CN110247884B - 一种更新证书的方法、装置、系统及计算机可读存储介质 - Google Patents
一种更新证书的方法、装置、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110247884B CN110247884B CN201811390909.7A CN201811390909A CN110247884B CN 110247884 B CN110247884 B CN 110247884B CN 201811390909 A CN201811390909 A CN 201811390909A CN 110247884 B CN110247884 B CN 110247884B
- Authority
- CN
- China
- Prior art keywords
- certificate
- original
- offline
- new
- request file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种更新证书的方法、装置、系统及计算机可读存储介质,用于解决现有技术存在更新证书安全性低的技术问题。方法包括:认证授权服务器接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
Description
技术领域
本发明涉及物联网领域,特别涉及一种更新证书的方法、装置、系统及计算机可读存储介质。
背景技术
在物联网行业中,越来越多的设备开始引入签名证书的使用。对于一些专网中的离线设备,不能直接连接到公网,因此无法与公网中的认证授权(Certificate Authority,CA)服务器直接通信,这些离线设备在向公网中的认证授权服务器请求更新证书时,需要通过第三方设备作为中间节点来传递数据。但由于中间节点的存在,导致数据在传递过程中很有可能被修改,数据在转送过程中的完整性无法得到保护。可见,现有技术存在更新证书安全性低的技术问题。
发明内容
本发明实施例提供一种更新证书的方法、装置、系统及计算机可读存储介质,用于解决现有技术存在更新证书安全性低的技术问题。
第一方面,本发明实施例提供一种更新证书的方法,包括:
认证授权服务器接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
本实施方式中,离线设备使用原始私钥将证书请求文件签名后再经由第三方设备发送给认证授权服务器,认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验证,由于原始私钥只有离线设备才拥有,使得证书请求文件中的数据在转送过程中不被修改,数据的完整性得到了保护,进而提高了证书更新的安全性。
可选的,所述请求信息还包括所述离线设备的原始证书;所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签包括:
所述认证授权服务器使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
通过本实施方式,认证授权服务器通过验证原始证书,证实此次证书更新请求的发起者的合法身份,确保用于验签证书请求文件的公钥的准确性,进一步提高证书更新的安全性。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签包括:
所述认证授权服务器验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若所述认证授权服务器确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
通过本实施方式,认证授权服务器在确定证书请求文件中的离线设备的特征信息和离线设备的原始证书中的离线设备的特征信息一致后才使用离线设备的原始公钥对签名后的证书请求文件进行验签,以此保证新签发的证书不被其他离线设备使用,进一步提高证书更新的安全性。
可选的,所述认证授权服务器对所述证书请求文件进行证书签发,包括:
所述认证授权服务器使用所述离线设备的原始证书的上级证书的私钥对新证书进行签名;
所述认证授权服务器将签名后的新证书经由所述第三方设备发送给所述离线设备,以使所述离线设备使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥。
本实施方式,认证授权服务器使用离线设备的原始证书的上级证书对新签发的证书进行额外签名认证,说明新签发证书的认证授权服务器是得到原始签发机构的授权的,以此证实认证授权服务器的合法身份,进一步提高证书更新的安全性。
第二方面,本发明实施例提供一种更新证书的方法,包括:
离线设备生成证书请求文件;使用所述离线设备的原始私钥对所述证书请求文件进行签名;
所述离线设备经由第三方设备发送用于请求新证书的请求信息给认证授权服务器,所述请求信息包括签名后的证书请求文件,以使所述认证授权服务器在收到所述请求信息后,使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述离线设备的原始证书。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项。
可选的,使用所述离线设备的原始私钥对所述证书请求文件进行签名之前,还包括:
生成与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;
则所述离线设备在经由第三方设备发送请求信息给认证授权服务器之后,还包括:
所述离线设备经由所述第三方设备接收所述认证授权服务器发送的经所述离线设备的原始证书的上级证书的私钥签名后的新证书;
所述离线设备使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
第三方面,本发明实施例提供一种更新证书的装置,包括:
接收单元,用于接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
处理单元,用于使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述离线设备的原始证书;所述处理单元用于:
使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;所述处理单元用于:
验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述处理单元用于:
使用所述离线设备的原始证书的上级证书的私钥对新证书进行签名;
所述装置还包括发送单元,用于将签名后的新证书经由所述第三方设备发送给所述离线设备,以使所述离线设备使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥。
第四方面,本发明实施例提供一种更新证书的装置,包括:
处理单元,用于生成证书请求文件;使用所述装置的原始私钥对所述证书请求文件进行签名;
发送单元,用于经由第三方设备发送用于请求新证书的请求信息给认证授权服务器,所述请求信息包括签名后的证书请求文件,以使所述认证授权服务器在收到所述请求信息后,使用所述装置的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述装置的原始证书。
可选的,所述证书请求文件包括所述装置的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项。
可选的,所述处理单元还用于:
在使用所述装置的原始私钥对所述证书请求文件进行签名之前,生成与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;
所述装置还包括接收单元,用于在所述发送单元经由第三方设备发送请求信息给认证授权服务器之后,经由所述第三方设备接收所述认证授权服务器发送的经所述装置的原始证书的上级证书的私钥签名后的新证书;
所述处理单元还用于:使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
第五方面,本发明实施例提供一种更新证书的系统,包括认证授权服务器、离线设备以及第三方设备;
所述离线设备用于:向所述第三方设备发送用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
所述第三方设备用于:将所述请求信息转发给所述认证授权服务器;
所述认证授权服务器用于:使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述离线设备的原始证书;
所述认证授权服务器具体用于:使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;
所述认证授权服务器具体用于:验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若所述认证授权服务器确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述认证授权服务器具体用于:
使用所述离线设备的原始证书的上级证书的私钥对新证书进行签名;
将签名后的新证书发送给所述第三方设备;
所述第三方设备还用于:将所述签名后的新证书发送给所述离线设备;
所述离线设备还用于:使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥。
第六方面,本发明实施例提供一种更新证书的装置,包括处理器和存储器;
所述存储器用于存储计算机执行指令,当所述处理器执行所述指令时,使所述装置执行本发明实施例第一方面或第二方面所述的方法。
第七方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行本发明实施例第一方面或第二方面所述的方法。
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
离线设备使用原始私钥将证书请求文件签名后再经由第三方设备发送给认证授权服务器,认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验证,由于原始私钥只有离线设备才拥有,使得证书请求文件中的数据在转送过程中不被修改,数据的完整性得到了保护,进而提高了证书更新的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中更新证书的方法的流程示意图;
图2为本发明实施例中更新证书的方法的流程示意图;
图3为本发明实施例中更新证书的装置的结构示意图;
图4为本发明实施例中更新证书的装置的结构示意图;
图5为本发明实施例中更新证书的装置的结构示意图。
具体实施方式
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本发明实施例的描述中“多个”,是指两个或两个以上。
本发明实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明实施例提供一种更新证书的方法,用于解决现有技术存在更新证书安全性低的技术问题。参照图1,该方法的具体流程包括:
S11:认证授权服务器接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
具体的,上述服务器具体可以为认证授权(Certificate Authority,CA)服务器,或者其它任意类型的同样能够实现认证授权功能的服务器,本发明实施例不做具体限制。离线设备在需要更新证书时,首先生成证书请求文件(该证书请求文件具体可以为CSR,即Certificate Signing Request)以及对应的新私钥,将新私钥保存在本地,将证书请求文件包含在请求信息中发送给第三方设备;第三方设备接收到请求信息后,将该请求信息发送给认证授权服务器。第三方设备的具体实现方式可以是台式电脑、笔记本电脑、服务器等,只要是能够和离线设备以及认证授权服务器通信的电子设备即可,本发明实施例不做具体限制。
S12:所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
具体的,认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验签,如果验签成功,则证明请求信息在传输过程中没有被修改,那么认证授权服务器对证书请求文件进行证书签发,并经由第三方设备将新证书返回给离线设备;反之,如果验签失败,则拒绝签发证书。
在具体实施过程中,新证书的证书链和原始证书的证书链可以相同,也可以不同(即新的证书可以不由原始证书的上级证书对证书请求文件进行签名颁证,而是换一个证书链),本发明实施例不做具体限制。
在本发明实施例中,离线设备使用原始私钥将证书请求文件签名后再经由第三方设备发送给认证授权服务器,认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验证,由于原始私钥只有离线设备才拥有,使得证书请求文件中的数据在转送过程中不被修改,数据的完整性得到了保护,进而提高了证书更新的安全性。
可选的,该请求信息还包括离线设备的原始证书,用于作为离线设备的身份标识(Identity,ID)。认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验签具体包括:认证授权服务器使用信任证书对原始证书进行验证;若验证通过,则使用离线设备的原始公钥对签名后的证书请求文件进行验签。如果认证授权服务器使用信任证书对原始证书进行验证不通过,则认证授权服务器拒绝为离线设备签发证书。
通过本实施方式,认证授权服务器通过验证原始证书,证实此次证书更新请求的发起者的合法身份,确保用于验签证书请求文件的公钥的准确性,进一步提高证书更新的安全性。
可选的,证书请求文件包括离线设备的特征信息,该特征信息具体可以包括网络地址、型号以及出厂信息等。认证授权服务器使用离线设备的原始公钥对签名后的证书请求文件进行验签具体包括:认证授权服务器验证证书请求文件中的离线设备的特征信息是否和离线设备的原始证书中的离线设备的特征信息一致;若认证授权服务器确定证书请求文件中的离线设备的特征信息和离线设备的原始证书中的离线设备的特征信息一致,则使用离线设备的原始公钥对签名后的证书请求文件进行验签。如果认证授权服务器确定证书请求文件中的离线设备的特征信息和离线设备的原始证书中的离线设备的特征信息不一致,则认证授权服务器拒绝为离线设备签发证书。
通过本实施方式,认证授权服务器通过将证书请求文件中的离线设备的特征信息和原始证书中的离线设备的特征信息对比,在确定证书请求文件中的离线设备的特征信息和离线设备的原始证书中的离线设备的特征信息一致后才使用离线设备的原始公钥对签名后的证书请求文件进行验签,以此保证新签发的证书不被其他离线设备使用,进一步提高证书更新的安全性。
可选的,所述认证授权服务器对所述证书请求文件进行证书签发,具体包括:认证授权服务器使用离线设备的原始证书的上级证书的私钥对新证书进行签名;认证授权服务器将签名后的新证书经由第三方设备发送给离线设备。
相应的,离线设备经由第三方设备接收认证授权服务器发送的经离线设备的原始证书的上级证书的私钥签名后的新证书;使用该上级证书的公钥对签名后的新证书进行验签,在验签通过之后,使用新证书更新原始证书,并使用新私钥更新原始私钥,完成证书更新过程。
通过本实施方式,认证授权服务器使用离线设备的原始证书的上级证书对新签发的证书进行额外签名认证,说明新签发证书的认证授权服务器是得到原始签发机构的授权的,以此证实认证授权服务器的合法身份,进一步提高证书更新的安全性。
为了更加清楚地理解本发明实施例技术方案,下面举例一个可能的完整的实施例对本发明实施例技术方案中证书更新过程进行说明。参照图2,证书更新过程主要包括:
S21、离线设备生成证书请求文件和对应的新私钥,将新私钥保存在设备本地,用原始私钥对证书请求文件进行签名;
S22、移动个人计算机(personal computer,PC)导出离线设备更新证书所需的信息;
具体的,移动个人计算机连接到离线设备的网络,然后登录离线设备,并导出离线设备更新证书所需的信息,该信息包括证书请求文件和原始证书。
S23、移动PC切换网络将获取到的信息发送至认证授权服务器请求更新证书;
具体的,移动PC切换网络到认证授权服务器的网络,将获取到的信息发送至认证授权服务器请求更新证书。
S24、认证授权服务器收到请求后,先使用认证授权服务器信任证书,对请求消息中的原始证书进行验证,若验证失败则拒绝签发;
若验证成功,则再使用原始证书中的公钥对证书请求文件的签名进行验签,若验签失败,则拒绝签发;
若验签成功,则验证证书请求文件中离线设备的特征信息是否和原始证书中保存的特征信息一致,若验证失败,则拒绝签发;
S25、在步骤S24中的所有验证过程都通过之后,认证授权服务器对证书请求文件进行证书签发,此过程中签发的新证书可以使用新的证书链;
S26、认证授权服务器使用原始证书的上级证书的私钥对新证书进行一次额外签名,用于离线设备对新证书的签发机构进行认证,保证是原签发机构;
S27、认证授权服务器将新的证书和额外签名发送给移动PC;
S28、移动PC将新证书和额外签名发送给离线设备;
具体的,移动PC将网络切换回设备的网络,将新证书和额外签名导入到离线设备。
S29、离线设备使用原始证书的上级证书对新证书进行验签,若验证不通过,则拒绝更新证书;若验签成功,则删除原始证书和原始私钥,使用新证书和新私钥替代,完成证书更新过程。
在本实施例中,认证授权服务器通过验证原始证书证实了证书更新请求的发起者的合法身份;通过使用原始证书的公钥对证书请求文件进行签名验证,保证了数据在传输过程中没有被修改;通过将证书请求文件中的设备信息和原始证书中的设备信息对比,保证了新签发证书不被使用于其他用途;通过使用原始证书的上级证书对新签发的证书进行额外签名认证,说明新签发证书的服务器是得到原始签发机构的授权的,证实了认证授权服务器的合法身份。本实施例使得离线设备证书更新的全部过程都得到了安全性保障。
基于同一发明构思,本发明实施例还提供一种更新证书的装置,参照图3,包括:
接收单元31,用于接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
处理单元32,用于使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述离线设备的原始证书;所述处理单元32用于:
使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;所述处理单元32用于:
验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述处理单元32用于:
使用所述离线设备的原始证书的上级证书的私钥对新证书进行签名;
所述装置还包括发送单元,用于将签名后的新证书经由所述第三方设备发送给所述离线设备,以使所述离线设备使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥。
本发明所述方法和装置基于同一发明构思,由于方法及装置解决问题的原理相似,以上各单元所执行操作的具体实现方式可以参照本发明实施例上述方法中认证授权服务器执行的对应步骤,因此装置与方法的实施可以相互参见,重复之处不再赘述。
基于同一发明构思,本发明实施例还提供一种更新证书的装置,参照图4,包括:
处理单元41,用于生成证书请求文件;使用所述装置的原始私钥对所述证书请求文件进行签名;
发送单元42,用于经由第三方设备发送用于请求新证书的请求信息给认证授权服务器,所述请求信息包括签名后的证书请求文件,以使所述认证授权服务器在收到所述请求信息后,使用所述装置的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述装置的原始证书。
可选的,所述证书请求文件包括所述装置的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项。
可选的,所述处理单元41还用于:
在使用所述装置的原始私钥对所述证书请求文件进行签名之前,生成与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;
所述装置还包括接收单元,用于在所述发送单元42经由第三方设备发送请求信息给认证授权服务器之后,经由所述第三方设备接收所述认证授权服务器发送的经所述装置的原始证书的上级证书的私钥签名后的新证书;
所述处理单元41还用于:使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
本发明所述方法和装置基于同一发明构思,由于方法及装置解决问题的原理相似,以上各单元所执行操作的具体实现方式可以参照本发明实施例上述方法中离线设备执行的对应步骤,因此装置与方法的实施可以相互参见,重复之处不再赘述。
基于同一发明构思,本发明实施例还提供一种更新证书的系统,包括认证授权服务器、离线设备以及第三方设备;
所述离线设备用于:向所述第三方设备发送用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;
所述第三方设备用于:将所述请求信息转发给所述认证授权服务器;
所述认证授权服务器用于:使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发。
可选的,所述请求信息还包括所述离线设备的原始证书;
所述认证授权服务器具体用于:使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;
所述认证授权服务器具体用于:验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若所述认证授权服务器确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
可选的,所述认证授权服务器具体用于:
使用所述离线设备的原始证书的上级证书的私钥对新证书进行签名;
将签名后的新证书发送给所述第三方设备;
所述第三方设备还用于:将所述签名后的新证书发送给所述离线设备;
所述离线设备还用于:使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥。
基于同一发明构思,本发明实施例还提供一种更新证书的装置,参照图5,包括:处理器51和存储器52;
所述存储器52用于存储计算机执行指令,当所述处理器51执行所述指令时,使所述装置执行本发明实施例所述的方法。
基于同一发明构思,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行本发明实施例所述的方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种更新证书的方法,其特征在于,包括:
认证授权服务器接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;其中,所述原始私钥只保存在所述离线设备中;
所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发;
其中,所述认证授权服务器对所述证书请求文件进行证书签发,包括:
所述认证授权服务器使用所述离线设备的原始证书的上级证书的私钥对新证书进行额外签名;其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;所述认证授权服务器将签名后的新证书经由所述第三方设备发送给所述离线设备,以使所述离线设备使用所述原始证书的上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥;所述新私钥为所述离线设备生成的与所述证书请求文件对应的私钥。
2.如权利要求1所述的方法,其特征在于,所述请求信息还包括所述离线设备的原始证书;所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签包括:
所述认证授权服务器使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
3.如权利要求1所述的方法,其特征在于,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;所述认证授权服务器使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签包括:
所述认证授权服务器验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若所述认证授权服务器确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
4.一种更新证书的方法,其特征在于,包括:
离线设备生成证书请求文件;使用所述离线设备的原始私钥对所述证书请求文件进行签名;其中,所述原始私钥只保存在所述离线设备中;
所述离线设备经由第三方设备发送用于请求新证书的请求信息给认证授权服务器,所述请求信息包括签名后的证书请求文件,以使所述认证授权服务器在收到所述请求信息后,使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发;
其中,所述使用所述离线设备的原始私钥对所述证书请求文件进行签名之前,还包括:
生成与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;
则所述离线设备在经由第三方设备发送请求信息给认证授权服务器之后,还包括:
所述离线设备经由所述第三方设备接收所述认证授权服务器发送的经所述离线设备的原始证书的上级证书的私钥额外签名后的新证书;其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;所述离线设备使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
5.如权利要求4所述的方法,其特征在于,所述请求信息还包括所述离线设备的原始证书。
6.如权利要求4所述的方法,其特征在于,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项。
7.一种更新证书的装置,其特征在于,包括:
接收单元,用于接收离线设备经由第三方设备发送的用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;其中,所述原始私钥只保存在所述离线设备中;
处理单元,用于使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发;
其中,所述处理单元还用于:使用所述离线设备的原始证书的上级证书的私钥对新证书进行额外签名;
所述装置还包括发送单元,用于将签名后的新证书经由所述第三方设备发送给所述离线设备,以使所述离线设备使用所述原始证书的上级证书的公钥对所述签名后的新证书进行额外验签,其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;在验签通过之后,使用所述新证书更新所述原始证书,使用所述证书请求文件对应的新私钥更新所述原始私钥;所述新私钥为所述离线设备生成的与所述证书请求文件对应的私钥。
8.如权利要求7所述的装置,其特征在于,所述请求信息还包括所述离线设备的原始证书;所述处理单元用于:
使用信任证书对所述原始证书进行验证;
若验证通过,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
9.如权利要求7所述的装置,其特征在于,所述证书请求文件包括所述离线设备的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项;所述处理单元用于:
验证所述证书请求文件中的所述离线设备的特征信息是否和所述离线设备的原始证书中的所述离线设备的特征信息一致;
若确定所述证书请求文件中的所述离线设备的特征信息和所述离线设备的原始证书中的所述离线设备的特征信息一致,则使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签。
10.一种更新证书的装置,其特征在于,包括:
处理单元,用于生成证书请求文件;使用所述装置的原始私钥对所述证书请求文件进行签名;其中,所述原始私钥只保存在离线设备中;
发送单元,用于经由第三方设备发送用于请求新证书的请求信息给认证授权服务器,所述请求信息包括签名后的证书请求文件,以使所述认证授权服务器在收到所述请求信息后,使用所述装置的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发;
其中,所述处理单元还用于:在使用所述装置的原始私钥对所述证书请求文件进行签名之前,生成与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;
所述装置还包括接收单元,用于在所述发送单元经由第三方设备发送请求信息给认证授权服务器之后,经由所述第三方设备接收所述认证授权服务器发送的经所述装置的原始证书的上级证书的私钥额外签名后的新证书;其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;
所述处理单元还用于:使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
11.如权利要求10所述的装置,其特征在于,所述请求信息还包括所述装置的原始证书。
12.如权利要求10所述的装置,其特征在于,所述证书请求文件包括所述装置的特征信息,所述特征信息包括网络地址、型号以及出厂信息中的至少一项。
13.一种更新证书的系统,其特征在于,所述系统包括认证授权服务器、离线设备以及第三方设备;
所述离线设备用于:生成证书请求文件以及与所述证书请求文件对应的新私钥,并将所述新私钥保存在本地;向所述第三方设备发送用于请求新证书的请求信息,所述请求信息包括经所述离线设备的原始私钥签名后的证书请求文件;其中,所述原始私钥只保存在所述离线设备中;
所述第三方设备用于:将所述请求信息转发给所述认证授权服务器;
所述认证授权服务器用于:使用所述离线设备的原始公钥对所述签名后的证书请求文件进行验签,在验签成功后对所述证书请求文件进行证书签发;
其中,所述认证授权服务器用于对所述证书请求文件进行证书签发时,具体用于:使用所述离线设备的原始证书的上级证书的私钥对新证书进行额外签名;其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;
所述认证授权服务器还用于:将签名后的新证书发送给所述第三方设备;
所述第三方设备还用于:将所述签名后的新证书转发给所述离线设备;
所述离线设备还用于:接收所述认证授权服务器发送的经所述离线设备的原始证书的上级证书的私钥额外签名后的新证书;其中,所述额外签名用于所述离线设备对所述新证书的签发机构的身份进行合法性认证;使用所述上级证书的公钥对所述签名后的新证书进行验签,在验签通过之后,使用所述新证书更新所述原始证书,使用所述新私钥更新所述原始私钥。
14.一种更新证书的装置,其特征在于,包括处理器和存储器;
所述存储器用于存储计算机执行指令,当所述处理器执行所述指令时,使所述装置执行如权利要求1-6任意一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-6任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811390909.7A CN110247884B (zh) | 2018-11-21 | 2018-11-21 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811390909.7A CN110247884B (zh) | 2018-11-21 | 2018-11-21 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110247884A CN110247884A (zh) | 2019-09-17 |
| CN110247884B true CN110247884B (zh) | 2023-05-19 |
Family
ID=67882433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811390909.7A Active CN110247884B (zh) | 2018-11-21 | 2018-11-21 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110247884B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639306A (zh) * | 2020-04-28 | 2020-09-08 | 深圳壹账通智能科技有限公司 | 离线软件授权方法、装置、设备及存储介质 |
| CN112702312B (zh) * | 2020-11-30 | 2023-07-11 | 航天信息股份有限公司 | 一种基于国密算法的轻量级物联网数字证书的处理方法及系统 |
| CN112511297B (zh) * | 2020-11-30 | 2022-03-11 | 郑州信大捷安信息技术股份有限公司 | 一种密钥对和数字证书的更新方法和系统 |
| EP4264881A4 (en) | 2020-12-18 | 2024-05-29 | Visa Int Service Ass | PROCEDURE AND SYSTEM FOR AUTHENTICATION AUTHORIZATIONS |
| CN113221074B (zh) * | 2021-05-24 | 2023-08-25 | 北京比特安索信息技术有限公司 | 一种离线授权方法 |
| CN116349198B (zh) * | 2021-07-23 | 2023-12-22 | 维萨国际服务协会 | 用于认证凭证的方法和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN102790678A (zh) * | 2012-07-11 | 2012-11-21 | 飞天诚信科技股份有限公司 | 一种认证方法及系统 |
| CN103780632A (zh) * | 2014-02-28 | 2014-05-07 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种互联网文件完整性验证方法及其系统 |
| CN106878009A (zh) * | 2017-02-21 | 2017-06-20 | 蔚来汽车有限公司 | 密钥更新方法及系统 |
| CN107743067A (zh) * | 2017-11-30 | 2018-02-27 | 美的智慧家居科技有限公司 | 数字证书的颁发方法、系统、终端以及存储介质 |
| CN108667780A (zh) * | 2017-03-31 | 2018-10-16 | 华为技术有限公司 | 一种身份认证的方法、系统及服务器和终端 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US8046587B2 (en) * | 2005-12-12 | 2011-10-25 | Qualcomm Incorporated | Method off-line authentication on a limited-resource device |
| CN101090316B (zh) * | 2006-06-16 | 2011-04-20 | 普天信息技术研究院 | 离线状态下存储卡与终端设备之间的身份认证方法 |
| CN100563151C (zh) * | 2006-08-31 | 2009-11-25 | 普天信息技术研究院 | 一种数字证书更新方法及系统 |
| KR20080104594A (ko) * | 2007-05-28 | 2008-12-03 | 삼성전자주식회사 | 오프라인 장치를 위한 온라인 인증서 검증 장치 및 방법 |
| CN101483866B (zh) * | 2009-02-11 | 2011-03-16 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及系统 |
| CN106936577B (zh) * | 2015-12-29 | 2020-11-03 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
| US10374810B2 (en) * | 2017-01-05 | 2019-08-06 | Bank Of America Corporation | Middleware system validation tool |
| CN107682160B (zh) * | 2017-10-31 | 2020-08-28 | 美的智慧家居科技有限公司 | 一种生产设备的认证方法及装置、电子设备 |
-
2018
- 2018-11-21 CN CN201811390909.7A patent/CN110247884B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN102790678A (zh) * | 2012-07-11 | 2012-11-21 | 飞天诚信科技股份有限公司 | 一种认证方法及系统 |
| CN103780632A (zh) * | 2014-02-28 | 2014-05-07 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种互联网文件完整性验证方法及其系统 |
| CN106878009A (zh) * | 2017-02-21 | 2017-06-20 | 蔚来汽车有限公司 | 密钥更新方法及系统 |
| CN108667780A (zh) * | 2017-03-31 | 2018-10-16 | 华为技术有限公司 | 一种身份认证的方法、系统及服务器和终端 |
| CN107743067A (zh) * | 2017-11-30 | 2018-02-27 | 美的智慧家居科技有限公司 | 数字证书的颁发方法、系统、终端以及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于离线证书签发的分布式MANET公钥管理;黄梅荪;杨寿保;张蕾;李宏伟;;计算机工程(第07期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110247884A (zh) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110247884B (zh) | 一种更新证书的方法、装置、系统及计算机可读存储介质 | |
| CN108111314B (zh) | 数字证书的生成和校验方法及设备 | |
| CN110264200B (zh) | 区块链数据处理方法及装置 | |
| CN103067402B (zh) | 数字证书的生成方法和系统 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN105701372A (zh) | 一种区块链身份构建及验证方法 | |
| CN110570569B (zh) | 虚拟钥匙配置信息的激活方法、移动终端及服务器 | |
| CN112165382B (zh) | 软件授权方法、装置、授权服务端及终端设备 | |
| CN109005032B (zh) | 一种路由方法和装置 | |
| CN113541970B (zh) | 分布式标识符的使用方法和分布式标识符使用系统 | |
| CN113271543B (zh) | 车辆的通信方法、装置和电子设备 | |
| CN111181945B (zh) | 数字身份管理方法、装置、存储介质及电子设备 | |
| US20210241270A1 (en) | System and method of blockchain transaction verification | |
| CN112084234A (zh) | 数据获取方法、装置、设备和介质 | |
| CN111314172A (zh) | 基于区块链的数据处理方法、装置、设备及存储介质 | |
| KR20080104594A (ko) | 오프라인 장치를 위한 온라인 인증서 검증 장치 및 방법 | |
| CN108683506B (zh) | 一种数字证书申请方法、系统、雾节点和证书授权中心 | |
| CN108075895B (zh) | 一种基于区块链的节点许可方法和系统 | |
| CN112311779A (zh) | 应用于区块链系统的数据访问控制方法及装置 | |
| CN111698204B (zh) | 一种双向身份认证的方法及装置 | |
| CN102752308A (zh) | 通过网络提供数字证书综合业务系统及其实现方法 | |
| US9038143B2 (en) | Method and system for network access control | |
| CN116707758A (zh) | 可信计算设备的认证方法、设备和服务器 | |
| CN107979579B (zh) | 一种安全认证方法和安全认证设备 | |
| CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |