了絕對多數(shù))��,這種時間消耗是可以接受的��。
[0042]步驟203���,接收端接收發(fā)送端第二次以及之后(即三次、四次等)發(fā)送的數(shù)字證書��,并從緩存中得到該數(shù)字證書的hash值對應(yīng)的第一驗(yàn)證信息����。
[0043]其中�,發(fā)送端需要定期通過安全認(rèn)證協(xié)議重新進(jìn)行協(xié)商�����,以更新會話密鑰�,因此���,發(fā)送端會周期性的向接收端發(fā)送數(shù)字證書����,即接收端周期性的收到發(fā)送端發(fā)送的數(shù)字證書����,并對數(shù)字證書進(jìn)行驗(yàn)證。
[0044]其中���,當(dāng)發(fā)送端第一次發(fā)送的數(shù)字證書�����,由于數(shù)字證書不在有效期內(nèi)導(dǎo)致驗(yàn)證不通過時���,緩存中不會記錄數(shù)字證書的hash值對應(yīng)的驗(yàn)證信息,需要對數(shù)字證書進(jìn)行驗(yàn)證,具體驗(yàn)證過程參加步驟201和202�,在此不再贅述。當(dāng)發(fā)送端第一次發(fā)送的數(shù)字證書驗(yàn)證通過或者驗(yàn)證不通過的原因不是數(shù)字證書不在有效期內(nèi)��,則緩存中會記錄數(shù)字證書的hash值對應(yīng)的驗(yàn)證信息�,此時可以從緩存中得到該數(shù)字證書的hash值對應(yīng)的驗(yàn)證信息(稱為第一驗(yàn)證信息)。
[0045]步驟204����,當(dāng)hash值對應(yīng)的第一驗(yàn)證信息為驗(yàn)證不通過時,則接收端確定數(shù)字證書為驗(yàn)證不通過���。當(dāng)hash值對應(yīng)的第一驗(yàn)證信息為驗(yàn)證通過時��,則接收端檢查數(shù)字證書是否在有效期內(nèi)�����,如果在有效期內(nèi)��,則確定該數(shù)字證書為驗(yàn)證通過�,如果不在有效期內(nèi)�����,則確定該數(shù)字證書為驗(yàn)證不通過�。
[0046]本發(fā)明實(shí)施例中,在緩存中記錄數(shù)字證書的hash值與第二驗(yàn)證信息之間的對應(yīng)關(guān)系之后�,當(dāng)用于對數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化時,則接收端還可以從該緩存中刪除該數(shù)字證書的hash值與第二驗(yàn)證信息之間的對應(yīng)關(guān)系���。
[0047]本發(fā)明實(shí)施例中�����,用于對數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化����,具體可以包括但不限于以下之一或者任意組合:用于對數(shù)字證書進(jìn)行驗(yàn)證的CA證書發(fā)生變化�����;用于檢查數(shù)字證書的吊銷狀態(tài)的CRL發(fā)生變化��;是否對數(shù)字證書進(jìn)行CRL檢查的配置發(fā)生變化�;其它影響驗(yàn)證數(shù)字證書的條件發(fā)生變化。
[0048]其中�,在對數(shù)字證書的簽名進(jìn)行驗(yàn)證時,會使用到CA證書�����,如果對數(shù)字證書進(jìn)行驗(yàn)證的CA證書發(fā)生變化,則說明對數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化����。此外,在判斷數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書時��,會使用到CRL�,如果用于檢查數(shù)字證書的吊銷狀態(tài)的CRL發(fā)生變化,則說明對數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化���。此外�����,如果對數(shù)字證書進(jìn)行CRL檢查的配置���,由進(jìn)行CRL檢查變更為不進(jìn)行CRL檢查,或者由不進(jìn)行CRL檢查變更為進(jìn)行CRL檢查����,則說明對數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化。
[0049]基于上述技術(shù)方案��,本發(fā)明實(shí)施例中,通過維護(hù)數(shù)字證書的標(biāo)識信息與驗(yàn)證信息之間的對應(yīng)關(guān)系����,在不降低安全性的情況下����,可以基于該對應(yīng)關(guān)系確定數(shù)字證書驗(yàn)證通過/驗(yàn)證不通過,不需要每次都對數(shù)字證書進(jìn)行驗(yàn)證�,從而減少數(shù)字證書的驗(yàn)證過程,對數(shù)字證書的驗(yàn)證過程進(jìn)行加速����,減輕CPU的運(yùn)行時間,降低設(shè)備的計算開銷��,提高設(shè)備的處理性會K�����。
[0050]基于與上述方法同樣的發(fā)明構(gòu)思�����,本發(fā)明實(shí)施例中還提供了一種數(shù)字證書的驗(yàn)證裝置���,該數(shù)字證書的驗(yàn)證裝置應(yīng)用在接收端上���。其中����,該數(shù)字證書的驗(yàn)證裝置可以通過軟件實(shí)現(xiàn)����,也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例�,作為一個邏輯意義上的裝置,是通過其所在的接收端的處理器���,將非易失性存儲器中對應(yīng)的計算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的��。從硬件層面而言����,如圖3所示����,為本發(fā)明提出的數(shù)字證書的驗(yàn)證裝置所在的接收端的一種硬件結(jié)構(gòu)圖,除了圖3所示的處理器�����、網(wǎng)絡(luò)接口、內(nèi)存以及非易失性存儲器外����,接收端還可以包括其他硬件,如負(fù)責(zé)處理報文的轉(zhuǎn)發(fā)芯片等�;從硬件結(jié)構(gòu)上來講����,該接收端還可能是分布式設(shè)備,可能包括多個接口卡����,以便在硬件層面進(jìn)行報文處理的擴(kuò)展。
[0051]如圖4所示�����,為本發(fā)明提出的數(shù)字證書的驗(yàn)證裝置的結(jié)構(gòu)圖���,所述數(shù)字證書的驗(yàn)證裝置應(yīng)用在接收端上�,所述數(shù)字證書的驗(yàn)證裝置具體包括:
[0052]接收模塊11���,用于接收來自發(fā)送端的數(shù)字證書��;
[0053]判斷模塊12����,用于獲得所述數(shù)字證書的標(biāo)識信息,并判斷標(biāo)識信息與驗(yàn)證信息之間的對應(yīng)關(guān)系中是否存在所述數(shù)字證書的標(biāo)識信息對應(yīng)的第一驗(yàn)證信息����;
[0054]驗(yàn)證模塊13,用于當(dāng)判斷結(jié)果為存在時���,當(dāng)所述第一驗(yàn)證信息為驗(yàn)證不通過時�,確定所述數(shù)字證書為驗(yàn)證不通過�����;當(dāng)所述第一驗(yàn)證信息為驗(yàn)證通過時���,檢查所述數(shù)字證書是否在有效期內(nèi)���,如果在有效期內(nèi),則確定所述數(shù)字證書為驗(yàn)證通過��,如果不在有效期內(nèi),則確定所述數(shù)字證書為驗(yàn)證不通過��;
[0055]當(dāng)判斷結(jié)果為不存在時�����,對所述數(shù)字證書進(jìn)行驗(yàn)證���,得到第二驗(yàn)證信息�;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證通過�,則記錄所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系��;如果所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過�����,則當(dāng)驗(yàn)證不通過的原因不是所述數(shù)字證書不在有效期內(nèi)時����,記錄所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系。
[0056]所述驗(yàn)證模塊13�����,具體用于當(dāng)不存在所述數(shù)字證書的標(biāo)識信息對應(yīng)的第一驗(yàn)證信息時,在對所述數(shù)字證書進(jìn)行驗(yàn)證����,得到第二驗(yàn)證信息的過程中,檢查所述數(shù)字證書是否在有效期內(nèi)����;如果不在有效期內(nèi),則確定所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過���;如果在有效期內(nèi)�,則檢查所述數(shù)字證書的簽名是否通過驗(yàn)證�����;如果所述數(shù)字證書的簽名通過驗(yàn)證��,則確定所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證通過�;如果所述數(shù)字證書的簽名不通過驗(yàn)證,則確定所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過�����。
[0057]所述驗(yàn)證模塊13,具體用于當(dāng)不存在所述數(shù)字證書的標(biāo)識信息對應(yīng)的第一驗(yàn)證信息時�,在對所述數(shù)字證書進(jìn)行驗(yàn)證,得到第二驗(yàn)證信息的過程中�����,檢查所述數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書�����;如果是吊銷狀態(tài)的數(shù)字證書��,則確定所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過�;如果不是吊銷狀態(tài)的數(shù)字證書,則確定所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證通過���。
[0058]所述驗(yàn)證模塊13,還用于在所述第二驗(yàn)證信息為所述數(shù)字證書驗(yàn)證不通過時�,在記錄所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系之后,在所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系中記錄驗(yàn)證不通過的原因���,所述驗(yàn)證不通過的原因?yàn)閿?shù)字證書處于吊銷狀態(tài)或者數(shù)字證書的簽名不通過驗(yàn)證����。
[0059]所述驗(yàn)證模塊13,還用于在記錄所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系之后�����,當(dāng)用于對所述數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化時��,則刪除所述數(shù)字證書的標(biāo)識信息與第二驗(yàn)證信息之間的對應(yīng)關(guān)系����。
[0060]本發(fā)明實(shí)施例中,所述用于對所述數(shù)字證書進(jìn)行驗(yàn)證的條件發(fā)生變化�����,具體包括以下之一或者任意組合:用于對所述數(shù)字證書進(jìn)行驗(yàn)證的證書頒發(fā)機(jī)構(gòu)CA證書發(fā)生變化�����;用于檢查所述數(shù)字證書的吊銷狀態(tài)的證書吊銷列表CRL發(fā)生變化���;是否對所述數(shù)字證書進(jìn)行CRL檢查的配置發(fā)生變化���。
[0061]其中,本發(fā)明裝置的各個模塊可以集成于一體����,也可以分離部署��。上述模塊可以合并為一個模塊�,也可以進(jìn)一步拆分成多個子模塊�。
[0062]通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)���,當(dāng)然也可以通過硬件���,但很多情況下前者是更佳的實(shí)施方式?����;谶@樣的理解�����,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�����,該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中�,包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī),服務(wù)器����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個優(yōu)選實(shí)施例的示意圖���,附圖中的模塊或流程并不一定是實(shí)施本發(fā)明所必須的��。<