技術領域

本發明涉及數字證書服務領域，尤其涉及一種預簽名響應的生成、驗證方法及裝置。

背景技術

在線證書狀態驗證協議（Online?Certificate?Status?Protocal,OCSP）由PKIX工作組在RFC?2560中提出，用來實現數字證書狀態信息的實時驗證。OCSP是一種請求/響應協議，對每一張待驗證證書的響應中包含證書的狀態信息。由于證書驗證需要對驗證服務響應做數字簽名，需要消耗較多的時間和計算資源，因而使得在線驗證服務端往往成為性能瓶頸。

預簽名是指在OCSP響應器收到服務請求之前預先對待驗證證書的服務響應進行數字簽名。由于預簽名響應是合法的證書狀態驗證響應，攻擊者可以獲取某證書有效時期的預簽名響應，當該證書失效后重放該預簽名響應，欺騙驗證方使之誤判該證書仍然有效，從而通過重放攻擊牟取不法利益。

文獻J.L.,et?al.,Design?and?implementation?of?a?lightweight?online?certificate?validation?service.Telecommunication?Systems,2009.41(3)，通過將哈希鏈信息嵌入預簽名響應提高了預簽名響應的抗重放攻擊能力。缺點在于：無法對高價值高風險的證書提供更高優先級的新鮮性保護，預簽名響應的新鮮性保護等級不可調節。

發明內容

本發明實施例提供了一種預簽名響應的生成、驗證方法及裝置，可以動態控制證書的保護等級，具有較強的抗重放攻擊能力。

在第一方面，本發明實施例提供了一種預簽名響應的生成方法，所述方法包括：

在線證書狀態驗證協議OCSP響應器生成帶有哈希鏈擴展域的預簽名響應、保護等級調整信息及所述保護等級調整信息的簽名，其中，OCSP響應器可以更新所述保護等級調整信息及所述保護等級調整信息的簽名。

OCSP響應器生成當前更新值，所述當前更新值、所述保護等級調整信息及所述保護等級調整信息的簽名組成實時哈希鏈更新信息，并將所述實時哈希鏈更新信息和所述帶有哈希鏈擴展域的預簽名響應回復給驗證方。

在第二方面，本發明實施例提供了一種預簽名響應的驗證方法，所述方法包括：

驗證方由實時哈希鏈更新信息及當前時間計算出哈希鏈末端值。

驗證方將所述哈希鏈末端值與預簽名響應中的哈希鏈末端值進行比較。

在第三方面，本發明實施例提供了一種預簽名響應的生成裝置，所述裝置包括：

生成單元用于根據預簽名策略生成帶有哈希鏈擴展域的預簽名響應、保護等級調整信息及所述保護等級調整信息的簽名，其中，OCSP響應器可以更新所述保護等級調整信息及所述保護等級調整信息的簽名。

回復單元用于生成當前更新值，所述當前更新值、所述保護等級調整信息及所述保護等級調整信息的簽名組成實時哈希鏈更新信息，并將所述實時哈希鏈更新信息和所述帶有哈希鏈擴展域的預簽名響應回復給驗證方。

在第四方面，本發明實施例提供了一種預簽名響應的驗證裝置，所述裝置包括：

計算單元用于根據實時哈希鏈更新信息及當前時間計算出哈希鏈末端值。

比較單元用于將所述哈希鏈末端值與預簽名響應中的哈希鏈末端值進行比較。

OCSP響應器生成帶有實時哈希鏈更新信息的預簽名響應，并對實時哈希鏈更新信息中的保護等級調整信息及其簽名進行動態調整，驗證方即時利用實時哈希鏈更新信息進行重放校驗，可以提高抗重放攻擊能力。

附圖說明

圖1是本發明實施例提供的預簽名響應生成方法流程圖；

圖2是本發明實施例提供的預簽名響應驗證方法流程圖；

圖3是本發明實施例提供的預簽名響應生成裝置示意圖；

圖4是本發明實施例提供的預簽名響應驗證裝置示意圖。

具體實施方式

本發明實施例中，OCSP響應器生成保護等級調整信息及其簽名和具有哈希鏈擴展域的預簽名響應，并對保護等級調整信息進行動態調節，當OCSP響應器接收到來自驗證方的在線證書驗證請求后，計算出當前更新值，組成實時哈希鏈更新信息，將所述實時哈希鏈更新信息與預簽名響應發送給驗證方。驗證方接收到預簽名響應和實時哈希鏈更新信息后，可以即時根據實時哈希鏈更新信息進行重放校驗，從而提高抗重放攻擊能力。

為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明具體實施例作進一步的詳細描述。