CN111342970B - 一种数字证书管理方法及系统 - Google Patents
一种数字证书管理方法及系统 Download PDFInfo
- Publication number
- CN111342970B CN111342970B CN201911372688.5A CN201911372688A CN111342970B CN 111342970 B CN111342970 B CN 111342970B CN 201911372688 A CN201911372688 A CN 201911372688A CN 111342970 B CN111342970 B CN 111342970B
- Authority
- CN
- China
- Prior art keywords
- certificate
- state
- updating
- key pair
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Abstract
本发明公开了一种数字证书管理方法及系统,所述方法应用于包括密钥管理单元KM、认证单元CA以及注册审核单元RA的数字证书管理系统中,包括:所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;所述RA接收后安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。本发明实施例能够解决现有技术中存在数字证书管理安全性低、容错性差的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤指一种数字证书管理方法及系统。
背景技术
随着互联网的发展,越来越多的网络应用系统从专用或内部网络扩展至互联网。数字证书已经被广泛地应用在网上银行、网上证券、电子政务、电子商务等领域,用来保证信息传输的机密性、真实性、完整性和不可抵赖性。作为数字证书的签发管理机构,数字证书系统也得到了越来越广泛的应用。
数字证书系统主要包括密钥管理单元(KM)、认证单元(CA)、注册审核单元(RA)等单元。一份双证书(即签名证书和加密证书)的签发、更新或注销等操作都需要各个单元协同交互来完成,常规的证书申请和更新设计流程,使各单元之间的业务存在高度的耦合性,在这过程中若出现网络异常、浏览器内部错误、用户异常操作或Key设备读写异常等无法预知的问题时,导致双证书的相关操作在某一个单元节点处出现异常中断,之后又无法准确定位“断点”位置,不能保证继续执行正确的操作,最终导致数据库中证书和密钥相关数据记录混乱,无法保证在用证书的安全性,为后期维护工作留下巨大隐患。
综上,目前亟需一种安全性高、容错性好的数字证书管理方法。
发明内容
本发明实施例提供一种数字证书管理方法及系统,用以解决现有技术中存在数字证书管理安全性低、容错性差的问题。
本发明实施例提供一种数字证书管理方法,所述数字证书为包括签名证书和加密证书的双证书,所述方法应用于包括密钥管理单元KM、认证单元CA以及注册审核单元RA的数字证书管理系统中,包括:
所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;
所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;
所述RA接收后安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。
优选地,所述RA安装所述双证书之前,所述方法,还包括:
所述RA接收并保存所述双证书,且更新RA证书状态为未安装。
优选地,所述方法,还包括:
当所述RA证书状态为待使用时,封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中。
优选地,当接收到用户输入的待更新证书序列号时,所述方法,还包括:
所述RA查询所述待更新证书序列号对应的RA证书状态;
当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA;
所述CA根据所述更新请求生成密钥对更新请求并发送给所述KM;
所述KM根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;
所述CA根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;
所述RA接收后安装所述新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;
当所述RA新证书状态为待更新时,封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
优选地,所述方法,还包括:
当所述数字证书签发或更新出现异常时,所述RA、所述CA、所述KM的一种或多种分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;
根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
本发明实施例还提供一种数字证书管理系统,所述数字证书为包括签名证书和加密证书的双证书,所述系统包括:密钥管理单元KM、认证单元CA以及注册审核单元RA;其中,
所述CA,用于接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;还用于根据所述KM发送的密钥对签发双证书,且更新CA证书状态为待使用;
所述KM,用于根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
所述RA,用于接收所述CA发送的双证书并安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。
优选地,在所述RA安装所述双证书之前,所述RA,还用于接收并保存所述双证书,且更新RA证书状态为未安装。
优选地,所述RA,还用于当所述RA证书状态为待使用时,封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA,还用于通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM,还用于通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;还用于根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中。
优选地,当接收到用户输入的待更新证书序列号时,
所述RA,还用于查询所述待更新证书序列号对应的RA证书状态;当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA;还用于接收后安装所述新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;当所述RA新证书状态为待更新时,封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA,还用于根据所述更新请求生成密钥对更新请求并发送给所述KM;还用于根据所述根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;还用于通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM,还用于根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;还用于通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
优选地,当所述数字证书签发或更新出现异常时,
所述RA、所述CA、所述KM的一种或多种,还用于分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
本发明有益效果如下:
本发明实施例提供的数字证书管理方法及系统,所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;所述RA接收后安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。本发明实施例基于状态标志位机制和消息队列技术实现了双证书签发以及更新,不仅解决了各单元之间因异常导致双证书相关操作无法继续正确执行的问题,可以有效地定位“断点”位置,并根据各单元对应的证书状态对应的下一步操作确定下一步执行的操作,保证了整个证书相关操作流程的流畅性、正确性,确保了在用证书的使用的安全性,提高了整套系统的容错性,同时通过消息队列技术实现对各单元间部分业务的解耦合,提高系统整体性能。
附图说明
图1为本发明实施例中数字证书管理方法的流程图;
图2为本发明实施例中数字证书管理系统的结构示意图。
具体实施方式
针对现有技术中存在的数字证书管理安全性低、容错性差的问题,本发明实施例提供的数字证书管理方法,基于状态标志位机制和消息队列技术实现了双证书签发,所述双证书包括签名证书和加密证书,所述方法应用于包括密钥管理单元KM、认证单元CA以及注册审核单元RA的数字证书管理系统中。本发明方法的流程如图1所示,执行步骤如下:
步骤101,所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;
步骤102,所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
步骤103,所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;
步骤104,所述RA接收后安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。
其中,所述RA安装所述双证书之前,所述方法,还包括:
所述RA接收并保存所述双证书,且更新RA证书状态为未安装。
进一步地,所述方法,还包括:
当所述RA证书状态为待使用时,封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中。
其中,当接收到用户输入的待更新证书序列号时,所述方法,还包括:
所述RA查询所述待更新证书序列号对应的RA证书状态;
当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA;
所述CA根据所述更新请求生成密钥对更新请求并发送给所述KM;
所述KM根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;
所述CA根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;
所述RA接收后安装所述新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;
当所述RA新证书状态为待更新时,封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
进一步地,所述方法,还包括:
当所述数字证书签发或更新出现异常时,所述RA、所述CA、所述KM的一种或多种分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;
根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
其中,所述各单元及各自对应的证书状态如下表1所示:
下面结合表1对本发明实施例中数字证书管理方法实施例一进行具体说明,实施例一主要是数字证书的签发流程,具体包括:
(1)RA生成签发请求,发送至CA;
(2)CA解析RA的签发请求,生成密钥对生成请求,发送至KM;
(3)KM解析CA的密钥对生成请求,生成密钥对并保存,将密钥对状态设置为“PRE_USE”,将密钥对相关信息返回至CA;
(4)CA解析密钥对信息,签发双证书并保存,将证书状态设置为“PRE_USE”,将双证书相关信息返回至RA;
(5)RA解析双证书信息,保存双证书信息,将RA证书状态设置为“UNINSTALLER”;
(6)RA将证书安装至用户的USBKey中,若安装失败,显示错误信息,否则将RA证书状态更新为“PRE_USE”;
(7)封装RA的RA证书状态更新消息,并发送至RA-CA消息队列,若发送成功,则将该RA证书状态更新为“IN_USE”,其中RA证书状态更新消息结构如下:
(8)CA通过向RA-CA消息队列订阅Topic为RA的消息,获取RA发送的RA证书状态更新信息,解析该信息,封装CA的CA证书状态更新消息,并发送至CA-KM消息队列,若发送成功,则将该CA证书状态更新为“IN_USE”,其中CA证书状态更新消息结构如下:
(9)KM通过向CA-KM消息队列订阅Topic为CA的消息,筛选出Tags为ApplyConfirm的信息,解析信息,获取密钥对ID,将该密钥对状态更新为“IN_USE”。
下面对本发明实施例中数字证书管理方法实施例二进行具体说明,实施例二主要是数字证书的更新流程,具体包括:
(1)根据用户提交的待更新证书序列号查询证书状态,若为“IN_USE”或“UPDATED”,则至步骤(2),否则提示用户无法执行更新操作;
(2)RA生成更新请求,发送至CA;
(3)CA解析RA的更新请求,生成密钥对更新请求,发送至KM;
(4)KM解析CA的密钥对更新请求,生成新密钥对并保存,将新密钥对状态设置为“PRE_USE”,将旧密钥对状态更新为“PRE_REVOKE”将新密钥对相关信息返回至CA;
(5)CA解析密钥对信息,签发新双证书并保存,将CA新证书状态设置为“PRE_UPDATE”,将CA旧证书状态更新为“PRE_REVOKE”,将新双证书相关信息返回至RA;
(6)RA解析新双证书信息,保存双证书信息,将新双证书状态设置为“UNINSTALLER”;
(7)RA将新双证书安装至用户的USBKey中,若安装失败,显示错误信息,否则将RA新证书状态更新为“PRE_UPDATE”,将RA旧证书状态更新为“PRE_REVOKE”
(8)封装RA的RA证书状态更新消息,并发送至RA-CA消息队列,若发送成功,则将RA新证书状态更新为“IN_USE”,将RA旧证书状态更新为“REVOKED”,其中RA的RA证书状态更新消息结构如下:
(9)CA通过向RA-CA消息队列订阅Topic为RA的消息,获取RA发送的RA证书状态更新消息,解析该消息,封装CA的CA证书状态更新消息,并发送至CA-KM消息队列,若发送成功,则将CA新双证书状态更新为“IN_USE”,将CA旧证书状态更新为“REVOKED”,其中CA的CA证书状态更新消息结构如下:
(10)KM通过向CA-KM消息队列订阅Topic为CA的消息,筛选出Tags为UpdateConfirm的信息,解析信息,获取旧加密证书序列号和新密钥对ID,根据旧加密证书序列号查询到旧密钥对ID,分别将新、旧密钥对状态更新为“IN_USE”和“REVOKED”。
下面对本发明实施例中数字证书管理方法实施例三进行具体说明,实施例三主要是数字证书的异常流程,具体包括:
(1)双证书签发异常处理流程
当用户通过RA重新提交证书签发请求时,RA根据请求ID查询数据库中保存的相关证书信息,若证书信息不存在,则将证书签发请求发送至CA;若证书信息存在,当证书状态为“UNINSTALLED”,从实施例一双证书签发规范流程的步骤(6)开始执行剩余子操作,当证书状态为“PRE_USE”或“IN_USE”,从实施例一双证书签发规范流程的步骤(7)开始执行剩余子操作。
当CA收到RA的再次签发请求时,CA根据请求ID查询数据库中保存的相关证书信息,若证书信息不存在,则将密钥对生成请求发送至KM;若证书信息存在,当证书状态为“PRE_USE”或“IN_USE”,将双证书相关信息返回至RA,从实施例一双证书签发规范流程的步骤(8)开始执行剩余子操作。
当KM收到CA的再次密钥对生成请求后,KM根据密钥对请求ID查询数据库中保存的相关密钥对信息,若密钥对不存在,则从实施例一双证书签发规范流程的步骤(3)开始执行剩余子操;若密钥对存在,当密钥对状态为“PRE_USE”或“IN_USE”,将密钥对相关信息返回至CA。
(2)双证书更新异常处理流程
当用户通过RA重新提交证书更新请求时,RA根据请求ID查询数据库中保存的相关证书信息,若新双证书信息不存在,则将证书更新请求发送至CA;若新双证书信息存在,当证书状态为“UNINSTALLED”,从实施例二双证书更新规范流程的步骤(7)开始执行剩余子操作,当新双证书状态为“PRE_UPDATE”或“UPDATED”,则将旧双证书状态对应更新为“PRE_REVOKE”或“REVOKED”,从实施例二双证书更新规范流程的步骤(8)开始执行剩余子操作。
当CA收到RA的再次更新请求时,CA根据请求ID查询数据库中保存的相关证书信息,若新证书信息不存在,则将密钥对更新请求发送至KM;若新证书信息存在,当证书状态为“PRE_UPDATE”或“UPDATED”,则将旧双证书状态对应更新为“PRE_REVOKE”或“REVOKED”,将新双证书相关信息返回至RA,从实施例二双证书更新规范流程的步骤(9)开始执行剩余子操作。
当KM收到CA的再次更新密钥对请求后,KM根据密钥对请求ID查询数据库中保存的相关密钥对信息,若新密钥对不存在,则从实施例二双证书更新规范流程的步骤(4)开始执行剩余子操;若新密钥对存在,当密钥对状态为“PRE_USE”或“PRE_REVOKE”时,则将旧密钥对状态更新为“IN_USE”或“REVOKED”,将新密钥对相关信息返回至CA。
基于同一发明构思,本发明实施例提供一种数字证书管理系统,所述数字证书为包括签名证书和加密证书的双证书,所述系统如图2所示,包括:密钥管理单元KM41、认证单元CA42以及注册审核单元RA43;其中,
所述CA42,用于接收所述RA43发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM41;还用于根据所述KM发送的密钥对签发双证书,且更新CA证书状态为待使用;
所述KM41,用于根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
所述RA43,用于接收所述CA42发送的双证书并安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。
其中,在所述RA43安装所述双证书之前,所述RA43,还用于接收并保存所述双证书,且更新RA证书状态为未安装。
优选地,所述RA43,还用于当所述RA证书状态为待使用时,封装所述RA43的RA证书状态更新消息并发送至RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA42,还用于通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA42的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM41,还用于通过CA-KA消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;还用于根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中。
优选地,当接收到用户输入的待更新证书序列号时,
所述RA43,还用于查询所述待更新证书序列号对应的RA证书状态;当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA42;还用于接收后安装所述新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;当所述RA新证书状态为待更新时,封装所述RA43的RA证书状态更新消息并发送至所述RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA42,还用于根据所述更新请求生成密钥对更新请求并发送给所述KM41;还用于根据所述根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;还用于通过RA-CA消息队列订阅主题为RA43的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA42的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM41,还用于根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;还用于通过CA-KA消息队列订阅主题为CA42的消息,获取所述CA证书状态更新消息;根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
优选地,当所述数字证书签发或更新出现异常时,
所述RA43、所述C42A、所述KM41的一种或多种,还用于分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
应当理解,本发明实施例提供的数字证书管理系统的实现原理及过程与上述图1及所示的实施例类似,在此不再赘述。
本发明实施例提供的数字证书管理方法及系统,所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;所述RA接收后安装所述双证书,当安装成功,则更新所述RA证书状态为待使用。本发明实施例基于状态标志位机制和消息队列技术实现了双证书签发以及更新,不仅解决了各单元之间因异常导致双证书相关操作无法继续正确执行的问题,可以有效地定位“断点”位置,并根据各单元对应的证书状态对应的下一步操作确定下一步执行的操作,保证了整个证书相关操作流程的流畅性、正确性,确保了在用证书的使用的安全性,提高了整套系统的容错性,同时通过消息队列技术实现对各单元间部分业务的解耦合,提高系统整体性能。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如201、202、203等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种数字证书管理方法,所述数字证书为包括签名证书和加密证书的双证书,其特征在于,所述方法应用于包括密钥管理单元KM、认证单元CA以及注册审核单元RA的数字证书管理系统中,包括:
所述CA接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;
所述KM根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
所述CA根据所述密钥对签发双证书,且更新CA证书状态为待使用;
所述RA接收并安装所述双证书,当安装成功,则更新所述RA证书状态为待使用;
所述方法,还包括:
当所述RA证书状态为待使用时,封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM通过CA-KM消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中;
当接收到用户输入的待更新证书序列号时,所述方法,还包括:
所述RA查询所述待更新证书序列号对应的RA证书状态;
当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA;
所述CA根据所述更新请求生成密钥对更新请求并发送给所述KM;
所述KM根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;
所述CA根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;
所述RA接收后安装所述新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;
当所述RA新证书状态为待更新时,封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列;
当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;
根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;
当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM通过CA-KM消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;
根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
2.根据权利要求1所述的方法,其特征在于,所述RA安装所述双证书之前,所述方法,还包括:
所述RA接收并保存所述双证书,且更新RA证书状态为未安装。
3.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
当所述数字证书签发或更新出现异常时,所述RA、所述CA、所述KM的一种或多种分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;
根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
4.一种数字证书管理系统,所述数字证书为包括签名证书和加密证书的双证书,其特征在于,所述系统包括:密钥管理单元KM、认证单元CA以及注册审核单元RA;其中,
所述CA,用于接收所述RA发来的证书签发请求并解析生成密钥对生成请求并发送给所述KM;还用于根据所述KM发送的密钥对签发双证书,且更新CA证书状态为待使用;
所述KM,用于根据所述密钥对生成请求,生成密钥对并发送,且更新密钥对状态为待使用;
所述RA,用于接收所述CA发送的双证书并安装所述双证书,当安装成功,则更新所述RA证书状态为待使用;
所述RA,还用于当所述RA证书状态为待使用时,封装所述RA的RA证书状态更新消息并发送至RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA证书状态更新为使用中;
所述CA,还用于通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA证书状态更新为使用中;
所述KM,还用于通过CA-KM消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;还用于根据所述CA证书状态更新消息,获取密钥对标识ID,并将所述密钥对ID对应的密钥对状态更新为使用中;
当接收到用户输入的待更新证书序列号时,
所述RA,还用于查询所述待更新证书序列号对应的RA证书状态;当所述RA证书状态为使用中或已更新时,生成更新请求发送给所述CA;还用于接收并安装新双证书,当安装成功,则更新所述RA新证书状态为待更新,更新RA旧证书状态为待注销;当所述RA新证书状态为待更新时,封装所述RA的RA证书状态更新消息并发送至所述RA-CA消息队列;当所述RA证书状态更新消息发送成功,则将所述RA新证书状态更新为使用中,将所述RA旧证书状态更新为已注销;
所述CA,还用于根据所述更新请求生成密钥对更新请求并发送给所述KM;还用于根据所述根据所述新密钥对签发新双证书,且更新CA新证书状态为待更新,更新CA旧证书状态为待注销;还用于通过RA-CA消息队列订阅主题为RA的消息,获取所述RA证书状态更新消息;根据所述RA证书状态更新消息,封装所述CA的CA证书状态更新消息并发送至CA-KM消息队列;当所述CA证书状态更新消息发送成功,则将所述CA新证书状态更新为使用中,将所述CA旧证书状态更新为已注销;
所述KM,还用于根据所述密钥对更新请求,生成新密钥对并发送,且更新新密钥对状态为待使用,更新旧密钥对状态为待注销;还用于通过CA-KM消息队列订阅主题为CA的消息,获取所述CA证书状态更新消息;根据所述CA证书状态更新消息,获取新密钥对标识ID和旧密钥对ID,并将所述新密钥对ID对应的密钥对状态更新为使用中,将所述旧密钥对ID对应的密钥对状态更新为已注销。
5.根据权利要求4所述的系统,其特征在于,在所述RA安装所述双证书之前,所述RA,还用于接收并保存所述双证书,且更新RA证书状态为未安装。
6.根据权利要求4所述的系统,其特征在于,当所述数字证书签发或更新出现异常时,
所述RA、所述CA、所述KM的一种或多种,还用于分别查询各自对应的RA证书状态、CA证书状态、密钥对状态的一种或多种;根据所述RA证书状态、CA证书状态、密钥对状态的一种或多种以及预先规定的状态机跳转规则,再次进行数字证书的签发或更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911372688.5A CN111342970B (zh) | 2019-12-27 | 2019-12-27 | 一种数字证书管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911372688.5A CN111342970B (zh) | 2019-12-27 | 2019-12-27 | 一种数字证书管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111342970A CN111342970A (zh) | 2020-06-26 |
| CN111342970B true CN111342970B (zh) | 2023-03-28 |
Family
ID=71181383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911372688.5A Active CN111342970B (zh) | 2019-12-27 | 2019-12-27 | 一种数字证书管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111342970B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114650160A (zh) * | 2020-12-21 | 2022-06-21 | 航天信息股份有限公司 | 数字证书的处理方法、装置、存储介质及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105472604A (zh) * | 2014-09-09 | 2016-04-06 | 中兴通讯股份有限公司 | 一种数字证书的状态处理方法、装置及系统 |
| WO2016153423A1 (en) * | 2015-03-25 | 2016-09-29 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312264B2 (en) * | 2005-09-30 | 2012-11-13 | Blue Coat Systems, Inc. | Method and system for authentication among peer appliances within a computer network |
| CN103117987B (zh) * | 2011-11-17 | 2016-08-03 | 航天信息股份有限公司 | 数字证书更新方法 |
| CN109829282B (zh) * | 2018-12-27 | 2022-04-26 | 航天信息股份有限公司 | 基于数字证书认证系统的数字证书处理方法及装置 |
-
2019
- 2019-12-27 CN CN201911372688.5A patent/CN111342970B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105472604A (zh) * | 2014-09-09 | 2016-04-06 | 中兴通讯股份有限公司 | 一种数字证书的状态处理方法、装置及系统 |
| WO2016153423A1 (en) * | 2015-03-25 | 2016-09-29 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111342970A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924358B2 (en) | Method for issuing digital certificate, digital certificate issuing center, and medium | |
| SE541713C2 (en) | Method and system for registering digital documents | |
| EP3742696A1 (en) | Identity management method, equipment, communication network, and storage medium | |
| US7600123B2 (en) | Certificate registration after issuance for secure communication | |
| US8572673B2 (en) | Data processing apparatus and method | |
| CN109547445B (zh) | 一种验证客户端网络请求合法的方法及系统 | |
| CN110535648B (zh) | 电子凭证生成及验证和密钥控制方法、装置、系统和介质 | |
| CN113923044B (zh) | 一种基于可信执行环境的跨链系统及方法 | |
| US20110258434A1 (en) | Online secure device provisioning with updated offline identity data generation and offline device binding | |
| CN111797159A (zh) | 数据库中的信息管理和访问控制 | |
| US20050187966A1 (en) | Data communicating apparatus, data communicating method, and program | |
| CN101340278A (zh) | 许可证管理系统和方法 | |
| CA2510366A1 (en) | System and method for remote device registration | |
| CN109829282B (zh) | 基于数字证书认证系统的数字证书处理方法及装置 | |
| KR20060031583A (ko) | 타임 스탬프 서비스 시스템, 타임 스탬프 정보 검증 서버장치, 및 컴퓨터 소프트웨어 | |
| US10630534B1 (en) | Systems and methods for subscribing topics and registering computer server event notifications | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN111324912B (zh) | 文件校验方法、系统及计算机可读存储介质 | |
| CN111342970B (zh) | 一种数字证书管理方法及系统 | |
| CN102299927B (zh) | 内容安全监管系统及方法 | |
| CN109960512B (zh) | 一种软件部署方法及系统 | |
| KR20130118951A (ko) | 고유의 코드 서명 키들의 보안 관리 및 개인화 | |
| US20220231848A1 (en) | Automatic key exchange | |
| CN114374516B (zh) | 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备 | |
| CN115801281A (zh) | 授权方法、电子设备、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |