CN111339518A - 一种证书存储方法、装置、电子设备和存储介质 - Google Patents
一种证书存储方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111339518A CN111339518A CN202010165242.1A CN202010165242A CN111339518A CN 111339518 A CN111339518 A CN 111339518A CN 202010165242 A CN202010165242 A CN 202010165242A CN 111339518 A CN111339518 A CN 111339518A
- Authority
- CN
- China
- Prior art keywords
- certificate
- client
- public key
- storage
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种证书存储方法、装置、电子设备和存储介质,所述方法包括:终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。本申请实施例通过在用户终端上设置证书客户端,将用户设备对应的数字证书存储在USIM卡中,使得终端设备可以利用已存在的USIM卡保存数字证书,扩大了数字证书存储的场景,减少了数字证书的存储环境对于终端设备的使用限制。
Description
技术领域
本申请涉及信息安全领域,具体而言,涉及一种证书存储方法、装置、电子设备和存储介质。
背景技术
随着企业信息化的飞速发展,终端设备上的应用跟服务器端有频繁的通信,为了提高通信安全性,通常采用数字证书来作为终端设备与服务器之间身份的认证。
很多终端设备利用加密TF卡来保存数字证书,在需要进行认证时,才将数字证书发送给服务器,进行身份的验证。而加密TF卡要求终端设备设置有对应卡槽,硬件成本较高,限制了利用加密TF卡来保存数字证书的广泛应用。
发明内容
本申请实施例的目的在于提供一种证书存储方法、装置、电子设备和存储介质,用以扩大数字证书存储的场景。
第一方面,实施例提供一种证书存储方法,包括:终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
本申请实施例通过在用户终端上设置证书客户端,将用户设备对应的公钥证书,也即数字证书存储在USIM卡中,使得终端设备可以利用已存在的USIM卡保存数字证书,扩大了数字证书存储的场景,减少了数字证书的存储环境对于终端设备的使用场景的限制。
在可选的实施方式中,所述终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,包括:通过所述证书客户端向所述证书客户端对应的登记服务器发送登录请求,所述登录请求包括用户信息;若通过所述证书客户端接收到所述登记服务器返回的身份凭证,则根据所述身份凭证,生成所述终端设备的公钥和私钥,其中,所述身份凭证为登记服务器验证通过所述用户信息后得到的;通过所述证书客户端向所述登记服务器发送所述公钥和所述身份凭证,以使所述登记服务器根据所述身份凭证查询所述终端设备对应的用户信息,并向证书授权服务器发送所述用户信息和所述公钥,以使所述证书授权服务器生成对应的公钥证书;通过所述证书客户端接收所述登记服务器发送的所述公钥证书;其中,所述公钥证书为所述证书授权服务器发送到所述登记服务器的。
本申请实施例通过证书客户端将得到的公钥证书和私钥均与用户信息对应,使得用户能够在新的终端设备上继续使用与其用户信息对应的公钥证书和私钥,扩大了用户获取公钥证书和私钥的应用场景。
在可选的实施方式中,在所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储之后,所述方法还包括:通过所述证书客户端接收用户输入的注销账号请求;根据所述注销账号请求,通过所述证书客户端删除所述USIM卡中存储的公钥证书和对应的私钥。
本申请实施例在用户注销账号时,通过证书客户端从终端设备中删除用户信息对应的公钥证书和私钥,用于防止公钥证书和私钥的泄密,保证用户信息的高安全性。
在可选的实施方式中,在所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储之后,所述方法还包括:通过所述证书客户端接收业务客户端发送的调用接口请求,所述业务客户端为配置在所述终端设备上的软件程序;根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,以使业务客户端通过证书获取接口读取存储在USIM中的公钥证书,并向所述业务客户端对应的业务服务器发送所述公钥证书。
本申请实施例通过证书客户端为通过业务客户端提供证书获取接口,进行公钥证书的获取,以便业务客户端利用公钥证书向业务服务器进行身份验证的同时,也可以保证终端设备上公钥证书存储的安全性。
在可选的实施方式中,所述调用接口请求包括业务客户端对应的基本信息,所述根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,包括:根据所述调用接口请求,通过所述证书客户端向所述证书客户端对应的登记服务器发送授权请求,所述授权请求包括业务客户端对应的基本信息;若接收到所述登记服务器返回的证书使用授权信息,则通过所述证书客户端为所述业务客户端提供对应的证书获取接口。
本申请实施例在接收到登记服务器根据业务客户端返回的证书使用授权信息时,通过证书客户端为业务客户端提供对应的证书获取接口,由此可以降低存储在终端设备上的公钥证书泄露的可能性,保证公钥证书存储的安全性。
在可选的实施方式中,在所述通过所述证书客户端为所述业务客户端提供对应的证书获取接口之后,所述方法还包括:通过所述业务客户端向证书客户端发送签名请求,所述签名请求包括所述业务客户端对应的待传输内容;根据所述签名请求,通过所述证书客户端读取存储在USIM卡中的私钥;通过所述证书客户端利用所述私钥对待传输内容进行签名,得到所述待传输内容对应的签名;通过所述证书客户端向所述业务客户端返回所述待传输内容对应的签名,以使业务客户端向对应的业务服务器发送所述待传输内容和所述待传输内容对应的签名。
本申请实施例通过证书客户端根据业务客户端的签名请求,利用存储在USIM卡中的私钥为待传输内容进行签名,由此,在对业务客户端的待传输内容进行签名的同时,可以保证USIM卡中私钥的高安全性。
在可选的实施方式中,所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储,包括:通过所述证书客户端利用应用协议指令将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
本申请实施例通过利用应用协议指令,可以快速、高效地将公钥证书和对应的私钥写入终端设备对应的USIM卡中。
第二方面,实施例提供一种证书存储装置,包括:获取模块,用于通过证书客户端获取终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;存储模块,用于通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
本申请实施例通过在用户终端上设置证书客户端,利用存储模块将用户设备对应的数字证书存储在USIM卡中,使得终端设备可以利用已存在的USIM卡保存数字证书,扩大了数字证书存储的场景,减少了数字证书的存储环境对于终端设备的使用限制。
第三方面,实施例提供一种电子设备,包括:处理器、存储器和总线,其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如前述实施方式任一项所述的方法。
第四方面,实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如前述实施方式任一项所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的终端设备通过证书客户端与登记服务器进行交互的示意图;
图2为本申请实施例提供的一种证书存储方法的流程示意图;
图3为本申请实施例提供的又一种证书存储方法的流程示意图;
图4为本申请实施例提供的一种证书存储装置的结构示意图;
图5为一种可应用于本申请实施例中的电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
图1为本申请实施例提供的终端设备10通过证书客户端与登记服务器20进行交互的示意图,所述登记服务器20通过网络与一个或多个终端设备10进行通信连接,以进行数据通信或交互。登记服务器20可以根据终端设备10发送的公钥和身份凭证,验证对应的用户身份,在验证通过后,向证书授权服务器30获取对应的公钥证书。登记服务器20再向对应的终端设备10返回对应的公钥证书,以使终端设备10中的证书客户端可以将公钥证书与对应的私钥,存入终端设备10的USIM卡中。使得终端设备10在后续使用过程中,终端设备10中的业务客户端可以向证书客户端发送请求,使得证书客户端可以调用存储在USIM卡中的私钥进行加密以及调用公钥证书进行签名。由此,通过利用已存在的USIM卡存储的数字证书,以此来扩大数字证书存储的场景,减少了数字证书的存储环境对于终端设备的使用限制。
其中,所述登记服务器20可以是网络服务器、数据库服务器等。所述终端设备10可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personaldigital assistant,PDA)、可穿戴设备等终端。
图2为本申请实施例提供的一种证书存储方法的流程示意图,所述证书存储方法包括:
步骤210:终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的。
其中,证书客户端可以为配置在终端设备上的软件程序,也可以为安装在终端设备中的软件(Application,app),证书客户端的具体软件程序类型不限定,可以根据实际的证书存储需求进行调整。
再者,终端设备的公钥证书也即一种数字签名的声明,可以将公钥的值绑定到持有对应私钥的个人或终端设备的身份。第三方设备或者第三方服务器可以通过公钥证书确定终端设备的身份以及对应的公钥。
同时,终端设备的私钥与公钥证书中的公钥为一对密钥对,终端设备可以通过利用私钥对待传输内容进行签名,以使第三方设备或第三方服务器可以通过公钥证书根据签名对传输内容是否被篡改进行验证,以及对发送方身份进行验证。
并且,身份凭证为登记服务器根据终端设备发送的用户信息生成的,可以表征用户的身份。终端设备在接收到登记服务器返回的身份凭证之后,可以对应生成公钥和私钥的密钥对,同时向登记服务器返回身份凭证和公钥以便得到公钥证书。
步骤220:终端设备通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
其中,全球用户识别卡(Universal Subscriber Identity Module,USIM卡)为终端设备中通用的网络通讯卡,即终端设备可以通过USIM卡连上网络,与一个或者多个服务器建立通讯。同时,USIM卡具备一定的存储容量,有128K,512K,1M等多种存储容量。由于USIM卡的安全机制,普通客户端不能随意进行USIM卡的读写,所以需要提前为证书客户端申请USIM卡的操作系统高级权限或者运营商权限后,方能具备读写USIM卡的资格,由此,采用USIM卡来进行公钥证书和私钥的存储,能够在一定程度上保证公钥证书和私钥的安全。
对于现有技术中的加密TF卡,存在部分终端设备不具有对应的TF卡槽,同时,对于可以使用加密TF卡的终端设备来说,加密TF卡需要额外占用终端设备原本用于放置电话卡的一个卡槽或者是需要单独为加密TF卡设置一个卡槽。由此,相较于加密TF卡来说,利用USIM卡进行公钥证书和私钥的存储可以适用于更多的终端设备,因为终端设备绝大部分都设置有USIM卡的卡槽,需要通过USIM卡进行网络通讯;同时,USIM卡也不会占用终端设备过多的卡槽,终端设备在通过USIM卡进行公钥证书和私钥的存储的同时,可以通过USIM卡进行网络通讯。因此,本申请实施例可以扩大数字证书存储的场景,减少数字证书的存储环境对于终端设备的使用限制。
在上述实施例的基础上,所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储,包括:通过所述证书客户端利用应用协议指令将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
其中,应用协议指令(Application Protocol Data Unit,APDU指令)是一种智能卡与智能卡读卡器之间传送的指令集合。在本申请实施例中,可以通过APDU指令实现将公钥证书和私钥快速写入至USIM卡中,同时,可以通过APDU指令实现从USIM卡快速读取私钥等信息。相较于现有技术的加密TF卡需要按照繁琐的PKCS11标准进行信息的读取,本申请可以更加快速地在USIM卡中实现信息的读写。
图3为本申请实施例提供的又一种证书存储方法的流程示意图,作为本申请的一种实施例,步骤210可以具体包括:
步骤310:通过所述证书客户端向所述证书客户端对应的登记服务器发送登录请求,所述登录请求包括用户信息。
其中,用户信息可以为表征用户身份的信息,例如:用户在终端设备通过证书客户端输入的用户账号以及对应的密码,用户的手机号码以及对应的短信验证码等身份标识。用户信息的具体类型不限定,可以根据实际证书存储需求进行调整。
再者,登记服务器在接收到证书客户端发送的用户信息后,可以通过用户信息验证使用终端设备的用户的身份。如果验证通过,则用户登记成功,可以为终端设备分配对应的身份凭证。如果验证不通过,表明用户输入的用户信息可能错误,或者是服务器无法验证使用终端设备的用户的身份,则拒绝为对应的终端设备分配对应的身份凭证,也即服务器可以不响应终端设备发送的登录请求,服务器也可以向终端设备返回对应的拒绝信息。
同时,登记服务器中可以存储有大量的已登记的用户信息,为对应的终端设备分配与用户信息对应的身份凭证。如果登记服务器中接收到未进行存储的用户信息,可以在验证通过后,先将用户信息存入登记服务器中,并为对应的终端设备生成与用户信息对应的身份凭证,发送给对应的终端设备。
举例来说,用户可以在终端设备的证书客户端上输入手机号码,终端设备会向对应的登记服务器发送该手机号码,登记服务器可以通过第三方通讯运营商,如移动、电信或者联通,向该手机号码发送短信验证码。用户再通过证书客户端输入短信验证码,终端设备将手机号码和短信验证码作为用户信息,通过证书客户端向登记服务器发送该户信息。登记服务器判断手机号码与短信验证码是否匹配,如果匹配成功,则通过对用户身份的验证。同时,登记服务器可以根据该手机号码为终端设备分配对应的身份凭证,并向终端设备返回身份凭证。
步骤320:若通过所述证书客户端接收到所述登记服务器返回的身份凭证,则根据所述身份凭证,生成所述终端设备的公钥和私钥,其中,所述身份凭证为登记服务器验证通过所述用户信息后得到的。
其中,证书客户端生成终端设备的公钥和私钥,可以为一对非对称密钥对。通过在终端设备上生成私钥,可以保证私钥始终保存在终端设备上,不被其他设备获取,可以在一定程度上保证后续传输过程中的安全性。
步骤330:通过所述证书客户端向所述登记服务器发送所述公钥和所述身份凭证,以使所述登记服务器根据所述身份凭证查询所述终端设备对应的用户信息,并向证书授权服务器发送所述用户信息和所述公钥,以使所述证书授权服务器生成对应的公钥证书。
步骤340:通过所述证书客户端接收所述登记服务器发送的所述公钥证书;其中,所述公钥证书为所述证书授权服务器发送到所述登记服务器的。
其中,证书授权服务器(Certificate Authority,CA),是负责管理和签发证书的第三方机构,可以通过用户信息和公钥,生成对应的公钥证书,以便后续通过公钥证书进行设备或者用户的身份认证。证书授权服务器在生成公钥证书后,会向登记服务器返回公钥证书,以使登记服务器向对应的终端设备返回公钥证书。
由此,本申请实施例通过证书客户端与登记服务器之间信息的交互,可以使证书客户端得到与用户信息对应的公钥证书和私钥。后续用户如果需要更换终端设备,也可以在新的终端设备上继续使用与其用户信息对应的公钥证书和私钥,扩大了用户在终端设备上获取公钥证书和私钥的应用场景。
在上述实施方式的基础上,在步骤220之后,所述方法还包括:通过所述证书客户端接收用户输入的注销账号请求;根据所述注销账号请求,通过所述证书客户端删除所述USIM卡中存储的公钥证书和对应的私钥。
为了防止终端设备的公钥证书以及对应的私钥泄露,在用户通过证书客户端注销账号时,会删除所述USIM卡中存储的公钥证书和对应的私钥,减小不法分子获取到终端设备上残余的公钥证书和私钥的可能性。
作为本申请的一种实施方式,在步骤220之后,所述方法还包括:通过业务客户端向所述证书客户端发送调用接口请求,所述业务客户端为配置在所述终端设备上的软件程序;根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,以使业务客户端通过证书获取接口读取存储在USIM中的公钥证书,并向所述业务客户端对应的业务服务器发送所述公钥证书。
其中,业务客户端为配置在终端设备上负责进行业务的展开的软件程序,例如用户办公客户端、用户通讯客户端、邮件客户端等。在用户通过业务客户端办理业务时,用户可以通过业务客户端与对应的业务服务器进行文件或者信息的传输。而为了保证传输过程的安全性,业务服务器可以根据接收的终端设备对应的公钥证书,来验证终端设备的身份。由于USIM卡自身具备安全机制,用户可以通过证书客户端为业务客户端提供证书获取接口,以使业务客户端可以通过证书获取接口获取公钥证书。
在上述实施方式的基础上,所述调用接口请求包括业务客户端对应的基本信息,所述根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,包括:根据所述调用接口请求,通过所述证书客户端向所述证书客户端对应的登记服务器发送授权请求,所述授权请求包括业务客户端对应的基本信息;若接收到所述登记服务器返回的证书使用授权信息,则通过所述证书客户端为所述业务客户端提供对应的证书获取接口。
为了防止部分客户端恶意调用公钥证书的情况发生,证书客户端可以将业务客户端的基本信息发送给登记服务器,以便登记服务器根据业务客户端的基本信息,判断能否为该业务客户端进行授权。若可以,则证书客户端会返回对应的证书使用授权信息,以使终端设备上的业务服务器提供证书获取接口。
在上述实施方式的基础上,在所述通过所述证书客户端为所述业务客户端提供对应的证书获取接口之后,所述方法还包括:通过所述业务客户端向所述证书客户端发送签名请求,所述签名请求包括所述业务客户端对应的待传输内容;根据所述签名请求,通过所述证书客户端读取存储在USIM卡中的私钥;通过所述证书客户端利用所述私钥对待传输内容进行签名,得到所述待传输内容对应的签名;通过所述证书客户端向所述业务客户端返回所述待传输内容对应的签名,以使业务客户端向对应的业务服务器发送所述待传输内容和所述待传输内容对应的签名。
其中,待传输内容可以包括文件、图片、文本等形式的内容,待传输内容的具体格式不限定,可以根据实际的传输需求进行调整。为了保证私钥存储的安全,业务客户端无法直接获取到终端设备的私钥,可以向证书客户端发送待传输的内容,以使证书客户端调用私钥对待传输内容进行签名,并将签名进行返回。
由此,业务客户端可以向业务服务器发送待传输内容和对应的签名。业务客户端在拿到待传输内容和签名后,可以通过预先接收到的公钥证书对签名内容进行验签,判断签名中的内容与传输内容是否相同,如果相同,则证明在传输的过程中传输内容未被篡改。同时,也可以对待传输内容对应的发送方的身份进行验证,以此来保证传输过程的安全。
图4为本申请实施例提供的一种证书存储装置的结构示意图;基于同一发明构思,本申请实施例中还提供一种证书存储装置400,包括:获取模块410,用于通过证书客户端获取终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的。存储模块420,用于通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
在上述实施例的基础上,所述获取模块410具体用于:通过所述证书客户端向所述证书客户端对应的登记服务器发送登录请求,所述登录请求包括用户信息;若通过所述证书客户端接收到所述登记服务器返回的身份凭证,则根据所述身份凭证,生成所述终端设备的公钥和私钥,其中,所述身份凭证为登记服务器验证通过所述用户信息后得到的;通过所述证书客户端向所述登记服务器发送所述公钥和所述身份凭证,以使所述登记服务器根据所述身份凭证查询所述终端设备对应的用户信息,并向证书授权服务器发送所述用户信息和所述公钥,以使所述证书授权服务器生成对应的公钥证书;通过所述证书客户端接收所述登记服务器发送的所述公钥证书;其中,所述公钥证书为所述证书授权服务器发送到所述登记服务器的。
在上述实施例的基础上,所述证书存储装置400还包括:注销模块,用于通过所述证书客户端接收用户输入的注销账号请求;根据所述注销账号请求,通过所述证书客户端删除所述USIM卡中存储的公钥证书和对应的私钥。
在上述实施例的基础上,所述证书存储装置400还包括:接口调用模块,用于通过业务客户端向所述证书客户端发送调用接口请求,所述业务客户端为配置在所述终端设备上的软件程序;根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,以使业务客户端通过证书获取接口读取存储在USIM中的公钥证书,并向所述业务客户端对应的业务服务器发送所述公钥证书。
在上述实施例的基础上,所述调用接口请求包括业务客户端对应的基本信息,所述接口调用模块具体用于:根据所述调用接口请求,通过所述证书客户端向所述证书客户端对应的登记服务器发送授权请求,所述授权请求包括业务客户端对应的基本信息;若接收到所述登记服务器返回的证书使用授权信息,则通过所述证书客户端为所述业务客户端提供对应的证书获取接口。
在上述实施例的基础上,所述证书存储装置400还包括:签名模块,用于通过所述业务客户端向所述证书客户端发送签名请求,所述签名请求包括所述业务客户端对应的待传输内容;根据所述签名请求,通过所述证书客户端读取存储在USIM卡中的私钥;通过所述证书客户端利用所述私钥对待传输内容进行签名,得到所述待传输内容对应的签名;通过所述证书客户端向所述业务客户端返回所述待传输内容对应的签名,以使业务客户端向对应的业务服务器发送所述待传输内容和所述待传输内容对应的签名。
在上述实施例的基础上,所述存储模块420具体用于:通过所述证书客户端利用应用协议指令将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
请参照图5,图5示出了一种可应用于本申请实施例中的电子设备40的结构框图。电子设备40可以包括存储器101、存储控制器102、处理器103、外设接口104、输入输出单元105、显示单元107。
所述存储器101、存储控制器102、处理器103、外设接口104、输入输出单元105、显示单元107各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。至少一个软件或固件(firmware)存储于所述存储器101中或固化在操作系统(operating system,OS)中的软件功能模块。所述处理器103用于执行存储器101中存储的可执行模块,软件功能模块或计算机程序。
其中,存储器101可以是,但不限于,随机存取存储器(RandomAccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器101用于存储程序,所述处理器103在接收到执行指令后,执行所述程序,前述本申请实施例任一实施例揭示的方法可以应用于处理器103中,或者由处理器103实现。
处理器103可以是一种集成电路芯片,具有信号的处理能力。上述的处理器103可以是通用处理器,包括中央处理器(CentralProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器103也可以是任何常规的处理器等。
所述外设接口104将各种输入/输出装置耦合至处理器103以及存储器101。在一些实施例中,外设接口104,处理器103以及存储控制器102可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
输入输出单元105用于提供给用户输入数据实现用户与所述电子设备40的交互。所述输入输出单元105可以是,但不限于,鼠标和键盘等。
显示单元107在所述电子设备40与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元107可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器103进行计算和处理。
可以理解,图5所示的结构仅为示意,所述电子设备40还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
综上所述,本申请实施例提供一种证书存储方法、装置、电子设备和存储介质,所述方法包括:终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。本申请实施例通过在用户终端上设置证书客户端,将用户设备对应的数字证书存储在USIM卡中,使得终端设备可以利用已存在的USIM卡保存数字证书,扩大了数字证书存储的场景,减少了数字证书的存储环境对于终端设备的使用限制。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种证书存储方法,其特征在于,包括:
终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;
通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
2.根据权利要求1所述的证书存储方法,其特征在于,所述终端设备通过证书客户端获取所述终端设备的公钥证书和对应的私钥,包括:
通过所述证书客户端向所述证书客户端对应的登记服务器发送登录请求,所述登录请求包括用户信息;
若通过所述证书客户端接收到所述登记服务器返回的身份凭证,则根据所述身份凭证,生成所述终端设备的公钥和私钥,其中,所述身份凭证为登记服务器验证通过所述用户信息后得到的;
通过所述证书客户端向所述登记服务器发送所述公钥和所述身份凭证,以使所述登记服务器根据所述身份凭证查询所述终端设备对应的用户信息,并向证书授权服务器发送所述用户信息和所述公钥,以使所述证书授权服务器生成对应的公钥证书;
通过所述证书客户端接收所述登记服务器发送的所述公钥证书;其中,所述公钥证书为所述证书授权服务器发送到所述登记服务器的。
3.根据权利要求2所述的证书存储方法,其特征在于,在所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储之后,所述方法还包括:
通过所述证书客户端接收用户输入的注销账号请求;
根据所述注销账号请求,通过所述证书客户端删除所述USIM卡中存储的公钥证书和对应的私钥。
4.根据权利要求1所述的证书存储方法,其特征在于,在所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储之后,所述方法还包括:
通过业务客户端向所述证书客户端发送调用接口请求,所述业务客户端为配置在所述终端设备上的软件程序;
根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,以使业务客户端通过证书获取接口读取存储在USIM中的公钥证书,并向所述业务客户端对应的业务服务器发送所述公钥证书。
5.根据权利要求4所述的证书存储方法,其特征在于,所述调用接口请求包括业务客户端对应的基本信息,所述根据所述调用接口请求,通过所述证书客户端为所述业务客户端提供对应的证书获取接口,包括:
根据所述调用接口请求,通过所述证书客户端向所述证书客户端对应的登记服务器发送授权请求,所述授权请求包括业务客户端对应的基本信息;
若接收到所述登记服务器返回的证书使用授权信息,则通过所述证书客户端为所述业务客户端提供对应的证书获取接口。
6.根据权利要求4所述的证书存储方法,其特征在于,在所述通过所述证书客户端为所述业务客户端提供对应的证书获取接口之后,所述方法还包括:
通过所述业务客户端向所述证书客户端发送签名请求,所述签名请求包括所述业务客户端对应的待传输内容;
根据所述签名请求,通过所述证书客户端读取存储在USIM卡中的私钥;
通过所述证书客户端利用所述私钥对待传输内容进行签名,得到所述待传输内容对应的签名;
通过所述证书客户端向所述业务客户端返回所述待传输内容对应的签名,以使业务客户端向对应的业务服务器发送所述待传输内容和所述待传输内容对应的签名。
7.根据权利要求1-6任一项所述的证书存储方法,其特征在于,所述通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储,包括:
通过所述证书客户端利用应用协议指令将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
8.一种证书存储装置,其特征在于,包括:
获取模块,用于通过证书客户端获取终端设备的公钥证书和对应的私钥,其中,所述公钥证书为登记服务器根据所述终端设备发送的公钥和身份凭证生成的;
存储模块,用于通过所述证书客户端将所述公钥证书和对应的私钥写入所述终端设备对应的USIM卡中进行存储。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-7任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010165242.1A CN111339518A (zh) | 2020-03-11 | 2020-03-11 | 一种证书存储方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010165242.1A CN111339518A (zh) | 2020-03-11 | 2020-03-11 | 一种证书存储方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111339518A true CN111339518A (zh) | 2020-06-26 |
Family
ID=71182314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010165242.1A Pending CN111339518A (zh) | 2020-03-11 | 2020-03-11 | 一种证书存储方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111339518A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113204752A (zh) * | 2021-06-01 | 2021-08-03 | 京东科技控股股份有限公司 | 基于区块链的身份验证方法及客户端、服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付系统及方法 |
| CN108234128A (zh) * | 2016-12-22 | 2018-06-29 | 音弗维因有限公司 | 用于存储证书的方法以及认证方法 |
| CN109361697A (zh) * | 2018-11-29 | 2019-02-19 | 深圳市安信认证系统有限公司 | 基于sim卡加载pki实现可信身份认证的方法 |
-
2020
- 2020-03-11 CN CN202010165242.1A patent/CN111339518A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938520A (zh) * | 2010-09-07 | 2011-01-05 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付系统及方法 |
| CN108234128A (zh) * | 2016-12-22 | 2018-06-29 | 音弗维因有限公司 | 用于存储证书的方法以及认证方法 |
| CN109361697A (zh) * | 2018-11-29 | 2019-02-19 | 深圳市安信认证系统有限公司 | 基于sim卡加载pki实现可信身份认证的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113204752A (zh) * | 2021-06-01 | 2021-08-03 | 京东科技控股股份有限公司 | 基于区块链的身份验证方法及客户端、服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200320222A1 (en) | Information management method, apparatus, and information management system | |
| CN108898389B (zh) | 基于区块链的内容验证方法及装置、电子设备 | |
| KR101883156B1 (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
| CN109168156B (zh) | 一种虚拟sim卡的实现方法、系统、介质、计算机程序产品及服务器 | |
| CN112039826B (zh) | 应用于小程序端的登录方法和装置,电子设备,可读介质 | |
| CN113438088A (zh) | 基于区块链分布式身份的社交网络信用监测方法及装置 | |
| US20220321357A1 (en) | User credential control system and user credential control method | |
| CN110908786A (zh) | 一种智能合约调用方法、装置及介质 | |
| CN112188493A (zh) | 一种鉴权认证方法、系统及相关设备 | |
| JP7412725B2 (ja) | 認証方法及び認証装置 | |
| US20230351384A1 (en) | Card management method, user terminal, server, system and storage medium | |
| CN109347865B (zh) | 一种基于区块链技术的用户数据鉴权存证的方法及系统 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| CN106656507B (zh) | 一种基于移动终端的电子认证方法及装置 | |
| CN112187453A (zh) | 一种数字证书更新方法、系统、电子设备和可读存储介质 | |
| CN111311259A (zh) | 票据处理方法、装置、终端及计算机可读存储介质 | |
| WO2017076202A1 (zh) | 智能卡、移动终端及利用智能卡进行网络身份认证的方法 | |
| CN105743651A (zh) | 芯片安全域的卡应用使用方法、装置和应用终端 | |
| CN111339518A (zh) | 一种证书存储方法、装置、电子设备和存储介质 | |
| CN111178896B (zh) | 乘车支付方法、装置及存储介质 | |
| CN109150880B (zh) | 数据报送方法、装置及计算机可读存储介质 | |
| CN111666590A (zh) | 分布式文件安全传输方法、装置及系统 | |
| CN115482132A (zh) | 基于区块链的电子合同的数据处理方法、装置和服务器 | |
| CN110602218A (zh) | 一种自定义组装云服务的方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200626 |