CN113890742A - 一种客户端公钥证书更新方法和装置 - Google Patents
一种客户端公钥证书更新方法和装置 Download PDFInfo
- Publication number
- CN113890742A CN113890742A CN202111166619.6A CN202111166619A CN113890742A CN 113890742 A CN113890742 A CN 113890742A CN 202111166619 A CN202111166619 A CN 202111166619A CN 113890742 A CN113890742 A CN 113890742A
- Authority
- CN
- China
- Prior art keywords
- public key
- key certificate
- server
- target client
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 230000003993 interaction Effects 0.000 description 3
- 230000008676 import Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种客户端公钥证书更新方法和装置,若服务器中存储的第一公钥证书的使用时间达到预设条件,则签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新后,服务器与目标客户端之间通过第二公钥证书进行通讯。若接收到目标客户端发送的交易请求,根据该交易请求中携带的待验证公钥证书的摘要,以及第二公钥证书的摘要判断本次交易是否存在安全风险,若二者不相同,则目标客户端中存储的待验证公钥证书需要被及时更新,将第二公钥证书下发给目标客户端,以便目标客户端将待验证公钥证书更新为第二公钥证书。由此,可以及时更新目标客户端中存储的公钥证书,提高交易的安全性。
Description
技术领域
本发明涉及安全技术领域,尤其是涉及一种客户端公钥证书更新方法和装置。
背景技术
公钥证书,通常简称为证书,是一种数字签名的声明,它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。客户端与服务器进行安全的公网通讯时,会使用公钥证书以保障通讯安全。同时,会不断更新公钥证书,从而防止长期使用的一个公钥证书被破解后,危害服务器与客户端之间的通讯安全。
相关技术中,会将服务器新签发的公钥证书打包到客户端应用里,随应用更新一同下发到客户端中,或者提示用户去证书服务器下载公钥证书,并将公钥证书导入到客户端中。
但是,上述方式无法保证公钥证书及时更新,客户端与服务器之前的通讯存在安全风险。
发明内容
针对上述问题,本申请提供一种客户端公钥证书更新方法和装置,用于及时更新公钥证书。
基于此,本申请实施例公开了如下技术方案:
一方面,本申请实施例提供一种客户端公钥证书更新方法,所述方法应用于服务器,所述方法包括:
若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
接收所述目标客户端发送的交易请求,所述交易请求中携带待所述目标客户端存储的待验证公钥证书的摘要;
若确定所述待验证公钥证书的摘要与所述第二公钥证书的摘要不相同,将所述第二公钥证书下发给所述目标客户端,以便所述目标客户端将所述待验证公钥证书更新为所述第二公钥证书。
可选的,所述将所述第二公钥证书下发给所述目标客户端,包括:
使用所述目标客户端与所述服务器均具有的对称密钥,对所述第二公钥证书进行防篡改计算,得到校验值;
将所述校验值和所述第二公钥证书下发给所述目标客户端。
另一方面,本申请实施例提供一种客户端公钥证书更新方法,所述方法应用于包括目标客户端的终端设备,所述方法包括:
向服务器发送交易请求,所述交易请求中携带所述目标客户端存储的待验证公钥证书的摘要;
若所述待验证公钥证书的摘要未通过验证,接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,所述第二公钥证书用于所述服务器与所述目标客户端之间的通讯。
可选的,所述接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,包括:
接收所述服务器下发的第二公钥证书和校验值;
根据所述目标客户端与所述服务器均具有的对称密钥和所述校验值,校验所述第二公钥证书是否被篡改;
若否,则将所述待验证公钥证书更新为所述第二公钥证书。
另一方面,本申请实施例提供一种客户端公钥证书更新方法,所述方法应用于包括目标客户端的终端设备,所述方法包括:
验证待验证公钥证书的使用时间是否达到预设条件;
若是,则向所述服务器发送下载第二公钥证书的请求,所述第二公钥证书存储在所述服务器中,用于所述服务器与所述目标客户端之间的通讯;
在接收所述第二公钥证书后,将所述待验证公钥证书更新为所述第二公钥证书。
另一方面,本申请实施例提供一种客户端公钥证书更新方法,所述方法应用于服务器,所述方法包括:
若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
将所述第二公钥证书推送给所述目标客户端,以便所述目标客户端根据所述第二公钥证书更新所述目标客户端中的待验证公钥证书。
另一方面,本申请实施例提供一种客户端公钥证书更新装置,所述装置内置于服务器中,所述装置包括:更新单元、接收单元和下发单元;
所述更新单元,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述接收单元,用于接收所述目标客户端发送的交易请求,所述交易请求中携带待所述目标客户端存储的待验证公钥证书的摘要;
所述下发单元,用于若确定所述待验证公钥证书的摘要与所述第二公钥证书的摘要不相同,将所述第二公钥证书下发给所述目标客户端,以便所述目标客户端将所述待验证公钥证书更新为所述第二公钥证书。
另一方面,本申请实施例提供一种客户端公钥证书更新装置,所述装置内置于包括目标客户端的终端设备中,所述装置包括:发送单元和更新单元;
所述发送单元,用于向服务器发送交易请求,所述交易请求中携带所述目标客户端存储的待验证公钥证书的摘要;
所述接收单元,用于若所述待验证公钥证书的摘要未通过验证,接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,所述第二公钥证书用于所述服务器与所述目标客户端之间的通讯。
另一方面,本申请实施例提供一种客户端公钥证书更新装置,所述装置内置于包括目标客户端的终端设备,所述装置包括验证单元、发送单元和更新单元;
所述验证单元,用于验证待验证公钥证书的使用时间是否达到预设条件;
所述发送单元,用于若是,则向所述服务器发送下载第二公钥证书的请求,所述第二公钥证书存储在所述服务器中,用于所述服务器与所述目标客户端之间的通讯;
所述更新单元,用于在接收所述第二公钥证书后,将所述待验证公钥证书更新为所述第二公钥证书。
另一方面,本申请实施例提供一种客户端公钥证书更新装置,所述装置内置于服务器,所述装置包括更新单元和推送单元;
所述更新单元,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述推送单元,用于将所述第二公钥证书推送给所述目标客户端,以便所述目标客户端根据所述第二公钥证书更新所述目标客户端中的待验证公钥证书。
相对于现有技术,本申请上述技术方案的优点在于:
若服务器中存储的第一公钥证书的使用时间达到预设条件,则签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新后,服务器与目标客户端之间通过第二公钥证书进行通讯。若接收到目标客户端发送的交易请求,根据该交易请求中携带的待验证公钥证书的摘要,以及第二公钥证书的摘要判断本次交易是否存在安全风险,若二者不相同,则目标客户端中存储的待验证公钥证书需要被及时更新,将第二公钥证书下发给目标客户端,以便目标客户端将待验证公钥证书更新为第二公钥证书。由此,通过在交易请求中增加待验证公钥证书的摘要,验证目标客户端中存储的公钥证书是否需要被更新,能够及时更新目标客户端中存储的公钥证书,并且保证在交易前目标客户端中存储的公钥证书是最新的,从而提高交易的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种客户端公钥证书更新系统的信令交互图;
图2为本申请提供的另一种客户端公钥证书更新方法的流程图;
图3为本申请提供的又一种客户端公钥证书更新方法的流程图;
图4为本申请实施例提供的一种客户端公钥证书更新装置的示意图;
图5为本申请实施例提供的又一种客户端公钥证书更新装置的示意图;
图6为本申请实施例提供的另一种客户端公钥证书更新装置的示意图;
图7为本申请实施例提供的又一种客户端公钥证书更新装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
客户端与服务器进行安全的公网通讯时,为保障通讯数据传输安全会使用到公钥证书。如果公钥证书过期,客户端与服务器间的通讯就存在安全风险,如通讯数据被劫持会导致客户端信息泄露,交易信息被篡改等问题,故而需要及时进行证书更换。而公钥证书存储在客户端中,客户端安装在许多终端设备中,使得公钥证书的更新非常烦琐。
相关技术中,会将服务器新签发的公钥证书打包到客户端应用里,随应用更新一同下发到客户端中,或者提示用户去证书服务器下载公钥证书,并将公钥证书导入到客户端中。但是若用户不更新应用或者用户没有及时主动到证书服务器下载公钥证书,均会导致公钥证书更新不及时,客户端与服务器之前的通讯存在安全风险。
基于此,本申请实施例提供一种公钥证书更新方法和相关装置,若服务器中存储的第一公钥证书的使用时间达到预设条件,则签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新后,服务器与目标客户端之间通过第二公钥证书进行通讯。若接收到目标客户端发送的交易请求,根据该交易请求中携带的待验证公钥证书的摘要,以及第二公钥证书的摘要判断本次交易是否存在安全风险,若二者不相同,则目标客户端中存储的待验证公钥证书需要被及时更新,将第二公钥证书下发给目标客户端,以便目标客户端将待验证公钥证书更新为第二公钥证书。由此,通过在交易请求中增加待验证公钥证书的摘要,验证目标客户端中存储的公钥证书是否需要被更新,能够及时目标客户端中存储的公钥证书,并且保证在交易前目标客户端中存储的公钥证书是最新的,从而保证交易的安全性。
下面结合图1,对本申请实施例提供的一种客户端公钥证书更新方法进行介绍。参见图1,该图为本申请提供的一种客户端公钥证书更新系统的信令交互图,该客户端公钥证书更新系统包括服务器和终端设备,其中,终端设备中安装有目标客户端,目标客户端是存储公钥证书中的客户端中的一个。下面对客户端与服务器之间的交互过程进行详细说明。
S101:若第一公钥证书的使用时间达到预设条件,服务器签发第二公钥证书,并将第一公钥证书更新为第二公钥证书。
服务器与目标客户端之间利用第一公钥证书进行通讯,为了避免长期使用第一公钥证书被破解后,导致服务器与目标客户端之间的通讯存在安全风险,当第一公钥证书的使用时间达到预设条件,则服务器签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新完成后,服务器通过存储的第二公钥证书与目标客户端进行通讯。
本申请实施例不具体限定预设条件的内容,如第一公钥证书的使用时间超过一周,第一公钥证书的使用时间即将过期等,本领域技术人员可以根据实际需要进行设置。
S102:目标客户端向服务器发送交易请求。
当目标客户端向服务器发起交易请求时,会将目标客户端存储的公钥证书,即待验证公钥证书的摘要添加至交易请求中,以便服务器根据待验证公钥证书的摘要验证待验证公钥证书是否为服务器当前存储的最新的公钥证书。
本申请实施例不具体限定待验证公钥证书的摘要的获取方式,如通过如信息-摘要算法5(Message-Digest Algorithm 5,MD5)等摘要算法获取待验证公钥证书的摘要等。
本申请实施例也不具体限定将待验证公钥证书的摘要添加至交易请求中的方式,如在交易请求的报文中增加用于存储待验证公钥证书的摘要的字段等。
S103:服务器判断待验证公钥证书的摘要与第二公钥证书的摘要是否相同,若否,则执行S104;若是,则执行S107。
本申请也不具体限定第二公钥证书的摘要的获取方式,与前述待验证公钥证书的摘要的获取方式相同即可。
S104:将第二公钥证书下发给目标客户端。
若待验证公钥证书的摘要与第二公钥证书的摘要不相同,则待验证公钥证书与第二公钥证书不同,即服务器存储的公钥证书与目标客户端存储的公钥证书不同,此时,服务器将第二公钥证书下发给目标客户端。
本申请实施例不具体限定服务器将第二公钥证书下发给目标客户端的方式,下面以两种方式为例进行说明。
方式一:
服务器将第二公钥证书的相关信息通过应答报文返回给目标客户端,以便目标客户端根据应答报文中的返回码获取第二公钥证书,并将待验证公钥证书更新为第二公钥证书。
方式二:
服务器使用目标客户端与服务器均具有的对称密钥,如目标客户端所在的终端设备的设备密钥等,对第二公钥证书进行防篡改计算,得到校验值。本申请实施例不具体限定防篡改计算的方式,如消息认证码(MAC,Message Authentication Code)等。
服务器将校验值和第二公钥证书下发给目标客户端。
目标客户端在将待验证公钥证书更新为第二公钥证书之前,需要对服务器下发的第二公钥证书进行校验,根据目标客户端与服务器均具有的对称密钥,对接收到的第二公钥证书进行防篡改计算,若计算得到的值与校验值相同,则防篡改校验通过,说明服务器下发的第二公钥证书没有被篡改,此时目标客户端可以将待验证公钥证书更新为第二公钥证书;若防篡改校验失败,则说明服务器下发的第二公钥证书可能被篡改,此时,目标客户端可以断开与服务器的链接,终止本次交易。
S105:目标客户端将待验证公钥证书更新为第二公钥证书。
目标客户端存储的待验证公钥证书的摘要未通过服务器的验证,即待验证公钥证书的摘要与第二公钥证书的摘要不相同,则待验证公钥证书与第二公钥证书不同,即服务器存储的公钥证书与目标客户端存储的公钥证书不同,此时,服务器将第二公钥证书下发给目标客户端,目标客户端将存储的待验证公钥证书更新为第二公钥证书,以便目标客户端存储的公钥证书与服务器当前存储的公钥证书相同。
S106:目标客户端向服务器发送交易请求。
此时,目标客户端存储的待验证公钥证书实质为第二公钥证书,交易请求中携带的待验证公钥证书的摘要是第二公钥证书的摘要。相关之处可以参照前述S102,在此不再赘述。
S107:根据交易请求完成交易。
若确定待验证公钥证书的摘要与第二公钥证书的摘要相同,说明待验证公钥证书和第二公钥证书相同,即服务器存储的公钥证书与目标客户端存储的公钥证书相同,能够保证服务器与目标客户端之间的通讯安全,可以根据目标客户端发送的交易请求完成交易。
由上述技术方案可以看出,若服务器中存储的第一公钥证书的使用时间达到预设条件,则签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新后,服务器与目标客户端之间通过第二公钥证书进行通讯。若接收到目标客户端发送的交易请求,根据该交易请求中携带的待验证公钥证书的摘要,以及第二公钥证书的摘要判断本次交易是否存在安全风险,若二者不相同,则目标客户端中存储的待验证公钥证书需要被及时更新,将第二公钥证书下发给目标客户端,以便目标客户端将待验证公钥证书更新为第二公钥证书。由此,通过在交易请求中增加待验证公钥证书的摘要,验证目标客户端中存储的公钥证书是否需要被更新,能够及时更新目标客户端中存储的公钥证书,并且保证在交易前目标客户端中存储的公钥证书是最新的,从而提高交易的安全性。
本申请实施例处理提供图1所示的客户端公钥证书更新方法外,还提供了另外两种客户端公钥证书更新方法,下面分别结合图2和图3对其进行说明。
参见图2,该图为本申请提供的另一种客户端公钥证书更新方法的流程图,终端设备中安装有目标客户端,目标客户端是存储公钥证书中的客户端中的一个。下面对以终端设备中目标客户端为执行主体对客户端公钥证书更新方法进行说明。
S201:验证待验证公钥证书的使用时间是否达到预设条件,若是,则执行S202;若否,则执行S204。
其中,待验证公钥证书为目标客户端当前存储的,用于与服务器之间通讯的公钥证书。该预设条件可以参照前述S101中的说明。
S202:向服务器发送下载第二公钥证书的请求。
第二公钥证书是存储在服务器中,用于服务器与目标客户端之间的通讯,即服务器当前存储的、最新的、用于与目标客户端进行通讯的公钥证书。
S203:在接收第二公钥证书后,将待验证公钥证书更新为第二公钥证书。
服务器根据目标客户端发送的第二公钥证书的请求,将第二公钥证书发送给目标客户端,目标客户端将待验证公钥证书更新为第二公钥证书,以便后续可以根据第二公钥证书与服务器进行通讯。此时,对于目标客户端而言,第二公钥证书即为待验证公钥证书。
S204:向服务器发送携带待验证公钥证书的摘要的交易请求。
相关之处可以参照前述S103-S107,在此不再赘述。
参见图3,该图为本申请提供的又一种客户端公钥证书更新方法的流程图,其中,终端设备中安装有目标客户端,目标客户端是存储公钥证书中的客户端中的一个。下面对以服务器为执行主体对客户端公钥证书更新方法进行说明。
S301:若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将第一公钥证书更新为第二公钥证书。
相关之处可以参照前述S101,在此不再赘述。
S302:将第二公钥证书推送给目标客户端。
服务器将第一公钥证书更新为第二公钥证书之后,目标客户端根据第二公钥证书更新目标客户端中的待验证公钥证书,并将更新成功的结果发送给服务器,以便服务器明确目标客户端中存储的公钥证书的状态。
相比于图1所示的实施例,在图3所示的实施例中,服务器仅需在更新第二公钥证书之后,并推送给目标客户端,以便目标客户端进行更新,简单便捷。图3所示的实施例中需要服务器记录各个客户端中公钥证书的状态,可能会因为数据库的状态、连接情况影响客户端中公钥证书的更新,但是图1所示的实施例,在交易之前验证客户端中公钥证书的状态,不需要服务器记录各个客户端的状态。而且,交易流程与更新流程是串行的,保证交易前客户端中存储的公钥证书一定是有效的,或者更新为有效的。图3所示的实施例交易流程与更新流程是并行的,无法保证在交易之前客户端中的公钥证书一定是有效的,如当公钥证书失效,且在更新推送并未送达时,客户端无法完成交易。
本申请实施例除了提供的客户端公钥证书更新方法外,还提供了客户端公钥证书更新装置,下面结合图4-图7为例进行说明。
参见图4,该图为本申请实施例提供的一种客户端公钥证书更新装置的示意图,所述装置内置于服务器中,包括:更新单元401、接收单元402和下发单元403;
所述更新单元401,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述接收单元402,用于接收所述目标客户端发送的交易请求,所述交易请求中携带待所述目标客户端存储的待验证公钥证书的摘要;
所述下发单元403,用于若确定所述待验证公钥证书的摘要与所述第二公钥证书的摘要不相同,将所述第二公钥证书下发给所述目标客户端,以便所述目标客户端将所述待验证公钥证书更新为所述第二公钥证书。
作为一种可能实现方式,所述下发单元403,用于:
使用所述目标客户端与所述服务器均具有的对称密钥,对所述第二公钥证书进行防篡改计算,得到校验值;
将所述校验值和所述第二公钥证书下发给所述目标客户端。
由上述技术方案可以看出,若服务器中存储的第一公钥证书的使用时间达到预设条件,则签发第二公钥证书,并将存储的第一公钥证书更新为第二公钥证书,在更新后,服务器与目标客户端之间通过第二公钥证书进行通讯。若接收到目标客户端发送的交易请求,根据该交易请求中携带的待验证公钥证书的摘要,以及第二公钥证书的摘要判断本次交易是否存在安全风险,若二者不相同,则目标客户端中存储的待验证公钥证书需要被及时更新,将第二公钥证书下发给目标客户端,以便目标客户端将待验证公钥证书更新为第二公钥证书。由此,通过在交易请求中增加待验证公钥证书的摘要,验证目标客户端中存储的公钥证书是否需要被更新,能够及时更新目标客户端中存储的公钥证书,并且保证在交易前目标客户端中存储的公钥证书是最新的,从而提高交易的安全性。
参见图5,该图为本申请实施例提供的又一种客户端公钥证书更新装置的示意图,所述装置内置于包括目标客户端的终端设备中,包括:发送单元501和更新单元502;
所述发送单元501,用于向服务器发送交易请求,所述交易请求中携带所述目标客户端存储的待验证公钥证书的摘要;
所述接收单元502,用于若所述待验证公钥证书的摘要未通过验证,接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,所述第二公钥证书用于所述服务器与所述目标客户端之间的通讯。
参见图6,该图为本申请实施例提供的另一种客户端公钥证书更新装置的示意图,所述装置内置于包括目标客户端的终端设备,包括验证单元601、发送单元602和更新单元603;
所述验证单元601,用于验证待验证公钥证书的使用时间是否达到预设条件;
所述发送单元602,用于若是,则向所述服务器发送下载第二公钥证书的请求,所述第二公钥证书存储在所述服务器中,用于所述服务器与所述目标客户端之间的通讯;
所述更新单元603,用于在接收所述第二公钥证书后,将所述待验证公钥证书更新为所述第二公钥证书。
参见图7,该图为本申请实施例提供的又一种客户端公钥证书更新装置的示意图,所述装置内置于服务器,包括更新单元701和推送单元702;
所述更新单元701,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述推送单元702,用于将所述第二公钥证书推送给所述目标客户端,以便所述目标客户端根据所述第二公钥证书更新所述目标客户端中的待验证公钥证书。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元及模块可以是或者也可以不是物理上分开的。另外,还可以根据实际的需要选择其中的部分或者全部单元和模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种客户端公钥证书更新方法,其特征在于,所述方法应用于服务器,所述方法包括:
若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
接收所述目标客户端发送的交易请求,所述交易请求中携带待所述目标客户端存储的待验证公钥证书的摘要;
若确定所述待验证公钥证书的摘要与所述第二公钥证书的摘要不相同,将所述第二公钥证书下发给所述目标客户端,以便所述目标客户端将所述待验证公钥证书更新为所述第二公钥证书。
2.根据权利要求1所述的方法,其特征在于,所述将所述第二公钥证书下发给所述目标客户端,包括:
使用所述目标客户端与所述服务器均具有的对称密钥,对所述第二公钥证书进行防篡改计算,得到校验值;
将所述校验值和所述第二公钥证书下发给所述目标客户端。
3.一种客户端公钥证书更新方法,其特征在于,所述方法应用于包括目标客户端的终端设备,所述方法包括:
向服务器发送交易请求,所述交易请求中携带所述目标客户端存储的待验证公钥证书的摘要;
若所述待验证公钥证书的摘要未通过验证,接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,所述第二公钥证书用于所述服务器与所述目标客户端之间的通讯。
4.根据权利要求3所述的方法,其特征在于,所述接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,包括:
接收所述服务器下发的第二公钥证书和校验值;
根据所述目标客户端与所述服务器均具有的对称密钥和所述校验值,校验所述第二公钥证书是否被篡改;
若否,则将所述待验证公钥证书更新为所述第二公钥证书。
5.一种客户端公钥证书更新方法,其特征在于,所述方法应用于包括目标客户端的终端设备,所述方法包括:
验证待验证公钥证书的使用时间是否达到预设条件;
若是,则向所述服务器发送下载第二公钥证书的请求,所述第二公钥证书存储在所述服务器中,用于所述服务器与所述目标客户端之间的通讯;
在接收所述第二公钥证书后,将所述待验证公钥证书更新为所述第二公钥证书。
6.一种客户端公钥证书更新方法,其特征在于,所述方法应用于服务器,所述方法包括:
若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
将所述第二公钥证书推送给所述目标客户端,以便所述目标客户端根据所述第二公钥证书更新所述目标客户端中的待验证公钥证书。
7.一种客户端公钥证书更新装置,其特征在于,所述装置内置于服务器中,所述装置包括:更新单元、接收单元和下发单元;
所述更新单元,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述接收单元,用于接收所述目标客户端发送的交易请求,所述交易请求中携带待所述目标客户端存储的待验证公钥证书的摘要;
所述下发单元,用于若确定所述待验证公钥证书的摘要与所述第二公钥证书的摘要不相同,将所述第二公钥证书下发给所述目标客户端,以便所述目标客户端将所述待验证公钥证书更新为所述第二公钥证书。
8.一种客户端公钥证书更新装置,其特征在于,所述装置内置于包括目标客户端的终端设备中,所述装置包括:发送单元和更新单元;
所述发送单元,用于向服务器发送交易请求,所述交易请求中携带所述目标客户端存储的待验证公钥证书的摘要;
所述接收单元,用于若所述待验证公钥证书的摘要未通过验证,接收所述服务器下发的第二公钥证书,将所述待验证公钥证书更新为所述第二公钥证书,所述第二公钥证书用于所述服务器与所述目标客户端之间的通讯。
9.一种客户端公钥证书更新装置,其特征在于,所述装置内置于包括目标客户端的终端设备,所述装置包括验证单元、发送单元和更新单元;
所述验证单元,用于验证待验证公钥证书的使用时间是否达到预设条件;
所述发送单元,用于若是,则向所述服务器发送下载第二公钥证书的请求,所述第二公钥证书存储在所述服务器中,用于所述服务器与所述目标客户端之间的通讯;
所述更新单元,用于在接收所述第二公钥证书后,将所述待验证公钥证书更新为所述第二公钥证书。
10.一种客户端公钥证书更新装置,其特征在于,所述装置内置于服务器,所述装置包括更新单元和推送单元;
所述更新单元,用于若第一公钥证书的使用时间达到预设条件,签发第二公钥证书,并将所述第一公钥证书更新为所述第二公钥证书,所述第一公钥证书和所述第二公钥证书存储在所述服务器中,用于所述服务器与目标客户端之间的通讯;
所述推送单元,用于将所述第二公钥证书推送给所述目标客户端,以便所述目标客户端根据所述第二公钥证书更新所述目标客户端中的待验证公钥证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111166619.6A CN113890742B (zh) | 2021-09-30 | 2021-09-30 | 一种客户端公钥证书更新方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111166619.6A CN113890742B (zh) | 2021-09-30 | 2021-09-30 | 一种客户端公钥证书更新方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113890742A true CN113890742A (zh) | 2022-01-04 |
CN113890742B CN113890742B (zh) | 2024-03-19 |
Family
ID=79005231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111166619.6A Active CN113890742B (zh) | 2021-09-30 | 2021-09-30 | 一种客户端公钥证书更新方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113890742B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8538893B1 (en) * | 1999-10-01 | 2013-09-17 | Entrust, Inc. | Apparatus and method for electronic transaction evidence archival and retrieval |
US20150244707A1 (en) * | 2014-02-25 | 2015-08-27 | Amazon Technologies, Inc. | Provisioning digital certificates in a network environment |
US20170195299A1 (en) * | 2015-12-31 | 2017-07-06 | Verisign, Inc. | Systems and methods for automating client-side synchronization of public keys of external contacts |
CN107342861A (zh) * | 2017-07-14 | 2017-11-10 | 银联商务有限公司 | 一种数据处理方法、装置及系统 |
CN110545542A (zh) * | 2019-06-13 | 2019-12-06 | 银联商务股份有限公司 | 基于非对称加密算法的主控密钥下载方法、装置和计算机设备 |
CN112671731A (zh) * | 2020-12-15 | 2021-04-16 | 航天信息股份有限公司 | 用户登录管理方法、装置、存储介质及电子设备 |
CN113114699A (zh) * | 2021-04-26 | 2021-07-13 | 中国第一汽车股份有限公司 | 一种车辆终端身份证书申请方法 |
-
2021
- 2021-09-30 CN CN202111166619.6A patent/CN113890742B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8538893B1 (en) * | 1999-10-01 | 2013-09-17 | Entrust, Inc. | Apparatus and method for electronic transaction evidence archival and retrieval |
US20150244707A1 (en) * | 2014-02-25 | 2015-08-27 | Amazon Technologies, Inc. | Provisioning digital certificates in a network environment |
US20170195299A1 (en) * | 2015-12-31 | 2017-07-06 | Verisign, Inc. | Systems and methods for automating client-side synchronization of public keys of external contacts |
CN107342861A (zh) * | 2017-07-14 | 2017-11-10 | 银联商务有限公司 | 一种数据处理方法、装置及系统 |
CN110545542A (zh) * | 2019-06-13 | 2019-12-06 | 银联商务股份有限公司 | 基于非对称加密算法的主控密钥下载方法、装置和计算机设备 |
CN112671731A (zh) * | 2020-12-15 | 2021-04-16 | 航天信息股份有限公司 | 用户登录管理方法、装置、存储介质及电子设备 |
CN113114699A (zh) * | 2021-04-26 | 2021-07-13 | 中国第一汽车股份有限公司 | 一种车辆终端身份证书申请方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113890742B (zh) | 2024-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110572418B (zh) | 车辆身份认证的方法、装置、计算机设备及存储介质 | |
CN101651540A (zh) | 一种数字证书更新的方法、装置及系统 | |
US20030126433A1 (en) | Method and system for performing on-line status checking of digital certificates | |
KR20160135724A (ko) | 메시지를 인증하기 위한 방법 | |
JP2010504670A (ja) | 公開鍵証明書状態の取得および確認方法 | |
CN113114699B (zh) | 一种车辆终端身份证书申请方法 | |
CN111107085A (zh) | 一种基于发布订阅模式的安全通讯方法 | |
CN110650478A (zh) | Ota方法、系统、设备、se模块、程序服务器和介质 | |
CN111884811A (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
CN115134154B (zh) | 认证方法、装置、远程控制车辆的方法及系统 | |
Buschlinger et al. | Plug-and-patch: Secure value added services for electric vehicle charging | |
WO2008042524A2 (en) | Method and system for displaying trust level on a wireless communication device | |
CN115150162B (zh) | 一种根证书更新方法、装置 | |
CN110336773B (zh) | IoT设备数据的可信性保障系统、验证方法及存储介质 | |
CN113890742B (zh) | 一种客户端公钥证书更新方法和装置 | |
US10469269B2 (en) | Arrangement and method for operating the arrangement containing a substation and at least one terminal device connected to it | |
CN113098933B (zh) | 一种远程安装认证应用的方法、eUICC及SM-SR | |
CN116961892A (zh) | 基于区块链的密钥生成方法、装置、电子设备和可读介质 | |
CN111464554B (zh) | 一种车辆信息安全控制方法及系统 | |
CN111064571B (zh) | 一种通信终端、服务器及动态更新预共享密钥的方法 | |
CN109815722B (zh) | 隐私数据交易方法及装置 | |
CN109429226B (zh) | 一种临时用户凭证的生成方法、用户卡、终端及网络设备 | |
CN113079503B (zh) | 一种远程下载认证应用证书的方法及系统 | |
CN113079037B (zh) | 一种远程更新认证应用证书的方法及系统 | |
CN112702734B (zh) | 一种密钥分发系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |