本技術(shù)涉及通信安全�����,具體而言�,涉及一種數(shù)字證書(shū)跨域互信互認(rèn)方法及系統(tǒng)�。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展�����,數(shù)字證書(shū)在網(wǎng)絡(luò)安全與信任保障中的應(yīng)用日益廣泛,成為網(wǎng)絡(luò)信任體系的重要基石�。數(shù)字證書(shū)通過(guò)驗(yàn)證實(shí)體身份,確保網(wǎng)絡(luò)通信的安全性和可靠性����。
2、然而目前���,每個(gè)數(shù)字證書(shū)認(rèn)證中心(certificate?authority,ca)僅信任自己簽發(fā)的數(shù)字證書(shū)�����,導(dǎo)致不同ca簽發(fā)的數(shù)字證書(shū)無(wú)法互信互認(rèn)��,限制了數(shù)字證書(shū)的廣泛應(yīng)用�����。并且���,用戶需要管理多個(gè)不同ca簽發(fā)的數(shù)字證書(shū)����,增加了管理成本和使用復(fù)雜性。同時(shí)��,ca也需要面對(duì)不同用戶的需求��,增加了運(yùn)營(yíng)壓力�。另外,目前的電子認(rèn)證體系缺乏統(tǒng)一的管理�、標(biāo)準(zhǔn)、技術(shù)和應(yīng)用規(guī)范�����,導(dǎo)致各ca服務(wù)交付內(nèi)容和服務(wù)標(biāo)準(zhǔn)不一致��,形成了互相分割��、互不關(guān)聯(lián)的信任孤島���,資源利用率低下���。
技術(shù)實(shí)現(xiàn)思路
1、本技術(shù)的目的在于�,針對(duì)上述現(xiàn)有技術(shù)中的不足,提供一種數(shù)字證書(shū)跨域互信互認(rèn)方法及系統(tǒng),以解決現(xiàn)有技術(shù)中不同ca簽發(fā)的數(shù)字證書(shū)無(wú)法互信互認(rèn)的問(wèn)題�����。
2��、為實(shí)現(xiàn)上述目的����,本技術(shù)采用的技術(shù)方案如下:
3、第一方面����,本技術(shù)提供了一種數(shù)字證書(shū)跨域互信互認(rèn)方法,方法包括:
4�、根據(jù)證書(shū)認(rèn)證系統(tǒng)的基本信息和驗(yàn)證信息注冊(cè)所述證書(shū)認(rèn)證系統(tǒng)��,并生成所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息����,所述基本信息包括根證書(shū)鏈信息,所述驗(yàn)證信息包括crl信息��;
5����、根據(jù)預(yù)設(shè)接入條件以及所述根證書(shū)鏈信息��,對(duì)注冊(cè)后的證書(shū)認(rèn)證系統(tǒng)進(jìn)行證書(shū)信任鏈檢測(cè)���,根據(jù)檢測(cè)結(jié)果接入所述證書(shū)認(rèn)證系統(tǒng);
6�、根據(jù)所述crl信息,生成所述證書(shū)認(rèn)證系統(tǒng)的吊銷信息����,所述crl信息用于表征對(duì)應(yīng)的證書(shū)是否被吊銷;
7�����、基于外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)���、所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息����、所述基本信息以及所述驗(yàn)證信息���,對(duì)所述目標(biāo)證書(shū)進(jìn)行驗(yàn)證并生成驗(yàn)證結(jié)果���,并將所述目標(biāo)證書(shū)的驗(yàn)證結(jié)果發(fā)送給所述外部系統(tǒng)��。
8���、可選地,所述根據(jù)預(yù)設(shè)接入條件以及所述根證書(shū)鏈信息�����,對(duì)注冊(cè)后的證書(shū)認(rèn)證系統(tǒng)進(jìn)行證書(shū)信任鏈檢測(cè)����,根據(jù)檢測(cè)結(jié)果接入所述證書(shū)認(rèn)證系統(tǒng),包括:
9���、根據(jù)預(yù)設(shè)接入條件以及所述根證書(shū)鏈信息�,對(duì)注冊(cè)后的證書(shū)認(rèn)證系統(tǒng)所簽發(fā)的用戶證書(shū)逐級(jí)進(jìn)行信任鏈檢測(cè)�,所述信任鏈檢測(cè)至少包括:基本信息一致性檢測(cè)��、密鑰一致性檢測(cè)以及狀態(tài)有效性檢測(cè)���;
10�、若檢測(cè)通過(guò),則允許所述證書(shū)認(rèn)證系統(tǒng)接入�����;
11����、若檢測(cè)不通過(guò),則暫停所述證書(shū)認(rèn)證系統(tǒng)接入�。
12、可選地�,所述根據(jù)所述crl信息,生成所述證書(shū)認(rèn)證系統(tǒng)的吊銷信息�����,所述crl信息用于表征對(duì)應(yīng)的證書(shū)是否被吊銷�,包括:
13、根據(jù)預(yù)設(shè)格式要求��,驗(yàn)證所述證書(shū)認(rèn)證系統(tǒng)的crl信息���,若符合�,則根據(jù)所述證書(shū)認(rèn)證系統(tǒng)的crl信息�����,確定所述證書(shū)認(rèn)證系統(tǒng)中各證書(shū)是否被吊銷,若否��,則所述證書(shū)認(rèn)證系統(tǒng)的吊銷信息表示所述證書(shū)認(rèn)證系統(tǒng)未被吊銷���;
14�、若是���,則所述證書(shū)認(rèn)證系統(tǒng)的吊銷信息表示所述證書(shū)認(rèn)證系統(tǒng)被吊銷���。
15、可選地�,所述基于外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)、所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息�、所述基本信息以及所述驗(yàn)證信息,對(duì)所述目標(biāo)證書(shū)進(jìn)行驗(yàn)證并生成驗(yàn)證結(jié)果之前����,還包括:
16、向所述外部系統(tǒng)發(fā)送第一機(jī)構(gòu)證書(shū)���,并接收所述外部系統(tǒng)發(fā)送的第二機(jī)構(gòu)證書(shū)�����,所述第一機(jī)構(gòu)證書(shū)包括第一數(shù)字簽名和第一公鑰�,所述第二機(jī)構(gòu)證書(shū)包括第二數(shù)字簽名和第二公鑰�����;
17�����、驗(yàn)證所述第二機(jī)構(gòu)證書(shū)中的所述第二數(shù)字簽名是否可信���,若是����,則接入所述外部系統(tǒng)����,并基于所述第一公鑰和所述第二公鑰與所述外部系統(tǒng)進(jìn)行加密通信。
18����、可選地����,所述基于外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)����、所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息、所述基本信息以及所述驗(yàn)證信息�����,對(duì)所述目標(biāo)證書(shū)進(jìn)行驗(yàn)證并生成驗(yàn)證結(jié)果���,包括:
19��、基于所述外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)以及所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息��,判斷所述目標(biāo)證書(shū)是否注冊(cè)�����,若否�����,則將第一驗(yàn)證信息發(fā)送到所述外部系統(tǒng)�����,所述第一驗(yàn)證信息包括:目標(biāo)證書(shū)未注冊(cè)���;
20、若是�����,則基于所述目標(biāo)證書(shū)以及所述證書(shū)認(rèn)證系統(tǒng)的根證書(shū)鏈信息�,判斷所述目標(biāo)證書(shū)是否可信,若否����,則將第二驗(yàn)證信息發(fā)送到所述外部系統(tǒng),所述第二驗(yàn)證信息包括:目標(biāo)證書(shū)不可信���;
21�、若是���,則基于所述目標(biāo)證書(shū)以及所述證書(shū)認(rèn)證系統(tǒng)的crl信息�����,判斷所述目標(biāo)證書(shū)是否被吊銷����,若是,則將第三驗(yàn)證信息發(fā)送到所述外部系統(tǒng)�,所述第三驗(yàn)證信息包括:目標(biāo)證書(shū)被吊銷;
22����、若否,則將第四驗(yàn)證信息發(fā)送到所述外部系統(tǒng)�����,所述第四驗(yàn)證信息包括:驗(yàn)證通過(guò)����。
23、可選地���,所述基于所述目標(biāo)證書(shū)以及所述證書(shū)認(rèn)證系統(tǒng)的根證書(shū)鏈信息����,判斷所述目標(biāo)證書(shū)是否可信,包括:
24����、基于所述證書(shū)認(rèn)證系統(tǒng)的根證書(shū)鏈信息,確定所述目標(biāo)證書(shū)的根證書(shū)����;
25����、通過(guò)所述根證書(shū)驗(yàn)證所述目標(biāo)證書(shū)的簽名信息,若簽名信息滿足預(yù)設(shè)要求����,則所述目標(biāo)證書(shū)可信。
26���、可選地����,在所述基于所述外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)以及所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息�����,判斷所述目標(biāo)證書(shū)是否注冊(cè)之前,所述方法還包括:
27���、判斷所述目標(biāo)證書(shū)是否過(guò)期以及是否正確����,若否�����,則將第五驗(yàn)證信息發(fā)送給所述外部系統(tǒng)�,所述第五驗(yàn)證信息包括:目標(biāo)證書(shū)過(guò)期或不正確。
28�、可選地,所述方法還包括:
29��、對(duì)所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息��、所述吊銷信息以及所述目標(biāo)證書(shū)的驗(yàn)證結(jié)果進(jìn)行監(jiān)管審計(jì)���,并生成審計(jì)日志�����。
30��、可選地�����,所述方法還包括:
31���、當(dāng)所述目標(biāo)證書(shū)的驗(yàn)證結(jié)果指示目標(biāo)證書(shū)驗(yàn)證通過(guò)時(shí)���,對(duì)所述目標(biāo)證書(shū)進(jìn)行解析,并將所述目標(biāo)證書(shū)的解析結(jié)果發(fā)送所述外部系統(tǒng)��。
32�����、第二方面�����,本技術(shù)提供了一種數(shù)字證書(shū)跨域互信互認(rèn)系統(tǒng)�,所述系統(tǒng)包括管理模塊及服務(wù)模塊�����,所述管理模塊包括注冊(cè)管理單元、根證書(shū)鏈管理單元及crl管理單元�����,所述服務(wù)模塊包括證書(shū)驗(yàn)證單元�;
33、所述注冊(cè)管理單元�,用于根據(jù)證書(shū)認(rèn)證系統(tǒng)的基本信息和驗(yàn)證信息注冊(cè)所述證書(shū)認(rèn)證系統(tǒng),并生成所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息�����,所述基本信息包括根證書(shū)鏈信息��,所述驗(yàn)證信息包括crl信息�;
34、所述根證書(shū)鏈管理單元�,用于根據(jù)預(yù)設(shè)接入條件以及所述根證書(shū)鏈信息,對(duì)注冊(cè)后的證書(shū)認(rèn)證系統(tǒng)進(jìn)行證書(shū)信任鏈檢測(cè)���,根據(jù)檢測(cè)結(jié)果接入所述證書(shū)認(rèn)證系統(tǒng)�����;
35����、所述crl管理單元,用于根據(jù)所述crl信息�,生成所述證書(shū)認(rèn)證系統(tǒng)的吊銷信息,所述crl信息用于表征對(duì)應(yīng)的證書(shū)是否被吊銷��;
36�、所述證書(shū)驗(yàn)證單元,用于基于外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)�、所述證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息、所述基本信息以及所述驗(yàn)證信息��,對(duì)所述目標(biāo)證書(shū)進(jìn)行驗(yàn)證并生成驗(yàn)證結(jié)果�,并將所述目標(biāo)證書(shū)的驗(yàn)證結(jié)果發(fā)送給所述外部系統(tǒng)。
37���、第三方面,本技術(shù)提供了一種電子設(shè)備��,包括:處理器��、存儲(chǔ)介質(zhì)和總線��,所述存儲(chǔ)介質(zhì)存儲(chǔ)有所述處理器可執(zhí)行的機(jī)器可讀指令���,當(dāng)電子設(shè)備運(yùn)行時(shí)����,所述處理器與所述存儲(chǔ)介質(zhì)之間通過(guò)總線通信,所述處理器執(zhí)行所述機(jī)器可讀指令����,以執(zhí)行如上述數(shù)字證書(shū)跨域互信互認(rèn)方法的步驟。
38����、第四方面,本技術(shù)提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�����,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序��,所述計(jì)算機(jī)程序被處理器運(yùn)行時(shí)執(zhí)行如上述數(shù)字證書(shū)跨域互信互認(rèn)方法的步驟��。
39��、本技術(shù)的有益效果是:根據(jù)證書(shū)認(rèn)證系統(tǒng)的基本信息和驗(yàn)證信息注冊(cè)證書(shū)認(rèn)證系統(tǒng)����,并生成證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息�����,從而確保證書(shū)認(rèn)證系統(tǒng)的合法性及可信度��,為后續(xù)證書(shū)驗(yàn)證奠定基礎(chǔ)���。然后根據(jù)預(yù)設(shè)接入條件以及根證書(shū)鏈信息,對(duì)注冊(cè)后的證書(shū)認(rèn)證系統(tǒng)進(jìn)行證書(shū)信任鏈檢測(cè)�����,根據(jù)檢測(cè)結(jié)果接入證書(shū)認(rèn)證系統(tǒng)��,從而驗(yàn)證證書(shū)的有效性��,防止中間人攻擊以及數(shù)據(jù)篡改����。根據(jù)crl信息����,生成證書(shū)認(rèn)證系統(tǒng)的吊銷信息,從而標(biāo)記已吊銷證書(shū)�����,降低與證書(shū)受損相關(guān)的風(fēng)險(xiǎn)。最后��,基于外部系統(tǒng)發(fā)送的證書(shū)驗(yàn)證請(qǐng)求中的目標(biāo)證書(shū)��、證書(shū)認(rèn)證系統(tǒng)的注冊(cè)信息�、基本信息以及驗(yàn)證信息,對(duì)目標(biāo)證書(shū)進(jìn)行驗(yàn)證并生成驗(yàn)證結(jié)果����,并將目標(biāo)證書(shū)的驗(yàn)證結(jié)果發(fā)送給外部系統(tǒng)。本技術(shù)實(shí)現(xiàn)多ca去中心化集中管理��,具體實(shí)現(xiàn)不同ca簽發(fā)的數(shù)字證書(shū)互認(rèn)����,打破系統(tǒng)間不通、多ca不兼容互認(rèn)等壁壘�,實(shí)現(xiàn)數(shù)字證書(shū)跨地區(qū)、跨廠商���、跨交易平臺(tái)應(yīng)用的全過(guò)程控制�,確保跨域互信的安全性和便捷性�����。