基於分段設計的證書序列號的證書狀態在線查詢方法
2023-10-08 08:50:19 4
專利名稱:基於分段設計的證書序列號的證書狀態在線查詢方法
技術領域:
本發明涉及一種在線查詢方法,特別涉及一種適用於HQ/PMI領域的基於分段設計的證書序列號的證書狀態在線查詢方法。
背景技術:
隨著HQ/PMI技術的推廣,數字證書的應用已逐漸融入到日常生活,公鑰基礎設施管理機構所籤發的證書容量逐漸擴展,證書應用的範圍也越來越廣,由此引發對證書當前狀態的在線查詢要求也越來越高。目前證書當前狀態查詢的方式包括以下幾種
1、在LDAP上的證書發布節點上,查詢證書狀態,由於標準的證書狀態查詢請求中沒有證書的DN值,無法利用LDAP天生的優勢進行高速查詢,只能根據序列號進行檢索,在數據量超過10萬後,性能極大下降。2、在LDAP上下載黑名單,僅處理被廢除的狀態,由於黑名單是非實時的,這樣做時效性很差,同時對於不在黑名單中的序列號,無法判定其是否由發行者所籤發,這給偽造留下了漏洞。3、直接在發布資料庫查詢,這樣的時效性較高,但在容量越來越大後,對每一個發行序列號進行查詢將導致對外服務性能的極大下降。從以上幾點可以看出,目前的在線證書狀態查詢方法在大規模應用時存在性能瓶頸,對有時效性要求的業務而言,會阻礙數字證書推廣和應用。綜上所述,針對現有技術的缺陷,特別需要一種基於分段設計的證書序列號的證書狀態在線查詢方法,以解決以上提到的問題。
發明內容
本發明的目的在於提供一種基於分段設計的證書序列號的證書狀態在線查詢方法,解決上述現有技術的缺陷,能夠在大規範的公鑰基礎設施中極大優化在線證書狀態查詢的性能,為數字證書的推廣和使用鋪平道路。本發明所解決的技術問題可以採用以下技術方案來實現
一種基於分段設計的證書序列號的證書狀態在線查詢方法,其特徵在於,它包括如下步驟
1)在證書序列號生成時,證書序列號分段生成,其中包括發行者特徵和當前順序號;
2)在進行證書狀態查詢時,對需要查詢的證書序列號進行分段還原,包括發行者特徵值和順序號;
3)在緩存中尋找本證書序列號所屬發行者所發行證書的序列號中的最大順序號;
4)將步驟1)中的順序號與最大順序號進行比較,如果順序號小於或者等於最大順序號則說明該序列號屬於已使用序列號,不再向下執行;向當前發布點搜索獲取所屬發行者當前所發行證書序列號中的最大順序號並放入緩存,將步驟1)中的順序號與新獲取最大順序號進行比較,如果順序號小於等於新獲取最大順序號則說明該序列號屬於已使用序列號, 否則說明該序列號屬於未知序列號,應該返回未知狀態。在本發明的一個實施例中,上述方法適用但不限於公鑰證書的證書序列號生成, 屬性證書以及其它包含序列號的電子數據的生成。本發明的基於分段設計的證書序列號的證書狀態在線查詢方法,當應用或用戶需要在線查詢證書狀態時,將證書序列號和發行者特徵值發往在線證書狀態查詢伺服器,在線證書狀態查詢伺服器接收到數據,將序列號分段還原,在緩存中查詢所屬發行者所發行證書的序列號中的最大順序號,進行比較,視比較結果決定是否加載新的數據到緩存進行二次比較以得到比較結果,能夠在大規模PKI基礎設施中能夠極大優化證書狀態在線查詢性能,為數字證書的推廣和使用鋪平道路,實現本發明的目的。本發明的特點可參閱本案圖式及以下較好實施方式的詳細說明而獲得清楚地了解。
圖1為本發明的基於分段設計的證書序列號的證書狀態在線查詢方法的流程圖; 圖2為本發明的證書序列號分段生成的結構示意圖。
具體實施例方式為了使本發明實現的技術手段、創作特徵、達成目的與功效易於明白了解,下面結合具體圖示,進一步闡述本發明。如圖1所示,本發明的基於分段設計的證書序列號的證書狀態在線查詢方法,它包括如下步驟
步驟1 在證書序列號生成時,證書序列號分段生成,其中包括發行者特徵和當前順序
號;
步驟2 在進行證書狀態查詢時,對需要查詢的證書序列號進行分段還原,包括發行者特徵值和順序號;
步驟3:在緩存中尋找本證書序列號所屬發行者所發行證書的序列號中的最大順序
號;
步驟4 將步驟1中的順序號與最大順序號進行比較,如果順序號小於或者等於最大順序號則說明該序列號屬於已使用序列號,不再向下執行;向當前發布點搜索獲取所屬發行者當前所發行證書序列號中的最大順序號並放入緩存,將步驟1中的順序號與新獲取最大順序號進行比較,如果順序號小於等於新獲取最大順序號則說明該序列號屬於已使用序列號,否則說明該序列號屬於未知序列號,應該返回未知狀態。在本發明中,上述方法適用但不限於公鑰證書的證書序列號生成,屬性證書以及其它包含序列號的電子數據的生成。證書序列號是表示數字證書身份的特徵值,在同一個發行者中,每張數字證書的證書序列號是不同的,在查詢證書狀態時,通過將證書序列號和發行者特徵值發送到服務端,由服務端查詢後返回。如圖2所示,證書序列號在同一個證書認證系統中為定長,證書序列號除包括發行者特徵值和順序號兩個核心要素外,還可以包含其它擴展因素。同一個公鑰基礎設施體系內的發行者特徵值不能重複;順序號的範圍必須能夠支撐發行者可以發行的最大容量。基於上述方法的原理,以公鑰證書的證書序列號生成為例,具體實施如下 公鑰基礎設施在發行數字證書時,證書序列號分段生成。當應用或用戶需要在線查詢證書狀態時,將證書序列號和發行者特徵值發往在線證書狀態查詢伺服器,在線證書狀態查詢伺服器接收到數據,將序列號分段還原,在緩存中查詢所屬發行者所發行證書的序列號中的最大順序號,進行比較,視比較結果決定是否加載新的數據到緩存進行二次比較以得到比較結果。以上顯示和描述了本發明的基本原理和主要特徵和本發明的優點。本行業的技術人員應該了解,本發明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本發明的原理,在不脫離本發明精神和範圍的前提下,本發明還會有各種變化和改進,這些變化和改進都落入要求保護的本發明範圍內,本發明要求保護範圍由所附的權利要求書及其等效物界定。
權利要求
1.一種基於分段設計的證書序列號的證書狀態在線查詢方法,其特徵在於,它包括如下步驟1)在證書序列號生成時,證書序列號分段生成,其中包括發行者特徵和當前順序號;2)在進行證書狀態查詢時,對需要查詢的證書序列號進行分段還原,包括發行者特徵值和順序號;3)在緩存中尋找本證書序列號所屬發行者所發行證書的序列號中的最大順序號;4)將步驟1)中的順序號與最大順序號進行比較,如果順序號小於或者等於最大順序號則說明該序列號屬於已使用序列號,不再向下執行;向當前發布點搜索獲取所屬發行者當前所發行證書序列號中的最大順序號並放入緩存,將步驟1)中的順序號與新獲取最大順序號進行比較,如果順序號小於等於新獲取最大順序號則說明該序列號屬於已使用序列號, 否則說明該序列號屬於未知序列號,應該返回未知狀態。
2.如權利要求1所述的基於分段設計的證書序列號的證書狀態在線查詢方法,其特徵在於,上述方法適用但不限於公鑰證書的證書序列號生成,屬性證書以及其它包含序列號的電子數據的生成。
全文摘要
本發明的目的在於公開一種基於分段設計的證書序列號的證書狀態在線查詢方法,在發行數字證書時,證書序列號分段生成;當應用或用戶需要在線查詢證書狀態時,將證書序列號和發行者特徵值發往在線證書狀態查詢伺服器,在線證書狀態查詢伺服器接收到數據,將序列號分段還原,在緩存中查詢所屬發行者所發行證書的序列號中的最大順序號,進行比較,視比較結果決定是否加載新的數據到緩存進行二次比較以得到比較結果;能夠在大規模PKI基礎設施中能夠極大優化證書狀態在線查詢性能,為數字證書的推廣和使用鋪平道路,實現本發明的目的。
文檔編號G06F17/30GK102567410SQ201010618658
公開日2012年7月11日 申請日期2010年12月31日 優先權日2010年12月31日
發明者任偉, 曾政, 楊茂江, 許俊 申請人:上海格爾軟體股份有限公司