[发明专利]一种CRL传输方法、装置及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种证书吊销列表（Certificate Revocation List，简称CRL）的传输方法、装置及系统。

背景技术

公钥基础设施（Public Key Infrastructure，简称PKI）是通过使用公钥技术和数字证书来提供系统信息安全服务，并负责验证数字证书持有者身份的一种体系。PKI采用数字证书管理公钥，所述数字证书通过第三方可信任的数字证书认证机构（Certificate Authority，简称CA）签发，把终端实体的公钥和终端实体的其他身份信息捆绑在一起。

以下对所述PKI、数字证书、CA、终端实体等进行简要说明。

一、PKI

PKI的功能是通过签发数字证书来绑定数字证书持有者的身份和相关的公开密钥，为获取数字证书、访问数字证书和撤销数字证书提供了方便的途径。同时利用数字证书及相关的各种服务如数字证书发布、黑名单发布等实现通信过程中各终端实体的身份认证，保证了通信数据的机密性、完整性和不可否认性。

二、数字证书

数字证书是由CA签发的电子数据，是PKI技术的基础。数字证书是终端实体的身份证明，证明某一终端实体身份和公钥的合法性以及终端实体与公钥的匹配关系。数字证书是公钥的载体，数字证书上的公钥与唯一终端实体身份绑定。数字证书用一句话来概括，就是对终端实体公钥的封装。形象地讲，就是终端实体的网络身份证。

证书格式及证书内容一般遵循X.509标准，X.509标准是由国际电信联盟（ITU-T）制定的数字证书标准。数字证书的主要内容包括：序列号、用户公钥、终端实体信息、签证机构的信息、签证机构的签名、证书有效期等。

三、CA

数字证书是PKI实体的网络身份证明。数字证书具有唯一性，来源必须是可靠的，这就意味着需要一个各方终端实体都信任的机构，专门负责数字证书的发放和管理，这个机构就是CA。CA作为权威的、可信赖的、公正的第三方机构，通过自身的注册审核体系，检查核实数字证书申请者的身份，保证发放的数字证书具有权威性、公正性和可信赖性。

CA的核心功能就是发放和管理数字证书，主要包括：数字证书的颁发、数字证书的更新、数字证书的撤销、数字证书的查询、数字证书的归档、CRL的发布等。

四、终端实体

终端实体是PKI产品或服务的最终使用者，所述终端实体一般以软件的方式实现，实现该终端实体的程序代码可以设置于个人或组织所使用的设备如个人计算机PC、路由器、交换机、手机等中。

终端实体与CA之间通过网络连接，该网络可以是有线网络也可以是无线网络，这里并不限制，只要能够实现终端实体与CA之间的通信即可。

基于以上描述，由于数字证书持有者身份、数字证书持有者信息或者数字证书持有者公钥的改变、数字证书持有者私钥泄漏、CA私钥泄漏、从属关系改变或数字证书持有者业务中止等原因，需要存在一种方法提前将现行的数字证书撤消，即撤消公钥及相关身份信息的绑定关系。在PKI中，使用的方法为证书吊销列表（CRL），即证书黑名单。

任何一个数字证书被废除以后，CA可以通过发布CRL来声明该数字证书是无效的，并列出所有被废除数字证书的签发者和序列号、CRL的发布日期、数字证书被撤销的日期、CRL下次发布日期等信息。但是，CA不会主动把CRL发布给终端实体，而是由终端实体主动发起CRL请求，CA接收到所述CRL请求后把CA本地的CRL发送给终端实体。

具体的，终端实体与CA之间的CRL传输方法是：终端实体主动向CA发送CRL请求消息；CA收到所述请求后，向终端实体返回CRL响应消息，所述CRL响应消息中包括CA本地最新的CRL。

由于CA只要接收到终端实体的CRL请求消息，就会将本地的CRL携带在CRL响应消息中发送给终端实体，如果CA中的CRL在一段时间内没有更新，CA就会将同样的CRL多次发送给终端实体，从而增加了终端实体和CA之间的数据流量。

发明内容

本发明实施例中提供了一种CRL的传输方法、装置及系统，能够降低终端实体与CA之间的数据流量。

第一方面，提供一种CRL传输方法，包括：

接收终端实体发来的CRL请求消息，所述CRL请求消息中携带终端CRL特征信息；

根据所述终端CRL特征信息，判断数字证书认证机构CA中CRL与所述终端实体中CRL是否一致；