一种数字证书处理方法及装置与流程

本发明属于网络与信息安全技术领域，尤其涉及一种数字证书处理方法及装置。

背景技术

目前数字证书由作为权威且可信的第三方，如ca(certificateauthority，证书授权)机构负责，在终端与服务器建立安全的tls(transportlayersecurity，安全传输层协议)连接或者ssl(securesocketslayer，安全套接层)连接时，终端需要获取服务器发送的数字证书，并对该数字证书进行验证。为了获取并验证数字证书，目前通用方法是在终端预装受信任根证书，但是目前ca机构众多，使得终端预装根证书数量较多，如通常预装根证书数量可达上百个，从而导致证书信任锚不唯一。

并且目前ca机构签发数字证书的权力过大，任意ca机构能够给任意域名签发数字证书，而一旦任一ca机构由于被攻击或欺骗等原因误签发数字证书，就可以利用误签发的数字证书假扮成特定域名拥有者，实施中间人攻击。

技术实现要素：

有鉴于此，本发明的目的在于提供一种数字证书处理方法及装置，用于使得信任锚唯一化且降低被攻击的可能性。技术方案如下：

本发明提供一种数字证书处理方法，所述方法包括：

获取与n级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述n级域名服务器对应的n+1级域名；其中所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；

签发与所授权的待申请域名对应的数字证书。

优选的，所述方法还包括：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；

或者

在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。

优选的，所述方法还包括：将与所授权的待申请域名对应的数字证书存储在所述n级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

本发明还提供一种数字证书处理方法，所述方法包括：

获取n级域名服务器签发的数字证书，其中所述数字证书与所述n级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的n级域名服务器对应的n+1级域名，且在n级域名服务器允许注册所述待申请域名的情况下，由n级域名服务器授权所述待申请域名，所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

将所述n级域名服务器签发的数字证书存储在所述n级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

优选的，所述方法还包括：

接收终端发送的数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址；

根据所述互联网协议地址，从所述域名系统管理服务器中存储的数字证书中获取与所述数字证书查询请求对应的数字证书；

向所述终端发送与所述数字证书查询请求对应的数字证书。

优选的，所述方法还包括：接收终端发送的数字证书验证请求；

向所述终端发送与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的n级域名服务器的数字证书。

优选的，所述方法还包括：获取所述n级域名服务器更新后的数字证书；

根据所述更新后的数字证书的标识信息，将所述域名系统管理服务器中存储的所述标识信息对应的数字证书更新为所述更新后的数字证书，以使所述域名系统管理服务器中存储的数字证书与所述n级域名服务器签发的数字证书一致。

本发明还提供一种数字证书处理方法，所述方法包括：

向域名系统管理服务器发送数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址，且所述域名系统管理服务器中存储有与所述域名系统管理服务器对应的n级域名服务器签发的数字证书，所述n级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应，所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

获取所述域名系统管理服务器返回的与所述数字证书查询请求对应的数字证书，所述数字证书由所述域名系统管理服务器根据所述互联网协议地址查询得到。

优选的，所述方法还包括：向所述域名系统管理服务器发送数字证书验证请求；

获取所述域名系统管理服务器返回的与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的n级域名服务器的数字证书；

根据所述验证信息，对所述数字证书验证请求中携带的数字证书进行验证。

本发明还提供一种数字证书处理装置，所述装置包括：

获取单元，用于获取与n级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述n级域名服务器对应的n+1级域名，其中所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

授权单元，用于在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；

签发单元，用于签发与所授权的待申请域名对应的数字证书。

优选的，所述装置还包括：更新单元，用于在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；

或者

在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。

优选的，所述装置还包括：存储单元，用于将与所授权的待申请域名对应的数字证书存储在所述n级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

本发明还提供一种数字证书处理装置，所述装置包括：

获取单元，用于获取n级域名服务器签发的数字证书，其中所述数字证书与所述n级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的n级域名服务器对应的n+1级域名，且在n级域名服务器允许注册所述待申请域名的情况下，由n级域名服务器授权所述待申请域名，所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

存储单元，用于将所述n级域名服务器签发的数字证书存储在所述n级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

优选的，所述装置还包括：接收单元和发送单元；

所述接收单元，用于接收终端发送的数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址；

所述获取单元，还用于根据所述互联网协议地址，从所述域名系统管理服务器中存储的数字证书中获取与所述数字证书查询请求对应的数字证书；

所述发送单元，用于向所述终端发送与所述数字证书查询请求对应的数字证书。

优选的，所述接收单元，还用于接收终端发送的数字证书验证请求；

所述发送单元，还用于向所述终端发送与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的n级域名服务器的数字证书。

优选的，所述获取单元，还用于获取所述n级域名服务器更新后的数字证书；

所述装置还包括：更新单元，用于根据所述更新后的数字证书的标识信息，将所述域名系统管理服务器中存储的所述标识信息对应的数字证书更新为所述更新后的数字证书，以使所述域名系统管理服务器中存储的数字证书与所述n级域名服务器签发的数字证书一致。

本发明还提供一种数字证书处理装置，所述装置包括：

发送单元，用于向域名系统管理服务器发送数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址，且所述域名系统管理服务器中存储有与所述域名系统管理服务器对应的n级域名服务器签发的数字证书，所述n级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应，所述n级域名服务器为根域名服务器且所述根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数；

获取单元，用于获取所述域名系统管理服务器返回的与所述数字证书查询请求对应的数字证书，所述数字证书由所述域名系统管理服务器根据所述互联网协议地址查询得到。

优选的，所述发送单元，还用于向所述域名系统管理服务器发送数字证书验证请求；

所述获取单元，还用于获取所述域名系统管理服务器返回的与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的n级域名服务器的数字证书；

所述装置还包括：验证单元，用于根据所述验证信息，对所述数字证书验证请求中携带的数字证书进行验证。

与现有技术相比，本发明提供的上述技术方案具有如下优点：

从上述技术方案可知，在获取携带有待申请域名的域名申请请求后，若允许注册域名申请请求中携带的待申请域名，则授权域名申请请求中携带的待申请域名，并签发与所授权的待申请域名对应的数字证书，使得n级域名服务器不仅是域名的管理者，而且是签发域名对应的数字证书的新型ca机构。也就是说对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因ca机构签发数字证书的权力过大所导致的诸如易受攻击的问题。并且由于每级域名服务器仅能签发其所管理的下一级域名对应的数字证书，这就意味着一级域名服务器下的域名对应的数字证书由根域名服务器签发，二级域名服务器下的域名对应的数字证书由一级域名服务器签发，使得二级域名服务器下的域名对应的数字证书与根域名服务器有关，以此类推，每级域名服务器下的域名对应的数字证书均与根域名服务器有关，使得各级域名服务器对应的信任锚均是根域名服务器的根域名数字证书，实现信任锚唯一化。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的数字证书处理方法对应的数字证书管理系统的系统架构图；

图2是本发明实施例提供的数字证书处理方法的一种流程图；

图3是本发明实施例提供的数字证书处理方法的另一种流程图；

图4是本发明实施例提供的数字证书处理方法的再一种流程图；

图5是本发明实施例提供的数字证书处理方法的再一种流程图；

图6是本发明实施例提供的数字证书处理装置的一种结构示意图；

图7是本发明实施例提供的数字证书处理装置的另一种结构示意图；

图8是本发明实施例提供的数字证书处理装置的再一种结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，其示出了本发明实施例提供的数字证书处理方法对应的数字证书管理系统的系统架构图，该数字证书管理系统包括：根域名服务器、一级域名服务器至m级域名服务器，其中m为大于1的自然数。如图1所示，以数字证书管理系统包括三个域名服务器，分别是根域名服务器10、一级域名服务器20和二级域名服务器30为例进行说明。

该数字证书管理系统可以依赖dnssec(domainnamesystemsecurityextensions)进行数字证书的认证，在该数字证书管理系统中，根域名服务器10，用于为一级域名服务器20授权一级域名，并签发与一级域名对应的数字证书，且根域名服务器10拥有唯一的根域名数字证书，如唯一的根域名数字证书可以是dnssec中的全球唯一的根域(.)数字证书，且根域名服务器所签发的一级域名对应的数字证书通过根域名数字证书对其进行认证。

同样的，一级域名服务器20，用于为二级域名服务器30授权二级域名，并签发与二级域名对应的数字证书，并且一级域名服务器20所签发的数字证书也通过一级域名对应的数字证书进行认证，由于一级域名对应的数字证书由根域名服务器签发并认证，从而使得二级域名对应的数字证书也与根域名服务器的根域名数字证书有关，这样就使得各级域名服务器对应的信任锚均是根域名数字证书，实现信任锚唯一化。

并且在本实施例中，上述数字证书管理系统还可以包括：域名系统管理服务器40，该域名系统管理服务器40中存储有各级域名对应的数字证书，并且域名系统管理服务器40可以作为数字证书管理系统中的各级域名服务器与终端进行通信的桥梁，终端可以借助于域名系统管理服务器40向各级域名服务器申请域名，并从域名系统管理服务器40中查找对应的数字证书。并且在域名和数字证书需要更改的情况下，可以直接对域名系统管理服务器40中的域名和数字证书进行更改，然后由终端再次从域名系统管理服务器40中获取更改后的域名和数字证书，使得终端无需预装数字证书，从而可以及时更改数字证书。也就是说本实施例通过域名系统管理服务器40来统一管理各级域名服务器签发的数字证书，从而可以做到及时更新数字证书，降低发生因数字证书被误发而导致的危害无法及时遏制的风险。

在这里需要说明的一点是：域名系统管理服务器40可以统一管理各级域名服务器签发的数字证书，如上述根域名服务器10、一级域名服务器20和二级域名服务器30签发的数字证书均由一个域名系统管理服务器40管理，即所有域名服务器对应一个域名系统管理服务器，又或者对于每个域名服务器来说，其各自对应一个域名系统管理服务器，使得每个域名系统管理服务器各自管理其对应的一个域名服务器签发的数字证书。

基于上述图1所示数字证书管理系统，本实施例提供的数字证书处理方法应用于上述数字证书管理系统中的任一域名服务器，相对应的数字证书处理方法的流程图如图2所示，可以包括以下步骤：

201：获取与n级域名服务器对应的域名申请请求，域名申请请求中携带有待申请域名，且待申请域名为n级域名服务器对应的n+1级域名，其中n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。也就是说上述n级域名服务器可以是上述数字证书管理系统中的任一域名服务器，比如n级域名服务器为上述数字证书管理系统中的一级域名服务器，则域名申请请求则是要申请二级域名，即域名申请请求中携带的待申请域名是一个二级域名。如一级域名服务器是.cn的域名服务器，则待申请域名可以是一个xxxxx.cn的域名。

202：在允许注册域名申请请求中携带的待申请域名的情况下，授权域名申请请求中携带的待申请域名。

可以理解的是：目前一级域名至m级域名众多，且每个域名能够使用需要合法且不与同一级域名中的其他域名冲突，因此在申请某个域名时需要对所申请的域名(即本实施例中的待申请域名)进行审核，以确定其是否可以被允许注册，所谓允许注册是指待申请域名合法且不与同一级域名中的其他域名冲突。

在本实施例中，若待申请域名不属于以下几种情况中的任意一种，则视为其允许注册：如该域名已经被注册、该域名不合法、该域名涉及字符不符合要求、该域名为保留域名等等，其中待申请域名是否允许注册与现有域名审核相同，对此本实施例不再详述。

当允许注册域名申请请求中携带的待申请域名的情况下，授权该待申请域名，从而允许申请该待申请域名的设备使用该待申请域名。当禁止注册域名申请请求中携带的待申请域名的情况下，则禁止授权该待申请域名，从而禁止申请该待申请域名的设备使用该待申请域名。并且这里需要说明的一点是：目前域名形式多种多样，如对于一级域名来说，其存在.cn和.com等等，且每种域名对应一个一级域名服务器，那么对于每个一级域名服务器来说，其仅能授权其所管辖其一级域名对应的二级域名，如.cn的一级域名服务器仅能管辖一级域名.cn对应的二级域名xxxx.cn。相对应的xxxx.cn的域名申请请求也会由负责.cn的一级域名得到。

203：签发与所授权的待申请域名对应的数字证书，其中所签发的数字证书由签发该数字证书的n级域名服务器的数字证书认证通过，对于n级域名服务器所签发的数字证书以及如何认证数字证书请参阅现有技术，如参阅dnssec，对此本实施例不再详述。

并且从上述步骤可知，本实施例对应的数字证书管理系统是一种层级树形管理架构，因此对于每级域名服务器来说，其仅能授权其对应域名下的下一级域名及数字证书，从而限制每级域名服务器的权力。

从上述技术方案可知，在获取携带有待申请域名的域名申请请求后，若允许注册域名申请请求中携带的待申请域名，则授权域名申请请求中携带的待申请域名，并签发与所授权的待申请域名对应的数字证书，使得n级域名服务器不仅是域名的管理者，而且是签发域名对应的数字证书的新型ca机构。也就是说对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因ca机构签发数字证书的权力过大所导致的诸如易受攻击的问题。

并且由于每级域名服务器仅能签发其所管理的下一级域名对应的数字证书，这就意味着一级域名服务器下的域名对应的数字证书由根域名服务器签发，二级域名服务器下的域名对应的数字证书由一级域名服务器签发，使得二级域名服务器下的域名对应的数字证书与根域名服务器有关，以此类推，每级域名服务器下的域名对应的数字证书均与根域名服务器有关，使得各级域名服务器对应的信任锚均是根域名服务器的根域名数字证书，形成一个完整且信任锚唯一的信任链，实现信任锚的唯一化。

此外，本实施例提供的数字证书处理方法还可以：对与所授权的待申请域名对应的数字证书进行更新，之所以需要更新是因为所授权的待申请域名发生变化或证书存在安全等问题而导致数字证书需要更改等，具体操作如下但不限于如下方式：

例如：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书。也就是说在授权的待申请域名发生变化时需要同时撤销与所授权的待申请域名对应的数字证书，以防止数字证书的误用。其中授权的待申请域名发生变化可能是由于授权的待申请域名的授权时间到期后未续费、域名交易、域名从事非法活动而不符合政策要求等等引起，在这些原因中的任意一项发生时，为其授权域名的n级域名服务器就会监测到待申请域名发生变化的请求，进而撤销与授权的待申请域名对应的数字证书。

又例如：在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。其中数字证书更改请求是在发生如下情况中的任意一种时得到：

证书存在安全等问题引起的数字证书更新请求、签发该数字证书的n级域名服务器主动更改数字证书(如撤销或更换数字证书)和该数字证书所属n+1级域名服务器向签发该数字证书的n级域名服务器申请更换数字证书等等。在这些情况中的任意一种情况发生时均需要更改与所授权的待申请域名对应的数字证书。具体的若数字证书更改请求指示撤销数字证书，则需要对数字证书进行撤销操作，若数字证书更改请求指示替换数字证书，则需要用数字证书更改请求中携带的数字证书或n级域名服务器重新签发的数字证书来替换之前签发的数字证书。

对于上述签发的数字证书和更改后的数字证书，本实施例提供的数字证书处理方法还可以：将与所授权的待申请域名对应的数字证书存储在与n级域名服务器对应的域名系统管理服务器中，如图3中步骤204所示。

也就是说本实施例通过一个域名系统管理服务器来集中管理n级域名服务器的数字证书，这样在数字证书公布与撤销方面就可以直接通过n级域名服务器在其对应的域名系统管理服务器中实施，使得终端无需预装数字证书，从而可以及时更改数字证书。

而从现有ca机构签发数字证书来看：全球有1000多家ca机构，每一家ca机构都能为任意域名签发数字证书，如comodo能为baidu.com签发数字证书，verizon也能为baidu.com签发数字证书，如果baidu.com域名在comodo申请的数字证书的同时，攻击者通过某种手段在verizon也申请到baidu.com的数字证书，出于对verizon这一权威ca机构的信任，就会信任攻击者在verizon申请的数字证书。而由于ca机构签发的数字证书均存储在终端中，即便是verizon发现误签发该数字证书，也没有办法及时让所有用户都不去信任verizon签发的该数字证书，因此相对于现有ca机构签发数字证书来说，本实施例借助于域名系统管理服务器，便于及时更改数字证书，这样在数字证书误签发时可以更改域名系统管理服务器中的数字证书再由终端获取的方式，解决现有无法及时更改所有终端中存储的错误的数字证书问题，进而降低易受攻击的问题。

与上述应用于任意一级域名服务器的数字证书处理方法相对应，本实施例还提供一种应用于终端中的证书处理方法，其流程图如图4所示，可以包括以下步骤：

401：向域名系统管理服务器发送数字证书查询请求，数字证书查询请求中携带有ip(internetprotocol，互联网协议)地址，且域名系统管理服务器中存储有与域名系统管理服务器对应的n级域名服务器签发的数字证书，n级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应。其中n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。

对于域名系统管理服务器、n级域名服务器以及n级域名服务器对数字证书的签发请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

402：获取域名系统管理服务器返回的与数字证书查询请求对应的数字证书，数字证书由域名系统管理服务器根据ip地址查询得到。具体的域名系统管理服务器通过ip地址查找到与其对应的域名，而域名与数字证书具有一一对应的关系，因此根据ip地址对应的域名，可以查找到相对应的数字证书，并返回查找到的数字证书。

从上述步骤可知，终端可以从域名系统管理服务器中获取到其所需数字证书，这样终端就无需预装数字证书，防止数字证书误签发导致的问题。并且在数字证书更改时域名服务器可以直接在域名系统管理服务器中进行操作，无需终端做出任何改变，降低更改的复杂度。

403：向域名系统管理服务器发送数字证书验证请求。

404：获取域名系统管理服务器返回的与数字证书验证请求对应的验证信息，验证信息包括签发数字证书验证请求中携带的数字证书的n级域名服务器的数字证书。

405：根据验证信息，对数字证书验证请求中携带的数字证书进行验证。以二级域名和一级域名服务器为例进行说明，其验证过程可以是：向域名系统管理服务器发送的数字证书验证请求用于验证二级域名对应的数字证书，其中验证信息包括授权该二级域名的一级域名服务器的数字证书。进一步的验证信息还可以包括根域名数字证书，以使用根域名数字证书为一级域名服务器的数字证书进行认证，防止一级域名服务器的数字证书进行认证。

也就是说，在数字证书验证请求指示验证i级域名服务器的数字证书(i为大于等于1的自然数)，则验证信息包括根域名服务器的根域名数字证书至i-1级域名服务器的数字证书，以使用根域名数字证书对一级域名服务器的数字证书进行认证，并在一级域名服务器的数字证书认证通过的情况下，用一级域名服务器的数字证书对二级域名服务器的数字证书进行认证，以此类推，可以对每级域名服务器的数字证书进行认证，防止任意一级域名服务器的数字证书被篡改，从而自下而上实现对所访问域名的数字证书的真实性的验证。

与上述方法实施例相对应，本发明实施例还提供一种应用于域名系统管理服务器的数字证书处理方法，其流程图如图5所示，可以包括以下步骤：

501：获取n级域名服务器签发的数字证书。其中数字证书与n级域名服务器所授权的待申请域名对应，待申请域名为携带在域名申请请求中的n级域名服务器对应的n+1级域名，且在n级域名服务器允许注册待申请域名的情况下，由n级域名服务器授权待申请域名，n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。

对于n级域名服务器如何签发数字证书以及在何种情况是视为允许注册的说明，请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

502：将n级域名服务器签发的数字证书存储在n级域名服务器对应的域名系统管理服务器中，以使域名系统管理服务器在存储的数字证书与n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

也就是说域名系统管理服务器来集中管理与其对应的域名服务器的数字证书，这样在数字证书公布与撤销方面就可以直接通过域名服务器在其对应的域名系统管理服务器中实施，使得终端无需预装数字证书，仅需要通过向域名系统管理服务器的方式来获取数字证书，实现数据证书的及时获取和更改。并且对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因ca机构签发数字证书的权力过大所导致的诸如易受攻击的问题。

在本实施例中，域名系统管理服务器向终端返回终端请求的数字证书的过程请参阅图5所示，可以包括以下步骤：

503：接收终端发送的数字证书查询请求，数字证书查询请求中携带有ip地址。相对于现有技术来说，本实施例的数字证书查询请求由域名系统管理服务器接收，这是因为域名系统管理服务器中存储有由与域名系统管理服务器对应的n级域名服务器签发的数字证书，且n级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应。

504：根据ip地址，从域名系统管理服务器中存储的数字证书中获取与数字证书查询请求对应的数字证书。

具体的域名系统管理服务器通过ip地址查找到与其对应的域名，而域名与数字证书具有一一对应的关系，因此根据ip地址对应的域名，可以查找到相对应的数字证书，并返回查找到的数字证书。

504：向终端发送与数字证书查询请求对应的数字证书。

从上述步骤可知，域名系统管理服务器可以向终端反馈与数字证书查询请求对应的数字证书，这样终端就无需预装数字证书，防止数字证书误签发导致的问题。并且在数字证书更改时域名服务器可以直接在域名系统管理服务器中进行操作，无需终端做出任何改变，降低更改的复杂度。

在本实施例中，域名系统管理服务器中数字证书的更改过程如下：

获取n级域名服务器更新后的数字证书，所谓更新后的数字证书是所授权的待申请域名发生变化或证书存在安全等问题时n级域名服务器重新签发的数字证书或撤销的数字证书，对于何时更新以及如何更新请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

根据更新后的数字证书的标识信息，将域名系统管理服务器中存储的标识信息对应的数字证书更新为更新后的数字证书，具体的若n级域名服务器重新签发数字证书，则更新数字证书是指将标识信息对应的数字证书更新为重新签发的数字证书，若n及域名服务器撤销数字证书，则更新数字证书是指将标识信息对应的数字证书撤销，以使域名系统管理服务器中存储的数字证书与n级域名服务器签发的数字证书一致。

其中更新后的数字证书的标识信息用于唯一标识n级域名服务器为其所授权的待申请域名签发的更新前的数字证书和更新后的数字证书，即同一个所授权的待申请域名的更新前的数字证书的标识信息和更新后的数字证书的标识信息相同，例如标识信息可以是所授权的待申请域名或者其他方式的标识信息，对此本实施例不再详述。在通过更新后的数字证书的标识信息查找到域名系统管理服务器中存储的与其对应且为更新前的数字证书后，将更新前的数字证书更新为更新后的数字证书。

此外，本实施例提供的数字证书处理方法还可以包括：接收终端发送的数字证书验证请求；向终端发送与数字证书验证请求对应的验证信息，验证信息包括签发数字证书验证请求中携带的数字证书的n级域名服务器的数字证书，从而为终端提供数字证书验证所需的验证信息。

对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

与上述方法实施例相对应，本发明实施例还提供一种数字证书处理装置，其结构如图6所示，可以包括：获取单元11、授权单元12和签发单元13。

获取单元11，用于获取与n级域名服务器对应的域名申请请求，域名申请请求中携带有待申请域名，且待申请域名为域名服务器对应的n+1级域名。其中n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。也就是说上述n级域名服务器可以是上述数字证书管理系统中的任一域名服务器，比如n级域名服务器为上述数字证书管理系统中的一级域名服务器，则域名申请请求则是要申请二级域名，即域名申请请求中携带的待申请域名是一个二级域名。如一级域名服务器是.cn的域名服务器，则待申请域名可以是一个xxxxx.cn的域名。

授权单元12，用于在允许注册域名申请请求中携带的待申请域名的情况下，授权域名申请请求中携带的待申请域名。可以理解的是：目前一级域名至m级域名众多，且每个域名能够使用需要合法且不与同一级域名中的其他域名冲突，因此在申请某个域名时需要对所申请的域名(即本实施例中的待申请域名)进行审核，以确定其是否可以被允许注册，所谓允许注册是指待申请域名合法且不与同一级域名中的其他域名冲突，对于允许注册的详细说明请参阅上述方法实施例中的相关说明。

当允许注册域名申请请求中携带的待申请域名的情况下，授权单元12授权该待申请域名，从而允许申请该待申请域名的设备使用该待申请域名。当禁止注册域名申请请求中携带的待申请域名的情况下，则禁止授权该待申请域名，从而禁止申请该待申请域名的设备使用该待申请域名。并且这里需要说明的一点是：目前域名形式多种多样，如对于一级域名来说，其存在.cn和.com等等，且每种域名对应一个一级域名服务器，那么对于每个一级域名服务器来说，其仅能授权其所管辖其一级域名对应的二级域名，如.cn的一级域名服务器仅能管辖一级域名.cn对应的二级域名xxxx.cn。相对应的xxxx.cn的域名申请请求也会由负责.cn的一级域名得到。

签发单元13，用于签发与所授权的待申请域名对应的数字证书，其中所签发的数字证书由签发该数字证书的域名服务器的数字证书认证通过，对于域名服务器所签发的数字证书以及如何认证数字证书请参阅现有技术，如参阅dnssec，对此本实施例不再详述。

从上述技术方案可知，在获取携带有待申请域名的域名申请请求后，若允许注册域名申请请求中携带的待申请域名，则授权域名申请请求中携带的待申请域名，并签发与所授权的待申请域名对应的数字证书，使得n级域名服务器不仅是域名的管理者，而且是签发域名对应的数字证书的新型ca机构。也就是说对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因ca机构签发数字证书的权力过大所导致的诸如易受攻击的问题。

并且由于每级域名服务器仅能签发其所管理的下一级域名对应的数字证书，这就意味着一级域名服务器下的域名对应的数字证书由根域名服务器签发，二级域名服务器下的域名对应的数字证书由一级域名服务器签发，使得二级域名服务器下的域名对应的数字证书与根域名服务器有关，以此类推，每级域名服务器下的域名对应的数字证书均与根域名服务器有关，使得各级域名服务器对应的信任锚均是根域名服务器的根域名数字证书，形成一个完整且信任锚唯一的信任链，实现信任锚的唯一化。

对于签发的数字证书，若所授权的待申请域名发生变化或证书存在安全等问题则需要对数字证书进行更新，由此本实施例提供的数字证书处理装置还可以包括：更新单元，用于更新与所授权的待申请域名对应的数字证书。具体操作如下但不限于如下方式：

例如：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书。也就是说在授权的待申请域名发生变化时需要同时撤销与所授权的待申请域名对应的数字证书，以防止数字证书的误用。其中授权的待申请域名发生变化可能是由于授权的待申请域名的授权时间到期后未续费、域名交易、域名从事非法活动而不符合政策要求等等引起，在这些原因中的任意一项发生时，为其授权域名的n级域名服务器就会监测到待申请域名发生变化的请求，进而撤销与授权的待申请域名对应的数字证书。

又例如：在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。其中数字证书更改请求是在发生如下情况中的任意一种时得到：

证书存在安全等问题引起的数字证书更新请求、签发该数字证书的n级域名服务器主动更改数字证书(如撤销或更换数字证书)和该数字证书所属n+1域名服务器向签发该数字证书的n级域名服务器申请更换数字证书等等。在这些情况中的任意一种情况发生时均需要更改与所授权的待申请域名对应的数字证书。具体的若数字证书更改请求指示撤销数字证书，则需要对数字证书进行撤销操作，若数字证书更改请求指示替换数字证书，则需要用数字证书更改请求中携带的数字证书或n级域名服务器重新签发的数字证书来替换之前签发的数字证书。

对于上述签发的数字证书和更改后的数字证书，本实施例通过数字证书处理装置中的存储单元，将其(与所授权的待申请域名对应的数字证书，可以是签发的数字证书和更改后的数字证书中的一种)存储在n级域名服务器对应的域名系统管理服务器中，以使域名系统管理服务器在存储的数字证书与n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

也就是说本实施例通过一个域名系统管理服务器来集中管理域名服务器的数字证书，这样在数字证书公布与撤销方面就可以直接通过n级域名服务器在其对应的域名系统管理服务器中实施，使得终端无需预装数字证书，从而可以及时更改数字证书。

请参阅图7，其示出了本发明实施例提供的数字证书处理装置的另一种结构，可以包括：发送单元21和获取单元22。

发送单元21，用于向域名系统管理服务器发送数字证书查询请求，数字证书查询请求中携带有ip地址，且域名系统管理服务器中存储有与域名系统管理服务器对应的n级域名服务器签发的数字证书，n级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应，其中n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。对于域名系统管理服务器、n级域名服务器以及n级域名服务器对数字证书的签发请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

获取单元22，用于获取域名系统管理服务器返回的与数字证书查询请求对应的数字证书，数字证书由域名系统管理服务器根据ip地址查询得到。具体的域名系统管理服务器通过ip地址查找到与其对应的域名，而域名与数字证书具有一一对应的关系，因此根据ip地址对应的域名，可以查找到相对应的数字证书，并返回查找到的数字证书。

从上述技术方案可知，基于图7所示数字证书处理装置终端可以从域名系统管理服务器中获取到其所需数字证书，这样终端就无需预装数字证书，防止数字证书误签发导致的问题。并且在数字证书更改时域名服务器可以直接在域名系统管理服务器中进行操作，无需终端做出任何改变，降低更改的复杂度。

此外，对于图7所示数字证书处理装置，发送单元21，还用于向域名系统管理服务器发送数字证书验证请求。获取单元22，还用于获取域名系统管理服务器返回的与数字证书验证请求对应的验证信息，验证信息包括签发数字证书验证请求中携带的数字证书的n级域名服务器的数字证书，从而得到数字证书验证所需的验证信息。

相对应的数字证书处理装置还可以包括：验证单元，用于根据验证信息，对数字证书验证请求中携带的数字证书进行验证。以二级域名和一级域名服务器为例进行说明，其验证过程可以是：向域名系统管理服务器发送的数字证书验证请求用于验证二级域名对应的数字证书，其中验证信息包括授权该二级域名的一级域名服务器的数字证书。进一步的验证信息还可以包括根域名数字证书，以使用根域名数字证书为一级域名服务器的数字证书进行认证，防止一级域名服务器的数字证书进行认证。

也就是说，在数字证书验证请求指示验证i级域名服务器的数字证书(i为大于等于1的自然数)，则验证信息包括根域名服务器的根域名数字证书至i-1级域名服务器的数字证书，以使用根域名数字证书对一级域名服务器的数字证书进行认证，并在一级域名服务器的数字证书认证通过的情况下，用一级域名服务器的数字证书对二级域名服务器的数字证书进行认证，以此类推，可以对每级域名服务器的数字证书进行认证，防止任意一级域名服务器的数字证书被篡改，从而自下而上实现对所访问域名的数字证书的真实性的验证。

请参阅图8，其示出了本发明实施例提供的数字证书处理装置的再一种结构，可以包括：获取单元31和存储单元32。

获取单元31，用于获取n级域名服务器签发的数字证书。其中数字证书与n级域名服务器所授权的待申请域名对应，待申请域名为携带在域名申请请求中的n级域名服务器对应的n+1级域名，且在n级域名服务器允许注册待申请域名的情况下，由n级域名服务器授权待申请域名，n级域名服务器为根域名服务器且根域名服务器对应的n+1级域名为一级域名或者n为大于等于1的自然数。

对于n级域名服务器如何签发数字证书以及在何种情况是视为允许注册的说明，请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

存储单元32，用于将n级域名服务器签发的数字证书存储在n级域名服务器对应的域名系统管理服务器中，以使域名系统管理服务器在存储的数字证书与n级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

也就是说域名系统管理服务器来集中管理与其对应的域名服务器的数字证书，这样在数字证书公布与撤销方面就可以直接通过域名服务器在其对应的域名系统管理服务器中实施，使得终端无需预装数字证书，仅需要通过向域名系统管理服务器的方式来获取数字证书，实现数据证书的及时获取和更改。并且对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因ca机构签发数字证书的权力过大所导致的诸如易受攻击的问题。

此外，图8所示数字证书处理装置还可以包括：接收单元33和发送单元34。其中接收单元33，用于接收终端发送的数字证书查询请求，数字证书查询请求中携带有ip地址。相对于现有技术来说，本实施例的数字证书查询请求由域名系统管理服务器接收，这是因为域名系统管理服务器中存储有由与域名系统管理服务器对应的域名服务器签发的数字证书，且域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应。

获取单元31，还用于根据ip地址，从域名系统管理服务器中存储的数字证书中获取与数字证书查询请求对应的数字证书。具体的域名系统管理服务器通过ip地址查找到与其对应的域名，而域名与数字证书具有一一对应的关系，因此根据ip地址对应的域名，可以查找到相对应的数字证书，并返回查找到的数字证书。

发送单元34，用于向终端发送与数字证书查询请求对应的数字证书。

从上述步骤可知，基于图8所示数字证书处理装置域名系统管理服务器可以向终端反馈与数字证书查询请求对应的数字证书，这样终端就无需预装数字证书，防止数字证书误签发导致的问题。并且在数字证书更改时域名服务器可以直接在域名系统管理服务器中进行操作，无需终端做出任何改变，降低更改的复杂度。

在本实施例中，数字证书的更改可以由图8所示数字证书处理装置中的获取单元31和更新单元35实现，具体的，获取单元31还用于获取n级域名服务器更新后的数字证书，所谓更新后的数字证书是所授权的待申请域名发生变化或证书存在安全等问题时n级域名服务器重新签发的数字证书或撤销的数字证书，对于何时更新以及如何更新请参阅上述方法实施例中的相关说明，对此本实施例不再阐述。

更新单元34，用于根据更新后的数字证书的标识信息，将域名系统管理服务器中存储的标识信息对应的数字证书更新为更新后的数字证书，具体的若n级域名服务器重新签发数字证书，则更新数字证书是指将标识信息对应的数字证书更新为重新签发的数字证书，若n及域名服务器撤销数字证书，则更新数字证书是指将标识信息对应的数字证书撤销，以使域名系统管理服务器中存储的数字证书与n级域名服务器签发的数字证书一致。

其中更新后的数字证书的标识信息用于唯一标识n级域名服务器为其所授权的待申请域名签发的更新前的数字证书和更新后的数字证书，即同一个所授权的待申请域名的更新前的数字证书的标识信息和更新后的数字证书的标识信息相同，例如标识信息可以是所授权的待申请域名或者其他方式的标识信息，对此本实施例不再详述。在通过更新后的数字证书的标识信息查找到域名系统管理服务器中存储的与其对应且为更新前的数字证书后，将更新前的数字证书更新为更新后的数字证书。

此外，本实施例提供的数字证书处理装置中接收单元33，还用于接收终端发送的数字证书验证请求。发送单元34，还用于向终端发送与数字证书验证请求对应的验证信息，验证信息包括签发数字证书验证请求中携带的数字证书的n级域名服务器的数字证书，从而为终端提供数字证书验证所需的验证信息。

此外，本实施例还提供一种存储介质，该存储介质上存储有程序代码，该程序代码运行时实现上述证书处理方法。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。