一种数字证书合规性检测方法、系统、设备及存储介质技术方案

本发明专利技术公开了一种数字证书合规性检测方法、系统、设备及存储介质，通过对基于SM2公钥算法的数字证书遵循相关国密数字证书格式规范进行解析，并进行证书格式规范、证书撤销状态、域名一致性、证书链完整性和证书签名有效性几个方面的合规性检测，实现了对基于SM2公钥算法证书合规性检测的全面支持。通过OCSP证书状态在线查询优先检测机制，提升证书撤销状态检测的实时性，同时检测证书链中签发机构证书撤销状态，提升证书撤销状态检测的准确性。通过采用两种查找方式互为补充的方法进行上级签发机构证书查找，提升证书链完整性检测能力。本发明专利技术有利于提升国密数字证书应用链相关方的技术水平和应用水平，达到规范国密数字证书签发和使用的目的。书签发和使用的目的。书签发和使用的目的。

【技术实现步骤摘要】
一种数字证书合规性检测方法、系统、设备及存储介质


[0001]本专利技术属于信息安全
，具体涉及一种数字证书合规性检测方法、系统、设备及存储介质。

技术介绍

[0002]随着网络信息安全保护力度的加大，国产商用密码的数字证书有了更广泛的使用空间，国产自主的商用密码体系建设也随之进入了新热潮。然而在实际应用当中，国产密码证书信任体系未被市场广泛接受，绝大多数业务系统、网站仍未采用我国CA机构签发的国产密码证书。信创操作系统、浏览器未普及到人们的工作和生活中，预置国产商用密码数字证书进度也相应较慢，主流浏览器也不能很好地应用识别SM2签名算法的标识。国产商用密码数字证书仍处于推广阶段，除去国密根证书入根所需的时间和认证限制问题，国密数字证书在签发和使用中，也体现出由于格式规范性不足，导致即使浏览器或者操作系统已经信任了根证书也无法往上验证的问题，使得国密数字证书显示为不可信证书。因此，急需一种全面的国密数字证书合规性检测手段来规范国密数字证书签发和使用，提升国密数字证书应用链相关方的技术水平和应用水平。

技术实现思路

[0003]本专利技术的目的是提供一种数字证书合规性检测方法、系统、设备及存储介质，用以解决现有技术中存在的上述问题。
[0004]为了实现上述目的，本专利技术采用以下技术方案：
[0005]第一方面，提供一种数字证书合规性检测方法，包括：
[0006]获取线上地址信息，并根据线上地址信息读取基于SM2公钥算法的待检测证书；
[0007]对待检测证书进行解析，获得待检测证书内容；
[0008]对待检测证书内容进行证书格式规范检测，判断待检测证书的格式是否合规，得到证书格式检测结果；
[0009]根据待检测证书内容进行证书撤销状态检测，得到证书状态检测结果；
[0010]在线上地址信息包含待检测证书网站URL地址时，根据待检测证书内容和待检测证书网站URL地址进行域名一致性检测，得到域名一致性检测结果；
[0011]根据待检测证书内容获取上级签发机构证书地址信息，根据上级签发机构证书地址信息查找获取上级签发机构证书，并根据上级签发机构证书的查找结果、查找到的上级签发机构证书以及待检测证书内容进行证书链完整性检测，得到证书链完整性检测结果，同时，在证书链完整性检测过程中，根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，得到证书签名有效性检测结果；
[0012]将证书格式检测结果、证书状态检测结果、域名一致性检测结果、证书签名有效性检测结果和证书链完整性检测结果汇总，得到待检测证书的合规性检测结果。
[0013]同时，提供另一种数字证书合规性检测方法，包括：
[0014]获取离线地址信息，并根据离线地址信息读取基于SM2公钥算法的待检测证书；
[0015]对待检测证书进行解析，获得待检测证书内容；
[0016]对待检测证书内容进行证书格式规范检测，判断待检测证书的格式是否合规，得到证书格式检测结果；
[0017]根据离线地址信息读取撤销列表文件，根据待检测证书内容及撤销列表文件进行证书撤销状态检测，得到证书状态检测结果；或根据离线地址信息读取撤销列表文件并查找上级签发机构证书，根据待检测证书内容和撤销列表文件，以及上级签发机构证书的查找结果，进行证书撤销状态检测，得到证书状态检测结果；
[0018]根据离线地址信息所包含的上级签发机构证书地址信息查找上级签发机构证书，并根据上级签发机构证书的查找结果、查找到的上级签发机构证书以及待检测证书内容进行证书链完整性检测，得到证书链完整性检测结果，同时，在证书链完整性检测过程中，根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，得到证书签名有效性检测结果；
[0019]将证书格式检测结果、证书状态检测结果、证书签名有效性检测结果和证书链完整性检测结果汇总，得到待检测证书的合规性检测结果。
[0020]在一个可能的设计中，所述待检测证书内容包括基本信息域、签名算法域和签名值域，所述对待检测证书内容进行证书格式规范检测，包括：检测基本信息域中序列号是否是非负整数，且不大于20个8比特字节；检测基本信息域中签名算法标识符是否与签名算法域中算法标识符相同；检测基本信息域中颁发者实体名称是否非空；检测基本信息域中有效期是否有效；检测基本信息域标准扩展项中密钥用法是否非空；检测基本信息域标准扩展项中主体替换名称是否非空；以及检测基本信息域标准扩展项中授权访问信息是否非空。
[0021]在一个可能的设计中，所述根据待检测证书内容进行证书撤销状态检测，包括：采用基于OCSP证书状态在线查询和CLR证书吊销列表查询的方式进行证书撤销状态检测。
[0022]在一个可能的设计中，所述根据待检测证书内容和待检测证书网站URL地址进行域名一致性检测，包括：根据待检测证书网站URL地址获得对应网站的域名，判断对应网站的域名是否在待检测证书内容的标准扩展项主体替换名称中，若在，则域名一致性检测通过，否则不通过。
[0023]在一个可能的设计中，所述根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，包括：对上级签发机构证书进行解析，获得上级签发机构证书公钥，根据上级签发机构证书公钥以及待检测证书内容中的基本信息域内容和签名值，采用SM2椭圆曲线公钥密码算法计算验证证书签名的有效性。
[0024]在一个可能的设计中，所述将证书格式检测结果、证书状态检测结果、证书签名有效性检测结果和证书链完整性检测结果汇总，得到待检测证书的合规性检测结果，包括：将证书格式检测结果、证书状态检测结果、证书签名有效性检测结果和证书链完整性检测结果分别录入检测报告模板的相应版块，形成合规性检测报告文件。
[0025]第二方面，提供一种数字证书合规性检测系统，包括证书录入模块、证书读取模块、证书解析模块、证书格式规范检测模块、上级签发机构证书查找子模块、证书撤销状态检测模块、域名一致性检测模块、证书链完整性检测模块、证书签名有效性检测模块和检测
结果模块，其中：
[0026]证书录入模块，用于录入线上地址信息以及离线地址信息，所述线上地址信息用于在线检测，所述离线地址信息用于离线检测；
[0027]证书读取模块，用于接受证书撤销状态检测模块或证书链完整性检测模块的调用，来根据线上地址信息读取待检测证书，根据离线地址信息读取撤销列表文件，以及根据上级签发机构证书地址信息读取上级签发机构证书；
[0028]证书解析模块，用于对待检测证书及上级签发机构证书进行内容解析；
[0029]证书格式规范检测模块，用于对待检测证书内容进行证书格式规范检测，判断待检测证书的格式是否合规，得到证书格式检测结果；
[0030]域名一致性检测模块，用于在线检测且线上地址信息包含待检测证书网站URL地址时，根据待检测证书内容和待检测证书网站URL地址进行域名一致性检测，得到域名一致性检测结果本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数字证书合规性检测方法，其特征在于，包括：获取线上地址信息，并根据线上地址信息读取基于SM2公钥算法的待检测证书；对待检测证书进行解析，获得待检测证书内容；对待检测证书内容进行证书格式规范检测，判断待检测证书的格式是否合规，得到证书格式检测结果；根据待检测证书内容进行证书撤销状态检测，得到证书状态检测结果；在线上地址信息包含待检测证书网站URL地址时，根据待检测证书内容和待检测证书网站URL地址进行域名一致性检测，得到域名一致性检测结果；根据待检测证书内容获取上级签发机构证书地址信息，根据上级签发机构证书地址信息查找获取上级签发机构证书，并根据上级签发机构证书的查找结果、查找到的上级签发机构证书以及待检测证书内容进行证书链完整性检测，得到证书链完整性检测结果，同时，在证书链完整性检测过程中，根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，得到证书签名有效性检测结果；将证书格式检测结果、证书状态检测结果、域名一致性检测结果、证书签名有效性检测结果和证书链完整性检测结果汇总，得到待检测证书的合规性检测结果。2.一种数字证书合规性检测方法，其特征在于，包括：获取离线地址信息，并根据离线地址信息读取基于SM2公钥算法的待检测证书；对待检测证书进行解析，获得待检测证书内容；对待检测证书内容进行证书格式规范检测，判断待检测证书的格式是否合规，得到证书格式检测结果；根据离线地址信息读取撤销列表文件，根据待检测证书内容及撤销列表文件进行证书撤销状态检测，得到证书状态检测结果；或根据离线地址信息读取撤销列表文件并查找上级签发机构证书，根据待检测证书内容和撤销列表文件，以及上级签发机构证书的查找结果，进行证书撤销状态检测，得到证书状态检测结果；根据离线地址信息所包含的上级签发机构证书地址信息查找上级签发机构证书，并根据上级签发机构证书的查找结果、查找到的上级签发机构证书以及待检测证书内容进行证书链完整性检测，得到证书链完整性检测结果，同时，在证书链完整性检测过程中，根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，得到证书签名有效性检测结果；将证书格式检测结果、证书状态检测结果、证书签名有效性检测结果和证书链完整性检测结果汇总，得到待检测证书的合规性检测结果。3.根据权利要求1或2所述的一种数字证书合规性检测方法，其特征在于，所述待检测证书内容包括基本信息域、签名算法域和签名值域，所述对待检测证书内容进行证书格式规范检测，包括：检测基本信息域中序列号是否是非负整数，且不大于20个8比特字节；检测基本信息域中签名算法标识符是否与签名算法域中算法标识符相同；检测基本信息域中颁发者实体名称是否非空；检测基本信息域中有效期是否有效；检测基本信息域标准扩展项中密钥用法是否非空；检测基本信息域标准扩展项中主体替换名称是否非空；以及检测基本信息域标准扩展项中授权访问信息是否非空。4.根据权利要求1所述的一种数字证书合规性检测方法，其特征在于，所述根据待检测
证书内容进行证书撤销状态检测，包括：采用基于OCSP证书状态在线查询和CLR证书吊销列表查询的方式进行证书撤销状态检测。5.根据权利要求1所述的一种数字证书合规性检测方法，其特征在于，所述根据待检测证书内容和待检测证书网站URL地址进行域名一致性检测，包括：根据待检测证书网站URL地址获得对应网站的域名，判断对应网站的域名是否在待检测证书内容的标准扩展项主体替换名称中，若在，则域名一致性检测通过，否则不通过。6.根据权利要求1或2所述的一种数字证书合规性检测方法，其特征在于，所述根据待检测证书内容和查找获取到的上级签发机构证书进行证书签名有效性检测，包括：对上级签发机构证书进行解析，获得上级签发机构证书公钥，根据上级签发机构证书公钥以及待检测证书内容中的基本信息域内容...

【专利技术属性】
技术研发人员：赵鑫，李恺，巫忠跃，张健，
申请(专利权)人：成都国信安信息产业基地有限公司，
类型：发明
国别省市：