本申請公開了一種吊銷列表更新方法和存儲介質(zhì)，涉及信息安全領域。本申請的吊銷列表更新方法，包括：發(fā)起方與響應方建立通信連接后共享密鑰信息，發(fā)起方根據(jù)密鑰信息獲取響應方存儲的響應吊銷列表的第一發(fā)布時間，然后比較響應方存儲的第一發(fā)布時間和發(fā)起方存儲的第二發(fā)布時間是否一致，如果第一發(fā)布時間和第二發(fā)布時間不一致，則生成用于請求更新吊銷列表的第一更新請求，發(fā)起方將第一更新請求發(fā)送至響應方，然后根據(jù)響應方生成的第一響應信息，由所述發(fā)起方更新發(fā)起吊銷列表或由所述響應方更新響應吊銷列表，本申請的吊銷列表更新方法能夠及時獲取并且更新證書吊銷列表，并且提高證書吊銷列表的安全性。

技術領域

本申請涉及信息安全領域，特別涉及一種吊銷列表更新方法和存儲介質(zhì)。

背景技術

在數(shù)據(jù)傳輸?shù)倪^程中，為了保護數(shù)字接口的內(nèi)容，可以采用一些安全措施，比如基于數(shù)字證書的公鑰基礎設施(Public Key Infrastructure，PKI)，這是一種解決網(wǎng)絡環(huán)境下安全問題的方案，對于PKI中數(shù)字證書吊銷的查詢是PKI中的一個關鍵性操作，也是PKI所面臨的一大挑戰(zhàn)，與各種身份證件一樣，數(shù)字證書可能在過期之前變得無效，原因可能是密鑰(secret key)介質(zhì)丟失或用戶身份變更等，當用戶接收到一個數(shù)字證書(digitalcertificate)時，需要先檢查這個數(shù)字證書是否吊銷，證書吊銷信息更新和發(fā)布的頻率非常重要，如果一個數(shù)字證書已經(jīng)被撤消而用戶仍然繼續(xù)使用，將會造成極大的安全隱患。

其中，公鑰(Public Key)證書的格式標準，也就是X509標準中采納的是證書吊銷列表(Certificate Revocation List，CRL)和在線證書狀態(tài)協(xié)議(Online CertificateStatus Protocol，OCSP)兩種證書吊銷查詢方法。證書吊銷列表查詢方法是利用周期性發(fā)布CRL，CA機構(gòu)(證書頒發(fā)機構(gòu)，Certificate Authority)需要及時地對數(shù)字證書做出吊銷處理，并將吊銷證書放入CRL中予以公布，然后由用戶獲取CRL后查詢證書的有效性；在線證書狀態(tài)協(xié)議查詢方法不涉及CRL，而是采用OCSP在線查詢方式查詢證書的有效性。其中，在網(wǎng)絡規(guī)模不大或者離線場景下更適合使用CRL方案，因為CRL是一個具有時間戳的列表，在其中列出了所有已經(jīng)吊銷或掛起的數(shù)字證書信息，所以可通過時間戳來確定當前的CRL是不是更新的。然而，X509標準中的CRL格式中定義了當前CRL的發(fā)布時間以及預測下次CRL發(fā)布的時間，接收方可通過該時間機制周期性地更新CRL，以便維護最新的CRL，該種機制需要接收方與發(fā)布方同步時鐘，由于CRL發(fā)布具有突發(fā)性，所以會導致證書吊銷列表獲取延遲，進一步導致證書吊銷列表更新不及時。

發(fā)明內(nèi)容

本申請旨在至少解決現(xiàn)有技術中存在的技術問題之一。為此，本申請?zhí)岢鲆环N吊銷列表更新方法和存儲介質(zhì)，能夠及時獲取并且更新證書吊銷列表。

根據(jù)本申請的第一方面實施例的吊銷列表更新方法，應用于發(fā)起方，所述發(fā)起方與響應方共享密鑰信息，所述方法包括：

根據(jù)所述密鑰信息獲取所述響應方中存儲的響應吊銷列表的第一發(fā)布時間；

比較所述第一發(fā)布時間與存儲的發(fā)起吊銷列表的第二發(fā)布時間是否一致；

若所述第一發(fā)布時間與所述第二發(fā)布時間不一致，則生成用于請求更新所述發(fā)起吊銷列表的第一更新請求；

將所述第一更新請求發(fā)送至所述響應方；

接收所述響應方根據(jù)所述第一更新請求生成的第一響應信息；

根據(jù)所述第一響應信息更新所述發(fā)起吊銷列表。

根據(jù)本申請第一方面實施例的吊銷列表更新方法，至少具有如下有益效果：