數(shù)字證書跨域互信互認(rèn)方法及系統(tǒng)與流程

本技術(shù)涉及通信安全，具體而言，涉及一種數(shù)字證書跨域互信互認(rèn)方法及系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，數(shù)字證書在網(wǎng)絡(luò)安全與信任保障中的應(yīng)用日益廣泛，成為網(wǎng)絡(luò)信任體系的重要基石。數(shù)字證書通過驗證實體身份，確保網(wǎng)絡(luò)通信的安全性和可靠性。

2、然而目前，每個數(shù)字證書認(rèn)證中心(certificate?authority，ca)僅信任自己簽發(fā)的數(shù)字證書，導(dǎo)致不同ca簽發(fā)的數(shù)字證書無法互信互認(rèn)，限制了數(shù)字證書的廣泛應(yīng)用。并且，用戶需要管理多個不同ca簽發(fā)的數(shù)字證書，增加了管理成本和使用復(fù)雜性。同時，ca也需要面對不同用戶的需求，增加了運營壓力。另外，目前的電子認(rèn)證體系缺乏統(tǒng)一的管理、標(biāo)準(zhǔn)、技術(shù)和應(yīng)用規(guī)范，導(dǎo)致各ca服務(wù)交付內(nèi)容和服務(wù)標(biāo)準(zhǔn)不一致，形成了互相分割、互不關(guān)聯(lián)的信任孤島，資源利用率低下。

技術(shù)實現(xiàn)思路

1、本技術(shù)的目的在于，針對上述現(xiàn)有技術(shù)中的不足，提供一種數(shù)字證書跨域互信互認(rèn)方法及系統(tǒng)，以解決現(xiàn)有技術(shù)中不同ca簽發(fā)的數(shù)字證書無法互信互認(rèn)的問題。

2、為實現(xiàn)上述目的，本技術(shù)采用的技術(shù)方案如下：

3、第一方面，本技術(shù)提供了一種數(shù)字證書跨域互信互認(rèn)方法，方法包括：

4、根據(jù)證書認(rèn)證系統(tǒng)的基本信息和驗證信息注冊所述證書認(rèn)證系統(tǒng)，并生成所述證書認(rèn)證系統(tǒng)的注冊信息，所述基本信息包括根證書鏈信息，所述驗證信息包括crl信息；

5、根據(jù)預(yù)設(shè)接入條件以及所述根證書鏈信息，對注冊后的證書認(rèn)證系統(tǒng)進(jìn)行證書信任鏈檢測，根據(jù)檢測結(jié)果接入所述證書認(rèn)證系統(tǒng)；

6、根據(jù)所述crl信息，生成所述證書認(rèn)證系統(tǒng)的吊銷信息，所述crl信息用于表征對應(yīng)的證書是否被吊銷；

7、基于外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書、所述證書認(rèn)證系統(tǒng)的注冊信息、所述基本信息以及所述驗證信息，對所述目標(biāo)證書進(jìn)行驗證并生成驗證結(jié)果，并將所述目標(biāo)證書的驗證結(jié)果發(fā)送給所述外部系統(tǒng)。

8、可選地，所述根據(jù)預(yù)設(shè)接入條件以及所述根證書鏈信息，對注冊后的證書認(rèn)證系統(tǒng)進(jìn)行證書信任鏈檢測，根據(jù)檢測結(jié)果接入所述證書認(rèn)證系統(tǒng)，包括：

9、根據(jù)預(yù)設(shè)接入條件以及所述根證書鏈信息，對注冊后的證書認(rèn)證系統(tǒng)所簽發(fā)的用戶證書逐級進(jìn)行信任鏈檢測，所述信任鏈檢測至少包括：基本信息一致性檢測、密鑰一致性檢測以及狀態(tài)有效性檢測；

10、若檢測通過，則允許所述證書認(rèn)證系統(tǒng)接入；

11、若檢測不通過，則暫停所述證書認(rèn)證系統(tǒng)接入。

12、可選地，所述根據(jù)所述crl信息，生成所述證書認(rèn)證系統(tǒng)的吊銷信息，所述crl信息用于表征對應(yīng)的證書是否被吊銷，包括：

13、根據(jù)預(yù)設(shè)格式要求，驗證所述證書認(rèn)證系統(tǒng)的crl信息，若符合，則根據(jù)所述證書認(rèn)證系統(tǒng)的crl信息，確定所述證書認(rèn)證系統(tǒng)中各證書是否被吊銷，若否，則所述證書認(rèn)證系統(tǒng)的吊銷信息表示所述證書認(rèn)證系統(tǒng)未被吊銷；

14、若是，則所述證書認(rèn)證系統(tǒng)的吊銷信息表示所述證書認(rèn)證系統(tǒng)被吊銷。

15、可選地，所述基于外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書、所述證書認(rèn)證系統(tǒng)的注冊信息、所述基本信息以及所述驗證信息，對所述目標(biāo)證書進(jìn)行驗證并生成驗證結(jié)果之前，還包括：

16、向所述外部系統(tǒng)發(fā)送第一機(jī)構(gòu)證書，并接收所述外部系統(tǒng)發(fā)送的第二機(jī)構(gòu)證書，所述第一機(jī)構(gòu)證書包括第一數(shù)字簽名和第一公鑰，所述第二機(jī)構(gòu)證書包括第二數(shù)字簽名和第二公鑰；

17、驗證所述第二機(jī)構(gòu)證書中的所述第二數(shù)字簽名是否可信，若是，則接入所述外部系統(tǒng)，并基于所述第一公鑰和所述第二公鑰與所述外部系統(tǒng)進(jìn)行加密通信。

18、可選地，所述基于外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書、所述證書認(rèn)證系統(tǒng)的注冊信息、所述基本信息以及所述驗證信息，對所述目標(biāo)證書進(jìn)行驗證并生成驗證結(jié)果，包括：

19、基于所述外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書以及所述證書認(rèn)證系統(tǒng)的注冊信息，判斷所述目標(biāo)證書是否注冊，若否，則將第一驗證信息發(fā)送到所述外部系統(tǒng)，所述第一驗證信息包括：目標(biāo)證書未注冊；

20、若是，則基于所述目標(biāo)證書以及所述證書認(rèn)證系統(tǒng)的根證書鏈信息，判斷所述目標(biāo)證書是否可信，若否，則將第二驗證信息發(fā)送到所述外部系統(tǒng)，所述第二驗證信息包括：目標(biāo)證書不可信；

21、若是，則基于所述目標(biāo)證書以及所述證書認(rèn)證系統(tǒng)的crl信息，判斷所述目標(biāo)證書是否被吊銷，若是，則將第三驗證信息發(fā)送到所述外部系統(tǒng)，所述第三驗證信息包括：目標(biāo)證書被吊銷；

22、若否，則將第四驗證信息發(fā)送到所述外部系統(tǒng)，所述第四驗證信息包括：驗證通過。

23、可選地，所述基于所述目標(biāo)證書以及所述證書認(rèn)證系統(tǒng)的根證書鏈信息，判斷所述目標(biāo)證書是否可信，包括：

24、基于所述證書認(rèn)證系統(tǒng)的根證書鏈信息，確定所述目標(biāo)證書的根證書；

25、通過所述根證書驗證所述目標(biāo)證書的簽名信息，若簽名信息滿足預(yù)設(shè)要求，則所述目標(biāo)證書可信。

26、可選地，在所述基于所述外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書以及所述證書認(rèn)證系統(tǒng)的注冊信息，判斷所述目標(biāo)證書是否注冊之前，所述方法還包括：

27、判斷所述目標(biāo)證書是否過期以及是否正確，若否，則將第五驗證信息發(fā)送給所述外部系統(tǒng)，所述第五驗證信息包括：目標(biāo)證書過期或不正確。

28、可選地，所述方法還包括：

29、對所述證書認(rèn)證系統(tǒng)的注冊信息、所述吊銷信息以及所述目標(biāo)證書的驗證結(jié)果進(jìn)行監(jiān)管審計，并生成審計日志。

30、可選地，所述方法還包括：

31、當(dāng)所述目標(biāo)證書的驗證結(jié)果指示目標(biāo)證書驗證通過時，對所述目標(biāo)證書進(jìn)行解析，并將所述目標(biāo)證書的解析結(jié)果發(fā)送所述外部系統(tǒng)。

32、第二方面，本技術(shù)提供了一種數(shù)字證書跨域互信互認(rèn)系統(tǒng)，所述系統(tǒng)包括管理模塊及服務(wù)模塊，所述管理模塊包括注冊管理單元、根證書鏈管理單元及crl管理單元，所述服務(wù)模塊包括證書驗證單元；

33、所述注冊管理單元，用于根據(jù)證書認(rèn)證系統(tǒng)的基本信息和驗證信息注冊所述證書認(rèn)證系統(tǒng)，并生成所述證書認(rèn)證系統(tǒng)的注冊信息，所述基本信息包括根證書鏈信息，所述驗證信息包括crl信息；

34、所述根證書鏈管理單元，用于根據(jù)預(yù)設(shè)接入條件以及所述根證書鏈信息，對注冊后的證書認(rèn)證系統(tǒng)進(jìn)行證書信任鏈檢測，根據(jù)檢測結(jié)果接入所述證書認(rèn)證系統(tǒng)；

35、所述crl管理單元，用于根據(jù)所述crl信息，生成所述證書認(rèn)證系統(tǒng)的吊銷信息，所述crl信息用于表征對應(yīng)的證書是否被吊銷；

36、所述證書驗證單元，用于基于外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書、所述證書認(rèn)證系統(tǒng)的注冊信息、所述基本信息以及所述驗證信息，對所述目標(biāo)證書進(jìn)行驗證并生成驗證結(jié)果，并將所述目標(biāo)證書的驗證結(jié)果發(fā)送給所述外部系統(tǒng)。

37、第三方面，本技術(shù)提供了一種電子設(shè)備，包括：處理器、存儲介質(zhì)和總線，所述存儲介質(zhì)存儲有所述處理器可執(zhí)行的機(jī)器可讀指令，當(dāng)電子設(shè)備運行時，所述處理器與所述存儲介質(zhì)之間通過總線通信，所述處理器執(zhí)行所述機(jī)器可讀指令，以執(zhí)行如上述數(shù)字證書跨域互信互認(rèn)方法的步驟。

38、第四方面，本技術(shù)提供了一種計算機(jī)可讀存儲介質(zhì)，所述計算機(jī)可讀存儲介質(zhì)上存儲有計算機(jī)程序，所述計算機(jī)程序被處理器運行時執(zhí)行如上述數(shù)字證書跨域互信互認(rèn)方法的步驟。

39、本技術(shù)的有益效果是：根據(jù)證書認(rèn)證系統(tǒng)的基本信息和驗證信息注冊證書認(rèn)證系統(tǒng)，并生成證書認(rèn)證系統(tǒng)的注冊信息，從而確保證書認(rèn)證系統(tǒng)的合法性及可信度，為后續(xù)證書驗證奠定基礎(chǔ)。然后根據(jù)預(yù)設(shè)接入條件以及根證書鏈信息，對注冊后的證書認(rèn)證系統(tǒng)進(jìn)行證書信任鏈檢測，根據(jù)檢測結(jié)果接入證書認(rèn)證系統(tǒng)，從而驗證證書的有效性，防止中間人攻擊以及數(shù)據(jù)篡改。根據(jù)crl信息，生成證書認(rèn)證系統(tǒng)的吊銷信息，從而標(biāo)記已吊銷證書，降低與證書受損相關(guān)的風(fēng)險。最后，基于外部系統(tǒng)發(fā)送的證書驗證請求中的目標(biāo)證書、證書認(rèn)證系統(tǒng)的注冊信息、基本信息以及驗證信息，對目標(biāo)證書進(jìn)行驗證并生成驗證結(jié)果，并將目標(biāo)證書的驗證結(jié)果發(fā)送給外部系統(tǒng)。本技術(shù)實現(xiàn)多ca去中心化集中管理，具體實現(xiàn)不同ca簽發(fā)的數(shù)字證書互認(rèn)，打破系統(tǒng)間不通、多ca不兼容互認(rèn)等壁壘，實現(xiàn)數(shù)字證書跨地區(qū)、跨廠商、跨交易平臺應(yīng)用的全過程控制，確保跨域互信的安全性和便捷性。