[发明专利]一种访问证书吊销列表的方法、装置和系统

说明书

技术领域

本发明涉及数字证书的管理，特别是涉及一种访问证书吊销列表的方法、装置和系统。

背景技术

随着Internet的普及，各种电子商务活动飞速发展，为了保证互联网上电子交易及支付的安全性，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。

基于公钥基础结构(PKI，Pubic Key Infrastructure)，使用非对称加密公钥/私钥对和证书是为满足上述要求而采用的一种有效手段。对于使用私钥加密的数据，只能使用相应的公钥进行解密，反之亦然。顾名思义，公钥是指可以提供给很多人的密钥。相反，私钥是特定个人所独有的。向用户传送公钥使用的分发机制是证书。通常，证书颁发机构(CA，Certification Authority)对证书进行签名，以便确认公钥来自声称发送公钥的主体。CA是一个相互信任的实体。

证书具有有效期，证书在期满后就会失效。但是，证书也有可能在过期之前变得无效，原因可能是用户私钥丢失或用户身份变更等。CA需要及时地对此类证书做出作废的处理，并尽可能使证书的接收者及时地获知这些作废证书的信息，因此，CA需要吊销该证书。要吊销证书，CA保存并分发一个吊销证书的列表，即证书吊销列表(CRL，Certificate Revocation List)。证书吊销列表中记录尚未过期但已声明作废的用户证书序列号，证书的接收者通过访问证书吊销列表以确定证书的有效性。

在现有的技术中，CA通常按一定时间间隔周期性的分发证书吊销列表，该时间间隔称为证书吊销列表的发布期，证书的用户端根据证书吊销列表中是否包含待校验的证书来判断证书的有效性。但是，由于证书吊销列表在发布时具有有效期，并且CA按固定的发布期发布证书吊销列表，因此，当证书吊销列表过期并被更新，而此时CA尚未进入下一个命令执行周期执行发布命令，就会导致已更新的证书吊销列表不能及时发布。

另外，由于CA是在同一时刻将证书吊销列表分发给数量庞大的证书用户端，这势必会导致通讯网络数据传输的瞬间激增以及网络堵塞的可能性，分发失败的可能性也因此大大增加。

发明内容

本发明所要解决的技术问题是提供一种访问证书吊销列表的方法，以解决现有技术中证书用户端无法及时获取证书吊销列表。

本发明的另一个目的是提供一种访问证书吊销列表的装置，以解决现有证书用户端无法及时获取证书吊销列表。

本发明还提供了一种访问证书吊销列表的，

为解决以上问题，本发明提供了一种访问证书吊销列表的方法，包括下列

步骤：

在实时分发器中预置证书吊销列表；

证书用户端向实时分发器发送证书吊销列表下载请求；

实时分发器从所存储的证书吊销列表中查询与上述下载请求相应的证书吊销列表，并将该证书吊销列表返回至证书用户端。

优选的，还包括：

实时分发器检验所述证书吊销列表是否在有效期内，若已过期，实时分发器向与该证书吊销列表相应的认证机构服务器发送证书吊销列表下载请求；

认证机构服务器根据上述请求取得相应的证书吊销列表并返回至实时分发器；

实时分发器使用上述证书吊销列表更新存储在所述实时分发器中的证书吊销列表。

优选的，还包括：

实时分发器判断是否存在下载证书吊销列表的活动线程，如果存在，等待该线程结束后启动新的下载线程，否则启动新的下载线程，所述新的下载线程用以从认证机构服务器下载所述证书吊销列表。

优选的，还包括：按照预先设置的下载策略完成下载，所述下载策略中包括重试下载次数和重试下载时间间隔。

优选的，所述下载策略为：

判断当前的下载线程是否成功下载了证书吊销列表，若成功，结束下载；否则，按照所述下载策略的重试下载时间间隔重新发送下载请求；

循环执行该步骤，直到完成所述下载策略的重试下载次数或者成功下载。

优选的，所述下载策略为：

接收到认证机构服务器返回的证书吊销列表后，验证下载的证书吊销列表是否在有效期内，若没有过期，则使用该证书吊销列表更新存储在实时分发器中的证书吊销列表，若过期，由按照所述下载策略的重试下载时间间隔重新发送下载请求；

循环执行该步骤，直到完成所述下载策略的重试下载次数或者下载的证书吊销列表没有过期。