專利名稱:一種數(shù)字證書撤銷列表的快速處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于互聯(lián)網(wǎng)中�,對用戶或服務(wù)器進(jìn)行身份認(rèn)證時(shí)的一種數(shù)字證書
撤銷列表的快處理方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展����,人們越來越多的采用網(wǎng)絡(luò)來完成一些敏感數(shù)據(jù)的事務(wù)處理, 比如網(wǎng)上銀行����,網(wǎng)上購物等等。這些敏感數(shù)據(jù)的事務(wù)處理的電子化導(dǎo)致非常重要和私密的 數(shù)據(jù)經(jīng)常在網(wǎng)絡(luò)中傳輸����。為此��,人們發(fā)明了很多新的技術(shù)來保證這些重要和私密的數(shù)據(jù)能 夠在網(wǎng)絡(luò)中安全可靠的傳輸����,越來越多的用戶使用數(shù)字證書技術(shù)來驗(yàn)證用戶身份和網(wǎng)絡(luò)上 服務(wù)器的身份���,其中標(biāo)識(shí)用戶或服務(wù)器已經(jīng)在黑名單中的技術(shù)是數(shù)字證書撤銷列表�。
數(shù)字證書應(yīng)用系統(tǒng)�,如瀏覽器、SSL加速器等�,在進(jìn)行驗(yàn)證時(shí)都需要檢查數(shù)字證書 是否在數(shù)字證書撤銷列表中�����,通常數(shù)字證書撤銷列表中包含的數(shù)據(jù)量很大�����,而數(shù)字證書撤 銷列表本身又是根據(jù)ASN. 1 (Abstract Syntax Notation One)編碼的復(fù)雜實(shí)體��,應(yīng)用系統(tǒng) 需要進(jìn)行復(fù)雜的讀取和分析工作����。 對數(shù)字證書撤銷列表的解析����,基本的解決方案是按照ASN. 1編碼規(guī)則對數(shù)字證書 撤銷列表進(jìn)行解碼�,然后套用到數(shù)字證書撤銷列表的結(jié)構(gòu)中,這種方法的好處是能夠利用 ASN. 1的編碼特點(diǎn)進(jìn)行迭代���,應(yīng)用系統(tǒng)容易實(shí)現(xiàn)��,但忽略了數(shù)字證書撤銷列表結(jié)構(gòu)自身的特 點(diǎn)��,比較盲目����,容易造成系統(tǒng)處理瓶頸�,導(dǎo)致數(shù)字證書驗(yàn)證緩慢,因此優(yōu)化數(shù)字證書撤銷列 表的處理就成為非常緊迫和具有現(xiàn)實(shí)意義的需求���。
發(fā)明內(nèi)容
針對上述問題���,本發(fā)明的目的是提供一種應(yīng)用系統(tǒng)處理效率高同時(shí)對系統(tǒng)資源消 耗低的數(shù)字證書撤銷列表快速處理方法。 為實(shí)現(xiàn)上述目的���,本發(fā)明采取以下技術(shù)方案一種數(shù)字證書撤銷列表的快速處理 方法���,它包括以下步驟1)根據(jù)數(shù)字證書撤銷列表的結(jié)構(gòu)特點(diǎn)���,將數(shù)字證書撤銷列表拆成數(shù) 字證書撤銷信息主體、數(shù)字證書撤銷列表簽名算法標(biāo)識(shí)和數(shù)字證書撤銷列表簽名值三個(gè)部 分����;2)根據(jù)數(shù)字證書撤銷列表的編碼格式,從數(shù)字證書撤銷信息主體中定位并解析出各主 要子段�����;3)根據(jù)所有解析出來的主要字段的位置信息建立一張偏移長度信息表�����,并將所有 主要字段的偏移和長度存放到偏移長度信息表中���;4)當(dāng)重新用到數(shù)字證書撤銷列表的主 要字段信息時(shí),直接從步驟3)建立的偏移長度信息表中讀取���。 在執(zhí)行步驟2)時(shí)�����,通過以下方法進(jìn)行①首先定位到以〃 30〃開頭來標(biāo)識(shí)新部 分����;②把緊跟〃 30〃的數(shù)字與作為證書字段開始標(biāo)志的數(shù)字80進(jìn)行比較;③如果比較結(jié)果 是〃 no〃 �����,則根據(jù)將下一個(gè)八位位組的值作為長度�;④如果比較的結(jié)果是〃 yes〃 ,則先計(jì) 算出長度占用的位數(shù)�����,然后將緊接著的幾位八位位組轉(zhuǎn)化為整數(shù)即為長度�,將偏移量設(shè)為 長度的后一位,將偏移量和長度存放在偏移長度表中��;⑤根據(jù)偏移量和算出的內(nèi)容長度讀 取這個(gè)主要字段的內(nèi)容���。
由于采用了以上技術(shù)方案���,本發(fā)明具有如下優(yōu)點(diǎn)1�、由于本發(fā)明根據(jù)數(shù)字證書撤 銷列表的結(jié)構(gòu)特點(diǎn)和編碼格式��,能夠快速定位到主要字段的準(zhǔn)確位置���,因此在查找過程中�����, 每次使用到數(shù)字證書撤銷列表的內(nèi)容時(shí)�����,均能快速讀取到相關(guān)信息��,大大提高了數(shù)字證書 撤銷列表解析和驗(yàn)證的過程�����,加快了安全事務(wù)處理的響應(yīng)時(shí)間�����。2、當(dāng)需要再次用到數(shù)字證 書撤銷列表的主要字段信息時(shí),本發(fā)明可以直接從以前建立的偏移長度表中讀取�����,因此節(jié) 省了后續(xù)多次而重復(fù)的數(shù)字證書撤銷列表解析工作����,為后續(xù)訪問提供了極大的便利。3�����、由 于本發(fā)明數(shù)字證書撤銷列表解析和驗(yàn)證的工作效率提高了�,因此對系統(tǒng)資源,如處理器��,內(nèi) 存等等的損耗大大降低�。
圖1是本發(fā)明數(shù)字證書撤銷列表整體結(jié)構(gòu)示意圖
圖2是本發(fā)明數(shù)字證書撤銷列表信息主體結(jié)構(gòu)示意圖
圖3是本發(fā)明數(shù)字證書撤銷列表處理的流程圖
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對本發(fā)明進(jìn)行詳細(xì)的描述。 如圖l所示�����,數(shù)字證書撤銷列表的結(jié)構(gòu)包括數(shù)字證書撤銷列表信息主體 (tbsCertList)�����、數(shù)字證書撤銷列表簽名算法標(biāo)識(shí)(signatureAlgorithm)和數(shù)字證書撤銷 列表簽名值(signatureValue)。其中tbsCertList部分是主要部分��,它包含了證書的很多 主要宇段���。如圖2所示�,比如簽發(fā)者名稱(issuer)��、本次更新時(shí)間(thisUpdate)����、下次更 新時(shí)間(nextUpdate)、已撤銷的證書(revokedCertificate)以及其它的相關(guān)信息����,這些主 要字段正是驗(yàn)證證書合法性所需要的數(shù)據(jù)。 由于數(shù)字證書撤銷列表結(jié)構(gòu)非常清晰�����,在解析數(shù)字證書撤銷列表時(shí)����,無須
完全按照ASN. l編碼的格式先行完整而繁瑣的解析。本發(fā)明的解析方法�����,能夠依賴
ASN. IDER (Distinguished Encoding Rules,非典型編碼規(guī)則)編碼規(guī)范的特點(diǎn)和數(shù)字證書
撤銷列表結(jié)構(gòu)的特點(diǎn)進(jìn)行快速的解析�。本發(fā)明在提高應(yīng)用系統(tǒng)處理證書證書撤銷列表處理
性能的同時(shí)降低了系統(tǒng)資源的消耗,為處理數(shù)字證書撤銷列表提供了極大的便利�����。 為了詳細(xì)說明本發(fā)明的方法及所達(dá)到的功效��,現(xiàn)舉以下實(shí)施例 1��、根據(jù)數(shù)字證書撤銷列表的結(jié)構(gòu)特點(diǎn)將數(shù)字證書撤銷列表拆成數(shù)字證書撤銷列
表撤銷信息主體�����、數(shù)字證書撤銷列表簽名算法標(biāo)識(shí)和數(shù)字證書撤銷列表簽名值三個(gè)部分����。 —份數(shù)字證書撤銷列表的主要內(nèi)容如下所示30 8x……30 8w yy yy
tbsCertList30 0D signatureAlgorithm 03 81 81 signatureValue 上述數(shù)字證書撤銷列表的二進(jìn)制數(shù)據(jù)流中的內(nèi)容以〃 30〃開頭來標(biāo)識(shí)新部分的 開始,緊跟〃 30〃后面的數(shù)字表示新部分的數(shù)據(jù)長度��。比如〃 8x〃表示的是要分拆的三 部分的總長度���,〃 8w〃表示的是tbsCertList的長度有w位���,取出w位的長度的字節(jié)就是 tbsCertList部分�。依此類推��,〃 30 0D"—表示signatureAlgorithm有13位����,〃 03 81 81〃表示signatureValue有129位。 2��、根據(jù)數(shù)字證書撤銷列表的編碼格式�,從數(shù)字證書撤銷列表信息主體中定位主要 字段的準(zhǔn)確位置后讀取出各主要字段的位置信息。
首先需要解析出來的主要字段包括數(shù)字證書撤銷列表信息主體中的證書必備域�����, 具體有簽發(fā)者名稱��、本次更新時(shí)間����、下次更新時(shí)間、已撤銷的證書以及其它的相關(guān)信息�。
如圖3所示,說明了如何定位并讀取一個(gè)關(guān)鍵字段的基本過程
①先定位到以〃 30〃開頭來標(biāo)識(shí)新部分��;②把緊跟〃 30〃的數(shù)字與作為數(shù)字 證書撤銷列表字段開始標(biāo)志的數(shù)字80進(jìn)行比較;③如果比較結(jié)果是〃 no"��,則根據(jù)函數(shù) length = p[i+l]&0X7F計(jì)算出長度��,其中p[i+l]表示從p的i+l處取出的八位位組�,這個(gè) 內(nèi)容就是長度���;④如果比較的結(jié)果是〃 yes〃 �����,則先計(jì)算出lensize的值�,然后根據(jù)ASN. 1 整數(shù)的計(jì)算方法����,計(jì)算長度為lensize的整數(shù),即為內(nèi)容的長度��;⑤根據(jù)算出的內(nèi)容長度讀 取這個(gè)主要字段的內(nèi)容�����。 3����、根據(jù)所有解析出來的主要字段的位置信息建立一張偏移長度表����,并將所有主要
字段的偏移和長度存放到偏移長度表中�����。 偏移長度表用一個(gè)二維數(shù)組來表示����,如下面所示 offsetLength[O]
= 4/*第一個(gè)是數(shù)字證書撤銷列表主體數(shù)據(jù)的偏移*/ offsetLength[O] [1] = 2367/*第一個(gè)是數(shù)字證書撤銷列表主體數(shù)據(jù)的長度*/ offsetLength[l]
= 2324/*第二個(gè)是簽發(fā)者數(shù)據(jù)的偏移*/ offsetLength[l] [1] = 13/*第二個(gè)是簽發(fā)者數(shù)據(jù)的長度*/ offsetLength[2]
= 2339/*第三個(gè)是簽名值數(shù)據(jù)的偏移*/ offsetLength[2] [1] = 129/*第三個(gè)是簽名值數(shù)據(jù)的長度*/ ............ 4、從這步開始���,凡是要用到主要字段信息的都直接從步驟3建立起來的偏移長度 表中讀取出來�。這樣在驗(yàn)證證書時(shí)����,每次使用到數(shù)字證書撤銷列表的內(nèi)容時(shí),均能快速讀取 到相關(guān)信息��,大大提高了數(shù)字證書撤銷列表解析和驗(yàn)證的速度��,縮短了應(yīng)用系統(tǒng)處理數(shù)字 證書撤銷列表的響應(yīng)時(shí)間��,并且由于數(shù)字證書撤銷列表解析和驗(yàn)證的工作效率提高了,對 系統(tǒng)資源(如處理器�,內(nèi)存等等)的損耗大大降低。 上述實(shí)施例僅為本發(fā)明的一個(gè)較佳實(shí)施例����,在本發(fā)明的實(shí)質(zhì)創(chuàng)意范圍內(nèi),本發(fā)明 采用的算法可以有許多變化或替換���,這些算法的變化或替換都不應(yīng)排除在本發(fā)明的保護(hù)范 圍之外����。
權(quán)利要求
一種數(shù)字證書撤銷列表的快速處理方法�����,它包括以下步驟1)根據(jù)數(shù)字證書撤銷列表的結(jié)構(gòu)特點(diǎn)�����,將數(shù)字證書撤銷列表拆成數(shù)字證書撤銷列表主體���、數(shù)字證書撤銷列表簽名算法標(biāo)識(shí)和數(shù)字證書撤銷列表簽名值三個(gè)部分;2)根據(jù)數(shù)字證書撤銷列表的編碼格式�����,從數(shù)字證書撤銷列表主體中定位并解析出各主要字段;3)根據(jù)所有解析出來的主要字段的偏移和長度建立一張偏移長度表����,并將所有主要字段的偏移和長度存放到偏移長度表中;4)當(dāng)重新使用數(shù)字證書撤銷列表主要字段信息時(shí)��,直接從步驟3)建立的偏移長度表中讀取����。
2. 如權(quán)利要求1所述的一種數(shù)字證書撤銷列表快速處理方法,其特征在于在執(zhí)行步 驟2)時(shí)�,通過以下方法進(jìn)行1) 先定位到以"30〃開頭來標(biāo)識(shí)新部分;2) 把緊跟〃 30〃的數(shù)字與作為證書字段開始標(biāo)志的數(shù)字80進(jìn)行比較���;3) 如果比較結(jié)果是〃 No〃 ���,則根據(jù)將下一個(gè)八位位組的值作為長度;4) 如果比較的結(jié)果是〃 Yes〃 ���,則先計(jì)算出長度占用的位數(shù)�,然后將緊接著的幾位八 位位組轉(zhuǎn)化為整數(shù)即為長度,將偏移量設(shè)為長度的后一位�����,將偏移量和長度存放在偏移長 度表中�����;5) 根據(jù)偏移量和算出的內(nèi)容長度讀取這個(gè)主要字段的內(nèi)容��。
全文摘要
一種數(shù)字證書撤銷列表的快速處理方法��,它包括以下步驟1)將數(shù)字證書撤銷列表拆成數(shù)字證書撤銷列表主體����、數(shù)字證書撤銷列表簽名算法標(biāo)識(shí)和數(shù)字證書撤銷列表簽名值三個(gè)部分���;2)從數(shù)字證書撤銷列表主體中定位并解析出各主要字段���;3)將所有主要字段的偏移和長度存放到偏移長度表中;4)當(dāng)重新使用數(shù)字證書撤銷列表主要字段信息時(shí)���,直接從步驟3)建立的偏移長度表中讀取��。本發(fā)明提高了數(shù)字證書撤銷列表解析和驗(yàn)證的過程�,加快了安全事務(wù)處理的響應(yīng)時(shí)間;節(jié)省了后續(xù)多次而重復(fù)的數(shù)字證書撤銷列表解析工作�����;對系統(tǒng)資源�,如處理器,內(nèi)存等等的損耗大大降低��。
文檔編號(hào)H04L29/06GK101699812SQ20091015821
公開日2010年4月28日 申請日期2009年7月21日 優(yōu)先權(quán)日2009年7月21日
發(fā)明者汪宗斌 申請人:北京信安世紀(jì)科技有限公司