CN111800270B - 一种证书签名方法、装置、存储介质及计算机设备 - Google Patents

一种证书签名方法、装置、存储介质及计算机设备 Download PDF

Info

Publication number
CN111800270B
CN111800270B CN202010564643.4A CN202010564643A CN111800270B CN 111800270 B CN111800270 B CN 111800270B CN 202010564643 A CN202010564643 A CN 202010564643A CN 111800270 B CN111800270 B CN 111800270B
Authority
CN
China
Prior art keywords
certificate
satellite
signing
renewal
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010564643.4A
Other languages
English (en)
Other versions
CN111800270A (zh
Inventor
杨洋
苗辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baishancloud Technology Co ltd
Original Assignee
Beijing Baishancloud Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baishancloud Technology Co ltd filed Critical Beijing Baishancloud Technology Co ltd
Priority to CN202010564643.4A priority Critical patent/CN111800270B/zh
Publication of CN111800270A publication Critical patent/CN111800270A/zh
Application granted granted Critical
Publication of CN111800270B publication Critical patent/CN111800270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本文公开了一种证书签名方法、装置、存储介质及计算机设备,此方法包括:中心CA发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;所述中心CA接收所述卫星CA发送的需要生成新的设备证书的连接请求,接收所述卫星CA发送的新的设备证书的签名请求;所述中心CA使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;将生成的所述新的设备证书发送给所述卫星CA。本发明设置了分布式的CA结构,设置功能有限的卫星CA,由功能有限的卫星CA分担中心CA的处理压力,并且,使IoT设备就近接入卫星CA从而快速有效的实现证书续签。

Description

一种证书签名方法、装置、存储介质及计算机设备
本申请是2018年6月25日提交中国国家知识产权局专利局,申请号为201810659585.6、发明名称为“一种证书续签的方法、装置及系统”的中国专利申请的分案申请。
技术领域
本发明涉及互联网技术领域,尤其涉及一种证书签名方法、装置、存储介质及计算机设备。
背景技术
随着物联网(Internet of Things,IoT)规模的快速增涨,IoT设备的数量也快速增加,从而引起人们对IoT设备的安全性的极大关注。
目前IoT设备的安全问题主要集中在数据加密和身份认证等方面。进行数据加密和身份认证目前均是基于公钥密码基础设施(Public Key Infrastructure,简称PKI)体系来实现的。现有的PKI安全体系中,每个IoT设备均从认证机构(Certification Authority,简称CA)获取一个CA签发的证书,并且还获取一个与此证书对应的私钥,其中证书用于标识IoT设备的身份。后续的处理过程中,IoT设备在需要进行身份认证以及数据加密的时候,需要使用证书和私钥进行相应处理。
例如,需要进行IoT设备的身份认证时,IoT设备使用自身私钥签名向校验方申请进行身份认证,校验方使用IoT设备的证书对此IoT设备的签名进行校验,从而确认IoT设备身份。
再例如,进行数据加密传输时,数据发送方使用IoT设备的证书对数据进行加密后,将加密数据发送至IoT设备,IoT设备接收到加密数据后,使用此IoT设备的私钥对加密数据进行解密。
从上述身份认证和数据加密传输的过程可知,涉及IoT设备安全性的主要因素为证书的有效性。证书是有时限性的,证书到达使用时限时需要对证书进行续签,如果没有对证书进行续签,就会导致证书失效,从而危害IoT设备的安全性。
现有技术中进行证书续签的方法具有以下缺点:
一,IoT设备由于地理分散较广,无法及时的对证书进行续签,导致证书失效。
二,采用集中式的方式实现证书的续签,即只设置一个中心CA用于实现证书续签,所有IoT设备均在此中心CA进行证书续签,导致中心CA处理压力较大,尤其在IoT设备数量急剧增长的背景下,中心CA容易在处理压力下出现故障,从影响证书续签用户的体验。
三,采用人工方式向中心CA申请续签,续签效率慢。
并且,现在的CA证书体系基本采用的是两级体系,具体包括:中心CA生成根证书,并生成与此根证书对应的根私钥,将根证书和根私钥进行物理隔离。基于根私钥生成二级证书,并且生成与二级证书对应的二级私钥。中心CA为IoT设备签发其它证书时,均使用此二级私钥进行签发,例如为IoT设备签发续签证书时,也使用此二级私钥进行签发。中心CA对二级私钥一般不进行远程物理隔离,只是储存于安全芯片中,以方便快速调用。二级私钥签发的证书一般不允许继续行使签发功能,例如:IoT设备证书只能用于其本身业务,而无法继续签发其他证书。
发明内容
为了解决上述技术问题,本发明提供了一种证书签名方法、装置、存储介质及计算机设备。
本发明提供的证书续签方法,包括:
卫星认证机构CA从中心CA接收权限设置信息,所述权限设置信息包括用于指示只执行续签处理的权限信息;
卫星CA接收设备发送的续签请求;
判断是否满足续签条件;
确定满足续签条件,生成新的设备证书,所述新的设备证书是使用所述卫星CA的三级证书所对应的私钥进行签名生成的;
将生成的新的设备证书发送至所述设备。
上述证书续签方法还具有以下特点:
所述卫星CA接收设备发送的续签请求之前,所述方法还包括:所述卫星CA从所述中心CA接收设备标识集合;
所述判断是否满足续签条件之前,所述方法还包括:确定所述设备的标识属于所述设备标识集合。
上述证书续签方法还具有以下特点:
所述续签请求还包括证书签名请求,所述证书签名请求还包括过期时间;
所述续签条件包括:当前时间距所述证书签名请求的过期时间的时间差值小于预设时长。
上述证书续签方法还具有以下特点:
所述卫星CA接收设备发送的续签请求的同时还接收所述设备的当前证书;
所述续签请求还包括证书签名请求;
所述续签条件包括:所述证书签名请求中的信息与所述卫星CA中已保存的所述设备的当前证书的信息相同。
上述证书续签方法还具有以下特点:
所述方法还包括:
所述卫星CA从中心CA接收所述三级证书,所述三级证书是所述中心CA根据所述卫星CA的唯一标识信息生成的。
上述证书续签方法还具有以下特点:
所述卫星CA包括签发单元和私钥管理单元;
所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;
所述私钥管理单元,用于从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名,将签名生成的新的设备证书发送至所述签发单元;
或者,所述卫星CA包括签发单元;
所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;所述新的设备证书是所述私钥管理单元从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名生成的。
本发明提供的证书续签装置,应用于卫星CA,包括:
第一接收模块,用于从中心CA接收权限设置信息,所述权限设置信息包括用于指示只执行续签处理的权限信息;
第二接收模块,用于接收设备发送的续签请求;
判断模块,用于判断是否满足续签条件;
生成模块,用于在所述判断模块确定满足续签条件时,生成新的设备证书,所述新的设备证书是使用所述卫星CA的三级证书所对应的私钥进行签名生成的;
发送模块,用于将生成的新的设备证书发送至所述设备。
上述证书续签装置还具有以下特点:
所述装置还包括:
第三接收模块,用于在所述第二接收模块接收设备发送的续签请求之前,从所述中心CA接收设备标识集合;
确定模块,用于确定所述设备的标识属于所述设备标识集合,在确定所述设备的标识属于所述设备标识集合后,触发所述判断模块。
上述证书续签装置还具有以下特点:
所述续签请求还包括证书签名请求,所述证书签名请求还包括过期时间;
所述续签条件包括:当前时间距所述证书签名请求的过期时间的时间差值小于预设时长。
上述证书续签装置还具有以下特点:
所述第二接收模块,还用于在接收设备发送的续签请求的同时还接收所述设备的当前证书;
所述续签请求还包括证书签名请求;
所述续签条件包括:所述证书签名请求中的信息与所述卫星CA中已保存的所述设备的当前证书的信息相同。
上述证书续签装置还具有以下特点:
所述装置还包括:
第四接收模块,用于从中心CA接收所述三级证书,所述三级证书是所述中心CA根据所述卫星CA的唯一标识信息生成的。
上述证书续签装置还具有以下特点:
所述装置还包括签发单元和私钥管理单元;
所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;
所述私钥管理单元,用于从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名,将签名生成的新的设备证书发送至所述签发单元;
或者,所述装置包括签发单元;
所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;所述新的设备证书是所述私钥管理单元从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名生成的。
本发明提供的证书续签系统,包括中心CA和至少一个卫星CA,所述卫星CA包括上述证书续签装置。
本发明设置了分布式的CA结构,设置功能有限的卫星CA,由功能有限的卫星CA分担中心CA的处理压力,并且,使IoT设备就近接入卫星CA从而快速有效的实现证书续签。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是实施例中CA分布结构示意图;
图2是实施例中证书续签方法的流程图;
图3是实施例中证书续签装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本文中涉及到的设备可以典型的是IoT设备,本文中简称为设备。
如图1所示,本文中将CA设置为分布式结构,即包括中心CA和与中心CA连接的一个以上卫星CA。设置卫星CA时可以按地理位置设置(例如,在热点位置区域设置较多的卫星CA),也可以根据设备密度设置(例如,在设备密度较大的区域设置较多的卫星CA)。卫星CA数量越多则IoT设备的用户体验就越好。
如图2所示,证书续签方法的包括:
步骤201,卫星CA从中心CA接收权限设置信息,此权限设置信息包括用于指示只执行续签处理的权限信息;
步骤202,卫星CA接收设备发送的续签请求;
步骤203,判断是否满足续签条件;
步骤204,确定满足续签条件时,生成新的设备证书,此新的设备证书是使用上述卫星CA的三级证书所对应的私钥进行签名生成的;
步骤205,将生成的新的设备证书发送至上述设备。
此方法还包括步骤206,卫星CA向中心CA上报此次签发行为,并从中心CA接收确认此次签发行为的信息。中心CA在进行进一步验证时,将不合法的续签确认为无效续签,这样即使三级证书的私钥遭到泄露,伪造的证书也无法使用,从而保证了安全性。
本方在现有的二级体系的基础上引入了引入第三级证书的概念,即使用CA的二级私钥签发一个可以继续签发其他证书的三级证书。卫星CA可以使用此三级证书,但卫星CA的功能是受限的,卫星CA只负责进行证书续签,设备在需要进行证书首签时需与中心CA交互,由中心CA处理。并且,卫星CA没有吊销证书的权力。
步骤202之前,此方法还包括:卫星CA从中心CA接收设备标识集合。步骤203之前,此方法还包括:确定上述设备的标识属于设备标识集合。因此,卫星CA除了在功能上受限外,在处理对象上也是受限的,即卫星CA只能对中心CA为其分配的各设备进行续签,不能对设备标识集合之外的其它设备进行续签。
步骤203中续签条件包括以下条件中的至少一个,典型的情况下包括下述两个条件:
条件一,续签请求还包括证书签名请求,证书签名请求还包括过期时间。续签条件包括:当前时间距证书签名请求的过期时间的时间差值小于预设时长。
条件二,卫星CA接收设备发送的续签请求的同时还接收上述设备的当前证书。续签请求还包括证书签名请求。续签条件包括:证书签名请求中的信息与卫星CA中已保存的设备的当前证书的信息相同;
其中,卫星CA接收设备发送的续签请求的同时还接收设备的当前证书,可以防止证书过期时间被恶意篡改,从而保证续签的准确性;
续签条件中的信息是指公钥内容、通用名称、有效日期、证书用途等公知的参数信息。续签请求还包括签名值,续签条件中还包括:通过此签名值验证证书签名请求成功。
步骤203中判断不满足续签条件时,向设备发送拒绝续签的信息。
步骤204中的三级证书是中心CA根据卫星CA的唯一标识信息生成的,卫星CA从中心CA接收此三级证书。从而,各个卫星CA的三级证书各不相同。
本方法中的卫星CA中采用了安全措施来确保三级证书对应的私钥的安全,具体的,采用私钥与签发分离的处理方式。现有技术中使用同一芯片保存私钥并签发证书。本方法中,签发单元和私钥管理单元位于不同的实体中。具体实现方式是以下方式中的一种:
方式一
卫星CA包括签发单元和私钥管理单元。
签发单元用于在判断卫星CA需要生成新的设备证书时,向私钥管理单元发送连接请求,在与私钥管理单元连接成功后,向私钥管理单元发送证书签名请求;还用于从私钥管理单元接收新的设备证书;
私钥管理单元用于从签发单元接收连接请求,在与签发单元建立连接后,使用卫星CA的三级证书所对应的私钥对证书签名请求进行签名,将签名生成的新的设备证书发送至签发单元。
方式二
卫星CA包括签发单元,私钥管理单元位于卫星CA之外的实体中,例如可以位于中心CA中。
签发单元用于在判断卫星CA需要生成新的设备证书时,向私钥管理单元发送连接请求,在与私钥管理单元连接成功后,向私钥管理单元发送证书签名请求;还用于从私钥管理单元接收新的设备证书;新的设备证书是私钥管理单元从签发单元接收连接请求,在与签发单元建立连接后,使用卫星CA的三级证书所对应的私钥对证书签名请求进行签名生成的。
私钥管理单元用于从签发单元接收连接请求,在与签发单元建立连接后,使用卫星CA的三级证书所对应的私钥对证书签名请求进行签名,将签名生成的新的设备证书发送至签发单元。
其中,签发单元与私钥管理单元进行连接时,需要进行验证后才可以成功连接,此验证过程包括以下操作中的至少一种:TLS双向认证、IP白名单筛选。
卫星CA向中心CA上报所有续签行为,以便于中心CA根据各卫星CA的续签行为进行安全审计。
本方法可以实现中心CA的去中心化,减少中心CA的处理压力,在设备需要续签时,无需像现有技术中一样,连接唯一的中心CA,从而可以减少中心CA的处理压力,并且卫星CA的功能受限,设备只在需要续签时才连接,从而防止卫星CA的功能过多导致的安全性问题。
图3是实施例中证书续签装置的结构图,卫星CA包含证书续签装置,证书续签装置包括:
第一接收模块,用于从中心CA接收权限设置信息,权限设置信息包括用于指示只执行续签处理的权限信息;
第二接收模块,用于接收设备发送的续签请求;
判断模块,用于判断是否满足续签条件;
生成模块,用于在判断模块确定满足续签条件时,生成新的设备证书,新的设备证书是使用卫星CA的三级证书所对应的私钥进行签名生成的;
发送模块,用于将生成的新的设备证书发送至上述设备。
其中,
上述装置还包括:
第三接收模块,用于在第二接收模块接收设备发送的续签请求之前,从中心CA接收设备标识集合;
确定模块,用于确定上述设备的标识属于设备标识集合,在确定上述设备的标识属于设备标识集合后,触发判断模块。
其中,
续签条件包括以下条件中的至少一个,典型的情况下包括下述两个条件:
条件一,续签请求还包括证书签名请求,证书签名请求还包括过期时间;续签条件包括:当前时间距证书签名请求的过期时间的时间差值小于预设时长。
条件二,第二接收模块还用于在接收设备发送的续签请求的同时还接收上述设备的当前证书。续签请求还包括证书签名请求;续签条件包括:证书签名请求中的信息与卫星CA中已保存的设备的当前证书的信息相同。其中,第二接收模块接收设备发送的续签请求的同时还接收设备的当前证书,可以防止证书过期时间被恶意篡改,从而保证续签的准确性。
续签条件中的信息是指公钥内容、通用名称、有效日期、证书用途等公知的参数信息。续签请求还包括签名值,续签条件中还包括:通过此签名值验证证书签名请求成功。
上述装置还包括:第四接收模块,用于从中心CA接收三级证书,三级证书是中心CA根据卫星CA的唯一标识信息生成的。
上述装置实现签发功能时可以采用以下方式中的一种实现:
方式一
上述装置还包括签发单元和私钥管理单元;
签发单元,用于在判断卫星CA需要生成新的设备证书时,向私钥管理单元发送连接请求,在与私钥管理单元连接成功后,向私钥管理单元发送证书签名请求;还用于从私钥管理单元接收新的设备证书;
私钥管理单元,用于从签发单元接收连接请求,在与签发单元建立连接后,使用卫星CA的三级证书所对应的私钥对证书签名请求进行签名,将签名生成的新的设备证书发送至签发单元;
方式二
上述装置包括签发单元,用于在判断卫星CA需要生成新的设备证书时,向私钥管理单元发送连接请求,在与私钥管理单元连接成功后,向私钥管理单元发送证书签名请求;还用于从私钥管理单元接收新的设备证书;新的设备证书是私钥管理单元从签发单元接收连接请求,在与签发单元建立连接后,使用卫星CA的三级证书所对应的私钥对证书签名请求进行签名生成的。
上述装置还包括上报模块,用于向中心CA上报所有续签行为,以便于中心CA根据各卫星CA的续签行为进行安全审计。
本发明实施例还公开了证书续签系统,如图1所示,此系统包括中心CA和至少一个卫星CA,卫星CA包括上述证书续签装置。此分布式的CA结构,设置功能有限的卫星CA,由功能有限的卫星CA分担中心CA的处理压力。从而使IoT设备就近接入卫星CA从而快速有效的实现证书续签。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种证书签名方法,其特征在于,所述方法包括:判断设备需要进行证书续签时:
中心CA发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;
所述中心CA接收卫星CA发送的需要生成新的设备证书的连接请求,对所述卫星CA进行验证后与卫星CA连接,所述验证包括以下操作中的至少一种:TLS双向认证、IP白名单筛选;
所述中心CA接收卫星CA发送的新的设备证书的签名请求;
所述中心CA使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;
将生成的所述新的设备证书发送给卫星CA;
卫星CA将生成的新的设备证书发送至所述设备。
2.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:所述中心CA发送设备标识集合给卫星CA。
3.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
所述中心CA接收续签的签发行为信息;所述中心CA验证所述续签的签发行为信息;
如果合格,续签有效,如果不合格续签无效。
4.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
所述中心CA根据卫星CA的唯一标识信息生成所述卫星CA的三级证书,并将所述卫星CA的三级证书所述发送至卫星CA。
5.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
判断设备需要进行证书首签时,所述中心CA与设备交互,由中心CA直接处理。
6.一种证书签名装置,其特征在于,包括:
发送单元,用于发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;
私钥管理单元,用于接收卫星CA发送的需要生成新的设备证书的连接请求,对所述卫星CA进行验证后与卫星CA连接,所述验证包括以下操作中的至少一种:TLS双向认证、IP白名单筛选;还用于接收卫星CA发送的新的设备证书的签名请求;还用于使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;
所述发送单元还用于将生成的所述新的设备证书发送给卫星CA。
7.根据权利要求6所述的证书签名装置,其特征在于,
所述发送单元还用于发送设备标识集合给卫星CA。
8.根据权利要求6所述的证书签名装置,其特征在于,还包括:
验证单元,用于接收续签的签发行为信息,还用于验证所述续签的签发行为信息;如果合格,续签有效,如果不合格续签无效。
9.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现权利要求1至5中任意一项所述方法的步骤。
10.一种计算机设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求6至8中任意一项所述装置的功能。
CN202010564643.4A 2018-06-25 2018-06-25 一种证书签名方法、装置、存储介质及计算机设备 Active CN111800270B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010564643.4A CN111800270B (zh) 2018-06-25 2018-06-25 一种证书签名方法、装置、存储介质及计算机设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810659585.6A CN110493002B (zh) 2018-06-25 2018-06-25 一种证书续签的方法、装置及系统
CN202010564643.4A CN111800270B (zh) 2018-06-25 2018-06-25 一种证书签名方法、装置、存储介质及计算机设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201810659585.6A Division CN110493002B (zh) 2018-06-25 2018-06-25 一种证书续签的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN111800270A CN111800270A (zh) 2020-10-20
CN111800270B true CN111800270B (zh) 2023-05-23

Family

ID=68545319

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201810659585.6A Active CN110493002B (zh) 2018-06-25 2018-06-25 一种证书续签的方法、装置及系统
CN202010564643.4A Active CN111800270B (zh) 2018-06-25 2018-06-25 一种证书签名方法、装置、存储介质及计算机设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201810659585.6A Active CN110493002B (zh) 2018-06-25 2018-06-25 一种证书续签的方法、装置及系统

Country Status (4)

Country Link
US (1) US11483165B2 (zh)
CN (2) CN110493002B (zh)
SG (1) SG11202012583WA (zh)
WO (1) WO2020001417A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113259108A (zh) * 2020-02-10 2021-08-13 上海艾拉比智能科技有限公司 证书更新方法、物联网平台及物联网设备
CN112560017B (zh) * 2020-12-21 2022-12-06 福建新大陆支付技术有限公司 一种使用三级证书认证实现apk统一签名的方法
CN114785520A (zh) * 2022-04-10 2022-07-22 杭州复杂美科技有限公司 一种去中心化ca认证系统、方法、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1783848A (zh) * 2004-12-02 2006-06-07 北京航空航天大学 基于域名层次认证机构的邮件传输代理原发抗抵赖方法
CN101771537A (zh) * 2008-12-26 2010-07-07 中国移动通信集团公司 分布式认证系统及其认证证书的处理方法、认证方法
CN104168113A (zh) * 2014-08-07 2014-11-26 河海大学 一种n层CA结构的基于证书加密的方法及系统

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240194B2 (en) * 2002-03-22 2007-07-03 Microsoft Corporation Systems and methods for distributing trusted certification authorities
US20060047951A1 (en) * 2004-08-27 2006-03-02 Michael Reilly Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
CN101521883B (zh) 2009-03-23 2011-01-19 中兴通讯股份有限公司 一种数字证书的更新和使用方法及系统
CN101572888B (zh) * 2009-06-18 2012-03-28 浙江大学 移动终端中多服务引擎交叉验证方法
US9130758B2 (en) 2009-11-10 2015-09-08 Red Hat, Inc. Renewal of expired certificates
US8738901B2 (en) * 2009-11-24 2014-05-27 Red Hat, Inc. Automatic certificate renewal
US20120166796A1 (en) 2010-12-28 2012-06-28 Motorola Solutions, Inc. System and method of provisioning or managing device certificates in a communication network
CN102137399A (zh) 2011-03-07 2011-07-27 宇龙计算机通信科技(深圳)有限公司 证书的管理方法和证书的管理系统
CN103188248A (zh) * 2011-12-31 2013-07-03 卓望数码技术(深圳)有限公司 基于单点登录的身份认证系统及方法
US20140013108A1 (en) 2012-07-06 2014-01-09 Jani Pellikka On-Demand Identity Attribute Verification and Certification For Services
US10116445B2 (en) 2012-10-30 2018-10-30 Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno Method and system for protected exchange of data
EP3412514B1 (en) 2014-11-12 2019-12-04 Panasonic Intellectual Property Corporation of America Update management method, update management device, and control program
US10972262B2 (en) 2015-12-30 2021-04-06 T-Mobile Usa, Inc. Persona and device based certificate management
CN107332858B (zh) 2017-08-07 2020-08-28 深圳格隆汇信息科技有限公司 云数据存储方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1783848A (zh) * 2004-12-02 2006-06-07 北京航空航天大学 基于域名层次认证机构的邮件传输代理原发抗抵赖方法
CN101771537A (zh) * 2008-12-26 2010-07-07 中国移动通信集团公司 分布式认证系统及其认证证书的处理方法、认证方法
CN104168113A (zh) * 2014-08-07 2014-11-26 河海大学 一种n层CA结构的基于证书加密的方法及系统

Also Published As

Publication number Publication date
CN110493002B (zh) 2020-05-08
CN111800270A (zh) 2020-10-20
WO2020001417A1 (zh) 2020-01-02
US11483165B2 (en) 2022-10-25
CN110493002A (zh) 2019-11-22
US20210126802A1 (en) 2021-04-29
SG11202012583WA (en) 2021-01-28

Similar Documents

Publication Publication Date Title
CN109617698B (zh) 发放数字证书的方法、数字证书颁发中心和介质
CN104753881B (zh) 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法
US8850187B2 (en) Subscriber certificate provisioning
CN108667609B (zh) 一种数字证书管理方法及设备
CN111049835B (zh) 分布式公共证书服务网络的统一身份管理系统
US8274401B2 (en) Secure data transfer in a communication system including portable meters
US20130019093A1 (en) Certificate authority
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN109474432B (zh) 数字证书管理方法及设备
JP2023544529A (ja) 認証方法およびシステム
CN111800270B (zh) 一种证书签名方法、装置、存储介质及计算机设备
CN101860540A (zh) 一种识别网站服务合法性的方法及装置
CN103634265B (zh) 安全认证的方法、设备及系统
US20070186097A1 (en) Sending of public keys by mobile terminals
CN106713279A (zh) 一种视频终端身份认证系统
CN112187470B (zh) 物联网证书分发方法及装置、系统、存储介质、电子装置
CN113472790A (zh) 基于https协议的信息传输方法、客户端及服务器
CN104486322B (zh) 终端接入认证授权方法及终端接入认证授权系统
KR100559958B1 (ko) 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
CN107566393A (zh) 一种基于受信任证书的动态权限验证系统及方法
CN110929231A (zh) 数字资产的授权方法、装置和服务器
CN113285932B (zh) 边缘服务的获取方法和服务器、边缘设备
CN111131160B (zh) 一种用户、服务及数据认证系统
CN112261103A (zh) 一种节点接入方法及相关设备
CN104363217A (zh) 一种Web系统的CA数字签名认证系统及认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40034116

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant