證書的管理方法和證書的管理系統的製作方法

2023-05-24 13:47:06

專利名稱：證書的管理方法和證書的管理系統的製作方法
技術領域：
本發明涉及移動通信領域，具體而言，涉及證書的管理方法和證書的管理系統。
背景技術：
WAPI S0M ，即基於WAPI(WLAN Authentication and Privacy Infrastructure，無 線區域網鑑別與保密基礎結構)標準的安全、可運營、可管理的無線區域網運營級解決方 案，規定證書可以存儲在SIM卡中，形成用戶與網絡的綁定關係，證書的下發可採用隨SIM 卡下發或者選擇自動下發，可實現不同區域、不同運營商之間的漫遊。授權伺服器的任務主 要是完成WAPI授權證書的發放。WAPI用戶不斷增加且用戶的數量分布不均勻，如果某個區域內的用戶很多，相應 的WAPI授權伺服器工作量就很大，使WAPI授權伺服器處於繁忙狀態；如果某個區域內用 戶很少，WAPI授權伺服器就會經常處於空閒狀態。由於沒有規定授權伺服器標準的工作模 式，存在WAPI授權伺服器負載不均衡的現象，因此，針對實際的運營情況，需要優化WAPI授 權過程的架構，充分利用資源。基於上述原因，需要一種新的證書管理技術，能夠優化WAPI授權過程的架構，均 衡伺服器工作負載，提高伺服器響應速度。

發明內容
有鑑於此，本發明所要解決的技術問題在於，提供一種證書的管理方法和證書的 管理系統，能夠優化WAPI授權過程的架構，均衡伺服器工作負載，提高伺服器響應速度。本發明提供一種證書的管理方法，包括步驟102，客戶端向子伺服器提出申請； 步驟104，當所述申請為認證證書時，所述子伺服器對所述客戶端的證書進行認證，當所述 申請為發放證書時，所述子伺服器對所述客戶端進行發放證書。子伺服器的存在大大減少 了主伺服器的負載，主伺服器管理這些子伺服器。在上述技術方案中，優選地，還可以包括所述子伺服器存儲所述客戶端的信息並 將所述客戶端的信息發送至所述主伺服器，所述主伺服器存儲所述客戶端的信息並將所述 客戶端的信息發送至其他子伺服器，所述客戶端的信息包括通訊卡卡號、用戶名和/或認 證時間。這樣，就保證了各個子伺服器和主伺服器中存儲的客戶信息一致。在上述技術方案中，優選地，所述主伺服器將所述證書的備份發放至所述子服務 器，所述子伺服器將所述證書的備份發放至所述客戶端；當所述子伺服器將所述證書的備 份發放至所述客戶端失敗時，所述子伺服器發送任務請求至所述主伺服器；在所述子服務 器為空閒時，所述主伺服器將所述任務請求發送至所述子伺服器，所述子伺服器將所述證 書的備份發放至所述客戶端。當子伺服器授權失敗時，可以請主伺服器幫忙，主伺服器尋找 出處於空閒狀態的子伺服器，讓空閒的子伺服器去工作。在上述技術方案中，優選地，按照所述客戶端的數量來分配每個服務區域的所述 子伺服器的數量；當空閒的所述子伺服器的數量為多個且存在與發放失敗的所述子伺服器為同一所述服務區域的空閒的所述子伺服器時，所述主伺服器發送所述任務請求至同一所 述服務區域的空閒的所述子伺服器。每個服務區的子伺服器數量不一定都一樣，根據實際 客戶端的數量和熱點數量來進行分配，客戶端數量多的服務區域分配的子伺服器數量就相 對多。如果空閒的子伺服器為多個，如果A區域的客戶端發出的認證申請，那麼就讓A區域 的並且離客戶端最近的空閒的子伺服器去發放授權證書的備份至該客戶端。在上述技術方案中，優選地，所述子伺服器響應所述申請的規則為根據所述申請 的優先級來處理所述申請，所述優先級包括所述申請提出時間的先後順序和/或所述客戶 端與所述子伺服器的相互距離的遠近順序。最先申請的先授權、距離最近的先授權或者兩 者結合起來考慮哪個最先授權。本發明還提供一種證書的管理系統，包括主伺服器，用於將證書的備份發放至子 伺服器；所述子伺服器，用於當客戶端向所述子伺服器提出的申請為認證證書時，對所述客 戶端的證書進行認證，當提出的所述申請為發放證書時，將所述證書的備份發放至所述客 戶端。子伺服器的存在大大減少了主伺服器的負載，主伺服器管理這些子伺服器。在上述技術方案中，優選地，所述子伺服器存儲所述客戶端的信息並將所述客戶 端的信息發送至所述主伺服器，所述主伺服器存儲所述客戶端的信息並將所述客戶端的信 息發送至其他所述子伺服器，所述客戶端的信息包括通訊卡卡號、用戶名和/或認證時 間。這樣，就保證了各個子伺服器和主伺服器中存儲的客戶信息一致。在上述技術方案中，優選地，當所述子伺服器將所述證書的備份發放至所述客戶 端失敗時，所述子伺服器發送任務請求至所述主伺服器；在所述子伺服器為空閒時，所述主 伺服器將所述任務請求發送至所述子伺服器，所述子伺服器將所述證書的備份發放至所述 客戶端。當子伺服器授權失敗時，可以請主伺服器幫忙，主伺服器尋找出處於空閒狀態的子 伺服器，讓空閒的子伺服器去工作。在上述技術方案中，優選地，按照所述客戶端的數量來分配每個服務區域的所述 子伺服器的數量；當空閒的所述子伺服器的數量為多個且存在與發放失敗的所述子伺服器 為同一所述服務區域的空閒的所述子伺服器時，所述主伺服器發送所述任務請求至同一所 述服務區域的空閒的所述子伺服器。如果空閒的子伺服器為多個，如果A區域的客戶端發 出的認證申請，那麼就讓A區域的並且離客戶端最近的空閒的子伺服器去發放授權證書的 備份至該客戶端。在上述技術方案中，優選地，所述子伺服器響應所述申請的規則為根據所述申請 的優先級來處理所述申請，所述優先級包括所述申請提出時間的先後順序和/或所述客戶 端與所述子伺服器的相互距離的遠近順序。最先申請的先授權、距離最近的先授權或者兩 者結合起來考慮哪個最先授權。


圖1示出了根據本發明的實施例的證書的管理方法的流程圖；圖2示出了根據本發明的實施例的證書的管理系統的框圖；圖3示出了根據本發明的實施例的認證伺服器架構的示意圖；圖4示出了根據本發明的實施例的認證伺服器的預處理過程的示意圖；圖5示出了根據本發明的實施例的認證伺服器的認證流程圖；以及
圖6示出了根據本發明的實施例的存在認證失敗時的認證伺服器的認證流程圖。
具體實施例方式為了能夠更清楚地理解本發明的上述目的、特徵和優點，下面結合附圖和具體實 施方式對本發明進行進一步的詳細描述。在下面的描述中闡述了很多具體細節以便於充分理解本發明，但是，本發明還可 以採用其他不同於在此描述的其他方式來實施，因此，本發明並不限於下面公開的具體實 施例的限制。圖1示出了根據本發明的實施例的證書的管理方法的流程圖。如圖1所示，根據本發明的實施例的證書的管理方法包括步驟102，客戶端向子 伺服器提出申請；步驟104，當申請為認證證書時，子伺服器對客戶端的證書進行認證，當 申請為發放證書時，子伺服器對客戶端進行發放證書。子伺服器的存在大大減少了主服務 器的負載，主伺服器管理這些子伺服器。在上述技術方案中，優選地，還可以包括子伺服器存儲客戶端的信息並將客戶端 的信息發送至主伺服器，主伺服器存儲客戶端的信息並將客戶端的信息發送至其他子服務 器，客戶端的信息包括通訊卡卡號、用戶名和/或認證時間。這樣，就保證了各個子伺服器 和主伺服器中存儲的客戶信息一致。在上述技術方案中，優選地，主伺服器將證書的備份發放至子伺服器，子伺服器將 證書的備份發放至客戶端；當子伺服器將證書的備份發放至客戶端失敗時，子伺服器發送 任務請求至主伺服器；在子伺服器為空閒時，主伺服器將任務請求發送至子伺服器，子服務 器將證書的備份發放至客戶端。當子伺服器授權失敗時，可以請主伺服器幫忙，主伺服器尋 找出處於空閒狀態的子伺服器，讓空閒的子伺服器去工作。在上述技術方案中，優選地，按照客戶端的數量來分配每個服務區域的子伺服器 的數量；當空閒的子伺服器的數量為多個且存在與發放失敗的子伺服器為同一服務區域的 空閒的子伺服器時，主伺服器發送任務請求至同一服務區域的空閒的子伺服器。每個服務 區的子伺服器數量不一定都一樣，根據實際客戶端的數量和熱點數量來進行分配，客戶端 數量多的服務區域分配的子伺服器數量就相對多。如果空閒的子伺服器為多個，如果A區 域的客戶端發出的認證申請，那麼就讓A區域的並且離客戶端最近的空閒子伺服器去發放 授權證書的備份至該客戶端。在上述技術方案中，優選地，子伺服器響應申請的規則為根據申請的優先級來處 理申請，優先級包括申請提出時間的先後順序和/或客戶端與子伺服器的相互距離的遠近 順序。最先申請的先授權、距離最近的先授權或者兩者結合起來考慮哪個最先授權。圖2示出了根據本發明的實施例的證書的管理系統的框圖。如圖2所示，根據本發明的實施例的證書的管理系統200包括主伺服器202，用 於將證書的備份發放至子伺服器204 ；子伺服器204，用於當客戶端向子伺服器204提出的 申請為認證證書時，對客戶端的證書進行認證，當提出的申請為發放證書時，將證書的備份 發放至客戶端。子伺服器204的存在大大減少了主伺服器202的負載，子伺服器的數量可 以為多個，主伺服器202管理這些子伺服器204。在上述技術方案中，優選地，子伺服器204存儲客戶端的信息並將客戶端的信息發送至主伺服器202，主伺服器202存儲客戶端的信息並將客戶端的信息發送至其他子服 務器204，客戶端的信息包括通訊卡卡號、用戶名和/或認證時間。這樣，就保證了各個子 伺服器204和主伺服器202中存儲的客戶信息一致。在上述技術方案中，優選地，當子伺服器204將證書的備份發放至客戶端失敗時， 子伺服器204發送任務請求至主伺服器202 ；在子伺服器204為空閒時，主伺服器202將任 務請求發送至子伺服器204，子伺服器204將證書的備份發放至客戶端。當子伺服器204授 權失敗時，可以請主伺服器202幫忙，主伺服器202尋找出處於空閒狀態的子伺服器204，讓 空閒的子伺服器204去工作。在上述技術方案中，優選地，按照客戶端的數量來分配每個服務區域的子伺服器 204的數量；當空閒的子伺服器204的數量為多個且存在與發放失敗的子伺服器204為同 一服務區域的空閒的子伺服器204時，主伺服器202發送任務請求至同一服務區域的空閒 的子伺服器204。如果空閒的子伺服器204為多個，如果A區域的客戶端發出的認證申請， 那麼就讓A區域的並且離客戶端最近的空閒的子伺服器204去發放證書的備份至該客戶 端。在上述技術方案中，優選地，子伺服器204響應申請的規則為根據申請的優先級 來處理申請，優先級包括申請提出時間的先後順序和/或客戶端與子伺服器204的相互距 離的遠近順序。最先申請的先授權、距離最近的先授權或者兩者結合起來考慮哪個最先授 權。首先進行優化伺服器構架，優化後的伺服器構架如圖3所示。圖3示出了根據本 發明的實施例的認證伺服器架構的示意圖。如圖3所示，相關技術中的伺服器構架有多個認證伺服器，如圖3左邊所表示的多 個認證伺服器304，如認證伺服器1至認證伺服器N，它們所處的位置是平等的，相互之間是 獨立的，而優化後的伺服器構架為樹型結構，如圖右邊所表示的主伺服器300管理有多個 子伺服器302，如子伺服器1至子伺服器N。優化伺服器構架之後，進行認證伺服器的預處理，如圖4所示。主伺服器400中有授權證書，如WAPI證書，將該授權證書進行備份，主伺服器400 將授權證書的備份發放至其管理的各子伺服器402，按照SIM卡中的用戶信息進行索引。經 過預處理後，每個子伺服器具有和主伺服器一樣的授權證書，可以同時進行WAPI證書的發 放。區別於以前的伺服器架構，各個子伺服器需要劃分出一定的存儲空間來存放備份授權 證書。一般證書的大小為1KB，伺服器只需要維護很小的存儲空間，定期進行授權證書的更 新。主伺服器不需要對WAPI終端進行授權證書的發放，只需要管理各子伺服器的工作情 況，子伺服器定時把授權證書的發放信息，包括SIM卡卡號、用戶名、時間等，發送給主服務 器，由主伺服器保持和各子伺服器間的數據一致性，以維護最新的數據記錄。具體授權證書的備份發放至客戶端的流程如圖5所示。在步驟502，進行授權證書的預處理，例如圖4所示的預處理過程。在步驟504，當用戶提出授權申請時，首先把申請信息發送至授權子伺服器，由子 伺服器進行授權處理，發放授權證書給用戶。在步驟506，判斷授權證書是否發放成功，在發放成功的情況下，進行到步驟508， 在發放失敗的情況下，進行到步驟514。
在步驟514，主伺服器發放授權證書給用戶。在步驟508，判斷是否到更新信息的時鐘周期，如果判斷結果為是的情況下，進行 到步驟510，如果判斷結果為否的情況下，進行到步驟504。在步驟504，當用戶提出授權申請時，首先把申請信息發送至授權子伺服器，由子 伺服器進行授權處理，發放授權證書給用戶。在步驟510，各子伺服器把發放信息傳送給主伺服器，該發放信息包括用戶的信 肩、ο在步驟512，主伺服器保存並更新用戶的授權信息。當子伺服器處理失敗、授權證書無法正確發放時再向上一級伺服器提出授權申 請，直至正確響應並發送授權證書給用戶。伺服器對用戶請求的響應規則，可以設定基於距 離或時間的優先級，即優先處理距離比較小或者時間比較早的用戶請求。在圖5的基礎上可以進一步優化授權失敗時的操作流程，具體如圖6所示。在步驟602，進行授權證書的預處理。在步驟604，在有用戶提出認證申請時，子伺服器發放授權證書給用戶。在步驟606，判斷授權證書是否發放成功，在判斷結果為是的情況下，進行到步驟 608，在判斷結果為否的情況下，進行到步驟614。在步驟614，向主伺服器發送任務請求。在步驟608，判斷是否到更新信息的時鐘周期，在判斷結果為是的情況下，進行到 步驟610，在判斷結果為否的情況下，進行到步驟604。在步驟610，各個伺服器把發放信息傳送給主伺服器，該發放信息包括用戶的信 肩、ο在步驟612，主伺服器保存用戶的授權信息，這樣，各子伺服器和主伺服器的信息 是一致的。接下來是優化的部分當步驟606判斷結果為發放失敗時，進行到步驟614，向主伺服器發送任務請求。在步驟616，主伺服器查詢其他子伺服器的工作狀態。在步驟618，如果存在處於空閒狀態的子伺服器，主伺服器把任務請求發送至空閒 的子伺服器，然後進行到步驟604，繼續授權證書的發放流程。當子伺服器處理失敗時，向主伺服器發送任務請求，主伺服器查詢其他子伺服器， 搜索到狀態為空閒的子伺服器，並把任務請求發送至空閒子伺服器。可以為一片地區劃分 服務區域，根據每個服務區域的客戶端的數量以及熱點的數量來分配適當的子伺服器的數 量。當空閒的伺服器為多個時，如果存在與發放失敗的用戶為同一服務區域的空閒子服務 器，那麼優先選擇該空閒子伺服器對用戶進行授權證書的發放。這樣可以減輕主伺服器的 工作負擔，通過任務調度，合理分配任務，並充分利用伺服器資源。本領域內的技術人員應該理解，基於備份授權證書的WAPI並行認證模式，認證服 務器按照地區劃分級別，由主伺服器開始，形成樹狀結構圖，除了實施例中描述的二級結構 之為外，還可以是更多級的結構，還可以根據用戶數目、熱點數目的比例分配認證子伺服器 的個數。本實施例中的伺服器授權構架除了可以進行證書的發放之外，還可以對客戶端中已有的證書進行認證，同樣可以減輕主伺服器的工作負擔，先由子伺服器去完成證書的認 證，如果出現認證失敗的情況，再由主伺服器去解決這個問題，查詢其他子伺服器的狀態， 如果存在有空閒的子伺服器則命令該空閒子伺服器去對認證失敗的客戶端進行證書的認 證，同時還保證各子伺服器與主伺服器中的用戶信息一致，可以均衡各地區的子伺服器的 工作負載。另外，雖然本發明的技術方案是針對WAPI授權證書的認證，也適用於其他證書 的認證管理。以上結合附圖對本發明的技術方案進行了詳細的說明，通過授權證書預處理，由 子伺服器進行授權處理，減少了主伺服器或者熱點範圍內的認證伺服器的工作負擔，均衡 工作負載。有利於WAPI廣泛普及、用戶大量增多後的伺服器負載均衡，提高伺服器處理響 應速度。以上所述僅為本發明的優選實施例而已，並不用於限制本發明，對於本領域的技 術人員來說，本發明可以有各種更改和變化。凡在本發明的精神和原則之內，所作的任何修 改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1.一種證書的管理方法，其特徵在於，包括步驟102，客戶端向子伺服器提出申請；步驟104，當所述申請為認證證書時，所述子伺服器對所述客戶端的證書進行認證，當 所述申請為發放證書時，所述子伺服器對所述客戶端進行發放證書。
2.根據權利要求1所述的證書的管理方法，其特徵在於，還包括所述子伺服器存儲所 述客戶端的信息並將所述客戶端的信息發送至所述主伺服器，所述主伺服器存儲所述客戶 端的信息並將所述客戶端的信息發送至其他子伺服器，所述客戶端的信息包括通訊卡卡 號、用戶名和/或認證時間。
3.根據權利要求2所述的證書的管理方法，其特徵在於，所述主伺服器將所述證書的 備份發放至所述子伺服器，所述子伺服器將所述證書的備份發放至所述客戶端；當所述子伺服器將所述證書的備份發放至所述客戶端失敗時，所述子伺服器發送任務 請求至所述主伺服器；在所述子伺服器為空閒時，所述主伺服器將所述任務請求發送至所述子伺服器，所述 子伺服器將所述證書的備份發放至所述客戶端。
4.根據權利要求3所述的證書的管理方法，其特徵在於，按照所述客戶端的數量來分 配每個服務區域的所述子伺服器的數量；當空閒的所述子伺服器的數量為多個且存在與發放失敗的所述子伺服器為同一所述 服務區域的空閒的所述子伺服器時，所述主伺服器發送所述任務請求至同一所述服務區域 的空閒的所述子伺服器。
5.根據權利要求1至4中任一項所述的證書的管理方法，其特徵在於，所述子伺服器響 應所述申請的規則為根據所述申請的優先級來處理所述申請，所述優先級包括所述申請提 出時間的先後順序和/或所述客戶端與所述子伺服器的相互距離的遠近順序。
6.一種證書的管理系統，其特徵在於，包括主伺服器，用於將證書的備份發放至子伺服器；所述子伺服器，用於當客戶端向所述子伺服器提出的申請為認證證書時，對所述客戶 端的證書進行認證，當提出的所述申請為發放證書時，將所述證書的備份發放至所述客戶端。
7.根據權利要求6所述的證書的管理系統，其特徵在於，所述子伺服器存儲所述客戶 端的信息並將所述客戶端的信息發送至所述主伺服器，所述主伺服器存儲所述客戶端的信 息並將所述客戶端的信息發送至其他所述子伺服器，所述客戶端的信息包括通訊卡卡號、 用戶名和/或認證時間。
8.根據權利要求7所述的證書的管理系統，其特徵在於，當所述子伺服器將所述證書 的備份發放至所述客戶端失敗時，所述子伺服器發送任務請求至所述主伺服器；在所述子伺服器為空閒時，所述主伺服器將所述任務請求發送至所述子伺服器，所述 子伺服器將所述證書的備份發放至所述客戶端。
9.根據權利要求8所述的證書的管理系統，其特徵在於，按照所述客戶端的數量來分 配每個服務區域的所述子伺服器的數量；當空閒的所述子伺服器的數量為多個且存在與發放失敗的所述子伺服器為同一所述 服務區域的空閒的所述子伺服器時，所述主伺服器發送所述任務請求至同一所述服務區域的空閒的所述子伺服器。
10.根據權利要求6至9中任一項所述的證書的管理系統，其特徵在於，所述子伺服器 響應所述申請的規則為根據所述申請的優先級來處理所述申請，所述優先級包括所述申請 提出時間的先後順序和/或所述客戶端與所述子伺服器的相互距離的遠近順序。
全文摘要
本發明提供了一種證書的管理方法，包括步驟102，客戶端向子伺服器提出申請；步驟104，當所述申請為認證證書時，所述子伺服器對所述客戶端的證書進行認證，當所述申請為發放證書時，所述子伺服器對所述客戶端進行發放證書。本發明還提供了一種證書的管理系統。通過本發明的技術方案，可以減少主伺服器的工作負擔，均衡工作負載，提高伺服器響應速度。
文檔編號H04W12/06GK102137399SQ20111005361
公開日2011年7月27日 申請日期2011年3月7日 優先權日2011年3月7日
發明者劉玉清, 劉珍珍 申請人:宇龍計算機通信科技(深圳)有限公司