CN114168922B - 一种基于数字证书的用户ca证书生成方法和系统 - Google Patents
一种基于数字证书的用户ca证书生成方法和系统 Download PDFInfo
- Publication number
- CN114168922B CN114168922B CN202210124725.6A CN202210124725A CN114168922B CN 114168922 B CN114168922 B CN 114168922B CN 202210124725 A CN202210124725 A CN 202210124725A CN 114168922 B CN114168922 B CN 114168922B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- information
- key
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种基于数字证书的用户CA证书生成方法,在私有云设备上实现,该方法包括:通过非对称加密算法生成互相匹配的公钥和私钥;获取私有云设备对应的关联信息,关联信息包括:应用信息、网络信息和集群信息;基于公钥、主体信息和关联信息生成证书请求,其中,关联信息作为证书请求的扩展项,主体信息已进行改进处理用于匹配扩展项;通过私钥签发证书请求生成用户CA证书。该用户CA证书作为根证书,可以应用在建立群组、群成员之间的相互认证等场景,从而在分布式设备实现高效安全的群管控。
Description
技术领域
本申请涉及信息安全领域,特别是涉及一种基于数字证书的用户CA证书生成方法和系统。
背景技术
在公有云中为所有用户建立账户,并按照用户意愿将多个账户放入一个共同的边界内实现群共享、群聊天等功能。在公有云基础上,群的生成、添加、删除都是在云内部实现,由于所有群都在一朵云中,一旦发生公有云泄露或者存在漏洞,则所有群都将面临数据安全问题,诸如数据拖库、三方漏洞等。
在分布式设备中,群的生成、添加、删除都是在群主自己的设备中实现,由自己的设备进行对外管控。与公有云不同,采用分布式方式,用户具备对自己设备的完全控制能力,在自己设备上可以随意创建群组用于资料文件管理以及管理与他人的分享边界等,安全性也随之提升。
但是,在分布式设备中,如何进行安全高效的群管理是本领域技术人员急需解决的技术问题。
发明内容
本申请实施例提供了一种基于数字证书的用户CA证书生成方法、系统、计算机设备和计算机可读存储介质,以至少解决相关技术中在分布式设备中无法安全高效的实现群管理的问题。
第一方面,本申请实施例提供了一种基于数字证书的用户CA证书生成方法,应用在分布式群管理场景下,基于私有云设备实现,所述方法包括:
通过非对称加密算法生成密钥对,其中,所述密钥对包括公钥和私钥;
获取所述私有云设备对应的关联信息,其中,所述关联信息包括:应用信息、网络信息和集群信息;
基于所述公钥、所述关联信息和证书主体信息生成证书请求,其中,所述关联信息作为所述证书请求的扩展项,所述证书主体信息中包括标准信息和用于与所述扩展项匹配的辅助信息;
采用所述私钥签发所述证书请求,得到用户CA证书。
通过上述实施例,可以生成应用在分布式群管控场景下的用户CA证书,该用户CA证书可以作为根证书,向下签发得到群CA证书和群成员证书;此后,可以基于这些证书进行群用户之间的相互认证,从而高效安全地实现分布式群管控,提升管控效率和可靠性。进一步的,上述关联信息作为扩展项保存在用户CA证书中,可以准确的反映用户的应用身份、网络身份和集群属性,从而在该用户CA证书作为根证书进行签发认证时,基于证书中上述信息能够进行精准的校验,实现点对点认证能力。
在其中一些实施例中,所述通过非对称加密算法生成密钥对之后,在所述私有云设备中,将所述私钥加密保存。
通过上述实施例将私钥加密保存,私钥在本方案中非直接采用明文形式保存,从而提升了私钥及整个方案的安全性。
在其中一些实施例中,采用所述私钥签发所述证书请求,得到用户CA证书之后,所述方法还包括:
通过所述网络层的通道,将所述用户CA证书上传至云端;
所述云端部署的应用层解析所述用户CA证书,并对所述用户CA证书进行校验;
在所述用户CA证书校验成功的情况下,将所述用户CA证书保存,并发送证书保存成功响应至所述私有云设备。
通过上述实施例,可以将用户CA证书保存在云端,从而可以安全高效的将用户CA证书发送至其他私有云设备用于验证。
在其中一些实施例中,所述对所述用户CA证书进行校验包括:
判断云端接收到的所述用户CA证书的有效期是否在合法期限内,以及其是否为根证书,若是,指示证书合法性校验成功;
解析云端接收到的所述用户CA证书获取其中的关联信息,判断解析获取的关联信息与所述网络层上传的关联信息是否一致,若是,指示关联信息校验成功;
验证云端是否已经具备与所述关联信息对应且有效的用户CA证书,若否,指示冗余校验成功;
在所述合法性校验、所述关联信息校验和所述冗余校验分别成功的情况下,所述云端发送证书保存成功信号至所述私有云设备,所述私有云设备返回证书生成成功信号至应用端。
通过上述实施例,云端依据预设规则对设备端上传的用户CA证书进行校验,从而可以确保上传到云端的证书未被修改,并确保证书的合法性和有效性。
在其中一些实施例中,所述用户CA证书校验成功后,所述方法还包括:
在分布式群管理场景下,以所述用户CA证书为根证书签发多级证书,并基于根证书和多级证书,在多个群用户的私有云设备之间进行相互认证,并建立可信网络通道;
所述群成员之间通过所述可信网络通道进行多用户信息共享。
通过上述实施例,多个私有云设备之间以用户CA证书为根证书,通过用户CA证书逐级签发可以得到群CA证书、群成员证书等,基于这些证书在分布式群管理场景中进行多用户之间的认证,可以高效安全的匹配设备之间的点对点认证需求。
在其中一些实施例中,所述应用信息是应用层为用户分配的全网唯一ID,所述网络信息是网络层为用户分配的全网唯一ID,所述集群信息是所述私有云设备对应的集群号。
第二方面,本申请实施例提供了一种基于数字证书的用户CA证书生成系统,应用在分布式群管理场景下,基于私有云设备实现,所述系统包括:密钥生成模块、证书请求生成模块和证书生成模块,其中;
所述密钥生成模块用于通过非对称加密算法生成密钥对,其中,所述密钥对包括公钥和私钥;
所述证书请求生成模块用于获取所述私有云设备对应的关联信息,其中,所述关联信息包括:应用信息、网络信息和集群信息,以及,
基于所述公钥、所述关联信息和证书主体信息生成证书请求,其中,所述关联信息作为所述证书请求的扩展项,所述证书主体信息中包括标准信息和用于与所述扩展项匹配的辅助信息;
所述证书生成模块用于采用所述私钥签发所述证书请求,得到用户CA证书。
在其中一些实施例中,所述证书生成模块还用于:
在分布式群管理场景下,以所述用户CA证书为根证书签发多级证书,所述多级证书和所述根证书用于:在多个群用户的私有云设备之间进行相互认证,并建立群成员之间信息共享的可信网络通道。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种基于数字证书的用户CA证书生成方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种基于数字证书的用户CA证书生成方法。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于数字证书的用户CA证书生成方法的应用环境示意图;
图2是根据本申请实施例一种基于数字证书的用户CA证书生成方法的流程图;
图3是根据本申请实施例的将用户CA证书上传至云端保存的流程图;
图4是根据本申请实施例的一种基于数字证书的用户CA证书生成系统的结构框图;
图5是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供的基于数字证书的用户CA证书生成方法,可以应用在可信通信场景下,图1是根据本申请实施例的基于数字证书的用户CA证书的应用环境示意图。
如图1所示,用户CA证书作为根证书,通过根证书的逐级签发得到群CA证书、群成员证书;进一步的,将上述根证书、群CA证书和群成员证书,应用在分布式群管理场景中,从而可以在各用户的私有云设备10之间,进行高效且精准的相互认证。另外,各用户可以通过应用端11向私有云设备10发送消息数据,经其转发后,可以在群组内实现安全的数据共享和群聊天等。通过本申请实施例提供的一种基于数字证书的用户CA证书生成方法,可以得到用于实现分布式高效群管理的用户CA证书。需要说明的是,应用端11可以是智能手机或平板电脑等移动设备,也可以是PC等固定设备;私有云设备10可以是用于可信通信场景定制的个人私有云设备或家庭私有云设备。
图2是根据本申请实施例一种基于数字证书的用户CA证书生成方法的流程图,如图2所示,该流程包括如下步骤:
S201,通过非对称加密算法生成密钥对,其中,密钥对包括公钥和私钥;
可以理解的是,与对称算法加/解密采用同一个密钥不同,非对称加密算法中公钥和私钥互不相同,公钥加密的内容只能由私钥进行解密,如果不知道私钥是无法解密公钥加密内容的。
另外,非对称算法的公钥通常是公开的,且私钥是保密的。在通信场景中,设备通常会在本地生成一对公钥和私钥,且把公钥发布出去同时将私钥保存在本地;对应的,在数字证书中,通常用私钥在证书请求上签名来证明发布者的身份。
需要说明的是,上述非对称加密算法可以是常见的任意一种算法,但是由算法随机生成的公私钥应满足一定的强度要求。
S202,获取私有云设备对应的关联信息,其中,关联信息包括:应用信息、网络信息和集群信息;
其中,该应用信息(userid)是应用层为用户分配的全网唯一ID,其是用户将应用端与私有云设备绑定时生成的;该网络信息(networkid)是网络层为用户分配的用于标识用户在网络中角色的全网唯一ID,该集群信息(clusterid)是该私有云设备对应的集群号;需要说明的是,同一个用户的多个私有云设备可以组成集群,该集群的ID即为上述集群号。对于一个集群下的多个私有云设备,可以将其视为逻辑上的一个设备,从而能够达到扩容的效果;另外,也可以方便用户根据自身需求划分及合理利用存储空间,例如,某个用户同时拥有多个私有云设备A、B、C和D,若用户需要划分工作区和生活区,可选的,可以将设备A和设备B配置为集群1,将设备C和设备D配置为集群2,集群1和集群2将获得不同的ID,该ID即对应上述集群号。
S203,基于公钥、关联信息和证书主体信息生成证书请求,其中,关联信息作为证书请求的扩展项,另外,证书主体信息中包括标准信息和用于与扩展项匹配的辅助信息;
需要说明的是,标准CA证书通常由Public (公钥)和Issuer (发布机构)、Validfrom,Valid to (有效期)、Subject (主题)、Signature algorithm (签名算法)和Thumbprint, Thumbprint algorithm (指纹及指纹算法)等构成。
本实施例并非直接依据标准CA证书模式生成,区别于标准CA证书,本实施例中,以私有云设备的关联信息作为扩展项,将该扩展项同步融合在证书请求中,经签发生成用户CA证书。从而可以将用户在应用层的识别信息、设备在网络层的识别信息,以及设备的集群关系这三项信息绑定在用户CA证书内。在后续认证过程中,可以利用数字证书的特点,通过上述扩展项信息准确清楚的反映各用户在各个维度的身份或角色,从而可以在分布式群管理场景下,实现高效安全的多对多/点对点认证。
需要说明的是,由于在生成证书请求时额外的添加了扩展项,对应的,对于常规的证书主体信息,需要同步进行改进处理,证书主体信息除包括必须的标准信息(如Subject、Signature algorithm等)之外,还应包括辅助信息,从而使主体信息能够与扩展信息相匹配。另外在执行校验时,也可以通过对比主体信息与扩展信息是否匹配,判断该证书是否被改动过。
S204,采用私钥签发证书请求,得到用户CA证书。
其中,签发证书即在证书的某个位置,添加一段特定信息。为方便理解,此处举例说明:例如:学生A向老师B递交了一份“奖学金申请书”,老师B使用自己的“专用章”在申请书上盖了章。其中,“奖学金申请书”可理解为本申请中的证书请求,老师B“盖章”的过程即可理解为本申请中签发的过程,而老师“专用章”上刻印的字即可理解为本申请中的私钥。
进一步的,上述特定信息即是通过非对称算法生成的私钥,由于私钥只保存在设备(记为A设备)本地内,对应的,在其他用户设备接收到证书时,若其可以用上述公钥解密签名的特定信息,即可确认该证书就是由A设备颁发的。
通过上述步骤S201至S203,在私有云设备上,基于证书主体信息,扩展信息和公钥生成证书请求,再通过私钥签发该证书请求生成用户CA证书,从而在用户CA证书中将应用、网络和设备集群属性绑定。进一步的,该用户CA证书作为根证书,向下签发得到群CA证书和群成员证书,将这些证书分发后,群成员设备之间可以应用上述证书进行相互认证。当基于数字证书生成的用户CA证书应用分布式群设备中,可以实现高效可靠的群管控。
需要说明的是,由于用户CA证书中包括上述扩展项信息,而该扩展项信息又能准确的反映用户的应用身份、网络身份和集群属性。因此,特别是针对同一用户的多个分布式设备与其他用户的多个分布式设备认证时,以本申请提供的用户CA证书为根证书,可以充分满足上述场景下的认证需求,即在多对多场景下实现精准的点对点认证。相比较于传统方法,基于本申请的用户CA证书为根证书,无需将用户多个设备的认证数据同步,即可实现群用户之间的多对多认证,从而提升了数据安全性和可靠性。
在其中一些实施例中,通过非对称加密算法生成密钥对之后,考虑到私钥明文形式保存安全性较差,可选的,通过如下方式将私钥加密保存:
接收用户通过应用端输入的用户密码,使用该用户密码加密私钥并保存;或者,基于用户密码生成派生密码,通过派生密码加密私钥并保存。
需要说明的是,本申请实施例中,在用户CA证书生成之后,上述私钥一直加密保存在私有云设备内,后续证书上传过程及证书分发过程,该私钥并不会随证书一起被发送。
在其中一些实施例中,在通过私钥签发证书请求生成用户CA证书之后,考虑到用户CA证书的备份,以及便于对用户CA证书签发得到的多级证书进行校验,本实施例中,还将该用户CA证书上传至云端保存,图3是根据本申请实施例的将用户CA证书上传至云端保存的流程图,如图3所示,该流程包括如下步骤:
S301,在私有云设备生成用户CA证书之后,判断设备是否具备联网条件,若不具备,将直接返回证书生成结束信号至用户应用端;
S302,若具备,则通过网络层的通道,将用户CA证书和关联信息上传至云端;其中,该云端可以是私有云设备发行方自建的云端,也可以是非私有云设备发行方创建的云端。
S303,云端部署的应用层解析用户CA证书,并对用户CA证书进行校验;其中,校验的内容具体包括:
合法性校验流程:判断用户CA证书的有效期是否在合法期限内,以及判断云端接收的用户CA证书是否为根证书,若是,指示证书合法性校验成功,若否,指示该证书不合法,校验失败;
关联信息校验流程:解析用户CA证书获取其中的关联信息,判断获取的关联信息与网络层上传的关联信息是否一致,若是,指示关联信息校验成功;若否,则可能证书在上传过程中被篡改过,校验失败;
冗余校验流程:验证云端是否已经具备包含上述应用信息、网络信息和集群信息且持续有效的用户CA证书,若否,指示冗余校验成功,若是,则校验失败。需要说明的是,云端有且只能保存一本有效证书,且应该以第一次上传的为准,因此,进行冗余校验的目的即避免证书重复保存导致的数据冗余出错。
S304,在步骤S303校验成功的情况下,云端发送证书保存成功信号至私有云设备,私有云设备返回证书生成成功信号至应用端。
在其中一些实施例中,在用户CA证书生成并且云端校验完成之后,在分布式群管理场景下,以用户CA证书为根证书签发多级证书,基于根证书和多级证书,在多个群用户的私有云设备之间进行相互认证,并建立可信网络通道;
用户可以通过应用端发送交互信息至私有云设备,各私有云设备之间可以基于网络通道进行数据传输,从而实现安全高效的多用户信息共享。其中,用户可以通过应用端发送图片、视频、语音和文字等信息至其他用户,同时,也可以接受其他用户发送的各种文件。
在其中一些实施例中,应用信息是应用层为用户分配的全网唯一ID,其是用户将应用端与该私有云设备绑定时生成的;网络信息是网络层为用户分配的全网唯一ID,集群信息是私有云设备对应的集群号。
需要说明的是,上述关联信息是作为用户CA证书的扩展信息,在传统证书中并没有基于上述关联信息生成的扩展项。因此,黑客并不能知晓该用户CA证书的设计格式,在其解析证书时,采用现有解析方式会出现乱码等异常情况,因此也并不能轻易的获取到证书内容,随之本实施例中用户CA证书的安全性也会进一步提升。
本实施例还提供了一种基于数字证书的用户CA证书生成系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的一种基于数字证书的用户CA证书生成系统的结构框图,该系统应用在分布式群管理场景下,基于私有云设备实现,该系统包括:密钥生成模块40、证书请求生成模块41和证书生成模块42,其中;
密钥生成模块40用于通过非对称加密算法生成密钥对,其中,该密钥对包括公钥和私钥;与对称算法加/解密采用同一个密钥不同,非对称加密算法中公钥和私钥互不相同,公钥用于将文件加密得到密文,私钥用于解密用公钥加密得到的密文。由公钥加密的内容只能由私钥进行解密,也就是说,由公钥加密的内容,如果不知道私钥是无法解密的。
证书请求生成模块41用于获取私有云设备对应的关联信息,其中,关联信息包括:应用信息、网络信息和集群信息,以及,基于公钥、关联信息和证书主体信息生成证书请求,其中,关联信息作为证书请求的扩展项,证书主体信息中包括标准信息和用于与扩展项匹配的辅助信息;
其中,应用信息是应用层为用户分配的全网唯一ID,其是用户将应用端与该私有云设备绑定时生成的;网络信息是网络层为用户分配的全网唯一ID;集群信息是私有云设备对应的集群号;本实施例并非直接依据标准CA证书模式生成,区别于标准CA证书,本实施例中,以私有云设备的关联信息作为扩展项,将该扩展项同步融合在证书请求中经签发生成用户CA证书。从而使得用户CA证书与应用层、网络层以及与私有云设备的集群身份建立绑定关系。
证书生成模块32用于通过私钥签发证书请求,得到用户CA证书。
在其中一些实施例中,在得到用户CA证书之后,证书生成模块还用于,在分布式群管理场景下,以所述用户CA证书为根证书签发多级证书,其中,所述多级证书和所述根证书用于:在多个群用户的私有云设备之间进行相互认证,并建立群成员之间信息共享的可信网络通道。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于数字证书的用户CA证书生成方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,图5是根据本申请实施例的电子设备的内部结构示意图,如图5所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图5所示。该电子设备包括通过内部总线连接的处理器、网络接口、内存储器和非易失性存储器,其中,该非易失性存储器存储有操作系统、计算机程序和数据库。处理器用于提供计算和控制能力,网络接口用于与外部的终端通过网络连接通信,内存储器用于为操作系统和计算机程序的运行提供环境,计算机程序被处理器执行时以实现一种基于数字证书的用户CA证书生成方法,数据库用于存储数据。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于数字证书的用户CA证书生成方法,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,所述方法包括:
通过非对称加密算法生成密钥对,其中,所述密钥对包括公钥和私钥;
获取所述私有云设备对应的关联信息,其中,所述关联信息包括:应用信息、网络信息和集群信息,所述应用信息是应用层为用户分配的全网唯一ID,所述网络信息是网络层为用户分配的用于标识用户网络角色的全网唯一ID,所述集群信息是所述私有云设备对应的集群号;
基于所述公钥、所述关联信息和证书主体信息生成证书请求,其中,所述关联信息作为所述证书请求的扩展项,所述证书主体信息中包括标准信息和用于与所述扩展项匹配的辅助信息;
采用所述私钥签发所述证书请求,得到用户CA证书。
2.根据权利要求1所述的方法,其特征在于,所述通过非对称加密算法生成密钥对之后,所述方法还包括:在所述私有云设备中将所述私钥加密保存。
3.根据权利要求1至2任一所述的方法,其特征在于,采用所述私钥签发所述证书请求,得到用户CA证书之后,所述方法还包括:
通过网络层的通道,将所述用户CA证书上传至云端;
所述云端部署的应用层解析所述用户CA证书,并对所述用户CA证书进行校验;
在所述用户CA证书校验成功的情况下,将所述用户CA证书保存,并发送证书保存成功响应至所述私有云设备。
4.根据权利要求3所述的方法,其特征在于,所述对所述用户CA证书进行校验包括:
判断云端接收到的所述用户CA证书的有效期是否在合法期限内,以及判断其是否为根证书,若是,指示证书合法性校验成功;
解析所述用户CA证书获取其中的关联信息,判断解析获取的关联信息与所述网络层上传的关联信息是否一致,若是,指示关联信息校验成功;
验证云端是否已具备与所述关联信息对应且有效的用户CA证书,若否,指示冗余校验成功;
在所述合法性校验、所述关联信息校验和所述冗余校验分别成功的情况下,所述云端发送证书保存成功信号至所述私有云设备,所述私有云设备返回证书生成成功信号至客户端。
5.根据权利要求3所述的方法,其特征在于,所述用户CA证书校验成功后,所述方法还包括:
在分布式群管理场景下,以所述用户CA证书为根证书签发多级证书,基于所述根证书和多级证书,在多个群用户的私有云设备之间进行相互认证,并建立可信网络通道;
群成员之间通过所述可信网络通道进行多用户信息共享。
6.一种基于数字证书的用户CA证书生成系统,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,所述系统包括:密钥生成模块、证书请求生成模块和证书生成模块,其中;
所述密钥生成模块用于通过非对称加密算法生成密钥对,其中,所述密钥对包括公钥和私钥;
所述证书请求生成模块用于获取所述私有云设备对应的关联信息,其中,所述关联信息包括:应用信息、网络信息和集群信息,以及,
基于所述公钥、所述关联信息和证书主体信息生成证书请求,其中,所述关联信息作为所述证书请求的扩展项,所述证书主体信息中包括标准信息和用于与所述扩展项匹配的辅助信息,所述应用信息是应用层为用户分配的全网唯一ID,所述网络信息是网络层为用户分配的用于标识用户网络角色的全网唯一ID,所述集群信息是所述私有云设备对应的集群号;
所述证书生成模块用于采用所述私钥签发所述证书请求,得到用户CA证书。
7.根据权利要求6所述的系统,其特征在于,所述证书生成模块还用于:
在分布式群管理场景下,以所述用户CA证书为根证书签发多级证书,其中,所述多级证书和所述根证书用于:在多个群用户的私有云设备之间进行相互认证,并建立群成员之间信息共享的可信网络通道。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的基于数字证书的用户CA证书生成方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任一项所述的基于数字证书的用户CA证书生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210124725.6A CN114168922B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的用户ca证书生成方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210124725.6A CN114168922B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的用户ca证书生成方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114168922A CN114168922A (zh) | 2022-03-11 |
CN114168922B true CN114168922B (zh) | 2022-07-12 |
Family
ID=80489596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210124725.6A Active CN114168922B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的用户ca证书生成方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114168922B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114745199A (zh) * | 2022-05-06 | 2022-07-12 | 北京中睿天下信息技术有限公司 | 一种ssl解密设备上的证书替换方法 |
CN115022090B (zh) * | 2022-08-04 | 2022-12-16 | 亿次网联(杭州)科技有限公司 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100563150C (zh) * | 2005-07-14 | 2009-11-25 | 华为技术有限公司 | 一种分布式的身份证书签发方法 |
CN105141593A (zh) * | 2015-08-10 | 2015-12-09 | 刘澄宇 | 一种私有云平台安全计算方法 |
JP6680022B2 (ja) * | 2016-03-18 | 2020-04-15 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
CN108696553A (zh) * | 2017-04-06 | 2018-10-23 | 北京算云联科科技有限公司 | 一种基于混合云的物联网控制系统 |
CN108667616B (zh) * | 2018-05-03 | 2021-05-04 | 西安电子科技大学 | 基于标识的跨云安全认证系统和方法 |
CN109413099B (zh) * | 2018-12-04 | 2021-06-04 | 北京致远互联软件股份有限公司 | 基于证书的混合云加密通信方法、装置以及电子设备 |
CN110855700A (zh) * | 2019-11-20 | 2020-02-28 | 杭州端点网络科技有限公司 | 一种跨公网实现多云管控的安全认证方法 |
-
2022
- 2022-02-10 CN CN202210124725.6A patent/CN114168922B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114168922A (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2020244394B2 (en) | Method, requester device, verifier device and server for proving at least one piece of user information | |
US10797879B2 (en) | Methods and systems to facilitate authentication of a user | |
JP4869944B2 (ja) | バイオメトリック識別技術の利用に基づいたユーザー認証方法及び関連のアーキテクチャー | |
CN110086608A (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
US20170171183A1 (en) | Authentication of access request of a device and protecting confidential information | |
CN106452770B (zh) | 一种数据加密方法、解密方法、装置和系统 | |
JPWO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
CN114168922B (zh) | 一种基于数字证书的用户ca证书生成方法和系统 | |
CN110138548B (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
CN114168923B (zh) | 一种基于数字证书的群ca证书生成方法和系统 | |
US20220005039A1 (en) | Delegation method and delegation request managing method | |
CN114172747B (zh) | 一种基于数字证书的群成员获得认证证书的方法和系统 | |
US11082236B2 (en) | Method for providing secure digital signatures | |
CN114143108A (zh) | 一种会话加密方法、装置、设备及存储介质 | |
JP7250960B2 (ja) | ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法 | |
CN111628985A (zh) | 安全访问控制方法、装置、计算机设备和存储介质 | |
CN114168924B (zh) | 一种基于数字证书的群成员相互认证的方法和系统 | |
CN113094675B (zh) | 基于分布式模型训练的用户认证方法及装置 | |
CN110086627B (zh) | 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统 | |
CN112182627A (zh) | 基于移动设备的区块链数字证书管理方法和系统 | |
CN114172668B (zh) | 一种基于数字证书的群成员管理方法和系统 | |
CN115022090B (zh) | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |