CN106330449A - 一种验证数字证书有效性的方法及其鉴别服务器 - Google Patents
一种验证数字证书有效性的方法及其鉴别服务器 Download PDFInfo
- Publication number
- CN106330449A CN106330449A CN201510381509.XA CN201510381509A CN106330449A CN 106330449 A CN106330449 A CN 106330449A CN 201510381509 A CN201510381509 A CN 201510381509A CN 106330449 A CN106330449 A CN 106330449A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- subelement
- verification
- checking
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种验证数字证书有效性的方法属网络安全技术领域,解决了当前对于数字证书验证方法不便于扩展的技术问题,该方法涉及包括消息接收模块和数字证书验证模块的鉴别服务器,其中数字证书验证模块中设置有验证方案配置单元,其进行配置设置以用于配置验证数字证书有效性的验证方案;所述消息接收模块接收包含有数字证书内容的数字证书鉴别请求消息,将收到的数字证书内容提交至所述数字证书验证模块进行验证;如果根据选择的所述验证方案对数字证书的有效性验证无法通过,则确定数字证书有效性验证失败;否则,确定数字证书有效性验证成功。该方法实现了数字证书验证方案的扩展。相应的,本发明同时还提供一种鉴别服务器。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种验证数字证书有效性的方法及其鉴别服务器。
背景技术
目前在基于无线局域网鉴别和保密基础结构(WLAN Authentication andPrivacy Infrastructure,简称WAPI)协议的WLAN中,鉴别服务器实体(Authentication Service Entity,简称ASE)收到证书鉴别请求后,仅对收到的数字证书格式是否正确和是否被吊销的状态进行验证。验证过程涉及到使用对数字证书中数字签名验证等复杂的密码学技术,需要消耗大量的计算资源,如果黑客随意搜集一个无效的数字证书连续发送到ASE,将会成功占用ASE大量的计算资源和时间,形成有效的拒绝服务攻击(Denial of Service,简称DOS),导致其他合法用户无法正常和ASE进行通信。同时,由于验证内容对数字证书是否在数字证书颁发者颁发本数字证书时限定的业务范围内使用并不验证,黑客可能将一个领域合法授权的数字证书用于其他非授权领域,造成信息安全事故。
总之,当前通常对数字证书验证方法相对固定化、单一,没有考虑后续如何扩展,而且存在一定的安全风险。
发明内容
为了解决上述技术问题,本发明提供如下的技术方案:
一种验证数字证书有效性的方法,该方法涉及鉴别服务器,该鉴别服务器包括消息接收模块和数字证书验证模块,所述数字证书验证模块中设置有验证方案配置单元,所述验证方案配置单元进行配置设置以用于配置验证数字证书有效性的验证方案;
所述消息接收模块接收数字证书鉴别请求消息,所述数字证书鉴别请求消息中包含有数字证书内容;所述消息接收模块将收到的数字证书内容提交至所述数字证书验证模块进行验证;所述数字证书验证模块根据验证需求从所述验证方案配置单元中配置的验证方案中选择相应的验证方案来执行具体的验证过程;
如果根据选择的所述验证方案对数字证书的有效性验证无法通过,则确定数字证书有效性验证失败;否则,确定数字证书有效性验证成功。
此外,本发明同时提供一种用于验证数字证书有效性的鉴别服务器,其包括消息接收模块、数字证书验证模块,其特征在于,所述数字证书验证模块包括验证方案配置单元;
所述消息接收模块用于接收数字证书鉴别请求分组;
所述验证方案配置单元用于配置验证数字证书有效性的验证方案。
本发明提供的技术方案,很好的降低了鉴别服务器增加和删除验证方案的复杂度,通过验证方案配置单元实现了鉴别服务器在涉及多种验证方案时的有效配置和控制,有助于验证方案的扩展、修改及删除等操作;另外,通过选用已配置的验证方案验证数字证书的有效性,也提高了数字证书验证效率。
附图说明
图1为本发明提供的方法流程示意图;
图2为本发明实施例一流程示意图;
图3为本发明实施例二流程示意图;
图4为本发明实施例三流程示意图;
图5为本发明实施例网络拓扑示意图;
图6为本发明实施例提供的鉴别服务器结构示意图。
具体实施方式
下面结合附图和实施例对本发明提供的验证数字证书有效性的方法及其鉴别服务器进行更详细地说明。
如图1及图6所示,本发明提供的验证数字证书有效性的方法,其涉及鉴别服务器,所述鉴别服务器包括消息接收模块和数字证书验证模块,该方法具体包括:
S100,所述数字证书验证模块中设置有验证方案配置单元,所述验证方案配置单元进行配置设置以用于配置验证数字证书有效性的验证方案;
S200,所述消息接收模块接收数字证书鉴别请求消息,所述数字证书鉴别请求消息中包含有数字证书内容;所述消息接收模块将收到的数字证书内容提交至所述数字证书验证模块进行验证;所述数字证书验证模块根据验证需求从所述验证方案配置单元中配置的验证方案中选择相应的验证方案来执行具体的验证过程;
S300,如果根据选择的所述验证方案对数字证书的有效性验证无法通过,则确定数字证书有效性验证失败;否则,确定数字证书有效性验证成功。
优选的,所述鉴别服务器中还可以包括数字证书解析模块,用于解析数字证书鉴别请求分组以获取数字证书内容。
优选的,所述配置设置为创建验证方案数据库表,所述验证方案数据库表包括验证项目字段和开关值字段,所述验证项目字段用于标识验证方案;所述验证方案的启用通过设置开关值来实现,当所述开关值为开启时,启用相应的验证方案;当所述开关值设置为关闭时,不启用相应的验证方案。
优选的,S100中所述验证方案可以是白名单列表验证、黑名单列表验证、数字证书合适和吊销状态验证以及数字证书使用范围验证等验证方案中的至少任意两种的组合。相应的验证方案由所述验证方案配置单元使用验证方案配置数据库表设置,配置有前述验证方案的验证方案配置单元进一步就包括了白名单列表验证子单元、黑名单列表验证子单元、数字证书格式和吊销状态验证子单元、数字证书使用范围验证子单元以及数字证书使用范围验证子单元。其中数字证书使用范围是指数字证书的颁发者是否有权限颁发在某个使用范围的数字证书或者数字证书的颁发者在某个使用范围内的可信度或者数字证书本身在颁发的时候是否限定某个使用范围内使用的权限。同时,所述验证方案配置单元中设置有开关值以确定相应验证子单元是否开启,通常情况下开关值设置为1时表示开启,开关值设置为0时表示关闭。所述验证方案配置单元具有建立验证方案配置数据库表、增加和删除验证方案和配置验证方案的功能。
具体的,如表一所示,所述验证方案配置单元创建验证方案配置数据库表,其中的验证方案配置数据库表包括序号字段、验证项目字段以及开关值字段。所述序号字段是主键,序号值自动递增,该序号字段可用于标识相应的验证方案的执行顺序(如1表示第一验证内容,2表示第二验证内容等);所述验证项目字段用于标识验证方案配置单元支持的数字证书验证方案,该验证项目字段标识的验证方案可根据本地验证策略要求的验证顺序调整到对应序号序号字段标识的位置。
序号 | 验证项目 | 开关值 |
1 | 白名单列表验证 | 0或者1 |
2 | 黑名单列表验证 | 0或者1 |
3 | 数字证书格式和吊销状态验证 | 0或者1 |
4 | 数字证书使用范围验证 | 0或者1 |
… | … | … |
表一
优选的,所述数据库表中还可以包括验证顺序字段(在此情况下的序号字段仅仅是一个序号标识),如表二所示,通过在验证顺序字段中配置优先级顺序如1,2,3等,以用于标识相应验证方案的执行顺序。
表二
所述数字证书验证方案具体可以包括白名单列表验证、黑名单列表验证、数字证书格式和吊销状态验证以及数字证书应用范围验证等中的至少任意两种的组合,即所述验证方案配置单元进一步包括了白名单列表验证子单元、黑名单列表验证子单元、数字证书格式和吊销状态验证子单元以及数字证书应用范围验证子单元。所述开关值字段表示是否启用验证项目字段标识的验证方案。所述验证方案配置数据库表中验证项目字段标识的具体验证方案均可灵活的增加、修改和删除;其中每个对应的开关值字段的数值用于表示相应的验证方案是否开启,通常情况下,当开关值字段的值为0时代表对应的验证项目开启,当开关值字段的值为1时代表对应的验证项目关闭。当然,也可将开关值字段的值设置为1时代表对应的验证项目开启,当开关值字段的值为0时代表对应的验证项目关闭,本发明对于开关值字段的值的设置不做限制。
优选的,所述配置设置还可通过XML的方式配置验证方案。即验证方案配置单元以XML格式配置文件存在,该配置文件中包括序号元素、验证项目元素、验证顺序元素以及开关值元素。所述开关值元素用于确定相应验证子单元是否开启,通常情况下开关值元素设置为1时表示开启,开关值元素设置为0时表示关闭,所述验证方案配置单元可通过修改XML配置文件中元素的方式进行验证方案的增加、修改和删除。前述通过XML方式配置验证方案的配置文件示例如下:
<item>
<序号>1<序号/>
<验证项目>白名单列表验证</验证项目>
<验证顺序>2</验证顺序>
<开关值>0或者1</开关值>
</item>
<item>
<序号>2<序号/>
<验证项目>黑名单列表验证</验证项目>
<验证顺序>3</验证顺序>
<开关值>0或者1</开关值>
</item>
<item>
<序号>3<序号/>
<验证项目>数字证书格式和吊销状态验证</验证项目>
<验证顺序>4</验证顺序>
<开关值>0或者1</开关值>
</item>
<item>
<序号>4<序号/>
<验证项目>数字证书使用范围验证</验证项目>
<验证顺序>1</验证顺序>
<开关值>0或者1</开关值>
</item>
本发明正是利用了验证方案的配置设置实现了鉴别服务器中多种验证方案的有效配置和控制,利用所述验证方案配置单元进行验证方案的配置设置有助于鉴别服务器验证方案的灵活的增加、修改和删除,
以下将结合图2、图3、图4、图5就基于数据库表配置验证方案的方式对于本发明具体实施过程进行详细的阐述。
实施例一
如图2和图5,在所述验证方案配置单元中开启数字证书使用范围验证子单元和数字证书格式和吊销状态验证子单元。具体验证过程详细说明如下。以WAPI网络架构为例,当所述消息接收模块接收到接入点AP发送的数字证书鉴别请求分组后,由所述数字证书解析模块对所述数字证书鉴别请求分组解析以获得数字证书内容,并将解析后的数字证书内容提交到所述数字证书验证模块,首先由所述数字证书验证模块中的数字证书使用范围验证子单元执行验证。具体是:所述数字证书使用范围验证子单元创建一个数字证书使用范围表,如表三所示,所述数字证书使用范围表包括序号字段、数字证书标识字段和使用范围字段,其中,序号字段是主键,序号值自动递增;数字证书标识字段表示是数字证书标识内容,数字证书标识可以为数字证书中证书序列号和颁发者名称的组合,也可以只为证书序列号。
序号 | 数字证书标识 | 使用范围 |
1 | 证书序列号1+颁发者名称 | 范围1/范围2/范围1/范围4… |
2 | 证书序列号2+颁发者名称 | 范围1/范围2/范围1/范围4… |
3 | 证书序列号3+颁发者名称 | 范围1/范围2/范围1/范围4… |
4 | 证书序列号4+颁发者名称 | 范围1/范围2/范围1/范围4… |
… | … | … |
表三
所述数字证书使用范围验证子单元可执行SQL的查询语句对数字证书的使用范围是否在使用范围字段中进行查询,根据SQL查询语句的返回值判断;
如果在所述使用范围字段中可以查询到数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时规定的使用范围,则所述数字证书使用范围验证子单元验证数字证书使用范围成功,否则,所述数字证书使用范围验证子单元验证数字证书使用范围失败。其中,数字证书使用范围记录可以增加或者删除。鉴别服务器增加或者删除数字证书使用范围记录的信息可来自于数字证书颁发实体或者网络管理员等,本发明对此不做限制。
换句话说,如果数字证书使用范围验证子单元判断数字证书鉴别请求分组中包含的数字证书不符合数字证书颁发时候规定的使用范围,则数字证书验证模块得到的数字证书验证结果为失败,然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果或者数字证书应该的使用范围;如果数字证书使用范围验证子单元判断数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时候规定的使用范围,则继续下一步的验证。
然后由数字证书格式和吊销状态验证子单元进行验证,具体是:
所述数字证书解析模块解析所述数字证书鉴别请求分组获取数字证书的相关信息,所述数字证书格式和吊销状态验证子单元验证所述数字证书的信息格式是否与所述鉴别服务器已知的格式一致,如果不一致则数字证书格式和吊销状态验证失败,如果一致则数字证书格式和吊销状态验证成功;本发明中所述数字证书的信息格式依据的是X.509的数字证书标准;
或者,所述鉴别服务器利用其数字证书的公钥计算所述解析模块解析后的所述数字证书鉴别请求分组中的数字证书的签名值,所述数字证书格式和吊销状态验证子单元计算出的签名值和所述数字证书的签名值是否相同,如果不相同,则数字证书格式和吊销状态验证失败,如果相同,则数字证书格式和吊销状态性验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器当前时间和接收到的数字证书的有效时间范围,如果所述鉴别服务器当前时间不在接收到的数字证书的有效范围内,则数字证书格式和吊销状态验证失败;否则,数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器存储的接收到的数字证书的状态是否被标记为已吊销,如果被标记为已吊销,则数字证书格式和吊销状态验证失败,否则,数字证书格式和吊销状态验证成功。
在其他实施方式中,上述数字证书格式和吊销状态验证子单元执行的四种验证方式可做任意组合使用,此时,组合中的任意一种如果验证失败,则认为所述数字证书格式和吊销状态验证子单元判断证书鉴别请求分组中包含的数字证书格式不正确或者使用状态是无效,即数字证书验证失败;否则,数字证书验证成功。
基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后,然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。
该实施例述及的验证过程适用于在完全开放的网络环境中传输数字证书的情况,该验证方案能够很好地提高这种网络环境下的数字证书的验证效率。
实施例二
如图3和图5,在所述验证方案配置模块中开启数字证书格式和吊销状态验证子单元、黑名单列表验证子单元和或白名单列表验证子单元。具体验证过程详细说明如下。
以WAPI网络架构为例,首先数字证书格式和吊销状态验证子单元开始执行验证具体验证过程同实施例一的表述,此处不再赘述。当数字证书格式和吊销状态验证通过后所述黑名单列表验证子单元和或白名单列表验证子单元开始验证,具体包括:
所述白名单列表验证子单元创建一个白名单数据库表,如表四所示所述白名单数据库表包括序号字段和白名单值字段,其中序号字段是主键,序号值自动递增;白名单值字段表示数字证书标识,数字证书标识可以为数字证书中证书序列号和颁发者名称的组合,也可以只为证书序列号。
序号 | 白名单值 |
1 | 证书序列号1+颁发者名称 |
2 | 证书序列号2+颁发者名称 |
3 | 证书序列号3+颁发者名称 |
4 | 证书序列号4+颁发者名称 |
… | … |
表四
所述白名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询,根据SQL查询语句的返回值判断,如果返回值中包含有所查询的数字证书标识,则代表在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,否则,则代表在白名单数据库表的白名单值字段中不能查询到数字证书鉴别请求分组中包含的数字证书的标识;
如果在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述白名单列表验证子单元执行白名单验证通过,说明白名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在白名单内,从而确定数字证书有效性验证成功;否则,所述白名单列表验证子单元执行白名单验证失败,说明白名单列表验证子单元判断证书鉴别请求分组
换句话说,如果白名单列表验证子单元判断数字证书鉴别请求分组中包含的数字证书不在白名单内,则数字证书验证单元得到的数字证书验证结果为失败,并通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果;如果白名单列表验证子单元判断数字证书鉴别请求分组中包含的数字证书在白名单内,则数字证书有效性验证成功。
上述执行过程中的白名单值可以增加或者删除。鉴别服务器增加或者删除白名单记录的信息可来自于数字证书颁发实体或者网络管理员等,本发明对此不做限制。
黑名单列表验证子单元的验证过程详细如下。
所述黑名单列表验证子单元创建一个黑名单数据库表,如表五所示,所述黑名单数据库表包括序号字段和黑名单值字段,其中,序号字段是主键,序号值自动递增;黑名单值字段表示是数字证书标识,数字证书标识可以为数字证书中证书序列号和颁发者名称的组合,也可以只为证书序列号。
序号 | 黑名单值 |
1 | 证书序列号1+颁发者名称 |
2 | 证书序列号2+颁发者名称 |
3 | 证书序列号3+颁发者名称 |
4 | 证书序列号4+颁发者名称 |
… | … |
表五
所述黑名单列表验证子单元执行SQL的查询语句对数字证书标识是否在黑名单值字段中进行查询,根据SQL查询语句的返回值判断,如果返回值中包含有所查询的数字证书标识,则代表在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,否则,则代表在黑名单数据库表的黑名单值字段中不能查询到数字证书鉴别请求分组中包含的数字证书的标识;
如果在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述黑名单列表验证子单元执行黑名单验证不通过,说明黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在黑名单内从而确定数字证书有效性验证失败;否则,所述黑名单列表验证子单元执行黑名单验证成功,说明黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书不在黑名单内,从而确定数字证书有效性验证成功。
换句话说,如果黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在黑名单内,则数字证书验证模块得到的数字证书验证结果为失败,然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果;如果黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书不在黑名单则数字证书有效性验证成功。
上述执行过程中的黑名单值可以增加或者删除。鉴别服务器增加或者删除黑名单记录的信息可来自于数字证书颁发实体或者网络管理员等,本发明对此不做限制。
基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后,然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。
该实施例述及的验证过程适用于在一个特定的网络环境中,如一个企业内的局域网,传输的数字证书很大可能是企业内部的数字证书颁发者颁发,每一台企业内部网络中使用的设备中包含的数字证书数量有限,且根据设备本身的应用仅含有某个特定应用的证书,在这个封闭的特定应用环境中,由于数字证书来源和应用范围单一。该实施例提供的验证方案能够很好地提高这种网络环境下的数字证书的验证效率。
实施例三
如图4和图5,在所述验证方案配置模块中开启黑名单列表验证子单元和或白名单列表验证子单元、数字证书使用范围验证子单元以及数字证书格式和吊销状态验证子单元。具体验证过程详细说明如下。
以WAPI网络架构为例,当所述消息接收模块接收到接入点AP发送的数字证书鉴别请求分组后,由所述数字证书解析模块对所述数字证书鉴别请求分组解析以获得数字证书内容,并将解析后的数字证书内容提交到所述数字证书验证模块,首先由所述黑名单列表验证子单元和或白名单列表验证子单元执行验证,详细验证过程同实施例二的描述,此处不再赘述。
待所述黑名单列表验证子单元和或白名单列表验证子单元执行验证的结果为通过时,进一步由数字证书使用范围验证子单元执行验证,该验证过程同实施例一的描述,此处不再赘述。
待所述数字证书使用范围验证子单元执行验证的结果为在特定的范围内时,进一步由所述数字证书格式和吊销状态验证子单元执行验证,如验证执行通过则数字证书有效性验证成功,否则,数字证书有效性验证失败。
基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后,然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。
该实施例述及的验证过程适用于在一个网络通信***中,如果某几个网络只限定给某些用户使用,其他的网络所有人都可以使用,则需要限定给某些用户使用的网络设备需要首先验证自己设备中的白名单和或黑名单,如果接收到的数字证书内容是白名单和或黑名单里面的成员,则可进行后续验证,如果接收到的数字证书内容不在设备的白名单内和或黑名单,不再进行后续的验证工作,节省时间。该验证方案能够很好地提高这种网络环境下的数字证书的验证效率。
除上述实施例描述的以外,所述验证方案配置单元中的验证项目字段标识的验证方案还可以是证书鉴别请求分组中包含的数字证书的颁发者是否满足使用的安全级别的验证等,鉴别服务器还可继续依据验证方案配置单元预置的验证方案对数字证书鉴别请求分组中包含的数字证书进行验证,然后通过消息发送模块构建证书鉴别响应分组发送给AP告知数字证书验证结果或者与验证相关的信息内容,本发明具体实施部分对此不再赘述。
此外,本发明提供的验证数字证书有效性的方法并不局限于上述实施例所述的WAPI架构。基于本发明提供的验证数字证书有效性的方法的相同的思路,本发明还提供了一种与之对应的鉴别服务器,参见图6。具体是:
用于验证数字证书有效性的鉴别服务器,其包括消息接收模块、数字证书验证模块,其特征在于,所述数字证书验证模块包括验证方案配置单元;
所述消息接收模块用于接收数字证书鉴别请求分组;
所述验证方案配置单元用于配置验证数字证书有效性的验证方案。
优选的,所述鉴别服务器还可以进一步包括数字证书解析模块,用于解析数字证书鉴别请求分组中的数字证书内容。
优选的,所述验证方案配置单元进一步包括白名单列表验证子单元,所述白名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在白名单内;
所述验证方案配置单元进一步包括黑名单列表验证子单元,所述黑名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在黑名单内;
所述验证方案配置单元进一步包括数字证书格式和吊销状态验证子单元,所述数字证书格式和吊销状态验证子单元用于验证所述数字证书的信息格式是否与所述鉴别服务器已知的格式一致;
所述验证方案配置单元进一步包括数字证书使用范围验证子单元,所述数字证书使用范围验证子单元用以验证所述数字证书鉴别请求分组中包含的数字证书是否符合数字证书颁发时候规定的使用范围。
鉴别服务器所述各结构的功能及工作方式与前述方法中描述的工作过程相应,此处不再赘述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种验证数字证书有效性的方法,该方法涉及鉴别服务器,该鉴别服务器包括消息接收模块和数字证书验证模块,其特征在于,
所述数字证书验证模块中设置有验证方案配置单元,所述验证方案配置单元进行配置设置以用于配置验证数字证书有效性的验证方案;
所述消息接收模块接收数字证书鉴别请求消息,所述数字证书鉴别请求消息中包含有数字证书内容;所述消息接收模块将收到的数字证书内容提交至所述数字证书验证模块进行验证;所述数字证书验证模块根据验证需求从所述验证方案配置单元中配置的验证方案中选择相应的验证方案来执行具体的验证过程;
如果根据选择的所述验证方案对数字证书的有效性验证无法通过,则确定数字证书有效性验证失败;否则,确定数字证书有效性验证成功。
2.根据权利要求1所述的方法,其特征在于,所述配置设置为创建验证方案数据库表,所述验证方案数据库表包括验证项目字段和开关值字段,所述验证项目字段用于标识验证方案;所述验证方案的启用通过设置开关值来实现,当所述开关值为开启时,启用相应的验证方案;当所述开关值设置为关闭时,不启用相应的验证方案。
3.根据权利要求2所述的方法,其特征在于,所述验证方案数据库表还包括序号字段和或验证顺序字段,所述验证顺序字段用于控制验证方案的执行顺序。
4.根据权利要求1或2或3所述的方法,其特征在于,所述验证方案为白名单列表验证方案、黑名单列表验证方案、数字证书格式和吊销状态验证方案以及数字证书使用范围验证方案中的至少任意两种的组合;
所述验证方案配置单元中相应的进一步包括:白名单列表验证子单元、黑名单列表验证子单元、数字证书格式和吊销状态验证子单元以及数字证书使用范围验证子单元中的至少任意两种的组合。
5.根据权利要求4所述的方法,其特征在于,所述验证方案配置单元中启用数字证书使用范围验证子单元和数字证书格式和吊销状态验证子单元以验证数字证书有效性的方法,具体包括:
1)首先执行数字证书使用范围验证:
所述数字证书使用范围验证子单元创建一个数字证书使用范围表,所述数字证书使用范围表包括序号字段、数字证书标识字段和使用范围字段;
所述数字证书使用范围验证子单元执行SQL的查询语句对数字证书的使用范围否在使用范围字段中进行查询,根据SQL查询语句的返回值判断;
如果在所述使用范围字段中可以查询到数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时规定的使用范围,则所述数字证书使用范围验证子单元验证数字证书使用范围成功,从而进一步执行数字证书格式和吊销状态验证;
否则,所述数字证书使用范围验证子单元验证数字证书使用范围失败,从而确定数字证书有效性验证失败;
2)执行数字证书格式和吊销状态验证:
所述数字证书格式和吊销状态验证子单元验证所述数字证书内容的信息格式是否与所述鉴别服务器已知的格式一致,如果不一致则数字证书格式和吊销状态验证失败,如果一致则数字证书格式和吊销状态验证成功;
或者,所述鉴别服务器利用其数字证书的公钥计算所述数字证书鉴别请求分组中的数字证书的签名值,所述数字证书格式和吊销状态验证子单元计算出的签名值和所述数字证书的签名值是否相同,如果不相同,则数字证书格式和吊销状态验证失败,如果相同则数字证书格式和吊销状态验证验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器当前时间和接收到的数字证书的有效时间范围,如果所述鉴别服务器当前时间不在接收到的数字证书的有效范围内,则数字证书格式和吊销状态验证失败;否则,数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器存储的接收到的数字证书的状态是否被标记为已吊销,如果被标记为已吊销,则数字证书格式和吊销状态验证失败,否则,数字证书格式和吊销状态验证成功。
6.根据权利要求4所述的方法,其特征在于,所述验证方案配置单元中启用数字证书格式和吊销状态验证子单元、黑名单列表验证子单元和或白名单列表验证子单元以验证数字证书有效性的方法,具体包括:
1)首先执行数字证书格式和吊销状态验证:
所述数字证书格式和吊销状态验证子单元验证所述数字证书内容的信息格式是否与所述鉴别服务器已知的格式一致,如果不一致则数字证书格式和吊销状态验证失败,如果一致则数字证书格式和吊销状态验证成功;
或者,所述鉴别服务器利用其数字证书的公钥计算所述数字证书鉴别请求分组中的数字证书的签名值,所述数字证书格式和吊销状态验证子单元计算出的签名值和所述数字证书的签名值是否相同,如果不相同,则数字证书格式和吊销状态验证失败,如果相同则数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器当前时间和接收到的数字证书的有效时间范围,如果所述鉴别服务器当前时间不在接收到的数字证书的有效范围内,则数字证书格式和吊销状态验证失败;否则,数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器存储的接收到的数字证书的状态是否被标记为已吊销,如果被标记为已吊销,则数字证书格式和吊销状态验证失败,否则,数字证书格式和吊销状态验证成功;
2)待所述数字证书格式和吊销状态验证执行成功后进一步执行黑名单列表验证和或白名单列表验证,具体包括:
所述黑名单列表验证子单元创建一个黑名单数据库表,所述黑名单数据库表包括序号字段和黑名单值字段,所述黑名单值字段为数字证书标识;
所述黑名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询,根据SQL查询语句的返回值判断;
如果在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述黑名单列表验证子单元执行黑名单验证失败;否则,确定所述黑名单列表验证子单元执行黑名单验证通过;和或,
所述白名单列表验证子单元创建一个白名单数据库表,所述白名单数据库表包括序号字段和白名单值字段,所述白名单值字段为数字证书标识;
所述白名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询,根据SQL查询语句的返回值判断;
如果在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述白名单列表验证子单元执行白名单验证通过;否则,确定所述白名单列表验证子单元执行白名单验证失败。
7.根据权利要求4所述的方法,其特征在于,所述验证方案配置单元中启用黑名单列表验证子单元和或白名单列表验证子单元、数字证书使用范围验证子单元以及数字证书格式和吊销状态验证子单元以验证数字证书有效性的方法,具体包括:
1)首先执行黑名单列表验证和或白名单列表验证,具体包括:
所述黑名单列表验证子单元创建一个黑名单数据库表,所述黑名单数据库表包括序号字段和黑名单值字段,所述黑名单值字段为数字证书标识;
所述黑名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询,根据SQL查询语句的返回值判断;
如果在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述黑名单列表验证子单元执行黑名单验证失败;否则,确定所述黑名单列表验证子单元执行黑名单验证通过;和或,
所述白名单列表验证子单元创建一个白名单数据库表,所述白名单数据库表包括序号字段和白名单值字段,所述白名单值字段为数字证书标识;
所述白名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询,根据SQL查询语句的返回值判断;
如果在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识,则所述白名单列表验证子单元执行白名单验证通过;否则,确定所述白名单列表验证子单元执行白名单验证失败;
2)在黑名单列表验证和或白名单列表验证成功后,再执行数字证书使用范围验证,具体是:
所述数字证书使用范围验证子单元创建一个数字证书使用范围表,所述数字证书使用范围表包括序号字段、数字证书标识字段和使用范围字段;
所述数字证书使用范围验证子单元执行SQL的查询语句对数字证书的使用范围否在使用范围字段中进行查询,根据SQL查询语句的返回值判断;
如果在所述使用范围字段中可以查询到数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时规定的使用范围,则所述数字证书使用范围验证子单元验证数字证书使用范围成功;
否则,所述数字证书使用范围验证子单元验证数字证书使用范围失败,从而确定数字证书有效性验证失败;
3)在数字证书使用范围验证成功后进一步执行数字证书格式和吊销状态验证,具体是:
所述数字证书格式和吊销状态验证子单元验证所述数字证书内容的信息格式是否与所述鉴别服务器已知的格式一致,如果不一致则数字证书格式和吊销状态验证失败,如果一致则数字证书格式和吊销状态验证成功;
或者,所述鉴别服务器利用其数字证书的公钥计算所述数字证书鉴别请求分组中的数字证书的签名值,所述数字证书格式和吊销状态验证子单元计算出的签名值和所述数字证书的签名值是否相同,如果不相同,则数字证书格式和吊销状态验证失败,如果相同则数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器当前时间和接收到的数字证书的有效时间范围,如果所述鉴别服务器当前时间不在接收到的数字证书的有效范围内,则数字证书格式和吊销状态验证失败;否则,数字证书格式和吊销状态验证成功;
或者,所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器存储的接收到的数字证书的状态是否被标记为已吊销,如果被标记为已吊销,则数字证书格式和吊销状态验证失败,否则,数字证书格式和吊销状态验证成功。
8.根据权利要求1所述的方法,其特征在于,所述配置设置还可以是XML格式的配置文件,其包括序号元素、验证项目元素、验证顺序元素以及开关值元素;
所述验证顺序元素用于控制验证方案的执行顺序;
所述开关值元素用于确定相应的验证方案是否开启。
9.一种用于验证数字证书有效性的鉴别服务器,其包括消息接收模块、数字证书验证模块,其特征在于,所述数字证书验证模块包括验证方案配置单元;
所述消息接收模块用于接收数字证书鉴别请求分组;
所述验证方案配置单元用于配置验证数字证书有效性的验证方案。
10.一种如权利要求9所述的鉴别服务器,其特征在于,所述验证方案配置单元进一步包括白名单列表验证子单元,所述白名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在白名单内。
11.一种如权利要求9所述的鉴别服务器,其特征在于,所述验证方案配置单元进一步包括黑名单列表验证子单元,所述黑名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在黑名单内。
12.一种如权利要求9所述的鉴别服务器,其特征在于,所述验证方案配置单元进一步包括数字证书格式和吊销状态验证子单元,所述数字证书格式和吊销状态验证子单元用于验证所述数字证书的信息格式是否与所述鉴别服务器已知的格式一致。
13.一种如权利要求9所述的鉴别服务器,其特征在于,所述验证方案配置单元进一步包括数字证书使用范围验证子单元,所述数字证书使用范围验证子单元用以验证所述数字证书鉴别请求分组中包含的数字证书是否符合数字证书颁发时候规定的使用范围。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510381509.XA CN106330449A (zh) | 2015-07-02 | 2015-07-02 | 一种验证数字证书有效性的方法及其鉴别服务器 |
PCT/CN2016/081665 WO2017000676A1 (zh) | 2015-07-02 | 2016-05-11 | 一种验证数字证书有效性的方法及其鉴别服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510381509.XA CN106330449A (zh) | 2015-07-02 | 2015-07-02 | 一种验证数字证书有效性的方法及其鉴别服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106330449A true CN106330449A (zh) | 2017-01-11 |
Family
ID=57607716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510381509.XA Pending CN106330449A (zh) | 2015-07-02 | 2015-07-02 | 一种验证数字证书有效性的方法及其鉴别服务器 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106330449A (zh) |
WO (1) | WO2017000676A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108549809A (zh) * | 2018-04-02 | 2018-09-18 | 郑州云海信息技术有限公司 | 一种基于数字证书的应用程序进程控制方法与*** |
CN110858804A (zh) * | 2018-08-25 | 2020-03-03 | 华为技术有限公司 | 确定证书状态的方法 |
CN113242130A (zh) * | 2021-04-01 | 2021-08-10 | 深圳国实检测技术有限公司 | 设备数字证书吊销方法、电子设备及计算机可读存储介质 |
CN114073038A (zh) * | 2019-06-28 | 2022-02-18 | 斑马技术公司 | 更新数字证书的方法和装置 |
US12034871B2 (en) | 2018-08-25 | 2024-07-09 | Huawei Cloud Computing Technologies Co., Ltd. | Certificate status determining method |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116894109B (zh) * | 2023-09-11 | 2024-01-09 | 北京格尔国信科技有限公司 | 一种查询数字证书的方法、***、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163012A (zh) * | 2007-11-20 | 2008-04-16 | 江苏先安科技有限公司 | 一种数字证书细粒度的验证***及验证方法 |
US20110238987A1 (en) * | 2010-03-24 | 2011-09-29 | Gm Global Technology Operations, Inc. | Adaptive certificate distribution mechanism in vehicular networks using forward error correcting codes |
CN102638346A (zh) * | 2012-05-12 | 2012-08-15 | 杭州迪普科技有限公司 | 一种用户数字证书的认证方法及装置 |
CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100431210B1 (ko) * | 2002-08-08 | 2004-05-12 | 한국전자통신연구원 | 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법 |
JP2006244081A (ja) * | 2005-03-02 | 2006-09-14 | Fuji Xerox Co Ltd | 認証機能付きサーバ及び方法 |
US9544147B2 (en) * | 2009-05-22 | 2017-01-10 | Microsoft Technology Licensing, Llc | Model based multi-tier authentication |
CN102811218B (zh) * | 2012-07-24 | 2013-07-31 | 江苏省电子商务服务中心有限责任公司 | 数字证书精确化认证方法、装置及云认证服务*** |
-
2015
- 2015-07-02 CN CN201510381509.XA patent/CN106330449A/zh active Pending
-
2016
- 2016-05-11 WO PCT/CN2016/081665 patent/WO2017000676A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101163012A (zh) * | 2007-11-20 | 2008-04-16 | 江苏先安科技有限公司 | 一种数字证书细粒度的验证***及验证方法 |
US20110238987A1 (en) * | 2010-03-24 | 2011-09-29 | Gm Global Technology Operations, Inc. | Adaptive certificate distribution mechanism in vehicular networks using forward error correcting codes |
CN102638346A (zh) * | 2012-05-12 | 2012-08-15 | 杭州迪普科技有限公司 | 一种用户数字证书的认证方法及装置 |
CN103560889A (zh) * | 2013-11-05 | 2014-02-05 | 江苏先安科技有限公司 | 一种x509数字证书与证书应用之间的精确化身份认证方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108549809A (zh) * | 2018-04-02 | 2018-09-18 | 郑州云海信息技术有限公司 | 一种基于数字证书的应用程序进程控制方法与*** |
CN110858804A (zh) * | 2018-08-25 | 2020-03-03 | 华为技术有限公司 | 确定证书状态的方法 |
CN110858804B (zh) * | 2018-08-25 | 2022-04-05 | 华为云计算技术有限公司 | 确定证书状态的方法 |
US12034871B2 (en) | 2018-08-25 | 2024-07-09 | Huawei Cloud Computing Technologies Co., Ltd. | Certificate status determining method |
CN114073038A (zh) * | 2019-06-28 | 2022-02-18 | 斑马技术公司 | 更新数字证书的方法和装置 |
CN113242130A (zh) * | 2021-04-01 | 2021-08-10 | 深圳国实检测技术有限公司 | 设备数字证书吊销方法、电子设备及计算机可读存储介质 |
CN113242130B (zh) * | 2021-04-01 | 2022-07-22 | 深圳国实检测技术有限公司 | 设备数字证书吊销方法、电子设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2017000676A1 (zh) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Camenisch et al. | Anonymous attestation using the strong diffie hellman assumption revisited | |
US10257161B2 (en) | Using neighbor discovery to create trust information for other applications | |
CN106330449A (zh) | 一种验证数字证书有效性的方法及其鉴别服务器 | |
CN111106940B (zh) | 一种基于区块链的资源公钥基础设施的证书交易验证方法 | |
US8844009B2 (en) | Resilient device authentication system | |
JP2005184835A5 (zh) | ||
CN102420690A (zh) | 一种工业控制***中身份与权限的融合认证方法及*** | |
CN113850599B (zh) | 一种应用于联盟链的跨链交易方法及*** | |
CN101631114B (zh) | 一种基于公钥证书的身份鉴别方法及其*** | |
CN114338242B (zh) | 一种基于区块链技术的跨域单点登录访问方法及*** | |
CN110351263A (zh) | 一种基于超级账本fabric的物联网认证方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
CN109167771B (zh) | 基于联盟链的鉴权方法、装置、设备及可读存储介质 | |
CN106161361A (zh) | 一种跨域资源的访问方法及装置 | |
Meadows et al. | Deriving, attacking and defending the GDOI protocol | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
CN110071813A (zh) | 一种账户权限更改方法***、账户平台和用户终端 | |
US11575667B1 (en) | System and method for secure communications | |
US20130212642A1 (en) | Resilient Device Authentication System | |
CN114697061B (zh) | 接入控制方法、装置、网络侧设备、终端及区块链节点 | |
CN111666554B (zh) | 一种证书认证方法、装置、设备及存储介质 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
CN116506118A (zh) | 一种pki证书透明化服务中身份隐私性保护方法 | |
CN114900336A (zh) | 一种应用***跨单位安全共享方法及*** | |
US10447688B1 (en) | System for secure communications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170111 |