一种新型X509数字证书白名单发布查询验证的方法

摘要

本发明公开了一种X509数字证书白名单发布查询验证的方法，包括：建立由一个串组成的，包括证书部分、签名算法、签名值的证书白名单，上述证书部分包括本次更新时间、下次更新时间、签发者、白名单证书唯一标识(例如序列号)等；可信任证书颁发组织签发证书白名单并发布供用户查询；用户获取白名单的数据，并通过可信任证书颁发组织机构的CA证书对证书白名单进行一次性验证得到白名单证书列表(证书唯一标识的列表)。用户可以根据证书唯一标识来判断用户证书是否在白名单内。本发明采用可信任证书颁发组织机构对数据进行签名的方式来确定安全性，可靠性，用户可以获取到可信任证书颁发组织机构所颁发的CA证书，通过这张证书的公钥对证书白名单的签名进行验签，从而达到确认白名单是否可信的目的。

主权项

一种X509数字证书白名单发布查询验证的方法，其特征在于该方法包括：证书白名单由一个ASN1串组成，包括证书部分，签名算法，签名值；证书部分，包括版本信息，签名认证，签发者，本次更新时间，下次更新时间，白名单证书唯一标识；可信任证书颁发组织使用CA证书所对应的私钥签发证书白名单并发布供用户查询；用户根据可信任证书颁发组织所发布的白名单地址获取白名单的数据，并通过可信任证书颁发组织的CA证书对所有白名单进行一次性验证得到相应的白名单证书唯一标识列表数据；所述的发布是指可信任的证书发布组织在白名单到达下次更新时间后，会根据应用需求，调整白名单证书列表中证书的唯一标识，把需要新添加的证书的唯一标识加入列表，把需要删除的证书唯一标识删除出列表，最后根据编码格式签发出新的白名单，并发布到LDAP或HTTP上，供用户查询；所述的验证是指当用户获取白名单内容后，根据可信任证书颁发组织所颁发的CA证书公钥验签，来验证白名单的签名是否是由可信任证书颁发机构CA证书所签发；当用户需要对用户证书做可信任性进行判断时，首先获取证书的唯一性标识，然后获取并验证白名单，得到白名单中所有证书唯一标识列表，与用户证书唯一标识做对比，从而验证用户证书。