(qǐng)求消息發(fā)送到在線裝置120并從在線裝置120接收關(guān)于目標(biāo)在線裝置的 OCSP響應(yīng)消息。證書驗(yàn)證結(jié)果確定單元330從發(fā)送/接收單元320接收的 OCSP響應(yīng)消息提取隨機(jī)數(shù)并將提取的隨機(jī)數(shù)與隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的 隨機(jī)數(shù)進(jìn)行比較以確定接收的OCSP響應(yīng)消息是否可靠。控制單元340控制 上述單元。當(dāng)比較結(jié)果表示從發(fā)送/接收單元320接收的消息提取的隨機(jī)數(shù)與 隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的隨機(jī)數(shù)相互一致時(shí),證書驗(yàn)證結(jié)果確定單元330 確定目標(biāo)在線裝置的證書的驗(yàn)證結(jié)果可靠。
圖4是示出根據(jù)本發(fā)明另 一示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證 書的設(shè)備的配置的示圖。
作為參考,圖4中示出的設(shè)備400可合并到圖1中示出的系統(tǒng)100的在 線裝置120。為了便于解釋,將參照?qǐng)D1中示出的系統(tǒng)IOO進(jìn)行描述。
設(shè)備400包括消息產(chǎn)生單元410、發(fā)送/接收單元420和控制單元430。 消息產(chǎn)生單元410根據(jù)從離線裝置110接收的請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝 置的證書的證書驗(yàn)證請(qǐng)求消息產(chǎn)生OCSP請(qǐng)求消息。發(fā)送/接收單元420將消 息產(chǎn)生單元410產(chǎn)生的OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器130,并接 收從OCSP響應(yīng)服務(wù)器130發(fā)送的OCSP響應(yīng)消息。控制單元430控制上述 單元。
作為參考,圖1中示出的系統(tǒng)IOO的在線裝置120與被離線裝置IIO鑒 別的目標(biāo)在線裝置可以是同一裝置或不同裝置。在該示例性實(shí)施例中,假設(shè) 在線裝置120和上述目標(biāo)在線裝置是同一裝置。
圖4中示出的設(shè)備400的消息產(chǎn)生單元410產(chǎn)生的OCSP請(qǐng)求消息可包 括離線裝置110的隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的隨機(jī)數(shù)。然后,發(fā)送/接收單元 420將從OCSP響應(yīng)服務(wù)器130接收的OCSP響應(yīng)消息(即,目標(biāo)在線裝置 的證書的驗(yàn)證結(jié)果)發(fā)送到離線裝置110。
10此時(shí),從發(fā)送/接收單元420發(fā)送到離線裝置IIO的OCSP響應(yīng)消息包括 OCSP響應(yīng)服務(wù)器130產(chǎn)生的目標(biāo)在線裝置的證書的驗(yàn)證結(jié)果和離線裝置110 的隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的隨機(jī)數(shù)。
在線裝置120可能執(zhí)行重放攻擊。具體地,在線裝置120可在特定裝置 的證書被撤銷之前存儲(chǔ)從OCSP響應(yīng)服務(wù)器130接收的OCSP響應(yīng)消息,在 相應(yīng)的裝置的證書被撤銷之后重放先前存儲(chǔ)的OCSP響應(yīng)消息并響應(yīng)離線裝 置110,好像相應(yīng)的裝置的撤銷的證書仍有效地。在這種情況下,包括在被 重放攻擊的OCSP響應(yīng)消息中的隨機(jī)數(shù)與包括在從離線裝置IIO發(fā)送到在線 裝置120的證書驗(yàn)證請(qǐng)求消息中的隨機(jī)數(shù)不同。因此,離線裝置110確定相 應(yīng)的OCSP響應(yīng)消息不可靠。
圖5是示出根據(jù)本發(fā)明另一示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證 書的設(shè)備的配置的示圖。
作為參考,圖5中示出的設(shè)備500可合并到圖1中示出的系統(tǒng)100的 OCSP響應(yīng)服務(wù)器130。為了便于解釋,將參照?qǐng)D1的系統(tǒng)IOO進(jìn)行描述。
設(shè)備500包括驗(yàn)證單元510、響應(yīng)消息產(chǎn)生單元520、發(fā)送/接收單元530 和控制單元540。驗(yàn)證單元510根據(jù)從在線裝置120接收的OCSP請(qǐng)求消息 驗(yàn)證目標(biāo)在線裝置的證書。響應(yīng)消息產(chǎn)生單元520基于驗(yàn)證單元510的驗(yàn)證 結(jié)果產(chǎn)生OCSP響應(yīng)消息。發(fā)送/接收單元530將OCSP響應(yīng)消息發(fā)送到在線 裝置??刂茊卧?40控制上述單元。
圖5中示出的設(shè)備的響應(yīng)消息產(chǎn)生單元520產(chǎn)生的OCSP響應(yīng)消息包括 目標(biāo)在線裝置的證書的驗(yàn)證結(jié)果和離線裝置100的隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生 的隨機(jī)數(shù)。然后,響應(yīng)消息產(chǎn)生單元520可從接收自在線裝置120接收的OCSP 請(qǐng)求消息提取隨機(jī)數(shù)。
根據(jù)本發(fā)明示例性實(shí)施例的圖3至圖5中示出的各個(gè)部件可包括,但不 限于,執(zhí)行特定任務(wù)的軟件或硬件部件,例如現(xiàn)場(chǎng)可編程邏輯門陣列(FPGA) 或?qū)S眉呻娐?ASIC)。
組件可以方便地被配置以駐留在可尋址的存儲(chǔ)介質(zhì)上,并且可被配置以 在一個(gè)或多個(gè)處理器上執(zhí)行。
因此,舉例來(lái)說(shuō),組件可以包括諸如軟件組件、面向?qū)ο蟮能浖M件、 類組件和任務(wù)組件的組件、進(jìn)程、函數(shù)、屬性、過(guò)程、子程序、程序代碼段、 驅(qū)動(dòng)程序、固件、微碼、電路、數(shù)據(jù)、數(shù)據(jù)庫(kù)、數(shù)據(jù)結(jié)構(gòu)、表、數(shù)組和變量。在組件和模塊中提供的功能可被組合為更少的組件和模塊,或者可進(jìn)一 步被分離成另外的組件和模塊。
圖6是示出根據(jù)本發(fā)明示例性實(shí)施例的用于離線裝置的驗(yàn)證在線證書的 處理的流程圖。
作為參考,在圖3中示出的設(shè)備300可在圖1中示出的系統(tǒng)IOO的離線 裝置110中執(zhí)行。在圖4中示出的設(shè)備400可在圖1中示出的系統(tǒng)100的在 線裝置120中執(zhí)行。在圖5中示出的設(shè)備500可在圖1中示出的系統(tǒng)100的 OCSP響應(yīng)服務(wù)器130中執(zhí)行。
為了便于解釋,將參照?qǐng)D1中示出的系統(tǒng)IOO進(jìn)行描述。
首先,離線裝置110的隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生隨機(jī)數(shù)和包括產(chǎn)生的隨 機(jī)數(shù)的證書驗(yàn)證請(qǐng)求消息,該證書驗(yàn)證請(qǐng)求消息請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線 裝置的證書(操作S601)。
在操作S601之后,離線裝置110的發(fā)送/接收單元320將產(chǎn)生的消息發(fā) 送到離線裝置120 (搡作S602 )。
在操作S602之后,在線裝置120的發(fā)送/接收單元420從離線裝置110 接收證書驗(yàn)證請(qǐng)求消息(操作S603 )。
在操作S603之后,在線裝置120的消息產(chǎn)生單元410從發(fā)送/接收單元 410接收的消息提取(離線裝置110產(chǎn)生的)隨機(jī)數(shù),并產(chǎn)生包括提取的隨 機(jī)數(shù)的OCSP請(qǐng)求消息(操作S604 )。
在操作S604之后,在線裝置120的發(fā)送/接收單元420將產(chǎn)生的OCSP 請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器130 (操作S605 )。
在操作S605之后,OCSP響應(yīng)服務(wù)器130的發(fā)送/接收單元530從在線 裝置120接收OCSP請(qǐng)求消息(操作S606 )。
在操作S606之后,OCSP響應(yīng)服務(wù)器130的驗(yàn)證單元510根據(jù)接收的 OCSP請(qǐng)求消息驗(yàn)證目標(biāo)在線裝置的證書(操作S607 )。
在操作S607之后,OCSP響應(yīng)服務(wù)器130的響應(yīng)消息產(chǎn)生單元520產(chǎn)生 關(guān)于目標(biāo)在線裝置的證書的驗(yàn)證結(jié)果的OCSP響應(yīng)消息(操作S608 )。
OCSP響應(yīng)消息包括離線裝置110產(chǎn)生的隨機(jī)數(shù)。然后,響應(yīng)消息產(chǎn)生 單元520可從接收自在線裝置120的OCSP請(qǐng)求消息提取隨機(jī)數(shù)。
