CN111143888B - 一种证书签发方法及系统 - Google Patents

一种证书签发方法及系统 Download PDF

Info

Publication number
CN111143888B
CN111143888B CN201911359233.XA CN201911359233A CN111143888B CN 111143888 B CN111143888 B CN 111143888B CN 201911359233 A CN201911359233 A CN 201911359233A CN 111143888 B CN111143888 B CN 111143888B
Authority
CN
China
Prior art keywords
certificate
issuing request
target
issuing
service program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911359233.XA
Other languages
English (en)
Other versions
CN111143888A (zh
Inventor
孙吉平
陈文静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Senseshield Technology Co Ltd
Original Assignee
Beijing Senseshield Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Senseshield Technology Co Ltd filed Critical Beijing Senseshield Technology Co Ltd
Priority to CN201911359233.XA priority Critical patent/CN111143888B/zh
Publication of CN111143888A publication Critical patent/CN111143888A/zh
Application granted granted Critical
Publication of CN111143888B publication Critical patent/CN111143888B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种证书签发方法及系统,其中方法包括:获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息;获取所述目标证书的签发者信息;利用预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。本发明通过利用密码芯片来对目标证书的签发请求进行签名获得签名结果,然后再根据签名结果等信息来组装获得目标证书,并签发给目标设备,签发过程简洁,签发效率高,并且证书认证系统涉及到的组成设备较少,因此维护成本较低。

Description

一种证书签发方法及系统
技术领域
本发明涉信息安全技术领域,特别涉及一种证书签发方法及系统。
背景技术
随着互联网信息安全意识的不断提高,数据都逐渐由明文传输和存储升级到密文传输和存储。但数据只加密是不够的,大多数时候我们还需要确认这个数据的发送者的身份信息,这就需要通过数字证书的方式来实现,具体来说是通过证书链校验来确定发送者的身份。
一套完整的证书认证系统包含信息审核、密钥管理、证书申请、证书状态维护等。然而对于一些企业内部使用的证书认证系统,认证系统的组成过于复杂,因而造成证书签发过程较为繁琐,签发效率低。
发明内容
本发明实施例的目的在于提供一种证书签发方法系统,用于解决现有技术中证书签发过程繁琐,签发效率低的问题。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种证书签发方法,包括如下步骤:
获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息;
获取所述目标证书的签发者信息;
利用预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;
对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
可选的,所述获取目标证书的签发请求,具体包括:
密码机中的服务程序接收证书签发请求端发送的目标证书的签发请求;
密码机中的服务程序对接收的所述目标证书的签发请求进行验证,在验证接收的所述目标证书的签发请求为合法时,获取所述目标证书的签发请求。
可选的,所述密码机中的服务程序对接收的所述目标证书的签发请求进行验证,具体包括:
密码机中的服务程序接收证书签发请求端发送的与所述目标证书的签发请求对应的校验签名以及目标证书的签发请求的时间戳,其中,所述校验签名是由所述证书签发请求端采用预设的签名算法基于发送的目标证书的签发请求、目标证书的签发请求的时间戳、以及所述证书签发请求端的ID计算获得的;
密码机中的服务程序采用所述预设的签名算法基于密码机中的服务程序接收的所述目标证书的签发请求、所述目标证书的签发请求的时间戳以及密码机中的服务程序的ID进行计算获得校验值;其中,所述证书签发请求端与所述密码机中的服务程序的ID相同;
密码机中的服务程序将所述校验值与所述校验签名进行比较,根据比较结果确定所述目标证书的签发请求是否合法。
可选的,所述基于所述目标证书的签发请求获取使用者信息,具体包括:
对所述目标证书的签发请求进行解析,获得签发请求信息,所述签发请求信息中包含有使用者信息;
从所述签发请求信息中获取所述使用者信息。
可选的,所述获取所述目标证书的签发者信息,具体包括:
确定与目标证书对应的上级证书;
基于所述上级证书获取所述签发者信息。
可选的,所述方法还包括:利用与目标设备对应的目标应用程序调用目标设备生成密钥对;所述密钥对中包含私钥和公钥;
利用所述密钥对中的公钥生成所述目标证书的签发请求;其中,所述目标证书的签发请求与所述目标设备对应。
可选的,所述方法还包括,将所述密钥对中的私钥保存在密码芯片中;
所述利用密码芯片对所述目标证书的签发请求进行签名,以获得签名结果,具体包括:利用所述密码芯片中的私钥对所述目标证书的签发请求进行签名,获得所述签名结果。
可选的,所述获得所述目标证书,以供目标设备使用,具体包括:
获得所述目标证书,利用所述证书签发请求端将所述目标证书发送给目标设备,以供所述目标设备对所述目标证书进行保存并使用。
可选的,在对接收的所述目标证书的签发请求进行验证之前,所述方法还包括:
为所述证书签发请求端配置所述ID以及所述预设的签名算法;
为所述密码机中的服务程序配置所述ID以及所述预设的签名算法。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种证书签发系统,包括:密码机中存储的服务程序以及设置在所述密码机中的密码芯片;
所述密码机,被配置为获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息,获取所述目标证书的签发者信息;
所述密码芯片,被配置为对密码机获取的所述目标证书的签发请求进行签名,以获得签名结果,并将所述签名结果发送给所述密码机;
所述密码机,还被配置为在接收到所述密码芯片发送的所述签名结果后,对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
本发明实施例的有益效果在于:通过利用密码芯片来对目标证书的签发请求进行签名获得签名结果,然后再根据签名结果等信息来组装获得目标证书,并签发给目标设备,签发过程简洁,签发效率高,并且证书认证系统涉及到的组成设备较少,因此维护成本较低。
附图说明
图1为本发明第一实施例证书签发方法的流程图;
图2为本发明第二实施例证书签发方法的流程图;
图3为本发明第三实施例证书签发系统的框图。
图4为本发明实施例中证书签发的时序图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本发明实施例提供一种证书签发方法,通过将签发出来的证书部署到设备及软件中,可用于对企业内部的设备及软件的身份验证,证书签发方法包括:获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息;获取所述目标证书的签发者信息;利用预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。本发明实施例通过利用密码芯片来对目标证书的签发请求进行签名获得签名结果,然后再根据签名结果等信息来组装获得目标证书,并签发给目标设备,签发过程简洁,签发效率高,并且证书认证系统涉及到的组成设备较少,因此维护成本较低。
本发明第一实施例提供一种证书签发方法,该方法应用于密码机中的服务程序,其中密码机中还设置有密码芯片包括如下步骤:
步骤S101,获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息;
本实施例中,签发请求具体是由证书签发请求端提供的。该证书签发请求端具体可以是证书签发系统SDK。在具体获取使用者信息时,可以先对所述目标证书的签发请求进行解析,获得签发请求信息,然后从所述签发请求信息中获取使用者信息;本实施例中使用者信息可以包括设备身份信息,具体可以包括设备的名称、设备的型号、设备的唯一标识码等。
步骤S102,获取所述目标证书的签发者信息;
本实施例中,在具体实施过程中,可以先确定与目标证书对应的上级证书;然后基于所述上级证书获取所述签发者信息。如果是签发根证书则签发者和使用者相同。
步骤S103,利用预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;
本实施例中,密码芯片是一种支持高性能密码运算的芯片,支持多种的密码算法。利用密码芯片来对证书的签发请求进行签名,保证了签名结果的安全,不容易被盗取。
步骤S104,对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
本实施例中在具体实施过程中,具体可以组装获得一张X509格式的目标证书。获得了目标证书之后,就可以利用所述证书签发请求端将所述目标证书发送给目标设备,以供所述目标设备对所述目标证书进行保存并使用。
本实施例中比如需要为空调设备签发证书,那么密码机中的服务程序就会获取空调证书的签发请求,基于所述空调证书的签发请求获取空调设备的身份信息(空调设备的型号、名称、唯一标识码等);服务程序获取所述空调证书的签发者信息;服务程序通过USB协议将签发请求发送给密码机中的密码芯片,利用密码芯片对所述空调证书的签发请求进行签名,以获得签名结果;服务程序对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述空调证书,以供空调设备使用。
本发明实施例中的通过利用密码机中的密码芯片来对签发请求进行签名干活的签名结果,然后再将签名结果然后再根据签名结果等信息来组装获得目标证书,并签发给目标设备,签发过程简洁,签发效率高。
本发明第二实施例提供一种证书签发方法,包括如下步骤:
步骤S201,密码机中的服务程序接收证书签发请求端发送的目标证书的签发请求;密码机中的服务程序对接收的所述目标证书的签发请求进行验证,在验证接收的所述目标证书的签发请求为合法时,获取所述目标证书的签发请求;基于所述目标证书的签发请求获取使用者信息;
本步骤中,证书签发请求是由与目标设备的应用程序调用目标设备来生成的。证书签发请求的生成的过程为:利用与目标设备对应的目标应用程序调用目标设备生成密钥对;所述密钥对中包含私钥和公钥;利用所述密钥对中的公钥生成所述目标证书的签发请求;其中,所述目标证书的签发请求与所述目标设备对应。例如,目标设备为空调设备,则空调设备会对应一个空调应用程序,利用空调应用程序来对空调进行管理。在为空调设备签发证书之前,需要利用空调应用程序调用空调设备来生成密钥对,并导出公钥;空调应用程序使用公钥生成空调证书的签发请求,并将空调证书的签发请求发送给证书签发请求端(即证书签发系统SDK),然后通过证书签发请求端将空调证书的签发请求发送给密码机中的服务程序。
步骤S202,获取所述目标证书的签发者信息;
步骤S203,利用预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;
本实施例中在利用与目标设备对应的目标应用程序调用目标设备生成密钥对之后,还包括将密钥对中的私钥保存在密码芯片中,后本步骤中再利用所述密码芯片中的私钥对所述目标证书的签发请求进行签名,获得所述签名结果。通过将私钥存储在密码芯片,保证了私钥的安全性。
步骤S204,对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
本步骤中,在获得所述目标证书后,是利用所述证书签发请求端将所述目标证书发送给目标设备,以供所述目标设备对所述目标证书进行保存并使用。
本实施例中可以预先分别为所述证书签发请求端以及密码机中的服务程序配置相同的ID以及相同的签名算法。然后证书签发请求端利用签名算法对发送的证书签发请求进行计算获得校验签名,再利用密码机中的服务程序对接收的证书签发请求进行计算校验值,通过将校验签名和校验值进行比较来验证密码机中的服务程序接收到的证书签发请求是否与发送的证书签发请求一致,以确保数据的安全。具体的,密码机中的服务程序对接收的所述目标证书的签发请求进行验证,具体包括:
密码机中的服务程序接收证书签发请求端发送的与所述目标证书的签发请求对应的校验签名以及目标证书的签发请求的时间戳,其中,所述校验签名是由所述证书签发请求端采用预设的签名算法基于发送的目标证书的签发请求、目标证书的签发请求的时间戳、以及所述证书签发请求端的ID计算获得的;密码机中的服务程序采用所述预设的签名算法基于密码机中的服务程序接收的所述目标证书的签发请求、所述目标证书的签发请求的时间戳以及密码机中的服务程序的ID进行计算获得校验值;其中,所述证书签发请求端与所述密码机中的服务程序的ID相同;密码机中的服务程序将所述校验值与所述校验签名进行比较,根据比较结果确定所述目标证书的签发请求是否合法。
本发明实施例,使用服务器密码机作为服务载体,内置的服务程序以及密码芯片,利用密码芯片对证书请求进行签名并组装获得国密证书,对外以SDK的形式提供签发国密证书的服务,可快速实国密证书的签发。在本实施例中证书签发请求由调用方或设备自己生成,证书的密钥需要自己生成并管理,比如USBKEY可以自己生成密钥对并保存在硬件中,既保证了密钥的安全性同时还减小了证书签发系统管理密钥的难度。
本发明第三实施例提供一种证书签发系统,如图3所示,包括:密码机,密码机中存储有服务程序以及设置在所述密码机中的密码芯片;
所述密码机,被配置为获取目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息,获取所述目标证书的签发者信息;
所述密码芯片,被配置为对密码机获取的所述目标证书的签发请求进行签名,以获得签名结果,并将所述签名结果发送给所述密码机;
所述密码机,还被配置为在接收到所述密码芯片发送的所述签名结果后,对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
本实施例中,具体是通过密码机中的服务程序来获取目标证书的签发请求,并对签名结果等信息进行组装获得目标证书的。
较佳的,本实施例中,密码机中的服务程序被配置为:
接收证书签发请求端发送的目标证书的签发请求;
接收的所述目标证书的签发请求进行验证,在验证接收的所述目标证书的签发请求为合法时,获取所述目标证书的签发请求。
进一步的,所述密码机中的服务程序被配置为:
接收证书签发请求端发送的与所述目标证书的签发请求对应的校验签名以及目标证书的签发请求的时间戳,其中,所述校验签名是由所述证书签发请求端采用预设的签名算法基于发送的目标证书的签发请求、目标证书的签发请求的时间戳、以及所述证书签发请求端的ID计算获得的;
采用所述预设的签名算法基于密码机中的服务程序接收的所述目标证书的签发请求、所述目标证书的签发请求的时间戳以及密码机中的服务程序的ID进行计算获得校验值;其中,所述证书签发请求端与所述密码机中的服务程序的ID相同;
将所述校验值与所述校验签名进行比较,根据比较结果确定所述目标证书的签发请求是否合法。
本实施例中,密码机中的服务程序在对接收的所述目标证书的签发请求进行验证之前,还包括:为所述证书签发请求端配置所述ID以及所述预设的签名算法;为所述密码机中的服务程序配置所述ID以及所述预设的签名算法。
本实施例在上述实施例的基础上,为了获得使用者信息,所述密码机中的服务程序还被配置为:
对所述目标证书的签发请求进行解析,获得签发请求信息,所述签发请求信息中包含有使用者信息;从所述签发请求信息中获取所述使用者信息。
具体的,本实施例中为了获取签发者信息,密码机中的服务程序被配置为:确定与目标证书对应的上级证书;基于所述上级证书获取所述签发者信息。
较佳的,本实施例中,证书签发请求是由与目标设备的应用程序调用目标设备来生成的。证书签发请求的生成的过程为:利用与目标设备对应的目标应用程序调用目标设备生成密钥对;所述密钥对中包含私钥和公钥;利用所述密钥对中的公钥生成所述目标证书的签发请求,其中,所述目标证书的签发请求与所述目标设备对应。同时将密钥对中的私钥保存在所述密码机的密码芯片中,以为后续利用密码中的芯片对证书签发请求进行签名奠定基础。本发明实施例在生成了证书的签发请求之后,就可该请求发送给证书签发请求端(即证书签发系统SDK),然后通过证书签发请求端将证书的签发请求发送给密码机中的服务程序。
具体的,本实施例中,密码机中的服务程序还被配置为:利用所述证书签发请求端将所述目标证书发送给目标设备,以供所述目标设备对所述目标证书进行保存并使用。
以一个具体应用场景为例,现在有一国密证书签发系统,则可以使用下面的流程来为目标设备签发证书,如图4所示,包括:
1、设置证书签发请求端提供的SDK的配置文件,设置证书签发请求端的IP地址,端口号,网络连接超时时间,数据读取超时时间。
2、与目标设备对应的应用程序调用目标设备生成SM2密钥对,并导出公钥,将私钥存储在密码芯片中。
3、应用程序使用设备公钥生成目标设备的证书签发请求。证书签发请求中包含了目标设备的基本身份信息和公钥。
4、应用程序将证书签发请求发送给证书签发请求端SDK。
5、证书签发请求端SDK进一步将证书签发请求发送给密码机中的服务程序。
6、密码机中的服务程序解析证书签发请求,获取使用者信息
7、密码机中的服务程序通过上级证书获取签发者信息。如果是签发根证书则签发者和使用者相同
8、密码机中的服务程序将证书签发请求通过USB协议发送给密码机中的密码芯片。
9、密码芯片使用内部的SM2私钥对证书签发请求进行签名。
10、密码芯片返回SM2签名结果给密码机中的服务程序。
11、密码机中的服务程序将使用者信息、签发者信息、签名结果等组装成一张X509格式的证书,即获得了目标证书,然后通过证书签发请求端SDK发送给应用程序,应用程序将该证书保存到目标设备中。
12、目标设备跟服务器交互过程中携带此证书用于服务器验证设备身份是否合法。
本实施例中,由于密码机中的服务程序是通过接收SDK提供的证书签发请求来签发证书的,因此服务程序和SDK之间应该有一条安全的数据通过进行数据通信。因此服务程序每次接收到证书签发请求之后首先需要校验SDK发送过来的数据(证书签发请求)是否合法,只有校验成功之后才能执行后续的签发证书的操作。具体的校验过程为:
1、密码机中的服务程序通过配置文件配置app_id、app_secret。
2、SDK端通过配置文件配置相同的app_id、app_secret。
3、SDK端发送证书签发请求之前对证书签发请求获取时间戳(timestamp)并对证书签发请求data,然后采用自己的app_secret对app_id、data以及时间戳进行计算,获得校验签名S,签名规则如下:
S=HMAC-SM3(app_secret,app_id||data||timestamp)
4、SDK端将校验签名结果S、时间戳timestamp、证书签发请求data、app_id一起发送给密码机中的服务程序。
5、密码机中的服务程序使用自己的app_secret对接收到的证书签发请求data、timestamp、app_id计算校验值S’,规则如下:
S’=HMAC-SM3(app_secret,app_id||data||timestamp)
6、密码机中的服务程序比较S和S’是否相等,如果相等则签发证书,否则记录错误日志并返回错误码。
本实施例中通过对接收的证书签发请求进行校验,能够防止证书签发请求在发送过程中被篡改,为后续的证书签发的安全提供了保障。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (8)

1.一种证书签发方法,其特征在于,包括如下步骤:
密码机中的服务程序接收证书签发请求端发送的目标证书的签发请求、与所述签发请求对应的校验签名,以及所述签发请求的时间戳,其中,所述校验签名是由所述证书签发请求端采用预设的签名算法,基于所述签发请求、所述签发请求的时间戳以及证书签发请求端的ID计算获得的;
密码机中的服务程序采用预设的签名算法,基于所述签发请求、所述签发请求的时间戳以及密码机中的服务程序的ID,计算获得校验值;其中,所述证书签发请求端被配置有证书签发请求端的ID,所述密码机中的服务程序被配置有服务程序的ID,所述证书签发请求端与所述密码机中的服务程序的ID相同;
密码机中的服务程序根据所述校验值与所述校验签名的比较结果,确定所述签发请求是否合法;
密码机中的服务程序在验证所述签发请求为合法时,获取所述目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息;
密码机中的服务程序获取所述目标证书的签发者信息;
密码机中的服务程序利用密码机中预设的密码芯片对所述目标证书的签发请求进行签名,以获得签名结果;
密码机中的服务程序对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
2.如权利要求1所述的方法,其特征在于,所述基于所述目标证书的签发请求获取使用者信息,具体包括:
对所述目标证书的签发请求进行解析,获得签发请求信息,所述签发请求信息中包含有使用者信息;
从所述签发请求信息中获取所述使用者信息。
3.如权利要求1所述的方法,其特征在于,所述获取所述目标证书的签发者信息,具体包括:
确定与目标证书对应的上级证书;
基于所述上级证书获取所述签发者信息。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
利用与目标设备对应的目标应用程序调用目标设备生成密钥对;所述密钥对中包含私钥和公钥;
利用所述密钥对中的公钥生成所述目标证书的签发请求;其中,所述目标证书的签发请求与所述目标设备对应。
5.如权利要求4所述的方法,其特征在于,所述方法还包括,将所述密钥对中的私钥保存在密码芯片中;
所述利用密码芯片对所述目标证书的签发请求进行签名,以获得签名结果,具体包括:
利用所述密码芯片中的私钥对所述目标证书的签发请求进行签名,获得所述签名结果。
6.如权利要求1所述的方法,其特征在于,所述获得所述目标证书,以供目标设备使用,具体包括:
获得所述目标证书,利用所述证书签发请求端将所述目标证书发送给目标设备,以供所述目标设备对所述目标证书进行保存并使用。
7.如权利要求1所述的方法,其特征在于,在对接收的所述目标证书的签发请求进行验证之前,所述方法还包括:
为所述证书签发请求端配置所述ID以及所述预设的签名算法;
为所述密码机中的服务程序配置所述ID以及所述预设的签名算法。
8.一种证书签发系统,其特征在于:包括:密码机中存储的服务程序以及设置在所述密码机中的密码芯片;
密码机中的服务程序接收证书签发请求端发送的目标证书的签发请求、与所述签发请求对应的校验签名,以及所述签发请求的时间戳,其中,所述校验签名是由所述证书签发请求端采用预设的签名算法,基于所述签发请求、所述签发请求的时间戳以及证书签发请求端的ID计算获得的;
密码机中的服务程序采用预设的签名算法,基于所述签发请求、所述签发请求的时间戳以及密码机中的服务程序的ID,计算获得校验值;其中,所述证书签发请求端被配置有证书签发请求端的ID,所述密码机中的服务程序被配置有服务程序的ID,所述证书签发请求端与所述密码机中的服务程序的ID相同;
密码机中的服务程序根据所述校验值与所述校验签名的比较结果,确定所述签发请求是否合法;
所述密码机,被配置为密码机中的服务程序在验证所述签发请求为合法时,获取所述目标证书的签发请求,基于所述目标证书的签发请求获取使用者信息,密码机中的服务程序获取所述目标证书的签发者信息;
所述密码芯片,被配置为对密码机获取的所述目标证书的签发请求进行签名,以获得签名结果,并将所述签名结果发送给所述密码机;
所述密码机,还被配置为在接收到所述密码芯片发送的所述签名结果后,密码机中的服务程序对所述使用者信息、签发者信息以及所述签名结果进行组装,获得所述目标证书,以供目标设备使用。
CN201911359233.XA 2019-12-25 2019-12-25 一种证书签发方法及系统 Active CN111143888B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911359233.XA CN111143888B (zh) 2019-12-25 2019-12-25 一种证书签发方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911359233.XA CN111143888B (zh) 2019-12-25 2019-12-25 一种证书签发方法及系统

Publications (2)

Publication Number Publication Date
CN111143888A CN111143888A (zh) 2020-05-12
CN111143888B true CN111143888B (zh) 2021-08-10

Family

ID=70520129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911359233.XA Active CN111143888B (zh) 2019-12-25 2019-12-25 一种证书签发方法及系统

Country Status (1)

Country Link
CN (1) CN111143888B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301597B (zh) * 2021-12-13 2024-02-09 零信技术(深圳)有限公司 密钥验证方法、设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105281908B (zh) * 2014-07-23 2019-08-06 阿里巴巴集团控股有限公司 USB Key、USB Key数字证书写入方法和装置
CN108990060B (zh) * 2017-06-05 2021-02-02 中国移动通信集团公司 一种基站设备的证书分发系统及方法

Also Published As

Publication number Publication date
CN111143888A (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN108768988B (zh) 区块链访问控制方法、设备及计算机可读存储介质
US8724819B2 (en) Credential provisioning
CN110401629B (zh) 一种激活授权的方法及相关装置
US8689300B2 (en) Method and system for generating digital fingerprint
US10630488B2 (en) Method and apparatus for managing application identifier
US20130227661A1 (en) Systems and methods for generating and authenticating one time dynamic password based on context information
CN108848496B (zh) 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台
KR20170139093A (ko) 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체
CN109547445A (zh) 一种验证客户端网络请求合法的方法及系统
US20190230057A1 (en) System and Method for Resetting Passwords on Electronic Devices
CN103297403A (zh) 一种实现动态密码认证的方法和系统
CN111884811B (zh) 一种基于区块链的数据存证方法和数据存证平台
EP1886204B1 (en) Transaction method and verification method
CN105447715A (zh) 用于与第三方合作的防盗刷电子优惠券的方法和装置
CN104836784A (zh) 一种信息处理方法、客户端和服务器
CN102685739A (zh) 安卓企业应用的鉴权方法及系统
CN104717063A (zh) 移动终端的软件安全防护方法
CN106656992B (zh) 一种信息验证方法
US9503442B1 (en) Credential-based application programming interface keys
CN104717649A (zh) 移动终端软件数据远程控制擦除的方法
CN1697376A (zh) 用集成电路卡对数据进行认证或加密的方法和系统
CN112905979A (zh) 电子签名授权方法以及装置、存储介质、电子装置
CN114257376B (zh) 数字证书更新方法、装置、计算机设备和存储介质
CN111770087A (zh) 一种服务节点验证方法及相关设备
CN111143888B (zh) 一种证书签发方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee after: Beijing Shendun Technology Co.,Ltd.

Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing

Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder