一种数字证书处理方法及装置制造方法及图纸

本发明专利技术提供一种数字证书处理方法及装置，在获取携带有待申请域名的域名申请请求后，若允许注册域名申请请求中携带的待申请域名，则授权域名申请请求中携带的待申请域名，并签发与所授权的待申请域名对应的数字证书，使得N级域名服务器不仅是域名的管理者，而且是签发域名对应的数字证书的新型CA机构。也就是说对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因权力过大所导致的易受攻击的问题。并且每级域名服务器下的域名对应的数字证书均与根域名服务器有关，使得各级域名服务器对应的信任锚均是根域名服务器的根域名数字证书，实现信任锚唯一化。

A digital certificate processing method and device

The invention provides a digital certificate processing method and device. After obtaining the domain name application request carrying the domain name to be applied for, if the domain name to be applied for in the registration domain name application request is allowed, the domain name to be applied for in the domain name application request is authorized, and the digital certificate corresponding to the authorized domain name to be applied for is issued. As a result, the N-level domain name server is not only the administrator of domain name, but also a new CA organization issuing digital certificates corresponding to domain name. That is to say, for any level I domain name server, it can only issue digital certificates corresponding to the next level domain name it manages, thus restricting the power of all levels of domain name server to issue digital certificates and solving the problem of vulnerability caused by excessive power. And the digital certificates corresponding to the domain name under each level of domain name server are related to the root domain name server, which makes the corresponding trust anchors of all levels of domain name servers are the root domain name digital certificates of the root domain name server, and realizes the uniqueness of trust anchors.

【技术实现步骤摘要】
一种数字证书处理方法及装置
本专利技术属于网络与信息安全
，尤其涉及一种数字证书处理方法及装置。
技术介绍
目前数字证书由作为权威且可信的第三方，如CA(CertificateAuthority，证书授权)机构负责，在终端与服务器建立安全的TLS(TransportLayerSecurity，安全传输层协议)连接或者SSL(SecureSocketsLayer，安全套接层)连接时，终端需要获取服务器发送的数字证书，并对该数字证书进行验证。为了获取并验证数字证书，目前通用方法是在终端预装受信任根证书，但是目前CA机构众多，使得终端预装根证书数量较多，如通常预装根证书数量可达上百个，从而导致证书信任锚不唯一。并且目前CA机构签发数字证书的权力过大，任意CA机构能够给任意域名签发数字证书，而一旦任一CA机构由于被攻击或欺骗等原因误签发数字证书，就可以利用误签发的数字证书假扮成特定域名拥有者，实施中间人攻击。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种数字证书处理方法及装置，用于使得信任锚唯一化且降低被攻击的可能性。技术方案如下：本专利技术提供一种数字证书处理方法，所述方法包括：获取与N级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述N级域名服务器对应的N+1级域名；其中所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；签发与所授权的待申请域名对应的数字证书。优选的，所述方法还包括：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；或者在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。优选的，所述方法还包括：将与所授权的待申请域名对应的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。本专利技术还提供一种数字证书处理方法，所述方法包括：获取N级域名服务器签发的数字证书，其中所述数字证书与所述N级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的N级域名服务器对应的N+1级域名，且在N级域名服务器允许注册所述待申请域名的情况下，由N级域名服务器授权所述待申请域名，所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；将所述N级域名服务器签发的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。优选的，所述方法还包括：接收终端发送的数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址；根据所述互联网协议地址，从所述域名系统管理服务器中存储的数字证书中获取与所述数字证书查询请求对应的数字证书；向所述终端发送与所述数字证书查询请求对应的数字证书。优选的，所述方法还包括：接收终端发送的数字证书验证请求；向所述终端发送与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的N级域名服务器的数字证书。优选的，所述方法还包括：获取所述N级域名服务器更新后的数字证书；根据所述更新后的数字证书的标识信息，将所述域名系统管理服务器中存储的所述标识信息对应的数字证书更新为所述更新后的数字证书，以使所述域名系统管理服务器中存储的数字证书与所述N级域名服务器签发的数字证书一致。本专利技术还提供一种数字证书处理方法，所述方法包括：向域名系统管理服务器发送数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址，且所述域名系统管理服务器中存储有与所述域名系统管理服务器对应的N级域名服务器签发的数字证书，所述N级域名服务器签发的数字证书与其授权的域名申请请求携带的待申请域名对应，所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；获取所述域名系统管理服务器返回的与所述数字证书查询请求对应的数字证书，所述数字证书由所述域名系统管理服务器根据所述互联网协议地址查询得到。优选的，所述方法还包括：向所述域名系统管理服务器发送数字证书验证请求；获取所述域名系统管理服务器返回的与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字证书的N级域名服务器的数字证书；根据所述验证信息，对所述数字证书验证请求中携带的数字证书进行验证。本专利技术还提供一种数字证书处理装置，所述装置包括：获取单元，用于获取与N级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述N级域名服务器对应的N+1级域名，其中所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；授权单元，用于在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；签发单元，用于签发与所授权的待申请域名对应的数字证书。优选的，所述装置还包括：更新单元，用于在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；或者在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。优选的，所述装置还包括：存储单元，用于将与所授权的待申请域名对应的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。本专利技术还提供一种数字证书处理装置，所述装置包括：获取单元，用于获取N级域名服务器签发的数字证书，其中所述数字证书与所述N级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的N级域名服务器对应的N+1级域名，且在N级域名服务器允许注册所述待申请域名的情况下，由N级域名服务器授权所述待申请域名，所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；存储单元，用于将所述N级域名服务器签发的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。优选的，所述装置还包括：接收单元和发送单元；所述接收单元，用于接收终端发送的数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址；所述获取单元，还用于根据所述互联网协议地址，从所述域名系统管理服务器中存储的数字证书中获取与所述数字证书查询请求对应的数字证书；所述发送单元，用于向所述终端发送与所述数字证书查询请求对应的数字证书。优选的，所述接收单元，还用于接收终端发送的数字证书验证请求；所述发送单元，还用于向所述终端发送与所述数字证书验证请求对应的验证信息，所述验证信息包括签发所述数字证书验证请求中携带的数字本文档来自技高网...

【技术保护点】
1.一种数字证书处理方法，其特征在于，所述方法包括：获取与N级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述N级域名服务器对应的N+1级域名；其中所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；签发与所授权的待申请域名对应的数字证书。

【技术特征摘要】
1.一种数字证书处理方法，其特征在于，所述方法包括：获取与N级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述N级域名服务器对应的N+1级域名；其中所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；签发与所授权的待申请域名对应的数字证书。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；或者在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：将与所授权的待申请域名对应的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。4.一种数字证书处理方法，其特征在于，所述方法包括：获取N级域名服务器签发的数字证书，其中所述数字证书与所述N级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的N级域名服务器对应的N+1级域名，且在N级域名服务器允许注册所述待申请域名的情况下，由N级域名服务器授权所述待申请域名，所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；将所述N级域名服务器签发的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：接收终端发送的数字证书查询请求，所述数字证书查询请求中携带有互联网协议地址；根据所...

【专利技术属性】
技术研发人员：柏宗超，姚健康，孔宁，
申请(专利权)人：中国互联网络信息中心，
类型：发明
国别省市：北京,11