一种增量式CRL列表更新装置的制作方法

一种增量式crl列表更新装置
技术领域
1.本技术涉及网络技术领域，更具体地说，涉及一种增量式crl列表更新装置。


背景技术：

2.作为目前金融科技领域网络安全建设的基础与核心,pki技术通过数字证书绑定用户身份信息，当发生密钥泄漏、账户关系变更等情况时,需要及时更新作废数字证书,来保证系统安全。基于ca发布的crl(certificate revocation list,证书作废列表)被广泛应用于电子商务等金融场景中，但是在数字化转型的战略背景下，pki的规模不断扩大，银行业所产生的用户证书数量剧烈膨胀，作废证书体量也随之增长。传统的crl方案无法完全兼顾证书作废列表发布、下载、查询的及时性、准确性与高效性。因此如何解决crl的及时分发与下载，查询crl列表提高签名验证效率，是急需解决的问题。
3.ca作为pki应用中权威的可信的公正的第三方机构，负责生成和管理pki结构下的所有用户(含各种应用程序)的证书。ra是ca的延伸部分，它与ca逻辑上是一个整体，执行不同的功能。ra按照特定的政策和管理规范对用户的资格进行审查，以决定是否为该用户发放证书。证书撤销申请可以由终端用户发起，直接交给ca或者ra中心。ra或ca对用户的申请进行审核。在某些环境下，ca也有权利直接撤销终端实体的证书，证书撤销流程图1所示。
4.证书状态由颁发该证书的ca管理，为保护ca私钥安全，ca不直接向验证者提供证书状态信息，离线签署证书状态信息后，发布到证书撤销库中并定期更新，由证书撤销库响应验证者的查询请求，流程如图2所示。
5.目前一般采用全量crl更新方案，既ca按照一定周期全量发布crl至crl存储器中，为用户提供相对较新的证书状态信息，将crl直接下载至签名验签装置中供其使用。此方案虽然可以实时获取到准确的crl信息，但由于crl体量较大，下载耗时较长。


技术实现要素：

6.有鉴于此，本技术提供一种增量式crl列表更新装置，用于减少crl列表的下载耗时。
7.为了实现上述目的，现提出的方案如下：
8.一种增量式crl更新装置，包括证书撤销单元、撤销证书存储单元和安全代理服务单元，其中：
9.所述证书撤销单元用于将过期的证书或者存在私钥泄露的证书进行作废处理，并将作废处理后的证书存储在所述撤销证书存储单元；
10.撤销证书存储单元用于将作废处理后的证书以预设数据结构存储；
11.所述安全代理服务单元用于采用增量式机制通过预设周期下载crl，并通过所述证书撤销单元对应的信任域证书校验所述crl的有效性，并在校验通过后将所述crl发布在所述安全代理服务单元。
12.可选的，所述证书撤销单元包括证书注册器和证书认证器。
13.可选的，所述撤销证书存储单元包括crl存储服务器，其中：
14.所述crl存储服务器用于存储作废后的证书。
15.可选的，所述crl存储服务器为ldap服务器。
16.可选的，所述安全代理服务单元包括crl下载器、crl校验器和crl发布器，其中：
17.所述crl下载器用于采用增量式机制通过预设周期下载所述crl；
18.所述crl校验器用于通过所述证书撤销单元对应的信任域证书校验所述crl的有效性；
19.所述crl发布器在所述crl校验通过后将其进行发布。
20.从上述的技术方案可以看出，本技术公开了一种增量式crl更新装置，包括证书撤销单元、撤销证书存储单元和安全代理服务单元。证书撤销单元主要完成作废证书的撤销过程。撤销证书存储单元负责完成撤销证书的存储工作，并按照增量发布方式存储crl，供验证方下载使用。安全代理服务单元是采用增量式机制按照设置好的周期下载crl。本方案将下载存储crl的工作下移至安全代理服务单元，有效缓解了签名验签服务器压力，从而减少了crl列表的下载耗时。
附图说明
21.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
22.图1为证书撤销的流程图；
23.图2为证书查询的流程图；
24.图3为本技术实施例的一种增量式crl更新装置的框图；
25.图4为本技术实施例的证书撤销单元的框图；
26.图5为本技术实施例的crl存储结构的示意图；
27.图6为本技术实施例的安全代理服务单元的框图；
28.图7为本技术实施例的crl下载器的框图；
29.图8为本技术实施例的crl校验器的工作流程图。
具体实施方式
30.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
31.本技术的实施例涉及多个概念，分别如下所述：
32.crl：证书撤销列表(certificate revocation list)，是一种特殊的文件格式，包含所有失效的证书清单、下次crl生成时间和ca私钥的签名。
33.pki：公钥基础设施(public key infrastructure)，pki主要为用户提供证书申请、作废的途径，并利用数字证书及相关的各种服务(签名验签、数字信封等)实现通信中各
实体的身份认证，确保通信内容的完整性、保密性和抗抵赖性。
34.ca：认证机构(certificate authority)，也称ca中心或数字证书认证中心，作为网上交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改，以及对证书和密钥进行管理。
35.ra：注册中心(registry authority)，是数字证书认证中心对证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作，同时，对发放的证书完成相应的管理功能。
36.ldap：轻量目录访问协议(light-weight directory access protocol)，一种高效的查询、浏览、搜索层次型数据库的协议。
37.图3为本技术实施例的一种增量式crl更新装置的框图。
38.如图3所示，本实施例通过的增量式crl更新装置包括证书撤销单元10、撤销证书存储单元20和安全代理服务单元30。
39.证书撤销单元的作用是负责将过期的或者存在私钥泄露的证书进行作废处理，并将撤销后的证书存储在撤销证书存储单元，便于后续安全代理服务单元下载使用。证书撤销单元的结构如图4所示。
40.证书撤销单元包括证书注册器即注册中心和证书认证器即认证机构。证书认证器是证书的签发机构，负责生成和管理pki结构下的所有用户(含各种应用程序)的证书。证书注册器是认证器的延伸部分，它与认证器逻辑上是一个整体，执行不同的功能。证书认证器按照特定的政策和管理规范对用户的资格进行审查，以决定是否为该用户发放证书。
41.证书认证器根据用户申请去判断证书状态，通过配置增量周期，去按照一定周期增量发布crl，并对crl进行签名，保证其有效性及不可篡改性，将其发布在撤销证书存储单元中。
42.撤销证书存储单元是指证书撤销单元将撤销掉的证书以某种数据结构存储在crl存储服务器中，常见的有ldap服务器。其存储crl数据结构如图5所示。
43.其中版本即为crl的版本号。签名算法字段提供了签名算法标识符以产生crl的签名。发布者字段提供了发布crl的权威证书认证器名称。本次更新字段用来指示这次crl的发布时间，下次更新是指下次发布crl时间。撤销证书列表是一个用唯一序列号标示的撤销证书集合。扩展信息对整个crl和一个单独的crl条目都是有效的。
44.随pki体系的不断增大和时间的推移，撤销证书的体量也不断增大，这会给ca的发布及存储带来较大的压力。因此本发明采用增量式证书撤销机制，增量crl包含两种类型的crl，基准crl(base-crl)和增量crl(delta-crl)。base-crl发布所有撤销证书信息，delta-crl在每两次base-crl更新期间，以较小的时间间隔发布上一次base-crl发布以来新增的撤销证书信息，发布周期比基准发布周期小，这样尽可能接近实时获取到最新的crl信息。比如base-crl发布周期为一天，从00:00开始每隔0.5小时发布一次增量crl，证书撤销单元发布时刻分别如下：
45.00:00：base-crl
46.00:30：delta-crl01
47.01:00：delta-crl02
48.......
49.23:30:delta-crl24
50.撤销证书存储单元按照增量发布方式存储crl，供验证方下载使用，验证方在00:00下载base-crl，在一天中其他时刻(每隔0.5小时)将下载在此基础上存储delta-crli，在下一天的更新周期中，证书撤销单元将发布新的base-crl和在此新的基准crl上新delta-crli，存储供验证者下载使用。发布存储流程如下所示：
[0051][0052]
安全代理服务单元的作用是采用增量式机制按照设置好的周期通过ldap或者http方式下载crl，并通过证书撤销单元对应的信任域证书校验crl的有效性，校验通过后发布在安全代理服务单元，供签名验证判断证书是否有效使用，无需签名验签服务器去频繁下载大体量的crl，从而使签名验签服务器有更多的内存资源提供签名验签类服务。本单元包含三个部分，crl下载器、crl校验器以及crl发布器，其结构如图6所示。
[0053]
crl下载器通过ldap或者http方法增量式获取证书撤销单元发布的crl信息，增量式下载如图7所示，下载端获取了一个有效基准crl后，只需下载最新增量crl，可以有效地限制了crl的下载尺寸，减少了网络通讯量和下载时长。
[0054]
crl下载器内置有配置单元，用户可结合实际场景对该装置进行针对性的设置。用户可自设置服务名称，作为crl下载服务的唯一标识，可配置选择ldap或者http下载方式，配置过滤条件，可按照用户需求，将不需要下载的证书通过过滤条件删除。配置根证书来验证crl的有效性，用户可以自己设置下载周期。其他配置项也可以设置服务的启停及日志配置操作。
[0055]
crl校验器的作用是来验证证书撤销单元最新发布的crl是否是有效可用的，通过配置的信任域证书进行签名验签操作，验证通过说明其crl是由对应证书撤销单元发布，没有被篡改，进而进行后续发布，工作流程图如图8所示：
[0056]
crl校验器的工作步骤如下：
[0057]
1.crl校验器读取此周期内下载的crl信息。
[0058]
2.安全代理服务单元读取配置好的信任域证书，对crl信息进行签名验证。证书撤销单元发布crl信息时，为保证信息的真实性进行了签名操作。
[0059]
3.签名验证通过后，说明此次发布的crl是可行的，没有被篡改的，那么认为此crl是有效的，可以进行发布，供验证方使用或者下载。
[0060]
4.如果签名验证不通过，说明此crl无效，则丢弃掉此周期发布的crl，
[0061]
等待下一周期证书撤销单元发布crl进行同样的工作流程。
[0062]
crl发布器主要用来存储了经过验证的crl文件，支持其他服务器查询或通过http方式下载发布器里的crl文件。其他服务器多数指签名验签服务器，签名验签服务器通过访问ssdn代理服务单元中已发布有效的crl文件，避免大体量crl文件直接加载在签名验签服务器内存中，可以有效减小内存压力，提高签名验签服务的稳定性。
[0063]
从上述技术方案可以看出，本实施例提供了一种增量式crl更新装置，包括证书撤销单元、撤销证书存储单元和安全代理服务单元。证书撤销单元主要完成作废证书的撤销过程。撤销证书存储单元负责完成撤销证书的存储工作，并按照增量发布方式存储crl，供验证方下载使用。安全代理服务单元是采用增量式机制按照设置好的周期下载crl。本方案将下载存储crl的工作下移至安全代理服务单元，有效缓解了签名验签服务器压力，从而减少了crl列表的下载耗时。
[0064]
本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
[0065]
尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
[0066]
最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
[0067]
以上对本发明所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。