本申请是申请日为2015年12月14日的pct国际申请no.pct/us2015/065634在2017年06月06日进入中国国家阶段后对应的题为“基于长持续时间数字证书验证的短持续时间数字证书颁发”的发明专利申请no.201580066378.4的分案申请。
相关申请的交叉引用
本申请要求2014年12月15日提交的题为“基于长持续时间数字证书验证的短持续时间数字证书颁发(short-durationdigitalcertificateissuancebasedonlong-durationdigitalcertificatevalidation)”的共同未决的美国专利中请号14/570,867的优先权,所述申请的全部内容以引用的方式整体并入本文。
背景技术:
证书权威机构通常向客户颁发数字证书,以使这些客户能够与其他实体建立安全通信,并且允许这些其他实体对这些客户进行认证。为了向客户颁发数字证书,证书权威机构可能需要通过检查政府数据库、第三方数据库和服务以及其他客户技术来验证关于客户的信息。如果关于客户的信息可由证书权威机构来验证,那么证书权威机构可向客户生成并颁发数字证书。然而,这种验证技术可能是时间和资源粗放的活动。因此,由于获取这些数字证书所需的费用和时间可能较大,所以对多个数字证书的请求可能是不期望的。
附图说明
将参考附图描述根据本公开的各种实施方案,在附图中:
图1示出可实现各种实施方案的环境的说明性示例;
图2示出根据至少一个实施方案的环境的说明性示例,其中证书权威机构服务的各种部件被共同配置来向客户颁发长持续时间数字证书和短持续时间数字证书;
图3示出根据至少一个实施方案的环境的说明性示例,其中证书权威机构服务在接收到有效的长持续时间数字证书时向客户颁发短持续时间数字证书;
图4示出根据至少一个实施方案的环境的说明性示例,其中用户客户端拒绝从客户服务器接收的长持续时间数字证书;
图5示出根据至少一个实施方案的环境的说明性示例,其中用户客户端能够利用从客户服务器接收的短持续时间数字证书来认证客户服务器;
图6示出根据至少一个实施方案的用于从证书权威机构服务接收长持续时间数字证书和短持续时间数字证书的过程的说明性示例;
图7示出根据至少一个实施方案的用于响应于客户请求颁发长持续时间数字证书而生成并颁发长持续时间数字证书的过程的说明性示例;
图8示出根据至少一个实施方案的用于响应于客户请求而利用长持续时间数字证书来认证客户并且颁发一个或多个短持续时间数字证书的过程的说明性示例;
图9示出根据至少一个实施方案的用于利用数字证书来认证客户服务器的过程的说明性示例;并且
图10示出可实现各种实施方案的环境的说明性示例。
具体实施方式
在以下描述中,将描述各种实施方案。为了解释的目的,阐述了具体的配置和细节,以便提供对实施方案的透彻理解。然而,将对于本领域技术人员明显的是,实施方案可在没有具体细节的情况下实践。此外,可省略或简化众所周知的特征,以便不会模糊所描述的实施方案。
本文描述和提出的技术涉及颁发可用于请求并获取用于服务器认证的短持续时间数字证书的长持续时间证书。在实施方案中,实体(例如,组织的计算装置)与证书权威机构服务诸如通过对服务的一个或多个应用程序接口(api)调用来进行通信,以请求颁发长持续时间数字证书。实体可与证书权威机构服务的客户相关联,其可被配置来向各种客户颁发数字证书,以使得这些各种客户能够与其他实体建立安全的通信信道,并且允许这些其他实体通过使用已颁发的数字证书来认证这些各种客户。长持续时间数字证书可能会被颁发较长的验证期(例如一年或更长),并且可包括可标记为关键的延伸。这种关键延伸可阻止用户客户端(例如,安装在用户计算装置上的浏览器应用)接受此长持续时间数字证书,因为这些用户客户端可能未配置来识别关键延伸或者被配置来拒绝此关键延伸。
一旦证书权威机构服务已验证实体,以确保可向此实体颁发长持续时间数字证书,那么证书权威机构服务可向实体或实体的服务器颁发此长持续时间证书。在接收到长持续时间数字证书时,实体可请求短持续时间数字证书,所述短持续时间数字证书可用于建立与用户客户端的安全通信信道。例如,在实施方案中,证书权威机构服务从实体接收长持续时间数字证书和颁发短持续时间数字证书的请求。证书权威机构服务可核实长持续时间数字证书中指定的信息以认证实体,并且在核实后向此实体颁发短持续时间数字证书。相对于长持续时间数字证书(例如,几天、几个月等),短持续时间数字证书可具有较短的验证期。此外,证书权威机构服务可基于长持续时间数字证书的剩余验证期来确定此验证期。例如,如果长持续时间数字证书的剩余验证期为三个月,那么证书权威机构服务可颁发具有不超过三个月的验证期的短持续时间数字证书。
在实施方案中,一旦实体已从证书权威机构服务获取短持续时间数字证书,那么实体可向用户客户端提供此短持续时间数字证书,以建立安全的通信信道。用户客户端在接收到短持续时间数字证书后,可通过评估短持续时间数字证书来核实实体的身份,并且通过使用从证书权威机构服务获取的公共密钥来核实包括在短持续时间数字证书中的数字签名。这可使得用户客户端能够核实短持续时间数字证书是由证书权威机构服务颁发的,并且因此是有效的。通过利用这种短持续时间数字证书,用户客户端可获取实体的公共密钥,并且利用此公共密钥来对数据进行加密并通过安全通信信道将其发送到实体。
以这种方式,实体可以能够基于先前颁发的长持续时间数字证书从证书权威机构服务获取多个短持续时间数字证书,而不需要在颁发每个短持续时间数字证书之前执行大量验证过程。此外,本文所描述和提出的技术有利于另外的技术优势。例如,因为在一些实施方案中,长持续时间数字证书包括不可识别的和/或导致用户客户端拒绝长持续时间数字证书的延伸,所以可不再需要实体在长持续时间数字证书受损的情况下撤销并请求颁发新的长持续时间数字证书。此外,如果短持续时间数字证书受损,那么实体可撤销此短持续时间数字证书并利用已颁发的长持续时间数字证书来从证书权威机构服务获取新的短持续时间数字证书,而不需要再一次经受整个验证过程。
图1示出可实现各种实施方案的环境100的说明性示例。在环境100中,证书权威机构服务102可提供使证书权威机构服务102的客户能够请求颁发一个或多个数字证书的证书权威机构系统,所述数字证书可证明客户(例如,如数字证书内识别的命名对象)对公共密钥的所有权。这些一个或多个数字证书可允许其他实体诸如用户客户端106(例如,浏览器应用)来核实客户的身份并且与客户建立安全通信信道,由此可进行加密和未加密数据的传输。在实施方案中,证书权威机构服务102接收来自客户的对长持续时间数字证书的请求,所述长持续时间数字证书可在稍后时间用于颁发短持续时间数字证书,只要长持续时间数字证书仍然有效。
证书权威机构服务102在接收到来自客户的颁发长持续时间证书的请求时可执行一个或多个验证过程,以确保客户可被信任并被授权来从证书权威机构服务102获取数字证书。例如,证书权威机构服务102可访问一个或多个政府机构、第三方数据库或任何其他可信信息存储库来评估客户,确保客户是其所声称的客户,并且确保客户已被适当地审查数字证书。如果客户已由证书权威机构服务102适当地审查,那么证书权威机构服务102可向客户颁发长持续时间数字证书,以用于获取较短期短持续时间数字证书。在一些实施方案中,长持续时间数字证书是x.509证书,其可指定数字证书的颁发者、证书的有效期、对象(例如,客户)、对象的公共密钥以及证书权威机构服务102的数字签名。然而,这种长持续时间数字证书可进一步指定可指示长持续时间数字证书仅用于验证目的的关键延伸。这种关键延伸可能不被一些用户客户端106识别,并且因此可能被这些用户客户端106自动拒绝。可替代地,用户客户端106可被配置来拒绝包括此关键延伸的任何数字证书。
一旦客户已从证书权威机构服务102接收到这个长持续时间数字证书,客户就可通过一个或多个客户服务器104向证书权威机构服务102提交请求,以获取一个或多个短持续时间数字证书,所述一个或多个短持续时间数字证书可用于建立与用户客户端106的安全通信信道,并且使得用户客户端106能够认证客户服务器104。对证书权威机构服务102的请求可包括前述长持续时间数字证书。一旦接收到来自一个或多个客户服务器104的请求,证书权威机构服务102就可评估长持续时间数字证书以核实客户的身份,并且确保长持续时间数字证书仍然有效。在实施方案中,可使用对应于长持续时间数字证书内指定的公共密钥的客户专用密钥来对请求进行数字签名,以向证书权威机构服务102确保它正在向证书权威机构服务102最初颁发长持续时间数字证书所针对的同一个实体颁发一个或多个短持续时间数字证书。证书权威机构服务102可使用长持续时间数字证书的公共密钥来核实数字签名。
证书权威机构服务102在核实已提供请求的客户的身份之后,可评估长持续时间数字证书以确定此数字证书的剩余验证期。证书权威机构服务102可利用此信息来建立可在一个或多个短持续时间数字证书内指定的有效期。例如,如果长持续时间数字证书的剩余验证期为三个月,那么证书权威机构服务102可颁发短持续时间数字证书,所述短持续时间数字证书的验证期不超过长持续时间数字证书中所限定的剩余的三个月期限。可替代地,只要期望的验证期不超过所提供的长持续时间数字证书的剩余验证期,客户就可通过请求来指定短持续时间数字证书的期望的验证期。
证书权威机构服务102还可生成短持续时间数字证书以包括在长持续时间数字证书中指定的相同的公共密钥。这可使短持续时间数字证书能够用作长持续时间数字证书的代理,并且使得能够访问用户客户端106或其他实体。例如,长持续时间数字证书可通过诸如智能卡、徽章或其内可存储有长持续时间数字证书的其他装置的物理实现而颁发给客户。客户可通过远程位置处的计算装置向证书权威机构服务102呈现智能卡、徽章或其他装置。至少部分基于智能卡或其他装置内的长持续时间数字证书的分析,可向客户颁发可在较短时期内有效的短持续时间数字证书。这可使客户能够利用这种新颁发的短持续时间数字证书来访问远程位置,这可仅在他/她的时间在此远程位置的过程中有效。在替代实施方案中,短持续时间数字证书还可指定与在长持续时间数字证书内指定的密钥不同的客户密钥。这可使客户能够在不暴露在长持续时间数字证书内指定的客户密钥的情况下,撤销短持续时间数字证书(如果受损)。
一旦客户通过一个或多个客户服务器104已从证书权威机构服务102接收到一个或多个短持续时间数字证书,客户服务器104现在就可将数据连同所接收到的一个或多个短持续时间数字证书一起向一个或多个用户客户端106发送。用户客户端106可从证书权威机构服务102获取可用于核实在一个或多个短持续时间数字证书内指定的证书权威机构服务102的数字签名的密钥对的公共密钥。如果证书权威机构服务102的数字签名被核实为可信的,那么用户客户端106可确定一个或多个短持续时间数字证书是有效的,并且因此使用它们来核实一个或多个客户服务器104的身份,并且如果经核实,就利用在短持续时间数字证书中指定的客户的公共密钥。例如,如果客户服务器104用于向用户客户端106发送数字签名(例如,利用客户的专用密钥)数据,那么用户客户端106可利用如在短持续时间数字证书内指定的客户的公共密钥,以核实客户的数字签名并确定发送的数据是否有效。因此,可利用用户客户端106来安全地向客户服务器104发送信息。
如上所述,客户可与证书权威机构服务通信,以请求颁发长持续时间数字证书,所述长持续时间数字证书可用于在获取短持续时间数字证书中的验证目的。此外,客户可通过一个或多个客户服务器从证书权威机构服务请求这些短持续时间数字证书,这些短持续时间数字证书可随后用于使用户客户端能够认证一个或多个客户服务器。对这些短持续时间数字证书的请求可包括长持续时间数字证书,证书权威机构服务可利用所述长持续时间数字证书来认证客户。因此,图2示出根据至少一个实施方案的环境200的说明性示例,其中证书权威机构服务202的各种部件被共同配置来向客户212颁发长持续时间数字证书和短持续时间数字证书。
证书权威机构服务202可向客户212提供可使得这些客户212能够访问证书权威机构服务202的接口204。客户212可通过一个或多个通信网络(诸如互联网)利用接口204。接口204可包括某些安全保护以确保客户212有授权访问证书权威机构服务202。例如,为了访问证书权威机构服务202,客户在使用接口204时可能需要提供用户名和对应的密码或密钥。此外,提交给接口204的请求(例如,api调用)可能需要使用密钥生成的电子签名,以使得电子签名可由证书权威机构服务202(诸如由授权系统(未示出))核实。
通过接口204,客户212可能够向一个或多个客户212服务器提交颁发长持续时间数字证书的请求。如上所述,长持续时间数字证书可在稍后时间加以利用,以使得证书权威机构服务202认证客户212并向客户212服务器颁发短持续时间数字证书。对颁发长持续时间数字证书的请求可包括关于客户212的信息,例如客户212的姓名、地址、收入信息等。此外,通过接口204,客户212可被允许指定长持续时间数字证书的验证期,所述验证期可随后在长持续时间数字证书内指定。
一旦证书权威机构服务202已接收到客户212颁发长持续时间数字证书的请求,接口204就可将此请求发送到管理子系统206,所述管理子系统206可被配置来处理请求并确定客户212是否可被颁发长持续时间数字证书。例如,管理子系统206可被配置来访问政府机构数据库和其他第三方数据库,以至少部分基于随请求提供的客户212信息来确定客户212是否可被颁发长持续时间数字证书。例如,如果管理子系统206至少部分基于在第三方数据库内指定的信息来确定客户212无法被信任,那么管理子系统206就可拒绝客户212对长持续时间数字证书的请求。如果管理子系统206确定客户212可被颁发长持续时间数字证书,那么管理子系统206就可将客户212的信息存储在客户档案存储库210内。此外,管理子系统206可访问证书数据存储区208以获取可用于生成长持续时间数字证书的证书模板。例如,管理子系统206可从证书数据存储区208获取x.509数字证书模板,并利用此模板来为客户212生成长持续时间x.509数字证书。管理子系统206通过接口204可向客户212提供新生成的长持续时间数字证书。
在实施方案中,管理子系统206在长持续时间数字证书内指定可能不由用户客户端识别或者可能由用户客户端拒绝的关键延伸。例如,关键延伸可以是可向用户客户端发送数字证书可能不被用来认证客户212的信号的“仅验证”延伸。这种关键延伸可包括关于被执行来认证客户212的一个或多个验证的信息,诸如执行验证的日期、用于客户212验证的标准或要求、和/或证书权威机构服务202执行验证针对的客户212的标识符。
在稍后时间,客户212可通过一个或多个客户212服务器再次访问接口204以请求创建一个或多个短持续时间数字证书,所述短持续时间数字证书可用于建立与用户客户端的安全通信信道并且使用户客户端能够认证客户212。请求可包括先前颁发给客户212的长持续时间数字证书。此外,在一些实施方案中,请求可由客户212使用客户212的专用密钥来进行数字签名,所述专用密钥可对应于在原始长持续时间数字证书内指定的公共密钥。在接收到请求时,管理子系统206可评估长持续时间数字证书以确定长持续时间数字证书的剩余验证期。例如,长持续时间数字证书可包括指定长持续时间数字证书的起始日期和到期日期的有效期字段。管理子系统206可能够至少部分基于指定的到期日期来计算长持续时间数字证书的剩余验证期。
此外,如果请求已由客户212数字签名,那么管理子系统206可访问客户档案存储库210以获取对应于此特定客户212的密钥,所述密钥可用于核实随请求包括的数字签名并且确保所接收的请求是有效的。如果管理子系统206至少部分基于长持续时间数字证书内指定的信息来确定客户212是它所声称的,那么管理子系统206可访问证书数据存储区208以获取可用于生成所请求的一个或多个短持续时间数字证书的数字证书模板。一个或多个短持续时间数字证书可类似于长持续时间数字证书,除了某些指定信息之外。例如,短持续时间数字证书可指定小于或等于长持续时间数字证书的剩余验证期的有效期。例如,如果长持续时间数字证书的剩余验证期为三个月,那么管理子系统206可在短持续时间数字证书内指定短持续时间数字证书的有效期是小于或等于三个月的任何值。短持续时间数字证书的期满日期可因此与长持续时间数字证书的期满日期相符,或者早于长持续时间数字证书的期满日期。
此外,短持续时间数字证书可不包括长持续时间数字证书中指定的关键延伸。这可使得用户客户端能够利用短持续时间数字证书来认证客户212,并且使得用户客户端能够与客户212安全通信。在一些实施方案中,管理子系统206可生成短持续时间数字证书,所述短持续时间数字证书指定对在原始长持续时间数字证书内所指定的密钥的替代客户212密钥。这可有助于降低长持续时间数字证书以及因此原始客户212密钥由于短持续时间数字证书违规而受损的可能性。
一旦管理子系统206已响应于客户212请求而生成一个或多个短持续时间数字证书,那么管理子系统206可访问客户档案存储库210内的客户212的档案,以指定所颁发的短持续时间数字证书的数量、对应的客户212密钥以及在稍后时间可用于代表客户212生成数字证书的任何其他信息。管理子系统206通过接口204可向客户212颁发这些短持续时间数字证书,所述客户212可向用户客户端提供这些短持续时间数字证书,以使得这些用户客户端能够认证客户212并通过安全的通信信道将数据安全地发送给客户212。此外,这些短持续时间数字证书可使得客户212能够对他/她的数据进行数字签名并且对将要发送给用户客户端的数据进行加密。
如上所述,客户可将包括先前颁发的长持续时间数字证书的请求发送到证书权威机构服务,以获取一个或多个短持续时间数字证书,所述一个或多个短持续时间数字证书可发送给用户客户端以使得这些用户客户端可利用短持续时间数字证书来认证客户。因此,图3示出根据至少一个实施方案的环境300的说明性示例,其中证书权威机构服务304在接收到有效的长持续时间数字证书306时向客户302颁发短持续时间数字证书308。在环境300中,作为对证书权威机构服务304的请求颁发一个或多个短持续时间数字证书308的一部分,客户302可将先前由证书权威机构服务304颁发的长持续时间数字证书306提供给客户302。如上所述,长持续时间数字证书306可指定有效期,所述有效期可包括起始日期(例如,如图3所示的“不早于”字段)和期满日期(例如,如图3所示的“不晚于”字段)。此有效期可限定长持续时间数字证书306有效的持续时间。此外,此有效期可使证书权威机构服务304能够确定长持续时间数字证书306的剩余验证期。例如,证书权威机构服务304可利用期满日期以及当前日期和时间来计算长持续时间数字证书306的剩余验证期。
长持续时间数字证书306还可包括关键延伸,所述关键延伸可用于阻止用户客户端使用长持续时间数字证书306来认证客户302。例如,如图3所示,长持续时间数字证书306可指定具有标识符“仅验证类型-1.01”的延伸。此特定延伸可被标记为关键的,这意味着如果用户客户端不识别关键延伸,那么用户客户端必须拒绝长持续时间数字证书306。此外,在用户客户端被更新以识别此关键延伸时,用户客户端可被配置来不接受包括此关键延伸的任何长持续时间数字证书306。因此,客户302可能不能够仅仅利用此长持续时间数字证书306来向用户客户端断言其身份。
如上所述,当客户302向证书权威机构服务304提交请求以获取一个或多个短持续时间数字证书308时,客户302可向证书权威机构服务304提供先前颁发的长持续时间数字证书306。证书权威机构服务304可评估长持续时间数字证书306以确保长持续时间数字证书306仍然有效。此外,证书权威机构服务304可评估一个或多个主题字段(未示出)以核实客户302是它所声称的。例如,一个或多个主题字段可指定客户302的给定姓名和姓氏,客户302的组织名称和/或单位,组织可能位于的州、省和国家,客户302或者其他实体的公共名称(例如,url)等。在实施方案中,客户302利用包括在长持续时间数字证书306内的密钥来对至证书权威机构服务304的请求进行数字签名,以便向证书权威机构服务304确保:短持续时间数字证书308将要被颁发给被颁发长持续时间数字证书306的同一客户302。
一旦证书权威机构服务304已通过使用长持续时间数字证书306对客户302进行认证,证书权威机构服务304就可生成一个或多个短持续时间数字证书308并将其颁发给客户302。这些一个或多个短持续时间数字证书308可类似于长持续时间数字证书306,除了少数替代条目之外。例如,如图3所示,短持续时间数字证书308的有效期短于长持续时间数字证书306内指定的有效期。例如,证书权威机构服务304可指定等于生成短持续时间数字证书308的日期的起始日期。可替代地,短持续时间数字证书308的起始日期可被定义为从向客户302颁发短持续时间数字证书308之日起并且在长持续时间数字证书306内指定的期满日期之前的稍后日期。
在实施方案中,短持续时间数字证书308被生成为包括特定于客户302或者在长持续时间数字证书306的相同主题字段内指定的其他实体的至少一个主题字段。例如,短持续时间数字证书308可指定与长持续时间数字证书306内所指定的相同的组织名称、组织位置(例如,州、省、国家)和公共名称(例如,url)。在一些实施方案中,短持续时间数字证书308还可包括未在长持续时间数字证书306内指定的附加主题字段。例如,短持续时间数字证书308可通过这些附加主题字段中的一个或多个来指定与已生成短持续时间数字证书308针对的用户302相关联的被委托实体的身份。此外,包括在短持续时间数字证书308内的一个或多个附加主题字段可指定其中可利用短持续时间数字证书308的第二位置(例如,州、省、国家)。
可通过证书权威机构服务304至少部分基于在长持续时间数字证书306和/或客户302请求内所指定的期满日期来限定短持续时间数字证书308的期满日期。例如,如图3所示,在短持续时间数字证书308内指定的期满日期早于在长持续时间数字证书306内指定的期满数据。短持续时间数字证书308的有效期可由证书权威机构服务304或者由客户302通过请求来限定,只要短持续时间数字证书308的有效期不超过长持续时间数字证书306的剩余的验证期。
短持续时间数字证书308可不包括长持续时间数字证书306内所包括的关键延伸,所述关键延伸防止用户客户端使用数字证书。例如,如图3所示,短持续时间数字证书308不包括延伸“仅验证类型-1.01”。相反,在短持续时间数字证书308内指定的延伸可使得用户客户端能够利用短持续时间数字证书308来认证客户302并且用于其他目的(例如,数据验证、数据解密等)。当短持续时间数字证书308期满时,客户302可再次向证书权威机构服务304提交请求连同长持续时间数字证书306,以获取新的短持续时间数字证书306。
如上所述,由证书权威机构服务颁发给客户的长持续时间数字证书可不用来核实客户对他的/她的身份的断言的真实性。例如,长持续时间数字证书可包括可能不由一个或多个用户客户端识别的关键延伸,或者可向这些一个或多个用户客户端指示长持续时间数字证书可能不被接受用于客户认证。因此,图4示出根据至少一个实施方案的环境400的说明性示例,其中用户客户端404拒绝从客户服务器402接收的长持续时间数字证书406。
长持续时间数字证书406可包括常规数字证书中所包括的许多类似字段。例如,长持续时间数字证书406可指定证书的有效期、长持续时间数字证书406被颁发给的客户、客户密钥以及可用来核实长持续时间数字证书406有效的证书权威机构服务数字签名。然而,长持续时间数字证书406可包括一个或多个关键延伸,其可用于指定长持续时间数字证书406仅用于验证。例如,如图4所示,长持续时间数字证书406可指定具有标识符“仅验证类型-1.01”的延伸。此特定延伸可被标记为关键的,这意味着如果用户客户端404不识别关键延伸,那么用户客户端404必须拒绝长持续时间数字证书406。此外,在用户客户端404被更新以识别此关键延伸时,用户客户端404可被配置来不接受包括此关键延伸的任何长持续时间数字证书406。
如果用户客户端404从客户服务器402接收到此长持续时间数字证书406,那么用户客户端404可丢弃从客户服务器402接收的数据,并且终止与客户服务器402的通信信道。因此,客户仅可被允许利用长持续时间数字证书406为了结合证书权威机构服务的验证目的。此外,这可限制长持续时间数字证书406暴露于广泛受众,从而可降低长持续时间数字证书406以及因此客户的公共密钥可能受损的风险。
如上所述,客户可通过一个或多个客户服务器从证书权威机构服务请求一个或多个短持续时间数字证书。请求可包括长持续时间数字证书,其可使证书权威机构服务能够认证客户并利用长持续时间数字证书中所指定的信息来限定将要颁发给客户的一个或多个短持续时间数字证书的有效期。这些一个或多个短持续时间数字证书可由客户用来向用户客户端断言他/她的身份,并且使用户客户端能够认证客户。因此,图5示出根据至少一个实施方案的环境500的说明性示例,其中用户客户端504能够利用从客户服务器502接收的短持续时间数字证书506来认证客户服务器502。用户客户端504和客户服务器502可类似于图4所示的用户客户端和客户服务器。
在环境500中,客户服务器502可向用户客户端504发送数据和短持续时间数字证书506。用户客户端504可以是用户可与之进行交互以访问客户服务器502的浏览器应用。当用户客户端504发起与客户服务器502的通信时,客户服务器502可通过向用户客户端504提供某些数据和短持续时间数字证书506来进行响应。短持续时间数字证书506可指定客户的身份、短持续时间数字证书506的有效期、客户公共密钥以及向客户服务器502颁发短持续时间数字证书的证书权威机构服务的数字签名。除了此信息之外,短持续时间数字证书506可指定一个或多个延伸,其可用于指定短持续时间数字证书506可用于特定目的。例如,如图5所示,短持续时间数字证书506可包括“基本约束”延伸,其可用于限制证书链的路径长度。虽然为了说明的目的在整个本公开中广泛使用“基本约束”延伸,但是可在短持续时间数字证书506内指定附加和/或替代延伸。
然而,与图4所示的长持续时间数字证书相比,短持续时间数字证书506可不指定关键的“仅验证”延伸,诸如图4所示的长持续时间数字证书内所指定的“仅验证类型-1.01”延伸。因此,短持续时间数字证书506可由用户客户端504识别,并且使用户客户端504能够利用短持续时间数字证书506来认证客户服务器502,并且通过使用证书权威机构服务的公共密钥来验证在短持续时间数字证书506内指定的证书权威机构服务数字签名。因此,如果用户客户端504能够认证客户服务器502并且核实短持续时间数字证书506有效,那么用户客户端504可参与通过安全通信信道与客户服务器502进一步通信。
如上所述,客户可向证书权威机构服务提交请求,以请求颁发长持续时间数字证书,所述长持续时间数字证书可仅用于客户与证书权威机构服务之间的验证目的。此外,一旦已向客户颁发长持续时间数字证书,客户就可向证书权威机构服务提交对于颁发一个或多个短持续时间数字证书的新的请求,所述一个或多个短持续时间数字证书可由用户客户端用来认证客户,并且使得能够进行客户与这些用户客户端之间的安全通信。颁发一个或多个短持续时间数字证书的新请求可包括上述长持续时间数字证书,证书权威机构服务可利用长持续时间数字证书来认证客户并且获取限定短持续时间数字证书的参数所需的信息。因此,图6示出根据至少一个实施方案的用于从证书权威机构服务接收长持续时间数字证书和短持续时间数字证书的过程600的说明性示例。过程600可由客户通过一个或多个客户服务器来执行,所述一个或多个客户服务器可被配置来实现客户与证书权威机构服务之间的通信。
为了使客户获取长持续时间数字证书,可能需要客户向证书权威机构服务提供某些信息,证书权威机构服务可利用所述信息来将客户正确地审查为可委托长持续时间数字证书的可信任的实体。例如,证书权威机构服务可访问由政府机构、受信任的第三方数据库和其他可信信息存储库维护的一个或多个数据库,以确定客户是否可信任。因此,可能需要客户满足602一个或多个证书权威机构服务验证要求,以便获取长持续时间证书。
如果客户能够满足证书权威机构服务验证要求,那么证书权威机构服务可生成长持续时间数字证书。这种长持续时间数字证书可指定长的有效期(例如,一年或更长)以及特定的关键延伸,其可指定长持续时间数字证书仅可用于通过证书权威机构服务的验证目的。因此,长持续时间数字证书可不由被配置来识别此特定关键延伸的用户客户端所接受。可替代地,关键延伸可不由用户客户端识别,这可导致用户客户端拒绝长持续时间数字证书。长持续时间数字证书的有效期可由证书权威机构服务或者客户通过他/她至服务的请求来限定。在产生长持续时间数字证书的情况下,证书权威机构服务可向客户颁发长持续时间数字证书以供使用。因此,客户可从证书权威机构服务接收604长持续时间数字证书。
在已从证书权威机构服务接收到长持续时间数字证书之后的任何时间处,客户可向证书权威机构服务提交606请求,以便颁发一个或多个短持续时间数字证书,所述一个或多个短持续时间数字证书当与一个或多个用户客户端通信时可用于认证目的。请求可包括上述长持续时间数字证书,证书权威机构服务可利用它来核实客户的身份,并且确保客户被授权来获取所请求的一个或多个短持续时间数字证书。在实施方案中,提交给证书权威机构服务的请求由客户通过利用对应于长持续时间数字证书内所指定的公共密钥的客户的专用密钥来进行数字签名。证书权威机构服务可使用长持续时间证书的公共钥来核实数字签名。这使得证书权威机构服务能够确保短持续时间数字证书将被颁发给先前被颁发长持续时间数字证书的同一个实体。
一旦证书权威机构服务已通过使用长持续时间数字证书验证客户,证书权威机构服务就可生成可颁发给客户的一个或多个短持续时间数字证书。这些短持续时间数字证书的持续时间或有效期可比长持续时间数字证书更短。例如,证书权威机构服务可至少部分基于长持续时间数字证书的剩余验证期来限定短持续时间数字证书的有效期。可替代地,只要有效期小于或等于长持续时间数字证书的剩余验证期,客户就可请求这些短持续时间数字证书的特定有效期。这可阻止证书权威机构服务颁发短持续时间数字证书,所述短持续时间数字证书的期满日期比长持续时间数字证书的期满日期更晚。短持续时间数字证书也可省略长持续时间数字证书内所指定的关键延伸。这可使这些短持续时间数字证书能够由用户客户端用来认证客户。一旦已产生短持续时间数字证书,客户就可从证书权威机构服务接收608这些短持续时间数字证书。
一旦客户已从证书权威机构服务接收到一个或多个短持续时间数字证书,客户就可利用610这些一个或多个短持续时间数字证书以用于认证目的。例如,客户的客户服务器可向用户客户端提供短持续时间数字证书的副本,以使得例如用户客户端能够确定它们正在与被授权来代表在短持续时间数字证书内所指定的域名来进行操作的服务器进行通信。短持续时间数字证书可包括证书权威机构服务数字签名,其可由用户客户端通过使用从证书权威机构服务获取并由例如用户客户端维护在用于受信任的证书的数据存储位置中的公共密钥来验证。如果数字签名被验证,那么用户客户端可确定短持续时间数字证书是可信的,并且可用于确保客户是它所声称的。
如上所述,证书权威机构服务可接收来自客户的请求以便颁发长持续时间数字证书。这种长持续时间数字证书可用于客户与证书权威机构服务之间的验证目的。例如,长持续时间数字证书可指定可能导致用户客户端拒绝数字证书(如果由客户或任何其他实体提供给用户客户端)的关键延伸。然而,证书权威机构服务可利用此长持续时间数字证书来验证客户并颁发可在请求时用于认证的短持续时间数字证书。因此,图7示出根据至少一个实施方案的用于响应于客户请求颁发长持续时间数字证书而生成并颁发长持续时间数字证书的过程700的说明性示例。过程700可由前述证书权威机构服务来执行,所述证书权威机构服务可被配置来从客户接收请求并与其他实体进行通信,以便确定客户是否可被委托长持续时间数字证书。此外,证书权威机构服务可被配置来至少部分基于客户的请求和已知的数字证书格式和标准来生成这些长期数字证书。
客户可与证书权威机构服务通信以请求颁发长持续时间数字证书,所述长持续时间数字证书可用于客户与证书权威机构服务之间的验证目的。客户可操作一个或多个服务器,所述服务器可用于在业务过程中与各种用户客户端进行通信。为了使这些一个或多个服务器由这些用户客户端认证并且实现这些一个或多个服务器与用户客户端之间的安全通信,客户可能需要获取一个或多个数字证书,以便向这些用户客户端确保:客户是它所声称的。如上所述,长持续时间数字证书将要用于验证目的。此外,可能需要这种长持续时间数字证书,以便获取可由用户客户端用于服务器认证的短持续时间数字证书。因此,证书权威机构服务可从客户接收702颁发长持续时间数字证书的请求。
来自客户的请求可包括关于客户的业务操作的信息。例如,客户可向证书权威机构服务提供其名称、地址、电子邮件地址、统一资源定位符(url)、财务记录等,以供审核。此信息可能是必要的,以确定客户是否可被委托一个或多个长持续时间数字证书。因此,证书权威机构服务可确定704它是否已从客户接收到必要的信息来执行用于审查客户的彻底的验证过程。如果客户没有提供如由证书权威机构服务所需的此必要信息,那么证书权威机构服务可拒绝706客户的颁发长持续时间数字证书的请求。
如果客户已向证书权威机构服务提供验证客户所需的必要信息,那么证书权威机构服务可执行708一个或多个实体和域验证过程来核实并验证请求者(例如客户)。例如,在一些实施方案中,证书权威机构服务可将一个或多个电子邮件(e-mail)消息发送到已知为对客户的域管理负责的地址。例如,证书权威机构服务可利用“whois”查询来识别客户域,并且将认证链接发送到客户的“whois”条目中所包括的指定联系人地址。此外或可替代地,证书权威机构服务可访问各种政府机构数据库和其他第三方数据库,以至少部分基于所提供的信息来确定客户是否可被委托长持续时间数字证书。
一旦证书权威机构服务已执行实体和域验证过程,证书权威机构服务就可确定710是否已满足这些过程。例如,如果证书权威机构服务基于对政府机构数据库和其他第三方数据库内所指定的客户信息的分析来确定客户可能不被委托长持续时间数字证书,那么证书权威机构服务可拒绝706客户的请求。然而,如果验证过程已满足,那么证书权威机构服务可生成712长持续时间数字证书,其可用于证书权威机构服务与客户之间的验证目的。
长持续时间数字证书可指定数字证书的颁发者、证书的有效期、对象(例如,客户)、对象的公共密钥以及证书权威机构服务的数字签名。长持续时间数字证书可进一步指定可指示长持续时间数字证书仅用于验证目的的关键延伸。这种关键延伸可能不被一些用户客户端识别,并且因此可能被这些用户客户端自动拒绝。可替代地,用户客户端可被配置来拒绝包括此关键延伸的任何数字证书。一旦证书权威机构服务已生成此长持续时间数字证书,证书权威机构服务就可向客户颁发714此证书。因此,客户现在可利用此长持续时间数字证书以用于验证目的,并且作为获取用于与一个或多个用户客户端通信的短持续时间数字证书的请求的一部分。
如上所述,证书权威机构服务可接收来自客户的请求,以便颁发一个或多个短持续时间数字证书。与先前颁发的长持续时间数字证书相反,这些一个或多个短持续时间数字证书可由用户客户端用于认证客户并且实现客户与这些用户客户端之间的安全通信。来自客户的请求可包括先前颁发的长持续时间数字证书,其可由证书权威机构服务用于验证客户并且获取生成所请求的短持续时间数字证书所需的信息。因此,图8示出根据至少一个实施方案的用于响应于客户请求而利用长持续时间数字证书来认证客户并且颁发一个或多个短持续时间数字证书的过程800的说明性示例。
类似于上述过程700,客户可与证书权威机构服务通信以请求颁发短持续时间数字证书,所述短持续时间数字证书可由客户提供给用户客户端,以使得这些用户客户端能够认证客户并且将安全通信发送给客户。请求可包括先前由证书机构服务颁发给客户的并且仅可用于客户与证书权威机构服务之间的验证目的的长持续时间数字证书。在一些实施方案中,可使用包括在长持续时间数字证书内的客户专用密钥来对颁发短持续时间数字证书的请求进行数字签名,以便向证书权威机构服务确保:短持续时间数字证书将被颁发给客户。证书权威机构服务可使用长持续时间数字证书的公共密钥来核实数字签名。因此,证书权威机构服务可接收802颁发一个或多个短持续时间数字证书的请求。
一旦证书权威机构服务已从客户接收到颁发一个或多个短持续时间数字证书的请求,证书权威机构服务就可检查804长持续时间数字证书内所包括的信息,以确定806证书是否有效。例如,证书权威机构服务可评估长持续时间数字证书内的主题字段,以确定提交请求的实体是否与长持续时间数字证书内所指定的主题相匹配。此外,证书权威机构服务可通过利用所包括的证书权威机构服务数字签名来确定证书的有效性来确定长持续时间数字证书是否已被篡改。如果证书权威机构服务确定长持续时间数字证书无效,那么证书权威机构服务可拒绝808客户的颁发短持续时间数字证书的请求。
在实施方案中,长持续时间数字证书可通过与被配置来向客户颁发短持续时间数字证书的证书权威机构服务不同的证书权威机构服务来颁发。长持续时间数字证书可包括对应于此不同的证书权威机构服务的证书权威机构服务数字签名。因此,证书权威机构服务可首先确定其是否具有来自此不同的证书权威机构服务的公共密钥,并且如果具有,就利用此公共密钥来核实长持续时间数字证书内所指定的数字签名,并且验证长持续时间数字证书。如果长持续时间数字证书有效,那么证书权威机构服务可继续检查长持续时间数字证书,以确定它是否可向客户颁发所请求的短持续时间数字证书。
如果证书权威机构服务确定长持续时间数字证书确实有效,那么证书权威机构服务可确定810长持续时间数字证书是否仍具有用于颁发短持续时间数字证书的足够的剩余验证期。例如,证书权威机构服务可能要求长持续时间数字证书必须具有大于三个月的剩余验证期,以便证书权威机构服务基于长持续时间数字证书来颁发任何短持续时间数字证书。类似地,证书权威机构服务可被配置来仅颁发具有特定有效期的短持续时间数字证书。如果此特定有效期超过长持续时间数字证书的剩余验证期,那么可不允许证书权威机构服务产生所请求的一个或多个短持续时间数字证书。因此,如果证书权威机构服务确定长持续时间数字证书没有足够的剩余验证期,那么证书权威机构服务可拒绝808客户的请求。
一旦证书权威机构服务已确定长持续时间数字证书具有足够的剩余验证期以用于颁发所请求的一个或多个短持续时间数字证书,那么证书权威机构服务可确定812将要颁发的短持续时间数字证书的有效期。如上所述,证书权威机构服务可被配置来生成具有设定有效期的短持续时间数字证书。因此,这些短持续时间数字证书可指定此特定有效期。在其他实施方案中,客户可通过请求指定短持续时间数字证书的期望有效期。如果期望的有效期不超过长持续时间数字证书的剩余验证期,那么证书权威机构服务可利用此期望的有效期来计算所请求的一个或多个短持续时间数字证书的起始日期和期满日期。
证书权威机构服务可利用短持续时间数字证书的所确定的有效期和从长持续时间数字证书获取的信息来生成一个或多个短持续时间数字证书。随后,证书权威机构服务可响应于他/她的请求向客户颁发814一个或多个短持续时间数字证书。这可使客户能够向各种用户客户端提供这些一个或多个短持续时间数字证书,以使得这些用户客户端能够认证客户并与客户安全地通信。
如上所述,长持续时间数字证书可包括可能不被用户客户端识别的关键延伸,或者在检测和识别此延伸时可能导致用户客户端不接受长持续时间数字证书。因此,如果客户向用户客户端提供长持续时间数字证书,那么用户客户端可能无法认证客户,并且因此不会与客户进一步通信。因此,图9示出根据至少一个实施方案的用于利用数字证书来认证客户服务器的过程900的说明性示例。过程900可由任何用户客户端执行,诸如安装在用户的计算装置上的浏览器应用。
当用户客户端与客户服务器建立通信信道时,客户服务器可向用户客户端发送一个或多个数字证书,以建立客户服务器的身份。这些数字证书可包括各种字段,所述字段可用于确定客户服务器是否是它所声称的。例如,数字证书可包括主题字段,其可指定客户的姓名、地址和域以及相关联的客户服务器。此外,数字证书可包括证书权威机构服务数字签名,用户客户端可使用所述证书权威机构服务数字签名来核实数字证书是由可信的证书权威机构服务所颁发,并且数字证书是有效的。此外,数字证书可包括各种延伸,其可指定应如何由用户客户端来处理数字证书。因此,在建立与客户服务器的通信时,用户客户端可从此客户服务器接收902数字证书,并且可进一步识别904数字证书内所指定的任何延伸。
如上所述,长持续时间数字证书可包括可指定长持续时间数字证书仅可用于客户服务器与颁发证书权威机构服务之间的验证目的的关键延伸。此关键延伸可能无法由某些用户客户端识别,并且因此可能导致这些用户客户端拒绝长持续时间数字证书。可替代地,在一些实施方案中,用户客户端可被配置来识别此关键延伸,并且因此不接受来自客户服务器的长持续时间数字证书。因此,用户客户端可确定906接收到的数字证书是否包括此“仅验证”关键延伸。如果数字证书包括此关键延伸,那么用户客户端可终止908用户客户端与客户之间的通信信道,因为用户客户端可能无法认证客户。然而,如果关键延伸不存在,那么用户客户端可继续910处理数字证书以认证客户服务器。
图10示出根据各种实施方案的用于实现各方面的示例性环境1000的各方面。应当理解,尽管为了解释的目的使用基于web的环境,但是适当地可使用不同的环境来实现各种实施方案。所述环境包括电子客户端装置1002,其可包括可操作来通过适当的网络1004发送和/或接收请求、消息或信息的任何适当的装置,并且在一些实施方案中,将信息传送回装置的用户。这类客户端装置的示例包括个人计算机、蜂窝电话、手持消息传送装置、膝上型计算机、平板计算机、机顶盒、个人数据助理、嵌入式计算机系统、电子书阅读器等。网络可包括任何合适的网络,包括内联网、互联网、蜂窝网络、局域网、卫星网络或任何其他这种网络和/或其组合。用于这种系统的部件可至少部分取决于所选择的网络和/或环境的类型。用于通过这种网络进行通信的协议和部件是众所周知的,并且本文将不再详细论述。通过网络的通信可通过有线或无线连接及其组合来实现。在此示例中,网络包括互联网,因为环境包括用于接收请求并且响应于所述请求而提供内容的web服务器1006,但是对于其他网络来说,可使用服务类似目的替代装置,如本领域普通技术人员所明白的。
说明性环境包括至少一个应用服务器1008和数据存储区1010。应当理解,可存在可被链接或以其他方式配置的若干应用服务器、层或其他元件、过程或部件,其可交互以执行任务,诸如从适当的数据存储区获取数据。如本文所使用的,可以各种方式来实现服务器,诸如硬件装置或虚拟计算机系统。在一些上下文中,服务器可指正在计算机系统上执行的编程模块。如本文所使用的,除非另行指出或从上下文中明确可知,否则术语“数据存储区”是指能够存储、访问和检索数据的任意装置或装置组合,所述装置或装置组合可包括任意标准、分布式、虚拟或集群式环境中的任意组合和任意数目的数据服务器、数据库、数据存储装置和数据存储介质。应用服务器可包括任何适当硬件、软件和固件,所述硬件、软件和固件视执行客户端装置的一个或多个应用的各方面的需要而与数据存储区集成、处理应用的一些或所有数据访问和业务逻辑。应用服务器可提供与数据存储区协作的访问控制服务,并且能够生成可用于提供给用户的内容,所述内容包括但不限于文本、图片、音频、视频和/或其他内容,所述内容可以超文本标记语言(“html”)、可扩展标记语言(“xml”)、javascript、层叠样式表(“css”)或另一种适当客户端侧结构化语言的形式由web服务器提供给用户。传送给客户端装置的内容可由客户端装置处理,以便提供呈一种或多种形式的内容,所述形式包括但不限于用户可通过听觉、视觉和/或通过其他感觉(包括触觉、味觉和/或嗅觉)来感知的形式。全部请求和响应的处理以及客户端装置1002与应用服务器1008之间的内容递送可由web服务器使用以下php来处理:在这个示例中为超文本预处理器(“php”)、python、ruby、perl、java、html、xml或另一种适当服务器侧结构化语言。应当理解,web服务器和应用服务器不是必要的,且仅仅是示例性部件,因为本文所论述的结构化代码可在如本文其他地方所论述的任意适当装置或主机上执行。此外,除非上下文另外清楚规定,否则如由单个装置执行的本文所述的操作可由可形成分布式和/或虚拟系统的多个装置共同执行。
数据存储区1010可包括用于存储与本公开的特定方面相关的数据的若干单独数据表、数据库、数据文档、动态数据存储方案和/或其他数据存储机构和介质。例如,所示数据存储区可包括用于存储生产数据1012和用户信息1016的机构,其可用于提供用于生产侧的内容。数据存储区还被示出为包括用于存储日志数据1014的机构,所述日志数据可用于报告、分析或其他此类目的。应当理解,可能存在可能需要存储在数据存储区中的许多其他方面,诸如页面图像信息和访问权信息,所述方面可视情况存储在上文列出的机构中的任意机构中或存储在数据存储区1010中的额外机构中。数据存储区1010可通过与其相关联的逻辑来操作,以便从应用服务器1008接收指令,并且响应于所述指令而获得、更新或以其他方式处理数据。应用服务器1008可响应于所接收指令提供静态数据、动态数据或静态数据和动态数据的组合。动态数据(诸如web日志(博客)、购物应用、新闻服务以及其他这类应用中使用的数据)可由如本文所描述的服务器侧结构化语言生成,或者可由在应用服务器上操作或在其控制下的内容管理系统(“cms”)提供。在一个示例中,用户通过由用户操作的装置可提交针对某种类型的项目的搜索请求。在这种情况下,数据存储区可能访问用户信息来验证用户的身份,并且可访问目录详细信息以获得关于所述类型的项目的信息。随后,可将信息诸如以网页上的结果列表的形式返回给用户,用户能够通过用户装置1002上的浏览器来查看所述网页。可在浏览器的专用页面或窗口中查看感兴趣的特定项目的信息。然而,应当注意,本公开的实施方案不一定限于网页的内容,但是可更一般地适用于处理基本请求,其中请求不一定是针对内容的请求。
每个服务器通常将包括提供用于此服务器的基本管理和操作的可执行程序指令的操作系统,并且通常将包括计算机可读存储介质(例如,硬盘、随机存取存储器、只读存储器等),其存储当由服务器的处理器执行时允许服务器执行其预期功能的指令。服务器的操作系统和基本功能的合适实现是已知的或可商购获得的,并且由本领域普通技术人员特别是根据本文公开而容易地实现。
在一个实施方案中,环境是利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的多个计算机系统和部件的分布式和/或虚拟计算环境。然而,本领域普通技术人员应了解,这种系统可在具有比图10中所示的部件更少或更多数量的部件的系统中同样顺利地操作。因此,图10中的系统1000的描绘本质上应视为说明性的,并且不限制本公开的范围。
各种实施方案还可在各种各样的操作环境中实现,所述操作环境在一些情况下可包括可用于操作多个应用中的任何一个的一个或多个用户计算机、计算装置或处理装置。用户或客户端装置可包括许多通用个人计算机中的任何一个,诸如运行标准操作系统的台式机、膝上计算机或平板计算机,以及运行移动软件并且能够支持多个网络和消息传送协议的蜂窝、无线和手持装置。这种系统还可包括运行多种可商购获得的操作系统和其他已知应用中的任何一种的许多工作站,以用于诸如开发和数据库管理的目的。这些装置还可包括其他电子装置,诸如虚拟终端、瘦客户端、游戏系统和能够通过网络进行通信的其他装置。这些装置还可包括虚拟装置,诸如虚拟机、管理程序和能够通过网络通信的其他虚拟装置。
本公开的各种实施方案利用本领域技术人员可能熟悉的至少一种网络来支持使用多种可商购获得的协议中的任一种进行通信,所述协议诸如传输控制协议/互联网协议(″tcp/ip″)、用户数据报协议(″udp″)、在开放系统互连(″osi″)模型的各个层中操作的协议、文件传送协议(″ftp″)、通用即插即用(″upnp″)、网络文件系统(″nfs″)、公共互联网文件系统(″cifs″)以及appletalk。网络可以是例如局域网、广域网、虚拟专用网、互联网、内联网、外联网、公共交换电话网、红外网、无线网、卫星网以及上述网络的任何组合。
在利用web服务器的实施方案中,web服务器可运行多种服务器或中间层级应用中的任一种,包括超文本传送协议(″http″)服务器、ftp服务器、通用网关接口(″cgi″)服务器、数据服务器、java服务器、apache服务器和业务应用服务器。服务器还可能够响应于来自用户装置的请求而执行程序或脚本,诸如通过执行可实现为以任何编程语言(诸如
环境可包括如上文所论述的各种各样的数据存储区以及其他存储器和存储介质。这些可驻留在各种位置,诸如在存储介质上,所述存储介质在一个或多个计算机的本地(和/或驻留在其中),或者远离网络中的任何或所有计算机。在一组特定实施方案中,信息可驻留在本领域技术人员熟悉的存储区域网络(“san”)中。类似地,在适当情况下,用于执行归因于计算机、服务器或其他网络装置的功能的任何必要文件可在本地和/或远程存储。在系统包括计算机化装置的情况下,每个这种装置可包括可通过总线电耦合的硬件元件,所述元件包括例如至少一个中央处理单元(“cpu”或“处理器”)、至少一个输入装置(例如,鼠标、键盘、控制器、触摸屏或小键盘)和至少一个输出装置(例如,显示装置、打印机或扬声器)。这种系统还可包括诸如磁盘驱动器、光存储装置和诸如随机存取存储器(“ram”)或只读存储器(“rom”)的固态存储装置、以及可移动媒体装置、存储卡、闪存卡等的一个或多个存储装置。
此类装置还可包括计算机可读存储介质读取器、通信装置(例如,调制解调器、网卡(无线或有线)、红外线通信装置等)和工作存储器,如上所述。计算机可读存储介质读取器可与表示远程、本地、固定和/或可移动存储装置以及用于临时和/或更永久地包含、存储、发送和检索计算机可读信息的存储介质的计算机可读存储介质连接或被配置来接收所述计算机可读存储介质。系统和各种装置通常还将包括位于至少一个工作存储器装置内的许多软件应用、模块、服务或其他元件,包括诸如客户端应用或web浏览器的操作系统和应用程序。应当理解,替代实施方案可具有与上述不同的许多变化。例如,还可使用定制硬件和/或特定元件可在硬件、软件(包括便携式软件,例如小程序)或两者中实现。此外,可采用与其他计算装置(诸如网络输入/输出装置)的连接。
用于包含代码或代码部分的存储介质和计算机可读介质可包括本领域中已知或使用的任何适当的介质,所述介质包括存储介质和通信介质,诸如但不限于以任何方法或技术实现用于存储和/或传输信息的易失性和非易失性、可移动和不可移动介质,所述信息诸如计算机可读指令、数据结构、程序模块或其他数据,所述介质包括ram、rom、电可擦除可编程只读存储器(“eeprom”)、闪速存储器或其他存储器技术、光盘只读存储器(“cd-rom”)、数字通用盘(dvd)或其他光存储装置、磁带盒、磁带、磁盘存储装置或其他磁存储装置或者可用来存储所需信息并且可由系统装置访问的任何其他介质。基于本文所提供的公开内容和教义,本领域普通技术人员将了解实现各个实施方案的其他方式和/或方法。
因此,说明书和附图视为说明性而非限制性意义。然而,明显的是,在不脱离如权利要求所阐述的本发明的更广泛的精神和范围的情况下,可进行各种修改和改变。
其他变化在本公开的精神内。因此,虽然公开的技术易于进行各种修改和替代构造,但是其某些示出的实施方案在附图中示出并已在上文详细描述。然而,应当理解,不意图将本发明限制为所公开的一种或多种具体形式,相反,本发明旨在覆盖落入本发明的精神和范围内的所有修改、替代构造和等效物,如所附权利要求中所限定的。
在描述公开的实施方案(特别是在所附权利要求的上下文中)的上下文中使用术语“一(a)”和“一(an)”和“所述”以及类似的指示物应被解释为涵盖单数和复数,除非本文另外指明或上下文明显矛盾。术语“包括”、“具有”、“包括”和“含有”均被解释为开放式术语(即意味着“包括但不限于”),除非另有说明。术语“连接的”在未经修改且涉及物理连接的情况下,应解释为部分地或整体地包括在内、附接到或接合在一起,即使会有一些物件介于其间。除非本文另有说明,否则值的范围的叙述在本文仅用于作为单独参考落在所述范围内的每个单独值的速记方法,并且将每个单独数值并入本说明书中,如同在本文单独列举每个单独数值一样。术语“组”(例如,“一组项目”)或“子集”的使用除非另有说明或与上下文相矛盾,否则应被解释为包括一个或多个成员的非空集合。此外,除非另有说明或与上下文相矛盾,否则对应集合的术语“子集”不一定表示对应集合的适当子集,但子集和对应集合可相等。
除非另外特别规定或另外与上下文矛盾,否则连接性语言,诸如具有形式“a、b、以及c中的至少一个”或“a、b以及c中的至少一个”的短语与使用的上下文一起理解为一般用来呈现项目、项等可以是a或b或c,或a和b和c的集合的任何非空子集。例如,在具有三个成员的集的说明性示例中,连接性短语“a、b、和c中的至少一个”和“a、b和c中的至少一个”是指以下集中的任一集:{a}、{b}、{c}、{a,b}、{a,c}、{b,c}、{a,b,c}。因此,此类连接性语言一般并非意图暗示某些实施方案需要a中的至少一个、b中的至少一个以及c中的至少一个每个存在。
本文所描述的进程的操作可以任何合适的顺序执行,除非本文另外指明或者否则上下文明显矛盾。本文所描述的进程(或其变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可被实现为一个或多个处理器上共同执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、通过硬件或其组合实现。代码可存储在计算机可读存储介质上,例如以包括可由一个或多个处理器执行的多条指令的计算机程序的形式进行存储。计算机可读存储介质可以是非暂时性的。
本文所提供的任何和所有示例或示例性语言(例如“诸如”)的使用仅旨在更好地说明本发明的实施方案,并且不对本发明的范围构成限制,除非另有说明。说明书中的任何语言都不应解读为指示任何未要求保护的要素是实践本发明所必需的。
本文描述了本公开的实施方案,包括本发明人已知的用于执行本发明的最佳模式。在阅读前面的描述之后,这些实施方案的变型对于本领域普通技术人员来说可能变得明显。本发明人期望本领域技术人员在适当情况下使用这种变型,并且本发明人希望本公开的实施方案以不同于本文具体描述的方式来实践。因此,本公开的范围包括根据适用法律允许的所附权利要求中所述的主题的所有修改和等效物。此外,除非本文另外指明或者否则上下文明显矛盾,否则所有可能变型的上述元素的任何组合都包括在本公开的范围内。
本文所引用的所有参考文献(包括公布物、专利申请和专利)据此以引用方式并入,其程度等同于每个参考文献单独地且具体地被表示为以引用方式并入本文并且以其全文在本文得以陈述。
本公开的实施方案可鉴于以下条款来描述:
1.一种计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
向实体颁发第一数字证书,所述第一数字证书指定关键延伸,所述关键延伸使得能够向证书权威机构服务验证所述实体,所述第一数字证书:
指定所述实体特定的至少一个主题字段;
指定第一公共密钥;
对应于第一专用密钥;以及
指定所述第一数字证书的第一有效期;
从所述实体接收颁发第二数字证书的请求,所述请求包括所述第一数字证书和数字签名,所述第二数字证书可用于认证所述实体的服务器;
至少部分基于所述第一数字证书内所指定的有效期和所述第一公共密钥来确定是否颁发所述第二数字证书;以及
颁发所述第二数字证书以具有所述至少一个主题字段和比所述第一有效期短的第二有效期。
2.如条款1所述的计算机实现的方法,其中能够向证书权威机构服务验证所述实体的所述关键延伸进一步防止所述第一数字证书被用于认证所述实体的所述服务器。
3.如条款1或2所述的计算机实现的方法,其中所述关键延伸指定由所述证书权威机构服务在颁发所述第一数字证书之前对所述实体的验证的日期、由所述证书权威机构服务用来验证所述实体的一个或多个标准以及对应于所述实体的标识符。
4.如条款1-3中任一项所述的计算机实现的方法,其中所述第二数字证书还包括与所述第一数字证书中所指定的所述第一公共密钥不同的第二公共密钥。
5.一种系统,其包括被配置来实现一个或多个服务的至少一个计算装置,其中所述一个或多个服务被配置来:
向实体颁发第一数字证书,所述第一数字证书:
使得能够向所述一个或多个服务验证所述实体;以及
指定所述实体特定的至少一个主题字段;
从所述实体接收颁发第二数字证书的请求,所述请求包括所述第一数字证书,并且所述第二数字证书可用于认证所述实体;
至少部分基于所述第一数字证书内所指定的信息来确定是否颁发所述第二数字证书;以及
颁发所述第二数字证书以具有至少部分基于所述第一数字证书内所指定的所述信息的信息,并且具有所述实体特定的所述至少一个主题字段。
6.如条款5所述的系统,其中:
颁发所述第二数字证书的所述请求包括数字签名;以及
所述一个或多个服务还被配置来使用在所述第一数字证书内所指定的公共密钥来核实所述数字签名。
7.如条款5或6所述的系统,其中:
所述第一数字证书内所指定的所述信息包括所述第一数字证书的有效期;以及
所述一个或多个服务还被配置来利用所述第一数字证书的所述有效期来核实所述第一数字证书尚未期满并且可用于颁发所述第二数字证书。
8.如条款7所述的系统,其中所述第二数字证书的所述信息指定比所述第一数字证书的所述有效期更短的有效期。
9.如条款5-8中任一项所述的系统,其中包括在所述第二数字证书内的所述信息还至少部分基于由所述实体在颁发所述第二数字证书的所述请求内指定的有效期。
10.如条款5-9中任一项所述的系统,其中进一步颁发所述第二数字证书以具有未包括在所述第一数字证书内的一个或多个附加主题字段。
11.如条款5-10中任一项所述的系统,其中所述第一数字证书指定关键延伸,所述关键延伸指示所述第一数字证书不应当用于认证。
12.如条款11所述的系统,其中所述关键延伸包括通过所述一个或多个服务在颁发所述第一数字证书之前对所述实体的验证的日期、由所述一个或多个服务用于验证所述实体的一个或多个标准以及对应于所述实体的标识符。
13.一种非暂时性计算机可读存储介质,其具有存储在其上的可执行指令,所述可执行指令当由计算机系统的一个或多个处理器执行时,引起所述计算机系统至少:
从实体接收颁发可用于认证所述实体的数字证书的请求,所述请求包括可用于向证书权威机构服务验证所述实体的先前颁发的数字证书,并且指定所述实体特定的至少一个主题字段;
至少部分基于所述先前颁发的数字证书内所指定的信息来确定是否颁发所述数字证书;以及
颁发所述数字证书以具有至少部分基于所述先前颁发的数字证书内所指定的所述信息的信息,并且具有所述实体特定的所述至少一个主题字段。
14.如条款13所述的非暂时性计算机可读存储介质,其中所述指令还包括当由所述计算机系统的所述一个或多个处理器执行时引起所述计算机系统获取由所述实体在所述请求内限定的期望有效期以确定是否颁发所述第二数字证书的指令。
15.如条款13或14所述的非暂时性计算机可读存储介质,其中所述先前颁发的数字证书是由所述计算机系统响应于来自所述实体的针对颁发所述先前颁发的数字证书的请求而颁发的。
16.如条款13-15中任一项所述的非暂时性计算机可读存储介质,其中:
所述先前颁发的数字证书还指定对应于专用密钥的公共密钥;
所述先前颁发的数字证书内所指定的所述信息包括所述先前颁发的数字证书的有效期;以及
所述指令还包括当由所述一个或多个处理器执行时引起所述计算机系统利用所述有效期来核实所述先前颁发的数字证书尚未期满并且可用于颁发所述数字证书的指令。
17.如条款16所述的非暂时性计算机可读存储介质,其中包括在所述颁发的数字证书内的所述信息指定比所述先前颁发的数字证书的所述有效期更短的有效期。
18.如条款16或17所述的非暂时性计算机可读存储介质,其中颁发所述数字证书的所述请求通过所述实体利用对应于所述公共密钥的所述专用密钥来进行数字签名。
19.如条款13-18中任一项所述的非暂时性计算机可读存储介质,其中所述先前颁发的数字证书指定关键延伸,所述关键延伸包括用于验证所述实体的一个或多个标准。
20.如条款19所述的非暂时性计算机可读存储介质,其中所述关键延伸进一步指示所述先前颁发的数字证书不应当用于认证。
1.一种计算机实现的方法,其包括:
从实体接收颁发可用于认证所述实体的数字证书的请求,所述请求包括可用于向证书权威机构服务验证所述实体的先前颁发的数字证书和数字签名,其中所述先前颁发的数字证书指定所述实体特定的至少一个主题字段,对应于专用密钥的公共密钥,以及所述先前颁发的数字证书的第一有效期;
至少部分基于所述先前颁发的数字证书内所指定的所述第一有效期和所述公共密钥来确定是否颁发所述数字证书;以及
颁发所述数字证书以具有所述实体特定的所述至少一个主题字段和比所述第一有效期短的第二有效期。
2.如权利要求1所述的方法,还包括:获取由所述实体在所述请求内限定的期望有效期以确定是否颁发所述第二数字证书的指令。
3.如权利要求1所述的方法,其中:
所述先前颁发的数字证书还指定对应于专用密钥的公共密钥;
所述先前颁发的数字证书内所指定的所述信息包括所述先前颁发的数字证书的有效期;
所述指令还包括当由所述一个或多个处理器执行时引起所述计算机系统利用所述有效期来核实所述先前颁发的数字证书尚未期满并且可用于颁发所述数字证书的指令;以及
其中颁发所述数字证书的所述请求通过所述实体利用对应于所述公共密钥的所述专用密钥来进行数字签名。
4.一种系统,其包括被配置来实现一个或多个服务的至少一个计算装置,其中所述一个或多个服务被配置来:
从实体接收颁发可用于认证所述实体的数字证书的请求,所述请求包括可用于向证书权威机构服务验证所述实体的先前颁发的数字证书,并且指定所述实体特定的至少一个主题字段;
至少部分基于所述先前颁发的数字证书内所指定的信息来确定是否颁发所述数字证书;以及
颁发所述数字证书以具有至少部分基于所述先前颁发的数字证书内所指定的所述信息的信息,并且具有所述实体特定的所述至少一个主题字段。
5.如权利要求4所述的系统,其中所述指令还包括当由所述计算机系统的所述一个或多个处理器执行时引起所述计算机系统获取由所述实体在所述请求内限定的期望有效期以确定是否颁发所述第二数字证书的指令。
6.如权利要求4所述的系统,其中:
所述先前颁发的数字证书还指定对应于专用密钥的公共密钥;
所述先前颁发的数字证书内所指定的所述信息包括所述先前颁发的数字证书的有效期;
所述指令还包括当由所述一个或多个处理器执行时引起所述计算机系统利用所述有效期来核实所述先前颁发的数字证书尚未期满并且可用于颁发所述数字证书的指令;以及
其中颁发所述数字证书的所述请求通过所述实体利用对应于所述公共密钥的所述专用密钥来进行数字签名。
7.一种存储有指令的计算机可读存储介质,所述指令当由实现一个或多个服务的至少一个计算装置的处理器执行时,使得服务被配置来:
从实体接收颁发可用于认证所述实体的数字证书的请求,所述请求包括可用于向证书权威机构服务验证所述实体的先前颁发的数字证书,并且指定所述实体特定的至少一个主题字段;
至少部分基于所述先前颁发的数字证书内所指定的信息来确定是否颁发所述数字证书;以及
颁发所述数字证书以具有至少部分基于所述先前颁发的数字证书内所指定的所述信息的信息,并且具有所述实体特定的所述至少一个主题字段。
8.如权利要求7所述的计算机可读存储介质,其中所述指令还包括当由所述处理器执行时引起所述计算装置获取由所述实体在所述请求内限定的期望有效期以确定是否颁发所述第二数字证书的指令。
9.如权利要求7所述的计算机可读存储介质,其中:
所述先前颁发的数字证书还指定对应于专用密钥的公共密钥;
所述先前颁发的数字证书内所指定的所述信息包括所述先前颁发的数字证书的有效期;
所述指令还包括当由所述一个或多个处理器执行时引起所述计算机系统利用所述有效期来核实所述先前颁发的数字证书尚未期满并且可用于颁发所述数字证书的指令;以及
其中颁发所述数字证书的所述请求通过所述实体利用对应于所述公共密钥的所述专用密钥来进行数字签名。
10.一种计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
向实体颁发第一数字证书,所述第一数字证书指定关键延伸,所述关键延伸使得能够向证书权威机构服务验证所述实体,所述第一数字证书:
指定所述实体特定的至少一个主题字段;
指定第一公共密钥;
对应于第一专用密钥;以及
指定所述第一数字证书的第一有效期;
从所述实体接收颁发第二数字证书的请求,所述请求包括所述第一数字证书和数字签名,所述第二数字证书可用于认证所述实体的服务器;
至少部分基于所述第一数字证书内所指定的有效期和所述第一公共密钥来确定是否颁发所述第二数字证书;以及
颁发所述第二数字证书以具有所述至少一个主题字段和比所述第一有效期短的第二有效期。
技术总结