CN105592059A - 一种数字证书的验证方法和装置 - Google Patents
一种数字证书的验证方法和装置 Download PDFInfo
- Publication number
- CN105592059A CN105592059A CN201510663064.4A CN201510663064A CN105592059A CN 105592059 A CN105592059 A CN 105592059A CN 201510663064 A CN201510663064 A CN 201510663064A CN 105592059 A CN105592059 A CN 105592059A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- described digital
- checking
- authorization information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种数字证书的验证方法和装置,该方法包括:接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断是否存在所述数字证书的标识信息对应的第一验证信息;如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过。通过本发明的技术方案,在不降低安全性的情况下,减少数字证书的验证过程,减轻CPU的运行时间。
Description
技术领域
本发明涉及安全技术领域,尤其涉及一种数字证书的验证方法和装置。
背景技术
PKI(PublicKeyInfrastructure,公钥基础设施)是一个利用公钥提供信息安全服务的安全基础设施。公钥体制也称为非对称密钥体制,是目前已经得到广泛应用的一种密码体制。PKI使用一个公开的密钥(公钥)和一个保密的密钥(私钥)进行信息的加密和解密,公钥和私钥组成一个密钥对,用公钥加密的信息只能用私钥解密,用私钥加密的信息只能用公钥解密。
PKI以数字证书的形式分发和使用公钥,并为网络通信和网络交易(如电子政务以及电子商务等)提供各种安全服务。例如,PKI可以为IPsec(IPSecurity,IP安全)、SSL(SecureSocketsLayer,安全套接字层)、WAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别与保密基础结构)等上层安全协议提供数字证书,以为各上层安全协议提供安全服务。
在使用数字证书提供安全服务的应用场景下,不可或缺的一个过程是,周期性的验证数字证书,而数字证书的验证过程是非常耗时的操作,该验证过程会消耗CPU(CentralProcessingUnit,中央处理器)的大量运行时间。
发明内容
本发明提供一种数字证书的验证方法,所述方法包括以下步骤:
接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
如果不存在,则对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
本发明提供一种数字证书的验证装置,所述数字证书的验证装置应用在接收端上,且所述数字证书的验证装置具体包括:
接收模块,用于接收来自发送端的数字证书;
判断模块,用于获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
验证模块,用于当判断结果为存在时,当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
当判断结果为不存在时,对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
基于上述技术方案,本发明实施例中,通过维护数字证书的标识信息与验证信息之间的对应关系,在不降低安全性的情况下,可以基于该对应关系确定数字证书验证通过/验证不通过,不需要每次都对数字证书进行验证,从而减少数字证书的验证过程,对数字证书的验证过程进行加速,减轻CPU的运行时间,降低设备的计算开销,提高设备的处理性能。
附图说明
图1是本发明一种实施方式中的数字证书的验证方法的流程图;
图2是本发明另一种实施方式中的数字证书的验证方法的流程图;
图3是本发明一种实施方式中的接收端的硬件结构图;
图4是本发明一种实施方式中的数字证书的验证装置的结构图。
具体实施方式
针对现有技术中存在的问题,本发明实施例中提出一种数字证书的验证方法,该方法应用于包括接收端(如接收端实体)和发送端(如发送端实体)的系统中。其中,接收端和发送端可以位于不同的设备上,也可以位于同一设备上,且接收端用于对来自发送端的数字证书进行验证。在上述应用场景下,如图1所示,该数字证书的验证方法具体可以包括以下步骤:
步骤101,接收端接收来自发送端的数字证书,并获得该数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在数字证书的标识信息对应的第一验证信息。如果存在,执行步骤102;如果不存在,执行步骤103。
其中,数字证书的标识信息具体可以包括数字证书的hash(哈希)值。
其中,第一验证信息具体可以包括验证不通过或者验证通过。
步骤102,当该第一验证信息为验证不通过时,接收端确定该数字证书为验证不通过;当该第一验证信息为验证通过时,接收端检查该数字证书是否在有效期内,如果在有效期内,则确定该数字证书为验证通过,如果不在有效期内,则确定该数字证书为验证不通过。
步骤103,接收端对该数字证书进行验证,得到第二验证信息;如果第二验证信息为数字证书验证通过,则记录该数字证书的标识信息与第二验证信息之间的对应关系;如果第二验证信息为数字证书验证不通过,则当验证不通过的原因不是该数字证书不在有效期内时,记录该数字证书的标识信息与第二验证信息之间的对应关系。
其中,当不存在数字证书的标识信息对应的第一验证信息时,接收端对数字证书进行验证,得到第二验证信息的过程,具体可以包括但不限于如下方式:接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书的签名是否通过验证;如果该数字证书的签名通过验证,则确定第二验证信息为该数字证书验证通过;如果该数字证书的签名不通过验证,则确定第二验证信息为该数字证书验证不通过。进一步的,当不存在数字证书的标识信息对应的第一验证信息时,接收端对数字证书进行验证,得到第二验证信息的过程,还可以包括但不限于如下方式:接收端检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则确定第二验证信息为该数字证书验证通过。
当需要验证数字证书的吊销状态、数字证书的有效期、数字证书的签名时,则可以有如下方式:方式一、接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则检查该数字证书的签名是否通过验证;如果该数字证书的签名通过验证,则确定第二验证信息为该数字证书验证通过;如果该数字证书的签名不通过验证,则确定第二验证信息为该数字证书验证不通过。或者,方式二、接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书的签名是否通过验证;如果该数字证书的签名不通过验证,则确定第二验证信息为该数字证书验证不通过;如果该数字证书的签名通过验证,则检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则确定第二验证信息为该数字证书验证通过。
其中,接收端可以在缓存中记录数字证书的标识信息与第二验证信息(即数字证书验证通过或数字证书验证不通过)之间的对应关系。
其中,在第二验证信息为数字证书验证不通过时,当验证不通过的原因是数字证书不在有效期内时,则接收端不记录数字证书的标识信息与第二验证信息之间的对应关系;当验证不通过的原因不是数字证书不在有效期内时,则接收端记录数字证书的标识信息与第二验证信息之间的对应关系。进一步的,当第二验证信息为数字证书验证不通过时,在记录数字证书的标识信息与第二验证信息之间的对应关系之后,接收端还可以在数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,其中,该验证不通过的原因具体可以为数字证书处于吊销状态或者数字证书的签名不通过验证。
本发明实施例中,在记录数字证书的标识信息与第二验证信息(验证通过或者验证不通过)之间的对应关系之后,当用于对数字证书进行验证的条件发生变化时,则接收端还可以删除数字证书的标识信息与第二验证信息之间的对应关系,如从缓存中删除数字证书的标识信息与第二验证信息之间的对应关系。
进一步的,在本发明实施例中,用于对数字证书进行验证的条件发生变化,具体可以包括但不限于以下之一或者任意组合:用于对数字证书进行验证的CA(CertificateAuthority,证书颁发机构)证书发生变化;用于检查数字证书的吊销状态的CRL(CertificateRevocationList,证书吊销列表)发生变化;是否对数字证书进行CRL检查的配置发生变化等。
基于上述技术方案,本发明实施例中,通过维护数字证书的标识信息与验证通过/验证不通过之间的对应关系,在不降低安全性的情况下,可以基于该对应关系确定数字证书验证通过/验证不通过,不需要每次都对数字证书进行验证,从而减少数字证书的验证过程,对数字证书的验证过程进行加速,减轻CPU的运行时间,降低设备的计算开销,提高设备的处理性能。
参加图2,结合具体的应用场景,对上述数字证书的验证方法进行说明。
步骤201,接收端接收发送端第一次发送的数字证书,并对该数字证书进行验证,得到第二验证信息。其中,由于是发送端第一次发送的数字证书,因此,当前不存在该数字证书的hash值,直接对该数字证书进行验证。
在对数字证书进行验证的过程中,可以包括检查数字证书的有效期、检查数字证书的吊销状态、检查数字证书的签名等过程。考虑到检查数字证书的签名的过程耗时较大,而与此相比,检查数字证书的有效期的过程耗时较小,因此先执行检查数字证书的有效期的过程,后执行检查数字证书的签名的过程。此外,对检查数字证书的吊销状态的过程的顺序可以不做限制。
基于上述分析,对数字证书进行验证的一种优选的验证方式可以为:接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则检查该数字证书的签名是否通过验证;如果该数字证书的签名通过验证,则确定第二验证信息为该数字证书验证通过;如果该数字证书的签名不通过验证,则确定第二验证信息为该数字证书验证不通过。其中,如果对数字证书进行CRL检查的配置为对数字证书进行CRL检查时,则检查该数字证书是否为吊销状态的数字证书;如果对数字证书进行CRL检查的配置为不对数字证书进行CRL检查时,则不检查该数字证书是否为吊销状态的数字证书,而是直接检查该数字证书的签名是否通过验证。
其中,在数字证书内会包含该数字证书的有效期,如数字证书的起始时间和终止时间。在接收到数字证书后,如果接收端的系统当前时间位于数字证书的起始时间与终止时间之间,则说明数字证书在有效期内。如果接收端的系统当前时间不位于数字证书的起始时间与终止时间之间(如位于起始时间之前或者终止时间之后),则说明数字证书不在有效期内。
其中,CRL内会记录处于吊销状态的数字证书的身份信息(如序列号),且数字证书内会包含本数字证书的身份信息(如序列号)。因此,接收端在接收到数字证书后,如果CRL内记录了该数字证书内包含的身份信息,则说明该数字证书是吊销状态的数字证书。如果CRL内没有记录该数字证书内包含的身份信息,则说明该数字证书不是吊销状态的数字证书。
其中,接收端在接收到数字证书之后,使用CA证书的公钥对数字证书的签名进行验证,具体的验证方式在此不再赘述,对数字证书的签名进行验证的验证结果,可以为签名通过验证或不通过验证。
步骤202,如果第二验证信息为数字证书验证通过,则接收端在缓存中记录该数字证书的hash值与第二验证信息(即验证通过)之间的对应关系。如果第二验证信息为数字证书验证不通过,则当验证不通过的原因不是该数字证书不在有效期内时,则接收端在缓存中记录该数字证书的hash值与第二验证信息(即验证不通过)之间的对应关系;当验证不通过的原因是该数字证书不在有效期内时,则接收端不在缓存中记录该数字证书的hash值与第二验证信息(即验证不通过)之间的对应关系,即不用记录对应关系。
其中,当验证不通过的原因不是数字证书不在有效期内时,接收端在缓存中记录数字证书的hash值与第二验证信息之间的对应关系后,还可以在该数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,验证不通过的原因为数字证书处于吊销状态或数字证书的签名不通过验证。其中,如果在检查数字证书是否为吊销状态的数字证书时,获知是吊销状态的数字证书,验证不通过的原因为数字证书处于吊销状态。如果在检查数字证书的签名是否通过验证时,获知数字证书的签名不通过验证,验证不通过的原因为数字证书的签名不通过验证。
其中,当验证不通过的原因是数字证书不在有效期内时,接收端不在缓存中记录数字证书的hash值与第二验证信息之间的对应关系的原因是:当接收端本地的系统当前时间不稳定,导致数字证书验证不通过时,如果接收端本地的系统当前时间稳定到正确时间,此时,数字证书验证可能会通过。如果此时接收端已经在缓存中记录数字证书的hash值与第二验证信息之间的对应关系,则会直接确定数字证书验证不通过,而实际上数字证书验证可能会通过。进一步的,即使不在缓存中记录数字证书的hash值与第二验证信息之间的对应关系,由于数字证书是由于不在有效期内导致验证不通过,因此再次对数字证书进行验证时,先执行检查数字证书的有效期的过程,后执行检查数字证书的签名的过程,而数字证书在执行检查数字证书的有效期的过程中,就会被检查出来验证不通过,不会再执行检查数字证书的签名的过程,因此避免了最耗时的运算(检查数字证书的签名的过程消耗的时间在总验证时间中占据了绝对多数),这种时间消耗是可以接受的。
步骤203,接收端接收发送端第二次以及之后(即三次、四次等)发送的数字证书,并从缓存中得到该数字证书的hash值对应的第一验证信息。
其中,发送端需要定期通过安全认证协议重新进行协商,以更新会话密钥,因此,发送端会周期性的向接收端发送数字证书,即接收端周期性的收到发送端发送的数字证书,并对数字证书进行验证。
其中,当发送端第一次发送的数字证书,由于数字证书不在有效期内导致验证不通过时,缓存中不会记录数字证书的hash值对应的验证信息,需要对数字证书进行验证,具体验证过程参加步骤201和202,在此不再赘述。当发送端第一次发送的数字证书验证通过或者验证不通过的原因不是数字证书不在有效期内,则缓存中会记录数字证书的hash值对应的验证信息,此时可以从缓存中得到该数字证书的hash值对应的验证信息(称为第一验证信息)。
步骤204,当hash值对应的第一验证信息为验证不通过时,则接收端确定数字证书为验证不通过。当hash值对应的第一验证信息为验证通过时,则接收端检查数字证书是否在有效期内,如果在有效期内,则确定该数字证书为验证通过,如果不在有效期内,则确定该数字证书为验证不通过。
本发明实施例中,在缓存中记录数字证书的hash值与第二验证信息之间的对应关系之后,当用于对数字证书进行验证的条件发生变化时,则接收端还可以从该缓存中删除该数字证书的hash值与第二验证信息之间的对应关系。
本发明实施例中,用于对数字证书进行验证的条件发生变化,具体可以包括但不限于以下之一或者任意组合:用于对数字证书进行验证的CA证书发生变化;用于检查数字证书的吊销状态的CRL发生变化;是否对数字证书进行CRL检查的配置发生变化;其它影响验证数字证书的条件发生变化。
其中,在对数字证书的签名进行验证时,会使用到CA证书,如果对数字证书进行验证的CA证书发生变化,则说明对数字证书进行验证的条件发生变化。此外,在判断数字证书是否为吊销状态的数字证书时,会使用到CRL,如果用于检查数字证书的吊销状态的CRL发生变化,则说明对数字证书进行验证的条件发生变化。此外,如果对数字证书进行CRL检查的配置,由进行CRL检查变更为不进行CRL检查,或者由不进行CRL检查变更为进行CRL检查,则说明对数字证书进行验证的条件发生变化。
基于上述技术方案,本发明实施例中,通过维护数字证书的标识信息与验证信息之间的对应关系,在不降低安全性的情况下,可以基于该对应关系确定数字证书验证通过/验证不通过,不需要每次都对数字证书进行验证,从而减少数字证书的验证过程,对数字证书的验证过程进行加速,减轻CPU的运行时间,降低设备的计算开销,提高设备的处理性能。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种数字证书的验证装置,该数字证书的验证装置应用在接收端上。其中,该数字证书的验证装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的接收端的处理器,将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本发明提出的数字证书的验证装置所在的接收端的一种硬件结构图,除了图3所示的处理器、网络接口、内存以及非易失性存储器外,接收端还可以包括其他硬件,如负责处理报文的转发芯片等;从硬件结构上来讲,该接收端还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
如图4所示,为本发明提出的数字证书的验证装置的结构图,所述数字证书的验证装置应用在接收端上,所述数字证书的验证装置具体包括:
接收模块11,用于接收来自发送端的数字证书;
判断模块12,用于获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
验证模块13,用于当判断结果为存在时,当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
当判断结果为不存在时,对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
所述验证模块13,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否在有效期内;如果不在有效期内,则确定所述第二验证信息为所述数字证书验证不通过;如果在有效期内,则检查所述数字证书的签名是否通过验证;如果所述数字证书的签名通过验证,则确定所述第二验证信息为所述数字证书验证通过;如果所述数字证书的签名不通过验证,则确定所述第二验证信息为所述数字证书验证不通过。
所述验证模块13,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证不通过;如果不是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证通过。
所述验证模块13,还用于在所述第二验证信息为所述数字证书验证不通过时,在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,在所述数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,所述验证不通过的原因为数字证书处于吊销状态或者数字证书的签名不通过验证。
所述验证模块13,还用于在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,当用于对所述数字证书进行验证的条件发生变化时,则删除所述数字证书的标识信息与第二验证信息之间的对应关系。
本发明实施例中,所述用于对所述数字证书进行验证的条件发生变化,具体包括以下之一或者任意组合:用于对所述数字证书进行验证的证书颁发机构CA证书发生变化;用于检查所述数字证书的吊销状态的证书吊销列表CRL发生变化;是否对所述数字证书进行CRL检查的配置发生变化。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种数字证书的验证方法,其特征在于,所述方法包括以下步骤:
接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
如果不存在,则对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
2.根据权利要求1所述的方法,其特征在于,当不存在所述数字证书的标识信息对应的第一验证信息时,对所述数字证书进行验证,得到第二验证信息的过程,具体包括:
所述接收端检查所述数字证书是否在有效期内;
如果不在有效期内,则确定所述第二验证信息为所述数字证书验证不通过;
如果在有效期内,则检查所述数字证书的签名是否通过验证;
如果所述数字证书的签名通过验证,则确定所述第二验证信息为所述数字证书验证通过;
如果所述数字证书的签名不通过验证,则确定所述第二验证信息为所述数字证书验证不通过。
3.根据权利要求1或2所述的方法,其特征在于,当不存在所述数字证书的标识信息对应的第一验证信息时,对所述数字证书进行验证,得到第二验证信息的过程,还包括:
所述接收端检查所述数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证不通过;如果不是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证通过。
4.根据权利要求3所述的方法,其特征在于,所述第二验证信息为所述数字证书验证不通过时,在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,所述方法还包括:
所述接收端在所述数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,所述验证不通过的原因为数字证书处于吊销状态或者数字证书的签名不通过验证。
5.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括:
在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,当用于对所述数字证书进行验证的条件发生变化时,则所述接收端删除所述数字证书的标识信息与第二验证信息之间的对应关系。
6.根据权利要求5所述的方法,其特征在于,所述用于对所述数字证书进行验证的条件发生变化,具体包括以下之一或者任意组合:
用于对所述数字证书进行验证的证书颁发机构CA证书发生变化;
用于检查所述数字证书的吊销状态的证书吊销列表CRL发生变化;
是否对所述数字证书进行CRL检查的配置发生变化。
7.一种数字证书的验证装置,其特征在于,所述数字证书的验证装置应用在接收端上,且所述数字证书的验证装置具体包括:
接收模块,用于接收来自发送端的数字证书;
判断模块,用于获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
验证模块,用于当判断结果为存在时,当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
当判断结果为不存在时,对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
8.根据权利要求7所述的装置,其特征在于,
所述验证模块,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否在有效期内;如果不在有效期内,则确定所述第二验证信息为所述数字证书验证不通过;如果在有效期内,则检查所述数字证书的签名是否通过验证;如果所述数字证书的签名通过验证,则确定所述第二验证信息为所述数字证书验证通过;如果所述数字证书的签名不通过验证,则确定所述第二验证信息为所述数字证书验证不通过。
9.根据权利要求7或8所述的装置,其特征在于,
所述验证模块,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证不通过;如果不是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证通过。
10.根据权利要求9所述的装置,其特征在于,
所述验证模块,还用于在所述第二验证信息为所述数字证书验证不通过时,在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,在所述数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,所述验证不通过的原因为数字证书处于吊销状态或者数字证书的签名不通过验证。
11.根据权利要求7或8所述的装置,其特征在于,
所述验证模块,还用于在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,当用于对所述数字证书进行验证的条件发生变化时,则删除所述数字证书的标识信息与第二验证信息之间的对应关系。
12.根据权利要求11所述的装置,其特征在于,所述用于对所述数字证书进行验证的条件发生变化,具体包括以下之一或者任意组合:
用于对所述数字证书进行验证的证书颁发机构CA证书发生变化;
用于检查所述数字证书的吊销状态的证书吊销列表CRL发生变化;
是否对所述数字证书进行CRL检查的配置发生变化。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510663064.4A CN105592059A (zh) | 2015-10-14 | 2015-10-14 | 一种数字证书的验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510663064.4A CN105592059A (zh) | 2015-10-14 | 2015-10-14 | 一种数字证书的验证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105592059A true CN105592059A (zh) | 2016-05-18 |
Family
ID=55931276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510663064.4A Pending CN105592059A (zh) | 2015-10-14 | 2015-10-14 | 一种数字证书的验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592059A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106504091A (zh) * | 2016-10-27 | 2017-03-15 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法及装置 |
| CN108270610A (zh) * | 2017-02-16 | 2018-07-10 | 广州市动景计算机科技有限公司 | 数字证书监控的方法与装置 |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN111919421A (zh) * | 2018-04-09 | 2020-11-10 | 黑莓有限公司 | 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统 |
| CN112600677A (zh) * | 2020-12-28 | 2021-04-02 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种证照验证方法及系统 |
| CN114615309A (zh) * | 2022-01-18 | 2022-06-10 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086468A1 (en) * | 2003-10-17 | 2005-04-21 | Branislav Meandzija | Digital certificate related to user terminal hardware in a wireless network |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息系统的登录方法以及登录管理系统 |
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
| CN104753676A (zh) * | 2013-12-31 | 2015-07-01 | 北龙中网(北京)科技有限责任公司 | 移动app开发者的身份验证方法及装置 |
-
2015
- 2015-10-14 CN CN201510663064.4A patent/CN105592059A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086468A1 (en) * | 2003-10-17 | 2005-04-21 | Branislav Meandzija | Digital certificate related to user terminal hardware in a wireless network |
| CN102420836A (zh) * | 2012-01-12 | 2012-04-18 | 中国电子科技集团公司第十五研究所 | 业务信息系统的登录方法以及登录管理系统 |
| CN104348846A (zh) * | 2013-07-24 | 2015-02-11 | 航天信息股份有限公司 | 基于wpki实现云存储系统数据通信安全的方法和系统 |
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| CN104753676A (zh) * | 2013-12-31 | 2015-07-01 | 北龙中网(北京)科技有限责任公司 | 移动app开发者的身份验证方法及装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106504091A (zh) * | 2016-10-27 | 2017-03-15 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法及装置 |
| CN106504091B (zh) * | 2016-10-27 | 2018-06-29 | 深圳壹账通智能科技有限公司 | 区块链上交易的方法及装置 |
| CN108270610A (zh) * | 2017-02-16 | 2018-07-10 | 广州市动景计算机科技有限公司 | 数字证书监控的方法与装置 |
| CN111919421A (zh) * | 2018-04-09 | 2020-11-10 | 黑莓有限公司 | 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统 |
| CN111919421B (zh) * | 2018-04-09 | 2022-10-25 | 黑莓有限公司 | 用于降低的v2x接收器处理负载的方法、网络元件和介质 |
| US11632253B2 (en) | 2018-04-09 | 2023-04-18 | Blackberry Limited | Method and system for reduced V2X receiver processing load using network based application layer message processing |
| US11895249B2 (en) | 2018-04-09 | 2024-02-06 | Malikie Innovations Limited | Method and system for reduced V2X receiver processing load using network based application layer message processing |
| CN110855442A (zh) * | 2019-10-10 | 2020-02-28 | 北京握奇智能科技有限公司 | 一种基于pki技术的设备间证书验证方法 |
| CN112600677A (zh) * | 2020-12-28 | 2021-04-02 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种证照验证方法及系统 |
| CN114615309A (zh) * | 2022-01-18 | 2022-06-10 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
| CN114615309B (zh) * | 2022-01-18 | 2024-03-15 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108684041B (zh) | 登录认证的系统和方法 | |
| CN105592059A (zh) | 一种数字证书的验证方法和装置 | |
| CN109067801B (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| CN103201998B (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| US7620824B2 (en) | Data communicating apparatus, data communicating method, and program | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| US8479001B2 (en) | Self-authentication communication device and device authentication system | |
| CN107612698B (zh) | 一种商用密码检测方法、装置与系统 | |
| EP3648396A1 (en) | Maintenance system and maintenance method | |
| CN111368340A (zh) | 基于区块链的通证安全校验方法、装置及硬件设备 | |
| US10069820B2 (en) | Linked registration | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| EP2747377A2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| CN109905384B (zh) | 数据迁移方法及系统 | |
| CN116232593B (zh) | 多密码模组敏感数据分类分级与保护方法、设备及系统 | |
| BR102019005184A2 (pt) | Método e sistema para provisionar um terminal seguro | |
| CN102065092B (zh) | 一种机顶盒应用程序数字签名认证方法及其系统 | |
| CN111737766B (zh) | 一种在区块链中判断数字证书签名数据合法性的方法 | |
| CN112383577A (zh) | 授权方法、装置、系统、设备和存储介质 | |
| US11139989B2 (en) | Method of enrolling a device into a PKI domain for certificate management using factory key provisioning | |
| CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
| CN110492989A (zh) | 私钥的处理方法、访问方法和对应方法的介质、装置 | |
| CN107317787A (zh) | 服务授信方法、设备及系统 | |
| EP4324159A1 (en) | Secure root-of-trust enrolment and identity management of embedded devices | |
| CN115225365A (zh) | 基于国密算法的数据安全传输方法、平台、及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160518 |
|
| RJ01 | Rejection of invention patent application after publication |