CN106254373B - 数字证书同步方法、数字签名服务器及数字证书同步系统 - Google Patents
数字证书同步方法、数字签名服务器及数字证书同步系统 Download PDFInfo
- Publication number
- CN106254373B CN106254373B CN201610797724.2A CN201610797724A CN106254373B CN 106254373 B CN106254373 B CN 106254373B CN 201610797724 A CN201610797724 A CN 201610797724A CN 106254373 B CN106254373 B CN 106254373B
- Authority
- CN
- China
- Prior art keywords
- server
- digital
- synchronization
- digital signature
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Abstract
本发明的实施例提供一种数字证书同步方法、数字签名服务器及数字证书同步系统,涉及网络安全技术领域,能够解决现有技术中对多个签名服务器上数字证书进行同步时数字证书同步时间过长且资源消耗过多的问题,包括:对数字证书同步系统中的数字签名服务器进行排序;中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器;中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步。本发明用于同步数字证书。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种数字证书同步方法、数字签名服务器及数字证书同步系统。
背景技术
近年来随着电子商务技术的进步,用户能够通过网络与其他用户进行信息交互。为了保证用户通过网络交互敏感或高价值数据的安全性与可靠性,需要为网络信息交互建立一种信任机制,即要求参加信息交互的双方都必须拥有合法的并且能够有效无误的被进行验证的身份。这种用于标识通讯各方身份的信息被称为数字证书。通常情况下,数字证书储存在数字签名服务器上,当用户进行数据交互时,需要使用储存在数字签名服务器上的数字证书验证数据交互中另一方的身份。当数据交互系统包括多个不同的单位或机构时,数据交互中用户的身份对于该多个不同的单位或机构一般可以通用,因此在上述场景中多个不同的数字签名服务器上储存有相同的数字证书,并且该多个不同的数字签名服务器上储存的数字证书需时刻保持一致。
由于在实际应用中由证书授权(英文全称:Certificate Authority,英文简称:CA)机构发行的数字证书更新频率往往较高,因此可能存在新发行的数字证书未能同步至某个数字签名服务器的情况,情况较为严重时,会出现系统中多个数字签名服务器上存在较多数字证书不一致的情况,当发生上述情况时,需要对系统中的全部数字签名服务器上的数字证书进行同步。
现有技术中,一般通过高可用性群集(英文全称:High Available,英文简称:HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致,但上述方案在面对系统中多个数字签名服务器上存在较多数字证书不一致的情况时,需要操作人员分别控制系统中的每一个数字签名服务器与系统中全部其他数字签名服务器进行全量同步。由于在实际使用时,系统中数字签名服务器的数量往往较多并且不同数字签名服务器的网络状况与性能也存在较大差异,其中部分数字签名服务器在进行数字证书同步时可能需要的同步时间较长且消耗的资源过多,因此现有的对多个签名服务器上数字证书进行同步的过程中,会出现数字证书同步时间过长、数字证书同步资源消耗过多的问题,从而增加了数字证书同步的复杂程度,提高了数字证书同步的成本,损害了用户体验。
发明内容
本申请提供一种数字证书同步方法、数字签名服务器及数字证书同步系统,能够解决现有技术中对多个签名服务器上数字证书进行同步时数字证书同步时间过长且资源消耗过多的问题。
第一方面,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,包括:对数字证书同步系统中的数字签名服务器进行排序;中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器;中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步。
第二方面,本发明的实施例提供了一种数字签名服务器,位于包括至少两台数字签名服务器的数字证书同步系统,包括:排序模块,被配置为对数字证书同步系统中的数字签名服务器进行排序;同步模块,被配置为当数字签名服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器,对排序后的数字签名服务器依次进行数字证书增量同步,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器;同步模块还被配置为再次对排序后的数字签名服务器依次进行数字证书增量同步。
第三方面,本发明的实施例提供了一种数字证书同步系统,数字证书同步系统包括至少两台数字签名服务器且数字证书同步系统包括上述第二方面实施例中提供的数字签名服务器。
本发明的实施例提供了一种数字证书同步方法、数字签名服务器及数字证书同步系统,应用于包括至少两台数字签名服务器的数字证书同步系统,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,即使数字证书同步系统中网络状况或性能较好的数字签名服务器分别与数字证书同步系统中的全部数字签名服务器进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并尽量加快这一过程。之后使中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步,从而达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字证书同步方法,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例所提供的一种使用数字签名服务器进行身份验证的架构的示意性结构图;
图2为本发明的实施例所提供的一种数字证书同步方法的示意性流程图;
图3为本发明的另一实施例所提供的一种数字证书同步方法的示意性流程图;
图4为本发明的实施例所提供的一种数字签名服务器的示意性结构图;
图5为本发明的实施例所提供的一种数字证书同步系统的示意性结构图;
图6为本发明的另一实施例所提供的一种数字签名服务器的示意性结构图;
图7为本发明的另一实施例所提供的一种数字签名服务器的示意性结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
数字证书是一种在网络通讯中标志通讯各方身份的信息,数字证书可以为一串数字也可以为一份电子文档,一般由证书授权(英文全称:Certificate Authority,英文简称:CA)机构发行,在进行互联网通讯时通讯各方可以用数字证书来识别对方的身份。目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。随着技术的发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
通常情况下,数字证书储存在数字签名服务器上,当用户进行数据交互时,需要使用数字签名服务器验证数据交互中另一方的身份。如附图1所示,本发明的实施例提供了一种使用数字签名服务器进行身份验证的架构,包括用户设备101,网络102以及数字签名服务器103,其中用户在使用用户设备101进行数据交互时需要验证该用户的身份,因此用户设备101通过网络102向数字签名服务器103发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识,其中数字证书标识可以唯一标识对应的数字用户,数字签名服务器103根据数字证书标识进行查询,获取对应的数字证书,并根据该对应的数字证书验证用户的数字签名信息是否正确,若验证成功则确定该用户的身份合法,可以与该用户继续进行相应的数据交互,若验证失败则返回验证失败信息。
在实际使用中,数据交互中用户的身份对于多个不同的单位或机构可以通用,例如在金融交易中多个金融机构间可以互相承认用户身份的有效性,如中国银联(英文全称:China Union Pay)或其他跨行交易清算系统中,多个银行间在进行金融业务时可以互相承认其他银行用户身份的有效性,此时在该跨行交易清算系统中,位于多个不同银行的数字签名服务器中的数字证书需由统一的CA机构如中国人民银行发行,并且该多个不同的数字签名服务器中储存的数字证书需时刻保持一致。
当系统中多个数字签名服务器上存在较多数字证书不一致的情况时,现有技术可以通过高可用性群集(英文全称:High Available,英文简称:HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致,具体体现为操作人员分别控制系统中的每一个数字签名服务器与系统中全部其他数字签名服务器进行全量同步。
由于系统中数字签名服务器的数量往往较多并且不同数字签名服务器的网络状况与性能也存在较大差异,其中部分数字签名服务器在进行数字证书同步时可能需要的同步时间较长且消耗的资源过多,因此通过现有技术对多个签名服务器上数字证书进行同步的过程中,会出现数字证书同步时间过长、数字证书同步资源消耗过多的问题。
为了解决上述问题,如附图2所示,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,该方法包括:
201、对数字证书同步系统中的数字签名服务器进行排序。
其中,对数字证书同步系统中的数字签名服务器进行排序可以为根据数字签名服务器的标识以及预设规则对数字签名服务器进行排序,也可以从其他装置或系统处直接获取数字证书同步系统中的数字签名服务器的排序,只要根据排序后的数字签名服务器能够遍历数字证书同步系统中的全部数字签名服务器即可。
具体的,数字签名服务器位于数字证书同步系统中,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。
数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时,同步效率较高且所消耗的资源较少。
需要说明的是,数字证书同步系统可以至少包括两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
202、中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步。
其中,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器。
数字证书增量同步是指对比中心同步服务器与排序后的任一数字签名服务器上数字证书不同的部分,仅将数字证书不同的部分从排序后的任一数字签名服务器同步至中心同步服务器,以及将数字证书不同的部分从中心同步服务器同步至该排序后的任一数字签名服务器。当步骤202中的数字证书增量同步完成后,中心同步服务器上的数字证书与该排序后的任一数字签名服务器上数字证书相同。
具体的,当数字证书同步系统中较多的数字签名服务器上均存在未能同步的数字证书时,为了将数字证书同步系统中所用未能同步的数字证书均收集起来,可以由中心同步服务器即数字证书同步系统中被配置为中心服务器的数字签名服务器以第一方向对排序后的数字签名服务器依次进行数字证书增量同步,从而达到中心同步服务器进行数字证书增量同步时遍历排序后的数字签名服务器,并且在进行数字证书增量同步时的过程中将排序后的数字签名服务器上未能同步的数字证书同步至中心同步服务器,因此在完成上述过程后,中心同步服务器上的数字证书为数字证书同步系统中数字证书最完整的状态,该中心同步服务器上包括数字证书同步系统中所有的数字证书且该中心同步服务器上的数字证书均为最新更新的数字证书。
203、中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步。
具体的,由于在步骤202后,中心同步服务器上的数字证书已经为数字证书同步系统中数字证书最完整的状态,因此可以通过将中心同步服务器上的数字证书依次同步至排序后的数字签名服务器上,使数字证书同步系统中所有的数字签名服务器上的数字证书均为最完整的状态。
本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,即使数字证书同步系统中网络状况或性能较好的数字签名服务器分别与数字证书同步系统中的全部数字签名服务器进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并提高数字证书同步的效率。之后使中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步,从而达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字证书同步方法,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
如附图3所示,本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,该方法包括:
301、对数字证书同步系统中的数字签名服务器进行排序。
具体参照上述实施例201,在此不再赘述。
302、判断当中心同步服务器以第一方向对排序后的数字签名服务器依次进行数字证书增量同步时,数字签名服务器是否存为拒绝数字签名服务器。
其中,拒绝数字签名服务器为拒绝与中心同步服务器进行数字证书增量同步的数字签名服务器。具体的,拒绝与中心同步服务器进行数字证书增量同步可以为该拒绝数字签名服务器向中心同步服务器发送用于指示拒绝同步的信息,也可以为中心同步服务器尝试与拒绝数字签名服务器进行数字证书同步的失败次数超过预设失败阈值时,认为该数字签名服务器拒绝与中心同步服务器进行数字证书增量同步。
具体的,第一方向可以为预先设置在中心同步服务器中,也可以为从其他装置或系统中获取。
当确定数字签名服务器为拒绝数字签名服务器时,执行步骤303
303、获取该拒绝数字签名服务器。
304、判断拒绝数字签名服务器的类型。
其中,拒绝数字签名服务器可以为被配置为外网灾备服务器的数字签名服务器、被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器。
具体的,内网可以指包括较少数字签名服务器或网络安全性较高的局域网(英文全称:Local Area Network,英文简称:LAN),外网可以指包括较多数字签名服务器或网络安全性较低的局域网或互联网(英文全称:Internet),其中外网灾备服务器可以指位于外网的用于备份数字证书的数字签名服务器,被配置为外网灾备服务器的数字签名服务器并不用于数字签名验证。外网生产服务器可以指位于外网的用于数字签名验证的数字签名服务器,可以理解的是,由于外网生产服务器直接参与数字签名验证,外网生产服务器上数字证书的变动频率要大于外网灾备服务器上数字证书的变动频率。
由于被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器在数字签名验证过程中处于较为重要的位置,且被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器上的数字证书的变动频率可能较大,因此当被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器拒绝与中心同步服务器进行数字证书增量同步时,需要按照相应的重试规则进行重试,以保证同步完成后中心同步服务器上数字证书的可靠性。
当确定拒绝数字签名服务器被配置为外网灾备服务器时,执行步骤305。
当确定拒绝数字签名服务器被配置为外网生产服务器或内网服务器时,执行步骤306。
305、将拒绝数字签名服务器从排序后的数字签名服务器中移除。
当在步骤304中确定某一数字签名服务器为拒绝数字签名服务器,并且该数字签名服务器被配置为外网灾备服务器时,为了避免在之后由数字证书处于最完整状态的中心同步服务器在进行数字证书同步时再次需要确定该数字签名服务器是否拒绝与中心同步服务器进行同步,因此将拒绝数字签名服务器从排序后的数字签名服务器中移除。
306、中心同步服务器以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步。
当在步骤304中确定某一数字签名服务器为拒绝数字签名服务器,并且该数字签名服务器被配置为外网生产服务器或内网服务器,为了保证同步完成后中心同步服务器上数字证书的可靠性,以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步,从而反复尝试与该数字签名服务器进行数字证书同步。
当中心同步服务器与拒绝数字签名服务器进行数字证书增量同步成功,或中心同步服务器以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步均失败且中心同步服务器以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步的时间超出第二时间阈值时,中心同步服务器跳过拒绝数字签名服务器继续对排序后的数字签名服务器中在拒绝数字签名服务器之后的数字签名服务器依次进行数字证书增量同步,即中心同步服务器不再尝试与拒绝数字签名服务器进行数字证书增量同步,并执行步骤307。
307、以第一方向对排序后的数字签名服务器依次判断同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态是否存在差异。
其中,数字证书的状态是否存在差异可以指相应的数字证书在不同的数字签名服务器上是否相同,数字证书的状态是否存在差异也可以指相应的数字证书在不同的数字签名服务器上是否已处于删除状态。
示例性的,当同一数字证书在中心同步服务器处于未删除状态,但该同一数字证书在排序后的数字签名服务器上处于删除状态,可以认为该同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态存在差异。
当确定同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态存在差异时,则执行步骤308。
308、获取同一数字证书在中心同步服务器上的数字证书更新时间以及同一数字证书在排序后的数字签名服务器上的数字证书更新时间。
具体的,数字证书更新时间用于指示对应的数字证书在数字签名服务器上最后一次变动或更新发生的时间。
309、判断同一数字证书在中心同步服务器上的数字证书更新时间是否不晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间。
当确定同一数字证书在中心同步服务器上的数字证书更新时间晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,执行步骤310。
当确定同一数字证书在中心同步服务器上的数字证书更新时间不晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,执行步骤311。
310、将同一数字证书在中心同步服务器上的状态同步为同一数字证书在排序后的数字签名服务器上的状态,并更新同一数字证书在中心同步服务器上的数字证书更新时间。
具体的,当确定同一数字证书在中心同步服务器上的数字证书更新时间晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,说明在排序后的数字签名服务器上的该同一数字证书为较新的数字证书,当进行数字证书同步时应该以排序后的数字签名服务器上该同一数字证书的状态为准。
311、将同一数字证书在排序后的数字签名服务器上的状态同步为同一数字证书在中心同步服务器上的状态,并更新同一数字证书在排序后的数字签名服务器上的数字证书更新时间。
具体的,当确定同一数字证书在中心同步服务器上的数字证书更新时间不晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,说明在中心同步服务器上的该同一数字证书为较新的数字证书,当进行数字证书同步时应该以中心同步服务器上该同一数字证书的状态为准。
312、移除排序后的数字签名服务器在第一方向上的最后一个数字签名服务器。
313、中心同步服务器以第二方向对移除第一方向上最后一个数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步。
具体的,由于排序后的数字签名服务器在第一方向上的最后一个数字签名服务器为中心同步服务器以第一方向对排序后的数字签名服务器进行数字证书增量同步时,最后完成数字证书增量同步的数字签名服务器,因此可以认为当中心同步服务器以第一方向对排序后的数字签名服务器完成数字证书增量同步时,排序后的数字签名服务器在第一方向上的最后一个数字签名服务器上的数字证书与中心同步服务器上的数字证书均为最完整状态的数字证书,因此当中心同步服务器再次与数字证书同步系统中的数字签名服务器进行数字证书同步时,可以跳过该数字签名服务器,以减少数字在证书同步过程中所消耗的资源。
本发明的实施例提供了一种数字证书同步方法,应用于包括至少两台数字签名服务器的数字证书同步系统,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器即使数字证书同步系统中网络状况或性能较好的数字签名服务器对排序后的数字签名服务器依次进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并提高数字证书同步的效率。在同步过程中当出现拒绝与中心同步服务器进行数字证书增量同步的数字签名服务器,并且当该数字签名服务器为外网灾备服务器时跳过该数字签名服务器,从而减少数字证书同步过程的资源消耗;当该数字签名服务器为内网服务器或外网生产服务器时,中心同步服务器以第一时间阈值尝试与该数字签名服务器进行数字证书增量同步,以保证同步完成后中心同步服务器上数字证书的可靠性。当同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态存在差异时,根据该同一数字证书在不同数字签名服务器上的数字证书更新时间判断该同一数字证书在哪个数字签名服务器上的状态为最新,将同数字签名服务器上的数字证书的状态更新至该最新的数字证书状态,并更新与该数字证书对应的数字证书更新时间。当中心同步服务器再次以第二方向对排序后的数字签名服务器依次进行数字证书增量同步时,移除排序后的数字签名服务器在第一方向上的最后一个数字签名服务器,从而在不影响数字证书同步效果的前提下降低数字证书同步所消耗的资源,并最终达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字证书同步方法,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
为了解决上述问题,如附图4所示,本发明的实施例提供了一种数字签名服务器401,数字签名服务器401位于包括至少两台数字签名服务器的数字证书同步系统,包括:
排序模块402,被配置为对数字证书同步系统中的数字签名服务器进行排序;
具体的,对数字证书同步系统中的数字签名服务器进行排序可以为根据数字签名服务器的标识以及预设规则对数字签名服务器进行排序,也可以从其他装置或系统处直接获取数字证书同步系统中的数字签名服务器的排序,只要根据排序后的数字签名服务器能够遍历数字证书同步系统中的全部数字签名服务器即可。
数字签名服务器位于数字证书同步系统中,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。
数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时,同步效率较高且所消耗的资源较少。
需要说明的是,数字证书同步系统可以至少包括两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
同步模块403,被配置为当数字签名服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器,对排序后的数字签名服务器依次进行数字证书增量同步,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器。
其中,中心同步服务器为数字证书同步系统中被配置为中心服务器的数字签名服务器。
数字证书增量同步是指对比中心同步服务器与排序后的任一数字签名服务器上数字证书不同的部分,仅将数字证书不同的部分从排序后的任一数字签名服务器同步至中心同步服务器,以及将数字证书不同的部分从中心同步服务器同步至该排序后的任一数字签名服务器。当上述数字证书增量同步完成后,中心同步服务器上的数字证书与该排序后的任一数字签名服务器上数字证书相同。
具体的,当数字证书同步系统中较多的数字签名服务器上均存在未能同步的数字证书时,为了将数字证书同步系统中所用未能同步的数字证书均收集起来,可以由中心同步服务器即数字证书同步系统中被配置为中心服务器的数字签名服务器以第一方向对排序后的数字签名服务器依次进行数字证书增量同步,从而达到中心同步服务器进行数字证书增量同步时遍历排序后的数字签名服务器,并且在进行数字证书增量同步时的过程中将排序后的数字签名服务器上未能同步的数字证书同步至中心同步服务器,因此在完成上述过程后,中心同步服务器上的数字证书为数字证书同步系统中数字证书最完整的状态,该中心同步服务器上包括数字证书同步系统中所有的数字证书且该中心同步服务器上的数字证书均为最新更新的数字证书。
同步模块403还被配置为再次对排序后的数字签名服务器依次进行数字证书增量同步。
具体的,由于中心同步服务器上的数字证书已经为数字证书同步系统中数字证书最完整的状态,因此可以通过将中心同步服务器上的数字证书依次同步至排序后的数字签名服务器上,使数字证书同步系统中所有的数字签名服务器上的数字证书均为最完整的状态。
本发明的实施例提供了一种数字签名服务器,位于包括至少两台数字签名服务器的数字证书同步系统,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,即使数字证书同步系统中网络状况或性能较好的数字签名服务器分别与数字证书同步系统中的全部数字签名服务器进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并尽量加快这一过程。之后使中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步,从而达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字签名服务器,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
具体的,同步模块403具体被配置为:
当同一数字证书在中心同步服务器上的状态与同一数字证书在排序后的数字签名服务器上的状态存在差异时,获取同一数字证书在中心同步服务器上的数字证书更新时间以及同一数字证书在排序后的数字签名服务器上的数字证书更新时间;
当同一数字证书在中心同步服务器上的数字证书更新时间晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,将同一数字证书在排序后的数字签名服务器上的状态同步为同一数字证书在中心同步服务器上的状态,并更新同一数字证书在排序后的数字签名服务器上的数字证书更新时间。
当同一数字证书在中心同步服务器上的数字证书更新时间不晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,将同一数字证书在中心同步服务器上的状态同步为同一数字证书在排序后的数字签名服务器上的状态,并更新同一数字证书在中心同步服务器上的数字证书更新时间。
其中,数字证书的状态是否存在差异可以指相应的数字证书在不同的数字签名服务器上是否相同,数字证书的状态是否存在差异也可以指相应的数字证书在不同的数字签名服务器上是否已处于删除状态。
示例性的,当同一数字证书在中心同步服务器处于未删除状态,但该同一数字证书在排序后的数字签名服务器上处于删除状态,可以认为该同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态存在差异。
数字证书更新时间用于指示对应的数字证书在数字签名服务器上最后一次变动或更新发生的时间。
当确定同一数字证书在中心同步服务器上的数字证书更新时间晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,说明在排序后的数字签名服务器上的该同一数字证书为较新的数字证书,当进行数字证书同步时应该以排序后的数字签名服务器上该同一数字证书的状态为准。
当确定同一数字证书在中心同步服务器上的数字证书更新时间不晚于同一数字证书在排序后的数字签名服务器上的数字证书更新时间时,说明在中心同步服务器上的该同一数字证书为较新的数字证书,当进行数字证书同步时应该以中心同步服务器上该同一数字证书的状态为准。
具体的,同步模块403具体被配置为:
以第一方向对排序后的数字签名服务器依次进行数字证书增量同步;
移除排序后的数字签名服务器在第一方向上的最后一个数字签名服务器;
以第二方向对移除第一方向上最后一个数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步,第二方向为与第一方向相反的方向。
具体的,第一方向可以为预先设置在中心同步服务器中,也可以为从其他装置或系统中获取。
由于排序后的数字签名服务器在第一方向上的最后一个数字签名服务器为中心同步服务器以第一方向对排序后的数字签名服务器进行数字证书增量同步时,最后完成数字证书增量同步的数字签名服务器,因此可以认为当中心同步服务器以第一方向对排序后的数字签名服务器完成数字证书增量同步时,排序后的数字签名服务器在第一方向上的最后一个数字签名服务器上的数字证书与中心同步服务器上的数字证书均为最完整状态的数字证书,因此当中心同步服务器再次与数字证书同步系统中的数字签名服务器进行数字证书同步时,可以跳过该数字签名服务器,以减少数字在证书同步过程中所消耗的资源。
具体的,同步模块403体被配置为:
对排序后的数字签名服务器依次进行数字证书增量同步,并获取拒绝数字签名服务器,拒绝数字签名服务器为拒绝与中心同步服务器进行数字证书增量同步的数字签名服务器;
当确定拒绝数字签名服务器被配置为外网灾备服务器时,将拒绝数字签名服务器从排序后的数字签名服务器中移除;
对移除拒绝数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步。
其中,拒绝数字签名服务器为拒绝与中心同步服务器进行数字证书增量同步的数字签名服务器。具体的,拒绝与中心同步服务器进行数字证书增量同步可以为该拒绝数字签名服务器向中心同步服务器发送用于指示拒绝同步的信息,也可以为中心同步服务器尝试与拒绝数字签名服务器进行数字证书同步的失败次数超过预设失败阈值时,认为该数字签名服务器拒绝与中心同步服务器进行数字证书增量同步。
拒绝数字签名服务器可以为被配置为外网灾备服务器的数字签名服务器、被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器。
具体的,内网可以指包括较少数字签名服务器或网络安全性较高的局域网(英文全称:Local Area Network,英文简称:LAN),外网可以指包括较多数字签名服务器或网络安全性较低的局域网或互联网(英文全称:Internet),其中外网灾备服务器可以指位于外网的用于备份数字证书的数字签名服务器,被配置为外网灾备服务器的数字签名服务器并不用于数字签名验证。外网生产服务器可以指位于外网的用于数字签名验证的数字签名服务器,可以理解的是,由于外网生产服务器直接参与数字签名验证,外网生产服务器上数字证书的变动频率要大于外网灾备服务器上数字证书的变动频率。
当确定某一数字签名服务器为拒绝数字签名服务器,并且该数字签名服务器被配置为外网灾备服务器时,为了避免在之后由数字证书处于最完整状态的中心同步服务器在进行数字证书同步时再次需要确定该数字签名服务器是否拒绝与中心同步服务器进行同步,因此将拒绝数字签名服务器从排序后的数字签名服务器中移除。
具体的,同步模块403还被配置为:
当确定拒绝数字签名服务器被配置为外网生产服务器或内网服务器时,以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步;
当与拒绝数字签名服务器进行数字证书增量同步的时间超过第二阈值时,跳过拒绝数字签名服务器继续对排序后的数字签名服务器中在拒绝数字签名服务器之后的数字签名服务器依次进行数字证书增量同步。
其中,由于被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器在数字签名验证过程中处于较为重要的位置,且被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器上的数字证书的变动频率可能较大,因此当被配置为外网生产服务器的数字签名服务器或被配置为内网服务器的数字签名服务器拒绝与中心同步服务器进行数字证书增量同步时,需要按照相应的重试规则进行重试,以保证同步完成后中心同步服务器上数字证书的可靠性。
当确定某一数字签名服务器为拒绝数字签名服务器,并且该数字签名服务器被配置为外网生产服务器或内网服务器,为了保证同步完成后中心同步服务器上数字证书的可靠性,以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步,从而反复尝试与该数字签名服务器进行数字证书同步。
当中心同步服务器与拒绝数字签名服务器进行数字证书增量同步成功,或中心同步服务器以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步均失败且中心同步服务器以第一时间阈值为间隔对拒绝数字签名服务器进行数字证书增量同步的时间超出第二时间阈值时,中心同步服务器跳过拒绝数字签名服务器继续对排序后的数字签名服务器中在拒绝数字签名服务器之后的数字签名服务器依次进行数字证书增量同步,即中心同步服务器不再尝试与拒绝数字签名服务器进行数字证书增量同步。
本发明的实施例提供了一种数字签名服务器,位于包括至少两台数字签名服务器的数字证书同步系统,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器即使数字证书同步系统中网络状况或性能较好的数字签名服务器对排序后的数字签名服务器依次进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并尽量加快这一过程。在同步过程中当出现拒绝与中心同步服务器进行数字证书增量同步的数字签名服务器,并且当该数字签名服务器为外网灾备服务器时跳过该数字签名服务器,从而减少数字证书同步过程的资源消耗;当该数字签名服务器为内网服务器或外网生产服务器时,中心同步服务器以第一时间阈值尝试与该数字签名服务器进行数字证书增量同步,以保证同步完成后中心同步服务器上数字证书的可靠性。当同一数字证书在排序后的数字签名服务器上的状态与中心同步服务器上的状态存在差异时,根据该同一数字证书在不同数字签名服务器上的数字证书更新时间判断该同一数字证书在哪个数字签名服务器上的状态为最新,将同数字签名服务器上的数字证书的状态更新至该最新的数字证书状态,并更新与该数字证书对应的数字证书更新时间。当中心同步服务器再次以第二方向对排序后的数字签名服务器依次进行数字证书增量同步时,移除排序后的数字签名服务器在第一方向上的最后一个数字签名服务器,从而在不影响数字证书同步效果的前提下降低数字证书同步所消耗的资源,并最终达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字签名服务器,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
如附图5所示,本发明的实施例提供了一种数字证书同步系统501,包括至少两台数字签名服务器,其中两台数字签名服务器至少包括上述任一实施例中提供的数字签名服务器502,数字证书同步系统501还可以包括被配置为非中心服务器的数字签名服务器503。
具体的,数字证书同步系统包括至少两台数字签名服务器,该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。
数字签名服务器的类型包括中心服务器与非中心服务器,数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器,具体的,被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器,被配置为中心服务器的数字签名服务器宕机几率极小,CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书,当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时,同步效率较高且所消耗的资源较少。
需要说明的是,数字证书同步系统可以包括两台或两台以上的被配置为中心服务器的数字签名服务器,从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时,数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。
优选的,数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2N*N!=8,保证被配置为中心服务器的数字签名服务器不至于过多。
如附图5所示,数字证书同步系统501可以通过网络504与用户设备505连接,用户可以使用用户设备505通过网络504与数字签名服务器502或数字签名服务器503连接,并向数字签名服务器502或数字签名服务器503发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识,其中数字证书标识可以唯一标识对应的数字证书,数字签名服务器502或数字签名服务器503可以根据数字证书标识进行查询,以在数字签名服务器502或数字签名服务器503上确定对应的数字证书,并根据该对应的数字证书验证用户的数字签名信息是否正确,若验证成功则确定该用户的身份合法并通过网络504向用户设备505返回相应的确认信息,若验证失败则通过网络504向用户设备505返回相应的验证失败信息。
本发明的实施例提供了一种数字证书同步系统,包括至少两台数字签名服务器,通过对数字证书同步系统中的数字签名服务器进行排序,并通过中心同步服务器对排序后的数字签名服务器依次进行数字证书增量同步,即使数字证书同步系统中网络状况或性能较好的数字签名服务器分别与数字证书同步系统中的全部数字签名服务器进行数字证书增量同步,在获取包括数字证书同步系统中最完整状态数字证书的同时,减少在这一过程中所消耗的资源,并提高数字证书同步的效率。之后使中心同步服务器再次对排序后的数字签名服务器依次进行数字证书增量同步,从而达到使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态。因此本发明的实施例提供的数字证书同步系统,能够在数字证书同步系统中多个数字签名服务器上存在较多数字证书不一致的情况时,使数字证书同步系统中所有数字签名服务器上的数字证书均处于最完整状态,并减少在数字证书同步过程中所消耗的资源、提高数字同步的效率,改善用户体验。
需要说明的是,由于本发明的实施例中提供的被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器所接收数字证书同步信息通常包括本地数字证书同步信息与广播数字证书同步信息,因此为了加快数字证书同步速度,可以由被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器中的不同的处理器分别根据不同的数字证书同步信息进行相应的处理。
本发明的实施例中提供的被配置为中心服务器的数字签名服务器中,同步模块403可以为处理器,该处理器也可以集成在第一设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于第一设备的存储器中,由第一设备的某一个处理器调用并执行以上同步模块403的功能。这里所述的处理器可以是一个中央处理器(英文全称:centralprocessing unit,英文简称:CPU),或者是特定集成电路(英文全称:applicationspecific integrated circuit,英文简称:ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
参照附图6所示,本发明的实施例提供一种数字签名服务器600,该数字签名服务器600在数字证书同步系统中被配置为中心服务器且该数字签名服务器600用于实施上述实施例中所提供的数字证书同步方法,数字签名服务器600包括:第一处理器601、第二处理器602、收发器603、存储器604和总线605;第一处理器601、第二处理器602、收发器603、存储器604通过所述总线605连接并完成相互间的通信;
其中,收发器603用于接收本地数字证书同步信息以及广播数字证书同步信息,并将本地数字证书同步信息提供给第一处理器601,将广播数字证书同步信息提供给第二处理器602。
第一处理器601用于处理本地数字证书同步信息,该本地数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步,且该本地数字证书同步信息不需要该数字签名服务器向其他数字签名服务器进行转发;
第二处理器602用于处理广播数字证书同步信息,并且还用于控制收发器603以广播的方式转发该广播数字证书同步信息,该广播数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步,同时该广播数字证书同步信息还可以用于指示对数字证书同步系统中其他数字签名服务器上的数字证书进行同步。
优选的,本地数字证书同步信息为用户设备上的应用发送。
需要说明的是,这里的第一处理器601、第二处理器602可以是处理器,也可以是多个处理元件的统称。例如,该处理器可以是中央处理器CPU,也可以是特定集成电路ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(英文全称:digital singnal processor,英文简称:DSP),或,一个或者多个现场可编程门阵列(英文全称:field programmable aate array,英文简称:FPGA)。
存储器604可以是一个存储装置,也可以是多个存储元件的统称,且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器604可以包括随机存储器(英文全称:random-access memory,英文简称:RAM),也可以包括非易失性存储器(英文全称:non-volatile memory,英文简称:NVRAM),例如磁盘存储器,闪存(Flash)等。
总线605可以是工业标准体系结构(英文全称:industry standardarchitecture,英文简称:ISA)总线、外部设备互连(英文全称:peripheral component,英文简称:PCI)总线或扩展工业标准体系结构(英文全称:extended industry standardarchitecture,英文简称:EISA)总线等。该总线605可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明的实施例中提供的被配置为非中心服务器的数字签名服务器中,同步模块403可以为处理器,该处理器也可以集成在第一设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于第一设备的存储器中,由第一设备的某一个处理器调用并执行以上同步模块403的功能。这里所述的处理器可以是一个CPU,或者是ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路。
参照附图7所示,本发明的实施例提供一种数字签名服务器700且该数字签名服务器700在数字证书同步系统中被配置为非中心服务器且该数字签名服务器700用于实施上述实施例中所提供的数字证书同步方法,数字签名服务器700可以包括:处理器701、收发器702、存储器703和总线704;处理器701、收发器702、存储器703通过所述总线704连接并完成相互间的通信;
其中,收发器702用于接收本地数字证书同步信息以及广播数字证书同步信息,并将本地数字证书同步信息与广播数字证书同步信息均提供给处理器701。
处理器701用于处理本地数字证书同步信息以及广播数字证书同步信息,本地数字证书同步信息以及广播数字证书同步信息均用于指示对该数字签名服务器上的数字证书进行同步,且本地数字证书同步信息以及广播数字证书同步信息均不需要该数字签名服务器向其他数字签名服务器进行转发;
需要说明的是,这里的处理器701可以是处理器,也可以是多个处理元件的统称。例如,该处理器可以是中央处理器CPU,也可以是特定集成电路ASIC,或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(英文全称:digitalsingnal processor,英文简称:DSP),或,一个或者多个现场可编程门阵列(英文全称:field programmable aate array,英文简称:FPGA)。
存储器703可以是一个存储装置,也可以是多个存储元件的统称,且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器703可以包括随机存储器(英文全称:random-access memory,英文简称:RAM),也可以包括非易失性存储器(英文全称:non-volatile memory,英文简称:NVRAM),例如磁盘存储器,闪存(Flash)等。
总线704可以是工业标准体系结构(英文全称:industry standardarchitecture,英文简称:ISA)总线、外部设备互连(英文全称:peripheral component,英文简称:PCI)总线或扩展工业标准体系结构(英文全称:extended industry standardarchitecture,英文简称:EISA)总线等。该总线704可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文简称:ROM,英文全称:Read-OnlyMemory)、随机存取存储器(英文简称:RAM,英文全称:Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种数字证书同步方法,其特征在于,应用于包括至少两台数字签名服务器的数字证书同步系统,所述方法包括:
对所述数字证书同步系统中的数字签名服务器进行排序;
中心同步服务器对所述排序后的数字签名服务器依次进行数字证书增量同步,所述中心同步服务器为所述数字证书同步系统中被配置为中心服务器的数字签名服务器;所述增量同步为双向同步;
所述中心同步服务器再次对所述排序后的数字签名服务器依次进行数字证书增量同步;
所述中心同步服务器对所述排序后的数字签名服务器依次进行数字证书增量同步,包括:
所述中心同步服务器对所述排序后的数字签名服务器依次进行数字证书增量同步,并获取拒绝数字签名服务器,所述拒绝数字签名服务器为拒绝与所述中心同步服务器进行数字证书增量同步的数字签名服务器;
所述中心同步服务器再次对所述排序后的数字签名服务器依次进行数字证书增量同步,包括:
当确定所述拒绝数字签名服务器被配置为外网灾备服务器时,将所述拒绝数字签名服务器从所述排序后的数字签名服务器中移除;
所述中心同步服务器对所述移除所述拒绝数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步。
2.根据权利要求1所述的数字证书同步方法,其特征在于,所述数字证书增量同步,包括:
当同一数字证书在所述中心同步服务器上的状态与所述同一数字证书在所述排序后的数字签名服务器上的状态存在差异时,获取所述同一数字证书在所述中心同步服务器上的数字证书更新时间以及所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间;
当所述同一数字证书在所述中心同步服务器上的数字证书更新时间晚于所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间时,将所述同一数字证书在所述排序后的数字签名服务器上的状态同步为所述同一数字证书在所述中心同步服务器上的状态,并更新所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间;
当所述同一数字证书在所述中心同步服务器上的数字证书更新时间不晚于所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间时,将所述同一数字证书在所述中心同步服务器上的状态同步为所述同一数字证书在所述排序后的数字签名服务器上的状态,并更新所述同一数字证书在所述中心同步服务器上的数字证书更新时间。
3.根据权利要求1所述的数字证书同步方法,其特征在于,中心同步服务器对所述排序后的数字签名服务器依次进行数字证书增量同步,包括:
中心同步服务器以第一方向对所述排序后的数字签名服务器依次进行数字证书增量同步;
所述中心同步服务器再次对所述排序后的数字签名服务器依次进行数字证书增量同步,包括:
移除所述排序后的数字签名服务器在所述第一方向上的最后一个数字签名服务器;
所述中心同步服务器以第二方向对所述移除所述第一方向上最后一个数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步,所述第二方向为与所述第一方向相反的方向。
4.根据权利要求1所述的数字证书同步方法,其特征在于,所述获取拒绝数字签名服务器后,所述方法还包括:
当确定所述拒绝数字签名服务器被配置为外网生产服务器或内网服务器时,所述中心同步服务器以第一时间阈值为间隔对所述拒绝数字签名服务器进行数字证书增量同步;
当所述中心同步服务器与所述拒绝数字签名服务器进行数字证书增量同步的时间超过第二时间阈值时,所述中心同步服务器跳过所述拒绝数字签名服务器继续对所述排序后的数字签名服务器中在所述拒绝数字签名服务器之后的数字签名服务器依次进行数字证书增量同步。
5.一种数字签名服务器,其特征在于,所述数字签名服务器位于包括至少两台数字签名服务器的数字证书同步系统,包括:
排序模块,被配置为对所述数字证书同步系统中的数字签名服务器进行排序;
同步模块,被配置为当所述数字签名服务器为所述数字证书同步系统中被配置为中心服务器的数字签名服务器,对所述排序后的数字签名服务器依次进行数字证书增量同步,所述中心同步服务器为所述数字证书同步系统中被配置为中心服务器的数字签名服务器;所述增量同步为双向同步;
所述同步模块还被配置为再次对所述排序后的数字签名服务器依次进行数字证书增量同步;
所述同步模块,具体被配置为:
对所述排序后的数字签名服务器依次进行数字证书增量同步,并获取拒绝数字签名服务器,所述拒绝数字签名服务器为拒绝与所述中心同步服务器进行数字证书增量同步的数字签名服务器;
当确定所述拒绝数字签名服务器被配置为外网灾备服务器时,将所述拒绝数字签名服务器从所述排序后的数字签名服务器中移除;
对所述移除所述拒绝数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步。
6.根据权利要求5所述的数字签名服务器,其特征在于,所述同步模块,具体被配置为:
当同一数字证书在所述中心同步服务器上的状态与所述同一数字证书在所述排序后的数字签名服务器上的状态存在差异时,获取所述同一数字证书在所述中心同步服务器上的数字证书更新时间以及所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间;
当所述同一数字证书在所述中心同步服务器上的数字证书更新时间晚于所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间时,将所述同一数字证书在所述排序后的数字签名服务器上的状态同步为所述同一数字证书在所述中心同步服务器上的状态,并更新所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间;
当所述同一数字证书在所述中心同步服务器上的数字证书更新时间不晚于所述同一数字证书在所述排序后的数字签名服务器上的数字证书更新时间时,将所述同一数字证书在所述中心同步服务器上的状态同步为所述同一数字证书在所述排序后的数字签名服务器上的状态,并更新所述同一数字证书在所述中心同步服务器上的数字证书更新时间。
7.根据权利要求5所述的数字签名服务器,其特征在于,所述同步模块,具体被配置为:
以第一方向对所述排序后的数字签名服务器依次进行数字证书增量同步;
移除所述排序后的数字签名服务器在所述第一方向上的最后一个数字签名服务器;
以第二方向对所述移除所述第一方向上最后一个数字签名服务器的排序后的数字签名服务器依次进行数字证书增量同步,所述第二方向为与所述第一方向相反的方向。
8.根据权利要求5所述的数字签名服务器,其特征在于,所述同步模块,还被配置为:
当确定所述拒绝数字签名服务器被配置为外网生产服务器或内网服务器时,以第一时间阈值为间隔对所述拒绝数字签名服务器进行数字证书增量同步;
当与所述拒绝数字签名服务器进行数字证书增量同步的时间超过第二阈值时,跳过所述拒绝数字签名服务器继续对所述排序后的数字签名服务器中在所述拒绝数字签名服务器之后的数字签名服务器依次进行数字证书增量同步。
9.一种数字证书同步系统,其特征在于,所述数字证书同步系统包括至少两台数字签名服务器且所述数字证书同步系统包括如权利要求5-8中任一所述的数字签名服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610797724.2A CN106254373B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610797724.2A CN106254373B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106254373A CN106254373A (zh) | 2016-12-21 |
| CN106254373B true CN106254373B (zh) | 2019-12-27 |
Family
ID=58080071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610797724.2A Active CN106254373B (zh) | 2016-08-31 | 2016-08-31 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106254373B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850835B (zh) * | 2017-03-01 | 2020-07-17 | 北京索瑞特医学技术有限公司 | 数据处理方法及装置 |
| CN111526198B (zh) * | 2020-04-24 | 2023-06-13 | 深圳融安网络科技有限公司 | 服务器的数据同步方法、装置及计算机可读存储介质 |
| CN112003867B (zh) * | 2020-08-27 | 2022-05-27 | 博泰车联网科技(上海)股份有限公司 | 车载t-box与云服务器的通信方法及相关设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN103297529A (zh) * | 2013-06-06 | 2013-09-11 | 浙江大学 | 基于时间戳的树型结构数据同步方法 |
| CN103379129A (zh) * | 2012-04-12 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 一种数据同步方法、服务器及分布式系统 |
| CN104079623A (zh) * | 2014-05-08 | 2014-10-01 | 深圳市中博科创信息技术有限公司 | 多级云存储同步控制方法及系统 |
| CN104967653A (zh) * | 2015-03-23 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 数据同步拉取、下发方法和装置 |
| CN104978239A (zh) * | 2014-04-08 | 2015-10-14 | 重庆邮电大学 | 一种实现多备份数据动态更新的方法、装置及系统 |
| CN105721395A (zh) * | 2014-12-03 | 2016-06-29 | 华为数字技术(苏州)有限公司 | 数据同步配置方法、设备及系统 |
-
2016
- 2016-08-31 CN CN201610797724.2A patent/CN106254373B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN103379129A (zh) * | 2012-04-12 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 一种数据同步方法、服务器及分布式系统 |
| CN103297529A (zh) * | 2013-06-06 | 2013-09-11 | 浙江大学 | 基于时间戳的树型结构数据同步方法 |
| CN104978239A (zh) * | 2014-04-08 | 2015-10-14 | 重庆邮电大学 | 一种实现多备份数据动态更新的方法、装置及系统 |
| CN104079623A (zh) * | 2014-05-08 | 2014-10-01 | 深圳市中博科创信息技术有限公司 | 多级云存储同步控制方法及系统 |
| CN105721395A (zh) * | 2014-12-03 | 2016-06-29 | 华为数字技术(苏州)有限公司 | 数据同步配置方法、设备及系统 |
| CN104967653A (zh) * | 2015-03-23 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 数据同步拉取、下发方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于有序哈希树的RPKI资料库数据同步方法;许圣明;《计算机系统应用》;20160615;前言、正文第2和3节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106254373A (zh) | 2016-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101814989B1 (ko) | 블록 체인을 이용한 이상 금융 거래 탐지 방법 및 이를 실행하는 서버 | |
| JP6882474B2 (ja) | リプレイ攻撃の検出のためのシステム及び方法 | |
| US20160321745A1 (en) | Account binding processing method, apparatus and system | |
| KR102179152B1 (ko) | 사회 관계 데이터를 이용한 클라이언트 인증 | |
| EP2805286B1 (en) | Online fraud detection dynamic scoring aggregation systems and methods | |
| JP6905059B2 (ja) | リプレイ攻撃の検出のためのシステム及び方法 | |
| KR20190099076A (ko) | 전자 어음 관리 방법, 장치 및 기록매체 | |
| JP6113678B2 (ja) | 認証装置、認証システム及び認証方法 | |
| CN106254373B (zh) | 数字证书同步方法、数字签名服务器及数字证书同步系统 | |
| US9264414B2 (en) | Retry and snapshot enabled cross-platform synchronized communication queue | |
| CN110046901B (zh) | 联盟链的可信度验证方法、系统、装置及设备 | |
| CN110033280B (zh) | 支付防抖方法及装置 | |
| CN113179282A (zh) | 合并账号的方法、装置和服务器 | |
| WO2019114246A1 (zh) | 一种身份认证方法、服务器及客户端设备 | |
| US20190005492A1 (en) | Self-correcting transactions | |
| CN114867025A (zh) | 一种防止短信轰炸方法及装置 | |
| CN112822267B (zh) | 基于区块链的数据处理方法和装置 | |
| CN113506112A (zh) | 应收账款确权方法及装置和电子设备 | |
| CN112037055B (zh) | 交易处理方法、装置、电子设备及可读存储介质 | |
| CN105763555A (zh) | 一种网站风险控制服务器和方法及客户端 | |
| CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
| CN106330945B (zh) | 数字证书同步方法、数字签名服务器及数字证书同步系统 | |
| CN111967061A (zh) | 基于区块链的可信账户转账交易方法及装置 | |
| CN111371818B (zh) | 一种数据请求的验证方法、装置及设备 | |
| CN112642162A (zh) | 用户登录管理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100093 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001 Applicant after: Beijing Xin'an century Polytron Technologies Inc Address before: 100052 Beijing city Xicheng District Xuanwu Gate Street No. 1 C block 4 layer center global wealth Applicant before: Beijing Infosec Technologies Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |