技術領域

本發明涉及數字證書的管理，特別是涉及一種訪問證書吊銷列表的方法、裝置和系統。

背景技術

隨著Internet的普及，各種電子商務活動飛速發展，為了保證互聯網上電子交易及支付的安全性，防范交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。

基于公鑰基礎結構(PKI，Pubic?Key?Infrastructure)，使用非對稱加密公鑰/私鑰對和證書是為滿足上述要求而采用的一種有效手段。對于使用私鑰加密的數據，只能使用相應的公鑰進行解密，反之亦然。顧名思義，公鑰是指可以提供給很多人的密鑰。相反，私鑰是特定個人所獨有的。向用戶傳送公鑰使用的分發機制是證書。通常，證書頒發機構(CA，Certification?Authority)對證書進行簽名，以便確認公鑰來自聲稱發送公鑰的主體。CA是一個相互信任的實體。

證書具有有效期，證書在期滿后就會失效。但是，證書也有可能在過期之前變得無效，原因可能是用戶私鑰丟失或用戶身份變更等。CA需要及時地對此類證書做出作廢的處理，并盡可能使證書的接收者及時地獲知這些作廢證書的信息，因此，CA需要吊銷該證書。要吊銷證書，CA保存并分發一個吊銷證書的列表，即證書吊銷列表(CRL，Certificate?Revocation?List)。證書吊銷列表中記錄尚未過期但已聲明作廢的用戶證書序列號，證書的接收者通過訪問證書吊銷列表以確定證書的有效性。

在現有的技術中，CA通常按一定時間間隔周期性的分發證書吊銷列表，該時間間隔稱為證書吊銷列表的發布期，證書的用戶端根據證書吊銷列表中是否包含待校驗的證書來判斷證書的有效性。但是，由于證書吊銷列表在發布時具有有效期，并且CA按固定的發布期發布證書吊銷列表，因此，當證書吊銷列表過期并被更新，而此時CA尚未進入下一個命令執行周期執行發布命令，就會導致已更新的證書吊銷列表不能及時發布。

另外，由于CA是在同一時刻將證書吊銷列表分發給數量龐大的證書用戶端，這勢必會導致通訊網絡數據傳輸的瞬間激增以及網絡堵塞的可能性，分發失敗的可能性也因此大大增加。

發明內容

本發明所要解決的技術問題是提供一種訪問證書吊銷列表的方法，以解決現有技術中證書用戶端無法及時獲取證書吊銷列表。

本發明的另一個目的是提供一種訪問證書吊銷列表的裝置，以解決現有證書用戶端無法及時獲取證書吊銷列表。

本發明還提供了一種訪問證書吊銷列表的，

為解決以上問題，本發明提供了一種訪問證書吊銷列表的方法，包括下列

步驟：

在實時分發器中預置證書吊銷列表；

證書用戶端向實時分發器發送證書吊銷列表下載請求；

實時分發器從所存儲的證書吊銷列表中查詢與上述下載請求相應的證書吊銷列表，并將該證書吊銷列表返回至證書用戶端。

優選的，還包括：

實時分發器檢驗所述證書吊銷列表是否在有效期內，若已過期，實時分發器向與該證書吊銷列表相應的認證機構服務器發送證書吊銷列表下載請求；

認證機構服務器根據上述請求取得相應的證書吊銷列表并返回至實時分發器；

實時分發器使用上述證書吊銷列表更新存儲在所述實時分發器中的證書吊銷列表。

優選的，還包括：

實時分發器判斷是否存在下載證書吊銷列表的活動線程，如果存在，等待該線程結束后啟動新的下載線程，否則啟動新的下載線程，所述新的下載線程用以從認證機構服務器下載所述證書吊銷列表。

優選的，還包括：按照預先設置的下載策略完成下載，所述下載策略中包括重試下載次數和重試下載時間間隔。

優選的，所述下載策略為：

判斷當前的下載線程是否成功下載了證書吊銷列表，若成功，結束下載；否則，按照所述下載策略的重試下載時間間隔重新發送下載請求；

循環執行該步驟，直到完成所述下載策略的重試下載次數或者成功下載。

優選的，所述下載策略為：

接收到認證機構服務器返回的證書吊銷列表后，驗證下載的證書吊銷列表是否在有效期內，若沒有過期，則使用該證書吊銷列表更新存儲在實時分發器中的證書吊銷列表，若過期，由按照所述下載策略的重試下載時間間隔重新發送下載請求；

循環執行該步驟，直到完成所述下載策略的重試下載次數或者下載的證書吊銷列表沒有過期。