CN102567410A - 基于分段设计的证书序列号的证书状态在线查询方法 - Google Patents
基于分段设计的证书序列号的证书状态在线查询方法 Download PDFInfo
- Publication number
- CN102567410A CN102567410A CN2010106186580A CN201010618658A CN102567410A CN 102567410 A CN102567410 A CN 102567410A CN 2010106186580 A CN2010106186580 A CN 2010106186580A CN 201010618658 A CN201010618658 A CN 201010618658A CN 102567410 A CN102567410 A CN 102567410A
- Authority
- CN
- China
- Prior art keywords
- certificate
- serial number
- sequence number
- publisher
- maximum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明的目的在于公开一种基于分段设计的证书序列号的证书状态在线查询方法,在发行数字证书时,证书序列号分段生成;当应用或用户需要在线查询证书状态时,将证书序列号和发行者特征值发往在线证书状态查询服务器,在线证书状态查询服务器接收到数据,将序列号分段还原,在缓存中查询所属发行者所发行证书的序列号中的最大顺序号,进行比较,视比较结果决定是否加载新的数据到缓存进行二次比较以得到比较结果;能够在大规模PKI基础设施中能够极大优化证书状态在线查询性能,为数字证书的推广和使用铺平道路,实现本发明的目的。
Description
技术领域
本发明涉及一种在线查询方法,特别涉及一种适用于PKI/PMI领域的基于分段设计的证书序列号的证书状态在线查询方法。
背景技术
随着PKI/PMI技术的推广,数字证书的应用已逐渐融入到日常生活,公钥基础设施管理机构所签发的证书容量逐渐扩展,证书应用的范围也越来越广,由此引发对证书当前状态的在线查询要求也越来越高。
目前证书当前状态查询的方式包括以下几种:
1、在LDAP上的证书发布节点上,查询证书状态,由于标准的证书状态查询请求中没有证书的DN值,无法利用LDAP天生的优势进行高速查询,只能根据序列号进行检索,在数据量超过10万后,性能极大下降。
2、在LDAP上下载黑名单,仅处理被废除的状态,由于黑名单是非实时的,这样做时效性很差,同时对于不在黑名单中的序列号,无法判定其是否由发行者所签发,这给伪造留下了漏洞。
3、直接在发布数据库查询,这样的时效性较高,但在容量越来越大后,对每一个发行序列号进行查询将导致对外服务性能的极大下降。
从以上几点可以看出,目前的在线证书状态查询方法在大规模应用时存在性能瓶颈,对有时效性要求的业务而言,会阻碍数字证书推广和应用。
综上所述,针对现有技术的缺陷,特别需要一种基于分段设计的证书序列号的证书状态在线查询方法,以解决以上提到的问题。
发明内容
本发明的目的在于提供一种基于分段设计的证书序列号的证书状态在线查询方法,解决上述现有技术的缺陷,能够在大规范的公钥基础设施中极大优化在线证书状态查询的性能,为数字证书的推广和使用铺平道路。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种基于分段设计的证书序列号的证书状态在线查询方法,其特征在于,它包括如下步骤:
1)在证书序列号生成时,证书序列号分段生成,其中包括发行者特征和当前顺序号;
2)在进行证书状态查询时,对需要查询的证书序列号进行分段还原,包括发行者特征值和顺序号;
3)在缓存中寻找本证书序列号所属发行者所发行证书的序列号中的最大顺序号;
4)将步骤1)中的顺序号与最大顺序号进行比较,如果顺序号小于或者等于最大顺序号则说明该序列号属于已使用序列号,不再向下执行;向当前发布点搜索获取所属发行者当前所发行证书序列号中的最大顺序号并放入缓存,将步骤1)中的顺序号与新获取最大顺序号进行比较,如果顺序号小于等于新获取最大顺序号则说明该序列号属于已使用序列号,否则说明该序列号属于未知序列号,应该返回未知状态。
在本发明的一个实施例中,上述方法适用但不限于公钥证书的证书序列号生成,属性证书以及其它包含序列号的电子数据的生成。
本发明的基于分段设计的证书序列号的证书状态在线查询方法,当应用或用户需要在线查询证书状态时,将证书序列号和发行者特征值发往在线证书状态查询服务器,在线证书状态查询服务器接收到数据,将序列号分段还原,在缓存中查询所属发行者所发行证书的序列号中的最大顺序号,进行比较,视比较结果决定是否加载新的数据到缓存进行二次比较以得到比较结果,能够在大规模PKI基础设施中能够极大优化证书状态在线查询性能,为数字证书的推广和使用铺平道路,实现本发明的目的。
本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。
附图说明
图1为本发明的基于分段设计的证书序列号的证书状态在线查询方法的流程图;
图2为本发明的证书序列号分段生成的结构示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1所示,本发明的基于分段设计的证书序列号的证书状态在线查询方法,它包括如下步骤:
步骤1:在证书序列号生成时,证书序列号分段生成,其中包括发行者特征和当前顺序号;
步骤2:在进行证书状态查询时,对需要查询的证书序列号进行分段还原,包括发行者特征值和顺序号;
步骤3:在缓存中寻找本证书序列号所属发行者所发行证书的序列号中的最大顺序号;
步骤4:将步骤1中的顺序号与最大顺序号进行比较,如果顺序号小于或者等于最大顺序号则说明该序列号属于已使用序列号,不再向下执行;向当前发布点搜索获取所属发行者当前所发行证书序列号中的最大顺序号并放入缓存,将步骤1中的顺序号与新获取最大顺序号进行比较,如果顺序号小于等于新获取最大顺序号则说明该序列号属于已使用序列号,否则说明该序列号属于未知序列号,应该返回未知状态。
在本发明中,上述方法适用但不限于公钥证书的证书序列号生成,属性证书以及其它包含序列号的电子数据的生成。
证书序列号是表示数字证书身份的特征值,在同一个发行者中,每张数字证书的证书序列号是不同的,在查询证书状态时,通过将证书序列号和发行者特征值发送到服务端,由服务端查询后返回。
如图2所示,证书序列号在同一个证书认证系统中为定长,证书序列号除包括发行者特征值和顺序号两个核心要素外,还可以包含其它扩展因素。同一个公钥基础设施体系内的发行者特征值不能重复;顺序号的范围必须能够支撑发行者可以发行的最大容量。
基于上述方法的原理,以公钥证书的证书序列号生成为例,具体实施如下:
公钥基础设施在发行数字证书时,证书序列号分段生成。
当应用或用户需要在线查询证书状态时,将证书序列号和发行者特征值发往在线证书状态查询服务器,在线证书状态查询服务器接收到数据,将序列号分段还原,在缓存中查询所属发行者所发行证书的序列号中的最大顺序号,进行比较,视比较结果决定是否加载新的数据到缓存进行二次比较以得到比较结果。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1. 一种基于分段设计的证书序列号的证书状态在线查询方法,其特征在于,它包括如下步骤:
1)在证书序列号生成时,证书序列号分段生成,其中包括发行者特征和当前顺序号;
2)在进行证书状态查询时,对需要查询的证书序列号进行分段还原,包括发行者特征值和顺序号;
3)在缓存中寻找本证书序列号所属发行者所发行证书的序列号中的最大顺序号;
4)将步骤1)中的顺序号与最大顺序号进行比较,如果顺序号小于或者等于最大顺序号则说明该序列号属于已使用序列号,不再向下执行;向当前发布点搜索获取所属发行者当前所发行证书序列号中的最大顺序号并放入缓存,将步骤1)中的顺序号与新获取最大顺序号进行比较,如果顺序号小于等于新获取最大顺序号则说明该序列号属于已使用序列号,否则说明该序列号属于未知序列号,应该返回未知状态。
2.如权利要求1所述的基于分段设计的证书序列号的证书状态在线查询方法,其特征在于,上述方法适用但不限于公钥证书的证书序列号生成,属性证书以及其它包含序列号的电子数据的生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106186580A CN102567410A (zh) | 2010-12-31 | 2010-12-31 | 基于分段设计的证书序列号的证书状态在线查询方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106186580A CN102567410A (zh) | 2010-12-31 | 2010-12-31 | 基于分段设计的证书序列号的证书状态在线查询方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102567410A true CN102567410A (zh) | 2012-07-11 |
Family
ID=46412841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010106186580A Pending CN102567410A (zh) | 2010-12-31 | 2010-12-31 | 基于分段设计的证书序列号的证书状态在线查询方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102567410A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108365962A (zh) * | 2018-01-02 | 2018-08-03 | 北京信安世纪科技股份有限公司 | 一种证书吊销列表查询方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1264519A (zh) * | 1997-07-21 | 2000-08-23 | 艾利森电话股份有限公司 | 专用编号方案(pnp)预约的自动准备 |
| US20020194173A1 (en) * | 2001-03-22 | 2002-12-19 | Bjornson Robert D. | Method and apparatus for high-performance sequence comparison |
| CN1477565A (zh) * | 2003-07-18 | 2004-02-25 | 新 李 | 数字证书吊销方式的改进 |
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
-
2010
- 2010-12-31 CN CN2010106186580A patent/CN102567410A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1264519A (zh) * | 1997-07-21 | 2000-08-23 | 艾利森电话股份有限公司 | 专用编号方案(pnp)预约的自动准备 |
| US20020194173A1 (en) * | 2001-03-22 | 2002-12-19 | Bjornson Robert D. | Method and apparatus for high-performance sequence comparison |
| CN1477565A (zh) * | 2003-07-18 | 2004-02-25 | 新 李 | 数字证书吊销方式的改进 |
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108365962A (zh) * | 2018-01-02 | 2018-08-03 | 北京信安世纪科技股份有限公司 | 一种证书吊销列表查询方法及装置 |
| CN108365962B (zh) * | 2018-01-02 | 2021-04-06 | 北京信安世纪科技股份有限公司 | 一种证书吊销列表查询方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9600591B2 (en) | Method and apparatus for URL address search in URL list | |
| CN106874348B (zh) | 文件存储和索引方法、装置及读取文件的方法 | |
| CN101901248A (zh) | 一种布隆过滤器的生成、更新以及查询元素方法和装置 | |
| CN109271449A (zh) | 一种基于文件的分布式存储查询系统及查询方法 | |
| CN109032803B (zh) | 数据处理方法和装置、客户端 | |
| CN101772043B (zh) | 局数据核查方法和装置 | |
| CN104539750A (zh) | 一种ip定位方法和装置 | |
| US20190087506A1 (en) | Anchored match algorithm for matching with large sets of url | |
| CN106649602A (zh) | 业务对象数据处理方法、装置和服务器 | |
| CN110019048A (zh) | 基于MongoDB的文件处理方法、装置、系统及服务器 | |
| CN104954431A (zh) | 网络选择方法、装置及系统 | |
| CN104636477A (zh) | 一种信息推送前推送列表的去重方法 | |
| CN109145053B (zh) | 数据处理方法和装置、客户端、服务器 | |
| CN103491201A (zh) | 一种域名解析的方法和域名服务器 | |
| CN101576919B (zh) | 标识生成方法和装置 | |
| CN101882216B (zh) | 构建数据指纹的方法、装置及电子设备 | |
| CN108399175B (zh) | 一种数据存储、查询方法及其装置 | |
| CN110020412B (zh) | 一种生成imix标准报文的方法、装置及电子设备 | |
| CN111382206A (zh) | 一种数据存储方法及装置 | |
| US9020977B1 (en) | Managing multiprotocol directories | |
| CN107291454A (zh) | 一种在事件的评论列表中添加评论的方法及评论系统 | |
| CN106095511A (zh) | 一种服务器升级方法和装置 | |
| CN111949648B (zh) | 内存缓存数据系统和数据索引方法 | |
| CN102567410A (zh) | 基于分段设计的证书序列号的证书状态在线查询方法 | |
| CN104021192A (zh) | 一种数据库更新方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120711 |