[发明专利]一种证书状态的验证方法、装置和系统

说明书

技术领域

本发明涉及数字证书的管理领域，尤其涉及一种证书状态的验证方法、装置和系统。 

背景技术

随着互联网的普及和电子商务的发展，人们对信息安全的要求越来越高。基于公钥体制的PKI(Public Key Infrastructure，公钥基础设施)技术为网络上的各种应用提供了机密性、完整性、身份鉴别的安全保障。PKI采用证书来管理公钥，通过第三方的可信任机构CA(Certification Authority，认证权威机构)来证明用户身份与其公钥的捆绑关系。由于PKI基于证书提供安全保障，故只有在对证书进行有效管理的前提下，才能确保PKI得到安全有效的应用。 

在部署PKI时，证书被发放后即植入产品，并从产品中发放给许多客户端用户。如果攻击者得到了证书私钥，即使攻击者无法得到该证书，他仍然能够使用该证书。一旦证书的合法拥有者使用新的私钥申请一张新的证书，并将该新证书投入使用后，这种情况下，一个实体将存在两张证书，且两张证书都是有效的，只是其中一张证书不应该被信任。 

CA可以通过撤销证书来避免证书被攻击者非法使用的情况，即通过证书的撤销和验证可避免和阻止攻击者非法使用证书。那些已经发行且没有过期但已被CA撤销的证书一般被列入证书撤销列表CRL(Certificate Revocation List，证书撤销列表)，其中，CRL的大小由撤销证书的数量决定。而现有的证书状态验证方法中，通常是客户端每次验证证书时，均需要下载CRL，从CRL列表中获取撤销的证书信息，从而验证客户端证书的有效性。 

发明人在实现本发明的过程中，发现现有技术中，在每次验证证书时均需要下载一个CRL文件，从而导致网络负荷较大，并且具有较长的延时。 

发明内容

本发明实施例提供一种证书状态的验证方法、证书认证设备、CRL服务器以及CRL系统，以避免重复下载CRL，从而减轻网络负荷。 

本发明实施例提供如下技术方案： 

一种证书状态的验证方法，包括： 

获得证书撤销列表CRL下载位置信息； 

根据该CRL下载位置信息，向对应的CRL服务器发送CRL下载请求消息，所述CRL下载请求消息携带有第一CRL文件标识信息，其中，所述第一CRL文件标识信息包括：第一修改时间、第一散列值，或者第一修改时间和第一散列值的组合； 

接收返回的与所述CRL下载请求消息关联的响应消息； 

当所述响应消息中携带有未修改标识时，利用本地保存的CRL文件对用户证书的状态进行有效性验证。 

以及，一种证书状态的验证方法，包括： 

接收证书撤销列表CRL下载请求消息，所述CRL下载请求消息携带有第一CRL文件标识信息； 

比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息； 

当第一CRL文件标识信息和第二CRL文件标识信息相同时，返回携带有未修改标识的响应消息； 

其中，所述第一CRL文件标识信息包括：第一修改时间、第一散列值，或者第一修改时间和第一散列值的组合；所述第二CRL文件标识信息包括：第二修改时间、第二散列值，或者第二修改时间和第二散列值的组合。 

以及，一种证书认证设备，包括： 

信息获得单元，用于获得证书撤销列表CRL下载位置信息； 

通信单元，用于根据该CRL下载位置信息，向对应的CRL服务器发送携带有第一CRL文件标识信息的CRL下载请求消息；并接收返回的与所述CRL下载请求消息关联的响应消息； 

处理单元，用于当所述响应消息中携带有未修改标识时，利用本地保存的证书撤销列表CRL文件对用户证书的状态进行有效性验证； 

其中，所述第一CRL文件标识信息包括：第一修改时间、第一散列值，或者第一修改时间和第一散列值的组合。 

以及，一种证书撤销列表CRL服务器，包括： 

通信单元，用于接收CRL下载请求消息，所述CRL下载请求消息携带有第一CRL文件标识信息，并返回与该CRL下载请求消息关联的响应消息； 

检查单元，用于比较该CRL下载请求消息中的第一CRL文件标识信息与CRL服务器上的对应CRL文件的第二CRL文件标识信息，当比较结果为第一CRL文件标识信息和第二CRL文件标识信息相同时，由所述通信单元返回携带有未修改标识的响应消息；