在操作S608之后,OCSP響應(yīng)服務(wù)器130的發(fā)送/接收單元530將產(chǎn)生 的OCSP響應(yīng)消息發(fā)送到在線裝置120 (操作S609)。在操作S609之后,在線裝置120的發(fā)送/接收單元420從OCSP響應(yīng)服 務(wù)器130接收OCSP響應(yīng)消息并將接收的OCSP響應(yīng)消息發(fā)送到離線裝置110 (操作S610)。
在操作S610之后,離線裝置110的發(fā)送/接收單元320從在線裝置120 接收關(guān)于目標(biāo)在線裝置的OCSP響應(yīng)消息(操作S611 )。
在操作S611之后,離線裝置110的證書驗(yàn)證結(jié)果確定單元330從接收的 OCSP響應(yīng)消息提取隨機(jī)數(shù)并將提取的隨機(jī)數(shù)與隨機(jī)數(shù)產(chǎn)生單元310產(chǎn)生的 隨機(jī)數(shù)進(jìn)行比較以確定接收OCSP響應(yīng)消息是否可靠(搡作S612 )。
盡管參照本發(fā)明示例性實(shí)施例描述了本發(fā)明,對(duì)本領(lǐng)域的技術(shù)人員清楚 的是,在不脫離本發(fā)明的范圍和精神的情況下,可以進(jìn)行各種修改和變化。 因此,應(yīng)該理解是,上述實(shí)施例不是限制性的,而是所有方面中的示例。
產(chǎn)業(yè)上的可利用性 根據(jù)上述用于離線裝置的驗(yàn)證在線證書的設(shè)備和方法,可獲得如下效果。 僅用于在線裝置之間的鑒別的OCSP可用于離線裝置。 OCSP響應(yīng)服務(wù)器管理關(guān)于所有相關(guān)聯(lián)的證書的證書的信息并保持最新
的信息。因此,可通過(guò)不可靠在線裝置安全地使用OCSP。
可解決諸如實(shí)時(shí)更新、證書撤銷列表(CRL)引起的降低效率和當(dāng)離線
裝置使用CRL時(shí)的安全漏洞的問題。因此,可提供用于低性能離線裝置的有
效鑒別。
即使離線裝置將OCSP鑒別委托給被鑒別的在線裝置,也確保了證書狀 態(tài)驗(yàn)證結(jié)果的可靠性。因此,用于產(chǎn)生OCSP請(qǐng)求消息的負(fù)載可傳遞給具有 相對(duì)高性能的在線裝置。結(jié)果,可減少低性能離線裝置計(jì)算的OCSP量。
權(quán)利要求
1、一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括隨機(jī)數(shù)產(chǎn)生單元,產(chǎn)生隨機(jī)數(shù)和請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息,其中,證書驗(yàn)證請(qǐng)求消息包括產(chǎn)生的隨機(jī)數(shù);發(fā)送和接收單元,將證書驗(yàn)證請(qǐng)求發(fā)送到在線裝置并從在線裝置接收在線證書狀態(tài)協(xié)議OCSP響應(yīng)消息;證書驗(yàn)證結(jié)果確定單元,從OCSP響應(yīng)提取隨機(jī)數(shù)并對(duì)提取的隨機(jī)數(shù)與隨機(jī)數(shù)產(chǎn)生單元產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較以確定OCSP響應(yīng)是否可靠。
2、 如權(quán)利要求l所述的設(shè)備,其中,如果提取的隨機(jī)數(shù)與產(chǎn)生的隨機(jī)數(shù) 互相一致,則證書驗(yàn)證結(jié)果確定單元確定接收的消息可靠。
3、 一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括消息產(chǎn)生單元,根據(jù)從離線裝置接收的請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置 的證書的證書驗(yàn)證請(qǐng)求消息產(chǎn)生在線證書狀態(tài)協(xié)議OCSP請(qǐng)求消息;和發(fā)送和接收單元,將OCSP請(qǐng)求消息發(fā)送到OCSP響應(yīng)服務(wù)器,并從 OCSP響應(yīng)服務(wù)器接收響應(yīng)于OCSP請(qǐng)求消息的OCSP響應(yīng)消息。
4、 如權(quán)利要求3所述的設(shè)備,其中,OCSP請(qǐng)求消息包括離線裝置產(chǎn)生 的隨機(jī)數(shù)。
5、 如權(quán)利要求3所述的設(shè)備,其中,發(fā)送和接收單元將從OSCP裝置接 收的OCSP響應(yīng)消息發(fā)送到離線裝置。
6、 一種用于離線裝置的驗(yàn)證在線證書的設(shè)備,所述設(shè)備包括 驗(yàn)證單元,根據(jù)從在線裝置接收的OCSP請(qǐng)求消息驗(yàn)證目標(biāo)在線裝置的證書;響應(yīng)消息產(chǎn)生單元,產(chǎn)生關(guān)于驗(yàn)證結(jié)果的OCSP響應(yīng)消息;和 發(fā)送/接收單元,將產(chǎn)生的消息發(fā)送到在線裝置。
7、 如權(quán)利要求6所述的設(shè)備,其中,產(chǎn)生的OCSP響應(yīng)消息包括離線裝 置產(chǎn)生的隨機(jī)數(shù),所述離線裝置請(qǐng)求驗(yàn)證目標(biāo)在線裝置的證書。
8、 一種用于離線裝置的驗(yàn)證在線證書的方法,所述方法包括 產(chǎn)生隨機(jī)數(shù);產(chǎn)生請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息,其中, 證書驗(yàn)證請(qǐng)求消息包括產(chǎn)生的隨機(jī)數(shù);將證書驗(yàn)證請(qǐng)求發(fā)送到在線裝置;接收在線裝置響應(yīng)于證書驗(yàn)證請(qǐng)求消息發(fā)送的在線證書狀態(tài)協(xié)議OCSP 響應(yīng)消息;從OCSP響應(yīng)消息提取隨機(jī)數(shù); 將提取的隨機(jī)數(shù)與產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較;和 基于比較的結(jié)果確定OCSP響應(yīng)消息是否可靠。
9、 如權(quán)利要求8所述的方法,其中,確定OCSP響應(yīng)消息是否可靠的步 驟包括如果比較結(jié)果表示提取的隨機(jī)數(shù)與產(chǎn)生的隨機(jī)數(shù)相互一致,則確定 接收的消息可靠。
10、 一種用于離線裝置的-瞼證在線證書的方法,所述方法包括 接收請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息,其中,證書驗(yàn)證請(qǐng)求消息包括產(chǎn)生的隨機(jī)數(shù);根據(jù)證書一瞼證請(qǐng)求消息產(chǎn)生在線證書狀態(tài)協(xié)議OCSP請(qǐng)求消息; 將OCSP請(qǐng)求發(fā)送到OCSP響應(yīng)服務(wù)器;和從OCSP響應(yīng)服務(wù)器接收響應(yīng)于OCSP請(qǐng)求消息的OCSP響應(yīng)消息。
11、 如權(quán)利要求10所述的方法,其中,證書驗(yàn)證請(qǐng)求消息包括離線裝置 產(chǎn)生的隨機(jī)數(shù),并且OCSP請(qǐng)求消息包括所述隨機(jī)數(shù)。
12、 如權(quán)利要求9所述的方法,還包括 將OCSP響應(yīng)消息發(fā)送到離線裝置。
13、 一種用于離線裝置的驗(yàn)證在線證書的方法,所述方法包括 根據(jù)從在線裝置接收的在線證書狀態(tài)協(xié)議OCSP請(qǐng)求消息驗(yàn)證目標(biāo)在線裝置的證書;基于驗(yàn)證結(jié)果產(chǎn)生OCSP響應(yīng)消息; 將OCSP響應(yīng)消息發(fā)送到在線裝置。
14、 如權(quán)利要求13所述的方法,其中,OCSP響應(yīng)消息包括由離線裝置 產(chǎn)生并從OCSP請(qǐng)求消息被提取的隨機(jī)數(shù)。
全文摘要
提供了一種用于離線裝置的驗(yàn)證在線證書的設(shè)備和方法。所述設(shè)備包括隨機(jī)數(shù)產(chǎn)生單元,產(chǎn)生隨機(jī)數(shù)和請(qǐng)求驗(yàn)證被鑒別的目標(biāo)在線裝置的證書的證書驗(yàn)證請(qǐng)求消息,其中,證書驗(yàn)證請(qǐng)求消息包括產(chǎn)生的隨機(jī)數(shù);發(fā)送和接收單元,將證書驗(yàn)證請(qǐng)求發(fā)送到在線裝置并從在線裝置接收在線證書狀態(tài)協(xié)議(OCSP)響應(yīng)消息;證書驗(yàn)證結(jié)果確定單元,從OCSP響應(yīng)提取隨機(jī)數(shù)并將提取的隨機(jī)數(shù)與隨機(jī)數(shù)產(chǎn)生單元產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較以確定OCSP響應(yīng)是否可靠。
文檔編號(hào)H04L9/32GK101682511SQ200880017548
公開日2010年3月24日 申請(qǐng)日期2008年5月26日 優(yōu)先權(quán)日2007年5月28日
發(fā)明者吳潤(rùn)相, 沈相奎, 金麗珍 申請(qǐng)人:三星電子株式會(huì)社