一种验证数字证书有效性的方法及其鉴别服务器与流程

本发明涉及网络安全
技术领域：
，尤其涉及一种验证数字证书有效性的方法及其鉴别服务器。
背景技术：
：目前在基于无线局域网鉴别和保密基础结构(WLANAuthenticationandPrivacyInfrastructure，简称WAPI)协议的WLAN中，鉴别服务器实体(AuthenticationServiceEntity,简称ASE)收到证书鉴别请求后，仅对收到的数字证书格式是否正确和是否被吊销的状态进行验证。验证过程涉及到使用对数字证书中数字签名验证等复杂的密码学技术，需要消耗大量的计算资源，如果黑客随意搜集一个无效的数字证书连续发送到ASE，将会成功占用ASE大量的计算资源和时间，形成有效的拒绝服务攻击(DenialofService，简称DOS),导致其他合法用户无法正常和ASE进行通信。同时，由于验证内容对数字证书是否在数字证书颁发者颁发本数字证书时限定的业务范围内使用并不验证，黑客可能将一个领域合法授权的数字证书用于其他非授权领域，造成信息安全事故。总之，当前通常对数字证书验证方法相对固定化、单一，没有考虑后续如何扩展，而且存在一定的安全风险。技术实现要素：为了解决上述技术问题，本发明提供如下的技术方案：一种验证数字证书有效性的方法，该方法涉及鉴别服务器，该鉴别服务器包括消息接收模块和数字证书验证模块，所述数字证书验证模块中设置有验证 方案配置单元，所述验证方案配置单元进行配置设置以用于配置验证数字证书有效性的验证方案；所述消息接收模块接收数字证书鉴别请求消息，所述数字证书鉴别请求消息中包含有数字证书内容；所述消息接收模块将收到的数字证书内容提交至所述数字证书验证模块进行验证；所述数字证书验证模块根据验证需求从所述验证方案配置单元中配置的验证方案中选择相应的验证方案来执行具体的验证过程；如果根据选择的所述验证方案对数字证书的有效性验证无法通过，则确定数字证书有效性验证失败；否则，确定数字证书有效性验证成功。此外，本发明同时提供一种用于验证数字证书有效性的鉴别服务器，其包括消息接收模块、数字证书验证模块，其特征在于，所述数字证书验证模块包括验证方案配置单元；所述消息接收模块用于接收数字证书鉴别请求分组；所述验证方案配置单元用于配置验证数字证书有效性的验证方案。本发明提供的技术方案，很好的降低了鉴别服务器增加和删除验证方案的复杂度，通过验证方案配置单元实现了鉴别服务器在涉及多种验证方案时的有效配置和控制，有助于验证方案的扩展、修改及删除等操作；另外，通过选用已配置的验证方案验证数字证书的有效性，也提高了数字证书验证效率。附图说明图1为本发明提供的方法流程示意图；图2为本发明实施例一流程示意图；图3为本发明实施例二流程示意图；图4为本发明实施例三流程示意图；图5为本发明实施例网络拓扑示意图；图6为本发明实施例提供的鉴别服务器结构示意图。具体实施方式下面结合附图和实施例对本发明提供的验证数字证书有效性的方法及其鉴别服务器进行更详细地说明。如图1及图6所示，本发明提供的验证数字证书有效性的方法，其涉及鉴别服务器，所述鉴别服务器包括消息接收模块和数字证书验证模块，该方法具体包括：S100，所述数字证书验证模块中设置有验证方案配置单元，所述验证方案配置单元进行配置设置以用于配置验证数字证书有效性的验证方案；S200，所述消息接收模块接收数字证书鉴别请求消息，所述数字证书鉴别请求消息中包含有数字证书内容；所述消息接收模块将收到的数字证书内容提交至所述数字证书验证模块进行验证；所述数字证书验证模块根据验证需求从所述验证方案配置单元中配置的验证方案中选择相应的验证方案来执行具体的验证过程；S300，如果根据选择的所述验证方案对数字证书的有效性验证无法通过，则确定数字证书有效性验证失败；否则，确定数字证书有效性验证成功。优选的，所述鉴别服务器中还可以包括数字证书解析模块，用于解析数字证书鉴别请求分组以获取数字证书内容。优选的，所述配置设置为创建验证方案数据库表，所述验证方案数据库表包括验证项目字段和开关值字段，所述验证项目字段用于标识验证方案；所述验证方案的启用通过设置开关值来实现，当所述开关值为开启时，启用相应的验证方案；当所述开关值设置为关闭时，不启用相应的验证方案。优选的，S100中所述验证方案可以是白名单列表验证、黑名单列表验证、数字证书合适和吊销状态验证以及数字证书使用范围验证等验证方案中的至少任意两种的组合。相应的验证方案由所述验证方案配置单元使用验证方案配置数据库表设置，配置有前述验证方案的验证方案配置单元进一步就包括了白 名单列表验证子单元、黑名单列表验证子单元、数字证书格式和吊销状态验证子单元、数字证书使用范围验证子单元以及数字证书使用范围验证子单元。其中数字证书使用范围是指数字证书的颁发者是否有权限颁发在某个使用范围的数字证书或者数字证书的颁发者在某个使用范围内的可信度或者数字证书本身在颁发的时候是否限定某个使用范围内使用的权限。同时，所述验证方案配置单元中设置有开关值以确定相应验证子单元是否开启，通常情况下开关值设置为1时表示开启，开关值设置为0时表示关闭。所述验证方案配置单元具有建立验证方案配置数据库表、增加和删除验证方案和配置验证方案的功能。具体的，如表一所示，所述验证方案配置单元创建验证方案配置数据库表，其中的验证方案配置数据库表包括序号字段、验证项目字段以及开关值字段。所述序号字段是主键，序号值自动递增，该序号字段可用于标识相应的验证方案的执行顺序(如1表示第一验证内容，2表示第二验证内容等)；所述验证项目字段用于标识验证方案配置单元支持的数字证书验证方案，该验证项目字段标识的验证方案可根据本地验证策略要求的验证顺序调整到对应序号序号字段标识的位置。序号验证项目开关值1白名单列表验证0或者12黑名单列表验证0或者13数字证书格式和吊销状态验证0或者14数字证书使用范围验证0或者1………表一优选的，所述数据库表中还可以包括验证顺序字段(在此情况下的序号字段仅仅是一个序号标识)，如表二所示，通过在验证顺序字段中配置优先级顺 序如1,2,3等，以用于标识相应验证方案的执行顺序。表二所述数字证书验证方案具体可以包括白名单列表验证、黑名单列表验证、数字证书格式和吊销状态验证以及数字证书应用范围验证等中的至少任意两种的组合，即所述验证方案配置单元进一步包括了白名单列表验证子单元、黑名单列表验证子单元、数字证书格式和吊销状态验证子单元以及数字证书应用范围验证子单元。所述开关值字段表示是否启用验证项目字段标识的验证方案。所述验证方案配置数据库表中验证项目字段标识的具体验证方案均可灵活的增加、修改和删除；其中每个对应的开关值字段的数值用于表示相应的验证方案是否开启，通常情况下，当开关值字段的值为0时代表对应的验证项目开启，当开关值字段的值为1时代表对应的验证项目关闭。当然，也可将开关值字段的值设置为1时代表对应的验证项目开启，当开关值字段的值为0时代表对应的验证项目关闭，本发明对于开关值字段的值的设置不做限制。优选的，所述配置设置还可通过XML的方式配置验证方案。即验证方案配置单元以XML格式配置文件存在，该配置文件中包括序号元素、验证项目元素、验证顺序元素以及开关值元素。所述开关值元素用于确定相应验证子单 元是否开启，通常情况下开关值元素设置为1时表示开启，开关值元素设置为0时表示关闭，所述验证方案配置单元可通过修改XML配置文件中元素的方式进行验证方案的增加、修改和删除。前述通过XML方式配置验证方案的配置文件示例如下：<item><序号>1<序号/><验证项目>白名单列表验证</验证项目><验证顺序>2</验证顺序><开关值>0或者1</开关值></item><item><序号>2<序号/><验证项目>黑名单列表验证</验证项目><验证顺序>3</验证顺序><开关值>0或者1</开关值></item><item><序号>3<序号/><验证项目>数字证书格式和吊销状态验证</验证项目><验证顺序>4</验证顺序><开关值>0或者1</开关值></item><item><序号>4<序号/><验证项目>数字证书使用范围验证</验证项目><验证顺序>1</验证顺序><开关值>0或者1</开关值></item>本发明正是利用了验证方案的配置设置实现了鉴别服务器中多种验证方案的有效配置和控制，利用所述验证方案配置单元进行验证方案的配置设置有助于鉴别服务器验证方案的灵活的增加、修改和删除，以下将结合图2、图3、图4、图5就基于数据库表配置验证方案的方式对于本发明具体实施过程进行详细的阐述。实施例一如图2和图5，在所述验证方案配置单元中开启数字证书使用范围验证子单元和数字证书格式和吊销状态验证子单元。具体验证过程详细说明如下。以WAPI网络架构为例，当所述消息接收模块接收到接入点AP发送的数字证书鉴别请求分组后，由所述数字证书解析模块对所述数字证书鉴别请求分组解析以获得数字证书内容，并将解析后的数字证书内容提交到所述数字证书验证模块，首先由所述数字证书验证模块中的数字证书使用范围验证子单元执行验证。具体是：所述数字证书使用范围验证子单元创建一个数字证书使用范围表，如表三所示，所述数字证书使用范围表包括序号字段、数字证书标识字段和使用范围字段，其中，序号字段是主键，序号值自动递增；数字证书标识字段表示是数字证书标识内容，数字证书标识可以为数字证书中证书序列号和颁发者名称的组合，也可以只为证书序列号。序号数字证书标识使用范围1证书序列号1+颁发者名称范围1/范围2/范围1/范围4…2证书序列号2+颁发者名称范围1/范围2/范围1/范围4…3证书序列号3+颁发者名称范围1/范围2/范围1/范围4…4证书序列号4+颁发者名称范围1/范围2/范围1/范围4…………表三所述数字证书使用范围验证子单元可执行SQL的查询语句对数字证书的使用范围是否在使用范围字段中进行查询，根据SQL查询语句的返回值判断；如果在所述使用范围字段中可以查询到数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时规定的使用范围，则所述数字证书使用范围验证子单元验证数字证书使用范围成功，否则，所述数字证书使用范围验证子单元 验证数字证书使用范围失败。其中，数字证书使用范围记录可以增加或者删除。鉴别服务器增加或者删除数字证书使用范围记录的信息可来自于数字证书颁发实体或者网络管理员等，本发明对此不做限制。换句话说，如果数字证书使用范围验证子单元判断数字证书鉴别请求分组中包含的数字证书不符合数字证书颁发时候规定的使用范围，则数字证书验证模块得到的数字证书验证结果为失败，然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果或者数字证书应该的使用范围；如果数字证书使用范围验证子单元判断数字证书鉴别请求分组中包含的数字证书符合数字证书颁发时候规定的使用范围，则继续下一步的验证。然后由数字证书格式和吊销状态验证子单元进行验证，具体是：所述数字证书解析模块解析所述数字证书鉴别请求分组获取数字证书的相关信息，所述数字证书格式和吊销状态验证子单元验证所述数字证书的信息格式是否与所述鉴别服务器已知的格式一致，如果不一致则数字证书格式和吊销状态验证失败，如果一致则数字证书格式和吊销状态验证成功；本发明中所述数字证书的信息格式依据的是X.509的数字证书标准；或者，所述鉴别服务器利用其数字证书的公钥计算所述解析模块解析后的所述数字证书鉴别请求分组中的数字证书的签名值，所述数字证书格式和吊销状态验证子单元计算出的签名值和所述数字证书的签名值是否相同，如果不相同，则数字证书格式和吊销状态验证失败，如果相同，则数字证书格式和吊销状态性验证成功；或者，所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器当前时间和接收到的数字证书的有效时间范围，如果所述鉴别服务器当前时间不在接收到的数字证书的有效范围内，则数字证书格式和吊销状态验证失败；否则，数字证书格式和吊销状态验证成功；或者，所述数字证书格式和吊销状态验证子单元验证所述鉴别服务器存储的接收到的数字证书的状态是否被标记为已吊销，如果被标记为已吊销，则数 字证书格式和吊销状态验证失败，否则，数字证书格式和吊销状态验证成功。在其他实施方式中，上述数字证书格式和吊销状态验证子单元执行的四种验证方式可做任意组合使用，此时，组合中的任意一种如果验证失败，则认为所述数字证书格式和吊销状态验证子单元判断证书鉴别请求分组中包含的数字证书格式不正确或者使用状态是无效，即数字证书验证失败；否则，数字证书验证成功。基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后，然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。该实施例述及的验证过程适用于在完全开放的网络环境中传输数字证书的情况，该验证方案能够很好地提高这种网络环境下的数字证书的验证效率。实施例二如图3和图5，在所述验证方案配置模块中开启数字证书格式和吊销状态验证子单元、黑名单列表验证子单元和或白名单列表验证子单元。具体验证过程详细说明如下。以WAPI网络架构为例，首先数字证书格式和吊销状态验证子单元开始执行验证具体验证过程同实施例一的表述，此处不再赘述。当数字证书格式和吊销状态验证通过后所述黑名单列表验证子单元和或白名单列表验证子单元开始验证，具体包括：所述白名单列表验证子单元创建一个白名单数据库表，如表四所示所述白名单数据库表包括序号字段和白名单值字段，其中序号字段是主键，序号值自动递增；白名单值字段表示数字证书标识，数字证书标识可以为数字证书中证书序列号和颁发者名称的组合，也可以只为证书序列号。序号白名单值1证书序列号1+颁发者名称2证书序列号2+颁发者名称3证书序列号3+颁发者名称4证书序列号4+颁发者名称……表四所述白名单列表验证子单元执行SQL的查询语句对数字证书标识是否在白名单值字段中进行查询，根据SQL查询语句的返回值判断，如果返回值中包含有所查询的数字证书标识，则代表在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识，否则，则代表在白名单数据库表的白名单值字段中不能查询到数字证书鉴别请求分组中包含的数字证书的标识；如果在白名单数据库表的白名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识，则所述白名单列表验证子单元执行白名单验证通过，说明白名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在白名单内，从而确定数字证书有效性验证成功；否则，所述白名单列表验证子单元执行白名单验证失败，说明白名单列表验证子单元判断证书鉴别请求分组换句话说，如果白名单列表验证子单元判断数字证书鉴别请求分组中包含的数字证书不在白名单内，则数字证书验证单元得到的数字证书验证结果为失败，并通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果；如果白名单列表验证子单元判断数字证书鉴别请求分组中包含的数字证书在白名单内，则数字证书有效性验证成功。上述执行过程中的白名单值可以增加或者删除。鉴别服务器增加或者删除白名单记录的信息可来自于数字证书颁发实体或者网络管理员等，本发明对此不做限制。黑名单列表验证子单元的验证过程详细如下。所述黑名单列表验证子单元创建一个黑名单数据库表，如表五所示，所述 黑名单数据库表包括序号字段和黑名单值字段，其中，序号字段是主键，序号值自动递增；黑名单值字段表示是数字证书标识，数字证书标识可以为数字证书中证书序列号和颁发者名称的组合，也可以只为证书序列号。序号黑名单值1证书序列号1+颁发者名称2证书序列号2+颁发者名称3证书序列号3+颁发者名称4证书序列号4+颁发者名称……表五所述黑名单列表验证子单元执行SQL的查询语句对数字证书标识是否在黑名单值字段中进行查询，根据SQL查询语句的返回值判断，如果返回值中包含有所查询的数字证书标识，则代表在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识，否则，则代表在黑名单数据库表的黑名单值字段中不能查询到数字证书鉴别请求分组中包含的数字证书的标识；如果在黑名单数据库表的黑名单值字段中可以查询到数字证书鉴别请求分组中包含的数字证书的标识，则所述黑名单列表验证子单元执行黑名单验证不通过，说明黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在黑名单内从而确定数字证书有效性验证失败；否则，所述黑名单列表验证子单元执行黑名单验证成功，说明黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书不在黑名单内，从而确定数字证书有效性验证成功。换句话说，如果黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书在黑名单内，则数字证书验证模块得到的数字证书验证结果为失败，然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果；如果黑名单列表验证子单元判断证书鉴别请求分组中包含的数字证书不在 黑名单则数字证书有效性验证成功。上述执行过程中的黑名单值可以增加或者删除。鉴别服务器增加或者删除黑名单记录的信息可来自于数字证书颁发实体或者网络管理员等，本发明对此不做限制。基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后，然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。该实施例述及的验证过程适用于在一个特定的网络环境中，如一个企业内的局域网，传输的数字证书很大可能是企业内部的数字证书颁发者颁发，每一台企业内部网络中使用的设备中包含的数字证书数量有限，且根据设备本身的应用仅含有某个特定应用的证书，在这个封闭的特定应用环境中，由于数字证书来源和应用范围单一。该实施例提供的验证方案能够很好地提高这种网络环境下的数字证书的验证效率。实施例三如图4和图5，在所述验证方案配置模块中开启黑名单列表验证子单元和或白名单列表验证子单元、数字证书使用范围验证子单元以及数字证书格式和吊销状态验证子单元。具体验证过程详细说明如下。以WAPI网络架构为例，当所述消息接收模块接收到接入点AP发送的数字证书鉴别请求分组后，由所述数字证书解析模块对所述数字证书鉴别请求分组解析以获得数字证书内容，并将解析后的数字证书内容提交到所述数字证书验证模块，首先由所述黑名单列表验证子单元和或白名单列表验证子单元执行验证，详细验证过程同实施例二的描述，此处不再赘述。待所述黑名单列表验证子单元和或白名单列表验证子单元执行验证的结果为通过时，进一步由数字证书使用范围验证子单元执行验证，该验证过程同实施例一的描述，此处不再赘述。待所述数字证书使用范围验证子单元执行验证的结果为在特定的范围内时，进一步由所述数字证书格式和吊销状态验证子单元执行验证，如验证执行通过则数字证书有效性验证成功，否则，数字证书有效性验证失败。基于上述的验证数字证书验证模块得到的数字证书验证结果为成功后，然后通过消息发送模块构建证书鉴别响应分组发送至AP告知数字证书验证结果。该实施例述及的验证过程适用于在一个网络通信系统中，如果某几个网络只限定给某些用户使用，其他的网络所有人都可以使用，则需要限定给某些用户使用的网络设备需要首先验证自己设备中的白名单和或黑名单，如果接收到的数字证书内容是白名单和或黑名单里面的成员，则可进行后续验证，如果接收到的数字证书内容不在设备的白名单内和或黑名单，不再进行后续的验证工作，节省时间。该验证方案能够很好地提高这种网络环境下的数字证书的验证效率。除上述实施例描述的以外，所述验证方案配置单元中的验证项目字段标识的验证方案还可以是证书鉴别请求分组中包含的数字证书的颁发者是否满足使用的安全级别的验证等，鉴别服务器还可继续依据验证方案配置单元预置的验证方案对数字证书鉴别请求分组中包含的数字证书进行验证，然后通过消息发送模块构建证书鉴别响应分组发送给AP告知数字证书验证结果或者与验证相关的信息内容，本发明具体实施部分对此不再赘述。此外，本发明提供的验证数字证书有效性的方法并不局限于上述实施例所述的WAPI架构。基于本发明提供的验证数字证书有效性的方法的相同的思路，本发明还提供了一种与之对应的鉴别服务器，参见图6。具体是：用于验证数字证书有效性的鉴别服务器，其包括消息接收模块、数字证书验证模块，其特征在于，所述数字证书验证模块包括验证方案配置单元；所述消息接收模块用于接收数字证书鉴别请求分组；所述验证方案配置单元用于配置验证数字证书有效性的验证方案。优选的，所述鉴别服务器还可以进一步包括数字证书解析模块，用于解析数字证书鉴别请求分组中的数字证书内容。优选的，所述验证方案配置单元进一步包括白名单列表验证子单元，所述白名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在白名单内；所述验证方案配置单元进一步包括黑名单列表验证子单元，所述黑名单列表验证子单元用于验证所述数字证书鉴别请求分组中的数字证书是否包含在黑名单内；所述验证方案配置单元进一步包括数字证书格式和吊销状态验证子单元，所述数字证书格式和吊销状态验证子单元用于验证所述数字证书的信息格式是否与所述鉴别服务器已知的格式一致；所述验证方案配置单元进一步包括数字证书使用范围验证子单元，所述数字证书使用范围验证子单元用以验证所述数字证书鉴别请求分组中包含的数字证书是否符合数字证书颁发时候规定的使用范围。鉴别服务器所述各结构的功能及工作方式与前述方法中描述的工作过程相应，此处不再赘述。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。当前第1页1 2 3