[发明专利]一种基于P2P的证书管理方法及其装置

权利要求书

1.一种基于P2P的证书管理方法，其特征在于，该方法包括：

负责维护证书状态信息的节点接收P2P系统中的管理节点发布的证书撤销信息，并根据接收到的证书撤销信息，删除其所存储的相应证书，将所述证书撤销信息作为相应证书的状态信息存储；

当所述负责维护证书状态信息的节点接收到证书状态查询请求后，根据其所存储的证书状态信息，返回证书状态查询响应。

2.如权利要求1所述的方法，其特征在于，所述P2P系统中的管理节点为系统管理实体，所述系统管理实体向负责维护证书状态信息的节点发送证书撤销信息之前，还包括：系统管理实体针对有效期范围内的证书，向认证中心CA发送撤销该证书的请求，并接收所述CA签发并返回的证书撤销信息；或者

所述P2P系统中的管理节点为CA，所述CA向负责维护证书状态信息的节点发送证书撤销信息之前，还包括：CA接收系统管理实体针对有效期范围内的证书发送的撤销该证书的请求，并签发证书撤销信息。

3.如权利要求1所述的方法，其特征在于，所述证书撤销信息使用CA私钥进行签名；

负责维护证书状态信息的节点接收到证书撤销信息后，在使用CA公钥对该证书撤销信息进行合法性验证通过后，删除其所存储的相应证书，并将所述证书撤销信息作为相应证书的状态信息存储。

4.如权利要求1所述的方法，其特征在于，负责维护证书状态信息的节点接收到的证书撤销消息后，在判断对应证书是由自己维护，且该证书仍在有效期的情况下，删除所存储的对应的证书，并将所述证书撤销信息作为相应证书的状态信息存储。

5.如权利要求1所述的方法，其特征在于，负责维护证书状态信息的节点存储所述证书撤销信息之后，还包括：将所述证书撤销信息的有效期截止时间设置为与该证书中指定的有效期截止时间相同。

6.如权利要求1-5之一所述的方法，其特征在于，所述管理节点发布所述证书撤销信息之后，还包括：检测被撤销授权的节点是否在线，并在检测为在线的情况下，向被撤销授权的节点的邻居节点发送节点被撤销授权的通知，接收到所述通知的节点切断与该被撤销授权的节点之间的连接；或者

所述负责维护证书状态信息的节点在存储所述证书撤销信息之后，还包括：向被撤销授权的节点的邻居节点发送节点被撤销授权的通知，接收到所述通知的节点切断与该被撤销授权的节点之间的连接。

7.如权利要求6所述的方法，其特征在于，向被撤销授权的节点的邻居节点发送节点被撤销授权的通知，包括：

向被撤销授权的节点的所有邻居节点发送所述通知；或者，

向被撤销授权的节点的部分邻居节点发送所述通知，接收到所述通知的节点向被撤销授权的节点的其它邻居节点发送所述通知。

8.如权利要求6所述的方法，其特征在于，所述通知中包括证书撤销信息，所述证书撤销信息使用CA私钥加密；

接收到所述通知的节点，在确认自己与被撤销授权的节点存在邻居关系，且使用CA公钥对所述通知中携带的证书撤销信息的合法性验证通过后，切断与该被撤销授权的节点之间的连接。

9.如权利要求1所述的方法，其特征在于，若证书状态查询响应经过多跳路由返回，则还包括：在证书状态查询响应返回的路径上，接收到证书状态查询响应的中间节点缓存该证书状态查询响应中携带的证书状态查询结果；

当所述中间节点接收到证书状态查询请求后，判断自己是否缓存有相应证书的状态查询结果，并在判断为是时，返回缓存的所述证书状态查询结果。

10.如权利要求9所述的方法，其特征在于，根据预先指定的路由跳数，在所述证书状态查询响应所经过的多跳路由路径上，从第一跳开始到相应跳的中间节点在接收到证书状态查询响应后缓存证书状态查询结果。

11.如权利要求1或9所述的方法，其特征在于，所述证书状态查询响应由响应所述证书查询请求的节点返回给发出该请求的节点；或者，所述证书状态查询响应沿证书状态查询请求路由原路逐一经过中间节点返回。

12.如权利要求1-5、7-10之一所述的方法，其特征在于，所述证书撤销信息包括：被撤销证书的标识。

13.如权利要求12所述的方法，其特征在于，所述证书撤销信息还包括：被撤销证书对应的用户名或/和节点标识。