证书撤销方法研究

号是否一致，若一致，就说明签字时用户的签字证书处于有效状态；若不一致，则可怀疑用户有作弊行为，这样，就可以安全地获得用户证书的状态。该方案只需把原时间戳服务协议略加改造即可。
（1）签字者在对消息X签字前，首先向时间服务器发送请求，获得时间戳，发送消息为：

TimeStampReq ::= SEQUENCE  {
   version          INTEGER  ,
   messageImprint    MessageImprint,
   reqPolicy  TSAPolicyId OPTIONAL,
   nonce    INTEGER  OPTIONAL,
   certReq  BOOLEAN  DEFAULT FALSE,
   extensions [0] IMPLICIT Extensions  OPTIONAL  }
MessageImprint ::= SEQUENCE  {
  hashAlgorithm AlgorithmIdentifier,
  hashedMessage  OCTET STRING
  signCertID       INTEGER
 }

该消息与rfc3161的协议相比增加了只增加了签字证书的序列号，即消息中的阴影部分的内容。
（2）时间服务器接受到请求后，首先检查signCertID对应的签字证书的有效性，如果有效则按照通常的时间服务进行处理，生成响应消息，发送给签字者。响应消息的格式为：
 

TimeStampResp ::= SEQUENCE  {
Status    PKIStatusInfo,
timeStampToken TimeStampToken OPTIONAL
}
TSTInfo ::= SEQUENCE  {
 version       INTEGER,
 policy        TSAPolicyId,
 messageImprint  MessageImprint,
 serialNumber   INTEGER,
 genTime   GeneralizedTime,
 accuracy  Accuracy  OPTIONAL,
 ordering  BOOLEAN DEFAULT FALSE,
 nonce     INTEGER  OPTIONAL,
 tsa   [0] GeneralName  OPTIONAL,
 extensions [1] IMPLICIT Extensions OPTIONAL  }

在这个消息中格式与原来协议的格式一样，只是messageImprint 使用请求者发送来的messageImprint，即包含了请求者的签字证书的序列号。时间戳是对TSTInfo的签字，包括当前时间和messageImprint，因此其他用户不能更改时戳中的签字证书的序列号。
（3）签字者按照正常时间戳的使用方式使用时间服务器发送来的时间戳，他在对消息X签字时务必使用在时戳请求中包含的签字证书序列号对应的证书。
（4）其他用户在验证该签字时，首先验证时戳是否正确，然后在验证签字所使用的证书的序列号和时戳messageImprint中包含签字证书序列号是否一致，如果一致则表明该证书在使用时是有效的。
       在一个安全性要求较高的环境中，时间服务器是必须的，其安全性也是必须要保证的，这样把证书状态响应服务与时间服务相连，可以节省状态响应服务器运行的成本，并且证书的使用者也可以通过验证时戳达到验证了证书状态的目的，从而节省了用户的资源和时间。
3  结语
       本文提出的结合时戳服务，提供证书状态信息，可以有效的解决证书撤销带来的问题，同时节约了用户和系统的资源和时间，并且对当前的时戳服务只需做一些小的改进，容易实现。上述关于证书撤消的各种方法具有不同的及时性，可以应用于各种不同的环境。除了成本方面的考虑，最合适的方法还依赖于风险评估。该领域的研究还在继续，新的撤消方法还会不断出现。
参 考 文 献
1  Housley.R, Fond.W, Polk.W, et al. Internet X.509 Public Key Infrastructure Certificate and CRL Profile[S]. (1999-1), RFC 2459.
2 Adams C, Farrell S. Internet X.509 Public Key Infrastructure Certificate Management Protocols [S]. (1999-03), RFC, 2510.
3  Carlisle Adams, Steve Lloyd 著, 冯登国 等译. 公开密钥基础设施——概念、标准和实施[M]. 人民邮电出版社, 2001.1.
4   金融系统电子商务联络与研究小组，电子商务——安全认证与网上支付[M], 人民出版社.2000.4.
5  Cain, P., Pinkas, D., and R. Zuccherato, "Internet X.509 Public Key Infrastructure Time Stamp Protocol",[S], rfc3161.
6  薛源, 周永彬, 郭建锋, 倪惜珍. 基于Huffman算法的证书撤销树[J]. 通信学报. 2005,26(2):45-50.
7  王永静, 谢冬青, 陈华勇. 证书撤销机制的分析与设计[J]. 计算机应用研究. 2004,21(9):147-149.
8  刘爱江, 何大可, 许长枫. 基于排队模型的证书撤销机制分析.计算机应用研究[J]. 2004 ,21(4):68-70.