CN114143010A - 数字证书获取方法、装置、终端、系统和存储介质 - Google Patents
数字证书获取方法、装置、终端、系统和存储介质 Download PDFInfo
- Publication number
- CN114143010A CN114143010A CN202111412132.1A CN202111412132A CN114143010A CN 114143010 A CN114143010 A CN 114143010A CN 202111412132 A CN202111412132 A CN 202111412132A CN 114143010 A CN114143010 A CN 114143010A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- server
- service server
- certificate
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000006854 communication Effects 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims abstract description 39
- 230000004044 response Effects 0.000 claims description 54
- 238000004590 computer program Methods 0.000 claims description 11
- 101000759879 Homo sapiens Tetraspanin-10 Proteins 0.000 claims 6
- 102100024990 Tetraspanin-10 Human genes 0.000 claims 6
- 230000008569 process Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000006835 compression Effects 0.000 description 4
- 238000007906 compression Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 102100021870 ATP synthase subunit O, mitochondrial Human genes 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 108010007425 oligomycin sensitivity conferring protein Proteins 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明实施例公开了一种数字证书获取方法、装置、终端、系统和存储介质。该方法应用于终端,终端中安装有预设软件开发工具包SDK,该方法包括:获取业务服务器的第一数字证书,并获取第一数字证书的标识信息;调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;当第一数字证书的状态为无效时,调用预设SDK下载业务服务器的第二数字证书;基于第二数字证书与业务服务器建立通信连接。本发明实施例可以利用预设SDK自动查询数字证书的状态,并在数字证书无效时,自动下载新的数字证书,整个数字证书的获取过程,不需要用户参与操作,给用户带来了便利。
Description
技术领域
本发明实施例涉及网络安全技术,尤其涉及一种数字证书获取方法、装置、终端、系统和存储介质。
背景技术
超文本传输安全协议(Hyper Text Transfer Protocol over Secure SocketLayer,HTTPS)协议是一种可进行加密传输、身份认证的网络协议,可防止数据在传输过程中被窃取、改变,确保数据的完整性。随着网络安全问题越来越被重视,HTTPS协议的使用也越来越普遍。在HTTPS协议的使用过程中,需要给终端提供数字证书以保证通信安全,但数字证书由于种种原因,可能无效。现有技术中,当数字证书无效时,往往需要用户手动申请、下载最新版本的数字证书,用户操作比较繁琐,给用户带来了不便。
发明内容
本发明实施例提供一种数字证书获取方法、装置、终端、系统和存储介质,可以简化用户操作,给用户带来便利。
第一方面,本发明实施例提供了一种数字证书获取方法,应用于终端,终端中安装有预设软件开发工具包SDK,该方法包括:
获取业务服务器的第一数字证书,并获取所述第一数字证书的标识信息;
调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态;
当所述第一数字证书的状态为无效时,调用所述预设SDK下载所述业务服务器的第二数字证书;
基于所述第二数字证书与所述业务服务器建立通信连接。
第二方面,本发明实施例提供了一种数字证书获取装置,该装置中安装有预设软件开发工具包SDK,该装置包括:
获取模块,用于获取业务服务器的第一数字证书,并获取所述第一数字证书的标识信息;
查询模块,用于调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态;
下载模块,用于当所述第一数字证书的状态为无效时,调用所述预设SDK下载所述业务服务器的第二数字证书;
建立模块,用于基于所述第二数字证书与所述业务服务器建立通信连接。
第三方面,本发明实施例还提供了一种数字证书获取系统,该系统包括在向在线证书状态协议(Online Certificate Status Protocol,OCSP)服务器、证书颁发机构(Certificate Authority,CA)服务器、业务服务器以及用于执行如本发明实施例任一所述的数字证书获取方法的终端。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例任一所述的数字证书获取方法。
本发明实施例中,终端中安装有预设SDK,在从页面服务器获取当前站点的第一数字证书,并获取第一数字证书的标识信息之后,终端可以调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;当第一数字证书的状态为无效时,调用预设SDK下载当前站点的第二数字证书;基于第二数字证书与业务服务器建立通信连接以访问当前站点。即本发明实施例中,可以利用预设SDK自动查询数字证书的状态,并在数字证书无效时,自动下载新的数字证书,整个数字证书的获取过程,不需要用户参与操作,给用户带来了便利。
附图说明
图1是本发明实施例提供的数字证书获取方法的一个流程示意图。
图2是本发明实施例提供的数字证书获取方法的另一流程示意图。
图3是本发明实施例提供的数字证书获取装置的一个结构示意图。
图4是本发明实施例提供的数字证书获取系统的一个结构示意图。
图5是本发明实施例提供的终端的一个结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图1为本发明实施例提供的数字证书获取方法的一个流程示意图,本实施例可适用于在数字证书失效时,终端自动下载并安装最新版数字证书的情况,该方法可以由数字证书获取装置来执行,该装置可以采用硬件和/或软件的方式来实现。在一个具体的实施例中,该装置可集成在终端中,终端比如可以是手机、平板电脑、计算机等终端。以下实施例将以该装置集成在终端中为例进行说明,如图1所示,该方法具体可以包括如下步骤:
步骤101、获取业务服务器的第一数字证书,并获取第一数字证书的标识信息。
示例地,业务服务器可以是为终端的用户提供各种业务数据的服务器,比如可以是页面服务器、应用服务器等,业务数据比如可以是网页、图片、表格等,此处不做具体限定。为保障通信安全,在终端与业务服务器进行通信时,终端需要获取业务服务器的第一数字证书。终端可直接从业务服务器获取第一数字证书,也可以从CA服务器获取第一数字证书。
以从业务服务器获取业务服务器的第一数字证书为例,具体可以如下:
1)终端向业务服务器发送加密通信的请求(例如ClientHello请求);该请求中可以包括终端支持的加密通信协议版本(比如TLS 1.0版);终端生成的随机数(该随机数用于生成对称加密算法的“对话密钥”)、终端支持的各种加密方法(例如对称的加密方法、非对称的加密方法或哈希加密方法等方法)、终端支持的压缩格式(如gzip压缩格式、deflate压缩格式和sdch压缩格式等格式)等。
2)终端接收业务服务器发出的回应(例如SeverHello);即业务服务器收到终端请求后,会向终端发出回应,业务服务器的回应中可以包括:业务服务器确认使用的加密通信协议版本(比如TLS 1.0版,如果终端与业务服务器支持的版本不一致,则业务服务器终止此次通信)、业务服务器生成的随机数(用于生成对称加密算法的“对话密钥”)、确认使用的各种加密方法(例如对称的加密方法、非对称的加密方法或HASH加密方法)、业务服务器的第一数字证书。
3)终端从业务服务器的回应中获取业务服务器的第一数字证书。
以调用预设SDK从CA服务器获取业务服务器的第一数字证书为例,比如,终端可以获取业务服务器的域名,基于该域名调用预设SDK向CA服务器发送证书获取请求,接收CA服务器返回的证书获取响应,该证书获取响应中可以包括业务服务器的第一数字证书,终端可以从该响应中获取业务服务器的第一数字证书。
具体的,第一数字证书中可以包括证书序列号、证书名称、证书过期时间、站点组织名、站点域名系统(Domain Name System,DNS)主机名、站点公钥、证书颁发者名和证书签名等信息。第一数字证书的标识信息可以是第一数字证书的证书序列号或第一数字证书的名称等信息。
步骤102、调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态。
示例地,预设SDK可以预先配置在终端中,终端可以调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态。终端可以通过访问公钥基础设施(Public KeyInfrastructure,PKI)查询第一数字证书的状态,PKI的基础技术包括:公钥加密、数字签名、数据完整性机制、数字信封(混合加密)和双重数字签名等技术,PKI能够实现的功能包括身份验证、数据完整性、数据机密性、操作的不可否认性等功能。
终端可以通过访问PKI中的OCSP协议查询第一数字证书的状态,OCSP协议是一种相对简单的请求/响应协议。当终端(例如应用程序)需要检查一个或多个数字证书状态时,终端可以与OCSP服务器建立连接,生成一个OCSP请求消息,该消息中包含了识别待查询数字证书所需要的信息,例如证书序列号、证书发布者的名称、证书发布者的公钥信息以及所使用的加密算法,另外还可能包含一些可选项,如Nonce值(用于绑定一个请求和对应的响应)、请求者名称、对请求的签名和其他任何必要的扩展信息。终端向OCSP服务器提交该OCSP请求信息,并等待OCSP服务器返回一个确定的响应,该响应包括回复证书的状态信息,回复的证书状态信息可以是“正常”、“过期”或“吊销”,“正常”状态表示这张证书没有被吊销,证书处于有效状态;“吊销”状态表示证书已被吊销,证书无效;“过期”表示证书已过期,证书无效。终端可以通过配置好的SDK获取OCSP服务器的地址,向OCSP服务器发出查询证书状态请求并得到第一数字证书的状态信息,当第一数字证书状态为有效时,则基于第一数字证书与业务服务器建立通信连接。
步骤103、当第一数字证书的状态为无效时,调用预设SDK下载业务服务器的第二数字证书。
在确定了第一数字证书状态后,如果第一数字证书的状态为无效,可以调用预设SDK访问CA服务器获取第二数字证书,其中第二数字证书的版本可以高于第一数字证书的版本。CA服务器是PKI的核心,CA服务器能够实现的功能包括处理数字证书申请、发放数字证书、更新数字证书、接受最终用户数字证书的查询、撤销产生、发布数字证书吊销列表(Certificate Revocation List,CRL)和数字证书归档等功能。终端可以调用预设SDK向CA服务器发送第二数字证书的申请请求,CA服务器收到第二数字证书申请并认证用户的身份信息后,可以将终端的公钥、身份信息、数字证书的有效期等信息作为消息原文,并用CA服务器的私钥加密进行签名形成数字签名,数字签名与第二数字证书拥有者(终端)的公钥、身份信息、第二数字证书有效期等其他信息共同组成第二数字证书。终端可从CA服务器中下载第二数字证书。
步骤104、基于第二数字证书与业务服务器建立通信连接。
在获取到第二数字证书后,进一步地,可以调用预设SDK基于第二数字证书的标识信息,发送第二数字证书状态查询的请求给OCSP服务器,查询第二数字证书的状态,当第二数字证书的状态为有效时,终端基于第二数字证书与业务服务器建立通信连接。
本实施例的技术方案,通过获取业务服务器的第一数字证书,并获取第一数字证书的标识信息;调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;当第一数字证书的状态为无效时,调用预设SDK下载业务服务器的第二数字证书;基于第二数字证书与业务服务器建立通信连接。即本发明实施例中,可以利用预设SDK自动查询数字证书的状态,并在数字证书无效时,自动下载新的数字证书,整个数字证书的获取过程,不需要用户参与操作,给用户带来了便利。
下面进一步说明本发明实施例提供的数字证书获取方法,具体的方法可如图2所示,该方法可以包括如下步骤:
步骤201、获取业务服务器的第一数字证书,并获取第一数字证书的标识信息。
具体地,第一数字证书中可以包括证书序列号、证书名称、证书过期时间、站点组织名、DNS主机名、站点公钥、证书颁发者名和证书签名等信息。第一数字证书的标识信息可以是第一数字证书序列号或第一数字证书的名称等信息。
步骤202、调用预设SDK基于第一数字证书的标识信息向在线证书状态协议OCSP服务器发送OCSP请求。
示例地,预设SDK可以预先配置在终端中,终端可以调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态。终端可以通过访问PKI中的OCSP协议查询第一数字证书的状态,OCSP是一种相对简单的请求/响应协议,它使得客户端应用程序可以测定所需验证数字证书的状态。终端发送第一数字证书状态查询给OCSP服务器,并且等待直到OCSP服务器返回一个响应,OCSP请求中可以包含以下数据:协议版本、服务请求、第一数字证书标识信息和可选的扩展项等数据。
示例的,一个OCSP请求包括请求信息和对请求信息的签名,其中请求信息的签名是可选的。如果OCSP服务器被设置为接收有签名的请求,而实际收到的请求没有签名时,OCSP服务器就返回一个“需要签名”的出错信息。请求信息包括版本号、请求者名称(可选)、请求列表和可选的扩展项,一个OCSP请求可查询多个证书的状态。
步骤203、接收OCSP服务器反馈的OCSP响应。
在终端发送数字证书状态查询的请求给OCSP服务器后,OCSP服务器会对收到的请求返回一个响应,当OCSP服务器返回出错信息时,该响应不用签名。出错信息包括请求编码格式不正确、内部错误、稍后再试、请求需要签名、和未授权等信息。OCSP服务器返回确定的回复时,该响应必须进行数字签名。一个确定的回复信息包括OCSP服务器版本号、OCSP服务器名称、对每一张被请求数字证书的回复、可选扩展项签名算法对象标识和签名值等信息。
示例的,一个OCSP响应通常包括响应状态和响应字节,如果响应状态为某一种出错情况,那么响应字节将不被设置。响应状态有六种取值:一种是“成功”,表示OCSP服务器对接收到的请求返回一个确定的回复。另外五种为出错信息:出错信息包括请求编码格式不正确、内部错误、稍后再试、请求需要签名和未授权。如果接收到一个没有遵循OCSP服务器语法规范的请求,服务器返回“请求编码格式不正确”,响应状态为“内部错误”,表示OCSP服务器处于一个不协调的内部状态,请求需要再次尝试;如果OCSP服务器正在工作,但是不能返回被请求数字证书的状态,响应状态为“稍后再试”;当OCSP服务器需要客户端签名请求后才能产生一个响应时,响应状态为“请求需要签名”;当客户端未被授权允许向OCSP服务器发送请求时,响应状态为“未授权”。其中响应字节的值由响应类型标识和一个编码成字符串的响应信息组成;响应信息的值是基本OCSP响应的编码;签名值是对响应数据的签名结果,其中响应数据包括版本号、OCSP服务器标识、响应产生时间、响应列表和可选的扩展项。如果一个OCSP请求中包含多个数字证书的查询请求,那么响应列表就列出请求中所有数字证书状态的响应。每个数字证书状态响应包含数字证书标识信息、数字证书状态、本次更新时间、下次更新时间(可选)和扩展项,数字证书状态分为两种:正常以及过期或吊销。
步骤204、基于OCSP响应确定第一数字证书的状态。
如上述步骤所述,OCSP服务器在对每一张被请求数字证书的回复中包含有数字证书状态值,其数字证书状态值可以是“正常”、“过期”或“吊销(失效)”,“正常”状态表示第一数字证书此时没有被撤消,第一数字证书是有效的,当OCSP服务器返回第一数字证书状态为“正常”时,则终端基于第一数字证书与业务服务器建立通信连接。当OSCP服务器返回第一数字证书状态为“吊销”时,表示第一数字证书已被吊销,无法正常与业务服务器建立通信连接。当OSCP服务器返回第一数字证书状态为“过期”时,表示证书已过期,证书无效。
步骤205、确定第一数字证书的状态是否有效。
根据上述步骤,接收OCSP响应的第一数字证书的状态,进一步确定第一数字证书的状态是有效还是无效的,当第一数字证书状态是有效的时候,执行步骤212,当第一数字状态是无效的时候,执行步骤206。
步骤206、获取业务服务器的域名。
示例地,可以对终端发往业务服务器的访问请求进行解析,从而得到业务服务器的域名,也可以获取预先设置或存储的业务服务器的域名。
步骤207、调用预设SDK基于域名从CA服务器下载业务服务器的第二数字证书。
在获取到业务服务器的域名信息后,调用预设SDK基于当前业务服务器的域名信息从证书颁发机构CA服务器下载业务服务器的第二数字证书。示例的,终端从CA服务器下载第二数字证书具体包括:
终端向CA服务器发送业务服务器的数字证书申请消息,在数字证书的申请过程中使用安全套接字协议(Secure Sockets Layer,SSL)安全方式与CA服务器建立连接,填写个人信息,浏览器生成私钥和公钥对,将私钥保存到终端特定文件中,并且要求用口令保护私钥,同时将公钥和个人信息提交给安全服务器。安全服务器将用户的申请信息传送给注册机构服务器(Registration Authority,RA)。终端将用户的身份信息发送给RA服务器,RA服务器对应的操作员利用浏览器与RA服务器建立SSL安全通信,RA服务器需要对操作员进行严格的身份认证,包括操作员的数字证书和IP地址等信息。RA服务器操作员核对用户信息,并且可以进行适当的修改,如果RA服务器操作员同意用户申请证书请求,必须对证书申请信息进行数字签名。RA服务器操作员与RA服务器之间的所有通信都采用加密和签名,具有安全性和抗否认性,保证了该通信过程的安全性和有效性。RA服务器审核通过后,RA服务器将用户信息以及数字证书的标识信息等信息传递到CA服务器,CA服务器接收到信息后,到密钥管理中心(Key Management Center,KMC)中取密钥对,其中密钥对由加密机生成。CA服务器把用户信息和从KMC中取到的公钥制作成新的数字证书,为新的数字证书签名,终端可以从CA服务器获取到数字证书。
进一步地,在调用预设SDK从CA服务器下载第二数字证书之后,可以安装第二数字证书并删除第一数字证书。
步骤208、获取第二数字证书的标识信息。
第二数字证书的标识信息可以是第二数字证书的证书序列号或第二数字证书的名称等信息。
步骤209、调用预设SDK基于第二数字证书的标识信息查询第二数字证书的状态。
具体的,可以调用预设SDK基于第二数字证书的标识信息发送证书状态查询请求给OCSP服务器,并且等待直到服务器返回一个响应。在终端发送证书状态查询的请求给OCSP服务器后,OCSP服务器会对收到的请求返回一个响应,该响应包含一个确定的回复信息,其回复信息包括服务器版本号、服务器名称、对第二数字证书的回复、可选扩展项签名算法对象标识和签名值等信息。其中对第二数字证书的回复信息包括第二数字证书的状态信息,其状态信息可以是“正常”“过期”或已“吊销”,“正常”状态表示这张证书没有被吊销,证书处于有效状态;“吊销”状态表示证书已被吊销;“过期”表示证书已过期,证书无效。
步骤210、确定第二数字证书状态是否有效。
OCSP服务器在对每一张被请求数字证书的回复中包含有数字证书状态值,其数字证书状态值可以是“正常”或“吊销(失效)”,“正常”状态表示第二数字证书此时没有被撤消,第二数字证书是有效的,当OCSP服务器返回第二数字证书状态为“正常”时,则执行步骤211。当第二数字证书状态为无效时,结束此次通信。
步骤211、基于第二数字证书与业务服务器建立通信连接。
当第二数字证书的状态为有效时,终端基于第二数字证书与业务服务器建立通信连接。
步骤212、基于第一数字证书与业务服务器建立通信连接。
当第一数字证书的状态为有效时,终端基于第一数字证书与业务服务器建立通信连接。
本实施例的技术方案,通过获取业务服务器的第一数字证书,并获取第一数字证书的标识信息;调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;调用预设SDK基于第一数字证书的标识信息向在线证书状态协议OCSP服务器发送OCSP请求;接收OCSP服务器反馈的OCSP响应;基于OCSP响应确定第一数字证书的状态;确定第一数字证书的状态是否有效;当第一数字证书状态有时,基于第一数字证书与业务服务器建立通信连接;当第一数字证书的状态为无效时,获取业务服务器的域名;调用预设SDK从证书颁发机构CA服务器下载业务服务器的第二数字证书;获取第二数字证书的标识信息;调用所述预设SDK基于第二数字证书的标识信息查询第二数字证书的状态;确定第二数字证书状态是否有效;当第二数字证书状态有效时,基于第二数字证书与业务服务器建立通信连接。即本发明实施例中,可以利用预设SDK自动查询数字证书的状态,并在数字证书无效时,自动下载新的数字证书,整个数字证书的获取过程,不需要用户参与操作,给用户带来了便利。
图3是本发明实施例提供的一种数字证书获取装置的一个结构图,该装置适用于执行本发明实施例提供的数字证书获取方法。如图3所示,该装置具体可以包括:
获取模块301,用于获取业务服务器的第一数字证书,并获取第一数字证书的标识信息;
查询模块302,用于调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;
下载模块303,用于当第一数字证书的状态为无效时,调用预设SDK下载业务服务器的第二数字证书;
建立模块304,用于基于第二数字证书与业务服务器建立通信连接。
可选的,所述获取模块301具体用于:
获取业务服务器的第一数字证书,并获取第一数字证书的标识信息;
可选的,所述查询模块302具体用于:
调用所述预设SDK基于所述第一数字证书的标识信息向在线证书状态协议OCSP服务器发送OCSP请求;
接收所述OCSP服务器反馈的OCSP响应;
基于所述OCSP响应确定所述第一数字证书的状态。
可选的,所述下载模块303具体用于:
调用所述预设SDK从证书颁发机构CA服务器下载所述业务服务器的第二数字证书。
可选的,所述下载模块303具体用于:
调用所述预设SDK从证书颁发机构CA服务器下载所述业务服务器的第二数字证书。
可选的,所述下载模块303具体用于:
获取所述业务服务器的域名;
调用所述预设SDK基于所述域名从所述CA服务器下载所述业务服务器的第二数字证书。
可选的,所述获取模块301还用于,获取所述第二数字证书的标识信息;
所述查询模块302还用于,调用所述预设SDK基于所述第二数字证书的标识信息查询所述第二数字证书的状态;
所述建立模块304具体用于,当所述第二数字证书的状态为有效时,基于所述第二数字证书与所述业务服务器建立通信连接。
可选的,所述第一数字证书的状态为无效包括所述第一数字证书过期和/或所述第一数字证书被吊销。
本发明实施例所提供的数字证书获取装置可执行本发明任意实施例所提供的数字证书获取方法,具备执行方法相应的功能模块和有益效果。本实施例中未详尽描述的内容可以参考本发明任意方法实施例中的描述。
本发明实施例还提供了一种数字证书获取系统,如图4所示,包括终端401、OCSP服务器402、CA服务器403和业务服务器404。
终端401用于:获取业务服务器404的第一数字证书,并获取第一数字证书的标识信息,基于第一数字证书的标识信息向OCSP服务器402发送OCSP请求,接收OCSP服务器402反馈的OCSP响应,基于OCSP响应确定第一数字证书的状态;在第一数字证书的状态为有效时,可以基于第一数字证书与业务服务器404建立通信连接;在第一数字证书的状态为无效时,可以向CA服务器403发送证书下载请求,以从CA服务器403下载业务服务器404的第二数字证书;在下载得到第二数字证书之后,可以获取第二数字证书的标识信息,基于第二数字证书的标识信息向OCSP服务器402发送OCSP请求,接收OCSP服务器402反馈的OCSP响应,基于OCSP响应确定第二数字证书的状态;在第二数字证书的状态为有效时,基于第二数字证书与业务服务器404建立通信连接。
OCSP服务器402用于:接收终端401发送的OCSP请求并做出OCSP响应。
CA服务器403用于:接收终端401的证书下载请求,并向终端401发送业务服务器的第二数字证书。
业务服务器404用于:基于有效的数字证书(比如第一数字证书或第二数字证书)与终端401建立通信连接。
具体数字证书获取方法的其他实现细节可参阅前面实施例的描述,此处不再赘述。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
参考图5,其示出了适于用来实现本发明实施例的终端的计算机系统500的结构示意图。图5示出的终端仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块和/或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、查询模块、下载模块和建立模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:获取业务服务器的第一数字证书,并获取所述第一数字证书的标识信息;调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态;当所述第一数字证书的状态为无效时,调用所述预设SDK下载所述业务服务器的第二数字证书;基于所述第二数字证书与所述业务服务器建立通信连接。
根据本发明实施例的技术方案,终端中安装有预设SDK,在从页面服务器获取当前站点的第一数字证书,并获取第一数字证书的标识信息之后,终端可以调用预设SDK基于第一数字证书的标识信息查询第一数字证书的状态;当第一数字证书的状态为无效时,调用预设SDK下载当前站点的第二数字证书;基于第二数字证书与业务服务器建立通信连接以访问当前站点。可以利用预设SDK自动查询数字证书的状态,并在数字证书无效时,自动下载新的数字证书,整个数字证书的获取过程,不需要用户参与操作,给用户带来了便利。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种数字证书获取方法,其特征在于,应用于终端,所述终端中安装有预设软件开发工具包SDK,所述方法包括:
获取业务服务器的第一数字证书,并获取所述第一数字证书的标识信息;
调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态;
当所述第一数字证书的状态为无效时,调用所述预设SDK下载所述业务服务器的第二数字证书;
基于所述第二数字证书与所述业务服务器建立通信连接。
2.根据权利要求1所述的数字证书获取方法,其特征在于,所述调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态,包括:
调用所述预设SDK基于所述第一数字证书的标识信息向在线证书状态协议OCSP服务器发送OCSP请求;
接收所述OCSP服务器反馈的OCSP响应;
基于所述OCSP响应确定所述第一数字证书的状态。
3.根据权利要求1所述的数字证书获取方法,其特征在于,所述调用所述预设SDK下载所述业务服务器的第二数字证书,包括:
调用所述预设SDK从证书颁发机构CA服务器下载所述业务服务器的第二数字证书。
4.根据权利要求3所述的数字证书获取方法,其特征在于,所述调用所述预设SDK从CA服务器下载所述业务服务器的第二数字证书,包括:
获取所述业务服务器的域名;
调用所述预设SDK基于所述域名从所述CA服务器下载所述业务服务器的第二数字证书。
5.根据权利要求1所述的数字证书获取方法,其特征在于,在调用所述预设SDK下载所述业务服务器的第二数字证书之后,还包括:
获取所述第二数字证书的标识信息;
调用所述预设SDK基于所述第二数字证书的标识信息查询所述第二数字证书的状态;
当所述第二数字证书的状态为有效时,触发执行基于所述第二数字证书与所述业务服务器建立通信连接的步骤。
6.根据权利要求1至5任一所述的数字证书获取方法,其特征在于,所述第一数字证书的状态为无效包括所述第一数字证书过期和/或所述第一数字证书被吊销。
7.一种数字证书获取装置,其特征在于,所述装置中安装有预设软件开发工具包SDK,所述装置包括:
获取模块,用于获取业务服务器的第一数字证书,并获取所述第一数字证书的标识信息;
查询模块,用于调用预设SDK基于所述第一数字证书的标识信息查询所述第一数字证书的状态;
下载模块,用于当所述第一数字证书的状态为无效时,调用所述预设SDK下载所述业务服务器的第二数字证书;
建立模块,用于基于所述第二数字证书与所述业务服务器建立通信连接。
8.一种数字证书获取系统,其特征在于,包括在线证书状态协议OCSP服务器、证书颁发机构CA服务器、业务服务器以及用于执行如权利要求1至6中任一所述的数字证书获取方法的终端。
9.一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6中任一所述的数字证书获取方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一所述的数字证书获取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412132.1A CN114143010A (zh) | 2021-11-25 | 2021-11-25 | 数字证书获取方法、装置、终端、系统和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111412132.1A CN114143010A (zh) | 2021-11-25 | 2021-11-25 | 数字证书获取方法、装置、终端、系统和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114143010A true CN114143010A (zh) | 2022-03-04 |
Family
ID=80391635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111412132.1A Pending CN114143010A (zh) | 2021-11-25 | 2021-11-25 | 数字证书获取方法、装置、终端、系统和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143010A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114513314A (zh) * | 2022-04-20 | 2022-05-17 | 北京亿赛通科技发展有限责任公司 | 一种数字证书检测方法、装置、电子设备及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1672380A (zh) * | 2002-03-20 | 2005-09-21 | 捷讯研究有限公司 | 用于检验数字证书状态的系统和方法 |
| CN1744489A (zh) * | 2004-09-01 | 2006-03-08 | 捷讯研究有限公司 | 在系统中提供证书匹配以及用于搜索和获得证书的方法 |
| CN102609841A (zh) * | 2012-01-13 | 2012-07-25 | 东北大学 | 一种基于数字证书的远程移动支付系统及支付方法 |
| US20130117558A1 (en) * | 2011-11-04 | 2013-05-09 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
| CN109379181A (zh) * | 2018-08-10 | 2019-02-22 | 航天信息股份有限公司 | 生成、验证二维码的方法和装置,存储介质和电子设备 |
| CN109412812A (zh) * | 2018-08-29 | 2019-03-01 | 中国建设银行股份有限公司 | 数据安全处理系统、方法、装置和存储介质 |
| US20190074982A1 (en) * | 2015-03-25 | 2019-03-07 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
| CN110224824A (zh) * | 2019-06-20 | 2019-09-10 | 平安普惠企业管理有限公司 | 数字证书处理方法、装置、计算机设备和存储介质 |
| CN110383761A (zh) * | 2017-03-08 | 2019-10-25 | 亚马逊技术有限公司 | 数字证书颁发和监视 |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
| CN111066282A (zh) * | 2017-09-15 | 2020-04-24 | 三菱电机株式会社 | 验证装置、验证程序和验证方法 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN112865956A (zh) * | 2019-11-26 | 2021-05-28 | 华为技术有限公司 | 证书更新方法、装置、终端设备和服务器 |
| CN113300848A (zh) * | 2021-04-23 | 2021-08-24 | 网易(杭州)网络有限公司 | 证书状态的确定方法和装置 |
-
2021
- 2021-11-25 CN CN202111412132.1A patent/CN114143010A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1672380A (zh) * | 2002-03-20 | 2005-09-21 | 捷讯研究有限公司 | 用于检验数字证书状态的系统和方法 |
| CN1744489A (zh) * | 2004-09-01 | 2006-03-08 | 捷讯研究有限公司 | 在系统中提供证书匹配以及用于搜索和获得证书的方法 |
| US20130117558A1 (en) * | 2011-11-04 | 2013-05-09 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
| CN102609841A (zh) * | 2012-01-13 | 2012-07-25 | 东北大学 | 一种基于数字证书的远程移动支付系统及支付方法 |
| US20190074982A1 (en) * | 2015-03-25 | 2019-03-07 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
| CN110383761A (zh) * | 2017-03-08 | 2019-10-25 | 亚马逊技术有限公司 | 数字证书颁发和监视 |
| CN111066282A (zh) * | 2017-09-15 | 2020-04-24 | 三菱电机株式会社 | 验证装置、验证程序和验证方法 |
| CN109379181A (zh) * | 2018-08-10 | 2019-02-22 | 航天信息股份有限公司 | 生成、验证二维码的方法和装置,存储介质和电子设备 |
| CN109412812A (zh) * | 2018-08-29 | 2019-03-01 | 中国建设银行股份有限公司 | 数据安全处理系统、方法、装置和存储介质 |
| CN110224824A (zh) * | 2019-06-20 | 2019-09-10 | 平安普惠企业管理有限公司 | 数字证书处理方法、装置、计算机设备和存储介质 |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
| CN112865956A (zh) * | 2019-11-26 | 2021-05-28 | 华为技术有限公司 | 证书更新方法、装置、终端设备和服务器 |
| CN111526161A (zh) * | 2020-05-27 | 2020-08-11 | 联想(北京)有限公司 | 一种通信方法、通信设备及代理系统 |
| CN113300848A (zh) * | 2021-04-23 | 2021-08-24 | 网易(杭州)网络有限公司 | 证书状态的确定方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 吕格莉;邵自然;戴骥;: "Windows PKI中黑名单查询模块的集成技术研究", 微计算机应用, no. 04 * |
| 许俊;: "序列号设计优化海量证书状态查询", 信息安全与通信保密, no. 09 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114513314A (zh) * | 2022-04-20 | 2022-05-17 | 北京亿赛通科技发展有限责任公司 | 一种数字证书检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5099139B2 (ja) | 公開鍵証明書状態の取得および確認方法 | |
| US20020035685A1 (en) | Client-server system with security function intermediary | |
| US8078866B2 (en) | Trust information delivery scheme for certificate validation | |
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| US8621206B2 (en) | Authority-neutral certification for multiple-authority PKI environments | |
| US9930028B2 (en) | Method to enroll a certificate to a device using SCEP and respective management application | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| US20140351580A1 (en) | Url-based certificate in a pki | |
| US20050144439A1 (en) | System and method of managing encryption key management system for mobile terminals | |
| JP2007518324A (ja) | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 | |
| CN113472790A (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| US20020194471A1 (en) | Method and system for automatic LDAP removal of revoked X.509 digital certificates | |
| JP2002101093A (ja) | 認証局の公開鍵および秘密鍵満了時の認証のための方法およびシステム | |
| CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
| KR100853182B1 (ko) | 다중 도메인에서 대칭키 기반 인증 방법 및 장치 | |
| JP2013143762A (ja) | 公開鍵証明書の検証方法、検証サーバ、中継サーバおよびプログラム | |
| CN114143010A (zh) | 数字证书获取方法、装置、终端、系统和存储介质 | |
| KR100848966B1 (ko) | 공개키 기반의 무선단문메시지 보안 및 인증방법 | |
| CN114598455A (zh) | 数字证书签发的方法、装置、终端实体和系统 | |
| CN111787044A (zh) | 物联网终端平台 | |
| CN107172172B (zh) | 一种IaaS系统中的通信方法及其系统 | |
| KR100501172B1 (ko) | 무선 인터넷을 위한 무선 인증서 상태 관리 시스템 및방법과 이를 이용한 무선 인증서 상태 검증 방법 | |
| CN110740039B (zh) | 一种数字证书管理系统、方法及服务终端 | |
| WO2015184507A1 (en) | Identity verification | |
| CN117097487B (zh) | 一种利用数字证书认证简化可信执行环境远程认证方法、系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |