CN111988291B - 一种数字证书轻量化传输方法及系统 - Google Patents
一种数字证书轻量化传输方法及系统 Download PDFInfo
- Publication number
- CN111988291B CN111988291B CN202010785858.9A CN202010785858A CN111988291B CN 111988291 B CN111988291 B CN 111988291B CN 202010785858 A CN202010785858 A CN 202010785858A CN 111988291 B CN111988291 B CN 111988291B
- Authority
- CN
- China
- Prior art keywords
- certificate
- trust
- broadcast
- list
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种数字证书轻量化传输方法,包括:对广播终端设备中所存储的信任证书进行预设生成信任证书列表并以申请请求报文的形式发送至认证中心设备;接收认证中心设备根据所述申请请求报文返回的授权报文数据信息,并向所述广播终端设备进行广播,广播终端设备对被授权广播终端设备证书号进行识别,当被授权广播终端设备证书号与广播终端设备相对应时,广播终端设备根据预制的根证书对被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后并保存。通过轻量级数字证书协议,解决了广播终端设备存储容量有限和广电网络传输方面的问题,以安全白名单的方式简化了对使用数字证书依赖OCSP和LDAP服务才能验证数字证书有效性的模式。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种数字证书轻量化传输方法及系统。
背景技术
传统的数字证书通常采用X509标准,证书的体积较大,常用的X.509v3版本证书包括了版本号、证书序列号、发行者名称、主题等等一系列内容,一般长度在500字节至1.5K字节,这么大的数据不适合在广播无线网络中传输,尤其是调频广播、中波广播之类窄带传输。
X.509标准证书一般采用DER编码模式,编解码比较复杂,对于广播领域很多终端来说,本身设备一般采用单片机设计,内部存储运算资源有限,使用这种体系的证书实现起来非常困难。
数字证书的传输和验证一般采用的是OCSP和LDAP服务对证书进行验证,包括证书有效性和更新证书黑名单。在广播领域,使用X.509标准证书和OCSP、LDAP等服务需要在县级平台搭建相应的信息系统,而这些县乡级单位信息化水平偏低,运营管理能力较弱,信息系统和设备建设投入有限,搭建这些系统会大幅增加这类单位的资金压力,并且即使搭建起来,后续的运营和维护工作也很困难。
发明内容
为解决上述技术问题之一,本发明提供了一种数字证书轻量化传输方法及系统。
本发明实施例第一方面提供了一种数字证书轻量化传输方法,所述方法包括:
对广播终端设备中所存储的信任证书进行预设生成信任证书列表,并将所述信任证书列表以申请请求报文的形式发送至认证中心设备;
接收认证中心设备根据所述申请请求报文返回的授权报文数据信息,并将所述授权报文数据信息向所述广播终端设备进行广播,所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号,以使所述广播终端设备对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后,对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。
本发明实施例第二方面提供了一种数字证书轻量化传输方法,所述方法包括:
接收广播平台设备发送的申请请求报文,所述申请请求报文中包含有信任证书列表,所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表;
根据所述申请请求报文生成信任证书验证数据和信任证书数据;
通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据;
将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备,以使所述广播平台设备向广播终端设备进行广播,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号,以使所述广播终端设备对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,通过所述广播终端设备内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证,并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。
优选地,所述方法还包括:
对广播终端设备预装非对称密钥对并进行编号,生成证书编号,证书编号与广播终端设备一一对应,同时以信任证书列表方式保存所有广播终端设备的证书编号,以使所述广播终端设备接收到广播平台设备发送的广播信息之后,对所述广播信息中所包含的带有证书编号的数字签名进行识别,当所述进行数字签名的证书编号存在于所述广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证,并在验证通过后进行播出。
本发明实施例第三方面提供了一种数字证书轻量化传输方法,所述方法包括:
接收广播平台设备发送授权报文数据信息,所述授权报文数据信息为认证中心设备根据广播平台设备发送的申请请求报文所生成的信息,所述申请请求报文中包含有信任证书列表,所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号;
对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证,并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。
优选地,所述方法还包括:
接收认证中心设备预装的非对称密钥对并进行编号,生成证书编号;
接收广播平台设备发送的广播信息,对所述广播信息中所包含的带有证书编号的数字签名进行识别,当所述进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证,并在验证通过后进行播出。
本发明实施例第四方面提供了一种数字证书轻量化传输系统,所述系统包括广播平台设备、认证中心设备和广播终端设备;
所述广播平台设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在广播平台设备上运行时,使得所述广播平台设备执行本发明实施例第一方面所述的数字证书轻量化传输方法;
所述认证中心设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在认证中心设备上运行时,使得所述认证中心设备执行本发明实施例第二方面所述的数字证书轻量化传输方法;
所述广播终端设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在广播终端设备上运行时,使得所述广播终端设备执行本发明实施例第三方面所述的数字证书轻量化传输方法。
优选地,所述被数字签名的信任证书列表包括广播终端设备证书号,信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号和认证中心对所述对所述广播终端设备证书号,信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号的签名数据。
优选地,所述信任证书数据包括数字证书版本号、数字证书签发者编号、数字证书编号、数字证书有效期、数字证书公钥数据和数字证书签名数据。
本发明的有益效果如下:本发明所提出的方法通过轻量级数字证书协议,以白名单方式解决了广播终端设备存储容量有限的问题,大大简化了传统对数字证书验证需要使用OCSP和LDAP服务才能进行的业务。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例1所述的数字证书轻量化传输方法的流程图;
图2为本发明实施例2所述的数字证书轻量化传输方法的流程图;
图3为本发明实施例3所述的数字证书轻量化传输方法的流程图;
图4为本发明实施例4所述的数字证书轻量化传输系统的原理图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1
如图1所示,本实施例提出了一种数字证书轻量化传输方法,该方法包括:
S101、对广播终端设备中所存储的信任证书进行预设生成信任证书列表,并将所述信任证书列表以申请请求报文的形式发送至认证中心设备。
具体的,本实施例所提出的方法可应用于广播平台设备中。该广播平台设备可对每一个下级的广播终端设备进行管理。其中,包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计,并生成相应的信任证书列表。在生成信任证书列表之后,广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中,申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。
S102、接收认证中心设备根据所述申请请求报文返回的授权报文数据信息,并将所述授权报文数据信息向所述广播终端设备进行广播。
具体的,本实施例中认证中心设备在接收到申请请求报文之后,可通过该申请请求报文获取到信任证书列表。同时,根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作,最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,其中,对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。广播平台设备在接收到该授权报文数据信息后,向该广播平台设备的下级广播终端设备进行广播。
更为具体的,本实施例中采用http协议post机制实现广播平台设备与认证中心设备之间的数据传输,其具有传输数据多、安全性高的特点。
请求报文如下:
http://x.x.x.x:port/certauth?path=证书号1.证书号2.证书号3&opt=XXX&SMSN=被授权广播终端设备证书号&signature=XXXXXXXXXXXXXXXXXXXX
说明如下:
以6字节证书号代替对应的广播终端设备或系统;其中证书号1、证书号2、证书号3及被授权证书号长度都是6个字节;
其中“PATH=”部分是表示要在被授权设备内建立的信任证书授权列表;此列表最长支持16个,可实现支持每一个村级广播设备;
Opt为功能开关,其内容定义如下:
REG:注册操作;(即将被授权设备注册到管理中心,根据path=后面的证书号可定位此被授权设备所在的单位);
SIGN:证书信任列表签名;表示对path后面的证书列表进行签名,此列表将写入被授权设备的安全存储区,后续业务操作时,将以此为依据。
DOWN:证书下载,申请path后面证书信任列表中标识的证书数据;
Signature:通信保护用数字签名,表示使用被授权设备证书对前面path=之后的所有数据的数字签名,确保通信过程中此数据未被修改,以base64编码形式传输。
REG请求报文如下:
http://192.168.5.33:8090/certauth?path=00000000000b.00000000000c&opt=REG&SMSN=00000000000e&signature=zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ==
返回内容:
RET_OK
SN=000000000001,signature=MEUCIBQCBTUlFoXvr6uItkyPyitAjtMFY+G/IsKpNDe5WnX/AiEAoMg3dEhH2+2Bnb1/aAGGpG2UxKlaupE1oSQlFhwUnA8=
其中RET_OK表示注册成功;signature=是服务端使用sn=的证书对本次返回数据的签名,以base64编码表示。
SIGN请求报文如下:
http://192.168.5.33:8090/MAV/zcqq?path=00000000000b.00000000000c&opt=SIGN&SMSN=00000000000e&signature=zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ==
返回内容:
RET_OK,SN=000000000001,SIGN_LIST=AAAAAAAO/wIAAAAAAAsAAAAAAAwAAAAAAAEj8Hlbai0UV9MaA2DA4+yJ7eD959THJm0zzB3LEi+p0ruXMaqZkX1ZZl5gwI8AJ+4p2KmUd2H23vT1RKm30EHZ,singature=MEUCICPweVtqLRRX0xoDYMDj7Int4P3n1McmbTPMHcsSL6nSAiEAu5cxqpmRfVlmXmDAjwAn7inYqZR3Yfbe9PVEqbfQQdk=
其中SIGN_LIST=表示的就是申请中path部分申请证书列表+对列表的签名的base64编码形式,signature=是服务端使用sn=的证书对本次返回全部数据的签名,以base64编码表示。
DOWN请求报文如下:
http://192.168.5.33:8090/MAV/zcqq?path=00000000000B.00000000000C&opt=DOWN&SMSN=00000000000e&signature=zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ==
