[发明专利]一种数字证书处理方法及装置

说明书

本发明提供一种数字证书处理方法及装置，在获取携带有待申请域名的域名申请请求后，若允许注册域名申请请求中携带的待申请域名，则授权域名申请请求中携带的待申请域名，并签发与所授权的待申请域名对应的数字证书，使得N级域名服务器不仅是域名的管理者，而且是签发域名对应的数字证书的新型CA机构。也就是说对于任意一级域名服务器来说，其仅能签发其所管理的下一级域名对应的数字证书，从而限制各级域名服务器签发数字证书的权力，解决因权力过大所导致的易受攻击的问题。并且每级域名服务器下的域名对应的数字证书均与根域名服务器有关，使得各级域名服务器对应的信任锚均是根域名服务器的根域名数字证书，实现信任锚唯一化。

技术领域

本发明属于网络与信息安全技术领域，尤其涉及一种数字证书处理方法及装置。

背景技术

目前数字证书由作为权威且可信的第三方，如CA(Certificate Authority，证书授权)机构负责，在终端与服务器建立安全的TLS(Transport Layer Security，安全传输层协议)连接或者SSL(Secure Sockets Layer，安全套接层)连接时，终端需要获取服务器发送的数字证书，并对该数字证书进行验证。为了获取并验证数字证书，目前通用方法是在终端预装受信任根证书，但是目前CA机构众多，使得终端预装根证书数量较多，如通常预装根证书数量可达上百个，从而导致证书信任锚不唯一。

并且目前CA机构签发数字证书的权力过大，任意CA机构能够给任意域名签发数字证书，而一旦任一CA机构由于被攻击或欺骗等原因误签发数字证书，就可以利用误签发的数字证书假扮成特定域名拥有者，实施中间人攻击。

发明内容

有鉴于此，本发明的目的在于提供一种数字证书处理方法及装置，用于使得信任锚唯一化且降低被攻击的可能性。技术方案如下：

本发明提供一种数字证书处理方法，所述方法包括：

获取与N级域名服务器对应的域名申请请求，所述域名申请请求中携带有待申请域名，且所述待申请域名为所述N级域名服务器对应的N+1级域名；其中所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；

在允许注册所述域名申请请求中携带的待申请域名的情况下，授权所述域名申请请求中携带的待申请域名；

签发与所授权的待申请域名对应的数字证书。

优选的，所述方法还包括：在所授权的待申请域名发生变化的情况下，撤销与所授权的待申请域名对应的数字证书；

或者

在获取到数字证书更改请求的情况下，更改与所授权的待申请域名对应的数字证书。

优选的，所述方法还包括：将与所授权的待申请域名对应的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

本发明还提供一种数字证书处理方法，所述方法包括：

获取N级域名服务器签发的数字证书，其中所述数字证书与所述N级域名服务器所授权的待申请域名对应，所述待申请域名为携带在域名申请请求中的N级域名服务器对应的N+1级域名，且在N级域名服务器允许注册所述待申请域名的情况下，由N级域名服务器授权所述待申请域名，所述N级域名服务器为根域名服务器且所述根域名服务器对应的N+1级域名为一级域名或者N为大于等于1的自然数；

将所述N级域名服务器签发的数字证书存储在所述N级域名服务器对应的域名系统管理服务器中，以使所述域名系统管理服务器在存储的数字证书与所述N级域名服务器签发的数字证书一致的情况下向终端返回终端请求的数字证书。

优选的，所述方法还包括：