CN113497707B - 一种应用证书申请方法及装置 - Google Patents

一种应用证书申请方法及装置 Download PDF

Info

Publication number
CN113497707B
CN113497707B CN202010192763.6A CN202010192763A CN113497707B CN 113497707 B CN113497707 B CN 113497707B CN 202010192763 A CN202010192763 A CN 202010192763A CN 113497707 B CN113497707 B CN 113497707B
Authority
CN
China
Prior art keywords
application
certificate
authorization
message
response message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010192763.6A
Other languages
English (en)
Other versions
CN113497707A (zh
Inventor
周巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN202010192763.6A priority Critical patent/CN113497707B/zh
Publication of CN113497707A publication Critical patent/CN113497707A/zh
Application granted granted Critical
Publication of CN113497707B publication Critical patent/CN113497707B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

本发明实施例提供一种应用证书申请方法及装置,应用于应用证书颁发机构CA,包括:获取授权服务器所发送的授权令牌;基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。本实施例实现了结合第三方授权机构实现应用证书的颁发过程。

Description

一种应用证书申请方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种应用证书申请方法及装置。
背景技术
在车联网领域,车联网安全通信是基于公钥基础设施(Public KeyInfrastructure,PKI)实现的,且车联网PKI的基本构成也都相同。
其中,车联网系统中证书申请实体包括:车载单元(On Board Unit,OBU)和路侧单元(Road Side Unit,RSU),其中OBU为安装在车辆上的通信设备,负责车辆车对外界的信息交换(vehicle to everything,V2X)消息的发送和接收;RSU安装在在路侧设备上的通信设备,负责路侧设备V2X消息的发送和接收。
此外,车联网PKI系统中证书颁发实体包括根证书颁发机构(Root CertificateAuthority,Root CA)、注册CA(Enrollment CA,ECA)和应用CA(Application CA,ACA),根CA是车联网安全PKI体系的安全锚点,用于向下级子CA颁发子CA证书;注册CA在OBU和RSU系统的安全初始化(Security Bootstrap)阶段,向这些实体颁发注册证书,OBU和RSU使用注册证书申请应用证书;应用CA向OBU和RSU颁发其用于对播发的V2X消息进行签名的证书。对应的证书种类包括根证书、注册证书和应用证书,其中根证书是根CA的自签证书。根证书是一个PKI系统证书链的根节点,又称PKI系统的信任锚点(trust anchor);注册证书由注册CA颁发给OBU和RSU,注册证书与设备唯一对应,设备使用注册证书从各授权机构获取其他与车联网安全通信相关的应用证书;应用证书是颁发给OBU和RSU的用于对其播发的消息进行数字签名的证书,例如OBU对其播发的车辆行驶状态信息进行数字签名,RSU对其播发的交通信号灯状态信息进行数字签名。
此外,现有的应用证书颁发过程通常为,OBU/RSU向注册CA申请注册证书,注册CA审核后向OBU/RSU颁发注册证书;OBU/RSU利用注册证书向负责某车联网应用领域的应用CA申请具体用于对V2X消息进行数字签名的应用证书,应用CA审核后向OBU/RSU颁发应用证书;OBU/RSU利用应用证书对其播发的V2X消息进行数字签名,并将签名消息连同签名证书一同播发出去;接收V2X签名消息的OBU/RSU首先利用预先存储的应用CA证书对消息中的签名证书进行验证,然后利用通过验证的签名证书验证签名消息的有效性。
通过上述过程虽然能够实现车联网通信,但是由于一些车联网通信安全证书可能与车辆行驶安全有紧密的关系,此类证书的颁发有可能需要参考来自于第三方机构的信息,而现有技术并未涉及到。
发明内容
本发明实施例提供一种应用证书申请方法及装置,以实现通过第三方授权执行证书的颁发过程。
本发明实施例提供一种应用证书申请方法,应用于应用CA,包括:
获取授权服务器所发送的授权令牌;
基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用证书申请方法,应用于授权服务器,包括:
向应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用证书申请方法,应用于证书申请设备,包括:
接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用证书申请装置,应用于应用证书颁发机构CA,包括:
获取模块,用于获取授权服务器所发送的授权令牌;
发送模块,用于基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用证书申请装置,应用于授权服务器,包括:
发送模块,用于向应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用证书申请装置,应用于证书申请设备,包括:
接收模块,用于接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
本发明实施例提供一种应用CA,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的应用证书申请方法的步骤。
本发明实施例提供一种授权服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的应用证书申请方法的步骤。
本发明实施例提供一种证书申请设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的应用证书申请方法的步骤。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的应用证书申请方法的步骤。
本发明实施例提供的应用证书申请方法及装置,通过获取授权服务器所发送的授权令牌,并基于授权令牌向证书申请设备颁发应用证书,实现了在证书颁发过程中能够结合第三方的授权信息,完善了证书颁发过程,提高了证书颁发的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中应用于应用CA的应用证书申请方法的步骤流程图;
图2为本发明实施例中应用于授权服务器的应用证书申请方法的步骤流程图;
图3为本发明实施例中应用于证书申请设备的应用证书申请方法的步骤流程图;
图4为本发明实施例中第一实施例的步骤示意图;
图5为本发明实施例中第二实施例的步骤示意图;
图6为本发明实施例中应用于应用CA的应用证书申请装置的模块框图;
图7为本发明实施例中应用于授权服务器的应用证书申请装置的模块框图;
图8为本发明实施例中应用于证书申请设备的应用证书申请装置的模块框图;
图9为本发明实施例中应用CA的结构示意图;
图10为本发明实施例中授权服务器的结构示意图;
图11为本发明实施例中证书申请设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的各实施例中,若采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
在本实施例中,应用证书申请方法所对应的第三方授权的证书申请架构包括应用CA、证书申请设备和授权服务器,其中授权服务器为第三方授权机构。
在此需要说明的是,证书申请设备可以为申请安全通信证书的OBU和RSU等车联网通信设备;应用CA负责向OBU和RSU等车辆网通信设备颁发安全通信证书的CA;授权服务器为在证书申请过程中能够为应用CA提供证书申请设备是否满足所申请证书颁发条件的机构,例如车辆的生产厂商或车辆的运维机构等,这些机构能够提供车辆或路侧设备的技术,状态和用途等信息,从而能够判断相关设备是否能够满足所申请证书的条件。
下面针对上述架构对本发明进行具体说明。
如图1所示,为本发明实施例中应用于应用CA的应用证书申请方法的步骤流程图,该方法包括如下步骤:
步骤101:获取授权服务器所发送的授权令牌。
具体的,在本步骤中,应用CA可以获取授权服务器所发送的授权令牌,以使得应用CA能够获知能够对证书申请设备颁发应用证书。
在此需要说明的是,授权令牌中所包含的信息可以为下述中的至少一项:授权令牌的颁发者标识、授权令牌所有者标识(即证书申请设备的标识)、授权令牌的有效期、授权令牌颁发者对授权令牌的数字签名以及是否同意对待申请的应用证书的申请陈述。
步骤102:基于授权令牌,向证书申请设备发送第一应用证书响应消息。
在本步骤中,具体的,应用CA可以基于授权服务器给出的授权令牌,向证书申请设备发送第一应用证书响应消息,且该第一应用证书响应消息中包含有应用证书。即此时应用CA基于授权服务器给出的授权令牌,向证书申请设备颁发应用证书。
当然,若授权服务器不允许证书申请设备申请得到应用证书,则授权服务器会向应用CA反馈一拒绝颁发应用证书的响应消息,此时应用CA不会将应用证书颁发给证书申请设备。
这样,本实施例中的应用CA通过获取授权服务器所发送的授权令牌,并基于授权令牌向证书申请设备颁发应用证书,实现了在证书颁发过程中能够结合第三方的授权信息,完善了证书颁发过程,提高了证书颁发的安全性和可靠性。
此外,在本实施例中,应用CA在获取授权服务器所发送的授权令牌时,可以通过直接获取方式和间接获取方式两种方式,在此分别针对该两种方式进行分别说明。
其一,接收授权服务器发送的授权令牌响应消息。
具体的,该种方式为直接获取方式,此时应用CA直接接收授权服务器所发送的授权令牌响应消息,且该授权令牌响应消息中包含有授权令牌。
此外,具体的,应用CA在接收授权服务器发送的授权令牌响应消息之前,还需要接收证书申请设备发送的第二应用证书申请消息,然后基于第二应用证书申请消息向授权服务器发送第一授权请求消息。
其中,第二应用证书申请消息中包含有应用证书申请参数;第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
具体的,第二应用证书申请消息中还包含有授权服务器的地址信息和/或证书申请设备的设备信息。
第一授权请求消息中还包含有下述信息中的至少一项:应用描述信息;待申请的应用证书所对应的设备条件信息;证书申请设备的设备信息。
即当第二应用证书申请消息中包含有证书申请设备的设备信息时,第一授权请求消息中同样可以包含该设备信息。
第二应用证书申请消息中包含有授权服务器的地址信息,从而使得应用CA能够向按照该地址信息给出的授权服务器发送第一授权请求消息。
在此需要说明的是,应用证书申请参数为应用证书申请协议规定的参数。
此外,设备信息包括设备参数信息和当前状态信息,即描述了设备各种参数和当前状态,例如该设备信息可以包括OBU相关信息,例如型号、用途、技术参数和当前状态等;或者包括车辆或路侧设备信息,例如类型、用途、主要技术参数和当前状态等信息。当然,该设备信息可以使用证书申请设备的与其公钥所对应的私钥进行数字签名,该签名还可以使用授权服务器的公钥证书中的公钥进行加密,以便对消息提供机密性保护。
另外,应用描述信息可以用于对应用证书的应用领域进行详细描述,例如若应用领域为货运,则应用描述信息可以对货运进行具体描述,例如货运类型为危险或安全等。设备条件信息可以为该应用证书针对OBU或RSU的需求描述(例如类型、用途、主要技术参数和当前状态和/或其他相关信息)、针对车辆或路侧设备等车联网设备的需求描述(例如类型、用途、主要技术参数和当前状态等信息和/或其他相关信息),在此不对申请该应用证书的设备的具体条件信息进行具体限定。
即在本方式中,首先证书申请设备向应用CA发送第二应用证书申请消息,该第二应用证书申请消息中可以包含有应用证书申请参数和证书申请设备的设备信息;然后应用CA向授权服务器发送第一授权请求消息,该第一授权请求消息中可以包含有所述设备信息以及对待申请的应用证书的应用领域进行标识的应用标识信息;再然后授权服务器向应用CA反馈授权令牌,从而使得应用CA能够基于该授权令牌向证书申请设备发送应用证书,实现基于第三方授权的应用证书颁发过程。
其二,接收证书申请设备所发送的第一应用证书申请消息。
该种方式为间接获取方式,此时应用CA接收证书申请设备所发送的第一应用证书申请消息。
其中,该第一应用证书申请消息中包含有授权令牌,且授权令牌由授权服务器发送至证书申请设备。
即应用CA通过证书申请设备转发授权令牌的方式得到授权服务器所发送的授权令牌。
此外,具体的,应用CA在接收证书申请设备所发送的第一应用证书申请消息之前,还可以接收证书申请设备所发送的第三应用证书申请消息,其中第三应用证书申请消息中包含有应用证书申请参数;然后基于第三应用证书申请消息,向证书申请设备反馈第二应用证书响应消息,其中第二应用证书响应消息中包含有授权申请消息,以使证书申请设备基于第二应用证书响应消息向授权服务器发送第二授权请求消息并接收授权服务器所反馈的包含有授权令牌的授权令牌响应消息;
其中,授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息。
当然,在此需要说明的是,授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
在此需要说明的是,应用描述信息和设备条件信息的具体内容可以参加上述直接获取方式中的相应描述,在此不再对此进行具体限定。
即在本方式中,应用CA首先接收证书申请设备所发送的第三应用证书申请消息;然后若系统配置要求从第三方获得证书颁发授权,则应用CA拒绝本次证书申请请求,即基于该第三应用证书申请消息向证书申请设备反馈第二应用证书响应消息,且在该第二应用证书响应消息中包含授权申请消息;再然后,证书申请设备向授权服务器发送第二授权请求消息,并在该第二授权请求消息中包含授权申请消息和证书申请设备的设备信息;再然后,证书申请设备接收授权服务器反馈的授权令牌响应消息;最后,证书申请设备向应用CA发送包含有授权令牌的第一应用证书申请消息,并接收应用CA颁发的应用证书,从而实现基于第三方授权的应用证书颁发过程。
此外,在此需要说明的是,在上述两种方式中,均需要应用CA与授权服务器建立可信关系,且证书申请设备与授权服务器建立可信关系,该可信关系可通过基于对称密钥的机制(共享密钥机制)或基于非对称密钥的机制(例如PKI机制)建立。当然,本实施例可以使用基于非对称密钥的PKI机制描述,即双方保存对方的公钥证书,用以验证对方的数字签名。
这样,通过上述两种方式实现了应用CA对授权令牌的获取过程,从而实现了对第三方授权信息的获取。
本实施例通过获取授权服务器所发送的授权令牌,并基于授权令牌向证书申请设备发送包含有应用证书的第一应用证书响应消息,实现了在证书颁发过程中能够结合第三方的授权信息,完善了证书颁发过程,提高了证书颁发的安全性和可靠性。
此外,如图2所示,为本发明实施例中应用于授权服务器的应用证书申请方法的步骤流程图,该方法包括如下步骤:
步骤201:向应用CA发送授权令牌。
在本步骤中,具体的,授权服务器向应用CA发送授权令牌,从而使得应用CA基于该授权令牌向证书申请设备发送第一应用证书响应消息,其中第一应用证书响应消息中包含有应用证书。
这样,授权服务器通过向应用CA发送授权令牌,且应用CA基于该授权令牌向证书申请设备颁发应用证书,实现了在证书颁发过程中能够结合第三方的授权信息,完善了证书颁发过程,提高了证书颁发的安全性和可靠性。
此外,进一步地,在本实施例中可以通过直接发送方式或间接发送方式将授权令牌发送至应用CA,在此分别对该两种方式进行说明。
其一,直接向应用CA发送授权令牌响应消息。
具体的,授权令牌响应消息中包含有授权令牌。
此外,本实施例在直接向应用CA发送授权令牌响应消息之前,还需要接收应用CA发送的第一授权请求消息,其中第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
具体的,第一授权请求消息中还包含有下述信息中的至少一项:应用描述信息;待申请的应用证书所对应的设备条件信息;证书申请设备的设备信息。
具体的,该证书申请设备的设备信息由证书申请设备发送给应用CA。即应用CA接收证书申请设备发送的第二应用证书申请消息,其中第二应用证书申请消息中可以包含有应用证书申请参数和证书申请设备的设备信息,然后应用CA向授权服务器发送第一授权请求消息。
在此需要说明的是,该种方式的具体内容可以参见上述应用CA侧实施例中的相应内容,在此不再进行赘述。
其二,向证书申请设备发送授权令牌响应消息。
具体的,授权令牌响应消息中包含有授权令牌,以使证书申请设备基于授权令牌响应消息向应用CA发送第一应用证书申请消息,其中第一应用证书申请消息中包含有授权令牌,从而使得应用CA基于该第一应用证书申请消息向证书申请设备反馈包含有应用证书的第一应用证书响应消息,实现有授权服务器参与的证书颁发过程。
此外,在该方式中,授权服务器在向证书申请设备发送授权令牌响应消息之前,还需要接收证书申请设备所发送的第二授权请求消息,其中第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;授权申请消息由应用CA发送至证书申请设备,且授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
当然,该授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
在此需要说明的是,针对上述各种消息中所包含的各种信息可以参见上述应用CA侧实施例中的相应内容,在此不再进行赘述。
这样,本实施例中的授权服务器通过向应用CA发送授权令牌,且应用CA基于授权令牌向证书申请设备颁发应用证书,实现了证书颁发过程中有第三方授权机构参与,提高了证书颁发过程的可靠性。
此外,如图3所示,为本发明实施例中应用于证书申请设备的应用证书申请方法的步骤流程图,该方法包括如下步骤:
步骤301:接收应用CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息。
具体的,第一应用证书响应消息中包含有应用证书。
即本实施例中应用CA在获取到授权服务器所发送的授权令牌时向证书申请设备颁发应用证书,实现了证书颁发过程中有第三方授权机构参与,提高了证书颁发过程的可靠性。
此外,在本实施例中,基于应用CA在获取到授权服务器所发送的授权令牌时的直接获取方式和间接获取方式,在此对证书申请设备接收应用CA所发送的应用证书之前的步骤进行分别说明。
具体的,证书申请设备接收应用CA在获取到授权服务器所发送的授权令牌时所发送的应用证书之前,可以包括下述中的任一一项:
其一,证书申请设备向应用CA发送第二应用证书申请消息。
具体的,第二应用证书申请消息中包含有应用证书申请参数。
当然,该第二应用证书申请消息中还包含授权服务器的地址信息和/或证书申请设备的设备信息。
其二,证书申请设备向应用CA发送第三应用证书申请消息,其中第三应用证书申请消息中包含有应用证书申请参数;然后接收应用CA基于第三应用证书申请消息所反馈的第二应用证书响应消息,其中第二应用证书响应消息中包含有授权申请消息,授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;再然后,基于第二应用证书响应消息向授权服务器发送第二授权请求消息,并接收授权服务器所反馈的包含有授权令牌的授权令牌响应消息,第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;最后,证书申请设备基于授权令牌响应消息向应用CA发送第一应用证书申请消息,其中第一应用证书申请消息中包含有授权令牌。这使得应用CA能够基于授权令牌向证书申请设备颁发应用证书。
当然,授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
在此需要说明的是,针对上述各种信息可以参见上述应用CA侧实施例中的相应内容,在此不再进行赘述。
这样,本实施例中的证书申请设备接收应用CA在获取到授权服务器所发送的应用证书,实现了证书颁发过程中有第三方授权机构参与,提高了证书颁发过程的可靠性。
下面通过具体实施例对本发明进行详细说明。
第一实施例:
参见图4所示,应用CA直接向授权服务器申请授权令牌的流程如下所示:
0,应用CA与授权服务器建立可信关系,证书申请设备与授权服务器建立可信关系,其中该可信关系可通过基于对称密钥的机制(共享密钥机制)或基于非对称密钥的机制(例如PKI的机制)进行建立。此外,本实施例使用基于非对称密钥的PKI机制描述,即双方保存有对方的公钥证书,用以验证对方的数字签名。
1,证书申请设备向应用CA发送第二应用证书申请消息,当然该第二应用证书申请消息可以使用与证书申请设备所对应的私钥进行数字签名,且该第二应用证书申请消息中可以包含有应用证书申请参数、证书申请设备的设备信息和授权服务器的地址信息等信息。其中,设备信息描述了设备各种参数和当前状态,且设备信息使用证书申请设备的与其公钥对应的私钥进行数字签名,该数字签名还可以使用授权服务器的公钥证书中的公钥进行加密,以便对消息提供机密性保护。
2,应用CA验证第二应用证书申请消息的签名信息,此时如果验证通过且系统配置要求从第三方获得证书颁发授权,则应用CA向授权服务器发送第一授权请求消息,当然该第一授权请求消息可以使用与应用CA公钥证书对应的私钥进行数字签名,以提供完整性保护;若第二应用证书申请消息中提供了授权服务器的地址,则将该第一授权请求消息发送至该地址。此外,该第一授权请求消息中可以包含待申请的应用证书的应用领域进行标识的应用标识信息、应用描述信息、待申请的应用证书所对应的设备条件信息和证书申请设备的设备信息等。
3,授权服务器验证第一授权请求消息的签名信息并解密和验证设备信息,然后授权服务器基于应用CA提供的应用标识信息、条件设备信息以及证书申请设备提供的设备信息和本地存储的设备信息检查证书申请设备是否满足应用CA列出的证书颁发需求,并基于检查结果生成一个描述是否允许证书申请设备申请应用证书的响应,该响应可以为授权令牌;当然,该响应同样可以经授权服务器私钥签名以提供完整性保护,并将其返回给应用CA。
4,应用CA基于授权服务器所给出的授权令牌向证书申请设备颁发应用证书。当然,应用CA也可以根据授权服务器拒绝颁发应用证书的响应,拒绝颁发应用证书。
经过上述过程,实现了应用证书的整个颁发流程。
第二实施例:
参见图5所示,应用CA通过证书申请设备间接获得授权服务器发送的授权令牌的流程如下所示:
0,应用CA与授权服务器建立可信关系,证书申请设备与授权服务器建立可信关系,其中该可信关系可通过基于对称密钥的机制(共享密钥机制)或基于非对称密钥的机制(例如PKI的机制)进行建立。此外,本实施例使用基于非对称密钥的PKI机制描述,即双方保存有对方的公钥证书,用以验证对方的数字签名。
1,证书申请设备向应用CA发送第三应用证书申请消息,其中第三应用证书申请消息中包含有应用证书申请参数;此外,该第三应用证书申请消息可以使用与证书申请设备的注册证书对应的私钥进行数字签名。
2,应用CA验证设备的签名信息,如果通过验证,并且系统配置要求从第三方获得证书颁发授权,则拒绝本次证书申请请求,并向证书申请设备反馈第二应用证书响应消息,该第二应用证书响应消息中包含有授权申请消息,该授权申请消息可使用与应用CA公钥证书对应的私钥进行签名,并可以使用授权服务器的公钥证书中的公钥进行加密,以提供消息的机密性保护。此外,授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息、应用描述信息、待申请的应用证书所对应的设备条件信息和所述授权服务器的地址信息。
3,证书申请设备向授权服务器发送第二授权请求消息,该第二授权请求消息使用与设备公钥证书对应的私钥进行数字签名,还可使用授权服务器公钥证书中的公钥进行加密,以提供机密性保护。其中,该第二授权请求消息中包含授权申请消息,由证书申请设备所生成的设备信息(该设备信息描述了设备各种参数和当前状态)以及依据具体协议还可能包含其他信息。此外,需要说明的是,若应用CA提供了授权服务器的地址,则证书申请设备可以将第二授权请求消息发送至该地址,否则发送给预先配置在证书申请设备中的地址。
4,授权服务器验证和解密第二授权请求消息,并验证和解密应用CA的授权申请消息,然后基于应用CA提供的应用描述信息以及证书申请设备提供的设备信息和本地存储的设备信息检测证书申请设备是否满足应用CA列出的证书颁发需求;若满足证书颁发需求,则生成一个描述是否允许证书申请设备申请应用证书的响应;该响应同样可以经授权服务器私钥签名以提供完整性保护,并将其返回给证书申请设备。该签名信息即为授权令牌。
5,证书申请设备向应用CA发送第一应用证书申请消息,该第一应用证书申请消息使用与证书申请设备的注册证书相对应的私钥进行数字签名。该第一应用证书申请消息种包含有授权令牌和应用证书申请协议规定的应用证书申请参数。
6,应用CA验证证书申请设备的应用证书申请参数和授权令牌,然后基于本地策略向证书申请设备颁发应用证书。
经过上述过程,实现了应用证书的整个颁发流程。
此外,如图6所示,为本发明实施例中应用于应用CA的应用证书申请装置的模块框图,该装置包括:
获取模块601,用于获取授权服务器所发送的授权令牌;
发送模块602,用于基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
可选地,所述获取模块601包括:
第一获取单元,用于接收所述授权服务器发送的授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
第二获取单元,用于接收所述证书申请设备所发送的第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌,且所述授权令牌由所述授权服务器发送至所述证书申请设备。
在此需要说明的是,该装置能够实现应用CA侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再进行赘述。
此外,如图7所示,为本发明实施例中应用于授权服务器的应用证书申请装置的模块框图,该装置包括:
发送模块701,用于向应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
可选地,所述发送模块701包括:
第一发送单元,用于直接向所述应用CA发送授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
第二发送单元,用于向所述证书申请设备发送授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌,以使所述证书申请设备基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
在此需要说明的是,该装置能够实现授权服务器侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再进行赘述。
此外,如图8所示,为本发明实施例中应用于证书申请设备的应用证书申请装置的模块框图,该装置包括:
接收模块801,用于接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
可选地,还包括:发送模块,用于向应用CA发送第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数和证书申请设备的设备信息。
在此需要说明的是,该装置能够实现证书申请设备侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再进行赘述。
图9为本发明一实施例提供的应用CA的结构示意图,如图9所示,该应用CA900可以包括至少一个处理器901、存储器902、至少一个其他的用户接口903,以及收发机904。应用CA900中的各个组件通过总线系统905耦合在一起。可理解,总线系统905用于实现这些组件之间的连接通信。总线系统905除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统905,总线系统可以包括任意数量的互联的总线和桥,具体由处理器901代表的一个或多个处理器和存储器902代表的存储器的各种电路链接在一起。总线系统还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机904可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口903还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
可以理解,本发明实施例中的存储器902可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DRRAM)。本发明各实施例所描述的系统和方法的存储器902旨在包括但不限于这些和任意其它适合类型的存储器。
处理器901负责管理总线系统和通常的处理,存储器902可以存储处理器901在执行操作时所使用的计算机程序或指令,具体地,处理器901可以用于:
获取授权服务器所发送的授权令牌;基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
上述本发明实施例揭示的方法可以应用于处理器901中,或者由处理器901实现。处理器901可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本发明描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本发明实施例中所述功能的模块(例如过程、函数等)来实现所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
可选地,作为另一个实施例,处理器901还用于:接收所述授权服务器发送的授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,接收所述证书申请设备所发送的第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌,且所述授权令牌由所述授权服务器发送至所述证书申请设备。
可选地,作为另一个实施例,接收所述授权服务器发送的第一授权令牌响应消息之前,处理器901还用于:接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数;基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
可选地,作为另一个实施例,所述第二应用证书申请消息中还包含有所述授权服务器的地址信息和/或证书申请设备的设备信息。
可选地,作为另一个实施例,所述第一授权请求消息中还包含有下述信息中的至少一项:应用描述信息;待申请的应用证书所对应的设备条件信息;证书申请设备的设备信息。
可选地,作为另一个实施例,所述接收所述证书申请设备所发送的第一应用证书申请消息之前,处理器901还用于:接收所述证书申请设备所发送的第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;基于所述第三应用证书申请消息,向所述证书申请设备反馈第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,以使所述证书申请设备基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息;所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息。
可选地,作为另一个实施例,所述授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
本发明实施例提供的应用CA能够实现前述实施例中应用CA实现的各个过程,为避免重复,此处不再赘述。
图10为本发明一实施例提供的授权服务器的结构示意图,如图10所示,该授权服务器1000可以包括至少一个处理器1001、存储器1002、至少一个其他的用户接口1003,以及收发机1004。授权服务器1000中的各个组件通过总线系统1005耦合在一起。可理解,总线系统1005用于实现这些组件之间的连接通信。总线系统1005除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统1005,总线系统可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线系统还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机1004可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1003还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
可以理解,本发明实施例中的存储器1002可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本发明各实施例所描述的系统和方法的存储器1002旨在包括但不限于这些和任意其它适合类型的存储器。
处理器1001负责管理总线系统和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的计算机程序或指令,具体地,处理器1001可以用于:
向应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
上述本发明实施例揭示的方法可以应用于处理器1001中,或者由处理器1001实现。处理器1001可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1002,处理器1001读取存储器1002中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本发明描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本发明实施例中所述功能的模块(例如过程、函数等)来实现所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
可选地,作为另一个实施例,处理器1001还用于:直接向所述应用CA发送授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,向所述证书申请设备发送授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌,以使所述证书申请设备基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
可选地,作为另一个实施例,所述直接向所述应用CA发送授权令牌响应消息之前,处理器1001还用于:接收所述应用CA发送的第一授权请求消息,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
可选地,作为另一个实施例,所述第一授权请求消息中还包含有下述信息中的至少一项:应用描述信息;待申请的应用证书所对应的设备条件信息;证书申请设备的设备信息。
可选地,作为另一个实施例,所述向所述证书申请设备发送授权令牌响应消息之前,处理器1001还用于:接收所述证书申请设备所发送的第二授权请求消息,其中所述第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;所述授权申请消息由所述应用CA发送至所述证书申请设备,且所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
可选地,作为另一个实施例,所述授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
本发明实施例提供的授权服务器能够实现前述实施例中授权服务器实现的各个过程,为避免重复,此处不再赘述。
图11为本发明一实施例提供的证书申请设备的结构示意图,如图11所示,该证书申请设备1100可以包括至少一个处理器1101、存储器1102、至少一个其他的用户接口1103,以及收发机1104。证书申请设备1100中的各个组件通过总线系统1105耦合在一起。可理解,总线系统1105用于实现这些组件之间的连接通信。总线系统1105除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1105,总线系统可以包括任意数量的互联的总线和桥,具体由处理器1101代表的一个或多个处理器和存储器1102代表的存储器的各种电路链接在一起。总线系统还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机1104可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1103还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
可以理解,本发明实施例中的存储器1102可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本发明各实施例所描述的系统和方法的存储器1102旨在包括但不限于这些和任意其它适合类型的存储器。
处理器1101负责管理总线系统和通常的处理,存储器1102可以存储处理器1101在执行操作时所使用的计算机程序或指令,具体地,处理器1101可以用于:
接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书。
上述本发明实施例揭示的方法可以应用于处理器1101中,或者由处理器1101实现。处理器1101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1102,处理器1101读取存储器1102中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本发明描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本发明实施例中所述功能的模块(例如过程、函数等)来实现所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
可选地,作为另一个实施例,处理器1101还用于:向应用CA发送第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数。
可选地,作为另一个实施例,所述第二应用证书申请消息中还包含有所述授权服务器的地址信息和/或证书申请设备的设备信息。
可选地,作为另一个实施例,处理器1101还用于:向应用CA发送第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;接收所述应用CA基于所述第三应用证书申请消息所反馈的第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息,并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息;基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
本发明实施例提供的证书申请设备能够实现前述实施例中证书申请设备实现的各个过程,为避免重复,此处不再赘述。
上述主要从电子设备的角度对本发明实施例提供的方案进行了介绍。可以理解的是,本发明实施例提供的电子设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本发明中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。
某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对电子设备等进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本发明各个实施例所述方法的全部或部分步骤。所述计算机存储介质是非短暂性(英文:nontransitory)介质,包括:快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各实施例提供的方法,并能够达到相同的技术效果,在此不再进行赘述。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (17)

1.一种应用证书申请方法,应用于应用证书颁发机构CA,其特征在于,包括:
在与授权服务器建立可信关系之后,获取所述授权服务器所发送的授权令牌;
基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述获取授权服务器所发送的授权令牌,包括:
接收所述授权服务器发送的授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
接收所述证书申请设备所发送的第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌,且所述授权令牌由所述授权服务器发送至所述证书申请设备;
所述接收所述授权服务器发送的授权令牌响应消息之前,还包括:
接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数;
基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述接收所述证书申请设备所发送的第一应用证书申请消息之前,还包括:
接收所述证书申请设备所发送的第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;
基于所述第三应用证书申请消息,向所述证书申请设备反馈第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,以使所述证书申请设备基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息;
所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息。
2.根据权利要求1所述的应用证书申请方法,其特征在于,所述第二应用证书申请消息中还包含有所述授权服务器的地址信息和/或证书申请设备的设备信息。
3.根据权利要求1所述的应用证书申请方法,其特征在于,所述第一授权请求消息中还包含有下述信息中的至少一项:
应用描述信息;
待申请的应用证书所对应的设备条件信息;
证书申请设备的设备信息。
4.根据权利要求1所述的应用证书申请方法,其特征在于,所述授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
5.一种应用证书申请方法,应用于授权服务器,其特征在于,包括:
在与应用证书颁发机构CA建立可信关系,以及与证书申请设备建立可信关系之后,向所述应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述向应用证书颁发机构CA发送授权令牌,包括:
直接向所述应用CA发送授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
向所述证书申请设备发送授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌,以使所述证书申请设备基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌;
所述直接向所述应用CA发送授权令牌响应消息之前,包括:
接收所述应用CA发送的第一授权请求消息,其中,所述应用CA接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述向所述证书申请设备发送授权令牌响应消息之前,还包括:
接收所述证书申请设备所发送的第二授权请求消息,其中所述第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;所述授权申请消息由所述应用CA发送至所述证书申请设备,且所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
6.根据权利要求5所述的应用证书申请方法,其特征在于,所述第一授权请求消息中还包含有下述信息中的至少一项:
应用描述信息;
待申请的应用证书所对应的设备条件信息;
证书申请设备的设备信息。
7.根据权利要求5所述的应用证书申请方法,其特征在于,所述授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
8.一种应用证书申请方法,应用于证书申请设备,其特征在于,包括:
在与授权服务器建立可信关系之后,接收应用证书颁发机构CA在获取到所述授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的应用证书之前,还包括:
向应用CA发送第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中,所述应用CA基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,以及所述应用CA接收所述授权服务器发送的授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌;或,
所述接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的应用证书之前,还包括:
向应用CA发送第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;
接收所述应用CA基于所述第三应用证书申请消息所反馈的第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息,并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息;
基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
9.根据权利要求8所述的应用证书申请方法,其特征在于,所述第二应用证书申请消息中还包含有所述授权服务器的地址信息和/或证书申请设备的设备信息。
10.根据权利要求9所述的应用证书申请方法,其特征在于,所述授权申请消息中还包含有应用描述信息和/或待申请的应用证书所对应的设备条件信息。
11.一种应用证书申请装置,应用于应用证书颁发机构CA,其特征在于,包括:
获取模块,用于在与授权服务器建立可信关系之后,获取所述授权服务器所发送的授权令牌;
发送模块,用于基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述获取模块包括:
第一获取单元,用于接收所述授权服务器发送的授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
第二获取单元,用于接收所述证书申请设备所发送的第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌,且所述授权令牌由所述授权服务器发送至所述证书申请设备;
所述第一获取单元,还用于接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数;并用于基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述第二获取单元,还用于接收所述证书申请设备所发送的第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;
基于所述第三应用证书申请消息,向所述证书申请设备反馈第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,以使所述证书申请设备基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息;
所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息。
12.一种应用证书申请装置,应用于授权服务器,其特征在于,包括:
发送模块,用于在与应用证书颁发机构CA建立可信关系,以及与证书申请设备建立可信关系之后,向所述应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述发送模块包括:
第一发送单元,用于直接向所述应用CA发送授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
第二发送单元,用于向所述证书申请设备发送授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌,以使所述证书申请设备基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌;
第一接收模块,用于接收所述应用CA发送的第一授权请求消息,其中,所述应用CA接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述第二发送单元,还用于接收所述证书申请设备所发送的第二授权请求消息,其中所述第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;所述授权申请消息由所述应用CA发送至所述证书申请设备,且所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
13.一种应用证书申请装置,应用于证书申请设备,其特征在于,包括:
接收模块,用于在与授权服务器建立可信关系之后,接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
还包括发送模块;
所述发送模块用于向应用CA发送第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中,所述应用CA基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,以及所述应用CA接收所述授权服务器发送的授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌;或,
所述发送模块用于向应用CA发送第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;并用于接收所述应用CA基于所述第三应用证书申请消息所反馈的第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;并用于基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息,并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息;并用于基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
14.一种应用CA,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如下步骤:
在与授权服务器建立可信关系之后,获取所述授权服务器所发送的授权令牌;
基于所述授权令牌,向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述获取授权服务器所发送的授权令牌,包括:
接收所述授权服务器发送的授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
接收所述证书申请设备所发送的第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌,且所述授权令牌由所述授权服务器发送至所述证书申请设备;
所述接收所述授权服务器发送的授权令牌响应消息之前,还包括:
接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数;
基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述接收所述证书申请设备所发送的第一应用证书申请消息之前,还包括:
接收所述证书申请设备所发送的第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;
基于所述第三应用证书申请消息,向所述证书申请设备反馈第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,以使所述证书申请设备基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息;
所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息。
15.一种授权服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如下步骤:
在与应用证书颁发机构CA建立可信关系,以及与证书申请设备建立可信关系之后,向所述应用证书颁发机构CA发送授权令牌,以使应用CA基于所述授权令牌向证书申请设备发送第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述向应用证书颁发机构CA发送授权令牌,包括:
直接向所述应用CA发送授权令牌响应消息,其中所述授权令牌响应消息中包含有所述授权令牌;或者,
向所述证书申请设备发送授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌,以使所述证书申请设备基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌;
所述直接向所述应用CA发送授权令牌响应消息之前,包括:
接收所述应用CA发送的第一授权请求消息,其中,所述应用CA接收所述证书申请设备发送的第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
所述向所述证书申请设备发送授权令牌响应消息之前,还包括:
接收所述证书申请设备所发送的第二授权请求消息,其中所述第二授权请求消息中包含有授权申请消息,或者包含有授权申请消息和证书申请设备的设备信息;所述授权申请消息由所述应用CA发送至所述证书申请设备,且所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息。
16.一种证书申请设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如下步骤:
在与授权服务器建立可信关系之后,接收应用证书颁发机构CA在获取到所述授权服务器所发送的授权令牌时所发送的第一应用证书响应消息,其中所述第一应用证书响应消息中包含有应用证书;
所述接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的应用证书之前,还包括:
向应用CA发送第二应用证书申请消息,其中所述第二应用证书申请消息中包含有应用证书申请参数,其中,所述应用CA基于所述第二应用证书申请消息,向所述授权服务器发送第一授权请求消息,所述第一授权请求消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息,以及所述应用CA接收所述授权服务器发送的授权令牌响应消息,所述授权令牌响应消息中包含有所述授权令牌;或,
所述接收应用证书颁发机构CA在获取到授权服务器所发送的授权令牌时所发送的应用证书之前,还包括:向应用CA发送第三应用证书申请消息,其中所述第三应用证书申请消息中包含有应用证书申请参数;
接收所述应用CA基于所述第三应用证书申请消息所反馈的第二应用证书响应消息,其中所述第二应用证书响应消息中包含有授权申请消息,所述授权申请消息中包含有对待申请的应用证书的应用领域进行标识的应用标识信息;
基于所述第二应用证书响应消息向所述授权服务器发送第二授权请求消息,并接收所述授权服务器所反馈的包含有授权令牌的授权令牌响应消息,所述第二授权请求消息中包含有所述授权申请消息,或者包含有所述授权申请消息和证书申请设备的设备信息;
基于所述授权令牌响应消息向所述应用CA发送第一应用证书申请消息,其中所述第一应用证书申请消息中包含有所述授权令牌。
17.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述的应用证书申请方法的步骤,或实现如权利要求5至7任一项所述的应用证书申请方法的步骤,或实现如权利要求8至10任一项所述的应用证书申请方法的步骤。
CN202010192763.6A 2020-03-18 2020-03-18 一种应用证书申请方法及装置 Active CN113497707B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010192763.6A CN113497707B (zh) 2020-03-18 2020-03-18 一种应用证书申请方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010192763.6A CN113497707B (zh) 2020-03-18 2020-03-18 一种应用证书申请方法及装置

Publications (2)

Publication Number Publication Date
CN113497707A CN113497707A (zh) 2021-10-12
CN113497707B true CN113497707B (zh) 2023-03-24

Family

ID=77993398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010192763.6A Active CN113497707B (zh) 2020-03-18 2020-03-18 一种应用证书申请方法及装置

Country Status (1)

Country Link
CN (1) CN113497707B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826608A (zh) * 2022-04-02 2022-07-29 网宿科技股份有限公司 一种微服务的证书管理方法、装置及认证系统
CN114760070A (zh) * 2022-04-22 2022-07-15 深圳市永达电子信息股份有限公司 数字证书颁发方法、数字证书颁发中心和可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103986687A (zh) * 2013-02-07 2014-08-13 电信科学技术研究院 一种实现车联网设备授权管理的方法、设备及系统
CN105792201A (zh) * 2014-09-24 2016-07-20 现代自动车株式会社 颁发用于车辆对外界通信的csr证书的方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9769153B1 (en) * 2015-08-07 2017-09-19 Amazon Technologies, Inc. Validation for requests
US10404680B2 (en) * 2016-08-11 2019-09-03 Motorola Solutions, Inc. Method for obtaining vetted certificates by microservices in elastic cloud environments

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103986687A (zh) * 2013-02-07 2014-08-13 电信科学技术研究院 一种实现车联网设备授权管理的方法、设备及系统
CN105792201A (zh) * 2014-09-24 2016-07-20 现代自动车株式会社 颁发用于车辆对外界通信的csr证书的方法和系统

Also Published As

Publication number Publication date
CN113497707A (zh) 2021-10-12

Similar Documents

Publication Publication Date Title
CN109617698B (zh) 发放数字证书的方法、数字证书颁发中心和介质
US8843415B2 (en) Secure software service systems and methods
AU2017277572B2 (en) Method, server, and communication device for updating identity-based cryptographic private keys of compromised communication devices
CA2357792C (en) Method and device for performing secure transactions
TW201916633A (zh) 基於憑證管理的電動車充電方法和系統
US20030126433A1 (en) Method and system for performing on-line status checking of digital certificates
CN108141444B (zh) 经改善的认证方法和认证装置
US20160127353A1 (en) Method and apparatus for enabling secured certificate enrollment in a hybrid cloud public key infrastructure
CN113497707B (zh) 一种应用证书申请方法及装置
CN109756336B (zh) 一种认证方法、v2x计算系统及v2x计算节点
EP2747377A2 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN112528250A (zh) 通过区块链实现数据隐私和数字身份的系统及方法
CN110365486A (zh) 一种证书申请方法、装置及设备
CN112784310A (zh) 证书的管理方法、证书授权中心、管理节点及车联网终端
CN112883382A (zh) 一种车辆刷写的方法、车联网盒、车辆及存储介质
CN113572795B (zh) 一种车辆安全通信方法、系统及车载终端
CN111431840A (zh) 安全处理方法和装置
CN113395160B (zh) 证书管理方法、装置、颁发实体、管理实体及车联网设备
CN111954168A (zh) 一种实现差异化lte-v广播消息的方法及装置
CN113765667A (zh) 一种匿名证书申请、设备认证方法、设备、装置及介质
CN111225001A (zh) 区块链去中心化通讯方法、电子设备及系统
CN114374516B (zh) 证书吊销列表分发方法、设备及存储介质、服务器、车联网设备
CN113497708B (zh) 一种证书申请方法及装置
CN115801281A (zh) 授权方法、电子设备、计算机可读存储介质
CN113225733B (zh) 用户识别模块、证书获取方法、装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant