技術領域

本發明一般應用于公開密鑰基礎設施系統（PKI）領域，尤其是涉及一種X509數字證書與證書應用之間的精確化身份認證方法，能夠安全可靠高效的對數字證書進行精確化身份認證。

背景技術

X509是由ITU-T推薦的一個國際標準，X.509定義了一個已經被廣泛接受的PKI基礎，它包括數據格式和通過由證書機構簽發的數字證書來進行分發公鑰的過程。

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。它是由一個由權威機構——CA機構，又稱為證書授權（Certificate?Authority）中心發行的，最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。

證書指紋是用于保護證書完整性的，是將證書的內容采用一定的哈希算法計算得出。用于數字證書的哈希算法一般為SHA1或MD5，兩種算法是單向且不可逆的，也就是說，無法通過哈希之后的數據計算出哈希之前的原文，并且原文數據做過任何一點改動經過哈希值后獲得的數據將完全不同。由此可知，證書指紋是唯一的。

數字簽名具備不可篡改、不可抵賴的特性，使得數字證書替代用戶名和口令方式，越來越多的成為眾多信息系統首選的身份認證方式。

證書吊銷列表CRL：俗稱黑名單，是一個被簽署的列表，它指定了一套證書發布者認為無效的證書。CRL一定是被CA所簽署的，可以使用與簽發證書相同的私鑰，也可以使用專門的CRL簽發私鑰。

傳統上對于數字證書進行身份認證的方式，主要是驗證三個方面，一、驗證數字證書的簽名者信息，二、驗證數字證書的有效期，三、驗證數字證書是否存在于其頒發者所簽發的CRL中。這種身份認證方法僅能滿足一般性的僅限于數字證書本身的場景，但其缺點和局限性也是明顯的：

1)僅能做數字證書合法性認證，無法結合證書應用進行身份認證。這種身份認證方式，僅僅驗證數字證書本身是否合法，一旦和某個證書應用結合起來，將無法解決數字證書在這個證書應用當中的身份認證問題。例如，可以驗證張三的數字證書是合法的，但無法驗證張三的數字證書在某報稅系統（證書應用）中的身份是否合法。

2)證書合法性驗證的效率差。傳統上對于數字證書進行身份認證的方式，對每一張證書都需要驗證是否存在于其頒發者所簽發的CRL中，即首先下載該證書所屬頒發機構簽發的CRL，然后加載，再解析證書的證書序列號，然后在加載的CRL中做匹配，如果存在，則說明此證書已經被注銷，為非法狀態，否則說明該證書合法。隨著CA機構業務量的增大，CRL會越來越大，現在有些CA機構的CRL大小已經有20M。這樣每加載一次CRL再做一次驗證，其耗時會越來越長，效率將越來越低。

在已公布的專利《一種數字證書精確化認證方法、裝置及云認證服務系統》中，提到了一種數字證書精確化認證方法：首先創建白名單數據，建立一條新的白名單數據，將可應用的數字證書序列號和該證書的具體應用系統信息寫入到該條白名單中，根據預先設定的映射規則對數字證書中的信息項進行映射，將映射關系和數據錄入到白名單數據中，最后由各網絡安全服務器根據獲得的白名單列表和黑名單列表進行數字證書認證，僅允許在白名單中列出且未包含在黑名單中的數字證書認證通過。這種數字證書精確化認證方法，也存在一定的缺點與不足：

1)數字證書序列號無法唯一確定數字證書身份，存在安全隱患。盡管有規定：由CA機構發行的數字證書其證書序列號必須唯一。但全國有33家合法CA機構，每家CA機構的發證系統各自運行在其安全內網中，互不聯通；另外每家CA機構用于生成證書序列號的算法也各不相同，所以完全有可能出現兩張不同的數字證書卻擁有相同的證書序列號的情況。一旦這種情況發生，《一種數字證書精確化認證方法、裝置及云認證服務系統》這個專利描述的精確化認證方法就會出現嚴重漏洞，造成安全隱患。