CN101136098A - 一种访问证书吊销列表的方法、装置和*** - Google Patents
一种访问证书吊销列表的方法、装置和*** Download PDFInfo
- Publication number
- CN101136098A CN101136098A CNA2006101277182A CN200610127718A CN101136098A CN 101136098 A CN101136098 A CN 101136098A CN A2006101277182 A CNA2006101277182 A CN A2006101277182A CN 200610127718 A CN200610127718 A CN 200610127718A CN 101136098 A CN101136098 A CN 101136098A
- Authority
- CN
- China
- Prior art keywords
- download
- crl
- time
- revocation list
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问证书吊销列表的方法,包括:在实时分发器中预置证书吊销列表;证书用户端向实时分发器发送证书吊销列表下载请求;实时分发器从所存储的证书吊销列表中查询与上述下载请求相应的证书吊销列表,并将该证书吊销列表返回至证书用户端。这样,证书用户端通过从实时分发器中获取证书吊销列表,有效避免了由于证书用户端无法及时获取证书吊销列表而导致的无法验证证书有效性的问题。
Description
技术领域
本发明涉及数字证书的管理,特别是涉及一种访问证书吊销列表的方法、装置和***。
背景技术
随着Internet的普及,各种电子商务活动飞速发展,为了保证互联网上电子交易及支付的安全性,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。
基于公钥基础结构(PKI,Pubic Key Infrastructure),使用非对称加密公钥/私钥对和证书是为满足上述要求而采用的一种有效手段。对于使用私钥加密的数据,只能使用相应的公钥进行解密,反之亦然。顾名思义,公钥是指可以提供给很多人的密钥。相反,私钥是特定个人所独有的。向用户传送公钥使用的分发机制是证书。通常,证书颁发机构(CA,Certification Authority)对证书进行签名,以便确认公钥来自声称发送公钥的主体。CA是一个相互信任的实体。
证书具有有效期,证书在期满后就会失效。但是,证书也有可能在过期之前变得无效,原因可能是用户私钥丢失或用户身份变更等。CA需要及时地对此类证书做出作废的处理,并尽可能使证书的接收者及时地获知这些作废证书的信息,因此,CA需要吊销该证书。要吊销证书,CA保存并分发一个吊销证书的列表,即证书吊销列表(CRL,Certificate Revocation List)。证书吊销列表中记录尚未过期但已声明作废的用户证书序列号,证书的接收者通过访问证书吊销列表以确定证书的有效性。
在现有的技术中,CA通常按一定时间间隔周期性的分发证书吊销列表,该时间间隔称为证书吊销列表的发布期,证书的用户端根据证书吊销列表中是否包含待校验的证书来判断证书的有效性。但是,由于证书吊销列表在发布时具有有效期,并且CA按固定的发布期发布证书吊销列表,因此,当证书吊销列表过期并被更新,而此时CA尚未进入下一个命令执行周期执行发布命令,就会导致已更新的证书吊销列表不能及时发布。
另外,由于CA是在同一时刻将证书吊销列表分发给数量庞大的证书用户端,这势必会导致通讯网络数据传输的瞬间激增以及网络堵塞的可能性,分发失败的可能性也因此大大增加。
发明内容
本发明所要解决的技术问题是提供一种访问证书吊销列表的方法,以解决现有技术中证书用户端无法及时获取证书吊销列表。
本发明的另一个目的是提供一种访问证书吊销列表的装置,以解决现有证书用户端无法及时获取证书吊销列表。
本发明还提供了一种访问证书吊销列表的,
为解决以上问题,本发明提供了一种访问证书吊销列表的方法,包括下列
步骤:
在实时分发器中预置证书吊销列表;
证书用户端向实时分发器发送证书吊销列表下载请求;
实时分发器从所存储的证书吊销列表中查询与上述下载请求相应的证书吊销列表,并将该证书吊销列表返回至证书用户端。
优选的,还包括:
实时分发器检验所述证书吊销列表是否在有效期内,若已过期,实时分发器向与该证书吊销列表相应的认证机构服务器发送证书吊销列表下载请求;
认证机构服务器根据上述请求取得相应的证书吊销列表并返回至实时分发器;
实时分发器使用上述证书吊销列表更新存储在所述实时分发器中的证书吊销列表。
优选的,还包括:
实时分发器判断是否存在下载证书吊销列表的活动线程,如果存在,等待该线程结束后启动新的下载线程,否则启动新的下载线程,所述新的下载线程用以从认证机构服务器下载所述证书吊销列表。
优选的,还包括:按照预先设置的下载策略完成下载,所述下载策略中包括重试下载次数和重试下载时间间隔。
优选的,所述下载策略为:
判断当前的下载线程是否成功下载了证书吊销列表,若成功,结束下载;否则,按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者成功下载。
优选的,所述下载策略为:
接收到认证机构服务器返回的证书吊销列表后,验证下载的证书吊销列表是否在有效期内,若没有过期,则使用该证书吊销列表更新存储在实时分发器中的证书吊销列表,若过期,由按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表没有过期。
优选的,所述下载策略为:验证下载的证书吊销列表是否为合法的证书吊销列表,若合法,使用该证书吊销列表更新存储在实时分发器中的证书吊销列表;否则,由按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表为合法的证书吊销列表文件。
本发明还公开了一种访问证书吊销列表的装置,包括:
存储单元,用于存储证书吊销列表;
查询单元,用于从存储单元所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;
通讯单元,用于接收用户的证书吊销列表下载请求,并发送所述查询到的证书吊销列表至用户。
优选的,还包括:文件下载调度单元,用于按照预先设置的下载策略连接认证机构服务器完成证书吊销列表的下载过程,所述预先设置的下载策略包含重试下载次数和重试下载时间间隔,所述文件下载调度单元将下载的证书吊销列表存储在存储单元中。
优选的,还包括:验证单元,用于检验证书吊销列表是否过期,若过期,所述文件下载调度单元按照所述下载策略向认证机构服务器发送证书吊销列表下载请求。
优选的,所述下载过程为:所述文件下载调度单元判断是否存在下载证书吊销列表的活动线程,如果存在,等待该线程结束后启动新的下载线程;否则启动新的下载线程,所述新的下载线程用以按照所述下载策略从认证机构服务器下载所述证书吊销列表。
优选的,所述下载策略为:所述文件下载调度单元判断当前的下载线程是否成功下载了证书吊销列表,若成功,结束下载;否则,按照所述下载策略的下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者成功下载。
优选的,所述下载策略为:所述验证单元验证文件下载调度单元下载的证书吊销列表是否在有效期内,若没有过期,则使用该证书吊销列表更新存储在实时分发器中的证书吊销列表;若过期,由文件下载调度单元按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表没有过期。
优选的,所述下载策略为:所述验证单元验证文件下载调度单元下载的证书吊销列表是否为合法的证书吊销列表,若合法,使用该证书吊销列表更新存储在存储单元中的证书吊销列表;否则,由文件下载调度单元按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表为合法的证书吊销列表。
本发明还公开了一种访问证书吊销列表的***,包括证书用户端、实时分发器和认证机构服务器,
所述证书用户端包括:
第一通讯单元,用以发送证书吊销列表下载请求和接收证书吊销列表;
所述认证机构服务器包括:
服务器存储单元,用于存储证书吊销列表;
维护单元,用于更新服务器存储单元中的证书吊销列表;
所述实时分发器包括:
存储单元,用于存储证书吊销列表;
查询单元,用于从存储单元所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;
第二通讯单元,用以接收从服务器存储单元中下载的证书吊销列表并存储到存储单元中;接收第一通讯单元发送的证书吊销列表下载请求,并将相应的证书吊销列表返回至第一通讯单元。
与现有技术相比,本发明具有以下优点:
通常情况下,CA通过通讯网络与证书用户端相连,证书用户端在CA发布证书时能否成功下载证书吊销列表完全依赖于下载时通讯网络和数据传输的稳定与否,而通讯网络却有着其固有的复杂性和不确定性,因此,一旦出现问题,将导致证书用户端无法获得证书吊销列表。本发明通过证书用户端主动向实时分发器发送证书吊销列表下载请求,由实时分发器将其存储的证书吊销列表返回给证书用户端,由于证书用户端不再直接从认证机构服务器下载证书吊销列表,避免了通讯网络的复杂性导致的下载过程中的不确定性,因此,使得证书用户端的每次下载请求均能够获得证书吊销列表,确保了证书用户端业务的正常处理。
另外,由于CA服务器需要将证书吊销列求表分发给数量众多的证书用户端,若按时间间隔同时分发,势必会造成网络中数据传输的瞬间激增,并因此造成网络拥塞的可能性也大大增加,导致证书吊销列表的分发失败。而本发明的各个证书用户端发送证书吊销列表下载请求的时间是根据各自的证书验证需求触发的,其下载请求的发送时间各不相同,因此,CA服务器在同一时刻发送下载请求的数量将非常有限,有效避免了网络通信的瞬间激增和出现网络堵塞的可能性。
其次,本发明通过实时分发器判断证书吊销列表是否过期来决定是否向认证服务器发送下载请求,避免了由于CA服务器按固定时间间隔分发证书吊销列表时,当证书吊销列表过期并被更新,而此时CA服务器尚未进入下一个命令执行周期执行发布命令,导致已更新的证书吊销列表不能及时发布的问题。
本发明通过文件下载调度器,按照预先设置的下载策略中的重试下载次数和重试下载时间间隔发送证书吊销列表下载请求,即使下载过程中出现中断或失败的问题,通过重试下载可最大限度的保证从CA服务器成功下载证书吊销列表,同时在下载过程中,文件下载调度器检验所下载的证书吊销列表是否过期,若过期,则按照下载策略重新下载,如此以来,进一步保证了所下载的证书吊销列表的有效性。
由于证书用户端通过实时分发器与CA服务器相连,文件下载调度器在下载到证书吊销列表后,实时分发器会检验所述证书吊销列表是否为合法有效的证书吊销列表,避免了由于CA服务器直接向证书用户端分发证书吊销列表时可能出现的,第三方通过攻击或篡改,将恶意的、非法的文件发送给证书用户端的问题,有效保证了证书用户端的安全。
附图说明
图1是本发明所述的用于访问证书吊销列表的***的结构图;
图2是本发明所述的用于访问证书吊销列表的方法的数据流程图;
图3是本发明所述的用于访问证书吊销列表的方法的数据流程图;
图4是本发明所述的文件下载调度器从CA服务器下载CRL的数据流程图;
图5是本发明所述的用于访问证书吊销列表的方法的装置的结构框图。
具体实施方式
在结合具体实施例说明本发明的方法、装置和***之前,首先介绍一下完整的证书认证过程所涉及的几个概念,并通过一个具体的例子了解认证过程中各主体的作用及关系。
在一个电子商务活动中,所有参与交易的实体都必须明确的表明自己的身份,只有建立起这种互信关系,交易才能够得以正常进行。而数字证书就是参与实体向对方表明自己身份的有效手段。
非对称加密算法是实现数字证书的基础。该算法使用私钥/公钥对,对于使用私钥加密的数据,只能使用相应的公钥进行解密,反之亦然。通常,CA对证书进行签名,以便确认公钥来自声称发送公钥的主体。下面以一个具体的例子说明CA是如何对证书签名的:
假设王丽和李华是通信双方的两个实体,现在王丽要让李华相信和他通信的另一方是王丽本人,具体过程如下:
1).王丽将一个签名的证书请求(包含她的名字、公钥、可能还有其他一些信息)发送到CA。
2).CA使用王丽的请求创建一个消息。CA使用其私钥对消息进行签名,以便创建一个单独的签名。CA将消息和签名返回给王丽。消息和签名共同构成了王丽的证书。
3).王丽将她的证书发送给李华,以便授权李华访问她的公钥。
4).李华使用CA的公钥对证书签名进行验证。如果证明签名是有效的,他就承认证书中的公钥是王丽的公钥。
在李华完成了对数字证书的验证后,在之后的与王丽的通信中,使用证书中王丽的公钥对数据进行加密,然后将加密过的数据发送给王丽,王丽使用自己的私钥解密该数据,从而保证数据通信的安全可信。
大多数普通用途的证书基于X.509证书标准.通常,证书包含以下信息:
使用者的公钥值;
使用者标识信息(如名称和电子邮件地址);
有效期(证书的有效时间);
证书序列号;
颁发者标识信息;
颁发者的数字签名,用来证明使用者的公钥和使用者的标识信息之间的绑定关系是否有效。
证书只有在指定的期限内才有效;每个证书都包含“有效起始日期”和“有效终止日期”,这两个值设置了有效期的期限,证书在期满后就会失效。但是,证书也有可能在过期之前变得无效,原因可能是用户私钥丢失或用户身份变更等。CA需要及时地对此类证书做出作废的处理,并尽可能使证书的接收者及时地获知这些作废证书的信息,因此,CA需要吊销该证书。要吊销证书,CA保存并分发一个CRL。CRL中记录尚未过期但已声明作废的用户证书序列号,证书的接收者通过访问CRL以确定证书的有效性。
以上讨论了证书的内容以及证书的作用过程,下面就结合具体的实施例描述一下根据本发明的用于访问证书吊销列表的方法、装置和***。
图1示出了一个应用本发明实现CRL访问的***结构图。
该***包括证书用户端101、实时分发器102和CA服务器103。
当证书用户端101收到一个数字证书,需要验证其是否有效时,证书用户端101向实时分发器102发送CRL下载请求;实时分发器102将与所述下载请求相应的CRL返回给证书用户端101;实时分发器102从CA服务器103下载CRL并更新本地的CRL;证书用户端101根据下载的CRL验证证书是否有效。
优选的,实时分发器102根据收到的CRL下载请求,判断本地是否存储有相应的CRL,若存在,取得该CRL并将其发送给证书用户端101,然后检验该CRL是否超出其有效期,若超出,实时分发器102向该CRL所属的CA服务器103发送CRL下载请求;若不存在,实时分发器102从CRL下载请求中取得该CRL所属的CA信息,向该CA服务器103发送CRL下载请求,并将下载的CRL发送给证书用户端101。
在本发明的另一个访问CRL方法的实施例中,实时分发器中预先存储了CA的配置信息,包括CA的名称和发布的CRL链接地址等。根据所述CA配置信息,实时分发器按照设定的时间间隔定期向CA发送CRL下载请求,并将下载的CRL更新到本地。实时分发器根据收到的CRL下载请求,取得相应的CRL,并将其发送给证书用户端。
图2示出了根据本发明一个优选实施例的用于访问证书吊销列表的方法的数据流程图。下面参考图2对本发明的一个实施例作详细描述。
步骤201:证书用户端向实时分发器发送CRL下载请求。
本发明所述的证书用户端可以应用于多种用途,如Web用户身份验证、Web服务器身份验证、安全电子邮件验证等。所述证书用户端收到证书并在使用证书之前验证该证书是否已被吊销。如前文所述,证书用户端通过访问CRL以确定证书的有效性。在本发明中,证书用户端通过向实时分发器发送CRL下载请求以获取相应的CRL。
实时分发器负责接收CRL下载请求,并根据所述下载请求取得相应的CRL发送给证书用户端。
在实际的业务处理中,基于不同的验证目的,证书用户端接收的证书往往是由不同的CA签发的,因此,当需要验证一个证书是否有效时,需要使用负责签发该证书的CA所发布的CRL来验证。实时分发器中存储有不同的CA发布的CRL,当证书用户端向实时分发器发送CRL下载请求时,实时分发器从存储的CRL中取得与所述下载请求相应的CRL,并将其返回给证书用户端。
例如:证书用户端发送给实时分发器的CRL下载请求信息包括了CRL签发者,如 “O=Alibaba.com Corporation,OU=CA Center,CN=Alibaba.comCorporation User CA”,表示请求下载的CRL是由证书认证机构Alibaba.comCorporation发布的,实时分发器取得由Alibaba.com Corporation发布的CRL,并将其发送给证书用户端。
通过实时分发器将CRL返回给证书用户端,避免了证书用户端利用通讯网络从CA服务器下载CRL时,由于网络数据传输的不确定性而导致的CRL下载失败。优选的,本发明将实时分发器和证书用户端部署在同一个计算机设备中,通过可靠的物理连接保证了CRL安全传输。
步骤202:实时分发器检验是否存储有与所述下载请求相应的CRL,若存在,取得该CRL并将其发送给证书用户端,否则直接执行步骤204。
步骤203:实时分发器检验与所述下载请求相应的CRL是否在有效期内,若已过期,执行步骤204;否则,等待接收下次CRL下载请求。
本发明优选的,由实时分发器完成对CRL有效期的检验,证书用户端只需要发送下载请求和下载CRL,这样以来,实时分发器和证书用户端各司其职,不仅实现和维护简单,而且降低了证书用户端的负荷,保证了其业务的正常处理。
另外,由于证书用户端也存储了从实时分发器下载的CRL,因此,也可以由证书用户端完成对CRL有效期的检验,若超出有效期,则向实时分发器发送CRL下载请求。由证书用户端或者实时分发器完成证书有效期限的检验并不影响本发明的实施,本领域的技术人员可根据实际情况选择使用,本发明对此不作限制。
步骤204:实时分发器根据收到的CRL下载请求向CA服务器发送CRL下载请求。
步骤205:实时分发器根据下载的CRL更新存储在实时分发器中的CRL。
图3示出了根据本发明的另一个优选实施例的用于访问证书吊销列表的方法的数据流程图。下面参考图3对本发明的另一实施例作详细描述。
步骤301:实时分发器按照预先设置的时间间隔并根据预先存储的CA的配置信息检验本地是否存储有与该CA相应的CRL,若存在执行步骤302,否则,执行步骤303;。
由于用户可能使用不同CA发布的CRL验证不同的数字证书,因此,本例中,实时分发器中存储有不同CA的配置信息,包括CA的名称、CRL的发布链接地址等。实时分发器根据CA的CRL发布链接地址可下载到相应的CRL。
在实际应用中,本领域技术人员可根据实际需要自行设定实时分发器检验CRL有效期的时间间隔,例如每隔30秒检验一次。优选的,实时分发器周期性检验CRL的开始时间是随机的,并且,各实时分发器中的CA配置信息也不尽相同,因此,避免了不同的实时分发器在同一时刻向同一个CA服务器发送下载请求的情况。
步骤302:实时分发器检验与该CA相应的CRL是否在有效期内,若已过期,执行下面的步骤,否则执行步骤304。
步骤303:向该CA的服务器发送CRL下载请求,并将下载的CRL存储到实时分发器中。
步骤304:重复执行步骤301和步骤303,直到完成所有CA的检验和CRL下载。
步骤305:实时分发器根据收到的CRL下载请求,从存储的CRL中取得与该下载请求相应的CRL发送给证书用户端。
由实施例一的描述可知,实时分发器在收到证书用户端的下载请求后,检验CRL是否超过有效期,若过期,则向CA服务器发送CRL下载请求。由实施例二可知,实时分发器按一定时间间隔定期检验CRL是否过期,若过期则向CA服务器发送CRL下载请求。因此,应用本发明,一般不会出现同一时刻CA服务器需要响应大量请求的情况,有效避免了原有的CA服务器按固定时间间隔分发CRL,导致的网络数据传输瞬间激增,进而造成网络堵塞的可能。
以上描述了本发明访问CRL的一般方法,为了更加安全、有效的访问和下载CRL,优选的,实时分发器通过文件下载调度器从CA服务器下载CRL。
图4示出了本发明的文件下载调度器从CA服务器下载CRL数据流程图。下面参考图4对本发明的这一优选实施例作详细描述。
步骤401:文件下载调度器判断是否存在下载CRL的活动线程,如果存在,等待该线程结束后启动新的下载线程,否则直接启动新的下载线程向CA服务器发送下载请求以下载所述CRL。
步骤402:文件下载调度器判断是否成功下载了CRL,若成功,执行步骤404;否则,执行步骤403;
步骤403:根据下载策略判断是否需要重新下载CRL,若需要,则重新发送CRL下载请求,否则执行步骤404。
优选的,文件下载调度器按照预先设置的下载策略发送下载请求,优选的,所述下载策略定义了下载次数和下载时间间隔。
根据下载策略,发送CRL下载请求后,会再次判断该CRL是否下载成功,若成功执行下面的步骤;否则,判断是否完成了重试下载次数,若已完成,中断CRL下载,否则,根据重试下载时间间隔等待一段时间后,重新发送CRL下载请求;重复该过程,直到完成重试下载次数或成功下载。
文件下载调度器收到下载请求后,首先判断当前是否存在活动的CRL下载线程,具体的做法是:通过设置一个标志位,如果启动了下载线程,将标记位设置为“有活动线程”;否则当所有的线程都结束后,将其设置为“无活动线程”。文件下载调度器根据该标志位判断是否存在活动的下载线程。若存在,设置一段等待时间,届时文件下载调度器会再一次判断是否有活动的下载线程;否则,读取并按照重试策略启动新的下载线程。
以Java语言为例:若文件下载调度器判断标志位的值为“有活动线程”,则执行Thread.sleep(int seconds),表示等待seconds秒后再执行判断;否则,读取重试策略并按照该策略执行Thread.start(),启动新的下载线程。重试策略被预先定义了重试下载次数和下载时间间隔,具体表现为参数配置,格式如:5,30,60,600,3600,表示最多重试5次,各次操作的时间间隔为5秒,30秒,60秒,600秒,3600秒。本例中,通过设置一个“重试次数”的变量,用于记录重试下载的次数。每次重试下载后,“重试次数”加1。它不仅可以用来判断是否需要重试,还可以用于取得到下一次重试前需要等待的时间。
通过所述下载策略,即使在第一次下载时由于网络通讯故障或其他原因导致CRL下载失败,文件下载调度器依然有可能在以后重试下载中成功下载到CRL,因此大大提高了下载的可靠性。
步骤404:实时分发器检验文件下载调度器所下载的CRL是否在有效期内,若有效,执行步骤406;否则,执行步骤405;
步骤405:根据下载策略判断是否需要重新下载CRL,若需要,则重新发送CRL下载请求,否则执行步骤406。
根据下载策略,除非完成重试下载次数或下载的CRL有效,否则等待重试下载时间间隔后重新发送CRL下载请求。
通常CA服务器会在CRL过期后更新CRL,但是一旦出现更新不及时,就会导致证书用户端下载的CRL是一个过期的CRL,造成证书验证的安全隐患。在本发明的实际应用中,即使出现了上述问题,通过步骤401至405或所述的方法,使得CRL即使在超过其有效期的一定时间范围内,通过多次重试下载,提高了下载到有效CRL的可能,降低了因无法获得有效的CRL而导致的安全隐患。
步骤406:实时分发器验证下载的CRL是否为合法的CRL,若合法,执行步骤408;否则,执行步骤407。
步骤407:根据下载策略判断是否需要重新下载CRL,若需要重新发送CRL下载请求,否则执行步骤408。。
从CA服务器下载的CRL文件必须符合X.509的格式标准,实时分发器会验证该CRL文件是否符合X.509标准,同时验证该CRL文件是否是由特定的CA发布,以此避免由于CA服务器直接向证书用户端分发证书吊销列表时可能出现的,第三方通过攻击或篡改,将恶意的、非法的文件发送给证书用户端的问题,有效保证了证书用户端的安全。
步骤408:使用下载的CRL更新本地的CRL。
以上,结合具体实施例描述了本发明的一种访问证书吊销列表的方法。参照以上有关本发明的介绍,如图5所示,是根据本发明一个优选实施例的用于访问CRL的装置方框图。所述装置包括:
存储单元501,用于存储CRL;
查询单元505,用于从存储单元501所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;
通讯单元502,用于接收CRL下载请求,并发送从存储单元501中根据所述CRL下载请求取得的CRL;
文件下载调度单元503,用于按照预先设置的下载策略向CA服务器发送CRL下载请求,所述预先设置的下载策略包含重试下载次数和重试下载时间间隔,所述文件下载调度单元503将下载的CRL存储在存储单元中;
验证单元504,用于检验CRL是否过期,若过期,通过文件下载调度单元503发送CRL下载请求。
当通讯单元502接收到CRL下载请求后,验证单元504根据所述下载请求查询存储单元501中是否存储有相应的CRL,若存在,则将该CRL通过通讯单元502发送给CRL的下载请求端,同时,验证该CRL是否超过有效期,若超出有效期,向文件下载调度单元503提交CRL下载请求;若存储单元501中不存在相应的CRL,向文件下载调度单元503提交CRL下载请求。
文件下载调度单元503判断是否成功下载了CRL,若没有成功,从存储单元501中读取下载策略,按照预先设定的重试下载时间间隔发送CRL下载请求,除非完成重试下载次数或CRL下载成功,否则,文件下载调度单元503按下载策略重新发送CRL下载请求。
验证单元504验证文件下载调度单元503下载的CRL是否超出有效期,若超出有效期,从存储单元501中读取下载策略,按照预先设定的重试下载时间间隔发送CRL下载请求,除非完成重试下载次数或CRL有效,否则,文件下载调度单元503按下载策略重新发送CRL下载请求。
验证单元504验证文件下载调度单元503下载的CRL是否合法,若不合法,从存储单元501中读取下载策略,按照预先设定的重试下载时间间隔发送CRL下载请求,除非完成重试下载次数或CRL合法,否则,文件下载调度单元503按下载策略重新发送CRL下载请求。
优选的,本发明所述的访问CRL的装置与证书用户端部署在同一台计算机设备中,当然,正如本领域的一般技术人员所理解的那样,可以很容易的以其他方式部署该装置,例如将其部署在独立的服务器中,本发明对此没有限制,本领域的技术人员可根据实际情况进行选择。
参考上述实施例,本发明的另一个用于访问CRL的装置的优选实施例与上述实施例的区别在于:
存储单元中还预先存储有CA的配置信息;
验证单元按预先设定的时间间隔周期性的检验存储单元中是否存储有与所述CA相应的CRL,若不存在,向文件下载调度单元提交CRL下载请求;若存在与该CA相应的CRL,检验该CRL是否超出有效期,若超出,则向文件下载调度单元提交CRL下载请求。
本实施例的其他内容请参见上述实施例,这里不再赘述。
本发明还公开了一种访问证书吊销列表的***,包括证书用户端、实时分发器和认证机构服务器,
所述证书用户端包括:第一通讯单元,用以发送证书吊销列表下载请求和接收证书吊销列表;
所述认证机构服务器包括:服务器存储单元,用于存储证书吊销列表;维护单元,用于更新服务器存储单元中的证书吊销列表;
所述实时分发器包括:存储单元,用于存储证书吊销列表;查询单元,用于从所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;第二通讯单元,用以接收从服务器存储单元中下载的证书吊销列表并存储到存储单元中;接收第一通讯单元发送的证书吊销列表下载请求,并将相应的证书吊销列表返回至第一通讯单元。
以上对本发明所提供的一种访问证书吊销列表的方法、装置和***,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种访问证书吊销列表的方法,其特征在于,包括下列步骤:
在实时分发器中预置证书吊销列表;
证书用户端向实时分发器发送证书吊销列表下载请求;
实时分发器从所存储的证书吊销列表中查询与上述下载请求相应的证书吊销列表,并将该证书吊销列表返回至证书用户端。
2.根据权利要求1所述的访问证书吊销列表的方法,其特征在于,还包括:
实时分发器检验所述证书吊销列表是否在有效期内,若已过期,实时分发器向与该证书吊销列表相应的认证机构服务器发送证书吊销列表下载请求;
认证机构服务器根据上述请求取得相应的证书吊销列表并返回至实时分发器;
实时分发器使用上述证书吊销列表更新存储在所述实时分发器中的证书吊销列表。
3.根据权利要求2所述的访问证书吊销列表的方法,其特征在于,还包括:
实时分发器判断是否存在下载证书吊销列表的活动线程,如果存在,等待该线程结束后启动新的下载线程,否则启动新的下载线程,所述新的下载线程用以从认证机构服务器下载所述证书吊销列表。
4.根据权利要求3所述的访问证书吊销列表的方法,其特征在于,还包括:按照预先设置的下载策略完成下载,所述下载策略中包括重试下载次数和重试下载时间间隔。
5.根据权利要求4所述的访问证书吊销列表的方法,其特征在于,所述下载策略为:
判断当前的下载线程是否成功下载了证书吊销列表,若成功,结束下载;否则,按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者成功下载。
6.根据权利要求4所述的访问证书吊销列表的方法,其特征在于,所述下载策略为:
接收到认证机构服务器返回的证书吊销列表后,验证下载的证书吊销列表是否在有效期内,若没有过期,则使用该证书吊销列表更新存储在实时分发器中的证书吊销列表,若过期,由按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表没有过期。
7.根据权利要求4所述的访问证书吊销列表的方法,其特征在于,所述下载策略为:验证下载的证书吊销列表是否为合法的证书吊销列表,若合法,使用该证书吊销列表更新存储在实时分发器中的证书吊销列表;否则,由按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该步骤,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表为合法的证书吊销列表文件。
8.一种访问证书吊销列表的装置,其特征在于,包括:
存储单元,用于存储证书吊销列表;
查询单元,用于从存储单元所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;
通讯单元,用于接收用户的证书吊销列表下载请求,并发送所述查询到的证书吊销列表至用户。
9.根据权利要求8所述的访问证书吊销列表的装置,其特征在于,还包括:文件下载调度单元,用于按照预先设置的下载策略连接认证机构服务器完成证书吊销列表的下载过程,所述预先设置的下载策略包含重试下载次数和重试下载时间间隔,所述文件下载调度单元将下载的证书吊销列表存储在存储单元中。
10.根据权利要求9所述的访问证书吊销列表的装置,其特征在于,还包括:验证单元,用于检验证书吊销列表是否过期,若过期,所述文件下载调度单元按照所述下载策略向认证机构服务器发送证书吊销列表下载请求。
11.根据权利要求9或10所述的访问证书吊销列表的装置,其特征在于,所述下载过程为:所述文件下载调度单元判断是否存在下载证书吊销列表的活动线程,如果存在,等待该线程结束后启动新的下载线程;否则启动新的下载线程,所述新的下载线程用以按照所述下载策略从认证机构服务器下载所述证书吊销列表。
12.根据权利要求11所述的访问证书吊销列表的装置,其特征在于,所述下载策略为:所述文件下载调度单元判断当前的下载线程是否成功下载了证书吊销列表,若成功,结束下载;否则,按照所述下载策略的下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者成功下载。
13.根据权利要求11所述的访问证书吊销列表的装置,其特征在于,所述下载策略为:所述验证单元验证文件下载调度单元下载的证书吊销列表是否在有效期内,若没有过期,则使用该证书吊销列表更新存储在实时分发器中的证书吊销列表;若过期,由文件下载调度单元按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表没有过期。
14.根据权利要求11所述的访问证书吊销列表的装置,其特征在于,所述下载策略为:所述验证单元验证文件下载调度单元下载的证书吊销列表是否为合法的证书吊销列表,若合法,使用该证书吊销列表更新存储在存储单元中的证书吊销列表;否则,由文件下载调度单元按照所述下载策略的重试下载时间间隔重新发送下载请求;
循环执行该过程,直到完成所述下载策略的重试下载次数或者下载的证书吊销列表为合法的证书吊销列表。
15.一种访问证书吊销列表的***,其特征在于,包括证书用户端、实时分发器和认证机构服务器,
所述证书用户端包括:
第一通讯单元,用以发送证书吊销列表下载请求和接收证书吊销列表;
所述认证机构服务器包括:
服务器存储单元,用于存储证书吊销列表;
维护单元,用于更新服务器存储单元中的证书吊销列表;
所述实时分发器包括:
存储单元,用于存储证书吊销列表;
查询单元,用于从存储单元所存储的证书吊销列表中查询与用户下载请求相应的证书吊销列表;
第二通讯单元,用以接收从服务器存储单元中下载的证书吊销列表并存储到存储单元中;接收第一通讯单元发送的证书吊销列表下载请求,并将相应的证书吊销列表返回至第一通讯单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101277182A CN101136098A (zh) | 2006-08-30 | 2006-08-30 | 一种访问证书吊销列表的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006101277182A CN101136098A (zh) | 2006-08-30 | 2006-08-30 | 一种访问证书吊销列表的方法、装置和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101136098A true CN101136098A (zh) | 2008-03-05 |
Family
ID=39160185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101277182A Pending CN101136098A (zh) | 2006-08-30 | 2006-08-30 | 一种访问证书吊销列表的方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136098A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873240A (zh) * | 2012-12-10 | 2014-06-18 | 华为技术有限公司 | 一种crl传输方法、装置及*** |
| CN104036033A (zh) * | 2014-06-30 | 2014-09-10 | 北京数字认证股份有限公司 | 数字证书的证书吊销列表缓存及查询方法 |
| CN104980438A (zh) * | 2015-06-15 | 2015-10-14 | 中国科学院信息工程研究所 | 一种虚拟化环境中数字证书撤销状态检查的方法和*** |
| CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
| CN107026738A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
| CN107026853A (zh) * | 2017-03-24 | 2017-08-08 | 中国联合网络通信集团有限公司 | 安全认证方法、***和服务器 |
| CN109379371A (zh) * | 2018-11-20 | 2019-02-22 | 多点生活(成都)科技有限公司 | 证书验证方法、装置及*** |
| CN109889484A (zh) * | 2018-12-28 | 2019-06-14 | 卡斯柯信号有限公司 | 轨道交通车载信号控制***用的信息安全保密方法及装置 |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
| CN113742787A (zh) * | 2021-08-06 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 数字证书吊销列表更新方法、发起终端、响应终端及*** |
| CN114866243A (zh) * | 2021-01-20 | 2022-08-05 | 华为技术有限公司 | 证书吊销列表管理方法、装置及电子设备 |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
-
2006
- 2006-08-30 CN CNA2006101277182A patent/CN101136098A/zh active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873240A (zh) * | 2012-12-10 | 2014-06-18 | 华为技术有限公司 | 一种crl传输方法、装置及*** |
| CN104036033A (zh) * | 2014-06-30 | 2014-09-10 | 北京数字认证股份有限公司 | 数字证书的证书吊销列表缓存及查询方法 |
| CN104980438B (zh) * | 2015-06-15 | 2018-07-24 | 中国科学院信息工程研究所 | 一种虚拟化环境中数字证书撤销状态检查的方法和*** |
| CN104980438A (zh) * | 2015-06-15 | 2015-10-14 | 中国科学院信息工程研究所 | 一种虚拟化环境中数字证书撤销状态检查的方法和*** |
| WO2016201754A1 (zh) * | 2015-06-15 | 2016-12-22 | 中国科学院信息工程研究所 | 一种虚拟化环境中数字证书撤销状态检查的方法和*** |
| CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
| CN107026738B (zh) * | 2016-02-01 | 2020-05-19 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
| CN107026738A (zh) * | 2016-02-01 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 数字证书更新方法、数字签名校验方法和数字认证装置 |
| CN107026853A (zh) * | 2017-03-24 | 2017-08-08 | 中国联合网络通信集团有限公司 | 安全认证方法、***和服务器 |
| CN107026853B (zh) * | 2017-03-24 | 2019-10-22 | 中国联合网络通信集团有限公司 | 安全认证方法、***和服务器 |
| CN109379371A (zh) * | 2018-11-20 | 2019-02-22 | 多点生活(成都)科技有限公司 | 证书验证方法、装置及*** |
| CN109379371B (zh) * | 2018-11-20 | 2021-11-23 | 多点生活(成都)科技有限公司 | 证书验证方法、装置及*** |
| CN109889484A (zh) * | 2018-12-28 | 2019-06-14 | 卡斯柯信号有限公司 | 轨道交通车载信号控制***用的信息安全保密方法及装置 |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
| CN114866243A (zh) * | 2021-01-20 | 2022-08-05 | 华为技术有限公司 | 证书吊销列表管理方法、装置及电子设备 |
| CN114866243B (zh) * | 2021-01-20 | 2024-03-15 | 华为技术有限公司 | 证书吊销列表管理方法、装置及电子设备 |
| CN113742787A (zh) * | 2021-08-06 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 数字证书吊销列表更新方法、发起终端、响应终端及*** |
| CN116455633A (zh) * | 2023-04-17 | 2023-07-18 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
| CN116455633B (zh) * | 2023-04-17 | 2024-01-30 | 清华大学 | 数字证书验证方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136098A (zh) | 一种访问证书吊销列表的方法、装置和*** | |
| CN109617698B (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| CN111600908B (zh) | 数据处理的方法、***、计算机设备和可读存储介质 | |
| JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
| O’Malley et al. | Hadoop security design | |
| KR100501095B1 (ko) | 단말 통신 시스템, 그 방법, 및 휴대 단말 | |
| US8006085B2 (en) | License management system and method | |
| CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及*** | |
| CN111049835B (zh) | 分布式公共证书服务网络的统一身份管理*** | |
| CN109146479B (zh) | 基于区块链的数据加密方法 | |
| EP2604022B1 (en) | Certificate revocation | |
| CN109936552B (zh) | 一种密钥认证方法、服务器及*** | |
| CN101527634B (zh) | 账户信息与证书绑定的***和方法 | |
| JP2007110377A (ja) | ネットワークシステム | |
| CN103490881A (zh) | 认证服务***、用户认证方法、认证信息处理方法及*** | |
| EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| KR102410006B1 (ko) | 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템 | |
| CN103117987A (zh) | 数字证书更新方法 | |
| CN100527144C (zh) | 一种在数字版权管理中实现准确计费的方法及装置 | |
| JP7280517B2 (ja) | 権利者端末、利用者端末、権利者プログラム、利用者プログラム、コンテンツ利用システムおよびコンテンツ利用方法 | |
| JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
| CN101291220B (zh) | 一种身份安全认证的***、装置及方法 | |
| JP3761432B2 (ja) | 通信システムおよびユーザ端末およびicカードおよび認証システムおよび接続および通信の制御システムおよびプログラム | |
| CN111797367A (zh) | 软件认证方法及装置、处理节点及存储介质 | |
| CN1985460B (zh) | 用于ocsp和分布式ocsp的通信有效实时凭证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1114444 Country of ref document: HK |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080305 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1114444 Country of ref document: HK |