CN103888422B - 安全证书更新方法、客户端、服务器 - Google Patents
安全证书更新方法、客户端、服务器 Download PDFInfo
- Publication number
- CN103888422B CN103888422B CN201210560374.XA CN201210560374A CN103888422B CN 103888422 B CN103888422 B CN 103888422B CN 201210560374 A CN201210560374 A CN 201210560374A CN 103888422 B CN103888422 B CN 103888422B
- Authority
- CN
- China
- Prior art keywords
- certificate
- client
- server
- update
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种安全证书更新方法,所述方法包括:客户端在与服务器建立连接后,在需要进行证书更新时,接收服务器发送的证书更新通知;接收到所述证书更新通知之后,向所述服务器发送身份标识信息;接收所述服务器在确定所述客户端有资格进行证书更新时发送的证书更新命令,接收到所述证书征信命令后,生成包括安全证书预备文件的证书签名请求;将所述证书签名请求发送给所述服务器,客户端接收所述服务器发送的所述安全证书文件。本发明实施例提供的安全证书更新方法,能够避免人工对客户端进行手工维护造成的成本,提高对远程客户端的维护效率。
Description
技术领域
本发明涉及互联网领域,具体涉及一种安全证书更新方法、客户端、服务器。
背景技术
证书是一种保护数据传输手段,在金融、通信等领域应用广泛。现在技术中的证书颁发和维护基本参照公钥基础设施(Public Key Infrastructure,PKI)规范,使用USB key等传递方式进行证书的传递,在需要进行更新时,往往需要人工参与。
但是,对于家庭仪表(例如,煤气表、电表)设备等需要进行远程控制的客户端,通过互联网连接到远端的服务器对这些客户端进行智能控制,执行抄表,读数、计费等操作。为了数据安全,服务器通常会给所述客户端进行证书安装,达到对传输的数据的安全控制。但是,安全证书往往需要定期更新,以实现对更高的安全性能,然而,对于仪表类客户端,在首次安装完成之后,如果由人工进行证书更新和升级工作,将耗费很高的人力成本,且操作不方便。
发明内容
本发明的目的是提供一种安全证书更新方法、客户端、服务器,实现在不需要人工参与的情况下对远程客户端进行证书更新,实现服务器对客户端的安全控制。
为实现上述目的,本发明实施例第一方面提供了一种安全证书更新方法, 所述方法包括:
客户端在与服务器建立连接后,在需要进行证书更新时,接收所述服务器发送的证书更新通知;
所述客户端根据所述证书更新通知向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
当所述客户端通过所述证书更新资格验证时,所述客户端接收所述服务器发送的证书更新命令;
所述客户端根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述客户端将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述客户端接收并保存所述服务器签发的所述安全证书。
第二方面,本发明实施例提供了一种安全证书更新方法,所述方法包括:
服务器在与客户端建立连接后,在所述客户端需要进行证书更新时,向所述客户端发送的证书更新通知;
所述服务器接收所述客户端根据所述证书更新通知发送的身份标识信息;
所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
当所述服务器确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述服务器接收所述客户端根据所述证书更新命令发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述服务器将所述安全证书发送给所述客户端。第三方面,本发明实施 例提供了一种客户端,所述客户端包括:
接收单元,用于在与服务器建立连接后,在需要进行证书更新时,接收服务器发送的证书更新通知;
发送单元,用于在接收到所述证书更新通知之后,向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
所述接收单元,还用于当所述客户端通过所述证书更新资格验证时,接收所述服务器发送的证书更新命令;
生成单元,用于根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述发送单元,还用于将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
证书更新单元,用于接收并保存所述服务器签发的所述安全证书。
第四方面,本发明实施例提供了一种服务器,所述服务器包括:
发送模块,用于在与客户端建立连接后,在所述客户端需要进行证书更新时,向所述客户端发送的证书更新通知;
接收模块,用于接收所述客户端根据所述证书更新通知发送的身份标识信息;
判断模块,用于依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
所述发送模块,还用于在确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述接收模块,还用于接收所述客户端根据所述证书更新命令发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
签发模块,用于对所述安全证书预备文件进行签名,生成安全证书;
所述发送模块,还用于将所述安全证书发送给客户端。
本发明实施例提供的安全证书更新方法,在客户端与远程服务器建立连接后,服务器对客户端的现有证书进行检测,在客户端需要进行证书更新的情况下,接收服务器发送的证书发送证书更新通知之后,生成安全证书预备文件,交给服务器进行签名,并接收服务器签名后的正式证书文件,在客户端更新,以执行后续的安全控制过程,能够避免人工对客户端进行手工维护造成的成本,提高对远程客户端的维护效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的应用场景图;
图2为本发明实施例提供的一种安全证书更新方法的流程图;
图3是本发明实施例提供的另一种安全证书更新方法的流程图;
图4是本发明实施例提供的又一种安全证书更新方法的信令交互示意图;
图5A是本发明实施例提供的一种客户端的结构图;
图5B是本发明实施例提供的又一种客户端的结构图;
图6A是本发明实施例提供的一种服务器的结构图;
图6B是本发明实施例提供的又一种服务器的结构图;
图7是本发明实施例提供的另一种客户端的结构图;
图8是本发明实施例提供的又一种服务器的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然, 所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
图1为本发明实施例的应用场景图,如图1所示,为了能够对家庭仪表等客户端进行智能控制和智能数据采集,多个客户端10可以通过互联网直接连接中心服务器20。通过中心服务器对进行客户端的抄表、控制。为了保证数据传输的安全性,可选用安全套接层(Secure Sockets Layer,SSL)协议进行数据传输,而为了保证双方身份的可靠,仪表可以使用安全证书进行身份验证。但是,随着软件升级、系统更新等,仪表设备上的安全证书需要更新,数据的传输可以使用GPRS或者3G或者宽带等移动网络,本例中使用GPRS作为例子描述
如图2所示,本发明实施例提供一种安全证书更新方法,在该实施例中,执行动作的主体为远程的客户端,例如家庭仪表等设备。由图2可见,所述方法包括:
201,在与服务器建立连接后,在需要进行证书更新时,接收服务器发送的证书更新通知;
具体而言,客户端可以通过家庭互联网或者移动网络,与服务器进行连接。在连接时,使用现有的安全证书与服务器进行校验,所述服务器例如可以是安全接入网关(Security Access Gateway,SAG),客户端与所述服务器建立的连接为安全传输层协议(Transport Layer Security,TLS)连接。
更进一步的,所述客户端只有在被唤醒的情况下,才会主动与服务器取得连接。客户端可以是被设置在客户端的定时器唤醒,或者是被服务器发送的短消息唤醒,不多赘述。
具体的,所述客户端需要使用现有的安全证书与服务器进行相互校验,在验证过程中,服务器如果发现所述安全证书需要更新,则向所述客户端通过GPRS短信或者其他报文发送证书更新通知。更具体的,所述客户端上安 装有服务器下发的安全证书,但该安全证书通常设定有有效期限或版本号,因此,在所述安全证书有效期满或者是版本号过低的情况下,需要对安全证书进行升级、更换或者更新等操作。
202,所述客户端根据所述证书更新通知向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
具体的,由于服务器可能只对安全证书进行验证,根据安全证书的属性判断安全证书是否需要更新,所述的属性例如可以是有效期、版本号等信息。因此,虽然根据旧的安全证书的属性判断需要进行安全证书更新,但是可能所述客户端并不具备安全证书更新的资格,例如该客户端是否签约、是否已经续费等情况,都可能影响该客户端的安全证书资格。因此,在接收到服务器发送的证书更新通知之后,客户端将自身的身份标识信息发送给服务器。所述身份标识信息包括但不限于:客户端所属的公司名称、客户端的ID、序列号等信息。服务器可以根据该些信息对客户端的安全证书更新资格进行验证,在确定所述客户端具备安全证书的更新资格之后,向所述客户端发送证书更新命令。
客户端在生成包含安全证书预备文件的证书签名请求之前,还需要向服务器发送身份标识信息,由服务器对客户端进行证书更新资格的验证,在验证通过后,才执行证书更新的动作,能够进一步提高安全性能。
203,当所述客户端通过所述证书更新资格验证时,所述客户端接收所述服务器发送的证书更新命令;
具体而言,客户端只有在具备安全证书更新资格时,才会收到服务器发送的证书更新命令,在接收到服务器发送的证书更新命令之后,执行步骤204-206。
204,所述客户端根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
具体而言,所述客户端在接收到服务器发送的证书更新通知之后,生成私钥,并根据私钥进一步生成包含有安全证书预备文件的证书签名请求(Certificate signrequest,CSR)。
205,所述客户端将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
具体而言,客户端进一步通过无线网将生成的携带有安全证书预备文件的CSR发送给服务器,服务器对所述安全证书预备文件进行签名,生成新的正式安全证书文件,将此签名后的正式安全证书文件发送给客户端。
206,所述客户端接收并保存所述服务器签发的所述安全证书。
具体而言,客户端接收并保存服务器下发的新的安全证书文件,对自身的证书文件进行更新,等待下次连接服务器时,作为身份认证之用。
通过上述实施例,在客户端与远程服务器建立连接后,服务器对客户端的现有证书进行检测,在客户端需要进行证书更新的情况下,接收服务器发送的证书发送证书更新通知之后,生成安全证书预备文件,交给服务器进行签名,并接收服务器签名后的正式证书文件,在客户端进行更新,以执行后续的安全控制过程,能够避免人工对客户端的安全证书进行手工维护造成的成本,提高对远程客户端的维护效率。可以在不需要人工干预的情况下,实现设备上安全证书的更新或升级过程。
图3是本发明实施例提供的一种安全证书更新方法的流程图,在该实施例中安全控制的执行主体可以为服务器,所述方法包括:
301,在与客户端建立连接后,在所述客户端需要进行证书更新时,向所述客户端发送的证书更新通知;
具体而言,服务器可以通过家庭互联网或者移动网络,与客户端进行连接。在连接时,使用客户端现有的安全证书对客户端进行校验,所述服务器例如可以是安全接入网关(Security Access Gateway,SAG)服务器,客户端与所述服务器建立的连接为安全传输层协议(Transport Layer Security,TLS) 连接。
更进一步的,所述客户端只有在被唤醒的情况下,才会主动与服务器取得连接。因此,服务器可以通过短信或广播消息将客户端唤醒。具体的,所述客户端上安装有服务器下发的安全证书,但该安全证书通常设定有有效期限或版本号,因此,在所述安全证书有效期满或者是版本号过低的情况下,需要对安全证书进行升级、更换或者更新等操作。所述客户端需要使用现有的安全证书与服务器进行相互校验,在校验过程中,服务器通过现有安全证书的属性,例如版本号、使用期限等信息判断所述客户端上的安全证书是否需要更新,如果发现所述安全证书需要更新,则向所述客户端通过GPRS短信或者其他报文发送证书更新通知。
302,所述服务器接收所述客户端根据所述证书更新通知发送的身份标识信息;
具体而言,客户端发送的身份标识信息包括但不限定于客户端仪表所属的公司信息、ID、序列号等信息。
303,所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
具体而言,服务器根据客户端发送的身份标识信息对客户端进行身份验证,判断客户端具备安全证书更新的资格的情况向,才向客户端发送证书更新命令。
304,当所述服务器确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
具体而言,服务器可以根据客户端发送的身份标识信息,在数据库中查找相应的数据,判断客户端是否具备安全证书更新的资格,在客户端具有证书更新资格时,向所述客户端发送证书更新命令。
305,所述服务器接收所述客户端在接收到所述证书更新命令后发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
具体而言,客户端在接收到服务器发送的证书更新通知之后,生成包含安全证书预备文件的证书签名请求(Certificate sign request,CSR),服务器通过无线通信方式进行接收。
306,所述服务器对所述安全证书预备文件进行签名,生成安全证书;
具体而言,服务器在接收到所述证书签名请求之后,在其中获取安全证书预备文件,并对安全证书预备文件中的信息进行核实,核实之后,对安全证书预备文件进行签名,生成正式的安全证书。
307,所述服务器将所述安全证书发送给所述客户端。
具体的,服务器在生成正式的安全证书之后,将所述安全证书文件发送给客户端,在客户端更新之后,下次与客户端进行连接和数据读取时,作为身份验证的安全标识。
通过上述实施例,使得服务器能够通过远程方式控制客户端仪表设备的安全证书更新,不需要人工进行维护,提高了对家庭仪表等设备维护的效率和安全性能。此外,服务器对客户端进行证书更新资格的验证,在验证通过后,才执行证书更新的动作,能够进一步提高安全性能。
如图4所示,其为本发明实施例提供的安全证书更新方法的交互状态参考图,由图可见,所述方法包括:
S401,服务器与客户端建立连接,使用现有的安全证书进行校验;
具体而言,客户端可以通过家庭互联网或者移动网络,与服务器进行连接。在连接时,使用现有的安全证书与服务器进行校验,所述服务器例如可以是安全接入网关(Security Access Gateway,SAG),客户端与所述服务器建立的连接为安全传输层协议(Transport Layer Security,TLS)连接。
更进一步的,所述客户端只有在被唤醒的情况下,才会主动与服务器取得连接。客户端可以是被设置在客户端的定时器唤醒,或者是被服务器发送的短消息唤醒,不多赘述。
更具体的,所述客户端上安装有服务器下发的安全证书,但该安全证书 通常设定有有效期限或版本号,因此,在所述安全证书有效期满或者是版本号过低的情况下,需要对安全证书进行升级、更换或者更新等操作。
所述客户端需要使用现有的安全证书与服务器进行相互校验,在校验过程中,服务器通过现有安全证书的属性,例如版本号、使用期限等信息判断所述客户端上的安全证书是否需要更新,如果发现所述安全证书需要更新,则向所述客户端通过通用分组无线服务技术(General Packet Radio Service,GPRS)短信或者其他报文发送证书更新通知。
S402,在所述客户端需要进行证书更新时,服务器向所述客户端发送的证书更新通知;
S403,客户端在接收到所述证书更新通知之后,向所述服务器发送身份标识信息;
具体的,由于在步骤401中服务器可能只对客户端现有的安全证书进行验证,根据安全证书的属性判断安全证书是否需要更新,所述的属性例如可以是有效期、版本号等信息。因此,虽然根据旧的安全证书的属性判断需要进行安全证书更新,但是可能所述客户端并不具备安全证书更新的资格,例如该客户端是否签约、是否已经续费等情况,都可能影响该客户端的安全证书资格。因此,在接收到服务器发送的证书更新通知之后,客户端可以将自身的身份标识信息发送给服务器。所述身份标识信息包括但不限于:客户端所属的公司名称、客户端的ID、序列号等信息。服务器可以根据该些信息对客户端的安全证书更新资格进行验证,在确定所述客户端具备安全证书的更新资格之后,向所述客户端发送证书更新命令。
本步骤中,由于客户端在生成包含安全证书预备文件的证书签名请求之前,还需要向服务器发送身份标识信息,由服务器对客户端进行证书更新资格的验证,在验证通过后,才执行证书更新的动作,因此,能够进一步提高安全性能。
S404,服务器依据所述身份标识信息对所述客户端进行证书更新资格验 证,确定所述客户端是否有资格进行证书更新;
具体而言,服务器可以对客户端所属的公司名称、客户端的ID、序列号等信息进行证书更新资格验证,判断客户端是否具备安全证书更新的资格。
S405,服务器在确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
具体而言,服务器根据客户端发送的身份标识信息对客户端进行身份验证,判断客户端具备安全证书更新的资格的情况下,才向客户端发送证书更新命令。
S406,客户端根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
具体而言,所述客户端在接收到服务器发送的证书更新通知之后,生成私钥,并根据私钥进一步生成包含有安全证书预备文件的证书签名请求(Certificate signrequest,CSR)。
S407,客户端将所述证书签名请求发送给所述服务器;
具体而言,客户端进一步通过无线网将生成的携带有安全证书预备文件的CSR发送给服务器,服务器对所述安全证书预备文件进行签名,生成新的正式安全证书文件,将此签名后的正式安全证书文件发送给客户端。
S408,服务器对所述安全证书预备文件进行签名,生成安全证书文件;
具体而言,服务器在接收到所述证书签名请求之后,在其中获取安全证书预备文件,并对安全证书预备文件中的信息进行核实,核实之后,对安全证书预备文件进行签名,生成正式的安全证书文件。
S409,服务器将所述安全证书文件发送给客户端;
具体的,服务器在生成正式的安全证书文件之后,将所述安全证书文件发送给客户端,在客户端更新之后,下次与客户端进行连接和数据读取时,作为身份验证的安全标识。
最后,客户端接收服务器下发的新的安全证书文件,并将其写入客户端 设备,对自身的安全证书文件进行更新,等待下次连接服务器时,作为身份认证之用。
本发明实施例所述的安全证书更新方法,在客户端与远程服务器建立连接后,服务器对客户端的现有证书进行检测,在客户端需要进行证书更新的情况下,接收服务器发送的证书发送证书更新通知之后,生成安全证书预备文件,交给服务器进行签名,并接收并保存服务器签发的正式安全证书,从而能够避免人工对客户端的安全证书进行手工维护造成的成本,提高对远程客户端的维护效率。可以在不需要人工干预的情况下,实现设备上安全证书的更新或升级过程。
图4所示的交互图中的各个步骤可参考前述实施例中的,相应描述,不多赘述。
如图5A所示,本发明实施例提供了一种客户端,所述客户端可以是家庭仪表设备,其包括:
接收单元501,用于在与服务器建立连接后,在需要进行证书更新时,接收服务器发送的证书更新通知;
发送单元502,用于在接收到所述证书更新通知之后,向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
所述接收单元501,还用于当所述客户端通过所述证书更新资格验证时,接收所述服务器发送的证书更新命令;
生成单元503,用于根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述发送单元502,还用于将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
证书更新单元504,用于接收并保存所述服务器签发的所述安全证书。
如图5B所示,在一种可能的实施方式中,所述客户端在图5A所示实施 例的基础上还可以包括:
连接建立单元505,用于根据服务器发送的激活短信与所述服务器建立安全传输层连接;
校验单元506,用于通过所述安全传输层连接使用保存的安全证书对所述服务器进行校验;
具体的,所述校验单元506可以通过所述安全传输层连接使用客户端当前保存的安全证书对所述服务器的安全证书进行校验,以便验证服务器的身份是否合法,提高系统的安全性。
所述接收单元501,具体用于当所述校验单元506对所述服务器校验通过后,在需要进行证书更新时,通过所述安全传输层连接接收所述服务器发送的证书更新通知。
本发明实施例所述的客户端,在接收服务器发送的证书更新通知后,能够向所述服务器发送身份标识信息,当所述服务器根据所述客户端的身份标识信息对所述客户端进行验证后,根据所述服务器发送的证书更新命令,自动向所述服务器发送证书签名请求,并接收和保存所述服务器根据所述证书签名请求签发的安全证书,以完成对客户端自身存储的安全证书的更新或升级,能够避免人工对客户端的安全证书进行手工维护造成的成本,提高对远程客户端的维护效率。可以在不需要人工干预的情况下,实现设备上安全证书的更新或升级过程。相应的,如图6A所示,本发明实施例提供了一种服务器,所述服务器包括:
发送模块601,用于在与客户端建立连接后,在所述客户端需要进行证书更新时,向所述客户端发送的证书更新通知;
接收模块602,用于接收所述客户端根据所述证书更新通知发送的身份标识信息;
判断模块603,用于依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
所述发送模块601,还用于在确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述接收模块602,还用于接收所述客户端根据所述证书更新命令发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
签发模块604,用于对所述安全证书预备文件进行签名,生成安全证书文件;
所述发送模块601,还用于将所述安全证书文件发送给客户端。
如图6B所示,在一种可能的实施方式中,所述服务器还包括:
激活模块605,用于向所述客户端发送激活短信,以激活所述客户端与所述服务器建立安全传输层连接;
校验模块606,用于通过所述安全传输层连接对所述客户端的安全证书进行校验;
具体的,服务器的校验模块606可以通过所述安全传输层连接对所述客户端当前保存的安全证书进行校验,以判断所述客户端的身份是否合法以及所述客户端当前保存的安全证书是否需要更新。
所述发送模块601,具体用于当所述校验模块对所述客户端的安全证书进行校验过程中发现所述客户端的安全证书需要进行证书更新时,通过所述安全传输层连接向所述客户端发送的证书更新通知。
所述服务器可以用来执行图3所述的方法,具体表现形式可根据具体应用设置。
本发明实施例提供的服务器,在与客户端建立连接后,能够自动检测客户端存储的安全证书是否需要升级,并且在客户端的安全证书需要升级时,能够主动向所述客户端发送证书更新命令,并根据所述客户端发送的证书更新请求向所述客户端签发新的安全证书,从而能够避免人工对客户端的安全证书进行手工维护造成的成本,提高对远程客户端的维护效率。可以在不需要人工干预的情况下,实现设备上安全证书的更新或升级过程。
如图7所示,本发明实施例还提供了一种客户端,所述客户端可以是家庭仪表等设备。由图7可见,本实施例包括网络接口71、处理器72和存储器73。系统总线74用于连接网络接口71、处理器72和存储器73。
网络接口71用于与各种服务器通信。
存储器73可以是永久存储器,例如硬盘驱动器和闪存,存储器73中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块;设备驱动程序可以是网络和接口驱动程序。
在启动时,这些软件模块被加载到存储器73中,处理器72访问软件模块并执行如下指令:
客户端在与服务器建立连接后,在需要进行证书更新时,接收所述服务器发送的证书更新通知;
所述客户端接收到所述证书更新通知之后,向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
当所述客户端通过所述证书更新资格验证时,所述客户端接收所述服务器发送的证书更新命令。
所述客户端根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述客户端将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述客户端接收并保存所述服务器签发的所述安全证书。
所述客户端可以用来执行图2所述的方法,具体表现形式可根据具体应用设置。
如图8示,本发明实施例还提供了一种服务器,由图8可见,本实施例包括网络接口81、处理器82和存储器13。系统总线84用于连接网络接口81、处理器82和存储器83。
网络接口81用于与各种客户端通信,其中,所述客户端可以是家庭仪表等设备。
存储器83可以是永久存储器,例如硬盘驱动器和闪存,存储器83中具有软件模块和设备驱动程序。软件模块能够执行本发明上述方法的各种功能模块;设备驱动程序可以是网络和接口驱动程序。
在启动时,这些软件模块被加载到存储器83中,然后被处理器82访问软件模块并执行如下指令:
服务器在与客户端建立连接后,在所述客户端需要进行证书更新时,向所述客户端发送的证书更新通知;
所述服务器接收所述客户端根据所述证书更新通知发送的身份标识信息;
所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
当所述服务器确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述服务器接收所述客户端在接收到所述证书更新命令后发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述服务器将所述安全证书发送给所述客户端。
所述服务器可以用来执行图3所述的方法,具体表现形式可根据具体应用设置。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种安全证书更新方法,其特征在于,所述方法包括:
客户端在与服务器建立连接后,使用现有的安全证书与所述服务器进行相互校验;
接收所述服务器发送的证书更新通知,所述证书更新通知是所述服务器在所述相互校验过程中,确定所述现有的安全证书需要更新时发送的;
所述客户端根据所述证书更新通知向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;
其中,所述身份标识信息包括下述一项或多项:所述客户端所属的公司名称、所述客户端的ID;
当所述客户端通过所述证书更新资格验证时,所述客户端接收所述服务器发送的证书更新命令;
所述客户端根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述客户端将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述客户端接收并保存所述服务器签发的所述安全证书。
2.如权利要求1所述的方法,其特征在于,所述连接为安全传输层连接,所述方法还包括:
客户端接收服务器发送的激活短信,并根据所述激活短信与所述服务器建立所述安全传输层连接。
3.如权利要求1或2所述的方法,其特征在于,所述连接为安全传输层连接,所述方法还包括:
所述客户端通过所述安全传输层连接使用保存的安全证书对所述服务器进行校验;
所述确定所述现有的安全证书需要更新时,接收所述服务器发送的证书更新通知包括:
当所述客户端对所述服务器校验通过后,在需要进行证书更新时,通过所述安全传输层连接接收服务器发送的证书更新通知。
4.一种安全证书更新方法,其特征在于,所述方法包括:
服务器在与客户端建立连接后,所述客户端使用现有的安全证书与所述服务器进行相互校验;
向所述客户端发送的证书更新通知,所述证书更新通知是所述服务器在所述相互校验过程中,确定所述现有的安全证书需要更新时发送的;
所述服务器接收所述客户端根据所述证书更新通知发送的身份标识信息;
其中,所述身份标识信息包括下述一项或多项:所述客户端所属的公司名称、所述客户端的ID;
所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
当所述服务器确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述服务器接收所述客户端根据所述证书更新命令发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述服务器对所述安全证书预备文件进行签名,生成安全证书;
所述服务器将所述安全证书发送给所述客户端。
5.如权利要求4所述的方法,其特征在于,所述连接为安全传输层连接,所述方法还包括:
所述服务器向所述客户端发送激活短信,以激活所述客户端与所述服务器建立所述安全传输层连接。
6.如权利要求4或5所述的方法,其特征在于,所述连接为安全传输层连接,所述方法还包括:
所述服务器通过所述安全传输层连接对所述客户端的安全证书进行校验;
所述确定所述现有的安全证书需要更新时,向所述客户端发送的证书更新通知,具体包括:
当所述服务器在对所述客户端的安全证书进行校验过程中发现所述客户端的安全证书需要进行更新时,通过所述安全传输层连接向所述客户端发送的证书更新通知。
7.一种客户端,其特征在于,包括:
接收单元,用于在与服务器建立连接后,使用现有的安全证书与所述服务器进行相互校验;接收服务器发送的证书更新通知,所述证书更新通知是所述服务器在所述相互校验过程中,确定所述现有的安全证书需要更新时发送的;
发送单元,用于在接收到所述证书更新通知之后,向所述服务器发送身份标识信息,以便于所述服务器依据所述身份标识信息对所述客户端进行证书更新资格验证;其中,所述身份标识信息包括下述一项或多项:所述客户端所属的公司名称、所述客户端的ID;
所述接收单元,还用于当所述客户端通过所述证书更新资格验证时,接收所述服务器发送的证书更新命令;
生成单元,用于根据所述证书更新命令生成证书签名请求,所述证书签名请求中包括安全证书预备文件;
所述发送单元,还用于将所述证书签名请求发送给所述服务器,以便于所述服务器对所述安全证书预备文件进行签名,生成安全证书;
证书更新单元,用于接收并保存所述服务器签发的所述安全证书。
8.如权利要求7所述的客户端,其特征在于,还包括:
连接建立单元,用于根据服务器发送的激活短信与所述服务器建立安全传输层连接;
校验单元,用于通过所述安全传输层连接使用保存的安全证书对所述服务器进行校验;
所述接收单元,具体用于当所述校验单元对所述服务器校验通过后,在需要进行证书更新时,通过所述安全传输层连接接收所述服务器发送的证书更新通知。
9.一种服务器,其特征在于,包括:
发送模块,用于在与客户端建立连接后,所述客户端使用现有的安全证书与所述服务器进行相互校验;向所述客户端发送证书更新通知,所述证书更新通知是所述服务器在所述相互校验过程中,确定所述现有的安全证书需要更新时发送的;
接收模块,用于接收所述客户端根据所述证书更新通知发送的身份标识信息;其中,所述身份标识信息包括下述一项或多项:所述客户端所属的公司名称、所述客户端的ID;
判断模块,用于依据所述身份标识信息对所述客户端进行证书更新资格验证,确定所述客户端是否有资格进行证书更新;
所述发送模块,还用于在确定所述客户端有资格进行证书更新时,向所述客户端发送证书更新命令;
所述接收模块,还用于接收所述客户端根据所述证书更新命令发送的证书签名请求,所述证书签名请求中包括安全证书预备文件;
签发模块,用于对所述安全证书预备文件进行签名,生成安全证书;
所述发送模块,还用于将所述安全证书发送给客户端。
10.如权利要求9所述的服务器,其特征在于,还包括:
激活模块,用于向所述客户端发送激活短信,以激活所述客户端与所述服务器建立安全传输层连接;
校验模块,用于通过所述安全传输层连接对所述客户端的安全证书进行校验;
所述发送模块,具体用于当所述校验模块在对所述客户端的安全证书进行校验过程中发现所述客户端的安全证书需要进行更新时,通过所述安全传输层连接向所述客户端发送证书更新通知。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560374.XA CN103888422B (zh) | 2012-12-21 | 2012-12-21 | 安全证书更新方法、客户端、服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560374.XA CN103888422B (zh) | 2012-12-21 | 2012-12-21 | 安全证书更新方法、客户端、服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888422A CN103888422A (zh) | 2014-06-25 |
| CN103888422B true CN103888422B (zh) | 2017-10-24 |
Family
ID=50957144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210560374.XA Active CN103888422B (zh) | 2012-12-21 | 2012-12-21 | 安全证书更新方法、客户端、服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103888422B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016033764A1 (en) * | 2014-09-03 | 2016-03-10 | Telefonaktiebolaget L M Ericsson (Publ) | Establishment of a secure connection for a communication session |
| EP3291504B1 (en) | 2016-08-30 | 2020-03-11 | Wacom Co., Ltd. | Authentication and secure transmission of data between signature devices and host computers using transport layer security |
| CN106130740B (zh) * | 2016-08-31 | 2019-05-24 | 北京信安世纪科技股份有限公司 | 数字证书同步方法、数字签名服务器及数字证书同步系统 |
| CN107705198A (zh) * | 2017-03-24 | 2018-02-16 | 广东网金控股股份有限公司 | 一种安全发放u盾的方法及系统 |
| CN107222479A (zh) * | 2017-05-27 | 2017-09-29 | 武汉斗鱼网络科技有限公司 | 通信安全加强方法、装置、通信方法及用户终端 |
| CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及系统 |
| CN109905242A (zh) * | 2017-12-07 | 2019-06-18 | 航天信息股份有限公司 | 数字证书的存储、更新、验证方法及装置 |
| CN108229142B (zh) * | 2017-12-28 | 2020-12-15 | 中国人民银行数字货币研究所 | 一种基于数字货币钱包终端对钱包进行升级的方法和装置 |
| CN110825400B (zh) * | 2018-08-14 | 2024-04-23 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN110071911A (zh) * | 2019-03-20 | 2019-07-30 | 北京龙鼎源科技股份有限公司 | 信息传输方法及装置、证书更新的方法及装置 |
| CN110610075A (zh) * | 2019-08-22 | 2019-12-24 | 苏州浪潮智能科技有限公司 | 一种双因子证书管理系统及方法 |
| CN111212046B (zh) * | 2019-12-26 | 2022-06-17 | 航天信息股份有限公司 | 远程变更税控设备税务数字证书的方法和电子设备 |
| CN111447593B (zh) * | 2020-03-27 | 2022-09-16 | 四川爱联科技股份有限公司 | 基于5g网络的物联网模块软件定制系统 |
| CN112073433B (zh) * | 2020-09-25 | 2022-09-20 | 微医云(杭州)控股有限公司 | 一种ssl证书更新方法、装置、电子设备及存储介质 |
| CN112422551B (zh) * | 2020-11-16 | 2022-08-23 | 微医云(杭州)控股有限公司 | 一种ssl证书更新方法、装置、电子设备及存储介质 |
| CN113873027B (zh) * | 2021-09-24 | 2024-02-27 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100558035C (zh) * | 2006-08-03 | 2009-11-04 | 西安电子科技大学 | 一种双向认证方法及系统 |
| CN101309146B (zh) * | 2008-06-13 | 2011-04-20 | 南京邮电大学 | 一种可自更新代理证书的网格安全系统的实现方法 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
-
2012
- 2012-12-21 CN CN201210560374.XA patent/CN103888422B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN103888422A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103888422B (zh) | 安全证书更新方法、客户端、服务器 | |
| CN103533392B (zh) | 一种账号登录方法、电子设备及系统 | |
| CN101753312B (zh) | 一种电网设备的安全认证方法、装置及一种负控终端 | |
| CN106341372A (zh) | 终端的认证处理、认证方法及装置、系统 | |
| CN105933888B (zh) | 一种基于NFC的eSIM卡烧录方法及装置 | |
| CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
| CN110381075B (zh) | 基于区块链的设备身份认证方法和装置 | |
| CN102231729A (zh) | 支持多种ca身份认证的方法 | |
| CN103647788B (zh) | 一种智能电网中的节点安全认证方法 | |
| CN106341233A (zh) | 客户端登录服务器端的鉴权方法、装置、系统及电子设备 | |
| CN101588573B (zh) | 安全验证方法、系统及移动终端、服务器 | |
| CN109039654A (zh) | Tbox身份认证方法及终端设备 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN105939194A (zh) | 一种电子密钥设备私钥的备份方法和系统 | |
| CN109729000A (zh) | 一种即时通信方法及装置 | |
| CN101452631B (zh) | 一种用电管理终端的测试方法及系统 | |
| CN107248995A (zh) | 账号验证方法及装置 | |
| CN109472536A (zh) | 基于区块链的快递柜收取件方法 | |
| CN109067550A (zh) | 基于cpk标识密钥的双向认证系统及双向认证方法 | |
| CN109040255A (zh) | 物联网设备接入方法、装置、设备及存储介质 | |
| CN107819766A (zh) | 安全认证方法、系统及计算机可读存储介质 | |
| CN102932338A (zh) | 一种安全的射频识别系统的网络接入系统及方法 | |
| CN102801728B (zh) | 客户端自动登录的管理方法及系统 | |
| CN110224898A (zh) | 配电终端的规约加密测试方法、装置、设备及存储介质 | |
| CN106302539A (zh) | 一种嵌入式web安全认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230922 Address after: Room 518, 5th Floor, Building A18, No. 9 Jiusheng Road, Shangcheng District, Hangzhou City, Zhejiang Province, 310000 Patentee after: HANGZHOU PINGZHI INFORMATION TECHNOLOGY CO.,LTD. Address before: 215010 room 704, building 5, No. 556, Changjiang Road, high tech Zone, Suzhou, Jiangsu Patentee before: SUZHOU YUDESHUI ELECTRICAL TECHNOLOGY Co.,Ltd. Effective date of registration: 20230922 Address after: 215010 room 704, building 5, No. 556, Changjiang Road, high tech Zone, Suzhou, Jiangsu Patentee after: SUZHOU YUDESHUI ELECTRICAL TECHNOLOGY Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |