本发明涉及信息安全领域,特别涉及一种文件安全性识别方法及装置。
背景技术:
::进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息的安全性已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。数字签名,又称公钥数字签名、电子签章,是一种类似写在纸上的普通的物理签名、但是使用了公钥加密领域的技术实现的用于鉴别数字信息的方法。一套数字签名通常定义两个互补的运算,一个用于签名,另一个用于验证。数字签名,就是只有信息的发送者才能产生的别人无法伪造的一个数字串,这个数字串同时也是对信息的发送者发送信息真实性的有效证明。电子证书,又称为数码证书、数字证书,是一种权威性的电子文档,由权威公正的第三方机构,即CA(CertificateAuthority,证书授权)中心签发的证书。目前,一般通过使用Windows系统自带的API-WinVerifyTrust进行数字签名的验证来识别文件的安全性。当系统环境被污染时,WinVerifyTrust返回的验证结果不准确;另外,WinVerifyTrust要验证整个证书链,所以该文件安全性识别方法性能较差。技术实现要素:基于此,本发明实施例的目的在于提供一种性能较好的文件安全识别方法及装置。为达到上述目的,本发明实施例采用以下技术方案:一种文件安全识别方法,包括步骤:读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名 验证,得到签名信息及签名验证结果;若签名验证结果为通过,从所述签名信息中获取数字签名的数字证书的主体密钥标识符和公钥,并将包括所述主体密钥标识符和所述公钥的证书验证请求发送至服务器;接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应,所述证书信息为所述服务器在数字证书数据库中查询到的与所述主体密钥标识符和所述公钥对应的数字证书的信息,所述验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。一种文件安全识别方法,包括步骤:接收终端设备签名验证结果为通过时发送的证书验证请求,所述证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥;根据接收到的所述证书验证请求,在数字证书数据库中查询与所述主体密钥标识符和所述公钥对应的数字证书和/或证书信息,并根据是否查询到数字证书和/或所述证书信息向终端设备发送验证响应,所述验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。一种文件安全识别装置,包括:签名解析验证模块,用于读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到数字签名的签名信息及签名验证结果;在签名验证结果为通过时,从所述签名信息中获取数字签名的数字证书的主体密钥标识符和公钥;查询模块,用于将包括所述主体密钥标识符和所述公钥的证书验证请求发送至服务器;并接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应,所述证书信息为服务器在数字证书数据库中查询到的与所述主体密钥标识符和所述公钥对应的数字证书的信息,所述验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。一种文件安全识别装置,包括:查询服务模块,用于接收终端设备签名验证结果为通过时发送的证书验证请求,所述证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥,并在数字证书数据库中查询与所述主体密钥标识符和所述公钥对应的数字证书和/或证书信息,并根据是否查询到数字证书和/或所述证书信息向终端设备发送验证响应,所述验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。上述文件安全性识别方法及装置,终端设备读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到签名验证结果;根据签名验证结果及数字签名解析得到的签名信息发送证书验证请求,并接收验证响应,而不用自身对整个证书链进行验证,因此,其性能较好。附图说明图1是一个实施例中的本发明方案的工作环境示意图;图2是一个实施例中终端设备的组成结构示意图;图3是一个实施例中服务器的组成结构示意图;图4是一种实施方式的文件安全性识别方法的流程图;图5是另一种实施方式的文件安全性识别方法的流程图;图6是一个具体示例中终端设备与服务器的交互流程示意图;图7是一种实施方式的文件安全性识别装置的结构示意图;图8是另一种实施方式的文件安全性识别装置的结构示意图;图9是一个具体示例中终端设备与服务器的交互结构示意图。具体实施方式为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。图1示出了本发明一个实施例中的工作环境示意图。各终端设备101,包括图1中所示的便携式电脑、打印机、电视机、投影仪、扫描仪、摄像头、手机等,均通过网络与服务器100连接,通过终端设备101与服务器100配合实现文件安全性识别,这里的网络可以是无线网络,也可以是有线网络,该服务器100可以为云端服务器。任何一个终端设备101将证书验证请求发送至服务器100,服务器100在数字证书数据库中查询验证书验证请求中包括与主体密钥标识符(SKID)和公钥对应的证书的信息,并将验证响应返回给终端设备101,实现文件安全性识别。终端设备101在一个实施例中的结构示意图如图2所示。该终端设备101包括通过系统总线连接的处理器、存储介质、通信接口、电源接口和内存。其中,终端设备101的存储介质存储有一种文件安全性识别装置,该装置用于实现与服务器100配合工作,并实现一种文件安全性识别方法。终端设备101的通信接口用于与服务器100连接和通信,终端设备101的电源接口用于与外部电源连接,外部电源通过该电源接口向终端设备101供电。终端设备101可以是图1中所列举的任何一种设备,也可以是其他任何具有上述结构的设备,例如智能手机、平板电脑、电脑等等。服务器100在一个实施例中的结构示意图如图3所示。服务器100包括通过系统总线连接的处理器、供电模块、存储介质、内存和通信接口。其中,服务器100的存储介质存储有操作系统、数据库和一种文件安全性识别装置,该装置用于与终端设备101配合工作,并实现一种文件安全性识别方法。服务器100的通信接口用于与终端设备101进行连接和通信。结合图1、图2、图3所示的示意图,以下对文件安全性识别方法及文件安全性识别装置的各实施例进行说明。图4示出了本发明的一种实施方式的文件安全识别方法的流程图,该流程图是以终端设备的执行过程为例进行说明。一种文件安全识别方法,包括如下步骤:S110,读取待识别文件,并对读取到的待识别文件进行数字签名解析和数 字签名验证,得到签名信息及签名验证结果。终端设备读取待识别文件,并对读取到的待识别文件进行数字签名解析得到签名信息;对待识别文件的签名信息进行数字签名验证,得到签名验证结果。其中,签名信息是数字签名的相关信息,包括数字签名的数字证书及数字证书的主体密钥标识符(SubjectKeyIdentifier,主体密钥标识符)和公钥;签名验证结果可以为通过或失败,分别表示数字签名验证通过或失败。在本实施例中,待识别文件为PE(PortableExecutable,可移植的执行体)文件。步骤S110中不采用系统的数字签名验证相关的API(ApplicationProgramInterface,应用程序编程接口),不用验证整个证书链。仅使用系统的文件系统API进行待识别文件的读取,通过自写代码进行数字签名解析和数字签名验证。S130,若签名验证结果为通过,从签名信息中获取数字签名的数字证书的主体密钥标识符和公钥,并将包括主体密钥标识符和公钥的证书验证请求发送至服务器。当签名验证结果为通过,还需要对数字签名的数字证书进行验证。因此,若终端设备进行的数字签名验证的签名验证结果为通过,则终端设备获取数字签名的数字证书的主体密钥标识符和公钥,并将包括主体密钥标识符和公钥的证书验证请求发送至服务器。S150,接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应;证书信息为服务器在数字证书数据库中查询到的与主体密钥标识符和公钥对应的数字证书的信息;验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。终端设备接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应。当验证状态为失败时,表示本次验证失败,待识别文件没有数字签名,即终端设备可判定待识别文件是有风险的,可忽略可信状态。当验证状态为通过时,终端设备可通过可信状态判定待识别文件安全、有风险或未知。可信状态可以为可信、恶意及未知三种状态中的一种,分别表示与获取的主体密钥标识符和公钥对应的数字证书的所有者是可信、恶意或未知的。因此,当验证状态为通过时,如果可信状态是可信则待识别文件是安全的;如果可信状态是恶意 则待识别文件是有风险的;如果可信状态是未知则待识别文件是否安全是不能确定的。如果安全识别结果中的是否上传标识为上传,则表示需要上传与获取的主体密钥标识符和公钥对应的数字证书。请继续参照图4,在其中一个实施例中,步骤S110之后、S130之前还包括步骤:S120,判断签名验证结果是否为通过。终端设备判断签名验证结果是否为通过。如果签名验证结果为通过,还需要对数字签名的数字证书进行验证,如此,保证待识别文件的安全性。可以理解地,如果签名验证结果为未通过,则待识别文件是不可信的,也不需要对数字签名的数字证书进行验证。在其中一个实施例中,步骤S150之后还包括步骤:S160,当验证响应中的是否上传标识为上传时,将与主体密钥标识符和公钥对应的数字证书上传给服务器。当所述验证响应中的是否上传标识为上传时,需要上传数字证书,终端设备将与主体密钥标识符和公钥对应的数字证书上传给服务器。由于数字证书都是证书授权中心签发的,而且不包含用户隐私信息,所以可放心上传,不会侵犯用户隐私。上述文件安全性识别方法,终端设备读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到签名验证结果;根据签名验证结果及数字签名解析得到的签名信息发送证书验证请求,并接收验证响应,而不用自身对整个证书链进行验证,因此,其性能较好。请参照图5,本发明的另一种实施方式的文件安全识别方法,该流程图是以服务器的执行过程为例进行说明。如图5所示,本实施例中的文件安全识别方法,包括如下步骤:S240,接收终端设备签名验证结果为通过时发送的证书验证请求,证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥。服务器接收终端设备签名验证结果为通过时发送的包括数字签名的数字证 书的主体密钥标识符和公钥的证书验证请求。S250,根据接收到的证书验证请求,在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或证书信息,并根据是否查询到数字证书和/或证书信息向终端设备发送验证响应,验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。服务器接收到终端设备签名验证结果为通过时发送的证书验证请求后,以主体密钥标识符和公钥为条件在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或该数字证书的证书信息。在本实施例中,数字证书数据库中存储了数字证书及数字证书的信息。证书信息为服务器在数字证书数据库中查询到的与主体密钥标识符和公钥对应的数字证书的信息,即证书信息可以只是数字证书的信息中的部分信息。数字证书的信息是涉及证书相关信息的数据表,包括主体密钥标识符、AKID(AuthorityKeyIdentifier,颁发机构密钥标识符)、公钥、吊销列表URL(UniveralResourceLocation,统一资源定位符)、验证状态、可信状态及数字证书原始文件的MD5(Message-DigestAlgorithm5,信息-摘要算法),并且以数字证书原始文件MD5作为主键。查询不到与主体密钥标识符和公钥对应的数字证书时,向终端设备发送的验证响应中的是否上传标识为上传。查询到与主体密钥标识符和公钥对应的数字证书时,向终端设备发送的验证响应中的验证状态和可信状态,即为数字证书的证书信息的验证状态和可信状态。当验证状态为失败时,表示本次验证失败,待识别文件没有数字签名,即待识别文件是有风险的,此时,终端设备可忽略可信状态。当验证状态为通过时,终端设备可通过可信状态来识别待识别文件是安全的、有风险的或未知的。可信状态可以为可信、恶意及未知三种状态中的一种,分别表示与获取的主体密钥标识符和公钥对应的数字证书的所有者是可信、恶意或未知的。因此,当验证状态为通过时,如果可信状态是可信则待识别文件是安全的;如果可信状态是恶意则待识别文件是有风险的;如果可信状态是未知则待识别文件是否安全是不能确定的。在本实施例中,验证状态由服务器根据接收到的证书验证请求中的主体密 钥标识符和公钥对证书链进行验证而得到。可信状态由服务器在接收到更改可信状态命令时,对可信状态进行更改,并存储至数字证书数据库。请继续参照图5,在其中一个实施例中,步骤S250之后还包括步骤:S260,接收终端设备在验证响应中的是否上传标识为上传时上传的与主体密钥标识符和公钥对应的数字证书,并存储至数字证书数据库。当验证响应中的是否上传标识为上传时,需要上传数字证书,服务器接收终端设备上传的与主体密钥标识符和公钥对应的数字证书,并存储至数字证书数据库。在其中一个实施例中,在步骤S260之后还包括步骤:S270,对接收到的数字证书进行解析和验证,得到验证状态,并将验证状态存储至数字证书数据库。服务器对接收到的、并存储在数字证书库中的数字证书进行解析得到数字证书的基本信息;对数字证书进行证书链的验证得到验证状态;并将包括对数字证书解析和验证后分别得到的基本信息和验证状态的证书信息存放到数字证书数据库。其中,基本信息包括主体密钥标识符、AKID(AuthorityKeyIdentifier,颁发机构密钥标识符)、公钥、吊销列表URL(UniveralResourceLocation,统一资源定位符)。在一个实施例中,还包括步骤:定时获取吊销列表,并将吊销列表列出的数字证书在数字证书数据库中的数字证书的验证状态设置为失败。其中,吊销列表可以由服务器定时遍历数字证书数据库,得到吊销列表URL,再根据吊销列表URL获取。如此,终端设备请求证书验证时,只需要进行一次数字证书数据库的查询,避免进行多次吊销列表的重复查询,以提升系统性能。上述文件安全性识别方法,服务器接收终端设备签名验证结果为通过时发送的证书验证请求,证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥;根据接收到的证书验证请求,在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或证书信息,并根据是否查询到数字证书和/或证书信息向终端设备发送验证响应。如此,终端设备只需要读取待识别文件,进行数字签名验证,在验证通过时发送数字证书验证请求至服务器,并接收服务 器发送的验证响应,而不用对整个证书链进行验证,因此,其减少了终端设备的负担,使终端设备性能较好,进而整个系统性能也更好。基于图4、图5中所示的实施例,图6中示出了一个具体示例中的交互过程的流程示意图。当进行文件安全性识别时,终端设备首先执行步骤S601,读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到签名信息及签名验证结果。随后,终端设备进入步骤S602,判断签名验证结果是否为通过。若签名验证结果为通过,终端设备进入步骤S603,从签名信息中获取数字签名的数字证书的主体密钥标识符和公钥,并将包括主体密钥标识符和公钥的证书验证请求发送至服务器。服务器接收该证书验证请求。随后,服务器进入步骤S605,在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或证书信息。随后,服务器发送验证相应。终端设备进入步骤S607,接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应;证书信息为服务器在数字证书数据库中查询到的与主体密钥标识符和公钥对应的数字证书的信息,验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。在一些实施例中,随后,终端设备进入步骤S608,当所述验证响应中的是否上传标识为上传时,将与主体密钥标识符和公钥对应的数字证书上传给服务器。服务器接收该数字证书。随后,服务器进入步骤S609,对接收到的数字证书进行解析和验证,得到验证状态,并将验证状态存储至数字证书数据库。如图7和图9所示,一种实施方式的文件安全性识别装置,该装置设置在终端设备上。一种文件安全性识别装置,包括:签名解析验证模块310,用于读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到数字签名的签名信息及签名验证结果。终端设备的签名解析验证模块310读取待识别文件,并对读取到的待识别文件进行数字签名解析得到签名信息;对待识别文件的签名信息进行数字签名验证,得到签名验证结果。其中,签名信息是数字签名的相关信息,包括数字签名的数字证书及数字证书的主体密钥标识符(SubjectKeyIdentifier,主体密钥标识符)和公钥;签名验证结果可以为通过或失败,分别表示数字签名验证通过或失败。在本实施例中,待识别文件为PE(PortableExecutable,可移植的执行体)文件。签名解析验证模块310不采用系统的数字签名验证相关的API(ApplicationProgramInterface,应用程序编程接口),不用验证整个证书链。签名解析验证模块310仅使用系统的文件系统API进行待识别文件的读取,通过自写代码进行数字签名解析和数字签名验证。签名解析验证模块310,还用于在签名验证结果为通过时,从签名信息中获取数字签名的数字证书的主体密钥标识符和公钥。当签名验证结果为通过,还需要对数字签名的数字证书进行验证。因此,若终端设备的签名解析验证模块310进行的数字签名验证的签名验证结果为通过,则终端设备的签名解析验证模块310获取数字签名的数字证书的主体密钥标识符和公钥。查询模块350,用于将包括主体密钥标识符和公钥的证书验证请求发送至服务器;并接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应;证书信息为服务器在数字证书数据库(图未标)中查询到的与主体密钥标识符和公钥对应的数字证书的信息;验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。终端设备的查询模块350获取从数字签名解析得到的签名信息中的主体密钥标识符和公钥,并将包括主体密钥标识符和公钥的证书验证请求发送至服务器。终端设备的查询模块350还接收服务器根据是否查询到数字证书和/或证书信息发送的验证响应。在其中一个实施例中,查询模块350,还用于当验证状态为失败时,判定待识别文件有风险;当所述验证状态为通过时,通过可信状态判定待识别文件安 全、有风险或未知。当验证状态为失败时,表示本次验证失败,待识别文件没有数字签名,即待识别文件是有风险的,终端设备可忽略可信状态。当验证状态为通过时,终端设备可通过可信状态来识别待识别文件是安全的、有风险的或未知的。可信状态可以为可信、恶意及未知三种状态中的一种,分别表示与签名解析验证模块310获取的主体密钥标识符和公钥对应的数字证书的所有者是可信、恶意或未知的。因此,当验证状态为通过时,如果可信状态是可信则待识别文件是安全的;如果可信状态是恶意则待识别文件是有风险的;如果可信状态是未知则待识别文件是否安全是不能确定的。如果安全识别结果中的是否上传标识为上传,则表示需要上传与签名解析验证模块310获取的主体密钥标识符和公钥对应的数字证书。在其中一个实施例中,签名解析验证模块310,还用于判断签名验证结果是否为通过。终端设备的签名解析验证模块310判断签名验证结果是否为通过。如果签名验证结果为通过,还需要对数字签名的数字证书进行验证,如此,保证待识别文件的安全性。可以理解地,如果签名验证结果为未通过,则待识别文件是不可信的,也不需要对数字签名的数字证书进行验证。在其中一个实施例中,还包括:上传模块360,用于当所述验证响应中的是否上传标识为上传时,将与主体密钥标识符和公钥对应的数字证书上传给服务器。当所述验证响应中的是否上传标识为上传时,需要上传数字证书,终端设备的上传模块360将与主体密钥标识符和公钥对应的数字证书上传给服务器。由于数字证书都是证书授权中心签发的,而且不包含用户隐私信息,所以可放心上传,不会侵犯用户隐私。上述文件安全性识别装置,终端设备的签名解析验证模块310读取待识别文件,并对读取到的待识别文件进行数字签名解析和数字签名验证,得到签名验证结果;查询模块350根据签名验证结果及数字签名解析得到的签名信息发送证书验证请求,并接收验证响应,而不用自身对整个证书链进行验证,因此,其 性能较好。请参照图8和图9,另一种实施方式的文件安全性识别装置,该文件安全识别装置设置在服务器上。一种文件安全性识别装置,包括:查询服务模块440,用于接收终端设备签名验证结果为通过时发送的证书验证请求,证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥。服务器的查询服务模块440接收终端设备签名验证结果为通过时发送的包括数字签名的数字证书的主体密钥标识符和公钥的证书验证请求。查询服务模块440,还用于在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书的证书信息,并根据是否查询到数字证书和/或证书信息向终端设备发送验证响应;验证响应包括由是否查询到数字证书确定的是否上传标识和/或证书信息中的验证状态和可信状态。服务器的查询服务模块440接收到终端设备签名验证结果为通过时发送的证书验证请求后,以主体密钥标识符和公钥为条件在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或该数字证书的证书信息。在本实施例中,数字证书数据库中存储了数字证书及数字证书的信息。证书信息为服务器在数字证书数据库中查询到的与主体密钥标识符和公钥对应的数字证书的信息,即证书信息可以只是数字证书的信息中的部分信息。数字证书的信息是涉及证书相关信息的数据表,包括主体密钥标识符、AKID(AuthorityKeyIdentifier,颁发机构密钥标识符)、公钥、吊销列表URL(UniveralResourceLocation,统一资源定位符)、验证状态、可信状态及数字证书原始文件的MD5(Message-DigestAlgorithm5,信息-摘要算法),并且以数字证书原始文件MD5作为主键。查询不到与主体密钥标识符和公钥对应的数字证书时,向终端设备发送的验证响应中的是否上传标识为上传。查询到与主体密钥标识符和公钥对应的数字证书时,向终端设备发送的验证响应中的验证状态和可信状态,即为数字证书的证书信息的验证状态和可信 状态。当验证状态为失败时,表示本次验证失败,待识别文件没有数字签名,即待识别文件是有风险的,此时,终端设备可忽略可信状态。当验证状态为通过时,终端设备可通过可信状态来识别待识别文件是安全的、有风险的或未知的。可信状态可以为可信、恶意及未知三种状态中的一种,分别表示与获取的主体密钥标识符和公钥对应的数字证书的所有者是可信、恶意或未知的。因此,当验证状态为通过时,如果可信状态是可信则待识别文件是安全的;如果可信状态是恶意则待识别文件是有风险的;如果可信状态是未知则待识别文件是否安全是不能确定的。证书接收验证服务模块410,用于根据接收到的证书验证请求对证书链进行验证得到验证状态,并将验证状态存储至数字证书数据库。在本实施例中,验证状态由服务器的证书接收验证服务模块410根据接收到的证书验证请求中的主体密钥标识符和公钥对证书链进行验证而得到。在其中一个实施例中,还包括:吊销列表更新模块420,用于将吊销列表列出的数字证书在数字证书数据库中的数字证书的验证状态设置为失败。服务器的吊销列表更新模块420定时遍历数字证书数据库,得到吊销列表URL;再根据吊销列表URL获取吊销列表,并将吊销列表列出的数字证书在数字证书数据库中的数字证书的验证状态设置为失败。如此,终端设备请求证书验证时,只需要进行一次数字证书数据库的查询,避免进行多次吊销列表的重复查询,以提升系统性能。在其中一个实施例中,还包括:运营服务模块430,用于在接收到更改可信状态命令时,对可信状态进行更改,并存储至数字证书数据库。在本实施例中,可信状态由服务器的运营服务模块430在接收到更改可信状态命令时,对可信状态进行更改,并存储至数字证书数据库。服务器的运营服务模块430接收改变证书信息中的可信状态的更改可信状态命令,并根据接收到的更改可信状态命令对数字证书数据库的数字证书的证书信息中的可信状态进行更改,以对验证响应中的可信状态进行更改。在其中一个实施例中,证书接收验证服务模块410,还用于接收终端设备在验证响应中的是否上传标识为上传时上传的与主体密钥标识符和公钥对应的数字证书,并存储至数字证书数据库。当验证响应中的是否上传标识为上传时,需要上传数字证书,服务器的证书接收验证服务模块410接收终端设备上传的与主体密钥标识符和公钥对应的数字证书,并存储至数字证书数据库。在其中一个实施例中,证书接收验证服务模块410,还用于对接收到的数字证书进行解析和验证,得到验证状态,并将验证状态存储至数字证书数据库。服务器的证书接收验证服务模块410对接收到的、并存储在数字证书库中的数字证书进行解析得到数字证书的基本信息;对数字证书进行证书链的验证得到验证状态;并将包括对数字证书解析和验证后分别得到的基本信息和验证状态的证书信息存放到数字证书数据库。其中,基本信息包括主体密钥标识符、AKID(AuthorityKeyIdentifier,颁发机构密钥标识符)、公钥、吊销列表URL(UniveralResourceLocation,统一资源定位符)。上述文件安全性识别装置,服务器的接收验证服务模块410接收终端设备签名验证结果为通过时发送的证书验证请求,证书验证请求包括数字签名的数字证书的主体密钥标识符和公钥;查询服务模块440根据接收到的证书验证请求,在数字证书数据库中查询与主体密钥标识符和公钥对应的数字证书和/或证书信息,并根据是否查询到数字证书和/或证书信息向终端设备发送验证响应。如此,终端设备只需要读取待识别文件,进行数字签名验证,在验证通过时发送数字证书验证请求至服务器,并接收服务器发送的验证响应,而不用对整个证书链进行验证,因此,其减少了终端设备的负担,使终端设备性能较好,进而整个系统性能也更好。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory, ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。当前第1页1 2 3 当前第1页1 2 3