一种数字证书的验证方法和装置的制造方法
【技术领域】
[0001]本发明涉及安全技术领域,尤其涉及一种数字证书的验证方法和装置。
【背景技术】
[0002]PKI (Public Key Infrastructure,公钥基础设施)是一个利用公钥提供信息安全服务的安全基础设施。公钥体制也称为非对称密钥体制,是目前已经得到广泛应用的一种密码体制。PKI使用一个公开的密钥(公钥)和一个保密的密钥(私钥)进行信息的加密和解密,公钥和私钥组成一个密钥对,用公钥加密的信息只能用私钥解密,用私钥加密的信息只能用公钥解密。
[0003]PKI以数字证书的形式分发和使用公钥,并为网络通信和网络交易(如电子政务以及电子商务等)提供各种安全服务。例如,PKI可以为IPsecdP Security, IP安全)、SSL (Secure Sockets Layer,安全套接字层)、WAPI (WLAN Authenticat1n and PrivacyInfrastructure,无线局域网鉴别与保密基础结构)等上层安全协议提供数字证书,以为各上层安全协议提供安全服务。
[0004]在使用数字证书提供安全服务的应用场景下,不可或缺的一个过程是,周期性的验证数字证书,而数字证书的验证过程是非常耗时的操作,该验证过程会消耗CPU(CentralProcessing Unit,中央处理器)的大量运行时间。
【发明内容】
[0005]本发明提供一种数字证书的验证方法,所述方法包括以下步骤:
[0006]接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
[0007]如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
[0008]如果不存在,则对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系O
[0009]本发明提供一种数字证书的验证装置,所述数字证书的验证装置应用在接收端上,且所述数字证书的验证装置具体包括:
[0010]接收模块,用于接收来自发送端的数字证书;
[0011]判断模块,用于获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息;
[0012]验证模块,用于当判断结果为存在时,当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过;
[0013]当判断结果为不存在时,对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。
[0014]基于上述技术方案,本发明实施例中,通过维护数字证书的标识信息与验证信息之间的对应关系,在不降低安全性的情况下,可以基于该对应关系确定数字证书验证通过/验证不通过,不需要每次都对数字证书进行验证,从而减少数字证书的验证过程,对数字证书的验证过程进行加速,减轻CPU的运行时间,降低设备的计算开销,提高设备的处理性會K。
【附图说明】
[0015]图1是本发明一种实施方式中的数字证书的验证方法的流程图;
[0016]图2是本发明另一种实施方式中的数字证书的验证方法的流程图;
[0017]图3是本发明一种实施方式中的接收端的硬件结构图;
[0018]图4是本发明一种实施方式中的数字证书的验证装置的结构图。
【具体实施方式】
[0019]针对现有技术中存在的问题,本发明实施例中提出一种数字证书的验证方法,该方法应用于包括接收端(如接收端实体)和发送端(如发送端实体)的系统中。其中,接收端和发送端可以位于不同的设备上,也可以位于同一设备上,且接收端用于对来自发送端的数字证书进行验证。在上述应用场景下,如图1所示,该数字证书的验证方法具体可以包括以下步骤:
[0020]步骤101,接收端接收来自发送端的数字证书,并获得该数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在数字证书的标识信息对应的第一验证信息。如果存在,执行步骤102 ;如果不存在,执行步骤103。
[0021]其中,数字证书的标识信息具体可以包括数字证书的hash(哈希)值。
[0022]其中,第一验证信息具体可以包括验证不通过或者验证通过。
[0023]步骤102,当该第一验证信息为验证不通过时,接收端确定该数字证书为验证不通过;当该第一验证信息为验证通过时,接收端检查该数字证书是否在有效期内,如果在有效期内,则确定该数字证书为验证通过,如果不在有效期内,则确定该数字证书为验证不通过。
[0024]步骤103,接收端对该数字证书进行验证,得到第二验证信息;如果第二验证信息为数字证书验证通过,则记录该数字证书的标识信息与第二验证信息之间的对应关系;如果第二验证信息为数字证书验证不通过,则当验证不通过的原因不是该数字证书不在有效期内时,记录该数字证书的标识信息与第二验证信息之间的对应关系。
[0025]其中,当不存在数字证书的标识信息对应的第一验证信息时,接收端对数字证书进行验证,得到第二验证信息的过程,具体可以包括但不限于如下方式:接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书的签名是否通过验证;如果该数字证书的签名通过验证,则确定第二验证信息为该数字证书验证通过;如果该数字证书的签名不通过验证,则确定第二验证信息为该数字证书验证不通过。进一步的,当不存在数字证书的标识信息对应的第一验证信息时,接收端对数字证书进行验证,得到第二验证信息的过程,还可以包括但不限于如下方式:接收端检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则确定第二验证信息为该数字证书验证通过。
[0026]当需要验证数字证书的吊销状态、数字证书的有效期、数字证书的签名时,则可以有如下方式:方式一、接收端检查该数字证书是否在有效期内;如果不在有效期内,则确定第二验证信息为该数字证书验证不通过;如果在有效期内,则检查该数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定第二验证信息为该数字证书验证不通过;如果不是吊销状态的数字证书,则检查该数字证书的签名是否通过验证;如果该数字证书的签名通过验证,则确定第二验证信息为该数字证书验证通过;如果该数字证书的签名