CN106130740B - 数字证书同步方法、数字签名服务器及数字证书同步系统 - Google Patents
数字证书同步方法、数字签名服务器及数字证书同步系统 Download PDFInfo
- Publication number
- CN106130740B CN106130740B CN201610798638.3A CN201610798638A CN106130740B CN 106130740 B CN106130740 B CN 106130740B CN 201610798638 A CN201610798638 A CN 201610798638A CN 106130740 B CN106130740 B CN 106130740B
- Authority
- CN
- China
- Prior art keywords
- digital
- signature
- server
- digital certificate
- verification request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的实施例提供一种数字证书同步方法、数字签名服务器及数字证书同步系统,涉及网络安全技术领域,能够解决现有的数字签名服务器在下载该数字签名服务器上不存在的数字证书时重复下载数字证书的问题。包括:数字签名服务器接收签名验证请求;当确定数字签名服务器不存在签名验证请求指示的数字证书,且被配置为中心服务器时,依次在其他被中心服务器上查询签名验证请求指示的数字证书;当确定数字签名服务器不存在签名验证请求指示的数字证书,且被配置为非中心服务器时,依次在中心服务器上查询签名验证请求指示的数字证书;当查询到签名验证请求指示的数字证书时,下载签名验证请求指示的数字证书。本发明用于同步数字证书。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数字证书同步方法、数字签名服务器及数字证书同步系统。
背景技术
近年来随着电子商务技术的进步,用户能够通过网络与其他用户进行信息交互,例如进行金融交易的客户能够方便轻松地通过网络与金融机构进行业务往来并达成交易,但通过网络交互某些敏感或有价值的数据客观上也增加了该部分数据被窃取或滥用的风险。为了保证用户通过网络交互敏感或高价值数据的安全性与可靠性,需要为网络信息交互建立一种信任机制,即要求参加信息交互的双方都必须拥有合法的并且能够有效无误的被进行验证的身份。这种用于标识通讯各方身份的信息被称为数字证书。
通常情况下,数字证书储存在数字签名服务器上,当用户进行数据交互时,需要使用储存在数字签名服务器上的数字证书验证数据交互中另一方的身份。当数据交互系统包括多个不同的单位或机构时,数据交互中用户的身份对于该多个不同的单位或机构一般可以通用,例如在金融交易中多个金融机构间可以互相承认用户身份的有效性,因此在上述场景中多个不同的数字签名服务器上储存有相同的数字证书,并且该多个不同的数字签名服务器上储存的数字证书需时刻保持一致。
由于在实际应用中由证书授权(英文全称:Certificate Authority,英文简称:CA)机构发行的数字证书更新频率往往较高,因此可能存在新发行的数字证书未能同步至某个数字签名服务器的情况,当发生上述情况时,若用户向该数字签名服务器发送签名验证请求,该数字签名服务器无法根据自身不存在的数字证书对用户提供的数字签名进行验证。现有技术中虽然可以通过高可用性群集(英文全称:High Available,英文简称:HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致,但上述方案中并不包括针对上述问题的解决方案,仅能通过操作人员手动控制该数字签名服务器与系统中其他数字签名服务器进行全量同步。由于数字签名服务器每次根据签名验证请求能够确定自身不存在的数字证书往往较少,因此若通过操作人员手动控制该数字签名服务器与系统中其他数字签名服务器进行全量同步,会出现重复下载数字证书的现象,从而增加了数字证书同步的复杂程度,提高了数字证书同步所消耗的资源与成本,损害了用户体验。
发明内容
本申请提供一种数字证书同步方法、数字签名服务器及数字证书同步系统,能够解决现有的数字签名服务器在下载该数字签名服务器上不存在的数字证书时重复下载数字证书的问题。
第一方面,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,包括:数字签名服务器接收签名验证请求,签名验证请求用于指示对应的数字证书;当确定数字签名服务器不存在签名验证请求指示的数字证书,并且数字签名服务器被配置为中心服务器时,数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;当确定数字签名服务器不存在签名验证请求指示的数字证书,并且数字签名服务器被配置为非中心服务器时,数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;当数字签名服务器查询到签名验证请求指示的数字证书时,数字签名服务器下载签名验证请求指示的数字证书。
第二方面,本发明的实施例提供了一种数字签名服务器,数字签名服务器位于包括至少两台数字签名服务器的数字证书同步系统,数字签名服务器包括:接收模块,被配置为接收签名验证请求,签名验证请求用于指示对应的数字证书;查询模块,被配置为当确定数字签名服务器不存在签名验证请求指示的数字证书并且数字签名服务器被配置为中心服务器时,依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;当确定数字签名服务器不存在签名验证请求指示的数字证书并且数字签名服务器被配置为非中心服务器时,依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;同步模块,被配置为当查询到签名验证请求指示的数字证书时,下载签名验证请求指示的数字证书。
第三方面,本发明的实施例提供了一种数字证书同步系统,数字证书同步系统包括至少两台数字签名服务器且数字证书同步系统包括上述第二方面实施例中提供的数字签名服务器。
本发明的实施例提供了一种数字证书同步方法、数字签名服务器及数字证书同步系统,应用于包括至少两台数字签名服务器的数字证书同步系统,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源,在减少数字证书同步的成本的同时改善用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例所提供的一种使用数字签名服务器进行身份验证的架构的示意性结构图;
图2为本发明的实施例所提供的一种数字证书同步方法的示意性流程图;
图3为本发明的另一实施例所提供的一种数字证书同步方法的示意性流程图;
图4为本发明的实施例所提供的一种数字签名服务器的示意性结构图;
图5为本发明的实施例所提供的一种数字证书同步系统的示意性结构图;
图6为本发明的另一实施例所提供的一种数字签名服务器的示意性结构图;
图7为本发明的另一实施例所提供的一种数字签名服务器的示意性结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
数字证书是一种在网络通讯中标志通讯各方身份的信息,数字证书可以为一串数字也可以为一份电子文档,一般由证书授权(英文全称:Certificate Authority,英文简称:CA)机构发行,在进行互联网通讯时通讯各方可以用数字证书来识别对方的身份。目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。随着技术的发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
通常情况下,数字证书储存在数字签名服务器上,当用户进行数据交互时,需要使用数字签名服务器验证数据交互中另一方的身份。如附图1所示,本发明的实施例提供了一种使用数字签名服务器进行身份验证的架构,包括用户设备101,网络102以及数字签名服务器103,其中用户在使用用户设备101进行数据交互时需要验证该用户的身份,因此用户设备101通过网络102向数字签名服务器103发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识,其中数字证书标识可以唯一标识对应的数字用户,数字签名服务器103根据数字证书标识进行查询,获取对应的数字证书,并根据该对应的数字证书验证用户的数字签名信息是否正确,若验证成功则确定该用户的身份合法,可以与该用户继续进行相应的数据交互,若验证失败则返回验证失败信息。
由于在实际使用中,数据交互中用户的身份对于多个不同的单位或机构可以通用,例如在金融交易中多个金融机构间可以互相承认用户身份的有效性,如中国银联(英文全称:China Union Pay)或其他跨行交易清算系统中,多个银行间在进行金融业务时可以互相承认其他银行用户身份的有效性,此时在该跨行交易清算系统中,位于多个不同银行的数字签名服务器中的数字证书需由统一的CA机构如中国人民银行发行,并且该多个不同的数字签名服务器中储存的数字证书需时刻保持一致。
由于在实际应用中由CA机构发行的数字证书的更新频率往往较高,而不同数字签名服务器的网络状况与性能也可能存在较大差异,因此可能存在新发行的数字证书未能同步至某个数字签名服务器的情况,当发生上述情况时,若用户向该数字签名服务器发送签名验证请求,并且该签名验证请求用于请求数字签名服务器根据该未同步的数字证书验证用户提供的对应数字签名的有效性时,该数字签名服务器无法根据未同步到自身的数字证书验证用户提供的对应数字签名的有效性。
现有技术中虽然可以通过高可用性群集(英文全称:High Available,英文简称:HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致,具体的,HA同步配置中通常包括两台或两台以上数字签名服务器,分为主数字签名服务器与备数字签名服务器,其中当主数字签名服务器上的数字证书出现变动时,主数字签名服务器在预定时间范围内向备数字签名服务器发送数字证书同步信息,使备数字签名服务器根据数字证书同步信息进行同步;而灾难备份同步配置通常包括两台数字签名服务器,分为主数字签名服务器与备数字签名服务器,通过将对主数字签名服务器上数字证书的操作信息实时发送至备数字签名服务器,从而达到对备数字签名服务器上数字证书同步的目的。
由于当签名服务器不存在签名验证请求所要求验证的数字签名对应数字证书时,上述两种方案容易出现重复下载数字证书的现象,导致大部分的数字证书同步为无必要的同步,增加了数字证书同步的复杂程度,提高了数字证书同步所消耗的资源与成本,损害了用户体验。
为了解决上述问题,如附图2所示,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统。
其中,数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,因此被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性往往较高,当数字证书同步系统中的数字签名服务器上不存在签名验证请求指示的数字证书时,可以在该数字证书可靠性与完整性较高的数字签名服务器上查找该签名验证请求指示的数字证书,从而使该数字签名服务器查找该签名验证请求指示的数字证书的效率较高并且所消耗的资源较少。
需要说明的是,数字证书同步系统可以包括至少两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
该数字证书同步方法包括:
201、数字签名服务器接收签名验证请求。
其中,签名验证请求用于指示对应的数字证书。签名验证请求可以包括数字证书标识,由于数字签名服务器位于数字证书同步系统中,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书,因此数字证书标识可以在由统一的CA机构发布的数字证书中唯一标识对应的数字证书。
进一步的,签名验证请求还可以包括用户的数字签名信息,其中用户的数字签名信息与数字证书标识对应,根据数字证书标识确定的数字证书可以用于判断用户的数字签名信息是否有效。
202、根据签名验证请求确定数字签名服务器是否存在签名验证请求指示的数字证书。
具体的,可以为根据签名验证请求在数字签名服务器上查找签名验证请求所指示的数字证书,当在数字签名服务器上无法查询到签名验证请求所指示的数字证书时,确定数字签名服务器不存在签名验证请求指示的数字证书。优选的,可以为当在数字签名服务器上未查询到签名验证请求所指示的数字证书并且所查询的时间超过第一时间阈值时,确定数字签名服务器不存在签名验证请求指示的数字证书。
当确定数字签名服务器不存在签名验证请求指示的数字证书时,执行步骤203。
203、确定数字签名服务器的类型。
当确定数字签名服务器被配置为中心服务器时,执行步骤204。
当确定数字签名服务器被配置为非中心服务器时,执行步骤205。
204、数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
具体的,由于数字签名服务器已确定被配置为中心服务器的自身并不存在签名验证请求指示的数字证书,同时由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性相较于数字证书同步系统中未被配置为中心服务器的数字签名服务器而言往往较高,换言之若数字证书同步系统中其他被配置为中心服务器的数字签名服务器上也不存在签名验证请求指示的数字证书,则数字证书同步系统中其他未进行查询的数字签名服务器上存在该签名验证请求指示的数字证书的可能性也极小,同时与数字证书同步系统中被配置为中心服务器的数字签名服务器进行数字证书同步的效率较高、所消耗的资源较少,因此依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
当数字签名服务器查询到签名验证请求指示的数字证书时,执行步骤206。
205、数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
具体的,由于已确定数字签名服务器自身被配置为非中心服务器且不存在签名验证请求指示的数字证书,同时由于数字证书同步系统中被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性相较于数字证书同步系统中未被配置为中心服务器的数字签名服务器而言往往较高,换言之若数字证书同步系统中被配置为中心服务器的数字签名服务器上也不存在签名验证请求指示的数字证书,则数字证书同步系统中其他未进行查询的数字签名服务器上存在该签名验证请求指示的数字证书的可能性也极小,同时与数字证书同步系统中被配置为中心服务器的数字签名服务器进行数字证书同步的效率较高、成本较低,因此依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
当数字签名服务器查询到签名验证请求指示的数字证书时,执行步骤206。
206、数字签名服务器下载签名验证请求指示的数字证书。
本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源,在减少数字证书同步的成本的同时改善用户体验。
如附图3所示,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,该方法包括:
301、数字签名服务器接收签名验证请求。
其中,签名验证请求用于指示对应的数字证书。
具体的,签名验证请求还可以包括用户的数字签名信息,在获取签名验证请求用于指示对应的数字证书时,可以根据该数字证书对该用户的数字签名信息进行有效性验证。
具体参照上述实施例中步骤201,在此不再赘述。
302、根据签名验证请求确定数字签名服务器是否存在签名验证请求指示的数字证书。
具体参照上述实施例中步骤202,在此不再赘述。
303、获取签名验证配置。
具体的,签名验证配置用于当确定数字签名服务器并不存在签名验证请求指示的数字证书时,数字签名服务器如何回应该签名验证请求。
当签名验证配置为第一配置时,数字签名服务器可以返回与签名验证请求对应的签名验证失败信息,同时数字签名服务器按照之后的步骤查询签名验证请求指示的数字证书,从而避免因查询数字证书而导致回应签名验证请求较慢的情况,降低回应签名验证请求的时延。
当签名验证配置为第二配置时,数字签名服务器可以按照之后的步骤查询签名验证请求指示的数字证书,并在查询到该数字证书时下载该数字证书,并根据下载的数字证书对该签名验证请求进行相应的验证,从而达到尽量根据查询结果对接收的签名验证请求进行回应,提高回应签名验证请求的可靠性。
当签名验证配置为第一配置时,执行步骤304。
当签名验证配置为第二配置时,执行步骤305。
304、数字签名服务器返回与签名验证请求对应的签名验证失败信息。
具体的,当确定数字证书同步系统中被配置为中心服务器的签名服务器上均不存在所查询的数字证书时,数字签名服务器返回与签名验证请求对应的签名验证失败信息,该签名验证失败信息可以用于指示对签名验证请求验证失败或无法对签名验证请求进行相应的验证,进一步的,该签名验证失败信息还可以用于指示对签名验证请求验证失败或无法对签名验证请求进行相应的验证的具体原因,即数字证书同步系统中被配置为中心服务器的签名服务器上均不存在签名验证请求指示的数字证书。
305、数字签名服务器接收签名验证请求前第一时间阈值内是否确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书。
具体的,数字签名服务器接收签名验证请求前第一时间阈值内是否确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书,是指在数字签名服务器接收签名验证请求前一段时间即第一时间阈值内,该数字签名服务器是否在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询过相同的数字证书即签名验证请求指示的数字证书,若已在这一段时间内进行过查询并且确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在该数字证书时,那么可以认为在获取上一次查询结果后的第一时间阈值这一段时间内,由其他系统或机构如通过CA机构将该数字证书更新到数字证书同步系统中被配置为中心服务器的数字签名服务器上的几率也很低,因此可以直接判定当前时刻数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书,从而在尽量保证数字证书同步可靠性的前提下,减少数字证书同步所消耗的资源,降低数字证书同步的成本。
需要说明的时,当进行数字证书查询的数字签名服务器自身被配置为中心服务器时,仅需判断该数字签名服务器在接收签名验证请求前第一时间阈值内是否确定过数字证书同步系统中其他被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书即可。
当数字签名服务器接收签名验证请求前第一时间阈值内确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书时,执行步骤304。
当数字签名服务器接收签名验证请求前第一时间阈值内不曾确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书时,执行步骤306。
306、确定数字签名服务器的类型。
具体参照上述实施例中步骤203,在此不再赘述。
307、确定数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器。
具体的,数字签名服务器可以处以三种状态,包括正常服务状态、正在同步状态以及宕机状态,其中如下表所示,当数字签名服务器处于正常服务状态时,数字签名服务器可以进行签名验签、上传证书、删除证书及证书同步动作;当数字签名服务器处于正常同步状态时,数字签名服务器可以进行签名验签、上传证书、删除证书动作,但无法进行证书同步动作;当数字签名服务器处于宕机状态时,数字签名服务器无法进行签名验签、上传证书、删除证书及证书同步中任一种动作。
| 签名验签 | 上传证书 | 删除证书 | 证书同步 | |
| 正常服务 | √ | √ | √ | √ |
| 正在同步 | √ | √ | √ | × |
| 宕机 | × | × | × | × |
因此,当数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时,其他数字签名服务器能够从该部分数字签名服务器上下载相应的数字证书。
308、依次在数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询签名验证请求指示的数字证书。
由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时方能进行数字证书的上传,因此在该部分数字签名服务器上一次查询签名验证请求指示的数字证书,从而尽量减少所查询的数字签名服务器的数量,提高数字证书同步的效率,降低数字证书同步所消耗的资源。
当在数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询到签名验证请求指示的数字证书时,执行步骤311。
当未能在数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询到签名验证请求指示的数字证书时,执行步骤304。
309、确定数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器。
具体内容参照上述步骤307,在此不再赘述。
310、依次在数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询签名验证请求指示的数字证书。
由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时方能进行数字证书的上传,因此在该部分数字签名服务器上一次查询签名验证请求指示的数字证书,从而尽量减少所查询的数字签名服务器的数量,提高数字证书同步的效率,降低数字证书同步所消耗的资源。
当在数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询到签名验证请求指示的数字证书时,执行步骤311。
当未能在数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询到签名验证请求指示的数字证书时,执行步骤304。
311、数字签名服务器下载签名验证请求指示的数字证书。
312、数字签名服务器根据下载的数字证书对用户的数字签名信息进行验证。
具体的,由于在步骤303中所获取的签名验证配置为第二配置,因此当数字签名服务器查询到签名验证请求指示的数字证书并下载该数字证书时,数字签名服务器根据下载的数字证书对签名验证请求中所包括的用户的数字签名信息进行验证,以便于根据验证结果对签名验证请求进行回应。
本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源。因此本发明的实施例提供的数字证书同步方法能够在数字签名服务器不存在签名验证请求指示的数字证书时,根据该数字签名服务器被配置的类型按照相应的策略控制该数字签名服务器在数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器上依次查询该数字证书,并在查询到该数字证书时下载该数字证书,从而在提高该数字签名服务器的数字证书同步效率的同时尽量减少该数字签名服务器所查询的数字签名服务器的数量,减少数字证书同步所消耗的资源与成本,改善用户体验。
如附图4所示,本发明的实施例提供了一种数字签名服务器401,数字签名服务器401位于包括至少两台数字签名服务器的数字证书同步系统。
其中,数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,因此被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性往往较高,当数字证书同步系统中的数字签名服务器上不存在签名验证请求指示的数字证书时,可以在该数字证书可靠性与完整性较高的数字签名服务器上查找该签名验证请求指示的数字证书,从而使该数字签名服务器查找该签名验证请求指示的数字证书的效率较高并且所消耗的资源较少。
需要说明的是,数字证书同步系统可以包括至少两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
数字签名服务器401包括:
接收模块402,被配置为接收签名验证请求,签名验证请求用于指示对应的数字证书;
其中,签名验证请求用于指示对应的数字证书。签名验证请求可以包括数字证书标识,由于数字签名服务器位于数字证书同步系统中,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书,因此数字证书标识可以在由统一的CA机构发布的数字证书中唯一标识对应的数字证书。
进一步的,签名验证请求还可以包括用户的数字签名信息,其中用户的数字签名信息与数字证书标识对应,根据数字证书标识确定的数字证书可以用于判断用户的数字签名信息是否有效。
查询模块403,被配置为当确定数字签名服务器不存在签名验证请求指示的数字证书并且数字签名服务器被配置为中心服务器时,依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;
当确定数字签名服务器不存在签名验证请求指示的数字证书并且数字签名服务器被配置为非中心服务器时,依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;
具体的,可以为根据签名验证请求在数字签名服务器上查找签名验证请求所指示的数字证书,当在数字签名服务器上无法查询到签名验证请求所指示的数字证书时,确定数字签名服务器不存在签名验证请求指示的数字证书。优选的,可以为当在数字签名服务器上未查询到签名验证请求所指示的数字证书并且所查询的时间超过第一时间阈值时,确定数字签名服务器不存在签名验证请求指示的数字证书。
具体的,由于数字签名服务器已确定被配置为中心服务器的自身并不存在签名验证请求指示的数字证书,同时由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性相较于数字证书同步系统中未被配置为中心服务器的数字签名服务器而言往往较高,换言之若数字证书同步系统中其他被配置为中心服务器的数字签名服务器上也不存在签名验证请求指示的数字证书,则数字证书同步系统中其他未进行查询的数字签名服务器上存在该签名验证请求指示的数字证书的可能性也极小,同时与数字证书同步系统中被配置为中心服务器的数字签名服务器进行数字证书同步的效率较高、所消耗的资源较少,因此依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
具体的,由于已确定数字签名服务器自身被配置为非中心服务器且不存在签名验证请求指示的数字证书,同时由于数字证书同步系统中被配置为中心服务器的数字签名服务器上数字证书的可靠性与完整性相较于数字证书同步系统中未被配置为中心服务器的数字签名服务器而言往往较高,换言之若数字证书同步系统中被配置为中心服务器的数字签名服务器上也不存在签名验证请求指示的数字证书,则数字证书同步系统中其他未进行查询的数字签名服务器上存在该签名验证请求指示的数字证书的可能性也极小,同时与数字证书同步系统中被配置为中心服务器的数字签名服务器进行数字证书同步的效率较高、成本较低,因此依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书。
同步模块404,被配置为当查询到签名验证请求指示的数字证书时,下载签名验证请求指示的数字证书。
本发明的实施例提供了一种数字签名服务器,位于包括至少两台数字签名服务器的数字证书同步系统,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源,在减少数字证书同步的成本的同时改善用户体验。
具体的,查询模块403具体被配置为:
当数字签名服务器不存在签名验证请求指示的数字证书并且在数字签名服务器接收签名验证请求前第一时间阈值内确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书时,返回与签名验证请求对应的签名验证失败信息。
具体的,数字签名服务器接收签名验证请求前第一时间阈值内是否确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书,是指在数字签名服务器接收签名验证请求前一段时间即第一时间阈值内,该数字签名服务器是否在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询过相同的数字证书即签名验证请求指示的数字证书,若已在这一段时间内进行过查询并且确定数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在该数字证书时,那么可以认为在获取上一次查询结果后的第一时间阈值这一段时间内,由其他系统或机构如通过CA机构将该数字证书更新到数字证书同步系统中被配置为中心服务器的数字签名服务器上的几率也很低,因此可以直接判定当前时刻数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书,从而在尽量保证数字证书同步可靠性的前提下,减少数字证书同步所消耗的资源,降低数字证书同步的成本。
需要说明的时,当进行数字证书查询的数字签名服务器自身被配置为中心服务器时,仅需判断该数字签名服务器在接收签名验证请求前第一时间阈值内是否确定过数字证书同步系统中其他被配置为中心服务器的数字签名服务器上不存在签名验证请求指示的数字证书即可。
具体的,查询模块403具体被配置为:
依次在数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询签名验证请求指示的数字证书;
依次在数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询签名验证请求指示的数字证书。
具体的,数字签名服务器可以处以三种状态,包括正常服务状态、正在同步状态以及宕机状态,其中如下表所示,当数字签名服务器处于正常服务状态时,数字签名服务器可以进行签名验签、上传证书、删除证书及证书同步动作;当数字签名服务器处于正常同步状态时,数字签名服务器可以进行签名验签、上传证书、删除证书动作,但无法进行证书同步动作;当数字签名服务器处于宕机状态时,数字签名服务器无法进行签名验签、上传证书、删除证书及证书同步中任一种动作。
| 签名验签 | 上传证书 | 删除证书 | 证书同步 | |
| 正常服务 | √ | √ | √ | √ |
| 正在同步 | √ | √ | √ | × |
| 宕机 | × | × | × | × |
因此,当数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时,其他数字签名服务器能够从该部分数字签名服务器上下载相应的数字证书。
由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时方能进行数字证书的上传,因此在该部分数字签名服务器上一次查询签名验证请求指示的数字证书,从而尽量减少所查询的数字签名服务器的数量,提高数字证书同步的效率,降低数字证书同步所消耗的资源。
由于数字证书同步系统中其他被配置为中心服务器的数字签名服务器未处于宕机状态时方能进行数字证书的上传,因此在该部分数字签名服务器上一次查询签名验证请求指示的数字证书,从而尽量减少所查询的数字签名服务器的数量,提高数字证书同步的效率,降低数字证书同步所消耗的资源。
进一步的,查询模块403还被配置为:
当确定数字证书同步系统中其他被配置为中心服务器的数字签名服务器上均不存在签名验证请求指示的数字证书时,返回与签名验证请求对应的签名验证失败信息;
当确定数字证书同步系统中被配置为中心服务器的数字签名服务器上均不存在签名验证请求指示的数字证书时,返回与签名验证请求对应的签名验证失败信息。
具体的,当确定数字证书同步系统中被配置为中心服务器的签名服务器上均不存在所查询的数字证书时,数字签名服务器返回与签名验证请求对应的签名验证失败信息,该签名验证失败信息可以用于指示对签名验证请求验证失败或无法对签名验证请求进行相应的验证,进一步的,该签名验证失败信息还可以用于指示对签名验证请求验证失败或无法对签名验证请求进行相应的验证的具体原因,即数字证书同步系统中被配置为中心服务器的签名服务器上均不存在签名验证请求指示的数字证书。
进一步的,签名验证请求还包括用户的数字签名信息;
接收模块402还被配置为:
获取签名验证配置;
查询模块403还被配置为:
当签名验证配置为第一配置且数字签名服务器不存在签名验证请求指示的数字证书时,返回与签名验证请求对应的签名验证失败信息;
当签名验证配置为第二配置时,根据下载的数字证书对用户的数字签名信息进行验证。
具体的,签名验证配置用于当确定数字签名服务器并不存在签名验证请求指示的数字证书时,数字签名服务器如何回应该签名验证请求。
当签名验证配置为第一配置时,数字签名服务器可以返回与签名验证请求对应的签名验证失败信息,同时数字签名服务器按照之后的步骤查询签名验证请求指示的数字证书,从而避免因查询数字证书而导致回应签名验证请求较慢的情况,降低回应签名验证请求的时延。
当签名验证配置为第二配置时,数字签名服务器可以按照之后的步骤查询签名验证请求指示的数字证书,并在查询到该数字证书时下载该数字证书,并根据下载的数字证书对该签名验证请求进行相应的验证,从而达到尽量根据查询结果对接收的签名验证请求进行回应,提高回应签名验证请求的可靠性。
当所获取的签名验证配置为第二配置,因此当数字签名服务器查询到签名验证请求指示的数字证书并下载该数字证书时,数字签名服务器根据下载的数字证书对签名验证请求中所包括的用户的数字签名信息进行验证,以便于根据验证结果对签名验证请求进行回应。
本发明的实施例提供了一种数字签名服务器,位于包括至少两台数字签名服务器的数字证书同步系统,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源。因此本发明的实施例提供的数字证书同步方法能够在数字签名服务器不存在签名验证请求指示的数字证书时,根据该数字签名服务器被配置的类型按照相应的策略控制该数字签名服务器在数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器上依次查询该数字证书,并在查询到该数字证书时下载该数字证书,从而在提高该数字签名服务器的数字证书同步效率的同时尽量减少该数字签名服务器所查询的数字签名服务器的数量,减少数字证书同步所消耗的资源与成本,改善用户体验。
如附图5所示,本发明的实施例提供了一种数字证书同步系统501,包括至少两台数字签名服务器,其中两台数字签名服务器至少包括如上述实施例中提供的被配置为中心服务器的数字签名服务器502以及上述实施例中提供的被配置为非中心服务器的数字签名服务器503。
具体的,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。
数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时,同步效率较高且所消耗的资源较少。
需要说明的是,数字证书同步系统可以包括两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
如附图5所示,数字证书同步系统501可以通过网络504与用户设备505连接,用户可以使用用户设备505通过网络504与数字签名服务器502或数字签名服务器503连接,并向数字签名服务器502或数字签名服务器503发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识,其中数字证书标识可以唯一标识对应的数字证书,数字签名服务器502或数字签名服务器503可以根据数字证书标识进行查询,以在数字签名服务器502或数字签名服务器503上确定对应的数字证书,并根据该对应的数字证书验证用户的数字签名信息是否正确,若验证成功则确定该用户的身份合法并通过网络504向用户设备505返回相应的确认信息,若验证失败则通过网络504向用户设备505返回相应的验证失败信息。
本发明的实施例提供了一种数字证书同步系统,包括至少两台数字签名服务器,其中至少两台数字签名服务器中至少包括被配置为中心服务器的数字签名服务器以及被配置为非中心服务器的数字签名服务器,通过数字签名服务器接收签名验证请求,并在数字签名服务器不存在该签名验证请求指示的数字证书时,确定数字签名服务器的类型,并在数字签名服务器被配置为中心服务器时,使数字签名服务器依次在数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书;在数字签名服务器被配置为非中心服务器时,使数字签名服务器依次在数字证书同步系统中被配置为中心服务器的数字签名服务器上查询签名验证请求指示的数字证书,从而使数字签名服务器在进行数字证书同步时,能够在数字证书同步系统中数字证书的可靠性与完整性较高的数字签名服务器上查询数字证书,并在查询到相应的数字证书时下载该数字证书,从而尽量减少在数字证书同步过程中所查询的数字签名服务器的数量,在提高数字证书同步效率的同时尽量降低数字证书同步所消耗的资源,在减少数字证书同步的成本的同时改善用户体验。
需要说明的是,由于本发明的实施例中提供的被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器所接收数字证书同步信息通常包括本地数字证书同步信息与广播数字证书同步信息,因此为了加快数字证书同步速度,可以由被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器中的不同的处理器分别根据不同的数字证书同步信息进行相应的处理。
本发明的实施例中提供的被配置为中心服务器的数字签名服务器中,查询模块403可以为处理器,该处理器也可以集成在第一设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于第一设备的存储器中,由第一设备的某一个处理器调用并执行以上查询模块403的功能。这里所述的处理器可以是一个中央处理器(英文全称:centralprocessing unit,英文简称:CPU),或者是特定集成电路(英文全称:applicationspecific integrated circuit,英文简称:ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
参照附图6所示,本发明的实施例提供一种数字签名服务器600,该数字签名服务器600在数字证书同步系统中被配置为中心服务器且该数字签名服务器600用于实施上述实施例中所提供的数字证书同步方法,数字签名服务器600包括:第一处理器601、第二处理器602、收发器603、存储器604和总线605;第一处理器601、第二处理器602、收发器603、存储器604通过所述总线605连接并完成相互间的通信;
其中,收发器603用于接收本地数字证书同步信息以及广播数字证书同步信息,并将本地数字证书同步信息提供给第一处理器601,将广播数字证书同步信息提供给第二处理器602。
第一处理器601用于处理本地数字证书同步信息,该本地数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步,且该本地数字证书同步信息不需要该数字签名服务器向其他数字签名服务器进行转发;
第二处理器602用于处理广播数字证书同步信息,并且还用于控制收发器603以广播的方式转发该广播数字证书同步信息,该广播数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步,同时该广播数字证书同步信息还可以用于指示对数字证书同步系统中其他数字签名服务器上的数字证书进行同步。
优选的,本地数字证书同步信息为用户设备上的应用发送。
需要说明的是,这里的第一处理器601、第二处理器602可以是处理器,也可以是多个处理元件的统称。例如,该处理器可以是中央处理器CPU,也可以是特定集成电路ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(英文全称:digital singnal processor,英文简称:DSP),或,一个或者多个现场可编程门阵列(英文全称:field programmable aate array,英文简称:FPGA)。
存储器604可以是一个存储装置,也可以是多个存储元件的统称,且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器604可以包括随机存储器(英文全称:random-access memory,英文简称:RAM),也可以包括非易失性存储器(英文全称:non-volatile memory,英文简称:NVRAM),例如磁盘存储器,闪存(Flash)等。
总线605可以是工业标准体系结构(英文全称:industry standardarchitecture,英文简称:ISA)总线、外部设备互连(英文全称:peripheral component,英文简称:PCI)总线或扩展工业标准体系结构(英文全称:extended industry standardarchitecture,英文简称:EISA)总线等。该总线605可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明的实施例中提供的被配置为非中心服务器的数字签名服务器中,查询模块403可以为处理器,该处理器也可以集成在第一设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于第一设备的存储器中,由第一设备的某一个处理器调用并执行以上查询模块403的功能。这里所述的处理器可以是一个CPU,或者是ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路。
参照附图7所示,本发明的实施例提供一种数字签名服务器700且该数字签名服务器700在数字证书同步系统中被配置为非中心服务器且该数字签名服务器700用于实施上述实施例中所提供的数字证书同步方法,数字签名服务器700可以包括:处理器701、收发器702、存储器703和总线704;处理器701、收发器702、存储器703通过所述总线704连接并完成相互间的通信;
其中,收发器702用于接收本地数字证书同步信息以及广播数字证书同步信息,并将本地数字证书同步信息与广播数字证书同步信息均提供给处理器701。
处理器701用于处理本地数字证书同步信息以及广播数字证书同步信息,本地数字证书同步信息以及广播数字证书同步信息均用于指示对该数字签名服务器上的数字证书进行同步,且本地数字证书同步信息以及广播数字证书同步信息均不需要该数字签名服务器向其他数字签名服务器进行转发;
需要说明的是,这里的处理器701可以是处理器,也可以是多个处理元件的统称。例如,该处理器可以是中央处理器CPU,也可以是特定集成电路ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(英文全称:digitalsingnal processor,英文简称:DSP),或,一个或者多个现场可编程门阵列(英文全称:field programmable aate array,英文简称:FPGA)。
存储器703可以是一个存储装置,也可以是多个存储元件的统称,且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器703可以包括随机存储器(英文全称:random-access memory,英文简称:RAM),也可以包括非易失性存储器(英文全称:non-volatile memory,英文简称:NVRAM),例如磁盘存储器,闪存(Flash)等。
总线704可以是工业标准体系结构(英文全称:industry standardarchitecture,英文简称:ISA)总线、外部设备互连(英文全称:peripheral component,英文简称:PCI)总线或扩展工业标准体系结构(英文全称:extended industry standardarchitecture,英文简称:EISA)总线等。该总线704可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文简称:ROM,英文全称:Read-OnlyMemory)、随机存取存储器(英文简称:RAM,英文全称:Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (11)
1.一种数字证书同步方法,其特征在于,应用于包括至少两台数字签名服务器的数字证书同步系统,所述方法包括:
所述数字签名服务器接收签名验证请求,所述签名验证请求用于指示对应的数字证书;
当确定所述数字签名服务器不存在所述签名验证请求指示的数字证书,并且所述数字签名服务器被配置为中心服务器时,所述数字签名服务器依次在所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书;
当确定所述数字签名服务器不存在所述签名验证请求指示的数字证书,并且所述数字签名服务器被配置为非中心服务器时,所述数字签名服务器依次在所述数字证书同步系统中被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书;
当所述数字签名服务器查询到所述签名验证请求指示的数字证书时,所述数字签名服务器下载所述签名验证请求指示的数字证书。
2.根据权利要求1所述的数字证书同步方法,其特征在于,所述数字签名服务器接收签名验证请求后,所述方法还包括:
当所述数字签名服务器不存在所述签名验证请求指示的数字证书,并且在所述数字签名服务器接收所述签名验证请求前的第一时间阈值内,确定所述数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在所述签名验证请求指示的数字证书时,所述数字签名服务器返回与所述签名验证请求对应的签名验证失败信息。
3.根据权利要求1所述的数字证书同步方法,其特征在于,所述数字签名服务器依次在所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书,包括:
所述数字签名服务器依次在所述数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询所述签名验证请求指示的数字证书;
所述数字签名服务器依次在所述数字证书同步系统中被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书,包括:
所述数字签名服务器依次在所述数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询所述签名验证请求指示的数字证书。
4.根据权利要求1所述的数字证书同步方法,其特征在于,所述数字签名服务器依次在所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书后,所述方法还包括:
当确定所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上均不存在所述签名验证请求指示的数字证书时,所述数字签名服务器返回与所述签名验证请求对应的签名验证失败信息;
所述数字签名服务器依次在所述数字证书同步系统中被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书后,所述方法还包括:
当确定所述数字证书同步系统中被配置为中心服务器的数字签名服务器上均不存在所述签名验证请求指示的数字证书时,所述数字签名服务器返回与所述签名验证请求对应的签名验证失败信息。
5.根据权利要求1所述的数字证书同步方法,其特征在于,所述签名验证请求还包括用户的数字签名信息;
所述数字签名服务器接收签名验证请求后,所述方法还包括:
获取签名验证配置;
当所述签名验证配置为第一配置且所述数字签名服务器不存在所述签名验证请求指示的数字证书时,所述数字签名服务器返回与所述签名验证请求对应的签名验证失败信息;
所述数字签名服务器下载所述签名验证请求指示的数字证书后,所述方法还包括:
当所述签名验证配置为第二配置时,所述数字签名服务器根据所述下载的数字证书对所述用户的数字签名信息进行验证。
6.一种数字签名服务器,其特征在于,所述数字签名服务器位于包括至少两台数字签名服务器的数字证书同步系统,所述数字签名服务器包括:
接收模块,被配置为接收签名验证请求,所述签名验证请求用于指示对应的数字证书;
查询模块,被配置为当确定所述数字签名服务器不存在所述签名验证请求指示的数字证书并且所述数字签名服务器被配置为中心服务器时,依次在所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书;
当确定所述数字签名服务器不存在所述签名验证请求指示的数字证书并且所述数字签名服务器被配置为非中心服务器时,依次在所述数字证书同步系统中被配置为中心服务器的数字签名服务器上查询所述签名验证请求指示的数字证书;
同步模块,被配置为当查询到所述签名验证请求指示的数字证书时,下载所述签名验证请求指示的数字证书。
7.根据权利要求6所述的数字签名服务器,其特征在于,所述查询模块具体被配置为:
当所述数字签名服务器不存在所述签名验证请求指示的数字证书并且在所述数字签名服务器接收所述签名验证请求前第一时间阈值内确定所述数字证书同步系统中被配置为中心服务器的数字签名服务器上不存在所述签名验证请求指示的数字证书时,返回与所述签名验证请求对应的签名验证失败信息。
8.根据权利要求6所述的数字签名服务器,其特征在于,所述查询模块具体被配置为:
依次在所述数字证书同步系统中其他被配置为中心服务器且未处于宕机状态的数字签名服务器上查询所述签名验证请求指示的数字证书;
依次在所述数字证书同步系统中被配置为中心服务器且未处于宕机状态的数字签名服务器上查询所述签名验证请求指示的数字证书。
9.根据权利要求6所述的数字签名服务器,其特征在于,所述查询模块还被配置为:
当确定所述数字证书同步系统中其他被配置为中心服务器的数字签名服务器上均不存在所述签名验证请求指示的数字证书时,返回与所述签名验证请求对应的签名验证失败信息;
当确定所述数字证书同步系统中被配置为中心服务器的数字签名服务器上均不存在所述签名验证请求指示的数字证书时,返回与所述签名验证请求对应的签名验证失败信息。
10.根据权利要求6所述的数字签名服务器,其特征在于,所述签名验证请求还包括用户的数字签名信息;
所述接收模块还被配置为:
获取签名验证配置;
所述查询模块还被配置为:
当所述签名验证配置为第一配置且所述数字签名服务器不存在所述签名验证请求指示的数字证书时,返回与所述签名验证请求对应的签名验证失败信息;
当所述签名验证配置为第二配置时,根据所述下载的数字证书对所述用户的数字签名信息进行验证。
11.一种数字证书同步系统,其特征在于,所述数字证书同步系统包括至少两台数字签名服务器且所述数字证书同步系统包括如权利要求6-10中任一所述的数字签名服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610798638.3A CN106130740B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610798638.3A CN106130740B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106130740A CN106130740A (zh) | 2016-11-16 |
| CN106130740B true CN106130740B (zh) | 2019-05-24 |
Family
ID=57271083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610798638.3A Active CN106130740B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106130740B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108427880B (zh) * | 2018-03-07 | 2022-09-16 | 北京元心科技有限公司 | 程序运行的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN103888422A (zh) * | 2012-12-21 | 2014-06-25 | 华为技术有限公司 | 安全证书更新方法、客户端、服务器 |
| US9252958B1 (en) * | 2014-03-12 | 2016-02-02 | Crimson Corporation | Systems and methods for providing a self-maintaining PKI infrastructure among loosely connected entities |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
-
2016
- 2016-08-31 CN CN201610798638.3A patent/CN106130740B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
| CN103888422A (zh) * | 2012-12-21 | 2014-06-25 | 华为技术有限公司 | 安全证书更新方法、客户端、服务器 |
| US9252958B1 (en) * | 2014-03-12 | 2016-02-02 | Crimson Corporation | Systems and methods for providing a self-maintaining PKI infrastructure among loosely connected entities |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106130740A (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102277998B1 (ko) | 전자 어음 관리 방법, 장치 및 기록매체 | |
| CN109949111B (zh) | 电子票据标识分配方法、电子票据生成方法、装置及系统 | |
| CN108470298B (zh) | 资源数值转移的方法、装置和系统 | |
| CN110232565B (zh) | 资源清算方法、装置、计算机设备和存储介质 | |
| RU2768197C1 (ru) | Способ и система серверной архитектуры для объединения платежей, компьютерное устройство и носитель данных | |
| AU2021248851B2 (en) | Systems and methods for multi-domain application hosting platform migration | |
| CN104660557B (zh) | 操作处理方法和装置 | |
| CN110874742B (zh) | 一种基于区块链和智能合约的支付方法及装置 | |
| CN104580112B (zh) | 一种业务认证方法、系统及服务器 | |
| CN110400217B (zh) | 智能合约的规则变更处理方法及装置 | |
| CN110033280B (zh) | 支付防抖方法及装置 | |
| CN111967061A (zh) | 基于区块链的可信账户转账交易方法及装置 | |
| CN111325585A (zh) | 一种资产转移方法、装置及计算机可读存储介质 | |
| CN113506112A (zh) | 应收账款确权方法及装置和电子设备 | |
| CN106130740B (zh) | 数字证书同步方法、数字签名服务器及数字证书同步系统 | |
| CN109978317A (zh) | 异常交易处理方法、互动平台及计算机可读存储介质 | |
| CN113129002A (zh) | 一种数据处理方法以及设备 | |
| CN110717756B (zh) | 基于合约的支付数据处理装置及方法 | |
| US20160071107A1 (en) | Method of processing a transaction request | |
| CN106254373A (zh) | 数字证书同步方法、数字签名服务器及数字证书同步系统 | |
| CN110262892A (zh) | 一种基于分布式存储数据链的票务发布方法、装置及数据链节点 | |
| KR102107454B1 (ko) | 금융결제망 다중화 시스템, 이를 이용한 금융 서비스 방법 및 이를 위한 컴퓨터 프로그램 | |
| JP5812645B2 (ja) | 電子商取引システム | |
| WO2020234864A1 (en) | System and method for transferring an anonymized transaction between nodes of a computer network | |
| CN106330945B (zh) | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100093 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001 Applicant after: Beijing Xin'an century Polytron Technologies Inc Address before: 100052 Beijing city Xicheng District Xuanwu Gate Street No. 1 C block 4 layer center global wealth Applicant before: Beijing Infosec Technologies Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |