一种数字证书统计方法、装置、电子设备及介质与流程

本申请涉及数字证书统计，具体涉及一种数字证书统计方法、装置、电子设备及介质。

背景技术：

1、ca中心，又称ca机构，即证书授权中心(certificate authority)，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。ca中心可根据客户的要求提供密钥托管服务，备份和管理客户的加密密钥对。ca中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中，ca不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

2、另外，互联网软件市场中会有公司或个人提交的大量软件程序，供用户下载使用。作为一家ca机构，根据政策调整需要，ca机构需要统计市场上的软件是否具备数字证书签名、数字证书是否有效、数字证书是否是软证书或硬证书等，因此需要将这些软件逐个下载进行数据分析。然而由于软件数量很多且存在2g及以上的大型文件，整个过程会非常消耗带宽资源，数据分析也非常低效。

技术实现思路

1、鉴于上述问题，提出了本说明书以便提供一种克服上述问题或者至少部分地解决上述问题的一种数字证书统计方法、装置、电子设备及介质。

2、本发明公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

3、第一方面，本申请实施例提供了一种数字证书统计方法，包括：对待统计软件进行数据定位识别，下载到待统计软件的数字签名信封数据段；根据数字签名信封数据段分析出待统计软件对应的数字证书信息。

4、在一些实施例中，对待统计软件进行数据定位识别，下载到待统计软件的数字签名信封数据段，包括：确定pe文件头部数据段大小；根据pe文件头部数据段大小通过在httpheader写入第一字符串以发送第一下载请求，仅下载得到待统计软件的pe文件头部数据段；对pe文件头部数据段进行数据分析，从pe文件头部数据段中获取数字信封的偏移量m；根据数字信封的偏移量m，通过在http header写入第二字符串以发送第二下载请求，仅下载待统计软件中包含数字信封的数据段，得到待统计软件的数字签名信封数据段。

5、在一些实施例中，根据数字签名信封数据段分析出待统计软件对应的数字证书信息，包括：加载数字信封数据段数据；对数字信封数据段数据进行解码分析，得出数字信封；提取数字信封的未验证属性段中对象标识符为预设对象标识符的数据，获得多重签名数字信封；根据多重签名数字信封统计出待统计软件对应的数字证书信息。

6、在一些实施例中，根据多重签名数字信封统计出待统计软件对应的数字证书信息，多重签名数字信封包括多个数字信封，包括：从多个数字信封中提取签名者信息；根据签名者信息得出数字证书信息。

7、在一些实施例中，签名者信息包括但不限于组织名称、数字证书使用者、证书有效期、证书颁发者信息。

8、在一些实施例中，根据签名者信息得出数字证书信息，包括：将组织名称和现有订单数据库进行比对，得到组织名称比对结果，比对过程采用脱敏处理对组织名称进行sha256散列计算，再进行交叉匹配；通过提取数字证书类型计算不同数字证书类型占比，提取数字证书类型过程通过数字证书使用者中是否包含商业类型值，判断出数字证书类型是否为ev类型，当数字证书类型为ev类型时，通过证书扩展属性中证书策略值是否包含组织信息，判断出数字证书类型是否为ov类型；通过证书有效期计算证书到期时间月度分布；通过证书颁发者信息获取o字段，o字段用于进行证书品牌分析。

9、在一些实施例中，数字证书信息包括但不限于证书版本、序列号、签名算法、颁发者、有效期、主体名、公钥信息、扩展信息、签名。

10、第二方面，本申请实施例提供了一种数字证书统计装置，包括：数据识别模块，用于对待统计软件进行数据定位识别，下载到待统计软件的数字签名信封数据段；统计模块，用于根据数字签名信封数据段分析出待统计软件对应的数字证书信息。第三方面，本申请实施例提供了一种电子设备，包括存储器存储有多条指令；处理器从存储器中加载指令，以执行本申请实施例所提供的任一种数字证书统计方法中的步骤。

11、第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有多条指令，指令适于处理器进行加载，以执行本申请实施例所提供的任一种数字证书统计方法中的步骤。

12、本申请实施例可以先对待统计软件进行数据识别，得到待统计软件的第一数据段；然后对第一数据段进行内存加载，从第一数据段中获取数字签名信封数据段；再根据数字签名信封数据段统计出待统计软件对应的数字证书信息。

13、本发明对于每个软件不管其具体大小，只下载其包含数字证书的数据部分；再对该小规模数据进行内存加载，分析数字信封格式，收集证书信息。本发明可高效得统计出互联网上软件代码签名证书的使用情况，方便ca机构基于该统计数据进行证书颁发等策略调整。

14、本发明可以有效提高数据分析的效率，节省带宽资源。只下载软件中包含数字证书的数据部分，而不是整个软件，可以大幅减少下载时间和带宽消耗。同时，只加载小规模数据部分，而非整个软件，也能够快速进行数字信封格式的分析和证书信息的收集。通过本发明技术方案，可以高效地统计互联网上软件代码签名证书的使用情况，为ca机构进行证书颁发等策略调整提供有力的支持和数据基础。

技术特征：

1.一种数字证书统计方法，其特征在于，包括：

2.如权利要求1所述的数字证书统计方法，其特征在于，所述对待统计软件进行数据定位识别，下载得到所述待统计软件的数字签名信封数据段，包括：

3.如权利要求1或2所述的数字证书统计方法，其特征在于，所述根据所述数字签名信封数据段分析出所述待统计软件对应的数字证书信息，包括：

4.如权利要求3所述的数字证书统计方法，其特征在于，所述根据所述多重签名数字信封统计出所述待统计软件对应的数字证书信息，所述多重签名数字信封包括多个数字信封，包括：

5.如权利要求4所述的数字证书统计方法，其特征在于，所述签名者信息包括但不限于组织名称、数字证书使用者、证书有效期、证书颁发者信息。

6.如权利要求5所述的数字证书统计方法，其特征在于，所述根据所述签名者信息得出数字证书信息，包括：

7.如权利要求1所述的数字证书统计方法，其特征在于，所述数字证书信息包括但不限于证书版本、序列号、签名算法、颁发者、有效期、主体名、公钥信息、扩展信息、签名。

8.一种数字证书统计装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括处理器和存储器，存储器存储有多条指令；处理器从存储器中加载指令，以执行如权利要求1～7任一项所述的数字证书统计方法中的步骤。

10.一种计算机可读存储介质，其特征在于，计算机可读存储介质存储有多条指令，指令适于处理器进行加载，以执行权利要求1～7任一项所述的数字证书统计方法中的步骤。

技术总结
本申请实施例公开了一种数字证书统计方法、装置、电子设备及介质。本申请实施例包括对待统计软件进行数据定位识别，下载得到待统计软件的数字签名信封数据段；根据数字签名信封数据段分析出待统计软件对应的数字证书信息。本发明不仅可以有效提高数据分析的效率，节省带宽资源，而且可以高效地统计互联网上软件代码签名证书的使用情况，为CA机构进行证书颁发等策略调整提供有力的支持和数据基础。

技术研发人员：王占飞,厚建勇,尹嘉豪
受保护的技术使用者：亚数信息科技（上海）有限公司
技术研发日：
技术公布日：2024/1/15