数字证书同步方法、数字签名服务器及数字证书同步系统

摘要

本发明的实施例提供一种数字证书同步方法、数字签名服务器及数字证书同步系统，涉及网络安全技术领域，能够解决现有的数字签名服务器重启并进行数字证书同步时重复同步数字证书的问题，该方法应用于包括至少两台数字签名服务器的数字证书同步系统，包括：当数字签名服务器重启且重启的数字签名服务器被配置为中心服务器时，重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步；当数字签名服务器重启且重启的数字签名服务器被配置为非中心服务器时，重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步。本发明用于同步数字证书。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种数字证书同步方法、数字签名服务器及数字证书同步系统。

背景技术

近年来随着电子商务技术的进步，用户能够通过网络与其他用户进行信息交互，例如进行金融交易的客户能够方便轻松地通过网络与金融机构进行业务往来并达成交易，但通过网络交互某些敏感或有价值的数据客观上也增加了该部分数据被窃取或滥用的风险。为了保证用户通过网络交互敏感或高价值数据的安全性与可靠性，需要为网络信息交互建立一种信任机制，即要求参加信息交互的双方都必须拥有合法的并且能够有效无误的被进行验证的身份。这种用于标识通讯各方身份的信息被称为数字证书，数字证书可以为一串数字也可以为一份电子文档，一般由证书授权(英文全称：Certificate Authority，英文简称：CA)发行，在进行互联网通讯时通讯各方可以用数字证书来识别对方的身份。

通常情况下，数字证书储存在数字签名服务器上，当用户进行数据交互时，需要使用储存在数字签名服务器上的数字证书验证数据交互中另一方的身份。在实际使用中，数据交互中用户的身份对于多个不同的单位或机构可以通用，例如在金融交易中多个金融机构间可以互相承认用户身份的有效性，因此通常情况下在多个不同的数字签名服务器上储存有相同的数字证书，并且该多个不同的数字签名服务器上储存的数字证书需时刻保持一致。

现有技术中，可以通过高可用性群集(英文全称：High Available，英文简称：HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致，但当数字签名服务器重启时，现有的数字证书同步方法仅能通过操作人员手动控制重启的数字签名服务器与其他的数字签名服务器进行全量同步，由于在上述过程中并未考虑重启的数字签名服务器与其他数字签名服务器之间存在的差异并直接对数字证书进行全量同步，其中可能导致一部分数字证书进行无必要的同步，因此现有的数字证书同步方法在数字签名服务器重启并进行数字证书同步时会出现重复同步数字证书的问题，从而增加了数字证书同步的复杂程度，提高了数字证书同步所消耗的资源与成本，损害了用户体验。

发明内容

本申请提供一种数字证书同步方法、数字签名服务器及数字证书同步系统，能够解决现有的数字证书同步方法在数字签名服务器重启并进行数字证书同步时重复同步数字证书的问题。

第一方面，本发明的实施例提供了一种数字证书同步方法，应用于包括至少两台数字签名服务器的数字证书同步系统，包括：当数字签名服务器重启且重启的数字签名服务器被配置为中心服务器时，重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步；当数字签名服务器重启且重启的数字签名服务器被配置为非中心服务器时，重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步。

第二方面，本发明的实施例提供了一种数字签名服务器，该数字签名服务器被配置为中心服务器，包括：重启模块，被配置为当数字签名服务器重启时，与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步；

第三方面，本发明的实施例提供了一种数字签名服务器，该数字签名服务器被配置为非中心服务器，包括：重启模块，被配置为当数字签名服务器重启时，与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步

第四方面，本发明的实施例提供了一种数字证书同步系统，包括至少上述第二方面实施例中所提供的被配置为中心服务器的数字签名服务器以及上述第三方面实施例中所提供的被配置为非中心服务器的数字签名服务器。

本发明的实施例提供了一种数字证书同步方法、数字签名服务器及数字证书同步系统，应用于包括至少两台数字签名服务器的数字证书同步系统，当数字签名服务器重启时，获取该重启的数字签名服务器被配置的类型，并在数字签名服务器被配置为中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；在数字签名服务器被配置为非中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字证书同步方法能够根据数字签名服务器被配置的类型按照相应的策略控制该重启的数字签名服务器与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例提供的一种使用数字签名服务器进行身份验证的架构的示意性结构图；

图2为本发明的实施例提供的一种数字证书同步方法的示意性流程图；

图3为本发明的另一实施例提供的一种数字证书同步方法的示意性流程图；

图4为本发明的实施例提供的一种数字签名服务器的示意性结构图；

图5为本发明的另一实施例提供的一种数字签名服务器的示意性结构图；

图6为本发明的实施例提供的一种数字证书同步系统的示意性结构图；

图7为本发明的另一实施例提供的一种数字签名服务器的示意性结构图；

图8为本发明的另一实施例提供的一种数字签名服务器的示意性结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于清楚描述本发明实施例的技术方案，在本发明的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。

数字证书是一种在网络通讯中标志通讯各方身份的信息，数字证书可以为一串数字也可以为一份电子文档，一般由证书授权(英文全称：Certificate Authority，英文简称：CA)机构发行，在进行互联网通讯时通讯各方可以用数字证书来识别对方的身份。目前的数字证书类型主要包括：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。随着技术的发展，数字证书开始广泛地应用到各个领域之中，目前主要包括：发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

通常情况下，数字证书储存在数字签名服务器上，当用户进行数据交互时，需要使用数字签名服务器验证数据交互中另一方的身份。如附图1所示，本发明的实施例提供了一种使用数字签名服务器进行身份验证的架构，包括用户设备101，网络102以及数字签名服务器103，其中用户在使用用户设备101进行数据交互时需要验证该用户的身份，因此用户设备101通过网络102向数字签名服务器103发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识，其中数字证书标识可以唯一标识对应的数字证书，数字签名服务器103根据数字证书标识进行查询，获取对应的数字证书，并根据该对应的数字证书验证用户的数字签名信息是否正确，若验证成功则确定该用户的身份合法，可以与该用户继续进行相应的数据交互，若验证失败则返回验证失败信息。

由于在实际使用中，数据交互中用户的身份对于多个不同的单位或机构可以通用，例如在金融交易中多个金融机构间可以互相承认用户身份的有效性，如中国银联(英文全称：China Union Pay)或其他跨行交易清算系统中，多个银行间在进行金融业务时可以互相承认其他银行用户身份的有效性，此时在该跨行交易清算系统中，位于多个不同银行的数字签名服务器中的数字证书需由统一的CA机构如中国人民银行发行，并且该多个不同的数字签名服务器中储存的数字证书需时刻保持一致。

现有技术中，为了使多个不同的数字签名服务器中储存的数字证书保持一致，可以通过高可用性群集(英文全称：High Available，英文简称：HA)同步配置或灾难备份同步配置使不同数字签名服务器中的数字证书保持一致。具体的，HA同步配置中通常包括两台或两台以上数字签名服务器，分为主数字签名服务器与备数字签名服务器，其中当主数字签名服务器上的数字证书出现变动时，主数字签名服务器在预定时间范围内向备数字签名服务器发送数字证书同步信息，使备数字签名服务器根据数字证书同步信息进行同步；而灾难备份同步配置通常包括两台数字签名服务器，分为主数字签名服务器与备数字签名服务器，通过将对主数字签名服务器上数字证书的操作信息实时发送至备数字签名服务器，从而达到对备数字签名服务器上数字证书同步的目的。

上述两种方案虽然能够使不同的数字签名服务器中储存的数字证书保持一致，但当数字签名服务器重启时，HA同步配置中并不包括对重启的数字签名服务器立即进行同步的内容，导致重启的数字签名服务器中储存的数字证书可能与其他数字签名服务器中储存的数字证书不一致；而在灾难备份同步配置中，当备数字签名服务器重启后，主数字签名服务器仅会向备数字签名服务器发送备数字签名服务器重启时候后主数字签名服务器上数字证书的操作信息，备数字签名服务器无法得到备数字签名服务器重启过程中主数字签名服务器上数字证书的操作信息，从而可能导致备数字签名服务器上数字证书与主数字签名服务器中储存的数字证书不一致。

因此当数字签名服务器重启时，现有的数字证书同步方法需通过操作人员控制重启数字签名服务器与系统中的其他数字签名服务器进行全量同步，以保证不同的数字签名服务器中储存的数字证书保持一致。但通过操作人员执行上述步骤不但在进行数字证书同步时增加了人力资源的消耗，并且由于不同的数字签名服务器的网络状况与性能往往存在较大差异，因此当重启数字签名服务器与系统中的网络状况与性能较差的数字签名服务器进行全量同步时，还会降低数字证书同步的效率，增加数字证书同步的成本，因此现有的数字证书同步方法增加了数字证书同步的复杂程度，提高了数字证书同步所消耗的资源与成本，损害了用户体验。

为了解决上述问题，如附图2所示，本发明的实施例提供了一种数字证书同步方法，应用于包括至少两台数字签名服务器的数字证书同步系统，该方法包括：

201、当数字签名服务器重启时，确定重启的数字签名服务器的类型。

具体的，数字签名服务器位于数字证书同步系统中，数字证书同步系统包括至少两台数字签名服务器，该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。

数字签名服务器的类型包括中心服务器与非中心服务器，数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器，具体的，被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器，被配置为中心服务器的数字签名服务器宕机几率极小，CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书，当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时，同步效率较高且所消耗的资源较少。

需要说明的是，数字证书同步系统可以至少包括两台或两台以上的被配置为中心服务器的数字签名服务器，从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时，数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。

优选的，数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2^N*N！＝8，保证被配置为中心服务器的数字签名服务器不至于过多。

当重启的数字签名服务器被配置为中心服务器时，执行步骤102。

当重启的数字签名服务器被配置为非中心服务器时，执行步骤103。

202、重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步。

具体的，当重启的数字签名服务器被配置为中心服务器时，重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，其中数字证书增量同步是指对比重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器上数字证书不同的部分，仅将该数字证书不同的部分同步至重启的数字签名服务器上，其中数字证书增量同步完成后重启的数字签名服务器上的数字证书与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器上的数字证书一致。

由于重启的数字签名服务器在重启成功前一段时间内处于宕机或其他无法同步数字证书的状态，因此在这一段时间内出现变动的数字证书可能并未在该重启的数字签名服务器上进行相应的更新。由于重启的数字签名服务器自身为中心服务器，因此该重启的数字签名服务器网络状况及性能较好、可靠性较高，处于宕机或其他无法同步数字证书的状态的时间可能较短，未能进行相应更新的数字证书的数量可能较少，因此控制重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器，即可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。

203、重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步。

具体的，当重启的数字签名服务器被配置为非中心服务器时，重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，其中数字证书全量同步是指重启的数字签名服务器一次性将数字证书同步系统中被配置为中心服务器的任一数字签名服务器上数字证书同步至该重启的数字签名服务器，其中数字证书增量同步完成后的重启的数字签名服务器上的数字证书与数字证书同步系统中被配置为中心服务器的任一数字签名服务器上的数字证书一致。

由于重启的数字签名服务器在重启成功前一段时间内处于宕机或其他无法同步数字证书的状态，因此在这一段时间内出现变动的数字证书可能并未在该数字签名服务器上进行相应的更新。由于重启的数字签名服务器自身为非中心服务器，因此该重启的数字签名服务器与被配置为中心服务器的数字签名服务器相比网络状况及性能较差、可靠性较低，处于宕机或其他无法同步数字证书的状态的时间可能较长，未能进行相应更新的数字证书的数量可能较多，若将该重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行增量同步，则在增量同步过程中进行数字证书对比所消耗的资源可能较多，客观上降低了数字证书同步的效率，因此控制重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器，即数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。

本发明的实施例提供了一种数字证书同步方法，应用于包括至少两台数字签名服务器的数字证书同步系统，当数字签名服务器重启时，获取该重启的数字签名服务器被配置的类型，并在数字签名服务器被配置为中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；在数字签名服务器被配置为非中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字证书同步方法能够根据数字签名服务器被配置的类型按照相应的策略控制该重启的数字签名服务器与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

进一步的，如附图3所示，本发明的实施例提供了一种数字证书同步方法，应用于包括至少两台数字签名服务器的数字证书同步系统，该方法包括：

301、当数字签名服务器重启时，确定重启的数字签名服务器的类型。

具体参照上述实施例步骤201，在此不再赘述。

当重启的数字签名服务器被配置为中心服务器时，执行步骤302。

当重启的数字签名服务器被配置为非中心服务器时，执行步骤303。

302、判断数字证书同步系统中其他被配置为中心服务器的数字签名服务器是否均处于宕机状态。

具体的，数字签名服务器可以处以三种状态，包括正常服务状态、正在同步状态以及宕机状态，其中如下表所示，当数字签名服务器处于正常服务状态时，数字签名服务器可以进行签名验签、上传证书、删除证书及证书同步动作；当数字签名服务器处于正常同步状态时，数字签名服务器可以进行签名验签、上传证书、删除证书动作，但无法进行证书同步动作；当数字签名服务器处于宕机状态时，数字签名服务器无法进行签名验签、上传证书、删除证书及证书同步中任一种动作。

签名验签上传证书删除证书证书同步正常服务√√√√正在同步√√√×宕机××××

当数字证书同步系统中其他被配置为中心服务器的数字签名服务器并非均处于宕机状态，即数字证书同步系统中其他被配置为中心服务器的数字签名服务器包括处于正常服务状态的数字签名服务器或包括处于正在同步状态的数字签名服务器时，执行步骤304。

当数字证书同步系统中其他被配置为中心服务器的数字签名服务器均处于宕机状态，即数字签名服务器与数字证书同步系统中其他被配置为中心服务器的数字签名服务器均同步失败时，执行步骤307。

303、判断数字证书同步系统中被配置为中心服务器的数字签名服务器是否均处于宕机状态。

当数字证书同步系统中被配置为中心服务器的数字签名服务器并非均处于宕机状态，即数字证书同步系统中被配置为中心服务器的数字签名服务器包括处于正常服务状态的数字签名服务器或包括处于正在同步状态的数字签名服务器时，执行步骤309。

当数字证书同步系统中被配置为中心服务器的数字签名服务器均处于宕机状态，即数字签名服务器与数字证书同步系统中被配置为中心服务器的数字签名服务器均同步失败时，执行步骤312。

304、判断数字证书同步系统中其他被配置为中心服务器的数字签名服务器是否均为正在同步状态。

当数字证书同步系统中其他被配置为中心服务器的数字签名服务器均为正在同步状态，执行步骤305。

当数字证书同步系统中其他被配置为中心服务器的数字签名服务器并非均为正在同步状态，执行步骤308。

305、以第一时间阈值为间隔定时查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器的状态是否为正常服务状态。

具体的，当数字证书同步系统中其他被配置为中心服务器的数字签名服务器均为正在同步状态时，需要在数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器结束正在同步状态并处于正常服务状态时，与重启的数字签名服务器进行数字证书同步。以第一时间阈值为间隔定时查询可以在及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，并且尽量减少查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器状态所消耗的资源。

当进行查询的次数过多如超过预定查询次数阈值，或进行查询的时间过长如超过预定查询时间阈值时，可以认为无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态。

当根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态时，执行步骤306。

当无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态时，执行步骤307。

306、重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书增量同步。

具体的，由于在步骤305中确定数字证书同步系统中存在被配置为中心服务器且为正常服务状态的数字签名服务器，因此重启的数字签名服务器与该数字签名服务器进行数字证书增量同步，具体进行数字证书增量同步的步骤参照上述实施例中步骤202，在此不再赘述。

307、重启的数字签名服务器与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步。

具体的，由于在之前的步骤中已确定重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的数字签名服务器均同步失败，或无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态，因此可以确定数字证书同步系统中不存在其他被配置为中心服务器的数字签名服务器能够与重启的数字签名服务器成功同步，所以将重启的数字签名服务器与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步，保证该重启的数字签名服务器中能够包括数字证书同步系统中所有被配置为非中心服务器的数字签名服务器上的数字证书，从而确保该重启的数字签名服务器上数字证书的一致性与可靠性。

308、重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书增量同步。

具体的，重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书增量同步的步骤参照上述实施例中步骤202，在此不再赘述。

309、判断数字证书同步系统中被配置为中心服务器的数字签名服务器是否均为正在同步状态。

当数字证书同步系统中被配置为中心服务器的数字签名服务器均为正在同步状态，执行步骤310。

当数字证书同步系统中其他被配置为中心服务器的数字签名服务器并非均为正在同步状态，执行步骤313。

310、以第二时间阈值为间隔定时查询数字证书同步系统中被配置为中心服务器的数字签名服务器的状态是否为正常服务状态

具体的，当数字证书同步系统中被配置为中心服务器的数字签名服务器均为正在同步状态时，需要在数字证书同步系统中被配置为中心服务器的任一数字签名服务器结束正在同步状态并处于正常服务状态时，与重启的数字签名服务器进行数字证书同步。以第二时间阈值为间隔定时查询可以在及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，同时尽量减少查询数字证书同步系统中被配置为中心服务器的数字签名服务器状态所消耗的资源。

当进行查询的次数过多如超过预定查询次数阈值，或进行查询的时间过长如超过预定查询时间阈值时，可以认为无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态。

当根据查询结果确定数字证书同步系统中被配置为中心服务器的任一数字签名服务器为正常服务状态时，执行步骤311。

当无法根据查询结果确定数字证书同步系统中被配置为中心服务器的任一数字签名服务器为正常服务状态时，执行步骤312。

311、重启的数字签名服务器与数字证书同步系统中被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书全量同步

具体的，由于在步骤310中确定数字证书同步系统中存在被配置为中心服务器且为正常服务状态的数字签名服务器，因此重启的数字签名服务器与该数字签名服务器进行数字证书全量同步，具体进行数字证书全量同步的步骤参照上述实施例中步骤203，在此不再赘述。

312、重启的数字签名服务器等待同步指令。

具体的，由于在之前的步骤中已确定重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的数字签名服务器均同步失败，或无法根据查询结果确定数字证书同步系统中被配置为中心服务器的任一数字签名服务器为正常服务状态，因此可以确定数字证书同步系统中不存在被配置为中心服务器的数字签名服务器能够与重启的数字签名服务器成功同步，同时由于重启的数字签名服务器为非中心服务器，在进行数字证书同步时其优先级并不是很高，可以不用在第一时间与其他非中心服务器进行数字证书同步，因此等待具体的同步指令。

当同步指令为签名验证请求时，执行步骤314。

当同步指令为数字证书同步系统中被配置为中心服务器的数字签名服务器发送的同步指令时，执行步骤315。

314、重启的数字签名服务器根据签名验证请求中的数字证书标识在数字证书同步系统中其他被配置为非中心服务器的数字签名服务器上查询对应的数字证书，并将对应的数字证书同步至数字签名服务器。

具体的，签名验证请求可以为用户设备向重启的数字签名服务器发送的签名验证请求，其中签名验证请求可以包括数字证书标识，数字证书标示用于指示唯一对应的数字证书。

当重启的数字签名服务器收到的同步指令为签名验证请求时，重启的数字签名服务器根据签名验证请求中的数字证书标识在数字证书同步系统中其他被配置为非中心服务器的数字签名服务器上查询对应的数字证书，并将对应的数字证书同步至数字签名服务器，从而在保证签名验证请求能够根据对应的数字证书得到回应的前提下，减少数字证书同步所消耗的资源。

315、重启的数字签名服务器与发送同步指令的被配置为中心服务器的数字签名服务器进行数字证书全量同步。

本发明的实施例提供了一种数字证书同步方法，应用于包括至少两台数字签名服务器的数字证书同步系统，当数字签名服务器重启时，获取该重启的数字签名服务器被配置的类型，并在数字签名服务器被配置为中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；在数字签名服务器被配置为非中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。并且在数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器处于正在同步状态时，以第一时间阈值为间隔定时查询该数字签名服务器以及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，并且尽量减少查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器状态所消耗的资源。在确定数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器无法与重启的数字签名服务器进行数字证书同步时，当重启的数字签名服务器为中心服务器时控制其与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步，当重启的数字签名服务器为非中心服务器时根据同步指令进行相应的同步，从而在尽量保证重启的数字签名服务器上数字证书一致性的前提下尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字证书同步方法能够根据数字签名服务器被配置的类型按照相应的策略控制该重启的数字签名服务器与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

如附图4所示，本发明的实施例提供了一种数字签名服务器401，该数字签名服务器401被配置为中心服务器，包括：

重启模块402，被配置为当数字签名服务器重启时，与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步；

具体的，数字签名服务器位于数字证书同步系统中，数字证书同步系统包括至少两台数字签名服务器，该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。

数字签名服务器的类型包括中心服务器与非中心服务器，数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器，具体的，被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器，被配置为中心服务器的数字签名服务器宕机几率极小，CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书，当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时，同步效率较高且所消耗的资源较少。

需要说明的是，数字证书同步系统应至少包括两台或两台以上的被配置为中心服务器的数字签名服务器，从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时，数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。

优选的，数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2^N*N！＝8，保证被配置为中心服务器的数字签名服务器不至于过多。

当重启的数字签名服务器被配置为中心服务器时，重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，其中数字证书增量同步是指对比重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器上数字证书不同的部分，仅将该数字证书不同的部分同步至重启的数字签名服务器上，其中数字证书增量同步完成后重启的数字签名服务器上的数字证书与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器上的数字证书一致。

由于重启的数字签名服务器在重启成功前一段时间内处于宕机或其他无法同步数字证书的状态，因此在这一段时间内出现变动的数字证书可能并未在该重启的数字签名服务器上进行相应的更新。由于重启的数字签名服务器自身为中心服务器，因此该重启的数字签名服务器网络状况及性能较好、可靠性较高，处于宕机或其他无法同步数字证书的状态的时间可能较短，未能进行相应更新的数字证书的数量可能较少，因此控制重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器，即可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。

本发明的实施例提供了一种数字签名服务器，该数字签名服务器被配置为中心服务器并且应用于包括至少两台数字签名服务器的数字证书同步系统，当数字签名服务器重启时，使重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；因此本发明的提供的数字签名服务器能够在重启时与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

具体的，重启模块402具体被配置为

当确定数字证书同步系统中其他被配置为中心服务器的数字签名服务器均为正在同步状态时，以第一时间阈值为间隔定时查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器的状态；

当根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态时，与数字证书同步系统中其他被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书增量同步。

具体的，数字签名服务器可以处以三种状态，包括正常服务状态、正在同步状态以及宕机状态，其中如下表所示，当数字签名服务器处于正常服务状态时，数字签名服务器可以进行签名验签、上传证书、删除证书及证书同步动作；当数字签名服务器处于正常同步状态时，数字签名服务器可以进行签名验签、上传证书、删除证书动作，但无法进行证书同步动作；当数字签名服务器处于宕机状态时，数字签名服务器无法进行签名验签、上传证书、删除证书及证书同步中任一种动作。

签名验签上传证书删除证书证书同步正常服务√√√√正在同步√√√×宕机××××

具体的，当数字证书同步系统中其他被配置为中心服务器的数字签名服务器均为正在同步状态时，需要在数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器结束正在同步状态并处于正常服务状态时，与重启的数字签名服务器进行数字证书同步。以第一时间阈值为间隔定时查询可以在及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，并且尽量减少查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器状态所消耗的资源。

当进行查询的次数过多如超过预定查询次数阈值，或进行查询的时间过长如超过预定查询时间阈值时，可以认为无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态。

具体进行数字证书增量同步的步骤参照上述实施例，在此不再赘述。

具体的，重启模块402还被配置为：

当数字签名服务器重启且重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的数字签名服务器均同步失败时，与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步。

具体的，由于已确定重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的数字签名服务器均同步失败，或无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态，因此可以确定数字证书同步系统中不存在其他被配置为中心服务器的数字签名服务器能够与重启的数字签名服务器成功同步，所以将重启的数字签名服务器与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步，保证该重启的数字签名服务器中能够包括数字证书同步系统中所有被配置为非中心服务器的数字签名服务器上的数字证书，从而确保该重启的数字签名服务器上数字证书的一致性与可靠性。

本发明的实施例提供了一种数字签名服务器，该数字签名服务器被配置为中心服务器且位于包括至少两台数字签名服务器的数字证书同步系统，当数字签名服务器重启时，与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；并且在数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器处于正在同步状态时，以第一时间阈值为间隔定时查询该数字签名服务器以及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，并且尽量减少查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器状态所消耗的资源。在确定数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器无法与重启的数字签名服务器进行数字证书同步时，控制重启的数字签名服务器与数字证书同步系统中所有被配置为非中心服务器的数字签名服务器依次进行数字证书增量同步，从而在尽量保证重启的数字签名服务器上数字证书一致性的前提下尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字签名服务器能够在重启时与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

如附图5所示，本发明的实施例提供了一种数字签名服务器501，该数字签名服务器501被配置为非中心服务器，包括：

重启模块502，被配置为当数字签名服务器501重启时，与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步。

具体的，数字签名服务器位于数字证书同步系统中，数字证书同步系统包括至少两台数字签名服务器，该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。

数字签名服务器的类型包括中心服务器与非中心服务器，数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器，具体的，被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器，被配置为中心服务器的数字签名服务器宕机几率极小，CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书，当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时，同步效率较高且所消耗的资源较少。

需要说明的是，数字证书同步系统应至少包括两台或两台以上的被配置为中心服务器的数字签名服务器，从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时，数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。

优选的，数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2^N*N！＝8，保证被配置为中心服务器的数字签名服务器不至于过多。

当重启的数字签名服务器被配置为非中心服务器时，重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，其中数字证书全量同步是指重启的数字签名服务器一次性将数字证书同步系统中被配置为中心服务器的任一数字签名服务器上数字证书同步至该重启的数字签名服务器，其中数字证书增量同步完成后的重启的数字签名服务器上的数字证书与数字证书同步系统中被配置为中心服务器的任一数字签名服务器上的数字证书一致。

由于重启的数字签名服务器在重启成功前一段时间内处于宕机或其他无法同步数字证书的状态，因此在这一段时间内出现变动的数字证书可能并未在该数字签名服务器上进行相应的更新。由于重启的数字签名服务器自身为非中心服务器，因此该重启的数字签名服务器与被配置为中心服务器的数字签名服务器相比网络状况及性能较差、可靠性较低，处于宕机或其他无法同步数字证书的状态的时间可能较长，未能进行相应更新的数字证书的数量可能较多，若将该重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行增量同步，则在增量同步过程中进行数字证书对比所消耗的资源可能较多，客观上降低了数字证书同步的效率，因此控制重启的数字签名服务器与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器，即数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。

本发明的实施例提供了一种数字签名服务器，应用于包括至少两台数字签名服务器的数字证书同步系统，该数字签名服务器被配置为非中心服务器，当该数字签名服务器重启时，使重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字签名服务器能够与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

具体的，重启模块502具体被配置为：

当确定数字证书同步系统中被配置为中心服务器的数字签名服务器均为正在同步状态时，以第二时间阈值为间隔定时查询数字证书同步系统中被配置为中心服务器的数字签名服务器的状态；

当根据查询结果确定数字证书同步系统中被配置为中心服务器的任一数字签名服务器为正常服务状态时，与数字证书同步系统中被配置为中心服务器且为正常服务状态的数字签名服务器进行数字证书全量同步。

具体的，数字签名服务器可以处以三种状态，包括正常服务状态、正在同步状态以及宕机状态，其中如下表所示，当数字签名服务器处于正常服务状态时，数字签名服务器可以进行签名验签、上传证书、删除证书及证书同步动作；当数字签名服务器处于正常同步状态时，数字签名服务器可以进行签名验签、上传证书、删除证书动作，但无法进行证书同步动作；当数字签名服务器处于宕机状态时，数字签名服务器无法进行签名验签、上传证书、删除证书及证书同步中任一种动作。

签名验签上传证书删除证书证书同步正常服务√√√√正在同步√√√×宕机××××

当数字证书同步系统中被配置为中心服务器的数字签名服务器均为正在同步状态时，需要在数字证书同步系统中被配置为中心服务器的任一数字签名服务器结束正在同步状态并处于正常服务状态时，与重启的数字签名服务器进行数字证书同步。以第二时间阈值为间隔定时查询可以在及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，同时尽量减少查询数字证书同步系统中被配置为中心服务器的数字签名服务器状态所消耗的资源。

当进行查询的次数过多如超过预定查询次数阈值，或进行查询的时间过长如超过预定查询时间阈值时，可以认为无法根据查询结果确定数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器为正常服务状态。

由于已确定数字证书同步系统中存在被配置为中心服务器且为正常服务状态的数字签名服务器，因此重启的数字签名服务器与该数字签名服务器进行数字证书全量同步，具体进行数字证书全量同步的步骤参照上述实施例，在此不再赘述。

具体的，重启模块502还被配置为：

当数字签名服务器501重启且数字签名服务器501与数字证书同步系统中被配置为中心服务器的数字签名服务器同步失败时，等待同步指令；

当同步指令为签名验证请求时，根据签名验证请求中的数字证书标识在数字证书同步系统中其他被配置为非中心服务器的数字签名服务器上查询对应的数字证书，并将对应的数字证书同步至重启的数字签名服务器；

当同步指令为数字证书同步系统中被配置为中心服务器的数字签名服务器发送的同步指令时，与发送同步指令的被配置为中心服务器的数字签名服务器进行数字证书全量同步。

具体的，由于已确定重启的数字签名服务器与数字证书同步系统中被配置为中心服务器的数字签名服务器均同步失败，或无法根据查询结果确定数字证书同步系统中被配置为中心服务器的任一数字签名服务器为正常服务状态，因此可以确定数字证书同步系统中不存在被配置为中心服务器的数字签名服务器能够与重启的数字签名服务器成功同步，同时由于重启的数字签名服务器501为非中心服务器，在进行数字证书同步时其优先级并不是很高，可以不用在第一时间与其他非中心服务器进行数字证书同步，因此等待具体的同步指令。

具体的，签名验证请求可以为用户设备向重启的数字签名服务器发送的签名验证请求，其中签名验证请求可以包括数字证书标识，数字证书标示用于指示唯一对应的数字证书。

当重启的数字签名服务器收到的同步指令为签名验证请求时，重启的数字签名服务器根据签名验证请求中的数字证书标识在数字证书同步系统中其他被配置为非中心服务器的数字签名服务器上查询对应的数字证书，并将对应的数字证书同步至数字签名服务器，从而在保证签名验证请求能够根据对应的数字证书得到回应的前提下，减少数字证书同步所消耗的资源。

本发明的实施例提供了一种数字签名服务器，该数字签名服务器位于包括至少两台数字签名服务器的数字证书同步系统且该数字签名服务器被配置为非中心服务器，当该数字签名服务器重启时，与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。并且在数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器处于正在同步状态时，以第一时间阈值为间隔定时查询该数字签名服务器以及时获知该数字签名服务器已经不再处于正在同步状态而是处于正常服务状态的信息，并且尽量减少查询数字证书同步系统中其他被配置为中心服务器的数字签名服务器状态所消耗的资源。在确定数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器无法与重启的数字签名服务器进行数字证书同步时，根据同步指令进行相应的同步，从而在尽量保证重启的数字签名服务器上数字证书一致性的前提下尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字签名服务器能够在重启时与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

如附图6所示，本发明的实施例提供了一种数字证书同步系统601，包括至少两台数字签名服务器，其中至少两台数字签名服务器至少包括上述实施例中提供的被配置为中心服务器的数字签名服务器602以及上述实施例中提供的被配置为非中心服务器的数字签名服务器603。

具体的，数字证书同步系统包括至少两台数字签名服务器，该至少两台数字签名服务器上储存有由统一的CA机构发布的数字证书。

数字签名服务器的类型包括中心服务器与非中心服务器，数字签名服务器可以被配置为中心服务器也可以被配置为非中心服务器，具体的，被配置为中心服务器的数字签名服务器可以为数字证书同步系统中网络状况或性能较好的数字签名服务器，被配置为中心服务器的数字签名服务器宕机几率极小，CA机构在进行数字证书更新时可以优先更新被配置为中心服务器的数字签名服务器上的数字证书，当其他数字签名服务器与被配置为中心服务器的网址签名服务器进行数字证书同步时，同步效率较高且所消耗的资源较少。

需要说明的是，数字证书同步系统可以包括两台或两台以上的被配置为中心服务器的数字签名服务器，从而保证其中一台被配置为中心服务器的数字签名服务器出现故障时，数字证书同步系统不会因不存在能够正常工作的被配置为中心服务器的数字签名服务器而导致数字证书同步失败。

优选的，数字证书同步系统包括两台被配置为中心服务器的数字签名服务器。此时数字证书同步系统的复杂度可以为2^N*N！＝8，保证被配置为中心服务器的数字签名服务器不至于过多。

如附图6所示，数字证书同步系统601可以通过网络604与用户设备605连接，用户可以使用用户设备605通过网络604与数字签名服务器602或数字签名服务器603连接，并向数字签名服务器602或数字签名服务器603发送该用户的数字签名信息以及与数字签名信息对应的数字证书标识，其中数字证书标识可以唯一标识对应的数字证书，数字签名服务器602或数字签名服务器603可以根据数字证书标识进行查询，以在数字签名服务器602或数字签名服务器603上确定对应的数字证书，并根据该对应的数字证书验证用户的数字签名信息是否正确，若验证成功则确定该用户的身份合法并通过网络604向用户设备605返回相应的确认信息，若验证失败则通过网络604向用户设备605返回相应的验证失败信息。

本发明的实施例提供了一种数字证书同步系统，包括至少两台被配置为中心服务器的数字签名服务器以及被配置为非中心服务器的数字签名服务器，当数字签名服务器重启时，获取该重启的数字签名服务器被配置的类型，并在数字签名服务器被配置为中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中其他被配置为中心服务器的任一数字签名服务器进行数字证书增量同步，从而使数字签名服务器与可靠性较高且数字证书同步效率较高的数字签名服务器进行数字证书增量同步，使数字签名服务器在与中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率；在数字签名服务器被配置为非中心服务器时，使重启的数字签名服务器重启时与数字证书同步系统中被配置为中心服务器的任一数字签名服务器进行数字证书全量同步，从而使数字签名服务器与数字证书正确性较高且数字证书同步效率较高的数字签名服务器进行数字证书全量同步，从而使重启的数字签名服务器在与其中心服务器上数字证书保持一致的前提下，尽量减少数字证书同步所消耗的资源，提高数字证书同步的效率。因此本发明的提供的数字证书同步系统能够根据数字签名服务器被配置的类型按照相应的策略控制该重启的数字签名服务器与数字证书同步系统中网络状况及性能较好、可靠性较高的数字签名服务器进行数字证书同步，从而使重启的数字签名服务器在与数字证书同步系统中其他数字签名服务器上数字证书保持一致的前提下，减少数字证书同步所消耗的资源与成本，提高数字证书同步的效率，改善用户体验。

需要说明的是，由于本发明的实施例中提供的被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器所接收数字证书同步信息通常包括本地数字证书同步信息与广播数字证书同步信息，因此为了加快数字证书同步速度，可以由被配置为中心服务器的数字签名服务器或被配置为非中心服务器的数字签名服务器中的不同的处理器分别根据不同的数字证书同步信息进行相应的处理。

本发明的实施例中提供的被配置为中心服务器的数字签名服务器中，重启模块402可以为处理器，该处理器也可以集成在第一设备的某一个处理器中实现，此外，也可以以程序代码的形式存储于第一设备的存储器中，由第一设备的某一个处理器调用并执行以上重启模块402的功能。这里所述的处理器可以是一个中央处理器(英文全称：centralprocessing unit，英文简称：CPU)，或者是特定集成电路(英文全称：applicationspecific integrated circuit，英文简称：ASIC)，或者是被配置成实施本发明实施例的一个或多个集成电路。

参照附图7所示，本发明的实施例提供一种数字签名服务器700，该数字签名服务器700在数字证书同步系统中被配置为中心服务器且该数字签名服务器700用于实施上述实施例中所提供的数字证书同步方法，数字签名服务器700包括：第一处理器701、第二处理器702、收发器703、存储器704和总线705；第一处理器701、第二处理器702、收发器703、存储器704通过所述总线705连接并完成相互间的通信；

其中，收发器703用于接收本地数字证书同步信息以及广播数字证书同步信息，并将本地数字证书同步信息提供给第一处理器701，将广播数字证书同步信息提供给第二处理器702。

第一处理器701用于处理本地数字证书同步信息，该本地数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步，且该本地数字证书同步信息不需要该数字签名服务器向其他数字签名服务器进行转发；

第二处理器702用于处理广播数字证书同步信息，并且还用于控制收发器703以广播的方式转发该广播数字证书同步信息，该广播数字证书同步信息用于指示对该数字签名服务器上的数字证书进行同步，同时该广播数字证书同步信息还可以用于指示对数字证书同步系统中其他数字签名服务器上的数字证书进行同步。

优选的，本地数字证书同步信息为用户设备上的应用发送。

需要说明的是，这里的第一处理器701、第二处理器702可以是处理器，也可以是多个处理元件的统称。例如，该处理器可以是中央处理器CPU，也可以是特定集成电路ASIC，或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个微处理器(英文全称：digital singnal processor，英文简称：DSP)，或，一个或者多个现场可编程门阵列(英文全称：field programmable aate array，英文简称：FPGA)。

存储器704可以是一个存储装置，也可以是多个存储元件的统称，且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器704可以包括随机存储器(英文全称：random-access memory，英文简称：RAM)，也可以包括非易失性存储器(英文全称：non-volatile memory，英文简称：NVRAM)，例如磁盘存储器，闪存(Flash)等。

总线705可以是工业标准体系结构(英文全称：industry standardarchitecture，英文简称：ISA)总线、外部设备互连(英文全称：peripheral component，英文简称：PCI)总线或扩展工业标准体系结构(英文全称：extended industry standardarchitecture，英文简称：EISA)总线等。该总线705可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明的实施例中提供的被配置为非中心服务器的数字签名服务器中，重启模块502可以为处理器，该处理器也可以集成在第一设备的某一个处理器中实现，此外，也可以以程序代码的形式存储于第一设备的存储器中，由第一设备的某一个处理器调用并执行以上重启模块502的功能。这里所述的处理器可以是一个中央处理器(英文全称：centralprocessing unit，英文简称：CPU)，或者是特定集成电路(英文全称：applicationspecific integrated circuit，英文简称：ASIC)，或者是被配置成实施本发明实施例的一个或多个集成电路。

参照附图8所示，本发明的实施例提供一种数字签名服务器800且该数字签名服务器800在数字证书同步系统中被配置为非中心服务器且该数字签名服务器800用于实施上述实施例中所提供的数字证书同步方法，数字签名服务器800可以包括：处理器801、收发器802、存储器803和总线804；处理器801、收发器802、存储器803通过所述总线804连接并完成相互间的通信；

其中，收发器802用于接收本地数字证书同步信息以及广播数字证书同步信息，并将本地数字证书同步信息与广播数字证书同步信息均提供给处理器801。

处理器801用于处理本地数字证书同步信息以及广播数字证书同步信息，本地数字证书同步信息以及广播数字证书同步信息均用于指示对该数字签名服务器上的数字证书进行同步，且本地数字证书同步信息以及广播数字证书同步信息均不需要该数字签名服务器向其他数字签名服务器进行转发；

需要说明的是，这里的处理器801可以是处理器，也可以是多个处理元件的统称。例如，该处理器可以是中央处理器CPU，也可以是特定集成电路ASIC，或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个微处理器(英文全称：digitalsingnal processor，英文简称：DSP)，或，一个或者多个现场可编程门阵列(英文全称：field programmable aate array，英文简称：FPGA)。

存储器803可以是一个存储装置，也可以是多个存储元件的统称，且用于存储可执行程序代码或接入网管理设备运行所需要参数、数据等。且存储器803可以包括随机存储器(英文全称：random-access memory，英文简称：RAM)，也可以包括非易失性存储器(英文全称：non-volatile memory，英文简称：NVRAM)，例如磁盘存储器，闪存(Flash)等。

总线804可以是工业标准体系结构(英文全称：industry standardarchitecture，英文简称：ISA)总线、外部设备互连(英文全称：peripheral component，英文简称：PCI)总线或扩展工业标准体系结构(英文全称：extended industry standardarchitecture，英文简称：EISA)总线等。该总线805可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文简称：ROM，英文全称:Read-OnlyMemory)、随机存取存储器(英文简称：RAM，英文全称：Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。