数字证书的证书链的完整性检测系统及方法与流程

本发明涉及网络安全技术领域，特别是涉及一种数字证书的证书链的完整性检测系统及方法。

背景技术：

随着互联网技术的不断发展，数字证书被越来越多的应用到企业网站。数字证书的广泛使用，对窃听和中间人攻击提供了有效的防护，增强了网络通信的安全性。数字证书提升安全性的同时，也带来了一些问题，需要在部署证书时完成验证工作。其中证书链的完整性检测就是必须要做的，如果证书链不完整，网站在被访问时会出现证书错误，甚至无法访问的情况。为了检测证书链是否完整，通常的做法是在安装证书后手动对证书链进行检测。手动的证书链验证无法快速的发现证书部署问题，降低了服务上线的速度，如果出现人为的疏忽，而检测出证书链不完整，服务发布后导致服务不可用，进而影响到网站的可用性，甚至会造成业务损失。

技术实现要素：

本发明要解决的技术问题是为了克服现有技术中手动对证书链进行检测，导致无法快速发现证书部署问题并且检测结果可能不准确的缺陷，提供一种数字证书的证书链的完整性检测系统及方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种数字证书的证书链的完整性检测系统，其特点在于，包括：

第一收集模块，用于收集待检测的IP(网络之间互连的协议)地址和对应的域名；

第二收集模块，用于对每个待检测的IP地址和对应的域名收集数字证书信息和证书验证信息；

解析模块，用于对数字证书信息进行解析以获取数字证书的备注名列表；

判断模块，用于判断备注名列表中是否记录有所述域名，若是，则调用一检测模块，若否，则返回错误信息；

所述检测模块用于检测所述证书验证信息中是否存在证书链不完整的信息，若是，则返回错误信息，若否，则确认数字证书的证书链完整，返回检测成功信息。

较佳地，所述完整性检测系统还包括：

检测需求数据库，用于存储多个检测需求数据，每个检测需求数据均包括一个所述第一收集模块收集的待检测的IP地址和对应的域名。

较佳地，所述完整性检测系统还包括：

数字证书文件数据库，用于存储多个数字证书文件，每个数字证书文件均包括一个所述第二收集模块收集的数字证书信息；

所述解析模块还用于对所述数字证书文件进行解析以获取所述备注名列表。

较佳地，所述完整性检测系统还包括：

证书验证文件数据库，用于存储多个证书验证文件，每个证书验证文件均包括一个所述第二收集模块收集的证书验证信息；

所述检测模块还用于读取所述证书验证文件以获取证书验证信息。

较佳地，所述完整性检测系统还包括：

检测规则数据库，用于存储证书链不完整检测规则；

所述检测模块用于对所述证书验证信息与所述证书链不完整检测规则进行规则匹配，以检测所述证书验证信息中是否存在证书链不完整的信息。

本发明的目的在于还提供了一种数字证书的证书链的完整性检测方法，其特点在于，包括以下步骤：

S₁、收集待检测的IP地址和对应的域名；

S₂、对每个待检测的IP地址和对应的域名收集数字证书信息和证书验证信息；

S₃、对数字证书信息进行解析以获取数字证书的备注名列表；

S₄、判断备注名列表中是否记录有所述域名，若是，则执行步骤S₅，若否，则返回错误信息；

S₅、检测所述证书验证信息中是否存在证书链不完整的信息，若是，则返回错误信息，若否，则确认数字证书的证书链完整，返回检测成功信息。

较佳地，步骤S₁和S₂之间还包括：

S₁₁、存储多个检测需求数据，每个检测需求数据均包括一个待检测的IP地址和对应的域名。

较佳地，步骤S₂和S₃之间还包括：

S₂₁、存储多个数字证书文件，每个数字证书文件均包括一个数字证书信息；

步骤S₃中对所述数字证书文件进行解析以获取所述备注名列表。

较佳地，步骤S₂₁中还包括：存储多个证书验证文件，每个证书验证文件均包括一个证书验证信息；

步骤S₅中还包括：读取所述证书验证文件以获取证书验证信息。

较佳地，步骤S₁之前还包括：

S₀₁、存储证书链不完整检测规则；

步骤S₅中还包括：对所述证书验证信息与所述证书链不完整检测规则进行规则匹配，以检测所述证书验证信息中是否存在证书链不完整的信息。

本发明的积极进步效果在于：本发明实现了自动化地检测数字证书的证书链，提高了证书链的完整性检测的效率和准确率，节省了人工操作，降低了安全工程师的工作量，保证了服务绑定的数字证书的正确性，提高了服务上线的效率，降低了因为数字证书问题导致服务故障的可能性，增强了网站的可用性。

附图说明

图1为本发明的较佳实施例的数字证书的证书链的完整性检测系统的模块示意图。

图2为本发明的较佳实施例的数字证书的证书链的完整性检测方法的流程图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。

如图1所示，本发明的数字证书的证书链的完整性检测系统包括第一收集模块1、第二收集模块2、解析模块3、判断模块4、检测模块5、检测需求数据库6、数字证书文件数据库7、证书验证文件数据库8以及检测规则数据库9；

其中，所述检测规则数据库9会预存储证书链不完整检测规则，具体的检测规则可由安全专家制定；

所述第一收集模块1用于收集待检测(即需要进行证书链的完整性检测)的IP地址和对应的域名，所述检测需求数据库6则用于存储多个检测需求数据，其中每个检测需求数据均包括一个所述第一收集模块1收集的待检测的IP地址和对应的域名；

所述第二收集模块2则对每个待检测的IP地址和对应的域名收集数字证书信息和证书验证信息，具体可使用OpenSSL(Open Secure Sockets Layer，开放式安全套接层协议)工具来进行收集，所述数字证书文件数据库7则会存储多个数字证书文件，其中每个数字证书文件均包括一个所述第二收集模块2收集的数字证书信息；而所述证书验证文件数据库8会对应存储多个证书验证文件，每个证书验证文件均包括一个所述第二收集模块2收集的证书验证信息；具体地，所述数字证书文件数据库7中存储的数字证书文件与所述证书验证文件数据库8中存储的证书验证文件二者具有对应关系；

所述解析模块3会对所述数字证书文件中的数字证书信息进行解析，以获取数字证书的备注名列表(Alternative_list)，具体可通过OpenSSL工具进行解析，所述判断模块4则判断所述备注名列表中是否记录有所述域名，若是，则调用所述检测模块5，若否，则返回错误信息，具体错误信息可表征：数字证书绑定错误，域名不在当前绑定的证书备注名列表中，并可以将具体的错误信息返回到结果信息数据库中进行保存；

所述检测模块5会读取所述证书验证文件数据库8中存储的证书验证文件以获取证书验证信息，并检测所述证书验证信息中是否存在证书链不完整的信息，具体可对对所述证书验证信息与所述证书链不完整检测规则进行规则匹配，以检测所述证书验证信息中是否存在证书链不完整的信息，若是，则返回错误信息，具体错误信息可表征：证书链不完整，并可以将具体的错误信息返回到结果信息数据库中进行保存；若否，则确认数字证书的证书链完整，返回检测成功信息，具体检测成功信息科表征：证书链完整；并可以将具体的检测成功信息返回到结果信息数据库中进行保存。

上述的检测过程可以以每个检测需求数据为单位来进行检测，如果检测需求数据库中的所有检测需求均已被检测，则可以返回最终的检测结果(具体的检测结果都在结果信息数据库中进行了保存)。

本发明还提供了一种数字证书的证书链的完整性检测方法，其利用上述的数字证书的证书链的完整性检测系统实现，如图2所示，所述完整性检测方法包括以下步骤：

步骤100、存储证书链不完整检测规则；

步骤101、收集待检测的IP地址和对应的域名；

步骤102、存储多个检测需求数据，每个检测需求数据均包括一个待检测的IP地址和对应的域名；

步骤103、对每个待检测的IP地址和对应的域名收集数字证书信息和证书验证信息；

步骤104、存储多个数字证书文件，每个数字证书文件均包括一个数字证书信息；存储多个证书验证文件，每个证书验证文件均包括一个证书验证信息；

步骤105、对数字证书文件进行解析以获取所述备注名列表；

步骤106、判断备注名列表中是否记录有所述域名，若是，则执行步骤107，若否，则返回错误信息；

步骤107、读取证书验证文件以获取证书验证信息，检测所述证书验证信息中是否存在证书链不完整的信息，若是，则返回错误信息，若否，则确认数字证书的证书链完整，返回检测成功信息。

其中，步骤107中具体可以对所述证书验证信息与所述证书链不完整检测规则进行规则匹配，以检测所述证书验证信息中是否存在证书链不完整的信息。

本发明提高了数字证书的证书链的完整性检测的效率，加快了服务上线的速度，在检测证书链的完整性的同时，还检测域名与证书备注名是否匹配，避免了证书绑定错误的情况；本发明的证书链不完整检测规则增加了证书链完整性检测的准确性；本发明实现了自动化地检测，降低了相关工作人员的工作量；本发明通过对证书链的完整性进行检测，降低了证书链不完整导致服务故障的可能性，增强了网站的可用性。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。