CN107104801B - 一种用于测试的方法和装置 - Google Patents
一种用于测试的方法和装置 Download PDFInfo
- Publication number
- CN107104801B CN107104801B CN201610096373.2A CN201610096373A CN107104801B CN 107104801 B CN107104801 B CN 107104801B CN 201610096373 A CN201610096373 A CN 201610096373A CN 107104801 B CN107104801 B CN 107104801B
- Authority
- CN
- China
- Prior art keywords
- certificate
- implementation
- extracted
- validity
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种用于测试的方法和装置,该装置包括:提取模块,用于从证书测试库中提取PKI的证书和该证书的表明其有效或无效的有效性指示;第一验证模块,用于利用指定的具有对PKI的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果;第二验证模块,利用所述指定的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果;以及,确定模块,用于如果第一验证结果和/或第二验证结果与所提取的有效性指示不一致,则确定所述指定的实现不能正确地验证证书。利用该方法和装置,能够准确地测试具有对PKI的证书进行验证的功能的实现能否正确地验证证书。
Description
技术领域
本发明涉及公钥基础设施领域,尤其涉及一种用于测试的方法和装置。
背景技术
公钥基础设施(PKI)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,其通过认证机构(CA)利用证书把用户的公钥和用户的标识信息捆绑在一起,在网络上验证用户的身份。国际电信联盟(ITU-T)制定的数字证书标准X.509详细定义了PKI中的证书。
安全套接层(SSL)协议及其继任者传输层安全(TLS)协议是PKI中采用的为网络通信提供安全及数据完整性的一种安全协议,用于在实际的数据传输开始前,对通信双方进行身份认证、协商加密算法、交换加密密钥等。实现或遵循SSL/TLS协议的部分或全部的应用通常被称作SSL/TLS实现,其通常包括安装在客户端上的客户端侧实现和安装在服务器上的服务器侧实现。SSL/TLS实现在对用户进行身份认证时首先需要对用户的证书进行验证。从而,SSL/TLS实现能否正确地验证证书对SSL/TLS实现的身份认证功能非常重要。
通常,使用证书测试库来测试SSL/TLS实现能否正确地验证证书,其中,该证书测试库包括多个证书和该多个证书各自的表示有效或无效的有效性指示。
然而,现有的测试方法不能准确地测试SSL/TLS实现能否正确地验证证书。
发明内容
考虑到现有技术的上述问题,本发明的实施例提供一种用于测试的方法和装置,其能够准确地测试具有对PKI的证书进行验证的功能的实现能否正确地验证证书。
按照本发明实施例的一种用于测试的方法,包括:从证书测试库中提取PKI的证书和该证书的表明其有效或无效的有效性指示;利用指定的具有对PKI的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果;利用所述指定的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果;以及,如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的实现不能正确地验证证书。
其中,所述方法还包括:如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的实现能正确地验证证书。
其中,所述指定的实现是遵循SSL协议或TSL协议的实现。
按照本发明实施例的一种用于测试的装置,包括:提取模块,用于从证书测试库中提取PKI的证书和该证书的表明其有效或无效的有效性指示;第一验证模块,用于利用指定的具有对PKI的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果;第二验证模块,利用所述指定的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果;以及,确定模块,用于如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的实现不能正确地验证证书。
其中,所述确定模块还用于:如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的实现能正确地验证证书。
其中,所述指定的实现是遵循SSL协议或TSL协议的实现。
从以上的描述可以看出,本发明实施例的方案在测试具有对PKI的证书进行验证的功能的实现能否正确地验证证书时,不但测试具有对PKI的证书进行验证的功能的实现中的服务器侧实现能否正确地验证证书,而且也测试具有对PKI的证书进行验证的功能的实现中的客户端侧实现能否正确地验证证书,从而,与现有技术相比,本发明实施例的方案能够准确地测试具有对PKI的证书进行验证的功能的实现能否正确地验证证书。
附图说明
本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。其中:
图1示出了按照本发明的一个实施例的用于测试的方法的流程图。
图2示出了按照本发明的另一个实施例的用于测试的方法的流程图。
图3示出了按照本发明的一个实施例的用于测试的装置的示意图。
图4示出了按照本发明的一个实施例的用于测试的设备的示意图。
具体实施方式
下面,将参照附图详细描述本发明的各个实施例。
现在参见图1,其示出了按照本发明的一个实施例的用于测试的方法的流程图。图1所示的方法100可以由具有计算能力的任何设备(例如但不局限于,台式计算机、笔记本电脑、服务器等)来实现。
如图1所示,在步骤S102,从证书测试库D中提取一个证书和该证书的表明其有效或无效的有效性指示。这里,证书测试库D包括多个PKI的证书和每一个证书的表明其有效或无效的有效性指示。
在步骤S104,利用待测试的SSL/TLS实现P中的服务器侧实现对所提取的证书进行有效性验证,以获取所提取的证书的第一验证结果。显然,该第一验证结果将表明所提取的证书有效或无效。
在步骤S106,利用SSL/TLS实现P中的客户端侧实现对所提取的证书进行有效性验证,以获取所提取的证书的第二验证结果。显然,该第二验证结果将表明所提取的证书有效或无效。
在步骤S108,判断第一验证结果和第二验证结果与所提取的有效性指示是否一致。
在步骤S110,如果步骤108的判断结果为否定,即第一验证结果和/或第二验证结果与所提取有效性指示不一致,则确定待测试的SSL/TLS实现P不能正确地验证证书。例如,如果所提取的有效性指示表明所提取的证书无效,但第一验证结果表明所提取的证书有效和/或第二验证结果表明所提取的证书有效,则确定待测试的SSL/TLS实现P不能正确地验证证书。又例如,如果所提取的有效性指示表明所提取的证书有效,但第一验证结果表明所提取的证书无效和/或第二验证结果表明所提取的证书无效,则确定待测试的SSL/TLS实现P不能正确地验证证书,然后方法100结束。
在步骤S112,如果步骤108的判断结果为肯定,即第一验证结果和第二验证结果都与所提取有效性指示一致,则进一步判断证书测试库D中是否存在仍未被提取过的证书。
在步骤S114,如果步骤112的判断结果为肯定,即证书测试库D中存在仍未被提取过的证书,则从证书测试库D的仍未被提取过的证书中提取一个证书,然后方法100返回步骤S104。
在步骤S116,如果步骤112的判断结果为否定,即证书测试库D中不存在仍未被提取过的证书,则确定待测试的SSL/TLS实现P能正确地验证证书,然后方法100结束。
显然,如果方法100能进行到步骤S116,则表明证书测试库D包括的所有证书各自的第一验证结果和第二验证结果与证书测试库D包括的所有证书各自的有效性指示一致,因此,待测试的SSL/TLS实现P能正确地验证证书是显而易见的。
从以上的描述可以看出,本发明实施例的方案在测试SSL/TLS实现能否正确地验证证书时,不但测试SSL/TLS实现中的服务器侧实现能否正确地验证证书,而且也测试SSL/TLS实现中的客户端侧实现能否正确地验证证书,从而,与现有技术相比,本发明实施例的方案能够准确地测试SSL/TLS实现能否正确地验证证书。
其他变型
本领域技术人员应当理解,虽然在上面的实施例中,待测试的实现是SSL/TLS实现,然而,本发明并不局限于此。在本发明的其它一些实施例中,待测试的实现可以是包括在SSL/TLS实现内的具有对PKI的证书进行验证的功能的任何实现。
现在参见图2,其示出了按照本发明的另一实施例的用于测试的方法的流程图。图2所示的方法200可以由具有计算能力的任何设备来实现。
如图2所示,方法200可以包括步骤S202、步骤S204、步骤S206和步骤S208。在步骤S202,从证书测试库中提取PKI的证书和该证书的表明其有效或无效的有效性指示。在步骤S204,利用指定的具有对PKI的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果。在步骤S206,利用所述指定的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果。在步骤S208,如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的实现不能正确地验证证书。
在一个方面,方法200还可以包括步骤S210。在步骤S210,如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的实现能正确地验证证书。
在另一个方面,所述指定的实现是遵循SSL协议或TSL协议的实现。
现在参见图3,其示出了按照本发明的一个实施例的用于测试的装置的示意图。图3所示的装置300可以利用软件、硬件(例如集成电路或DSP等)或软硬件结合的方式来实现。
图3所示,装置300可以包括提取模块302、第一验证模块304、第二验证模块306和确定模块308。提取模块302用于从证书测试库中提取PKI的证书和该证书的表明其有效或无效的有效性指示。第一验证模块304用于利用指定的具有对PKI的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果。第二验证模块306利用所述指定的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果。确定模块308用于如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的实现不能正确地验证证书。
在一个方面,确定模块308还用于:如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的实现能正确地验证证书。
在另一个方面,所述指定的实现是遵循SSL协议或TSL协议的实现。
现在参见图4,其示出了按照本发明一个实施例的用于测试的设备的示意图。如图4所示,用于测试的设备400可以包括用于存储可执行指令的存储器410和与存储器410连接的处理器420,其中,处理器420可以执行图2所示的方法200所包括的各个步骤。
本发明的实施例还提供一种种计算机程序产品,包括机器可读介质,其上存储有可执行指令,当该可执行指令被执行时,使得机器执行图2所示的方法200所包括的各个步骤。
本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
Claims (8)
1.一种用于测试的方法,包括:
从证书测试库中提取公钥基础设施(PKI)的证书和该证书的表明其有效或无效的有效性指示;
利用指定的具有对公钥基础设施的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果;
利用所述指定的具有对公钥基础设施的证书进行验证的功能的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果;以及
如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的具有对公钥基础设施的证书进行验证的功能的实现不能正确地验证证书。
2.如权利要求1所述的方法,其中,还包括:
如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的具有对公钥基础设施的证书进行验证的功能的实现能正确地验证证书。
3.如权利要求1或2所述的方法,其中,所述指定的具有对公钥基础设施的证书进行验证的功能的实现是遵循安全套接层(SSL)协议或传输层安全(TLS)协议的实现。
4.一种用于测试的装置,包括:
提取模块,用于从证书测试库中提取公钥基础设施(PKI)的证书和该证书的表明其有效或无效的有效性指示;
第一验证模块,用于利用指定的具有对公钥基础设施的证书进行验证的功能的实现中的客户端侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第一验证结果;
第二验证模块,利用所述指定的具有对公钥基础设施的证书进行验证的功能的实现中的服务器侧实现来对所提取的证书进行有效性验证,以获得所提取的证书的第二验证结果;以及
确定模块,用于如果所提取的证书的所述第一验证结果和/或所述第二验证结果与所提取的有效性指示不一致,则确定所述指定的具有对公钥基础设施的证书进行验证的功能的实现不能正确地验证证书。
5.如权利要求4所述的装置,其中,
所述确定模块还用于:如果所述证书测试库包括的所有证书各自的所述第一验证结果和所述第二验证结果与所述证书测试库包括的所有证书各自的所述有效性指示一致,则确定所述指定的具有对公钥基础设施的证书进行验证的功能的实现能正确地验证证书。
6.如权利要求4或5所述的装置,其中,所述指定的具有对公钥基础设施的证书进行验证的功能的实现是遵循安全套接层(SSL)协议或传输层安全(TLS)协议的实现。
7.一种用于测试的设备,包括:
存储器;以及
处理器,用于执行权利要求1-3中的任意一个所包括的操作。
8.一种机器可读介质,其上存储有可执行指令,其特征在于,当该可执行指令被执行时,使得机器执行权利要求1-3中的任意一个所包括的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610096373.2A CN107104801B (zh) | 2016-02-22 | 2016-02-22 | 一种用于测试的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610096373.2A CN107104801B (zh) | 2016-02-22 | 2016-02-22 | 一种用于测试的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107104801A CN107104801A (zh) | 2017-08-29 |
| CN107104801B true CN107104801B (zh) | 2020-11-10 |
Family
ID=59658497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610096373.2A Active CN107104801B (zh) | 2016-02-22 | 2016-02-22 | 一种用于测试的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107104801B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102811224A (zh) * | 2012-08-02 | 2012-12-05 | 天津赢达信科技有限公司 | 一种ssl/tls连接的实现方法、装置及*** |
| CN105184138A (zh) * | 2015-08-13 | 2015-12-23 | 深圳市广和通无线股份有限公司 | 无线通讯模块及其证书加载和配置校验方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7707404B2 (en) * | 2004-06-25 | 2010-04-27 | The Go Daddy Group, Inc. | Automated process for a web site to receive a secure socket layer certificate |
| US9032496B2 (en) * | 2012-02-28 | 2015-05-12 | Citrix Systems, Inc. | Secure single sign-on |
-
2016
- 2016-02-22 CN CN201610096373.2A patent/CN107104801B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102811224A (zh) * | 2012-08-02 | 2012-12-05 | 天津赢达信科技有限公司 | 一种ssl/tls连接的实现方法、装置及*** |
| CN105184138A (zh) * | 2015-08-13 | 2015-12-23 | 深圳市广和通无线股份有限公司 | 无线通讯模块及其证书加载和配置校验方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107104801A (zh) | 2017-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070542B2 (en) | Systems and methods for certificate chain validation of secure elements | |
| CN107040373A (zh) | 相互认证方法及认证设备 | |
| US20090327696A1 (en) | Authentication with an untrusted root | |
| US8719915B2 (en) | Method for improving network application security and the system thereof | |
| US8274401B2 (en) | Secure data transfer in a communication system including portable meters | |
| JP2018517367A5 (zh) | ||
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的***及方法 | |
| CN108885658B (zh) | 借助凭证对设备真实性的证明 | |
| US11290283B2 (en) | Automated replacement of self-signed server certificates | |
| CN112437068B (zh) | 认证及密钥协商方法、装置和*** | |
| US10833849B2 (en) | Unified secure device provisioning | |
| KR101004829B1 (ko) | 이선형 맵들로부터의 직접적인 익명의 증명을 위한 장치 및방법 | |
| CN105580312A (zh) | 用于认证设备的用户的方法和*** | |
| CN106027574A (zh) | 身份认证方法和装置 | |
| CA2969332A1 (en) | A method and device for authentication | |
| US20210306135A1 (en) | Electronic device within blockchain based pki domain, electronic device within certification authority based pki domain, and cryptographic communication system including these electronic devices | |
| CN114553444B (zh) | 身份认证方法、装置及存储介质 | |
| KR101253683B1 (ko) | 연쇄 해시에 의한 전자서명 시스템 및 방법 | |
| CN111049789B (zh) | 域名访问的方法和装置 | |
| KR20090001497A (ko) | 신뢰 컴퓨팅 환경에서 각 참여자가 상호 보증 기능을 갖는인터넷 전자투표 방법 및 시스템 | |
| CN107104801B (zh) | 一种用于测试的方法和装置 | |
| CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
| CN107104799B (zh) | 一种用于创建证书测试库的方法和装置 | |
| WO2022219323A1 (en) | Secure root-of-trust enrolment and identity management of embedded devices | |
| EP4324154A1 (en) | Encrypted and authenticated firmware provisioning with root-of-trust based security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |