CN111049660A - 证书分发方法、系统、装置及设备、存储介质 - Google Patents
证书分发方法、系统、装置及设备、存储介质 Download PDFInfo
- Publication number
- CN111049660A CN111049660A CN202010181055.2A CN202010181055A CN111049660A CN 111049660 A CN111049660 A CN 111049660A CN 202010181055 A CN202010181055 A CN 202010181055A CN 111049660 A CN111049660 A CN 111049660A
- Authority
- CN
- China
- Prior art keywords
- equipment
- digital certificate
- target
- certificate
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000004044 response Effects 0.000 claims description 59
- 238000004891 communication Methods 0.000 claims description 50
- 238000005516 engineering process Methods 0.000 description 7
- 238000009434 installation Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种证书分发方法、系统、装置及设备、存储介质,可减轻CA设备的压力。该方法应用于电子设备,该方法包括:接收用户输入的用户认证信息,将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
Description
技术领域
本发明涉及设备安全技术领域,尤其涉及的是一种证书分发方法、系统、装置及设备、存储介质。
背景技术
随着物联网的广泛应用,物联网环境中的安全问题需要得到充分考虑。为保证物联网的安全性,将PKI(公钥基础设施,PublicKeyInfrastructure)技术应用在物联网中。PKI技术依赖于CA设备(证书颁发机构)设备签发的数字证书的交换,并根据数字证书来验证设备身份,只有通过验证才可进行数据传输,以确保数据传输的安全性和正确性。
通常的证书分发方式中,需要将待分发证书的所有目标设备置于安全的物理环境中,比如具有监控、门禁或专职安全用户的环境中,通过CA设备对目标设备进行认证来实现目标设备的合法性验证,验证为合法后进行证书分发。
上述方式中,在需要为多个目标设备分发证书时,需要CA设备对各目标设备进行一一认证以实现合法性验证,CA设备的压力较大。
发明内容
有鉴于此,本发明提供一种证书分发方法、系统、装置及设备、存储介质,可减轻CA设备的压力。
本发明第一方面提供一种证书分发方法,应用于电子设备,该方法包括:
接收用户输入的用户认证信息;
将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
根据本发明的一个实施例,所述向所述目标设备转发所述CA设备分发的数字证书包括:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
根据本发明的一个实施例,
将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证包括:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
向所述CA设备转发所述数字证书请求信息包括:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
根据本发明的一个实施例,在向所述目标设备转发所述数字证书之后,该方法进一步包括:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
根据本发明的一个实施例,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
本发明第二方面提供一种证书分发系统,包括:电子设备,及分别与所述电子设备相连接的目标设备、证书颁发机构CA设备;
所述电子设备用于:接收用户输入的用户认证信息,将所述用户认证信息发送给所述CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备,以及接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书;
所述CA设备用于:接收来自所述电子设备的用户认证信息,对所述用户认证信息进行认证并向所述电子设备发送认证结果,以及向所述电子设备发送数字证书;
所述目标设备用于:获取所述电子设备转发的来自所述CA设备的数据证书。
根据本发明的一个实施例,所述电子设备向所述目标设备转发所述CA设备分发的数字证书时,具体用于:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
根据本发明的一个实施例,
所述电子设备将所述用户认证信息发送给CA设备进行认证时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
所述电子设备向所述CA设备转发所述数字证书请求信息时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
根据本发明的一个实施例,所述电子设备在向所述目标设备转发所述数字证书之后,进一步用于:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
根据本发明的一个实施例,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
本发明第三方面提供一种证书分发装置,应用于电子设备,该装置包括:
用户认证信息接收模块,用于接收用户输入的用户认证信息;
用户认证信息认证模块,用于将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
数字证书分发模块,用于接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
根据本发明的一个实施例,所述数字证书分发模块向所述目标设备转发所述CA设备分发的数字证书时,具体用于:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
根据本发明的一个实施例,所述用户认证信息认证模块将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
所述数字证书分发模块向所述CA设备转发所述数字证书请求信息时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
根据本发明的一个实施例,所述数字证书分发模块在向所述目标设备转发所述数字证书之后,进一步用于:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
根据本发明的一个实施例,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
本发明第四方面提供一种电子设备,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如前述实施例所述的证书分发方法。
本发明第五方面提供一种机器可读存储介质,其上存储有程序,该程序被处理器执行时,实现如前述实施例所述的证书分发方法。
本发明实施例具有以下有益效果:
本发明实施例中,电子设备可接收用户输入的用户认证信息,并将用户认证信息发送给CA设备进行认证,在用户认证信息被CA设备通过认证的情况下,说明用户是可被信任的,同时可以确定与电子设备相连接的目标设备为合法设备,所以,电子设备收到CA设备的认证结果后,在认证结果指示所述用户认证信息通过认证时,可以向目标设备转发CA设备分发的数字证书,上述方式中通过对用户认证信息的认证来确认目标设备的合法性,无需通过CA设备对每个需分发证书的目标设备进行一一认证,可减轻CA设备的负担。
附图说明
图1是本发明一实施例的证书分发方法的流程示意图;
图2是本发明一实施例的证书分发系统的结构框图;
图3是本发明一实施例的证书分发装置的结构框图;
图4是本发明一实施例的证书分发系统中目标设备、电子设备与CA设备之间的交互示意图;
图5是本发明一实施例的电子设备的结构框图。
具体实施例
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本发明相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种器件,但这些信息不应限于这些术语。这些术语仅用来将同一类型的器件彼此区分开。例如,在不脱离本发明范围的情况下,第一器件也可以被称为第二器件,类似地,第二器件也可以被称为第一器件。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使得本发明的描述更清楚简洁,下面对本发明中的一些技术术语进行解释:
PKI:PublicKeyInfrastructure的英文缩写,是以公开密钥技术为基础,以数据保密性、完整性、安全性和不可抵赖性为目的,提供安全服务的普遍适用的安全基础设施,是硬件、软件、人员、策略和操作规程的总和。它依赖于数字证书的交换,通过证书中的用户签名来确认当前用户的身份,以此来确保数据传输的安全性和正确性,同时可以管理来自下级或是本级的身份证书。
CA:证书颁发机构(Certification Authority),对数字证书进行全生命周期管理的实体,也称为电子认证服务机构。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。
数字证书:也称公钥证书,由CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书,按用途可分为签名证书和加密证书。
CSR:Certificate Signing Request的英文缩写,即证书请求文件,用于CA设备生成数字证书。
本发明实施例可以应用在物联网场景中,为物联网设备分发所需的数字证书,以实现物联网设备之间的安全通信。当然,具体场景并不限于此,其他需要进行安全通信的场景均适用。
下面对本发明第一方面提供的证书分发方法进行具体的描述,但不应以此为限。
在一个实施例中,参看图1,一种证书分发方法,应用于电子设备,该方法包括:
S100:接收用户输入的用户认证信息;
S200:将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
S300:接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
本发明实施例中,证书分发方法的执行主体为电子设备。该电子设备可以为专用于证书分发的设备,或者可以具有证书分发、及其他功能的设备,具体设备类型不限。可选的,电子设备可以为手持设备,以便于用户手持该电子设备到待分发证书的目标设备的安装现场,在安装现场完成目标设备的证书分发。
电子设备可以连接一个或多个目标设备。目标设备可以为已上线设备(比如已处于物联网中的设备)、或未上线的设备(比如将要应用到物联网中的设备)。
如果目标设备是前期并未使用数字证书的已上线设备,由于安全需要或业务功能需要,后续又要使用数字证书,采用本发明实施例的证书分发方法,无需将目标设备集中到安全的物理环境中,在安装现场即可完成证书分发,可以避免对大量已上线设备的拆卸与重装,减少时间与精力的耗费,降低分发成本。
本发明实施例中,CA设备可以是各类场景中的CA设备,比如,行业性CA设备、区域性CA设备、商业性CA设备等。换言之,本发明实施例中,电子设备可以对接各类CA设备,应用面较广。
在执行步骤S100之前,可以先将电子设备分别与目标设备、及证书颁发机构CA设备建立连接,以构成证书分发系统。电子设备在更换连接多个不同的目标设备的情况下,可以针对每个目标设备,通过上述步骤S100-S300进行证书分发。或者,电子设备在同时连接多个不同的目标设备的情况下,可以经过一次用户认证信息的认证,来实现多个目标设备的证书分发。
图2示例性地示出了一种证书分发系统,包括:目标设备300、CA设备400及电子设备500。电子设备500通过第一通信接口与目标设备300连接;电子设备500通过第二通信接口与CA设备400连接;电子设备500还具有授权接口,可以通过授权接口接收用户输入的信息。当然,电子设备除了上述接口之外,还包括其他的器部件,比如处理器等。
步骤S100中,接收用户输入的用户认证信息。
电子设备与CA设备之间建立连接后,可以向CA设备发送证书分发请求。CA设备在收到证书分发请求后,在当前满足证书分发条件(比如存在空闲的处理资源)时,可以返回身份验证通知给电子设备。电子设备在收到身份验证通知后,可以进行用户认证信息输入提示,以便用户可以及时输入用户认证信息。
用户认证信息是由用户输入的。比如,参看图2,用户可以通过电子设备500的授权接口输入用户认证信息。输入的方式比如可以为人脸采集、语音采集、指纹采集、键盘输入、USB输入等。其中,电子设备500的授权接口的形式与相应的输入方式适配。当然,上述用户认证信息的输入方式仅是举例,具体不限于此。
用户认证信息可以包括人脸图像、指纹图像、口令、和/或Ukey(内置用户证书)等。用户认证信息的具体内容不限,只要能够表征当前负责监管证书分发的用户身份即可。
用户认证信息可以是在用户确认目标设备为合法设备时输入的。用户可以手持电子设备到目标设备所在的安装现场,并确认目标设备为合法设备的情况下,在电子设备上输入用户认证信息。
用户认证信息可以是在用户确定目标设备处于证书分发状态时输入的。具体的,用户可以在现场检查目标设备是否合法,在确认目标设备合法的情况下,控制目标设备进入证书分发状态,在目标设备进入证书分发状态之后,输入用户认证信息至电子设备。
目标设备可以由用户控制启动,在启动之后自动进入到证书分发状态。当然,目标设备也可以在运行状态下,由用户或者电子设备触发而进入证书分发状态,具体进入证书分发状态的方式不限。
当然,用户认证信息也可以在其他情况下输入,只要能够保证用户认证信息是用户确认目标设备为合法设备即可。比如,用户认证信息可以是在目标设备与电子设备之间的距离小于指定距离时由用户输入至电子设备的,指定距离比如可以是用户可见的范围内的距离、或者目标设备与电子设备之间可实现短距离通信的范围,具体不限。
用户认证信息可以表明用户对目标设备合法性的肯定,只要用户是合法的,就说明用户的认定是准确的,即可以确定目标设备是合法的。因此,可以对用户认证信息进行认证,用户认证信息通过认证,说明用户是合法的,也就是说,目标设备为合法设备。
步骤S200中,将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备。
电子设备收到用户认证信息后,可以通过电子设备与CA设备之间的连接将用户认证信息发送给CA设备。CA设备收到用户认证信息后,会对该用户认证信息进行认证。
CA设备对用户认证信息进行认证时,可以检查已设置的合法用户的用户信息中是否存在与该用户认证信息匹配的用户信息,如果存在,则确定该用户认证信息通过认证,输入用户认证信息的用户为合法用户。
当然,用户认证信息的具体认证方式可以根据用户认证信息的具体内容而定。以用户认证信息为人脸图像为例,可以提取人脸图像中的特征信息,并在特征信息库中查找该特征信息,特征信息库中记录了从合法用户的人脸图像中提取的特征信息,如果查找到,确定该用户认证信息通过认证,否则,确定用户认证信息未通过认证。
认证完成时,CA设备将认证结果发送给电子设备。如果CA设备确定用户认证信息通过认证,则该认证结果指示用户认证信息通过认证;如果CA设备确定用户认证信息未通过认证,则该认证结果指示用户认证信息未通过认证。
通过CA设备对用户认证信息进行认证,来决定是否进行证书分发,好处在于:一方面,可以由用户到达目标设备的安装现场,来授权完成证书分发操作,便捷性更高;另一方面,需有用户确认设备的合法性,只要用户的身份是合法的,就可以确保设备的合法性,用户的身份可以由CA设备根据用户认证信息远程认证,CA设备与用户之间形成信任链,可以省去对目标设备进行合法性验证的过程。
步骤S300中,接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
电子设备可以通过与CA设备之间的连接接收认证结果。
如果认证结果指示用户认证信息通过认证,说明用户认证信息是可被信任的,用户是合法的,此时,电子设备向所述目标设备转发所述CA设备分发的数字证书。比如,电子设备可以进入证书分发状态,触发所述目标设备与所述CA设备交互,电子设备作为目标设备与所述CA设备交互的中间方,向所述目标设备转发所述CA设备分发的数字证书。
如果收到的认证结果指示用户认证信息未通过认证,说明用户认证信息不可被信任。在此情况下,有可能是用户输错了的用户认证信息,可以对用户认证信息未通过认证的信息进行提示,以便于用户输入正确的用户认证信息。当然也有可能是用户是不合法的,如果用户在一段时间内连续输入用户认证信息的次数达到设定次数且连续输入的用户认证信息均未通过认证,可以禁止用户认证信息的输入,在一定时间之后再重新允许用户认证信息的输入。
通过上述方式,只有在用户认证信息被CA设备通过认证时,才会向所述目标设备转发所述CA设备分发的数字证书,通过CA设备对用户认证信息的认证来保证证书分发的安全性。
本发明实施例中,电子设备可接收用户输入的用户认证信息,并将用户认证信息发送给CA设备进行认证,在用户认证信息被CA设备通过认证的情况下,说明用户是可被信任的,同时可以确定与电子设备相连接的目标设备为合法设备,所以,电子设备收到CA设备的认证结果后,在认证结果指示所述用户认证信息通过认证时,可以向目标设备转发CA设备分发的数字证书,上述方式中通过对用户认证信息的认证来确认目标设备的合法性,无需通过CA设备对每个需分发证书的目标设备进行一一认证,可减轻CA设备的负担。
此外,在电子设备为手持设备的情况下,用户可手持电子设备到达目标设备的安装现场实现整个证书分发过程,通过用户认证信息的认证来保证安全性,无需将所有目标设备集中到某个安全的物理环境中后再进行证书分发,也就无需将目标设备拆卸后重装,在保证证书分发安全性的基础上,降低分发成本。
在一个实施例中,上述方法流程可由证书分发装置100执行,如图2所示,证书分发装置100可以包含3个模块:用户认证信息接收模块101、用户认证信息认证模块102和数字证书分发模块103。用户认证信息接收模块101用于执行上述步骤S100,用户认证信息认证模块102用于执行上述步骤S200,数字证书分发模块103用于执行上述步骤S300。
在一个实施例中,步骤S300中,所述向所述目标设备转发所述CA设备分发的数字证书,可以包括以下步骤:
S301:向所述目标设备发送签名证书请求;
S302:接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
S303:向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
S304:接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
步骤S301中,向所述目标设备发送签名证书请求。
电子设备在确认收到的认证结果指示用户认证信息通过认证时,可向目标设备发送签名证书请求发送给目标设备。签名证书请求用于请求需签名的数字证书请求信息。
目标设备可以处于证书分发状态中,当接收到电子设备发送的签名证书请求时,目标设备可生成数字证书请求信息或者从本地获取已生成的数字证书请求信息,并将数字证书请求信息发送给电子设备。其中,数字证书请求信息携带有目标设备已生成的签名密钥对中的公钥。
数字证书请求信息可以包括证书请求文件CSR,CSR中包含公钥。目标设备收到签名证书请求后,可以生成签名密钥对,签名密钥对包括对数据加密所需的私钥和对应的公钥,并生成包含签名密钥对中的公钥的CSR。CSR中除了公钥,还可以包含其他生成数字证书所需的信息,比如目标设备的归属信息、域名等信息。当然,签名密钥对也可以在接收到签名证书请求之前,就已经由目标设备生成好,具体生成时机不限。
本实施例中,签名密钥对是由目标设备自身生成的,而非由外部设备生成,保证目标设备的私钥的可靠性,可以避免私钥被其他设备拥有而导致的一些设备伪造成目标设备的问题。
步骤S302中,接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥。
电子设备向目标设备发送签名证书请求之后,接收目标设备依据接收的签名证书请求返回的数字证书请求信息。当然,如果一定时间后仍未收到目标设备返回的数字证书请求信息,电子设备可以再次向目标设备发送签名证书请求,直至发送次数达到上限。
步骤S303中,向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据。
电子设备收到数字证书请求信息后,将该数字证书请求信息转发给CA设备。其中,电子设备起到了转发数字证书请求信息的作用,由于电子设备接收的用户认证信息已经被CA设备通过认证,所以电子设备本身是可信任的,也就确保数字证书请求信息的转发安全性。
CA设备收到数字证书请求信息后,可以依据数字证书请求信息生成数字证书,并将数字证书发送给电子设备。CA设备依据数字证书请求信息生成数字证书的方式,比如可以为,用已设置的根私钥对数字证书请求信息进行签名,得到数字证书。将数字证书发送给电子设备时,可将CA设备中已设置的根公钥与数字证书一同发送给电子设备。
其中,CA设备中的根私钥与根公钥是对应的,根私钥用于对数字证书请求信息进行签名得到数字证书,而根公钥则用于对数字证书进行解签得到数字证书请求信息,进而可以得到数字证书中的公钥。
步骤S304中,接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
电子设备在接收到数字证书后,将数字证书转发给目标设备,如果还收到与数字证书一同发送的相关信息比如根公钥,则将数字证书与根公钥一起转发给目标设备。
其中,电子设备起到了转发数字证书的作用,由于电子设备接收的用户认证信息已经被CA设备通过认证,所以电子设备本身是安全的,也就确保数字证书的转发安全性。
目标设备收到数字证书后,可以将数字证书、签名密钥对、根公钥保存在本地。在目标设备需要与其他已被CA设备分发了数字证书的设备(下面用设备C表示)通信时,可以依据保存的数字证书、签名密钥对中的私钥及所述根公钥与设备C进行通信,保证通信的安全性。
可选的,依据保存的数字证书、签名密钥对中的私钥及所述根公钥与设备C进行通信可以包括:
依据签名密钥对中的私钥将需发送的数据进行加密,得到加密数据;
将目标设备中保存的数字证书和所述加密数据发送给设备C,以使设备C根据从CA设备中获取的根公钥对接收的数字证书进行解签,得到数字证书中的公钥,并利用得到的公钥对接收的加密数据进行解密。
可选的,依据保存的数字证书、签名密钥对中的私钥及所述根公钥与设备C进行通信,进一步可以包括:
接收来自设备C发送的数字证书和由设备C保存的签名密钥对中的私钥进行加密的加密数据;
依据已保存的根公钥对将接收的数字证书进行解签,得到接收的数字证书中的公钥;
根据得到的公钥对接收的加密数据进行解密,得到所需的数据。
当然,此处仅是例举的目标设备与其他设备进行通信的一种方式,具体并不作为限制,还可以有其他方式,比如双方互发数字证书给对方并且双方均对接收的数字证书解签成功的情况下,再进行加密数据的传输。
可选的,电子设备在向CA设备转发数字证书请求信息之后,可以删除本地的数字证书请求信息;以及,电子设备在向目标设备转发数字证书之后,可以删除本地的数字证书。换言之,电子设备本地不保留数字证书请求信息,也不保留数字证书,如此可以保证数字证书请求信息、及数字证书的安全性。
在一个实施例中,电子设备在接收用户输入的用户认证信息之前,还可以在所述电子设备与所述CA设备之间建立安全通道,所述安全通道用于所述电子设备与所述CA设备之间的通信。
相应的,步骤S200中,将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证包括:
通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证。
相应的,步骤S303中,向所述CA设备转发所述数字证书请求信息包括:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
当然,在电子设备与CA设备建立安全通道后,不仅用户认证信息、数字证书可以通过安全通道传输,其他需在电子设备与CA设备之间传输的信息,都可以通过安全通道进行传输,比如证书分发请求、对用户认证信息的认证结果等。
安全通道是可以保证电子设备与CA设备之间安全通信的通道,可以是传输数据时会对数据进行加密的通道。通过电子设备与CA设备之间的安全通道来实现两者的通信,可以保证电子设备与CA设备之间传输的用户认证信息、数字证书等信息的安全性,避免信息被盗用。
可以采用VPN、TLS、或IPSec技术来建立安全通道。VPN为虚拟专用网络,在公用网络上建立专用网络作为安全通道,可以实现加密通信。TLS为安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,可以基于TLS协议建立TLS安全通道。IPSec是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合),可以通过IPSec协议包建立IPSec安全通道。当然,安全通道的建立方式不限于此,只要能够保证电子设备与CA设备之间安全通信即可。
安全通道是在电子设备与CA设备相连接的情况下建立的。电子设备与CA设备可以通过以下方式连接:
电子设备与CA设备之间可以按照远距离无线通信方式连接;远距离无线通信方式比如可以包括:wifi(基于IEEE 802.11b标准的无线局域网)、或GPRS(通用无线分组业务)等;
或者,电子设备与CA设备之间可以按照有线网络通信方式连接;有线网络通信方式比如可以为以太网通信方式等;
或者,电子设备与CA设备之间可以按照串口通信方式连接;串口通信方式比如USB(通用串行总线)通信方式等;
或者,电子设备与CA设备之间可以按照短距离无线通信方式连接;短距离无线通信方式比如蓝牙通信方式等;
或者,电子设备还可以通过可联网设备与CA设备连接,可联网设备比如为智能手机等。
电子设备与CA设备之间的具体连接方式不限,可以根据CA设备具备的通信功能来选择。相应的,可以根据电子设备与CA设备之间采用的通信方式,选择适配的接口作为电子设备中用于与CA设备连接的第二通信接口。
在一个实施例中,在向所述目标设备转发所述数字证书之后,该方法进一步包括:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接。
第一设定时间比如可以根据数字证书的传输时间来确定,在向所述目标设备转发所述数字证书之后,在第一设定时间内继续维持电子设备分别与所述CA设备和所述目标设备的连接,以便数字证书能够在此期间到达目标设备,之后便可断开该连接。
通过上述方式,完成数字证书的分发后,可以及时断开电子设备分别与CA设备和目标设备的连接,可以避免电子设备被其他未认证用户盗用,导致为不合法设备分发证书的情况发生。
电子设备断开连接后,可以退出证书分发状态,并清除本地的与本次证书分发有关的信息。目标设备断开连接后,同样可以退出证书分发状态。
在一个实施例中,在向所述目标设备转发所述数字证书之后,该方法进一步包括:
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,
在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
通过电子设备向CA设备转发目标设备返回的响应消息。CA设备如果收到该响应信息,可以确定目标设备已经收到数字证书,即针对目标设备的证书分发过程已完成,在此情况下,可以返回应答消息给电子设备。
如果电子设备收到CA设备返回的针对该响应消息返回的应答消息,可以确认CA设备收到了该响应消息,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
可选的,如果电子设备在一段时间内未收到CA设备返回的针对该响应消息返回的应答消息,可以重新向CA设备转发该响应消息。进一步的,在重新转发的次数达到设定次数时,可以进行关于电子设备与CA设备之间连接异常的提示。
在完成对目标设备的证书分发后,通过响应消息来通知CA设备关于目标设备已收到数字证书的信息,并在收到CA设备返回的应答消息时,断开所述电子设备分别与所述CA设备和所述目标设备的连接,可以保证CA设备获知目标设备已收到数字证书这一事件,可避免电子设备被其他未认证用户误用,导致为不合法设备分发证书的情况发生。
在一个实施例中,在向所述目标设备转发所述数字证书之后,该方法进一步包括:
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,
在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
第二设定时间可以根据响应消息的传输时间来确定,在向CA设备转发所述响应消息之后,在第二设定时间内继续维持电子设备分别与所述CA设备和所述目标设备的连接,以便响应消息能够在此期间到达目标设备,之后便可断开该连接。
在完成对目标设备的证书分发后,通过响应消息来通知CA设备关于目标设备已收到数字证书的信息,并在之后及时断开所述电子设备分别与所述CA设备和所述目标设备的连接,可避免电子设备被其他未认证用户误用,导致为不合法设备分发证书的情况发生。
当然,断开所述电子设备分别与所述CA设备和所述目标设备的连接的方式不限,上述仅是几种优选的方式。
在一个实施例中,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
短距离无线通信方式比如可以包括:蓝牙通信方式、NFC(Near FieldCommunication,近场通信)方式、红外通信方式等,此处仅是举例,具体不限于此。
总线通信方式比如可以包括:USB通信方式、RS232(一种串行通信接口标准)通信方式,此处仅是举例,具体不限于此。
上述短距离通信或总线通信方式,需保证电子设备与目标设备之间的距离小于指定距离,使得用户在操作电子设备时需处于目标设备的安装现场,用户可以确认目标设备的合法性,如此,确保只有合法的设备才可完成证书分发,保证证书分发的安全性。
下面结合图4,说明本发明实施例的证书分发方法中,电子设备与相连接的目标设备、及CA设备之间发生的交互过程,包括:
1)电子设备与CA设备之间建立安全通道,后续电子设备与CA设备之间的通信都可通过该安全通道实现;
2)电子设备向CA设备发送证书分发请求,以通知CA设备有目标设备需要进行证书分发;CA设备收到证书分发请求后,向电子设备发送身份验证通知;
3)电子设备收到身份验证通知后,可以进行用户认证信息输入提示,接收用户输入的用户认证信息;其中,用户在确认目标设备处于证书分发状态后,可根据提示将用户认证信息输入至电子设备中;
4)电子设备将接收的用户认证信息发送给CA设备,CA设备对收到的用户认证信息进行认证,并将认证结果发送给电子设备;
5)电子设备接收认证结果,如果该认证结果指示用户认证信息通过认证,则进入证书分发状态,在证书分发状态下执行后续的步骤;
6)电子设备向目标设备发送签名证书请求;目标设备收到签名证书请求后生成签名密钥对,签名密钥对包含加密所需的私钥及对应的公钥,并生成包含签名密钥对中的公钥的数字证书请求信息,比如可以为CSR,并向电子设备发送该数字证书请求信息;
7)电子设备接收到数字证书请求信息后,向CA设备转发数字证书请求信息;CA设备依据根私钥对数字证书请求信息进行签名以生成数字证书,并向电子设备发送数字证书和根私钥对应的根公钥;
8)电子设备接收到数字证书后,向目标设备转发该数字证书和根公钥;目标设备将数字证书及生成的签名密钥对保存在本地,向电子设备发送响应信息,以表示已收到数字证书,并退出证书分发状态;
9)电子设备收到响应信息后,可断开电子设备与目标设备之间的连接,并向CA设备发送该响应信息;CA设备收到响应消息后返回应答消息给电子设备;
10)电子设备收到应答消息后,可断开电子设备与CA设备之间的连接,并退出证书分发状态。
本发明第二方面提供一种证书分发系统,包括:电子设备,及分别与所述电子设备相连接的目标设备、证书颁发机构CA设备;
所述电子设备用于:接收用户输入的用户认证信息,将所述用户认证信息发送给所述CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备,以及接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书;
所述CA设备用于:接收来自所述电子设备的用户认证信息,对所述用户认证信息进行认证并向所述电子设备发送认证结果,以及向所述电子设备发送数字证书;
所述目标设备用于:获取所述电子设备转发的来自所述CA设备的数据证书。
在一个实施例中,所述电子设备向所述目标设备转发所述CA设备分发的数字证书时,具体用于:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
在一个实施例中,
所述电子设备将所述用户认证信息发送给CA设备进行认证时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
所述电子设备向所述CA设备转发所述数字证书请求信息时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
在一个实施例中,所述电子设备在向所述目标设备转发所述数字证书之后,进一步用于:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
在一个实施例中,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
以上第二方面的证书分发系统具体内容,详见本发明第一方面提供的方法中对应步骤的实现过程,在此不再赘述。
本发明第三方面提供一种证书分发装置,应用于电子设备,参看图3,该证书分发装置100包括:
用户认证信息接收模块101,用于接收用户输入的用户认证信息;
用户认证信息认证模块102,用于将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
数字证书分发模块103,用于接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
在一个实施例中,所述数字证书分发模块向所述目标设备转发所述CA设备分发的数字证书时,具体用于:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
在一个实施例中,所述用户认证信息认证模块将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
所述数字证书分发模块向所述CA设备转发所述数字证书请求信息时,具体用于:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
在一个实施例中,所述数字证书分发模块在向所述目标设备转发所述数字证书之后,进一步用于:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
在一个实施例中,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元。
本发明还提供一种电子设备,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如前述实施例中所述的证书分发方法。
本发明证书分发装置的实施例可以应用在电子设备上。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,图5是本发明根据一示例性实施例示出的证书分发装置100所在电子设备的一种硬件结构图,除了图5所示的处理器510、内存530、接口520、以及非易失性存储器540之外,实施例中装置100所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
本发明还提供一种机器可读存储介质,其上存储有程序,该程序被处理器执行时,实现如前述实施例中任意一项所述的证书分发方法。
本发明可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。机器可读存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。机器可读存储介质的例子包括但不限于:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种证书分发方法,其特征在于,应用于电子设备,该方法包括:
接收用户输入的用户认证信息;
将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
2.如权利要求1所述的证书分发方法,其特征在于,所述向所述目标设备转发所述CA设备分发的数字证书包括:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
3.如权利要求2所述的证书分发方法,其特征在于,
将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证包括:通过已建立的所述电子设备与所述CA设备之间的安全通道将所述用户认证信息发送给所述CA设备进行认证;
向所述CA设备转发所述数字证书请求信息包括:通过已建立的所述电子设备与所述CA设备之间的安全通道向所述CA设备转发所述数字证书请求信息。
4.如权利要求2所述的证书分发方法,其特征在于,在向所述目标设备转发所述数字证书之后,该方法进一步包括:
等待第一设定时间后断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,
在接收到所述目标设备返回的用于指示数字证书成功接收的响应消息时,向所述CA设备转发所述响应消息,在接收到所述CA设备返回的针对响应消息的应答消息后,断开所述电子设备分别与所述CA设备和所述目标设备的连接;或者,在向所述CA设备转发所述响应消息后等待第二设定时间,在等待第二设定时间后,断开所述电子设备分别与所述CA设备和所述目标设备的连接。
5.如权利要求1所述的证书分发方法,其特征在于,所述电子设备与所述目标设备之间的距离小于设定距离;
所述电子设备与所述目标设备按照短距离通信方式进行连接;或者,
所述电子设备与所述目标设备按照总线通信方式进行连接。
6.一种证书分发系统,其特征在于,包括:电子设备,及分别与所述电子设备相连接的目标设备、证书颁发机构CA设备;
所述电子设备用于:接收用户输入的用户认证信息,将所述用户认证信息发送给所述CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备,以及接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书;
所述CA设备用于:接收来自所述电子设备的用户认证信息,对所述用户认证信息进行认证并向所述电子设备发送认证结果,以及向所述电子设备发送数字证书;
所述目标设备用于:获取所述电子设备转发的来自所述CA设备的数据证书。
7.一种证书分发装置,其特征在于,应用于电子设备,该装置包括:
用户认证信息接收模块,用于接收用户输入的用户认证信息;
用户认证信息认证模块,用于将所述用户认证信息发送给与所述电子设备相连接的证书颁发机构CA设备进行认证,其中,在所述用户认证信息通过认证的情况下,与所述电子设备连接的目标设备为合法设备;
数字证书分发模块,用于接收所述CA设备发送的认证结果,在所述认证结果指示所述用户认证信息通过认证时,向所述目标设备转发所述CA设备分发的数字证书。
8.如权利要求7所述的证书分发装置,其特征在于,所述数字证书分发模块向所述目标设备转发所述CA设备分发的数字证书时,具体用于:
向所述目标设备发送签名证书请求;
接收所述目标设备依据接收的所述签名证书请求返回的数字证书请求信息,所述数字证书请求信息携带所述目标设备已生成的签名密钥对中的公钥;
向所述CA设备转发所述数字证书请求信息,以使所述CA设备依据所述数字证书请求信息生成数字证书,所述数字证书包含的所述公钥用于对加密数据进行解密,所述加密数据是所述目标设备根据所述签名密钥对中的私钥进行加密后的数据;
接收所述CA设备返回的数字证书,并向所述目标设备转发所述数字证书。
9.一种电子设备,其特征在于,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如权利要求1-5中任意一项所述的证书分发方法。
10.一种机器可读存储介质,其特征在于,其上存储有程序,该程序被处理器执行时,实现如权利要求1-5中任意一项所述的证书分发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010181055.2A CN111049660B (zh) | 2020-03-16 | 2020-03-16 | 证书分发方法、系统、装置及设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010181055.2A CN111049660B (zh) | 2020-03-16 | 2020-03-16 | 证书分发方法、系统、装置及设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049660A true CN111049660A (zh) | 2020-04-21 |
| CN111049660B CN111049660B (zh) | 2020-06-09 |
Family
ID=70230990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010181055.2A Active CN111049660B (zh) | 2020-03-16 | 2020-03-16 | 证书分发方法、系统、装置及设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049660B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814172A (zh) * | 2020-08-28 | 2020-10-23 | 支付宝(杭州)信息技术有限公司 | 一种数据授权信息的获取方法、装置及设备 |
| CN112087307A (zh) * | 2020-08-21 | 2020-12-15 | 苏州浪潮智能科技有限公司 | 数字证书生成方法、装置、计算机设备及存储介质 |
| CN112187470A (zh) * | 2020-09-22 | 2021-01-05 | 青岛海尔科技有限公司 | 物联网证书分发方法及装置、系统、存储介质、电子装置 |
| CN113221136A (zh) * | 2021-04-25 | 2021-08-06 | 亿海蓝(北京)数据技术股份公司 | Ais数据传输方法、装置、电子设备和存储介质 |
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
| US11341284B2 (en) | 2020-09-04 | 2022-05-24 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based data management methods, apparatuses, and devices |
| US11354448B2 (en) | 2020-09-04 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Demand trusted device-based data acquisition methods, apparatuses, and devices |
| US11362815B2 (en) | 2020-08-28 | 2022-06-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted data transmission methods, apparatuses, and devices |
| US11386191B2 (en) | 2020-09-15 | 2022-07-12 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based identity management methods, apparatuses, and devices |
| US11455417B2 (en) | 2020-09-04 | 2022-09-27 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11494511B2 (en) | 2020-09-15 | 2022-11-08 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11604894B2 (en) | 2020-07-24 | 2023-03-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, devices, and media |
| US11614929B2 (en) | 2020-08-28 | 2023-03-28 | Alipay (Hangzhou) Information Technology Co., Ltd. | Identity registration methods, apparatuses, and devices |
| US11652879B2 (en) | 2020-08-28 | 2023-05-16 | Alipay (Hangzhou) Information Technology Co., Ltd. | Matching methods, apparatuses, and devices based on trusted asset data |
| US11726968B2 (en) | 2020-09-15 | 2023-08-15 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods, apparatuses, and devices for transferring data assets based on blockchain |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366233A (zh) * | 2005-12-28 | 2009-02-11 | 卢森特技术有限公司 | 用于管理无线网络中安全密钥的方法和系统 |
| US7702902B2 (en) * | 2004-06-25 | 2010-04-20 | The Go Daddy Group, Inc. | Method for a web site with a proxy domain name registration to receive a secure socket layer certificate |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 |
| CN101945093A (zh) * | 2010-07-01 | 2011-01-12 | 武汉理工大学 | 基于病毒检测和水印嵌入的数字版权保护方法 |
| CN107710674A (zh) * | 2015-06-26 | 2018-02-16 | 三菱电机大楼技术服务株式会社 | 认证系统 |
| CN107948140A (zh) * | 2017-11-10 | 2018-04-20 | 广州杰赛科技股份有限公司 | 便携式设备的校验方法和系统 |
| CN108900305A (zh) * | 2018-06-28 | 2018-11-27 | 公安部第三研究所 | 基于智能安全芯片的多证书签发及验证方法 |
-
2020
- 2020-03-16 CN CN202010181055.2A patent/CN111049660B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7702902B2 (en) * | 2004-06-25 | 2010-04-20 | The Go Daddy Group, Inc. | Method for a web site with a proxy domain name registration to receive a secure socket layer certificate |
| CN101366233A (zh) * | 2005-12-28 | 2009-02-11 | 卢森特技术有限公司 | 用于管理无线网络中安全密钥的方法和系统 |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发系统、证书生成/分发方法和证书生成/分发程序 |
| CN101945093A (zh) * | 2010-07-01 | 2011-01-12 | 武汉理工大学 | 基于病毒检测和水印嵌入的数字版权保护方法 |
| CN107710674A (zh) * | 2015-06-26 | 2018-02-16 | 三菱电机大楼技术服务株式会社 | 认证系统 |
| CN107948140A (zh) * | 2017-11-10 | 2018-04-20 | 广州杰赛科技股份有限公司 | 便携式设备的校验方法和系统 |
| CN108900305A (zh) * | 2018-06-28 | 2018-11-27 | 公安部第三研究所 | 基于智能安全芯片的多证书签发及验证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李超零 等: ""基于代理的隐私CA模型"", 《信息工程大学学报》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11604894B2 (en) | 2020-07-24 | 2023-03-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, devices, and media |
| CN112087307A (zh) * | 2020-08-21 | 2020-12-15 | 苏州浪潮智能科技有限公司 | 数字证书生成方法、装置、计算机设备及存储介质 |
| CN112087307B (zh) * | 2020-08-21 | 2022-06-03 | 苏州浪潮智能科技有限公司 | 数字证书生成方法、装置、计算机设备及存储介质 |
| US11652879B2 (en) | 2020-08-28 | 2023-05-16 | Alipay (Hangzhou) Information Technology Co., Ltd. | Matching methods, apparatuses, and devices based on trusted asset data |
| US11614929B2 (en) | 2020-08-28 | 2023-03-28 | Alipay (Hangzhou) Information Technology Co., Ltd. | Identity registration methods, apparatuses, and devices |
| US11354447B2 (en) | 2020-08-28 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data authorization information acquisition methods, apparatuses, and devices |
| US11362815B2 (en) | 2020-08-28 | 2022-06-14 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted data transmission methods, apparatuses, and devices |
| CN111814172A (zh) * | 2020-08-28 | 2020-10-23 | 支付宝(杭州)信息技术有限公司 | 一种数据授权信息的获取方法、装置及设备 |
| US11455417B2 (en) | 2020-09-04 | 2022-09-27 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11341284B2 (en) | 2020-09-04 | 2022-05-24 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based data management methods, apparatuses, and devices |
| US11354448B2 (en) | 2020-09-04 | 2022-06-07 | Alipay (Hangzhou) Information Technology Co., Ltd. | Demand trusted device-based data acquisition methods, apparatuses, and devices |
| US11494511B2 (en) | 2020-09-15 | 2022-11-08 | Alipay (Hangzhou) Information Technology Co., Ltd. | Data processing methods, apparatuses, and devices |
| US11386191B2 (en) | 2020-09-15 | 2022-07-12 | Alipay (Hangzhou) Information Technology Co., Ltd. | Trusted hardware-based identity management methods, apparatuses, and devices |
| US11726968B2 (en) | 2020-09-15 | 2023-08-15 | Alipay (Hangzhou) Information Technology Co., Ltd. | Methods, apparatuses, and devices for transferring data assets based on blockchain |
| CN112187470A (zh) * | 2020-09-22 | 2021-01-05 | 青岛海尔科技有限公司 | 物联网证书分发方法及装置、系统、存储介质、电子装置 |
| CN113221136A (zh) * | 2021-04-25 | 2021-08-06 | 亿海蓝(北京)数据技术股份公司 | Ais数据传输方法、装置、电子设备和存储介质 |
| CN113221136B (zh) * | 2021-04-25 | 2024-04-12 | 亿海蓝(北京)数据技术股份公司 | Ais数据传输方法、装置、电子设备和存储介质 |
| CN113873027A (zh) * | 2021-09-24 | 2021-12-31 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
| CN113873027B (zh) * | 2021-09-24 | 2024-02-27 | 深信服科技股份有限公司 | 一种通信方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049660B (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111049660B (zh) | 证书分发方法、系统、装置及设备、存储介质 | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN102215221B (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统 | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| CN108769007B (zh) | 网关安全认证方法、服务器及网关 | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN104115464A (zh) | 控制访问 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CN103427992A (zh) | 用于在网络中的节点之间建立安全通信的方法、网络节点、密钥管理器、安装设备和计算机程序产品 | |
| CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
| KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| US20140013116A1 (en) | Apparatus and method for performing over-the-air identity provisioning | |
| US20210256102A1 (en) | Remote biometric identification | |
| CN111147501A (zh) | 一种蓝牙钥匙查询方法及其装置 | |
| CN109583154A (zh) | 一种基于Web中间件访问智能密码钥匙的系统及方法 | |
| CN111224784A (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN111065081A (zh) | 一种基于蓝牙的信息交互方法及其装置 | |
| CN114095919A (zh) | 一种基于车联网的证书授权处理方法及相关设备 | |
| US9038143B2 (en) | Method and system for network access control | |
| CN112423302B (zh) | 无线网络接入方法、终端及无线接入设备 | |
| CN116015906B (zh) | 用于隐私计算的节点授权方法、节点通信方法和装置 | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| CN111127715A (zh) | 一种蓝牙钥匙更换方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |