用于PKI證書透明化系統的證書監視器服務可靠性檢測方法技術方案

本發明專利技術公開了一種用于PKI證書透明化系統的證書監視器服務可靠性檢測方法，包括：向第三方證書監視器服務供應商發送待查詢域名集合，并將收集到的第三方證書監視器服務供應商輸出的原始證書進行處理，得到證書搜索結果集合；對證書搜索結果集合進行過濾處理和聚合處理，得到證書參考集合，并將證書搜索結果集合與證書參考集合進行差異性檢測，在證書搜索結果集合存在缺失證書和/或無關證書情況下，向第三方證書監視器服務供應商發出可靠性告警信息；利用特征提取工具對過濾處理結果和差異性檢測結果進行特征提取和分析，利用分析結果生成故障原因表，并根據過濾處理結果、差異性檢測結果和故障原因表對第三方證書監視器服務供應商進行故障定位。務供應商進行故障定位。務供應商進行故障定位。

【技術實現步驟摘要】
用于PKI證書透明化系統的證書監視器服務可靠性檢測方法


[0001]本專利技術涉及信息安全中信任管理領域，特別涉及一種用于PKI證書透明化系統的證書監視器服務可靠性檢測方法及系統。

技術介紹

[0002]公鑰基礎設施(Public Key Infrastructure，PKI)，是建立在公鑰密碼學理論基礎之上的一種安全基礎設施服務。基于數字證書的PKI系統能夠為互聯網中的應用提供身份驗證、加密數據傳輸等服務。
[0003]以目前廣泛部署的Web PKI為例，在PKI系統中，域名所有者首先向認證機構(Certificate Authority，CA)請求簽發數字證書。隨后，CA對域名所有者進行身份驗證，若驗證通過則為其簽發數字證書，以綁定域名所有者的身份和公鑰信息。客戶端使用TLS/HTTPS協議與Web網站服務器進行通信時，通過驗證數字證書的方式確保通信對端的真實性，進而完成密鑰協商等步驟，實現安全的通信連接。因此，CA作為PKI體系的信任錨點，通過頒發數字證書的方式在網絡應用間構建信任基礎、實現信任傳遞。
[0004]然而，近年來發生的一系列安全事件表明，CA機構因管理疏忽、操作不當，或遭受攻擊導致私鑰被盜等原因，可能存在未經合法域名所有者授權而為其域名簽發虛假證書的行為。虛假證書將域名綁定到攻擊者而非合法域名所有者持有的密鑰對上，進而被攻擊者利用來發起中間人或身份假冒攻擊。原有傳統PKI系統缺少對CA的監管以及發現虛假證書的能力，虛假證書的存在對已建立的PKI信任體系造成破壞。
[0005]證書透明化(Certificate Transparency，CT)技術用于實現及時發現虛假證書、提高對CA機構的審計問責能力。通過引入具有僅追加、不可篡改特性的第三方日志服務器(Log Server)，CT系統要求CA機構所簽發的數字證書必須提交到日志服務器。
[0006]此外，為便于任何相關的實體對日志服務器中所記錄的證書進行實時監視，CT系統引入了證書監視器(Monitor)這一核心組件。證書監視器可由任何利益相關方或第三方實體進行獨立部署。證書監視器預先選取一組要監視的日志服務器列表，并定期從被監視的日志服務器中獲取其記錄的所有證書數據，并進行解析、分類與存儲，進而為域名所有者等請求方提供證書監視或檢索服務。任意實體可通過證書監視器實時地查詢、分析與關注域名相關的證書信息，及時發現未經授權簽發的虛假證書。
[0007]部署及維護證書監視器需在管理、計算與存儲等方面付出高昂的成本。因此，域名所有者通常使用當前業界所提供的專業第三方證書監視器服務進行證書查詢和監管。這導致了證書監視器作為CT系統中實現透明化目標的基礎設施，通常只能依賴于少數幾個證書監視器服務供應商提供可靠性保障。已有研究證實，現有的第三方證書監視器服務供應商無法保證提供及時可靠的證書監視或查詢服務，難以保證域名所有者等請求方能夠查詢得到所有的、已記錄在日志服務器的相關證書。此時，證書監視器服務質量和虛假證書對于使用證書監視器服務的域名所有者來說都是非透明化的。因此，如果存在虛假證書滿足瀏覽器的CT驗證策略、卻無法通過證書監視器而監視或檢索到，那么攻擊者即可利用該證書發
起中間人或身份冒用攻擊。
[0008]如何在計算與存儲等資源有限的前提下，持續、高效地檢查證書監視器證書查詢與監視服務的質量，并分析與定位潛在故障原因，給出提高證書監視器服務質量的改進建議措施，進而提升現有PKI證書透明化服務的可靠性，仍是一個有待解決的問題，目前尚未有相關技術方案。

技術實現思路

[0009]鑒于上述問題，本專利技術提供了用于PKI證書透明化系統的證書監視器服務可靠性檢測方法，以期至少能夠解決上述問題之一。
[0010]根據本專利技術的第一個方面，提供了一種用于PKI證書透明化系統的證書監視器服務可靠性檢測方法，包括：
[0011]向多個第三方證書監視器服務供應商發送隨機生成的待查詢域名集合，并將收集到的多個第三方證書監視器服務供應商輸出的原始證書進行處理，得到多個證書搜索結果集合；
[0012]對多個證書搜索結果集合進行過濾處理和聚合處理，得到證書參考集合，并將每個證書搜索結果集合與證書參考集合進行差異性檢測，在證書搜索結果集合存在無關證書和/或缺失證書情況下，向第三方證書監視器服務供應商發出可靠性告警信息；
[0013]利用特征提取工具對過濾處理結果和差異性檢測結果進行特征提取并對特征提取結果進行分析，利用分析結果生成一組誘發第三方證書監視器服務供應商出現故障的故障原因表，并根據過濾處理結果、差異性檢測結果和故障原因表對第三方證書監視器服務供應商進行故障定位。
[0014]根據本專利技術的實施例，上述向多個第三方證書監視器服務供應商發送隨機生成的待查詢域名集合，并將收集到的多個第三方證書監視器服務供應商輸出的原始證書進行處理，得到多個證書搜索結果集合包括：
[0015]根據每個第三方證書監視器服務供應商提供的證書查詢規則，為每個第三方證書監視器服務供應商生成證書查詢請求，其中，證書查詢請求滿足相應的證書查詢需求且符合第三方證書監視器服務供應商的查詢策略；
[0016]根據每個證書查詢請求，將待查詢域名集合通過每個第三方證書監視器服務供應商所提供的查詢接口，發送到與證書查詢請求相對應的第三方證書監視器服務供應商；
[0017]響應于每個證書查詢請求，通過與證書查詢請求相對應的第三方證書監視器服務供應商輸出原始證書；
[0018]根據設置的證書格式化規則，對每個原始證書進行格式化處理，得到多個證書搜索結果集合。
[0019]根據本專利技術的實施例，上述證書查詢規則包括第三方證書監視器服務供應商所支持的查詢方式；
[0020]其中，證書格式化規則包括為每個證書生成統一的輸出信息和生成唯一的證書標識符；
[0021]其中，證書標識符基于證書序列號、簽發者、證書生效起始日期以及證書生效截止日期進行構建。
[0022]根據本專利技術的實施例，上述對多個證書搜索結果集合進行過濾處理和聚合處理，得到證書參考集合，并將每個證書搜索結果集合與證書參考集合進行差異性檢測，在證書搜索結果集合存在無關證書和/或缺失證書情況下，向第三方證書監視器服務供應商發出可靠性告警信息包括：
[0023]根據設置的證書過濾規則，對每個證書搜索結果集合進行無關證書過濾處理，在證書搜索結果集合存在無關證書的情況下，將無關證書添加到與第三方證書監視器服務供應商相對應的無關證書集合中并向第三方證書監視器服務供應商發出可靠性告警信息；
[0024]將過濾處理后的每個證書搜索結果集合進行聚合處理，得到證書參考集合，并將證書參考集合與每個過濾處理后的證書搜索結果集合進行差異性檢測處理，在差異性檢測結果存在缺失證書的情況下，將缺失證書添加到第三方證書監視器服務供應商相對應的缺失證書集合中并向第三方證書監視器服務供應商發出可靠性告警信息；
[0025]提取每個第三方證書監視器服務供應商本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種用于PKI證書透明化系統的證書監視器服務可靠性檢測方法，包括：向多個第三方證書監視器服務供應商發送隨機生成的待查詢域名集合，并將收集到的所述多個第三方證書監視器服務供應商輸出的原始證書進行處理，得到多個證書搜索結果集合；對所述多個證書搜索結果集合進行過濾處理和聚合處理，得到證書參考集合，并將所述每個證書搜索結果集合與所述證書參考集合進行差異性檢測，在所述證書搜索結果集合存在無關證書和/或缺失證書情況下，向所述第三方證書監視器服務供應商發出可靠性告警信息；利用特征提取工具對過濾處理結果和差異性檢測結果進行特征提取并對特征提取結果進行分析，利用分析結果生成一組誘發第三方證書監視器服務供應商出現故障的故障原因表，并根據所述過濾處理結果、差異性檢測結果和所述故障原因表對所述第三方證書監視器服務供應商進行故障定位。2.根據權利要求1所述的方法，其中，所述向多個第三方證書監視器服務供應商發送隨機生成的待查詢域名集合，并將收集到的所述多個第三方證書監視器服務供應商輸出的原始證書進行處理，得到多個證書搜索結果集合包括：根據所述每個第三方證書監視器服務供應商提供的證書查詢規則，為所述每個第三方證書監視器服務供應商生成證書查詢請求，其中，所述證書查詢請求滿足相應的證書查詢需求且符合所述第三方證書監視器服務供應商的查詢策略；根據所述每個證書查詢請求，將所述待查詢域名集合通過所述每個第三方證書監視器服務供應商所提供的查詢接口，發送到與所述證書查詢請求相對應的第三方證書監視器服務供應商；響應于所述每個證書查詢請求，通過與所述證書查詢請求相對應的第三方證書監視器服務供應商輸出原始證書；根據設置的證書格式化規則，對所述每個原始證書進行格式化處理，得到所述多個證書搜索結果集合。3.根據權利要求2所述的方法，其中，所述證書查詢規則包括所述第三方證書監視器服務供應商所支持的查詢方式；其中，所述證書格式化規則包括為每個證書生成統一的輸出信息和生成唯一的證書標識符；其中，所述證書標識符基于證書序列號、簽發者、證書生效起始日期以及證書生效截止日期進行構建。4.根據權利要求1所述的方法，其中，對所述多個證書搜索結果集合進行過濾處理和聚合處理，得到證書參考集合，并將所述每個證書搜索結果集合與所述證書參考集合進行差異性檢測，在所述證書搜索結果集合存在無關證書和/或缺失證書情況下，向所述第三方證書監視器服務供應商發出可靠性告警信息包括：根據設置的證書過濾規則，對所述每個證書搜索結果集合進行無關證書過濾處理，在所述證書搜索結果集合存在所述無關證書的情況下，將所述無關證書添加到與所述第三方證書監視器服務供應商相對應的無關證書集合中并向所述第三方證書監視器服務供應商發出可靠性告警信息；
將過濾處理后的每個證書搜索結果集合進行聚合處理，得到證書參考集合，并將所述證書參考集合與所述每個過濾處理后的證書搜索結果集合進行差異性檢測處理，在差異性檢測結果存在缺失證書的情況下，將所述缺失證書添加到所述第三方證書監視器服務供應商相對應的缺失證書集合中并向所述第三方證書監視器服務供應商發出可靠性告警信息；提取所述每個第三方證書監視器服務供應商的無關證書集合和缺失證書集合中的每個證書所對應的查詢域名，為所述每個第三方證書監視器服務供應商生成非一致域名集合。5.根據權利要求4所述的方法，其中，所述無關證書包括所述第三方證書監視器服務供應商對所獲取的證書進行錯誤處理得到的證書、存在設計缺陷的證書；其中，所述無關證書集合和缺失證書集合中的每個證書的信息包括查詢域名、SHA

【專利技術屬性】
技術研發人員：林璟鏘，李冰雨，孫傲卓，溫舒尚，李冬，賈云昊，
申請(專利權)人：中國科學技術大學，
類型：發明
國別省市：