[发明专利]一种增量式CRL列表更新装置

说明书

本申请公开了一种增量式CRL更新装置，包括证书撤销单元、撤销证书存储单元和安全代理服务单元。证书撤销单元主要完成作废证书的撤销过程。撤销证书存储单元负责完成撤销证书的存储工作，并按照增量发布方式存储CRL，供验证方下载使用。安全代理服务单元是采用增量式机制按照设置好的周期下载CRL。本方案将下载存储CRL的工作下移至安全代理服务单元，有效缓解了签名验签服务器压力，从而减少了CRL列表的下载耗时。

技术领域

本申请涉及网络技术领域，更具体地说，涉及一种增量式CRL列表更新装置。

背景技术

作为目前金融科技领域网络安全建设的基础与核心,PKI技术通过数字证书绑定用户身份信息，当发生密钥泄漏、账户关系变更等情况时,需要及时更新作废数字证书,来保证系统安全。基于CA发布的CRL(Certificate Revocation List,证书作废列表)被广泛应用于电子商务等金融场景中，但是在数字化转型的战略背景下，PKI的规模不断扩大，银行业所产生的用户证书数量剧烈膨胀，作废证书体量也随之增长。传统的CRL方案无法完全兼顾证书作废列表发布、下载、查询的及时性、准确性与高效性。因此如何解决CRL的及时分发与下载，查询CRL列表提高签名验证效率，是急需解决的问题。

CA作为PKI应用中权威的可信的公正的第三方机构，负责生成和管理PKI结构下的所有用户(含各种应用程序)的证书。RA是CA的延伸部分，它与CA逻辑上是一个整体，执行不同的功能。RA按照特定的政策和管理规范对用户的资格进行审查，以决定是否为该用户发放证书。证书撤销申请可以由终端用户发起，直接交给CA或者RA中心。RA或CA对用户的申请进行审核。在某些环境下，CA也有权利直接撤销终端实体的证书，证书撤销流程图1所示。

证书状态由颁发该证书的CA管理，为保护CA私钥安全，CA不直接向验证者提供证书状态信息，离线签署证书状态信息后，发布到证书撤销库中并定期更新，由证书撤销库响应验证者的查询请求，流程如图2所示。

目前一般采用全量CRL更新方案，既CA按照一定周期全量发布CRL至CRL存储器中，为用户提供相对较新的证书状态信息，将CRL直接下载至签名验签装置中供其使用。此方案虽然可以实时获取到准确的CRL信息，但由于CRL体量较大，下载耗时较长。

发明内容

有鉴于此，本申请提供一种增量式CRL列表更新装置，用于减少CRL列表的下载耗时。

为了实现上述目的，现提出的方案如下：

一种增量式CRL更新装置，包括证书撤销单元、撤销证书存储单元和安全代理服务单元，其中：

所述证书撤销单元用于将过期的证书或者存在私钥泄露的证书进行作废处理，并将作废处理后的证书存储在所述撤销证书存储单元；

撤销证书存储单元用于将作废处理后的证书以预设数据结构存储；

所述安全代理服务单元用于采用增量式机制通过预设周期下载CRL，并通过所述证书撤销单元对应的信任域证书校验所述CRL的有效性，并在校验通过后将所述CRL发布在所述安全代理服务单元。

可选的，所述证书撤销单元包括证书注册器和证书认证器。

可选的，所述撤销证书存储单元包括CRL存储服务器，其中：

所述CRL存储服务器用于存储作废后的证书。

可选的，所述CRL存储服务器为LDAP服务器。

可选的，所述安全代理服务单元包括CRL下载器、CRL校验器和CRL发布器，其中：

所述CRL下载器用于采用增量式机制通过预设周期下载所述CRL；

所述CRL校验器用于通过所述证书撤销单元对应的信任域证书校验所述CRL的有效性；