[发明专利]数字证书吊销列表更新方法、发起终端、响应终端及系统

说明书

本申请公开了一种数字证书吊销列表更新方法、发起终端、响应终端及系统，其中，数字证书吊销列表更新方法，应用在发起终端和响应终端，应用为发起终端时，数字证书吊销列表更新方法包括：将数字证书吊销列表的第一版本信息发送至初次通信连接的响应终端；接收响应终端根据第一版本信息发送的反馈信息；根据反馈信息执行更新操作或流程结束操作。本申请的数字证书吊销列表更新方法，提高了数字证书吊销列表更新的安全性，并且，指定了发起终端发起CRL更新流程，避免了双向信息冗余传递，节省了资源。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种数字证书吊销列表更新方法、发起终端、响应终端及系统。

背景技术

为了保护数字接口内容安全可靠传输，采用数字接口内容保护的安全措施非常关键，基于数字证书的公钥基础设施(PKI)是一种公认的解决网络环境下安全问题且行之有效的方案。数字证书吊销查询是PKI中的一个关键性操作，也是PKI所面临的一大挑战。与各种身份证件一样，数字证书可能在过期之前变得无效，原因可能是密钥介质丢失或用户身份变更等。当用户接收到一个数字证书时，必须先检查这个数字证书是否已经吊销。证书吊销信息更新和发布的频率非常重要，如果一个证书已经被撤消而用户仍然继续使用，将会造成极大的安全隐患。

相关技术中，在X.509标准中采纳的是证书吊销列表(Certificate RevocationList，CRL)和在线证书状态协议(Online Certificate Status Protocol，OCSP)两种证书吊销查询方法。一种是利用周期性发布CRL，CA(CA,Certificate Authority，证书颁发机构)机构需要及时的对此类证书做出吊销处理，并将吊销证书放入CRL中予以公布，用户获取CRL后查询证书的有效性；另一种方法不涉及CRL，采用OCSP在线查询方式查询证书的有效性。在网络规模不大或者离线场景下更适合使用CRL方案。CRL是一个具有时间戳的列表，在其中列出了所有已经吊销或挂起的数字证书信息，可通过时间戳来确定当前的CRL是不是更新的。X509标准中的CRL格式中定义了当前CRL的发布时间(ThisUpdate)以及预测下次CRL发布的时间(nextUpdate)，接收方可通过该时间机制周期性的去更新CRL以便维护最新的CRL。该种机制需要接收方与发布方同步时钟，且因为CRL发布的突发性，将导致证书吊销列表获取延迟，影响安全性。

X.509的吊销列表更新机制不适合数字接口网络，为此，数字接口内容保护规范HDCP采用了一种随传输内容一起传递CRL的方式进行更新CRL，数字接口内容的接收方在接收传输内容的同时，获取CRL，进而校验版本号，验证数字签名，通过这种方式数字接口各参与方获得最新的CRL。但是，这种机制仅适合单向传输接口，当采用双向传输时，则会引起信息冗余传递，消耗更多资源。

发明内容

本申请旨在至少解决现有技术中存在的技术问题之一。为此，本申请提出一种数字证书吊销列表更新方法，提高了数字证书吊销列表更新的安全性，并且，指定了发起终端发起CRL更新流程，避免了双向信息冗余传递，节省了资源。

本申请还提出一种发起终端。

本申请还提出一种响应终端。

本申请还提出一种数字证书吊销列表更新系统。

根据本申请的第一方面实施例的数字证书吊销列表更新方法，应用于发起终端，包括：

将数字证书吊销列表的第一版本信息发送至初次通信连接的响应终端；

接收所述响应终端根据所述第一版本信息发送的反馈信息；

根据所述反馈信息执行更新操作或流程结束操作。