一种新的数字证书验证方案

1、 （ ）（山东理工大学计算机科学与技术学院，山东淄博；淄博职业学院会计学院，山东淄博）关键词：数字证书；集中式验证；验证服务器；网络开销；验证策略中图分类号：，（，；，）：， ， ， ，：；可以用来验证证书上的数字签名）证书是否包含一个有效的数字签名，这可利用其颁发者（）的公钥来验证）当前时间是否在证书的有效期内）证书或其密钥是否用于最初签发它的目的）利用协议，验证证书是否被撤销）使用其他验证策略只有这些过程全部无误，才说明这个证书是有 山东理工大学学报（自然科学版）身份可以根据需要选用客户只需向服务器提交需要验证的证书，服务器则需要根据该证书生成证书链， 再逐一验证为提高效率，服务器应事先存

2、储尽可能多的证书若未事先存储某证书，需要时从该服务器下载即可，同时存储以便下次再用由于国内主要也就几十个，国际知名的最多也不过数百个，因此事先存储并不难做到当一台服务器无法验证时，还可向另一台服务器转发请求， 共同配合完成服务 方案详细描述除上述标准的证书验证方案外，目前已有多种：一，客户可以对其请求签名， 也可以不签名：一，一一是客户的证书链 方案概述本方案的基本思想是设置一台验证服务器（以下简称服务器），证书使用者作为验证客户（以下简称客户）向服务器提交请求，由服务器集中地验证证书，然后将结果作为响应发送给客户服务器可以提供两类服务：，（），（）（），（）（）（）标识了客户标识了服务器是请

3、求现时值，如果在中有该项，那么该项的值必须同样出现在响应中以此来防止重放攻击：一，）（， 第期程震，等：一种新的数字证书验证方案， ，）一一标识了响应对应的证书一一标识了服务的种类一指明了验证时实际使用的策略一是策略的参数一一是服务器的处理结果：一，是颁发该证书的名字一一，）结果有种：证书验证状态、与该证书相关（），一一（）服务类型有种：验证证书、响应、一证书链（），（）：一一一种求，获得服务器的验证策略列表此处不再讨论 安全性分析由于服务器已对响应签名，因此响应的真实性与完整性完全有保障，并可以抵御中间人攻击采用传输过程加密的方法保证数据的机密性对于拒绝服务攻击，服务器可以屏蔽同一来源的短时

4、间内的多次请求，并可以部署防火墙进行更好的防范对于重放攻击，最好的办法是使用现时值（）来抵御或者客户检查响应中的一一标识了客户，与请求中的项，保证该响应足够新检查项要求客户必须有足够精确的时钟；由于响应中的时间均为格林威治时间，客户还需要所在时区的信息用户必须正确设置时间和时区，错误的时间或时区信息是非常危险的一是该响应的产生时间一是响应现时值，该项的值 山东理工大学学报（自然科学版）正签发，该的协议基础增加了阳保护，既能证书则由根 签 发 手机网络使用中国联通的数据连接，验证服务器也接入与手机同一城市的中国联通网络在不同时间段、不同手机信号质量下，交替运行两个对，个证书进行多次验证，记录了近

5、千组完成验证所需时间的数据限于篇幅，这些数据不再详细描述经统计分析，使用本方案的验证时间，平均是对比验证时间的 比较与对比实验本方案能有效减少客户验证证书的网络开销 结束语综上所述，本文提出的证书集中式验证方案，既能减少客户验证证书的网络开销，又能使用统一的验证策略因此特别适用于手机网络等网速一般的环境和如银行等高密级环境但由于证书链中的证书是由不同签发的，因此需要使用多次协议，需要多次数据往返，造成较大时延参考文献： ： （ ） ： （） 一 ： 服务器端程序运行于验证服务器，基于李福祥，关龙，赵金娜，等基于数字证书的移动支付协议计算机科学，（）：操作系统，使用语言开发密码操作部分（包括编解码）则调用了符合标准的开源软件包手机端运行于手机，能够向验证服务器发送验证请求并接收验证响应，同时记录完成验证所需的时间为消除各种干扰，在相同条件下进行对比，开发了一个对比，该将使用标准的验证方法，利用协议逐程震中证书撤销验证的代理方案计算机工程与应用，（）：周晓斌，许勇，张凌一种开放式身份认证模型的研究