一种数字证书格式合规性检测系统技术方案

本发明专利技术提供了一种数字证书格式合规性检测系统，所述系统包括应用程序、CRL解析模块、证书解析模块、证书验证模块、密码算法库、SSL协议接口模块、LDAP协议模块、OCSP协议模块、以及密码设备接口模块；所述应用程序：为用户提供服务；SSL协议接口模块：实现标准的SSL协议通信过程及数据解析；LDAP协议模块：用于下载CRL格式文件及数字证书文件；OCSP协议模块：用于在线验证证书有效性；CRL解析模块：解析LDAP协议模块从CRL节点上下载下来的CRL格式文件；证书解析模块：根据不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；证书验证模块：根据标准和密码算法库验证每个证书信息，验证证书的撤销状态，验证证书的签名；本发明专利技术提高了检测效率。

A digital certificate format compliance detection system

【技术实现步骤摘要】
一种数字证书格式合规性检测系统
本专利技术涉及数字证书合规性检测
，特别是一种数字证书格式合规性检测系统。
技术介绍
目前中华人民共和国密码法已审议通过，根据密码法指导下将展开信息系统密码应用安全性评估。数字证书作为PKI（公钥基础设施）的重要组成部分，为信息系统提供信息机密性、完整性、真实性、行为不可否认性的服务，所以数字证书合规性检测在安全性评估中不可或缺。现有相关工具或系统的功能不够完善，无法直接运用于安全性评估工作，存在问题如证书来源单一、不支持国密算法和国标证书、不支持验证单项信息、不支持验证发证机构的许可证信息等。且现有的检测工具检测的效率低，需要多次进行反复测试后才能得到结果。
技术实现思路
为克服上述问题，本专利技术的目的是提供一种数字证书格式合规性检测系统，通过不同来源获取数字证书，能应用于不同的应用场景，同时减少人工参与，且检测效率高。本专利技术采用以下方案实现：一种数字证书格式合规性检测系统，所述系统包括应用程序、CRL解析模块、证书解析模块、证书验证模块、密码算法库、SSL协议接口模块、LDAP协议模块、OCSP协议模块、以及密码设备接口模块；所述应用程序：为用户提供服务，所述服务包括：完整的检测应用、解析数字证书文件、验证数字证书文件；所述SSL协议接口模块：实现标准的SSL协议通信过程及数据解析；所述LDAP协议模块：实现标准协议，用于下载CRL格式文件及数字证书文件；所述OCSP协议模块：实现标准协议，用于在线验证证书有效性，主要验证撤销状态，有效时间，数字签名；所述CRL解析模块：解析LDAP协议模块从CRL节点上下载下来的CRL格式文件；所述证书解析模块：根据不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块：根据标准和密码算法库验证每个证书信息，验证证书的撤销状态，验证证书的签名；所述密码算法库：基础算法实现，包含证书中常用的算法；所述密码设备接口包含密码设备厂商提供的设备驱动库和设备连接接口；将数字证书存储设备与密码设备接口模块连接，或者将数字证书文件导入到本系统中，或者所述SSL协议接口模块获取SSL协议握手阶段交换的数字证书，用户通过应用程序请求服务，则应用程序调用证书解析模块根据获取的不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块根据标准验证证书格式、证书中每个单项信息；根据从LDAP协议模块下载的CRL文件或OCSP模块验证证书的撤销状态；根据算法库验证证书的签名。进一步的，所述密码算法库包括SM2、SM3、SM4、AES、RSA、SHA密码算法。进一步的，所述检测系统还包括管理平台协议接口模块，所述管理平台协议接口模块用于与云端管理平台交互的通信数据解析，实现完整的通信功能；所述检测系统通过管理平台协议接口模块与云端管理平台连接，操作人员通过云端管理平台能对检测系统中数字证书格式合规性检测的结果进行查看和管理。进一步的，所述检测系统具体的检测原理为：将数字证书存储设备与密码设备接口模块连接，或者将数字证书文件导入到本系统中，或者所述SSL协议接口模块获取SSL协议握手阶段交换的数字证书，用户通过应用程序填写被测目标基础信息和测试项目的编号，所述被测目标基础信息包括目标设备产品证书、现场图片、类型、厂家、或者型号；选择被测目标设备，加载被测目标设备驱动库，连接数字证书存储设备，枚举所有用户应用，输入用户应用PIN码，读取应用中所有证书，所述证书解析模块解析加载所有读到的证书并展示，所述证书验证模块验证数字证书格式合规性、验证数字证书签名有效性、验证数字证书签发机构的许可证信息，另外，通过OCSP协议模块验证数字证书有效性，或通过LDAP协议模块从CRL分发点下载CRL判断证书撤销状态，或者通过本地CRL判断证书是否被撤销；生成结果报告，将结果报告、测试过程产生的文件、用户输入和添加的原始记录文件，进行压缩打包，并用登录用户的数字证书进行签名，并存档。进一步的，所述验证数字证书签名有效性包括证书链的有效性、证书时间有效性、证书格式有效性、以及证书状态有效性。进一步的，所述许可证信息包括：电子认证服务许可、电子认证服务使用密码许可、以及电子政务电子认证服务许可。进一步的，证书展示分为：证书列表的展示和证书详细信息展示；所述证书列表的展示为：从数字证书存储设备或数字证书文件中取到的所有证书，如果多个数字证书则在证书列表里显示多个，当要查看证书时显示各个数字证书详细信息和每个单项的检测结果；所述证书详细信息展示包括：显示证书版本号、序列号、签名算法、颁发者、有效期开始时间、有效期结束时间以及证书信息。进一步的，所述系统还包括：硬件接口模块、档案库管理模块、信任证书管理模块、黑名单管理模块、机构许可信息模块、系统配置模块、用户管理模块、系统升级模块、以及日志模块；所述硬件接口模块为与数字证书存储设备连接接口；所述档案库管理模块：实现签名存档、档案上传、删除、查看操作；所述信任证书管理模块：信任证书分为国家证书体系和自建信任体系，国家证书体系只能通过云端管理平台更新，自建信任体系可对证书进行添加或删除；所述黑名单管理：定时从云端管理平台更新黑名单列表；所述机构许可信息模块：定时从云端管理更新许可信息列表；所述系统配置模块：提供系统应用的基本配置、云端信息配置的功能；所述用户管理模块：提供用户增删改查功能，提供用户权限管理；所述系统升级模块：通过云端管理平台对系统进行在线升级；所述日志模块：记录用户关键行为，关键行为包括登录、检测行为、信任证书库管理行为、档案删除行为；记录系统运行日志方便维护。本专利技术的有益效果在于：本系统支持国家相关标准和国际通用证书标准，完整并符合国家相关标准进行验证。通过不同来源获取数字证书，方便安全性评估过程碰到的不同应用场景，同时减少人工参与，确保检测过程的可追溯性、避免弄虚作假。附图说明图1是本专利技术实施例一的系统框架原理图。图2是本专利技术实施例一的系统应用示意图。图3是本专利技术实施例一的系统操作原理流程示意图。图4是本专利技术证书列表的展示示意图。图5是本专利技术证书详细信息展示示意图。图6是本专利技术实施例二的系统框架原理图。具体实施方式下面结合附图对本专利技术做进一步说明。请参阅图1至图3所示，本专利技术提供了一种数字证书格式合规性检测系统，所述系统包括应用程序、CRL（证书注销列表）解析模块、证书解析模块、证书验证模块、密码算法库、SSL协议接口模块、LDAP（轻量目录访问协议）协议模块、OCSP（在线证书状态协议）协议模块、以及密码设备接口模块；所述应用程序：为用户提供服务，所述服务包括：完整的检测应用、解析数字证书文件、验证数字证书文件；所述SSL协议接口模块：实现标准的SSL协议通信过程及数据解析；所述LDAP协议模块：实现标准协议，用于下载CRL格式文件及数字证书文件；所述OCSP协议模块：实现标准协议，用于在线验证证本文档来自技高网...

【技术保护点】
1.一种数字证书格式合规性检测系统，其特征在于：所述系统包括应用程序、CRL解析模块、证书解析模块、证书验证模块、密码算法库、SSL协议接口模块、LDAP协议模块、OCSP协议模块、以及密码设备接口模块；/n所述应用程序：为用户提供服务，所述服务包括：完整的检测应用、解析数字证书文件、验证数字证书文件；所述SSL协议接口模块：实现标准的SSL协议通信过程及数据解析；所述LDAP协议模块：实现标准协议，用于下载CRL格式文件及数字证书文件；所述OCSP协议模块：实现标准协议，用于在线验证证书有效性，主要验证撤销状态，有效时间，数字签名；所述CRL解析模块：解析LDAP协议模块从CRL节点上下载下来的CRL格式文件；所述证书解析模块：根据不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块：根据标准和密码算法库验证每个证书信息，验证证书的撤销状态，验证证书的签名；所述密码算法库：基础算法实现，包含证书中常用的算法；所述密码设备接口包含密码设备厂商提供的设备驱动库和设备连接接口；/n将数字证书存储设备与密码设备接口模块连接，或者将数字证书文件导入到本系统中，或者所述SSL协议接口模块获取SSL协议握手阶段交换的数字证书，用户通过应用程序请求服务，则应用程序调用证书解析模块根据获取的不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块根据标准验证证书格式、证书中每个单项信息；根据从LDAP协议模块下载的CRL文件或OCSP模块验证证书的撤销状态；根据算法库验证证书的签名。/n...

【技术特征摘要】
1.一种数字证书格式合规性检测系统，其特征在于：所述系统包括应用程序、CRL解析模块、证书解析模块、证书验证模块、密码算法库、SSL协议接口模块、LDAP协议模块、OCSP协议模块、以及密码设备接口模块；
所述应用程序：为用户提供服务，所述服务包括：完整的检测应用、解析数字证书文件、验证数字证书文件；所述SSL协议接口模块：实现标准的SSL协议通信过程及数据解析；所述LDAP协议模块：实现标准协议，用于下载CRL格式文件及数字证书文件；所述OCSP协议模块：实现标准协议，用于在线验证证书有效性，主要验证撤销状态，有效时间，数字签名；所述CRL解析模块：解析LDAP协议模块从CRL节点上下载下来的CRL格式文件；所述证书解析模块：根据不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块：根据标准和密码算法库验证每个证书信息，验证证书的撤销状态，验证证书的签名；所述密码算法库：基础算法实现，包含证书中常用的算法；所述密码设备接口包含密码设备厂商提供的设备驱动库和设备连接接口；
将数字证书存储设备与密码设备接口模块连接，或者将数字证书文件导入到本系统中，或者所述SSL协议接口模块获取SSL协议握手阶段交换的数字证书，用户通过应用程序请求服务，则应用程序调用证书解析模块根据获取的不同的证书格式及数据编码格式解析数字证书文件，从中提取所有有效信息；所述证书验证模块根据标准验证证书格式、证书中每个单项信息；根据从LDAP协议模块下载的CRL文件或OCSP模块验证证书的撤销状态；根据算法库验证证书的签名。


2.根据权利要求1所述的一种数字证书格式合规性检测系统，其特征在于：所述密码算法库包括SM2、SM3、SM4、AES、RSA、SHA密码算法。


3.根据权利要求1所述的一种数字证书格式合规性检测系统，其特征在于：所述检测系统还包括管理平台协议接口模块，所述管理平台协议接口模块用于与云端管理平台交互的通信数据解析，实现完整的通信功能；所述检测系统通过管理平台协议接口模块与云端管理平台连接，操作人员通过云端管理平台能对检测系统中数字证书格式合规性检测的结果进行查看和管理。


4.根据权利要求1所述的一种数字证书格式合规性检测系统，其特征在于：所述检测系统具体的检测原理为：将数字证书存储设备与密码设备接口模块连接，或者将数字证书文件导入到本系统中，或者所述SSL协议接口模块获取SSL协议握手阶段交换的数字证书，用户通过应用程序填写被测目标基础信息和测试项目的编号，所述被测目标基础信息包括目标设备产品证书、现场图片、类型、...

【专利技术属性】
技术研发人员：邓福彪，陈山，徐九洲，王琮文，林萍，
申请(专利权)人：福建金密网络安全测评技术有限公司，
类型：发明
国别省市：福建;35