CN113132115B - 一种证书切换方法、装置和系统 - Google Patents
一种证书切换方法、装置和系统 Download PDFInfo
- Publication number
- CN113132115B CN113132115B CN202110557806.0A CN202110557806A CN113132115B CN 113132115 B CN113132115 B CN 113132115B CN 202110557806 A CN202110557806 A CN 202110557806A CN 113132115 B CN113132115 B CN 113132115B
- Authority
- CN
- China
- Prior art keywords
- certificate
- signature verification
- information table
- database
- message data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种证书切换方法、装置和系统,涉及自动程序设计技术领域。该方法的一具体实施方式包括从数据库加载含有所有验签证书的证书信息表;在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。该实施方式能够使得接收方无缝切换发送方的验签证书,无需依赖双方完全同步,解决了在切换证书的过程中双方证书不匹配的问题,提高数据传输的可靠性,避免业务中断。
Description
技术领域
本发明涉及自动程序设计技术领域,尤其涉及一种证书切换方法、装置和系统。
背景技术
在网络数据传输中,通常使用证书对传输的数据做签名、加密等处理,并且对证书进行定期更换,以确保数据的安全性,保证签名和加密的可靠性,防止证书泄露。目前证书切换的方案为在发送方更换新的签名证书时,接收方需要配合同步更换发送方提供的用于验证其签名的新的验签证书。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
在新旧证书切换并生效的过程中,由于发送方和接收方无法做到完全同步,容易造成双方证书不匹配的问题,导致数据传输产生异常、甚至业务中断。
发明内容
有鉴于此,本发明实施例提供一种证书切换方法、装置和系统,能够使得接收方无缝切换发送方的验签证书,无需依赖双方完全同步,解决了在切换证书的过程中双方证书不匹配的问题,提高数据传输的可靠性,避免业务中断。
为实现上述目的,根据本发明实施例的一个方面,提供了一种证书切换方法。
一种证书切换方法,包括:从数据库加载含有所有验签证书的证书信息表;在接收到报文数据后,在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证。
可选地,所述从数据库加载含有所有验签证书的证书信息表之前,包括:将所述所有验签证书导入预设数据库表,以生成所述数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。
可选地,当满足预设加载条件集中的任一加载条件时,从所述数据库加载含有所有验签证书的证书信息表,所述预设加载条件集中包括如下的加载条件:对应所述数据库的应用系统启动;所述数据库存储的证书信息表中有新验签证书导入。
可选地,在所述数据库存储的证书信息表中有新验签证书导入时,所述从数据库加载含有所有验签证书的证书信息表,包括:通过执行预设命令,强制刷新已加载的证书信息表,以使刷新后的证书信息表与所述数据库存储的最新证书信息表一致。
可选地,所述预设命令预先配置在所述应用系统的指定配置文件中。
可选地,所述新验签证书的生效时间早于所述报文数据的发送方的新签名证书的生效时间,所述新签名证书与所述新验签证书对应。
可选地,所述强制刷新已加载的证书信息表之后,还包括:向所述发送方发送证书切换通知,所述证书切换通知用于通知所述发送方将当前签名证书切换为所述新签名证书。
可选地,所述在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证,包括:将所述数据库存储的证书信息表加载至缓存中;根据所述报文数据中的证书序列号,在所述缓存中查找与所述报文数据中的证书序列号对应的证书密钥;通过查找到的所述证书密钥,对所述报文数据进行签名验证。
可选地,根据所述数据库存储的证书信息表中各验签证书的生效时间,按照设定的清理规则,定期清理所述数据库存储的部分验签证书。
可选地,所述预设加载条件集还包括如下的加载条件:所述数据库存储的部分验签证书被清理。
根据本发明实施例的另一方面,提供了一种证书切换装置。
一种证书切换装置,包括:证书信息表加载模块,用于从数据库加载含有所有验签证书的证书信息表;签名验证模块,用于在接收到报文数据后,在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证。
可选地,还包括证书信息表生成模块,用于:将所述所有验签证书导入预设数据库表,以生成所述数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。
可选地,当满足预设加载条件集中的任一加载条件时,从所述数据库加载含有所有验签证书的证书信息表,所述预设加载条件集中包括如下的加载条件:对应所述数据库的应用系统启动;所述数据库存储的证书信息表中有新验签证书导入。
可选地,所述证书信息表加载模块还用于:通过执行预设命令,强制刷新已加载的证书信息表,以使刷新后的证书信息表与所述数据库存储的最新证书信息表一致。
可选地,所述预设命令预先配置在所述应用系统的指定配置文件中。
可选地,所述新验签证书的生效时间早于所述报文数据的发送方的新签名证书的生效时间,所述新签名证书与所述新验签证书对应。
可选地,还包括通知模块,用于:向所述发送方发送证书切换通知,所述证书切换通知用于通知所述发送方将当前签名证书切换为所述新签名证书。
可选地,所述签名验证模块还用于:将所述数据库存储的证书信息表加载至缓存中;根据所述报文数据中的证书序列号,在所述缓存中查找与所述报文数据中的证书序列号对应的证书密钥;通过查找到的所述证书密钥,对所述报文数据进行签名验证。
可选地,根据所述数据库存储的证书信息表中各验签证书的生效时间,按照设定的清理规则,定期清理所述数据库存储的部分验签证书。
可选地,所述预设加载条件集还包括如下的加载条件:所述数据库存储的部分验签证书被清理。
根据本发明实施例的又一方面,提供了一种证书切换系统。
一种证书切换系统,包括:应用系统和数据库,所述应用系统包括证书切换装置,所述数据库存储有用于加载到所述应用系统的证书信息表,所述证书信息表中含有所有验签证书。
根据本发明实施例的又一方面,提供了一种电子设备。
一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现本发明实施例所提供的证书切换方法。
根据本发明实施例的又一方面,提供了一种计算机可读介质。
一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例所提供的证书切换方法。
上述发明中的一个实施例具有如下优点或有益效果:从数据库加载含有所有验签证书的证书信息表;在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。能够使得接收方无缝切换发送方的验签证书,无需依赖双方完全同步,解决了在切换证书的过程中双方证书不匹配的问题,提高数据传输的可靠性,避免业务中断。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明一个实施例的证书切换方法的主要步骤示意图;
图2是根据本发明一个实施例的证书切换方法的流程示意图;
图3是根据本发明一个实施例的证书切换装置的主要模块示意图;
图4是根据本发明一个实施例的证书切换系统的主要构成示意图;
图5是本发明实施例可以应用于其中的示例性系统架构图;
图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明一个实施例的证书切换方法的主要步骤示意图。
如图1所示,本发明一个实施例的证书切换方法主要包括如下的步骤S101至步骤S102。本发明一个实施例的证书切换方法可由接收方执行。
步骤S101:从数据库加载含有所有验签证书的证书信息表。
从数据库加载含有所有验签证书的证书信息表之前,可以包括:将所有验签证书导入预设数据库表,以生成数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。
数据库具体可以为接收方的数据库,预设数据库表即在接收方的数据库生成的数据库表。
证书标识例如证书序列号,证书信息表主要包括证书序列号和证书密钥等字段内容,其中证书序列号做为唯一索引。
当满足预设加载条件集中的任一加载条件时,从数据库加载含有所有验签证书的证书信息表,预设加载条件集中可以包括如下的加载条件:对应数据库的应用系统启动;数据库存储的证书信息表中有新验签证书导入。
对应数据库的应用系统具体为接收方的应用系统。
在数据库存储的证书信息表中有新验签证书导入时,从数据库加载含有所有验签证书的证书信息表,可以包括:通过执行预设命令,强制刷新已加载的证书信息表,以使刷新后的证书信息表与数据库存储的最新证书信息表一致。
在一个实施例中,预设命令可以是接收到的外部输入的用于强制刷新已加载的证书信息表的命令。
在另一个实施例中,预设命令预先配置在应用系统的指定配置文件中。指定配置文件为自定义的配置文件。
新验签证书的生效时间早于报文数据的发送方的新签名证书的生效时间,新签名证书与新验签证书对应。
发送方使用签名证书进行签名,验签证书是指接收方用于验证发送方签名的公钥证书。
强制刷新已加载的证书信息表之后,还可以包括:向发送方发送证书切换通知,证书切换通知用于通知发送方将当前签名证书切换为新签名证书。
根据数据库存储的证书信息表中各验签证书的生效时间,可以按照设定的清理规则,定期清理数据库存储的部分验签证书。
预设加载条件集还可以包括如下的加载条件:数据库存储的部分验签证书被清理(即删除)。
步骤S102:在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。
在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证,可以包括:将数据库存储的证书信息表加载至缓存中;根据报文数据中的证书序列号,在缓存中查找与报文数据中的证书序列号对应的证书密钥;通过查找到的证书密钥,对报文数据进行签名验证。
缓存具体可以是内存。
图2是根据本发明一个实施例的证书切换方法的流程示意图。
如图2所示,本发明实施例的接收方能同时使用发送方的新旧多套验签证书,在接收方接收到来自发送方的报文数据时,能够通过报文数据中的证书序列号来选取对应的证书密钥完成签名验证。
在一个实施例中,将所有验签证书导入预设数据库表,以生成数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。具体地,将多条验签证书记录保存至数据库表中,生成证书信息表,原有旧验签证书仍保留,此时证书信息表中同时保存了新旧多个验签证书,其中每一验签证书有对应的证书标识,证书标识可以包括证书序列号和证书密钥等信息。
在一个实施例中,当满足预设加载条件集中的任一加载条件时,从数据库加载含有所有验签证书的证书信息表,预设加载条件集中包括如下的加载条件:对应数据库的应用系统启动;数据库存储的证书信息表中有新验签证书导入。具体地,在应用系统启动和/或证书信息表发生变更的情况下,从数据库加载含有所有验签证书的证书信息表,以提高效率。
在一个实施例中,强制刷新已加载的证书信息表之后,向发送方发送证书切换通知,证书切换通知用于通知发送方将当前签名证书切换为新签名证书。接收方先于发送方切换并生效新证书,但无需依赖与发送方同步实施切换,具体地,在将新验签证书导入到证书信息表之前,新签名证书不生效,发送方仍使用旧签名证书进行签名;在将新验签证书导入到证书信息表之后,接收方向发送方发送发送证书切换通知,以通知发送方将当前签名证书切换为新签名证书;发送方在接收到证书切换通知之后,可以使用新签名证书进行签名。
在一个实施例中,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。具体地,将数据库存储的证书信息表加载至缓存中;接收方接收到来自发送方的报文数据,其中,报文数据中包含验签证书的证书序列号;根据报文数据中的证书序列号,在缓存中查找与报文数据中的证书序列号对应的证书密钥;通过查找到的证书密钥,对报文数据进行签名验证。由于证书信息表中的新旧验签证书均可以使用,因此不会出现因双方证书不同步导致的交易处理异常以及业务中断等问题。
其中,数字证书(即证书)是指在网络通讯中标志通讯各方身份信息的一个数字认证。证书以加密或解密的形式保证了信息和数据在网络传输中的完整性和安全性,可以通过电子商务认证中心(即CA中心)颁发,具有较高的权威性和公正性。CA中心采用的是以数字加密技术为核心的数字证书认证技术,利用一对密钥实施加密和解密,其中密钥包括私钥和公钥,私钥主要用于签名和解密,公钥用于签名验证和加密。证书内容包括证书序列号、证书有效期、证书密钥的信息。
图3是根据本发明一个实施例的证书切换装置的主要模块示意图。
如图3所示,本发明一个实施例的证书切换装置300主要包括:证书信息表加载模块301、签名验证模块302。
证书信息表加载模块301,用于从数据库加载含有所有验签证书的证书信息表。
签名验证模块302,用于在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。
在一个实施例中,还可以包括证书信息表生成模块,用于:将所有验签证书导入预设数据库表,以生成数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。
在一个实施例中,当满足预设加载条件集中的任一加载条件时,从数据库加载含有所有验签证书的证书信息表,预设加载条件集中包括如下的加载条件:对应数据库的应用系统启动;数据库存储的证书信息表中有新验签证书导入。
在一个实施例中,证书信息表加载模块301具体用于:通过执行预设命令,强制刷新已加载的证书信息表,以使刷新后的证书信息表与数据库存储的最新证书信息表一致。
在一个实施例中,预设命令预先配置在应用系统的指定配置文件中。
在一个实施例中,新验签证书的生效时间早于报文数据的发送方的新签名证书的生效时间,新签名证书与新验签证书对应。
在一个实施例中,还可以包括通知模块,用于:向发送方发送证书切换通知,证书切换通知用于通知发送方将当前签名证书切换为新签名证书。
在一个实施例中,签名验证模块302具体用于:将数据库存储的证书信息表加载至缓存中;根据报文数据中的证书序列号,在缓存中查找与报文数据中的证书序列号对应的证书密钥;通过查找到的证书密钥,对报文数据进行签名验证。
在一个实施例中,根据数据库存储的证书信息表中各验签证书的生效时间,按照设定的清理规则,定期清理数据库存储的部分验签证书。
在一个实施例中,预设加载条件集还可以包括如下的加载条件:数据库存储的部分验签证书被清理。
另外,在本发明实施例中证书切换装置的具体实施内容,在上面证书切换方法中已经详细说明了,故在此重复内容不再说明。
图4是根据本发明一个实施例的证书切换系统的主要构成示意图。
如图4所示,本发明一个实施例的证书切换系统400,主要包括:应用系统401和数据库402,应用系统401包括证书切换装置,数据库402存储有用于加载到应用系统的证书信息表,证书信息表中含有所有验签证书。应用系统401所包括的证书切换装置的功能与上文实施例介绍的证书切换装置300功能相同。
对于上文实施例已经介绍过的内容,本实施例不再赘述。
图5示出了可以应用本发明实施例的证书切换方法或证书切换装置的示例性系统架构500。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对用户利用终端设备501、502、503所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的证书切换方法一般由服务器505或终端设备501、502、503执行,相应地,证书切换装置一般设置于服务器505或终端设备501、502、503中。
应该理解,图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图6,其示出了适于用来实现本发明实施例的终端设备或服务器的计算机系统600的结构示意图。图6示出的终端设备或服务器仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括证书信息表加载模块、签名验证模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,证书信息表加载模块还可以被描述为“用于从数据库加载含有所有验签证书的证书信息表的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:从数据库加载含有所有验签证书的证书信息表;在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。
根据本发明实施例的技术方案,从数据库加载含有所有验签证书的证书信息表;在接收到报文数据后,在加载的证书信息表中查找与报文数据中的证书标识对应的验签证书,利用查找到的验签证书对报文数据进行签名验证。能够使得接收方无缝切换发送方的验签证书,无需依赖双方完全同步,解决了在切换证书的过程中双方证书不匹配的问题,提高数据传输的可靠性,避免业务中断。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (13)
1.一种证书切换方法,其特征在于,包括:
当满足预设加载条件集中的任一加载条件时,从数据库加载含有所有验签证书的证书信息表;所述预设加载条件集中包括所述数据库存储的证书信息表中有新验签证书导入;所述所有验签证书包括所述新验签证书和旧验签证书;
在所述数据库存储的证书信息表中有新验签证书导入时,向发送方发送证书切换通知,所述证书切换通知用于通知所述发送方将当前签名证书切换为新签名证书;
在接收到来自所述发送方的报文数据后,在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证;所述报文数据中的证书标识与所述新验签证书或所述旧验签证书对应,所述查找到的所述验签证书为所述新验签证书或所述旧验签证书,其中,在所述报文数据中的证书标识与所述新验签证书对应的情况下,所述查找到的所述验签证书为所述新验签证书,在所述报文数据中的证书标识与所述旧验签证书对应的情况下,所述查找到的所述验签证书为所述旧验签证书。
2.根据权利要求1所述的方法,其特征在于,所述从数据库加载含有所有验签证书的证书信息表之前,包括:
将所述所有验签证书导入预设数据库表,以生成所述数据库存储的含有所有验签证书的证书信息表,其中每一验签证书有对应的证书标识。
3.根据权利要求2所述的方法,其特征在于,当满足预设加载条件集中的任一加载条件时,从所述数据库加载含有所有验签证书的证书信息表,所述预设加载条件集中还包括如下的加载条件:
对应所述数据库的应用系统启动。
4.根据权利要求3所述的方法,其特征在于,在所述数据库存储的证书信息表中有新验签证书导入时,所述从数据库加载含有所有验签证书的证书信息表,包括:
通过执行预设命令,强制刷新已加载的证书信息表,以使刷新后的证书信息表与所述数据库存储的最新证书信息表一致。
5.根据权利要求4所述的方法,其特征在于,所述预设命令预先配置在所述应用系统的指定配置文件中。
6.根据权利要求4所述的方法,其特征在于,所述新验签证书的生效时间早于所述报文数据的发送方的新签名证书的生效时间,所述新签名证书与所述新验签证书对应。
7.根据权利要求2所述的方法,其特征在于,所述在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证,包括:
将所述数据库存储的证书信息表加载至缓存中;
根据所述报文数据中的证书序列号,在所述缓存中查找与所述报文数据中的证书序列号对应的证书密钥;
通过查找到的所述证书密钥,对所述报文数据进行签名验证。
8.根据权利要求3所述的方法,其特征在于,根据所述数据库存储的证书信息表中各验签证书的生效时间,按照设定的清理规则,定期清理所述数据库存储的部分验签证书。
9.根据权利要求8所述的方法,其特征在于,所述预设加载条件集还包括如下的加载条件:所述数据库存储的部分验签证书被清理。
10.一种证书切换装置,其特征在于,包括:
证书信息表加载模块,用于当满足预设加载条件集中的任一加载条件时,从数据库加载含有所有验签证书的证书信息表;所述预设加载条件集中包括所述数据库存储的证书信息表中有新验签证书导入;所述所有验签证书包括所述新验签证书和旧验签证书;
证书切换通知发送模块,用于在所述数据库存储的证书信息表中有新验签证书导入时,向发送方发送证书切换通知,所述证书切换通知用于通知所述发送方将当前签名证书切换为新签名证书;
签名验证模块,用于在接收到来自所述发送方的报文数据后,在加载的证书信息表中查找与所述报文数据中的证书标识对应的验签证书,利用查找到的所述验签证书对所述报文数据进行签名验证;所述报文数据中的证书标识与所述新验签证书或所述旧验签证书对应,所述查找到的所述验签证书为所述新验签证书或所述旧验签证书,其中,在所述报文数据中的证书标识与所述新验签证书对应的情况下,所述查找到的所述验签证书为所述新验签证书,在所述报文数据中的证书标识与所述旧验签证书对应的情况下,所述查找到的所述验签证书为所述旧验签证书。
11.一种证书切换系统,其特征在于,包括:应用系统和数据库,所述应用系统包括如权利要求10所述的证书切换装置,所述数据库存储有用于加载到所述应用系统的证书信息表,所述证书信息表中含有所有验签证书。
12.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
13.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-9中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110557806.0A CN113132115B (zh) | 2021-05-21 | 2021-05-21 | 一种证书切换方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110557806.0A CN113132115B (zh) | 2021-05-21 | 2021-05-21 | 一种证书切换方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132115A CN113132115A (zh) | 2021-07-16 |
| CN113132115B true CN113132115B (zh) | 2023-03-14 |
Family
ID=76782390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110557806.0A Active CN113132115B (zh) | 2021-05-21 | 2021-05-21 | 一种证书切换方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113132115B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2808819A1 (fr) * | 2013-05-29 | 2014-12-03 | Avencis | Procédé de mise à jour de certificats dans un dispositif portable |
| CN107995165A (zh) * | 2017-11-02 | 2018-05-04 | 上海斐讯数据通信技术有限公司 | 一种支持ssl协议同算法多证书的匹配方法及系统 |
| CN108370374A (zh) * | 2015-12-14 | 2018-08-03 | 亚马逊技术有限公司 | 证书更新和部署 |
| WO2018184841A1 (en) * | 2017-04-03 | 2018-10-11 | Gemalto Sa | Method for renewing a certificate in a secure element |
| CN109784030A (zh) * | 2018-11-30 | 2019-05-21 | 畅捷通信息技术股份有限公司 | 一种ca证书管理的方法及系统 |
| CN110557255A (zh) * | 2018-05-31 | 2019-12-10 | 北京京东尚科信息技术有限公司 | 一种证书管理的方法和装置 |
| CN112187453A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种数字证书更新方法、系统、电子设备和可读存储介质 |
| CN112332975A (zh) * | 2020-11-03 | 2021-02-05 | 郑州信大捷安信息技术股份有限公司 | 物联网设备安全通信方法及系统 |
| CN112367173A (zh) * | 2020-10-27 | 2021-02-12 | 北京数码视讯科技股份有限公司 | 信息处理方法、装置、芯片、终端及电子设备 |
| CN112766962A (zh) * | 2021-01-20 | 2021-05-07 | 中信银行股份有限公司 | 证书的接收、发送方法及交易系统、存储介质、电子装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10057067B2 (en) * | 2015-05-27 | 2018-08-21 | International Business Machines Corporation | Automatic root key rollover during digital signature verification |
| CN109347921A (zh) * | 2018-09-20 | 2019-02-15 | 北京京东金融科技控股有限公司 | 一种数字证书业务的处理方法和装置 |
| CN111049835B (zh) * | 2019-12-16 | 2022-03-29 | 朱亚农 | 分布式公共证书服务网络的统一身份管理系统 |
| CN112202719B (zh) * | 2020-09-04 | 2022-09-13 | 广州江南科友科技股份有限公司 | 基于数字证书的签名方法、系统、装置及存储介质 |
-
2021
- 2021-05-21 CN CN202110557806.0A patent/CN113132115B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2808819A1 (fr) * | 2013-05-29 | 2014-12-03 | Avencis | Procédé de mise à jour de certificats dans un dispositif portable |
| CN108370374A (zh) * | 2015-12-14 | 2018-08-03 | 亚马逊技术有限公司 | 证书更新和部署 |
| WO2018184841A1 (en) * | 2017-04-03 | 2018-10-11 | Gemalto Sa | Method for renewing a certificate in a secure element |
| CN107995165A (zh) * | 2017-11-02 | 2018-05-04 | 上海斐讯数据通信技术有限公司 | 一种支持ssl协议同算法多证书的匹配方法及系统 |
| CN110557255A (zh) * | 2018-05-31 | 2019-12-10 | 北京京东尚科信息技术有限公司 | 一种证书管理的方法和装置 |
| CN109784030A (zh) * | 2018-11-30 | 2019-05-21 | 畅捷通信息技术股份有限公司 | 一种ca证书管理的方法及系统 |
| CN112187453A (zh) * | 2020-09-10 | 2021-01-05 | 中信银行股份有限公司 | 一种数字证书更新方法、系统、电子设备和可读存储介质 |
| CN112367173A (zh) * | 2020-10-27 | 2021-02-12 | 北京数码视讯科技股份有限公司 | 信息处理方法、装置、芯片、终端及电子设备 |
| CN112332975A (zh) * | 2020-11-03 | 2021-02-05 | 郑州信大捷安信息技术股份有限公司 | 物联网设备安全通信方法及系统 |
| CN112766962A (zh) * | 2021-01-20 | 2021-05-07 | 中信银行股份有限公司 | 证书的接收、发送方法及交易系统、存储介质、电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113132115A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4191430A1 (en) | Data processing method and apparatus applied to blockchain system | |
| CN110611657A (zh) | 一种基于区块链的文件流处理的方法、装置及系统 | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN112182514A (zh) | 授权验证的方法、装置、设备和计算机可读介质 | |
| CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
| CN112437044B (zh) | 即时通讯方法和装置 | |
| CN112966287B (zh) | 获取用户数据的方法、系统、设备和计算机可读介质 | |
| CN114239072B (zh) | 区块链节点管理方法及区块链网络 | |
| CN113193961A (zh) | 一种数字证书管理方法和装置 | |
| CN113765968A (zh) | 一种文件传输方法、装置和系统 | |
| CN111814131A (zh) | 一种设备注册和配置管理的方法和装置 | |
| CN113206746B (zh) | 一种数字证书管理方法和装置 | |
| CN115296807B (zh) | 用于预防工控网络病毒的密钥生成方法、装置、设备 | |
| CN114584355B (zh) | 一种用于数字货币交易的安全认证方法、装置和系统 | |
| CN113132115B (zh) | 一种证书切换方法、装置和系统 | |
| CN107707528B (zh) | 一种用户信息隔离的方法和装置 | |
| CN114095165B (zh) | 密钥更新方法、服务端设备、客户端设备及存储介质 | |
| CN112966286B (zh) | 用户登录的方法、系统、设备和计算机可读介质 | |
| CN113206745B (zh) | 一种数字证书管理方法和装置 | |
| CN111885510B (zh) | 一种考勤方法、考勤客户端和考勤系统 | |
| CN110166226B (zh) | 一种生成秘钥的方法和装置 | |
| CN110611656B (zh) | 一种基于主身份多重映射的身份管理方法、装置及系统 | |
| CN110602076B (zh) | 一种基于主身份多重认证的身份使用方法、装置及系统 | |
| CN110602074B (zh) | 一种基于主从关联的业务身份使用方法、装置及系统 | |
| CN111786874B (zh) | 一种来电显示方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |