CN114168923A - 一种基于数字证书的群ca证书生成方法和系统 - Google Patents
一种基于数字证书的群ca证书生成方法和系统 Download PDFInfo
- Publication number
- CN114168923A CN114168923A CN202210124868.7A CN202210124868A CN114168923A CN 114168923 A CN114168923 A CN 114168923A CN 202210124868 A CN202210124868 A CN 202210124868A CN 114168923 A CN114168923 A CN 114168923A
- Authority
- CN
- China
- Prior art keywords
- certificate
- group
- information
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种基于数字证书的群CA证书生成方法,其中,该方法包括:通过非对称算法生成第一密钥对,其中,所述第一密钥对包括第一公钥和第一私钥;接收群创建指令之后创建网络群并生成群ID,获取本设备的网络信息和节点信息,基于所述网络信息、所述节点信息和所述群ID组成群证书扩展项;将所述第一公钥、所述群证书扩展项和群证书主体信息组合生成群证书请求;获取本设备的用户CA证书,通过所述用户CA证书签发所述群证书请求生成群CA证书,其中,所述用户CA证书中包括本设备的应用信息、集群信息和网络信息组成的用户证书扩展项。通过本申请,可以在分布式群设备中实现高效安全的群管控。
Description
技术领域
本申请涉及信息安全领域,特别是涉及一种基于数字证书的群CA证书生成方法和系统。
背景技术
在公有云中为所有用户建立账户,并按照用户意愿将多个账户放入一个共同的边界内实现群共享、群聊天等功能。在公有云基础上,群的生成、添加、删除都是在云内部实现,由于所有群都在一朵云中,一旦发生公有云泄露或者存在漏洞,则所有群都将面临数据安全问题,诸如数据拖库、三方漏洞等。
在分布式设备中,群的生成、添加、删除都是在群主自己的设备中实现,由自己的设备进行对外管控。与公有云不同,采用分布式方式,用户具备对自己设备的完全控制能力,在自己设备上可以随意创建群组用于资料文件管理以及管理与他人的分享边界等,安全性也随之提升。
但是,在分布式设备中,如何进行安全高效的群管理是本领域技术人员急需解决的技术问题。
发明内容
本申请实施例提供了一种基于数字证书的群CA证书生成方法、系统、计算机设备和计算机可读存储介质,以至少解决相关技术中在分布式设备中无法安全高效的实现群管理的问题。
第一方面,本申请实施例提供了一种基于数字证书的群CA证书生成方法,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,且每个私有云设备在本地保存有其设备主的用户CA证书,所述方法包括:
通过非对称算法生成第一密钥对,其中,所述第一密钥对包括第一公钥和第一私钥;
接收群创建指令之后生成群ID,获取本设备对应的网络信息和节点信息,基于所述网络信息、所述节点信息和所述群ID组成群证书扩展信息;
将所述第一公钥、所述群证书扩展信息和群证书主体信息组合生成群证书请求;
获取本设备中的用户CA证书,通过所述用户CA证书签发所述群证书请求,生成群CA证书,其中,所述用户CA证书中包括本设备的应用信息、集群信息和网络信息组成的用户证书扩展项。
通过上述实施例,以用户CA证书为根证书签发得到群CA证书,进一步的,可以采用该群CA证书对各群成员签发群成员证书,各群成员设备,可以利用群CA证书和群成员证书,在分布式群管理场景下实现安全高效的点对点认证
在其中一些实施例中,所述用户CA证书的生成过程包括:
通过非对称加密算法生成第二密钥对,其中,所述第二密钥对包括第二公钥和第二私钥;
获取本设备对应的应用信息、网络信息和集群信息,根据所述应用信息、所述网络信息和所述集群信息组成用户证书扩展信息;
将所述第二公钥、所述用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
通过所述第二私钥签发所述用户证书请求生成所述用户CA证书。
通过上述实施例,生成应用在分布式群管控场景下的用户CA证书,基于该用户CA证书为根证书,可以逐级往下签发得到群CA证书以及群成员证书,从而利用数字证书的特性,可以高效安全地实现分布式群管控。
在其中一些实施例中,所述通过非对称加密算法生成第一密钥对之后,所述方法还包括:在所述私有云设备中将所述私钥加密保存。
通过上述实施例,能够根据用户输入的密码将私钥加密保存,私钥在本方案中非直接采用明文形式保存,从而提升了私钥及整个方案的安全性。
在其中一些实施例中,通过所述用户CA证书签发所述群证书请求,生成群CA证书之后,所述方法还包括:
在分布式群管理场景下,群主设备基于所述群CA证书,对群主设备和其他群成员设备签发群成员证书以建立群组。
在其中一些实施例中,在群成员设备获得群成员证书之后,在将所述群成员添加为管理员时,所述方法还包括:
确定将被添加为群管理员的目标群成员,获取所述目标群成员的群成员证书并对其进行校验;
在校验成功的情况下,获取所述群成员证书中的公钥信息、群ID、网络信息和节点信息,并根据其生成第二群CA证书请求;
通过所述用户CA证书签发所述第二群CA证书请求,得到第二群CA证书并将其发送至所述目标群成员设备。
在其中一些实施例中,所述将所述目标群成员添加为群管理员角色之后,所述方法还包括:
在分布式群管理场景下,群管理员设备基于所述第二群CA证书,对其他群成员设备签发群成员证书。
通过上述实施例,群主设备可以将群内任一群成员添加为群管理员,并对其分配第二群CA证书,此后,群管理员通过分发第二群CA证书实现群共享。
在其中一些实施例中,所述应用信息是应用层为用户分配的全网唯一ID,所述节点信息是设备绑定过程中对其配置的节点ID,所述网络信息是网络层为用户分配的用于标识用户网络角色的全网唯一ID,所述集群信息是所述私有云设备对应的集群号。
第二方面,本申请实施例提供了一种基于数字证书的群CA证书生成系统,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,所述系统包括:密钥生成模块、证书请求生成模块和证书生成模块,其中;
所述密钥生成模块用于:通过非对称算法生成第一密钥对,其中,所述第一密钥对包括第一公钥和第一私钥;
所述证书请求模块用于:接收群创建指令之后生成群ID,获取本设备对应的网络信息和节点信息,根据所述网络信息、所述节点信息和所述群ID组成群证书扩展信息,以及
将所述第一公钥、所述群证书扩展信息和群证书主体信息组合生成群证书请求;
所述证书生成模块用于:获取本设备中的用户CA证书,通过所述用户CA证书签发所述群证书请求生成群CA证书,其中,所述用户CA证书中包括本设备中的应用信息、集群信息和网络信息组成的用户证书扩展项。
在其中一些实施例中,通过非对称加密算法生成第二密钥对,其中,所述第二密钥对包括第二公钥和第二私钥;
获取本设备对应的应用信息、网络信息和集群信息,根据所述应用信息、所述网络信息和所述集群信息组成用户证书扩展信息;
将所述第二公钥、所述用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
通过所述第二私钥签发所述用户证书请求生成所述用户CA证书。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种基于数字证书的群CA证书生成方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第二方面所述的一种基于数字证书的群CA证书生成方法。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的群管理用户CA证书生成方法的应用环境示意图;
图2是根据本申请实施例的一种基于数字证书群CA证书的生成方法的流程图;
图3是根据本申请实施例的一种生成用户CA证书的流程图;
图4是根据本申请实施例的一种基于数字证书的群CA证书生成系统的结构框图;
图5是根据本申请实施例的电子设备的内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供的基于数字证书的群CA证书生成方法,可以应用在可信通信场景下,图1是根据本申请实施例的基于数字证书的群CA证书生成方法的应用环境示意图。
如图1所示,可以以用户CA证书为根证书,并通过根证书的逐级签发得到群CA证书、群成员证书;进一步的,将上述根证书、群CA证书和群成员证书,应用在分布式群管理场景中,从而可以在各用户的私有云设备10之间,进行高效且精准的相互认证。另外,各用户可以通过应用端11向私有云设备10发送消息数据,经其转发后,可以在群组内实现安全的数据共享和群聊天等。通过本申请实施例提供的一种基于数字证书的群CA证书生成方法,可以安全高效的实现分布式群管理。需要说明的是,应用端11可以是智能手机或平板电脑等移动设备,也可以是PC等固定设备;私有云设备10可以是用于可信通信场景定制的个人私有云设备或家庭私有云设备。
图2是根据本申请实施例的一种基于数字证书的群CA证书生成方法的流程图,该方法应用在分布式群管理场景下,基于私有云设备实现,且每个私有云设备在本地保存有其设备主的用户CA证书,如图2所示,该流程包括如下步骤:
S201,通过非对称算法生成第一密钥对,其中,第一密钥对包括第一公钥和第一私钥;
需要说明的是,上述非对称加密算法可以是常见的任意一种算法,但是由算法随机生成的第一密钥对应满足一定的强度要求。
可以理解的是,与对称算法加/解密采用同一个密钥不同,非对称加密算法中公钥和私钥互不相同,公钥加密的内容只能由私钥进行解密,如果不知道私钥是无法解密公钥加密内容的。
另外,非对称算法的公钥通常是公开的,且私钥是保密的。在通信场景中,设备通常会在本地生成一对公钥和私钥,把公钥发布出去同时将私钥保存在本地;对应的,在数字证书中,通常用私钥在证书请求上签名来证明发布者的身份。
S202,接收群创建指令之后创建网络群并生成群ID,获取本设备的网络信息和节点信息,基于网络信息、节点信息和群ID组成群证书扩展信息;将第一公钥、群证书扩展信息和群证书主体信息组合生成群证书请求;
其中,该群创建指令可以是用户通过应用端发送的指令,进一步的,私有云设备与应用端之间存在基于数字证书建立的安全通道,该指令通过安全通道发送至私有云设备。需要说明的是,本步骤中的私有云设备,是需要建立和分享群的群主设备。
群主设备在接收到群创建指令之后,将该指令发送给设备内部的网络模块,网络模块将创建该设备唯一的网络群,并同时生成群ID,并将群ID、以及群主设备的网络信息和节点信息发送至设备内部的安全模块。需要说的是,该网络信息是网络层为用户分配的用于用户网络角色的全网唯一ID(networkid)、该节点信息是设备绑定过程中对其配置的节点ID(nodeid),由于同一个用户可能具有多个私有云设备,节点信息即用于区分相同用户的多个私有云设备。
群主设备的安全模块获取到上述信息,为避免重复,安全模块首先在设备内部查找是否已经存在跟上述群ID相同的群CA证书,若存在,将直接返回本设备创建群成功;若不存在,则继续群CA证书生成流程。
进一步的,安全模块将会以群ID、网络信息和节点信息组成群证书请求的扩展信息。在得到该扩展信息之后,将上述算法生成的公钥、扩展信息以及生成证书所必须的群证书主体信息组合即可得到群证书请求,该主体信息为生成数字证书的标准化常规信息,具体可以有效期、指纹算法等,由于本申请的发明点体现在证书的扩展项,而主体信息的具体内容对于核心发明点并无影响,因此本申请中对此不再赘述。
S203,获取本设备中的用户CA证书,通过用户CA证书签发群证书请求生成群CA证书,其中,用户CA证书中包括本设备的应用信息、集群信息和网络信息组成的用户证书扩展项;
需要说明的是,该用户CA证书与群CA证书不同,其是作为生成群CA证书的根证书,每个私有云设备都具有其主人的用户CA证书。
需要说明的是,本实施例并非直接采用常规模式生成群CA证书,区别于标准CA证书,本实施例中,将上述包含三项信息的扩展项同步融合在群证书请求中,经签发之后生成群CA证书,从而可以将群ID号、群主设备在网络层中用于识别身份的信息、以及群主设备在网络中的节点身份绑定在群CA证书中。
在后续过程中,当证书分发之后,利用数字证书的特点,结合网络信息和节点信息和群ID的唯一性,群成员之间可以通过上述扩展项信息进行安全可靠的校验,从而可以在分布式群管理场景下,建立高效安全的群分享机制。
另外,由于在生成群证书请求时额外的添加了群证书扩展项。因此,对应的,对于群证书主体信息,需要同步进行改进处理,群证书主题信息除包括必须的标准信息(Subject、Signature algorithm等)之外,还应包括辅助信息,从而使主体信息能够与扩展信息相匹配。另外,在校验时,也可以通过对比主体信息与扩展信息是否匹配,判断该证书是否被改动过。
通过上述步骤S201至S203,在群主私有云设备上,基于群证书主体信息、群证书扩展信息和公钥生成群证书请求,再通过根证书(用户CA证书)签发该群证书请求得到群CA证书,从而在群CA证书请求中将群ID、以及群主设备的网络和节点信息绑定。进一步的,该群CA证书可以用来签发群成员证书,群成员设备之间可以利用这些证书进行安全高效的认证。群成员之间可以建立群组,各用户可以在该群组中进行文件分享、群聊等交互活动。
在其中一些实施例中,上述用户CA证书作为签发群CA证书的根证书,图3是根据本申请实施例的一种生成用户CA证书的流程图,如图3所示,该流程包括:
S301,通过非对称加密算法生成第二密钥对,其中,第二密钥对包括第二公钥和第二私钥;
S302,获取本设备对应的应用信息、网络信息和集群信息,根据应用信息、网络信息和集群信息组成用户CA证书扩展信息,将第二公钥、用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
其中,该应用信息是应用层为用户分配的全网唯一ID(userid),其是用户将应用端与该私有云设备绑定时生成的;该网络信息是网络层为用户分配的用于标识用户网络角色的全网唯一ID(networkid),该集群信息是该私有云设备对应的集群号(clusterid),其中,同一个用户的多个私有云设备可以组成集群,该集群的ID即为上述集群号,在实际应用中,对于一个集群下的多个私有云设备,可以将其视为逻辑上的一个设备,从而能够达到扩容的目的。
S303,通过第二私钥签发用户证书请求生成用户CA证书。
需要说明的是,用户CA证书与群CA证书的生成过程大致流程相似,区别在于两者所采用的公私钥不同,扩展项具体信息不同。另外,群CA证书是以用户CA证书签发得到,而用户CA证书则是以第二私钥签发得到。
通过上述步骤S301至S303,生成了每个私有云设备对应的用户CA证书,并且在用户CA证书中将应用、网络和设备集群属性绑定。进一步的,利用该用户CA证书作为根证书签发得到的群CA证书,其中不仅包括了群的属性信息,同时还包括了群主设备在多个维度下的身份/角色信息。因此,群成员之间利用该群CA证书,基于数字证书的特点,结合各个维度的扩展信息,在多对多情况下进行高效安全的相互认证。
在其中一些实施例中,考虑到私钥明文形式保存安全性较差,可选的,通过如下方式将私钥加密保存:
接收用户通过应用端输入的用户密码,使用该用户密码加密第一私钥和第二私钥并保存;或者,基于用户密码生成派生密码,通过该派生密码加密第一私钥和第二私钥并保存。
需要说明的是,本申请实施例中,在用户CA证书生成之后,上述第一私钥和第二私钥一直加密保存在私有云设备内,后续证书上传过程及证书分发过程,该私钥并不会随证书一起被发送。
在其中一些实施例中,通过用户CA证书签发群证书请求生成群CA证书之后,该群CA证书应用在分布式群管理场景的作用,包括但不限于是:群主设备基于群CA证书,对群主设备和其他群成员设备签发群成员证书以建立群组。
其中,需要说明的是,在本实施例的分布式群管控场景下,任何满足条件的私有云设备都可以作为群主设备,而群主设备相比较于群成员设备只是多了一个签发群成员证书(分享群)的角色。群主设备本地也保存有自身设备的群成员证书,在于其他群成员交互时,也同样利用“群主的群成员证书”进行相互认证。
在建立群组之后,每个设备将获得由群主的用户CA证书、群CA证书和群成员证书组成的证书链。各群成员在交互前,可以基于该证书链进行相互认证,认证成功之后,即可在群组内进行多应用信息共享。可选的,用户可以通过应用端发送交互信息至私有云设备,经转发之后可以在分布式群组中实现聊天、文件分享等交互动作,当然,用户也可以通过客户端获取其他群成员的文件、文字、语音等群聊信息。
在其中一些实施例中,在群成员设备获得群成员证书之后,在将群成员添加为管理员时,群主设备将创建供群管理员使用的第二群CA证书,并将其发送至目标群成员使其具备管理员身份,具体包括:
第一步:确定需要添加为群管理员的目标群成员,获取目标群成员的群成员证书并对其进行校验;进一步的,校验的目的是判断群成员证书是否有效,包括:校验证书是否在有效期内、校验证书的扩展信息是否有效,以及校验证书是否在吊销列表中。
第二步:在校验成功的情况下,获取群成员证书中的公钥、群ID、网络信息和节点信息,并根据其生成第二群CA证书请求;
第三步:通过用户CA证书签发第二群CA证书请求得到第二群CA证书,可以确定的是,供群管理员使用的第二群CA证书与群主的群CA证书相比,其群ID一致,但是网络ID不一致;
第四步:发送第二群CA证书至目标群成员的私有云设备,目标群成员接收到该第二群CA证书之后,将本地的群成员证书替换为第二群CA证书,目标群成员被添加为群管理员角色。
需要说明的是,由于群管理员的证书升级,其原本的群成员证书不复存在,因此其设备将重新创建群管理员在群组中的群成员证书。
在其中一些实施例中,将目标群成员添加为群管理员角色之后,群管理员也可以通过分发第二群CA证书实现群分享,具体包括:
在分布式群管理场景下,群管理员设备基于所述第二群CA证书,对其他群成员设备签发群成员证书。
各群成员设备在得到群管理员签发的群成员证书之后。各群成员设备基于群成员证书进行相互认证,并在群组中建立可信网络通道,通过所述可信网络通道进行信息共享。
本实施例还提供了一种基于数字证书的群CA证书生成系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的一种基于数字证书的群CA证书生成系统的结构框图,该系统应用在分布式群管理场景下,基于私有云设备实现,系统包括:密钥生成模块40、证书请求生成模块41和证书生成模块42,其中;
密钥生成模块40用于:通过非对称算法生成第一密钥对,其中,第一密钥对包括第一公钥和第一私钥;
证书请求生成模块41用于:接收群创建指令之后生成群ID,获取本设备的网络信息和节点信息,根据网络信息、节点信息和群ID组成群证书扩展信息,以及将第一公钥、群证书扩展信息和群证书主体信息组合生成群证书请求;
证书生成模块42用于:获取本设备的用户CA证书,通过用户CA证书签发群证书请求生成群CA证书,其中,用户CA证书中包括本设备的应用信息、集群信息和网络信息组成的用户证书扩展项。
在其中一些实施例中,密钥生成模块40还用于:通过非对称加密算法生成第二密钥对,其中,第二密钥对包括第二公钥和第二私钥;
证书请求生成模块41还用于:获取本设备对应的应用信息、网络信息和集群信息,根据应用信息、网络信息和集群信息组成用户证书扩展信息,以及将第二公钥、用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
证书生成模块42还用于:通过第二私钥签发用户证书请求生成用户CA证书。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于数字证书的群CA证书生成方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
在一个实施例中,图5是根据本申请实施例的电子设备的内部结构示意图,如5所示,提供了一种电子设备,该电子设备可以是服务器,其内部结构图可以如图5所示。该电子设备包括通过内部总线连接的处理器、网络接口、内存储器和非易失性存储器,其中,该非易失性存储器存储有操作系统、计算机程序和数据库。处理器用于提供计算和控制能力,网络接口用于与外部的终端通过网络连接通信,内存储器用于为操作系统和计算机程序的运行提供环境,计算机程序被处理器执行时以实现一种基于数字证书的群CA证书生成方法,数据库用于存储数据。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种基于数字证书的群CA证书生成方法,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,且每个私有云设备在本地保存有其设备主的用户CA证书,所述方法包括:
通过非对称算法生成第一密钥对,其中,所述第一密钥对包括第一公钥和第一私钥;
接收群创建指令之后生成群ID,获取本设备的网络信息和节点信息,基于所述网络信息、所述节点信息和所述群ID组成群证书扩展信息;
将所述第一公钥、所述群证书扩展信息和群证书主体信息组合生成群证书请求;
获取所述用户CA证书,通过所述用户CA证书签发所述群证书请求,生成群CA证书,其中,所述用户CA证书中包括本设备对应的应用信息、集群信息和网络信息组成的用户证书扩展项。
2.根据权利要求1所述的方法,其特征在于,所述应用信息是应用层为用户分配的全网唯一ID,所述节点信息是设备绑定过程中对其配置的节点ID,所述网络信息是网络层为用户分配的用于标识用户网络角色的全网唯一ID,所述集群信息是所述私有云设备对应的集群号。
3.根据权利要求2所述的方法,其特征在于,所述用户CA证书的生成过程包括:
通过非对称加密算法生成第二密钥对,其中,所述第二密钥对包括第二公钥和第二私钥;
获取本设备对应的应用信息、网络信息和集群信息,根据所述应用信息、所述网络信息和所述集群信息组成用户证书扩展信息;
将所述第二公钥、所述用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
通过所述第二私钥签发所述用户证书请求生成所述用户CA证书。
4.根据权利要求1所述的方法,其特征在于,所述通过非对称加密算法生成第一密钥对之后,所述方法还包括:在所述私有云设备中将所述私钥加密保存。
5.根据权利要求3所述的方法,其特征在于,通过所述用户CA证书签发所述群证书请求,生成群CA证书之后,所述方法还包括:
在分布式群管理场景下,群主设备基于所述群CA证书,对群主设备和其他群成员设备签发群成员证书以建立群组。
6.根据权利要求5所述的方法,其特征在于,在群成员设备获得群成员证书之后,在将所述群成员添加为管理员时,所述方法还包括:
确定将被添加为群管理员的目标群成员,获取所述目标群成员的群成员证书并对其进行校验;
在校验成功的情况下,获取所述群成员证书中的公钥信息、群ID、网络信息和节点信息,并基于所述群成员证书中的公钥信息、群ID、网络信息和节点信息生成第二群CA证书请求;
通过所述用户CA证书签发所述第二群CA证书请求,得到第二群CA证书并将其发送至所述目标群成员设备。
7.根据权利要求6所述的方法,其特征在于,将所述目标群成员添加为群管理员角色之后,所述方法还包括:
在分布式群管理场景下,群管理员设备基于所述第二群CA证书,对其他群成员设备签发群成员证书。
8.一种基于数字证书的群CA证书生成系统,其特征在于,应用在分布式群管理场景下,基于私有云设备实现,且每个私有云设备在本地保存有其设备主的用户CA证书,所述系统包括:密钥生成模块、证书请求生成模块和证书生成模块,其中;
所述密钥生成模块用于:通过非对称算法生成第一密钥对,其中,所述第一密钥对包括第一公钥和第一私钥;
所述证书请求模块用于:接收群创建指令之后生成群ID,获取本设备对应的网络信息和节点信息,根据所述网络信息、所述节点信息和所述群ID组成群证书扩展信息,以及
将所述第一公钥、所述群证书扩展信息和群证书主体信息组合生成群证书请求;
所述证书生成模块用于:获取所述用户CA证书,通过所述用户CA证书签发所述群证书请求生成群CA证书,其中,所述用户CA证书中包括本设备的应用信息、集群信息和网络信息组成的用户证书扩展项。
9.根据权利要求8所述的系统,其特征在于,所述用户CA证书的生成过程包括:
通过非对称加密算法生成第二密钥对,其中,所述第二密钥对包括第二公钥和第二私钥;
获取本设备对应的应用信息、网络信息和集群信息,根据所述应用信息、所述网络信息和所述集群信息组成用户证书扩展信息;
将所述第二公钥、所述用户证书扩展信息和用户证书主体信息组合生成用户证书请求;
通过所述第二私钥签发所述用户证书请求,生成所述用户CA证书。
10.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的一种基于数字证书的群CA证书生成方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的一种基于数字证书的群CA证书生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210124868.7A CN114168923B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的群ca证书生成方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210124868.7A CN114168923B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的群ca证书生成方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114168923A true CN114168923A (zh) | 2022-03-11 |
CN114168923B CN114168923B (zh) | 2022-07-12 |
Family
ID=80489581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210124868.7A Active CN114168923B (zh) | 2022-02-10 | 2022-02-10 | 一种基于数字证书的群ca证书生成方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114168923B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650182A (zh) * | 2022-04-08 | 2022-06-21 | 深圳市欧瑞博科技股份有限公司 | 身份认证方法、系统、装置、网关设备、设备和终端 |
CN115022090A (zh) * | 2022-08-04 | 2022-09-06 | 亿次网联(杭州)科技有限公司 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180219678A1 (en) * | 2017-01-31 | 2018-08-02 | Arris Enterprises Llc | Origin certificate based online certificate issuance |
CN109003083A (zh) * | 2018-07-27 | 2018-12-14 | 山东渔翁信息技术股份有限公司 | 一种基于区块链的ca认证方法、装置及电子设备 |
CN109992953A (zh) * | 2019-02-18 | 2019-07-09 | 深圳壹账通智能科技有限公司 | 区块链上的数字证书签发、验证方法、设备、系统及介质 |
WO2020073546A1 (zh) * | 2018-10-09 | 2020-04-16 | 深圳壹账通智能科技有限公司 | 数字证书的处理方法及相关装置 |
US10728044B1 (en) * | 2019-02-22 | 2020-07-28 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification and migration |
US10848325B1 (en) * | 2016-10-21 | 2020-11-24 | Wells Fargo Bank, N.A. | Systems and methods for notary agent for public key infrastructure names |
CN112364331A (zh) * | 2021-01-12 | 2021-02-12 | 北京中超伟业信息安全技术股份有限公司 | 一种匿名认证方法及系统 |
CN112435024A (zh) * | 2020-11-17 | 2021-03-02 | 浙江大学 | 基于群签名和ca多方认证的联盟链跨链隐私保护方法 |
CN113193961A (zh) * | 2021-04-29 | 2021-07-30 | 中国人民银行数字货币研究所 | 一种数字证书管理方法和装置 |
US20220006654A1 (en) * | 2020-07-02 | 2022-01-06 | EMC IP Holding Company LLC | Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy |
-
2022
- 2022-02-10 CN CN202210124868.7A patent/CN114168923B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10848325B1 (en) * | 2016-10-21 | 2020-11-24 | Wells Fargo Bank, N.A. | Systems and methods for notary agent for public key infrastructure names |
US20180219678A1 (en) * | 2017-01-31 | 2018-08-02 | Arris Enterprises Llc | Origin certificate based online certificate issuance |
CN109003083A (zh) * | 2018-07-27 | 2018-12-14 | 山东渔翁信息技术股份有限公司 | 一种基于区块链的ca认证方法、装置及电子设备 |
WO2020073546A1 (zh) * | 2018-10-09 | 2020-04-16 | 深圳壹账通智能科技有限公司 | 数字证书的处理方法及相关装置 |
CN109992953A (zh) * | 2019-02-18 | 2019-07-09 | 深圳壹账通智能科技有限公司 | 区块链上的数字证书签发、验证方法、设备、系统及介质 |
US10728044B1 (en) * | 2019-02-22 | 2020-07-28 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification and migration |
US20220006654A1 (en) * | 2020-07-02 | 2022-01-06 | EMC IP Holding Company LLC | Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy |
CN112435024A (zh) * | 2020-11-17 | 2021-03-02 | 浙江大学 | 基于群签名和ca多方认证的联盟链跨链隐私保护方法 |
CN112364331A (zh) * | 2021-01-12 | 2021-02-12 | 北京中超伟业信息安全技术股份有限公司 | 一种匿名认证方法及系统 |
CN113193961A (zh) * | 2021-04-29 | 2021-07-30 | 中国人民银行数字货币研究所 | 一种数字证书管理方法和装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650182A (zh) * | 2022-04-08 | 2022-06-21 | 深圳市欧瑞博科技股份有限公司 | 身份认证方法、系统、装置、网关设备、设备和终端 |
CN114650182B (zh) * | 2022-04-08 | 2024-02-27 | 深圳市欧瑞博科技股份有限公司 | 身份认证方法、系统、装置、网关设备、设备和终端 |
CN115022090A (zh) * | 2022-08-04 | 2022-09-06 | 亿次网联(杭州)科技有限公司 | 一种数据分享方法、系统、电子设备和计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114168923B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11349674B2 (en) | Digital certificate management method and apparatus, computer device, and storage medium | |
US11115418B2 (en) | Registration and authorization method device and system | |
CN108322451B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
KR101977109B1 (ko) | 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 | |
US10411903B2 (en) | Information security realizing method and system based on digital certificate | |
US11196745B2 (en) | Blockchain-based account management | |
CN114168923B (zh) | 一种基于数字证书的群ca证书生成方法和系统 | |
CN110177124B (zh) | 基于区块链的身份认证方法及相关设备 | |
CN110572258B (zh) | 一种云密码计算平台及计算服务方法 | |
CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
CN111277711B (zh) | 虚拟联系号码生成方法、装置、存储介质和计算机设备 | |
CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
CN114168922B (zh) | 一种基于数字证书的用户ca证书生成方法和系统 | |
KR20200065939A (ko) | 블록체인 및 스마트 컨트랙트 기반 인증서 상태 관리 장치 및 방법 | |
CN114239046A (zh) | 数据共享方法 | |
CN114143108B (zh) | 一种会话加密方法、装置、设备及存储介质 | |
CN114172747B (zh) | 一种基于数字证书的群成员获得认证证书的方法和系统 | |
CN114039753A (zh) | 一种访问控制方法、装置、存储介质及电子设备 | |
CN114168924B (zh) | 一种基于数字证书的群成员相互认证的方法和系统 | |
CN114124515B (zh) | 标书传输方法、密钥管理方法、用户验证方法及对应装置 | |
CN113094675B (zh) | 基于分布式模型训练的用户认证方法及装置 | |
KR102209988B1 (ko) | 복수 인증기관에 의한 인증서 상태 관리 장치 및 방법 | |
CN114172668B (zh) | 一种基于数字证书的群成员管理方法和系统 | |
CN112182627A (zh) | 基于移动设备的区块链数字证书管理方法和系统 | |
CN111311412A (zh) | 去中心化的交易确认方法、装置及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |