本發明涉及一種用于創建證書測試庫的方法和裝置，其中，該裝置包括：驗證模塊，用于利用多個具有對公鑰基礎設施(PKI)的證書進行驗證的功能的實現，對多個公鑰基礎設施的證書中的每一個證書進行驗證；設置模塊，用于根據所述多個實現對所述多個證書各自的驗證結果，設置所述多個證書各自的表示是否有效的有效性指示；以及，創建模塊，用于創建證書測試庫，所述證書測試庫包括至少一個證書和所述至少一個證書各自的所述有效性指示，所述至少一個證書是所述多個證書中其所述有效性指示為有效或無效的證書。利用該方法和裝置，能夠在付出較少人力的情況下創建證書測試庫。

技術領域

本發明涉及公鑰基礎設施領域，尤其涉及一種用于創建證書測試庫的方法和裝置。

背景技術

公鑰基礎設施(PKI)是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范，其通過認證機構(CA)利用證書把用戶的公鑰和用戶的標識信息捆綁在一起，在網絡上驗證用戶的身份。國際電信聯盟(ITU-T)制定的數字證書標準X.509詳細定義了PKI中的證書。

安全套接層(SSL)協議及其繼任者傳輸層安全(TLS)協議是PKI中采用的為網絡通信提供安全及數據完整性的一種安全協議，用于在實際的數據傳輸開始前，對通信雙方進行身份認證、協商加密算法、交換加密密鑰等。實現或遵循SSL/TLS協議的部分或全部的應用通常被稱作SSL/TLS實現，例如，OpenSSL、NSS、GnuTLS等。SSL/TLS實現在對用戶進行身份認證時首先需要對用戶的證書進行有效性驗證。從而，SSL/TLS實現能否正確地驗證證書的有效性對SSL/TLS實現的身份認證功能非常重要。

通常，使用證書測試庫來測試SSL/TLS實現能否正確地驗證證書的有效性，其中，該證書測試庫包括多個證書和該多個證書各自的表示有效或無效的有效性指示。然而，在創建該證書測試庫時，該多個證書各自的有效性指示是由操作人員對該多個證書檢查而確定的。

因此，目前創建證書測試庫的方式需要付出較大的人力。

發明內容

考慮到現有技術的上述問題，本發明的實施例提供一種用于創建證書測試庫的方法和裝置，其能夠在付出較少人力的情況下創建證書測試庫。

按照本發明實施例的一種用于創建證書測試庫的方法，包括：利用多個具有對公鑰基礎設施(PKI)的證書進行驗證的功能的實現，對多個公鑰基礎設施的證書中的每一個證書進行驗證；根據所述多個實現對所述多個證書各自的驗證結果，設置所述多個證書各自的表示是否有效的有效性指示；以及，創建證書測試庫，所述證書測試庫包括至少一個證書和所述至少一個證書各自的所述有效性指示，所述至少一個證書是所述多個證書中其所述有效性指示為有效或無效的證書。

其中，設置所述多個證書各自的表示是否有效的有效性指示包括：如果所述多個實現對所述多個證書中的任一證書的驗證結果都表示所述任一證書是有效的，則設置所述任一證書的所述有效性指示為有效；如果所述多個實現對所述任一證書的驗證結果都表示所述任一證書是無效的，則設置所述任一證書的所述有效性指示為無效；以及，如果所述多個實現中的一部分實現對所述任一證書的驗證結果都表示所述任一證書是有效的，以及，所述多個實現中的另一部分實現對所述任一證書的驗證結果都表示所述任一證書是無效的，則設置所述任一證書的所述有效性指示為有效性未知。

其中，所述方法還包括：如果所述多個證書中的某些證書的所述有效性指示為有效性未知，則根據預定的規則，判斷所述某些證書中的每一個證書是否有效；以及，基于判斷結果，設置所述某些證書各自的所述有效性指示。

其中，所述方法還包括：如果所述多個證書中的一個或若干證書的所述有效性指示為有效性未知，則呈現所述一個或若干證書以供技術人員檢查其是否有效；以及，當接收到指示所述一個或若干證書各自是有效或無效的檢查結果時，根據所接收的檢查結果，設置所述一個或若干證書各自的所述有效性指示。