CN101771541B - 一种用于家庭网关的密钥证书生成方法和系统 - Google Patents

一种用于家庭网关的密钥证书生成方法和系统 Download PDF

Info

Publication number
CN101771541B
CN101771541B CN2008102468716A CN200810246871A CN101771541B CN 101771541 B CN101771541 B CN 101771541B CN 2008102468716 A CN2008102468716 A CN 2008102468716A CN 200810246871 A CN200810246871 A CN 200810246871A CN 101771541 B CN101771541 B CN 101771541B
Authority
CN
China
Prior art keywords
key
certificate
request
home gateway
root
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008102468716A
Other languages
English (en)
Other versions
CN101771541A (zh
Inventor
嵇盛育
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2008102468716A priority Critical patent/CN101771541B/zh
Priority to EP09834039.1A priority patent/EP2372946B1/en
Priority to PCT/CN2009/073959 priority patent/WO2010072086A1/zh
Publication of CN101771541A publication Critical patent/CN101771541A/zh
Application granted granted Critical
Publication of CN101771541B publication Critical patent/CN101771541B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种用于家庭网关的密钥证书生成系统,系统中的密钥证书管理服务器与加密机进行交互,根据管理终端和产品化数据获取终端提交的请求,执行生成根密钥和根证书、根证书导出、生成版本签名的密钥、版本数据签名、生成家庭网关的密钥和证书等操作;将生成的根证书导出给管理终端,将签名后的版本数据返回给产品化数据获取终端,将生成的家庭网关的密钥和证书返回给产品化数据获取终端,将版本签名私钥对应的公钥导出返回给产品化获取终端。本发明还公开了一种用于家庭网关的密钥证书生成方法,通过批量生成家庭网关的密钥和证书,且运营商服务器与家庭网关之间采用基于密钥和证书的认证机制进行通信,从而确保通信的安全性。

Description

一种用于家庭网关的密钥证书生成方法和系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用于家庭网关的密钥证书生成方法和系统。
背景技术
随着互联网的飞速发展,各种网络业务迅速展开,网络业务除了传统的互联网浏览业务外,还包括网络电视(IPTV,Internet Protocol Television)、IP电话等其他业务。用户上网需要借助调制解调器、宽带路由器和家庭网关(HomeGateway)等各种设备。在实际应用中,由于网络业务的不断扩张,用户所需的设备配置工作也越来越多,对设备的运营商来说,需要通过运营商服务器对家庭网关进行配置和软件升级,以达到增加新业务的目的。但是,现有技术中运营商服务器和家庭网关之间的认证机制的安全性不高,从而造成运营商服务器和家庭网关之间进行通信时存在安全隐患,例如:家庭网关被恶意控制以及非法的家庭网关接入等等。密钥和证书的安全性是保证认证机制安全性的基础,然而,现有技术中缺乏一种较完善的用于家庭网关的密钥证书生成机制,从而无法保证密钥和证书的较高安全性。
发明内容
有鉴于此,本发明的主要目的在于提供一种用于家庭网关的密钥证书生成方法和系统,以实现一种完善的用于家庭网关的密钥证书生成机制,保证密钥和证书的较高安全性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种用于家庭网关的密钥证书生成系统,包括:
管理终端,用于提交生成根密钥和根证书的请求,提交生成版本签名的密钥请求,提交根证书导出请求,并获取导出的根证书;
产品化数据获取终端,用于提交版本数据和版本签名请求,并获取签名后的版本数据;提交家庭网关的个性数据,提交生成家庭网关密钥和证书的请求,以及导出签名私钥对应公钥数据的请求;获取家庭网关的密钥和证书,以及版本签名私钥对应的公钥数据;
密钥证书管理服务器,用于接收来自所述管理终端和产品化数据获取终端的请求并响应,根据所述请求通知加密机执行生成密钥和签名操作,根据所述请求执行生成证书操作;
加密机,用于生成密钥和签名,对密钥进行保存,并将所述根密钥和版本签名密钥对应的标识,以及所述签名返回给所述密钥证书管理服务器;将所述家庭网关的密钥直接返回给所述密钥证书管理服务器;
其中,密钥证书管理服务器在接收到来自产品化数据获取终端的生成家庭网关密钥和证书的请求,以及家庭网关的个性数据时,根据请求读取数据库生成新的请求信息并通知加密机,由加密机根据新的请求中携带的位数、类型和格式执行家庭网关的密钥生成操作;密钥证书管理服务器根据新的请求中携带的名字项信息和扩展项信息、根证书、根私钥标识,证书有效期,执行家庭网关的证书生成操作。
所述管理终端进一步包括:
第一请求提交模块,用于向所述密钥证书管理服务器提交生成根密钥和根证书的请求,提交生成版本签名的密钥请求,提交根证书导出请求;
根证书导出模块,用于获取所述密钥证书管理服务器导出的根证书。
所述产品化数据获取终端进一步包括:
第二请求提交模块,用于向所述密钥证书管理服务器提交家庭网关的个性数据,提交生成家庭网关密钥和证书的请求,以及导出版本签名私钥对应的公钥数据的请求,提交版本数据和版本签名请求;
数据获取模块,用于获取家庭网关的密钥和证书,获取签名后的版本数据,以及版本签名私钥对应的公钥。
所述密钥证书管理服务器进一步包括:
请求接收模块,用于接收来自所述管理终端和产品化数据获取终端的请求;
密钥证书生成模块,用于根据所述请求与所述加密机进行交互,得到生成的根密钥和版本签名密钥的标识、家庭网关的公私钥数据,根据根公钥标识得到根公钥,根据版本签名私钥对应的公钥标识得到版本签名私钥对应的公钥数据,得到签名后的数据;根据所述请求生成证书;
响应模块,用于对所述请求进行响应,向所述管理终端提供生成的根证书,向所述产品化数据获取终端提供生成的家庭网关的密钥和证书,版本签名私钥对应的公钥以及签名后的版本数据;
管理模块,用于对生成的密钥所对应的标识、以及所述证书、运营商配置信息、用户权限、操作日志进行管理。
所述加密机进一步包括:
加密模块,用于执行生成密钥和签名的操作,并对密钥进行保存;
交互模块,用于与所述密钥证书管理服务器进行交互,并将所述根密钥和版本签名密钥对应的标识,以及所述签名返回给所述密钥证书管理服务器;将所述家庭网关的密钥直接返回给所述密钥证书管理服务器。
本发明还提供了一种用于家庭网关的密钥证书生成方法,该方法包括:
密钥证书管理服务器根据管理终端提交的生成根密钥和根证书的请求,与加密机进行交互,由加密机生成根密钥和根证书,所述密钥证书管理服务器将根证书导出给所述管理终端;
所述密钥证书管理服务器根据所述管理终端提交的生成版本签名的密钥请求,与加密机进行交互,由加密机生成用于版本签名的密钥;
所述密钥证书管理服务器根据所述产品化数据获取终端提交的版本数据和版本签名请求,与加密机进行交互,由加密机生成签名后的版本数据;
所述密钥证书管理服务器根据所述产品化数据获取终端提交的家庭网关的个性数据,提交的生成家庭网关密钥和证书的请求,和导出版本签名私钥对应的公钥的请求,与加密机进行交互,由加密机生成家庭网关的密钥和证书,所述密钥证书管理服务器导出版本签名的私钥对应的公钥数据,并返回给所述产品化数据获取终端;
其中,密钥证书管理服务器在接收到来自产品化数据获取终端的生成家庭网关密钥和证书的请求,以及家庭网关的个性数据时,根据请求读取数据库生成新的请求信息并通知加密机,由加密机根据新的请求中携带的位数、类型和格式执行家庭网关的密钥生成操作;密钥证书管理服务器根据新的请求中携带的名字项信息和扩展项信息、根证书、根私钥标识,证书有效期,执行家庭网关的证书生成操作。
所述生成根密钥和根证书的请求中携带运营商标识;所述生成版本签名密钥的请求、版本签名请求、以及生成家庭网关密钥和证书的请求中携带运营商标识和地区标识。
该方法进一步包括:所述加密机生成根密钥和用于版本签名的密钥时,仅将所述密钥对应的标识返回给所述密钥证书管理服务器。
该方法进一步包括:所述密钥证书管理服务器对生成的密钥所对应的标识、以及所述证书、运营商配置信息、用户权限、操作日志进行管理。
本发明所提供的用于家庭网关的密钥证书生成方法和系统,其生成密钥和证书的过程,完全屏蔽直接与外界交互,保证了生成密钥和证书的绝对安全;能够批量生成家庭网关的密钥和证书,提交的个性数据通过表格形式直接导入,只需要选择运营商和地区,无需任何配置,使得操作简单,也大大降低了生成密钥和证书,以及对其进行管理的难度;运营商服务器与家庭网关之间采用基于密钥和证书的认证机制进行通信,从而确保通信的安全性;将传输的数据进行加密,保证了信息传输的保密性和完整性;对要传输的数据进行签名,保证了身份的真实性。
附图说明
图1为本发明一种用于家庭网关的密钥证书生成系统的组成结构示意图;
图2为本发明一种用于家庭网关的密钥证书生成方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
本发明所提供的一种用于家庭网关的密钥证书生成系统,如图1所示,该系统由管理终端10、产品化数据获取终端20、密钥证书管理服务器30和加密机40组成。
管理终端10,用于向密钥证书管理服务器30提交生成根密钥和根证书的请求,请求密钥证书管理服务器30生成根密钥和根证书,该请求携带运营商标识。密钥证书管理服务器30根据请求中的运营商标识从自身的数据库中读出根密钥的位数、类型和格式等参数信息,以及根证书的序列号、有效期、名字项信息和扩展项信息等,由密钥证书管理服务器30与加密机进行交互,生成根密钥和根证书。在生成根密钥和根证书之后,管理终端10可以向密钥证书管理服务器30提交根证书导出请求,请求密钥证书管理服务器30导出所生成的根证书。管理终端10还用于向密钥证书管理服务器30提交生成版本签名的密钥请求,请求密钥证书管理服务器30生成用于版本签名的密钥。
产品化数据获取终端20,用于在需要进行版本数据的签名时,向密钥证书管理服务器30提交版本数据和版本签名请求,并在签名完毕后,从密钥证书管理服务器30获取签名后的版本数据;还用于在需要生成家庭网关的密钥和证书时,向密钥证书管理服务器30提交家庭网关的个性数据,提交生成家庭网关密钥和证书的请求,以及导出版本签名私钥对应的公钥的请求,并从密钥证书管理服务器30获取家庭网关的密钥和证书,以及版本签名私钥对应的公钥。提交的请求中包括运营商标识和地区标识,密钥证书管理服务器根据运营商标识和地区标识从自身的数据库中读出家庭网关的个性数据,包括家庭网关密钥的位数、类型和格式等参数,产品证书的名字项和扩展项等信息,以及需要导出的版本签名私钥对应的公钥标识。
密钥证书管理服务器30,用于接收来自管理终端10和产品化数据获取终端20的各种请求并响应,根据各种请求与加密机40进行交互,以执行各项操作,具体包括:
密钥证书管理服务器30在接收到来自管理终端10的生成根密钥的请求时,根据请求读取数据库中的根密钥的位数、类型和格式等参数信息,生成新的请求信息并通知加密机40,由加密机40根据新的请求信息中携带的根密钥的位数、类型和格式等信息,执行生成根密钥的操作,生成的根密钥包括根的公钥和私钥;并在操作完成后保存生成的根密钥,将生成的根密钥所对应的标识返回给密钥证书管理服务器30,由密钥证书管理服务器30将标识存储在自身的数据库中并进行管理;需要指出的是,出于安全性的考虑,加密机40向密钥证书管理服务器30返回根密钥对应的标识,而不是直接向密钥证书管理服务器30返回生成的根密钥;
密钥证书管理服务器30在接收到来自管理终端10的生成根证书的请求时,根据请求从数据库中读出根的公私钥标识,根证书的序列号、有效期、名字项信息和扩展项信息等,执行生成根证书的操作;生成根证书的操作需要从加密机40中获取根的公私钥数据,并通知加密机40利用根私钥对根证书进行签名;生成的根证书存储在密钥证书管理服务器30自身的数据库中,密钥证书管理服务器30可以对数据库中存储的根证书进行管理;
密钥证书管理服务器30在接收到来自管理终端10的根证书导出请求时,将数据库中的根证书导出给管理终端10;
密钥证书管理服务器30在接收到来自管理终端10的生成版本签名的密钥请求时,根据请求读取数据库生成新的请求信息并通知加密机40,由加密机40根据新的请求中携带的密钥的位数、类型和格式等信息,执行生成版本签名的密钥操作,并在操作完成后保存生成的密钥,将生成的密钥所对应的标识返回给密钥证书管理服务器30,密钥证书管理服务器30将标识存储在自身的数据库中并进行管理,生成的版本签名的密钥包括公钥和私钥;
密钥证书管理服务器30在接收到来自产品化数据获取终端20的版本数据和版本签名请求时,从数据库中读取版本签名私钥的标识并通知加密机40,由加密机40用版本签名私钥对版本数据执行签名操作,并在操作完成后,将签名后的版本数据返回给密钥证书管理服务器30,密钥证书管理服务器30将签名后的版本数据返回给产品化数据获取终端20;
密钥证书管理服务器30在接收到来自产品化数据获取终端20的生成家庭网关密钥和证书的请求,以及家庭网关的个性数据时,根据请求读取数据库生成新的请求信息并通知加密机40,由加密机40根据新的请求中携带的位数、类型和格式等信息执行家庭网关的密钥生成操作;密钥证书管理服务器30根据新的请求中携带的名字项信息和扩展项信息、根证书、根私钥标识,证书有效期等,执行家庭网关的证书生成操作;密钥证书管理服务器30将生成的家庭网关的密钥和证书返回给产品化数据获取终端20。
加密机40,用于执行生成密钥和数据的签名操作,其中,签名操作包括生成证书时的签名和对版本数据的签名;还用于对生成的根密钥和版本签名密钥进行保存,并将根密钥和版本签名密钥对应的标识,以及签名后的版本数据返回给密钥证书管理服务器30;还用于将生成的家庭网关的密钥和证书返回给密钥证书管理服务器30。
其中,管理终端10进一步包括:相互连接的第一请求提交模块11和根证书导出模块12。第一请求提交模块11,用于向密钥证书管理服务器30提交生成根密钥和根证书的请求,提交生成版本签名的密钥请求,提交根证书导出请求。根证书导出模块12,用于获取密钥证书管理服务器30导出的根证书。
产品化数据获取终端20进一步包括:相互连接的第二请求提交模块21和数据获取模块22。第二请求提交模块21,用于向密钥证书管理服务器30提交家庭网关的个性数据,以及生成家庭网关密钥和证书的请求,提交版本数据和版本签名请求。数据获取模块22,用于获取家庭网关的密钥和证书,获取签名后的版本数据。
密钥证书管理服务器30进一步包括:请求接收模块31、密钥证书生成模块32、响应模块33和管理模块34。请求接收模块31,用于接收来自管理终端10和产品化数据获取终端20的各种请求。密钥证书生成模块32,连接请求接收模块31,用于根据请求与加密机40进行交互,得到密钥标识和签名后的数据;还用于根据请求生成证书。响应模块33,连接密钥证书生成模块32,用于对请求进行响应,向管理终端10提供生成的根证书,向产品化数据获取终端20提供生成的家庭网关的密钥和证书,以及签名后的版本数据、版本签名私钥对应的公钥数据。管理模块34,连接密钥证书生成模块32,用于对生成的密钥所对应的标识、以及所述证书、运营商配置信息、用户权限、操作日志进行管理。
加密机40进一步包括:相互连接的加密模块41和交互模块42。加密模块41,用于执行生成密钥和签名的操作,并对生成的密钥进行保存。交互模块42,用于与密钥证书管理服务器30进行交互,并将根密钥和版本签名密钥对应的标识,以及签名返回给密钥证书管理服务器30;将家庭网关的密钥直接返回给密钥证书管理服务器30。
下面对上述系统所实现的密钥证书生成方法进行详细阐述,如图2所示,该方法包括以下步骤:
步骤201,密钥证书管理服务器根据管理终端提交的生成根密钥和根证书的请求,与加密机进行交互,生成根密钥和根证书,并将根证书导出给管理终端。
需要指出的是,由于实际应用中对于不同的运营商而言,其根密钥和根证书是不同的,即根密钥和根证书是按照不同的运营商对应生成的;因此,作为本发明的一种较佳实施例,密钥证书管理服务器可以将各个运营商定制的配置数据导入数据库中,这些配置数据包括:根密钥的位数、类型和格式,以及根证书的名字项信息和扩展项信息等。从而,管理终端在提交生成根密钥和根证书的请求时,只需要选择运营商标识;相应的,密钥证书管理服务器根据请求中的运营商标识,从自身的数据库中读取与该运营商标识相对应的配置数据,从而根据配置数据执行根密钥和根证书的生成操作。
出于安全性的考虑,加密机执行加密操作并生成根密钥后,仅仅将根密钥对应的标识返回给密钥证书管理服务器,而不是将根密钥直接返回给密钥证书管理服务器;密钥证书管理服务器的数据库对根密钥对应的标识,以及证书进行存储,且密钥证书管理服务器可以对数据库中的标识和证书进行管理。此外,根证书是用于签发其他证书的基础,如果没有根证书,则不能实现其他证书的生成和签发。
根证书生成以后,管理终端可以向密钥证书管理服务器提交根证书导出请求,请求中携带运营商标识;密钥证书管理服务器根据请求中的运营商标识查找对应的根证书,并将根证书导出给管理终端,并由管理终端将根证书提供给运营商。
步骤202,密钥证书管理服务器根据管理终端提交的生成版本签名的密钥请求,与加密机进行交互,生成用于版本签名的密钥。
需要指出的是,由于实际应用中运营商在每一个地区所使用的版本签名的密钥都是不同的,因此需要根据不同地区的需要产生不同的密钥。作为本发明的一种较佳实施例,管理终端在提交生成版本签名的密钥请求时,只需要选择运营商标识和地区标识;相应的,密钥证书管理服务器根据请求中的运营商标识和地区标识,从自身的数据库中读取相应的配置数据,从而与加密机进行交互,以实现密钥的生成操作。
出于安全性的考虑,加密机执行加密操作并生成用于版本签名的密钥后,仅仅将密钥对应的标识返回给密钥证书管理服务器,而不是将该密钥直接返回给密钥证书管理服务器;密钥证书管理服务器的数据库对该密钥对应的标识进行存储,且密钥证书管理服务器可以对数据库中的标识进行管理。
步骤203,密钥证书管理服务器根据产品化数据获取终端提交的版本数据和版本签名请求,与加密机进行交互,生成签名后的版本数据。
实际应用中,每次发布新的版本数据时,都需要对版本数据进行签名。产品化数据获取终端可以选择运营商标识和地区标识,向密钥证书管理服务器提交版本数据和版本签名请求;密钥证书管理服务器根据请求读取数据库中版本签名私钥标识并通知加密机执行版本数据的签名操作,操作完成后,加密机将签名后的版本数据返回给密钥证书管理服务器,由密钥证书管理服务器再将签名后的版本数据返回给产品化数据获取终端。
需要指出的是,在版本数据的签名操作中,产品化数据获取终端在提交版本签名请求后,可以登出操作页面;通过操作页面查看版本数据的签名状态,如果状态显示签名完毕,则从操作页面上点击下载,即可以从密钥证书管理服务器上获取签名后的版本数据。
步骤204,密钥证书管理服务器根据产品化数据获取终端提交的家庭网关的个性数据,提交的生成家庭网关密钥和证书的请求,以及导出版本签名私钥对应的公钥的请求,与加密机进行交互,生成家庭网关的密钥和证书,导出版本签名私钥对应的公钥,并返回给产品化数据获取终端。
本发明支持家庭网关密钥和证书的批量生成,产品化数据获取终端可以将提交的个性数据以表格的形式进行排列存储,提交的个性数据中包括家庭网关的序列号等。产品化数据获取终端选择营运商标识和地区标识,并提交含有个性数据的表格后,可以登出操作页面;密钥证书管理服务器从数据库中读取根密钥标识、根证书、版本签名私钥对应的公钥标识、产品密钥的类型和格式等信息以及证书的名字项和扩展项信息。并与加密机进行交互,实现生成家庭网关的密钥和证书操作,导出版本签名私钥对应的公钥,并将生成的密钥和证书,以及版本签名私钥对应的公钥数据填入表格的对应项中;产品化数据获取终端通过操作页面查看生成密钥和证书的操作状态,如果状态显示生成完毕,则从操作页面上点击下载,即可以从密钥证书管理服务器上获取含有家庭网关密钥和证书,以及版本签名私钥对应的公钥数据的表格。
产品化数据终端在获取含有家庭网关密钥和证书的表格以及签名后的版本数据之后,将表格和签名后的版本数据提供给家庭网关的生产线,进而在生产线上将签名后的版本数据,以及各个家庭网关的密钥和证书烧入各个对应的家庭网关中。
由于各个家庭网关都被烧入各自对应的密钥和证书,以及版本签名私钥对应的公钥数据,以及签名后的版本数据,因此,运营商的服务器与家庭网关进行通信时,可以根据家庭网关的密钥和证书,利用现有的基于密钥和证书的安全认证机制,实现安全通信,从而避免出现家庭网关被恶意控制以及非法的家庭网关接入等各种安全隐患。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (9)

1.一种用于家庭网关的密钥证书生成系统,其特征在于,包括:
管理终端,用于提交生成根密钥和根证书的请求,提交生成版本签名的密钥请求,提交根证书导出请求,并获取导出的根证书;
产品化数据获取终端,用于提交版本数据和版本签名请求,并获取签名后的版本数据;提交家庭网关的个性数据,提交生成家庭网关密钥和证书的请求,以及导出签名私钥对应公钥数据的请求;获取家庭网关的密钥和证书,以及版本签名私钥对应的公钥数据;
密钥证书管理服务器,用于接收来自所述管理终端和产品化数据获取终端的请求并响应,根据所述请求通知加密机执行生成密钥和签名操作,根据所述请求执行生成证书操作;
加密机,用于生成密钥和签名,对密钥进行保存,并将所述根密钥和版本签名密钥对应的标识,以及所述签名返回给所述密钥证书管理服务器;将所述家庭网关的密钥直接返回给所述密钥证书管理服务器;
其中,密钥证书管理服务器在接收到来自产品化数据获取终端的生成家庭网关密钥和证书的请求,以及家庭网关的个性数据时,根据请求读取数据库生成新的请求信息并通知加密机,由加密机根据新的请求中携带的位数、类型和格式执行家庭网关的密钥生成操作;密钥证书管理服务器根据新的请求中携带的名字项信息和扩展项信息、根证书、根私钥标识,证书有效期,执行家庭网关的证书生成操作。
2.根据权利要求1所述用于家庭网关的密钥证书生成系统,其特征在于,所述管理终端进一步包括:
第一请求提交模块,用于向所述密钥证书管理服务器提交生成根密钥和根证书的请求,提交生成版本签名的密钥请求,提交根证书导出请求;
根证书导出模块,用于获取所述密钥证书管理服务器导出的根证书。
3.根据权利要求1所述用于家庭网关的密钥证书生成系统,其特征在于, 所述产品化数据获取终端进一步包括:
第二请求提交模块,用于向所述密钥证书管理服务器提交家庭网关的个性数据,提交生成家庭网关密钥和证书的请求,以及导出版本签名私钥对应的公钥数据的请求,提交版本数据和版本签名请求;
数据获取模块,用于获取家庭网关的密钥和证书,获取签名后的版本数据,以及版本签名私钥对应的公钥。
4.根据权利要求1所述用于家庭网关的密钥证书生成系统,其特征在于,所述密钥证书管理服务器进一步包括:
请求接收模块,用于接收来自所述管理终端和产品化数据获取终端的请求;
密钥证书生成模块,用于根据所述请求与所述加密机进行交互,得到生成的根密钥和版本签名密钥的标识、家庭网关的公私钥数据,根据根公钥标识得到根公钥,根据版本签名私钥对应的公钥标识得到版本签名私钥对应的公钥数据,得到签名后的数据;根据所述请求生成证书;
响应模块,用于对所述请求进行响应,向所述管理终端提供生成的根证书,向所述产品化数据获取终端提供生成的家庭网关的密钥和证书,版本签名私钥对应的公钥以及签名后的版本数据;
管理模块,用于对生成的密钥所对应的标识、以及所述证书、运营商配置信息、用户权限、操作日志进行管理。
5.根据权利要求1所述用于家庭网关的密钥证书生成系统,其特征在于,所述加密机进一步包括:
加密模块,用于执行生成密钥和签名的操作,并对密钥进行保存;
交互模块,用于与所述密钥证书管理服务器进行交互,并将所述根密钥和版本签名密钥对应的标识,以及所述签名返回给所述密钥证书管理服务器;将所述家庭网关的密钥直接返回给所述密钥证书管理服务器。
6.一种用于家庭网关的密钥证书生成方法,其特征在于,该方法包括:
密钥证书管理服务器根据管理终端提交的生成根密钥和根证书的请求,与加密机进行交互,由加密机生成根密钥和根证书,所述密钥证书管理服务器将 根证书导出给所述管理终端;
所述密钥证书管理服务器根据所述管理终端提交的生成版本签名的密钥请求,与加密机进行交互,由加密机生成用于版本签名的密钥;
所述密钥证书管理服务器根据产品化数据获取终端提交的版本数据和版本签名请求,与加密机进行交互,由加密机生成签名后的版本数据;
所述密钥证书管理服务器根据所述产品化数据获取终端提交的家庭网关的个性数据,提交的生成家庭网关密钥和证书的请求,和导出版本签名私钥对应的公钥的请求,与加密机进行交互,由加密机生成家庭网关的密钥和证书,所述密钥证书管理服务器导出版本签名的私钥对应的公钥数据,并返回给所述产品化数据获取终端;
其中,密钥证书管理服务器在接收到来自产品化数据获取终端的生成家庭网关密钥和证书的请求,以及家庭网关的个性数据时,根据请求读取数据库生成新的请求信息并通知加密机,由加密机根据新的请求中携带的位数、类型和格式执行家庭网关的密钥生成操作;密钥证书管理服务器根据新的请求中携带的名字项信息和扩展项信息、根证书、根私钥标识,证书有效期,执行家庭网关的证书生成操作。
7.根据权利要求6所述用于家庭网关的密钥证书生成方法,其特征在于,所述生成根密钥和根证书的请求中携带运营商标识;所述生成版本签名密钥的请求、版本签名请求、以及生成家庭网关密钥和证书的请求中携带运营商标识和地区标识。
8.根据权利要求6所述用于家庭网关的密钥证书生成方法,其特征在于,该方法进一步包括:所述加密机生成根密钥和用于版本签名的密钥时,仅将所述密钥对应的标识返回给所述密钥证书管理服务器。
9.根据权利要求6、或7、或8所述用于家庭网关的密钥证书生成方法,其特征在于,该方法进一步包括:所述密钥证书管理服务器对生成的密钥所对应的标识、以及所述证书、运营商配置信息、用户权限、操作日志进行管理。 
CN2008102468716A 2008-12-26 2008-12-26 一种用于家庭网关的密钥证书生成方法和系统 Expired - Fee Related CN101771541B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN2008102468716A CN101771541B (zh) 2008-12-26 2008-12-26 一种用于家庭网关的密钥证书生成方法和系统
EP09834039.1A EP2372946B1 (en) 2008-12-26 2009-09-16 Key certificate generation method and system used for home gateway
PCT/CN2009/073959 WO2010072086A1 (zh) 2008-12-26 2009-09-16 用于家庭网关的密钥证书生成方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102468716A CN101771541B (zh) 2008-12-26 2008-12-26 一种用于家庭网关的密钥证书生成方法和系统

Publications (2)

Publication Number Publication Date
CN101771541A CN101771541A (zh) 2010-07-07
CN101771541B true CN101771541B (zh) 2012-11-28

Family

ID=42286872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102468716A Expired - Fee Related CN101771541B (zh) 2008-12-26 2008-12-26 一种用于家庭网关的密钥证书生成方法和系统

Country Status (3)

Country Link
EP (1) EP2372946B1 (zh)
CN (1) CN101771541B (zh)
WO (1) WO2010072086A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375265A (zh) * 2015-07-22 2017-02-01 中兴通讯股份有限公司 家庭网关及其通信管理方法、通信系统
CN106230784B (zh) * 2016-07-20 2020-09-18 新华三技术有限公司 一种设备验证方法及装置
CN106302475B (zh) * 2016-08-18 2019-09-10 中国联合网络通信集团有限公司 家庭互联网业务授权方法及服务器
CN107070667B (zh) * 2017-06-07 2020-08-04 国民认证科技(北京)有限公司 身份认证方法
CN109962781B (zh) * 2017-12-26 2022-05-10 浙江宇视科技有限公司 一种数字证书分发装置
CN110879879B (zh) * 2018-09-05 2023-08-22 航天信息股份有限公司 物联网身份认证方法、装置、电子设备、系统及存储介质
CN110635900B (zh) * 2019-09-10 2022-05-20 北京中电华大电子设计有限责任公司 一种适用于物联网系统的密钥管理方法及系统
CN111556064B (zh) * 2020-05-06 2022-03-11 广东纬德信息科技股份有限公司 基于电力网关的密钥管理方法、装置、介质及终端设备
CN112258170A (zh) * 2020-11-17 2021-01-22 深圳华数云计算技术有限公司 基于pki的并行签名系统和方法
CN113472783B (zh) * 2021-06-30 2023-04-07 杭州云象网络技术有限公司 区块链密码证书服务方法、系统、存储介质及装置
CN113890778B (zh) * 2021-11-04 2023-08-25 深圳海智创科技有限公司 一种基于局域网的智能家居认证及加密方法及系统
CN114301597B (zh) * 2021-12-13 2024-02-09 零信技术(深圳)有限公司 密钥验证方法、设备及可读存储介质
CN114428947A (zh) * 2021-12-16 2022-05-03 北京握奇数据股份有限公司 一种USBKey设备生产过程批量灌装其设备证书的方法及系统
CN114499851B (zh) * 2022-01-30 2023-05-26 重庆长安汽车股份有限公司 一种基于端云一体化实现安全灌装根密钥的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4465353B2 (ja) * 2004-06-07 2010-05-19 日本電信電話株式会社 宅内ネットワーク設定方法、ホームゲートウェイ装置、ホームゲートウェイプログラム、記録媒体
JP2006013757A (ja) * 2004-06-24 2006-01-12 Matsushita Electric Ind Co Ltd ホームネットワーク遠隔管理システム
CA2653543A1 (en) * 2006-06-09 2007-12-13 Telefonaktiebolaget L M Ericsson (Publ) Access to services in a telecommunications network
WO2008002081A1 (en) * 2006-06-29 2008-01-03 Electronics And Telecommunications Research Institute Method and apparatus for authenticating device in multi domain home network environment

Also Published As

Publication number Publication date
EP2372946B1 (en) 2019-01-16
EP2372946A4 (en) 2013-05-15
EP2372946A1 (en) 2011-10-05
WO2010072086A1 (zh) 2010-07-01
CN101771541A (zh) 2010-07-07

Similar Documents

Publication Publication Date Title
CN101771541B (zh) 一种用于家庭网关的密钥证书生成方法和系统
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US11431670B2 (en) Method for processing cloud service in cloud system, apparatus, and device
EP2095288B1 (en) Method for the secure storing of program state data in an electronic device
US20120254622A1 (en) Secure Access to Electronic Devices
CN105099673A (zh) 一种授权方法、请求授权的方法及装置
CN105516157A (zh) 基于独立加密的网络信息安全输入系统和方法
CN105933322B (zh) 插件服务获取方法、插件服务提供方法及装置
CN202696901U (zh) 基于数字证书的移动终端身份认证系统
CN112395353A (zh) 一种基于联盟链的智能电能表质量数据共享方法及系统
WO2023005838A1 (zh) 数据共享方法和电子设备
CN113515756B (zh) 基于区块链的高可信数字身份管理方法及系统
CN112070516A (zh) 产品的溯源方法、装置和区块链系统
CN109120611B (zh) 用于地址生成服务器的用户认证方法、设备、系统及介质
CN104125230A (zh) 一种短信认证服务系统以及认证方法
CN101305542A (zh) 一种数字证书与密钥下载方法
CN103024735B (zh) 无卡终端的业务访问方法及设备
CN106060073A (zh) 信道密钥协商方法
CN102299928A (zh) 一种网络终端业务认证方法及装置
CN114154181A (zh) 基于分布式存储的隐私计算方法
CN115150109A (zh) 认证方法、装置及相关设备
CN112927026A (zh) 优惠券的处理方法、装置、电子设备及计算机存储介质
WO2023174350A1 (zh) 身份认证方法、装置、设备及存储介质
CN116743850B (zh) 基于物联网平台的设备自发现方法、装置、计算机设备和存储介质
CN113784354B (zh) 基于网关的请求转换方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121128

Termination date: 20191226

CF01 Termination of patent right due to non-payment of annual fee