�����,使用憑證持有單位從CA認(rèn)證中心申請(qǐng)的企業(yè)CA的公鑰對(duì)前述部分整體進(jìn)行簽名���,把應(yīng)用簽名的簽名值放入文件的尾部�。由此,完成對(duì)有效性的設(shè)置��。
[0041]圖8是示出了根據(jù)本發(fā)明的另一方面的用于限制數(shù)字憑證的有效性的方法的流程圖800��。該方法是由數(shù)字憑證持有單位執(zhí)行的�。在步驟802���,從數(shù)字憑證的本體數(shù)據(jù)部分的文件長度字段讀取該數(shù)字憑證的文件長度。在步驟804�����,判斷所讀取文件長度與數(shù)字憑證的實(shí)際文件長度是否相等��。若相等�,則說明數(shù)字憑證持有單位未進(jìn)行有效性設(shè)置����,流程行進(jìn)至步驟816,如驗(yàn)證常規(guī)數(shù)字憑證那樣直接驗(yàn)證數(shù)字憑證的發(fā)證簽名�。若不相等,說明數(shù)字憑證持有單位進(jìn)行了有效性設(shè)置����,流程行進(jìn)至步驟806,以對(duì)數(shù)字憑證的文件末尾的應(yīng)用簽名執(zhí)行驗(yàn)證�。在步驟808�,若驗(yàn)證不成功,則數(shù)字憑證無效�����,流程結(jié)束����。若驗(yàn)證成功��,則流程行進(jìn)至步驟810��。在步驟810����,可使用唯一性密鑰對(duì)該數(shù)字憑證中位于應(yīng)用簽名之前的應(yīng)用數(shù)據(jù)部分和位于該應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名進(jìn)行解密�。在一實(shí)例中,可利用數(shù)字憑證的本體數(shù)據(jù)部分的分散因子字段中的分散因子和母密鑰例如進(jìn)行3DES運(yùn)算以得到該唯一性密鑰�����。該母密鑰可以來自例如數(shù)字憑證持有方和使用方所公有的USB Key (B卩�,Ukey)。在步驟812���,從該數(shù)字憑證中位于應(yīng)用簽名之前的經(jīng)解密的應(yīng)用數(shù)據(jù)部分讀取應(yīng)用條件字段���。在步驟814��,判斷該應(yīng)用條件字段是否符合預(yù)定條件��。若符合���,則流程行進(jìn)至步驟816以對(duì)所述數(shù)字憑證中位于所述應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名執(zhí)行驗(yàn)證。若不符合���,則數(shù)字憑證無效���,流程結(jié)束�����。
[0042]實(shí)踐中���,數(shù)字憑證使用單位使用客戶端軟件對(duì)數(shù)字憑證進(jìn)行驗(yàn)證��。例如����,首先判斷數(shù)字憑證的實(shí)際文件長度與所讀取的文件長度是否相等�����。若相等��,表示憑證持有單位未進(jìn)行過有效性設(shè)置���,則直接進(jìn)行常規(guī)的發(fā)證簽名驗(yàn)證。若不相等���,則表示憑證持有單位進(jìn)行過有效性設(shè)置����,由此使用憑證持有單位的企業(yè)CA的公鑰對(duì)憑證尾部的應(yīng)用簽名進(jìn)行驗(yàn)證��。若驗(yàn)證通過����,則使用Ukey里的例如16字節(jié)的母密鑰和原始憑證的本體數(shù)據(jù)部分的8字節(jié)的分散因子生成例如16字節(jié)的唯一性密鑰�����。再使用該唯一性密鑰對(duì)80字節(jié)的應(yīng)用數(shù)據(jù)部分和128字節(jié)的發(fā)證簽名(例如���,RSA1024)執(zhí)行解密�����。然后讀取經(jīng)解密的例如80字節(jié)的“應(yīng)用數(shù)據(jù)部分”���,并驗(yàn)證當(dāng)前日期是否符合在使用期限制內(nèi)�,以及所設(shè)的應(yīng)用用途是否與實(shí)際用途一致等。若符合條件,則對(duì)經(jīng)解密的發(fā)證簽名進(jìn)行常規(guī)的發(fā)證簽名驗(yàn)證���。否則若不符合條件�����,則直接認(rèn)為數(shù)字憑證無效。從而有效地防止了數(shù)字憑證流出后被冒用和濫用���。
[0043]注意����,盡管為使解釋簡單化將方法圖示并描述為一系列動(dòng)作�����,但是應(yīng)理解并領(lǐng)會(huì)�����,這些方法不受動(dòng)作的次序所限����,因?yàn)楦鶕?jù)一個(gè)或多個(gè)實(shí)施例,一些動(dòng)作可按不同次序發(fā)生和/或與來自本文中圖示和描述或本文中未圖示和描述但本領(lǐng)域技術(shù)人員可以理解的其他動(dòng)作并發(fā)地發(fā)生�����。例如����,圖7中也可以先執(zhí)行對(duì)發(fā)證簽名和應(yīng)用數(shù)據(jù)部分的加密,再將經(jīng)加密的應(yīng)用數(shù)據(jù)部分附連在經(jīng)加密的發(fā)證簽名之后���。
[0044]通過在常規(guī)數(shù)字憑證中另外設(shè)置應(yīng)用數(shù)據(jù)部分,數(shù)字憑證的持有單位可以為數(shù)字憑證的有效性施加限制�����。另外��,通過對(duì)應(yīng)用數(shù)據(jù)部分和發(fā)證簽名執(zhí)行加密�����,可以防止有人截?cái)鄶?shù)字憑證持有單位所附加的應(yīng)用數(shù)據(jù)部分和應(yīng)用簽名以騙取信任�����。因?yàn)橹挥性谕ㄟ^應(yīng)用簽名的驗(yàn)證之后,才能對(duì)發(fā)證簽名和應(yīng)用數(shù)據(jù)部分進(jìn)行解密����,進(jìn)而執(zhí)行常規(guī)的發(fā)證簽名驗(yàn)證��。如果應(yīng)用數(shù)據(jù)部分和應(yīng)用簽名被截?cái)?����,則必然不能通過應(yīng)用簽名的驗(yàn)證��,從而不能對(duì)發(fā)證簽名進(jìn)行解密���,也就不能通過常規(guī)的發(fā)證簽名驗(yàn)證。由此高度安全地保證了數(shù)字簽名被濫用�。
[0045]提供對(duì)本公開的先前描述是為使得本領(lǐng)域任何技術(shù)人員皆能夠制作或使用本公開。對(duì)本公開的各種修改對(duì)本領(lǐng)域技術(shù)人員來說都將是顯而易見的����,且本文中所定義的普適原理可被應(yīng)用到其他變體而不會(huì)脫離本公開的精神或范圍。由此�,本公開并非旨在被限定于本文中所描述的示例和設(shè)計(jì)����,而是應(yīng)被授予與本文中所公開的原理和新穎性特征相一致的最廣范圍����。
【主權(quán)項(xiàng)】
1.一種用于限制數(shù)字憑證的有效性的方法,所述方法包括: 在所述數(shù)字憑證的文件末尾的發(fā)證簽名之后附連應(yīng)用數(shù)據(jù)部分����,所述應(yīng)用數(shù)據(jù)部分包括應(yīng)用條件字段; 對(duì)所述數(shù)字憑證的本體數(shù)據(jù)部分�、所述發(fā)證簽名和所述應(yīng)用數(shù)據(jù)部分執(zhí)行數(shù)字簽名以獲得應(yīng)用簽名;以及 在所述應(yīng)用數(shù)據(jù)部分之后附連所述應(yīng)用簽名��。
2.如權(quán)利要求1所述的方法����,其特征在于���,還包括: 使用唯一性密鑰對(duì)所述發(fā)證簽名和所述應(yīng)用數(shù)據(jù)部分進(jìn)行加密, 其中所述執(zhí)行數(shù)字簽名是對(duì)所述數(shù)字憑證的所述本體數(shù)據(jù)部分��、以及經(jīng)加密的發(fā)證簽名和應(yīng)用數(shù)據(jù)部分執(zhí)行數(shù)字簽名計(jì)算獲得的����。
3.如權(quán)利要求2所述的方法���,其特征在于,所述數(shù)字憑證的所述本體數(shù)據(jù)部分包括分散因子字段�����,所述方法還包括:使用所述分散因子字段中的分散因子和母密鑰生成所述唯一性密鑰����。
4.如權(quán)利要求1所述的方法����,其特征在于,所述應(yīng)用條件字段包括使用期字段��。
5.一種用于限制數(shù)字憑證的有效性的方法����,所述方法包括: 對(duì)所述數(shù)字憑證的文件末尾的應(yīng)用簽名執(zhí)行驗(yàn)證�����; 若驗(yàn)證成功,則從所述數(shù)字憑證中位于所述應(yīng)用簽名之前的應(yīng)用數(shù)據(jù)部分讀取應(yīng)用條件子段���; 若所述應(yīng)用條件字段不符合預(yù)定條件��,則所述數(shù)字憑證無效;以及若所述應(yīng)用條件字段符合預(yù)定條件��,則對(duì)所述數(shù)字憑證中位于所述應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名執(zhí)行驗(yàn)證����。
6.如權(quán)利要求5所述的方法���,其特征在于�,所述數(shù)字憑證中位于所述發(fā)證簽名之前的本體數(shù)據(jù)部分包括文件長度字段����,所述方法還包括: 從所述文件長度字段讀取所述數(shù)字憑證的文件長度�; 將所讀取文件長度與所述數(shù)字憑證的實(shí)際文件長度進(jìn)行比較; 若不等���,則執(zhí)行所述應(yīng)用簽名驗(yàn)證的步驟���; 若相等,則直接執(zhí)行所述發(fā)證簽名驗(yàn)證的步驟���。
7.如權(quán)利要求5所述的方法�����,其特征在于���,還包括: 若所述應(yīng)用簽名驗(yàn)證成功,則使用唯一性密鑰對(duì)所述數(shù)字憑證中位于所述應(yīng)用簽名之前的應(yīng)用數(shù)據(jù)部分和位于所述應(yīng)用數(shù)據(jù)部分之前的發(fā)證簽名進(jìn)行解密��, 其中����,所述讀取應(yīng)用條件字段是從經(jīng)解密后的應(yīng)用數(shù)據(jù)部分讀取所述應(yīng)用條件字段���,以及所述發(fā)證簽名驗(yàn)證是對(duì)經(jīng)解密的發(fā)證簽名進(jìn)行驗(yàn)證�����。
8.如權(quán)利要求7所述的方法����,其特征在于�,所述數(shù)字憑證的所述本體數(shù)據(jù)部分包括分散因子字段,所述方法還包括:使用所述分散因子字段中的分散因子和母密鑰生成所述唯一性密鑰��。
9.如權(quán)利要求5所述的方法����,其特征在于���,所述應(yīng)用條件字段包括使用期字段��。
10.如權(quán)利要求9所述的方法��,其特征在于�,若當(dāng)前日期不在所述使用期字段的期限內(nèi)�����,則所述數(shù)字憑證無效。
【專利摘要】本發(fā)明提供了一種用于限制數(shù)字憑證的有效性的方法,包括:在該數(shù)字憑證的文件末尾的發(fā)證簽名之后附連應(yīng)用數(shù)據(jù)部分���,該應(yīng)用數(shù)據(jù)部分包括應(yīng)用條件字段���;對(duì)該數(shù)字憑證的本體數(shù)據(jù)部分、該發(fā)證簽名和該應(yīng)用數(shù)據(jù)部分執(zhí)行數(shù)字簽名以獲得應(yīng)用簽名��;以及在該應(yīng)用數(shù)據(jù)部分之后附連該應(yīng)用簽名���。
【IPC分類】H04L29-06, H04L9-32
【公開號(hào)】CN104579663
【申請(qǐng)?zhí)枴緾N201310507583
【發(fā)明人】步彤, 楊小林, 武勇, 劉焱
【申請(qǐng)人】上海中移通信技術(shù)工程有限公司
【公開日】2015年4月29日
【申請(qǐng)日】2013年10月24日