CN113141257A - 吊销列表更新方法和存储介质 - Google Patents
吊销列表更新方法和存储介质 Download PDFInfo
- Publication number
- CN113141257A CN113141257A CN202110324802.8A CN202110324802A CN113141257A CN 113141257 A CN113141257 A CN 113141257A CN 202110324802 A CN202110324802 A CN 202110324802A CN 113141257 A CN113141257 A CN 113141257A
- Authority
- CN
- China
- Prior art keywords
- response
- list
- updating
- information
- initiator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种吊销列表更新方法和存储介质,涉及信息安全领域。本申请的吊销列表更新方法,包括:发起方与响应方建立通信连接后共享密钥信息,发起方根据密钥信息获取响应方存储的响应吊销列表的第一发布时间,然后比较响应方存储的第一发布时间和发起方存储的第二发布时间是否一致,如果第一发布时间和第二发布时间不一致,则生成用于请求更新吊销列表的第一更新请求,发起方将第一更新请求发送至响应方,然后根据响应方生成的第一响应信息,由所述发起方更新发起吊销列表或由所述响应方更新响应吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种吊销列表更新方法和存储介质。
背景技术
在数据传输的过程中,为了保护数字接口的内容,可以采用一些安全措施,比如基于数字证书的公钥基础设施(Public Key Infrastructure,PKI),这是一种解决网络环境下安全问题的方案,对于PKI中数字证书吊销的查询是PKI中的一个关键性操作,也是PKI所面临的一大挑战,与各种身份证件一样,数字证书可能在过期之前变得无效,原因可能是密钥(secret key)介质丢失或用户身份变更等,当用户接收到一个数字证书(digitalcertificate)时,需要先检查这个数字证书是否吊销,证书吊销信息更新和发布的频率非常重要,如果一个数字证书已经被撤消而用户仍然继续使用,将会造成极大的安全隐患。
其中,公钥(Public Key)证书的格式标准,也就是X509标准中采纳的是证书吊销列表(Certificate Revocation List,CRL)和在线证书状态协议(Online CertificateStatus Protocol,OCSP)两种证书吊销查询方法。证书吊销列表查询方法是利用周期性发布CRL,CA机构(证书颁发机构,Certificate Authority)需要及时地对数字证书做出吊销处理,并将吊销证书放入CRL中予以公布,然后由用户获取CRL后查询证书的有效性;在线证书状态协议查询方法不涉及CRL,而是采用OCSP在线查询方式查询证书的有效性。其中,在网络规模不大或者离线场景下更适合使用CRL方案,因为CRL是一个具有时间戳的列表,在其中列出了所有已经吊销或挂起的数字证书信息,所以可通过时间戳来确定当前的CRL是不是更新的。然而,X509标准中的CRL格式中定义了当前CRL的发布时间以及预测下次CRL发布的时间,接收方可通过该时间机制周期性地更新CRL,以便维护最新的CRL,该种机制需要接收方与发布方同步时钟,由于CRL发布具有突发性,所以会导致证书吊销列表获取延迟,进一步导致证书吊销列表更新不及时。
发明内容
本申请旨在至少解决现有技术中存在的技术问题之一。为此,本申请提出一种吊销列表更新方法和存储介质,能够及时获取并且更新证书吊销列表。
根据本申请的第一方面实施例的吊销列表更新方法,应用于发起方,所述发起方与响应方共享密钥信息,所述方法包括:
根据所述密钥信息获取所述响应方中存储的响应吊销列表的第一发布时间;
比较所述第一发布时间与存储的发起吊销列表的第二发布时间是否一致;
若所述第一发布时间与所述第二发布时间不一致,则生成用于请求更新所述发起吊销列表的第一更新请求;
将所述第一更新请求发送至所述响应方;
接收所述响应方根据所述第一更新请求生成的第一响应信息;
根据所述第一响应信息更新所述发起吊销列表。
根据本申请第一方面实施例的吊销列表更新方法,至少具有如下有益效果:
发起方与响应方建立通信连接后共享密钥信息,发起方根据密钥信息获取响应方存储的响应吊销列表的第一发布时间,然后比较响应方存储的第一发布时间和发起方存储的第二发布时间是否一致,如果第一发布时间和第二发布时间不一致,则生成用于请求更新吊销列表的第一更新请求,发起方将第一更新请求发送至响应方,然后接收响应方根据第一更新请求生成的第一响应信息,然后由发起方根据第一响应信息更新发起吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
根据本申请的一些实施例,比较所述第一发布时间和所述第二发布时间的大小关系;
若所述第一发布时间不早于所述第二发布时间,则根据所述密钥信息和所述第一发布时间计算得到验证认证信息;
比对所述验证认证信息和所述第一响应信息中的响应认证信息;
若所述验证认证信息与所述响应认证信息相同,则对所述响应吊销列表的签名有效性进行验证;
若所述响应吊销列表的签名有效,则根据所述响应吊销列表更新所述发起吊销列表。
根据本申请的第二方面实施例的吊销列表更新方法,应用于响应方,所述响应方与发起方共享密钥信息,所述方法包括:
根据所述密钥信息将存储的响应吊销列表的第一发布时间发送至所述发起方;
接收所述发起方用于请求更新发起吊销列表的第一更新请求;
根据所述第一更新请求生成第一响应信息;
将所述第一响应信息发送至所述发起方,由所述发起方根据所述第一响应信息更新所述发起吊销列表。
根据本申请第二方面实施例的吊销列表更新方法,至少具有如下有益效果:
发起方与响应方建立通信连接后共享密钥信息,响应方根据密钥信息将响应方存储的响应吊销列表的第一发布时间发送至发起方,然后接收发起方用于请求更新发起吊销列表的第一更新请求,然后由响应方根据第一更新请求生成第一响应信息,将生成的第一响应信息发送至发起方,由发起方根据第一响应信息更新发起吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
根据本申请的一些实施例,所述根据所述第一更新请求生成第一响应信息,包括:
根据所述密钥信息和所述第二发布时间计算得到响应认证信息;
根据所述响应吊销列表、预存的第一证书信息和所述响应认证信息,生成第一响应信息。
根据本申请的第三方面实施例的吊销列表更新方法,应用于发起方,所述发起方与响应方共享密钥信息,所述方法包括:
根据所述密钥信息获取所述响应方存储的第一发布时间;
比较所述第一发布时间与预存的发起吊销列表的第二发布时间是否一致;
若所述第一发布时间与所述第二发布时间不一致,则生成用于请求更新响应吊销列表的第二更新请求,所述第二更新请求包括所述发起吊销列表和预存的第二证书信息;
将所述第二更新请求发送至所述响应方,由所述响应方根据所述第二更新请求更新所述响应吊销列表。
根据本申请第三方面实施例的吊销列表更新方法,至少具有如下有益效果:
发起方与响应方建立通信连接后共享密钥信息,发起方根据密钥信息获取响应方存储的响应吊销列表的第一发布时间,然后比较响应方存储的第一发布时间和发起方存储的第二发布时间是否一致,如果第一发布时间和第二发布时间不一致,则发起方生成用于请求更新吊销列表的第二更新请求,这里的第二更新请求包括发起方存储的发起吊销列表和第二证书信息,发起方将第二更新请求发送至响应方,由响应方根据第二更新请求更新响应吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
根据本申请的一些实施例,所述方法还包括:
接收所述响应方根据所述第二更新请求生成的第二响应信息;
根据所述密钥信息和所述第一发布时间计算得到验证认证信息;
比对所述验证认证信息和所述第二响应信息中的响应认证信息;
若所述验证认证信息与所述响应认证信息相同,则确定对所述吊销列表更新方法校验成功。
根据本申请的第四方面实施例的吊销列表更新方法,应用于响应方,所述响应方与发起方共享密钥信息,所述方法包括:
根据所述密钥信息将存储的响应吊销列表的第一发布时间发送至所述发起方;
接收所述发起方用于请求更新所述响应吊销列表的第二更新请求,所述第二更新请求包括所述发起方存储的发起吊销列表和第二证书信息;
根据所述第二更新请求更新所述响应吊销列表。
根据本申请第四方面实施例的吊销列表更新方法,至少具有如下有益效果:
发起方与响应方建立通信连接后共享密钥信息,响应方根据密钥信息将响应方存储的响应吊销列表的第一发布时间发送至发起方,然后接收发起方用于请求更新响应吊销列表的第二更新请求,这里的第二更新请求包括发起方存储的发起吊销列表和第二证书信息,然后根据第二更新请求更新响应吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
根据本申请的一些实施例,所述根据所述第二更新请求更新所述响应吊销列表,包括:
比较所述第一发布时间和所述发起吊销列表的第二发布时间的大小关系;
若所述第一发布时间不早于所述第二发布时间,则对所述第二证书信息和所述发起吊销列表的签名有效性进行验证;
若所述第二证书信息和所述发起吊销列表的签名有效,则根据所述发起吊销列表更新所述响应吊销列表。
根据本申请的一些实施例,所述方法还包括:
根据所述密钥信息和所述第二发布时间计算得到响应认证信息;
根据所述响应认证信息和所述第一发布时间,生成第二响应信息;
将所述第二响应信息发送至所述发起方,由所述发起方根据所述第二响应信息对所述吊销列表更新方法进行校验。
根据本申请的第五方面实施例的电子设备,包括:
至少一个处理器,以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行所述指令时实现如本申请第一方面或者本申请第二方面实施例或者本申请第三方面实施例或者第四方面实施例任一项所述的吊销列表更新方法。
本申请的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
下面结合附图和实施例对本申请做进一步的说明,其中:
图1为本申请一些实施例提供的数字接口CRL更新网络第一拓扑图;
图2为本申请一些实施例提供的应用于发起方的吊销列表更新方法的第一流程图;
图3为本申请一些实施例提供的应用于响应方的吊销列表更新方法的第二流程图;
图4为本申请一些实施例提供的应用于发起方的吊销列表更新方法的第三流程图;
图5为本申请一些实施例提供的应用于响应方的吊销列表更新方法的第四流程图;
图6为本申请一些实施例提供的数字接口CRL更新网络第二拓扑图;
图7为本申请一些实施例提供的当发起方的吊销列表更新时间早于响应方的吊销列表更新时间时发起方和响应方的数据交互示意图;
图8为本申请一些实施例提供的当发起方的吊销列表更新时间晚于响应方的吊销列表更新时间时发起方和响应方的数据交互示意图。
具体实施方式
下面详细描述本申请的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。
在本申请的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本申请的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
首先,对本公开中涉及的若干名词和技术进行解释:
CRL(证书吊销列表,Certificate Revocation List),CRL是一个具有时间戳的列表,在其中列出了所有已经吊销或挂起的数字证书信息,在CRL中包含本次更新日期和下次更新日期两个字段,用户可由这两个日期信息确定当前拥有的CRL是否是最新的,以及管理CRL缓冲区,即在CRL下次更新之前,用户可以一直使用原来的CRL缓冲区,由于CRL中含有CA的数字签名,因此CRL可以存储于网络上的任何节点。
CA(证书颁发机构,Certificate Authority):是公钥基础设施(Public KeyInfrastructure,PKI)的核心,是负责签发证书、认证证书、管理已颁发证书的机关。如果用户想得到一份属于自己的证书,他应先向CA提出申请,在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
HMAC(哈希运算消息认证码,Hash-based Message Authentication Code):HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。
ThisUpdate:设备存储的吊销列表的发布时间。
ThisUpdate_A:更新发起方存储的吊销列表的发布时间。
ThisUpdate_B:更新响应方存储的吊销列表的发布时间。
CRL_RA:吊销列表更新协议发起方生成的随机数挑战,长度为128bit。
Cert_CRL:吊销子CA证书。
CRL_Timer1、CRL_Timer2:吊销列表更新协议发起方维护的定时器。
TCRL_MAX1、TCRL_MAX2:吊销列表更新发送一条消息后收到回复消息的最大等待时间,其中定时器CRL_Timer1的最大设定值为TCRL_MAX1,定时器CRL_Timer2的最大设定值为TCRL_MAX2。
LCRL_MAX:吊销列表更新失败后的最大重试次数。
目前,X509标准中的CRL格式中定义了当前CRL的发布时间以及预测下次CRL发布的时间,接收方可通过该时间机制周期性地更新CRL,以便维护最新的CRL,该种机制需要接收方与发布方同步时钟,由于CRL发布具有突发性,所以会导致证书吊销列表获取延迟,进一步导致证书吊销列表更新不及时。
基于此,本申请提出一种吊销列表更新方法和存储介质,能够及时获取并且更新证书吊销列表。
如图1所示,图1为本申请一些实施例提供的CRL更新网络拓扑图,图1为一种数字接口网络拓扑结构,CRL更新主体包括外部兼容设备、更新发起方和更新响应方,将上游设备设为CRL更新发起方,下游设备设为CRL更新响应方。可兼容的外部设备把最新CRL更新到设备A,当设备A下游接入设备B时,设备A会把最新CRL更新到B设备,当设备A上游接入设备C时,设备C会同步设备A的最新CRL到本地,如果设备C的CRL更新了,那么设备C对应的其他下游,比如设备D的CRL也会被更新。
上下游设备间发起CRL更新流程的前提:更新发起方与更新响应方共享密钥,更新发起方获取到了更新响应方存储的吊销列表的发布时间,且响应方存储吊销列表的发布时间与发起方本地存储的吊销列表的发布时间不一致。因为如果发起方和响应方的发布时间一致,则说明发起方和响应方更新吊销列表的时间一致,其存储的内容一致,此时就不需要更新任一方的吊销列表,只有当二者发布时间不一致时,才考虑其中一方的吊销列表进行了更新,此时才需要发起CRL更新请求,并且启动CRL更新流程。
其中,本申请实施例的CRL更新协议分为两种情况:一种情况是发起方的发起吊销列表更新时间早于响应方的响应吊销列表更新时间,另一种情况是发起方的发起吊销列表更新时间晚于响应方的响应吊销列表更新时间。
第一方面,本申请实施例提供了一种吊销列表更新方法,应用于发起方。
参照图2,图2为本申请一些实施例提供的应用于发起方的吊销列表更新方法的第一流程图,发起方与响应方共享密钥信息,若发起方的发起吊销列表更新时间早于响应方的响应吊销列表更新时间,具体包括步骤:
S110,根据密钥信息获取响应方中存储的响应吊销列表的第一发布时间;
S120,比较第一发布时间与存储的发起吊销列表的第二发布时间是否一致;
S130,若第一发布时间与第二发布时间不一致,则生成用于请求更新发起吊销列表的第一更新请求;
S140,将第一更新请求发送至响应方;
S150,接收响应方根据第一更新请求生成的第一响应信息;
S160,根据第一响应信息更新发起吊销列表。
在步骤S110中,根据密钥信息获取响应方中存储的响应吊销列表的第一发布时间,这里的响应吊销列表指的是响应方存储的CRL,第一发布时间就是响应方存储响应吊销列表的发布时间,密钥信息是通过设备之间进行密钥认证后获取的,这里的设备可以是发起方设备或响应方设备。
在步骤S120中,发起方中也存储有发起吊销列表的第二发布时间,这里的发起吊销列表指的是发起方存储的CRL,第二发布时间就是发起方存储相应吊销列表的发布时间,比较第一发布时间与第二发布时间是否一致,若第一发布时间与第二发布时间一致,则说明此时发起方和响应方更新吊销列表的时间一致,其存储的内容一致,此时就不需要更新任一方的吊销列表。
在步骤S130中,若第一发布时间与第二发布时间不一致,则生成用于请求更新发起吊销列表的第一更新请求。判断出第一发布时间与第二发布时间不一致,说明响应方或者发起方的吊销列表进行了更新,并且更新了第一发布时间或者第二发布时间,此时才需要发起第一更新请求,在第一方面实施例中,由于发起方的发起吊销列表更新时间早于响应方的响应吊销列表更新时间,所以响应方的响应吊销列表是最新的版本,此时发起方生成第一更新请求,用于请求更新发起吊销列表。
在步骤S140中,发起方将第一更新请求发送至响应方,需要说明的是,第一更新请求还可以携带随机数数据,用于接下来对数据传输的验证,本申请实施例的第二更新请求也可以携带随机数数据,在此不赘述。
在步骤S150中,发起方接收响应方根据第一更新请求生成的第一响应信息,这里的第一响应信息包括响应吊销列表。
在步骤S160中,发起方根据第一响应信息更新发起吊销列表。
在一些实施例中,步骤S160具体包括步骤:
S161,比较第一发布时间和第二发布时间的大小关系;
S162,若第一发布时间不早于第二发布时间,则根据密钥信息和第一发布时间计算得到验证认证信息;
S163,比对验证认证信息和第一响应信息中的响应认证信息;
S164,若验证认证信息与响应认证信息相同,则对响应吊销列表的签名有效性进行验证;
S165,若响应吊销列表的签名有效,则根据响应吊销列表更新发起吊销列表。
在步骤S161中,比较第一发布时间和第二发布时间的大小关系。
在步骤S162中,验证响应方发送的响应吊销列表的有效性,若第一发布时间不早于第二发布时间,则说明响应方的响应吊销列表是最新的版本,此时就可以进行下一步的验证,具体为:根据密钥信息和第一发布时间计算得到验证认证信息,在实际应用中,提取发起方自身存储的第二发布时间,生成用于验证的第一验证消息,然后使用共享的密钥信息对第一验证消息做哈希运算得到验证认证信息。若第一发布时间早于第二发布时间,则说明响应吊销列表的更新版本并不是最新的或者数据传输的过程中出现错误,此时就需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL,并标记更新失败。
需要说明的是,本申请实施例中提到的验证认证信息还生成过程还可以是:提取发起方自身存储的第二发布时间和随机数数据,生成用于验证的第一验证消息,然后使用共享的密钥信息对第一验证消息做哈希运算得到验证认证信息,这里引入随机数的概念目的是避免攻击者重复发送用过的数据来欺骗接收方,从而导致数据泄露,下文的验证认证信息生成之前均可以引入随机数数据,在此不赘述。
在步骤S163中,响应方发送的第一响应信息包括响应认证信息,也就是根据响应方的第一发布时间生成用于验证的第二验证信息,然后使用共享的密钥信息对第二验证消息做哈希运算得到响应认证信息,然后比对验证认证信息,若响应认证信息与验证认证信息不相同,则说明更新过程中出现问题,此时就需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL更新请求,并标记更新失败。
在步骤S164中,若验证认证信息与响应认证信息相同,则说明从响应方接收到的第一响应信息正常,此时需要对响应吊销列表的签名有效性进行验证,这里的签名是从响应吊销列表中获取到的,可以使用CRL签名证书来验证响应吊销列表中签名的有效性,若响应吊销列表的签名无效,则说明更新过程中出现问题,此时就需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL,并标记更新失败。
在步骤S165中,若响应吊销列表的签名有效,表示在进行发起吊销列表更新之前已经全部验证成功,一切正常,此时可以根据响应吊销列表更新发起吊销列表,并且保存到本地,验证成功之后的发起吊销列表受完整性保护,这里的完整性保护指数据没有被篡改。本申请实施例使用多重更新验证机制,保证了CRL更新的可靠,当验证到更新失败时,在有限次内重新发起CRL更新,使得CRL更新更加可靠。
在本申请实施例中,发起方与响应方建立通信连接后共享密钥信息,发起方根据密钥信息获取响应方存储的响应吊销列表的第一发布时间,然后比较响应方存储的第一发布时间和发起方存储的第二发布时间是否一致,如果第一发布时间和第二发布时间不一致,则生成用于请求更新吊销列表的第一更新请求,发起方将第一更新请求发送至响应方,然后接收响应方根据第一更新请求生成的第一响应信息,然后由发起方根据第一响应信息更新发起吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
第二方面,本申请实施例提供了一种吊销列表更新方法,应用于响应方。
参照图3,图3为本申请一些实施例提供的应用于响应方的吊销列表更新方法的第二流程图,发起方与响应方共享密钥信息,若发起方的发起吊销列表更新时间早于响应方的响应吊销列表更新时间,具体包括步骤:
S210,根据密钥信息将存储的响应吊销列表的第一发布时间发送至发起方;
S220,接收发起方用于请求更新发起吊销列表的第一更新请求;
S230,根据第一更新请求生成第一响应信息;
S240,将第一响应信息发送至发起方,由发起方根据第一响应信息更新发起吊销列表。
在步骤S210中,根据密钥信息将存储的响应吊销列表的第一发布时间发送至发起方,这里的响应吊销列表指的是响应方存储的CRL,第一发布时间就是响应方存储响应吊销列表的发布时间。
在步骤S220中,接收发起方用于请求更新发起吊销列表的第一更新请求。
在步骤S230中,根据第一更新请求生成第一响应信息,这里的第一响应信息包括响应吊销列表。
在一些实施例中,步骤S230具体包括步骤:
S231,根据密钥信息和第二发布时间计算得到响应认证信息;
S232,根据响应吊销列表、预存的第一证书信息和响应认证信息,生成第一响应信息。
在步骤S231中,根据密钥信息和第二发布时间计算得到响应认证信息,也就是根据响应方的第一发布时间生成用于验证的第二验证信息,然后使用共享的密钥信息对第二验证消息做哈希运算得到响应认证信息。
在步骤S232中,响应方对存储的响应吊销列表、预存的第一证书信息和响应认证信息进行封装后,生成第一响应信息,以便发起方根据第一响应信息对本申请实施例的吊销列表更新方法进行验证,并且对发起吊销列表进行更新。
在步骤S240中,将第一响应信息发送至发起方,由发起方根据第一响应信息更新发起吊销列表。
在本申请实施例中,发起方与响应方建立通信连接后共享密钥信息,响应方根据密钥信息将响应方存储的响应吊销列表的第一发布时间发送至发起方,然后接收发起方用于请求更新发起吊销列表的第一更新请求,然后由响应方根据第一更新请求生成第一响应信息,将生成的第一响应信息发送至发起方,由发起方根据第一响应信息更新发起吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
在实际应用中,结合本申请第一方面实施例和本申请第二方面实施例对本申请的吊销列表更新方法进行举例,需要理解的是,下面描述仅是示例性说明,而不是对本申请的具体限制,其具体过程为:
1、CRL更新发起方A,发送请求消息给响应方B,并开启定时器CRL_Timer1,这里的请求消息包括随机数,随机数作为挑战-应答机制的新鲜数,用于防止重放攻击,避免攻击者重复发送用过的数据来欺骗接收方,从而提高吊销列表更新方法的安全性,这里的定时器用于更新过程的超时检测,也就是说,当发起方的定时器超时前没有收到响应方发送的响应信息,则认为此次吊销列表更新失败,这时发起方记录吊销列表更新失败一次,然后重新开启定时器,并且在有限次数内重新发起吊销列表更新的请求。
2、CRL更新响应方B接受到请求,计算HMAC,发送响应消息(携带CRL和HMAC)给发起方,这里的HMAC就是上文提到的响应认证信息;
3、CRL更新发起方在定时器超时前收到响应消息,校验HMAC,验证CRL,更新CRL。如果超时或者校验失败,有限次内重新发起CRL更新。
第三方面,本申请实施例提供了一种吊销列表更新方法,应用于发起方。
参照图4,图4为本申请一些实施例提供的应用于发起方的吊销列表更新方法的第三流程图,发起方与响应方共享密钥信息,若发起方的发起吊销列表更新时间晚于响应方的响应吊销列表更新时间,具体包括步骤:
S310,根据密钥信息获取响应方存储的第一发布时间;
S320,比较第一发布时间与预存的发起吊销列表的第二发布时间是否一致;
S330,若第一发布时间与第二发布时间不一致,则生成用于请求更新响应吊销列表的第二更新请求,第二更新请求包括发起吊销列表和预存的第二证书信息;
S340,将第二更新请求发送至响应方,由响应方根据第二更新请求更新响应吊销列表。
在步骤S310中,根据密钥信息获取响应方中存储的响应吊销列表的第一发布时间,这里的响应吊销列表指的是响应方存储的CRL,第一发布时间就是响应方存储响应吊销列表的发布时间。
在步骤S320中,发起方中也存储有发起吊销列表的第二发布时间,这里的发起吊销列表指的是发起方存储的CRL,第二发布时间就是发起方存储相应吊销列表的发布时间,比较第一发布时间与第二发布时间是否一致,若第一发布时间与第二发布时间一致,则说明此时发起方和响应方更新吊销列表的时间一致,其存储的内容一致,此时就不需要更新任一方的吊销列表。
在步骤S330中,若第一发布时间与第二发布时间不一致,则生成用于请求更新发起吊销列表的第二更新请求。判断出第一发布时间与第二发布时间不一致,说明响应方或者发起方的吊销列表进行了更新,并且更新了第一发布时间或者第二发布时间,此时才需要发起第二更新请求,在第三方面实施例中,由于发起方的发起吊销列表更新时间晚于响应方的响应吊销列表更新时间,所以发起方的发起吊销列表是最新的版本,此时发起方生成第二更新请求,用于请求更新发起吊销列表,这里的第二更新请求与本申请第一或第二方面实施例中的第一更新请求不同的是:第二更新请求携带有发起吊销列表和预存的第二证书信息,这里的第二证书信息指的是发起方存储的发起吊销子CA证书的证书链。
在步骤S340中,将第二更新请求发送至响应方,由响应方根据第二更新请求更新响应吊销列表。
在一些实施例中,本申请提到的吊销列表更新方法具体还包括步骤:
S350,接收响应方根据第二更新请求生成的第二响应信息;
S360,根据密钥信息和第一发布时间计算得到验证认证信息;
S370,比对验证认证信息和第二响应信息中的响应认证信息;
S380,若验证认证信息与响应认证信息相同,则确定对吊销列表更新方法校验成功。
在步骤S350中,发起方接收响应方根据第二更新请求生成的第二响应信息,这里的第二响应信息包括响应认证信息,用于发起方根据响应认证信息验证本申请的吊销列表更新方法的有效性。
在步骤S360中,根据密钥信息和第一发布时间计算得到验证认证信息,在实际应用中,可以比较第一发布时间和第二发布时间是否一致,若第一发布时间和第二发布时间一致,则提取发起方自身存储的第二发布时间,生成用于验证的第一验证消息,然后使用共享的密钥信息对第一验证消息做哈希运算得到验证认证信息。
在一些实施例中,若第一发布时间和第二发布时间不一致,则需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL,并标记更新失败。
在步骤S370中,比对验证认证信息和第二响应信息中的响应认证信息,若验证认证信息与响应认证信息不相同,则说明更新过程中出现问题,此时就需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL,并标记更新失败。
在步骤S380中,比对验证认证信息和第二响应信息中的响应认证信息,若验证认证信息与响应认证信息相同,则说明从响应方接收到的第二响应信息正常,并且表明响应吊销列表更新成功。
在本申请实施例中,发起方与响应方建立通信连接后共享密钥信息,发起方根据密钥信息获取响应方存储的响应吊销列表的第一发布时间,然后比较响应方存储的第一发布时间和发起方存储的第二发布时间是否一致,如果第一发布时间和第二发布时间不一致,则发起方生成用于请求更新吊销列表的第二更新请求,这里的第二更新请求包括发起方存储的发起吊销列表和第二证书信息,发起方将第二更新请求发送至响应方,由响应方根据第二更新请求更新响应吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
第四方面,本申请实施例提供了一种吊销列表更新方法,应用于响应方。
参照图5,图5为本申请一些实施例提供的应用于响应方的吊销列表更新方法的第四流程图,发起方与响应方共享密钥信息,若发起方的发起吊销列表更新时间晚于响应方的响应吊销列表更新时间,具体包括步骤:
S410,根据密钥信息将存储的响应吊销列表的第一发布时间发送至发起方;
S420,接收发起方用于请求更新响应吊销列表的第二更新请求,第二更新请求包括发起方存储的发起吊销列表和第二证书信息;
S430,根据第二更新请求更新响应吊销列表。
在步骤S410中,根据密钥信息将存储的响应吊销列表的第一发布时间发送至发起方,这里的响应吊销列表指的是响应方存储的CRL,第一发布时间就是响应方存储响应吊销列表的发布时间。
在步骤S420中,接收发起方用于请求更新发起吊销列表的第一更新请求和第二证书信息,这里的第二更新请求与本申请第一或第二方面实施例中的第一更新请求不同的是:第二更新请求携带有发起吊销列表和预存的第二证书信息,这里的第二证书信息指的是发起方存储的发起吊销子CA证书的证书链。
在步骤S430中,根据第二更新请求更新响应吊销列表。
在一些实施例中,步骤S430具体包括步骤:
S431,比较第一发布时间和发起吊销列表的第二发布时间的大小关系;
S432,若第一发布时间不早于第二发布时间,则对第二证书信息和发起吊销列表的签名有效性进行验证;
S433,若第二证书信息和发起吊销列表的签名有效,则根据发起吊销列表更新响应吊销列表。
在步骤S431中,比较第一发布时间和发起吊销列表的第二发布时间的大小关系,若第一发布时间早于第二发布时间,则说明响应吊销列表的更新版本并不是最新的或者数据传输的过程中出现错误,此时不应答发起方的第二请求,等待发起方重新发起吊销列表更新的协议。
在步骤S432中,若第一发布时间不早于第二发布时间,需要对第二证书信息和发起吊销列表的签名有效性进行验证,在实际应用中,这里的签名是从发起吊销列表中获取到的,可以使用CRL签名证书来验证发起吊销列表中签名的有效性,若发起吊销列表的签名无效,则说明更新过程中出现问题,此时就需要在有限次数内重新发起CRL更新协议流程,若在预设的更新次数内完成CRL更新,则说明本申请实施例的吊销列表更新方法更新成功,若实际的更新次数超过预设的更新次数,此时无需重新发起CRL,并标记更新失败。
在步骤S433中,若第二证书信息和发起吊销列表的签名有效,此时可以根据发起吊销列表更新响应吊销列表,并且保存响应吊销列表到本地,验证成功之后的响应吊销列表受完整性保护,这里的完整性保护指数据没有被篡改。
在一些实施例中,本申请提到的吊销列表更新方法具体还包括步骤:
S440,根据密钥信息和第二发布时间计算得到响应认证信息;
S450,根据响应认证信息和第一发布时间,生成第二响应信息;
S460,将第二响应信息发送至发起方,由发起方根据第二响应信息对吊销列表更新方法进行校验。
在步骤S440中,根据密钥信息和第二发布时间计算得到响应认证信息,也就是根据响应方的第一发布时间生成用于验证的第二验证信息,然后使用共享的密钥信息对第二验证消息做哈希运算得到响应认证信息。
在步骤S450中,响应方对存储的第一发布时间和响应认证信息进行封装后,生成第二响应信息,以便发起方根据第二响应信息对本申请实施例的吊销列表更新方法进行验证。
在步骤S460中,将第二响应信息发送至发起方,由发起方根据第二响应信息对吊销列表更新方法进行校验。
在本申请实施例中,发起方与响应方建立通信连接后共享密钥信息,响应方根据密钥信息将响应方存储的响应吊销列表的第一发布时间发送至发起方,然后接收发起方用于请求更新响应吊销列表的第二更新请求,这里的第二更新请求包括发起方存储的发起吊销列表和第二证书信息,然后根据第二更新请求更新响应吊销列表,本申请的吊销列表更新方法能够及时获取并且更新证书吊销列表,并且提高证书吊销列表的安全性。
在实际应用中,结合本申请第三方面实施例和本申请第四方面对本申请实施例提到的吊销列表更新方法进行说明,需要理解的是,下面描述仅是示例性说明,而不是对本申请的具体限制,其具体过程为:
1、CRL更新发起方A发送请求消息(携带CRL给响应方),并开启定时器CRL_timer2;
2、CRL更新响应方B接收到请求,验证CRL,更新CRL;计算HMAC,发送响应消息(含更新的CRL的发布时间和HMAC)给发起方;
3、CRL更新发起方在定时器超时前收到响应消息,校验HMAC。如果超时或者校验失败,有限次内重新发起CRL更新。
下面以一个具体的实施例详细描述本申请实施例的数字接口CRL更新网络拓扑结构,需要理解的是,下面描述仅是示例性说明,而不是对本申请的具体限制。
如图6所示,更新网络拓扑结构具体为:包括外部兼容设备、发送端设备TX1/TX2、中级设备R1/R2和终端设备RX1/RX2/RX3/R4,其中外部兼容设备用来导入导出信息,发送端设备TX1的通过中继设备R1连接连接到三个终端设备RX1/RX2/RX3;发送端设备TX2通过中继设备R2连接到终端设备RX4,同时TX2还可通过中继设备R1连接三个终端设备RX1/RX2/RX3。由于CRL是由专门的CA机构签发,所以通过可兼容的外部设备把最新CRL通过发送端设备TX1的外部访问模块,写入到TX1的安全存储中。TX1把最新的CRL更新到中继设备R1,中继设备R1继续把最新CRL更新到终端节点RX1/RX2/RX3。当中继设备R1与TX2开启通信,TX2会同步R1的CRL到本地,TX2再更新CRL到中继设备R2,R2更新CRL到终端设备RX4,至此,网络中所有节点的CRL都被更新。两个设备在发起CRL更新之前,发起方和响应方已通过认证获得了共享密钥,且通过认证消息获得了响应方CRL的ThisUpdate,认证过程结束后启动CRL更新流程。所谓认证过程,是实现双方设备身份验证以及密钥协商的过程,比如HDCP的AKE过程,TLS的握手协议等。需要说明的是,本申请不特指具体的认证过程。
将认证发起方A作为CRL更新发起方,认证响应方B作为CRL更新响应方,下面以两个具体的实施例详细描述本申请实施例的吊销列表更新方法的过程。需要理解的是,下面描述仅是示例性说明,而不是对本申请的具体限制。
如图7所示,当发起方的吊销列表更新时间早于响应方的吊销列表更新时间,本申请的吊销列表更新方法,执行以下步骤:
步骤一:A生成128bit随机数CRL_RA,向B发送包含CRL_RA的消息MCRLReq,也就是第一请求信息。开启定时器CRL_Timer1,若A在TCRL_MAX时间内未收到B的MCRLRsp消息,也就是第一响应信息,在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记更新失败。其中TCRL_MAX和LCRL_MAX都是确定的常量,比如TCRL_MAX设定为20ms,LCRL_MAX设置为5次。
步骤二:B在收到MCRLReq消息后,提取自身存储的吊销列表中吊销时间ThisUpdate字段、CRL_RA生成HMAC_MCRL消息。
1)使用共享密钥Km对HMAC_MCRL消息做HMAC运算得到HMAC_CRL。
2)发送包含有B存储的吊销列表CRL、吊销子CA证书Cert_CRL以及HMAC_CRL的响应消息MCRLRsp给A。
步骤三:A在收到MCRLRsp后,验证CRL的有效性并存储更新。
1)提取自身存储的吊销列表中吊销时间ThisUpdate字段,与接收到的CRL的吊销时间ThisUpdate’比较,若ThisUpdate早于ThisUpdate’,则执行下一步,否则,在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记更新失败。
2)提取MCRLRsp中CRL的ThisUpdate字段、CRL_RA构造HMAC_MCRL’消息。使用共享密钥Km对HMAC_MCRL’消息做HMAC运算得到HMAC_CRL’。比较HMAC_CRL’与MCRLRsp消息中的HMAC_CRL,若相等,则进行下一步,若不等,则在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记B更新失败。
3)验证CRL的签名有效性。若验证成功,执行下一步,否则在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记B更新失败。
4)更新存储CRL到本地,验证成功之后的CRL受完整性保护。
如图8所示,当发起方的吊销列表更新时间晚于响应方的吊销列表更新时间,本申请的吊销列表更新方法,执行以下步骤:
1.A生成128bit随机数CRL_RA,向B发送包含CRL_RA、A存储的吊销列表CRL、吊销子CA证书Cert_CRL的消息MCRLUpdate。开启定时器CRL_Timer2,若A在TCRL_MAX2时间内未收到B的MCRLUpdateACK消息,在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记B更新失败。
2.B在收到MCRLUpdate消息后:
1)提取自身存储的吊销列表中吊销时间ThisUpdate字段,与接收到的CRL的吊销时间ThisUpdate’比较,若ThisUpdate’早于ThisUpdate,则执行下一步,否则不应答消息,等待A发起吊销列表更新协议进行重试。
2)验证CRL的签名有效性和Cert_CRL的证书链。若验证成功,则执行下一步,否则不应答消息,等待A发起吊销列表更新协议进行重试。
3)更新存储CRL到本地。验证成功之后的CRL受完整性保护。
4)提取更新吊销列表中吊销时间ThisUpdate字段、CRL_RA生成HMAC_MCRL消息。使用共享密钥Km对HMAC_MCRL消息做HMAC运算得到HMAC_CRL。发送包含有更新的吊销列表发布时间ThisUpdate_B、HMAC_CRL的响应消息MCRLUpdateACK给A。
3.A在收到MCRLUpdateACK后,验证HMAC的有效性。具体过程如下:
1)提取MCRLUpdateACK中的ThisUpdate_B,若不与本地存储CRL的吊销时间一致,则在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记B更新失败。
2)组合ThisUpdate_B、CRL_RA生成HMAC_MCRL’消息。使用共享密钥Km对HMAC_MCRL’消息做HMAC运算得到HMAC_CRL’。比较HMAC_CRL’与MCRLUpdateACK消息中的HMAC_CRL,若相等,则表明吊销列表更新成功,完成吊销列表更新流程。若不等,则在有限次数LCRL_MAX内重新发起CRL更新协议流程。若更新次数超过了LCRL_MAX,标记B更新失败。
第五方面,本申请实施例还提供了计算机可读存储介质。
在一些实施例中,计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于执行第一方面实施例或第二方面实施例或第三方面实施例或第四方面实施例中提到的吊销列表更新方法。
在一些实施例中,该存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个控制处理器执行,比如,被上述电子设备中的一个处理器执行,可使得上述一个或多个处理器执行上述吊销列表更新方法。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
上面结合附图对本申请实施例作了详细说明,但是本申请不限于上述实施例,在所属技术领域普通技术人员所具备的知识范围内,还可以在不脱离本申请宗旨的前提下作出各种变化。此外,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
Claims (10)
1.吊销列表更新方法,其特征在于,应用于发起方,所述发起方与响应方共享密钥信息,所述方法包括:
根据所述密钥信息获取所述响应方中存储的响应吊销列表的第一发布时间;
比较所述第一发布时间与存储的发起吊销列表的第二发布时间是否一致;
若所述第一发布时间与所述第二发布时间不一致,则生成用于请求更新所述发起吊销列表的第一更新请求;
将所述第一更新请求发送至所述响应方;
接收所述响应方根据所述第一更新请求生成的第一响应信息;
根据所述第一响应信息更新所述发起吊销列表。
2.根据权利要求1所述的吊销列表更新方法,其特征在于,所述根据所述第一响应信息更新所述发起吊销列表,包括:
比较所述第一发布时间和所述第二发布时间的大小关系;
若所述第一发布时间不早于所述第二发布时间,则根据所述密钥信息和所述第一发布时间计算得到验证认证信息;
比对所述验证认证信息和所述第一响应信息中的响应认证信息;
若所述验证认证信息与所述响应认证信息相同,则对所述响应吊销列表的签名有效性进行验证;
若所述响应吊销列表的签名有效,则根据所述响应吊销列表更新所述发起吊销列表。
3.吊销列表更新方法,其特征在于,应用于响应方,所述响应方与发起方共享密钥信息,所述方法包括:
根据所述密钥信息将存储的响应吊销列表的第一发布时间发送至所述发起方;
接收所述发起方用于请求更新发起吊销列表的第一更新请求;
根据所述第一更新请求生成第一响应信息;
将所述第一响应信息发送至所述发起方,由所述发起方根据所述第一响应信息更新所述发起吊销列表。
4.根据权利要求3所述的吊销列表更新方法,其特征在于,所述根据所述第一更新请求生成第一响应信息,包括:
根据所述密钥信息和所述第二发布时间计算得到响应认证信息;
根据所述响应吊销列表、预存的第一证书信息和所述响应认证信息,生成第一响应信息。
5.吊销列表更新方法,其特征在于,应用于发起方,所述发起方与响应方共享密钥信息,所述方法包括:
根据所述密钥信息获取所述响应方存储的第一发布时间;
比较所述第一发布时间与预存的发起吊销列表的第二发布时间是否一致;
若所述第一发布时间与所述第二发布时间不一致,则生成用于请求更新响应吊销列表的第二更新请求,所述第二更新请求包括所述发起吊销列表和预存的第二证书信息;
将所述第二更新请求发送至所述响应方,由所述响应方根据所述第二更新请求更新所述响应吊销列表。
6.根据权利要求5所述的吊销列表更新方法,其特征在于,所述方法还包括:
接收所述响应方根据所述第二更新请求生成的第二响应信息;
根据所述密钥信息和所述第一发布时间计算得到验证认证信息;
比对所述验证认证信息和所述第二响应信息中的响应认证信息;
若所述验证认证信息与所述响应认证信息相同,则确定对所述吊销列表更新方法校验成功。
7.吊销列表更新方法,其特征在于,应用于响应方,所述响应方与发起方共享密钥信息,所述方法包括:
根据所述密钥信息将存储的响应吊销列表的第一发布时间发送至所述发起方;
接收所述发起方用于请求更新所述响应吊销列表的第二更新请求,所述第二更新请求包括所述发起方存储的发起吊销列表和第二证书信息;
根据所述第二更新请求更新所述响应吊销列表。
8.根据权利要求7所述的吊销列表更新方法,其特征在于,所述根据所述第二更新请求更新所述响应吊销列表,包括:
比较所述第一发布时间和所述发起吊销列表的第二发布时间的大小关系;
若所述第一发布时间不早于所述第二发布时间,则对所述第二证书信息和所述发起吊销列表的签名有效性进行验证;
若所述第二证书信息和所述发起吊销列表的签名有效,则根据所述发起吊销列表更新所述响应吊销列表。
9.根据权利要求8所述的吊销列表更新方法,其特征在于,所述方法还包括:
根据所述密钥信息和所述第二发布时间计算得到响应认证信息;
根据所述响应认证信息和所述第一发布时间,生成第二响应信息;
将所述第二响应信息发送至所述发起方,由所述发起方根据所述第二响应信息对所述吊销列表更新方法进行校验。
10.计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1至9任一项所述的吊销列表更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110324802.8A CN113141257B (zh) | 2021-03-26 | 2021-03-26 | 吊销列表更新方法和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110324802.8A CN113141257B (zh) | 2021-03-26 | 2021-03-26 | 吊销列表更新方法和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113141257A true CN113141257A (zh) | 2021-07-20 |
| CN113141257B CN113141257B (zh) | 2022-06-07 |
Family
ID=76810515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110324802.8A Active CN113141257B (zh) | 2021-03-26 | 2021-03-26 | 吊销列表更新方法和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113141257B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742787A (zh) * | 2021-08-06 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 数字证书吊销列表更新方法、发起终端、响应终端及系统 |
| WO2023249522A1 (en) * | 2022-06-22 | 2023-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Self-revocation of a trusted component node |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210241A1 (en) * | 2004-03-22 | 2005-09-22 | Samsung Electronics Co., Ltd. | Method and apparatus for digital rights management using certificate revocation list |
| US20080052510A1 (en) * | 2006-05-12 | 2008-02-28 | Samsung Electronics Co., Ltd. | Multi certificate revocation list support method and apparatus for digital rights management |
| CN101527837A (zh) * | 2009-04-10 | 2009-09-09 | 四川长虹电器股份有限公司 | 一种数字接口吊销列表的更新方法 |
| WO2011006326A1 (zh) * | 2009-07-16 | 2011-01-20 | 四川长虹电器股份有限公司 | 内容安全传输保护设备、系统以及内容安全传输方法 |
| CN103632072A (zh) * | 2006-05-12 | 2014-03-12 | 三星电子株式会社 | 用于数字权限管理的多证书撤销列表支持方法和设备 |
| CN106899408A (zh) * | 2015-12-18 | 2017-06-27 | 北京网御星云信息技术有限公司 | 一种更新crl的方法和装置 |
| WO2018076763A1 (zh) * | 2016-10-27 | 2018-05-03 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法、系统、电子装置及存储介质 |
| CN109978496A (zh) * | 2019-03-08 | 2019-07-05 | 国家信息中心 | 电子印章吊销列表生成方法及电子印章离线验证方法 |
-
2021
- 2021-03-26 CN CN202110324802.8A patent/CN113141257B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050210241A1 (en) * | 2004-03-22 | 2005-09-22 | Samsung Electronics Co., Ltd. | Method and apparatus for digital rights management using certificate revocation list |
| US20080052510A1 (en) * | 2006-05-12 | 2008-02-28 | Samsung Electronics Co., Ltd. | Multi certificate revocation list support method and apparatus for digital rights management |
| CN103632072A (zh) * | 2006-05-12 | 2014-03-12 | 三星电子株式会社 | 用于数字权限管理的多证书撤销列表支持方法和设备 |
| CN101527837A (zh) * | 2009-04-10 | 2009-09-09 | 四川长虹电器股份有限公司 | 一种数字接口吊销列表的更新方法 |
| WO2011006326A1 (zh) * | 2009-07-16 | 2011-01-20 | 四川长虹电器股份有限公司 | 内容安全传输保护设备、系统以及内容安全传输方法 |
| CN106899408A (zh) * | 2015-12-18 | 2017-06-27 | 北京网御星云信息技术有限公司 | 一种更新crl的方法和装置 |
| WO2018076763A1 (zh) * | 2016-10-27 | 2018-05-03 | 上海亿账通区块链科技有限公司 | 区块链上交易的方法、系统、电子装置及存储介质 |
| CN109978496A (zh) * | 2019-03-08 | 2019-07-05 | 国家信息中心 | 电子印章吊销列表生成方法及电子印章离线验证方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742787A (zh) * | 2021-08-06 | 2021-12-03 | 深圳数字电视国家工程实验室股份有限公司 | 数字证书吊销列表更新方法、发起终端、响应终端及系统 |
| WO2023249522A1 (en) * | 2022-06-22 | 2023-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Self-revocation of a trusted component node |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113141257B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111010376B (zh) | 基于主从链的物联网认证系统及方法 | |
| CN109327467B (zh) | Rssp-ii安全通信协议密钥管理机制的管理方法 | |
| AU2019201684B2 (en) | Blockchain fortified aircraft communications addressing and reporting system (ACARS) communication | |
| US8417955B2 (en) | Entity bidirectional authentication method and system | |
| CN113141257B (zh) | 吊销列表更新方法和存储介质 | |
| CN110852745B (zh) | 一种区块链分布式动态网络密钥自动更新方法 | |
| JP2018133744A (ja) | 通信システム、車両、および監視方法 | |
| WO2019033822A1 (zh) | 数字证书的生成、认证方法、通信设备及存储介质 | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| CN102624744B (zh) | 网络设备的认证方法、装置、系统和网络设备 | |
| CN113676452B (zh) | 基于一次性密钥的重放攻击抵御方法及系统 | |
| CN112861106B (zh) | 数字证书处理方法及系统、电子设备及存储介质 | |
| CN111831974A (zh) | 接口保护方法、装置、电子设备及存储介质 | |
| JP5785875B2 (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
| CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
| CN116094833A (zh) | 一种用于整车密钥分发的密钥管理方法和系统 | |
| CN111314269B (zh) | 一种地址自动分配协议安全认证方法及设备 | |
| CN107911339B (zh) | 信息维护方法及装置 | |
| CN113630364B (zh) | 设备端、服务端、网络系统和网络连接方法 | |
| CN103036906A (zh) | 网络设备的认证方法、装置、接入设备和可控设备 | |
| KR101802824B1 (ko) | 자동차 개방형 PnP형 플랫폼에서의 플러그인 디바이스 인증 방법 및 장치 | |
| CN111737766A (zh) | 一种在区块链中判断数字证书签名数据合法性的方法 | |
| CN111510302A (zh) | 一种提高安全通信协议中证书验证效率的方法和系统 | |
| CN116388998A (zh) | 一种基于白名单的审计处理方法和装置 | |
| JP5664104B2 (ja) | 通信システム、並びに、通信装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |