br>[0063]本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0064]以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【主权项】
1.一种数字证书的验证方法,其特征在于,所述方法包括以下步骤: 接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息; 如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过; 如果不存在,则对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系O2.根据权利要求1所述的方法,其特征在于,当不存在所述数字证书的标识信息对应的第一验证信息时,对所述数字证书进行验证,得到第二验证信息的过程,具体包括: 所述接收端检查所述数字证书是否在有效期内; 如果不在有效期内,则确定所述第二验证信息为所述数字证书验证不通过; 如果在有效期内,则检查所述数字证书的签名是否通过验证; 如果所述数字证书的签名通过验证,则确定所述第二验证信息为所述数字证书验证通过; 如果所述数字证书的签名不通过验证,则确定所述第二验证信息为所述数字证书验证不通过。3.根据权利要求1或2所述的方法,其特征在于,当不存在所述数字证书的标识信息对应的第一验证信息时,对所述数字证书进行验证,得到第二验证信息的过程,还包括: 所述接收端检查所述数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证不通过;如果不是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证通过。4.根据权利要求3所述的方法,其特征在于,所述第二验证信息为所述数字证书验证不通过时,在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,所述方法还包括: 所述接收端在所述数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,所述验证不通过的原因为数字证书处于吊销状态或者数字证书的签名不通过验证。5.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括: 在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,当用于对所述数字证书进行验证的条件发生变化时,则所述接收端删除所述数字证书的标识信息与第二验证信息之间的对应关系。6.根据权利要求5所述的方法,其特征在于,所述用于对所述数字证书进行验证的条件发生变化,具体包括以下之一或者任意组合: 用于对所述数字证书进行验证的证书颁发机构CA证书发生变化; 用于检查所述数字证书的吊销状态的证书吊销列表CRL发生变化; 是否对所述数字证书进行CRL检查的配置发生变化。7.一种数字证书的验证装置,其特征在于,所述数字证书的验证装置应用在接收端上,且所述数字证书的验证装置具体包括: 接收模块,用于接收来自发送端的数字证书; 判断模块,用于获得所述数字证书的标识信息,并判断标识信息与验证信息之间的对应关系中是否存在所述数字证书的标识信息对应的第一验证信息; 验证模块,用于当判断结果为存在时,当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过; 当判断结果为不存在时,对所述数字证书进行验证,得到第二验证信息;如果所述第二验证信息为所述数字证书验证通过,则记录所述数字证书的标识信息与第二验证信息之间的对应关系;如果所述第二验证信息为所述数字证书验证不通过,则当验证不通过的原因不是所述数字证书不在有效期内时,记录所述数字证书的标识信息与第二验证信息之间的对应关系。8.根据权利要求7所述的装置,其特征在于, 所述验证模块,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否在有效期内;如果不在有效期内,则确定所述第二验证信息为所述数字证书验证不通过;如果在有效期内,则检查所述数字证书的签名是否通过验证;如果所述数字证书的签名通过验证,则确定所述第二验证信息为所述数字证书验证通过;如果所述数字证书的签名不通过验证,则确定所述第二验证信息为所述数字证书验证不通过。9.根据权利要求7或8所述的装置,其特征在于, 所述验证模块,具体用于当不存在所述数字证书的标识信息对应的第一验证信息时,在对所述数字证书进行验证,得到第二验证信息的过程中,检查所述数字证书是否为吊销状态的数字证书;如果是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证不通过;如果不是吊销状态的数字证书,则确定所述第二验证信息为所述数字证书验证通过。10.根据权利要求9所述的装置,其特征在于, 所述验证模块,还用于在所述第二验证信息为所述数字证书验证不通过时,在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,在所述数字证书的标识信息与第二验证信息之间的对应关系中记录验证不通过的原因,所述验证不通过的原因为数字证书处于吊销状态或者数字证书的签名不通过验证。11.根据权利要求7或8所述的装置,其特征在于, 所述验证模块,还用于在记录所述数字证书的标识信息与第二验证信息之间的对应关系之后,当用于对所述数字证书进行验证的条件发生变化时,则删除所述数字证书的标识信息与第二验证信息之间的对应关系。12.根据权利要求11所述的装置,其特征在于,所述用于对所述数字证书进行验证的条件发生变化,具体包括以下之一或者任意组合: 用于对所述数字证书进行验证的证书颁发机构CA证书发生变化; 用于检查所述数字证书的吊销状态的证书吊销列表CRL发生变化; 是否对所述数字证书进行CRL检查的配置发生变化。
【专利摘要】本发明提供一种数字证书的验证方法和装置,该方法包括:接收端接收来自发送端的数字证书,并获得所述数字证书的标识信息,并判断是否存在所述数字证书的标识信息对应的第一验证信息;如果存在,则当所述第一验证信息为验证不通过时,确定所述数字证书为验证不通过;当所述第一验证信息为验证通过时,检查所述数字证书是否在有效期内,如果在有效期内,则确定所述数字证书为验证通过,如果不在有效期内,则确定所述数字证书为验证不通过。通过本发明的技术方案,在不降低安全性的情况下,减少数字证书的验证过程,减轻CPU的运行时间。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN105592059
【申请号】CN201510663064
【发明人】孙鲁东
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年10月14日