CN108880821A - 一种数字证书的认证方法及设备 - Google Patents
一种数字证书的认证方法及设备 Download PDFInfo
- Publication number
- CN108880821A CN108880821A CN201810685448.XA CN201810685448A CN108880821A CN 108880821 A CN108880821 A CN 108880821A CN 201810685448 A CN201810685448 A CN 201810685448A CN 108880821 A CN108880821 A CN 108880821A
- Authority
- CN
- China
- Prior art keywords
- tls
- certificate
- sequence number
- public key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例公开了一种数字证书的认证方法及设备,涉及通信领域,解决了客户端访问服务器失败的可能性较大的问题。具体方案为:服务器接收客户端发送的TLS请求消息,该TLS请求消息包括扩展字段,在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配,确定目标根证书的公钥序列号,从对应关系中查找与目标根证书的公钥序列号对应的第一TLS证书的序列号,并根据第一TLS证书的序列号获取第一TLS证书的链接,向客户端发送第一TLS回复消息,该第一TLS回复消息包括第一TLS证书的链接。本申请实施例用于数字证书认证的过程中。
Description
技术领域
本申请实施例涉及通信领域,尤其涉及一种数字证书的认证方法及设备。
背景技术
现有技术中,当用户需要访问某服务器时,可以在客户端输入相应的该服务器域名,客户端便可以根据该服务器域名向该服务器发送安全传输层协议(Transport LayerSecurity,TLS)请求,该服务器在接收到TLS请求之后,可以从所有TLS证书中选择默认设置的TLS证书,并将该TLS证书的链接携带在TLS回复消息中返回至客户端,以便客户端验证该TLS证书的合法性,并在验证合法之后,与服务器进行密钥的协商。
现有技术中至少存在以下技术问题:由于服务器域名只能为单域名,单域名对应一个TLS证书,即客户端仅会进行一次TLS证书的合法性验证,且该TLS证书是预先配置在服务器中的,这样使得客户端验证TLS证书合法的可能性较小,从而使得客户端访问服务器失败的可能性较大。
发明内容
本申请提供一种数字证书的认证方法及设备,解决了客户端访问服务器失败的可能性较大的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种数字证书的认证方法,该方法可以包括:服务器接收客户端发送的TLS请求消息,该TLS请求消息包括扩展字段,并在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配,且确定目标根证书的公钥序列号。服务器从对应关系中查找与目标根证书的公钥序列号对应的第一TLS证书的序列号,并根据第一TLS证书的序列号获取第一TLS证书的链接,且向客户端发送第一TLS回复消息,该第一TLS回复消息包括第一TLS证书的链接。其中,扩展字段用于写入客户端支持的根证书的公钥序列号。目标根证书的公钥序列号包含在对应关系中,且与至少一个根证书中的一个根证书的公钥序列号匹配成功。对应关系还包括与根证书的公钥序列号对应的TLS证书的序列号。
第二方面,本申请提供一种数字证书的认证方法,该方法可以包括:客户端向服务器发送TLS请求消息,该TLS请求消息包括扩展字段,扩展字段用于写入客户端支持的根证书的公钥序列号,在扩展字段包括至少一个根证书的公钥序列号的情况下,客户端接收服务器发送的第一TLS回复消息,第一TLS回复消息包括第一TLS证书的链接,第一TLS证书的链接为根据第一TLS证书的序列号获取的,第一TLS证书的序列号存在对应的目标根证书的公钥序列号,目标根证书的公钥序列号与至少一个根证书中的一个根证书的公钥序列号匹配成功。客户端根据第一TLS证书的链接进行第一TLS证书的合法性认证。
第三方面,本申请提供一种服务器,该服务器可以包括:接收单元、匹配单元、确定单元、查找单元、获取单元和发送单元。其中,接收单元,用于接收客户端发送的TLS请求消息,TLS请求消息包括扩展字段,扩展字段用于写入客户端支持的根证书的公钥序列号。匹配单元,用于在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配。确定单元,用于确定目标根证书的公钥序列号,目标根证书的公钥序列号包含在对应关系中,且与至少一个根证书中的一个根证书的公钥序列号匹配成功。查找单元,用于从对应关系中查找与目标根证书的公钥序列号对应的第一TLS证书的序列号,对应关系还包括与根证书的公钥序列号对应的TLS证书的序列号。获取单元,用于根据第一TLS证书的序列号获取第一TLS证书的链接。发送单元,用于向客户端发送第一TLS回复消息,第一TLS回复消息包括第一TLS证书的链接。
具体的实现方式可以参考第一方面的可能的实现方式提供的数字证书的认证方法中服务器的行为功能。
第四方面,本申请提供一种客户端,该客户端可以包括:发送单元、接收单元和认证单元。发送单元,用于向服务器发送TLS请求消息,TLS请求消息包括扩展字段,扩展字段用于写入客户端支持的根证书的公钥序列号。接收单元,用于在扩展字段包括至少一个根证书的公钥序列号的情况下,接收服务器发送的第一TLS回复消息,第一TLS回复消息包括第一TLS证书的链接,第一TLS证书的链接为根据第一TLS证书的序列号获取的,第一TLS证书的序列号存在对应的目标根证书的公钥序列号,目标根证书的公钥序列号与至少一个根证书中的一个根证书的公钥序列号匹配成功。认证单元,用于根据第一TLS证书的链接进行第一TLS证书的合法性认证。
具体的实现方式可以参考第二方面的可能的实现方式提供的数字证书的认证方法中客户端的行为功能。
第五方面,提供一种服务器,该服务器包括:至少一个处理器、存储器、通信接口和通信总线。处理器与存储器、通信接口通过通信总线连接,存储器用于存储计算机执行指令,当服务器行时,处理器执行存储器存储的计算机执行指令,以使服务器执行如第一方面的可能的实现方式中的数字证书的认证方法。
第六方面,提供一种客户端,该客户端包括:至少一个处理器、存储器、通信接口和通信总线。处理器与存储器、通信接口通过通信总线连接,存储器用于存储计算机执行指令,当客户端行时,处理器执行存储器存储的计算机执行指令,以使客户端执行如第二方面的可能的实现方式中的数字证书的认证方法。
第七方面,提供一种计算机存储介质,其上存储有计算机执行指令,当计算机执行指令在计算机上运行时,使得计算机执行如第一方面的可能的实现方式中的数字证书的认证方法,或执行如第二方面的可能的实现方式中的数字证书的认证方法。
本申请提供的数字证书的认证方法,服务器在接收到TLS请求消息之后,可以在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与自身存储的根证书的公钥序列号进行匹配,并将与匹配成功的根证书的公钥序列号对应的TLS证书的链接携带在第一TLS回复消息中发送至服务器,这样,由于TLS请求消息的扩展字段中写入了客户端支持的根证书,使得服务器支持多根证书,能够选择客户端和服务器均支持的根证书,并向客户端返回与该根证书对应的TLS证书,与现有技术中的向客户端返回默认配置的TLS证书相比,大大提高了客户端成功访问服务器的可能性。
附图说明
图1为本申请实施例提供的一种可以应用本申请实施例的系统架构的简化示意图;
图2为本申请实施例提供的一种服务器的组成示意图;
图3为本申请实施例提供的一种客户端的组成示意图;
图4为本申请实施例提供的一种数字证书的认证方法的流程图;
图5为本申请实施例提供的另一种数字证书的认证方法的流程图;
图6为本申请实施例提供的另一种服务器的组成示意图;
图7为本申请实施例提供的另一种服务器的组成示意图;
图8为本申请实施例提供的另一种客户端的组成示意图;
图9为本申请实施例提供的另一种客户端的组成示意图。
具体实施方式
本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
下面将结合附图对本申请实施例的实施方式进行详细描述。
图1为本申请实施例提供的一种可以应用本申请实施例的系统架构的简化示意图,如图1所示,该系统架构可以包括:服务器11和客户端12。
其中,当客户端12根据服务器11的域名访问服务器11时,客户端12可以先与服务器11进行TLS证书的认证,并在认证通过后,进行密钥的协商,并使用协商好的密钥进行加密通信。
服务器11,在具体的实现中,可以为安全超文本传输协议(Hyper Text TransferProtocol Secure,HTTPS)服务器。
客户端12,用于向服务器11发送TLS请求消息,接收服务器11返回的TLS回复消息,并进行TLS证书的合法性认证。
图2为本申请实施例提供的一种服务器的组成示意图,如图2所示,该服务器可以包括:至少一个处理器21、存储器22、通信接口23和通信总线24。
下面结合图2对服务器的各个构成部件进行具体的介绍:
其中,处理器21是服务器的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器21是一个中央处理器(central processing unit,CPU),也可以是特定集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个数字信号处理器(digital signalprocessor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)。
在具体的实现中,作为一种实施例,处理器21可以包括一个或多个CPU,例如图2中所示的CPU0和CPU1。且,作为一种实施例,服务器可以包括多个处理器,例如图2中所示的处理器21和处理器25。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器22可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器22可以是独立存在,通过通信总线24与处理器21相连接。存储器22也可以和处理器21集成在一起。
在具体的实现中,存储器22,用于存储本申请中的数据和执行本申请的软件程序。处理器21可以通过运行或执行存储在存储器22内的软件程序,以及调用存储在存储器22内的数据,执行服务器的各种功能。
通信接口23,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如客户端、无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。通信接口23可以包括接收单元实现接收功能,以及发送单元实现发送功能。
通信总线24,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图3为本申请实施例提供的一种客户端的组成示意图,如图3所示,该客户端可以包括:至少一个处理器31、存储器32、通信接口33和通信总线34。
下面结合图3对客户端的各个构成部件进行具体的介绍:
其中,处理器31是客户端的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器31是一个CPU,也可以是ASIC,或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个DSP,或,一个或者多个FPGA。
在具体的实现中,作为一种实施例,处理器31可以包括一个或多个CPU,例如图3中所示的CPU0和CPU1。且,作为一种实施例,客户端可以包括多个处理器,例如图3中所示的处理器31和处理器35。这些处理器中的每一个可以是一个单核处理器,也可以是一个多核处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器32可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器32可以是独立存在,通过通信总线34与处理器31相连接。存储器32也可以和处理器31集成在一起。
在具体的实现中,存储器32,用于存储本申请中的数据和执行本申请的软件程序。处理器31可以通过运行或执行存储在存储器32内的软件程序,以及调用存储在存储器32内的数据,执行客户端的各种功能。
通信接口33,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如服务器、RAN,WLAN等。通信接口33可以包括接收单元实现接收功能,以及发送单元实现发送功能。
通信总线34,可以是ISA总线、PCI总线或EISA总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
为了解决客户端访问服务器失败的可能性较大的问题,本申请实施例提供了一种数字证书的认证方法,如图4所示,该方法可以包括:
401、客户端向服务器发送TLS请求消息。
其中,TLS请求消息包括扩展字段,扩展字段用于写入客户端支持的根证书的公钥序列号。当用户在客户端输入服务器的域名时,客户端可以根据该服务器的域名向该服务器发送TLS请求消息。
进一步的,在本申请实施例中,TLS请求消息中还可以包括:TLS协议的版本信息、多种加密算法以及对应的压缩算法、第一随机数等。
402、服务器接收客户端发送的TLS请求消息。
403、服务器在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配。
其中,服务器在接收到包括有扩展字段的TLS请求消息之后,可以先判断扩展字段是否包括根证书的公钥序列号。如果确定扩展字段包括至少一个根证书的公钥序列号,则服务器可以将至少一个根证书的公钥序列号与存储的对应关系中服务器支持的根证书的公钥序列号进行循环匹配。
在具体的实现中,根证书的公钥序列号包括多个标识,服务器可以将至少一个根证书的公钥序列号中的每个根证书的公钥序列号包括的标识逐个与对应关系中的根证书的公钥序列号包括的标识进行匹配。
示例性的,如表1所示,为服务器存储的对应关系,且表1的第三列为对应关系的根证书的公钥序列号。
表1
其中,若根证书的公钥序列号为:ba b9 c0 5c 9e 51 70 42 9b df 35 5b da bd78 00 4b ca d1 03,则该序列号包括20个标识。
404、服务器确定目标根证书的公钥序列号。
其中,目标根证书的公钥序列号包含在对应关系中,且与至少一个根证书中的一个根证书的公钥序列号匹配成功。服务器在进行匹配的过程中,如果确定至少一个根证书的公钥序列号中的某个根证书的公钥序列号包括的一个标识与对应关系中的某根证书的公钥序列号包括的一个标识相同,则确定匹配成功,并将对应关系中匹配成功的根证书的公钥序列号确定为目标根证书的公钥序列号。
405、服务器从对应关系中查找与目标根证书的公钥序列号对应的第一TLS证书的序列号。
其中,服务器在确定出目标根证书的公钥序列号之后,可以从对应关系中查找,与目标根证书的公钥序列号对应的第一TLS证书的序列号。
示例性的,如表1中的第二列所示,为对应关系中与根证书的公钥序列号对应的TLS证书的序列号。
406、服务器根据第一TLS证书的序列号获取第一TLS证书的链接。
其中,服务器在查找到第一TLS证书的序列号之后,可以从TLS证书的序列号与链接的对应关系中,获取与第一TLS证书的序列号对应的第一TLS证书的链接。
进一步的,在本申请实施例中,服务器还可以根据第一TLS证书的序列号,从步骤401中TLS请求消息包括的多种加密算法以及对应的压缩算法中,选择相应的加密算法和压缩算法。
407、服务器向客户端发送第一TLS回复消息。
其中,第一TLS回复消息包括第一TLS证书的链接。进一步的,在本申请实施例中,第一TLS回复消息中还可以包括:步骤401的TLS协议的版本信息、步骤406选择好的加密算法和压缩算法、第二随机数等。
408、客户端接收服务器发送的第一TLS回复消息。
409、客户端根据第一TLS证书的链接进行第一TLS证书的合法性认证。
进一步的,在上述步骤403服务器判断扩展字段是否包括根证书的公钥序列号时,如果确定扩展字段未包括根证书的公钥序列号,则如图5所示,可以将上述步骤403-步骤409替换为以下步骤501-步骤503:
501、服务器在确定扩展字段未包括根证书的公钥序列号时,向客户端发送第二TLS回复消息。
其中,第二TLS回复消息包括第二TLS证书的链接和对应关系中所有TLS证书的数量。其中,第二TLS证书的序列号包含在对应关系中。
示例性的,服务器可以在确定扩展字段未包括根证书的公钥序列号时,将上述表1中序号为1的TLS证书作为第二TLS证书,并将第二TLS证书的链接以及表1中序号的最大值,代表TLS证书的数量携带在第二TLS回复消息中发送至客户端。
502、客户端接收服务器发送的第二TLS回复消息。
503、客户端根据第二TLS证书的链接进行第二TLS证书的合法性认证。
其中,客户端在接收到服务器发送的第二TLS回复消息之后,可以根据第二TLS证书的链接验证第二TLS证书是否合法。如果合法,则服务器可以与客户端进行密钥的协商。如果不合法,则客户端可以重新向服务器发送TLS请求消息,服务器再次接收到客户端发送的TLS请求消息之后,可以将对应关系中除第二TLS证书外的其他TLS证书的链接携带在第二TLS回复消息中发送至客户端,以便客户端验证其他TLS证书的合法性,直至从对应关系中找到合法的TLS证书。
需要说明的是,在本申请实施例中,客户端在验证TLS证书合法之后,可以生成一个第三随机数,并使用TLS证书的公钥对第三随机数进行加密,将加密后的第三随机数发送至服务器。这样,客户端和服务器便可以根据第一随机数、第二随机数和第三随机数,计算协商密钥。且,由于客户端与服务器之间进行通信的消息中,每个消息均包括哈希值,因此客户端可以采用该协商密钥,以及选择的加密算法对所有通信消息包括的哈希值进行加密,并向服务器发送加密后的哈希值,相应的,客户端可以接收到服务器发送的加密后的哈希值,客户端可以采用协商密钥和加密算法解密接收到的数据,若解密后的数据与所有通信消息包括的哈希值相同,则确定可以采用协商密钥和加密算法与服务器进行通信,同样的,服务器也可以采用相同的方法验证是否可以采用协商密钥和加密算法进行通信。在客户端和服务器均验证通过之后,客户端与服务器便可以采用该协商密钥和加密算法进行加密通信。
本申请提供的数字证书的认证方法,服务器在接收到TLS请求消息之后,可以在确定扩展字段包括至少一个根证书的公钥序列号时,将至少一个根证书的公钥序列号与自身存储的根证书的公钥序列号进行匹配,并将与匹配成功的根证书的公钥序列号对应的TLS证书的链接携带在第一TLS回复消息中发送至服务器,这样,由于TLS请求消息的扩展字段中写入了客户端支持的根证书,使得服务器支持多根证书,能够选择客户端和服务器均支持的根证书,并向客户端返回与该根证书对应的TLS证书,与现有技术中的向客户端返回默认配置的TLS证书相比,大大提高了客户端成功访问服务器的可能性。
上述主要从设备交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,各个设备,如服务器、客户端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本申请实施例可以根据上述方法示例对服务器和客户端进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图6示出了上述实施例中涉及的服务器的另一种可能的组成示意图,如图6所示,该服务器可以包括:接收单元61、匹配单元62、确定单元63、查找单元64、获取单元65和发送单元66。
其中,接收单元61,用于支持服务器执行图4所示的数字证书的认证方法中的步骤402。
匹配单元62,用于支持服务器执行图4所示的数字证书的认证方法中的步骤403。
确定单元63,用于支持服务器执行图4所示的数字证书的认证方法中的步骤404。
查找单元64,用于支持服务器执行图4所示的数字证书的认证方法中的步骤405。
获取单元65,用于支持服务器执行图4所示的数字证书的认证方法中的步骤406。
发送单元66,用于支持服务器执行图4所示的数字证书的认证方法中的步骤407,图5所示的数字证书的认证方法中的步骤501。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本申请实施例提供的服务器,用于执行上述数字证书的认证方法,因此可以达到与上述数字证书的认证方法相同的效果。
在采用集成的单元的情况下,图7示出了上述实施例中所涉及的服务器的另一种可能的组成示意图。如图7所示,该服务器包括:处理模块71、通信模块72和存储模块73。
处理模块71用于对服务器的动作进行控制管理,例如,处理模块71用于支持服务器执行图4中的步骤403、步骤404、步骤405、步骤406,和/或用于本文所描述的技术的其它过程。通信模块72用于支持服务器与其他网络实体,如客户端的通信。例如,通信模块72于支持服务器执行图4中的步骤402、步骤407。存储模块73,用于存储服务器的程序代码和数据。
其中,处理模块71可以是图2中的处理器。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块72可以是图2中的通信接口。存储模块73可以是图2中的存储器。
在采用对应各个功能划分各个功能模块的情况下,图8示出了上述实施例中涉及的客户端的另一种可能的组成示意图,如图8所示,该客户端可以包括:发送单元81、接收单元82和认证单元83。
其中,发送单元81,用于支持客户端执行图4所示的数字证书的认证方法中的步骤401。
接收单元82,用于支持客户端器执行图4所示的数字证书的认证方法中的步骤408,图5所示的数字证书的认证方法中的步骤502。
认证单元83,用于支持客户端执行图4所示的数字证书的认证方法中的步骤409,图5所示的数字证书的认证方法中的步骤503。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本申请实施例提供的客户端,用于执行上述数字证书的认证方法,因此可以达到与上述数字证书的认证方法相同的效果。
在采用集成的单元的情况下,图9示出了上述实施例中所涉及的客户端的另一种可能的组成示意图。如图9所示,该客户端包括:处理模块91、通信模块92和存储模块93。
处理模块91用于对客户端的动作进行控制管理,例如,处理模块91用于支持客户端执行图4中的步骤409,图5中的步骤503,和/或用于本文所描述的技术的其它过程。通信模块92用于支持客户端与其他网络实体,如服务器的通信。例如,通信模块92用于支持客户端执行图4中的步骤401、步骤408,图5中的步骤502。存储模块93,用于存储客户端的程序代码和数据。
其中,处理模块91可以是图3中的处理器。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块92可以是图3中的通信接口。存储模块93可以是图3中的存储器。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何在本发明揭露的技术范围内的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种数字证书的认证方法,其特征在于,所述方法包括:
服务器接收客户端发送的安全传输层协议TLS请求消息,所述TLS请求消息包括扩展字段,所述扩展字段用于写入所述客户端支持的根证书的公钥序列号;
所述服务器在确定所述扩展字段包括至少一个根证书的公钥序列号时,将所述至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配;
所述服务器确定目标根证书的公钥序列号,所述目标根证书的公钥序列号包含在所述对应关系中,且与所述至少一个根证书中的一个根证书的公钥序列号匹配成功;
所述服务器从所述对应关系中查找与所述目标根证书的公钥序列号对应的第一TLS证书的序列号,所述对应关系还包括与根证书的公钥序列号对应的TLS证书的序列号;
所述服务器根据所述第一TLS证书的序列号获取所述第一TLS证书的链接;
所述服务器向所述客户端发送第一TLS回复消息,所述第一TLS回复消息包括所述第一TLS证书的链接。
2.根据权利要求1所述的数字证书的认证方法,其特征在于,所述方法还包括:
所述服务器在确定所述扩展字段未包括根证书的公钥序列号时,向所述客户端发送第二TLS回复消息,所述第二TLS回复消息包括第二TLS证书的链接和所述对应关系中所有TLS证书的数量,所述第二TLS证书的序列号包含在所述对应关系中。
3.根据权利要求2所述的数字证书的认证方法,其特征在于,所述方法还包括:
所述服务器再次接收到所述客户端发送的所述TLS请求消息后,继续向所述客户端发送包括有所述对应关系中的其他TLS证书的链接的所述第二TLS回复消息。
4.一种数字证书的认证方法,其特征在于,所述方法包括:
客户端向服务器发送安全传输层协议TLS请求消息,所述TLS请求消息包括扩展字段,所述扩展字段用于写入所述客户端支持的根证书的公钥序列号;
在所述扩展字段包括至少一个根证书的公钥序列号的情况下,所述客户端接收所述服务器发送的第一TLS回复消息,所述第一TLS回复消息包括第一TLS证书的链接,所述第一TLS证书的链接为根据所述第一TLS证书的序列号获取的,所述第一TLS证书的序列号存在对应的目标根证书的公钥序列号,所述目标根证书的公钥序列号与所述至少一个根证书中的一个根证书的公钥序列号匹配成功;
所述客户端根据所述第一TLS证书的链接进行所述第一TLS证书的合法性认证。
5.根据权利要求4所述的数字证书的认证方法,其特征在于,所述方法包括:
在所述扩展字段未包括根证书的公钥序列号的情况下,所述客户端接收所述服务器发送的第二TLS回复消息,所述第二TLS回复消息包括第二TLS证书的链接和所述服务器存储的所有TLS证书的数量,所述第二TLS证书为所述服务器存储的所有TLS证书中的一个。
6.根据权利要求5所述的数字证书的认证方法,其特征在于,所述方法还包括:
所述客户端在确定所述第二TLS证书不合法后,继续向所述服务器发送TLS请求消息;
所述客户端接收所述服务器发送的包括有所述服务器存储的其他TLS证书的链接的所述第二TLS回复消息。
7.一种服务器,其特征在于,所述服务器包括:接收单元、匹配单元、确定单元、查找单元、获取单元和发送单元;
所述接收单元,用于接收客户端发送的安全传输层协议TLS请求消息,所述TLS请求消息包括扩展字段,所述扩展字段用于写入所述客户端支持的根证书的公钥序列号;
所述匹配单元,用于在确定所述扩展字段包括至少一个根证书的公钥序列号时,将所述至少一个根证书的公钥序列号与对应关系包括的根证书的公钥序列号进行匹配;
所述确定单元,用于确定目标根证书的公钥序列号,所述目标根证书的公钥序列号包含在所述对应关系中,且与所述至少一个根证书中的一个根证书的公钥序列号匹配成功;
所述查找单元,用于从所述对应关系中查找与所述目标根证书的公钥序列号对应的第一TLS证书的序列号,所述对应关系还包括与根证书的公钥序列号对应的TLS证书的序列号;
所述获取单元,用于根据所述第一TLS证书的序列号获取所述第一TLS证书的链接;
所述发送单元,用于向所述客户端发送第一TLS回复消息,所述第一TLS回复消息包括所述第一TLS证书的链接。
8.根据权利要求7所述的服务器,其特征在于,
所述发送单元,还用于在确定所述扩展字段未包括根证书的公钥序列号时,向所述客户端发送第二TLS回复消息,所述第二TLS回复消息包括第二TLS证书的链接和所述对应关系中所有TLS证书的数量,所述第二TLS证书的序列号包含在所述对应关系中。
9.根据权利要求8所述的服务器,其特征在于,
所述发送单元,还用于再次接收到所述客户端发送的所述TLS请求消息后,继续向所述客户端发送包括有所述对应关系中的其他TLS证书的链接的所述第二TLS回复消息。
10.一种客户端,其特征在于,所述客户端包括:发送单元、接收单元和认证单元;
所述发送单元,用于向服务器发送安全传输层协议TLS请求消息,所述TLS请求消息包括扩展字段,所述扩展字段用于写入所述客户端支持的根证书的公钥序列号;
所述接收单元,用于在所述扩展字段包括至少一个根证书的公钥序列号的情况下,接收所述服务器发送的第一TLS回复消息,所述第一TLS回复消息包括第一TLS证书的链接,所述第一TLS证书的链接为根据所述第一TLS证书的序列号获取的,所述第一TLS证书的序列号存在对应的目标根证书的公钥序列号,所述目标根证书的公钥序列号与所述至少一个根证书中的一个根证书的公钥序列号匹配成功;
所述认证单元,用于根据所述第一TLS证书的链接进行所述第一TLS证书的合法性认证。
11.根据权利要求10所述的客户端,其特征在于,
所述接收单元,还用于在所述扩展字段未包括根证书的公钥序列号的情况下,接收所述服务器发送的第二TLS回复消息,所述第二TLS回复消息包括第二TLS证书的链接和所述服务器存储的所有TLS证书的数量,所述第二TLS证书为所述服务器存储的所有TLS证书中的一个。
12.根据权利要求11所述的客户端,其特征在于,
所述发送单元,还用于在确定所述第二TLS证书不合法后,继续向所述服务器发送TLS请求消息;
所述接收单元,还用于接收所述服务器发送的包括有所述服务器存储的其他TLS证书的链接的所述第二TLS回复消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810685448.XA CN108880821B (zh) | 2018-06-28 | 2018-06-28 | 一种数字证书的认证方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810685448.XA CN108880821B (zh) | 2018-06-28 | 2018-06-28 | 一种数字证书的认证方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108880821A true CN108880821A (zh) | 2018-11-23 |
| CN108880821B CN108880821B (zh) | 2021-07-13 |
Family
ID=64296176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810685448.XA Active CN108880821B (zh) | 2018-06-28 | 2018-06-28 | 一种数字证书的认证方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108880821B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314085A (zh) * | 2020-01-22 | 2020-06-19 | 维沃移动通信有限公司 | 数字证书验证方法及装置 |
| WO2020155022A1 (zh) * | 2019-01-31 | 2020-08-06 | 深圳市汇顶科技股份有限公司 | Tls证书认证方法、装置、设备及存储介质 |
| CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
| CN112532390A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
| CN113169883A (zh) * | 2021-03-15 | 2021-07-23 | 华为技术有限公司 | 数字证书的验证方法和验证装置 |
| CN113765899A (zh) * | 2021-08-20 | 2021-12-07 | 济南浪潮数据技术有限公司 | 一种节点代理的证书更换方法、系统及装置 |
| WO2022042490A1 (zh) * | 2020-08-31 | 2022-03-03 | Oppo广东移动通信有限公司 | 设备认证方法、装置、电子设备、服务器及存储介质 |
| CN114666132A (zh) * | 2022-03-22 | 2022-06-24 | 深圳供电局有限公司 | 基于tcp/ip协议对应用层加密认证的方法 |
| CN115941217A (zh) * | 2021-08-17 | 2023-04-07 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100318784A1 (en) * | 2009-06-10 | 2010-12-16 | Cisco Technology, Inc. | Client identification for transportation layer security sessions |
| CN102801616A (zh) * | 2012-08-02 | 2012-11-28 | 华为技术有限公司 | 报文发送和接收的方法、装置和系统 |
| CN104221347A (zh) * | 2012-02-14 | 2014-12-17 | 苹果公司 | 支持多个访问控制客户端的移动装置和对应的方法 |
| US8924714B2 (en) * | 2008-06-27 | 2014-12-30 | Microsoft Corporation | Authentication with an untrusted root |
| CN104683359A (zh) * | 2015-03-27 | 2015-06-03 | 成都三零瑞通移动通信有限公司 | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 |
| CN107079007A (zh) * | 2014-09-23 | 2017-08-18 | 高通股份有限公司 | 基于证书的认证 |
-
2018
- 2018-06-28 CN CN201810685448.XA patent/CN108880821B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8924714B2 (en) * | 2008-06-27 | 2014-12-30 | Microsoft Corporation | Authentication with an untrusted root |
| US20100318784A1 (en) * | 2009-06-10 | 2010-12-16 | Cisco Technology, Inc. | Client identification for transportation layer security sessions |
| CN104221347A (zh) * | 2012-02-14 | 2014-12-17 | 苹果公司 | 支持多个访问控制客户端的移动装置和对应的方法 |
| CN102801616A (zh) * | 2012-08-02 | 2012-11-28 | 华为技术有限公司 | 报文发送和接收的方法、装置和系统 |
| CN107079007A (zh) * | 2014-09-23 | 2017-08-18 | 高通股份有限公司 | 基于证书的认证 |
| CN104683359A (zh) * | 2015-03-27 | 2015-06-03 | 成都三零瑞通移动通信有限公司 | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020155022A1 (zh) * | 2019-01-31 | 2020-08-06 | 深圳市汇顶科技股份有限公司 | Tls证书认证方法、装置、设备及存储介质 |
| CN112532390A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
| CN111314085A (zh) * | 2020-01-22 | 2020-06-19 | 维沃移动通信有限公司 | 数字证书验证方法及装置 |
| CN111585976A (zh) * | 2020-04-09 | 2020-08-25 | 北京理工大学 | 通信方法、装置、存储介质和电子设备 |
| WO2022042490A1 (zh) * | 2020-08-31 | 2022-03-03 | Oppo广东移动通信有限公司 | 设备认证方法、装置、电子设备、服务器及存储介质 |
| CN113169883A (zh) * | 2021-03-15 | 2021-07-23 | 华为技术有限公司 | 数字证书的验证方法和验证装置 |
| CN115941217A (zh) * | 2021-08-17 | 2023-04-07 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
| CN115941217B (zh) * | 2021-08-17 | 2024-03-29 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
| CN113765899A (zh) * | 2021-08-20 | 2021-12-07 | 济南浪潮数据技术有限公司 | 一种节点代理的证书更换方法、系统及装置 |
| CN114666132A (zh) * | 2022-03-22 | 2022-06-24 | 深圳供电局有限公司 | 基于tcp/ip协议对应用层加密认证的方法 |
| CN114666132B (zh) * | 2022-03-22 | 2024-01-30 | 深圳供电局有限公司 | 基于tcp/ip协议对应用层加密认证的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108880821B (zh) | 2021-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108880821A (zh) | 一种数字证书的认证方法及设备 | |
| US11477034B2 (en) | Method and apparatus for processing account information in block chain, storage medium, and electronic apparatus | |
| CA3053316C (en) | Method for providing simplified account registration service and user authentication service, and authentication server using same | |
| JP6703539B2 (ja) | 装置検証方法及び機器 | |
| US9398004B2 (en) | Method for reading attributes from an ID token | |
| US20170352031A1 (en) | Systems and methods for providing a personal distributed ledger | |
| US20190179801A1 (en) | File management/search system and file management/search method based on block chain | |
| JP2020504930A (ja) | ブロックチェーンを用いた個人情報の分離後の分散ストレージを通じた認証システム | |
| CN110537346A (zh) | 安全去中心化域名系统 | |
| US10270757B2 (en) | Managing exchanges of sensitive data | |
| EP3739538A1 (en) | System and method of supporting reflection of transactions between blockchain networks | |
| US20110296512A1 (en) | Method for reading attributes from an id token | |
| JP2016158270A (ja) | データセンタへのプラットフォームの内包検証 | |
| CN110599342B (zh) | 基于区块链的身份信息的授权方法及装置 | |
| CN110716728B (zh) | Fpga逻辑的可信更新方法及装置 | |
| JP2009175910A (ja) | 権限委譲システム、権限委譲方法および権限委譲プログラム | |
| CN109544131A (zh) | 一种游戏商品管理方法及装置 | |
| US9563762B2 (en) | Method for generating an identifier | |
| US20240005307A1 (en) | Method, apparatus, and computer-readable medium for confederated rights and hierarchical key management | |
| CN110751555B (zh) | 基于fpga实现合约调用的方法及装置 | |
| CN110688651A (zh) | 基于fpga实现状态更新的方法及装置 | |
| US9135449B2 (en) | Apparatus and method for managing USIM data using mobile trusted module | |
| CN114065170A (zh) | 平台身份证书的获取方法、装置和服务器 | |
| JP6801146B2 (ja) | 生体認証を用いた電子決裁システム、方法、およびプログラム | |
| US20020144139A1 (en) | Method and apparatus for providing a software agent at a destination host |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |