CN107743067A - 数字证书的颁发方法、系统、终端以及存储介质 - Google Patents
数字证书的颁发方法、系统、终端以及存储介质 Download PDFInfo
- Publication number
- CN107743067A CN107743067A CN201711246384.5A CN201711246384A CN107743067A CN 107743067 A CN107743067 A CN 107743067A CN 201711246384 A CN201711246384 A CN 201711246384A CN 107743067 A CN107743067 A CN 107743067A
- Authority
- CN
- China
- Prior art keywords
- shield
- signed
- data
- cloud server
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数字证书的颁发方法,包括以下步骤:将待签名数据发送至与终端连接的U盾,以供所述U盾根据预存的U盾私钥对所述待签名数据进行签名,得到U盾签名密文并返回,其中,所述待签名数据包括所述U盾的签发认证信息以及智能联网设备公钥;根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息;将所述摘要信息发送至所述智能联网设备,以完成证书的颁发。本发明还公开了一种终端、计算机可读存储介质以及数字证书的颁发系统。本发明在离线环境中,利用云服务器授权的U盾完成智能联网设备中数字证书的颁发,减少了离线环境中数字证书颁发的复杂度,并且提高了数字证书颁发的安全性。
Description
技术领域
本发明涉及智能联网设备技术领域,尤其涉及一种数字证书的颁发方法、数字证书的颁发系统、终端以及计算机可读存储介质。
背景技术
目前,物联网的防护主要体现在对网络数据的过滤、设备通信数据的加密和身份认证三个部分,而在假冒伪劣产品泛滥的今天,身份认证尤为重要。
在智能联网设备的生产过程中,一般是由CA服务器颁发身份认证证书,然后将证书烧录到服务器中,但是如果工厂不联网,证书需要下载下来,然后通过U盘等设备拷贝到生产车间的电脑中进行Flash烧录,这在一定程度上增加了数字证书颁发的复杂性,并且存在安全风险。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种数字证书的颁发方法、数字证书的颁发系统、终端以及计算机可读存储介质,旨在离线环境中,利用云服务器授权的U盾完成智能联网设备中数字证书的颁发,减少离线环境中数字证书颁发的复杂度,并且提高数字证书颁发的安全性。
为实现上述目的,本发明提供一种数字证书的颁发方法,所述数字证书的颁发方法包括以下步骤:
将待签名数据发送至与终端连接的U盾,以供所述U盾根据预存的U盾私钥对所述待签名数据进行签名,得到U盾签名密文并返回,其中,所述待签名数据包括所述U盾的签发认证信息以及智能联网设备公钥;
根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息;
将所述摘要信息发送至所述智能联网设备,以完成证书的颁发。
优选地,所述将待签名数据发送至与终端连接的U盾的步骤之前,还包括:
读取所述U盾的签发认证信息,其中,所述签发认证信息包括待签发数据以及云服务器签名密文,所述待签发数据包括签发厂商标识、U盾公钥以及云服务器公钥;
对所述签发认证信息进行认证,在认证通过时,向所述智能联网设备发送生成密钥对请求,以在所述智能联网设备接收到所述生成密钥对请求时,生成智能联网设备密钥对并返回所述智能联网设备公钥;
在接收到所述智能联网设备公钥时,执行所述将待签名数据发送至与终端连接的U盾的步骤。
优选地,所述对所述签发认证信息进行认证的步骤包括:
利用所述云服务器公钥对所述云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。
优选地,所述将待签名数据发送至与终端连接的U盾与运算得到摘要信息的步骤之间,还包括:
将所述U盾签名密文以及所述待签名数据发送至所述智能联网设备,以供所述智能联网设备存储所述U盾签名密文以及所述待签名数据;
读取所述智能联网设备中存储的所述U盾签名密文以及所述待签名数据;
根据所述U盾公钥对所述U盾签名密文进行解密,在解密结果与所述待签名数据一致时,执行所述根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息的步骤。
优选地,所述根据所述U盾公钥对所述U盾签名密文进行解密之后,还包括:
在所述解密结果与所述待签名数据不一致时,执行所述读取所述U盾的签发认证信息的步骤。
优选地,所述读取所述U盾的签发认证信息之前,还包括:
向所述U盾发送生成密钥对请求,以供所述U盾接收到所述生成密钥对请求时,生成U盾密钥对并返回所述U盾公钥;
在接收到所述U盾公钥时,将所述待签发数据发送至云服务器,以供所述云服务器根据预存的云服务器私钥对所述待签发数据进行签名,得到所述云服务器签名密文,并将所述云服务器签名密文以及所述待签发数据作为签发认证信息返回;
在接收到所述签发认证信息时,将所述签发认证信息发送至所述U盾。
为实现上述目的,本发明还提供一种终端,所述终端包括:
存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数字证书的颁发程序,所述数字证书的颁发程序被所述处理器执行时实现上述数字证书的颁发方法的步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有数字证书的颁发程序,所述数字证书的颁发程序被处理器执行时实现上述数字证书的颁发方法的步骤。
为实现上述目的,本发明还提供一种数字证书的颁发系统,所述数字证书的颁发系统包括终端、U盾、智能联网设备以及云服务器,其中,
所述终端,用于将待签名数据发送至与终端连接的U盾,在接收到U盾返回的U盾签名密文时,根据U盾签名密文以及待签名数据,运算得到摘要信息,并将摘要信息发送至智能联网设备,以完成证书的颁发;
还用于向U盾发送生成密钥对请求,在接收到U盾返回的U盾公钥时,将待签发数据发送至云服务器,并在接收到云服务器返回的签发认证信息时,将签发认证信息发送至U盾;
所述U盾,用于在接收到终端发送的待签名数据时,根据预存的U盾私钥对待签名数据进行签名,得到U盾签名密文并返回;
还用于在接收到终端发送的生成密钥对请求时,生成U盾密钥对并返回U盾公钥;
所述智能联网设备,用于在接收到终端发送的生成密钥对请求时,生成智能联网设备密钥对并返回智能联网设备公钥;
所述云服务器,用于在接收到终端发送的待签发数据时,根据预存的云服务器私钥对待签发数据进行签名,得到云服务器签名密文,并将云服务器签名密文以及待签发数据作为签发认证信息返回。
本发明提供的数字证书的颁发方法、数字证书的颁发系统、终端以及计算机可读存储介质,将待签名数据发送至与终端连接的U盾,在接收到U盾返回的U盾签名密文时,根据U盾签名密文以及待签名数据运算得到摘要信息,并将摘要信息发送至智能联网设备,以完成证书的颁发。这样,在离线环境中,利用云服务器授权的U盾完成智能联网设备中数字证书的颁发,减少了离线环境中数字证书颁发的复杂度,并且提高了数字证书颁发的安全性。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明数字证书的颁发方法第一实施例的流程示意图;
图3为本发明数字证书的颁发方法第二实施例的流程示意图;
图4为本发明中对签发认证信息进行认证的细化流程示意图;
图5为本发明数字证书的颁发方法第四实施例和第五实施例的流程示意图;
图6为本发明数字证书的颁发方法第六实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种数字证书的颁发方法,在离线环境中,利用云服务器授权的U盾完成智能联网设备中数字证书的颁发,减少了离线环境中数字证书颁发的复杂度,并且提高了数字证书颁发的安全性。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例的终端可以是可以是PC,也可以是平板电脑、便携计算机等具有显示功能的终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及数字证书的颁发程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的数字证书的颁发程序,并执行以下操作:
将待签名数据发送至与终端连接的U盾,以供所述U盾根据预存的U盾私钥对所述待签名数据进行签名,得到U盾签名密文并返回,其中,所述待签名数据包括所述U盾的签发认证信息以及智能联网设备公钥;
根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息;
将所述摘要信息发送至所述智能联网设备,以完成证书的颁发。
进一步地,处理器1001可以调用存储器1005中存储的数字证书的颁发程序,还执行以下操作:
读取所述U盾的签发认证信息,其中,所述签发认证信息包括待签发数据以及云服务器签名密文,所述待签发数据包括签发厂商标识、U盾公钥以及云服务器公钥;
对所述签发认证信息进行认证,在认证通过时,向所述智能联网设备发送生成密钥对请求,以在所述智能联网设备接收到所述生成密钥对请求时,生成智能联网设备密钥对并返回所述智能联网设备公钥;
在接收到所述智能联网设备公钥时,执行所述将待签名数据发送至与终端连接的U盾的步骤。
进一步地,处理器1001可以调用存储器1005中存储的数字证书的颁发程序,还执行以下操作:
利用所述云服务器公钥对所述云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。
进一步地,处理器1001可以调用存储器1005中存储的数字证书的颁发程序,还执行以下操作:
将所述U盾签名密文以及所述待签名数据发送至所述智能联网设备,以供所述智能联网设备存储所述U盾签名密文以及所述待签名数据;
读取所述智能联网设备中存储的所述U盾签名密文以及所述待签名数据;
根据所述U盾公钥对所述U盾签名密文进行解密,在解密结果与所述待签名数据一致时,执行所述根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息的步骤。
进一步地,处理器1001可以调用存储器1005中存储的数字证书的颁发程序,还执行以下操作:
在所述解密结果与所述待签名数据不一致时,执行所述读取所述U盾的签发认证信息的步骤。
进一步地,处理器1001可以调用存储器1005中存储的数字证书的颁发程序,还执行以下操作:
向所述U盾发送生成密钥对请求,以供所述U盾接收到所述生成密钥对请求时,生成U盾密钥对并返回所述U盾公钥;
在接收到所述U盾公钥时,将所述待签发数据发送至云服务器,以供所述云服务器根据预存的云服务器私钥对所述待签发数据进行签名,得到所述云服务器签名密文,并将所述云服务器签名密文以及所述待签发数据作为签发认证信息返回;
在接收到所述签发认证信息时,将所述签发认证信息发送至所述U盾。
参照图2,在第一实施例中,所述数字证书的颁发方法包括:
步骤S10、将待签名数据发送至与终端连接的U盾,以供所述U盾根据预存的U盾私钥对所述待签名数据进行签名,得到U盾签名密文并返回,其中,所述待签名数据包括所述U盾的签发认证信息以及智能联网设备公钥;
本实施例中涉及的终端可以是PC,其可用于在可信的网络环境下完成云服务器私钥对U盾的签名授权,还可用于在离线环境中利用U盾私钥对智能联网设备进行签名授权。在可信的网络环境下利用云服务器私钥对U盾进行签名授权时,终端与U盾、云服务器进行通信,其中,终端与云服务器可以通过WiFi进行通信;在离线环境中利用U盾私钥对智能联网设备进行签名授权时,终端与U盾、智能联网设备进行通信,其中,终端与智能联网设备可以通过蓝牙进行通信。
本实施例中,待签名数据包括U盾的签发认证信息以及智能联网设备公钥,签发认证信息包括签发厂商标识、U盾公钥、云服务器公钥以及云服务器签名密文,其中,签发厂商标识是指云服务器的版本信息以及厂商ID。
具体地,密码体制分为三个部分:公钥、私钥以及加密解密算法,以公钥密码体制为例,其加密解密过程如下:根据公钥和加密算法对明文进行加密,得到密文;根据私钥和解密算法对密文进行解密,得到明文。需要说明的是,公钥是公开的,而私钥是保密的。公钥和私钥可以互为加解密,且一个公钥对应一个私钥,即如果用其中一个密钥加密数据,则只有对应的那个密钥才可以解密;如果用其中一个密钥可以进行解密数据,则该数据必然是对应的那个密钥进行的加密。故本实施例中,U盾私钥与U盾公钥相互对应,U盾根据预存的U盾私钥对待签名数据进行签名,得到U盾签名密文,终端在接收到U盾返回的U盾签名密文时,根据U盾公钥对U盾签名密文进行解密,在解密结果与待签名数据一致时,说明在传输过程中待签名数据未被更改,则判定待签名数据是可靠的。
在确定了待签名数据的可靠性之后,将U盾签名密文以及待签名数据发送至所述智能联网设备,以供智能联网设备存储,终端回读智能联网设备中存储的U盾签名密文以及待签名数据,并对回读的U盾签名密文以及待签名数据进行校验,在校验通过时,执行步骤S20。
步骤S20、根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息;
本实施例中,根据SHA256算法对U盾签名密文以及待签名数据进行运算,以得到摘要信息。需要说明的是,消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有相同的明文以及相同的消息摘要算法才能运算得到相同的密文。
步骤S30、将所述摘要信息发送至所述智能联网设备,以完成证书的颁发。
本实施例中,在终端运算得到摘要信息时,将摘要信息写入智能联网设备的ESAM模块,即完成离线状态下证书的颁发。其中,ESAM模块是指嵌入式安全控制模块,其实质为DIP或者SOP芯片封装的CPU卡芯片,应用于各种嵌入式终端以实现数据的安全存储、数据的加解密、终端身份的识别与认证、嵌入式软件的版权保护、DRM数字版权的管理等。
在第一实施例中,将待签名数据发送至与终端连接的U盾,在接收到U盾返回的U盾签名密文时,根据U盾签名密文以及待签名数据运算得到摘要信息,并将摘要信息发送至智能联网设备,以完成证书的颁发。这样,在离线环境中,利用云服务器授权的U盾完成智能联网设备中数字证书的颁发,减少了离线环境中数字证书颁发的复杂度,并且提高了数字证书颁发的安全性。
在第二实施例中,如图3所示,在上述图2所示的实施例基础上所述将待签名数据发送至与终端连接的U盾的步骤之前,还包括:
步骤S40、读取所述U盾的签发认证信息,其中,所述签发认证信息包括待签发数据以及云服务器签名密文,所述待签发数据包括签发厂商标识、U盾公钥以及云服务器公钥;
本实施例中,首先在安全的网络环境下完成云服务器私钥对U盾的签名授权,然后在离线状态下进行U盾私钥对智能联网设备的签名授权。在云服务器私钥对U盾的签名授权使用的终端和在离线状态下进行U盾私钥对智能联网设备的签名授权的终端可以是同一个,也可根据实际情况进行设置,本发明不做具体限定。
在离线状态下进行U盾私钥对智能联网设备的签名授权时,终端首先读取U盾中存储的签发认证信息,其中,签发认证信息包括待签发数据以及云服务器签名密文。需要说明的是,待签发数据包括签发厂商标识、U盾公钥以及云服务器公钥,签发厂商标识是指云服务器的版本信息以及厂商ID。而云服务器签名密文是在云服务器私钥对U盾的签名授权时,利用云服务器私钥对待签发数据进行签名得到的。
步骤S50、对所述签发认证信息进行认证,在认证通过时,向所述智能联网设备发送生成密钥对请求,以在所述智能联网设备接收到所述生成密钥对请求时,生成智能联网设备密钥对并返回所述智能联网设备公钥;
本实施例中,对签发认证信息进行认证的步骤为:利用云服务器公钥对云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。云服务器签名密文是云服务器私钥对待签发数据进行签名得到的,由于云服务器私钥加密的数据只有云服务器公钥可以解密,因此根据云服务器公钥与云服务器私钥之间的对应关系,利用云服务器公钥对云服务器签名密文进行解密,通过比对解密结果与待签发数据是否一致来验证待签发数据的可靠性。其中,在解密结果与待签发数据一致时,则判定待签发数据是可靠的。
在判定待签发数据的可靠性之后,向智能联网设备发送生成密钥对请求,其中,可以是生成ECC256密钥对请求。在智能联网设备接收到生成密钥对请求时,生成智能联网设备密钥对。需要说明的是,智能联网设备公钥和智能联网设备私钥可以互相加解密,即如果用智能联网设备私钥加密数据,则只有对应的智能联网设备公钥才可以解密;如果用智能联网设备公钥可以进行解密的数据,则该数据必然是对应的智能联网设备私钥进行的加密。智能联网设备返回智能联网设备公钥的目的是供终端将智能联网设备公钥和U盾的签发认证信息作为待签名数据向U盾请求签名。
步骤S60、在接收到所述智能联网设备公钥时,执行所述将待签名数据发送至与终端连接的U盾的步骤。
本实施例中,由于U盾私钥预先经过云服务器私钥签名授权,因此在离线状态下,将待签名数据发送至U盾,以请求U盾利用U盾私钥对待签名数据进行签名。
在第二实施例中,读取U盾的签发认证信息,并对签发认证信息进行认证,在认证通过时,向智能联网设备发送生成密钥对请求,在接收到智能联网设备返回的智能联网设备公钥时,执行将待签名数据发送至与终端连接的U盾的步骤。这样,保证了待签发数据的安全性和可靠性。
在第三实施例中,如图4所示,在上述图2至图3所示的实施例基础上,所述对所述签发认证信息进行认证的步骤包括:
步骤S51、利用所述云服务器公钥对所述云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。
本实施例中,云服务器签名密文是云服务器私钥对待签发数据进行签名得到的,由于云服务器私钥加密的数据只有云服务器公钥可以解密,因此根据云服务器公钥与云服务器私钥之间的对应关系,利用云服务器公钥对云服务器签名密文进行解密,通过比对解密结果与待签发数据是否一致来验证待签发数据的可靠性。其中,在解密结果与所述待签发数据一致时,说明在传输过程中,待签名数据未被更改,可以进行下一步骤的操作。
在第三实施例中,这样,利用所述云服务器公钥对所述云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。这样,保证了待签发数据的安全性和可靠性。
在第四实施例中,如图5所示,在上述图2至图4所示的实施例基础上,所述将待签名数据发送至与终端连接的U盾与运算得到摘要信息的步骤之间,还包括:
步骤S21、将所述U盾签名密文以及所述待签名数据发送至所述智能联网设备,以供所述智能联网设备存储所述U盾签名密文以及所述待签名数据;
步骤S22、读取所述智能联网设备中存储的所述U盾签名密文以及所述待签名数据;
步骤S23、根据所述U盾公钥对所述U盾签名密文进行解密,判断解密结果是否与所述待签名数据一致;
步骤S24、在解密结果与所述待签名数据一致时,执行所述根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息的步骤。
本实施例中,将U盾公钥对U盾签名密文作为身份认证信息下发至智能联网设备的ESAM模块,在智能联网设备存储后,回读智能联网设备存储的身份认证信息,并对身份认证信息进行校验。具体地,U盾签名密文是U盾根据U盾私钥对待签名数据进行签名得到的。由于U盾私钥加密的数据只有U盾公钥可以解密,因此根据U盾公钥与U盾私钥之间的对应关系,利用U盾公钥对U盾签名密文进行解密,通过比对解密结果与待签名数据是否一致来验证待签名数据的可靠性。其中,在解密结果与待签名数据一致时,说明在传输过程中,待签名数据未被更改,可以进行下一步骤的操作。
在第四实施例中,将U盾签名密文以及待签名数据发送至智能联网设备,以供智能联网设备存储U盾签名密文以及待签名数据,读取智能联网设备中存储的U盾签名密文以及待签名数据,并在解密结果与待签名数据一致时,执行根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息的步骤。这样,保证了身份认证信息的安全性和可靠性。
在第五实施例中,如图5所示,在上述图2至图4所示的实施例基础上,所述根据所述U盾公钥对所述U盾签名密文进行解密之后,还包括:
步骤S25、在所述解密结果与所述待签名数据不一致时,执行所述读取所述U盾的签发认证信息的步骤。
本实施例中,将U盾公钥对U盾签名密文作为身份认证信息下发至智能联网设备的ESAM模块,在智能联网设备存储后,回读智能联网设备存储的身份认证信息,并对身份认证信息进行校验。具体地,U盾签名密文是U盾根据U盾私钥对待签名数据进行签名得到的。由于U盾私钥加密的数据只有U盾公钥可以解密,因此根据U盾公钥与U盾私钥之间的对应关系,利用U盾公钥对U盾签名密文进行解密,通过比对解密结果与待签名数据是否一致来验证待签名数据的可靠性。其中,在解密结果与待签名数据不一致时,说明智能联网设备存储的身份认证信息并非终端下发的身份认证信息,此时为了待签名数据的安全性,终端需要重新生成身份认证信息,并下发至智能联网设备,并重新回读进行校验。
在第五实施例中,在解密结果与待签名数据不一致时,执行读取所述U盾的签发认证信息的步骤。这样,保证了身份认证信息的安全性和可靠性。
在第六实施例中,如图6所示,在上述图2至图5所示的实施例基础上,所述读取所述U盾的签发认证信息之前,还包括:
步骤S70、向所述U盾发送生成密钥对请求,以供所述U盾接收到所述生成密钥对请求时,生成U盾密钥对并返回所述U盾公钥;
本实施例是在安全的网络环境下,云服务器私钥对U盾进行签名授权,以在离线环境中利用U盾私钥对智能联网设备做相应的签名授权,解决智能联网设备公钥的合法性问题。
具体地,终端首先向与终端连接的U盾发送生成密钥对请求,其中,可以是生成ECC256密钥对请求。在U盾接收到生成密钥对请求时,生成U盾密钥对。需要说明的是,U盾公钥和U盾私钥可以互相加解密,即如果用U盾私钥加密数据,则只有对应的U盾公钥才可以解密;如果用U盾公钥可以进行解密的数据,则该数据必然是对应的U盾私钥进行的加密。U盾返回U盾公钥的目的是供终端将U盾公钥、签发厂商标识以及云服务器公钥作为待签发数据向云服务器请求签名。
步骤S80、在接收到所述U盾公钥时,将所述待签发数据发送至云服务器,以供所述云服务器根据预存的云服务器私钥对所述待签发数据进行签名,得到所述云服务器签名密文,并将所述云服务器签名密文以及所述待签发数据作为签发认证信息返回;
本实施例中,在终端接收到U盾公钥时,将U盾公钥、签发厂商标识以及云服务器公钥作为待签发数据发送至云服务器,以向云服务器请求签名,其中签发厂商标识是指云服务器的版本信息以及厂商ID。
需要说明的是,云服务器公钥和云服务器私钥可以互相加解密,即如果用云服务器私钥加密数据,则只有对应的云服务器公钥才可以解密;如果用云服务器公钥可以进行解密的数据,则该数据必然是对应的云服务器私钥进行的加密。云服务器私钥对待签发数据进行签名后,得到云服务器签名密文。
步骤S90、在接收到所述签发认证信息时,将所述签发认证信息发送至所述U盾。
本实施例中,在接收到签发认证信息时,终端对签发认证信息进行验签,在验签通过时,将签发认证信息发送至U盾,使得U盾存储签发认证信息,此时即完成云服务器私钥对U盾的签名授权。
具体地,终端对签发认证信息进行验签的过程是:利用云服务器公钥对云服务器签名密文进行解密,在解密结果与待签发数据一致时,则判定认证通过。签发认证信息是指云服务器签名密文以及待签发数据,而待签发数据包括U盾公钥、签发厂商标识以及云服务器公钥。需要说明的是,由于云服务器私钥加密的数据只有云服务器公钥可以解密,因此根据云服务器公钥与云服务器私钥之间的对应关系,利用云服务器公钥对云服务器签名密文进行解密,通过比对解密结果与待签发数据是否一致来验证待签发数据的可靠性。其中,在解密结果与所述待签发数据一致时,说明在传输过程中,待签名数据未被更改,可以进行下一步骤的操作。
在第六实施例中,向U盾发送生成密钥对请求,在接收到U盾返回的U盾公钥时,将待签发数据发送至云服务器,并在接收到云服务器返回的云服务器签名密文以及待签发数据时,将云服务器签名密文以及待签发数据发送至U盾,这样,完成了云服务器私钥对U盾的签名授权,在离线环境中可利用U盾私钥对智能联网设备做相应的签名授权,以解决智能联网设备公钥的合法性问题。
本发明还提供一种终端,所述终端包括数字证书的颁发程序,所述数字证书的颁发程序配置为实现如上述终端为执行主体下的所述数字证书的颁发方法的步骤。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有数字证书的颁发程序,所述数字证书的颁发程序配置为实现如上述终端为执行主体下的所述数字证书的颁发方法的步骤。
本发明实施例还提供一种数字证书的颁发系统,所述数字证书的颁发系统包括终端、U盾、智能联网设备以及云服务器,其中,
所述终端,用于将待签名数据发送至与终端连接的U盾,在接收到U盾返回的U盾签名密文时,根据U盾签名密文以及待签名数据,运算得到摘要信息,并将摘要信息发送至智能联网设备,以完成证书的签发;
还用于向U盾发送生成密钥对请求,在接收到U盾返回的U盾公钥时,将待签发数据发送至云服务器,并在接收到云服务器返回的签发认证信息时,将签发认证信息发送至U盾;
所述U盾,用于在接收到终端发送的待签名数据时,根据预存的U盾私钥对待签名数据进行签名,得到U盾签名密文并返回;
还用于在接收到终端发送的生成密钥对请求时,生成U盾密钥对并返回U盾公钥;
所述智能联网设备,用于在接收到终端发送的生成密钥对请求时,生成智能联网设备密钥对并返回智能联网设备公钥;
所述云服务器,用于在接收到终端发送的待签发数据时,根据预存的云服务器私钥对待签发数据进行签名,得到云服务器签名密文,并将云服务器签名密文以及待签发数据作为签发认证信息返回。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是电视机,手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种数字证书的颁发方法,其特征在于,所述数字证书的颁发方法应用于智能联网设备,所述数字证书的颁发方法包括以下步骤:
将待签名数据发送至与终端连接的U盾,以供所述U盾根据预存的U盾私钥对所述待签名数据进行签名,得到U盾签名密文并返回,其中,所述待签名数据包括所述U盾的签发认证信息以及智能联网设备公钥;
根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息;
将所述摘要信息发送至所述智能联网设备,以完成证书的颁发。
2.如权利要求1所述的数字证书的颁发方法,其特征在于,所述将待签名数据发送至与终端连接的U盾的步骤之前,还包括:
读取所述U盾的签发认证信息,其中,所述签发认证信息包括待签发数据以及云服务器签名密文,所述待签发数据包括签发厂商标识、U盾公钥以及云服务器公钥;
对所述签发认证信息进行认证,在认证通过时,向所述智能联网设备发送生成密钥对请求,以在所述智能联网设备接收到所述生成密钥对请求时,生成智能联网设备密钥对并返回所述智能联网设备公钥;
在接收到所述智能联网设备公钥时,执行所述将待签名数据发送至与终端连接的U盾的步骤。
3.如权利要求2所述的数字证书的颁发方法,其特征在于,所述对所述签发认证信息进行认证的步骤包括:
利用所述云服务器公钥对所述云服务器签名密文进行解密,在解密结果与所述待签发数据一致时,则判定认证通过。
4.如权利要求2所述的数字证书的颁发方法,其特征在于,所述将待签名数据发送至与终端连接的U盾与运算得到摘要信息的步骤之间,还包括:
将所述U盾签名密文以及所述待签名数据发送至所述智能联网设备,以供所述智能联网设备存储所述U盾签名密文以及所述待签名数据;
读取所述智能联网设备中存储的所述U盾签名密文以及所述待签名数据;
根据所述U盾公钥对所述U盾签名密文进行解密,在解密结果与所述待签名数据一致时,执行所述根据所述U盾签名密文以及所述待签名数据,运算得到摘要信息的步骤。
5.如权利要求4所述的数字证书的颁发方法,其特征在于,所述根据所述U盾公钥对所述U盾签名密文进行解密之后,还包括:
在所述解密结果与所述待签名数据不一致时,执行所述读取所述U盾的签发认证信息的步骤。
6.如权利要求2所述的数字证书的颁发方法,其特征在于,所述读取所述U盾的签发认证信息之前,还包括:
向所述U盾发送生成密钥对请求,以供所述U盾接收到所述生成密钥对请求时,生成U盾密钥对并返回所述U盾公钥;
在接收到所述U盾公钥时,将所述待签发数据发送至云服务器,以供所述云服务器根据预存的云服务器私钥对所述待签发数据进行签名,得到所述云服务器签名密文,并将所述云服务器签名密文以及所述待签发数据作为签发认证信息返回;
在接收到所述签发认证信息时,将所述签发认证信息发送至所述U盾。
7.一种终端,其特征在于,所述终端包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数字证书的颁发程序,所述数字证书的颁发程序被所述处理器执行时实现如权利要求1至6中任一项所述的数字证书的颁发方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有数字证书的颁发程序,所述数字证书的颁发程序被处理器执行时实现如权利要求1至6中任一项所述的数字证书的颁发方法的步骤。
9.一种数字证书的颁发系统,其特征在于,所述数字证书的颁发系统包括终端、U盾、智能联网设备以及云服务器,其中,
所述终端,用于将待签名数据发送至与终端连接的U盾,在接收到U盾返回的U盾签名密文时,根据U盾签名密文以及待签名数据,运算得到摘要信息,并将摘要信息发送至智能联网设备,以完成证书的颁发;
还用于向U盾发送生成密钥对请求,在接收到U盾返回的U盾公钥时,将待签发数据发送至云服务器,并在接收到云服务器返回的签发认证信息时,将签发认证信息发送至U盾;
所述U盾,用于在接收到终端发送的待签名数据时,根据预存的U盾私钥对待签名数据进行签名,得到U盾签名密文并返回;
还用于在接收到终端发送的生成密钥对请求时,生成U盾密钥对并返回U盾公钥;
所述智能联网设备,用于在接收到终端发送的生成密钥对请求时,生成智能联网设备密钥对并返回智能联网设备公钥;
所述云服务器,用于在接收到终端发送的待签发数据时,根据预存的云服务器私钥对待签发数据进行签名,得到云服务器签名密文,并将云服务器签名密文以及待签发数据作为签发认证信息返回。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711246384.5A CN107743067B (zh) | 2017-11-30 | 2017-11-30 | 数字证书的颁发方法、系统、终端以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711246384.5A CN107743067B (zh) | 2017-11-30 | 2017-11-30 | 数字证书的颁发方法、系统、终端以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107743067A true CN107743067A (zh) | 2018-02-27 |
| CN107743067B CN107743067B (zh) | 2020-09-01 |
Family
ID=61238673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711246384.5A Active CN107743067B (zh) | 2017-11-30 | 2017-11-30 | 数字证书的颁发方法、系统、终端以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107743067B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
| CN112187470A (zh) * | 2020-09-22 | 2021-01-05 | 青岛海尔科技有限公司 | 物联网证书分发方法及装置、系统、存储介质、电子装置 |
| WO2021031087A1 (zh) * | 2019-08-19 | 2021-02-25 | 华为技术有限公司 | 一种证书管理方法及装置 |
| CN112422289A (zh) * | 2020-09-30 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种NB-IoT终端设备的数字证书离线安全分发方法和系统 |
| CN112491798A (zh) * | 2020-10-28 | 2021-03-12 | 合肥君信电子科技有限公司 | 一种离线式智能电签设备 |
| CN114567425A (zh) * | 2020-11-27 | 2022-05-31 | 中国电信股份有限公司 | 物联网通信方法、系统、SoC Sim和物联网终端 |
| CN114598466A (zh) * | 2022-03-08 | 2022-06-07 | 山东云海国创云计算装备产业创新中心有限公司 | 一种生产数据处理方法、装置、计算机设备及存储介质 |
| CN114900307A (zh) * | 2021-03-29 | 2022-08-12 | 万加合一数字科技集团有限公司 | 一种基于区块链的盾及其可信监测系统 |
| CN116349198A (zh) * | 2021-07-23 | 2023-06-27 | 维萨国际服务协会 | 用于认证凭证的方法和系统 |
| US11870919B2 (en) | 2020-12-18 | 2024-01-09 | Visa International Service Association | Method and system for authentication credential |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| US20110078459A1 (en) * | 2009-09-30 | 2011-03-31 | Fujitsu Limited | Signature generating device and method, signature verifying device and method, and computer product |
| CN102932343A (zh) * | 2012-10-26 | 2013-02-13 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| CN103532951A (zh) * | 2013-10-15 | 2014-01-22 | 广东电网公司电力科学研究院 | 工业终端设备的离线初始化方法和系统 |
| CN104092543A (zh) * | 2014-06-26 | 2014-10-08 | 安徽云盾信息技术有限公司 | 一种分布式录入审核签发证书的方法 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN107403320A (zh) * | 2017-07-20 | 2017-11-28 | 深圳市微盾科技有限公司 | 一种蓝牙安全u盾新型装置 |
-
2017
- 2017-11-30 CN CN201711246384.5A patent/CN107743067B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| US20110078459A1 (en) * | 2009-09-30 | 2011-03-31 | Fujitsu Limited | Signature generating device and method, signature verifying device and method, and computer product |
| CN102932343A (zh) * | 2012-10-26 | 2013-02-13 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| CN103532951A (zh) * | 2013-10-15 | 2014-01-22 | 广东电网公司电力科学研究院 | 工业终端设备的离线初始化方法和系统 |
| CN104092543A (zh) * | 2014-06-26 | 2014-10-08 | 安徽云盾信息技术有限公司 | 一种分布式录入审核签发证书的方法 |
| CN107171805A (zh) * | 2017-05-17 | 2017-09-15 | 济南浪潮高新科技投资发展有限公司 | 一种物联网终端数字证书签发系统和方法 |
| CN107403320A (zh) * | 2017-07-20 | 2017-11-28 | 深圳市微盾科技有限公司 | 一种蓝牙安全u盾新型装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247884A (zh) * | 2018-11-21 | 2019-09-17 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
| CN110247884B (zh) * | 2018-11-21 | 2023-05-19 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
| CN114223176A (zh) * | 2019-08-19 | 2022-03-22 | 华为技术有限公司 | 一种证书管理方法及装置 |
| WO2021031087A1 (zh) * | 2019-08-19 | 2021-02-25 | 华为技术有限公司 | 一种证书管理方法及装置 |
| CN114223176B (zh) * | 2019-08-19 | 2024-04-12 | 华为技术有限公司 | 一种证书管理方法及装置 |
| CN112187470A (zh) * | 2020-09-22 | 2021-01-05 | 青岛海尔科技有限公司 | 物联网证书分发方法及装置、系统、存储介质、电子装置 |
| CN112422289A (zh) * | 2020-09-30 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种NB-IoT终端设备的数字证书离线安全分发方法和系统 |
| CN112422289B (zh) * | 2020-09-30 | 2022-02-22 | 郑州信大捷安信息技术股份有限公司 | 一种NB-IoT终端设备的数字证书离线安全分发方法和系统 |
| CN112491798A (zh) * | 2020-10-28 | 2021-03-12 | 合肥君信电子科技有限公司 | 一种离线式智能电签设备 |
| CN114567425A (zh) * | 2020-11-27 | 2022-05-31 | 中国电信股份有限公司 | 物联网通信方法、系统、SoC Sim和物联网终端 |
| CN114567425B (zh) * | 2020-11-27 | 2024-02-02 | 中国电信股份有限公司 | 物联网通信方法、系统、SoC Sim和物联网终端 |
| US11870919B2 (en) | 2020-12-18 | 2024-01-09 | Visa International Service Association | Method and system for authentication credential |
| CN114900307A (zh) * | 2021-03-29 | 2022-08-12 | 万加合一数字科技集团有限公司 | 一种基于区块链的盾及其可信监测系统 |
| CN116349198B (zh) * | 2021-07-23 | 2023-12-22 | 维萨国际服务协会 | 用于认证凭证的方法和系统 |
| CN116349198A (zh) * | 2021-07-23 | 2023-06-27 | 维萨国际服务协会 | 用于认证凭证的方法和系统 |
| CN114598466A (zh) * | 2022-03-08 | 2022-06-07 | 山东云海国创云计算装备产业创新中心有限公司 | 一种生产数据处理方法、装置、计算机设备及存储介质 |
| CN114598466B (zh) * | 2022-03-08 | 2024-05-28 | 山东云海国创云计算装备产业创新中心有限公司 | 一种生产数据处理方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107743067B (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107743067A (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
| US20030114144A1 (en) | Application authentication system | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| CN106658493A (zh) | 密钥管理方法、装置和系统 | |
| CN101291224A (zh) | 在通信系统中处理数据的方法和系统 | |
| JP2023508317A (ja) | 非接触カード個人識別システム | |
| CN107682160B (zh) | 一种生产设备的认证方法及装置、电子设备 | |
| WO2021109963A1 (zh) | 初始安全配置方法、安全模块及终端 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN104917807A (zh) | 资源转移方法、装置和系统 | |
| CN112468305B (zh) | 物联网安全认证方法及设备 | |
| CN109359977A (zh) | 网络通信方法、装置、计算机设备和存储介质 | |
| US10256980B2 (en) | System and method for authentication for field replaceable units | |
| CN109274500A (zh) | 一种密钥下载方法、客户端、密码设备及终端设备 | |
| CN107948186A (zh) | 一种安全认证方法及装置 | |
| JP2022525840A (ja) | 顧客サポート呼の事前認証のためのシステムおよび方法 | |
| WO2023030009A1 (zh) | 智能设备的跨平台绑定方法、系统及相关设备 | |
| CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
| CN114223176B (zh) | 一种证书管理方法及装置 | |
| CN113868713B (zh) | 一种数据验证方法、装置、电子设备及存储介质 | |
| CN105430649B (zh) | Wifi接入方法及设备 | |
| CN102594564B (zh) | 交通诱导信息安全管理设备 | |
| CN114338201A (zh) | 数据处理方法及其装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |