吊销证书信息的管理方法、装置、及证书管理系统制造方法及图纸

本申请公开了一种吊销证书信息的管理方法、装置、及证书管理系统，其方法应用于证书管理系统，包括：基于流式处理机制，接收并解析证书吊销列表文件，得到多组对应的机构信息和吊销证书信息；并将各吊销证书信息转化为指定形式，存储于非关系型数据库；接收并响应于应用服务发送的吊销证书状态查询请求，载入非关系型数据库，检索并读取与吊销证书状态查询请求对应的目标吊销证书信息，以及根据目标吊销证书信息确定目标吊销证书的查询结果，并返回至应用服务，其中查询结果至少包括目标吊销证书的证书状态。本申请避免了由于证书吊销列表文件过大导致的内存溢出问题；提高了吊销证书状态查询的速度、提高了查询效率；提高了查询结果的参考意义。果的参考意义。果的参考意义。

【技术实现步骤摘要】
吊销证书信息的管理方法、装置、及证书管理系统


[0001]本申请涉及计算机
，具体涉及一种吊销证书信息的管理方法、装置、及证书管理系统。

技术介绍

[0002]在PKI(公钥基础设施)体系中，证书吊销列表文件(CRL)中存储了证书颁发机构(CA)已吊销的用户证书信息，读取CRL文件中的信息是校验用户证书是否有效的一种方式，目前Java自带JDK包和第三方库bouncycastle中都有解析DER格式的CRL文件的相关功能，但是需要一次性将CRL文件信息解析后都读取到内存中，对于一个运行已久的大型CA系统产生的CRL文件可能会达到十多个GB，而某些小型应用服务器可能只有几个GB内存，不具有一次性处理过大的CRL文件的能力；而且现有的处理方式，处理的速度很慢、效率低下，对证书状态查询请求的响应速度也较慢。

技术实现思路

[0003]本申请实施例针对上述情况，提出了一种吊销证书信息的管理方法、装置、及证书管理系统，本方法采用流式处理并解析CRL文件，避免内存一次性存储所有信息，导致内存溢出；对CRL文件进行流解析后，将得到的吊销证书信息转化为特定格式，存储于非关系型数据库中，既可以降低数据存储大小，又可以利用非关系型数据库的高读写性能对吊销吊销证书状态查询请求做出快速响应，克服至少部分克服现有技术的不足。
[0004]第一，本申请实施例提供了一种吊销证书信息的管理方法，所述方法应用于证书管理系统，所述方法包括：
[0005]基于流式处理机制，接收并解析证书吊销列表文件，得到多组对应的机构信息和吊销证书信息；并将各所述吊销证书信息转化为指定形式，存储于非关系型数据库；
[0006]接收并响应于应用服务发送的吊销证书状态查询请求，载入非关系型数据库，检索并读取与所述吊销证书状态查询请求对应的目标吊销证书信息，以及根据所述目标吊销证书信息确定目标吊销证书的查询结果，并返回至所述应用服务，其中所述查询结果至少包括所述目标吊销证书的证书状态。
[0007]第二方面，本申请实施例还提供了一种吊销证书信息的管理装置，所述装置包括：
[0008]解析及存储单元，用于基于流式处理机制，接收并解析证书吊销列表文件，得到多组对应的机构信息和吊销证书信息；并将各所述吊销证书信息转化为指定形式，存储于非关系型数据库；
[0009]检索与返回单元，用于接收并响应于应用服务发送的吊销证书状态查询请求，载入非关系型数据库，检索并读取与所述吊销证书状态查询请求对应的目标吊销证书信息，以及根据所述目标吊销证书信息确定目标吊销证书状态，并返回至所述应用服务。
[0010]第三方面，本申请实施例还提供了一种证书管理系统，所述证书管理系统部署有上述的吊销证书信息的管理装置；所述证书管理系统还可通信连接运维终端、非关系型数
据库、和应用服务；
[0011]所述运维终端，用于向所述证书管理系统上传证书吊销列表文件；
[0012]所述非关系型数据库，用于存储指定形式的吊销证书信息；
[0013]所述应用服务，用于向所述证书管理系统发送吊销证书状态查询请求，并接收所述证书管理系统返回的查询结果。
[0014]第四方面，本申请实施例还提供了一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行上述任一的方法。
[0015]第五方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行上述任一的方法。
[0016]本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：
[0017]本申请提供了一种吊销证书信息的管理方法，该方法可应用于证书管理系统，该方法一方面基于流式处理机制，接收并解析接收到的证书吊销列表文件，并将得到的数据中的各所述吊销证书信息转化为指定形式，存储于非关系型数据库，采用流处理方式，可一边接收一边处理，规避了现有技术中将整个证书吊销列表文件完全存储于内存再进行处理的方式，避免了由于证书吊销列表文件过大，导致的内存溢出问题；另一方面，由于非关系型数据库读写速度快的特性，使得证书管理系统能够对应用服务发送的吊销证书状态查询请求，做出快速响应，显著提高了吊销证书状态查询的速度、提高了查询效率；且本申请能够返回具有具有明确含义的吊销证书的证书状态，使得查询结果更加直观，提高了查询结果的参考意义。
附图说明
[0018]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0019]图1示出根据本申请的一个实施例的证书管理系统的结构示意图；
[0020]图2示出了根据本申请的一个实施例的吊销证书信息的管理方法的流程示意图；
[0021]图3示出了根据本申请的另一个实施例的吊销证书信息的管理方法的流程示意图；
[0022]图4示出了根据本申请的一个实施例的吊销证书信息的管理装置的结构示意图；
[0023]图5为本申请实施例中一种电子设备的结构示意图。
具体实施方式
[0024]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0025]以下结合附图，详细说明本申请各实施例提供的技术方案。
[0026]在PKI(公钥基础设施)体系中，证书吊销列表(CRL)中存储了证书颁发机构(CA)已
吊销的用户证书信息，读取CRL文件中的信息是校验用户证书是否有效的一种方式。对于证书吊销列表文件(CRL文件)的管理，现有技术中通常都是读取整个CRL文件的所有信息，并构造一个非常大的处理对象到内存中，如果CRL文件特别大，这对于一个小内存的服务器是非常勉强甚至是无法处理的。
[0027]对此，本申请提出了一种吊销证书信息的管理方法，该方法可通过证书管理系统实现，图1示出根据本申请的一个实施例的证书管理系统的结构示意图，从图1可以看出，证书管理系统100包括部署有吊销证书信息的管理装置110(图4)，吊销证书信息的管理装置110可实现本申请提出的吊销证书信息的管理方法；所述证书管理系统100对外还可通信连接运维终端200、非关系型数据库300、和应用服务400。其中，在另一些实施例中，非关系型数据库300在证书管理系统100硬件条件允许的情况下，也可以部署于证书管理系统100本地(该种情况图中未示出)，对此，本申请不作限定。非关系型数据库300可以为现有技术中的任意一种，如Redis。
[0028]另外，在本申请的另一些实施例中，所述证书管理系统还可通信连接关系本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种吊销证书信息的管理方法，其特征在于，所述方法应用于证书管理系统，所述方法包括：基于流式处理机制，接收并解析证书吊销列表文件，得到多组对应的机构信息和吊销证书信息；并将各所述吊销证书信息转化为指定形式，存储于非关系型数据库；接收并响应于应用服务发送的吊销证书状态查询请求，载入所述非关系型数据库，检索并读取与所述吊销证书状态查询请求对应的目标吊销证书信息，以及根据所述目标吊销证书信息确定目标吊销证书的查询结果，并返回至所述应用服务，其中所述查询结果至少包括所述目标吊销证书的证书状态。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述多组对应的机构信息和吊销证书信息存储于关系型数据库，以对所述机构信息和所述吊销证书信息持久化。3.根据权利要求1所述的方法，其特征在于，所述将各所述吊销证书信息转化为指定形式，存储于非关系型数据库，包括：对于一条吊销证书信息，对所述吊销证书信息进行过滤，得到对应的机构证书签名、吊销证书序列号、吊销证书吊销日期、以及吊销状态码；将所述机构证书签名、和所述吊销证书序列号作为键值对的键，以及将所述吊销证书吊销日期、和所述吊销状态码作为所述键值对的值；将所述键值对中的键和值对应存储于所述非关系型数据库中。4.根据权利要求3所述的方法，其特征在于，所述将各所述吊销证书信息转化为指定形式，存储于所述非关系型数据库，还包括：对存储于所述非关系型数据库中的吊销证书信息的数量进行计数；每当计数值到达预设阈值，则删除所述证书管理系统的内存中对应的机构信息和吊销证书信息，并再次执行所述对存储于所述非关系型数据库中的吊销证书信息的数量进行计数的步骤。5.根据权利要求3所述的方法，其特征在于，所述检索并读取与所述吊销证书状态查询请求对应的目标吊销证书信息，包括：解析所述吊销证书状态查询请求，得到所述吊销证书状态查询请求指示的目标吊销证书的机构证书签名、和吊销证书序列号；载入所述非关系型数据库，根据所述目标吊销证书的机构证书签名、和吊销证书序...

【专利技术属性】
技术研发人员：罗超生，
申请(专利权)人：康键信息技术深圳有限公司，
类型：发明
国别省市：