CN109921910A - 证书状态的验证方法及装置、存储介质、电子装置 - Google Patents
证书状态的验证方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN109921910A CN109921910A CN201910218411.0A CN201910218411A CN109921910A CN 109921910 A CN109921910 A CN 109921910A CN 201910218411 A CN201910218411 A CN 201910218411A CN 109921910 A CN109921910 A CN 109921910A
- Authority
- CN
- China
- Prior art keywords
- certificate
- target
- status
- revocation
- block chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种证书状态的验证方法及装置、存储介质、电子装置,其中,该方法包括:接收用于验证目标证书的证书状态的验证请求;获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;根据所述根证书和所述撤销条目查询所述目标证书的证书状态。通过本发明,解决了现有技术中查询证书状态时效率低的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种证书状态的验证方法及装置、存储介质、电子装置。
背景技术
现有技术中,传统证书状态验证(OCSP,Online Certificate Status Protocol,在线证书状态协议)由各CA提供OCSP服务,验证方需要验证证书状态时,通过OCSP客户端或接口访问各家CA服务。对于多CA的应用场景,应用服务验证终端证书时需要根据终端证书的颁发者访问各CA的OCSP服务以查询证书状态,应用需要保存各CA的根证书,用于验证OCSP响应的合法性,业务应用的可靠性取决于网络和各CA服务能力,复杂网络场景中,很难保证各CA的性能和可靠性。
传统的证书撤销列表(Certificate Revocation List,CRL)由各CA签发,可以通过轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)或超文本传输协议(HTTP,Hyper Text Transfer Protocol)方式发布,验证方需要验证证书状态时,通过访问LDAP或HTTP服务获取CRL,然后验证CRL的合法性,之后在CRL内查找是否有证书的撤销信息,通常是证书序列号。同样的,对于多CA的应用场景,应用验证终端证书时需要根据终端证书的颁发者访问各CA的LDAP或HTTP服务以获取CRL,应用需要保存各CA的根证书,用于验证CRL的合法性,业务应用的可靠性取决于网络和各CA服务能力,复杂网络场景中,很难保证各CA的性能和可靠性,在海量用户场景中,CRL文件可能会较大,又需要使用增量CRL的技术,为业务应用的验证带来了复杂性。
针对现有技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种证书状态的验证方法及装置、存储介质、电子装置,解决了现有技术中查询证书状态时效率低的技术问题。
根据本发明的一个实施例,提供了一种接收用于验证目标证书的证书状态的验证请求;接收用于验证目标证书的证书状态的验证请求;获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
可选的,在接收用于验证目标证书的证书状态的验证请求之前,所述方法还包括:采集目标证书的根证书和所述撤销条目,并向区块链的节点广播所述目标证书的根证书和所述撤销条目。
可选的,向区块链的节点广播所述撤销条目包括:按照预设周期向区块链的节点广播所述撤销条目。
可选的,向区块链的节点广播所述撤销条目包括:在当前撤销条目更新时,向区块链的节点广播更新后的撤销条目。
可选的,接收用于验证目标证书的证书状态的验证请求包括以下之一:在客户端接入第一区块链节点时,所述第一区块链节点接收用于验证所述客户端的目标证书的证书状态的验证请求;在第二区块链节点使用安全套接层SSL协议与第三区块链节点建立通讯时,所述第三区块链节点接收用于验证所述第二区块链节点的目标证书的证书状态的验证请求;在第四区块链节点接收到客户端提交的线上交易时,所述第四区块链节点接收用于验证所述线上交易的目标证书的证书状态和所述客户端的目标证书的证书状态的验证请求。
可选的,根据所述根证书和所述撤销条目查询所述目标证书的证书状态包括:查询所述目标证书是否与所述根证书匹配,以及查询所述撤销条目中是否包含所述目标证书;在所述目标证书与所述根证书匹配,且所述撤销条目中不包含所述目标证书时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述撤销条目中包含所述目标证书时,确定所述目标证书的证书状态为无效状态。
可选的,在确定所述目标证书的证书状态为无效状态时,所述方法还包括:拒绝基于所述目标证书的后续操作。
可选的,所述CRL包括以下信息:证书标识符,撤销时间,撤销原因,以及撤销方,在所述撤销条目为所述CRL时,根据所述根证书和所述CRL查询所述目标证书的证书状态包括:查询所述目标证书是否与所述根证书匹配,以及查询所述CRL是否包含所述目标证书的证书标识符,判断所述撤销时间是否在针对所述目标证书的操作时间之前,查询与所述证书标识符对应的撤销原因和撤销方;在所述目标证书与所述根证书匹配,且所述CRL不包含所述目标证书的证书标识符时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述CRL包含所述目标证书的证书标识符且所述撤销时间在针对所述目标证书的操作时间之前时,确定所述目标证书的证书状态为无效状态,并下个请求端反馈所述撤销原因和所述撤销方。
根据本发明的另一个实施例,提供了一种证书状态的验证装置,包括:接收模块,用于接收用于验证目标证书的证书状态的验证请求;获取模块,用于获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;查询模块,用于根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
可选的,所述装置还包括:广播模块,用于在所述接收模块接收用于验证目标证书的证书状态的验证请求之前,采集目标证书的根证书和所述撤销条目,并向区块链的节点广播所述目标证书的根证书和所述撤销条目。
可选的,所述广播模块包括以下至少之一:第一广播单元,用于按照预设周期向区块链的节点广播所述撤销条目;第二广播单元,用于在当前撤销条目更新时,向区块链的节点广播更新后的撤销条目。
可选的,所述接收模块包括以下之一:第一接收模块,用于在客户端接入第一区块链节点时,从所述第一区块链节点接收用于验证所述客户端的目标证书的证书状态的验证请求;第二接收模块,用于在第二区块链节点使用安全套接层SSL协议与第三区块链节点建立通讯时,从所述第三区块链节点接收用于验证所述第二区块链节点的目标证书的证书状态的验证请求;第三接收模块,用于在第四区块链节点接收到客户端提交的线上交易时,从所述第四区块链节点接收用于验证所述线上交易的目标证书的证书状态和所述客户端的目标证书的证书状态的验证请求。
可选的,所述查询模块包括:第一查询单元,用于查询所述目标证书是否与所述根证书匹配,以及查询所述撤销条目中是否包含所述目标证书;确定单元,用于在所述目标证书与所述根证书匹配,且所述撤销条目中不包含所述目标证书时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述撤销条目中包含所述目标证书时,确定所述目标证书的证书状态为无效状态。
可选的,所述装置还包括:拒绝模块,用于在所述查询模块确定所述目标证书的证书状态为无效状态时,拒绝基于所述目标证书的后续操作。
可选的,所述CRL包括以下信息:证书标识符,撤销时间,撤销原因,以及撤销方,在所述撤销条目为所述CRL时,所述查询模块包括:第二查询单元,用于查询所述目标证书是否与所述根证书匹配,以及查询所述CRL是否包含所述目标证书的证书标识符;处理单元,用于在所述目标证书与所述根证书匹配,且所述CRL不包含所述目标证书的证书标识符时,确定所述目标证书的证书状态为有效状态;在所述CRL包含所述目标证书的证书标识符时,判断所述撤销时间是否在针对所述目标证书的操作时间之前;反馈单元,用于在所述撤销时间在针对所述目标证书的操作时间之前,确定所述目标证书的证书状态为无效状态,同时查询与所述证书标识符对应的撤销原因和撤销方,并向请求端反馈所述撤销原因和所述撤销方。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,在接收到验证请求后,获取所述目标证书的根证书和撤销条目,根据所述根证书和所述撤销条目查询所述目标证书的证书状态,能够避免在CA服务同时验证多个目标证书时CA服务器能力不足或网络单点故障引起的服务失效,解决了现有技术中查询证书状态时效率低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种证书状态的验证服务器的硬件结构框图;
图2是根据本发明实施例的一种证书状态的验证方法的流程图;
图3是本发明实施例查询目标证书的证书状态的流程示意图;
图4是根据本发明实施例的证书状态的验证装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图1是本发明实施例的一种证书状态的验证服务器的硬件结构框图。如图1所示,服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种证书状态的验证方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种证书状态的验证方法,图2是根据本发明实施例的一种证书状态的验证方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,接收用于验证目标证书的证书状态的验证请求;
本实施例的目标证书是请求终端的终端证书,基于根证书生成,可以是任一标准的数字证书,如CA证书,CA指CA认证中心(Certificate Authority),CA签发的证书是指公钥证书,即证书中包含用户身份信息及用户使用的公钥,证书中不包含私钥,而私钥应由用户秘密保存,不可公开。
步骤S204,获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
CRL是现有的撤销条目,但是CRL只会存储在数字证书的服务器中,撤销记录信息在现有技术中没有的撤销条目,数字证书只要撤销时,证书服务器会产生一个日志,记录本次撤销的证书,即撤销记录信息。可选的,从区块链获取所述目标证书的根证书和撤销条目;
步骤S206,根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
根据根证书验证证书状态的验证过程包括:提取目标证书的证书链信息,从所述证书链信息中查到CA根证书的标识,根据该标识在区块链上检索根证书,如果可以检索到,则验证通过,否则,验证失败。根据撤销条目查询所述目标证书的证书状态为查询该目标证书是否已经被撤销。
在查询完成后,返回查询结果,返回证书状态情况,良好,撤销,未知等。其中,“良好”状态是指可以找到根证书,未撤销,“撤销”是指可以找到根证书,但已撤销,“未知”是指找不到根证书,未撤销。如果返回证书状态是撤销或未知,则表明被验证的证书无效,验证方应拒绝进行后续操作,如拒绝客户端接入或放弃业务交易等。
通过上述步骤,在接收到验证请求后,获取所述目标证书的根证书和撤销条目,根据所述根证书和所述撤销条目查询所述目标证书的证书状态,能够避免在CA服务同时验证多个目标证书时CA服务器能力不足或网络单点故障引起的服务失效,解决了现有技术中查询证书状态时效率低的技术问题。
在从区块链获取所述目标证书的根证书和撤销条目,可以利用区块链的多个分布式节点来查询目标证书的证书状态,提高了验证的并发能力。
在本实施例中,在接收用于验证目标证书的证书状态的验证请求之前,所述方法还包括:从证书服务器采集所述根证书和所述撤销条目,并向区块链的节点广播所述目标证书的根证书和所述撤销条目。在发布时,可以周期性广播或者实时广播,向区块链的节点广播所述撤销条目包括以下至少之一:按照预设周期向区块链的节点广播所述撤销条目;在当前撤销条目更新时,向区块链的节点广播更新后的撤销条目。
各CA的根证书发布到区块链上保存,在撤销CA已签发的证书时,将撤销证书的撤销条目发布到区块链上。本实施例的撤销条目包括两种形式,第一种形式是CA签发的CRL:CRL可以是按周期发布,周期长短由CA的策略决定,当然CA也可以每撤销一张证书都重新发布一次CRL。CRL在初始阶段是空白的,在出现需要吊销的证书,或者是在证书的使用周期到达后,可以发布已经失效的证书。发布CRL包括:发布证书的标识符和对应的撤销时间,撤销原因,撤销方(即指示撤销该证书的对象),具体的,可以在列表的第一扩展字段中携带标识符,第二扩展字段中携带撤销时间,第三扩展字段中携带撤销原因,第四扩展字段中携带撤销方。CRL是特点是周期发布,以列表形式存储,便于管理和查询。
另外一种形式是撤销记录信息,在撤销CA已发布的证书时,CA将证书的撤销信息发布到区块链上保存(每一条证书的撤销信息发布一条记录)。撤销记录信息的特点是实时发布,发布的更快,分散存储,没有规律性。
本实施例的终端证书是CA中心基于根证书签发的证书,并将其发布到终端上使用,该目标终端可以是区块链节点,或者是接入区块链节点的客户端,平台等。可验证终端,交易终端,普通终端等。
在一个实施方式中,还引入了智能合约的功能,在需要查询证书状态时,在区块链上触发已发布的用于验证证书状态的智能合约,此智能合约根据请求验证终端证书是否为某CA根证书颁发,根据CA发布的CRL或撤销信息,验证终端证书是否已撤销。或者智能合约直接返回终端证书对应的CRL文件或撤销信息,由应用自行验证使用的证书是否已经撤销。
使用撤销信息查询证书状态时,过程包括:提取目标证书的标识(如签名信息),使用该标识在区块链上查找与该标识对应的撤销信息,如果存在对应的撤销信息,则该证书已经撤销,否则,未撤销。
在一个可选的方案中,使用区块链上的根证书和撤销信息来生成验证结果,具体过程包括:验证方根据终端证书的签名信息确定客户端身份标识(在CA仅撤销发布在若干个客户端上的终端证书时,撤销证书的撤销条目还携带上述若干个客户端的身份标识),然后根据身份标识在区块链上查询对应的终端证书是否有撤销信息,同时由区块链上的根证书对查询结果进行签名,并将查询结果及根证书(可选)返回给验证方,验证方可以使用根证书的公钥验证签名并获取证书状态的查询结果。
基于智能合约的查询方案包括:首先区块链网络中安装部署证书管理的智能合约,各CA将证书和撤销条目通过智能合约发布到区块链网络中,然后客户端需要查询证书撤销信息时,接入节点并调用节点上的智能合约查询证书撤销的信息。智能合约是运行于区块链网络中的程序,可以根据客户端的请求查询指定条件(证书颁发者和证书唯一标识)的证书撤销信息。
具体的,根据智能合约验证证书状态的过程包括:当智能合约发布到区块链中后,智能合约会生成一个地址。在调用智能合约过程中,需要结合该智能合约的地址和接口描述信息才能成功调用智能合约。当接收到客户端发送的调用区块链中智能合约的验证请求后,基于区块链中预先存储的名字与合约描述信息之间的映射关系,根据名字获取智能合约的地址和接口描述信息列表;在接口描述信息列表中查找调用接口的接口描述信息,根据地址和接口描述信息调用智能合约。获取验证请求中的证书参数,并根据名字和调用接口调用智能合约;根据证书参数在智能合约中执行验证业务,得到验证结果,并将验证结果返回给客户端。
目标证书是用户身份或者终端身份的证明,可以在以下需要证明身份的场景下,查询证书状态,接收用于验证目标证书的证书状态的验证请求包括:
在客户端接入第一区块链节点时,从所述第一区块链节点接收用于验证所述客户端的目标证书的证书状态的验证请求;
在第二区块链节点使用安全套接层SSL协议与第三区块链节点建立通讯时,从所述第三区块链节点接收用于验证所述第二区块链节点的目标证书的证书状态的验证请求;
在第四区块链节点接收到客户端提交的线上交易时,从所述第四区块链节点接收用于验证所述线上交易的目标证书的证书状态和所述客户端的目标证书的证书状态的验证请求。
图3是本发明实施例查询目标证书的证书状态的流程示意图,根据所述根证书和所述撤销条目查询所述目标证书的证书状态包括:
S302,查询所述目标证书是否与所述根证书匹配,以及查询所述撤销条目中是否包含所述目标证书;
S304,在所述目标证书与所述根证书匹配,且所述撤销条目中不包含所述目标证书时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述撤销条目中包含所述目标证书时,确定所述目标证书的证书状态为无效状态。
可选的,在确定所述目标证书的证书状态为无效状态时,还包括:拒绝基于所述目标证书的后续操作。
在本实施例的一个可选实施方式中,所述CRL包括以下信息:证书标识符,撤销时间,撤销原因,以及撤销方,在所述撤销条目为所述CRL时,根据所述根证书和所述CRL查询所述目标证书的证书状态包括:
S11,查询所述目标证书是否与所述根证书匹配,以及查询所述CRL是否包含所述目标证书的证书标识符;
S12,在所述目标证书与所述根证书匹配,且所述CRL不包含所述目标证书的证书标识符时,确定所述目标证书的证书状态为有效状态;在所述CRL包含所述目标证书的证书标识符时,判断所述撤销时间是否在针对所述目标证书的操作时间之前;
S13,在所述撤销时间在针对所述目标证书的操作时间之前,确定所述目标证书的证书状态为无效状态,同时查询与所述证书标识符对应的撤销原因和撤销方,并向请求端反馈所述撤销原因和所述撤销方。
例如,操作时间为使用目标证书进行预定操作(如,接入,交易,通讯等)动的动作触发的时间,在一个示例中,操作时间为2018-12-14,撤销时间为2018-12-13,撤销时间在操作时间之前,确定证书状态为无效状态,否则可以确定证书状态为未知状态。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种证书状态的验证装置,可以是终端或服务器,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的证书状态的验证装置的结构框图,可以应用在客户端或服务器中,如图4所示,该装置包括:接收模块40,获取模块42,查询模块44,其中,
接收模块40,用于接收用于验证目标证书的证书状态的验证请求;
获取模块42,用于获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
查询模块44,用于根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
可选的,所述装置还包括:广播模块,用于在所述接收模块接收用于验证目标证书的证书状态的验证请求之前,采集目标证书的根证书和所述撤销条目,并向区块链的节点广播所述目标证书的根证书和所述撤销条目。
可选的,所述广播模块包括以下至少之一:第一广播单元,用于按照预设周期向区块链的节点广播所述撤销条目;第二广播单元,用于在当前撤销条目更新时,向区块链的节点广播更新后的撤销条目。
可选的,所述接收模块包括以下之一:第一接收模块,用于在客户端接入第一区块链节点时,从所述第一区块链节点接收用于验证所述客户端的目标证书的证书状态的验证请求;第二接收模块,用于在第二区块链节点使用安全套接层SSL协议与第三区块链节点建立通讯时,从所述第三区块链节点接收用于验证所述第二区块链节点的目标证书的证书状态的验证请求;第三接收模块,用于在第四区块链节点接收到客户端提交的线上交易时,从所述第四区块链节点接收用于验证所述线上交易的目标证书的证书状态和所述客户端的目标证书的证书状态的验证请求。
可选的,所述查询模块包括:第一查询单元,用于查询所述目标证书是否与所述根证书匹配,以及查询所述撤销条目中是否包含所述目标证书;确定单元,用于在所述目标证书与所述根证书匹配,且所述撤销条目中不包含所述目标证书时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述撤销条目中包含所述目标证书时,确定所述目标证书的证书状态为无效状态。
可选的,所述装置还包括:拒绝模块,用于在所述查询模块确定所述目标证书的证书状态为无效状态时,拒绝基于所述目标证书的后续操作。
可选的,所述CRL包括以下信息:证书标识符,撤销时间,撤销原因,以及撤销方,在所述撤销条目为所述CRL时,所述查询模块包括:第二查询单元,用于查询所述目标证书是否与所述根证书匹配,以及查询所述CRL是否包含所述目标证书的证书标识符;处理单元,用于在所述目标证书与所述根证书匹配,且所述CRL不包含所述目标证书的证书标识符时,确定所述目标证书的证书状态为有效状态;在所述CRL包含所述目标证书的证书标识符时,判断所述撤销时间是否在针对所述目标证书的操作时间之前;反馈单元,用于在所述撤销时间在针对所述目标证书的操作时间之前,确定所述目标证书的证书状态为无效状态,同时查询与所述证书标识符对应的撤销原因和撤销方,并向请求端反馈所述撤销原因和所述撤销方。
需要说明的是,终端和服务器仅是方案在执行主体上的差异,上述识别终端中的各个示例和可选方案同样适应在服务器中,并产生相同的技术效果。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收用于验证目标证书的证书状态的验证请求;
S2,获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
S3,根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收用于验证目标证书的证书状态的验证请求;
S2,获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
S3,根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种证书状态的验证方法,其特征在于,包括:
接收用于验证目标证书的证书状态的验证请求;
获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
2.根据权利要求1所述的方法,其特征在于,在接收用于验证目标证书的证书状态的验证请求之前,所述方法还包括:
采集目标证书的根证书和所述撤销条目,并向区块链的节点广播所述目标证书的根证书和所述撤销条目。
3.根据权利要求2所述的方法,其特征在于,向区块链的节点广播所述撤销条目包括:
按照预设周期向区块链的节点广播所述撤销条目。
4.根据权利要求2所述的方法,其特征在于,向区块链的节点广播所述撤销条目包括:
在当前撤销条目更新时,向区块链的节点广播更新后的撤销条目。
5.根据权利要求1述的方法,其特征在于,接收用于验证目标证书的证书状态的验证请求包括以下之一:
在客户端接入第一区块链节点时,所述第一区块链节点接收用于验证所述客户端的目标证书的证书状态的验证请求;
在第二区块链节点使用安全套接层SSL协议与第三区块链节点建立通讯时,所述第三区块链节点接收用于验证所述第二区块链节点的目标证书的证书状态的验证请求;
在第四区块链节点接收到客户端提交的线上交易时,所述第四区块链节点接收用于验证所述线上交易的目标证书的证书状态和所述客户端的目标证书的证书状态的验证请求。
6.根据权利要求3述的方法,其特征在于,根据所述根证书和所述撤销条目查询所述目标证书的证书状态包括:
查询所述目标证书是否与所述根证书匹配,以及查询所述撤销条目中是否包含所述目标证书;
在所述目标证书与所述根证书匹配,且所述撤销条目中不包含所述目标证书时,确定所述目标证书的证书状态为有效状态;在所述目标证书与所述根证书不匹配,或所述撤销条目中包含所述目标证书时,确定所述目标证书的证书状态为无效状态,在确定所述目标证书的证书状态为无效状态时,拒绝基于所述目标证书的后续操作。
7.根据权利要求4述的方法,其特征在于,所述CRL包括以下信息:证书标识符,撤销时间,撤销原因,以及撤销方,在所述撤销条目为所述CRL时,根据所述根证书和所述CRL查询所述目标证书的证书状态包括:
查询所述目标证书是否与所述根证书匹配,以及查询所述CRL是否包含所述目标证书的证书标识符;
在所述目标证书与所述根证书匹配,且所述CRL不包含所述目标证书的证书标识符时,确定所述目标证书的证书状态为有效状态;在所述CRL包含所述目标证书的证书标识符时,判断所述撤销时间是否在针对所述目标证书的操作时间之前;
在所述撤销时间在针对所述目标证书的操作时间之前,确定所述目标证书的证书状态为无效状态,同时查询与所述证书标识符对应的撤销原因和撤销方,并向请求端反馈所述撤销原因和所述撤销方。
8.一种证书状态的验证装置,其特征在于,包括:
接收模块,用于接收用于验证目标证书的证书状态的验证请求;
获取模块,用于获取所述目标证书的根证书和撤销条目,所述撤销条目包括:证书撤销列表CRL或撤销记录信息,所述撤销记录信息用于指示所有证书的撤销记录;
查询模块,用于根据所述根证书和所述撤销条目查询所述目标证书的证书状态。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910218411.0A CN109921910A (zh) | 2019-03-21 | 2019-03-21 | 证书状态的验证方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910218411.0A CN109921910A (zh) | 2019-03-21 | 2019-03-21 | 证书状态的验证方法及装置、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109921910A true CN109921910A (zh) | 2019-06-21 |
Family
ID=66966152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910218411.0A Pending CN109921910A (zh) | 2019-03-21 | 2019-03-21 | 证书状态的验证方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109921910A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912693A (zh) * | 2019-11-22 | 2020-03-24 | 福建金密网络安全测评技术有限公司 | 一种数字证书格式合规性检测系统 |
| CN112381648A (zh) * | 2020-11-11 | 2021-02-19 | 杭州甘道智能科技有限公司 | 一种基于区块链的模组智能启停控制方法 |
| CN114640467A (zh) * | 2022-03-15 | 2022-06-17 | 微位(深圳)网络科技有限公司 | 基于业务的数字证书查询方法及系统 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
| CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
| CN108964924A (zh) * | 2018-07-24 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 数字证书校验方法、装置、计算机设备和存储介质 |
| CN109413196A (zh) * | 2018-11-13 | 2019-03-01 | 四川长虹电器股份有限公司 | 一种智能匹配https访问证书的方法 |
-
2019
- 2019-03-21 CN CN201910218411.0A patent/CN109921910A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656455A (zh) * | 2015-07-13 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种网站访问方法及装置 |
| CN107425981A (zh) * | 2017-06-12 | 2017-12-01 | 清华大学 | 一种基于区块链的数字证书管理方法及系统 |
| CN108964924A (zh) * | 2018-07-24 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 数字证书校验方法、装置、计算机设备和存储介质 |
| CN109413196A (zh) * | 2018-11-13 | 2019-03-01 | 四川长虹电器股份有限公司 | 一种智能匹配https访问证书的方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912693A (zh) * | 2019-11-22 | 2020-03-24 | 福建金密网络安全测评技术有限公司 | 一种数字证书格式合规性检测系统 |
| CN110912693B (zh) * | 2019-11-22 | 2022-06-03 | 福建金密网络安全测评技术有限公司 | 一种数字证书格式合规性检测系统 |
| CN112381648A (zh) * | 2020-11-11 | 2021-02-19 | 杭州甘道智能科技有限公司 | 一种基于区块链的模组智能启停控制方法 |
| CN112381648B (zh) * | 2020-11-11 | 2024-04-05 | 杭州甘道智能科技有限公司 | 一种基于区块链的模组智能启停控制方法 |
| CN114640467A (zh) * | 2022-03-15 | 2022-06-17 | 微位(深圳)网络科技有限公司 | 基于业务的数字证书查询方法及系统 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116455633B (zh) * | 2023-04-17 | 2024-01-30 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011988A (zh) | 基于区块链的证书验证方法及装置、存储介质、电子装置 | |
| CN109921910A (zh) | 证书状态的验证方法及装置、存储介质、电子装置 | |
| CN107993149B (zh) | 账户信息管理方法、系统以及可读存储介质 | |
| CN108881232B (zh) | 业务系统的登录访问方法、装置、存储介质和处理器 | |
| CN101657980B (zh) | 分布式路由表体系结构和设计 | |
| CN107315786A (zh) | 业务数据存储方法及装置 | |
| CN107396360A (zh) | 区块验证方法及装置 | |
| CN108965469B (zh) | 区块链网络成员动态管理方法、装置、设备及存储介质 | |
| CN100463413C (zh) | 客户机间通信记录的一致性保证管理系统 | |
| CN110677383B (zh) | 防火墙开墙方法、装置、存储介质及计算机设备 | |
| CN111385180B (zh) | 通信隧道构建方法、装置、设备及介质 | |
| CN111490873A (zh) | 基于区块链的证书信息处理方法及系统 | |
| CN109299333A (zh) | 区块链网络账本成员管理方法、装置、设备及存储介质 | |
| CN106603435B (zh) | 分配端口块资源的方法及装置 | |
| CN105956423B (zh) | 认证方法及装置 | |
| CN105227736B (zh) | 一种预留手机号码的更新方法、装置及系统 | |
| CN111683060A (zh) | 通信消息验证方法、装置及计算机存储介质 | |
| CN109391473A (zh) | 一种电子签章的方法、装置及存储介质 | |
| CN112152791B (zh) | 一种证书更新方法以及相关设备 | |
| CN114554251B (zh) | 多媒体数据的请求方法和装置、存储介质及电子装置 | |
| CN110366164A (zh) | 远程控制终端的方法、服务器、终端、计算设备及存储介质 | |
| CN108183925B (zh) | 基于IoT的窄带通信方法 | |
| CN106330894B (zh) | 基于本地链路地址的savi代理认证系统及方法 | |
| CN113114465B (zh) | 归属权限的处理方法及装置、存储介质、电子装置 | |
| CN112564958B (zh) | 域内信任度数据共享系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190621 |
|
| RJ01 | Rejection of invention patent application after publication |