一種crl傳輸方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了一種CRL的傳輸方法��、裝置及系統(tǒng)��,該方法包括:接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息����,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息���;根據(jù)所述終端CRL特征信息�,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致;如果CA中CRL與所述終端實(shí)體中CRL一致���,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息����;如果CA中CRL與所述終端實(shí)體中CRL不一致���,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息����。本發(fā)明能夠降低終端實(shí)體與CA之間的數(shù)據(jù)流量�。
【專利說明】一種CRL傳輸方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域�����,尤其涉及一種證書吊銷列表(Certificate RevocationList��,簡(jiǎn)稱CRL)的傳輸方法��、裝置及系統(tǒng)�。
【背景技術(shù)】
[0002]公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,簡(jiǎn)稱PKI)是通過使用公鑰技術(shù)和數(shù)字證書來提供系統(tǒng)信息安全服務(wù)�����,并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系�����。PKI采用數(shù)字證書管理公鑰��,所述數(shù)字證書通過第三方可信任的數(shù)字證書認(rèn)證機(jī)構(gòu)(Certif icateAuthority,簡(jiǎn)稱CA)簽發(fā)�,把終端實(shí)體的公鑰和終端實(shí)體的其他身份信息捆綁在一起����。
[0003]以下對(duì)所述PK1、數(shù)字證書�、CA、終端實(shí)體等進(jìn)行簡(jiǎn)要說明��。
[0004]一����、PKI
[0005]PKI的功能是通過簽發(fā)數(shù)字證書來綁定數(shù)字證書持有者的身份和相關(guān)的公開密鑰,為獲取數(shù)字證書����、訪問數(shù)字證書和撤銷數(shù)字證書提供了方便的途徑。同時(shí)利用數(shù)字證書及相關(guān)的各種服務(wù)如數(shù)字證書發(fā)布����、黑名單發(fā)布等實(shí)現(xiàn)通信過程中各終端實(shí)體的身份認(rèn)證,保證了通信數(shù)據(jù)的機(jī)密性���、完整性和不可否認(rèn)性�����。
[0006]二���、數(shù)字證書
[0007]數(shù)字證書是由CA簽發(fā)的電子數(shù)據(jù),是PKI技術(shù)的基礎(chǔ)��。數(shù)字證書是終端實(shí)體的身份證明���,證明某一終端實(shí)體身份和公鑰的合法性以及終端實(shí)體與公鑰的匹配關(guān)系�����。數(shù)字證書是公鑰的載體�����,數(shù)字證書上的公鑰與唯一終端實(shí)體身份綁定��。數(shù)字證書用一句話來概括�����,就是對(duì)終端實(shí)體公鑰的封裝����。形象地講,就是終端實(shí)體的網(wǎng)絡(luò)身份證���。
[0008]證書格式及證書內(nèi)容一般遵循X.509標(biāo)準(zhǔn)��,X.509標(biāo)準(zhǔn)是由國際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標(biāo)準(zhǔn)���。數(shù)字證書的主要內(nèi)容包括:序列號(hào)、用戶公鑰���、終端實(shí)體信息�、簽證機(jī)構(gòu)的信息�、簽證機(jī)構(gòu)的簽名、證書有效期等。
[0009]二�����、CA
[0010]數(shù)字證書是PKI實(shí)體的網(wǎng)絡(luò)身份證明�����。數(shù)字證書具有唯一性���,來源必須是可靠的,這就意味著需要一個(gè)各方終端實(shí)體都信任的機(jī)構(gòu)���,專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理�,這個(gè)機(jī)構(gòu)就是CA���。CA作為權(quán)威的����、可信賴的��、公正的第三方機(jī)構(gòu),通過自身的注冊(cè)審核體系,檢查核實(shí)數(shù)字證書申請(qǐng)者的身份�,保證發(fā)放的數(shù)字證書具有權(quán)威性、公正性和可信賴性。
[0011]CA的核心功能就是發(fā)放和管理數(shù)字證書����,主要包括:數(shù)字證書的頒發(fā)、數(shù)字證書的更新����、數(shù)字證書的撤銷、數(shù)字證書的查詢���、數(shù)字證書的歸檔���、CRL的發(fā)布等。
[0012]四���、終端實(shí)體
[0013]終端實(shí)體是PKI產(chǎn)品或服務(wù)的最終使用者���,所述終端實(shí)體一般以軟件的方式實(shí)現(xiàn),實(shí)現(xiàn)該終端實(shí)體的程序代碼可以設(shè)置于個(gè)人或組織所使用的設(shè)備如個(gè)人計(jì)算機(jī)PC��、路由器��、交換機(jī)���、手機(jī)等中�����。
[0014]終端實(shí)體與CA之間通過網(wǎng)絡(luò)連接���,該網(wǎng)絡(luò)可以是有線網(wǎng)絡(luò)也可以是無線網(wǎng)絡(luò),這里并不限制����,只要能夠?qū)崿F(xiàn)終端實(shí)體與CA之間的通信即可。[0015]基于以上描述�����,由于數(shù)字證書持有者身份�、數(shù)字證書持有者信息或者數(shù)字證書持有者公鑰的改變、數(shù)字證書持有者私鑰泄漏��、CA私鑰泄漏�����、從屬關(guān)系改變或數(shù)字證書持有者業(yè)務(wù)中止等原因����,需要存在一種方法提前將現(xiàn)行的數(shù)字證書撤消����,即撤消公鑰及相關(guān)身份信息的綁定關(guān)系����。在PKI中,使用的方法為證書吊銷列表(CRL)��,即證書黑名單����。
[0016]任何一個(gè)數(shù)字證書被廢除以后,CA可以通過發(fā)布CRL來聲明該數(shù)字證書是無效的�����,并列出所有被廢除數(shù)字證書的簽發(fā)者和序列號(hào)�、CRL的發(fā)布日期、數(shù)字證書被撤銷的日期�����、CRL下次發(fā)布日期等信息����。但是�,CA不會(huì)主動(dòng)把CRL發(fā)布給終端實(shí)體�����,而是由終端實(shí)體主動(dòng)發(fā)起CRL請(qǐng)求���,CA接收到所述CRL請(qǐng)求后把CA本地的CRL發(fā)送給終端實(shí)體�。
[0017]具體的����,終端實(shí)體與CA之間的CRL傳輸方法是:終端實(shí)體主動(dòng)向CA發(fā)送CRL請(qǐng)求消息'Ck收到所述請(qǐng)求后����,向終端實(shí)體返回CRL響應(yīng)消息,所述CRL響應(yīng)消息中包括CA本地最新的CRL���。
[0018]由于CA只要接收到終端實(shí)體的CRL請(qǐng)求消息��,就會(huì)將本地的CRL攜帶在CRL響應(yīng)消息中發(fā)送給終端實(shí)體�����,如果CA中的CRL在一段時(shí)間內(nèi)沒有更新���,CA就會(huì)將同樣的CRL多次發(fā)送給終端實(shí)體,從而增加了終端實(shí)體和CA之間的數(shù)據(jù)流量����。
【發(fā)明內(nèi)容】
[0019]本發(fā)明實(shí)施例中提供了一種CRL的傳輸方法��、裝置及系統(tǒng)��,能夠降低終端實(shí)體與CA之間的數(shù)據(jù)流量��。
[0020]第一方面����,提供一種CRL傳輸方法,包括:
[0021]接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息���,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息�;
[0022]根據(jù)所述終端CRL特征信息����,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致;
[0023]如果CA中CRL與所述終端實(shí)體中CRL —致����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息��;
[0024]如果CA中CRL與所述終端實(shí)體中CRL不一致��,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息��。
[0025]結(jié)合上述第一方面�����,在第一種可能的實(shí)現(xiàn)方式中����,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期�����;相應(yīng)地����,所述根據(jù)所述終端CRL特征信息���,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��,具體包括:
[0026]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致����,則CA中CRL與所述終端實(shí)體中CRL —致;或者����,
[0027]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致�,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致��,則CA中CRL與所述終端實(shí)體中CRL —致�。
[0028]結(jié)合上述第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中���,所述終端CRL特征信息還包括:發(fā)布者簽名����;所述根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致����,具體包括:
[0029]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致��,則CA中CRL與所述終端實(shí)體中CRL不一致���;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致���,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致�����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致���,則CA中CRL與所述終端實(shí)體中CRL —致;或者�����,
[0030]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致��;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致�,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�����,則CA中CRL與所述終端實(shí)體中CRL —致�����。
[0031]結(jié)合上述第一方面���,在第三種可能的實(shí)現(xiàn)方式中�����,所述終端CRL特征信息包括:發(fā)布者簽名�;所述根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致�����,具體包括:
[0032]判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�,則CA中CRL與所述終端實(shí)體中CRL —致。
[0033]第二方面���,提供一種CRL的傳輸裝置�,其特征在于�,包括:
[0034]接收單元,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息�����,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息����;
[0035]判斷單元,用于根據(jù)所述終端CRL特征信息����,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致;
[0036]第一發(fā)送單元����,用于如果判斷單元判斷CA中CRL與所述終端實(shí)體中CRL —致,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息��;
[0037]第二發(fā)送單元�����,用于如果判斷單元判斷CA中CRL與所述終端實(shí)體中CRL不一致���,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息�����。
[0038]結(jié)合上述第二方面�����,在第一種可能的實(shí)現(xiàn)方式中�����,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期�����;所述判斷單元具體用于:
[0039]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致�,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則CA中CRL與所述終端實(shí)體中CRL —致��;或者���,
[0040]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致���,則CA中CRL與所述終端實(shí)體中CRL —致。
[0041]結(jié)合上述第二方面的第一種可能的實(shí)現(xiàn)方式��,在第二種可能的實(shí)現(xiàn)方式中���,所述終端CRL特征信息還包括:發(fā)布者簽名�����;所述判斷單元具體用于:
[0042]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致��,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致����;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致����;或者,
[0043]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致����;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�,則CA中CRL與所述終端實(shí)體中CRL —致。
[0044]結(jié)合上述第二方面�,在第三種可能的實(shí)現(xiàn)方式中,所述終端CRL特征信息包括:發(fā)布者簽名���;所述判斷單元具體用于:
[0045]判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致�,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致���。
[0046]第三方面,提供一種CRL的傳輸系統(tǒng),其特征在于,包括:
[0047]終端實(shí)體�,用于向數(shù)字證書認(rèn)證機(jī)構(gòu)CA發(fā)送CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息��;還用于接收所述CA發(fā)來的CRL響應(yīng)消息���;
[0048]CA�����,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息�����;根據(jù)所述終端CRL特征信息���,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致�;如果CA中CRL與所述終端實(shí)體中CRL —致��,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息����;如果CA中CRL與所述終端實(shí)體中CRL不一致,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息�。
[0049]結(jié)合上述第三方面,在第一種可能的實(shí)現(xiàn)方式中����,所述終端CRL特征信息包括:發(fā)布日期或下次發(fā)布日期;所述CA具體用于:
[0050]接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息��;判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致���,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致���,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息����;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則CA中CRL與所述終端實(shí)體中CRL —致����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息;或者�,[0051]接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息;判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息����;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致�����,則CA中CRL與所述終端實(shí)體中CRL —致�����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息����。
[0052]本發(fā)明實(shí)施例中����,接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息�,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息;根據(jù)所述終端CRL特征信息�,判斷CA中CRL與所述終端實(shí)體中CRL是否一致;如果CA中CRL與所述終端實(shí)體中CRL —致�����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�����;如果CA中CRL與所述終端實(shí)體中CRL不一致����,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息。從而降低了終端實(shí)體與CA之間的數(shù)據(jù)流量����。
【專利附圖】
【附圖說明】
[0053]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0054]圖1為本發(fā)明實(shí)施例CRL傳輸方法的流程圖�;
[0055]圖1A為CRL的結(jié)構(gòu)示意圖;
[0056]圖2為本發(fā)明實(shí)施例CRL傳輸方法的另一流程不意圖�����;
[0057]圖3為本發(fā)明實(shí)施例CRL傳輸裝置的結(jié)構(gòu)示意圖�����;
[0058]圖4為本發(fā)明實(shí)施例CRL傳輸系統(tǒng)的結(jié)構(gòu)示意圖�����;
[0059]圖5為本發(fā)明實(shí)施例終端實(shí)體的結(jié)構(gòu)示意圖�����;
[0060]圖6為本發(fā)明實(shí)施例CA的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0061]下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有付出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。
[0062]參見圖1���,為本發(fā)明實(shí)施例提供的CRL傳輸方法的流程圖���,該方法包括:
[0063]101:CA接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息��;
[0064]所述終端CRL特征信息是所述終端實(shí)體中的CRL包含的�����、能夠標(biāo)識(shí)CRL的信息�����。
[0065]例如�����,參見圖1A所示���,目前CRL的內(nèi)容一般遵循X.509標(biāo)準(zhǔn),主要包括:版本(Version)�����、簽名(signature)、發(fā)布者名字(Issuer Name)���、發(fā)布日期(ThisUpdate)��、下次發(fā)布日期(nextUpdate)�����、吊銷證書(Revoked Certificates)���、擴(kuò)展域(Extensions)等,這些字段屬于待簽名字段����;CRL還包括:簽名算法(signature Algorithm)、發(fā)布者簽名(signatureValue)等��;其中�����,發(fā)布者簽名是通過對(duì)所述待簽名字段執(zhí)行哈希算法���、對(duì)CRL發(fā)布者私鑰執(zhí)行簽名算法��、對(duì)兩算法的執(zhí)行結(jié)果進(jìn)行數(shù)字摘要得到的��;在實(shí)際應(yīng)用中��,簽名和簽名算法兩字段中的內(nèi)容一般相同����,均設(shè)置為簽名算法標(biāo)示符(ID)。
[0066]其中�����,發(fā)布者簽名是可以唯一標(biāo)識(shí)CRL的字段����;CRL中的發(fā)布者簽名可能有幾十個(gè)字節(jié),甚至幾百個(gè)字節(jié)�。
[0067]同一 CA發(fā)送的CRL的版本、發(fā)布者名字�����、簽名以及簽名算法這四個(gè)字段一般不變����,只有在CA中版本、發(fā)布者名字����、或者簽名算法發(fā)生變化時(shí),這四個(gè)字段中的對(duì)應(yīng)字段才會(huì)發(fā)生變化���。例如�����,CA中CRL的版本從vl變?yōu)関2��,則CA后續(xù)發(fā)送的CRL中版本字段的字段內(nèi)容都從Vl變?yōu)関2 ;發(fā)布者名字����、簽名以及簽名算法等字段與版本字段類似����,這里不贅述;
[0068]不同CRL中發(fā)布日期��、下次發(fā)布日期�����、吊銷證書、擴(kuò)展域等字段可能相同或不同�。但是,當(dāng)廢除的數(shù)字證書較多時(shí)���,吊銷證書這一字段的字段長度較長�。
[0069]第一種可能實(shí)現(xiàn)方式中,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期;進(jìn)一步還可以包括發(fā)布者簽名�。
[0070]第二種可能實(shí)現(xiàn)方式中����,所述終端CRL特征信息僅包括發(fā)布者簽名;由于CRL中發(fā)布者簽名可以唯一標(biāo)識(shí)CRL��,因此通過發(fā)布者簽名就可以判斷CA中CRL與終端實(shí)體中CRL
是否一致���。
[0071]102:所述CA根據(jù)所述終端CRL特征信息�����,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��;如果一致���,執(zhí)行103 ;如果不一致����,執(zhí)行104����。
[0072]如果一致���,則表明所述CA中CRL與所述終端實(shí)體中CRL相同����,則所述CA無需再將所述CA中的CRL發(fā)送給所述終端實(shí)體����,則執(zhí)行103,在CRL響應(yīng)消息中不攜帶所述CA中的CRL�����,從而節(jié)省了 CA與終端實(shí)體之間的數(shù)據(jù)流量�����;
[0073]如果不一致,則表明所述CA中CRL與所述終端實(shí)體中CRL不相同�����,可能是所述CA已經(jīng)進(jìn)行了 CRL的更新���,因此需要將所述CA中的CRL發(fā)送給所述終端實(shí)體�����,以便終端實(shí)體能夠獲得最新的CRL ;則執(zhí)行104���,在CRL響應(yīng)消息中攜帶所述CA中的CRL。
[0074]具體的��,本發(fā)明實(shí)施例中�,根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致有兩種可能實(shí)現(xiàn)方式���。承上所述���,第一種可能實(shí)現(xiàn)方式中,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期;進(jìn)一步還包括發(fā)布者簽名�。第二種可能實(shí)現(xiàn)方式中,所述終端CRL特征信息僅包括發(fā)布者簽名���。
[0075]由于CRL發(fā)布者簽名通常有幾十個(gè)字節(jié)��,甚至幾百個(gè)字節(jié)���,而CRL中其他字段的數(shù)據(jù)量相對(duì)較小,例如CRL的下次發(fā)布日期只有幾個(gè)字段����,因此��,相對(duì)于CRL中其他字段的數(shù)據(jù)量���,CRL發(fā)布者簽名的數(shù)據(jù)量較大��。雖然CA可以根據(jù)發(fā)布者簽名準(zhǔn)確地判斷CA中CRL與終端實(shí)體中CRL是否一致�����,但是所處理的數(shù)據(jù)量很大��。
[0076]第一種可能實(shí)現(xiàn)方式中����,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期;此時(shí)����,所述根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致����,具體可以包括:判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致�,則CA中CRL與所述終端實(shí)體中CRL —致;或者�����,判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�����,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致��,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致����,則CA中CRL與所述終端實(shí)體中CRL 一致。通常情況下�����,CA每次發(fā)布的CRL中發(fā)布日期或下次發(fā)布日期是不同的�,因此根據(jù)發(fā)布日期或下次發(fā)布日期,可以較為準(zhǔn)確地判斷CA中CRL與終端實(shí)體中CRL是否一致����,且所述發(fā)布日期或者下次發(fā)布日期數(shù)據(jù)量較小,CA判斷時(shí)處理的數(shù)據(jù)量較少���,從而降低了 CA的數(shù)據(jù)處理量。
[0077]當(dāng)CA根據(jù)發(fā)布日期或者下次發(fā)布日期進(jìn)行判斷時(shí)����,如果發(fā)布日期或者下次發(fā)布日期不一致,則可以認(rèn)為CA中CRL與所述終端實(shí)體中CRL不一致�;如果發(fā)布日期或者下次發(fā)布日期一致,可以進(jìn)一步根據(jù)唯一標(biāo)識(shí)CRL的發(fā)布者簽名進(jìn)行判斷�,這樣�,既降低了 CA的數(shù)據(jù)處理量����,也可以提高判斷的準(zhǔn)確性。所述終端CRL特征信息還包括發(fā)布者簽名�����,所述根據(jù)所述終端CRL特征信息���,判斷CA中CRL與所述終端實(shí)體中CRL是否一致���,具體可以包括:
[0078]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致��,則CA中CRL與所述終端實(shí)體中CRL不一致����;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�����,則CA中CRL與所述終端實(shí)體中CRL —致;或者��,
[0079]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致���,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致����,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�����,則CA中CRL與所述終端實(shí)體中CRL —致����。
[0080]第二種可能實(shí)現(xiàn)方式中����,所述終端CRL特征信息僅包括:發(fā)布者簽名�����;此時(shí)�,所述根據(jù)所述終端CRL特征信息����,判斷CA中CRL與所述終端實(shí)體中CRL是否一致,具體可以包括:
[0081]判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致���,則CA中CRL與所述終端實(shí)體中CRL —致。
[0082]103:所述CA向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息���;當(dāng)前處理分支結(jié)束����。
[0083]所述CA在CRL響應(yīng)消息中不攜帶所述CA中的CRL,從而節(jié)省了所述CA與所述終端實(shí)體之間的數(shù)據(jù)流量��。
[0084]104:所述CA向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息��;當(dāng)前處理分支結(jié)束��。
[0085]本實(shí)施例中�����,所述CA根據(jù)所述終端CRL特征信息�,判斷CA中CRL與所述終端實(shí)體中CRL是否一致,如果一致���,向終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息��。從而相對(duì)于現(xiàn)有技術(shù)中CA每次均在CRL響應(yīng)消息中攜帶CA中的CRL�����,減少了 CA與終端實(shí)體之間的數(shù)據(jù)流量�����。
[0086]參見圖2���,為本發(fā)明實(shí)施例提供的CRL傳輸方法的另一流程圖,本實(shí)施例中以CRL的特征信息包括:發(fā)布者簽名����、發(fā)布日期為例,該方法包括:
[0087]201:終端實(shí)體向CA發(fā)送CRL請(qǐng)求消息��,所述CRL請(qǐng)求消息中攜帶終端CRL特征信
肩����、O
[0088]所述終端CRL特征信息包括:發(fā)布日期和發(fā)布者簽名。
[0089]其中�,所述CRL請(qǐng)求消息可以使用現(xiàn)有技術(shù)中的CRL請(qǐng)求消息的消息格式實(shí)現(xiàn),具體的�,將所述終端CRL特征信息可以攜帶在所述CRL請(qǐng)求消息的消息內(nèi)容中;或者也可以另外定義新的消息格式���,這里并不限制���。
[0090]202:所述CA接收所述CRL請(qǐng)求消息,判斷所述CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致��,如果一致,執(zhí)行203 ;如果不一致��,執(zhí)行205����。
[0091]203:所述CA判斷所述CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,如果一致��,執(zhí)行204 ;如果不一致����,執(zhí)行205。
[0092]204:所述CA向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息���;當(dāng)前處理分支結(jié)束�����。
[0093]205:所述CA向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息��;當(dāng)前處理分支結(jié)束�����。
[0094]其中��,本發(fā)明實(shí)施例中的所述CRL響應(yīng)消息可以使用現(xiàn)有技術(shù)中CRL響應(yīng)消息的消息格式實(shí)現(xiàn)��,具體的����,攜帶CRL時(shí)同現(xiàn)有技術(shù)中CRL響應(yīng)消息���,不攜帶CRL時(shí)����,CRL響應(yīng)消息中對(duì)應(yīng)字段可以缺?�?��;或者也可以定義新的消息格式���,這里并不限定。
[0095]本實(shí)施例中����,CA對(duì)CA中CRL的發(fā)布日期和發(fā)布者簽名與所述終端CRL特征信息中的發(fā)布日期和發(fā)布者簽名是否一致進(jìn)行判斷,只在所述發(fā)布日期和/或所述發(fā)布者簽名不一致時(shí)�,CRL響應(yīng)消息中攜帶CA的CRL,在所述發(fā)布日期和所述發(fā)布者簽名均一致時(shí),CRL響應(yīng)消息中不攜帶CA的CRL��,從而減少了 CA與終端實(shí)體之間的數(shù)據(jù)流量�����。
[0096]參見圖3����,為本發(fā)明實(shí)施例提供的CRL傳輸裝置的結(jié)構(gòu)示意圖,用于執(zhí)行本發(fā)明圖1和圖2所示方法�,該裝置300包括:
[0097]接收單元310,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息;
[0098]判斷單元320���,用于根據(jù)所述終端CRL特征信息��,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��;
[0099]第一發(fā)送單元330�����,用于如果判斷單元320判斷CA中CRL與所述終端實(shí)體中CRL一致�,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�;
[0100]第二發(fā)送單元340����,用于如果判斷單元320判斷CA中CRL與所述終端實(shí)體中CRL不一致����,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息。
[0101]優(yōu)選地�,第一種可能實(shí)現(xiàn)方式中���,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期�;所述判斷單元320具體可以用于:
[0102]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致����,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致�,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則CA中CRL與所述終端實(shí)體中CRL —致�����;或者���,
[0103]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致��,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致,則CA中CRL與所述終端實(shí)體中CRL —致�。
[0104]進(jìn)一步的,所述終端CRL特征信息還包括發(fā)布者簽名����;所述判斷單元320具體可以用于:
[0105]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致��,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致���,則CA中CRL與所述終端實(shí)體中CRL —致;或者����,
[0106]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致����;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致���。
[0107]第二種可能實(shí)現(xiàn)方式中����,所述終端CRL特征信息包括:發(fā)布者簽名;所述判斷單元320具體可以用于:
[0108]判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致�����。
[0109]本實(shí)施例中�,所述CA根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致���,如果一致�����,向所述終端實(shí)體發(fā)送不攜帶CA中CRL的CRL響應(yīng)消息���。從而相對(duì)于現(xiàn)有技術(shù)中CA每次均在CRL響應(yīng)消息中攜帶CA中的CRL,減少了 CA與終端實(shí)體之間的數(shù)據(jù)流量�。
[0110]參見圖4��,為本發(fā)明實(shí)施例提供的CRL傳輸系統(tǒng)的結(jié)構(gòu)示意圖�����,該系統(tǒng)400包括:
[0111]終端實(shí)體410�����,用于向CA420發(fā)送CRL請(qǐng)求消息����,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息�����;還用于接收所述CA發(fā)來的CRL響應(yīng)消息�;
[0112]CA420��,用于接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息���;根據(jù)所述終端CRL特征信息����,判斷CA420中CRL與所述終端實(shí)體410中CRL是否一致;如果CA420中CRL與所述終端實(shí)體410中CRL —致�,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息;如果CA420中CRL與所述終端實(shí)體410中CRL不一致���,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息����。
[0113]如圖5所示�,所述終端實(shí)體410可以通過以下結(jié)構(gòu)實(shí)現(xiàn):
[0114]請(qǐng)求消息發(fā)送單元510,用于向CA發(fā)送CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中所述攜帶終端CRL特征信息;
[0115]響應(yīng)消息接收單元520�,用于接收CA發(fā)來的所述CRL請(qǐng)求消息對(duì)應(yīng)的CRL響應(yīng)消
肩、O
[0116]優(yōu)選地���,第一種可能實(shí)現(xiàn)方式中�����,所述終端CRL特征信息可以包括:發(fā)布日期或下次發(fā)布日期�;所述CA420具體可以用于:接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息���;判斷CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致���,若CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致�����,則CA420中CRL與所述終端實(shí)體410中CRL不一致����,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息�����;若CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致���,則CA420中CRL與所述終端實(shí)體410中CRL —致����,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息�����;或者�,接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息���;判斷CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致��,若CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致�����,則CA420中CRL與所述終端實(shí)體410中CRL不一致���,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息�����;若CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致�����,則CA420中CRL與所述終端實(shí)體410中CRL一致�,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息���。
[0117]進(jìn)一步的��,所述終端CRL特征信息還可以包括發(fā)布者簽名�����;所述CA420具體可以用于:接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息���;判斷CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�,若CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致����,則CA420中CRL與所述終端實(shí)體410中CRL不一致,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息����;若CA420中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致,則判斷CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致����,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA420中CRL與所述終端實(shí)體410中CRL不一致���,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息���,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA420中CRL與所述終端實(shí)體410中CRL —致���,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息��;或者����,
[0118]接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息�����;判斷CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�,若CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA420中CRL與所述終端實(shí)體410中CRL不一致��,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息����;若CA420中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致,則判斷CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA420中CRL與所述終端實(shí)體410中CRL不一致���,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息����,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�,則CA420中CRL與所述終端實(shí)體410中CRL一致�����,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息���。
[0119]第二種可能實(shí)現(xiàn)方式中,所述終端CRL特征信息包括:發(fā)布者簽名��;所述CA420具體可以用于:接收終端實(shí)體410發(fā)來的CRL請(qǐng)求消息���;判斷CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致����,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA420中CRL與所述終端實(shí)體410中CRL不一致���,向所述終端實(shí)體410發(fā)送攜帶CA420中CRL的CRL響應(yīng)消息,若CA420中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�����,則CA420中CRL與所述終端實(shí)體410中CRL —致�,向所述終端實(shí)體410發(fā)送沒有攜帶CA420中CRL的CRL響應(yīng)消息����。
[0120]其中��,所述CA420的具體實(shí)現(xiàn)可以參見圖1所示的傳輸方法和圖3所示CRL傳輸裝置的實(shí)現(xiàn)結(jié)構(gòu)��,這里不贅述�。
[0121 ] 本發(fā)明實(shí)施例中���,終端實(shí)體向CA發(fā)送CRL請(qǐng)求消息�,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息�;CA根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致�����,如果一致�,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息,從而減少了終端實(shí)體與CA之間的數(shù)據(jù)流量�����。
[0122]參見圖6����,為本發(fā)明實(shí)施例提供的CA的結(jié)構(gòu)示意圖���,CA600包括:處理器610、存儲(chǔ)器620�����、收發(fā)器630和總線640 �;
[0123]處理器610、存儲(chǔ)器620�����、收發(fā)器630通過總線640相互連接����;總線640可以是ISA總線、PCI總線或EISA總線等��。所述總線可以分為地址總線�����、數(shù)據(jù)總線�����、控制總線等。為便于表示���,圖6中僅用一條粗線表示����,但并不表示僅有一根總線或一種類型的總線�����。
[0124]存儲(chǔ)器620�����,用于存放程序����。具體地����,程序可以包括程序代碼,所述程序代碼包括計(jì)算機(jī)操作指令��。存儲(chǔ)器620可能包含高速RAM存儲(chǔ)器,也可能還包括非易失性存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤存儲(chǔ)器���。
[0125]所述處理器610執(zhí)行所述程序代碼��,用于根據(jù)收發(fā)器630接收到的所述終端CRL特征信息��,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��。
[0126]收發(fā)器630用于連接其他設(shè)備����,并與其他設(shè)備進(jìn)行通信��。具體的�����,收發(fā)器610����,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息��;還用于如果處理器610判斷CA中CRL與所述終端實(shí)體中CRL —致,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�;如果處理器610判斷CA中CRL與所述終端實(shí)體中CRL不一致,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息��。
[0127]優(yōu)選地���,第一種可能實(shí)現(xiàn)方式中�,所述終端CRL特征信息包括發(fā)布日期或者下次發(fā)布日期�;所述處理器610具體可以用于:
[0128]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致��,則CA中CRL與所述終端實(shí)體中CRL不一致�����,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致����,則CA中CRL與所述終端實(shí)體中CRL —致�����;或者�����,
[0129]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致��,則CA中CRL與所述終端實(shí)體中CRL —致��。[0130]進(jìn)一步的����,所述終端CRL特征信息還可以包括發(fā)布者簽名����;所述處理器610具體可以用于:
[0131]判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致����,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致���,則CA中CRL與所述終端實(shí)體中CRL —致�����;或者��,
[0132]判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致��,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致���,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�,則CA中CRL與所述終端實(shí)體中CRL —致。
[0133]第二種可能實(shí)現(xiàn)方式中��,所述終端CRL特征信息包括:發(fā)布者簽名�����;所述處理器610具體可以用于:
[0134]判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�,則CA中CRL與所述終端實(shí)體中CRL —致�����。
[0135]本實(shí)施例中����,處理器610判斷CA中CRL與終端實(shí)體中CRL是否一致;如果CA中CRL與終端實(shí)體中CRL —致����,收發(fā)器630向終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�����,從而相對(duì)于現(xiàn)有技術(shù)中CA每次均在CRL響應(yīng)消息中攜帶CA中的CRL����,減少了 CA與終端實(shí)體之間的數(shù)據(jù)流量��。
[0136]本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明實(shí)施例中的技術(shù)可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)��?��;谶@樣的理解���,本發(fā)明實(shí)施例中的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中��,如R0M/RAM����、磁碟����、光盤等�,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器�����,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法���。
[0137]本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可�����,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處����。尤其,對(duì)于系統(tǒng)實(shí)施例而言����,由于其基本相似于方法實(shí)施例,所以描述的比較簡(jiǎn)單��,相關(guān)之處參見方法實(shí)施例的部分說明即可。
[0138]以上所述的本發(fā)明實(shí)施方式���,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定�����。任何在本發(fā)明的精神和原則之內(nèi)所作的修改��、等同替換和改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
【權(quán)利要求】
1.一種證書吊銷列表CRL傳輸方法,其特征在于,包括: 接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息���,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息����; 根據(jù)所述終端CRL特征信息�����,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致; 如果CA中CRL與所述終端實(shí)體中CRL —致����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�; 如果CA中CRL與所述終端實(shí)體中CRL不一致,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期;相應(yīng)地�,所述根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致,具體包括: 判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�����,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致�,則CA中CRL與所述終端實(shí)體中CRL —致�;或者, 判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致����,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致�,則CA中CRL與所述終端實(shí)體中CRL —致。`
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述終端CRL特征信息還包括:發(fā)布者簽名����;所述根據(jù)所述終端CRL特征信息,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��,具體包括: 判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致,則CA中CRL與所述終端實(shí)體中CRL不一致;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致����,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致�����,則CA中CRL與所述終端實(shí)體中CRL —致���;或者�, 判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�����,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致����,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述終端CRL特征信息包括:發(fā)布者簽名�����;所述根據(jù)所述終端CRL特征信息��,判斷CA中CRL與所述終端實(shí)體中CRL是否一致��,具體包括:判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�,則CA中CRL與所述終端實(shí)體中CRL不一致�����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致����,則CA中CRL與所述終端實(shí)體中CRL —致��。
5.—種證書吊銷列表CRL的傳輸裝置,其特征在于,包括: 接收單元���,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息����; 判斷單元,用于根據(jù)所述終端CRL特征信息�����,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致�; 第一發(fā)送單元,用于如果判斷單元判斷CA中CRL與所述終端實(shí)體中CRL —致����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�����; 第二發(fā)送單元���,用于如果判斷單元判斷CA中CRL與所述終端實(shí)體中CRL不一致,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息���。
6.根據(jù)權(quán)利要求5所述的裝置�,其特征在于��,所述終端CRL特征信息包括發(fā)布日期或下次發(fā)布日期�����;所述判斷單元具體用于: 判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致�����,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致�,則CA中CRL與所述終端實(shí)體中CRL —致���;或者, 判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致�����,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致����,則CA中CRL與所述終端實(shí)體中CRL不一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致����,則CA中CRL與所述終`端實(shí)體中CRL —致。
7.根據(jù)權(quán)利要求6所述的裝置�,其特征在于����,所述終端CRL特征信息還包括:發(fā)布者簽名;所述判斷單元具體用于: 判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致���,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致��;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致���,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致���;或者�, 判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致��,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致��;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致���,則判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致�����,則CA中CRL與所述終端實(shí)體中CRL不一致���,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致,則CA中CRL與所述終端實(shí)體中CRL —致���。
8.根據(jù)權(quán)利要求7所述的裝置����,其特征在于�����,所述終端CRL特征信息包括:發(fā)布者簽名����;所述判斷單元具體用于: 判斷CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名是否一致�����,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名不一致,則CA中CRL與所述終端實(shí)體中CRL不一致��,若CA中CRL的發(fā)布者簽名與所述終端CRL特征信息的發(fā)布者簽名一致����,則CA中CRL與所述終端實(shí)體中CRL —致。
9.一種證書吊銷列表CRL的傳輸系統(tǒng),其特征在于,包括: 終端實(shí)體�����,用于向數(shù)字證書認(rèn)證機(jī)構(gòu)CA發(fā)送CRL請(qǐng)求消息,所述CRL請(qǐng)求消息中攜帶終端CRL特征信息�;還用于接收所述CA發(fā)來的CRL響應(yīng)消息; CA�,用于接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息;根據(jù)所述終端CRL特征信息���,判斷數(shù)字證書認(rèn)證機(jī)構(gòu)CA中CRL與所述終端實(shí)體中CRL是否一致��;如果CA中CRL與所述終端實(shí)體中CRL 一致����,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息����;如果CA中CRL與所述終端實(shí)體中CRL不一致���,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于,所述終端CRL特征信息包括:發(fā)布日期或下次發(fā)布日期�;所述CA具體用于: 接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息;判斷CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期是否一致���,若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期不一致���,則CA中CRL與所述終端實(shí)體中CRL不一致,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息���;若CA中CRL的發(fā)布日期與所述終端CRL特征信息的發(fā)布日期一致���,則CA中CRL與所述終端實(shí)體中CRL —致,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�;或者,` 接收終端實(shí)體發(fā)來的CRL請(qǐng)求消息����;判斷CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期是否一致,若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期不一致��,則CA中CRL與所述終端實(shí)體中CRL不一致���,向所述終端實(shí)體發(fā)送攜帶CA中CRL的CRL響應(yīng)消息����;若CA中CRL的下次發(fā)布日期與所述終端CRL特征信息的下次發(fā)布日期一致����,則CA中CRL與所述終端實(shí)體中CRL —致,向所述終端實(shí)體發(fā)送沒有攜帶CA中CRL的CRL響應(yīng)消息�。
【文檔編號(hào)】H04L9/32GK103873240SQ201210527983
【公開日】2014年6月18日 申請(qǐng)日期:2012年12月10日 優(yōu)先權(quán)日:2012年12月10日
【發(fā)明者】周波, 張生兵, 馬文華, 李龍浩 申請(qǐng)人:華為技術(shù)有限公司