一種數(shù)字證書的驗(yàn)證方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全技術(shù)領(lǐng)域�����,尤其涉及一種數(shù)字證書的驗(yàn)證方法和裝置����。
【背景技術(shù)】
[0002]PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是一個(gè)利用公鑰提供信息安全服務(wù)的安全基礎(chǔ)設(shè)施��。公鑰體制也稱為非對(duì)稱密鑰體制����,是目前已經(jīng)得到廣泛應(yīng)用的一種密碼體制�。PKI使用一個(gè)公開的密鑰(公鑰)和一個(gè)保密的密鑰(私鑰)進(jìn)行信息的加密和解密�����,公鑰和私鑰組成一個(gè)密鑰對(duì)����,用公鑰加密的信息只能用私鑰解密,用私鑰加密的信息只能用公鑰解密�����。
[0003]PKI以數(shù)字證書的形式分發(fā)和使用公鑰����,并為網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易(如電子政務(wù)以及電子商務(wù)等)提供各種安全服務(wù)����。例如,PKI可以為IPsecdP Security, IP安全)���、SSL (Secure Sockets Layer���,安全套接字層)�、WAPI (WLAN Authenticat1n and PrivacyInfrastructure����,無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))等上層安全協(xié)議提供數(shù)字證書,以為各上層安全協(xié)議提供安全服務(wù)�����。
[0004]在使用數(shù)字證書提供安全服務(wù)的應(yīng)用場景下����,不可或缺的一個(gè)過程是,周期性的驗(yàn)證數(shù)字證書����,而數(shù)字證書的驗(yàn)證過程是非常耗時(shí)的操作,該驗(yàn)證過程會(huì)消耗CPU(CentralProcessing Unit�����,中央處理器)的大量運(yùn)行時(shí)間�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種數(shù)字證書的驗(yàn)證方法�����,所述方法包括以下步驟:
[0006]接收端接收來自發(fā)送端的數(shù)字證書,并獲得所述數(shù)字證書的標(biāo)識(shí)信息���,并判斷標(biāo)識(shí)信息與驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系中是否存在所述數(shù)字證書的標(biāo)識(shí)信息對(duì)應(yīng)的第一驗(yàn)證信息��;
[0007]如果存在����,則當(dāng)所述第一驗(yàn)證信息為驗(yàn)證不通過時(shí)�,確定所述數(shù)字證書為驗(yàn)證不通過;當(dāng)所述第一驗(yàn)證信息為驗(yàn)證通過時(shí)�,檢查所述數(shù)字證書是否在有效期內(nèi),如果在有效期內(nèi)�,則確定所述數(shù)字證書為驗(yàn)證通過,如果不在有效期內(nèi)���,則確定所述數(shù)字證書為驗(yàn)證不通過����;
[0008]如果不存在�����,則對(duì)所述數(shù)字證書進(jìn)行驗(yàn)證��,得到第二驗(yàn)證信息����;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證通過,則記錄所述數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系���;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過��,則當(dāng)驗(yàn)證不通過的原因不是所述數(shù)字證書不在有效期內(nèi)時(shí)�,記錄所述數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系O
[0009]本發(fā)明提供一種數(shù)字證書的驗(yàn)證裝置����,所述數(shù)字證書的驗(yàn)證裝置應(yīng)用在接收端上,且所述數(shù)字證書的驗(yàn)證裝置具體包括:
[0010]接收模塊��,用于接收來自發(fā)送端的數(shù)字證書���;
[0011]判斷模塊����,用于獲得所述數(shù)字證書的標(biāo)識(shí)信息,并判斷標(biāo)識(shí)信息與驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系中是否存在所述數(shù)字證書的標(biāo)識(shí)信息對(duì)應(yīng)的第一驗(yàn)證信息���;
[0012]驗(yàn)證模塊��,用于當(dāng)判斷結(jié)果為存在時(shí)�����,當(dāng)所述第一驗(yàn)證信息為驗(yàn)證不通過時(shí)����,確定所述數(shù)字證書為驗(yàn)證不通過�����;當(dāng)所述第一驗(yàn)證信息為驗(yàn)證通過時(shí)����,檢查所述數(shù)字證書是否在有效期內(nèi),如果在有效期內(nèi)�����,則確定所述數(shù)字證書為驗(yàn)證通過��,如果不在有效期內(nèi)����,則確定所述數(shù)字證書為驗(yàn)證不通過;
[0013]當(dāng)判斷結(jié)果為不存在時(shí)���,對(duì)所述數(shù)字證書進(jìn)行驗(yàn)證�����,得到第二驗(yàn)證信息�����;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證通過�����,則記錄所述數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系�����;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過�,則當(dāng)驗(yàn)證不通過的原因不是所述數(shù)字證書不在有效期內(nèi)時(shí)�����,記錄所述數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系。
[0014]基于上述技術(shù)方案�,本發(fā)明實(shí)施例中,通過維護(hù)數(shù)字證書的標(biāo)識(shí)信息與驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系��,在不降低安全性的情況下���,可以基于該對(duì)應(yīng)關(guān)系確定數(shù)字證書驗(yàn)證通過/驗(yàn)證不通過����,不需要每次都對(duì)數(shù)字證書進(jìn)行驗(yàn)證��,從而減少數(shù)字證書的驗(yàn)證過程��,對(duì)數(shù)字證書的驗(yàn)證過程進(jìn)行加速���,減輕CPU的運(yùn)行時(shí)間�,降低設(shè)備的計(jì)算開銷�����,提高設(shè)備的處理性會(huì)K�����。
【附圖說明】
[0015]圖1是本發(fā)明一種實(shí)施方式中的數(shù)字證書的驗(yàn)證方法的流程圖;
[0016]圖2是本發(fā)明另一種實(shí)施方式中的數(shù)字證書的驗(yàn)證方法的流程圖�;
[0017]圖3是本發(fā)明一種實(shí)施方式中的接收端的硬件結(jié)構(gòu)圖����;
[0018]圖4是本發(fā)明一種實(shí)施方式中的數(shù)字證書的驗(yàn)證裝置的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0019]針對(duì)現(xiàn)有技術(shù)中存在的問題���,本發(fā)明實(shí)施例中提出一種數(shù)字證書的驗(yàn)證方法��,該方法應(yīng)用于包括接收端(如接收端實(shí)體)和發(fā)送端(如發(fā)送端實(shí)體)的系統(tǒng)中�。其中����,接收端和發(fā)送端可以位于不同的設(shè)備上,也可以位于同一設(shè)備上�,且接收端用于對(duì)來自發(fā)送端的數(shù)字證書進(jìn)行驗(yàn)證。在上述應(yīng)用場景下��,如圖1所示����,該數(shù)字證書的驗(yàn)證方法具體可以包括以下步驟:
[0020]步驟101��,接收端接收來自發(fā)送端的數(shù)字證書����,并獲得該數(shù)字證書的標(biāo)識(shí)信息��,并判斷標(biāo)識(shí)信息與驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系中是否存在數(shù)字證書的標(biāo)識(shí)信息對(duì)應(yīng)的第一驗(yàn)證信息��。如果存在�����,執(zhí)行步驟102 ;如果不存在��,執(zhí)行步驟103��。
[0021]其中���,數(shù)字證書的標(biāo)識(shí)信息具體可以包括數(shù)字證書的hash(哈希)值�。
[0022]其中���,第一驗(yàn)證信息具體可以包括驗(yàn)證不通過或者驗(yàn)證通過�。
[0023]步驟102����,當(dāng)該第一驗(yàn)證信息為驗(yàn)證不通過時(shí)��,接收端確定該數(shù)字證書為驗(yàn)證不通過�����;當(dāng)該第一驗(yàn)證信息為驗(yàn)證通過時(shí)����,接收端檢查該數(shù)字證書是否在有效期內(nèi)��,如果在有效期內(nèi)�,則確定該數(shù)字證書為驗(yàn)證通過�����,如果不在有效期內(nèi)�,則確定該數(shù)字證書為驗(yàn)證不通過。
[0024]步驟103�,接收端對(duì)該數(shù)字證書進(jìn)行驗(yàn)證,得到第二驗(yàn)證信息����;如果第二驗(yàn)證信息為數(shù)字證書驗(yàn)證通過��,則記錄該數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系����;如果第二驗(yàn)證信息為數(shù)字證書驗(yàn)證不通過����,則當(dāng)驗(yàn)證不通過的原因不是該數(shù)字證書不在有效期內(nèi)時(shí),記錄該數(shù)字證書的標(biāo)識(shí)信息與第二驗(yàn)證信息之間的對(duì)應(yīng)關(guān)系����。
[0025]其中,當(dāng)不存在數(shù)字證書的標(biāo)識(shí)信息對(duì)應(yīng)的第一驗(yàn)證信息時(shí)��,接收端對(duì)數(shù)字證書進(jìn)行驗(yàn)證���,得到第二驗(yàn)證信息的過程�,具體可以包括但不限于如下方式:接收端檢查該數(shù)字證書是否在有效期內(nèi)����;如果不在有效期內(nèi),則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證不通過�����;如果在有效期內(nèi),則檢查該數(shù)字證書的簽名是否通過驗(yàn)證��;如果該數(shù)字證書的簽名通過驗(yàn)證����,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證通過;如果該數(shù)字證書的簽名不通過驗(yàn)證�����,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證不通過���。進(jìn)一步的,當(dāng)不存在數(shù)字證書的標(biāo)識(shí)信息對(duì)應(yīng)的第一驗(yàn)證信息時(shí)���,接收端對(duì)數(shù)字證書進(jìn)行驗(yàn)證���,得到第二驗(yàn)證信息的過程,還可以包括但不限于如下方式:接收端檢查該數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書����;如果是吊銷狀態(tài)的數(shù)字證書,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證不通過����;如果不是吊銷狀態(tài)的數(shù)字證書��,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證通過��。
[0026]當(dāng)需要驗(yàn)證數(shù)字證書的吊銷狀態(tài)��、數(shù)字證書的有效期����、數(shù)字證書的簽名時(shí)��,則可以有如下方式:方式一��、接收端檢查該數(shù)字證書是否在有效期內(nèi)�����;如果不在有效期內(nèi)���,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證不通過�����;如果在有效期內(nèi)��,則檢查該數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書����;如果是吊銷狀態(tài)的數(shù)字證書,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證不通過�����;如果不是吊銷狀態(tài)的數(shù)字證書�����,則檢查該數(shù)字證書的簽名是否通過驗(yàn)證��;如果該數(shù)字證書的簽名通過驗(yàn)證��,則確定第二驗(yàn)證信息為該數(shù)字證書驗(yàn)證通過�;如果該數(shù)字證書的簽名