本申請公開了一種增量式CRL更新裝置，包括證書撤銷單元、撤銷證書存儲單元和安全代理服務單元。證書撤銷單元主要完成作廢證書的撤銷過程。撤銷證書存儲單元負責完成撤銷證書的存儲工作，并按照增量發布方式存儲CRL，供驗證方下載使用。安全代理服務單元是采用增量式機制按照設置好的周期下載CRL。本方案將下載存儲CRL的工作下移至安全代理服務單元，有效緩解了簽名驗簽服務器壓力，從而減少了CRL列表的下載耗時。

技術領域

本申請涉及網絡技術領域，更具體地說，涉及一種增量式CRL列表更新裝置。

背景技術

作為目前金融科技領域網絡安全建設的基礎與核心,PKI技術通過數字證書綁定用戶身份信息，當發生密鑰泄漏、賬戶關系變更等情況時,需要及時更新作廢數字證書,來保證系統安全。基于CA發布的CRL(Certificate Revocation List,證書作廢列表)被廣泛應用于電子商務等金融場景中，但是在數字化轉型的戰略背景下，PKI的規模不斷擴大，銀行業所產生的用戶證書數量劇烈膨脹，作廢證書體量也隨之增長。傳統的CRL方案無法完全兼顧證書作廢列表發布、下載、查詢的及時性、準確性與高效性。因此如何解決CRL的及時分發與下載，查詢CRL列表提高簽名驗證效率，是急需解決的問題。

CA作為PKI應用中權威的可信的公正的第三方機構，負責生成和管理PKI結構下的所有用戶(含各種應用程序)的證書。RA是CA的延伸部分，它與CA邏輯上是一個整體，執行不同的功能。RA按照特定的政策和管理規范對用戶的資格進行審查，以決定是否為該用戶發放證書。證書撤銷申請可以由終端用戶發起，直接交給CA或者RA中心。RA或CA對用戶的申請進行審核。在某些環境下，CA也有權利直接撤銷終端實體的證書，證書撤銷流程圖1所示。

證書狀態由頒發該證書的CA管理，為保護CA私鑰安全，CA不直接向驗證者提供證書狀態信息，離線簽署證書狀態信息后，發布到證書撤銷庫中并定期更新，由證書撤銷庫響應驗證者的查詢請求，流程如圖2所示。

目前一般采用全量CRL更新方案，既CA按照一定周期全量發布CRL至CRL存儲器中，為用戶提供相對較新的證書狀態信息，將CRL直接下載至簽名驗簽裝置中供其使用。此方案雖然可以實時獲取到準確的CRL信息，但由于CRL體量較大，下載耗時較長。

發明內容

有鑒于此，本申請提供一種增量式CRL列表更新裝置，用于減少CRL列表的下載耗時。

為了實現上述目的，現提出的方案如下：

一種增量式CRL更新裝置，包括證書撤銷單元、撤銷證書存儲單元和安全代理服務單元，其中：

所述證書撤銷單元用于將過期的證書或者存在私鑰泄露的證書進行作廢處理，并將作廢處理后的證書存儲在所述撤銷證書存儲單元；

撤銷證書存儲單元用于將作廢處理后的證書以預設數據結構存儲；

所述安全代理服務單元用于采用增量式機制通過預設周期下載CRL，并通過所述證書撤銷單元對應的信任域證書校驗所述CRL的有效性，并在校驗通過后將所述CRL發布在所述安全代理服務單元。

可選的，所述證書撤銷單元包括證書注冊器和證書認證器。

可選的，所述撤銷證書存儲單元包括CRL存儲服務器，其中：

所述CRL存儲服務器用于存儲作廢后的證書。

可選的，所述CRL存儲服務器為LDAP服務器。

可選的，所述安全代理服務單元包括CRL下載器、CRL校驗器和CRL發布器，其中：

所述CRL下載器用于采用增量式機制通過預設周期下載所述CRL；

所述CRL校驗器用于通過所述證書撤銷單元對應的信任域證書校驗所述CRL的有效性；