一种数字证书的验证方法、装置、设备和存储介质与流程

1.本发明实施例涉及身份认证技术领域，尤其涉及一种数字证书的验证方法、装置、设备和存储介质。


背景技术：

2.随着移动设备的快速发展，考虑到移动设备通过电磁波传输信息时，通常会存在被干扰拦截或者窃听的情况，使得移动端的信息传输存在很大的篡改风险，因此需要引入数字证书来对所传输的信息进行签名，以防止传输信息的篡改和丢失。
3.目前，由于不同公钥基础设施(public
‑
key infrastructure，pki)为各个移动端签发对应的数字证书时，会采用不同的加解密算法，有些是国际通用的，而有些是国密算法，因此为了保证移动端的信息传输安全，在不同场景下会采用由不同证书中心(certificate authority，ca)为移动端所签发的不同数字证书，来对所传输的信息进行签名。此时，支持对不同ca机构的签发的数字证书进行验证成为亟待解决的问题。


技术实现要素：

4.本发明实施例提供了一种数字证书的验证方法、装置、设备和存储介质，实现不同证书中心间的准确互信，提高数字证书验证的便捷性和准确性，保证信息传输的安全性。
5.第一方面，本发明实施例提供了一种数字证书的验证方法，应用于注册有至少两个证书中心的互信平台中，包括：
6.响应于请求方对待验证方的数字证书的验证请求，确定待互信的证书中心；
7.根据所述待互信的证书中心在所述互信平台注册后形成的信任链数据，构建对应的互信逻辑树，所述互信逻辑树的每一节点为所述信任链数据内包含的证书中心或移动端的标识；
8.按照所述互信逻辑树，验证所述待验证方的数字证书是否可信。
9.第二方面，本发明实施例提供了一种数字证书的验证装置，配置于注册有至少两个证书中心的互信平台中，包括：
10.待互信确定模块，用于响应于请求方对待验证方的数字证书的验证请求，确定待互信的证书中心；
11.互信逻辑构建模块，用于根据所述待互信的证书中心在所述互信平台注册后形成的信任链数据，构建对应的互信逻辑树，所述互信逻辑树的每一节点为所述信任链数据内包含的证书中心或移动端的标识；
12.证书验证模块，用于按照所述互信逻辑树，验证所述待验证方的数字证书是否可信。
13.第三方面，本发明实施例提供了一种电子设备，该电子设备包括：
14.一个或多个处理器；
15.存储装置，用于存储一个或多个程序；
16.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明任意实施例所述的数字证书的验证方法。
17.第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明任意实施例所述的数字证书的验证方法。
18.本发明实施例提供了一种数字证书的验证方法、装置、设备和存储介质，按照请求方对待验证方的数字证书的验证请求，确定待互信的证书中心，然后利用待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树，此时互信逻辑树的每一节点可以为信任链数据内包含的证书中心或移动端的标识，进而采用该互信逻辑树，来验证待验证方的数字证书是否可信，从而实现待互信的不同证书中心间的准确互信，且互信逻辑树直观表示不同证书中心的信任传递情况，无需不断查看待互信的不同证书中心间的信任链，提高数字证书验证的便捷性和准确性；此时，通过对信息传输方的数字证书进行准确验证，进一步保证信息传输的安全性。
附图说明
19.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：
20.图1为本发明实施例一提供的一种数字证书的验证方法的流程图；
21.图2a为本发明实施例二提供的一种数字证书的验证方法的流程图；
22.图2b为本发明实施例二提供的方法中所构建的互信逻辑树的示意图；
23.图3为本发明实施例三提供的一种数字证书的验证装置的结构示意图；
24.图4为本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
25.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
26.实施例一
27.图1为本发明实施例一提供的一种数字证书的验证方法的流程图。本实施例可适用于在信息传输时，对用于传输信息的待验证方的数字证书的真伪性和时效性进行验证的情况中。本实施例提供的一种数字证书的验证方法可以由本发明实施例提供的一种数字证书的验证装置来执行，该装置可以通过软件和/或硬件的方式实现，并集成在执行本方法的电子设备中，该电子设备上配置有预先开发的互信平台，该户型平台内注册有至少两个证书中心(也就是ca机构)。
28.具体的，参考图1，该方法具体包括如下步骤：
29.s110，响应于请求方对待验证方的数字证书的验证请求，确定待互信的证书中心。
30.具体的，为了实现不同证书中心间的相互信任，以支持某一证书中心能够准确验证另一证书中心为信息传输时的发送方所签发的数字证书的真伪性和时效性，本实施例会预先开发一个互信平台，在该互信平台内注册有大量证书中心，同时采用交叉认证的方式实现不同证书中心之间的互信。
31.本实施例中，在信息传输时的发送方向另一终端或服务端传输信息时，为了避免所传输的信息在中途被篡改，可以将该发送方作为本实施例中的待验证方，然后采用待验证方的数字证书来对所传输的信息进行签名，以确保无线设备传输过程中数据的私密性和完整性。具体的，在另一终端或者服务端接收到待验证方传输的信息时，能够解析出待验证方的数字证书，此时通过验证待验证方的数字证书是否真实有效，来判断所接收到的信息是否被篡改。因此，本实施例可以将信息传输的另一方(如接收待验证方传输信息的另一终端或者服务端)作为请求方，向预开发的互信平台发起对待验证方的数字证书的验证请求，由互信平台来验证待验证方的数字证书的真实有效性，以判断待验证方的数字证书是否可信。
32.由于互信平台中会注册有多个证书中心，而为待验证方签发数字证书的证书中心与负责请求方验证证书的证书中心可能不是同一证书中心，使得请求方对应的证书中心无法直接验证待验证方的数字证书是否可信，因此本实施例中，互信平台在接收到请求方发送的对待验证方的数字证书的验证请求后，首先会解析该验证请求，得到待验证方在传输信息时所携带的数字证书，以及负责请求方验证该证书的证书中心的信息，然后解析待验证方的数字证书，得到为待验证方签发该数字证书的证书中心，从而确定待互信的证书中心。例如，互信平台如果接收到请求方对待验证方的数字证书的验证请求，则直接确定查找出用于签发待验证方的数字证书的第一证书中心，以及请求方指向的第二证书中心，然后将第一证书中心和第二证书中心作为待互信的证书中心。
33.需要说明的是，待验证方的数字证书由互信平台内已注册的证书中心签发，而且为了实现待验证方的数字证书的准确验证，负责请求方验证证书的证书中心也已注册到互信平台中，因此本实施例中待互信的证书中心均为互信平台内已注册的证书中心，且互信平台内已注册的不同证书中心间已经通过交叉认证的方式实现对应的互信，以采用信任传递的方式判断待验证方的数字证书是否可信。
34.需要说明的是，本实施例中请求方对待验证方的数字证书进行验证，可以是指待验证方主动向请求方发送请求，来验证待验证方的数字证书是否可信，还可以为请求方在本地设备(如移动端或者电脑端)上登录本实施例中的互信平台，然后主动验证待验证方的数字证书是否可信。本实施例对待验证方的数字证书的具体验证场景不作限定。
35.s120，根据待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树。
36.可选的，由于在互信平台内注册各个证书中心时，对于每次注册的证书中心，都会与已注册的证书中心建立对应的交叉认证，以实现不同证书中心间的信任传递，也就是从已注册的全部证书中心中筛选出某一个或者几个的特定证书中心，然后利用特定证书中心的私钥为本次注册的证书中心签发对应的数字证书，使得信任特定证书中心的设备也能够信任本次注册的证书中心，此时通过分析每次注册的证书中心注册时证书的信任传递过程，会记录对应的信任链数据，该信任链数据用于表示任一证书中心在互信平台注册后，该证书中心采用交叉认证方式在不同证书中心间进行的信任传递过程，例如互信平台上已注册有证书中心a、b、c和d，a作为首个注册到互信平台的证书中心，会为b和c签发对应的数字证书，表示a信任b和c，然后c为d签发对应的数字证书，表示c信任d，此时通过分析d的信任传递过程，可以得到d的信任链数据为a
‑
c
‑
d，此时只要确定a可信，即可b、c和d均可信。
37.以互信平台注册一个新的证书中心为例，互信平台首先会接收到新的证书中心的注册请求，响应于新的证书中心的注册请求，会建立新的证书中心与已注册的证书中心间的交叉认证，并生成新的证书中心的信任链数据。也就是说，对于新的证书中心，首先从已注册的证书中心中筛选出某一个或几个特定证书中心，由该特定证书中心来为新的证书中心签发对应的数字证书，以建立新的证书中心与各特定证书中心间的交叉认证，从而实现从已注册的证书中心到新的证书中心上的信任传递，进而在为新的证书中心签发数字证书的各个特定证书中心的信任链数据上添加上新的证书中心，从而生成新的证书中心的信任链数据。
38.需要说明的是，本实施例中互信平台在注册新的证书中心时，可以随机筛选用于为新的证书中心签发数字证书的特定证书中心，也可以按照注册顺序，通过已注册的证书中心中最新注册的证书中心来为新的证书中心签发对应的数字证书，本实施例对于已注册的证书中心间的信任传递顺序不作限定。
39.本实施例中，在确定出待互信的证书中心后，可以解析查看待互信的证书中心自身的证书签发情况，查找出待互信的各个证书中心在互信平台注册后生成的信任链数据，例如互信平台上已注册有证书中心a、b、c和d，a作为首个注册到互信平台的证书中心，会为b和c签发对应的数字证书，表示a信任b和c，然后c为d签发对应的数字证书，表示c信任d，如果b负责请求方的证书管理，d为待验证方签发对应的数字证书，那么待互信的证书中心为b和d，此时b的信任链数据为a
‑
b
‑
请求方，d的信任链数据为a
‑
c
‑
d
‑
待验证方。然后，通过分析待互信的各个证书中心的信任链数据内包含的证书中心以及信任传递过程，即可构建出对应的互信逻辑树，此时该互信逻辑树的每一节点可以为待互信的证书中心的信任链数据内包含的证书中心或移动端的标识，以便后续按照互信逻辑树中表示的待互信的证书中心之间的信任传递过程，来判断待验证方的数字证书是否可信。
40.s130，按照互信逻辑树，验证待验证方的数字证书是否可信。
41.具体的，互信逻辑树会表示待互信的证书中心之间的信任传递过程，因此可以从待验证方开始，首先验证待验证方是否可信，在待验证方可信时，继续验证为该待验证方签发数字证书的证书中心是否可信，若可信则继续验证为该证书中心签发数字证书的另一证书中心是否可信，依次循环，直至验证负责请求方证书管理的证书中心是否可信，若确定负责请求方证书管理的证书中心可信，则可以确定对于请求方而言，待验证方的数字证书可信，从而实现数字证书的准确验证，进而通过对数字证书进行准确验证，进一步保证信息传输的安全性。
42.需要说明的是，本实施例中待验证方的数字证书可以为移动端证书，本实施例中主要对移动端证书的验证方式进行说明。
43.本实施例提供的技术方案，按照请求方对待验证方的数字证书的验证请求，确定待互信的证书中心，然后利用待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树，此时互信逻辑树的每一节点可以为信任链数据内包含的证书中心或移动端的标识，进而采用该互信逻辑树，来验证待验证方的数字证书是否可信，从而实现待互信的不同证书中心间的准确互信，且互信逻辑树直观表示不同证书中心的信任传递情况，无需不断查看待互信的不同证书中心间的信任链，提高数字证书验证的便捷性和准确性；此时，通过对数字证书进行准确验证，进一步保证信息传输的安全性。
44.实施例二
45.图2a为本发明实施例二提供的一种数字证书的验证方法的流程图。本发明实施例是在上述实施例的基础上进行优化。可选的，本实施例中待验证方的数字证书可以为移动端证书，本实施例主要对于为待验证方所采用的移动端签发数字证书的具体过程以及待验证方的数字证书的具体验证过程进行详细的解释说明。
46.具体的，参见图2a，本实施例的方法具体可以包括：
47.s210，响应于待验证方的数字证书的申请指令，确定待验证方选中的用于同步签发数字证书的目标证书中心。
48.可选的，待验证方在向互信平台申请数字证书时，会发送对应的申请指令，此时互信平台支持待验证方面向已注册的多个证书中心分别申请对应的数字证书，也就是互信平台设置有一键同步申请多个证书中心所签发数字证书的功能。在本实施例中，互信平台响应于待验证方的数字证书的申请指令，首先会解析该申请指令，从而确定待验证方选中的用于为待验证方同步签发数字证书的各个目标证书中心，以便后续利用每一目标证书中心在互信平台注册后的信任链数据同步为该待验证方分别签发对应的数字证书。
49.s220，利用每一目标证书中心在互信平台注册后形成的信任链数据和待验证方所在移动端的设备标识码，为待验证方同步签发对应的数字证书。
50.可选的，在确定出待验证方选中的用于为待验证方同步签发数字证书的各个目标证书中心后，可以直接查找出每一目标证书中心在互信平台注册后生成的信任链数据，并且通过分析待验证方所在移动端的硬件设备信息，确定待验证方的设备标识码，该设备标识码用于表示待验证方采用移动端的设备唯一性。然后，利用每一目标证书中心的信任链数据，可以为待验证方的设备标识码同步签发对应的数字证书，实现面向多个证书中心的同步证书签发。
51.需要说明的是，考虑到待验证方采用的移动端可能会被仿制，而导致不同待验证方的设备标识码出现重复，使得证书中心无法区分证书签发的对象，造成数字证书所表示的待验证方所适用的移动端不唯一的问题，因此本实施例为了保证待验证方使用移动端的唯一性，在确定待验证方选中的用于同步签发数字证书的目标证书中心时，还会根据待验证方所在移动端的硬件信息，设置设备标识码中已划分的机器位，并采用随机算法生成设备标识码中已划分的序列号。
52.也就是说，首先以划分命名空间的方式将表示待验证方的设备标识码的64bit位划分成多个部分，划分方式如下：
53.第1位占用1bit，其值始终是0，可作为符号位不使用。
54.第2位到第42位占用41bit，可作为时间戳位，此时41bit位可以表示2^41个数，表示毫秒，那么可用的时间年限是(1l<<41)/(1000l360024*365)＝69年的时间。
55.第43位到第52位占用的10bit位可表示机器位，即2^10＝1024台机器，其中10bit位中的前4位可表示机器标识映射，后6位可表示机器的工作域，以对不同机型和地域的移动端进行分片，减少移动端的设备标识码重复的概率。
56.最后12bit位可作为移动端的序列号，可表示2^12＝4096个数。
57.然后，通过读取待验证方使用移动端的硬件信息，判断待验证方的时间戳、机器编号以及工作地域，从而设置上述为待验证方的设备标识码中已划分的各个bit位中的时间
戳位和机器位；而且，考虑到使用移动端的数量较多，因此本实施例中可以采用随机算法来生成待验证方的设备标识码中已划分的序列号，而不会采用递增模式的序列号，从而并发为多个移动端生成对应的设备标识码，提高设备标识码的生成效率。
58.s230，响应于请求方对待验证方的数字证书验证请求，确定待互信的证书中心。
59.s240，根据待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树。
60.s250，基于互信逻辑树，确定请求方和待验证方的公开证书中心。
61.可选的，为了提高数字证书验证的高效性，本实施例在构建出对应的互信逻辑树后，可以直观查找出与请求方和待验证方对应的证书中心均建立信任传递关系的公开证书中心。例如，互信平台上已注册有证书中心a、b、c和d，a作为首个注册到互信平台的证书中心，会为b和c签发对应的数字证书，表示a信任b和c，然后c为d签发对应的数字证书，表示c信任d，如果b负责请求方的证书管理，d为待验证方签发对应的数字证书，可以构建出如图2b所示的互信逻辑树，此时可以确定请求方和待验证方的公开证书中心为a。
62.s260，验证公开证书中心是否可信，并将公开证书中心的可信结果作为待验证方的数字证书的可信结果。
63.可选的，由于负责请求方证书管理的证书中心与公开证书中心已经通过不同证书中心间的交叉认证方式建立对应的信任传递关系，也就是说负责请求方证书管理的证书中心信任公开证书中心，因此为了提高数字证书的验证高效性，本实施例可以从待验证方开始，首先验证待验证方是否可信，在待验证方可信时，继续验证为该待验证方签发数字证书的证书中心是否可信，若可信则继续验证为该证书中心签发数字证书的另一证书中心是否可信，依次循环，直至验证公开证书中心是否可信。由于请求方信任公开证书中心，因此若确定公开证书中心可信，则可以直接确定对于请求方而言，待验证方的数字证书可信，从而实现数字证书的准确验证。在上述循环验证过程中，若任一证书中心不可信，都可以确定待验证方的数字证书不可信。
64.本实施例提供的技术方案，按照请求方对待验证方的数字证书的验证请求，确定待互信的证书中心，然后利用待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树，此时互信逻辑树的每一节点可以为信任链数据内包含的证书中心或移动端的标识，进而采用该互信逻辑树，来验证待验证方的数字证书是否可信，从而实现待互信的不同证书中心间的准确互信，且互信逻辑树直观表示不同证书中心的信任传递情况，无需不断查看待互信的不同证书中心间的信任链，提高移动端证书验证的便捷性和准确性；此时，通过对移动端证书进行准确验证，进一步保证移动端信息传输的安全性。
65.实施例三
66.图3为本发明实施例三提供的一种数字证书的验证装置的结构示意图，配置于注册有至少两个证书中心的互信平台中，如图3所示，该装置可以包括：
67.待互信确定模块310，用于响应于请求方对待验证方的数字证书的验证请求，确定待互信的证书中心；
68.互信逻辑构建模块320，用于根据所述待互信的证书中心在所述互信平台注册后形成的信任链数据，构建对应的互信逻辑树，所述互信逻辑树的每一节点为所述信任链数据内包含的证书中心或移动端的标识；
69.证书验证模块330，用于按照所述互信逻辑树，验证所述待验证方的数字证书是否可信。
70.本实施例提供的技术方案，按照请求方对待验证方的数字证书的验证请求，确定待互信的证书中心，然后利用待互信的证书中心在互信平台注册后形成的信任链数据，构建对应的互信逻辑树，此时互信逻辑树的每一节点可以为信任链数据内包含的证书中心或移动端的标识，进而采用该互信逻辑树，来验证待验证方的数字证书是否可信，从而实现待互信的不同证书中心间的准确互信，且互信逻辑树直观表示不同证书中心的信任传递情况，无需不断查看待互信的不同证书中心间的信任链，提高数字证书验证的便捷性和准确性；此时，通过对数字证书进行准确验证，进一步保证信息传输的安全性。
71.进一步的，上述证书验证模块330，可以具体用于：
72.基于所述互信逻辑树，确定所述请求方和所述待验证方的公开证书中心；
73.验证所述公开证书中心是否可信，并将所述公开证书中心的可信结果作为所述待验证方的数字证书的可信结果。
74.进一步的，上述待互信确定模块310，可以具体用于：
75.如果接收到请求方对待验证方的数字证书的验证请求，则将用于签发所述待验证方的数字证书的第一证书中心以及所述请求方指向的第二证书中心，作为所述待互信的证书中心。
76.进一步的，上述待验证方的数字证书可以为移动端证书，上述数字证书的验证装置，还可以包括：
77.证书申请模块，用于响应于所述待验证方的数字证书的申请指令，确定所述待验证方选中的用于同步签发数字证书的目标证书中心；
78.证书签发模块，用于利用每一所述目标证书中心在所述互信平台注册后形成的信任链数据和所述待验证方所在移动端的设备标识码，为所述待验证方同步签发对应的数字证书。
79.进一步的，上述数字证书的验证装置，还可以包括：
80.设备标识生成模块，用于根据所述待验证方所在移动端的硬件信息，设置所述设备标识码中已划分的机器位，并采用随机算法生成所述设备标识码中已划分的序列号。
81.进一步的，上述数字证书的验证装置，还可以包括：
82.证书中心注册模块，用于响应于新的证书中心的注册请求，建立所述新的证书中心与已注册的证书中心间的交叉认证，并生成所述新的证书中心的信任链数据。
83.本实施例提供的一种数字证书的验证装置可适用于上述任意实施例提供的数字证书的验证方法，具备相应的功能和有益效果。
84.实施例四
85.图4为本发明实施例四提供的一种电子设备的结构示意图。如图4所示，该电子设备包括处理器40、存储装置41和通信装置42；电子设备中处理器40的数量可以是一个或多个，图4中以一个处理器40为例；电子设备的处理器40、存储装置41和通信装置42可以通过总线或其他方式连接，图4中以通过总线连接为例。
86.存储装置41作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的数字证书的验证方法对应的模块(例如，数字证书的验
证装置中的待互信确定模块310、互信逻辑构建模块320和证书验证模块330)。处理器40通过运行存储在存储装置41中的软件程序、指令以及模块，从而执行电子设备的各种功能应用以及数据处理，即实现上述的数字证书的验证方法。
87.存储装置41可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储装置41可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置41可进一步包括相对于多功能控制器40远程设置的存储器，这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
88.通信装置42可用于实现设备间的网络连接或者移动数据连接。
89.本实施例提供的一种电子设备可用于执行上述任意实施例提供的数字证书的验证方法，具备相应的功能和有益效果。
90.实施例五
91.本发明实施例五还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时可实现上述任意实施例中的数字证书的验证方法。
92.该方法具体包括：
93.响应于请求方对待验证方的数字证书的验证请求，确定待互信的证书中心；
94.根据所述待互信的证书中心在所述互信平台注册后形成的信任链数据，构建对应的互信逻辑树，所述互信逻辑树的每一节点为所述信任链数据内包含的证书中心或移动端的标识；
95.按照所述互信逻辑树，验证所述待验证方的数字证书是否可信。
96.通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read
‑
only memory,rom)、随机存取存储器(random access memory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
97.值得注意的是，上述数字证书的验证装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
98.以上所述仅为本发明的优选实施例，并不用于限制本发明，对于本领域技术人员而言，本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。