设备数字证书吊销方法、电子设备及计算机可读存储介质转让专利
申请号 : CN202110355189.6
文献号 : CN113242130B
文献日 : 2022-07-22
发明人 : 吴宇杰 , 余小龙 , 常林 , 徐林玉 , 李新国 , 宫俊 , 徐培秋
申请人 : 深圳国实检测技术有限公司
摘要 :
本发明公开了设备数字证书吊销方法、电子设备及计算机可读存储介质。本发明的设备数字证书吊销方法,包括,获取待验证的目标设备的数字证书,获取预设吊销列表,其中吊销列表预设有吊销方案,获取数字证书中的目标参数,基于吊销方案和目标参数判断数字证书是否已被吊销,若数字证书已被吊销,则确定目标设备为非法设备。本发明能够节约终端设备资源,并能够快速判断设备数字证书是否已被证书吊销列表吊销。
权利要求 :
1.设备数字证书吊销方法,其特征在于,包括:获取待验证的目标设备的数字证书,获取预设吊销列表,所述吊销列表预设有吊销方案;
获取所述数字证书中的目标参数;所述目标参数包括:设备子证书标识,所述吊销方案包括第一方案;
基于所述吊销方案和所述目标参数判断所述数字证书是否已被吊销;获取所述第一方案中的设备吊销子证书参数;判断所述设备吊销子证书参数是否与所述设备子证书标识相同;
若所述设备吊销子证书参数与所述设备子证书标识相同,则判断所述数字证书已被吊销,确定所述目标设备为非法设备。
2.根据权利要求1所述的设备数字证书吊销方法,其特征在于,所述数字证书通过以下步骤下发至所述目标设备:将多个目标参数写入待签发的数字证书中;
对带有所述多个目标参数的数字证书进行签名;
将所述数字证书下发至所述目标设备。
3.根据权利要求1所述的设备数字证书吊销方法,其特征在于,所述预设吊销列表通过以下步骤生成:对初始吊销列表添加私有扩展项,得到可扩展吊销列表;
基于所述可扩展吊销列表,预设多个所述吊销方案,得到所述预设吊销列表。
4.根据权利要求3所述的设备数字证书吊销方法,其特征在于,所述目标参数包括:设备组织标识,所述吊销方案包括第二方案;
对应的,所述基于所述吊销方案和所述目标参数判断所述数字证书是否已被吊销,包括:若所述设备吊销子证书参数与所述设备子证书标识不同,则获取所述第二方案中的设备吊销组织参数;
判断所述设备吊销组织参数是否与所述设备组织标识相同;
若所述设备吊销组织参数与所述设备组织标识相同,则判断所述数字证书已被吊销。
5.根据权利要求4所述的设备数字证书吊销方法,其特征在于,所述目标参数包括:设备标识,所述吊销方案包括第三方案;
对应的,所述基于所述吊销方案和所述目标参数判断所述数字证书是否已被吊销,包括:若所述设备吊销组织参数与所述设备组织标识不同,则获取所述第三方案中的设备吊销参数区间;
判断所述设备吊销参数区间是否包括所述设备标识;
若存在所述设备吊销参数区间包括所述设备标识,则判断所述数字证书已被吊销。
6.根据权利要求5所述的设备数字证书吊销方法,其特征在于,所述目标参数包括:设备标识,所述吊销方案包括第四方案;
对应的,所述基于所述吊销方案和所述目标参数判断所述数字证书是否已被吊销,包括:若所述设备吊销参数区间不包括所述设备标识,则获取所述第四方案中的设备吊销参数;
判断所述设备吊销参数是否与所述设备标识相同;
若所述设备吊销参数与所述设备标识相同,则判断所述数字证书已被吊销。
7.根据权利要求6所述的设备数字证书吊销方法,其特征在于,还包括:若所述设备吊销参数与所述设备标识不同,则判断所述数字证书未被吊销;
若所述数字证书未被吊销,则确定所述目标设备为合法设备。
8.设备数字证书吊销电子设备,其特征在于,包括:处理器;
存储器,用于存储可执行程序;
当所述可执行程序被所述处理器执行时,得到设备数字证书吊销电子设备实现如权利要求1至6任一项所述的设备数字证书吊销方法。
9.计算机可读存储介质,其特征在于,所述存储介质存储有可执行指令,可执行指令能被计算机执行,使所述计算机执行如权利要求1至6任一项所述的设备数字证书吊销方法。
说明书 :
设备数字证书吊销方法、电子设备及计算机可读存储介质
技术领域
[0001] 本发明涉及信息安全和数字证书技术领域,尤其是涉及设备数字证书吊销方法、电子设备及计算机可读存储介质。
背景技术
[0002] 在X.509里,组织机构通过发起证书签名请求(CSR)来得到一份签名的证书。首先需要生成一对钥匙对,然后用其中的私钥对CSR进行签名,并安全地保存私钥。CSR进而包含有请求发起者的身份信息、用来对此请求进行验真的的公钥以及所请求证书专有名称。CSR里还可能带有CA(Certificate Authority,证书颁发机构)要求的其它有关身份证明的信息。然后CA对这个专有名称发布一份证书,并绑定一个公钥,组织机构可以把受信的根证书分发给所有的成员。
[0003] CRL(Certificate Revocation List,证书吊销列表)是CA机构发布的一个证书吊销列表,列出被认为不能再使用的证书的序列号。完整的CRL列出了CA签发的所有被撤销但未过期的证书序列号,验证方可以通过查询CRL将被吊销证书对应的实体排除在系统之外,从而维护系统的完整性。
[0004] 在物联网领域,数字证书对应的实体往往是设备,CRL处理的吊销证书也是针对设备的。因为物联网设备规模巨大,传统的针对证书序列号的CRL机制显得非常庞大,不适合直接应用。为此,DTCP定义了一种私有的精简格式。但是,这种扩展方式不符合X.509标准,仍需要对现有的PKI进行大量的改造。
[0005] 在传统的PKI(Public Key Infrastructure,公钥基础设施)应用领域,证书吊销列表中都是将证书序列号一个一个添加进证书吊销列表,不适合直接应用在物联网领域,且改进的DTCP吊销机制,不符合X.509标准,与CA机构不兼容,融合和改造成本大,并且数字证书在证书吊销列表中查询效率低下,这些是现有技术亟待解决的技术问题。
[0006] 词语解释:
[0007] CA:Certificate Authority,证书颁发机构。
[0008] CRL:Certificate Revocation List,证书吊销列表。
[0009] PKI:Public Key Infrastructure,公钥基础设施,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
[0010] ASN.1:抽象语法标记(Abstract Syntax Notation One)。ASN.1是一种ISO/ITU‑T标准,描述了一种对数据进行表示、编码、传输和解码的数据格式。
[0011] X.509:X.509是密码学里公钥证书的格式标准。
[0012] DTCP:Digital Transmission Content Protection,数字传输内容保护协议。
[0013] ISO:国际标准化组织(International Organization for Standardization)。
[0014] IEC:际电工技术委员会(International Electrotechnical Commission)。
[0015] ITU‑T:国际电信联盟电信标准分局(ITU‑T for ITU Telecommunication Standardization Sector)。
[0016] ANSI:美国国家标准学会(AMERICAN NATIONAL STANDARDS INSTITUTE:ANSI)。
发明内容
[0017] 本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出设备数字证书吊销方法、电子设备及计算机存储介质,能够快速判断设备数字证书是否已被证书吊销列表吊销,并且能够节约终端资源。
[0018] 本申请还提出了具有上述设备数字证书吊销方法的电子设备。
[0019] 本申请还提出了具有上述设备数字证书吊销方法的计算机可读存储介质。
[0020] 根据本申请的第一方面实施例的设备数字证书吊销方法,包括:
[0021] 获取待验证的目标设备的数字证书,获取预设吊销列表,吊销列表预设有吊销方案;
[0022] 获取数字证书中的目标参数;
[0023] 基于吊销方案和目标参数判断数字证书是否已被吊销;
[0024] 若数字证书已被吊销,则确定目标设备为非法设备。
[0025] 根据本申请实施例的设备数字证书吊销方法,至少具有如下有益效果:
[0026] 获取目标设备的数字证书和带有多种吊销方案的吊销列表,再获取数字证书中的目标参数,根据目标参数和吊销方案判断数字证书是否被吊销,如果数字证书被吊销,就确定待检测的目标设备为非法设备。
[0027] 本申请提供了多种设备证书吊销方法,以满足多场景下终端设备的需求,并使用X.509标准允许的私有定义扩展项,使证书吊销列表的大小更小,节约终端设备资源,并能够快速判断设备数字证书是否已被证书吊销列表吊销。
[0028] 根据本申请的一些实施例,数字证书通过以下步骤下发至目标设备:
[0029] 将多个目标参数写入待签发的数字证书中;
[0030] 对带有多个目标参数的数字证书进行签名;
[0031] 将数字证书下发至目标设备。
[0032] 根据本申请的一些实施例,预设吊销列表通过以下步骤生成:
[0033] 对初始吊销列表添加私有扩展项,得到可扩展吊销列表;
[0034] 基于可扩展吊销列表,预设多个吊销方案,得到预设吊销列表。
[0035] 根据本申请的一些实施例,
[0036] 目标参数包括:设备子证书标识,吊销方案包括第一方案;
[0037] 对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0038] 获取第一方案中的设备吊销子证书参数;
[0039] 判断设备吊销子证书参数是否与设备子证书标识相同;
[0040] 若设备吊销子证书参数与设备子证书标识相同,则判断数字证书已被吊销[0041] 根据本申请的一些实施例,
[0042] 目标参数包括:设备组织标识,吊销方案包括第二方案;
[0043] 对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0044] 若设备吊销子证书参数与设备子证书标识不同,则获取第二方案中的设备吊销组织参数;
[0045] 判断设备吊销组织参数是否与设备组织标识相同;
[0046] 若设备吊销组织参数与设备组织标识相同,则判断数字证书已被吊销。
[0047] 根据本申请的一些实施例,
[0048] 目标参数包括:设备标识,吊销方案包括第三方案;
[0049] 对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0050] 若设备吊销组织参数与设备组织标识不同,则获取第三方案中的设备吊销参数区间;
[0051] 判断设备吊销参数区间是否包括设备标识;
[0052] 若存在设备吊销参数区间包括设备标识,则判断数字证书已被吊销。
[0053] 根据本申请的一些实施例,
[0054] 目标参数包括:设备标识,吊销方案包括第四方案;
[0055] 对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0056] 若设备吊销参数区间不包括设备标识,则获取第四方案中的设备吊销参数;
[0057] 判断设备吊销参数是否与设备标识相同;
[0058] 若设备吊销参数与设备标识相同,则判断数字证书已被吊销。
[0059] 根据本申请的一些实施例,
[0060] 若设备吊销参数与设备标识不同,则判断数字证书未被吊销;
[0061] 若数字证书未被吊销,则确定目标设备为合法设备。
[0062] 根据本申请的第二方面实施例的设备数字证书吊销电子,包括:
[0063] 处理器;
[0064] 存储器,用于存储可执行程序;
[0065] 当可执行程序被处理器执行时,得到设备数字证书吊销电子设备实现如本申请第一方面的设备数字证书吊销方法。
[0066] 根据本申请的第三方面实施例的设备数字证书吊销计算机可读存储介质,[0067] 计算机可读存储介质,存储介质存储有可执行指令,可执行指令能被计算机执行,使计算机执行如本发明第一方面的设备数字证书吊销方法。
[0068] 本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
[0069] 下面结合附图和实施例对本发明做进一步的说明,其中:
[0070] 图1为本发明提供的设备数字证书吊销方法的一具体流程示意图;
[0071] 图2为本发明提供的设备数字证书吊销方法中步骤S100的第一具体流程示意图;
[0072] 图3为本发明提供的设备数字证书吊销方法中步骤S100的第二具体流程示意图;
[0073] 图4为本发明提供的设备数字证书吊销方法中步骤S300的具体流程示意图。
具体实施方式
[0074] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
[0075] 在本发明的描述中,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
[0076] 本发明的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0077] 本发明提供了一种设备数字证书吊销方法、设备及存储介质,节约终端设备资源并能够提高证书吊销列表的查询效率。
[0078] 以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互结合。
[0079] 证书吊销列表(CRL)是证书颁发机构(CA)颁发的一个证书吊销列表,列出被认为不能再使用的证书的序列号,完整的CRL(证书吊销列表)列出了CA(证书颁发机构)签发的所有被撤销但未过期的证书序列号,验证方可以通过查询CRL将被吊销证书对应的实体排除在系统之外,从而维护系统的完整性。
[0080] CRL Extensions(CRL扩展)和CRL Entry Extensions(CRL条目扩展)由ISO/IEC,ITU‑T和ANSI X9定义,其中标准的X.509v2 CRL格式允许CRL Extensions和CRL Entry Extensions定义通用和私有扩展以承载额外的信息,其中规定若定义CRL Extensions项目,则必须包含授权密钥标识符和所有已发布CRL中的CRL编号扩展名,但对于定义CRL Entry Extensions项目则其他扩展都是可选的。
[0081] 如图1所示,其为本发明实施例提供的设备数字证书吊销方法的实施流程示意图,可以包括以下步骤:
[0082] S100,获取待验证的目标设备的数字证书,获取预设吊销列表,吊销列表预设有吊销方案。
[0083] 获取数字证书实际上是基于X.509标准,通过发起证书签名请求(CSR)进行获取。
[0084] 其中,预设吊销列表是用于标识相关的签名证书的签名信息,并且标识了需要进行吊销的签名证书的相关信息;预设吊销列表中预设有多种吊销方案,吊销方案是指如何根据预设吊销列表包含的需要吊销的签名证书相关的签名信息进行吊销的方法。在实际应用中,预设吊销列表含有标识CRL版本的版本号、签名算法、签发者标识、签发日期、吊销类型和吊销证书项。其中,签发者标识吊销子CA证书的subject,吊销证书项意思是选择决定使用哪种吊销方案,吊销类型包括crlEntryExtensions扩展项和多种吊销方案。不同的吊销方案表示根据相关的签名信息对签名证书进行不同类型的吊销行为,例如对具体的单个签名证书进行吊销;或对同一制造商所属的单个签名证书进行吊销;或对处于预设吊销区间的所有证书进行吊销;或对设备子证书的所有所属证书进行吊销。
[0085] 在一些实施例中,参考图2,预设吊销列表的生成包括以下步骤:
[0086] S111,对初始吊销列表添加私有扩展项,得到可扩展吊销列表。
[0087] 需要说明的是,初始吊销列表是指目前常用的不能进行调整的吊销列表,该吊销列表中暂且不具备本申请所需要的吊销方案,因此,通过增添私有扩展项,使得该吊销列表变为可调整的吊销列表即可扩展吊销列表;而私有扩展项则是用于为初始吊销列表增添可调整的扩展协议,具体地说,在初始吊销列表中增添需要进行吊销的吊销方案,不同的吊销方案在吊销列表中具备不同的吊销类型字段,通过设置相应的吊销类型字段以设置不同的吊销方案。
