br>[0063]本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分布于實施例的裝置中，也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上述實施例的模塊可以合并為一個模塊，也可進一步拆分成多個子模塊。上述本發(fā)明實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。
[0064]以上公開的僅為本發(fā)明的幾個具體實施例，但是，本發(fā)明并非局限于此，任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍。
【主權項】
1.一種數(shù)字證書的驗證方法，其特征在于，所述方法包括以下步驟: 接收端接收來自發(fā)送端的數(shù)字證書，并獲得所述數(shù)字證書的標識信息，并判斷標識信息與驗證信息之間的對應關系中是否存在所述數(shù)字證書的標識信息對應的第一驗證信息; 如果存在，則當所述第一驗證信息為驗證不通過時，確定所述數(shù)字證書為驗證不通過；當所述第一驗證信息為驗證通過時，檢查所述數(shù)字證書是否在有效期內，如果在有效期內，則確定所述數(shù)字證書為驗證通過，如果不在有效期內，則確定所述數(shù)字證書為驗證不通過； 如果不存在，則對所述數(shù)字證書進行驗證，得到第二驗證信息；如果所述第二驗證信息為所述數(shù)字證書驗證通過，則記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系；如果所述第二驗證信息為所述數(shù)字證書驗證不通過，則當驗證不通過的原因不是所述數(shù)字證書不在有效期內時，記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系O2.根據(jù)權利要求1所述的方法，其特征在于，當不存在所述數(shù)字證書的標識信息對應的第一驗證信息時，對所述數(shù)字證書進行驗證，得到第二驗證信息的過程，具體包括: 所述接收端檢查所述數(shù)字證書是否在有效期內； 如果不在有效期內，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過； 如果在有效期內，則檢查所述數(shù)字證書的簽名是否通過驗證； 如果所述數(shù)字證書的簽名通過驗證，則確定所述第二驗證信息為所述數(shù)字證書驗證通過； 如果所述數(shù)字證書的簽名不通過驗證，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過。3.根據(jù)權利要求1或2所述的方法，其特征在于，當不存在所述數(shù)字證書的標識信息對應的第一驗證信息時，對所述數(shù)字證書進行驗證，得到第二驗證信息的過程，還包括: 所述接收端檢查所述數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書；如果是吊銷狀態(tài)的數(shù)字證書，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過；如果不是吊銷狀態(tài)的數(shù)字證書，則確定所述第二驗證信息為所述數(shù)字證書驗證通過。4.根據(jù)權利要求3所述的方法，其特征在于，所述第二驗證信息為所述數(shù)字證書驗證不通過時，在記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系之后，所述方法還包括: 所述接收端在所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系中記錄驗證不通過的原因，所述驗證不通過的原因為數(shù)字證書處于吊銷狀態(tài)或者數(shù)字證書的簽名不通過驗證。5.根據(jù)權利要求1或2所述的方法，其特征在于，所述方法進一步包括: 在記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系之后，當用于對所述數(shù)字證書進行驗證的條件發(fā)生變化時，則所述接收端刪除所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系。6.根據(jù)權利要求5所述的方法，其特征在于，所述用于對所述數(shù)字證書進行驗證的條件發(fā)生變化，具體包括以下之一或者任意組合: 用于對所述數(shù)字證書進行驗證的證書頒發(fā)機構CA證書發(fā)生變化； 用于檢查所述數(shù)字證書的吊銷狀態(tài)的證書吊銷列表CRL發(fā)生變化； 是否對所述數(shù)字證書進行CRL檢查的配置發(fā)生變化。7.一種數(shù)字證書的驗證裝置，其特征在于，所述數(shù)字證書的驗證裝置應用在接收端上，且所述數(shù)字證書的驗證裝置具體包括: 接收模塊，用于接收來自發(fā)送端的數(shù)字證書； 判斷模塊，用于獲得所述數(shù)字證書的標識信息，并判斷標識信息與驗證信息之間的對應關系中是否存在所述數(shù)字證書的標識信息對應的第一驗證信息； 驗證模塊，用于當判斷結果為存在時，當所述第一驗證信息為驗證不通過時，確定所述數(shù)字證書為驗證不通過；當所述第一驗證信息為驗證通過時，檢查所述數(shù)字證書是否在有效期內，如果在有效期內，則確定所述數(shù)字證書為驗證通過，如果不在有效期內，則確定所述數(shù)字證書為驗證不通過； 當判斷結果為不存在時，對所述數(shù)字證書進行驗證，得到第二驗證信息；如果所述第二驗證信息為所述數(shù)字證書驗證通過，則記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系；如果所述第二驗證信息為所述數(shù)字證書驗證不通過，則當驗證不通過的原因不是所述數(shù)字證書不在有效期內時，記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系。8.根據(jù)權利要求7所述的裝置，其特征在于， 所述驗證模塊，具體用于當不存在所述數(shù)字證書的標識信息對應的第一驗證信息時，在對所述數(shù)字證書進行驗證，得到第二驗證信息的過程中，檢查所述數(shù)字證書是否在有效期內；如果不在有效期內，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過；如果在有效期內，則檢查所述數(shù)字證書的簽名是否通過驗證；如果所述數(shù)字證書的簽名通過驗證，則確定所述第二驗證信息為所述數(shù)字證書驗證通過；如果所述數(shù)字證書的簽名不通過驗證，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過。9.根據(jù)權利要求7或8所述的裝置，其特征在于， 所述驗證模塊，具體用于當不存在所述數(shù)字證書的標識信息對應的第一驗證信息時，在對所述數(shù)字證書進行驗證，得到第二驗證信息的過程中，檢查所述數(shù)字證書是否為吊銷狀態(tài)的數(shù)字證書；如果是吊銷狀態(tài)的數(shù)字證書，則確定所述第二驗證信息為所述數(shù)字證書驗證不通過；如果不是吊銷狀態(tài)的數(shù)字證書，則確定所述第二驗證信息為所述數(shù)字證書驗證通過。10.根據(jù)權利要求9所述的裝置，其特征在于， 所述驗證模塊，還用于在所述第二驗證信息為所述數(shù)字證書驗證不通過時，在記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系之后，在所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系中記錄驗證不通過的原因，所述驗證不通過的原因為數(shù)字證書處于吊銷狀態(tài)或者數(shù)字證書的簽名不通過驗證。11.根據(jù)權利要求7或8所述的裝置，其特征在于， 所述驗證模塊，還用于在記錄所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系之后，當用于對所述數(shù)字證書進行驗證的條件發(fā)生變化時，則刪除所述數(shù)字證書的標識信息與第二驗證信息之間的對應關系。12.根據(jù)權利要求11所述的裝置，其特征在于，所述用于對所述數(shù)字證書進行驗證的條件發(fā)生變化，具體包括以下之一或者任意組合: 用于對所述數(shù)字證書進行驗證的證書頒發(fā)機構CA證書發(fā)生變化； 用于檢查所述數(shù)字證書的吊銷狀態(tài)的證書吊銷列表CRL發(fā)生變化； 是否對所述數(shù)字證書進行CRL檢查的配置發(fā)生變化。
【專利摘要】本發(fā)明提供一種數(shù)字證書的驗證方法和裝置，該方法包括：接收端接收來自發(fā)送端的數(shù)字證書，并獲得所述數(shù)字證書的標識信息，并判斷是否存在所述數(shù)字證書的標識信息對應的第一驗證信息；如果存在，則當所述第一驗證信息為驗證不通過時，確定所述數(shù)字證書為驗證不通過；當所述第一驗證信息為驗證通過時，檢查所述數(shù)字證書是否在有效期內，如果在有效期內，則確定所述數(shù)字證書為驗證通過，如果不在有效期內，則確定所述數(shù)字證書為驗證不通過。通過本發(fā)明的技術方案，在不降低安全性的情況下，減少數(shù)字證書的驗證過程，減輕CPU的運行時間。
【IPC分類】H04L29/06, H04L9/32
【公開號】CN105592059
【申請?zhí)枴緾N201510663064
【發(fā)明人】孫魯東
【申請人】杭州華三通信技術有限公司
【公開日】2016年5月18日
【申請日】2015年10月14日