本申请提供了一种证书查询方法,该方法包括:当获取到目标客户端的证书信息时,可以生成携带该证书信息的OCSP查询报文;然后,将OCSP查询报文发送给至少一个查询服务器,以便查询服务器基于接收的OCSP查询报文进行OCSP查询,并生成携带目标客户端的证书状态的响应报文;最后,基于一个或多个查询服务器返回的响应报文,确定目标客户端的证书状态。可见,本申请采用OCSP查询方式,实时查询客户端的证书状态,查询结果更准确,降低了安全隐患。本申请还提供了一种证书查询装置、设备及计算机可读存储介质。
【技术实现步骤摘要】
证书查询方法、装置、设备及计算机可读存储介质
本申请涉及通信
,特别涉及一种证书查询方法、装置、设备及计算机可读存储介质。
技术介绍
在一些安全性要求比较高的应用(比如互联网支付业务)中,服务器需要校验客户端的证书,以确认客户端是否有效,参见图1所示的证书校验示意图,该证书校验工作可以由后端服务器前置的反向代理服务器实现。对于需要校验客户端证书的场景,主要是通过基于证书吊销列表(CertificateRevocationList,简称CRL)的校验方式来实现。参见图2所示的实现证书校验的网络架构示意图,其工作原理为:反向代理服务器需预先存储各个(CertificateAuthority,简称CA)机构发布的CRL吊销列表,或者定期从CA站点下载更新CRL吊销列表,作为检查证书状态的一个依据。基于此,当客户端发起连接请求时,首先进行安全套接字协议(SecureSocketsLayer,简称SSL)/安全传输层协议(TransportLayerSecurity,简称TLS)握手,在此过程中,反向代理服务器要向客户端发送证书请求,客户端收到证书请求后,向反向代理服务器发送客户端证书。在反向代理服务器接收到客户端证书后,从客户端证书中解析出证书序列号,并查找CRL吊销列表。如果在CRL吊销列表中查到该证书序列号,则拒绝客户端请求,连接终止;反之,如果没有查到该证书序列号,则校验通过,继续进行后续处理。但是,在上述证书校验过程中,反向代理服务器使用的CRL数量可能会非常庞大,做不到实时更新,使得CRL数据可能不准确,然而,当CRL数据不准确时,可能会带来客户端证书校验的疏漏,从而导致证书状态查询结果的不准确,存在安全隐患。
技术实现思路
有鉴于此,本申请提供了一种证书查询方法、装置、设备及计算机可读存储介质,提高了证书状态查询结果的准确性。具体地,本申请是通过如下技术方案实现的:一种证书查询方法,所述方法应用于一种网络设备,所述方法包括:获取目标客户端的证书信息;生成携带所述证书信息的在线证书状态协议OCSP查询报文;将所述OCSP查询报文发送给至少一个查询服务器,其中,所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态,并生成携带所述证书状态的响应报文;根据至少一个查询服务器返回的响应报文,确定所述目标客户端的证书状态。一种证书查询装置,所述装置应用于一种网络设备,所述装置包括:证书获取单元,用于获取目标客户端的证书信息;报文生成单元,用于生成携带所述证书信息的在线证书状态协议OCSP查询报文;证书查询单元,用于将所述OCSP查询报文发送给至少一个查询服务器,其中,所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态,并生成携带所述证书状态的响应报文;证书确定单元,用于根据至少一个查询服务器返回的响应报文,确定所述目标客户端的证书状态。一种电子设备,包括:处理器、存储器;所述存储器,用于存储计算机程序;所述处理器,用于通过调用所述计算机程序,执行上述证书查询方法。一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述证书查询方法。在以上本申请提供的技术方案中,当获取到目标客户端的证书信息时,可以生成携带该证书信息的OCSP查询报文;然后,将OCSP查询报文发送给至少一个查询服务器,以便查询服务器基于接收的OCSP查询报文进行OCSP查询,并生成携带目标客户端的证书状态的响应报文;最后,基于一个或多个查询服务器返回的响应报文,确定目标客户端的证书状态。可见,本申请采用OCSP查询方式,实时查询客户端的证书状态,查询结果更准确,降低了安全隐患。附图说明图1为本申请示出的证书校验示意图;图2为本申请示出的实现证书校验的网络架构示意图;图3为本申请示出的一种证书查询方法的流程示意图;图4为本申请示出的网络设备的组成示意图;图5为本申请示出的一种证书查询装置的组成示意图;图6为本申请示出的一种电子设备的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在介绍本申请实施例之前,首先对本申请实施例涉及的技术术语进行介绍。HTTPS:全称是HyperTextTransferProtocoloverSecureSocketLayer。HTTPS是以安全为目标的超文本传输协议(HypertextTransferProtocol,简称HTTP)通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。TLS:安全传输层协议(TransportLayerSecurity,简称TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议(TLSRecord)和TLS握手协议(TLSHandshake)。位于应用层和传输层之间,它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。SSL:安全套接字协议(SecureSocketsLayer),与其继任者TLS,是为网络通信提供安全及数据完整性的一种安全协议。反向代理:反向代理服务器位于用户与目标服务器之间,但对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网本文档来自技高网...
【技术保护点】
1.一种证书查询方法,其特征在于,所述方法应用于一种网络设备,所述方法包括:/n获取目标客户端的证书信息;/n生成携带所述证书信息的在线证书状态协议OCSP查询报文;/n将所述OCSP查询报文发送给至少一个查询服务器,其中,所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态,并生成携带所述证书状态的响应报文;/n根据至少一个查询服务器返回的响应报文,确定所述目标客户端的证书状态。/n
【技术特征摘要】
1.一种证书查询方法,其特征在于,所述方法应用于一种网络设备,所述方法包括:
获取目标客户端的证书信息;
生成携带所述证书信息的在线证书状态协议OCSP查询报文;
将所述OCSP查询报文发送给至少一个查询服务器,其中,所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态,并生成携带所述证书状态的响应报文;
根据至少一个查询服务器返回的响应报文,确定所述目标客户端的证书状态。
2.根据权利要求1所述的方法,其特征在于,所述获取目标客户端的证书信息,包括:
若本地OCSP请求队列中存在查询请求,则依次从所述本地OCSP请求队列中取出每一个查询请求,将当前取出的查询请求作为目标查询请求,其中,所述目标查询请求中携带了目标客户端的证书信息;
从所述目标查询请求中获取所述目标客户端的证书信息。
3.根据权利要求1所述的方法,其特征在于,所述将所述OCSP查询报文发送给至少一个查询服务器,包括:
按照预先配置的统一资源标识符URI优先级,确定用于OCSP查询的至少一个查询服务器的URI;
向确定的每一URI发送所述OCSP查询报文。
4.根据权利要求3所述的方法,其特征在于,所述URI优先级的配置结果,包括:
将从证书报文中解析出的URI作为第一优先级,其中,所述证书报文是所述目标客户端向所述网络设备发送的携带所述证书信息的报文;
或者,将预先配置的URI作为第一优先级;
或者,将从证书报文中解析出的URI与预先配置的URI,均作为第一优先级。
5.根据权利要求3所述的方法,其特征在于,所述向确定的每一URI发送所述OCSP查询报文,包括:
分别从不同的公网链路,向确定的每一URI发送所述OCSP查询报文。
6.根据权利要求1所述的方法,其特征在于,所述根据至少一个查询服务器返回的响应报文,确定所述目标客户端的证书状态,包括:
在预设的查询超时时间内,若接收到至少一个查询服务器返回的响应报文,则将第一个返回的响应报文所携带的证书状态,作为所述目标客户端的证书状态。
7.根据权利要求1-6任...
【专利技术属性】
技术研发人员:王信大,孙艳杰,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。