CN114866243B

CN114866243B - 证书吊销列表管理方法、装置及电子设备

Info

Publication number: CN114866243B
Application number: CN202110075303.XA
Authority: CN
Inventors: 许汝波
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-01-20
Filing date: 2021-01-20
Publication date: 2024-03-15
Anticipated expiration: 2041-01-20
Also published as: CN114866243A

Abstract

本申请适用于数据管理领域，提供了一种证书吊销列表管理方法、装置及电子设备。在本申请的证书吊销列表管理方法中，当应用程序启动时，电子设备在本地存储空间查询证书提供服务。如果存在证书提供服务，则电子设备从证书提供服务获取证书吊销列表文件；如果不存在证书提供服务，则电子设备从目标服务器下载证书吊销列表文件，并根据证书吊销列表文件建立证书提供服务。通过上述方法，电子设备中的多个应用程序可以共用证书提供服务，减少电子设备下载证书吊销列表文件的次数，从而解决现有技术中电子设备频繁下载证书吊销列表文件会耗费用户大量的通信流量和增加用户等待时间的技术问题，具有较强的易用性和实用性。

Description

证书吊销列表管理方法、装置及电子设备

技术领域

本申请涉及数据管理领域，尤其涉及一种证书吊销列表管理方法、装置、电子设备及计算机可读存储介质。

背景技术

证书吊销列表(Certificate Revocation List，CRL)是公钥基础设施(PublicKey Infrastructure，PKI)系统中的一个结构化数据文件。

电子设备在启用应用程序时，需要访问该应用程序对应的服务器。为了防止服务器证书私钥泄露后被用于恶意攻击，造成业务数据泄露，电子设备除了校验服务器证书是否为合法证书以外，还需要检查服务器证书序列号是否在CRL文件中。如果该证书序列号在CRL文件中，表示该服务器证书已经不可信，电子设备应立即断开与服务器的通讯。

当前认证中心(Certificate Authority，CA)发布的CRL文件通常为几十KB到几十MB不等，电子设备频繁地下载CRL文件将耗费用户大量的通信流量，并且，下载CRL文件会增加用户等待的时间，影响用户的上网体验。

发明内容

本申请提供一种证书吊销列表管理方法、装置、电子设备及计算机可读存储介质，解决了现有技术中电子设备频繁下载CRL文件会耗费用户大量的通信流量和增加用户等待时间的技术问题。

第一方面，本申请实施例提供了一种证书吊销列表管理方法，包括：

当应用程序启动时，电子设备在本地存储空间查询证书提供服务；

若所述电子设备未查询到所述证书提供服务，则所述电子设备从目标服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述证书提供服务；

若所述电子设备查询到所述证书提供服务，则所述电子设备从所述证书提供服务获取所述证书吊销列表文件。

需要说明的是，电子设备上可能设置有一个或多个应用程序。

当应用程序启动时，电子设备需要获取CRL文件，CRL文件用于校验该应用程序对应的业务服务器的安全性。

此时，电子设备可以在本地存储空间查询证书提供服务。

如果电子设备未查询到证书提供服务，则电子设备可以从目标服务器下载CRL文件，并根据CRL文件建立证书提供服务。

如果电子设备查询到证书提供服务，则电子设备可以直接从证书提供服务中获取CRL文件。

在获取到CRL文件之后，电子设备可以检查应用程序对应的业务服务器的服务器证书的序列号是否在CRL文件上。

如果CRL文件中存在上述服务器证书的序列号，则电子设备应当立即断开与业务服务器的连接，避免业务数据泄露。

如果CRL文件中不存在上述服务器证书的序列号，则电子设备可以正常使用该应用程序，与该业务服务器进行数据交互。

通过上述证书吊销列表管理方法，电子设备上的多个应用程序可以共用证书提供服务，无需每个应用程序独立下载CRL文件，减少下载CRL文件所消耗的通信流量。并且，由于应用程序可以直接从证书提供服务中获取CRL文件，无需重复下载，因此，可以减少重复下载CRL文件所消耗的等待时间，提高用户体验。

在第一方面的一种可能的实现方式中，所述电子设备在本地存储空间查询证书提供服务，包括：

所述电子设备在本地存储空间查询与所述应用程序的厂商对应的证书提供服务；

所述电子设备从目标服务器下载证书吊销列表文件，包括：

所述电子设备从所述应用程序的厂商对应的证书吊销服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述应用程序的厂商对应的证书提供服务。

需要说明的是，证书提供服务中的CRL文件，可以是CA提供的CRL文件，或者，也可以是某一应用厂商提供的CRL文件。

当证书提供服务中的CRL文件是CA提供的CRL文件时，该CRL文件适用于电子设备上的各个应用程序。

当证书提供服务中的CRL文件是应用厂商提供的CRL文件时，该CRL文件仅适用于该应用厂商的应用程序。

因此，电子设备在启动应用程序时，可以查询与该应用程序的厂商对应的证书提供服务，从该应用程序的厂商对应的证书提供服务中获取该应用厂商的CRL文件。

当电子设备上不存在该应用程序的厂商对应的证书提供服务时，电子设备可以从该应用程序对应的厂商的证书吊销服务器下载CRL文件。此时，目标服务器为该应用程序的厂商对应的证书吊销服务器。

通过上述方法，电子设备独立管理各个应用厂商的CRL文件，可以减少电子设备下载的CRL文件所消耗的通信流量。比如，CA是面向互联网提供服务的，CA提供的CRL文件包含各个应用厂商的被吊销的服务器证书的序列号，假设电子设备存在十几个应用厂商的应用程序，那么电子设备即使下载十几个应用厂商的CRL文件，十几个应用厂商的CRL文件的文件大小之和也远远小于CA提供的CRL文件的文件大小，从而节省电子设备下载CRL文件所消耗的时间和通信流量。

在第一方面的一种可能的实现方式中，还包括：

当所述电子设备接收到所述目标服务器发送的文件更新消息时，所述电子设备从所述目标服务器下载新的证书吊销列表文件，并根据所述新的证书吊销列表文件更新所述证书提供服务。

需要说明的是，电子设备和目标服务器可以通过消息推送机制实现CRL文件的准实时更新。

当目标服务器生成了新的CRL文件时，目标服务器可以向电子设备发送文件更新消息。

当电子设备接收到文件更新消息时，可以从目标服务器下载新的CRL文件，用新的CRL文件更新证书提供服务中原有的CRL文件，从而实现CRL文件的准实时更新，提高CRL文件的时效性，减少业务数据泄露的风险。

在第一方面的一种可能的实现方式中，还包括：

当所述证书提供服务的更新间隔大于或等于预设更新周期时，所述电子设备从所述目标服务器下载新的证书吊销列表文件，并根据所述新的证书吊销列表文件更新所述证书提供服务，所述更新间隔为当前时间与所述证书提供服务上一次更新的时间的时间间隔。

需要说明的是，电子设备可以周期性地检查证书提供服务距离上一次更新的时间(即更新间隔)是否大于或等于预设更新周期。

如果更新间隔大于或等于预设更新周期，则电子设备可以从目标服务器下载新的CRL文件，用新的CRL文件更新证书提供服务中原有的CRL文件，从而确保证书提供服务中的CRL服务的时效性，减少业务数据泄露的风险。

在第一方面的一种可能的实现方式中，所述电子设备从目标服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述证书提供服务，包括：

所述电子设备从目标服务器下载证书吊销列表文件，并对所述证书吊销列表文件的签名进行校验；

若所述证书吊销列表文件的签名校验失败，则所述电子设备执行失败响应操作；

若所述证书吊销列表文件的签名校验通过，则所述电子设备根据所述证书吊销列表文件建立所述证书提供服务。

需要说明的是，电子设备从目标服务器下载了CRL文件之后，可以使用目标服务器的公钥对CRL文件的签名进行校验。

如果CRL文件的签名校验失败，则表示该CRL文件是不可信的，电子设备可以执行失败响应操作。

失败响应操作的形式可以根据实际需求进行设置。例如，在一些实施例中，失败响应操作可以是电子设备直接丢弃CRL文件；在另一些实施例中，失败响应操作可以是电子设备丢弃CRL文件，并返回签名校验失败信息至目标服务器。本申请实施例对失败响应操作的具体形式不予限制。

如果CRL文件的签名校验通过，则表示该CRL文件是可信的，电子设备可以使用该CRL文件对业务服务器的服务器证书进行校验、建立证书提供服务以及更新证书提供服务中原有的CRL证书。

第二方面，本申请实施例提供了一种证书吊销列表管理装置，包括：

服务查询模块，用于当应用程序启动时，在本地存储空间查询证书提供服务；

证书下载模块，用于若未查询到所述证书提供服务，则从目标服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述证书提供服务；

证书获取模块，用于若查询到所述证书提供服务，则从所述证书提供服务获取所述证书吊销列表文件。

在第二方面的一种可能的实现方式中，所述服务查询模块，具体用于在本地存储空间查询与所述应用程序的厂商对应的证书提供服务；

所述证书下载模块，具体用于从所述应用程序的厂商对应的证书吊销服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述应用程序的厂商对应的证书提供服务。

在第二方面的一种可能的实现方式中，其特征在于，还包括：

推送更新模块，用于当接收到所述目标服务器发送的文件更新消息时，从所述目标服务器下载新的证书吊销列表文件，并根据所述新的证书吊销列表文件更新所述证书提供服务。

周期更新模块，用于当所述证书提供服务的更新间隔大于或等于预设更新周期时，从所述目标服务器下载新的证书吊销列表文件，并根据所述新的证书吊销列表文件更新所述证书提供服务，所述更新间隔为当前时间与所述证书提供服务上一次更新的时间的时间间隔。

在第二方面的一种可能的实现方式中，其特征在于，所述证书下载模块，包括：

校验子模块，用于从目标服务器下载证书吊销列表文件，并对所述证书吊销列表文件的签名进行校验；

失败子模块，用于若所述证书吊销列表文件的签名校验失败，则执行失败响应操作；

通过子模块，用于若所述证书吊销列表文件的签名校验通过，则根据所述证书吊销列表文件建立所述证书提供服务。

第三方面，本申请实施例提供了一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，电子设备实现上述方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，使得电子设备实现上述方法。

第五方面，本申请实施例提供了一种芯片系统，所述芯片系统可以为单个芯片，或者多个芯片组成的芯片模组，所述芯片系统包括存储器和处理器，所述处理器执行所述存储器中存储的计算机程序，以实现上述方法。

本申请实施例与现有技术相比存在的有益效果是：

在本申请的证书吊销列表管理方法中，当应用程序启动时，电子设备会在本地存储空间中查询是否存在证书提供服务。如果电子设备查询到证书提供服务，则电子设备可以直接从证书提供服务中获取证书吊销列表文件。如果电子设备未查询到证书提供服务，则电子设备可以从目标服务器下载证书吊销列表文件，并根据证书吊销列表文件建立证书提供服务。

通过上述方法，电子设备上的多个应用程序可以共用证书提供服务中的证书吊销列表文件，无需每个应用程序独立下载证书吊销列表文件，极大地减少了电子设备下载证书吊销列表文件的次数，减少下载证书吊销列表文件所消耗的通信流量。并且，由于应用程序可以直接从证书提供服务中获取证书吊销列表文件，无需重复下载，因此，可以减少重复下载证书吊销列表所消耗的等待时间，提高用户体验。综上所述，上述方法可以解决现有技术中电子设备频繁下载证书吊销列表文件会耗费用户大量的通信流量和增加用户等待时间的技术问题，具有较强的易用性和实用性。

附图说明

图1为本申请实施例提供的一种证书吊销列表管理系统的架构图；

图2为本申请实施例提供的一种电子设备的结构示意图；

图3为本申请实施例提供的一种场景示意图；

图4为本申请实施例提供的另一种场景示意图；

图5为本申请实施例提供的另一种场景示意图；

图6为本申请实施例提供的一种更新CRL文件的信令图；

图7为本申请实施例提供的另一种证书吊销列表管理系统的架构图；

图8为本申请实施例提供的另一种更新CRL文件的信令图；

图9为本申请实施例提供的一种证书吊销列表管理方法的流程示意图；

图10为本申请实施例提供的另一种电子设备的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

此外，本申请实施例中提到的“多个”应当被解释为两个或两个以上。

本申请实施例中提供的证书吊销列表管理方法中所涉及到的步骤仅仅作为示例，并非所有的步骤均是必须执行的步骤，或者并非各个信息或消息中的内容均是必选的，在使用过程中可以根据需要酌情增加或减少。

本申请实施例中同一个步骤或者具有相同功能的步骤或者消息在不同实施例之间可以互相参考借鉴。

本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

证书吊销列表(Certificate Revocation List，CRL)是公钥基础设施(PublicKey Infrastructure，PKI)系统中的一个结构化数据文件。CRL文件中包含了认证中心(Certificate Authority，CA)已经吊销的证书的序列号及其吊销日期、CA的信息、吊销列表失效时间和吊销列表下一次更新时间、采用的签名算法等信息。CRL文件的有效期由CA在设置其证书颁发系统时设置。

当前CA每次发布的CRL文件通常为几十KB到几十MB不等，刷新周期通常是7天一次。并且，电子设备中的每个应用程序独立下载CRL文件，导致电子设备需要频繁地下载CRL文件，耗费用户大量的通信流量。而且，应用程序在启动时下载CRL文件会增加用户的等待时间，从而影响用户的使用体验。

有鉴于此，本申请实施例提供了一种证书吊销列表管理方法、装置、电子设备及计算机可读存储介质。通过本申请实施例提供的证书吊销列表管理方法，电子设备上的多个应用程序可以共用一个证书提供服务，减少电子设备下载CRL文件的次数，从而解决现有技术中电子设备频繁下载CRL文件会耗费用户大量的通信流量和增加用户等待时间的技术问题，具有较强的易用性和实用性。

首先，以图1所示的证书吊销列表管理系统为例。该证书吊销列表管理系统是本申请实施例提供的证书吊销列表管理方法适用的一种系统。

如图1所示，该证书吊销列表管理系统包括电子设备101、消息推送服务器102和证书吊销服务器103。

电子设备101、消息推送服务器102和证书吊销服务器103相互之间设置有通信连接，并通过上述通信连接进行数据交互。

上述通信连接可以包括有线通信连接和/或无线通信连接。

例如，在一些实施例中，上述通信连接可以包括注册插座(Registered Jack 45，RJ45)接口、控制器局域网络(Controller Area Network，CAN)总线等有线通信的解决方案。

在另一些实施例中，上述通信连接也可以包括无线通信连接，例如蓝牙(bluetooth，BT)、低功耗蓝牙(Bluetooth Low Energy，BLE)、近场通信(near fieldcommunication，NFC)、无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，WiFi))、射频识别(radio frequency identification，RFID)或紫蜂(ZigBee)等无线通信的解决方案。

上述证书吊销服务器103用于管理CRL文件。当证书吊销服务器103上生成新的CRL文件时，证书吊销服务器103可以向消息推送服务器102发送消息推送请求。

当消息推送服务器102接收到消息推送请求时，消息推送服务器102可以向电子设备101推送文件更新消息。

当电子设备101接收到文件更新消息时，电子设备101可以从证书吊销服务器103下载新的CRL文件。

上述电子设备101、消息推送服务器102和证书吊销服务器103的电子设备类型可以根据实际情况确定。例如，上述电子设备101、消息推送服务器102和证书吊销服务器103可以是手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobilepersonal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等电子设备，本申请实施例对上述电子设备101、消息推送服务器102和证书吊销服务器103的具体类型不作任何限制。

并且，上述电子设备101、消息推送服务器102和证书吊销服务器103可以是相同类型的电子设备，或者，上述电子设备101、消息推送服务器102和证书吊销服务器103也可以是不同类型的电子设备。

应理解，图1所示的证书吊销列表管理系统仅为本申请实施例的示意性举例，不应理解为对证书吊销列表管理系统的具体限制。在实际应用的过程中，上述证书吊销列表管理系统可能存在比图1所示的证书吊销列表管理系统更多或更少的电子设备。

例如，在一些应用场景中，证书吊销列表管理系统可能不包括消息推送服务器102，只有电子设备101和证书吊销服务器103进行数据交互，证书吊销服务103直接向电子设备101发送文件更新消息。在另一些应用场景中，证书吊销列表管理系统可以包括更多的电子设备，比如证书吊销列表管理系统还可以包括内容分发网络(Content DeliveryNetwork，CDN)服务器，证书吊销服务器103将新的CRL文件发送至CDN服务器，电子设备101从CDN服务器下载新的CRL文件。

此外，上述证书吊销列表管理中的各个电子设备可以是分立设置，或者，其中的部分电子设备也可以是集成设置。例如，上述消息推送服务器102和证书吊销服务器103可以是两个独立的服务器，或者，上述消息推送服务器102和证书吊销服务器103也可以是同一个服务器，通过一个服务器实现两种业务功能。

综上，本申请实施例对证书吊销列表管理系统的具体组织结构不予限制。

以下，将根据图1所示的证书吊销列表管理系统并结合具体的应用场景，对本申请实施例提供的证书吊销列表管理方法进行详细说明。

1、CRL文件的下载与应用。

如图2所示，电子设备上可以设置有一个或多个应用程序(图1中仅示出两个，即应用程序1和应用程序2)。

其中，应用程序可以设置有证书管理服务和证书提供服务。证书管理服务用于获取和更新CRL文件，证书提供服务用于为电子设备的各个应用程序提供CRL文件。

当电子设备启动某一个应用程序(即目标应用程序)时，该应用程序可以在本地存储空间(即电子设备的存储空间)中查询是否存在证书提供服务。该证书提供服务可以是目标应用程序建立的，或者，该证书提供服务也可以是其他应用程序建立的。

如果电子设备设置有证书提供服务，则目标应用程序的证书管理服务可以通过证书提供服务获取CRL文件，根据CRL文件对该应用程序对应的业务服务器的服务器证书序列号进行校验。

例如，如图3所示，假设电子设备启动应用程序2。应用程序2在启动时，可以查询本应用程序是否设置有证书提供服务。如果应用程序2查询到本应用程序设置有证书提供服务，则应用程序2可以从本应用程序设置的证书提供服务获取CRL文件进行校验。

如图4所示，假设电子设备启动应用程序2。应用程序2在启动时，查询到本应用程序未设置证书提供服务，则应用程序2可以查询其他应用程序是否设置有证书提供服务。当应用程序2查询到应用程序1设置有证书提供服务时，应用程序2可以从应用程序1的证书提供服务中获取CRL文件进行校验。

如果电子设备未设置证书提供服务，则目标应用程序的证书管理服务可以从证书吊销服务器下载CRL文件。

电子设备从证书吊销服务器下载CRL文件的方式可以根据实际场景进行确定。

例如，在一些应用场景中，证书吊销服务器会将CRL文件发送至CDN服务器。此时，电子设备可以向CDN服务器发送文件下载请求。CDN服务器接收到文件下载请求后，向电子设备发送CRL文件。

在另一些应用场景中，电子设备可以与证书吊销服务器建立点对点(peer-to-peer，P2P)连接。此时，电子设备可以直接向证书吊销服务器发送文件下载请求，证书吊销服务器接收到文件下载请求后，向电子设备发送CRL文件。

电子设备从证书吊销服务器获取到CRL文件之后，可以使用证书吊销服务器的公钥对CRL文件的签名进行校验。

失败响应操作的形式可以根据实际需求进行设置。例如，在一些实施例中，失败响应操作可以是电子设备直接丢弃CRL文件；在另一些实施例中，失败响应操作可以是电子设备丢弃CRL文件，并返回签名校验失败信息至证书吊销服务器。本申请实施例对失败响应操作的具体形式不予限制。

如果CRL文件的签名校验通过，则表示该CRL文件是可信的。此时，目标应用程序的证书管理服务可以根据CRL文件对该应用程序对应的业务服务器的服务器证书序列号进行校验，并根据CRL文件建立证书提供服务。

此外，上述证书吊销服务器可以是CA的服务器，或者，上述证书吊销服务器也可以是某一个应用厂商的服务器。

当上述证书吊销服务器为CA的服务器时，证书提供服务中的CRL文件为CA发布的CRL文件。CA发布的CRL文件比较大，包含各个应用厂商的被吊销的证书的序列号，可以应用于各个应用厂商的应用程序。

因此，当目标应用程序被启动时，目标应用程序的证书管理服务可以从任一应用程序建立的证书提供服务中获取CRL文件进行校验。

当上述证书吊销服务器为某一应用厂商的服务器时，证书提供服务中的CRL文件为该应用厂商发布的CRL文件。单一应用厂商发布的CRL文件比较小，仅适用于该应用厂商的应用程序。

因此，当目标应用程序被启动时，目标应用程序的证书管理服务应当在本地存储空间中查询与目标应用程序的应用厂商(以下简称目标厂商)对应的证书提供服务(以下简称目标证书提供服务)。

如果电子设备设置有目标证书提供服务，则目标应用程序的证书管理服务可以从目标证书提供服务中获取目标厂商的CRL文件进行校验。

例如，如图5所示，假设电子设备上设置有应用程序1、应用程序2和应用程序3。其中，应用程序1和应用程序3均设置有证书提供服务，应用程序1和应用程序2为同一应用厂商旗下的应用程序。当电子设备启动应用程序2时，应用程序2的证书管理服务可以查询电子设备上是否存在证书提供服务。由于应用程序1和应用程序2为同一应用厂商旗下的应用程序，所以，应用程序1的证书提供服务为目标证书提供服务，应用程序3的证书提供服务不是目标证书提供服务，应用程序2的证书管理服务从应用程序1的证书提供服务获取CRL文件。

如果电子设备未设置目标证书提供服务，则目标应用程序的证书管理服务可以从目标厂商对应的证书吊销服务器上下载CRL文件，并根据该CRL文件建立目标厂商对应的证书提供服务。

2、CRL文件的更新。

如上述所述，CA是面向互联网提供服务，所以，CA发布的CRL文件会比较大，通常为几十KB到几十MB不等，包含各个应用厂商的被吊销的证书的序列号。并且，由于CA关联的应用厂商较多，导致CA的CRL文件更新较为频繁。

为了避免电子设备频繁地下载CRL文件，CA通常按照一定的刷新周期对外发布CRL文件。上述刷新周期通常是7天。

因此，当上述证书吊销服务器是CA的服务器时，电子设备可以预先设置更新周期。

更新周期的时间长度可以根据实际需求进行设置。例如，在一些实施例中，更新周期的时间长度可以与刷新周期一致。比如，刷新周期为7天，则更新周期也设置为7天。在另一些实施例中，更新周期的时间长度也可以与刷新周期不一致。比如，刷新周期为7天，更新周期设置为4天。本申请实施例对更新周期的时间长度不予限制。

在设置了更新周期之后，电子设备可以周期性地检测证书提供服务距离上一次更新的时间(以下简称更新间隔)是否满足上述更新周期。

当上述更新间隔不满足更新周期时，电子设备不对证书提供服务进行更新，等待下一次检测。

当上述更新间隔满足更新周期时，电子设备可以向上述证书吊销服务器查询是否存在新的CRL文件。

如果证书吊销服务器上有新的CRL文件，则电子设备可以从证书吊销服务器下载新的CRL文件，并根据新的CRL文件更新证书提供服务，用新的CRL文件替换证书提供服务中原有的CRL文件。

如果证书吊销服务器上没有新的CRL文件，则电子设备可以不下载CRL文件，或者，电子设备也可以从证书吊销服务器上下载最新的CRL文件，用最新的CRL文件替换证书提供服务中原有的CRL文件。

例如，请参阅图6，假设证书吊销列表管理系统中包括证书吊销列表服务器、CDN服务器和电子设备，电子设备上设置有证书管理服务。

当证书吊销服务器生成CRL文件时，证书吊销服务器可以使用专用私钥对CRL文件进行签名。然后，证书吊销服务器可以向CDN服务器发送CRL文件。

当电子设备的证书管理服务需要下载CRL文件时，电子设备的证书管理服务可以向CDN服务器发送文件下载请求。当CDN服务器接收到文件下载请求时，CDN服务器可以向电子设备发送最新的CRL文件。

当电子设备接收到CRL文件时，电子设备的证书管理服务可以使用证书吊销列表服务器的公钥校验CRL文件的签名。

如果签名校验失败，则电子设备丢弃该CRL文件。如果签名校验通过，则电子设备使用新的CRL文件更新本地的证书提供服务中的CRL文件。

之后，电子设备可以继续周期性地检测更新间隔是否大于或等于更新周期。

当更新检测小于更新周期时，电子设备不更新CRL文件。

当更新间隔大于或等于更新周期时，电子设备的证书管理服务重新向CDN服务器发送文件下载请求以获取新的CRL文件。

通过上述周期性更新CRL文件的方式，可以减少电子设备从CA下载CRL文件的次数，避免电子设备频繁地下载CRL文件，减少用户的流量消耗。

当上述证书吊销服务器为应用厂商的服务器时，电子设备也可以设置更新周期。

当应用厂商有新的被吊销的证书时，管理员可以将被吊销的证书的序列号录入该应用厂商的证书吊销服务器。证书吊销服务器根据录入的被吊销证书的序列号生成新的CRL文件，并使用证书吊销服务器的私钥进行签名。

电子设备则周期性的检测证书提供服务的更新间隔是否大于或等于更新周期。当更新间隔大于或等于更新周期时，电子设备可以从证书提供服务对应的目标厂商的证书吊销服务器上查询和下载新的CRL文件，用新的CRL文件替换证书提供服务中原有的CRL文件。

具体地，电子设备在目标厂商的证书吊销服务器下载CRL文件，可以是电子设备通过P2P连接直接从证书吊销服务器下载新的CRL文件。或者，也可以是证书吊销服务器将新的CRL文件推送至CDN服务器，电子设备从CDN服务器下载新的CRL文件。本申请实施例对电子设备下载新的CRL文件的方式不予限制。

此外，由于应用厂商的证书吊销服务器仅管理该应用厂商的服务器证书，其数量通常不过百，相比于CA管理的海量证书(通常为千万级)，应用厂商提供的CRL文件的文件远小于CA提供的CRL文件，应用厂商提供的CRL文件通常不超过1KB。

并且，服务器的证书通常是在证书的私钥泄露或私钥损坏的情况下才会被吊销，对于某一个应用厂商而言，由于其管理的服务器证书的数量少，导致其服务器证书吊销的频率也非常低，可能经过几周甚至几个月才出现一次证书吊销的事件，所以，应用厂商的CRL文件更新的频率很低。

因此，可以在应用厂商的证书吊销服务器上设置消息推送服务，在电子设备上设置推送管理服务。

当证书吊销服务器上的CRL文件更新时，证书吊销服务器的消息推送服务可以向电子设备发送文件更新消息。

其中，证书吊销服务器的消息推送服务可以直接向电子设备发送文件更新消息，或者，证书吊销服务器的消息推送服务也可以向消息推送服务器发送消息推送请求，消息推送服务器接收到消息推送请求时，向电子设备推送文件更新消息。本申请实施例对文件更新消息的发送方式不予限制。

当电子设备接收到文件更新消息时，电子设备的推送管理服务可以通知应用程序的证书管理服务更新CRL证书。

当证书管理服务接收到推送管理服务的通知时，证书管理服务可以从证书吊销服务器上下载新的CRL文件，并根据新的CRL文件对证书提供服务进行更新，用新的CRL文件替换证书提供服务中原有的CRL文件。

通过上述消息推送机制，可以实现准实时更新CRL文件，提高了CRL文件的时效性，降低了服务器证书私钥泄露导致业务数据泄露的风险。

以下将结合具体的应用场景对上述基于消息推送机制的CRL文件更新方法进行详细描述：

请参阅图7和图8，假设证书吊销列表文件系统中包括电子设备、证书吊销服务器、消息推送服务器和CDN服务器。

在电子设备上设置有证书管理服务、证书提供服务和推送管理服务。

当某个应用厂商新增被吊销的证书时，管理员可以将被吊销的证书的序列号录入证书吊销服务器。

证书吊销服务器根据录入的被吊销证书的序列号生成新的CRL文件，并使用专用私钥对CRL文件进行签名，将签名值写入CRL文件的签名字段中。

然后，证书吊销服务器可以将新的CRL文件发送至CDN服务器，以及，证书吊销服务器可以向消息推送服务发送消息推送请求。

当消息推送服务器接收到消息推送请求时，消息推送服务器可以向电子设备发送文件更新消息。

当电子设备的推送管理服务接收到文件更新消息时，推送管理服务可以根据文件更新消息通知证书管理服务对CRL文件进行更新。

之后，证书管理服务可以向CDN服务器发送文件下载请求。

当CDN服务器接收到文件下载请求时，CDN服务器将最新的CRL文件发送至电子设备。

当电子设备的证书管理服务接收到新的CRL文件时，证书管理服务可以使用证书吊销服务器的公钥校验CRL文件的签名。

如果签名校验失败，则证书管理服务丢弃该CRL文件。

如果签名校验通过，则证书管理服务可以使用该CRL文件更新本地的证书提供服务中的CRL文件。

此外，电子设备可以周期性地检测证书提供服务中的CRL文件的更新间隔是否大于或等于更新周期。

如果更新检测小于更新周期，则电子设备不更新CRL文件。

如果更新间隔大于或等于更新周期，则电子设备的证书管理服务重新向CDN服务器发送文件下载请求以获取新的CRL文件。

综上所示，在本申请实施例提供的证书吊销列表管理方法中，电子设备可以通过设置证书提供服务的方式，使得多个应用程序可以共享CRL文件，与以往每个应用程序独立管理CRL文件的方式相比，可以极大地减少电子设备下载CRL文件的次数，从而解决现有技术中电子设备频繁下载CRL文件会耗费用户大量的通信流量和增加用户等待时间的技术问题。

并且，当电子设备上存在多个应用厂商的应用程序时，电子设备可以从各个应用厂商的证书吊销服务器上下载该应用厂商对应的CRL文件，根据各个应用厂商的CRL文件独立设置和管理各个应用厂商对应的证书提供服务，同一应用厂商的应用程序可以共享该应用厂商对应的证书提供服务。与CA提供的CRL文件相比，电子设备通过以上方式下载的CRL文件不包含无关的应用厂商的证书吊销信息，极大地减少电子设备下载的CRL文件的大小，从而减少下载CRL文件所需的流量和时间，可以提高用户体验。

此外，当电子设备独立设置和管理各个应用厂商对应的证书提供服务时，由于应用厂商管理的服务器证书的数量少，CRL文件更新频率低，因此，可以在应用厂商的证书吊销服务器上设置消息推送服务，在电子设备上设置推送管理服务，通过消息推送机制实现CRL文件的准实时更新，减少了服务器证书私钥泄露导致业务数据泄露的风险。

应用厂商的证书吊销服务器在生成CRL文件时，可以用证书吊销服务器的私钥对CRL文件进行签名。通过以上方式，既可以保证CRL文件的完整性，又可以保证CRL文件的有效性。

而且，需要说明的是，将证书管理服务和证书提供服务设置在应用程序中仅仅是本申请实施例的示意性举例。比如，在另一些可能的实施例中，电子设备也可以在应用程序以外设置一个或多个证书管理服务以及设置一个或多个证书提供服务。证书管理服务和证书提供服务的设置方式不影响实施本申请实施例提供的证书吊销列表管理方法，本申请实施例对证书管理服务和证书提供服务的具体设置方式不予限制。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

以下，将从电子设备的角度，对本申请实施例提供的另一种证书吊销列表管理方法进行详细说明。请参阅图9，本实施例提供的证书吊销列表管理方法包括：

S901、当应用程序启动时，电子设备在本地存储空间查询证书提供服务；

S902、若所述电子设备未查询到所述证书提供服务，则所述电子设备从目标服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述证书提供服务；

S903、若所述电子设备查询到所述证书提供服务，则所述电子设备从所述证书提供服务获取所述证书吊销列表文件。

图10是本申请实施例提供的电子设备的示意图。电子设备1000可以包括处理器1010，外部存储器接口1020，内部存储器1021，通用串行总线(universal serial bus，USB)接口1030，充电管理模块1040，电源管理模块1041，电池1042，天线1，天线2，移动通信模块1050，无线通信模块1060，音频模块1070，扬声器1070A，受话器1070B，麦克风1070C，耳机接口1070D，传感器模块1080，按键1090，马达1091，指示器1092，摄像头1093，显示屏1094，以及用户标识模块(subscriber identification module，SIM)卡接口1095等。其中传感器模块1080可以包括压力传感器1080A，陀螺仪传感器1080B，气压传感器1080C，磁传感器1080D，加速度传感器1080E，距离传感器1080F，接近光传感器1080G，指纹传感器1080H，温度传感器1080J，触摸传感器1080K，环境光传感器1080L，骨传导传感器1080M等。

可以理解的是，本发明实施例示意的结构并不构成对电子设备1000的具体限定。在本申请另一些实施例中，电子设备1000可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器1010可以包括一个或多个处理单元，例如：处理器1010可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器1010中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器1010中的存储器为高速缓冲存储器。该存储器可以保存处理器1010刚用过或循环使用的指令或数据。如果处理器1010需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器1010的等待时间，因而提高了系统的效率。

在一些实施例中，处理器1010可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purposeinput/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

I2C接口是一种双向同步串行总线，包括一根串行数据线(serial data line，SDA)和一根串行时钟线(derail clock line，SCL)。在一些实施例中，处理器1010可以包含多组I2C总线。处理器1010可以通过不同的I2C总线接口分别耦合触摸传感器1080K，充电器，闪光灯，摄像头1093等。例如：处理器1010可以通过I2C接口耦合触摸传感器1080K，使处理器1010与触摸传感器1080K通过I2C总线接口通信，实现电子设备1000的触摸功能。

I2S接口可以用于音频通信。在一些实施例中，处理器1010可以包含多组I2S总线。处理器1010可以通过I2S总线与音频模块1070耦合，实现处理器1010与音频模块1070之间的通信。在一些实施例中，音频模块1070可以通过I2S接口向无线通信模块1060传递音频信号，实现通过蓝牙耳机接听电话的功能。

PCM接口也可以用于音频通信，将模拟信号抽样，量化和编码。在一些实施例中，音频模块1070与无线通信模块1060可以通过PCM总线接口耦合。在一些实施例中，音频模块1070也可以通过PCM接口向无线通信模块1060传递音频信号，实现通过蓝牙耳机接听电话的功能。所述I2S接口和所述PCM接口都可以用于音频通信。

UART接口是一种通用串行数据总线，用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中，UART接口通常被用于连接处理器1010与无线通信模块1060。例如：处理器1010通过UART接口与无线通信模块1060中的蓝牙模块通信，实现蓝牙功能。在一些实施例中，音频模块1070可以通过UART接口向无线通信模块1060传递音频信号，实现通过蓝牙耳机播放音乐的功能。

MIPI接口可以被用于连接处理器1010与显示屏1094，摄像头1093等外围器件。MIPI接口包括摄像头串行接口(camera serial interface，CSI)，显示屏串行接口(display serial interface，DSI)等。在一些实施例中，处理器1010和摄像头1093通过CSI接口通信，实现电子设备1000的拍摄功能。处理器1010和显示屏1094通过DSI接口通信，实现电子设备1000的显示功能。

GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号，也可被配置为数据信号。在一些实施例中，GPIO接口可以用于连接处理器1010与摄像头1093，显示屏1094，无线通信模块1060，音频模块1070，传感器模块1080等。GPIO接口还可以被配置为I2C接口，I2S接口，UART接口，MIPI接口等。

USB接口1030是符合USB标准规范的接口，具体可以是Mini USB接口，Micro USB接口，USB Type C接口等。USB接口1030可以用于连接充电器为电子设备1000充电，也可以用于电子设备1000与外围设备之间传输数据。也可以用于连接耳机，通过耳机播放音频。该接口还可以用于连接其他电子设备，例如AR设备等。

可以理解的是，本发明实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对电子设备1000的结构限定。在本申请另一些实施例中，电子设备1000也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

充电管理模块1040用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块1040可以通过USB接口1030接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块1040可以通过电子设备1000的无线充电线圈接收无线充电输入。充电管理模块1040为电池1042充电的同时，还可以通过电源管理模块1041为电子设备供电。

电源管理模块1041用于连接电池1042，充电管理模块1040与处理器1010。电源管理模块1041接收电池1042和/或充电管理模块1040的输入，为处理器1010，内部存储器1021，显示屏1094，摄像头1093，和无线通信模块1060等供电。电源管理模块1041还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其他一些实施例中，电源管理模块1041也可以设置于处理器1010中。在另一些实施例中，电源管理模块1041和充电管理模块1040也可以设置于同一个器件中。

电子设备1000的无线通信功能可以通过天线1，天线2，移动通信模块1050，无线通信模块1060，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备1000中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块1050可以提供应用在电子设备1000上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块1050可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块1050可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块1050还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块1050的至少部分功能模块可以被设置于处理器1010中。在一些实施例中，移动通信模块1050的至少部分功能模块可以与处理器1010的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器1070A，受话器1070B等)输出声音信号，或通过显示屏1094显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器1010，与移动通信模块1050或其他功能模块设置在同一个器件中。

无线通信模块1060可以提供应用在电子设备1000上的包括无线局域网(wirelesslocal area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块1060可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块1060经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器1010。无线通信模块1060还可以从处理器1010接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备1000的天线1和移动通信模块1050耦合，天线2和无线通信模块1060耦合，使得电子设备1000可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobilecommunications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband codedivision multiple access，WCDMA)，时分码分多址(time-division code divisionmultiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidou navigation satellite system，BDS)，准天顶卫星系统(quasi-zenithsatellite system，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备1000通过GPU，显示屏1094，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏1094和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器1010可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏1094用于显示图像，视频等。显示屏1094包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emittingdiode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matri10organic light emitting diode的，AMOLED)，柔性发光二极管(fle10 light-emittingdiode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot lightemitting diodes，QLED)等。在一些实施例中，电子设备1000可以包括1个或N个显示屏1094，N为大于1的正整数。

电子设备1000可以通过ISP，摄像头1093，视频编解码器，GPU，显示屏1094以及应用处理器等实现拍摄功能。

ISP用于处理摄像头1093反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一些实施例中，ISP可以设置在摄像头1093中。

摄像头1093用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-o10ide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实施例中，电子设备1000可以包括1个或N个摄像头1093，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备1000在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备1000可以支持一种或多种视频编解码器。这样，电子设备1000可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture e10perts group，MPEG)10，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备1000的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

外部存储器接口1020可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备1000的存储能力。外部存储卡通过外部存储器接口1020与处理器1010通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器1021可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。内部存储器1021可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储电子设备1000使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器1021可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。处理器1010通过运行存储在内部存储器1021的指令，和/或存储在设置于处理器中的存储器的指令，执行电子设备1000的各种功能应用以及数据处理。

电子设备1000可以通过音频模块1070，扬声器1070A，受话器1070B，麦克风1070C，耳机接口1070D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块1070用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块1070还可以用于对音频信号编码和解码。在一些实施例中，音频模块1070可以设置于处理器1010中，或将音频模块1070的部分功能模块设置于处理器1010中。

扬声器1070A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备1000可以通过扬声器1070A收听音乐，或收听免提通话。

受话器1070B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备1000接听电话或语音信息时，可以通过将受话器1070B靠近人耳接听语音。

麦克风1070C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风1070C发声，将声音信号输入到麦克风1070C。电子设备1000可以设置至少一个麦克风1070C。在另一些实施例中，电子设备1000可以设置两个麦克风1070C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，电子设备1000还可以设置三个，四个或更多麦克风1070C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

耳机接口1070D用于连接有线耳机。耳机接口1070D可以是USB接口1030，也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform，OMTP)标准接口，美国蜂窝电信工业协会(cellular telecommunications industry association of the USA，CTIA)标准接口。

压力传感器1080A用于感受压力信号，可以将压力信号转换成电信号。在一些实施例中，压力传感器1080A可以设置于显示屏1094。压力传感器1080A的种类很多，如电阻式压力传感器，电感式压力传感器，电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器1080A，电极之间的电容改变。电子设备1000根据电容的变化确定压力的强度。当有触摸操作作用于显示屏1094，电子设备1000根据压力传感器1080A检测所述触摸操作强度。电子设备1000也可以根据压力传感器1080A的检测信号计算触摸的位置。在一些实施例中，作用于相同触摸位置，但不同触摸操作强度的触摸操作，可以对应不同的操作指令。例如：当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时，执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时，执行新建短消息的指令。

陀螺仪传感器1080B可以用于确定电子设备1000的运动姿态。在一些实施例中，可以通过陀螺仪传感器1080B确定电子设备1000围绕三个轴(即，10，y和z轴)的角速度。陀螺仪传感器1080B可以用于拍摄防抖。示例性的，当按下快门，陀螺仪传感器1080B检测电子设备1000抖动的角度，根据角度计算出镜头模组需要补偿的距离，让镜头通过反向运动抵消电子设备1000的抖动，实现防抖。陀螺仪传感器1080B还可以用于导航，体感游戏场景。

气压传感器1080C用于测量气压。在一些实施例中，电子设备1000通过气压传感器1080C测得的气压值计算海拔高度，辅助定位和导航。

磁传感器1080D包括霍尔传感器。电子设备1000可以利用磁传感器1080D检测翻盖皮套的开合。在一些实施例中，当电子设备1000是翻盖机时，电子设备1000可以根据磁传感器1080D检测翻盖的开合。进而根据检测到的皮套的开合状态或翻盖的开合状态，设置翻盖自动解锁等特性。

加速度传感器1080E可检测电子设备1000在各个方向上(一般为三轴)加速度的大小。当电子设备1000静止时可检测出重力的大小及方向。还可以用于识别电子设备姿态，应用于横竖屏切换，计步器等应用。

距离传感器1080F，用于测量距离。电子设备1000可以通过红外或激光测量距离。在一些实施例中，拍摄场景，电子设备1000可以利用距离传感器1080F测距以实现快速对焦。

接近光传感器1080G可以包括例如发光二极管(LED)和光检测器，例如光电二极管。发光二极管可以是红外发光二极管。电子设备1000通过发光二极管向外发射红外光。电子设备1000使用光电二极管检测来自附近物体的红外反射光。当检测到充分的反射光时，可以确定电子设备1000附近有物体。当检测到不充分的反射光时，电子设备1000可以确定电子设备1000附近没有物体。电子设备1000可以利用接近光传感器1080G检测用户手持电子设备1000贴近耳朵通话，以便自动熄灭屏幕达到省电的目的。接近光传感器1080G也可用于皮套模式，口袋模式自动解锁与锁屏。

环境光传感器1080L用于感知环境光亮度。电子设备1000可以根据感知的环境光亮度自适应调节显示屏1094亮度。环境光传感器1080L也可用于拍照时自动调节白平衡。环境光传感器1080L还可以与接近光传感器1080G配合，检测电子设备1000是否在口袋里，以防误触。

指纹传感器1080H用于采集指纹。电子设备1000可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。

温度传感器1080J用于检测温度。在一些实施例中，电子设备1000利用温度传感器1080J检测的温度，执行温度处理策略。例如，当温度传感器1080J上报的温度超过阈值，电子设备1000执行降低位于温度传感器1080J附近的处理器的性能，以便降低功耗实施热保护。在另一些实施例中，当温度低于另一阈值时，电子设备1000对电池1042加热，以避免低温导致电子设备1000异常关机。在其他一些实施例中，当温度低于又一阈值时，电子设备1000对电池1042的输出电压执行升压，以避免低温导致的异常关机。

触摸传感器1080K，也称“触控器件”。触摸传感器1080K可以设置于显示屏1094，由触摸传感器1080K与显示屏1094组成触摸屏，也称“触控屏”。触摸传感器1080K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器，以确定触摸事件类型。可以通过显示屏1094提供与触摸操作相关的视觉输出。在另一些实施例中，触摸传感器1080K也可以设置于电子设备1000的表面，与显示屏1094所处的位置不同。

骨传导传感器1080M可以获取振动信号。在一些实施例中，骨传导传感器1080M可以获取人体声部振动骨块的振动信号。骨传导传感器1080M也可以接触人体脉搏，接收血压跳动信号。在一些实施例中，骨传导传感器1080M也可以设置于耳机中，结合成骨传导耳机。音频模块1070可以基于所述骨传导传感器1080M获取的声部振动骨块的振动信号，解析出语音信号，实现语音功能。应用处理器可以基于所述骨传导传感器1080M获取的血压跳动信号解析心率信息，实现心率检测功能。

按键1090包括开机键，音量键等。按键1090可以是机械按键。也可以是触摸式按键。电子设备1000可以接收按键输入，产生与电子设备1000的用户设置以及功能控制有关的键信号输入。

马达1091可以产生振动提示。马达1091可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用(例如拍照，音频播放等)的触摸操作，可以对应不同的振动反馈效果。作用于显示屏1094不同区域的触摸操作，马达1091也可对应不同的振动反馈效果。不同的应用场景(例如：时间提醒，接收信息，闹钟，游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。

指示器1092可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口1095用于连接SIM卡。SIM卡可以通过插入SIM卡接口1095，或从SIM卡接口1095拔出，实现和电子设备1000的接触和分离。电子设备1000可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口1095可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口1095可以同时插入多张卡。所述多张卡的类型可以相同，也可以不同。SIM卡接口1095也可以兼容不同类型的SIM卡。SIM卡接口1095也可以兼容外部存储卡。电子设备1000通过SIM卡和网络交互，实现通话以及数据通信等功能。在一些实施例中，电子设备1000采用eSIM，即：嵌入式SIM卡。eSIM卡可以嵌在电子设备1000中，不能和电子设备1000分离。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置/电子设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/电子设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

最后应说明的是：以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种证书吊销列表管理方法，其特征在于，包括：

当应用程序启动时，电子设备在本地存储空间查询证书提供服务；所述证书提供服务为其他应用程序建立的；

2.根据权利要求1所述的方法，其特征在于，所述电子设备在本地存储空间查询证书提供服务，包括：

所述电子设备从目标服务器下载证书吊销列表文件，包括：

3.根据权利要求1所述的方法，其特征在于，还包括：

4.根据权利要求1所述的方法，其特征在于，还包括：

5.根据权利要求1所述的方法，其特征在于，所述电子设备从目标服务器下载证书吊销列表文件，并根据所述证书吊销列表文件建立所述证书提供服务，包括：

6.一种证书吊销列表管理装置，其特征在于，包括：

服务查询模块，用于当应用程序启动时，在本地存储空间查询证书提供服务；所述证书提供服务为其他应用程序建立的；

7.根据权利要求6所述的装置，其特征在于，所述服务查询模块，具体用于在本地存储空间查询与所述应用程序的厂商对应的证书提供服务；

8.根据权利要求6所述的装置，其特征在于，还包括：

9.根据权利要求6所述的装置，其特征在于，还包括：

10.根据权利要求6所述的装置，其特征在于，所述证书下载模块，包括：

11.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的方法。

12.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的方法。

13.一种芯片系统，其特征在于，所述芯片系统包括存储器和处理器，所述处理器执行所述存储器中存储的计算机程序，以实现如权利要求1至5任一项所述的方法。