CN116346396A - 数字证书分发方法、装置、电子设备及存储介质 - Google Patents
数字证书分发方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116346396A CN116346396A CN202211616294.1A CN202211616294A CN116346396A CN 116346396 A CN116346396 A CN 116346396A CN 202211616294 A CN202211616294 A CN 202211616294A CN 116346396 A CN116346396 A CN 116346396A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- domain name
- index
- name information
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 7
- 239000004973 liquid crystal related substance Substances 0.000 description 6
- 238000009434 installation Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Abstract
本发明提供一种数字证书分发方法、装置、电子设备及存储介质,涉及网络安全技术领域,方法包括:接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引,实现了数字证书的分发,提升了系统的安全的同时,不会导致数字证书域名的变更,不需要申请购买新的数字证书,降低了费用和时间成本,不会产生安装新的数字证书对系统产生任何的影响。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数字证书分发方法、装置、电子设备及存储介质。
背景技术
随着信息技术的高速发展,各类互联网技术(Internet Technology,IT)的应用业务系统被研发出来,并且为各行业进行服务;其中,基于全球广域网(World Wide Web,WEB)的浏览器/服务器(Browser/Server,B/S)模式的网络应用系统占据了重要地位。在应用业务系统带来便利的同时,应用业务系统安全、通信安全和数据安全显得特别重要。在固有应用业务系统不做任何网络变动的情况下,为WEB网络应用服务添加一层安全套接层(Securesocket layer,SSL)防护(SSL数字证书)显然是一种既快速又经济的办法。
相关技术中,服务器在部署WEB应用时会将数字证书绑定到固定的WEB应用。在WEB应用运行期间,服务器接收浏览器发送的超文本传输安全协议(Hypertext TransferProtocol Secure,HTTPS)请求,服务器将绑定的WEB应用的数字证书直接发送给访问者(浏览器),而服务器不检测数字证书的“域名系统(Domain Name System,DNS)名称”是否和访问者请求的域名匹配。如果请求者检测到数字证书的“DNS名称”和自身的域名不匹配,则认为服务器可能存在安全风险(例如,可能是钓鱼网站,而实际不是)。对于此,通常的做法包括:一是将所有映射到服务器的域名都注册到同一个SSL数字证书里面;二是使用泛域名SSL证书。
然而,如果把所有的域名都添加到同一个SSL数字证书,随着时间的推移,同一个SSL数字证书的域名肯定会增加或变更,每一次变更就得重新申请购买新的SSL数字证书,不但要消耗相当的费用,而且申请证书也需要周期,导致费用和时间成本均较高,同时安装新的SSL数字证书影响系统的正常运行;虽然采用泛域名可以应对域名的变更,但价格(年费)高,成本大。
发明内容
本发明提供一种数字证书分发方法、装置、电子设备及存储介质,用以解决现有技术中同一个SSL数字证书中的域名增加或变更,以及采用泛域名所带来的费用和时间成本较高,安装数字证书对系统影响的问题。
本发明提供一种数字证书分发方法,包括:
接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;
解析请求数据包,得到第一域名信息和第一索引;
基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
根据本发明提供的一种数字证书分发方法,基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书,包括:
基于第一索引和预先构建的目标数字证书库,将第一索引分别与目标数字证书库中的各第二索引进行匹配;
基于匹配的结果,确定是否向浏览器分发第一数字证书。
根据本发明提供的一种数字证书分发方法,基于匹配的结果,确定是否向浏览器分发第一数字证书,包括:
在第一索引与各第二索引匹配成功的情况下,向浏览器分发匹配成功的第二索引对应的第一数字证书;
在第一索引与各第二索引匹配失败的情况下,拒绝访问请求。
根据本发明提供的一种数字证书分发方法,在接收浏览器发送的访问请求之前,方法还包括:
构建第一数字证书库;第一数字证书库包括至少一个第二数字证书;第二数字证书包括第三域名信息。
根据本发明提供的一种数字证书分发方法,方法还包括:
获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息;
基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库;
对目标数字证书库中各第一数字证书的第二域名信息分别建立第一索引。
根据本发明提供的一种数字证书分发方法,基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库,包括:
基于各第三数字证书,将各第三数字证书存储至第一数字证书库;
对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息;
基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库。
本发明还提供一种数字证书分发装置,包括:
接收模块,用于接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;
解析模块,用于解析请求数据包,得到第一域名信息和第一索引;
确定模块,用于基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如上述任一种数字证书分发方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种数字证书分发方法。
本发明还提供一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时实现如上述任一种数字证书分发方法。
本发明提供的数字证书分发方法、装置、电子设备及存储介质,通过接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;再根据第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;其中,目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。通过浏览器访问的第一域名信息的第一索引和预先构建的目标数字证书库中多个第一数字证书的第二域名信息的第二索引,确定是否向浏览器分发第一数字证书,实现了数字证书的分发,提升了系统的安全的同时,不会导致数字证书域名的变更,不需要申请购买新的数字证书,进而降低了费用和时间成本,更不会产生安装新的数字证书对系统产生任何的影响。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的数字证书分发方法的流程示意图之一;
图2是本发明提供的数字证书分发方法的流程示意图之二;
图3是本发明提供的数字证书分发装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于更加清晰地理解本申请各实施例,首先对本申请涉及的一些相关知识进行如下介绍。
一般的WEB中间件(或WEB容器,如WebLogic、汤姆猫(Tomcat)、互联网信息服务(Internet Information Services,IIS)、Nginx等)都是支持为部署在WEB中间件下的WEB应用设置SSL数字证书,其中,为WEB应用添加SSL数字证书时,至少需要做两件事情:一、对SSL数字证书做有效性检测;二、SSL数字证书的安装和配置。
有效性检测一般包括:1)是否在有效期内;2)是否匹配当前应用的访问域;3)证书是否被吊销;4)证书签发机构是否被吊销或有效;5)证书格式是否合法;6)证书算法是否支持等。证书的有效性一般是是通过人为判断的。
对于SSL数字证书的安装和配置,针对不同的中间件,SSL数字证书安装配置方法是不一样的,但都有一个共同点,即不同的中间件都需要将SSL数字证书绑定到固定的WEB应用。为安装并使用了SSL数字证书的WEB应用提供的服务都是采用HTTPS协议,浏览器在访问这些WEB应用时,首先会获取到服务器发送的数字证书并验证有效性,验证正确后再进行后续协议协商和数据通信。
HTTP WEB服务器启动后,在没有使用SSL数字证书的情况下,只要能访问到服务和开放的WEB端口,服务器的服务就能被正常访问。例如,有一台服务器安装了WEB服务,占用的端口是80,我们就可以通过如下地址均可以访问该服务:
#服务器本机访问
http://127.0.0.1
http://localhost/
#局域网内部网络访问,假设服务器的IP地址为:192.168.1.111
http:192.168.1.111/
#其他网络访问,假设服务通过网络设备映射到其他网络,并划定网络地址为:101.111.200.121
http://101.111.200.121
#通过域名访问,假设通过DNS通过映射域名:www.mydomain.com.cn到主机
http://www.mydomain.com.cn
如果需要给WEB应用添加SSL数字证书,首先需要向数字证书签发机构提出申请,SSL证书申请人提供足够的信息以供证书签发,其中一项重要且必须的信息就是证书所要绑定的域(domain),也就是访问者访问系统时用到的域名(以此来确定证书提供者的身份),证书绑定的域名一般有两类,分别为固定域名和泛域名,例如:
#固定域名(指定的一个或多个域名)
#主域名,也称作顶级域名
mydomain.com.cn
#一级域名,仅以www开头的域名,因此,只有一个
www.mydomain.com.cn
#二级域名,理论上没有数量限制,但需要指定
files.mydomain.com.cn
apis.mydomain.com.cn
docs.mydomain.com.cn
#泛域名(泛指全部的一级和二级域名)
#主域名,也称作顶级域名
mydomain.com.cn
#泛域名,包含了www的一级域名,理论上没有数量限制
*.mydomain.com.cn
针对mydomain.com.cn签发数字证书,那么,签发下来的数字证书绑定的域名表示为:
DNS名称mydomain.com.cn
DNS名称www.mydomain.com.cn
如果仅仅是绑定到docs.mydomain.com.cn,那么,签发下来的数字证书绑定的域名表示为:
DNS名称docs.mydomain.com.cn
如果绑定多个指定的二级域名,那么,签发下来的数字证书绑定的域名表示为:
DNS名称mydomain.com.cn
DNS名称www.mydomain.com.cn
DNS名称files.mydomain.com.cn
DNS名称apis.mydomain.com.cn
DNS名称docs.mydomain.com.cn
如果绑定顶级域名和泛域名,那么,签发下来的数字证书绑定的域名表示为:
DNS名称mydomain.com.cn
DNS名称*.mydomain.com.cn
需要注意的是,在浏览器访问HTTPS网站时,浏览器会自动获取到服务器给的SSL数字证书并解析出内部的“主题替代名称”,之后和浏览器访问的HTTP地址中的域名对比匹配,只有满足匹配才是合法的证书,否则就会提示证书有问题,从而就不能正常访问到WEB服务。
除此之外,数字证书绑定的“DNS名称”理论上没有限制,也不仅仅是同一个顶级域名和下面的二级域名,也可以绑定其它顶级域名。
下面结合图1-图2描述本发明的数字证书分发方法。
图1是本发明提供的数字证书分发方法,如图1所示,该方法包括:步骤101-步骤103;其中,
步骤101,接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引。
具体地,需要说明的是,本发明提供的数字证书分发方法,适用于数字证书分发的场景中,该方法的执行主体可以为数字证书分发装置,例如服务器、电子设备、或者该数字证书分发装置中的用于执行数字证书分发方法的控制模块。
具体地,在中间件启动完成之后,浏览器访问服务时,服务器接收可以接收浏览器发送的访问请求;其中,访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引。进一步地,数据包还可以包括加密算法,例如,对称加密算法、非对称加密算法、单向散列加密算法、哈希加密算法和循环冗余校验(CyclicRedundancy Check,CRC)加密算法等。
步骤102,解析请求数据包,得到第一域名信息和第一索引。
具体地,在接收到访问请求中包括的请求数据包之后,服务器解析出请求数据包中的元数据,并提取出浏览器访问的第一域名信息和第一域名信息的第一索引。
步骤103,基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
需要说明的是,在服务器中的中间件或者WEB容器中预先构建目标数字证书库,目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
具体地,根据解析出的第一域名信息的第一索引和预先构建的目标数字证书库中每个第一数字证书包括的第二域名信息的第二索引,确定是否向浏览器分发第一数字证书。
本发明提供的数字证书分发方法,通过接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;再根据第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;其中,目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。通过浏览器访问的第一域名信息的第一索引和预先构建的目标数字证书库中多个第一数字证书的第二域名信息的第二索引,确定是否向浏览器分发第一数字证书,实现了数字证书的分发,提升了系统的安全的同时,不会导致数字证书域名的变更,不需要申请购买新的数字证书,进而降低了费用和时间成本,更不会产生安装新的数字证书对系统产生任何的影响。
可选地,上述步骤103的具体实现方式包括:
a)基于第一索引和预先构建的目标数字证书库,将第一索引分别与目标数字证书库中的各第二索引进行匹配。
具体地,根据浏览器访问的第一域名信息的第一索引和预先构建的目标数字证书库,将第一索引分别与目标数字证书库中的多个第一数字证书对应的第二索引进行匹配。
可选地,也可以将浏览器访问的第一域名信息和目标数字证书库中的多个第一数字证书包括的第二域名信息进行匹配。
b)基于匹配的结果,确定是否向浏览器分发第一数字证书。
具体地,根据匹配的结果,可以进一步确定是否向浏览器分发第一数字证书。
可选地,基于匹配的结果,确定是否向浏览器分发第一数字证书,包括:
在第一索引与各第二索引匹配成功的情况下,向浏览器分发匹配成功的第二索引对应的第一数字证书;在第一索引与各第二索引匹配失败的情况下,拒绝访问请求。
具体地,在第一索引与各第二索引匹配成功的情况下,服务器中的中间件(WEB容器)向浏览器分发匹配成功的第二索引对应的第一数字证书;在第一索引与各第二索引匹配失败的情况下,服务器拒绝浏览器的访问请求,直接断开连接,中间件(WEB容器)不向浏览器提供服务。
本发明提供的数字证书分发方法,通过将第一索引分别与目标数字证书库中的各第二索引进行匹配,在第一索引与各第二索引匹配成功的情况下,向浏览器分发匹配成功的第二索引对应的第一数字证书;在第一索引与各第二索引匹配失败的情况下,拒绝访问请求,实现了数字证书的安全分发,提升了系统的安全的同时,不会导致数字证书域名的变更,不需要申请购买新的数字证书,进而降低了费用和时间成本,更不会产生安装新的数字证书对系统产生任何的影响。
可选地,在接收浏览器发送的访问请求之前,方法还包括:
构建第一数字证书库;第一数字证书库包括至少一个第二数字证书;第二数字证书包括第三域名信息。
具体地,首先在服务器中的中间件或者WEB容器中预先构建了第一数字证书库,其中,第一数字证书库中可以存储已经购买的至少一个第二数字证书,第二数字证书包括第三域名信息。
具体地,方法还包括:
1)获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息。
具体地,在新拓展了至少一个域名,即向数字证书签发机构新申请了至少一个新的数字证书的情况下,可以获取到至少一个第三数字证书,第三数字证书即为新加入的数字证书,第三数字证书包括第四域名信息。
2)基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库。
具体地,在获取到至少一个第三数字证书之后,可以将每个第三数字证书动态的注入到预先构建的第一数字证书库中,因此,根据第一数字证书库中的多个第二数字证书和新加入的多个第三数字证书,可以实现对第一数字证书库的更新,得到目标数字证书库。
需要说明的是,在将每个第三数字证书动态的注入到预先构建的第一数字证书库中时,可以实现对第一数字证书库中的每个数字证书的动态管理,同时,也不需要重新启动中间件影响业务系统的正常运行,此外,如果新拓展的至少一个域名是单域名,由于单域名的申请是免费的,因此,可以减少数字证书购买的费用。
可选地,基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库,包括:
基于各第三数字证书,将各第三数字证书存储至第一数字证书库;对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息;基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库。
具体地,根据新拓展的多个第三数字证书,将多个第三数字证书存储至预先构建的第一数字证书库中,即将多个第三数字证书动态注入到预先构建的第一数字证书库,此时第一数字证书库中包括多个第二数字证书和多个第三数字证书。
进一步地,对第一数字证书库中所有的数字证书进行解析,解析出所有的数字证书分别对应的目标域名信息;其中,目标域名信息可以是第三域名信息,也可以是第四域名信息。
进一步地,根据解析出所有的数字证书的目标域名信息,剔除无效的目标域名信息,即剔除第一数字证书库中的无效数字证书,从而得到目标数字证书库。
3)对目标数字证书库中各第一数字证书的第二域名信息分别建立第一索引。
具体地,由于目标数字证书库中存储多个第二数字证书和多个第三数字证书,因此,第一数字证书为第二数字证书或者第三数字证书,第二域名信息为第二数字证书的第三域名信息或者第三数字证书的第四域名信息。对目标数字证书库中多个第一数字证书的第二域名信息分别建立第一索引以备用。
本发明提供的数字证书分发方法,通过获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息;将各第三数字证书存储至第一数字证书库,再对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息;基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库,实现了动态管理新加入的数字证书,如果新加入的数字证书为单域名,则可以减少购买数字证书的费用,同时也不必要重启中间件影响业务系统的正常运行,即动态支持到业务的拓展,又节省了购买证书的费用,还降低了因部署数字证书停启应用可能带来的风险。
图2是本发明提供的数字证书分发方法的流程示意图之二,如图2所示,该方法包括:步骤201-步骤211;其中,
步骤201,构建第一数字证书库;第一数字证书库包括至少一个第二数字证书;第二数字证书包括第三域名信息。第一数字证书库中可以存储已经购买的至少一个第二数字证书。
步骤202,动态注入数字证书。获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息。将多个第三数字证书存储至第一数字证书库。
步骤203,解析数字证书。对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息。
步骤204,更新第一数字证书库。基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库。
步骤205,建立第一索引。对目标数字证书库中多个第一数字证书的第二域名信息分别建立第一索引,第一索引可以是第二域名信息。
步骤206,接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引。
步骤207,解析请求数据包,判断解析之后的请求数据包是否存在第一域名信息和第一域名信息的第一索引。若解析之后的请求数据包不存在第一域名信息和第一域名信息的第一索引,则转至步骤211;若解析之后的请求数据包存在第一域名信息和第一域名信息的第一索引,转至步骤208。
步骤208,查找匹配的数字证书。将第一索引分别与目标数字证书库中的各第二索引进行匹配。
步骤209,判断第一索引与目标数字证书库中的多个第二索引是否匹配,若第一索引与目标数字证书库中的多个第二索引存在匹配的情况下,转至步骤210;若第一索引与目标数字证书库中的多个第二索引不匹配的情况下,转至步骤211。
步骤210,向浏览器分发匹配成功的第二索引对应的第一数字证书。
步骤211,拒绝请求。
本发明提供的数字证书分发方法,能够解决WEB中间件将SSL数字证书通过配置固定绑定到应用程序,一旦需要多域名支持时,除了用多域名数字证书或泛域名数字证书之外,几乎不能使用多个数字证书到同一个应用的同一个WEB端口的问题,同时单域名SSL数字证书有免费的,在DNS需求量不大的情况下,几乎零成本实现系统安全升级;以及可以使用多个单域名数字证书动态调度,替代了多域名或泛域名等这种高昂费用的数字证书的申请,在提升系统安全的同时,真正意义上实现了降本增效。
下面对本发明提供的数字证书分发装置进行描述,下文描述的数字证书分发装置与上文描述的数字证书分发方法可相互对应参照。
图3是本发明提供的数字证书分发装置的结构示意图,如图3所示,数字证书分发装置300包括:接收模块301、解析模块302和确定模块303;其中,
接收模块301,用于接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;
解析模块302,用于解析请求数据包,得到第一域名信息和第一索引;
确定模块303,用于基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
本发明提供的数字证书分发装置,通过接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;再根据第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;其中,目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。通过浏览器访问的第一域名信息的第一索引和预先构建的目标数字证书库中多个第一数字证书的第二域名信息的第二索引,确定是否向浏览器分发第一数字证书,实现了数字证书的分发,提升了系统的安全的同时,不会导致数字证书域名的变更,不需要申请购买新的数字证书,进而降低了费用和时间成本,更不会产生安装新的数字证书对系统产生任何的影响。
可选地,确定模块302,具体用于:
基于第一索引和预先构建的目标数字证书库,将第一索引分别与目标数字证书库中的各第二索引进行匹配;
基于匹配的结果,确定是否向浏览器分发第一数字证书。
可选地,确定模块302,具体用于:
在第一索引与各第二索引匹配成功的情况下,向浏览器分发匹配成功的第二索引对应的第一数字证书;
在第一索引与各第二索引匹配失败的情况下,拒绝访问请求。
可选地,数字证书分发装置300还包括:
构建模块,用于构建第一数字证书库;第一数字证书库包括至少一个第二数字证书;第二数字证书包括第三域名信息。
可选地,数字证书分发装置300还包括:
获取模块,用于获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息;
更新模块,用于基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库;
建立模块,用于对目标数字证书库中各第一数字证书的第二域名信息分别建立第一索引。
更新模块,具体用于:
基于各第三数字证书,将各第三数字证书存储至第一数字证书库;
对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息;
基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库。
图4是本申请提供的一种电子设备的实体结构示意图,如图4所示,该电子设备400可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行数字证书分发方法,该方法包括:XXXXXXX。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,计算机程序被处理器执行时,计算机能够执行上述各方法所提供的数字证书分发方法,该方法包括:接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的数字证书分发方法,该方法包括:接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;解析请求数据包,得到第一域名信息和第一索引;基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种数字证书分发方法,其特征在于,包括:
接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;
解析请求数据包,得到第一域名信息和第一索引;
基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
2.根据权利要求1的数字证书分发方法,其特征在于,基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书,包括:
基于第一索引和预先构建的目标数字证书库,将第一索引分别与目标数字证书库中的各第二索引进行匹配;
基于匹配的结果,确定是否向浏览器分发第一数字证书。
3.根据权利要求2的数字证书分发方法,其特征在于,基于匹配的结果,确定是否向浏览器分发第一数字证书,包括:
在第一索引与各第二索引匹配成功的情况下,向浏览器分发匹配成功的第二索引对应的第一数字证书;
在第一索引与各第二索引匹配失败的情况下,拒绝访问请求。
4.根据权利要求1-3任一项的数字证书分发方法,其特征在于,在接收浏览器发送的访问请求之前,方法还包括:
构建第一数字证书库;第一数字证书库包括至少一个第二数字证书;第二数字证书包括第三域名信息。
5.根据权利要求4的数字证书分发方法,其特征在于,方法还包括:
获取至少一个第三数字证书;第三数字证书用于表示新加入的数字证书;第三数字证书包括第四域名信息;
基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库;
对目标数字证书库中各第一数字证书的第二域名信息分别建立第一索引。
6.根据权利要求5的数字证书分发方法,其特征在于,基于各第三数字证书和各第二数字证书,更新第一数字证书库,得到目标数字证书库,包括:
基于各第三数字证书,将各第三数字证书存储至第一数字证书库;
对第一数字证书库中所有的数字证书进行解析,得到所有的数字证书分别对应的目标域名信息;
基于目标域名信息,剔除第一数字证书库中的无效数字证书,得到目标数字证书库。
7.一种数字证书分发装置,其特征在于,包括:
接收模块,用于接收浏览器发送的访问请求;访问请求包括请求数据包;请求数据包括浏览器访问的第一域名信息和第一域名信息的第一索引;
解析模块,用于解析请求数据包,得到第一域名信息和第一索引;
确定模块,用于基于第一索引和预先构建的目标数字证书库,确定是否向浏览器分发第一数字证书;目标数字证书库包括至少一个第一数字证书;第一数字证书包括第二域名信息和第二域名信息的第二索引。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时实现如权利要求1至6任一项数字证书分发方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现如权利要求1至6任一项数字证书分发方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,计算机程序被处理器执行时实现如权利要求1至6任一项数字证书分发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211616294.1A CN116346396A (zh) | 2022-12-15 | 2022-12-15 | 数字证书分发方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211616294.1A CN116346396A (zh) | 2022-12-15 | 2022-12-15 | 数字证书分发方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116346396A true CN116346396A (zh) | 2023-06-27 |
Family
ID=86891897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211616294.1A Pending CN116346396A (zh) | 2022-12-15 | 2022-12-15 | 数字证书分发方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346396A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0869637A2 (en) * | 1997-04-02 | 1998-10-07 | Arcanvs | Digital certification system |
| CN1878092A (zh) * | 2006-07-12 | 2006-12-13 | 华为技术有限公司 | 域管理系统、建立本地域的方法和获取本地域许可的方法 |
| CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证系统及数字签名的方法 |
| CN105808775A (zh) * | 2016-03-30 | 2016-07-27 | 北京奎牛科技有限公司 | 版式文件信息同步入数据库方法与装置 |
| CN108270610A (zh) * | 2017-02-16 | 2018-07-10 | 广州市动景计算机科技有限公司 | 数字证书监控的方法与装置 |
| CN109379179A (zh) * | 2018-12-19 | 2019-02-22 | 北京百度网讯科技有限公司 | 用于更新数字证书的方法和装置 |
| US20190074982A1 (en) * | 2015-03-25 | 2019-03-07 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN112202719A (zh) * | 2020-09-04 | 2021-01-08 | 广州江南科友科技股份有限公司 | 基于数字证书的签名方法、系统、装置及存储介质 |
-
2022
- 2022-12-15 CN CN202211616294.1A patent/CN116346396A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0869637A2 (en) * | 1997-04-02 | 1998-10-07 | Arcanvs | Digital certification system |
| CN1878092A (zh) * | 2006-07-12 | 2006-12-13 | 华为技术有限公司 | 域管理系统、建立本地域的方法和获取本地域许可的方法 |
| CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证系统及数字签名的方法 |
| US20190074982A1 (en) * | 2015-03-25 | 2019-03-07 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
| CN105808775A (zh) * | 2016-03-30 | 2016-07-27 | 北京奎牛科技有限公司 | 版式文件信息同步入数据库方法与装置 |
| CN108270610A (zh) * | 2017-02-16 | 2018-07-10 | 广州市动景计算机科技有限公司 | 数字证书监控的方法与装置 |
| CN109379179A (zh) * | 2018-12-19 | 2019-02-22 | 北京百度网讯科技有限公司 | 用于更新数字证书的方法和装置 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN112202719A (zh) * | 2020-09-04 | 2021-01-08 | 广州江南科友科技股份有限公司 | 基于数字证书的签名方法、系统、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 杨毅;王禹桥;王秀华;: "DSAN主动节点安全模型设计", 微计算机信息, no. 36 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7996713B2 (en) | Server-to-server integrity checking | |
| KR101723937B1 (ko) | 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스 | |
| EP3739852B1 (en) | Domain name operation verification code generation and/or verification | |
| JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
| US8572691B2 (en) | Selecting a web service from a service registry based on audit and compliance qualities | |
| US10783212B2 (en) | Method and apparatus for realizing communication between web page and native application, and electronic device | |
| US20150237158A1 (en) | Method and system for accessing website | |
| US8510564B2 (en) | Automatic configuration and continuation of federation relationships | |
| US20130086629A1 (en) | Dynamic identity context propagation | |
| WO2014193841A1 (en) | Terminal identification method, and method, system and apparatus of registering machine identification code | |
| US8935430B2 (en) | Secondary service updates into DNS system | |
| CN112187804B (zh) | 服务器的通信方法、装置、计算机设备和存储介质 | |
| CN109474600B (zh) | 一种账号绑定方法、系统、装置及其设备 | |
| CA2988434C (en) | Automatic recharging system, method and server | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| CN113381979A (zh) | 一种访问请求代理方法及代理服务器 | |
| WO2014165640A1 (en) | Resilient and restorable dynamic device identification | |
| CN111294354A (zh) | 用于分布式环境的签名验证方法、装置、设备和存储介质 | |
| CN109995775B (zh) | 区块链验证码应用方法、设备和存储介质 | |
| CN116346396A (zh) | 数字证书分发方法、装置、电子设备及存储介质 | |
| CN108040124B (zh) | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 | |
| US20210067583A1 (en) | System and control method | |
| CN115460084A (zh) | 安全加速服务部署方法、装置、介质及设备 | |
| US8516563B2 (en) | Methods for authenticating a user without personal information and devices thereof | |
| CN106790176A (zh) | 一种访问网络的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |