[go: up one dir, main page]

CN108365962A - 一种证书吊销列表查询方法及装置 - Google Patents

一种证书吊销列表查询方法及装置 Download PDF

Info

Publication number
CN108365962A
CN108365962A CN201810003002.4A CN201810003002A CN108365962A CN 108365962 A CN108365962 A CN 108365962A CN 201810003002 A CN201810003002 A CN 201810003002A CN 108365962 A CN108365962 A CN 108365962A
Authority
CN
China
Prior art keywords
serial number
certificate
certificate serial
checked
crl files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810003002.4A
Other languages
English (en)
Other versions
CN108365962B (zh
Inventor
赵剑竹
张庆勇
王翊心
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xin'an Century Polytron Technologies Inc
Original Assignee
Beijing Xin'an Century Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xin'an Century Polytron Technologies Inc filed Critical Beijing Xin'an Century Polytron Technologies Inc
Priority to CN201810003002.4A priority Critical patent/CN108365962B/zh
Publication of CN108365962A publication Critical patent/CN108365962A/zh
Application granted granted Critical
Publication of CN108365962B publication Critical patent/CN108365962B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种证书吊销列表查询方法及装置,用以提高证书吊销列表的查询效率。所述证书吊销列表查询方法,包括:接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。

Description

一种证书吊销列表查询方法及装置
技术领域
本发明涉及信息安全和数字证书技术领域,尤其涉及一种证书吊销列表查询方法及装置。
背景技术
CRL(Certificate Revocation List,证书吊销列表)是PKI(Public KeyInfrastructure,公钥基础设施)系统中的一个结构化数据文件,该文件包含了CA(Certificate Authority,证书授权)机构已经吊销的证书的序列号及其吊销日期。
目前在查询证书是否在CRL中以验证该证书是否吊销时,应用程序从LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)目录服务器获取CRL文件,会得到多个无排列规则的CRL文件,这些CRL文件里包含当前CA已经吊销的所有证书的序列号和吊销时间,然后将所有的CRL文件解析后保存在应用程序的内存中,再对证书进行检索,其需要大量的内存空间去保留诸多使用率很低的数据,同时在CRL文件过多过大时,还存在内存溢出的风险,使得应用程序的健壮性降低,影响查询效率。
因此,如何提高证书吊销列表的查询效率,是现有技术亟待解决的技术问题之一。
发明内容
本发明提供了一种证书吊销列表查询方法及装置,用以提高证书吊销列表的查询效率。
本发明实施例提供了一种证书吊销列表查询方法,包括:
接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;
从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;
分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;
对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;
将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
本发明实施例提供了一种证书吊销列表查询装置,包括:
接收单元,用于接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;
获取单元,用于从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;
预处理单元,用于分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;
重组单元,用于对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;
匹配单元,用于将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
本发明的有益效果包括:
本发明实施例提供的证书吊销列表查询方法及装置,服务器接收到证书吊销列表查询请求后,从LDAP目录服务器获取证书吊销列表CRL文件,其中,所述查询请求中携带有待查询证书序列号,分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号,对各第二证书序列号进行重组,得到若干重组后的CRL文件,将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量,根据上述流程,服务器接收到证书吊销列表查询请求后,先对从LDAP目录服务器获取的每一个无排列规则的CRL文件中包含的第一证书序列号进行预处理,在对经过预处理后得到的第二证书序列号进行重组,得到新的重组后的CRL文件,将所述待查询证书序列号与所述重组后的CRL文件进行匹配,获得查询结果,由于重组后的CRL文件中的第二证书序列号的数量不超过一定的预设数量,从而提高了证书吊销列表的查询效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,证书吊销列表查询方法的实施流程示意图;
图2为本发明实施例中,将待查询证书序列号与重组后的CRL文件进行匹配的实施流程示意图;
图3为本发明实施例中,证书吊销列表查询装置的结构示意图。
具体实施方式
本发明提供了一种证书吊销列表查询方法及装置,提高了证书吊销列表的查询效率。
本发明实施例的提供的证书吊销列表查询方法的实施原理是:服务器接收到证书吊销列表查询请求后,从LDAP目录服务器获取证书吊销列表CRL文件,其中,所述查询请求中携带有待查询证书序列号,分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号,对各第二证书序列号进行重组,得到若干重组后的CRL文件,将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量,根据上述流程,服务器接收到证书吊销列表查询请求后,先对从LDAP目录服务器获取的每一个无排列规则的CRL文件中包含的第一证书序列号进行预处理,在对经过预处理后得到的第二证书序列号进行重组,得到新的重组后的CRL文件,将所述待查询证书序列号与所述重组后的CRL文件进行匹配,获得查询结果,由于重组后的CRL文件中的第二证书序列号的数量不超过一定的预设数量,从而提高了证书吊销列表的查询效率。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1所示,其为本发明实施例提供的证书吊销列表查询方法的实施流程示意图,可以包括以下步骤:
S11、接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号。
具体实施时,服务器接收用户通过应用软件发送的证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号。
S12、从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件。
具体实施时,服务器从LDAP目录服务器获取若干CRL文件,CRL文件中存储有当前为止已吊销的证书序列号和吊销时间,每个CRL文件中包含有大量无排列规则的已吊销的证书序列号与相应的吊销时间。
S13、分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号。
具体实施时,当确定所述第一证书序列号的长度小于N个字节时,将所述第一证书序列号的长度补充为N个字节,得到相应的第二证书序列号。其中,N为证书序列号的最大长度,现行的证书序列号的最大长度一般为20个字节。具体地,在第一证书序列号的第一个字节前补充十六进制数0X00,将该第一序列号的长度补充为N个字节。从LDAP目录服务器上获取的CRL文件中的证书序列号的长度长短不一,最大长度为20个字节,当证书序列号的长度小于N个字节(即20个字节)时,则在该证书序列号的第一个字节前补充十六进制数0X00,直至该证书序列号的长度为N个字节,即20个字节。例如,某一证书序列号为:20 24 11 2b 065f 67,其用十六进制数表示,共包含7个字节,分别为:20、24、11、2b、06、5f和67,则将该证书序列号第一个字节20前添加14个00,补充为:00 00 00 00 00 00 00 00 00 00 00 0000 00 20 24 11 2b 06 5f 67,即将该证书序列号的长度补充为20个字节。
当确定所述第一证书序列号的长度等于N个字节时,将所述第一证书序列号确定为相应的第二证书序列号。具体地,如果所述第一证书序列号的长度为20个字节,则不对其进行处理,将该第一证书序列号直接确定为相应的第二证书序列号。
S14、对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量。
具体实施时,针对步骤S13中对第一证书序列号进行预处理后得到的相应的所有第二证书序列号,将前第二预设数量的字节相同的第二证书序列号按照升序或降序进行排列后,组成一个新的CRL文件,得到若干重组后的CRL文件。
需要说明的是,本发明实施例中第二预设数量可以根据需要自行设定,此处不作限定。
一个较佳的实施方式中,第二预设数量可以设置为19。具体地,将前19个字节相同的第二证书序列号按照升序或降序进行排列后,组成一个新的CRL文件,得到若干个重组后的CRL文件,并可以将这些重组后的CRL文件保存于系统目录中,以便下次使用。由于一个字节范围为256,则每个重组后的CRL文件中包含的第二证书序列号的数量最多为256个,即此时第一预设数量为256。第一预设数量取决于第二预设数量的设置。
需要说明的是,对每个重组后的CRL文件夹中的第二证书序列号都按照相同的排列方式进行排序,要么都按照升序排列,要么都按照降序排列。
进而,将重组后的CRL文件按照预设顺序进行排列。
具体地,当确定所述重组后的CRL文件中的第二证书序列号按照升序排列时,则将所述重组后的CRL文件按照升序排列,即重组后的所有CRL文件中,后一CRL文件中的所有第二证书序列号均大于前一CRL文件夹中的最大的第二证书序列号。当确定所述重组后的CRL文件中的第二证书序列号按照降序排列时,则将所述重组后的CRL文件按照降序排列,即重组后的CRL文件中,后一CRL文件中的所有第二证书序列号均小于前一CRL文件夹中的最小的第二证书序列号。
S15、将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
具体实施时,可以按照如图2所示的流程将所述待查询证书序列号与所述重组后的CRL文件按照以下步骤进行匹配,可以包括以下步骤:
S201、获得排序完成后的所有重组后的CRL文件的中间位置处的第二证书序列号,并将所述中间位置处的第二证书序列号标记为参考证书序列号。
本步骤中,服务器获得排序完成后的所有重组后的CRL文件的中间位置处的第二证书序列号,并将该第二证书序列号标记为参考证书序列号。例如,假设排序完成后的重组的CRL文件有A、B、C、D四个,A、B、C、D中包含的第二证书序列号的数量分别为100、150、200、255,则A、B、C、D的中间位置处的第二证书序列号为CRL文件C中的第103个第二证书序列号,则将该第二证书序列号标记为参考证书序列号。在实施时,如果重组后的CRL文件中包含的所有第二证书序列号的总数量为偶数个时,则可以把中间的两个第二证书序列号中的任意一个标记为参考证书序列号,对此,本发明实施例不作限定。
S202、将所述待查询证书序列号与所述参考证书序列号进行比较,得到比较结果。
S203、根据所述比较结果确定所述待查询证书序列号的查询范围。
具体地,当确定步骤S202中得到的比较结果为所述待查询证书序列号大于所述参考证书序列号时,则将包含的各第二证书序列号大于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中大于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围。当确定所述比较结果为所述待查询证书序列号小于所述参考证书序列号时,则将包含的各第二证书序列号小于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中小于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围。当确定所述比较结果为所述待查询证书序列号等于所述参考证书序列号时,则确定所述待查询证书已吊销。
仍以步骤S201中排序完成后的重组的CRL文件A、B、C、D为例,A、B、C、D中包含的第二证书序列号的数量分别为100、150、200、255,假设A、B、C、D与A、B、C、D中的各第二证书序列号均按升序进行排列。将待查询证书序列号与参考证书序列号即文件C中的第103个第二证书序列号进行比较,如果待查询序列号的值大于参考证书序列号的值,则将查询范围限定在文件C中的第103个第二证书序列号之后的所有第二证书序列号中,也就是将从文件C中的第104个第二证书序列号开始到该文件夹中的第200个第二证书序列号,再加上文件D确定为该待查询序列号的查询范围;如果待查询序列号的值小于参考证书序列号的值,则将查询范围限定在文件C中的第103个第二证书序列号之前的所有第二证书序列号中,也就是将文件C中的前102个第二证书序列号,再加上文件A、B确定为该待查询序列号的查询范围。
S204、将所述待查询证书序列号与确定的所述查询范围进行匹配。
本步骤中,服务器将所述待查询证书序列号与在步骤S203中确定的查询范围进行匹配,在所述查询范围中查找是否含有该待查询证书序列号,如果存在,则确定所述待查询证书已吊销,否则,则确定所述待查询证书未吊销,并返回查询结果,可以将所述查询结果存储于应用程序内存中,所述应用程序为安装于服务器中的应用软件。
本发明实施例提供的证书吊销列表查询方法,服务器接收到证书吊销列表查询请求后,从LDAP目录服务器获取证书吊销列表CRL文件,其中,所述查询请求中携带有待查询证书序列号,分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号,对各第二证书序列号进行重组,得到若干重组后的CRL文件,将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量,本发明实施例提供的证书吊销列表查询方法中,由于重组后的CRL文件中的证书序列号的数量远远小于原始CRL文件中的证书序列号数量,且将预处理后的证书序列号按照升序或降序的顺序进行排列,并选取一个参考证书序列号,将查询范围缩小了一半,从而有效地提高了查询效率,并且,仅将查询结果存储于应用程序内存中,避免了内存溢出的风险,提高了应用程序的健壮性。
基于同一发明构思,本发明实施例中还提供了一种证书吊销列表查询装置,由于上述装置解决问题的原理与证书吊销列表查询方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,其为本发明实施例提供的证书吊销列表查询装置的结构示意图,可以包括:
接收单元31,用于接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;
获取单元32,用于从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;
预处理单元33,用于分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;
重组单元34,用于对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;
匹配单元35,用于将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
较佳地,所述预处理单元33,具体用于当确定所述第一证书序列号的长度小于N个字节时,将所述第一证书序列号的长度补充为N个字节,得到相应的第二证书序列号;当确定所述第一证书序列号的长度等于N个字节时,将所述第一证书序列号确定为相应的第二证书序列号;其中,N为证书序列号的最大长度。
较佳地,所述预处理单元33,具体用于在所述第一证书序列号的第一个字节前补充十六进制数0X00,将所述第一序列号的长度补充为N个字节。
较佳地,所述重组单元34,具体用于将前第二预设数量的字节相同的第二证书序列号按照升序或降序进行排列后,组成一个新的CRL文件,得到若干重组后的CRL文件。
可选地,所述装置还可以包括:
排序单元,用于在得到若干重组后的CRL文件之后,将所述待查询证书序列号与所述重组后的CRL文件进行匹配之前,将所述重组后的CRL文件按照预设顺序进行排列。
较佳地,所述排序单元,具体用于当确定所述重组后的CRL文件中的第二证书序列号按照升序排列时,则将所述重组后的CRL文件按照升序排列;当确定所述重组后的CRL文件中的第二证书序列号按照降序排列时,则将所述重组后的CRL文件按照降序排列。
较佳地,所述匹配单元35,具体用于获得排序完成后的所有重组后的CRL文件的中间位置处的第二证书序列号,并将所述中间位置处的第二证书序列号标记为参考证书序列号;将所述待查询证书序列号与所述参考证书序列号进行比较,得到比较结果;根据所述比较结果确定所述待查询证书序列号的查询范围;将所述待查询证书序列号与确定的所述查询范围进行匹配。
较佳地,所述匹配单元35,具体用于当确定所述比较结果为所述待查询证书序列号大于所述参考证书序列号时,则将包含的各第二证书序列号大于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中大于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围;当确定所述比较结果为所述待查询证书序列号小于所述参考证书序列号时,则将包含的各第二证书序列号小于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中小于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述证书吊销列表查询方法。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述证书吊销列表查询方法中的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (16)

1.一种证书吊销列表查询方法,其特征在于,包括:
接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;
从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;
分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;
对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;
将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
2.如权利要求1所述的方法,其特征在于,通过以下步骤对所述第一证书序列号进行预处理,得到相应的第二证书序列号:
当确定所述第一证书序列号的长度小于N个字节时,将所述第一证书序列号的长度补充为N个字节,得到相应的第二证书序列号;
当确定所述第一证书序列号的长度等于N个字节时,将所述第一证书序列号确定为相应的第二证书序列号;
其中,N为证书序列号的最大长度。
3.如权利要求2所述的方法,其特征在于,将所述第一证书序列号的长度补充为N个字节,具体包括:
在所述第一证书序列号的第一个字节前补充十六进制数0X00,将所述第一序列号的长度补充为N个字节。
4.如权利要求1所述的方法,其特征在于,对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,具体包括:
将前第二预设数量的字节相同的第二证书序列号按照升序或降序进行排列后,组成一个新的CRL文件,得到若干重组后的CRL文件。
5.如权利要求4所述的方法,其特征在于,在得到若干重组后的CRL文件之后,将所述待查询证书序列号与所述重组后的CRL文件进行匹配之前,还包括:
将所述重组后的CRL文件按照预设顺序进行排列。
6.如权利要求5所述的方法,其特征在于,将所述重组后的CRL文件按照预设顺序进行排列,具体包括:
当确定所述重组后的CRL文件中的第二证书序列号按照升序排列时,则将所述重组后的CRL文件按照升序排列;
当确定所述重组后的CRL文件中的第二证书序列号按照降序排列时,则将所述重组后的CRL文件按照降序排列。
7.如权利要求6所述的方法,其特征在于,将所述待查询证书序列号与所述重组后的CRL文件按照以下步骤进行匹配:
获得排序完成后的所有重组后的CRL文件的中间位置处的第二证书序列号,并将所述中间位置处的第二证书序列号标记为参考证书序列号;
将所述待查询证书序列号与所述参考证书序列号进行比较,得到比较结果;
根据所述比较结果确定所述待查询证书序列号的查询范围;
将所述待查询证书序列号与确定的所述查询范围进行匹配。
8.如权利要求7所述的方法,其特征在于,根据所述比较结果确定所述待查询证书序列号的查询范围,具体包括:
当确定所述比较结果为所述待查询证书序列号大于所述参考证书序列号时,则将包含的各第二证书序列号大于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中大于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围;
当确定所述比较结果为所述待查询证书序列号小于所述参考证书序列号时,则将包含的各第二证书序列号小于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中小于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围。
9.一种证书吊销列表查询装置,其特征在于,包括:
接收单元,用于接收证书吊销列表查询请求,所述查询请求中携带有待查询证书序列号;
获取单元,用于从轻量目录访问协议LDAP目录服务器获取证书吊销列表CRL文件;
预处理单元,用于分别对获取的每一CRL文件中包含的每一第一证书序列号进行预处理,得到相应的第二证书序列号;
重组单元,用于对所述各第二证书序列号进行重组,得到若干重组后的CRL文件,其中,所述各重组后的CRL文件中包含的证书序列号的数量小于等于第一预设数量;
匹配单元,用于将所述待查询证书序列号与所述重组后的CRL文件进行匹配,得到查询结果,并返回所述查询结果。
10.如权利要求9所述的装置,其特征在于,
所述预处理单元,具体用于当确定所述第一证书序列号的长度小于N个字节时,将所述第一证书序列号的长度补充为N个字节,得到相应的第二证书序列号;当确定所述第一证书序列号的长度等于N个字节时,将所述第一证书序列号确定为相应的第二证书序列号;其中,N为证书序列号的最大长度。
11.如权利要求10所述的装置,其特征在于,
所述预处理单元,具体用于在所述第一证书序列号的第一个字节前补充十六进制数0X00,将所述第一序列号的长度补充为N个字节。
12.如权利要求9所述的装置,其特征在于,
所述重组单元,具体用于将前第二预设数量的字节相同的第二证书序列号按照升序或降序进行排列后,组成一个新的CRL文件,得到若干重组后的CRL文件。
13.如权利要求12所述的装置,其特征在于,所述装置还包括:
排序单元,用于在得到若干重组后的CRL文件之后,将所述待查询证书序列号与所述重组后的CRL文件进行匹配之前,将所述重组后的CRL文件按照预设顺序进行排列。
14.如权利要求13所述的装置,其特征在于,
所述排序单元,具体用于当确定所述重组后的CRL文件中的第二证书序列号按照升序排列时,则将所述重组后的CRL文件按照升序排列;当确定所述重组后的CRL文件中的第二证书序列号按照降序排列时,则将所述重组后的CRL文件按照降序排列。
15.如权利要求14所述的装置,其特征在于,
所述匹配单元,具体用于获得排序完成后的所有重组后的CRL文件的中间位置处的第二证书序列号,并将所述中间位置处的第二证书序列号标记为参考证书序列号;将所述待查询证书序列号与所述参考证书序列号进行比较,得到比较结果;根据所述比较结果确定所述待查询证书序列号的查询范围;将所述待查询证书序列号与确定的所述查询范围进行匹配。
16.如权利要求15所述的装置,其特征在于,
所述匹配单元,具体用于当确定所述比较结果为所述待查询证书序列号大于所述参考证书序列号时,则将包含的各第二证书序列号大于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中大于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围;当确定所述比较结果为所述待查询证书序列号小于所述参考证书序列号时,则将包含的各第二证书序列号小于所述待查询证书序列号的CRL文件,以及所述待查询证书序列号所属的CRL文件中小于所述待查询证书序列号的各第二证书序列号确定为所述待查询证书序列号的查询范围。
CN201810003002.4A 2018-01-02 2018-01-02 一种证书吊销列表查询方法及装置 Active CN108365962B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810003002.4A CN108365962B (zh) 2018-01-02 2018-01-02 一种证书吊销列表查询方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810003002.4A CN108365962B (zh) 2018-01-02 2018-01-02 一种证书吊销列表查询方法及装置

Publications (2)

Publication Number Publication Date
CN108365962A true CN108365962A (zh) 2018-08-03
CN108365962B CN108365962B (zh) 2021-04-06

Family

ID=63011108

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810003002.4A Active CN108365962B (zh) 2018-01-02 2018-01-02 一种证书吊销列表查询方法及装置

Country Status (1)

Country Link
CN (1) CN108365962B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430323A (zh) * 2020-10-29 2022-05-03 西门子股份公司 技术设施中的证书管理
CN115514500A (zh) * 2022-11-23 2022-12-23 江苏荣泽信息科技股份有限公司 一种ca证书撤销列表快速验证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1707999A (zh) * 2004-05-03 2005-12-14 汤姆森许可公司 证书撤销列表的分布管理
US20080133907A1 (en) * 2006-11-30 2008-06-05 Red Hat, Inc. Propagation of certificate revocation information
CN102567410A (zh) * 2010-12-31 2012-07-11 上海格尔软件股份有限公司 基于分段设计的证书序列号的证书状态在线查询方法
US20170250824A1 (en) * 2016-02-29 2017-08-31 Red Hat, Inc. Efficient certificate revocation list processing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1707999A (zh) * 2004-05-03 2005-12-14 汤姆森许可公司 证书撤销列表的分布管理
US20080133907A1 (en) * 2006-11-30 2008-06-05 Red Hat, Inc. Propagation of certificate revocation information
CN102567410A (zh) * 2010-12-31 2012-07-11 上海格尔软件股份有限公司 基于分段设计的证书序列号的证书状态在线查询方法
US20170250824A1 (en) * 2016-02-29 2017-08-31 Red Hat, Inc. Efficient certificate revocation list processing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430323A (zh) * 2020-10-29 2022-05-03 西门子股份公司 技术设施中的证书管理
CN115514500A (zh) * 2022-11-23 2022-12-23 江苏荣泽信息科技股份有限公司 一种ca证书撤销列表快速验证方法

Also Published As

Publication number Publication date
CN108365962B (zh) 2021-04-06

Similar Documents

Publication Publication Date Title
CN106657216B (zh) 序列号生成方法和装置
CN110942302B (zh) 一种区块链凭证撤销、验证方法、签发节点、验证节点
CN105095263B (zh) 卡号的生成方法及其装置
CN101770515A (zh) 一种基于数据块比较的数据更新方法
CN101626389B (zh) 一种网络节点的管理方法
CN108365962A (zh) 一种证书吊销列表查询方法及装置
CN106708822B (zh) 一种文件存储方法和装置
CN107105013A (zh) 文件的处理方法、服务器、终端和系统
CN106790332A (zh) 一种资源调度方法、系统及主节点
CN106686083A (zh) 一种视频文件下载方法及装置
CN111026397B (zh) 一种rpm包分布式编译方法及装置
US20160301572A1 (en) Communication control device, communication control method, and computer program product
CN103942196A (zh) 数据查询的方法、设备及系统
CN102685266B (zh) 区文件签名方法及系统
CN109144690B (zh) 任务处理方法和装置
CN110545170A (zh) 一种基于密码抽签的区块链共识方法和装置以及设备
CN103905201A (zh) 主应用与多个从属应用的交互方法及装置
CN112835700B (zh) 基于智能合约的数据处理方法、装置、设备及存储介质
CN109309708A (zh) 区块链系统中区块生产速度的加快方法、介质、装置及区块链系统
CN110505276B (zh) 对象匹配方法、装置及系统、电子设备及存储介质
CN102883303A (zh) Sim卡个人化数据控制方法及系统
US11138186B2 (en) Database identifier generation in transaction processing systems
WO2016070564A1 (zh) 网管系统中资源标识分配的方法及装置
CN117370460A (zh) 基于双链存储的区块链存储优化方法及装置
CN113505155B (zh) 基于区块链网络的交易信息检索方法和检索装置

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant