[发明专利]证书查询方法、装置、设备及计算机可读存储介质

说明书

本申请提供了一种证书查询方法，该方法包括：当获取到目标客户端的证书信息时，可以生成携带该证书信息的OCSP查询报文；然后，将OCSP查询报文发送给至少一个查询服务器，以便查询服务器基于接收的OCSP查询报文进行OCSP查询，并生成携带目标客户端的证书状态的响应报文；最后，基于一个或多个查询服务器返回的响应报文，确定目标客户端的证书状态。可见，本申请采用OCSP查询方式，实时查询客户端的证书状态，查询结果更准确，降低了安全隐患。本申请还提供了一种证书查询装置、设备及计算机可读存储介质。

技术领域

本申请涉及通信技术领域，特别涉及一种证书查询方法、装置、设备及计算机可读存储介质。

背景技术

在一些安全性要求比较高的应用(比如互联网支付业务)中，服务器需要校验客户端的证书，以确认客户端是否有效，参见图1所示的证书校验示意图，该证书校验工作可以由后端服务器前置的反向代理服务器实现。

对于需要校验客户端证书的场景，主要是通过基于证书吊销列表(CertificateRevocation List，简称CRL)的校验方式来实现。参见图2所示的实现证书校验的网络架构示意图，其工作原理为：

反向代理服务器需预先存储各个(Certificate Authority，简称CA)机构发布的CRL吊销列表，或者定期从CA站点下载更新CRL吊销列表，作为检查证书状态的一个依据。基于此，当客户端发起连接请求时，首先进行安全套接字协议(Secure Sockets Layer，简称SSL)/安全传输层协议(Transport Layer Security，简称TLS)握手，在此过程中，反向代理服务器要向客户端发送证书请求，客户端收到证书请求后，向反向代理服务器发送客户端证书。在反向代理服务器接收到客户端证书后，从客户端证书中解析出证书序列号，并查找CRL吊销列表。如果在CRL吊销列表中查到该证书序列号，则拒绝客户端请求，连接终止；反之，如果没有查到该证书序列号，则校验通过，继续进行后续处理。

但是，在上述证书校验过程中，反向代理服务器使用的CRL数量可能会非常庞大，做不到实时更新，使得CRL数据可能不准确，然而，当CRL数据不准确时，可能会带来客户端证书校验的疏漏，从而导致证书状态查询结果的不准确，存在安全隐患。

发明内容

有鉴于此，本申请提供了一种证书查询方法、装置、设备及计算机可读存储介质，提高了证书状态查询结果的准确性。

具体地，本申请是通过如下技术方案实现的：

一种证书查询方法，所述方法应用于一种网络设备，所述方法包括：

获取目标客户端的证书信息；

生成携带所述证书信息的在线证书状态协议OCSP查询报文；

将所述OCSP查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

一种证书查询装置，所述装置应用于一种网络设备，所述装置包括：

证书获取单元，用于获取目标客户端的证书信息；

报文生成单元，用于生成携带所述证书信息的在线证书状态协议OCSP查询报文；

证书查询单元，用于将所述OCSP查询报文发送给至少一个查询服务器，其中，所述查询服务器用于基于接收的OCSP查询报文查询所述目标客户端的证书状态，并生成携带所述证书状态的响应报文；

证书确定单元，用于根据至少一个查询服务器返回的响应报文，确定所述目标客户端的证书状态。

一种电子设备，包括：处理器、存储器；