返回内容:
RET_OK
SN=000000000001,singature=MEYCIQD0HvyMzeoMysdKw8KKIAh76EMbncNmAhYwqlZH8S4yZwIhAOJGntkmxlA/X8+Q/sT9TsrjbUi2G+BUmG+UHPxFNy1i,<?xml version="1.0"encoding="GBK"?><DLBResponseData><ResponseSignTime>2019-04-2416:36:01</ResponseSignTime><ResponseCertPath>00000000000B,00000000000C</ResponseCertPath><certSN="00000000000B"><CertSN>00000000000b</CertSN><CertUsage>0</CertUsage><CertCtx>1000000000000100000000000B460573922D301E6C1CD96BD10D4E66ED0E1A1A7189DF16EC9028871664BE360B9F64999C0E0E4F9F4AE37FBFCB8D0E007BADE4BF09068BBAFA4E0A7E4B1EEEAEE800D72EE1C64701FE8C6B5409DC8D6B103BF30B2D6165CE379D423DD57366E44127536E6B6A083880418E527382C0B6926E8E1FD3CE99B7C9434015E260BA73EAA5</Cert Ctx><CertState>0</CertState><SignDate>2016-05-09 17:52:02.0</SignDate><ValidDate>2046-05-31 23:59:59.0</ValidDate></cert><cert
SN="00000000000C"><CertSN>00000000000c</CertSN><CertUsage>0</CertUsage><CertCtx>1000000000000100000000000C46057170B6F949C6FAF23EFABD07845BBD3F0140FD089B0D8D98F6EE77F99F5BEDB1DC3F9AF51DC2823927FCBC31DB2C536BB065C433E8F04B8F76BD9CD943967352FA403DFE8E44E8641295FF3FAB770FBD637C170C96ACCD0523F415D574F5F53FB7D2E6C924D75A6482953060440103E945979C8175F77A60390A3DA2F8723CF3</CertCtx><CertState>0</CertState><SignDate>2016-05-09 17:52:02.0</SignDate><ValidDate>2046-05-31 23:59:59.0</ValidDate></cert></DLBResponseData>
以XML格式返回要下载的证书数据。
另外,本实施例对信任证书数据进行了简化,数字证书长度为143字节,较通用的X.509证书减少了很多,因此证书仅在广播领域使用,属于封闭领域,所以仅保留了必要字段。其中包括1字节的数字证书版本号、6字节的数字证书签发者编号、6字节的数字证书编号、2字节的数字证书有效期、64字节的数字证书公钥数据和64字节的数字证书签名数据,如表1所示。
表1
| 字段 | 长度(字节) | 备注 |
| CertificateVersion | 1 | 数字证书版本号 |
| IssuerSN | 6 | 数字证书签发者编号 |
| CertificateSN | 6 | 数字证书编号 |
| CertificateValidate | 2 | 数字证书有效期 |
| PublicKey | 64 | 数字证书公钥数据 |
| SignatureData | 64 | 数字证书签名数据 |
通过上述所描述的请求报文可以看出,本实施例中认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号,即SMSN字段。每个广播终端设备对应一个该证书号,以使广播终端设备对被授权广播终端设备证书号进行识别,当被授权广播终端设备证书号与广播终端设备相对应时,广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后,对被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。
此外,本实施例中,认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号,生成证书编号,证书编号与广播终端设备一一对应,同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后,对广播信息中所包含的带有证书编号的数字签名进行识别,当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证,并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证,大大降低了终端处理的业务量。
实施例2
如图2所示,本实施例提出了一种数字证书轻量化传输方法,该方法包括:
S201、接收广播平台设备发送的申请请求报文。
具体的,本实施例所提出的方法可应用于认证中心设备中。该认证中心设备可与广播平台设备进行数据传输。该广播平台设备可对每一个下级的广播终端设备进行管理。其中,包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计,并生成相应的信任证书列表。在生成信任证书列表之后,广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中,申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。
S202、根据所述申请请求报文生成信任证书验证数据和信任证书数据,通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据。
具体的,本实施例中认证中心设备在接收到申请请求报文之后,可通过该申请请求报文获取到信任证书列表。同时,根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作,最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,其中,对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。
S203、将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备。
具体的,认证中心设备将生成的信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备。广播平台设备在接收到该授权报文数据信息后,向该广播平台设备的下级广播终端设备进行广播。其中,本实施例中广播平台设备与认证中心设备之间的数据传输机制可参照实施例1所记载的内容,本实施例不再进行赘述。认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号。每个广播终端设备对应一个该证书号,以使广播终端设备对被授权广播终端设备证书号进行识别,当被授权广播终端设备证书号与广播终端设备相对应时,广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后,对被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。
此外,本实施例中,认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号,生成证书编号,证书编号与广播终端设备一一对应,同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后,对广播信息中所包含的带有证书编号的数字签名进行识别,当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证,并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证,大大降低了终端处理的业务量。
实施例3
如图3所示,本实施例提出了一种数字证书轻量化传输方法,该方法包括:
S301、接收广播平台设备发送授权报文数据信息。
具体的,本实施例所提出的方法可应用广播终端设备中。该广播终端设备可设置在各乡镇。该广播终端设备可受广播平台设备管理。该广播平台设备可对每一个下级的广播终端设备进行管理。其中,包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计,并生成相应的信任证书列表。在生成信任证书列表之后,广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中,申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。
认证中心设备在接收到申请请求报文之后,可通过该申请请求报文获取到信任证书列表。同时,根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作,最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,其中,对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。广播平台设备在接收到该授权报文数据信息后,向该广播平台设备的下级广播终端设备进行广播。本实施例中认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号。每个广播终端设备对应一个该证书号。
S302、对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证,并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。
此外,本实施例中,认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号,生成证书编号,证书编号与广播终端设备一一对应,同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后,对广播信息中所包含的带有证书编号的数字签名进行识别,当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证,并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证,大大降低了终端处理的业务量。
实施例4
如图4所示,本实施例提出了一种数字证书轻量化传输系统,该系统包括广播平台设备、认证中心设备和广播终端设备;其中,广播平台设备、认证中心设备和广播终端设备中均包括计算机可读存储介质,该计算机可读存储介质包括计算机程序,当计算机程序在广播平台设备、认证中心设备和广播终端设备上运行时,使得该广播平台设备、认证中心设备和广播终端设备分别执行相应的操作,具体操作过程和相关内容可参照实施例1至3所记载的内容,本实施例不再进行赘述。
本实施例通过轻量级数字证书协议,以白名单方式解决了广播终端设备存储容量有限的问题,大大简化了传统对数字证书验证需要使用OCSP和LDAP服务才能进行的业务。同时实现了只支持对信任证书列表中有的签名才进行验证,大大降低了终端处理的业务量。另外,在保证证书传输和广播信息传输安全的前提下,降低了使用数字证书系统的难度,县乡村平台不需要额外部署维护数字证书管理系统;降低了县乡村平台使用数字证书的费用。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (9)
1.一种数字证书轻量化传输方法,其特征在于,所述方法包括:
对广播终端设备中所存储的信任证书进行预设生成信任证书列表,并将所述信任证书列表以申请请求报文的形式发送至认证中心设备;
接收认证中心设备根据所述申请请求报文返回的授权报文数据信息,并将所述授权报文数据信息向所述广播终端设备进行广播,所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号,以使所述广播终端设备对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后,对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。
2.一种数字证书轻量化传输方法,其特征在于,所述方法包括:
接收广播平台设备发送的申请请求报文,所述申请请求报文中包含有信任证书列表,所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表;
根据所述申请请求报文生成信任证书验证数据和信任证书数据;
通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据;
将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备,以使所述广播平台设备向广播终端设备进行广播,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号,以使所述广播终端设备对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,通过所述广播终端设备内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证,并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
对广播终端设备预装非对称密钥对并进行编号,生成证书编号,证书编号与广播终端设备一一对应,同时以信任证书列表方式保存所有广播终端设备的证书编号,以使所述广播终端设备接收到广播平台设备发送的广播信息之后,对所述广播信息中数字签名的证书编号进行识别,当所述数字签名的证书编号存在于所述广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对所述广播信息进行验证,并在验证通过后进行播出。
4.一种数字证书轻量化传输方法,其特征在于,所述方法包括:
接收广播平台设备发送授权报文数据信息,所述授权报文数据信息为认证中心设备根据广播平台设备发送的申请请求报文所生成的信息,所述申请请求报文中包含有信任证书列表,所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据,所述信任证书验证数据中包含有被授权广播终端设备证书号,每个所述广播终端设备对应一个证书号;
对所述被授权广播终端设备证书号进行识别,当所述被授权广播终端设备证书号与广播终端设备相对应时,通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证,并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收认证中心设备预装的非对称密钥对并进行编号,生成证书编号;
接收广播平台设备发送的广播信息,对所述广播信息中数字签名的证书编号进行识别,当所述数字签名的证书编号存在于广播终端设备对应的信任证书列表中时,通过证书编号索引所对应的非对称密钥对的根证书对所述广播信息进行验证,并在验证通过后进行播出。
6.一种数字证书轻量化传输系统,其特征在于,所述系统包括广播平台设备、认证中心设备和广播终端设备;
所述广播平台设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在广播平台设备上运行时,使得所述广播平台设备执行如权利要求1所述的数字证书轻量化传输方法;
所述认证中心设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在认证中心设备上运行时,使得所述认证中心设备执行如权利要求2或3所述的数字证书轻量化传输方法;
所述广播终端设备包括计算机可读存储介质,所述计算机可读存储介质包括计算机程序,当计算机程序在广播终端设备上运行时,使得所述广播终端设备执行如权利要求4或5所述的数字证书轻量化传输方法。
7.根据权利要求6所述的系统,其特征在于,所述被数字签名的信任证书列表包括广播终端设备证书号,信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号和认证中心对所述广播终端设备证书号,信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号的签名数据。
8.根据权利要求6所述的系统,其特征在于,所述信任证书数据包括数字证书版本号、数字证书签发者编号、数字证书编号、数字证书有效期、数字证书公钥数据和数字证书签名数据。
9.根据权利要求6至8任一项所述的系统,其特征在于,所述申请请求报文和授权报文数据信息均采用http协议POST方式传输,每次所述申请请求报文和授权报文数据信息发送时均会带有发送方的数字签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010785858.9A CN111988291B (zh) | 2020-08-07 | 2020-08-07 | 一种数字证书轻量化传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010785858.9A CN111988291B (zh) | 2020-08-07 | 2020-08-07 | 一种数字证书轻量化传输方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111988291A CN111988291A (zh) | 2020-11-24 |
| CN111988291B true CN111988291B (zh) | 2022-06-28 |
Family
ID=73445892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010785858.9A Active CN111988291B (zh) | 2020-08-07 | 2020-08-07 | 一种数字证书轻量化传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111988291B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113204751A (zh) * | 2021-05-28 | 2021-08-03 | 深圳市纽创信安科技开发有限公司 | 一种轻量级的sm2国密证书的生成方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6301658B1 (en) * | 1998-09-09 | 2001-10-09 | Secure Computing Corporation | Method and system for authenticating digital certificates issued by an authentication hierarchy |
| CN103034789A (zh) * | 2012-12-10 | 2013-04-10 | 山东中创软件商用中间件股份有限公司 | 一种组件部署方法、装置及安全框架 |
| EP2843873A1 (en) * | 2012-04-25 | 2015-03-04 | China Iwncomm Co., Ltd. | Digital certificate automatic application method, device and system |
| CN106454826A (zh) * | 2016-09-30 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种ap接入ac的方法和装置 |
| CN206212040U (zh) * | 2016-10-31 | 2017-05-31 | 金联汇通信息技术有限公司 | 一种用于快递行业的实名认证系统 |
| CN110719174A (zh) * | 2019-09-18 | 2020-01-21 | 深圳市元征科技股份有限公司 | 基于Ukey的证书签发方法、相关装置及系统 |
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
| CN110958118A (zh) * | 2019-10-12 | 2020-04-03 | 平安国际智慧城市科技股份有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
-
2020
- 2020-08-07 CN CN202010785858.9A patent/CN111988291B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6301658B1 (en) * | 1998-09-09 | 2001-10-09 | Secure Computing Corporation | Method and system for authenticating digital certificates issued by an authentication hierarchy |
| EP2843873A1 (en) * | 2012-04-25 | 2015-03-04 | China Iwncomm Co., Ltd. | Digital certificate automatic application method, device and system |
| CN103034789A (zh) * | 2012-12-10 | 2013-04-10 | 山东中创软件商用中间件股份有限公司 | 一种组件部署方法、装置及安全框架 |
| CN106454826A (zh) * | 2016-09-30 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种ap接入ac的方法和装置 |
| US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
| CN206212040U (zh) * | 2016-10-31 | 2017-05-31 | 金联汇通信息技术有限公司 | 一种用于快递行业的实名认证系统 |
| CN110719174A (zh) * | 2019-09-18 | 2020-01-21 | 深圳市元征科技股份有限公司 | 基于Ukey的证书签发方法、相关装置及系统 |
| CN110958118A (zh) * | 2019-10-12 | 2020-04-03 | 平安国际智慧城市科技股份有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 数字证书技术的分析;王东等;《新疆教育学院学报》;20030630;第19卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111988291A (zh) | 2020-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8195935B2 (en) | Systems, methods and computer-accessible media for acquiring and authenticating public key certificate status | |
| CN101616165B (zh) | 一种新型x509数字证书白名单发布查询验证的方法 | |
| CN102202307B (zh) | 基于数字证书的移动终端身份认证系统及方法 | |
| US9088565B2 (en) | Use of a public key key pair in the terminal for authentication and authorization of the telecommunication user with the network operator and business partners | |
| CN103117987B (zh) | 数字证书更新方法 | |
| US20050138365A1 (en) | Mobile device and method for providing certificate based cryptography | |
| Igoe et al. | X. 509v3 certificates for Secure Shell authentication | |
| US11895501B2 (en) | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks | |
| CN102201919A (zh) | 基于数字证书的移动终端实名信息传输系统与方法 | |
| CN109327309A (zh) | 一种基于ibc与pki混合体系的跨域密钥管理方法 | |
| CN101242269B (zh) | 预订电信服务的移动通信终端、服务提供商终端、系统及方法 | |
| CN108683506B (zh) | 一种数字证书申请方法、系统、雾节点和证书授权中心 | |
| CN111182497A (zh) | V2x匿名认证方法、设备及存储介质 | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| CN111988291B (zh) | 一种数字证书轻量化传输方法及系统 | |
| CN115102695A (zh) | 基于区块链的车联网证书认证方法 | |
| CN111800270A (zh) | 一种证书签名方法、装置、存储介质及计算机设备 | |
| CN107395364B (zh) | 一种基于标识的组合密钥跨域认证方法 | |
| CN115567221A (zh) | 一种证书分级管理方法及装置 | |
| CN113098933B (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR | |
| CN114143010A (zh) | 数字证书获取方法、装置、终端、系统和存储介质 | |
| CN113169953B (zh) | 用于验证设备或用户的方法和装置 | |
| WO2010127540A1 (zh) | 一种电视节目的分发方法及系统 | |
| CN112988412A (zh) | 基于区块链网络的边缘缓存方法、基站和系统 | |
| KR101152381B1 (ko) | 다운로드 가능한 제한수신시스템에서 crl 배포 및 적용 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |