本技術涉及通信安全,具體而言,涉及一種數字證書跨域互信互認方法及系統。
背景技術:
1、隨著互聯網技術的飛速發展,數字證書在網絡安全與信任保障中的應用日益廣泛,成為網絡信任體系的重要基石。數字證書通過驗證實體身份,確保網絡通信的安全性和可靠性。
2、然而目前,每個數字證書認證中心(certificate?authority,ca)僅信任自己簽發的數字證書,導致不同ca簽發的數字證書無法互信互認,限制了數字證書的廣泛應用。并且,用戶需要管理多個不同ca簽發的數字證書,增加了管理成本和使用復雜性。同時,ca也需要面對不同用戶的需求,增加了運營壓力。另外,目前的電子認證體系缺乏統一的管理、標準、技術和應用規范,導致各ca服務交付內容和服務標準不一致,形成了互相分割、互不關聯的信任孤島,資源利用率低下。
技術實現思路
1、本技術的目的在于,針對上述現有技術中的不足,提供一種數字證書跨域互信互認方法及系統,以解決現有技術中不同ca簽發的數字證書無法互信互認的問題。
2、為實現上述目的,本技術采用的技術方案如下:
3、第一方面,本技術提供了一種數字證書跨域互信互認方法,方法包括:
4、根據證書認證系統的基本信息和驗證信息注冊所述證書認證系統,并生成所述證書認證系統的注冊信息,所述基本信息包括根證書鏈信息,所述驗證信息包括crl信息;
5、根據預設接入條件以及所述根證書鏈信息,對注冊后的證書認證系統進行證書信任鏈檢測,根據檢測結果接入所述證書認證系統;
6、根據所述crl信息,生成所述證書認證系統的吊銷信息,所述crl信息用于表征對應的證書是否被吊銷;
7、基于外部系統發送的證書驗證請求中的目標證書、所述證書認證系統的注冊信息、所述基本信息以及所述驗證信息,對所述目標證書進行驗證并生成驗證結果,并將所述目標證書的驗證結果發送給所述外部系統。
8、可選地,所述根據預設接入條件以及所述根證書鏈信息,對注冊后的證書認證系統進行證書信任鏈檢測,根據檢測結果接入所述證書認證系統,包括:
9、根據預設接入條件以及所述根證書鏈信息,對注冊后的證書認證系統所簽發的用戶證書逐級進行信任鏈檢測,所述信任鏈檢測至少包括:基本信息一致性檢測、密鑰一致性檢測以及狀態有效性檢測;
10、若檢測通過,則允許所述證書認證系統接入;
11、若檢測不通過,則暫停所述證書認證系統接入。
12、可選地,所述根據所述crl信息,生成所述證書認證系統的吊銷信息,所述crl信息用于表征對應的證書是否被吊銷,包括:
13、根據預設格式要求,驗證所述證書認證系統的crl信息,若符合,則根據所述證書認證系統的crl信息,確定所述證書認證系統中各證書是否被吊銷,若否,則所述證書認證系統的吊銷信息表示所述證書認證系統未被吊銷;
14、若是,則所述證書認證系統的吊銷信息表示所述證書認證系統被吊銷。
15、可選地,所述基于外部系統發送的證書驗證請求中的目標證書、所述證書認證系統的注冊信息、所述基本信息以及所述驗證信息,對所述目標證書進行驗證并生成驗證結果之前,還包括:
16、向所述外部系統發送第一機構證書,并接收所述外部系統發送的第二機構證書,所述第一機構證書包括第一數字簽名和第一公鑰,所述第二機構證書包括第二數字簽名和第二公鑰;
17、驗證所述第二機構證書中的所述第二數字簽名是否可信,若是,則接入所述外部系統,并基于所述第一公鑰和所述第二公鑰與所述外部系統進行加密通信。
18、可選地,所述基于外部系統發送的證書驗證請求中的目標證書、所述證書認證系統的注冊信息、所述基本信息以及所述驗證信息,對所述目標證書進行驗證并生成驗證結果,包括:
19、基于所述外部系統發送的證書驗證請求中的目標證書以及所述證書認證系統的注冊信息,判斷所述目標證書是否注冊,若否,則將第一驗證信息發送到所述外部系統,所述第一驗證信息包括:目標證書未注冊;
20、若是,則基于所述目標證書以及所述證書認證系統的根證書鏈信息,判斷所述目標證書是否可信,若否,則將第二驗證信息發送到所述外部系統,所述第二驗證信息包括:目標證書不可信;
21、若是,則基于所述目標證書以及所述證書認證系統的crl信息,判斷所述目標證書是否被吊銷,若是,則將第三驗證信息發送到所述外部系統,所述第三驗證信息包括:目標證書被吊銷;
22、若否,則將第四驗證信息發送到所述外部系統,所述第四驗證信息包括:驗證通過。
23、可選地,所述基于所述目標證書以及所述證書認證系統的根證書鏈信息,判斷所述目標證書是否可信,包括:
24、基于所述證書認證系統的根證書鏈信息,確定所述目標證書的根證書;
25、通過所述根證書驗證所述目標證書的簽名信息,若簽名信息滿足預設要求,則所述目標證書可信。
26、可選地,在所述基于所述外部系統發送的證書驗證請求中的目標證書以及所述證書認證系統的注冊信息,判斷所述目標證書是否注冊之前,所述方法還包括:
27、判斷所述目標證書是否過期以及是否正確,若否,則將第五驗證信息發送給所述外部系統,所述第五驗證信息包括:目標證書過期或不正確。
28、可選地,所述方法還包括:
29、對所述證書認證系統的注冊信息、所述吊銷信息以及所述目標證書的驗證結果進行監管審計,并生成審計日志。
30、可選地,所述方法還包括:
31、當所述目標證書的驗證結果指示目標證書驗證通過時,對所述目標證書進行解析,并將所述目標證書的解析結果發送所述外部系統。
32、第二方面,本技術提供了一種數字證書跨域互信互認系統,所述系統包括管理模塊及服務模塊,所述管理模塊包括注冊管理單元、根證書鏈管理單元及crl管理單元,所述服務模塊包括證書驗證單元;
33、所述注冊管理單元,用于根據證書認證系統的基本信息和驗證信息注冊所述證書認證系統,并生成所述證書認證系統的注冊信息,所述基本信息包括根證書鏈信息,所述驗證信息包括crl信息;
34、所述根證書鏈管理單元,用于根據預設接入條件以及所述根證書鏈信息,對注冊后的證書認證系統進行證書信任鏈檢測,根據檢測結果接入所述證書認證系統;
35、所述crl管理單元,用于根據所述crl信息,生成所述證書認證系統的吊銷信息,所述crl信息用于表征對應的證書是否被吊銷;
36、所述證書驗證單元,用于基于外部系統發送的證書驗證請求中的目標證書、所述證書認證系統的注冊信息、所述基本信息以及所述驗證信息,對所述目標證書進行驗證并生成驗證結果,并將所述目標證書的驗證結果發送給所述外部系統。
37、第三方面,本技術提供了一種電子設備,包括:處理器、存儲介質和總線,所述存儲介質存儲有所述處理器可執行的機器可讀指令,當電子設備運行時,所述處理器與所述存儲介質之間通過總線通信,所述處理器執行所述機器可讀指令,以執行如上述數字證書跨域互信互認方法的步驟。
38、第四方面,本技術提供了一種計算機可讀存儲介質,所述計算機可讀存儲介質上存儲有計算機程序,所述計算機程序被處理器運行時執行如上述數字證書跨域互信互認方法的步驟。
39、本技術的有益效果是:根據證書認證系統的基本信息和驗證信息注冊證書認證系統,并生成證書認證系統的注冊信息,從而確保證書認證系統的合法性及可信度,為后續證書驗證奠定基礎。然后根據預設接入條件以及根證書鏈信息,對注冊后的證書認證系統進行證書信任鏈檢測,根據檢測結果接入證書認證系統,從而驗證證書的有效性,防止中間人攻擊以及數據篡改。根據crl信息,生成證書認證系統的吊銷信息,從而標記已吊銷證書,降低與證書受損相關的風險。最后,基于外部系統發送的證書驗證請求中的目標證書、證書認證系統的注冊信息、基本信息以及驗證信息,對目標證書進行驗證并生成驗證結果,并將目標證書的驗證結果發送給外部系統。本技術實現多ca去中心化集中管理,具體實現不同ca簽發的數字證書互認,打破系統間不通、多ca不兼容互認等壁壘,實現數字證書跨地區、跨廠商、跨交易平臺應用的全過程控制,確保跨域互信的安全性和便捷性。