CN108989039A - 证书获取方法及装置 - Google Patents
证书获取方法及装置 Download PDFInfo
- Publication number
- CN108989039A CN108989039A CN201710400108.3A CN201710400108A CN108989039A CN 108989039 A CN108989039 A CN 108989039A CN 201710400108 A CN201710400108 A CN 201710400108A CN 108989039 A CN108989039 A CN 108989039A
- Authority
- CN
- China
- Prior art keywords
- certificate
- server
- acquisition request
- root certificate
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种证书获取方法及装置,该方法包括:对服务器的根证书或者证书链进行认证;在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,所述根证书用于形成完整的证书链;根据服务器响应于获取请求的响应信息,获取所述服务器中变更后的根证书。通过本发明,解决了因终端在本地保存的预制的证书列表中没有包含服务器中变更后的根证书,导致认证失败出现无法正常连接服务器的问题,达到了保证终端和服务器的正常交互的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种证书获取方法及装置。
背景技术
目前,终端项目大多涉及到和局方服务器的数据交互。涉及到这方面的终端应用有:移动终端的空中下载软件(Firmware Over-The-Air,简称为FOTA)升级以及流量追踪datausage等。这些数据交互无论如何交互,均涉及到安全问题。原因很简单,局方服务器上的内容不对大众开放,具有一定的机密性。目前,项目常用的处理安全问题的方法是:安全套接层(Secure Sockets Layer,简称为SSL)及其继任者传输层安全(Transport LayerSecurity,简称为TLS)。
一些项目因为服务器证书的安全问题,如加密技术的不断进步以及专业人事、黑客对相关领域的深入研究,引起很多算法不断被破解,从而使得一些证书可以被篡改、伪造,也就成为了不可信证书,因此,局方服务器需更新服务器证书。
而终端(例如,ufi、手机等无线上网产品)一般会按需求预制相关证书,出于安全性考虑,除非版本升级,否则终端预制的证书不会改变,例如,个人计算机(PersonalComputer,简称为PC)默认关闭“关闭根证书自动更新”功能,如果PC不想下载证书,需手动开启该功能,这是终端的常用做法。因此,局方服务器更新的服务器证书并不在之前协商好的证书列表之内。这样,由于终端内部没有预制新的服务器证书,就会出现证书认证失败,从而导致datausage以及FOTA升级不能使用,严重影响用户体验。
认证失败后,终端可以通过internet从某预先指定的服务器下载证书,例如,PC未开启“关闭根证书自动更新”功能。但是,服务器以服务器地址安全性有待确认。还有些浏览器即便认证不通过,也能进行下一步操作,很明显,这是非常不安全的。
因此,相关技术中,服务器中的根证书发生了变更后,由于终端内预制的证书列表中没有服务器中变更后的根证书,导致证书认证失败出现无法正常连接服务器的问题。
发明内容
本发明实施例提供了一种证书获取方法及装置,以至少解决相关技术中服务器中的根证书发生了变更后,由于终端内预制的证书列表中没有服务器中变更后的根证书,导致证书认证失败出现无法正常连接服务器的问题。
根据本发明的一个实施例,提供了一种证书获取方法,包括:对服务器的根证书或者证书链进行认证;在认证结果失败的情况下,向所述服务器发送获取请求,其中,所述获取请求用于请求获取所述服务器中变更后的根证书,所述根证书用于形成完整的证书链;根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书。
可选地,对所述服务器的所述根证书或者证书链进行认证包括:向所述服务器发起握手请求;接收所述服务器根据所述握手请求返回的证书;通过检测本地是否有与所述服务器根据所述握手请求返回的证书相匹配的证书的方式,对所述服务器的所述根证书或者所述证书链进行认证。
可选地,向所述服务器发送所述获取请求包括:通过第一预定信令向所述服务器发送所述获取请求。
可选地,根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书包括:接收所述服务器通过第二预定信令响应所述获取请求的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;解析所述响应信息获取所述参数,根据所述参数获取所述变更后的根证书。
可选地,所述第一预定信令包括:协议配置选项PCO信令。
可选地,所述第二预定信令包括:协议配置选项PCO信令。
根据本发明的另一个实施例,提供了一种证书获取方法,包括:接收终端发送的获取请求,其中,所述获取请求用于请求获取变更后的根证书,所述根证书用于形成完整的证书链;根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息。
可选地,接收所述终端发送的所述获取请求包括:接收所述终端通过第一预定信令发送的获取请求。
可选地,根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息包括:根据所述获取请求确定用于获取所述变更后的根证书的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;通过第二预定信令向所述终端发送所述响应信息。
可选地,在根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息之后,还包括:通知核心网进行证书更新。
根据本发明的又一个实施例,提供了一种证书获取装置,包括:检测模块,用于对服务器的根证书或者证书链进行认证;发送模块,用于在认证结果失败的情况下,向所述服务器发送获取请求,其中,所述获取请求用于请求获取所述服务器中变更后的根证书,所述根证书用于形成完整的证书链;获取模块,用于根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书。
可选地,所述发送模块,还用于通过第一预定信令向所述服务器发送所述获取请求。
可选地,所述获取模块,还用于接收所述服务器通过第二预定信令响应所述获取请求的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;解析所述响应信息获取所述参数,根据所述参数获取所述变更后的根证书。
根据本发明的又一个实施例,提供了一种证书获取装置,包括:接收模块,用于接收终端发送的获取请求,其中,所述获取请求用于请求获取变更后的根证书;发送模块,用于根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
通过本发明,对服务器的根证书或者证书链进行认证;在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,所述根证书用于形成完整的证书链;根据服务器响应于获取请求的响应信息,获取所述服务器中变更后的根证书。由于在对服务器的根证书或者证书链认证失败后,终端能及时获取服务器中变更后的根证书,以更新本地保存的证书,解决了因终端在本地保存的预制的证书列表中没有包含服务器中变更后的根证书,导致认证失败出现无法正常连接服务器的问题,达到了保证终端和服务器的正常交互的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中互联网模型内SSL/TLS的位置示意图;
图2是相关技术中SSL/TLS握手过程示意图;
图3是本发明实施例的一种证书获取方法的移动终端的硬件结构框图;
图4是根据本发明实施例的证书获取方法的流程图一;
图5是根据本发明实施例的无线终端配置数字证书示意图;
图6是相关技术中UE请求公用数据网PDN连接过程示意图;
图7是根据本发明实施例的证书获取方法的优选流程示意图;
图8是根据本发明实施例的证书获取方法的流程图二;
图9是根据本发明实施例的网络侧数字证书同步交互示例图;
图10是根据本发明实施例的证书获取装置的结构框图一;
图11是根据本发明实施例的证书获取装置的结构框图二。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
为了方便理解,本文下面对认证过程中相关概念进行简要的说明。
安全套接层(Secure Sockets Layer,简称为SSL)以及继任者传输层安全(Transport Layer Security,简称为TLS)协议为基于传输控制协议/因特网互联协议(Transmission Control/Internet Protocol,简称为TCP/IP)的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施,是被设计用来保证通信双方的信息安全的一个协议,它依赖于可靠的TCP传输层来传输和接收数据。
图1是相关技术中互联网模型内SSL/TLS的位置示意图,如图1所示,SSL/TLS协议的特点是独立于上层的应用层协议(如:超文本传输协议HTTP,文件传输协议FTP,远程终端协议TELNET等),是对这些应用进行数据加密保护的,这些应用层协议可以透明地使用SSL/TLS协议。SSL/TLS协议可以协商一个对称加密算法和会话密钥,同时可以在通信之前认证服务器的合法性。所有应用层的数据都是加密后传输的。
SSL/TLS协议包含了两个重要的独立进程:身份验证和数据流加密。在今天风险很大的网络环境下,采用强大的加密功能来保护数据包以便使其能顺利到达预定的目的地是非常重要的。SSL/TLS可以正常工作并保证安全。在整个过程中,身份验证过程相对薄弱。本发明重点解决的就是项目中遇到的身份认证问题,这里,就身份认证过程做一简要介绍。
“证书”也叫“digital certificate”或“public key certificate”。
它是用来证明某某东西确实是某某东西的东西。通俗地说,证书就好比公章。通过公章,可以证明该介绍信确实是对应的公司发出的。理论上,人人都可以找个证书工具,自己做一个证书。但这个公章是否可信,就有待确认。证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509国际标准。
目前,服务器证书一般都采用证书链的形式,也就是说证书之间的信任关系,是可以嵌套的。比如,C信任A1,A1信任A2,A2信任A3......这个叫做证书的信任链。只要信任链上的头一个证书(又叫根证书),那后续的证书,都是可以信任的。与之对应,如果证书链没有可信任的证书,此次认证即为失败。而整个证书链的信任过程主要是从可信的根证书找到能够解码证书链的公钥,从而进行一系列校验工作。
下面对SSL/TLS握手过程进行简要论述,图2是相关技术中SSL/TLS握手过程示意图,如图2所示(尤其是批注框),SSL/TLS握手过程开始后,会进行身份验证,身份验证分为:1)仅客户端身份验证;2)仅服务器端身份验证;3)服务器和客户端均进行验证。
对客户端身份认证,即,当终端收到服务器的证书链后,会进行证书校验。当证书为不可信证书时,后面的交互流程停止。反之,当证书可信,即可进行后续的相关业务。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图3是本发明实施例的一种证书获取方法的移动终端的硬件结构框图。如图3所示,移动终端30可以包括一个或多个(图中仅示出一个)处理器302(处理器302可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器304、以及用于通信功能的传输装置306。本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,移动终端30还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
存储器304可用于存储应用软件的软件程序以及模块,如本发明实施例中的证书获取方法对应的程序指令/模块,处理器302通过运行存储在存储器304内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器304可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器304可进一步包括相对于处理器302远程设置的存储器,这些远程存储器可以通过网络连接至移动终端30。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置306用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端30的通信供应商提供的无线网络。在一个实例中,传输装置306包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置306可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的证书获取方法,图4是根据本发明实施例的证书获取方法的流程图一,如图4所示,该流程包括如下步骤:
步骤S402,对服务器的根证书或者证书链进行认证;
步骤S404,在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,该根证书用于形成完整的证书链;
步骤S406,根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书。
通过上述步骤,由于在对服务器的根证书或者证书链认证失败后,终端能及时获取服务器中变更后的根证书,以更新本地保存的证书,解决了因终端在本地保存的预制的证书列表中没有包含服务器中变更后的根证书,导致认证失败出现无法正常连接服务器的问题,达到了保证终端和服务器的正常交互的效果。
可选地,对服务器的根证书或者证书链进行认证包括:向服务器发起握手请求;接收服务器根据握手请求返回的证书;通过检测本地是否有与服务器根据握手请求返回的证书相匹配的证书的方式,对所述服务器的所述根证书或者所述证书链进行认证。
可选地,向服务器发送获取请求包括:通过第一预定信令向服务器发送获取请求。
例如,终端可以在本地准备两套不同的APN profile参数:一套用于正常的拨号接入attach流程,另一套用于获取证书相关参数;图5是根据本发明实施例的无线终端配置数字证书示意图,如图5所示,
步骤一:终端配置两套APN profile参数:
APN profile A:不携带证书获取请求字段信息,也就是一般项目所用的APNprofile,该APN profile用于正常拨号;
APN profile B:携带证书获取请求字段信息,用于请求获取证书相关信息。具体内容可以如下:
参考上述所附内容,在终端需要获取协议配置选项(Protocol ConfigurationOptions,简称为PCO)数字证书时,需要将该请求信息发送给网络,要求网络回复相关内容。具体配置内容需要和网络侧预先商量好。
具体数字证书信息请求字段包括但不限于:
1)网络认可的,代表可判断请求数字证书类型的请求字段的PCO信令消息,也就是信令里的container_id。
2)如网络侧还需终端提供其它关于证书请求的附加信息。该信息可放置在container_contents字段中。
此处,终端所要做的事情是代码配置,保证终端发出“Attach request Msg”请求时携带证书请求字段,也就是sm_container字段。
步骤二:将已经配置好的2个APN profile信息均预制在终端中。以供终端在不同情况下做出不同的选择。
需要说明的是,当终端联网成功且发生连接服务器的请求后,一旦终端检测到本地无法找到可信的根证书以及其他因局方服务器更新证书而导致的证书链校验不通过的问题。终端会通过携带证书获取请求字段信息的APN profile重新发起请求证书相关参数的attach流程。核心网收到相关请求后,给出相应的响应。终端对收到的响应消息进行解析,通过解析参数及后续操作获取可信根证书。
可选地,根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书包括:接收服务器通过第二预定信令响应获取请求的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;解析响应信息获取参数,根据参数获取变更后的根证书。通过上述步骤,使得通过信令而非IP的方式传输可信证书(根证书)的相关内容,保证了证书相关信息在传输过程中不会被截获,篡改,确保了终端收到根证书的可靠性。
可选地,第一预定信令包括:协议配置选项(Protocol Configuration Options,简称为PCO)信令,第二预定信令包括:协议配置选项PCO信令。相关技术中PCO技术用于提供目的网络(终端连接的目的网络)的附加选择信息。当终端连接互联网时,互联网除了为终端分配IP地址之外,还下发了PCO信息,这个信息包括:默认网关IP地址,域名系统(DomainName System,简称为DNS)服务地址等,即该PCO包含了很多附加的信息。PCO的发送以及接收过程发生在接入程序Attach procedure。图6是相关技术中UE请求公用数据网(PublicData Network,简称为PDN)连接过程示意图,截取于协议3GPP23.401“Figure 5.10.2-1:UErequested PDN connectivity”。同时,3GPP23.401也有如下描述:终端通过传输PDN连接请求信息(接入点APN,PDN,PCO,头压缩配置)初始化UE请求PDN程序,其中,PCO用于传输终端和网络之间的参数。通过上述内容可知,相关技术中PCO用来传输终端和网络之间的参数,例如,PCO信令常被用于传输IP地址、APN类型,但并没有运用PCO信令传输局方服务器证书相关信息,本发明实施例中将PCO信令运用于服务器证书的传输。
为了方便理解上述实施例,下面进行详细的说明,图7是根据本发明实施例的证书获取方法的优选流程示意图,如图7所示,主要描述了终端侧:
步骤S702,终端使用不携带证书获取请求字段信息APN profile(APN profile A)向网络侧发起attach请求。使用该APN profile的主要原因是:虽然局方服务器不定期更新证书,但是如果服务器没有更新证书,则不必进行证书获取。
步骤S704,终端attach响应完成并联网成功。此处,联网成功是终端和局方服务器进行正常通信的前提。
步骤S706,终端按照项目需求向服务器发起SSL/TLS的握手请求。
步骤S708,网络侧收到终端的握手请求后,会向终端发出相应的响应后,终端收到局方服务器的证书链。
步骤S710,终端对服务器证书链进行校验。如校验成功,则转到步骤S712,如校验失败,进入步骤S714。
步骤S712,和服务器进行后续正常的握手及通信。
步骤S714,终端对校验失败的原因在本地进行判断。根据失败原因选择是否需要更新证书。证书失败原因较多比如:证书签名失败,找不到根证书,证书过期等。具体的是否需要更新的规则会由产品设计需求明确规定。如果需要更新证书,进入步骤S716,否则转入步骤S722。
步骤S716,终端主动发起de-attach,使用携带获取证书请求字段的APN profile重新发起attach。
步骤S718,网络侧对接收到的请求消息进行响应之后,终端成功接收到了响应消息。
此处,网络侧对终端根证书的响应消息,包括但不限于:1)网络侧通过PCO消息直接向终端下发根证书本身。2)网络侧通过PCO消息向终端下发可以获得根证书的关键数据:比如:证书获取口令,证书获取服务器地址等。
步骤S720,终端对收到的消息进行本地解析,通过解析及后续操作,成功获取可靠的服务器证书链的根证书。从而保证了相关功能的正常使用。
此处,终端根据解析的信息,进行对应的操作。比如:1)如果终端通过PCO消息收到网络侧下发的证书本身,则终端将解析的根证书保存于本地,以供后续使用即可。2)如果终端通过PCO解析的获取根证书的服务器地址,口令等信息,则终端会进行后续的操作,以完成证书的获取工作。
步骤S722,进入异常处理流程。
通过上述实施例,当终端确认因证书变更等原因导致证书链校验不通过时,通过协议配置选项(Protocol Configuration Options,简称为PCO)配置,向网络侧发送可信证书请求消息。请求网络侧通过相对应的信令消息向终端下发局方服务器部署的证书链的可信根证书或与根证书相关的内容。然后,终端对接收到的信息进行对应的解析处理从而得到可信的根证书。本发明通过信令传输证书的关键信息的方法极大的提高了证书传输的可靠性,保证了相关功能的正常使用。
在本实施例中还提供了一种运行于上述移动终端的证书获取方法,图8是根据本发明实施例的证书获取方法的流程图二,如图8所示,该流程包括如下步骤:
步骤S802,接收终端发送的获取请求,其中,获取请求用于请求获取变更后的根证书,根证书用于形成完整的证书链;
步骤S804,根据获取请求向终端发送用于获取变更后的根证书的响应信息。
可选地,接收终端发送的获取请求包括:接收终端通过第一预定信令发送的获取请求。
可选地,根据获取请求向终端发送用于获取变更后的根证书的响应信息包括:根据获取请求确定用于获取变更后的根证书的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;通过第二预定信令向终端发送响应信息。
可选地,第一预定信令包括:协议配置选项PCO信令,第二预定信令包括:协议配置选项PCO信令。
可选地,在根据获取请求向终端发送用于获取变更后的根证书的响应信息之后,还包括:通知核心网进行证书更新,例如,向核心网发送通知信息,该通知信息中携带有证书的有效信息。需要说明的是,核心网及时同步局方服务器使用的可信证书,同步方式不限。
例如,网络侧数字证书同步如下:由于局方证书服务器和核心网分管不同的功能,所以涉及到二者的同步。由于二者都属于局方内部,同步工作相对容易。图9是根据本发明实施例的网络侧数字证书同步交互示例图,如图9所示,
方案一:当局方服务器证书发生变化,及时通知核心网进行证书更改。
方案二:局方服务器和核心网周期性的按一定规则进行同步即可。
本发明中,当终端与局方服务器证书不匹配,导致终端某些功能不能正常使用时,终端通过PCO(Protocol Configuration Options协议配置选项)配置,向网络侧发送可信证书请求消息。请求网络侧通过相对应的信令消息向终端下发服务器证书或证书相关内容。之后,终端对接收的消息进行解析及对应操作,有效的保证了终端和服务器证书安全可靠的同步。最终,保证了终端和局方服务器的正常通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种证书获取装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图10是根据本发明实施例的证书获取装置的结构框图一,如图10所示,该装置包括:
检测模块102,用于对服务器的根证书或者证书链进行认证;
发送模块104,连接至上述检测模块102,用于在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,所述根证书用于形成完整的证书链;
获取模块106,连接至上述发送模块104,用于根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书。
可选地,发送模块104,还用于通过第一预定信令向服务器发送获取请求。
可选地,获取模块106,还用于接收服务器通过第二预定信令响应获取请求的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;解析响应信息获取参数,根据参数获取变更后的根证书。
图11是根据本发明实施例的证书获取装置的结构框图二,如图11所示,该装置包括:
接收模块112,用于接收终端发送的获取请求,其中,获取请求用于请求获取变更后的根证书,所述根证书用于形成完整的证书链;
发送模块114,连接至上述接收模块112,用于根据获取请求向终端发送用于获取变更后的根证书的响应信息。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项所述的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,对服务器的根证书或者证书链进行认证;
S2,在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,根证书用于形成完整的证书链;
S3,根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:对服务器的根证书或者证书链进行认证包括:
S1,向服务器发起握手请求;
S2,接收服务器根据握手请求返回的证书;
S3,通过检测本地是否有与服务器根据握手请求返回的证书相匹配的证书的方式,对服务器的根证书或者证书链进行认证。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:,向服务器发送获取请求包括:
S1,通过第一预定信令向服务器发送获取请求。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:,根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书包括:
S1,接收服务器通过第二预定信令响应获取请求的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;
S2,解析响应信息获取参数,
S3,根据参数获取变更后的根证书。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
S1,第一预定信令包括:协议配置选项PCO信令。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
S2,第二预定信令包括:协议配置选项PCO信令。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,接收终端发送的获取请求,其中,获取请求用于请求获取变更后的根证书,根证书用于形成完整的证书链;
S2,根据获取请求向终端发送用于获取变更后的根证书的响应信息。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:接收终端发送的获取请求包括:
S1,接收终端通过第一预定信令发送的获取请求。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:根据获取请求向终端发送用于获取变更后的根证书的响应信息包括:
S1,根据获取请求确定用于获取变更后的根证书的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;
S2,通过第二预定信令向终端发送响应信息。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:在根据获取请求向终端发送用于获取变更后的根证书的响应信息之后,还包括:
S1,通知核心网进行证书更新。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的实施例还提供了一种处理器,该处理器用于运行程序,其中,该程序运行时执行上述任一项方法中的步骤。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,对服务器的根证书或者证书链进行认证;
S2,在认证结果失败的情况下,向服务器发送获取请求,其中,获取请求用于请求获取服务器中变更后的根证书,根证书用于形成完整的证书链;
S3,根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书。
可选地,在本实施例中,上述程序用于执行以下步骤:对服务器的根证书或者证书链进行认证包括:
S1,向服务器发起握手请求;
S2,接收服务器根据握手请求返回的证书;
S3,通过检测本地是否有与服务器根据握手请求返回的证书相匹配的证书,来检测服务器的根证书是否变更。
可选地,在本实施例中,上述程序用于执行以下步骤:向服务器发送获取请求包括:
S1,通过第一预定信令向服务器发送获取请求。
可选地,在本实施例中,上述程序用于执行以下步骤:根据服务器响应于获取请求的响应信息,获取服务器中变更后的根证书包括:
S1,接收服务器通过第二预定信令响应获取请求的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;
S2,解析响应信息获取参数,
S3,根据参数获取变更后的根证书。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,第一预定信令包括:协议配置选项PCO信令。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:
S2,第二预定信令包括:协议配置选项PCO信令。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,接收终端发送的获取请求,其中,获取请求用于请求获取变更后的根证书,所述根证书用于形成完整的证书链;
S2,根据获取请求向终端发送用于获取变更后的根证书的响应信息。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,接收终端通过第一预定信令发送的获取请求。
可选地,在本实施例中,上述程序用于执行以下步骤:根据获取请求向终端发送用于获取变更后的根证书的响应信息包括:
S1,根据获取请求确定用于获取变更后的根证书的响应信息,其中,响应信息中携带有用于获取变更后的根证书的参数;
S2,通过第二预定信令向终端发送响应信息。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种证书获取方法,其特征在于,包括:
对服务器的根证书或者证书链进行认证;
在认证结果失败的情况下,向所述服务器发送获取请求,其中,所述获取请求用于请求获取所述服务器中变更后的根证书,所述根证书用于形成完整的证书链;
根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书。
2.根据权利要求1所述的方法,其特征在于,对所述服务器的所述根证书或者证书链进行认证包括:
向所述服务器发起握手请求;
接收所述服务器根据所述握手请求返回的证书;
通过检测本地是否有与所述服务器根据所述握手请求返回的证书相匹配的证书的方式,对所述服务器的所述根证书或者所述证书链进行认证。
3.根据权利要求1所述的方法,其特征在于,向所述服务器发送所述获取请求包括:
通过第一预定信令向所述服务器发送所述获取请求。
4.根据权利要求1所述的方法,其特征在于,根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书包括:
接收所述服务器通过第二预定信令响应所述获取请求的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;
解析所述响应信息获取所述参数,
根据所述参数获取所述变更后的根证书。
5.根据权利要求3所述的方法,其特征在于,所述第一预定信令包括:协议配置选项PCO信令。
6.根据权利要求4所述的方法,其特征在于,所述第二预定信令包括:协议配置选项PCO信令。
7.一种证书获取方法,其特征在于,包括:
接收终端发送的获取请求,其中,所述获取请求用于请求获取变更后的根证书,所述根证书用于形成完整的证书链;
根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息。
8.根据权利要求7所述的方法,其特征在于,接收所述终端发送的所述获取请求包括:
接收所述终端通过第一预定信令发送的获取请求。
9.根据权利要求7所述的方法,其特征在于,根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息包括:
根据所述获取请求确定用于获取所述变更后的根证书的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;
通过第二预定信令向所述终端发送所述响应信息。
10.根据权利要求7所述的方法,其特征在于,在根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息之后,还包括:通知核心网进行证书更新。
11.一种证书获取装置,其特征在于,包括:
检测模块,用于对服务器的根证书或者证书链进行认证;
发送模块,用于在认证结果失败的情况下,向所述服务器发送获取请求,其中,所述获取请求用于请求获取所述服务器中变更后的根证书,所述根证书用于形成完整的证书链;
获取模块,用于根据所述服务器响应于所述获取请求的响应信息,获取所述服务器中变更后的根证书。
12.根据权利要求11所述的装置,其特征在于,所述发送模块,还用于通过第一预定信令向所述服务器发送所述获取请求。
13.根据权利要求11所述的装置,其特征在于,所述获取模块,还用于接收所述服务器通过第二预定信令响应所述获取请求的响应信息,其中,所述响应信息中携带有用于获取所述变更后的根证书的参数;解析所述响应信息获取所述参数,根据所述参数获取所述变更后的根证书。
14.一种证书获取装置,其特征在于,包括:
接收模块,用于接收终端发送的获取请求,其中,所述获取请求用于请求获取变更后的根证书,所述根证书用于形成完整的证书链;
发送模块,用于根据所述获取请求向所述终端发送用于获取所述变更后的根证书的响应信息。
15.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至6中任一项所述的方法。
16.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任一项所述的方法。
17.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求7至10中任一项所述的方法。
18.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求7至10中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710400108.3A CN108989039A (zh) | 2017-05-31 | 2017-05-31 | 证书获取方法及装置 |
| PCT/CN2018/078824 WO2018219009A1 (zh) | 2017-05-31 | 2018-03-13 | 证书获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710400108.3A CN108989039A (zh) | 2017-05-31 | 2017-05-31 | 证书获取方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108989039A true CN108989039A (zh) | 2018-12-11 |
Family
ID=64454412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710400108.3A Pending CN108989039A (zh) | 2017-05-31 | 2017-05-31 | 证书获取方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108989039A (zh) |
| WO (1) | WO2018219009A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698097A (zh) * | 2020-06-29 | 2020-09-22 | 北京达佳互联信息技术有限公司 | 一种证书认证方法及装置 |
| CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
| WO2020233308A1 (zh) * | 2019-05-22 | 2020-11-26 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
| CN112019339A (zh) * | 2019-05-31 | 2020-12-01 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN115150162A (zh) * | 2022-07-01 | 2022-10-04 | 阿里云计算有限公司 | 一种根证书更新方法、装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120203A1 (en) * | 2003-12-01 | 2005-06-02 | Ryhwei Yeh | Methods, systems and computer program products for automatic rekeying in an authentication environment |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200423677A (en) * | 2003-04-01 | 2004-11-01 | Matsushita Electric Ind Co Ltd | Communication apparatus and authentication apparatus |
| EP2336941A1 (en) * | 2009-03-12 | 2011-06-22 | Panasonic Corporation | Form reader, form authentication method, and program |
| CN102572552B (zh) * | 2011-12-31 | 2016-01-20 | 深圳市酷开网络科技有限公司 | 互联网电视自动更新数字证书方法及系统 |
| CN105763521B (zh) * | 2014-12-18 | 2019-09-20 | 阿里巴巴集团控股有限公司 | 一种设备验证方法及装置 |
-
2017
- 2017-05-31 CN CN201710400108.3A patent/CN108989039A/zh active Pending
-
2018
- 2018-03-13 WO PCT/CN2018/078824 patent/WO2018219009A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120203A1 (en) * | 2003-12-01 | 2005-06-02 | Ryhwei Yeh | Methods, systems and computer program products for automatic rekeying in an authentication environment |
| CN103001965A (zh) * | 2012-12-10 | 2013-03-27 | 北京星网锐捷网络技术有限公司 | 服务器证书更新方法及服务器 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020233308A1 (zh) * | 2019-05-22 | 2020-11-26 | 深圳壹账通智能科技有限公司 | 基于本地证书的自校验方法、装置、设备及存储介质 |
| CN112019339A (zh) * | 2019-05-31 | 2020-12-01 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN112019339B (zh) * | 2019-05-31 | 2024-02-27 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN111698097A (zh) * | 2020-06-29 | 2020-09-22 | 北京达佳互联信息技术有限公司 | 一种证书认证方法及装置 |
| CN111698097B (zh) * | 2020-06-29 | 2024-03-08 | 北京达佳互联信息技术有限公司 | 一种证书认证方法及装置 |
| CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
| CN111934870B (zh) * | 2020-09-22 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
| CN115150162A (zh) * | 2022-07-01 | 2022-10-04 | 阿里云计算有限公司 | 一种根证书更新方法、装置 |
| WO2024002143A1 (zh) * | 2022-07-01 | 2024-01-04 | 阿里云计算有限公司 | 一种根证书更新方法、装置 |
| CN115150162B (zh) * | 2022-07-01 | 2024-06-04 | 阿里云计算有限公司 | 一种根证书更新方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018219009A1 (zh) | 2018-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108989039A (zh) | 证书获取方法及装置 | |
| JP2020064668A (ja) | ネットワーク接続自動化 | |
| CN105554098B (zh) | 一种设备配置方法、服务器及系统 | |
| CN108235319A (zh) | 使得能够进行设备之间的通信 | |
| CN107113319B (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| US20080222714A1 (en) | System and method for authentication upon network attachment | |
| EP3120591B1 (en) | User identifier based device, identity and activity management system | |
| Liyanage et al. | Enhancing security of software defined mobile networks | |
| CN109417536A (zh) | 用于管理内容递送网络中的安全内容传输的技术 | |
| CN108702371A (zh) | 用于产生用于安全验证的动态ipv6地址的系统、设备和方法 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN107852405A (zh) | 服务层的内容安全性 | |
| EP3522473A1 (en) | Data transmission method, apparatus and system | |
| CN112565213B (zh) | 认证方法及装置、存储介质、电子装置 | |
| CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
| CN111226418B (zh) | 针对跨网络周边防火墙的设备使能零接触引导 | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN109495503A (zh) | 一种ssl vpn认证方法、客户端、服务器及网关 | |
| CN104735037B (zh) | 一种网络认证方法、装置及系统 | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| Taylor et al. | Validating security protocols with cloud-based middleboxes | |
| CN109150914A (zh) | 物联网安全架构及其网关重定向方法、数据包握手方法 | |
| CN110943992B (zh) | 一种入口认证系统、方法、装置、计算机设备和存储介质 | |
| CN106912049A (zh) | 改善用户认证体验的方法 | |
| US10148443B2 (en) | Authentication infrastructure for IP phones of a proprietary TOIP system by an open EAP-TLS system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181211 |