CN111130772B - 一种终端设备及其管理服务器证书的方法 - Google Patents

一种终端设备及其管理服务器证书的方法 Download PDF

Info

Publication number
CN111130772B
CN111130772B CN201911358862.0A CN201911358862A CN111130772B CN 111130772 B CN111130772 B CN 111130772B CN 201911358862 A CN201911358862 A CN 201911358862A CN 111130772 B CN111130772 B CN 111130772B
Authority
CN
China
Prior art keywords
public key
key certificate
terminal equipment
server
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911358862.0A
Other languages
English (en)
Other versions
CN111130772A (zh
Inventor
陆舟
于华章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Feitian Technologies Co Ltd
Original Assignee
Feitian Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Feitian Technologies Co Ltd filed Critical Feitian Technologies Co Ltd
Priority to CN201911358862.0A priority Critical patent/CN111130772B/zh
Publication of CN111130772A publication Critical patent/CN111130772A/zh
Application granted granted Critical
Publication of CN111130772B publication Critical patent/CN111130772B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种终端设备及其管理服务器证书的方法,涉及通信领域。所述方法包括:终端设备向目标服务器发送重绑请求,当接收到目标服务器返回的识别重绑请求成功响应时,向所述目标服务器发送第一重绑数据包,接收所述目标服务器返回的第二重绑数据包,校验第二重绑数据包中的终端设备序列号、第二随机数、第二服务器公钥证书和第二签名数据,当校验通过时,清除所述终端设备存储的全部应用密钥和当前保存的第一服务器公钥证书,保存第二服务器公钥证书。

Description

一种终端设备及其管理服务器证书的方法
技术领域
本发明涉及通信领域,尤其涉及一种终端设备及其管理服务器证书的方法。
背景技术
安全性一直是终端行业关注的焦点,终端设备出厂后,当需要转让时,终端设备需要更换或清除服务器下发的公钥证书和应用密钥,而远程更换或清除服务器下发的公钥证书和应用密钥是一种极为便利的方法。
现有技术中多采用随机数加密的方法来实现对服务器下发的公钥证书和应用密钥进行远程更换或清除操作,由于随机数加密涉及到网络传输,随机数在网络传输过程中容易被篡改,安全性可靠性较低,因此,如何实现远程更换或清除服务器下发的公钥证书和应用密钥的安全,已成为当前亟待解决的技术问题。
发明内容
本发明为克服现有技术中的不足,提供了一种终端设备及其管理服务器证书的方法。
第一方面,本发明提供的一种终端设备管理服务器证书的方法,包括重绑流程,所述流程如下步骤:
步骤S0:终端设备获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
步骤S1:当所述终端设备接收到目标服务器返回的识别重绑请求成功响应时,向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
步骤S2:所述终端设备接收所述目标服务器返回的第二重绑数据包;所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
步骤S3:所述终端设备根据预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行验签,如验签成功,则执行步骤S4,如验签失败,结束;
步骤S4:所述终端设备基于预存的终端设备序列号与所述第二重绑数据包中的终端设备序列号进行匹配,如匹配,执行步骤S5,如不匹配,结束;
步骤S5:所述终端设备判断第二重绑数据包中的第二随机数与发送给所述目标服务器的第二随机数是否匹配,如匹配,执行步骤S6,如不匹配,结束;
步骤S6:所述终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则执行步骤S7,如验签失败,结束;
步骤S7:所述终端设备清除所述终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书,保存所述第二服务器公钥证书。
进一步地,所述方法还包括解绑流程,所述解绑流程如下步骤:
步骤L0:所述终端设备向所述目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的已绑定响应时,根据用户选择向所述目标服务器发送解绑请求;
步骤L1:当所述终端设备接收到所述目标服务器返回的识别解绑请求成功响应时,向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
步骤L2:所述终端设备接收所述目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
步骤L3:所述终端设备根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则执行步骤L4,如验签失败,结束;
步骤L4:所述终端设备基于预存的终端设备序列号与所述终端设备序列号匹配,如匹配,则执行步骤L5,如不匹配,结束;
步骤L5:所述终端设备判断第二解绑数据包中的第一随机数与发送给所述目标服务器的第一解绑数据包的第一随机数是否匹配,如匹配,则执行步骤L6,如不匹配,结束;
步骤L6:所述终端设备清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
进一步地,所述方法还包括绑定流程,所述绑定流程如下步骤:
步骤M0:所述终端设备向目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的未绑定响应时,向所述目标服务器发送绑定请求;
步骤M1:当所述终端设备接收到所述目标服务器返回的识别绑定请求成功响应时,向所述目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
步骤M2:所述终端设备接收所述目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
步骤M3:所述终端设备根据预存的第一服务器公钥证书的认证中心公钥对所述第一服务器公钥证书签名数据进行验签,如验签成功,则执行步骤M4,如验签失败,结束;
步骤M4:所述终端设备获取并校验所述第一服务器公钥证书,判断所述第一服务器公钥证书是否有效,如果是,则执行步骤M5,否则,结束;
步骤M5:所述终端设备判断当前是否有服务器公钥证书与所述终端设备绑定,如果是,则执行步骤M6,否则,执行步骤M7;
步骤M6:所述终端设备判断当前绑定的服务器公钥证书序列号与所述第一服务器公钥证书序列号是否相同,如果是,则执行步骤M7,否则,结束;
步骤M7:所述终端设备保存所述第一服务器公钥证书。
第二方面,一种终端设备,包括重绑模块,所述重绑模块具体包括:
获取发送接收单元,用于向目标服务器发送重绑请求;
第一接收单元,用于获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
第二发送单元,用于向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
第二接收单元,用于接收所述目标服务器返回的第二重绑数据包;
所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
第一验证单元,用于根据预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行验签,如验签成功,则触发第一判断单元,如验签失败,结束;
所述第一判断单元,用于基于预存的终端设备序列号与所述第二重绑数据包中的终端设备序列号进行匹配,如匹配,则触发第二判断单元,如不匹配,结束;
所述第二判断单元,用于判断第二重绑数据包中的第二随机数与发送给所述目标服务器的第二随机数是否匹配,如匹配,则触发第二验证单元,如不匹配,结束;
所述第二验证单元,用于基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则触发第一清除单元,如验签失败,结束;
所述第一清除单元,用于清除所述终端设备存储的全部应用密钥,还用于清除当前保存的第一服务器公钥证书;
第一保存单元,用于保存所述第二服务器公钥证书。
进一步地,所述终端设备还包括解绑模块,所述解绑模块具体包括:
第一查询单元,用于向所述目标服务器发送查询绑定状态请求;
第三接收单元,用于接收所述目标服务器返回的已绑定响应;
第三发送单元,用于根据用户选择向所述目标服务器发送解绑请求;
第四接收单元,用于接收所述目标服务器返回的识别解绑请求成功响应;
第四发送单元,用于向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
第五接收单元,用于接收所述目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
第五验证单元,用于根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则触发第四判断单元,如验签失败,结束;
所述第四判断单元,用于基于预存的终端设备序列号与所述终端设备序列号匹配,如匹配,则触发第五判断单元,如不匹配,结束;
所述第五判断单元,用于判断第二解绑数据包中的第一随机数与发送给所述目标服务器的第一解绑数据包中的第一随机数是否匹配,如匹配,则触发第二清除单元,如不匹配,结束;
所述第二清除单元,用于清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
进一步地,所述终端设备还包括绑定模块,所述绑定模块具体包括:
第二查询单元,用于向所述目标服务器发送查询绑定状态请求;
第六接收单元,用于接收所述目标服务器返回的未绑定响应;
第五发送单元,用于向所述目标服务器发送绑定请求;
第七接收单元,用于接收到所述目标服务器返回的识别绑定请求成功响应;
第六发送单元,用于向所述目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
第八接收单元,用于接收所述目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
第八验证单元,用于根据预存的第一服务器公钥证书的认证中心公钥对所述第一服务器公钥证书签名数据进行验签,如验签成功,则触发第五获取单元,如验签失败,结束;
所述第五获取单元,用于获取所述第一服务器公钥证书;
第七判断单元,用于判断所述第一服务器公钥证书是否有效,如果是,则触发第八判断单元,否则,结束;
所述第八判断单元,用于判断当前是否有服务器公钥证书与所述终端设备绑定,如果是,则触发第九判断单元,否则,触发第二保存单元;
所述第九判断单元,用于判断当前绑定的服务器公钥证书序列号与所述第一服务器公钥证书序列号是否相同,如果是,则触发第二保存单元,否则,结束;
所述第二保存单元,用于保存所述第一服务器公钥证书。
本发明提供的方法,实现了为终端设备远程更换或清除服务器下发的公钥证书和应用密钥,且通过服务器的配合,保证了远程更换或清除公钥证书和应用密钥的安全性。
附图说明
图1为本发明实施例1提供的一种终端设备管理服务器证书的方法的流程图;
图2为本发明实施例2提供的一种终端设备管理服务器证书的方法的流程图;
图3为本发明实施例3提供的一种终端设备管理服务器证书的方法的流程图;
图4为本发明实施例4提供一种终端设备管理服务器证书的方法的流程图;
图5为本发明实施例5提供一种终端设备管理服务器证书的方法的流程图。
图6为本发明实施例6提供一种终端设备的模块图。
具体实施方式
本申请提出一种终端设备管理服务器证书的方法和装置,下面结合附图,对本申请具体实施方式进行详细说明。所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
需说明地,本发明重绑流程中涉及的目标服务器为终端设备想要与之绑定的新服务器,重绑流程中的新服务器是在获取旧服务器授权的前提下和终端设备进行交互的,新服务器在得到旧服务器授权的同时,已经从旧服务器中获取到终端设备公钥证书;
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明实施方式作进一步地详细描述。
实施例1
本发明提供的一种终端设备管理服务器证书的方法,如图1所示,包括重绑流程,所述重绑流程包括如下步骤:
步骤S0:终端设备获取终端设备序列号,向目标服务器发送终端设备序列号,当接收到目标服务器发送的校验终端设备序列号成功响应时,向目标服务器发送重绑请求;
步骤S1:当终端设备接收到目标服务器返回的识别重绑请求成功响应时,向目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
步骤S2:终端设备接收目标服务器返回的第二重绑数据包;所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
步骤S3:终端设备根据预存的第二服务器公钥证书对应的公钥对第一签名数据进行验签,如验签成功,则执行步骤S4,如验签失败,结束;
步骤S4:终端设备基于预存的终端设备序列号与第二重绑数据包中的终端设备序列号进行匹配,如匹配,执行步骤S5,如不匹配,结束;
步骤S5:终端设备判断第二重绑数据包中的第二随机数与发送给目标服务器的第二随机数是否匹配,如匹配,执行步骤S6,如不匹配,结束;
步骤S6:终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则执行步骤S7,如验签失败,结束;
步骤S7:终端设备清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书,保存第二服务器公钥证书。
本发明提供的方法,实现了为终端设备远程更换或清除服务器下发的公钥证书和应用密钥,且通过服务器的配合,保证了远程更换或清除公钥证书和应用密钥的安全性。
实施例2
本发明提供的一种终端设备管理服务器证书的方法,如图2所示,包括如下步骤:
步骤100:终端设备获取终端设备序列号,向目标服务器发送终端设备序列号;
例如:终端设备序列号为:A00012303030303633303430303030303030303032。
步骤101:目标服务器接收终端设备序列号,判断预存的终端设备序列号与终端设备发送的终端设备序列号是否匹配,如果是,则向终端设备发送匹配成功响应,否则,则向终端设备发送匹配失败响应,结束;
可选地,目标服务器获取目标服务器存储的终端设备序列号列表,判断终端设备序列号列表上是否存储有终端设备发送的终端设备序列号,如果是,则向终端设备发送匹配成功响应,否则,则向终端设备发送匹配失败响应,结束;
例如:匹配成功响应为:BF000100,匹配失败响应为:BF000101;
可选地,步骤101还包括:目标服务器将目标服务器序列号发送给终端设备;
步骤102:终端设备接收匹配成功响应,向目标服务器发送查询绑定状态请求;
可选地,向目标服务器发送查询绑定状态请求具体为:终端设备向目标服务器发送包含有请求码和请求长度的查询绑定状态请求,所述查询绑定状态请求用于查询目标服务器是否与终端设备进行绑定;
例如:查询绑定状态请求为:A1,其中,“A1”为查询绑定状态请求码,“0000”为查询绑定状态请求的请求长度;
可选地,步骤102之前还包括:终端设备校验目标服务器发送的服务器序列号,如校验成功,则执行步骤103,如校验失败,结束;
步骤103:目标服务器接收查询绑定状态请求,判断与终端设备的绑定状态,如为未绑定,则向终端设备发送未绑定响应,执行步骤104,如为已绑定,则向终端设备发送已绑定响应,执行步骤108;
可选地,本实施例中,步骤103具体为:目标服务器接收查询绑定状态请求,根据查询绑定状态请求码来查询目标服务器是否与终端设备进行绑定,如为未绑定,则向终端设备发送未绑定响应,执行步骤104,如为已绑定,则向终端设备发送已绑定响应,执行步骤108;
可选地,本实施例中,未绑定响应与已绑定响应的格式均为:请求码和请求长度;
例如,未绑定响应为:BF000100,其中,“BF”为未绑定响应请求码,“0001”为未绑定响应请求长度,“00”为未绑定请求内容;已绑定响应为:BF000101,其中,“BF”为已绑定响应请求码,“0001”为已绑定响应请求长度,“01”为已绑定请求内容;
可选地,本实施例中,步骤103中,如为未绑定,则向终端设备发送BF000100,执行步骤104,如为已绑定,则向终端设备发送BF000101;
步骤104:终端设备接收未绑定响应,按照第一绑定请求格式生成包含第一绑定请求码、第一绑定请求数据长度和终端设备公钥证书的第一绑定数据包,向目标服务器发送第一绑定数据包;
可选地,本实施例中,第一绑定请求格式具体为:第一绑定请求码/第一绑定请求数据长度/终端设备公钥证书,其中,第一绑定请求码为终端设备绑定请求对应的请求码,第一绑定数据长度为终端设备绑定请求的数据长度,终端设备公钥证书的证书与终端设备序列号关联;
例如:第一绑定数据包具体为:A204EA-----BEGINCERTIFICATE-----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-----END;
其中,第一绑定请求码为:A2;
第一绑定请求数据长度为:04EA;
终端设备公钥证书为:-----BEGINCERTIFICATE-----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-----END;
步骤105:目标服务器接收第一绑定数据包,校验第一绑定数据包中的第一绑定请求码和终端设备公钥证书,若校验成功,则执行步骤106,若校验失败,则向终端设备报错,结束;
可选地,本实施例中,步骤105具体包括:
步骤M1:目标服务器接收并解析第一绑定数据包,获取第一绑定请求码,判断第一绑定请求码与目标服务器预存的终端设备的绑定请求码是否匹配,如果匹配,则校验成功,执行步骤M2,如不匹配,则校验失败,结束;
步骤M2:目标服务器获取终端设备公钥证书,利用预存的终端设备公钥证书对应的公钥对终端设备公钥证书进行验证,若验证成功,则执行步骤106,若验证失败,则向终端设备发送报错信息,结束;
步骤106:目标服务器按照第二绑定请求格式生成包含第一服务器公钥证书和第一服务器公钥证书签名数据的第二绑定数据包,向终端设备发送第二绑定数据包;
可选地,本实施例中,第二绑定请求格式具体为:第二绑定请求码/第二绑定数据长度/第一服务器公钥证书,其中第二绑定请求码为目标服务器绑定请求码,第二绑定数据长度为目标服务器绑定请求数据长度,第一服务器公钥证书由目标服务器生成;
可选地,第二绑定数据包还包括:服务器公钥证书吊销列表;
例如,本实施例中,第二绑定数据包为:A304EA-----BEGINCERTIFICATE-----MIIDYzCCAksCFBEp+A1u2uL5OQo08bRLkAHCGZx4MA0GCSqGSIb3DQEBCwUAMGwxCzAJBgNVBAYTAkNOMQswCQYDVQQIDAJCSjELMAkGA1UEBwwCQkoxCzAJBgNVBAoMAkZUMQ0wCwYDVQQLDARKUlpEMQswCQYDVQQDDAJDQTEaMBgGCSqGSIb3DQEJARYLYWJjZEBxcS5jb20wHhcNMTkwODIzMDc0NDA4WhcNMjkwODIwMDc0NDA4WjBwMQswCQYDVQQGEwJDTjELMAkGA1UECAwCQkoxCzAJBgNVBAcMAkJKMQswCQYDVQQKDAJGVDENMAsGA1UECwwESlJaRDEPMA0GA1UEAwwGU0VSVkVSMRowGAYJKoZIhvcNAQkBFgthYmNkQHFxLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANSRWAshr6/qHrt4Op2Hox8GMoqJrqgOs6pOFqd0JBMjB7B/SEu0IezWb1LOvsJ9bzZJPgafowsxJ+bqQglskYqXYdtG1RHvL79svpsWbjNLn4VK/0Xn3DyxieSfBESmyjvj+ZV4WHCir3ovnAcjMy7paDBoBUtKRJgya6fqTssN284OsrBH5Zx4tN8DyGmtUiIwitBfCq8K5KmIeAFn1k5gEY4PfQSHXFJtsBo9I0iJ8ztXnqIveGlSZMbO2rGevmf+1fPlTn/Jm4UnAn7lOwpXzTw+c0k1te0IUxjs0Xl4gqdZ2BEfpvKPD701QwNZQn/vtVQZ8rrM0GyNsH5HnHsCAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAkgfN4k21Rd2FTR+BJ/OamFgCtKgqLrF2RWP6aIVGeRRIbnT/e7EsJ2NQljqS+xHahl9lNpxYJ83TjLLe85FcASUuaKihyqa3vpoebJAj+tE7ukr1oouGx89biZSrTDe2cTBDCZwQC/pje5hCL8ShP6U+9A31U+ELsPkDEyWKDNtO2E6sa5mKGDjX0BsGbYJRuGoBi+1OoZw3hQX/fpJzjTEZwGtdYqmFKej4HqPZCHC4QL+nCICJ47X/FAV5fKHhXxkWlBRS5aWyybUny0qBf7T+10br2Zp4g1qe3jNQSUVu3tb8KsVqvZxxT/mCL7uxPGn1T/qvbtbhMxXeivSjgg==-----ENDCERTIFICATE-----;
其中,第二绑定请求码为:A3;
第二绑定请求数据长度为:04EA;
第一服务器公钥证书为:-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----;
步骤107:终端设备接收第二绑定数据包,校验第二绑定数据包中的第一服务器公钥证书和第一服务器公钥证书签名数据,当校验通过时,保存第一服务器公钥证书;
步骤108:终端设备接收已绑定响应,向目标服务器发送解绑请求;
例如:解绑请求为:A4000101;
步骤109:目标服务器接收解绑请求,判断是否识别解绑请求,如果是,则向终端设备发送识别解绑请求失败响应,执行步骤110,否则,则向终端设备发送识别解绑请求失败响应,结束;
可选地,本实施例中,解绑请求具体为:A4000101;
可选地,本实施例中,步骤109具体为:目标服务器接收解绑请求,判断解绑请求的请求码是否为A4,如果是,则向终端设备发送识别解绑请求成功响应,若不为A4,则向终端设备发送识别解绑请求失败响应,结束;
步骤110:终端设备接收识别解绑请求成功响应,按照第一解绑请求格式生成包含第一解绑请求码、第一解绑请求数据长度和第一随机数的第一解绑数据包,向目标服务器发送第一解绑数据包;
可选地,本实施例中,第一解绑请求格式具体为:第一解绑请求码/第一解绑数据长度/第一随机数,其中,第一解绑请求码为终端设备解绑请求对应的请求码,第一解绑数据长度为终端设备解绑请求的数据长度,第一随机数由终端设备生成;
例如:第一解绑数据包具体为:A500107565CD09784ADED5793DA794429532D2,其中,A5为终端设备解绑请求码,0010为终端设备解绑请求数据长度,7565CD09784ADED5793DA794429532D2为终端设备产生的第一随机数;
步骤111:目标服务器接收第一解绑数据包,校验第一解绑数据包中的第一解绑请求码,若校验成功,则执行步骤112,若校验失败,则向终端设报错,结束;
可选地,步骤111具体为:目标服务器从解绑数据包中获取第一解绑请求码,判断第一解绑请求码与目标服务器预存的终端设备的解绑请求码是否匹配,如果匹配,则校验成功,执行步骤112,如不匹配,则校验失败,则向终端设备发送报错信息,结束;
步骤112:目标服务器获取并保存第一随机数,按照第二解绑请求格式生成包含终端设备序列号、第一随机数和第二签名数据的第二解绑数据包,向终端设备发送第二解绑数据包;
可选地,本实施例中,第二解绑请求格式具体为:请求码/数据长度/第二解绑数据包,其中请求码为目标服务器解绑请求码,数据长度为目标服务器解绑请求数据长度,第二解绑数据包包括:终端设备序列号、第一随机数和第二签名数据;
可选地,第二解绑数据包还包括:服务器公钥证书吊销列表;
例如,本实施例中,第二解绑数据包为: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
其中,第二解绑请求码为:B5;
第二解绑请求数据长度为:0124;
终端设备序列号为:520e2335f87327aa65f90d8171f0d03d161b0356;
第一随机数为:7565CD09784ADED5793DA794429532D2;
第二签名数据具体为:81836C803CB48C8D653014ACE85CCC0B7D6AEBAE7D17B39A8465F7CCC3B15F4EC8F3FFF08DA34009F04CE407BB9F01E7E7E883FFCA182DBDB2E6A8BAF366AA5E8DD930B93B613D98AF1A9A8197D28563E36D7D61161BCD1271CA3F1392611B5E60BB164A4203F7A0DB211CED5A2C46F986E9C55DB5ED858E8F32A8696B4B248C80A90CA5AFA4F838DBB9943B6D2C84EC7F65B687FDFA696126171C222BB0411E6CCFCF4FE663CA93ABE5F66DF8FAB309FA069F364939CA9BB98509EFEE446EFCF1DEAA7C5155D3C25ECA89C7BEF3C002F422FD0ABFFF8A37663E6D1046D309FCC9270205B4DCFF182FCEC17F954055C4267D7A55796B5A63E7597F5D29CCD172;
步骤113:终端设备接收第二解绑数据包,校验第二解绑数据包中的终端设备序列号、第一随机数和第二签名数据,当校验通过时,清除第一服务器公钥证书;
步骤114:目标服务器接收终端设备发送的重绑请求,判断是否识别重绑请求,如果是,向终端设备发送识别重绑请求成功响应,执行步骤115,否则,向终端设备发送识别重绑请求失败响应,结束;
步骤115:终端设备接收识别重绑请求成功响应,按照第一重绑请求格式生成包含第一重绑请求码、第一重绑请求数据长度和第二随机数的第一重绑数据包,向目标服务器发送第一重绑数据包;
可选地,第一重绑请求格式具体为:第一重绑请求码/第一重绑数据长度/第二随机数,其中,第一重绑请求码为终端设备重绑请求对应的请求码,第一重绑数据长度为终端设备重绑请求的数据长度,第二随机数由终端设备生成;
例如:第一重绑数据包具体为:A600109F72EA0CF49536E3C66C787F705186DF,其中,A6为终端设备解绑请求码,0010为终端设备解绑请求数据长度,9F72EA0CF49536E3C66C787F705186DF为终端设备产生的第二随机数;
步骤116:目标服务器接收第一重绑数据包,校验第一重绑数据包中的第一重绑请求码,若校验成功,则执行步骤117,否则,向终端设报错,结束;
步骤117:目标服务器获取并保存第二随机数,按照第二重绑请求格式生成第二重绑数据包,所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据,向终端设备发送第二重绑数据包;
可选地,本实施例中,第二重绑请求格式具体为:第二重绑请求码+第二重绑数据长度+第二重绑数据包,其中第二重绑请求码为服务器重绑请求码,第二重绑数据长度为服务器重绑请求数据长度,第二重绑数据包包括:终端设备序列号、第二随机数、第二服务器公钥证书和第一签名数据;
可选地,第二重绑数据包还包括:服务器公钥证书吊销列表;
例如,本实施例中,第二重绑数据包为:B60383520e2335f87327aa65f90d8171f0d03d161b03569F72EA0CF49536E3C66C787F705186DF-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----936C963D83AF35A44A22462CC1C278245766B6C3C41C7ED36B98FD22EC5F6885FA33DB898C41298CA8EC4E48A0F85914FA66647CC7CF7C520FE1F63E81797F5097E07ADFF892A353A79400EC70539056BAA7DB75F771962581AAA3FECE4D6F0778849EB9D7AA41F0AC41EDD77CBF1D99E81B563781328333BFA2AB459AB4B5773B345AC35E95473706F9F878A4D9EF05D1D81A873CF36712836D9DFFCBAA57110AA8CB61523E8EAA9F9DF07DAD4C642FBF1A5C8CB645EBC613ED1216A67FA4973E29E9CA07A844684B19377C705088AFC38B7068B9F1EB873C9091B137739C57671365F5EC81A068107026BCCC6E94468EFC902D3A91C7439BC8C4E551F04516;
其中,第二重绑请求码为:B6;
第二重绑请求数据长度为:0383;
终端设备序列号为:520e2335f87327aa65f90d8171f0d03d161b0356;
第二随机数为:9F72EA0CF49536E3C66C787F705186DF;
第二服务器公钥证书为:-----BEGINCERTIFICATE-----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-----ENDCERTIFICATE-----;
第一签名数据为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
步骤118:终端设备接收第二重绑数据包,校验第二重绑数据包中的终端设备序列号、第二随机数、第二服务器公钥证书和第一签名数据,当校验通过时,清除当前保存的第一服务器公钥证书,保存第二服务器公钥证书。
可选地,第二服务器公钥证书包含第二服务器公钥证书签名数据。
本发明提供的方法,实现了为终端设备远程更换或清除服务器下发的公钥证书和应用密钥,且通过服务器的配合,保证了远程更换或清除公钥证书和应用密钥的安全性。
实施例3
本实施例提供了一种终端设备管理服务器证书的方法,当终端设备接收到服务器发送的未绑定响应时,如图3所示,包括如下步骤:
步骤201:终端设备获取终端设备公钥证书,按照第一绑定请求格式生成包含第一绑定请求码、第一绑定请求数据长度和终端设备公钥证书的第一绑定数据包,向目标服务器发送第一绑定数据包;
可选地,本实施例中,步骤201具体为:终端设备根据预存的终端设备公钥证书对应的索引获取预存的终端设备公钥证书,按照第一绑定请求格式生成包含第一绑定请求码、第一绑定请求数据长度和终端设备公钥证书的第一绑定数据包,将第一绑定数据包发送给服务器。
步骤202:目标服务器接收并解析第一绑定数据包,获取并校验第一绑定请求码,判断第一绑定请求码是否通过校验,如果是,则执行步骤203,否则,向终端设备报错,结束;
可选地,判断第一绑定请求码是否通过校验具体为:目标服务器基于预存的终端设备的绑定请求码判断与第一绑定请求码是否匹配,如果匹配,则校验通过,执行步骤203,如果不匹配,则校验不通过,向终端设备报错;
步骤203:目标服务器获取终端设备公钥证书,校验终端设备公钥证书是否合法,如果是,则执行步骤204,否则,向终端设备报错,结束;
可选地,步骤203中,校验终端设备公钥证书是否合法具体为:目标服务器根据预存的终端设备公钥证书对应的公钥对终端设备公钥证书进行解密,如果解密成功,则说明终端设备公钥证书合法,则执行步骤204,如果解密失败,则说明终端设备公钥证书不合法,向终端设备报错,结束;
步骤204:目标服务器保存终端设备公钥证书,按照第二绑定请求格式生成包含服务器公钥证书吊销列表、第一服务器公钥证书和第一服务器公钥证书签名数据的第二绑定数据包;
步骤205:终端设备接收并解析第二绑定数据包;
具体地,第二绑定数据包包括:服务器公钥证书吊销列表、服务器公钥证书吊销列表签名数据、第一服务器公钥证书签名数据和第一服务器公钥证书。
步骤206:终端设备获取并校验服务器公钥证书吊销列表,判断服务器公钥证书吊销列表是否有效,如果是,则执行步骤207,否则,结束;
具体地,服务器公钥证书吊销列表用于存储已被吊销的服务器证书序列号;
可选地,步骤206具体为:终端设备从第二绑定数据包中获取服务器公钥证书吊销列表,基于终端设备当前的时间、服务器公钥证书吊销列表的生成时间和服务器公钥证书吊销列表的有效期判断服务器公钥证书吊销列表是否有效,如果是,则执行步骤207,否则,结束;
例如:终端设备当前的时间为2019年11月6日,服务器公钥证书吊销列表的有效期为15天,如果服务器公钥证书吊销列表的生成时间为2019年11月3日,则服务器公钥证书吊销列表处于有效期内,执行步骤207,如果服务器公钥证书吊销列表的生成时间为2019年9月20日,则服务器公钥证书吊销列表未处于有效期内,结束。
步骤207:终端设备获取并校验服务器公钥证书吊销列表签名数据,判断服务器公钥证书吊销列表签名数据是否通过校验,如果是,则执行步骤208,否则,结束;
可选地,步骤207具体为:终端设备从第一服务器公钥证书中获取服务器公钥证书吊销列表签名数据,基于终端设备预存的服务器公钥证书的认证中心公钥对服务器公钥证书吊销列表签名数据进行验证,判断是否验签成功,如果是,则执行步骤208,否则,结束;
步骤208:终端设备获取并校验第一服务器公钥证书签名数据,判断第一服务器公钥证书签名数据是否通过校验,如果是,则执行步骤209,否则,结束;
可选地,步骤208具体为:终端设备从第二绑定数据包中获取第一服务器公钥证书签名数据,基于终端设备预存的第一服务器公钥证书对应的公钥对第一服务器公钥证书签名数据进行解密,得到第五摘要数据,对第一服务器公钥证书进行哈希运算,得到第六摘要数据,判断第五摘要数据与第六摘要数据是否匹配,如匹配,则验签成功,则执行步骤209,如不匹配,验签失败,结束;
步骤209:终端设备获取并校验第一服务器公钥证书,判断第一服务器公钥证书是否有效,如果是,则执行步骤210,否则,结束;
可选地,步骤209具体为:终端设备从第二绑定数据包中获取第一服务器公钥证书,基于终端设备当前的时间、第一服务器公钥证书的生成时间和第一服务器公钥证书的有效期判断服务器公钥证书是否有效,如果是,则执行步骤210,否则,结束;
步骤210:终端设备获取第一服务器公钥证书序列号,判断第一服务器公钥证书序列号是否在服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤211;
步骤211:终端设备判断当前是否有服务器公钥证书与终端设备绑定,如果是,则执行步骤212,否则,执行步骤213;
步骤211具体为:终端设备查找终端设备的证书列表,判断证书列表中服务器公钥证书的存储状态,如果终端设备已存储服务器公钥证书,则执行步骤212,如果终端设备未存储服务器公钥证书,执行步骤213。
步骤212:终端设备获取当前绑定的服务器公钥证书序列号,判断当前绑定的服务器公钥证书序列号与第一服务器公钥证书序列号是否相同,如果是,则执行步骤213,否则,结束;
步骤213:终端设备保存第一服务器公钥证书。
实施例4
本发明涉及一种终端设备管理服务器证书的方法,当终端设备接收到目标服务器发送的识别解绑请求成功响应时,如图4所示,包括如下步骤:
步骤301:终端设备生成第一随机数,按照第一解绑请求格式生成包含第一解绑请求码、第一解绑请求数据长度和第一随机数的第一解绑数据包,将第一解绑数据包发送给目标服务器;
步骤302:目标服务器接收并解析第一解绑数据包,获取并校验第一解绑请求码,判断第一解绑请求码是否通过校验,如果是,则执行步骤303,否则,向终端设备报错;
可选地,判断第一解绑请求码是否通过校验具体为:目标服务器基于预存的终端设备的解绑请求码判断与第一解绑请求码是否匹配,如果匹配,则校验通过,执行步骤303,如果不匹配,则校验不通过,向终端设备报错;
步骤303:目标服务器获取并保存第一随机数,按照第二解绑请求格式生成第二解绑数据包,所述第二解绑数据包包含服务器公钥证书吊销列表、终端设备序列号、第一随机数和目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
可选地,步骤303具体包括:
步骤A1:目标服务器获取预存的终端设备公钥证书,从终端设备公钥证书中获取终端设备序列号;
步骤A2:目标服务器获取第一服务器保存的第一随机数;
步骤A3:目标服务器对终端设备序列号和第一随机数进行哈希计算,得到第一摘要数据;
步骤A4:目标服务器利用预存的第一服务器公钥证书对应的私钥对第一摘要数据进行签名,得到第二签名数据;
步骤A5:目标服务器获取第一服务器预存的服务器公钥证书吊销列表;
步骤A6:目标服务器将终端设备序列号、第一随机数、第二签名数据和服务器公钥证书吊销列表按照第二请求格式生成第二解绑数据包,将第二解绑数据包发送给终端设备。
步骤304:终端设备接收并解析第二解绑数据包;
具体地,第二解绑数据包包括:终端设备序列号、第一随机数、第二签名数据和服务器公钥证书吊销列表。
步骤305:终端设备获取并校验服务器公钥证书吊销列表,判断服务器公钥证书吊销列表是否有效,如果是,则执行步骤306,否则,结束;
具体地,服务器公钥证书吊销列表用于存储已被吊销的服务器证书序列号;
可选地,步骤305具体为:终端设备从第二解绑数据包中获取服务器公钥证书吊销列表,终端设备基于终端设备当前的时间、服务器公钥证书吊销列表的生成时间和服务器公钥证书吊销列表的有效期判断服务器公钥证书吊销列表是否处于有效期内,如果是,则执行步骤306,否则,结束;
步骤306:终端设备获取并校验服务器公钥证书吊销列表签名数据,判断是否校验成功,如果是,则执行步骤307,否则,结束;
可选地,步骤306具体为:终端设备从服务器公钥证书吊销列表中获取服务器公钥证书吊销列表签名数据,基于终端设备预存的第一服务器公钥证书的认证中心公钥对服务器公钥证书吊销列表签名数据进行验证,判断是否校验成功,如果是,则执行步骤307,否则,结束。
步骤307:终端设备获取终端设备预存的第一服务器公钥证书序列号,判断终端设备预存的第一服务器公钥证书序列号是否在服务器公钥证书吊销列表中,如果是,则结束,否则,执行步骤308;
步骤308:终端设备获取第二签名数据,判断是否校验成功,如果是,则执行步骤309,否则,结束;
可选地,步骤308具体为:终端设备从第二解绑数据包中获取第二签名数据,基于终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行解密,得到第一摘要数据,对终端设备序列号与第一随机数进行哈希运算,得到第二摘要数据,判断第一摘要数据与第二摘要数据是否匹配,如果是,则验签成功,执行步骤309,否则,验签失败,结束。
步骤309:终端设备基于预存的终端设备序列号与第二解绑数据包中的终端设备序列号匹配,判断是否匹配,如果是,则执行步骤310,否则,结束;
步骤310:终端设备判断第二解绑数据包中的第一随机数与发送给第一服务器的第一解绑数据包中的第一随机数是否匹配,如果是,则执行步骤311,否则,结束;
步骤311:终端设备清除终端设备存储的全部应用密钥,清除第一服务器公钥证书。
实施例5
本发明涉及一种终端设备管理服务器证书的方法,当终端设备接收到目标服务器发送的识别重绑请求成功响应时,如图5所示,包括如下步骤:
步骤401:终端设备生成第二随机数,按照第一重绑请求格式生成包含第一重绑请求码、第一重绑请求数据长度和第二随机数的第一重绑数据包,将第一重绑数据包发送给目标服务器;
步骤402:目标服务器接收并解析第一重绑数据包,获取并校验第一重绑请求码,判断第一重绑请求码是否通过校验,如果是,则执行步骤403,否则,向终端设备报错;
可选地,判断第一重绑请求码是否通过校验具体为:目标服务器基于预存的终端设备的重绑请求码判断与第一重绑请求码是否匹配,如果匹配,则校验通过,执行步骤403,如果不匹配,则校验不通过,向终端设备报错;
步骤403:目标服务器获取并保存第二随机数,按照第二重绑请求格式生成第二重绑数据包,所述第二重绑数据包包含服务器公钥证书吊销列表、终端设备序列号、第二随机数、第二服务器公钥证书和目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;
可选地,步骤403具体包括:
步骤B1:目标服务器获取预存的终端设备公钥证书,从终端设备公钥证书中获取终端设备序列号;
步骤B2:目标服务器获取第二服务器保存的第二随机数;
步骤B3:目标服务器生成第二服务器公钥证书;
步骤B4:目标服务器对终端设备序列号、第二随机数和第二服务器公钥证书进行哈希计算,得到第三摘要数据;
步骤B5:目标服务器利用预存的第二服务器公钥证书对应的私钥对第三摘要数据进行签名,得到第一签名数据;
步骤B6:目标服务器获取服务器预存的服务器公钥证书吊销列表;
步骤B7:目标服务器将服务器公钥证书吊销列表、终端设备序列号、第二随机数、第二服务器公钥证书和第一签名数据按照第二重绑请求格式生成第二重绑数据包,将第二重绑数据包发送给终端设备。
步骤404:终端设备接收并解析第二重绑数据包;
具体地,第二重绑数据包包括:服务器公钥证书吊销列表、终端设备序列号、第二随机数、第二服务器公钥证书和第一签名数据。
步骤405:终端设备获取并校验服务器公钥证书吊销列表,判断服务器公钥证书吊销列表是否有效,如果是,则执行步骤406,否则,结束;
具体地,服务器公钥证书吊销列表用于存储已被吊销的服务器证书序列号;
可选地,步骤405具体为:终端设备从第二重绑数据包中获取服务器公钥证书吊销列表,终端设备基于终端设备当前的时间、服务器公钥证书吊销列表的生成时间和服务器公钥证书吊销列表的有效期判断服务器公钥证书吊销列表是否处于有效期内,如果是,则执行步骤406,否则,结束;
步骤406:终端设备获取并校验服务器公钥证书吊销列表签名数据,判断是否验签成功,如果是,则执行步骤407,否则,结束;
可选地,步骤406具体为:终端设备从服务器公钥证书吊销列表中获取服务器公钥证书吊销列表签名数据,基于终端设备预存的第二服务器公钥证书的认证中心公钥对服务器公钥证书吊销列表签名数据进行解密,判断是否成功解密,如果是,则执行步骤407,否则,结束。
步骤407:终端设备获取终端设备预存的第一服务器公钥证书序列号,判断终端设备预存的第一服务器公钥证书序列号是否在服务器公钥证书吊销列表中,如果是,则结束,否则,执行步骤408;
步骤408:终端设备获取并校验第一签名数据,判断是否验签成功,如果是,则执行步骤409,否则,结束;
可选地,步骤408具体为:终端设备从第二解绑数据包中获取第一签名数据,基于终端设备预存的第二服务器公钥证书对应的公钥对第一签名数据进行解密,得到第三摘要数据,终端设备对终端设备序列号、第二随机数与第二服务器公钥证书进行哈希计算得到第四摘要数据,终端设备判断第三摘要数据与第四摘要数据是否匹配,如果匹配,则验签成功,则执行步骤409,如不匹配,则验签失败,结束。
步骤409:终端设备基于预存的终端设备序列号与第二重绑数据包中的终端设备序列号匹配,判断是否匹配,如果是,则执行步骤410,否则,结束;
步骤410:终端设备判断第二重绑数据包中的第二随机数与发送给服务器的第二随机数是否匹配,如果是,则执行步骤411,否则,结束;
步骤411:终端设备获取并校验第二服务器公钥证书签名数据,判断是否验签成功,如果是,则执行步骤412,否则,结束;
可选地,步骤411具体为:终端设备从第二重绑数据包中获取第二服务器公钥证书,从第二服务器公钥证书中获取第二服务器公钥证书签名数据,终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行解密,判断是否成功解密,如果是,则验签成功,执行步骤412,否则,验签失败,结束。
步骤412:终端设备获取并校验第二服务器公钥证书,判断第二服务器公钥证书是否有效,如果是,则执行步骤413,否则,结束;
可选地,步骤412具体为:终端设备从第二重绑数据包中获取第二服务器公钥证书,基于终端设备当前的时间、第二服务器公钥证书的生成时间和第二服务器公钥证书的有效期判断第二服务器公钥证书是否有效,如果是,则执行步骤413,否则,结束;
步骤413:终端设备获取第二服务器公钥证书序列号,判断第二服务器公钥证书序列号是否在服务器公钥证书吊销列表中,如果是,结束,否则,则执行步骤414;
可选地,步骤413中,终端设备获取第二服务器公钥证书序列号具体为:终端设备从第二服务器公钥证书的头文件中获取第二服务器公钥证书序列号。
步骤414:终端设备清除终端设备存储的全部应用密钥,清除第一服务器公钥证书,保存第二服务器公钥证书。
实施例6
本发明提供的一种终端设备,包括重绑模块50,所述重绑模块50具体包括:
获取发送接收单元501,用于获取终端设备序列号,向目标服务器发送终端设备序列号,当接收到目标服务器发送的校验终端设备序列号成功响应时,向目标服务器发送重绑请求;
第一接收单元502,用于接收目标服务器返回的识别重绑请求成功响应;
第二发送单元503,用于向目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
第二接收单元504,用于接收目标服务器返回的第二重绑数据包;
所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
第一验证单元505,用于根据预存的第二服务器公钥证书对应的公钥对第一签名数据进行验签,如验签成功,则触发第一判断单元,如验签失败,结束;
第一判断单元506,用于基于预存的终端设备序列号与第二重绑数据包中的终端设备序列号进行匹配,如匹配,则触发第二判断单元,如不匹配,结束;
第二判断单元507,用于判断第二重绑数据包中的第二随机数与发送给目标服务器的第二随机数是否匹配,如匹配,则触发第二验证单元,如不匹配,结束;
第二验证单元508,用于基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则触发第一清除单元,如验签失败,结束;
所述第一清除单元509,用于清除终端设备存储的全部应用密钥,还用于清除当前保存的第一服务器公钥证书;
第一保存单元510,用于保存第二服务器公钥证书。
可选地,第二发送单元503具体包括:第一生成子单元、第一组建子单元和第一发送子单元;
第一生成子单元,用于生成第二随机数;
第一组建子单元,用于组建包含第一重绑请求码和第二随机数的第一重绑数据包;
第一发送子单元,用于将第一重绑数据包发送给目标服务器。
可选地,第一验证单元505具体包括:第一获取子单元、第一解密子单元、第一运算子单元和第一判断子单元;
第一获取子单元,用于从第二重绑数据包中获取第一签名数据;
第一解密子单元,用于基于终端设备预存的第二服务器公钥证书对应的公钥对第一签名数据进行解密,得到第三摘要数据;
第一运算子单元,用于对终端设备序列号、第二随机数和第二服务器公钥证书进行哈希运算得到第四摘要数据;
第一判断子单元,用于判断第三摘要数据与第四摘要数据是否匹配,如验签成功,则触发第一判断单元,如验签失败,结束;
可选地,第二验证单元508具体包括:第二获取子单元、第三获取子单元和第二判断子单元;
第二获取子单元,用于从第二重绑数据包中获取第二服务器公钥证书;
第三获取子单元,用于从第二服务器公钥证书中获取第二服务器公钥证书签名数据;
第二判断子单元,用于基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验证,判断是否验签成功,如果是,则触发所述第一清除单元,否则,结束。
可选地,第二接收单元504接收到的第二重绑数据包中还包括:服务器公钥证书吊销列表。
可选地,重绑模块还包括:
第一获取单元,用于获取目标服务器公钥证书吊销列表;
第三验证单元,用于校验目标服务器公钥证书吊销列表,判断目标服务器公钥证书吊销列表是否有效,如果是,则触发第四验证单元,否则,结束;
第四验证单元,用于校验目标服务器公钥证书吊销列表签名数据,如验签成功,则触发第二获取单元,如验签失败,结束;
第二获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
第三判断单元,用于判断所述终端设备预存的第一服务器公钥证书序列号是否在目标服务器公钥证书吊销列表中,如果是,结束,否则触发第一验证单元。
所述终端设备还包括解绑模块,所述解绑模块具体包括:
第一查询单元,用于向目标服务器发送查询绑定状态请求;
第三接收单元,用于接收目标服务器返回的已绑定响应;
第三发送单元,用于根据用户选择向目标服务器发送解绑请求;
第四接收单元,用于接收目标服务器返回的识别解绑请求成功响应;
第四发送单元,用于向目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
第五接收单元,用于接收目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
第五验证单元,用于根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则触发第四判断单元,如验签失败,结束;
第四判断单元,用于基于预存的终端设备序列号与终端设备序列号匹配,如匹配,则触发第五判断单元,如不匹配,结束;
第五判断单元,用于判断第二解绑数据包中的第一随机数与发送给目标服务器的第一解绑数据包中的第一随机数是否匹配,如匹配,则触发第二清除单元,如不匹配,结束;
第二清除单元,用于清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
可选地,第四发送单元具体包括:第二生成子单元、第二组建子单元和第二发送子单元;
第二生成子单元,用于生成第一随机数;
第二组建子单元,用于组建包含第一解绑请求码和第一随机数的第一解绑数据包;
第二发送子单元,用于将第一解绑数据包发送给所述目标服务器。
可选地,第五验证单元具体包括:第四获取子单元、第二解密子单元、第二运算子单元和第三判断子单元;
第四获取子单元,用于从第二解绑数据包中获取第二签名数据;
第二解密子单元,用于基于终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行解密,得到第一摘要数据;
第二运算子单元,用于对终端设备序列号与第一随机数进行哈希运算,得到第二摘要数据;
第三判断子单元,用于判断第一摘要数据与第二摘要数据是否匹配,如匹配,则验签成功,则触发所述第四判断单元,如不匹配,验签失败,结束。
可选地,第五接收单元接收到的第二解绑数据包中还包括:服务器公钥证书吊销列表。
可选地,解绑模块还包括:
第三获取单元,用于获取目标服务器公钥证书吊销列表;
第六验证单元,用于判断目标服务器公钥证书吊销列表是否有效,如果是,则触发第七验证单元,否则,结束;
第七验证单元,用于校验目标服务器公钥证书吊销列表签名数据,如验签成功,则触发第四获取单元,如验签失败,结束;
第四获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
第六判断单元,用于判断终端设备预存的第一服务器公钥证书序列号是否在目标服务器公钥证书吊销列表中,如果是,结束,否则触发第五验证单元。
可选地,还包括绑定模块,所述绑定模块具体包括:
第二查询单元,用于向目标服务器发送查询绑定状态请求;
第六接收单元,用于接收目标服务器返回的未绑定响应;
第五发送单元,用于向目标服务器发送绑定请求;
第七接收单元,用于接收到目标服务器返回的识别绑定请求成功响应;
第六发送单元,用于向目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
第八接收单元,用于接收目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
第八验证单元,用于根据预存的第一服务器公钥证书的认证中心公钥对第一服务器公钥证书签名数据进行验签,如验签成功,则触发第五获取单元,如验签失败,结束;
第五获取单元,用于获取第一服务器公钥证书;
第七判断单元,用于判断第一服务器公钥证书是否有效,如果是,则触发第八判断单元,否则,结束;
第八判断单元,用于判断当前是否有服务器公钥证书与终端设备绑定,如果是,则触发第九判断单元,否则,触发第二保存单元;
第九判断单元,用于判断当前绑定的服务器公钥证书序列号与第一服务器公钥证书序列号是否相同,如果是,则触发第二保存单元,否则,结束;
第二保存单元,用于保存第一服务器公钥证书。
可选地,第六发送单元具体包括:第五获取子单元、第三组建子单元、第三发送子单元;
第五获取子单元,用于获取保存的终端设备公钥证书;
第三组建子单元,用于组建包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
第三发送子单元,用于将第一绑定数据包发送给所述目标服务器。
可选地,第八验证单元具体包括:第十获取子单元、第三解密子单元、第三运算子单元和第四判断子单元;
第十获取子单元,用于从第二绑定数据包中获取第一服务器公钥证书签名数据;
第三解密子单元,用于基于终端设备预存的第一服务器公钥证书对应的公钥对第一服务器公钥证书签名数据进行解密,得到第五摘要数据;
第三运算子单元,用于对所述第一服务器公钥证书进行哈希运算,得到第六摘要数据;
第四判断子单元,用于判断第五摘要数据与第六摘要数据是否匹配,如匹配,则验签成功,则触发第五获取单元,如不匹配,验签失败,结束。
可选地,第八接收单元接收到的第二绑定数据包中还包括:服务器公钥证书吊销列表。
可选地,绑定模块还包括:
第六获取单元,用于获取目标服务器公钥证书吊销列表;
第十判断单元,用于判断目标服务器公钥证书吊销列表是否有效,如果是,则触发第十一判断单元,否则,结束;
第九验证单元,用于校验目标服务器公钥证书吊销列表签名数据,如验签成功,则触发所述第八验证单元,如验签失败,结束。
可选地,绑定模块还包括:第七获取单元和第十一判断单元;
第七获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
第十一判断单元,用于判断终端设备预存的第一服务器公钥证书序列号是否在目标服务器公钥证书吊销列表上,如果是,结束,否则触发第八判断单元。
本发明提供的方法,实现了为终端设备远程更换或清除服务器下发的公钥证书和应用密钥,且通过服务器的配合,保证了远程更换或清除公钥证书和应用密钥的安全性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (34)

1.一种终端设备管理服务器证书的方法,其特征在于,包括重绑流程,所述流程如下步骤:
步骤S0:终端设备获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
步骤S1:当所述终端设备接收到目标服务器返回的识别重绑请求成功响应时,向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
步骤S2:所述终端设备接收所述目标服务器返回的第二重绑数据包;所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
步骤S3:所述终端设备根据预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行验签,如验签成功,则执行步骤S4,如验签失败,结束;
步骤S4:所述终端设备基于预存的终端设备序列号与所述第二重绑数据包中的终端设备序列号进行匹配,如匹配,执行步骤S5,如不匹配,结束;
步骤S5:所述终端设备判断第二重绑数据包中的第二随机数与发送给所述目标服务器的第二随机数是否匹配,如匹配,执行步骤S6,如不匹配,结束;
步骤S6:所述终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则执行步骤S7,如验签失败,结束;
步骤S7:所述终端设备清除所述终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书,保存所述第二服务器公钥证书。
2.如权利要求1所述的方法,其特征在于,所述步骤S1中,所述向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包具体为:所述终端设备生成第二随机数,组建包含所述第一重绑请求码和所述第二随机数的第一重绑数据包,将所述第一重绑数据包发送给所述目标服务器。
3.如权利要求1所述的方法,其特征在于,所述步骤S3具体为:所述终端设备从所述第二重绑数据包中获取第一签名数据,基于所述终端设备预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行解密,得到第三摘要数据,所述终端设备对所述终端设备序列号、第二随机数和第二服务器公钥证书进行哈希运算得到第四摘要数据,所述终端设备判断第三摘要数据与第四摘要数据是否匹配,如果匹配,验签成功,执行步骤S4,如不匹配,验签失败,结束。
4.如权利要求1所述的方法,其特征在于,所述步骤S6具体为:所述终端设备从所述第二重绑数据包中获取第二服务器公钥证书,从所述第二服务器公钥证书中获取第二服务器公钥证书签名数据,所述终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验证,判断是否验签成功,如果是,执行步骤S7,否则,结束。
5.如权利要求1所述的方法,其特征在于,所述步骤S2中,所述第二重绑数据包中还包括:服务器公钥证书吊销列表。
6.如权利要求5所述的方法,其特征在于,所述步骤S3之前还包括:
步骤K1:所述终端设备获取并校验所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤K2,否则,结束;
步骤K2:所述终端设备校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则执行步骤K3,如验签失败,结束;
步骤K3:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤S3。
7.如权利要求1所述的方法,其特征在于,还包括解绑流程,所述解绑流程包括如下步骤:
步骤L0:所述终端设备向所述目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的已绑定响应时,根据用户选择向所述目标服务器发送解绑请求;
步骤L1:当所述终端设备接收到所述目标服务器返回的识别解绑请求成功响应时,向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
步骤L2:所述终端设备接收所述目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
步骤L3:所述终端设备根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则执行步骤L4,如验签失败,结束;
步骤L4:所述终端设备基于预存的终端设备序列号与所述终端设备序列号匹配,如匹配,则执行步骤L5,如不匹配,结束;
步骤L5:所述终端设备判断第二解绑数据包中的第一随机数与发送给所述目标服务器的第一解绑数据包的第一随机数是否匹配,如匹配,则执行步骤L6,如不匹配,结束;
步骤L6:所述终端设备清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
8.如权利要求7所述的方法,其特征在于,所述步骤L1中,所述向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包具体为:所述终端设备生成第一随机数,组建包含所述第一解绑请求码和所述第一随机数的第一解绑数据包,将所述第一解绑数据包发送给所述目标服务器。
9.如权利要求7所述的方法,其特征在于,所述步骤L3具体为:所述终端设备从所述第二解绑数据包中获取第二签名数据,基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第二签名数据进行解密,得到第一摘要数据,对所述终端设备序列号与第一随机数进行哈希运算,得到第二摘要数据,判断第一摘要数据与第二摘要数据是否匹配,如匹配,则验签成功,执行步骤L4,如不匹配,验签失败,结束。
10.如权利要求7所述的方法,其特征在于,所述步骤L2中,所述第二解绑数据包中还包括:服务器公钥证书吊销列表。
11.如权利要求10所述的方法,其特征在于,所述步骤L3之前还包括:
步骤N1:所述终端设备获取并校验所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤N2,否则,结束;
步骤N2:所述终端设备校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则执行步骤N3,如验签失败,结束;
步骤N3:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤L3。
12.如权利要求1所述的方法,其特征在于,还包括绑定流程,所述绑定流程包括如下步骤:
步骤M0:所述终端设备向目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的未绑定响应时,向所述目标服务器发送绑定请求;
步骤M1:当所述终端设备接收到所述目标服务器返回的识别绑定请求成功响应时,向所述目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
步骤M2:所述终端设备接收所述目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
步骤M3:所述终端设备根据预存的第一服务器公钥证书的认证中心公钥对所述第一服务器公钥证书签名数据进行验签,如验签成功,则执行步骤M4,如验签失败,结束;
步骤M4:所述终端设备获取并校验所述第一服务器公钥证书,判断所述第一服务器公钥证书是否有效,如果是,则执行步骤M5,否则,结束;
步骤M5:所述终端设备判断当前是否有服务器公钥证书与所述终端设备绑定,如果是,则执行步骤M6,否则,执行步骤M7;
步骤M6:所述终端设备判断当前绑定的服务器公钥证书序列号与所述第一服务器公钥证书序列号是否相同,如果是,则执行步骤M7,否则,结束;
步骤M7:所述终端设备保存所述第一服务器公钥证书。
13.如权利要求12所述的方法,其特征在于,所述步骤M1中,向所述目标服务器发送包含第一绑定请求和终端设备公钥证书的第一绑定数据包具体为:所述终端设备获取保存的终端设备公钥证书,组建包含所述第一绑定请求码和终端设备公钥证书的第一绑定数据包,将所述第一绑定数据包发送给所述目标服务器。
14.如权利要求12所述的方法,其特征在于,所述步骤M3具体为:所述终端设备从所述第二绑定数据包中获取第一服务器公钥证书签名数据,基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第一服务器公钥证书签名数据进行解密,得到第五摘要数据,对所述第一服务器公钥证书进行哈希运算,得到第六摘要数据,判断第五摘要数据与第六摘要数据是否匹配,如匹配,则验签成功,执行步骤M4,如不匹配,验签失败,结束。
15.如权利要求12所述的方法,其特征在于,所述步骤M2中,所述第二绑定数据包中还包括:服务器公钥证书吊销列表。
16.如权利要求15所述的方法,其特征在于,所述步骤M3之前还包括:
步骤Q1:所述终端设备获取所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤Q2,否则,结束;
步骤Q2:判断终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表上,如果是,结束,否则执行步骤M3。
17.如权利要求12所述的方法,其特征在于,所述步骤M5之前还包括:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤M5。
18.一种终端设备,其特征在于,包括重绑模块,所述重绑模块具体包括:
获取发送接收单元,用于获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
第一接收单元,用于接收所述目标服务器返回的识别重绑请求成功响应;
第二发送单元,用于向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
第二接收单元,用于接收所述目标服务器返回的第二重绑数据包;
所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
第一验证单元,用于根据预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行验签,如验签成功,则触发第一判断单元,如验签失败,结束;
所述第一判断单元,用于基于预存的终端设备序列号与所述第二重绑数据包中的终端设备序列号进行匹配,如匹配,则触发第二判断单元,如不匹配,结束;
所述第二判断单元,用于判断第二重绑数据包中的第二随机数与发送给所述目标服务器的第二随机数是否匹配,如匹配,则触发第二验证单元,如不匹配,结束;
所述第二验证单元,用于基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则触发第一清除单元,如验签失败,结束;
所述第一清除单元,用于清除所述终端设备存储的全部应用密钥,还用于清除当前保存的第一服务器公钥证书;
第一保存单元,用于保存所述第二服务器公钥证书。
19.如权利要求18所述的终端设备,其特征在于,所述第二发送单元具体包括:第一生成子单元、第一组建子单元和第一发送子单元;
所述第一生成子单元,用于生成第二随机数;
所述第一组建子单元,用于组建包含所述第一重绑请求码和所述第二随机数的第一重绑数据包;
所述第一发送子单元,用于将所述第一重绑数据包发送给所述目标服务器。
20.如权利要求18所述的终端设备,其特征在于,所述第一验证单元具体包括:第一获取子单元、第一解密子单元、第一运算子单元和第一判断子单元;
所述第一获取子单元,用于从所述第二重绑数据包中获取第一签名数据;
所述第一解密子单元,用于基于所述终端设备预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行解密,得到第三摘要数据;
所述第一运算子单元,用于对所述终端设备序列号、第二随机数和第二服务器公钥证书进行哈希运算得到第四摘要数据;
所述第一判断子单元,用于判断所述第三摘要数据与所述第四摘要数据是否匹配,如验签成功,则触发第一判断单元,如验签失败,结束。
21.如权利要求18所述的终端设备,其特征在于,所述第二验证单元具体包括:第二获取子单元、第三获取子单元和第二判断子单元;
所述第二获取子单元,用于从所述第二重绑数据包中获取第二服务器公钥证书;
所述第三获取子单元,用于从所述第二服务器公钥证书中获取第二服务器公钥证书签名数据;
所述第二判断子单元,用于基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验证,判断是否验签成功,如果是,则触发所述第一清除单元,否则,结束。
22.如权利要求18所述的终端设备,其特征在于,所述第二接收单元接收到的第二重绑数据包中还包括:服务器公钥证书吊销列表。
23.如权利要求22所述的终端设备,其特征在于,所述重绑模块还包括:
第一获取单元,用于获取所述目标服务器公钥证书吊销列表;
第三验证单元,用于校验所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则触发第四验证单元,否则,结束;
所述第四验证单元,用于校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则触发第二获取单元,如验签失败,结束;
所述第二获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
第三判断单元,用于判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则触发第一验证单元。
24.如权利要求18所述的终端设备,其特征在于,还包括解绑模块,所述解绑模块具体包括:
第一查询单元,用于向所述目标服务器发送查询绑定状态请求;
第三接收单元,用于接收所述目标服务器返回的已绑定响应;
第三发送单元,用于根据用户选择向所述目标服务器发送解绑请求;
第四接收单元,用于接收所述目标服务器返回的识别解绑请求成功响应;
第四发送单元,用于向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
第五接收单元,用于接收所述目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
第五验证单元,用于根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则触发第四判断单元,如验签失败,结束;
所述第四判断单元,用于基于预存的终端设备序列号与所述终端设备序列号匹配,如匹配,则触发第五判断单元,如不匹配,结束;
所述第五判断单元,用于判断第二解绑数据包中的第一随机数与发送给所述目标服务器的第一解绑数据包中的第一随机数是否匹配,如匹配,则触发第二清除单元,如不匹配,结束;
所述第二清除单元,用于清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
25.如权利要求24所述的终端设备,其特征在于,所述第四发送单元具体包括:第二生成子单元、第二组建子单元和第二发送子单元;
所述第二生成子单元,用于生成第一随机数;
所述第二组建子单元,用于组建包含所述第一解绑请求码和所述第一随机数的第一解绑数据包;
所述第二发送子单元,用于将所述第一解绑数据包发送给所述目标服务器。
26.如权利要求24所述的终端设备,其特征在于,所述第五验证单元具体包括:第四获取子单元、第二解密子单元、第二运算子单元和第三判断子单元;
所述第四获取子单元,用于从所述第二解绑数据包中获取第二签名数据;
所述第二解密子单元,用于基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第二签名数据进行解密,得到第一摘要数据;
所述第二运算子单元,用于对所述终端设备序列号与第一随机数进行哈希运算,得到第二摘要数据;
所述第三判断子单元,用于判断第一摘要数据与第二摘要数据是否匹配,如匹配,则验签成功,则触发所述第四判断单元,如不匹配,验签失败,结束。
27.如权利要求24所述的终端设备,其特征在于,所述第五接收单元接收到的第二解绑数据包中还包括:服务器公钥证书吊销列表。
28.如权利要求27所述的终端设备,其特征在于,所述解绑模块还包括:
第三获取单元,用于获取所述目标服务器公钥证书吊销列表;
第六验证单元,用于判断所述目标服务器公钥证书吊销列表是否有效,如果是,则触发第七验证单元,否则,结束;
所述第七验证单元,用于校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则触发第四获取单元,如验签失败,结束;
所述第四获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
第六判断单元,用于判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则触发所述第五验证单元。
29.如权利要求18所述的终端设备,其特征在于,还包括绑定模块,所述绑定模块具体包括:
第二查询单元,用于向所述目标服务器发送查询绑定状态请求;
第六接收单元,用于接收所述目标服务器返回的未绑定响应;
第五发送单元,用于向所述目标服务器发送绑定请求;
第七接收单元,用于接收到所述目标服务器返回的识别绑定请求成功响应;
第六发送单元,用于向所述目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
第八接收单元,用于接收所述目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
第八验证单元,用于根据预存的第一服务器公钥证书的认证中心公钥对所述第一服务器公钥证书签名数据进行验签,如验签成功,则触发第五获取单元,如验签失败,结束;
所述第五获取单元,用于获取所述第一服务器公钥证书;
第七判断单元,用于判断所述第一服务器公钥证书是否有效,如果是,则触发第八判断单元,否则,结束;
所述第八判断单元,用于判断当前是否有服务器公钥证书与所述终端设备绑定,如果是,则触发第九判断单元,否则,触发第二保存单元;
所述第九判断单元,用于判断当前绑定的服务器公钥证书序列号与所述第一服务器公钥证书序列号是否相同,如果是,则触发第二保存单元,否则,结束;
所述第二保存单元,用于保存所述第一服务器公钥证书。
30.如权利要求29所述的终端设备,其特征在于,所述第六发送单元具体包括:第五获取子单元、第三组建子单元、第三发送子单元;
所述第五获取子单元,用于获取保存的终端设备公钥证书;
所述第三组建子单元,用于组建包含所述第一绑定请求码和终端设备公钥证书的第一绑定数据包;
所述第三发送子单元,用于将所述第一绑定数据包发送给所述目标服务器。
31.如权利要求29所述的终端设备,其特征在于,所述第八验证单元具体包括:第十获取子单元、第三解密子单元、第三运算子单元和第四判断子单元;
所述第十获取子单元,用于从所述第二绑定数据包中获取第一服务器公钥证书签名数据;
所述第三解密子单元,用于基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第一服务器公钥证书签名数据进行解密,得到第五摘要数据;
所述第三运算子单元,用于对所述第一服务器公钥证书进行哈希运算,得到第六摘要数据;
所述第四判断子单元,用于判断第五摘要数据与第六摘要数据是否匹配,如匹配,则验签成功,则触发第五获取单元,如不匹配,验签失败,结束。
32.如权利要求29所述的终端设备,其特征在于,所述第八接收单元接收到的第二绑定数据包中还包括:服务器公钥证书吊销列表。
33.如权利要求29所述的终端设备,其特征在于,所述绑定模块还包括:
第六获取单元,用于获取所述目标服务器公钥证书吊销列表;
第十判断单元,用于判断所述目标服务器公钥证书吊销列表是否有效,如果是,则触发第十一判断单元,否则,结束;
第九验证单元,用于校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则触发所述第八验证单元,如验签失败,结束。
34.如权利要求29所述的终端设备,其特征在于,所述绑定模块还包括:第七获取单元和第十一判断单元;
所述第七获取单元,用于获取终端设备预存的第一服务器公钥证书序列号;
所述第十一判断单元,用于判断终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表上,如果是,结束,否则触发所述第八判断单元。
CN201911358862.0A 2019-12-25 2019-12-25 一种终端设备及其管理服务器证书的方法 Active CN111130772B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911358862.0A CN111130772B (zh) 2019-12-25 2019-12-25 一种终端设备及其管理服务器证书的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911358862.0A CN111130772B (zh) 2019-12-25 2019-12-25 一种终端设备及其管理服务器证书的方法

Publications (2)

Publication Number Publication Date
CN111130772A CN111130772A (zh) 2020-05-08
CN111130772B true CN111130772B (zh) 2022-12-20

Family

ID=70502421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911358862.0A Active CN111130772B (zh) 2019-12-25 2019-12-25 一种终端设备及其管理服务器证书的方法

Country Status (1)

Country Link
CN (1) CN111130772B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113141353B (zh) * 2021-04-08 2023-03-07 深圳云里物里科技股份有限公司 一种数字证书的存储方法、读取方法、装置及网关

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795545A (zh) * 2014-02-14 2014-05-14 飞天诚信科技股份有限公司 一种安全通信的方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7366906B2 (en) * 2003-03-19 2008-04-29 Ricoh Company, Ltd. Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium
CN101521877B (zh) * 2009-03-31 2012-05-09 中兴通讯股份有限公司 远程管理移动终端数字证书的系统和方法
CN101741848B (zh) * 2009-12-22 2012-10-24 北京九恒星科技股份有限公司 系统用户的数字证书绑定方法、系统及数字证书认证中心
CN103346916B (zh) * 2013-07-05 2018-07-31 上海斐讯数据通信技术有限公司 一种网络设备数字证书的管理方法
CN107800725B (zh) * 2017-12-11 2023-08-29 公安部第一研究所 一种数字证书远程在线管理装置及方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795545A (zh) * 2014-02-14 2014-05-14 飞天诚信科技股份有限公司 一种安全通信的方法和系统

Also Published As

Publication number Publication date
CN111130772A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
KR101117393B1 (ko) 신뢰가능한 제 3 자 기반의 엔티티 양방향 식별 방법 및 시스템
US8417955B2 (en) Entity bidirectional authentication method and system
CN108809643B (zh) 一种设备与云端协商密钥的方法、系统及设备
CN110572418B (zh) 车辆身份认证的方法、装置、计算机设备及存储介质
CN101964791B (zh) 客户端与web应用的通讯认证系统及认证方法
CN1913435B (zh) 无线通信系统、终端及其状态报告方法
CN1832397B (zh) 电子设备接口间基于公钥证书的认证密钥协商和更新方法
US20050138365A1 (en) Mobile device and method for providing certificate based cryptography
JP5468137B2 (ja) オンライン第三者装置を導入するエンティティ双方向認証方法
EP2071761A1 (en) A method for acquiring and authenticating public key certificate status
CN100512201C (zh) 用于处理分组业务的接入-请求消息的方法
US8274401B2 (en) Secure data transfer in a communication system including portable meters
WO2001054346A1 (en) Method for issuing an electronic identity
CN105306452A (zh) 避免设备密码传输且基于云计算平台的蓝牙动态密码安全认证方法
US9026793B2 (en) Method for installing rights object for content in memory card
WO2011026296A1 (zh) 引入在线可信第三方的实体鉴别方法
CN103077461B (zh) 使用移动通信装置申请金融凭证的系统及其方法
KR20100101887A (ko) 통신시스템에서 인증 방법 및 시스템
US11997221B2 (en) Digital certificate and method for securely providing a public key
CN108632037B (zh) 公钥基础设施的公钥处理方法及装置
CN111130772B (zh) 一种终端设备及其管理服务器证书的方法
CN113992336B (zh) 基于区块链的加密网络离线数据可信交换方法及装置
Ding et al. Equipping smart devices with public key signatures
CN103001932A (zh) 用户认证的方法及认证服务器
CN103001767A (zh) 一种用户认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant