CRL更新文件生成和CRL文件更新方法、装置及设备与流程

本发明涉及数字证书，具体涉及crl更新文件生成和crl文件更新方法、装置及设备。

背景技术：

1、在车联网的数据通信场景中，基于pki的数字证书技术是业内采用的主流方案。数字证书是一种使用密码学为基础，用于证明在网上进行信息交流及业务活动的各主体(如网联车辆、云服务器等)的身份。数字证书是由证书认证机构签发，采用非对称密钥算法，通过对数据进行加密、解密、数字签名与签名认证等处理，来保障数据的机密性、真实性、完整性和不可否认性。

2、车联网通信涉及的实体有智能网络汽车车载单元(on board unit，obu)、路侧单元(road side unit，rsu)、车联网云平台(telematics service provider，tsp)和移动智能终端，形成车和各实体之间交互场景(vehicle to everything，v2x)。为了满足v2x场景需求，一般会给obu和rsu发放v2x短证书，来对实时通讯数据进行签名，当车辆不能再使用证书时，需要对证书进行吊销，吊销的证书信息会写入到crl文件中。在验证签名时，需要首先验证证书是否在crl中，来鉴别证书的有效性。

3、在v2x串行拷贝管理系统(security credential management system，scms)中，端侧在启动后，需要获取所有可信根列表的crl下载地址，然后根据crl下载地址依次先下载全量的crl文件，然后再去下载增量的crl文件。然而，终端侧需要连接大量的地址进行下载，造成端侧的大量连接占用资源，且终端侧需要处理大量的数据传输和存储，因为每次下载都需要获取完整的crl(全量的crl文件和增量的crl文件)，会花费更多的时间和网络资源。

技术实现思路

1、有鉴于此，本发明提供了一种crl更新文件生成和crl文件更新方法、装置及设备，以解决终端侧需要处理大量的数据传输和存储，会花费更多的时间和网络资源的问题。

2、第一方面，本发明提供了一种crl更新文件生成方法，应用于服务端，服务端与多个终端连接，该方法包括；获取不同证书颁发机构签发的全量crl文件和增量crl文件，全量crl文件包括对应的第一签发时间，增量crl文件包括对应的第二签发时间；接收任一终端的crl文件下载请求，crl文件下载请求中包含目标下载时间，目标下载时间为终端上一次发送crl文件下载请求的时间；根据各证书颁发机构的目标全量crl文件，和/或，目标增量crl文件确定crl更新文件，其中，目标全量crl文件的第一签发时间在目标下载时间之后，目标增量crl文件的第二签发时间在目标下载时间之后；将crl更新文件发送到对应终端。

3、本发明提供的clf更新文件生成方法，通过服务端获取不同证书颁发机构签发的全量crl文件和增量crl文件，全量crl文件包括对应的第一签发时间，增量crl文件包括对应的第二签发时间，当接收任一终端的crl文件下载请求时，根据各证书颁发机构的目标全量crl文件，和/或，目标增量crl文件确定crl更新文件，其中，目标全量crl文件的第一签发时间在目标下载时间之后，目标增量crl文件的第二签发时间在目标下载时间之后，将crl更新文件发送到对应终端。本发明提供的方法，在确定crl更新文件时，基于终端上一次发送crl文件下载请求的时间确定对应终端在该时间之后各证书颁发机构新增的全量crl文件以及增量crl文件，并基于新增的全量crl文件以及增量crl文件确定crl更新文件，将crl更新文件发送到对应终端，通过执行本发明提供的方法，终端侧不需要获取下载地址中全部的crl文件，服务器会根据终端每次发起crl文件下载请求的时间确定终端未曾获取的crl更新文件发送至终端，能够显著减少终端侧需要下载的文件数量和大小，从而有效地节省网络流量，减轻了终端的解析负担，解决了相关技术中终端侧需要处理大量的数据传输和存储，会花费更多的时间和网络资源的问题。

4、在一种可选的实施方式中，根据各证书颁发机构的目标全量crl文件，和/或，目标增量crl文件确定crl更新文件的步骤，包括：若证书颁发机构中存在目标全量crl文件和目标增量crl文件，确定更新增量crl文件，更新增量crl文件的第二签发时间在目标全量crl文件之后；将目标全量crl文件和更新增量crl文件加入crl更新文件；若证书颁发机构中不存在目标全量crl文件，且存在目标增量crl文件，将目标增量crl文件加入crl更新文件。

5、本可选实施方式提供的方法，通过将多个文件汇总并将它们按照时间及文件特点进行筛选，实时更新文件并确保终端设备获取最新的文件内容，提高了实时性，使终端能够快速获取最新的信息或数据，进而提高了认证的实时有效性和工作效率。

6、在一种可选的实施方式中，获取不同证书颁发机构签发的全量crl文件和增量crl文件的步骤，包括：获取各证书颁发机构的可信域ca证书列表文件；从可信域ca证书列表文件中解析对应证书颁发机构的crl下载地址；基于各证书颁发机构的crl下载地址下载对应证书颁发机构的crl文件；对各证书颁发机构的crl文件进行解析，得到全量crl文件和增量crl文件。

7、在一种可选的实施方式中，获取不同证书颁发机构签发的全量crl文件和增量crl文件的步骤，还包括：解析各证书颁发机构的crl文件中的目标签发时间，目标签发时间为预计下一次签发crl文件的时间；基于各证书颁发机构的目标签发时间添加定时下载执行计划。

8、第二方面，本发明提供了一种crl文件更新方法，应用于任一终端，终端与服务端连接，该方法包括：获取目标下载时间，目标下载时间为终端上一次发送crl文件下载请求的时间；基于目标下载时间生成crl文件下载请求；将crl文件下载请求发送到服务端；接收服务端返回的crl更新文件，crl更新文件通过上述第一方面或其对应的任一实施方式的crl更新文件生成方法得到；基于crl更新文件对本地的crl文件进行更新。

9、本发明提供的crl文件更新方法，终端基于上一次请求下载的时间节点生成crl文件下载请求，并将crl文件下载请求发送到服务端，接收服务端根据crl文件下载请求返回的crl更新文件，利用crl更新文件对本地的crl文件进行更新，能够显著减少终端侧需要下载的文件数量和大小，从而有效地节省网络流量，减轻了终端的解析负担，解决了相关技术中终端侧需要处理大量的数据传输和存储，会花费更多的时间和网络资源的问题。

10、在一种可选的实施方式中，该方法还包括：将crl文件下载请求对应的请求时间作为新的目标下载时间存储。

11、第三方面，本发明提供了一种crl更新文件生成装置，该装置包括：第一获取模块，用于获取不同证书颁发机构签发的全量crl文件和增量crl文件，全量crl文件包括对应的第一签发时间，增量crl文件包括对应的第二签发时间；第一接收模块，用于接收任一终端的crl文件下载请求，crl文件下载请求中包含目标下载时间，目标下载时间为终端上一次发送crl文件下载请求的时间；第一确定模块，用于根据各证书颁发机构的目标全量crl文件，和/或，目标增量crl文件确定crl更新文件，其中，目标全量crl文件的第一签发时间在目标下载时间之后，目标增量crl文件的第二签发时间在目标下载时间之后；第一发送模块，用于将crl更新文件发送到对应终端。

12、第四方面，本发明提供了一种crl文件更新装置，该装置包括：第二获取模块，用于获取目标下载时间，目标下载时间为终端上一次发送crl文件下载请求的时间；请求生成模块，用于基于目标下载时间生成crl文件下载请求；第二发送模块，用于将crl文件下载请求发送到服务端；第二接收模块，用于接收服务端返回的crl更新文件，crl更新文件通过上述第一方面或其对应的任一实施方式的crl更新文件生成方法得到；更新模块，用于基于crl更新文件对本地的crl文件进行更新。

13、第五方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的crl更新文件生成方法，或执行上述第二方面或其对应的任一实施方式的crl文件更新方法。

14、第六方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的clf更新文件生成方法，或执行上述第二方面或其对应任一实施方式的clf文件更新方法。