CN109905239A - 一种证书管理方法及装置 - Google Patents
一种证书管理方法及装置 Download PDFInfo
- Publication number
- CN109905239A CN109905239A CN201910174909.1A CN201910174909A CN109905239A CN 109905239 A CN109905239 A CN 109905239A CN 201910174909 A CN201910174909 A CN 201910174909A CN 109905239 A CN109905239 A CN 109905239A
- Authority
- CN
- China
- Prior art keywords
- certificate
- node server
- socket layer
- secure socket
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种证书管理方法及装置,涉及电子证书管理技术领域。该证书管理方法包括:确定节点服务器的互联网协议地址;基于安全套接层证书的多种握手协议与所述互联网协议地址进行握手,获取所述节点服务器上的安全套接层证书,其中,不同握手协议用于获取不同部署方式的安全套接层证书。上述方法对一个节点服务器进行多个握手协议的尝试握手,获取该节点服务器上以不同部署方式部署的安全套接层证书,从而提高了证书获取的准确度和全面性。
Description
技术领域
本申请涉及电子证书管理技术领域,具体而言,涉及一种证书管理方 法及装置。
背景技术
目前,各大系统平台几乎都有自己的证书管理工具,如windows系统 有两个证书管理工具certlm.msc和certmgr.msc,Java有KeyTool证书管 理工具。这些证书管理工具例如Java的KeyTool工具,是一个密钥和证书 的管理工具,可以用于管理对称加密和非对称加密,并将秘钥和证书存储 在keystore中,但大部分的证书管理工具只具备管理功能,面对复杂环境 下的证书发现却无能为力。而现在的许多证书使用场景中,特别是在ACME(Automated Certificate Management Environment)自动化支持免费通配 符多域名证书后,通配符多域名证书的大范围普及和应用起到了积极作用, 其使用场景和环境将会非常丰富,交叉节点众多,导致节点中部署的证书 有相同和不同的,其不同证书的有效期范围也不同,完整地获得一个服务 节点中的以多种部署方式部署的证书存在较大的难度。
发明内容
有鉴于此,本申请实施例的目的在于提供一种证书管理方法及装置。
本申请实施例提供了一种证书管理方法,包括:确定节点服务器的互 联网协议地址;基于安全套接层证书的多种握手协议与所述互联网协议地 址进行握手,获取所述节点服务器上的安全套接层证书,其中,不同握手 协议用于获取不同部署方式的安全套接层证书。
在上述实现过程中,在节点服务器上采用多种握手协议进行握手,获 取该节点服务器上的采用不同部署方式部署的安全套接层证书,进而完整 地获得该节点服务器上以多种部署方式,避免对某个节点服务器采用固定 的单一证书获取方式而仅仅只获取部分证书,提高了证书获取的效率和全 面性。
进一步地,所述基于安全套接层证书的多种握手协议与所述互联网协 议地址进行握手,获取所述节点服务器上的安全套接层证书,包括:采用 安全套接层握手协议或安全传输层握手协议与所述互联网协议地址进行握 手,获取所述节点服务器上以单证书部署方式部署的安全套接层证书;采 用安全传输层协议的服务器名称指示扩展技术确定所述节点服务器的子域 名信息,基于所述子域名信息采用所述安全传输层握手协议与所述互联网 协议地址进行握手,获取所述节点服务器上以多证书部署方式部署的与不 同子域名对应的多个安全套接层证书。在上述实现过程中,采用安全套接 层握手协议或安全传输层握手协议获取节点服务器上以单证书部署方式部 署的证书,同时采用安全传输层协议的服务器名称指示扩展技术和安全传 输层握手协议获取节点服务器上以多证书部署方式部署的多个证书,从而 一次性获取节点服务器上的以单证书及多证书部署方式部署的证书,同时 能够采用服务器名称指示扩展技术基于子域名信息获取该节点服务器上对 应不同子域名部署的多个证书,避免证书获取出现遗漏。
进一步地,所述获取所述节点服务器上的安全套接层证书,包括:基 于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取所述节点服务 器上以单证书部署方式部署的椭圆曲线数字签名算法安全套接层证书;基 于RSA算法的密钥交换算法的密钥套件,获取所述节点服务器上以单证书 部署方式部署的RSA算法安全套接层证书。在上述实现过程中,分别采用 基于椭圆曲线数字签名算法、基于RSA算法的密钥套件获取节点服务器上以单证书部署方式部署的椭圆曲线数字签名算法和RSA算法的证书,避免 节点服务器部署有其中一种证书时基于另一种密钥套件进行证书获取、节 点服务器部署有两种证书时仅仅基于其中一种密钥套件进行证书获取,从 而提高各类型证书的获取完备性。
进一步地,所述获取所述节点服务器上的安全套接层证书,包括:基 于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取所述节点服务 器上以多证书部署方式部署的与不同子域名对应的多个椭圆曲线数字签名 算法安全套接层证书;基于RSA算法的密钥交换算法的密钥套件,获取所 述节点服务器上以多证书部署方式部署的与不同子域名对应的多个RSA算 法安全套接层证书。在上述实现过程中,分别采用基于椭圆曲线数字签名 算法、基于RSA算法的密钥套件获取节点服务器上以多证书部署方式部署 的椭圆曲线数字签名算法和RSA算法的证书,避免节点服务器部署有其中 一种证书时基于另一种密钥套件进行证书获取、节点服务器部署有两种证 书时仅仅基于其中一种密钥套件进行证书获取,从而提高各类型证书的获 取完备性。
进一步地,所述确定节点服务器的互联网协议地址,包括:通过域名 系统解析应用程序编程接口遍历域名的解析记录;基于所述解析记录确定 节点服务器的互联网协议地址。在上述实现过程中,调用域名系统解析应 用程序编程接口进行IP地址的确定,保证了IP地址的获取效率和准确性。
进一步地,所述基于所述解析记录确定节点服务器的互联网协议地址, 包括:在所述解析记录为A记录时,直接基于所述A记录中节点服务器的 域名与互联网协议地址的对应关系确定所述节点服务器的互联网协议地 址;在所述解析记录为CNAME记录时,通过支持内容分发网络的域名系统 解析技术获取所述域名的别名对应的多个节点服务器的互联网协议地址, 所述多个节点服务器中的每个节点服务器为内容分发网络节点服务器。在上述实现过程中,对应解析记录为A记录或CNAME记录的情况分别确定节 点服务器的互联网协议地址,同时在解析记录为CNAME记录时通过支持内 容分发网络的域名系统解析技术确定内容分发网络中多个节点服务器的互 联网协议网络,从而能够获取非内容分发网络以及内容分发网络的所有节 点服务器的互联网协议地址。
进一步地,所述通过支持内容分发网络的域名系统解析技术获取所述 域名的别名对应的多个节点服务器的互联网协议地址,包括:通过EDNS技 术分别模拟内容分发网络中各区域网段,将所述各区域网段在公共域名系 统解析服务器中进行解析,获取所述域名的别名对应的不同地区的内容分 发网络节点服务器的互联网协议地址。在上述实现过程中,基于EDNS技术 分别模拟内容分发网络中各区域网段获取不同地区的内容分发网络节点服 务器的互联网协议地址,从而确保能够获取内容分发网络中所有区域网段 对应的所有互联网协议地址。
进一步地,在所述获取所述节点服务器上的安全套接层证书之后,所 述方法还包括:基于所述安全套接层证书的所属域名、所属节点服务器和 证书类型对所述安全套接层证书进行分类存储。在上述实现过程中,对证 书进行分类存储,提高了证书的管理便捷度。
进一步地,在所述基于所述安全套接层证书的所属域名、所属节点服 务器和证书类型对所述安全套接层证书进行分类存储之后,所述方法还包 括:从证书维度、节点服务器维度和域名维度对所述安全套接层证书进行 管理。在上述实现过程中,通过对证书进行多维度的管理,提高了证书的 管理安全性。
进一步地,所述从证书维度、节点服务器维度和域名维度对所述安全 套接层证书进行管理,包括:从证书维度、节点服务器维度和域名维度对 所述安全套接层证书进行证书期限更新维护。
本申请实施例还提供了一种证书管理装置,包括:地址确定模块,用 于确定节点服务器的互联网协议地址;证书获取模块,用于基于安全套接 层证书的多种握手协议与所述互联网协议地址进行握手,获取所述节点服 务器上的安全套接层证书,其中,不同握手协议用于获取不同部署方式的 安全套接层证书。
进一步地,所述证书获取模块包括:单证书获取单元,用于采用安全 套接层握手协议或安全传输层握手协议与所述互联网协议地址进行握手, 获取所述节点服务器上以单证书部署方式部署的安全套接层证书;多证书 获取单元,用于采用安全传输层协议的服务器名称指示扩展技术确定所述 节点服务器的子域名信息,基于所述子域名信息采用所述安全传输层握手 协议与所述互联网协议地址进行握手,获取所述节点服务器上以多证书部 署方式部署的与不同子域名对应的多个安全套接层证书。
进一步地,所述证书获取模块包括:ECC证书获取单元,用于基于椭圆 曲线数字签名算法的密钥交换算法的密钥套件,获取所述节点服务器上以 单证书部署方式部署的椭圆曲线数字签名算法安全套接层证书;RSA证书获 取单元,用于基于RSA算法的密钥交换算法的密钥套件,获取所述节点服 务器上以单证书部署方式部署的RSA算法安全套接层证书。
进一步地,所述ECC证书获取单元,还用于基于椭圆曲线数字签名算 法的密钥交换算法的密钥套件,获取所述节点服务器上以多证书部署方式 部署的与不同子域名对应的多个椭圆曲线数字签名算法安全套接层证书; 所述RSA证书获取单元,还用于基于RSA算法的密钥交换算法的密钥套件, 获取所述节点服务器上以多证书部署方式部署的与不同子域名对应的多个 RSA算法安全套接层证书。
进一步地,所述地址确定模块包括:解析记录确定单元,用于通过域 名系统解析应用程序编程接口遍历域名的解析记录;互联网协议地址确定 单元,用于基于所述解析记录确定节点服务器的互联网协议地址。
进一步地,所述互联网协议地址确定单元用于在所述解析记录为A记 录时,直接基于所述A记录中节点服务器的域名与互联网协议地址的对应 关系确定所述节点服务器的互联网协议地址,还用于在所述解析记录为CNAME记录时,通过支持内容分发网络的域名系统解析技术获取所述域名的 别名对应的多个节点服务器的互联网协议地址,所述多个节点服务器中的 每个节点服务器为内容分发网络节点服务器。
进一步地,所述互联网协议地址确定单元还具体用于通过EDNS技术分 别模拟内容分发网络中各区域网段,将所述各区域网段在公共域名系统解 析服务器中进行解析,获取所述域名的别名对应的不同地区的内容分发网 络节点服务器的互联网协议地址。
进一步地,所述证书管理装置还包括证书管理模块,包括:分类存储 单元,用于基于所述安全套接层证书的所属域名、所属节点服务器和证书 类型对所述安全套接层证书进行分类存储;管理单元,用于从证书维度、 节点服务器维度和域名维度对所述安全套接层证书进行管理。
进一步地,所述管理单元还用于从证书维度、节点服务器维度和域名 维度对所述安全套接层证书进行证书期限更新维护。
本申请实施例还提供了一种计算机可读取存储介质,所述计算机可 读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器 读取并运行时,执行上述任一方法中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例 中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请 的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人 员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相 关的附图。
图1为本申请实施例提供的一种证书管理方法的流程示意图;
图2为本申请实施例提供的一种互联网协议地址确定步骤的流程示意 图;
图3为本申请实施例提供的一种握手步骤的流程示意图;
图4为本申请实施例提供的一种证书管理装置的模块示意图;
图5为本申请实施例提供的一种电子设备的结构示意图。
图标:40-证书管理装置;41-地址确定模块;42-证书获取模块;50- 电子设备;51-存储器;52-存储控制器;53-处理器;54-外设接口;55-输 入输出单元;56-音频单元;57-显示单元。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行 描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一 旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步 定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用 于区分描述,而不能理解为指示或暗示相对重要性。
本申请人发现,由于ACME(Automated Certificate Management Environment)自动化支持免费通配符多域名证书,为通配符多域名证书的 大范围普及和应用起到了积极作用,其使用场景和环境将会非常丰富,交 叉节点众多。例如A服务器中部署了a.example.com、b.example.com、 c.example.com这3个Web服务则使用了包含*.example.com的SSL证书, B服务器中部署了img1.example.com、js1.example.com、css.example.com 这3个Web服务则使用了包含*.example.com的SSL证书,C服务器中部署了admin.example.com的Web服务则使用了包含*.example.com的SSL证书, C服务器还部署了api.sh.example.com、auth.sh.example.com的API服务 则使用的是api.sh.example.com的SSL证书以及auth.sh.example.com的 SSL证书。这些服务器中部署的证书有相同和不同的,其不同证书的有效期 范围也不同,一般企业生产环境中使用的域名和证书数量也比例子中的多 并且关系更复杂,现有技术无法对服务器中的多种部署方式的证书进行统 一、完整的扫描获取。为了解决上述问题,本申请实施例提供了一种证书管理方法。
请参考图1,图1为本申请实施例提供的一种证书管理方法的流程示意 图。该证书管理方法的具体步骤可以如下:
步骤S12:证书管理服务器确定节点服务器的互联网协议地址。
在本申请实施例中,证书管理服务器可以是用于扫描发现各节点服务 器的证书,并对其进行证书管理的服务器;节点服务器可以是企业、公司、 个人或其他部门存储并使用证书的服务器。应当理解的是,证书管理服务 器和节点服务器,可以是但不限于是计算机、云处理器、智能终端或其他 具备数据处理能力的电子设备。进一步地,在现实应用场景中,证书管理 服务器和节点服务器可以是部署在同一处理设备,也可以部署在不同处理设备上。
互联网协议地址(英文全称:Internet Protocol Address,缩写:IP 地址)也就是为计算机网络相互连接进行通信而设计的协议。在因特网 中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规 定了计算机在因特网上进行通信时应当遵守的规则,其是IP协议提供的一 种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻 辑地址,以此来屏蔽物理地址的差异。
步骤S14:证书管理服务器基于安全套接层证书的多种握手协议与互联 网协议地址进行握手,获取节点服务器上的安全套接层证书。
安全套接层是(英文全称:Secure Socket Layer,英文缩写:SSL) 一种网络安全协议,它是在传输通信协议(TCP/IP)上实现的一种安全协 议,采用公开密钥技术。基于SSL协议的SSL证书是数字证书的一种,因 为配置在服务器上,也称为SSL服务器证书。具体地,SSL证书包括一个 公共密钥和一个私用密钥,公共密钥用于加密信息,私用密钥用于解译加 密的信息。浏览器指向一个安全域时,SSL同步确认服务器和客户端,并 创建一种加密方式和一个唯一的会话密钥,它们可以启动一个保证消息的 隐私性和完整性的安全会话。
SSL的工作原理中包含:握手协议(Handshake protocol)、记录协议 (Recordprotocol)和警报协议(Alert protocol)。其中,握手协议是 客户机(节点服务器)和服务器(证书管理服务器)用SSL连接通信时使 用的第一个子协议,握手协议包括客户机与服务器之间的一系列验证消 息,该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密 密钥,用来保护在SSL记录中发送的数据。针对证书的单节点单证书、单 节点多证书等不同部署方式,具有不同的握手协议,通常每种类型的握手 协议只能获取节点服务器中以对应的一种部署方式部署的证书。
在上述实现过程中,在节点服务器上采用多种握手协议进行握手,获 取该节点服务器上的采用不同部署方式部署的安全套接层证书,进而完整 地获得该节点服务器上以多种部署方式,避免对某个节点服务器采用固定 的单一证书获取方式而仅仅只获取部分证书,提高了证书获取的效率和全 面性。
针对步骤S12,请参考图2,图2为本申请实施例提供的一种互联网协 议地址确定步骤的流程示意图。该互联网协议地址确定步骤具体可以如 下:
步骤S21:证书管理服务器通过域名系统解析应用程序编程接口遍历域 名的解析记录。
对于域名(Domian Name),因特网上的节点都可以用IP地址唯一标识, 并且可以通过IP地址被访问,但即使是将32位的二进制IP地址写成4个 0~255的形式,也依然太长、太难记。因此,人们发明了域名,域名可将 一个IP地址关联到一组有意义的字符上去。用户访问一个网站的时候,既 可以输入该网站的IP地址,也可以输入其域名,对访问而言,两者是等价 的。而通过域名访问某节点需要进行域名和IP地址的转换时,就需要采用 域名系统(英文全称:Domain Name System,英文缩写:DNS),其是互联 网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能 够使人更方便地通过域名访问互联网。
进一步地,域名系统采用域名解析技术把域名指向网站空间IP,让人 们通过注册的域名可以方便地访问到网站。作为一种可选的实施方式,本 申请实施例还可以是通过域名解析应用程序编程接口进行域名的遍历解析 工作。上述应用程序编程接口(英文全程:Application Programming Interface,英文缩写:AP)是一些预先定义的函数,目的是提供应用程序 与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源 码,或理解内部工作机制的细节。因此本申请实施例通过调用外部域名解 析应用程序编程接口提高域名解析效率,同时避免使用证书管理服务器的 内部计算资源。应当理解的是,域名解析应用程序编程接口可以是任意企 业、公司等提供的公用或商用的域名解析应用程序编程接口。
步骤S22:证书管理服务器在解析记录为A记录时,直接基于A记录中 节点服务器的域名与互联网协议地址的对应关系确定节点服务器的互联网 协议地址。
A(Address)记录是用来指定主机名(或域名)对应的IP地址记录, 用户可以将该域名下的网站服务器指向到自己的网页服务器(web server) 上。以传统的非内容分发网络模式方式部署的节点服务器通常采用A记录 绑定节点服务器的IP地址和对应域名,一个域名对应一个IP地址,因此 本申请实施例在解析记录为A记录时,可以直接基于DNS解析技术确定节 点服务器的IP地址。
具体地,证书管理服务器在获取A记录时,可以自动扫描主域下各解 析记录的443端口进行证书的发现和获取。
步骤S23:证书管理服务器在解析记录为CNAME记录时,通过支持内容 分发网络的域名系统解析技术获取域名的别名对应的多个节点服务器的互 联网协议地址,多个节点服务器中的每个节点服务器为内容分发网络节点 服务器。
CNAME记录即为别名记录,也成为规范名字,这种记录允许将多个名字 映射到同一计算机或服务器。内容分发网络(英文全称:Content Delivery Network,英文缩写:CDN)的基本思路是尽可能避开互联网上有可能影响 数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定;通过 在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能 虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以 及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近 的服务节点上,其目的是使用户可就近取得所需内容,解决Internet网络 拥挤的状况,提高用户访问网站的响应速度。
因此CNAME记录通常与CDN系统配合使用,在某域名具有多个别名, 将每个别名与不同的CDN节点服务器的IP地址相匹配。
在上述实现过程中,调用域名系统解析应用程序编程接口进行IP地址 的确定,保证了IP地址的获取效率和准确性。同时对应解析记录为A记录 或CNAME记录的情况分别确定节点服务器的互联网协议地址,同时在解析 记录为CNAME记录时通过支持内容分发网络的域名系统解析技术确定内容 分发网络中多个节点服务器的互联网协议网络,从而能够获取非内容分发 网络以及内容分发网络的所有节点服务器的互联网协议地址。
作为一种可选的实施方式,本申请实施例中的支持内容分发网络的域 名系统解析技术,可以是但不限于是EDNS技术即智能域名解析技术,该EDNS 技术可以在系统判断出来访问IP的归属地或运营商时,跳转被访问的服务 器空间的IP。
本实施例通过EDNS技术模拟内容分发网络中各区域网段,例如,在A 地区采用EDNS技术获取域名X的IP地址,域名X的多个别名分别对应A 地区的CDN节点服务器、B地区的CDN节点服务器、C地区的CDN节点服务 器,证书管理服务器通过EDNS技术分别模拟为A地区的CDN节点服务器、 B地区的CDN节点服务器、C地区的CDN节点服务器对应的访问IP,从而分 别获取到A地区的CDN节点服务器、B地区的CDN节点服务器、C地区的CDN 节点服务器的IP地址。
应当理解的是,在其他可能的实施方式中还可以通过在不同ISP网络 中部署DNS解析代理节点,来实现域名所对应的不同CDN节点服务器的IP 地址的获取。
在上述实现过程中,基于EDNS技术分别模拟内容分发网络中各区域网 段获取不同地区的内容分发网络节点服务器的互联网协议地址,从而确保 能够获取内容分发网络中所有区域网段对应的所有互联网协议地址。
作为一种可选的实施方式,步骤S14中的不同的部署方式,可以是但 不限于是单节点单证书、单节点多证书部署方式,针对单证书和多证书则 具有不同的握手方式。请参考图3,图3为本申请实施例提供的一种握手步 骤的流程示意图。该握手步骤具体可以如下:
步骤S31:证书管理服务器采用安全套接层握手协议或安全传输层握手 协议与互联网协议地址进行握手,获取节点服务器上以单证书部署方式部 署的安全套接层证书。
上述安全传输层握手协议属于安全传输层协议(英文全称:Transport LayerSecurity,英文缩写:TLS)用于两个应用程序之间提供保密性和数 据完整性,专门用于保护Web通讯的,基于SSL协议规范开发,经常以SSL 协议统称SSL协议和TLS协议。
步骤S32:证书管理服务器采用安全传输层协议的服务器名称指示扩展 技术确定节点服务器的子域名信息,基于子域名信息采用安全传输层握手 协议与互联网协议地址进行握手,获取节点服务器上以多证书部署方式部 署的与不同子域名对应的多个安全套接层证书。
服务器名称指示扩展技术为TLS协议中的SNI扩展技术(技术的详情 可以参考rfc4366文件中的3.1章节),其中SNI(英文全称:Server Name Indication)是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展, 其工作原理是在连接到服务器建立SSL链接之前先发送要访问站点的域名 (Hostname),这样服务器根据这个域名返回一个合适的证书。本申请实 施例采用SNI扩展技术获取所有子域名信息,并分别携带每个子域名信息与对应的IP地址进行握手,以实现对单个IP节点上部署多张不同域名的 SSL证书的获取,这些证书一般不是服务器的默认证书。
在上述实现过程中,采用安全套接层握手协议或安全传输层握手协议 获取节点服务器上以单证书部署方式部署的证书,同时采用安全传输层协 议的服务器名称指示扩展技术和安全传输层握手协议获取节点服务器上以 多证书部署方式部署的多个证书,从而一次性获取节点服务器上的以单证 书及多证书部署方式部署的证书,同时能够采用服务器名称指示扩展技术 基于子域名信息获取该节点服务器上对应不同子域名部署的多个证书,避 免证书获取出现遗漏。
考虑到现实应用场景中SSL证书还可能存在基础加密算法的不同造成 的类型不同,而不同类型的SSL证书也需要采用不同的方式进行获取。
本申请实施例以ECC(中文全称:椭圆加密算法,英文全称:Elliptic curvecryptography)和RSA算法分别对应的SSL证书为例,对应步骤S31 的具体步骤为:基于椭圆曲线数字签名算法的密钥交换算法的密钥套件, 获取节点服务器上以单证书部署方式部署的椭圆曲线数字签名算法安全套 接层证书;基于RSA算法的密钥交换算法的密钥套件,获取节点服务器上 以单证书部署方式部署的RSA算法安全套接层证书。
同时,对应步骤S32的具体步骤可以为:基于椭圆曲线数字签名算法 的密钥交换算法的密钥套件,获取节点服务器上以多证书部署方式部署的 与不同子域名对应的多个椭圆曲线数字签名算法安全套接层证书;基于RSA 算法的密钥交换算法的密钥套件,获取节点服务器上以多证书部署方式部 署的与不同子域名对应的多个RSA算法安全套接层证书。
上述椭圆曲线数字签名算法是一种公钥加密体制,其数学基础是利用 椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性,ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥(比如RSA加 密算法)提供相当的或更高等级的安全。上述RSA加密算法是一种非对称 加密算法,通常是先生成一对RSA密钥,其中之一是保密密钥,由用户保 存,另一个为公开密钥,可对外公开,甚至可在网络服务器中注册,为提 高保密强度,RSA密钥至少为512位长,一般推荐使用2048位。
作为一种可选的实施方式,本实施例中采用的ECC密钥套件可以包括:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256。
此外,本实施例中采用的RSA密钥套件可以包括:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256。
应当理解的是,ECC算法证书的加密性能更好,RSA算法证书的兼容性 更好,因此对于同一个证书,一个节点服务器中可能部署有其ECC算法证 书或RSA算法证书,还可能同时部署有其ECC算法证书和RSA算法证书。 因此本实施例分别采用基于椭圆曲线数字签名算法、基于RSA算法的密钥 套件获取节点服务器上的椭圆曲线数字签名算法和RSA算法的证书,避免 节点服务器部署有其中一种证书时基于另一种密钥套件进行证书获取、节 点服务器部署有两种证书时仅仅基于其中一种密钥套件进行证书获取,从 而提高各类型证书的获取完备性。
作为一种可选的实施方式,本申请实施例在步骤S14之后,还可以基 于安全套接层证书的所属域名、所属节点服务器和证书类型对安全套接层 证书进行分类存储,进而使证书管理服务器能够从证书维度、节点服务器 维度和域名维度对安全套接层证书进行管理,该管理包括对证书进行期限 更新维护。
按证书维度,可以知道证书部署在哪些节点上;实现证书到期、更新 管理;实现证书品牌替换管理;实现弱算法等脆弱证书的标注和管理;实 现证书私钥风险评估管理,私钥分散在太多节点对私钥的威胁程度会提 高,可以帮助做相关管理风险评估。
按节点维度,可以知道当前节点上部署了哪些证书;实现运维人员以 节点的角度对证书进行部分更新维护,如灰度发布后进行验证。
按域名维度,可以知道一个域名在哪几个几点上使用了哪几张证书; 实现证书使用优化,合理搭配通配符、多域名、单域名证书,节省费用和 部署复杂度。
为了配合上述实施例提供的证书管理方法,本申请实施例还提供了一 种证书管理装置40。请参考图4,图4为本申请实施例提供的一种证书管 理装置的模块示意图。
证书管理装置40包括地址确定模块41、证书获取模块42。
地址确定模块41,用于确定节点服务器的互联网协议地址;
证书获取模块42,用于基于安全套接层证书的多种握手协议与互联网 协议地址进行握手,获取节点服务器上的安全套接层证书,其中,不同握 手协议用于获取不同部署方式的安全套接层证书。
作为一种可选的实施方式,地址确定模块41包括:解析记录确定单元, 用于通过域名系统解析应用程序编程接口遍历域名的解析记录;互联网协 议地址确定单元,用于基于解析记录确定节点服务器的互联网协议地址。
上述互联网协议地址确定单元用于在解析记录为A记录时,直接基于A 记录中节点服务器的域名与互联网协议地址的对应关系确定节点服务器的 互联网协议地址,还用于在解析记录为CNAME记录时,通过支持内容分发 网络的域名系统解析技术获取域名的别名对应的多个节点服务器的互联网 协议地址,多个节点服务器中的每个节点服务器为内容分发网络节点服务 器。同时,互联网协议地址确定单元还用于通过EDNS技术分别模拟内容分 发网络中各区域网段,将各区域网段在公共域名系统解析服务器中进行解 析,获取域名的别名对应的不同地区的内容分发网络节点服务器的互联网 协议地址。
作为一种可选的实施方式,证书获取模块42包括:单证书获取单元, 用于采用安全套接层握手协议或安全传输层握手协议与互联网协议地址进 行握手,获取节点服务器上以单证书部署方式部署的安全套接层证书;多 证书获取单元,用于采用安全传输层协议的服务器名称指示扩展技术确定 节点服务器的子域名信息,基于子域名信息采用安全传输层握手协议与互 联网协议地址进行握手,获取节点服务器上以多证书部署方式部署的与不 同子域名对应的多个安全套接层证书。
作为一种可选的实施方式,证书获取模块42还包括:ECC证书获取单 元,用于基于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取节 点服务器上以单证书部署方式部署的椭圆曲线数字签名算法安全套接层证 书,还用于基于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取 节点服务器上以多证书部署方式部署的与不同子域名对应的多个椭圆曲线 数字签名算法安全套接层证书;RSA证书获取单元,用于基于RSA算法的密 钥交换算法的密钥套件,获取节点服务器上以单证书部署方式部署的RSA 算法安全套接层证书,还用于基于RSA算法的密钥交换算法的密钥套件, 获取节点服务器上以多证书部署方式部署的与不同子域名对应的多个RSA 算法安全套接层证书。
作为一种可选的实施方式,本申请实施例提供的证书管理装置40还可 以包括证书管理模块,该证书管理模块包括:分类存储单元,用于基于安 全套接层证书的所属域名、所属节点服务器和证书类型对安全套接层证书 进行分类存储;管理单元,用于从证书维度、节点服务器维度和域名维度 对安全套接层证书进行管理。
进一步地,管理单元还用于从证书维度、节点服务器维度和域名维度 对安全套接层证书进行证书期限更新维护。
由于本申请实施例中的证书管理服务器和节点服务器均可以为计算机 或其他具备数据处理能力的电子设备,因此本申请实施例还提供了一种可 以用作证书管理服务器和节点服务器的电子设备50。请参考图5,图5为 本申请实施例提供的一种电子设备的结构示意图。
本实施例提供的电子设备50可以包括证书管理装置40、存储器51、 存储控制器52、处理器53、外设接口54、输入输出单元55、音频单元 56、显示单元57。
所述存储器51、存储控制器52、处理器53、外设接口54、输入输出 单元55、音频单元56、显示单元57各元件相互之间直接或间接地电性连 接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多 条通讯总线或信号线实现电性连接。所述证书管理装置40包括至少一个可 以软件或固件(firmware)的形式存储于所述存储器51中或固化在证书管 理装置40的操作系统(operating system,OS)中的软件功能模块。所述 处理器53用于执行存储器51中存储的可执行模块,例如证书管理装置40 包括的软件功能模块或计算机程序。
其中,存储器51可以是,但不限于,随机存取存储器 (Random Access Memory,RAM),只读存储器(Read Only Memory,ROM), 可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只 读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦 除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器51用于存储程序,所述处理器53在接收到执 行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定 义的服务器所执行的方法可以应用于处理器53中,或者由处理器53实 现。
处理器53可以是一种集成电路芯片,具有信号的处理能力。上述的处 理器53可以是通用处理器,包括中央处理器(Central Processing Unit, 简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字 信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者 其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以 实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处 理器可以是微处理器或者该处理器53也可以是任何常规的处理器等。
所述外设接口54将各种输入/输出装置耦合至处理器53以及存储器 51。在一些实施例中,外设接口54,处理器53以及存储控制器52可以在 单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
输入输出单元55用于提供给用户输入数据实现用户与所述服务器(或 本地终端)的交互。所述输入输出单元55可以是,但不限于,鼠标和键盘 等设备。
音频单元56向用户提供音频接口,其可包括一个或多个麦克风、一个 或者多个扬声器以及音频电路。
显示单元57在所述电子设备50与用户之间提供一个交互界面(例如 用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显 示单元57可以是液晶显示器或触控显示器。若为触控显示器,其可为支持 单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点 触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处 同时产生的触控操作,并将该感应到的触控操作交由处理器53进行计算和 处理。
可以理解,图5所示的结构仅为示意,所述电子设备50还可包括比图 5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所 示的各组件可以采用硬件、软件或其组合实现。
综上所述,本申请实施例提供一种证书管理方法及装置,所述方法包 括:确定节点服务器的互联网协议地址;基于安全套接层证书的多种握手 协议与所述互联网协议地址进行握手,获取所述节点服务器上的安全套接 层证书,其中,不同握手协议用于获取不同部署方式的安全套接层证书。
在上述实现过程中,在节点服务器上采用多种握手协议进行握手,获 取该节点服务器上的采用不同部署方式部署的安全套接层证书,进而完整 地获得该节点服务器上以多种部署方式,避免对某个节点服务器采用固定 的单一证书获取方式而仅仅只获取部分证书,提高了证书获取的效率和全 面性。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法, 也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的, 例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方 法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流 程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所 述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标 注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方 框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依 所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及 框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的 基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个 独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集 成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使 用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申 请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的 部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储 介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服 务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步 骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘 等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围, 对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请 的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本 申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示 类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需 要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局 限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可 轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请 的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用 来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者 暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语 “包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使 得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且 还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品 或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……” 限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还 存在另外的相同要素。
Claims (10)
1.一种证书管理方法,其特征在于,所述方法包括:
确定节点服务器的互联网协议地址;
基于安全套接层证书的多种握手协议与所述互联网协议地址进行握手,获取所述节点服务器上的安全套接层证书,其中,不同握手协议用于获取不同部署方式的安全套接层证书。
2.根据权利要求1所述的证书管理方法,其特征在于,所述基于安全套接层证书的多种握手协议与所述互联网协议地址进行握手,获取所述节点服务器上的安全套接层证书,包括:
采用安全套接层握手协议或安全传输层握手协议与所述互联网协议地址进行握手,获取所述节点服务器上以单证书部署方式部署的安全套接层证书;
采用安全传输层协议的服务器名称指示扩展技术确定所述节点服务器的子域名信息,基于所述子域名信息采用所述安全传输层握手协议与所述互联网协议地址进行握手,获取所述节点服务器上以多证书部署方式部署的与不同子域名对应的多个安全套接层证书。
3.根据权利要求2所述的证书管理方法,其特征在于,所述获取所述节点服务器上的安全套接层证书,包括:
基于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取所述节点服务器上以单证书部署方式部署的椭圆曲线数字签名算法安全套接层证书;
基于RSA算法的密钥交换算法的密钥套件,获取所述节点服务器上以单证书部署方式部署的RSA算法安全套接层证书。
4.根据权利要求2所述的证书管理方法,其特征在于,所述获取所述节点服务器上的安全套接层证书,包括:
基于椭圆曲线数字签名算法的密钥交换算法的密钥套件,获取所述节点服务器上以多证书部署方式部署的与不同子域名对应的多个椭圆曲线数字签名算法安全套接层证书;
基于RSA算法的密钥交换算法的密钥套件,获取所述节点服务器上以多证书部署方式部署的与不同子域名对应的多个RSA算法安全套接层证书。
5.根据权利要求1所述的证书管理方法,其特征在于,所述确定节点服务器的互联网协议地址,包括:
通过域名系统解析应用程序编程接口遍历域名的解析记录;
基于所述解析记录确定节点服务器的互联网协议地址。
6.根据权利要求5所述的证书管理方法,其特征在于,所述基于所述解析记录确定节点服务器的互联网协议地址,包括:
在所述解析记录为A记录时,直接基于所述A记录中节点服务器的域名与互联网协议地址的对应关系确定所述节点服务器的互联网协议地址;
在所述解析记录为CNAME记录时,通过支持内容分发网络的域名系统解析技术获取所述域名的别名对应的多个节点服务器的互联网协议地址,所述多个节点服务器中的每个节点服务器为内容分发网络节点服务器。
7.根据权利要求6所述的证书管理方法,其特征在于,所述通过支持内容分发网络的域名系统解析技术获取所述域名的别名对应的多个节点服务器的互联网协议地址,包括:
通过EDNS技术分别模拟内容分发网络中各区域网段,将所述各区域网段在公共域名系统解析服务器中进行解析,获取所述域名的别名对应的不同地区的内容分发网络节点服务器的互联网协议地址。
8.根据权利要求1所述的证书管理方法,其特征在于,在所述获取所述节点服务器上的安全套接层证书之后,所述方法还包括:
基于所述安全套接层证书的所属域名、所属节点服务器和证书类型对所述安全套接层证书进行分类存储。
9.根据权利要求8所述的证书管理方法,其特征在于,在所述基于所述安全套接层证书的所属域名、所属节点服务器和证书类型对所述安全套接层证书进行分类存储之后,所述方法还包括:
从证书维度、节点服务器维度和域名维度对所述安全套接层证书进行管理。
10.一种证书管理装置,其特征在于,所述装置包括:
地址确定模块,用于确定节点服务器的互联网协议地址;
证书获取模块,用于基于安全套接层证书的多种握手协议与所述互联网协议地址进行握手,获取所述节点服务器上的安全套接层证书,其中,不同握手协议用于获取不同部署方式的安全套接层证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910174909.1A CN109905239A (zh) | 2019-03-07 | 2019-03-07 | 一种证书管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910174909.1A CN109905239A (zh) | 2019-03-07 | 2019-03-07 | 一种证书管理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109905239A true CN109905239A (zh) | 2019-06-18 |
Family
ID=66946726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910174909.1A Pending CN109905239A (zh) | 2019-03-07 | 2019-03-07 | 一种证书管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109905239A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324347A (zh) * | 2019-07-08 | 2019-10-11 | 秒针信息技术有限公司 | 一种信息整合方法、装置及电子设备 |
| CN111147251A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 动态签发证书的方法及装置 |
| CN113726917A (zh) * | 2020-05-26 | 2021-11-30 | 网神信息技术(北京)股份有限公司 | 域名确定方法、装置和电子设备 |
| CN113746807A (zh) * | 2021-08-11 | 2021-12-03 | 北银金融科技有限责任公司 | 一种区块链节点支持国密算法通信检测方法 |
| CN113901370A (zh) * | 2021-10-11 | 2022-01-07 | 北京百度网讯科技有限公司 | 证书部署方法、装置、电子设备以及存储介质 |
| CN114124582A (zh) * | 2022-01-27 | 2022-03-01 | 江苏千米网络科技股份有限公司 | 一种免keystore证书进行SSL/TLS协议通信的方法 |
| CN114415881A (zh) * | 2022-01-24 | 2022-04-29 | 东北大学 | 滑雪场环境要素云端实时链接的元宇宙滑雪系统 |
| CN116846953A (zh) * | 2023-08-30 | 2023-10-03 | 北京格尔国信科技有限公司 | 一种证书获取方法、系统及计算机设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110154018A1 (en) * | 2009-12-23 | 2011-06-23 | Christofer Edstrom | Systems and methods for flash crowd control and batching ocsp requests via online certificate status protocol |
| CN102546572A (zh) * | 2010-12-31 | 2012-07-04 | 上海格尔软件股份有限公司 | 一种ssl服务端动态选择证书的实现方法 |
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| CN108574744A (zh) * | 2017-07-28 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种域名解析方法、装置、电子设备及可读存储介质 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN109257349A (zh) * | 2018-09-14 | 2019-01-22 | 北京天融信网络安全技术有限公司 | 一种单ssl服务支持多协议的方法及装置 |
-
2019
- 2019-03-07 CN CN201910174909.1A patent/CN109905239A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110154018A1 (en) * | 2009-12-23 | 2011-06-23 | Christofer Edstrom | Systems and methods for flash crowd control and batching ocsp requests via online certificate status protocol |
| CN102546572A (zh) * | 2010-12-31 | 2012-07-04 | 上海格尔软件股份有限公司 | 一种ssl服务端动态选择证书的实现方法 |
| CN106533689A (zh) * | 2015-09-15 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种在ssl/tls通信中加载数字证书的方法和装置 |
| CN108574744A (zh) * | 2017-07-28 | 2018-09-25 | 北京金山云网络技术有限公司 | 一种域名解析方法、装置、电子设备及可读存储介质 |
| CN109150844A (zh) * | 2018-07-26 | 2019-01-04 | 网易(杭州)网络有限公司 | 确定数字证书的方法、装置和系统 |
| CN109257349A (zh) * | 2018-09-14 | 2019-01-22 | 北京天融信网络安全技术有限公司 | 一种单ssl服务支持多协议的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 知识中心: ""HTTPS与SNI扩展,一个IP绑定多个SSL证书"", 《HTTPS与SNI扩展,一个IP绑定多个SSL证书》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324347A (zh) * | 2019-07-08 | 2019-10-11 | 秒针信息技术有限公司 | 一种信息整合方法、装置及电子设备 |
| CN110324347B (zh) * | 2019-07-08 | 2022-02-25 | 秒针信息技术有限公司 | 一种信息整合方法、装置及电子设备 |
| CN111147251A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 动态签发证书的方法及装置 |
| CN113726917A (zh) * | 2020-05-26 | 2021-11-30 | 网神信息技术(北京)股份有限公司 | 域名确定方法、装置和电子设备 |
| CN113726917B (zh) * | 2020-05-26 | 2024-04-12 | 奇安信网神信息技术(北京)股份有限公司 | 域名确定方法、装置和电子设备 |
| CN113746807A (zh) * | 2021-08-11 | 2021-12-03 | 北银金融科技有限责任公司 | 一种区块链节点支持国密算法通信检测方法 |
| CN113901370B (zh) * | 2021-10-11 | 2023-09-08 | 北京百度网讯科技有限公司 | 证书部署方法、装置、电子设备以及存储介质 |
| CN113901370A (zh) * | 2021-10-11 | 2022-01-07 | 北京百度网讯科技有限公司 | 证书部署方法、装置、电子设备以及存储介质 |
| CN114415881A (zh) * | 2022-01-24 | 2022-04-29 | 东北大学 | 滑雪场环境要素云端实时链接的元宇宙滑雪系统 |
| CN114415881B (zh) * | 2022-01-24 | 2024-02-09 | 东北大学 | 滑雪场环境要素云端实时链接的元宇宙滑雪系统 |
| CN114124582B (zh) * | 2022-01-27 | 2022-04-01 | 江苏千米网络科技股份有限公司 | 一种免keystore证书进行SSL/TLS协议通信的方法 |
| CN114124582A (zh) * | 2022-01-27 | 2022-03-01 | 江苏千米网络科技股份有限公司 | 一种免keystore证书进行SSL/TLS协议通信的方法 |
| CN116846953A (zh) * | 2023-08-30 | 2023-10-03 | 北京格尔国信科技有限公司 | 一种证书获取方法、系统及计算机设备 |
| CN116846953B (zh) * | 2023-08-30 | 2023-11-17 | 北京格尔国信科技有限公司 | 一种证书获取方法、系统及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109905239A (zh) | 一种证书管理方法及装置 | |
| US11502854B2 (en) | Transparently scalable virtual hardware security module | |
| Attia et al. | An IoT-blockchain architecture based on hyperledger framework for health care monitoring application | |
| Shukla et al. | Identification and authentication in healthcare internet-of-things using integrated fog computing based blockchain model | |
| Hu et al. | A survey on data provenance in IoT | |
| US11777914B1 (en) | Virtual cryptographic module with load balancer and cryptographic module fleet | |
| CN111740966B (zh) | 一种基于区块链网络的数据处理方法及相关设备 | |
| US20130254535A1 (en) | Embedded extrinsic source for digital certificate validation | |
| CN110326267A (zh) | 具有替代数字证书的网络安全 | |
| JP2016512411A (ja) | 不正デジタル証明書の自動検出 | |
| Cabrera-Gutiérrez et al. | Integration of hardware security modules and permissioned blockchain in industrial iot networks | |
| TW202046143A (zh) | 資料儲存方法、裝置及設備 | |
| KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
| CN109542862A (zh) | 用于控制文件系统的挂载的方法、装置和系统 | |
| Padmaja et al. | A real-time secure medical device authentication for personal E-Healthcare services on cloud computing | |
| Nidhya et al. | A novel encryption design for wireless body area network in remote healthcare system using enhanced RSA algorithm | |
| CN109067768A (zh) | 一种域名查询安全性的检测方法、系统、设备和介质 | |
| Bojjagani et al. | A secure IoT-based micro-payment protocol for wearable devices | |
| Berbecaru et al. | An evaluation of X. 509 certificate revocation and related privacy issues in the web PKI ecosystem | |
| CN110602218B (zh) | 一种自定义组装云服务的方法及相关装置 | |
| Abubakar et al. | A lightweight and user-centric two-factor authentication mechanism for iot based on blockchain and smart contract | |
| CN110225135B (zh) | 服务器的连接方法、装置、电子设备及存储介质 | |
| CN108141704A (zh) | 先前网络消息处理器的位置标识 | |
| WO2020049754A1 (ja) | 情報処理方法、情報処理プログラム、情報処理装置及び情報処理システム | |
| CN114629631B (zh) | 基于联盟链的数据可信交互方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190618 |
|
| RJ01 | Rejection of invention patent application after publication |