数字证书的验证方法和验证装置制造方法及图纸

本申请提出了一种数字证书的验证方法和验证装置。本申请提出的技术方案中，通过提取数字证书中的扩展字段，来判断该扩展字段是否符合数字证书标准的规定，进一步确定扩展字段中否存在异常数据。该验证方法，可以对数字证书中的扩展字段内容进行异常数据检测，从而可以在确保基本字段的内容安全性的基础上，进一步确定扩展字段的内容的安全性，进一步提升数字证书的验证结果的准确性，最终提高通信安全性。

【技术实现步骤摘要】
【国外来华专利技术】数字证书的验证方法和验证装置
本申请涉及网络安全领域，并且，更具体地，涉及数字证书的验证方法和验证装置。
技术介绍
X.509证书是指符合X.509格式标准的公钥证书。X.509证书含有公钥、标识(主机名、组织或个人)，以及由证书颁发机构(certificationauthority，CA)签名(或自签名)等信息。发送端传输网络流量时，可以使用经由可信证书签发机构签名(或者可以通过其它方式验证可信)的X.509证书来提高网络安全性。通过X.509证书来提高网络安全性时，需要验证网络流量中的X.509证书是否是被信任且有效的证书。例如验证X.509证书是否在有效期内或者是否已经被吊销；验证X.509证书是不是由信任根颁发，或者是不是由信任根的二级证书机构颁发；验证X.509证书的使用方是否是合法持有者。在X.509证书的使用过程中发现如下现象：即使网络流量中的X.509证书认证成功，仍然会出现安全问题。因此，如何对X.509证书进行验证以提高网络安全性，成为亟待解决的技术问题。
技术实现思路
本申请提供的数字证书的验证方法和相关装置，可以提升网络传输的安全性。第一方面，本申请提供了一种数字证书的验证方法。该方法包括：提取所述数字证书中的扩展字段；判断所述扩展字段中是否存在异常数据。例如，提取所述数字证书中的扩展字段；判断所述扩展字段是否符合数字证书标准的规定；在所述扩展字段不符合所述数字证书标准的规定的情况下，确定所述扩展字段中存在异常数据。本申请的技术方案中，通过检查扩展字段中是否存在异常数据来对数字证书进行进一步的验证，可以提升数字证书的验证准确性，从而提升网络流量的安全性。例如，一个数字证书包括基本字段和一个标记为非紧急(non-critical)但带有敏感数据的扩展字段，如果只针对该数字证书的基本字段的内容进行安全验证，则该证书是安全的，但其实该证书的扩展字段中携带了敏感数据，是不安全的，因此如果再对扩展字段的内容进行验证，会进一步提升该数字证书安全性。结合第一方面，在一种可能的实现方式中，所述扩展字段包括第一字段，所述第一字段用于标识所述数字证书所包含的公钥。其中，判断所述扩展字段是否符合数字证书标准的规定，包括：所述第一字段的扩展字段值包括第一前导码，且所述扩展字段值中位于所述第一前导码之后的M位比特值与第一预期值中的低M位比特值不同的情况下，确定所述扩展字段不符合数字证书标准的规定，所述第一预期值是指使用第一安全散列算法对所述数字证书中的主体公钥值进行计算得到的值，M为正整数；或所述第一字段的扩展字段值不包括所述第一前导码，所述第一字段的扩展字段值的字节长度不等于N字节时，确定所述扩展字段不符合数字证书标准的规定，N为正整数；或所述第一字段的扩展字段值不包括所述第一前导码、所述第一字段的扩展字段值的字节长度等于N字节，且所述第一字段的扩展字段值不等于使用第一安全散列算法对所述数字证书中的主体公钥值进行计算得到的值时，确定所述扩展字段不符合数字证书标准的规定。该实现方式能够对数字证书包括的用于标识数字证书所包含的公钥内容的第一字段进行验证，进一步提升该数字证书安全性。结合第一种可能的实现方式，在第二种可能的实现方式中，所述第一前导码、M和N中一个或多个满足如下条件：所述第一前导码包括“0100”，M等于60，N等于20。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第二字段，所述第二字段用于指示所述数字证书的拥有者的属性。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第二字段的扩展字段值不符合第一标识名格式时，确定所述扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第三字段，所述第三字段用于指示所述数字证书的颁发者的域名系统名。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第三字段的扩展字段值不全部为可见字符，或所述第三字段中的扩展字段值全部为可见字符且不符合域名系统名命名规范时，确定扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第四字段，所述第四字段用于指示所述数字证书的颁发者的互联网协议地址。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第四字段中的扩展字段值长度不等于4字节或者不等于16字节时，确定扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第五字段，所述第五字段用于指示所述数字证书的颁发者或拥有者的电子邮件地址。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第五字段的扩展字段值不全部为可见字符，或所述第五字段的扩展字段值全为可见字符且不符合邮箱格式规范时，确定扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第六字段，所述第六字段用于指示所述数字证书的拥有者的别名。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第六字段的扩展字段值不全部为可见字符时，确定扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述扩展字段包括第七字段，所述第七字段用于指示所述数字证书的颁发者的别名。其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：所述第七字段的扩展字段值不全部为可见字符时，确定扩展字段不符合数字证书标准的规定。结合第一方面或上述任意一种可能的实现方式，在一种可能的实现方式中，所述数字证书标准为X.509标准。第二方面，本申请提供了一种数字证书的验证装置，所述装置包括：证书解析模块，用于提取所述数字证书中的扩展字段；扩展字段判别模块，用于判断所述扩展字段是否符合数字证书标准的规定；所述扩展字段判别模块还用于在所述扩展字段不符合所述数字证书标准的规定的情况下，确定所述扩展字段中存在异常数据。结合第二方面，在一种可能的实现方式中，所述扩展字段包括第一字段，所述第一字段用于标识所述数字证书所包含的公钥。其中，所述扩展字段判别模块具体用于：在所述第一字段的扩展字段值包括第一前导码，且所述扩展字段值中位于所述第一前导码之后的M位比特值与第一预期值中的低M位比特值不同的情况下，确定所述扩展字段不符合数字证书标准的规定，所述第一预期值是指使用第一安全散列算法对所述数字证书中的主体公钥值进行计算得到的值，M为正整数；或所述第一字段的扩展字段值不包括所述第一前导码，所述第一字段的扩展字段值的字节长度不等于N字节时，确定所述扩展字段不符合数字证书标准的规定，N为正整数；或所述第一字段的扩展字段值不包括所述第一前导码、所述第一字段的扩展字段值的字节长度等于N字节，且所述第一字段的扩展字段值不等于使用第一安全散列算法对所述数字证书中本文档来自技高网...

【技术保护点】
1.一种数字证书的验证方法，其特征在于，所述方法包括：/n提取所述数字证书中的扩展字段；/n判断所述扩展字段是否符合数字证书标准的规定；/n在所述扩展字段不符合所述数字证书标准的规定的情况下，确定所述扩展字段中存在异常数据。/n

【技术特征摘要】
【国外来华专利技术】1.一种数字证书的验证方法，其特征在于，所述方法包括：
提取所述数字证书中的扩展字段；
判断所述扩展字段是否符合数字证书标准的规定；
在所述扩展字段不符合所述数字证书标准的规定的情况下，确定所述扩展字段中存在异常数据。


2.根据权利要求1所述的方法，其特征在于，所述扩展字段包括第一字段，所述第一字段用于标识所述数字证书所包含的公钥；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第一字段的扩展字段值包括第一前导码，且所述扩展字段值中位于所述第一前导码之后的M位比特值与第一预期值中的低M位比特值不同的情况下，确定所述扩展字段不符合数字证书标准的规定，所述第一预期值是指使用第一安全散列算法对所述数字证书中的主体公钥值进行计算得到的值，M为正整数；或
所述第一字段的扩展字段值不包括所述第一前导码，所述第一字段的扩展字段值的字节长度不等于N字节时，确定所述扩展字段不符合数字证书标准的规定，N为正整数；或
所述第一字段的扩展字段值不包括所述第一前导码、所述第一字段的扩展字段值的字节长度等于N字节，且所述第一字段的扩展字段值不等于使用第一安全散列算法对所述数字证书中的主体公钥值进行计算得到的值时，确定所述扩展字段不符合数字证书标准的规定。


3.根据权利要求1至2中任一项所述的方法，其特征在于，所述扩展字段包括第二字段，所述第二字段用于指示所述数字证书的拥有者的属性；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第二字段的扩展字段值不符合第一标识名格式时，确定所述扩展字段不符合数字证书标准的规定。


4.根据权利要求1至3中任一项所述的方法，其特征在于，所述扩展字段包括第三字段，所述第三字段用于指示所述数字证书的颁发者的域名系统名；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第三字段的扩展字段值不全部为可见字符，或所述第三字段中的扩展字段值全部为可见字符且不符合域名系统名命名规范时，确定扩展字段不符合数字证书标准的规定。


5.根据权利要求1至4中任一项所述的方法，其特征在于，所述扩展字段包括第四字段，所述第四字段用于指示所述数字证书的颁发者的互联网协议地址；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第四字段中的扩展字段值长度不等于4字节或者不等于16字节时，确定扩展字段不符合数字证书标准的规定。


6.根据权利要求1至5中任一项所述的方法，其特征在于，所述扩展字段包括第五字段，所述第五字段用于指示所述数字证书的颁发者或拥有者的电子邮件地址；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第五字段的扩展字段值不全部为可见字符，或所述第五字段的扩展字段值全为可见字符且不符合邮箱格式规范时，确定扩展字段不符合数字证书标准的规定。


7.根据权利要求1至6中任一项所述的方法，其特征在于，所述扩展字段包括第六字段，所述第六字段用于指示所述数字证书的拥有者的别名；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第六字段的扩展字段值不全部为可见字符时，确定扩展字段不符合数字证书标准的规定。


8.根据权利要求1至7中任一项所述的方法，其特征在于，所述扩展字段包括第七字段，所述第七字段用于指示所述数字证书的颁发者的别名；
其中，所述判断所述扩展字段是否符合数字证书标准的规定，包括：
所述第七字段的扩展字段值不全部为可见字符时，确定扩展字段不符合数字证书标准的规定。


9.根据权利要求1至8中任一项所述的方法，其特征在于，所述数字证书标准为X.509标准。


10.根据权利要求2至9中任一项所述的方法，其特征在于，所述第一前导码、M和N中一个或多个满足如下条件：
所述第一前导码包括“0100”，M等于60，N等于20。


11.一种数字证书的验证装置，其特征在于，所述装置包括：
证书解析模块，用于提取所述数字证书中的扩展字段；
扩展字段判别模块，用于判断所述扩展字段是否符合数字证书标准的规定和/或用于在所述扩展字段不符合所述数字证书标准的规定的情况下，确...

【专利技术属性】
技术研发人员：那键，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44