[0088] 其中,添加的私有扩展项可以作为载体,例如在本申请中是在初始吊销列表中添加吊销类型字段参数,其中吊销类型字段包括crlEntryExtensions扩展,该字段具备不同的枚举值,可分别记录吊销列表中的四种吊销方案参数:revokedSingle的值为1,记录被吊销证书的DeviceID;revokedRange的值为2,记录被吊销证书的DeviceID范围;revokedOrganization的值为3,记录被吊销设备制造商的所属证书ID;revokedSubCA的值为4,记录被吊销subCA的所属证书ID,unspecified(未说明的)的值为0,为保留字段,以上字段参数写入私有扩展项中处于还未启动状态,将带有未启动参数字段的私有扩展项添加进初始吊销列表,得到可扩展吊销列表。
[0089] 可扩展吊销列表即添加有私有扩展项的初始吊销列表,其包含有多种吊销方案的字段参数或者可选的吊销方案,该可选的吊销方案处于未启用的状态。
[0090] 一般地,根据标准的X.509v2 CRL格式允许CRL Extensions(CRL扩展)和CRL Entry Extensions(CRL条目扩展)定义通用和私有扩展以承载额外的信息,对于定义CRL Entry Extensions项目则其他扩展都是可选的,因此在初始吊销列表中添加私有条目扩展,从而可减少证书吊销列表中一些非必要的信息,比如吊销原因,无效日期和证书发布者等,这样可大大节约对设备查询时的系统资源,对使用证书吊销列表进行判断时效率更高,得到了可扩展吊销列表。
[0091] S112,基于可扩展吊销列表,预设多个吊销方案,得到预设吊销列表。
[0092] 进一步地,根据可扩展吊销列表,预设多种吊销方案,从而得到包含多种吊销方案的吊销列表,其中,预设多种吊销方案的具体实施是启动添加进可扩展吊销列表中的私有扩展项的字段参数,以便于对预设吊销列表中的多种可实施方案进行选择。
[0093] 在一些实施例中,参考图3,数字证书通过以下步骤下发至目标设备,步骤具体包括:
[0094] S121,将多个目标参数写入待签发的数字证书中。
[0095] 具体实施时,证书颁发机构证书签发中心签发证书时,定义了多个目标设备参数,并将多个目标设备参数分别写入不同的待签发的数字证书中,例如:目标参数包括备子证书标识(SubCAID)、设备组织标识(OrganizationID)、设备标识(DeviceID),其中DeviceID和OrganizationID写入设备证书主体名中,SubCAID写入设备子证书颁发机构证书主体名中。
[0096] S122,对带有多个目标参数的数字证书进行签名。
[0097] 一般地,证书颁发机构签发已经写入目标参数的多个数字证书,对数字证书进行签名。
[0098] S123,将数字证书下发至目标设备。
[0099] 进一步地,将已经签发的含有目标参数的多个数字证书下发至对应的待检测的目标设备。
[0100] 具体实施时,在物联网领域,数字证书对应的实体通常是设备,证书吊销列表处理的吊销证书通常也是针对设备处理的,因此,本说明书以物联网的设备实体作为主要实施例对象;证书发布者给每个设备颁布一套特定的数字证书,从每个待验证的目标设备中获取目标设备的数字证书,一个被签署的证书吊销列表,它指定了一套证书发布者认为无效的证书,证书颁发机构发布一个证书吊销列表,列出被认为不能使用的证书的序列号,获取证书颁发机构发布的证书吊销列表,其中获取的吊销列表中包含有多种吊销方案。
[0101] S200,获取数字证书中的目标参数。
[0102] 目标参数是指标识数字证书的相关信息,不同的目标参数具备不同的标识作用,例如包括设备子证书标识(SubCAID)、设备组织标识(OrganizationID)、设备标识(DeviceID)。
[0103] 具体实施时,证书颁发机构在证书签发中心签发数字证书时,定义了统一分配的DeviceID(设备ID)、OrganizationID(组织ID)和SubCAID(子证书签发中心ID),并将这三个参数信息分别写入相应的X.509证书中,具体为DeviceID和OrganizationID写入设备证书主体名中,SubCAID写入设备子证书颁发机构证书主体名中,验证方从证书链上获取上述不同数字证书中的多个目标参数。
[0104] S300,基于吊销方案和目标参数判断数字证书是否已被吊销。
[0105] 进一步地,根据获取的吊销列表中的多种吊销方案对待验证的目标设备的数字证书中的多个参数进行判断,从而可判断目标设备数字证书是否已经被吊销。
[0106] 具体实施时,验证方接收证书签发机构签发的证书后,提取待检测目标设备的证书中的目标参数,其中目标参数例如包括为设备证书主体名中的DeviceID和OrganizationID以及设备子CA证书主体名中的SubCAID,并按照以下顺序分别和多种吊销方案进行判断,从而得到判断结果。
[0107] 其中,吊销方案是提取多种吊销方案参数和目标参数进行比对,从而判断数字证书是否已被吊销,例如可包括有以下四种吊销方案:revokedSingle记录被吊销证书的DeviceID,作用于记录单个吊销证书的标识;revokedRange记录被吊销证书的DeviceID范围,作用于记录被吊销证书的标识范围;revokedOrganization记录被吊销设备制造商的所属证书ID,作用于记录被吊销设备制造商的所有所属证书标识;revokedSubCA记录被吊销subCA的所属证书ID,作用于被吊销子证书的所属证书标识。
[0108] 在一些实施例中,参考图4,步骤S300具体还包括以下步骤:
[0109] 通过执行步骤S200,获取数字证书中的目标参数,其中目标参数包括:设备子证书标识;
[0110] 吊销方案包括第一方案,对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0111] S311,获取第一方案中的设备吊销子证书参数;
[0112] S312,判断设备吊销子证书参数是否与设备子证书标识相同。
[0113] 若设备吊销子证书参数与设备子证书标识相同,则执行步骤S400判断数字证书已被吊销。
[0114] 若设备吊销子证书参数与设备子证书标识不相同,则执行步骤S321获取第二方案中的设备吊销组织参数。
[0115] 具体地,目标参数的设备子证书标识即SubCAID,是从待验证的目标设备中获取的数字证书,并从该数字证书中提取目标参数,该目标参数包括设备子证书标识,用于与吊销方案中的设备吊销子证书参数进行比较,从而判断数字证书是否已被吊销。
[0116] 吊销方案中的第一方案为判断提取的设备子证书标识是否与设备吊销子证书参数列表值相同。
[0117] 设备吊销子证书参数标识被吊销子证书的所属标识,用于与目标参数中的设备子证书标识比较,判断数字证书是否被吊销。可将其定义为revokedSubCA参数,其通过在预设吊销吊销列表的吊销方案中提取出来。
[0118] 具体实施时,验证方接收目标设备数字证书后,先解析数字证书中的证书吊销列表,获取revokedSubCA(设备吊销子证书参数)列表值,再提取目标参数的SubCAID(设备子证书标识)的参数信息,证书吊销列表中预设的吊销方案包括的第一方案为:判断提取的设备子证书标识是否与设备吊销子证书参数列表值相同。
[0119] 进一步地具体解释为:将提取的SubCAID与revokedSubCA列表进行一一匹配判断,查询revokedSubCA(设备吊销子证书参数)中是否存在相同的SubCAID,若revokedSubCA列表中存在SubCAID,说明该证书属于已被吊销的SubCA所属证书,说明数字证书已被吊销,该证书链非法。
[0120] 在一些实施例中,参考图4,步骤S300具体还包括以下步骤:
[0121] 通过执行步骤S200,获取数字证书中的目标参数,其中目标参数包括:设备组织标识;
[0122] 吊销方案包括第二方案,对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0123] S321,若设备吊销子证书参数与设备子证书标识不同,则获取第二方案中的设备吊销组织参数;
[0124] S322,判断设备吊销组织参数是否与设备组织标识相同。
[0125] 若设备吊销组织参数与设备组织标识相同,则执行步骤S400判断数字证书已被吊销。
[0126] 若设备吊销组织参数与设备组织标识不相同,则执行步骤S331获取第三方案中的设备吊销参数区间。
[0127] 进一步地,目标参数的设备组织标识即OrganizationID,是从待验证的目标设备中获取的数字证书,并从该数字证书中提取目标参数,该目标参数包括设备组织标识,用于与吊销方案中的设备吊销组织参数进行比较,从而判断数字证书是否已被吊销。
[0128] 吊销方案中的第二方案为:如果上述第一方案中的设备吊销子证书参数与设备子证书标识不同,提取目标参数的OrganizationID(设备组织标识)的参数信息,判断提取的设备组织标识是否与设备吊销组织参数列表值相同。
[0129] 设备吊销组织参数标识被吊销设备制造商的的所属证书标识,用于与目标参数中的设备组织标识比较,判断数字证书是否被吊销。可将其定义为revokedOrganization参数,其通过预设吊销吊销列表的吊销方案中提取出来。
[0130] 具体实施时,验证方接收目标设备数字证书后,先解析数字证书中的证书吊销列表,获取revokedOrganization(设备吊销组织参数)列表值,证书吊销列表中预设的吊销方案包括的第二方案为:如果上述第一方案中的设备吊销子证书参数与设备子证书标识不同,就提取目标参数的OrganizationID(设备组织标识)的参数信息,判断提取的设备组织标识是否与设备吊销组织参数列表值相同。
[0131] 进一步的具体解释为:将提取的OrganizationID,与revokedOrganization列表进行一一匹配判断,查询revokedOrganization中是否存在相同的OrganizationID,若revokedOrganization列表中存在OrganizationID,说明该证书属于已被吊销的设备制造商所属证书,说明数字证书已被吊销,该设备证书非法。
[0132] 在一些实施例中,参考图4,步骤S300具体还包括以下步骤:
[0133] 通过执行步骤S200,获取数字证书中的目标参数,其中目标参数包括:设备标识;
[0134] 吊销方案包括第三方案,对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0135] S331,若设备吊销组织参数与设备组织标识不同,则获取第三方案中的设备吊销参数区间;
[0136] S332,判断设备吊销参数区间是否包括设备标识。
[0137] 若存在设备吊销参数区间包括设备标识,则执行步骤S400判断数字证书已被吊销。
[0138] 若设备吊销参数区间不包括设备标识,则执行步骤S341获取第四方案中的设备吊销参数区间。
[0139] 进一步地,目标参数的设备标识即DeviceID,是从待验证的目标设备中获取的数字证书,并从该数字证书中提取目标参数,该目标参数包括设备标识,用于与吊销方案中的设备吊销参数区间进行比较,从而判断数字证书是否已被吊销。
[0140] 吊销方案中的第三方案为:如果上述第二方案中的设备组织标识与设备吊销组织参数列表值不同,提取目标参数的DeviceID(设备标识)的参数信息,判断提取的设备吊销区间是否包括设备标识。
[0141] 设备吊销区间作用于记录被吊销证书的标识范围,用于与目标参数中的设备标识比较,判断数字证书是否被吊销。可将其定义为revokedRange参数,其通过在预设吊销吊销列表的吊销方案中提取出来。
[0142] 具体实施时,验证方接收目标设备数字证书后,先解析数字证书中的证书吊销列表,获取revokedRange(设备吊销区间)列表值,证书吊销列表中预设的吊销方案包括的第三方案为:如果上述第二方案中的设备吊销组织参数与设备组织标识不同,提取目标参数的DeviceID(设备标识)的参数信息,判断提取的设备吊销区间是否包括设备标识。
[0143] 进一步地具体解释为:将提取的DeviceID,与revokedRange列表值进行一一匹配判断,任何一个revokedRange的前40bit作为起始证书ID1,读取后40bit作为结束证书ID2(起始证书ID1和结束证书ID2之间的所有吊销证书),查询DeviceID是否在起始证书ID1和结束证书ID2之间,若revokedRange区间中包括DeviceID,说明该证书属于已被吊销的设备证书,说明数字证书已被吊销,该设备证书非法。
[0144] 在一些实施例中,参考图4,步骤S300具体还包括以下步骤:
[0145] 通过执行步骤S200,获取数字证书中的目标参数,其中目标参数包括:设备标识;
[0146] 吊销方案包括第四方案,对应的,基于吊销方案和目标参数判断数字证书是否已被吊销,包括:
[0147] S341,若设备吊销参数区间不包括设备标识,则获取第四方案中的设备吊销参数;
[0148] S342,判断设备吊销参数是否与设备标识相同。
[0149] 若设备吊销参数与设备标识相同,则执行步骤S400判断数字证书已被吊销,确定目标设备为非法设备。
[0150] 若设备吊销参数与设备标识不相同,则执行步骤S500判断数字证书未被吊销,确定目标设备为合法设备。
[0151] 进一步地,目标参数的设备标识即DeviceID,是从待验证的目标设备中获取的数字证书,并从该数字证书中提取目标参数,该目标参数包括设备标识,用于与吊销方案中的设备吊销参数进行比较,从而判断数字证书是否已被吊销。
[0152] 吊销方案中的第四方案为:如果上述第三方案中的设备吊销区间不包括设备标识,提取目标参数的DeviceID(设备标识)的参数信息,判断提取的设备吊销参数是否与设备标识相同。
[0153] 设备吊销参数记录单个吊销证书的标识,用于与目标参数中的设备标识比较,判断数字证书是否被吊销。可将其定义为revokedSingle参数,其通过在预设吊销吊销列表的吊销方案中提取出来。
[0154] 具体实施时,验证方接收目标设备数字证书后,先解析数字证书中的证书吊销列表,获取revokedSingle(设备吊销参数)列表值,证书吊销列表中预设的吊销方案包括的第四方案为:如果上述第三方案中的设备吊销参数区间不包括设备标识,则提取目标参数的DeviceID(设备标识)的参数信息,判断提取的设备吊销参数是否与设备标识相同。
[0155] 进一步地具体解释为:将提取的DeviceID,与revokedSingle列表值进行一一匹配判断,查询revokedSingle中是否存在相同的DeviceID,若revokedSingle列表值中包括DeviceID,说明该证书属于已被吊销的设备证书,说明数字证书已被吊销,该设备证书非法。
[0156] 如果设备吊销参数与设备标识不相同,则说明数字证书未被吊销,该设备证书合法。
[0157] S400,若数字证书已被吊销,则确定目标设备为非法设备。
[0158] 如果目标设备数字证书已经被吊销,则可以确定待检测目标设备为非法设备。
[0159] 在一些实施例中,参考图4,本申请实施例中具体还包括:
[0160] 步骤S500,若设备吊销参数与设备标识不同,则判断数字证书未被吊销,确定目标设备为合法设备。
[0161] 如果设备吊销参数与设备标识不同,则判断数字证书未被吊销,从而可以确定待检测目标设备为合法设备。
[0162] 一般地说,在上述吊销方案中的第四方案中,当设备吊销参数与设备标识不同时,则确定数字证书未被吊销。
[0163] 进一步地说,在上述多种吊销方案中,当数字证书未被吊销时,则确定待检测目标设备为合法设备。
[0164] 在一些实施方式中,设备数字证书吊销电子设备,包括:处理器和存储器,其中存储器用于存储可执行程序,可执行程序在被运行时执行如上所述的方法。
[0165] 在一些实施方式中,所述计算机可读存储介质存储有可执行指令,可执行指令能被计算机执行。
[0166] 存储器用来存储信息,保存计算机工作所必须的程序和数据。它包括内存储器和外存储器。
[0167] 本部分详细描述了本发明的具体实施例,附图的作用在于用图形使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案,但其不能理解为对本发明保护范围的限制。
[0168] 以上所述,只是本发明的较佳实施例而已,本发明并不局限于上述实施方式,上述的具体方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可作出很多形式,这些均属于本发明的保护之内,只要其以相同的手段达到本发明的技术效果,都应属于本发明的保护范围。