CN114172653A - 数字证书的更新方法、终端设备、ca服务器及存储介质 - Google Patents
数字证书的更新方法、终端设备、ca服务器及存储介质 Download PDFInfo
- Publication number
- CN114172653A CN114172653A CN202010837137.8A CN202010837137A CN114172653A CN 114172653 A CN114172653 A CN 114172653A CN 202010837137 A CN202010837137 A CN 202010837137A CN 114172653 A CN114172653 A CN 114172653A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- certificate
- server
- nth
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 106
- 230000015654 memory Effects 0.000 claims description 52
- 230000009849 deactivation Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 46
- 239000002699 waste material Substances 0.000 abstract description 9
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 31
- 238000012545 processing Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 10
- 230000003993 interaction Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 208000033748 Device issues Diseases 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 210000000988 bone and bone Anatomy 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供一种数字证书的更新方法、终端设备、CA服务器及存储介质,属于通信技术中证书更新领域,数字证书的更新方法应用于包括终端设备、证书下载服务器和CA服务器的系统中,该方法通过判断当前最新的数字证书的使用状态和停用状态,可以有效避免在终端设备停用时,CA服务器继续为已经停用的终端设备签发新的数字证书,避免新签发证书不能使用而造成的资源浪费,同时,CA在确认数字证书为使用状态时,只要在数字证书的有效期到期之前将新签发的数字证书发送给证书下载服务器,而在终端设备需要更新内部的证书时,可以直接到CA上进行下载,避免批量终端设备同时向CA服务器申请时,对CA服务器造成性能瓶颈的问题。
Description
技术领域
本申请涉及通信技术中证书更新领域,尤其涉及数字证书的更新方法、终端设备、CA服务器及存储介质。
背景技术
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书(含私钥)应用于电子设备上,例如,手机、电脑、服务器等电子设备中,并由证书颁发机构(Certificate Authority,CA)签发,用来验证电子设备或应用程序的合法性,或使用私钥对应用程序处理的敏感数据做完整性、机密性保护。
数字证书有一个重要的特征就是只在特定的时间段内有效。一旦证书过了有效期,按照认证要求会认为该证书已失效,不再具备合法性,认证或签名、加密的消息被验证时,会由于证书失效而使得验证失败,从而导致业务操作失效。因此,为了保证业务的连续性,需要在数字证书到期前就及时更新证书。以每年数亿个电子设备被销售,每个电子设备需要至少一个数字证书。当批量的电子设备需要证书更新,例如,假设每年的2个月内有1亿部新手机被销售,这1亿部手机每一个至少需要更新一个数字证书,那么在2个月内需要CA服务器签发至少1亿个新的数字证书。CA服务器需要在同一时刻需要签发海量的数字证书,这对于CA服务器的并发处理性能要求很高,如果性能达到瓶颈,会影响数字证书的更新。因此针对海量终端,如手机、IoT设备,或海量APP证书更新的场景,需要重点考虑在大量并发更新证书的场景下,如何有效解决证书更新的问题。
发明内容
有鉴于此,本申请提供一种数字证书的更新方法、终端设备、CA服务器及存储介质,能够解决批量终端同时向CA发起证书更新请求,导致同一时刻CA并发处理大量的证书更新而带来的性能瓶颈的问题。
本申请的一些实施方式提供了一种用于数字证书的更新方法。以下从多个方面介绍本申请,以下多个方面的实施方式和有益效果可互相参考。
第一方面,本申请提供一种数字证书的更新方法,应用于CA服务器,CA服务器为终端设备生成并提供数字证书,该方法包括:CA服务器生成第n个数字证书,将第n个数字证书用于第n个终端设备;CA服务器确定第n个数字证书是使用状态或停用状态,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数。例如,将CA服务器首次为终端设备生成的第一版本的数字证书记作第1个数字证书,基于第1个数字证书生成的第二版本的数字证书记作第2个数字证书,依此类推。在第n个数字证书为使用状态的情况下,CA服务器生成并提供用于终端设备的,作为第n个数字证书的更新版本的第n+1个数字证书;在第n个数字证书为停用状态的情况下,CA服务器不生成用于终端设备的,作为第n个数字证书的更新版本的第n+1个数字证书。通过判断第n个数字证书的使用状态和停用状态,可以有效避免在第n个数字证书为停用状态,即该第n个数字证书对应的终端设备停用时,CA服务器继续为已经停用的终端设备签发新的数字证书,避免新签发证书不能使用而造成的资源浪费,同时,在终端设备和CA服务器之间增设证书下载服务器,CA在确认第n个数字证书为使用状态时,只要在第n个数字证书的有效期到期之前将新签发的数字证书发送给证书下载服务器,而在终端设备需要更新内部的证书时,可以直接到CA上进行下载,避免批量终端设备同时向CA服务器申请时,对CA服务器造成性能瓶颈的问题。
在本申请第一方面的实施例中,CA服务器确定第n个数字证书是使用状态或停用状态,包括:CA服务器周期性地从下载服务器上查询第n个数字证书的下载状态,并在各个周期内基于下载状态判断第n个数字证书是使用状态或停用状态,其中,下载状态用于指示在截止当前查询时刻第n个数字证书是否已被终端设备下载过。例如,在第n个数字证书还处于有效期时,第n个数字证书被终端设备下载,则判定第n个数字证书是使用状态。当第n个数字证书已过有效期,但是仍然没有被终端设备下载,则CA服务器判断第n个数字证书的状态为停用状态。进一步的通过第n个数字证书为停用状态也可以表示,该第n个数字证书对应的终端设备停止使用,以使得第n个数字证书在有效期内没有被下载。CA服务器根据第n个数字证书的停用状态停止为该第n个数字证书对应的终端设备继续签发证书,避免新签发的证书不能被有效的利用而造成资源的浪费。
在本申请第一方面的实施例中,CA服务器确定第n个数字证书是使用状态,包括:CA服务器根据下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备使用的在用标识,以表示第n个数字证书是使用状态。CA服务器根据下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备停用的停用标识,以表示第n个数字证书是停用状态。通过在第n个数字证书上标识被终端设备使用的在用标识,或终端设备停用的停用标识,CA服务器或证书下载服务器根据标识可以快速的判断出证书的下载状态,以减少重复判断的步骤。
在本申请第一方面的实施例中,CA服务器根据在用标识确定第n个数字证书是使用状态;在第n个数字证书为使用状态的情况下,CA服务器提供用于终端设备的,作为第n个数字证书的更新版本的第n+1个数字证书,包括:CA服务器基于终端设备生成的公钥和随机升级因子生成新公钥,并基于新公钥为终端设备生成第n个数字证书;CA服务器将第n个数字证书发送给证书下载服务器。
第二方面,本申请提供一种数字证书的更新方法,应用于证书下载服务器,该方法包括:证书下载服务器接收CA服务器为终端设备生成第n个数字证书,以供终端设备从证书下载服务器下载,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;证书下载服务器确定第n个数字证书是使用状态或停用状态;在第n个数字证书为使用状态的情况下,证书下载服务器输出证书更新请求,证书更新请求用于向CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书;在第n个数字证书为停用状态的情况下,证书下载服务器输出证书停止更新通知,证书停止更新通知用于通知CA服务器停止将第n个数字证书更新为第n+1个数字证书。通过证书下载服务器判断第n个数字证书的使用状态和停用状态,并告知CA服务器继续更新,或停止更新证书的通知,可以有效避免在第n个数字证书为停用状态,即该第n个数字证书对应的终端设备停用时,CA服务器继续为已经停用的终端设备签发新的数字证书,避免新签发证书不能使用而造成的资源浪费,同时,在终端设备和CA服务器之间增设证书下载服务器,CA在确认第n个数字证书为使用状态时,只要在第n个数字证书的有效期到期之前将新签发的数字证书发送给证书下载服务器,而在终端设备需要更新内部的证书时,可以直接到CA上进行下载,避免批量终端设备同时向CA服务器申请时,对CA服务器造成性能瓶颈的问题。
在本申请第二方面的实施例中,证书下载服务器确定第n个数字证书是使用状态或停用状态,包括:证书下载服务器周期性地查询第n个数字证书的下载状态,并在各个周期内基于下载状态判断第n个数字证书是使用状态或停用状态,其中,下载状态用于指示在截止当前查询时刻第n个数字证书是否已被终端设备下载过。例如,在第n个数字证书还处于有效期时,第n个数字证书被终端设备下载,则证书下载服务器判定第n个数字证书是使用状态。当第n个数字证书已过有效期,但是仍然没有被终端设备下载,则证书下载服务器判断第n个数字证书的状态为停用状态。进一步的通过第n个数字证书为停用状态也可以表示,该第n个数字证书对应的终端设备停止使用,以使得第n个数字证书在有效期内没有被下载。证书下载服务器将使用状态或停用状态以更新或停止更新证书的通知方式告知CA服务器,CA服务器根据第n个数字证书的停用状态停止为该第n个数字证书对应的终端设备继续颁发证书,避免新签发的证书不能被有效的利用而造成资源的浪费。
在本申请第二方面的实施例中,在第n个数字证书为使用状态的情况下,证书下载服务器从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书,包括:下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备使用的在用标识,以表示第n个数字证书是使用状态,对于具有在用标识的第n个数字证书,下载服务器从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书。通过在第n个数字证书上标识被终端设备使用的在用标识,CA服务器或证书下载服务器根据标识可以快速的判断第n个数字证书的使用状态,以减少重复判断的步骤。
在本申请第二方面的实施例中,在第n个数字证书为使用状态的情况下,下载服务器向CA服务器发送更新请求,更新请求用于请求作为第n个数字证书的更新版本的第n+1个数字证书,以使CA服务器根据更新请求提供第n+1个数字证书。通过证书下载服务器请求的方式,CA服务器执行是否签发第n+1个数字证书,简单快捷,CA服务器不在依赖终端发送请求来签发更新证书,可以有效避免大批量的终端设备同时向CA服务器发送更新请求,使得CA服务器无法满足批量更新的需求。
在本申请第二方面的实施例中,在第n个数字证书为停用状态的情况下,证书下载服务器输出证书停止更新通知,包括:下载服务器为第n个数字证书设置用于指示第n个数字证书已被终端设备停用的停用标识,以表示第n个数字证书是停用状态,对于具有停用标识的第n个数字证书,证书下载服务器输出证书停止更新通知。通过在第n个数字证书上标识被终端设备停用的停用标识,CA服务器或证书下载服务器根据标识可以快速的判断第n个数字证书的停用状态,以减少重复判断的步骤。
第三方面,本申请提供一种数字证书的更新方法,应用于包括终端设备、证书下载服务器和CA服务器的系统,该方法包括:CA服务器为终端设备生成第n个数字证书,将第n个数字证书发送至证书下载服务器,以供终端设备从证书下载服务器下载,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;证书下载服务器确定第n个数字证书是使用状态或停用状态;在第n个数字证书为使用状态的情况下,证书下载服务器从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书;在第n个数字证书为停用状态的情况下,证书下载服务器停止向CA服务器发送更新请求;CA服务器根据该更新请求,停止将第n个数字证书更新为第n+1个数字证书。通过判断第n个数字证书的使用状态和停用状态,可以有效避免在第n个数字证书为停用状态,即该第n个数字证书对应的终端设备停用时,继续为已经停用的终端设备签发新的数字证书,避免新签发证书不能使用而造成的资源浪费,同时,在终端设备和CA服务器之间增设证书下载服务器,CA在确认第n个数字证书为使用状态时,只要在第n个数字证书的有效期到期之前将新签发的数字证书发送给证书下载服务器,而在终端设备需要更新内部的证书时,可以直接到CA上进行下载,避免批量终端设备同时向CA服务器申请时,对CA服务器造成性能瓶颈的问题。
在本申请第三方面的实施例中,证书下载服务器确定第n个数字证书是使用状态或停用状态,包括:证书下载服务器周期性地查询第n个数字证书的下载状态,并在各个周期内基于下载状态判断第n个数字证书是使用状态或停用状态,其中,下载状态用于指示在截止当前查询时刻第n个数字证书是否已被终端设备下载过。例如,在第n个数字证书还处于有效期时,第n个数字证书被终端设备下载,则判定第n个数字证书是使用状态。当第n个数字证书已过有效期,但是仍然没有被终端设备下载,则判断第n个数字证书的状态为停用状态。进一步的通过第n个数字证书为停用状态也可以表示,该第n个数字证书对应的终端设备停止使用,以使得第n个数字证书在有效期内没有被下载。CA服务器根据第n个数字证书的停用状态停止为该第n个数字证书对应的终端设备继续颁发证书,避免新签发的证书不能被有效的利用而造成资源的浪费。
在本申请第三方面的实施例中,在第n个数字证书为使用状态的情况下,证书下载服务器从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书,包括:下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备使用的在用标识,以表示第n个数字证书是使用状态,对于具有在用标识的第n个数字证书,下载服务器从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书。通过在第n个数字证书上标识被终端设备使用的在用标识CA服务器或证书下载服务器根据标识可以快速的判断出证书的使用状态,以减少重复判断的步骤。
在本申请第三方面的实施例中,在第n个数字证书为使用状态的情况下,下载服务器向CA服务器发送更新请求,更新请求用于请求作为第n个数字证书的更新版本的第n+1个数字证书;CA服务器根据更新请求,向下载服务器发送第n+1个数字证书。
在本申请第三方面的实施例中,在第n个数字证书为停用状态的情况下,证书下载服务器停止向CA服务器发送更新请求,包括:下载服务器为第n个数字证书设置用于指示第n个数字证书已被终端设备停用的停用标识,以表示第n个数字证书是停用状态,对于具有在用标识的第n个数字证书,证书下载服务器停止向CA服务器发送更新请求。通过在第n个数字证书上标识被终端设备停用的停用标识,CA服务器或证书下载服务器根据标识可以快速的判断第n个数字证书的停用状态,以减少重复判断的步骤。
在本申请第三方面的实施例中,CA服务器基于终端设备生成的公钥和随机升级因子生成新公钥,并基于新公钥为终端设备生成第n个数字证书。
在本申请第三方面的实施例中,终端设备从下载服务器获取第n个数字证书和随机升级因子,并基于新公钥、随机升级因子以及在第n个数字证书之前版本对应的私钥生成新私钥。第四方面,本申请提供一种数字证书的更新方法,应用于终端设备,方法包括:终端设备根据终端设备中存储的第m个数字证书,从下载服务器请求作为第m个数字证书的更新版本的第m+1个数字证书,其中,第m个数字证书用于表示CA服务器按照时间先后顺序为终端设备生成的第m个版本的数字证书,则m为大于等于1的自然数;终端设备确定第m+1个数字证书是过期失效证书的情况下,终端设备向CA服务器请求并获取第m+2个数字证书,以替换第m个数字证书,其中,第m+2个数字证书是第m+1个数字证书的更新版本,并且是有效证书。该方法可以避免对于终端设备在停用N年后重新拿出来使用时,旧证书和新证书都已过期而无法正常使用的问题,通过判断CA服务器曾经签发的最后一个证书的过期状态,而切换证书更新方式为CMPv2证书申请方式,来保证重新启用的终端设备实时实现新证书更新,保证业务的正常使用。
在本申请第四方面的实施例中,终端设备确定第m+1个数字证书是过期失效证书,包括:终端设备接收来至下载服务器发送的第m+1个数字证书,并判断第m+1个数字证书是过期失效证书。通过终端设备来判断第m+1个数字证书是否有效,以便切换更新证书的协议,简单便捷。
在本申请第四方面的实施例中,终端设备确定第m+1个数字证书是过期失效证书,包括:终端设备向CA服务器发送更新请求,更新请求用于请求作为第m个数字证书的更新版本的第m+1个数字证书,该更新请求包括第m个数字证书的证书身份标识;终端设备接收CA服务器基于第m个数字证书的证书身份标识确定的第m+1个数字证书为过期失效证书的通知,以确定第m+1个数字证书是过期失效证书。
在本申请第四方面的实施例中,终端设备接收CA服务器发送的第m+1个数字证书的下载地址;终端设备基于下载地址从下载服务器下载第m+1个数字证书。
在本申请第四方面的实施例中,终端设备确定第m+1个数字证书是过期失效证书的情况下,终端设备向CA服务器请求并获取第m+2个数字证书,包括:终端设备采用CMPv2协议,向CA服务器请求并获取第m+2个数字证书。该方法解决了在终端设备停用后,又恢复使用时,由于终端设备被停止证书更新的情况下,无法正常获取新证书的问题。通过切换协议更新的方式,以重新获得能够发送证书更新请求的能力,以获取最新的证书。
第五方面,本申请提供一种数字证书的更新方法,应用于包括证书下载服务器、CA服务器和终端设备的系统,方法包括:终端设备根据终端设备中存储的第m个数字证书,从下载服务器请求作为第m个数字证书的更新版本的第m+1个数字证书;终端设备确定第m+1个数字证书是过期失效证书的情况下,终端设备向CA服务器请求并获取第m+2个数字证书,以替换第m个数字证书,其中,第m+2个数字证书是第m+1个数字证书的更新版本,并且是有效证书。其中,第m个数字证书用于表示CA服务器按照时间先后顺序为终端设备生成的第m个版本的数字证书,则m为大于等于1的自然数。该方法可以避免对于终端设备在停用多年年后重新拿出来使用时,旧证书和新证书都已过期而无法正常使用的问题,通过判断CA服务器曾经签发的最后一个证书的过期状态,而切换证书更新方式为CMPv2证书申请方式,来保证重新启用的终端设备实时实现新证书更新,保证业务的正常使用。
在本申请第五方面的实施例中,终端设备确定第m+1个数字证书是过期失效证书,包括:下载服务器将第m+1个数字证书发送给终端设备;终端设备接收第m+1个数字证书,并判断第m+1个数字证书是过期失效证书。
在本申请第五方面的实施例中,下载服务器将第m+1个数字证书发送给终端设备,进一步包括:下载服务器确定第m+1个数字证书是有效证书的情况下,将第m+1个数字证书标记成已下载。以便于在下一次进行查询时,来判断证书是使用状态或是停用状态。
在本申请第五方面的实施例中,终端设备确定第m+1个数字证书是过期失效证书,包括:终端设备向CA服务器发送更新请求,更新请求用于请求作为第m个数字证书的更新版本的第m+1个数字证书,该更新请求包括第m个数字证书的证书身份标识;CA服务器基于第m个数字证书的证书身份标识从下载服务器上查询与证书身份标识对应的第m+1个数字证书是否为过期失效证书;当CA服务器确定第m+1个数字证书为过期失效证书,并告知终端设备第m+1个数字证书是过期失效证书。
在本申请第五方面的实施例中,CA服务器确定第m+1个数字证书为过期失效证书,包括:CA服务器从下载服务器上查询到第m+1个数字证书被标识为停用标识,则判断第m+1个数字证书为过期失效证书,停用标识用于指示第m+1个数字证书已过有效期。该方法不需要CA服务器在次判断第m+1个数字证书的下载状态,根据停用标识可以直接获得第m+1个数字证书的停用标识,降低资源的占用率,提高通信效率。
在本申请第五方面的实施例中,当CA服务器确定第m+1个数字证书是有效证书的情况下,CA服务器获取第m+1个数字证书的下载地址,并发送给终端设备;终端设备基于下载地址从下载服务器下载第m+1个数字证书。
第六方面,本申请提供一种终端设备,包括:存储器,用于存储由设备的一个或多个处理器执行的指令,以及处理器,用于执行上述第四方面的方法。
第七方面,本申请提供一种CA服务器,存储器,用于存储由设备的一个或多个处理器执行的指令,以及处理器,用于执行上述第一方面实施例的方法。
第八方面,本申请提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器运行时,使得处理器执行第一方面和第二方面实施例的方法。
附图说明
图1为本申请实施例的数字证书更新方法实施环境的场景图;
图2a为本申请一个实施例的手机的结构示意图;
图2b为本申请一个实施例的证书下载服务器的结构示意图;
图2c为本申请一个实施例的CA服务器的结构示意图;
图3为本申请一个实施例的用于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图;
图4a为本申请一个实施例的时间轴示意图;
图4b为本申请一个实施例的数字证书使用状态与时间轴的关系图;
图4c为本申请一个实施例的数字证书停用状态与时间轴的关系图;
图5为本申请一个实施例的于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图;
图6为本申请另一个实施例的用于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图;
图7a为本申请一个实施例的手机的界面示意图;
图7b为本申请一个实施例的手机的界面示意图;
图7c为本申请一个实施例的手机的界面示意图;
图7d为本申请一个实施例的手机的界面示意图;
图7e为本申请一个实施例的手机的界面示意图;
图8为本申请一个实施例的终端设备的结构示意图;
图9为本申请一个实施例的CA服务器的结构示意图;
图10为本申请一个实施例的证书下载服务器的结构示意图;
图11为本申请一些实施例的一种设备的框图;
图12为本申请一些实施例的一种片上系统(SoC)的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
可以理解的是,如本文所使用的,术语“模块””可以指代或者包括专用集成电路(ASIC)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用、或群组)和/或存储器、组合逻辑电路、和/或提供所描述的功能的其他适当硬件组件,或者可以作为这些硬件组件的一部分。
可以理解的是,在本申请各实施例中,处理器可以是微处理器、数字信号处理器、微控制器等,和/或其任何组合。根据另一个方面,所述处理器可以是单核处理器,多核处理器等,和/或其任何组合。需要说明的是,本申请中的网络侧设备可以是基站,也可以是通过基站进行通信的电子设备等,在此并不作为限定。协作通信设备可以是邻近用户终端设备的一个或多个其他终端设备。终端设备可以是符合本申请所公开的能够进行无线通信或网络通信的终端设备,如手机、平板PC、桌上型PC,高清电视机、播放器、机顶盒等。
下面将结合具体的场景对本申请的实施例作进一步地详细描述。
图1示出了数字证书更新方法实施环境的场景图。该数字证书应用于终端设备中,如图1所示,该场景中包括终端设备101、证书下载服务器102和CA服务器103。在终端设备101首次获得数字证书时,终端设备101生成公私钥对,即一对公钥和私钥。私钥仅由终端设备101所有,用于解密和签名。公钥可以向外部公开,用于加密和验证签名。终端设备101将公钥发送给CA服务器103。CA服务器103基于该公钥为终端设备101签发数字证书。在数字证书签发之后,由CA服务器103或证书下载服务器102,提前识别数字证书的距离失效日期的时间,并在距离失效日期的时间达到预设时间时,CA服务器103为该终端设备101签发新的数字证书。例如,在数字证书距离失效日期的时间还有3个月,CA服务器103利用旧的数字证书,即新的数字证书之前的数字证书的公钥、公钥随机升级因子,计算并生成新公钥,并用新公钥来签发作为对旧的数字证书更新的新的数字证书。CA服务器103将新的数字证书发送到证书下载服务器102。由证书下载服务器102进行存储和管理。当终端设备101检测到本地的数字证书快过期,例如,距离失效的时间还有1个月时,终端设备101根据旧数字证书序列号或标识,到证书下载服务器102来查询新的数字证书并下载到本地。终端设备101根据新公钥、随机升级因子和旧私钥等参数计算出新私钥。由于CA服务器103可以提前为终端设备101签发新的数字证书,并存储在证书下载服务器102上,在终端设备101需要时可以在证书下载服务器102上进行下载。也就是说,CA服务器103可以在终端设备101下载之前的任一时间生成新的数字证书,例如,证书有效期一年,终端设备101在第11个月需要下载新的数字证书,那么CA服务器103可以在第一个月到第11个月之间为终端设备101签发新的数字证书。而不是集中在第11个月进行更新。只CA服务器103可以根据实际情况在11个月内对新的数字证书进行签发,可以有效避免因海量终端设备在短期内集中向CA服务器103请求新的数字证书,而影响CA服务器103对新的数字证书的签发。
参考图1所示的数字证书更新方法实施环境的场景图。为了便于理解,将上述新的数字证书定义为第2个数字证书,即基于首次签发的数字证书更新得到的新的数字证书,以第2个数字证书为基础更新的数字证书为第3个数字证书。当在新的数字证书,即第2个数字证书签发之后,由CA服务器103或证书下载服务器102定期对第2个数字证书进行查询,当在设定的时间内,查询到第2个数字证书没有被终端设备下载,则CA服务器103或证书下载服务器102判断该第2个数字证书是停用状态。其中,停用状态用于表示,第2个数字证书在预设时间内没有被终端设备101下载,即被终端设备101停用,同时也说明该终端设备101已经停止使用。则CA服务器103停止将第2个数字证书继续更新为第3个数字证书。也就是说,在终端设备101停止使用后,CA服务器103停止为终端设备101继续更新数字证书,可以有效的避免资源的浪费。
当CA服务器103停止为终端设备101更新第3个数字证书后,若终端设备101又重新被使用时,终端设备101可以通过切换协议的方式获取当前有效的数字证书。例如,终端设备101将在此之前使用的无交互证书自动更新协议(Non-interactive CertificateUpdate Protocol,NICU)切换为v2版本证书管理协议(Certificate Management Protocolv2,CMPv2)。终端设备101采用CMPv2协议主动向CA服务器发送更新请求,该请求用于请求当前时刻的最新的数字证书。以使得终端设备能够在停用后,重新被使用。避免因CA服务器停止为终端设备更新证书后,终端设备无法使用的问题。
本申请的实施例中,无交互证书自动更新协议(Non-interactive CertificateUpdate Protocol,NICU),采用该协议,CA服务器可以在没有终端设备发送更新请求的情况下对终端设备的数字证书进行更新。
v2版本证书管理协议(Certificate Management Protocol v2,CMPv2),为有交互的协议,采用该协议,终端设备向CA服务器发送证书更新请求的情况下,CA服务器将为该终端设备签发新的证书。
为了更好的理解本申请,下面对本申请中提及的术语进行说明。
本申请中的第1个数字证书可以表示为在终端设备首次发布时使用的第一个版本的数字证书。第2个数字证书用于表示对第1个数字证书更新后得到的新的数字证书,第3个数字证书表示对第2个数字证书进行更新后得到的新的数字证书。
需要说明的是,上述场景中,从第2个数字证书、第3个数字证书,只是示例性的说明,还可以是第4个、第5个或其他个数字证书等,在此并不作为限定。
本申请中的终端设备可以是手机、平板电脑、笔记本电脑、超级移动个人计算机、个人数字助理(personal digital assisitant,PDA)、电视、智能手表等设备。本申请中对终端设备的设备类型不予具体限定。
停用状态用于表示,证书不在被终端设备使用,而被停用。也可以判断出终端设备已经停用。具体的如何判断停用状态在下文中进行详细的描述。
使用状态用于表示,证书在有效期内被终端设备下载过,仍然被终端设备使用。
有效证书是指数字证书在有效期内,可以正常使用的数字证书。
失效证书是指数字证书已经过有效期,不能使用的数字证书。
在下面的实施例中,CA服务器首次为终端设备签发的数字证书记作第1个数字证书,而被判断是使用状态或停用状态的数字证书是除第1个数字证书之外的第2个数字证书、第3个数字证书等的数字证书,记作第n个数字证书,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数。
下面结合图2a-2c所示的终端设备、证书下载服务器和CA服务器的结构示意图,分别对数字证书的更新过程进行描述。
以手机作为终端设备为例,对数字证书更新的过程进行描述。图2a示出了手机的结构示意图。参考图2a,可以包括处理器110,外部存储器接口120,内部存储器121,通用串行总线(universal serial bus,USB)接头130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriber identification module,SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A,陀螺仪传感器180B,气压传感器180C,磁传感器180D,加速度传感器180E,距离传感器180F,接近光传感器180G,指纹传感器180H,温度传感器180J,触摸传感器180K,环境光传感器180L,骨传导传感器180M等。
可以理解的是,本发明实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中,电子设备100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
内部存储器121可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。内部存储器121可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序,例如,证书有效性的判断功能等。存储数据区可存储手机100使用过程中所创建的数据,比如证书有效或失效的记录等。此外,内部存储器121可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。处理器110通过运行存储在内部存储器121的指令,和/或存储在设置于处理器中的存储器的指令,执行手机100的各种功能应用以及数据处理。
移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在本申请的一个实施例中,处理器110可以通过运行存储在内部存储器中的指令以实施根据本申请的数字证书的更新方法。在该指令被执行后,处理器110通过控制移动通信模块150或无线通信模块160与证书下载服务器和CA服务器进行通信,以获取信的数字证书。例如,手机100定期根据旧证书的唯一编码(Identity document,ID)到证书下载服务器下载新的数字证书。处理器110还需要对新的数字证书进行判断,判断新的数字证书是否为有效证书,若判断新的数字证书为有效证书,则处理器110根据新公钥、随机升级因子、旧私钥等参数计算出新私钥,用于解密和签名。若判断新的数字证书为失效证书,即已过有效期,则处理器110将执行CMPv2协议,并直接向CA服务器发送证书更新请求,以使CA服务器根据该证书更新请求为手机签发有效的数字证书。
参考图2b,图2b示出了证书下载服务器的结构示意图。如图2b所示,证书下载服务器220可以包括处理器221,内部存储器222和通信模块223。
可以理解的是,本申请实施例示意的结构并不构成对证书下载服务器220的具体限定。在本申请另一些实施例中,证书下载服务器220可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器221可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
内部存储器222和通信模块223的作用和效果可参考手机中的描述,在此不在赘述。
通信模块可以包括移动通信模块和无线通信模块。移动通信模块可以提供应用在证书下载服务器220上的包括2G/3G/4G/5G等无线通信的解决方案。无线通信模块可以提供应用在下载服务器220上的包括无线局域网(wireless local area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。
在本申请的一个实施例中,处理器221可以通过运行存储在内部存储器222中的指令以实施根据本申请的数字证书的更新方法。在该指令被执行后,处理器221判断第n个数字证书是使用状态还是停用状态,通过控制通信模块223与终端设备和CA服务器进行通信。例如,处理器221定期查询本地的已签发的第n数字证书在截止当前查询时间是否被终端设备下载,若被下载过,则判断该第n个数字证书是使用状态,并采用无交互证书更新协议NICU,向CA服务器发送证书更新请求,以使CA服务器对第n数字证书进行更新。若当前查询时间为预设时间,该预设时间是指证书处于有效期内且为证书应当进行更新的最后时间点。例如,在第n个数字证书失效时间之前的1个月的时间点,该第n个数字证书没有被终端设备下载过,则判断该第n个数字证书为停用状态,即因终端设备被停止使用,而不在使用第n个数字证书,那么证书下载服务器通知CA服务器停止更新该第n个数字证书。
处理器221还可以在接收到终端设备的下载请求时,通过通信模块223将对应的证书、随机升级因子发送给终端设备。
此外,证书下载服务器在判断出第n个数字证书为使用状态或停用状态后,还可以将该第n个数字证书标记为对应的使用标识或停用标识。以便于证书下载服务器和CA服务器根据该标识状态可以直接获取该第n个数字证书的是否在使用的状态,而不需要再次进行判断。
参考图2c,图2c示出了CA服务器的结构示意图。如图2c所示,CA服务器230可以包括处理器231,内部存储器232和通信模块233。
可以理解的是,本申请实施例示意的结构并不构成对CA服务器230的具体限定。在本申请另一些实施例中,CA服务器230可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器231可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
内部存储器232和通信模块233的作用和效果可参考手机和证书下载服务器中的描述,在此不在赘述。
在本申请的一个实施例中,处理器231可以通过运行存储在内部存储器232中的指令以实施根据本申请的数字证书的更新方法。在该指令被执行后,处理器231通过通信模块233在接收到证书下载服务器的为第n个数字证书进行更新的更新请求时,执行无交互证书更新协议NICU,根据旧证书的公钥、随机升级因子等参数派生新公钥,并基于新公钥签发新证书,并发送给证书下载服务器。或者,处理器231接收到证书下载服务器停止为第n个数字证书更新的请求时,停止将第n个数字证书更新为第n+1个数字证书。
此外,处理器231还可以周期性地从下载服务器上查询第n个数字证书的下载状态,以判断第n个数字证书是使用状态或停用状态,并在第n个数字证书为使用状态时将第n个数字证书更新为第n+1个数字证书,或者在第n个数字证书为停用状态时停止将第n个数字证书更新为第n+1个数字证书。
下面根据不同的场景对数字证书的更新方法进行描述。
在本申请的一个场景中,结合具体的实施例来介绍数字证书的更新过程。该数字 证书的更新过程适用于终端设备可能由使用状态到停止使用的场景中。图3示出了用于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图。在该场景中,终端设备、证书下载服务器和CA服务器之间采用无交互的证书更新协议。
参考图3所示,为便于理解作为一个示例,按照更新顺序,按照时间先后,CA服务器为运行在终端设备上的特定应用程序签发的数字证书分别以版本(Version,V)号表示,V1.0版的数字证书、V2.0版的数字证书、V3.0版的数字证书等,其中,V1.0版的数字证书表示CA生成的第1个数字证书,以此类推。该V1.0版的数字证书存储在终端设备内,根据本申请的证书更新的方法包括以下步骤:
步骤310,CA服务器生成V2.0版的数字证书。其中,V2.0版的数字证书是终端设备已经在使用的数字证书V1.0版的更新版本。该V1.0版是更新动作前下载的证书,例如可以是,随着在终端设备中安装APP时下载的初始版证书。CA服务器基于终端设备生成的公钥和随机升级因子生成新公钥,为便于理解可以记作V2.0版的公钥,并基于V2.0版的公钥为终端设备生成V2.0版的数字证书。
步骤320,CA服务器将V2.0版的数字证书发送至证书下载服务器。其中,CA服务器将V2.0版的数字证书发送至证书下载服务器的时间在终端设备下载证书之前。例如,一年365天为有效时间,终端设备下载V2.0版的数字证书的最晚的时间是在V2.0版的数字证书从签发日起,第360天为最后下载期限,那么CA服务器至少在该第360天前将V2.0版的数字证书发送至证书下载服务器。以确保终端设备能够有在最晚期限内下载到有效的数字证书。步骤330,证书下载服务器判断V2.0版的数字证书是使用状态或停用状态。
在步骤330中,证书下载服务器可以周期性地,如可以将一天作为一个周期,每天查询V2.0版的数字证书的被终端设备下载的状态,并基于每一天的V2.0版的数字证书的下载状态判断该V2.0版的数字证书的使用状态或停用状态。
下面结合附图对步骤330中的对使用状态和停用状态的判断进行描述。
参考图4a示出的时间轴示意图,结合该时间轴描述有效证书或失效证书件的关系,如图4a所示,在该时间轴中,将t1时刻作为V2.0版的数字证书的签发日期,t2时刻为V2.0版的数字证书的有效期的最后期限日,即V2.0版的数字证书在t1到t2时间段内(包含t1和t2)为有效证书,而在t2之后时间段的为失效证书。
图4b示出了数字证书使用状态与时间轴的关系图,参考图4b所示并结合图4a所示,将t3时刻作为V2.0版的数字证书被终端设备下载的最晚期限。当证书下载服务器在t1-t2之内的任一时刻,例如,在当前t4时刻查询到V2.0版的数字证书被下载,则判断V2.0版的数字证书为使用状态。
图4c示出了数字证书停用状态与时间轴的关系图,参考图4c所示并结合图4a所示,当证书下载服务器在t3时刻查询到V2.0版的数字证书没有被下载,或者在t3之后查询到被下载,则判断该V2.0版的数字证书为停用状态。
本申请实施例中的V2.0版的数字证书为使用状态,可以表明与该V2.0版的数字证书对应的终端设备仍然在使用中。V2.0版的数字证书为停止状态,可以表明与该V2.0版的数字证书对应的终端设备已经停止使用。
在本申请的一个实施例中,当证书下载服务器判断V2.0版的数字证书为使用状态,则证书下载服务器执行步骤341-步骤345。
步骤341,证书下载服务器向CA服务器发送更新请求,该更新请求用于请求作为V2.0版的数字证书的更新版本的V3.0版的数字证书。
步骤342,CA服务器根据该更新请求,执行NICU协议,并生成V3.0版的数字证书。V3.0版的数字证书是V2.0版的数字证书更新后的版本。CA服务器可以基于与V2.0版的数字证书对应的V2.0版的公钥和随机升级因子生成新的公钥,为便于理解,将基于V2.0版的公钥计算生成的新的公钥记作V3.0版的公钥。CA服务器根据V3.0版的公钥签发V3.0版的数字证书,即将V2.0版的数字证书更新为V3.0版的数字证书。
步骤343,CA服务器向证书下载服务器发送V3.0版的数字证书。将V3.0版的数字证书存储在证书下载服务器上,在终端设备需要时,从证书下载服务器上下载该V3.0版的数字证书,以更新本地的V2.0版的数字证书。
步骤344,终端设备定期从证书下载服务器下载V3.0版的数字证书。
根据本申请的一个实施例,终端设备向证书下载服务器发送新证书下载请求,该下载请求中包括旧证书,即V2.0版的数字证书ID,证书下载服务器根据V2.0版的数字证书ID将与V2.0版的数字证书ID对应的更新后的V3.0版的数字证书、V3.0版的公钥和随机升级因子发送给终端设备。
步骤345,终端设备将V2.0版的数字证书替换为V3.0版的数字证书。
终端设备可以根据由CA服务器生成的V3.0版的公钥、随机升级因子和V2.0版的数字证书的私钥,计算出新的私钥,通过新的私钥进行解密和签名,并使用该V3.0版的数字证书。
在本申请的一个实施例中,参考图3所示,当证书下载服务器判断V2.0版的数字证书为停用状态时,则执行步骤350。
步骤350,证书下载服务器停止向CA服务器发送更新请求。以使得CA服务器停止将V2.0版的数字证书更新为V3.0版的数字证书。
此外,证书下载服务器也可以向CA服务器发送停止更新请求的通知,以使得CA服务器在接收到该通知后,停止将V2.0版的数字证书更新为V3.0版的数字证书。
根据本申请实施例的数字证书的更新方法,可以通过对V2.0版的数字证书的使用状态和停用状态进行判断,只有在V2.0版的数字证书为使用状态时,CA服务器将V2.0版的数字证书更新为V3.0版的数字证书。而在V2.0版的数字证书为停用状态时,CA服务器不再将V2.0版的数字证书更新为V3.0版的数字证书。可以有效的避免终端设备停止使用时,CA服务器继续为该终端设备更新证书,而造成资源的浪费。
此外,在本申请的另一个实施例中,对于V2.0版的数字证书是使用状态或停用状态的判断,也可以由CA服务器进行判断,CA服务器可以定期到证书下载服务器查询V2.0版的数字证书的下载状态,以判断该V2.0版的数字证书是使用状态或停用状态,具体的判断方法可参见证书下载服务器判断的过程,在此不在赘述。
在本申请的一个实施例中,当V2.0版的数字证书被证书下载服务器或CA服务器判断出是使用状态或停用状态后,由证书下载服务器为V2.0版的数字证书设置已经被终端设备使用的在用标识或已经被终端设备停用的停用标识。以使得证书下载服务器和CA服务器根据V2.0版的数字证书的使用标识和停用标识可以直接确定V2.0版的数字证书是使用状态或停用状态,而不需要再次进行判断。
在本申请的另一个场景中,结合具体的实施例来介绍数字证书的更新过程。该数 字证书的更新过程适用于终端设备可能停用后又重新启用的场景中。在该场景中,若终端设备停用后,导致终端设备从证书下载服务器获取到的新证书是失效证书,则终端设备、证书下载服务器和CA服务器之间由采用的无交互的证书更新协议更改为CMPv2协议。
根据本申请的一个实施例,图5示出了用于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图。参考图5所示,该方法包括以下步骤:
步骤510,终端设备向下载服务器发送数字证书的更新请求。该请求中包括终端设备内已经存储的旧证书ID。为了便于理解本申请的技术方法,在该场景中将终端设备内已经存储的旧证书记作V3.0版的数字证书,将基于V3.0版的数字证书更新后的数字证书为V4.0版的数字证书。也就是说,终端设备基于V3.0版的数字证书ID向证书下载服务器请求作为V3.0版的数字证书的更新版本的V4.0版的数字证书。步骤520,证书下载服务器将本地最新版本的V4.0版的数字证书发送给终端设备。具体地,证书下载服务器根据V3.0版的数字证书ID找到该V3.0版的数字证书更新后的V4.0版的数字证书,并将V4.0版的数字证书和随机升级因子发送给终端设备。
步骤530,终端设备判断V4.0版的数字证书为有效证书或失效证书。其中,V4.0版的数字证书的是否为有效证书的判断具体可参见上述实施例中图4及对于V2.0版的数字证书有效性的判断方法,在此不在赘述。
当终端设备判断V4.0版的数字证书为有效证书,则执行步骤531-532。
在步骤531中,终端设备根据由CA服务器生成的与V4.0版的数字证书对应的公钥、随机升级因子和V3.0版的数字证书的私钥,计算出新的私钥。
在步骤532中,终端设备通过新的私钥解码V4.0版的数字证书,并签名,将V3.0版的数字证书替换为V4.0版的数字证书。
当终端设备判断V4.0版的数字证书为失效证书,则执行步骤533-步骤535。
在步骤533中,终端设备使用CMPv2协议,向CA服务器发送数字证书的更新请求。
在步骤534中,CA服务器根据步骤533中的更新请求,签发V5.0版的数字证书。其中,V5.0版的数字证书为当前的有效的数字证书。CA服务器可以根据与V4.0版的数字证书对应的公钥、随机升级因子生成新的公钥,并基于该新的公钥签发V5.0版的数字证书。
在步骤535中,CA服务器将V5.0版的数字证书发送给终端设备。
在本申请的一个实施例中,CA服务器还可以将V5.0版的数字证书发送至证书下载服务器,以便于证书下载服务器对V5.0版的数字证书进行存储和管理。终端设备接收V5.0版的数字证书,并将V3.0版的数字证书替换为V5.0版的数字证书。
在本申请的另一个实施例,上述步骤510和步骤530中,终端设备获取V4.0版的数字证书的方式,还可以为终端设备直接向CA服务器发送请求的方式获取V4.0版的数字证书,具体参考图6所示用于终端设备、证书下载服务器和CA服务器之间的数字证书的更新方法的流程图。
参考图6所示,该方法包括以下步骤:
步骤610,终端设备向CA服务器发送数字证书的更新请求。该请求中包括终端设备内已经存储的旧证书ID。也就是说,终端设备基于V3.0版的数字证书ID向证书下载服务器请求作为V3.0版的数字证书的更新版本的V4.0版的数字证书。
步骤620,CA服务器基于该更新请求从证书下载服务器查询与V3.0版的数字证书ID对应的更新版本,即V4.0版的数字证书是否为有效证书。
若V4.0版的数字证书为有效证书,则执行步骤621-623。
在步骤621,CA服务器将V4.0版的数字证书的下载地址发送给终端设备。
在步骤622,终端设备根据V4.0版的数字证书下载地址从证书下载服务器上下载V4.0版的数字证书和随机升级因子。
在步骤623,终端设备基于V4.0版的数字证书对应的公钥、随机升级因子和V3.0版的数字证书的私钥生成新的私钥,并基于新私钥计算解码,将V3.0版的数字证书更新为V4.0版的数字证书。
证书下载服务器将V4.0版的数字证书发送给终端设备。具体地,证书下载服务器根据V3.0版的数字证书ID找到该V3.0版的数字证书更新后的V4.0版的数字证书,并将V4.0版的数字证书和随机升级因子发送给终端设备。
若V4.0版的数字证书为失效证书,则执行步骤624-627。
在步骤624,CA服务器将V4.0版的数字证书为失效证书的消息发送终端设备。
在步骤625-步骤627的步骤与上述实施例中步骤533-步骤535相同,具体可参见上述实施例中的描述,在此不再赘述。在本申请的一个实例中,终端设备的数字证书的更新过程还可以通过界面显示,终端设备以手机为例进行说明。
结合图5和图6中的步骤510和步骤610,参考图7a,图7a示出了手机的界面示意图。如图7a所示的界面710中包括证书状态提示区711,当手机本地的数字证书即将到期后,该证书状态提示区711可以文字显示“当前证书需要更新,您是否要更新当前最新版本”。用户可以根据需要手动选择是,以使手机执行步骤510或步骤610,向证书下载服务器或CA服务器发送数字证书的更新请求。此外用户也可以设置默认值,在证书即将过期时,终端设备自动对数字证书进行更新。
参考图7b-7c,图7b示出了手机的界面示意图。结合图5和图6中的步骤520和步骤622,如图7b所示的界面720中包括证书状态提示区721,当证书下载服务器将本地最新版本的V4.0版的数字证书发送给手机,界面720中的证书状态提示区721中显示“正在从证书下载服务器上下载的V4.0版的数字证书”。或者图形结合方式显示,如图7c所示,界面730中的证书状态提示区731中显示手机和证书下载服务器,及文字描述。
当证书下载服务器将本地最新版本的V4.0版的数字证书发送给手机,如果手机判断V4.0版的数字证书处于有效状态,则手机执行图5所示的步骤531和步骤532,以被手机使用。如果手机判断V4.0版的数字证书在当前时刻也已经过期,即该证书为无效证书,则执行图5所示的步骤533-535,以获取当前有效的数字证书。
参考图7d,图7d示出了手机的界面示意图。结合图5中的步骤530和图6中的步骤624,如图7d所示的界面740中包括证书状态提示区741,当终端设备判断V4.0版的数字证书为失效证书,或者,CA服务器告知终端设备V4.0版的数字证书为失效证书。证书状态提示区741弹出“V4.0版的数字证书已过期,是否更改协议,并获取新的数字证书”。当用户选择是,则手机将当前执行的NICU协议更改为CMPv2协议,以向CA服务器获取有效的数字证书。例如,上述实施例中的V5.0版的数字证书。此外,用户也可以默认数字证书为失效证书时,手机可以自动执行将当前执行的NICU协议更改为CMPv2协议。
此外,结合步骤534和步骤627,当手机直接从CA服务器上获取新的数字证书时,如图7e所示,界面750中的证书状态提示区751可以显示“正在从CA服务器上获取V5.0版的数字证书”。另外,也可以如图7c所示的图形和文字结合的方式显示。
需要说明的是,界面中也可以是文字加图形、文字加语音、或文字加图形和语音的形式输出,在此并不作为限定。
需要说明的是,在上述终端设备停用后,重新启用的场景中,若终端设备已经停用后,终端设备停用后,导致终端从证书下载服务器获取到的新证书是失效证书,则终端设备、证书下载服务器和CA服务器之间由采用的无交互的证书更新协议更改为CMPv2协议。终端设备通过CMPv2协议,获取当前有效的数字证书。而在终端设备获取有效数字证书之后,则终端设备、证书下载服务器和CA服务器之间重新执行无交互的证书更新协议,获取下一个周期的新的数字证书。具体获取新的数字证书的方式参考图3中所示方法,在此不再赘述。需要说明的是,本申请实施例中提及的V2.0版的数字证书、V3.0版的数字证书、V4.0版的数字证书、V5.0版的数字证书只是示例性的说明,并不限于上述版本,也可以是V6.0版的数字证书、V7.0版的数字证书等。
根据本申请实施例的数字证书的更新方法,当终端设备不在使用时,CA服务器不在为该终端设备自动更新数字证书的情况下,终端设备可以在数字证书为失效证书时,采用CMPv2协议向CA服务器主动申请更新数字证书,以获取更新后的有效证书,进而可以避免因终端设备被停用,由于证书失效不在更新而导致无法使用的问题。提高了用户的体验。
基于上面的描述,下面具体描述本申请的一种终端设备,该终端设备用于执行上述实施例中与终端设备对应的方法。图8示出了终端设备的结构示意图。如图8所示,该终端设备包括:
存储模块810,用于存储数字证书的私钥,以及数字证书;
处理模块820,处理模块820根据存储模块中存储的第m个数字证书,从下载服务器请求作为第m个数字证书的更新版本的第m+1个数字证书,其中,第m个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第m个版本的数字证书,则m为大于等于1的自然数;
处理模块820确定第m+1个数字证书是过期失效证书的情况下,处理模块820向CA服务器请求并获取第m+2个数字证书,以替换第m个数字证书,其中,第m+2个数字证书是第m+1个数字证书的更新版本,并且是有效证书。
在本申请的一个实施例中,终端设备还包括:通信模块830,处理模块820通过通信模块830接收来至证书下载服务器发送的第m+1个数字证书,证书判断模块840,判断第m+1个数字证书是过期失效证书。
在本申请的一个实施例中,处理模块820确定第m+1个数字证书是过期失效证书,包括:
处理模块820通过通信模块830向CA服务器发送更新请求,更新请求用于请求作为第m个数字证书的更新版本的第m+1个数字证书,该更新请求包括第m个数字证书的证书身份标识;
处理模块820接收CA服务器基于第m个数字证书的证书身份标识确定的第m+1个数字证书为过期失效证书的通知,以确定第m+1个数字证书是过期失效证书。
在本申请的一个实施例中,通信模块830接收CA服务器发送的第m+1个数字证书的下载地址;
处理模块820基于下载地址并通过通信模块830从下载服务器下载第m+1个数字证书。
在本申请的一个实施例中,终端设备包括:
处理模块820采用CMPv2协议,向CA服务器请求并获取第m+2个数字证书。
本申请的终端设备的各模块的连接关系及作用在上述实施例中已经详细的说明,具体可参见上述实施例的数字证书的更新方法,在此不在赘述。
根据本申请实施例的终端设备800,可以判断数字证书是失效证书或有效证书,并在数字证书的失效证书时,采用CMPv2协议,向CA服务器请求并获取新的数字证书,以获取新的数字证书。以避免在使用NICU协议交互后,在手机停用以后,CA服务器不在签发新的证书,而导致终端设备无法使用的问题。
图9示出了CA服务器的结构示意图。如图9所示,该CA服务器900包括:
证书生成模块910,生成第n个数字证书,第n个数字证书用于终端设备。其中,证书生成模块基于终端设备生成的公钥和随机升级因子生成新公钥,并基于新公钥为终端设备生成第n个数字证书,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;
处理模块920通过通信模块930将第n个数字证书发送给证书下载服务器。
处理模块920确定第n个数字证书是使用状态或停用状态;
在第n个数字证书为使用状态的情况下,证书生成模块910生成并提供用于终端设备的,作为第n个数字证书的更新版本的第n+1个数字证书;
在第n+1个数字证书为停用状态的情况下,证书生成模块910不生成用于终端设备的,作为第n+1个数字证书的更新版本的第n+1个数字证书。
在本申请的一个实施例中,CA服务器还包括:
处理模块920周期性地从下载服务器上查询第n个数字证书的下载状态,并通过证书判断模块940在各个周期内基于下载状态判断第n个数字证书是使用状态或停用状态,其中,下载状态用于指示在截止当前查询时刻第n个数字证书是否已被终端设备下载过。
在本申请的一个实施例中,证书判断模块940根据下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备使用的在用标识,以表示第n个数字证书是使用状态;或者,
证书判断模块940根据下载服务器为第n个数字证书设置用于指示第n个数字证书正处于被终端设备停用的停用标识,以表示第n个数字证书是停用状态。
本申请的CA服务器的各模块的连接关系及作用在上述实施例中已经详细的说明,具体可参见上述实施例的数字证书的更新方法,在此不在赘述。
根据本申请实施例的CA服务器900,可以判断数字证书是停用状态或使用状态,并在数字证书的停用状态时,停止为该数字证书对应的终端设备继续签发证书,避免新签发的证书不能被有效的利用而造成资源的浪费。
图10示出了证书下载服务器的结构示意图。如图10所示,该证书下载服务器包括:
通信模块1010,接收CA服务器为终端设备生成第n个数字证书,并存储在存储模块1020中,以供终端设备从证书下载服务器下载,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;
处理模块1020确定第n个数字证书是使用状态或停用状态;
在第n个数字证书为使用状态的情况下,通信模块1010输出证书更新请求,证书更新请求用于向CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书;
在第n个数字证书为停用状态的情况下,通信模块1010输出证书停止更新通知,证书停止更新通知用于通知CA服务器停止将第n个数字证书更新为第n+1个数字证书。
根据本申请的一个实施例,处理模块1020周期性地查询第n个数字证书的下载状态,并通过证书判断模块1040在各个周期内基于下载状态判断第n个数字证书是使用状态或停用状态,其中,下载状态用于指示在截止当前查询时刻第n个数字证书是否已被终端设备下载过。
根据本申请的一个实施例,处理模块1020为第n个数字证书设置用于指示第n个数字证书正处于被终端设备使用的在用标识,以表示第n个数字证书是使用状态,对于具有在用标识的第n个数字证书,通信模块1010从CA服务器获取作为第n个数字证书的更新版本的第n+1个数字证书。
在本申请的一个实施例中,在第n个数字证书为使用状态的情况下,通信模块1010向CA服务器发送更新请求,更新请求用于请求作为第n个数字证书的更新版本的第n+2个数字证书,以使CA服务器根据更新请求提供第n+2个数字证书。
在本申请的一个实施例中,处理模块1020为第n个数字证书设置用于指示第n个数字证书已被终端设备停用的停用标识,以表示第n个数字证书是停用状态,对于具有停用标识的第n个数字证书,通信模块1010输出证书停止更新通知。
本申请的证书下载服务器的各模块的连接关系及作用在上述实施例中已经详细的说明,具体可参见上述实施例的数字证书的更新方法,在此不在赘述。
根据本申请实施例的证书下载服务器1000,可以判断第n个数字证书是停用状态或使用状态,并在第n个数字证书的停用状态时,停止向CA服务器发送数字证书的更新请求,以使得CA服务器停止为该第n个数字证书对应的终端设备继续签发证书,避免新签发的证书不能被有效的利用而造成资源的浪费。且通过证书下载服务器可以存储数字证书,而在终端设备需要更新内部的证书时,可以直接到CA上进行下载,避免批量终端设备同时向CA服务器申请时,对CA服务器造成性能瓶颈的问题。
本申请还提供了一种终端设备,包括:
存储器,用于存储由设备的一个或多个处理器执行的指令,以及
处理器,用于执行上述实施例中图3、图5和图6中的数字证书的更新方法。
本申请还提供了一种CA服务器,包括:
存储器,用于存储由设备的一个或多个处理器执行的指令,以及
处理器,用于执行上述实施例中图3、图5和图6中的数字证书的更新方法。
本申请还提供了一种证书下载服务器,包括:
存储器,用于存储由设备的一个或多个处理器执行的指令,以及
处理器,用于执行上述实施例中图3、图5和图6中的数字证书的更新方法。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器运行时,使得处理器执行上述实施例的图3、图5和图6中的数字证书的更新方法。
现在参考图11,所示为根据本申请的一个实施例的设备1200的框图。设备1200可以包括耦合到控制器中枢1203的一个或多个处理器1201。对于至少一个实施例,控制器中枢1203经由诸如前端总线(Front Side Bus,FSB)之类的多分支总线、诸如快速通道互连(Quick Path Interconnect,QPI)之类的点对点接口、或者类似的连接1206与处理器1201进行通信。处理器1201执行控制一般类型的数据处理操作的指令。在一实施例中,控制器中枢1203包括,但不局限于,图形存储器控制器中枢(Graphics Memory Controller Hub,GMCH)(未示出)和输入/输出中枢(Input Output Hub,IOH)(其可以在分开的芯片上)(未示出),其中GMCH包括存储器和图形控制器并与IOH耦合。
设备1200还可包括耦合到控制器中枢1203的协处理器1202和存储器1204。或者,存储器和GMCH中的一个或两者可以被集成在处理器内(如本申请中所描述的),存储器1204和协处理器1202直接耦合到处理器1201以及控制器中枢1203,控制器中枢1203与IOH处于单个芯片中。存储器1204可以是例如动态随机存取存储器(Dynamic Random AccessMemory,DRAM)、相变存储器(Phase Change Memory,PCM)或这两者的组合。在一个实施例中,协处理器1202是专用处理器,诸如例如高吞吐量MIC处理器(Many Integerated Core,MIC)、网络或通信处理器、压缩引擎、图形处理器、通用图形处理器(General PurposeComputing on GPU,GPGPU)、或嵌入式处理器等等。协处理器1202的任选性质用虚线表示在图11中。
存储器1204作为计算机可读存储介质,可以包括用于存储数据和/或指令的一个或多个有形的、非暂时性计算机可读介质。例如,存储器1204可以包括闪存等任何合适的非易失性存储器和/或任何合适的非易失性存储设备,例如一个或多个硬盘驱动器(Hard-Disk Drive,HDD(s)),一个或多个光盘(Compact Disc,CD)驱动器,和/或一个或多个数字通用光盘(Digital Versatile Disc,DVD)驱动器。
在一个实施例中,设备1200可以进一步包括网络接口(Network InterfaceController,NIC)1206。网络接口1206可以包括收发器,用于为设备1200提供无线电接口,进而与任何其他合适的设备(如前端模块,天线等)进行通信。在各种实施例中,网络接口1206可以与设备1200的其他组件集成。网络接口1206可以实现上述实施例中的通信单元的功能。
设备1200可以进一步包括输入/输出(Input/Output,I/O)设备1205。I/O 1205可以包括:用户界面,该设计使得用户能够与设备1200进行交互;外围组件接口的设计使得外围组件也能够与设备1200交互;和/或传感器设计用于确定与设备1200相关的环境条件和/或位置信息。
值得注意的是,图11仅是示例性的。即虽然图11中示出了设备1200包括处理器1201、控制器中枢1203、存储器1204等多个器件,但是,在实际的应用中,使用本申请各方法的设备,可以仅包括设备1200各器件中的一部分器件,例如,可以仅包含处理器1201和NIC1206。图11中可选器件的性质用虚线示出。
根据本申请的一些实施例,作为计算机可读存储介质的存储器1204上存储有指令,该指令在计算机上执行时使系统1200执行根据上述实施例中的计算方法,具体可参照上述实施例的数字证书的更新方法,在此不再赘述。
现在参考图12,所示为根据本申请的一实施例的SoC(System on Chip,片上系统)1300的框图。在图12中,相似的部件具有同样的附图标记。另外,虚线框是更先进的SoC的可选特征。在图12中,SoC1300包括:互连单元1350,其被耦合至应用处理器1310;系统代理单元1380;总线控制器单元1390;集成存储器控制器单元1340;一组或一个或多个协处理器1320,其可包括集成图形逻辑、图像处理器、音频处理器和视频处理器;静态随机存取存储器(Static Random Access Memory,SRAM)单元1330;直接存储器存取(DMA)单元1360。在一个实施例中,协处理器1320包括专用处理器,诸如例如网络或通信处理器、压缩引擎、GPGPU、高吞吐量MIC处理器、或嵌入式处理器等。
静态随机存取存储器(SRAM)单元1330中可以包括用于存储数据和/或指令的一个或多个计算机可读介质。计算机可读存储介质中可以存储有指令,具体而言,存储有该指令的暂时和永久副本。该指令可以包括:由处理器中的至少一个单元执行时使Soc1300执行根据上述实施例中的数字证书的更新方法,具体可参照上述实施例的更新方法,在此不再赘述。
本申请公开的机制的各实施例可以被实现在硬件、软件、固件或这些实现方法的组合中。本申请的实施例可实现为在可编程系统上执行的计算机程序或程序代码,该可编程系统包括至少一个处理器、存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备以及至少一个输出设备。
可将程序代码应用于输入指令,以执行本申请描述的各功能并生成输出信息。可以按已知方式将输出信息应用于一个或多个输出设备。为了本申请的目的,处理系统包括具有诸如例如数字信号处理器(Digital Signal Processor,DSP)、微控制器、专用集成电路(Application Specific Integrated Circuit,ASIC)或微处理器之类的处理器的任何系统。
程序代码可以用高级程序化语言或面向对象的编程语言来实现,以便与处理系统通信。在需要时,也可用汇编语言或机器语言来实现程序代码。事实上,本申请中描述的机制不限于任何特定编程语言的范围。在任一情形下,该语言可以是编译语言或解释语言。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合来实现。所公开的实施例还可以被实现为由一个或多个暂时或非暂时性机器可读(例如,计算机可读)存储介质承载或存储在其上的指令,其可以由一个或多个处理器读取和执行。例如,指令可以通过网络或通过其他计算机可读介质分发。因此,机器可读介质可以包括用于以机器(例如,计算机)可读的形式存储或传输信息的任何机制,包括但不限于,软盘、光盘、光碟、光盘只读存储器(Compact Disc Read Only Memory,CD-ROMs)、磁光盘、只读存储器(Read OnlyMemory,ROM)、随机存取存储器(RAM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically ErasableProgrammable Read Only Memory,EEPROM)、磁卡或光卡、闪存、或用于利用因特网以电、光、声或其他形式的传播信号来传输信息(例如,载波、红外信号数字信号等)的有形的机器可读存储器。因此,机器可读介质包括适合于以机器(例如,计算机)可读的形式存储或传输电子指令或信息的任何类型的机器可读介质。
在附图中,可以以特定布置和/或顺序示出一些结构或方法特征。然而,应该理解,可能不需要这样的特定布置和/或排序。而是,在一些实施例中,这些特征可以以不同于说明书附图中所示的方式和/或顺序来布置。另外,在特定图中包括结构或方法特征并不意味着暗示在所有实施例中都需要这样的特征,并且在一些实施例中,可以不包括这些特征或者可以与其他特征组合。
需要说明的是,本申请各设备实施例中提到的各单元/模块都是逻辑单元/模块,在物理上,一个逻辑单元/模块可以是一个物理单元/模块,也可以是一个物理单元/模块的一部分,还可以以多个物理单元/模块的组合实现,这些逻辑单元/模块本身的物理实现方式并不是最重要的,这些逻辑单元/模块所实现的功能的组合才是解决本申请所提出的技术问题的关键。此外,为了突出本申请的创新部分,本申请上述各设备实施例并没有将与解决本申请所提出的技术问题关系不太密切的单元/模块引入,这并不表明上述设备实施例并不存在其它的单元/模块。
需要说明的是,在本专利的示例和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本申请的某些优选实施例,已经对本申请进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。
Claims (28)
1.一种数字证书的更新方法,应用于CA服务器,所述CA服务器为终端设备生成并提供数字证书,其特征在于,该方法包括:
所述CA服务器生成第n个数字证书,将所述第n个数字证书用于终端设备;
所述CA服务器确定所述第n个数字证书是使用状态或停用状态,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;
在所述第n个数字证书为使用状态的情况下,所述CA服务器生成并提供用于终端设备的,作为所述第n个数字证书的更新版本的第n+1个数字证书;
在所述第n个数字证书为停用状态的情况下,所述CA服务器不生成用于终端设备的,作为所述第n个数字证书的更新版本的第n+1个数字证书。
2.根据权利要求1所述的方法,其特征在于,所述CA服务器确定所述第n个数字证书是使用状态或停用状态,包括:
所述CA服务器周期性地从下载服务器上查询所述第n个数字证书的下载状态,并在各个周期内基于所述下载状态判断所述第n个数字证书是使用状态或停用状态,其中,所述下载状态用于指示在截止当前查询时刻所述第n个数字证书是否已被所述终端设备下载过。
3.根据权利要求1或2所述的方法,其特征在于,所述CA服务器确定所述第n个数字证书是使用状态或停用状态,包括:
所述CA服务器根据所述证书下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书正处于被所述终端设备使用的在用标识,以表示所述第n个数字证书是使用状态;或者,
所述CA服务器根据所述下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书正处于被所述终端设备停用的停用标识,以表示所述第n个数字证书是停用状态。
4.根据权利要求1所述的方法,其特征在于,所述CA服务器确定所述第n个数字证书是使用状态;
在所述第n个数字证书为使用状态的情况下,所述CA服务器提供用于终端设备的,作为所述第n个数字证书的更新版本的第n+1个数字证书,包括:
所述CA服务器基于第n-1个数字证书的公钥和随机升级因子生成新公钥,并基于所述新公钥为所述终端设备生成所述第n个数字证书;
所述CA服务器将所述第n个数字证书发送给证书下载服务器。
5.一种数字证书的更新方法,应用于证书下载服务器,其特征在于,该方法包括:
所述证书下载服务器接收CA服务器为终端设备生成第n个数字证书,以供所述终端设备从所述证书下载服务器下载,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;
所述证书下载服务器确定所述第n个数字证书是使用状态或停用状态;
在所述第n个数字证书为使用状态的情况下,所述证书下载服务器输出证书更新请求,所述证书更新请求用于向CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书;
在所述第n个数字证书为停用状态的情况下,所述证书下载服务器输出证书停止更新通知,所述证书停止更新通知用于通知所述CA服务器停止将所述第n个数字证书更新为所述第n+1个数字证书。
6.根据权利要求5所述的方法,其特征在于,所述证书下载服务器确定所述第n个数字证书是使用状态或停用状态,包括:
所述证书下载服务器周期性地查询所述第n个数字证书的下载状态,并在各个周期内基于所述下载状态判断所述第n个数字证书是使用状态或停用状态,其中,所述下载状态用于指示在截止当前查询时刻所述第n个数字证书是否已被所述终端设备下载过。
7.根据权利要求5或6所述的方法,其特征在于,在所述第n个数字证书为使用状态的情况下,所述证书下载服务器从CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书,包括:
所述下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书正处于被所述终端设备使用的在用标识,以表示所述第n个数字证书是使用状态,
对于具有所述在用标识的第n个数字证书,所述下载服务器从所述CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书。
8.根据权利要求5或6所述的方法,其特征在于,
在所述第n个数字证书为使用状态的情况下,所述下载服务器向所述CA服务器发送更新请求,所述更新请求用于请求作为所述第n个数字证书的更新版本的第n+1个数字证书,以使所述CA服务器根据所述更新请求提供所述第n+1个数字证书。
9.根据权利要求5所述的方法,其特征在于,在所述第n个数字证书为停用状态的情况下,所述证书下载服务器输出证书停止更新通知,包括:
所述证书下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书已被所述终端设备停用的停用标识,以表示所述第n个数字证书是停用状态,
对于具有所述停用标识的第n个数字证书,所述证书下载服务器输出证书停止更新通知。
10.一种数字证书的更新方法,应用于包括终端设备、证书下载服务器和CA服务器的系统,其特征在于,该方法包括:
所述CA服务器为所述终端设备生成第n个数字证书,将所述第n个数字证书发送至所述证书下载服务器,以供所述终端设备从所述证书下载服务器下载,其中,第n个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第n个版本的数字证书,则n为大于等于2的自然数;
所述证书下载服务器确定所述第n个数字证书是使用状态或停用状态;
在所述第n个数字证书为使用状态的情况下,所述证书下载服务器从CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书;
在所述第n个数字证书为停用状态的情况下,所述证书下载服务器停止向所述CA服务器发送更新请求;
所述CA服务器根据该更新请求,停止将所述第n个数字证书更新为所述第n+1个数字证书。
11.根据权利要求10所述的方法,其特征在于,所述证书下载服务器确定所述第n个数字证书是使用状态或停用状态,包括:
所述证书下载服务器周期性地查询所述第n个数字证书的下载状态,并在各个周期内基于所述下载状态判断所述第n个数字证书是使用状态或停用状态,其中,所述下载状态用于指示在截止当前查询时刻所述第n个数字证书是否已被所述终端设备下载过。
12.根据权利要求10或11所述的方法,其特征在于,在所述第n个数字证书为使用状态的情况下,所述证书下载服务器从CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书,包括:
所述下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书正处于被所述终端设备使用的在用标识,以表示所述第n个数字证书是使用状态,
对于具有所述在用标识的第n个数字证书,所述下载服务器从所述CA服务器获取作为所述第n个数字证书的更新版本的第n+1个数字证书。
13.根据权利要求10或11所述的方法,其特征在于,
在所述第n个数字证书为使用状态的情况下,所述证书下载服务器向所述CA服务器发送更新请求,所述更新请求用于请求作为所述第n个数字证书的更新版本的第n+1个数字证书;
所述CA服务器根据所述更新请求,向所述证书下载服务器发送所述第n+1个数字证书。
14.根据权利要求12所述的方法,其特征在于,在所述第n个数字证书为停用状态的情况下,所述证书下载服务器停止向所述CA服务器发送更新请求,包括:
所述证书下载服务器为所述第n个数字证书设置用于指示所述第n个数字证书已被所述终端设备停用的停用标识,以表示所述第n个数字证书是停用状态,
对于具有所述在用标识的第n个数字证书,所述证书下载服务器停止向所述CA服务器发送更新请求。
15.一种数字证书的更新方法,应用于终端设备,其特征在于,所述方法包括:
所述终端设备根据所述终端设备中存储的第m个数字证书,从证书下载服务器请求作为所述第m个数字证书的更新版本的第m+1个数字证书,其中,第m个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第m个版本的数字证书,则m为大于等于1的自然数;
所述终端设备确定所述第m+1个数字证书是过期失效证书的情况下,所述终端设备向CA服务器请求并获取第m+2个数字证书,以替换所述第m个数字证书,其中,所述第m+2数字证书是所述第m+1数字证书的更新版本,并且是有效证书。
16.根据权利要求15所述的方法,其特征在于,所述终端设备确定所述第m+1数字证书是过期失效证书,包括:
所述终端设备接收来至所述下载服务器发送的所述第m+1数字证书,并判断所述第m+1数字证书是过期失效证书。
17.根据权利要求15所述的方法,其特征在于,所述终端设备确定所述第m+1个数字证书是过期失效证书,包括:
所述终端设备向CA服务器发送更新请求,所述更新请求用于请求作为所述第m个数字证书的更新版本的第m+1个数字证书,该更新请求包括所述第m个数字证书的证书身份标识;
所述终端设备接收所述CA服务器基于第m个数字证书的证书身份标识确定的所述第m+1个数字证书为过期失效证书的通知,以确定所述第m+1个数字证书是过期失效证书。
18.根据权利要求17所述的方法,其特征在于,
所述终端设备接收所述CA服务器发送的所述第m+1个数字证书的下载地址;
所述终端设备基于所述下载地址从所述下载服务器下载所述第m+1个数字证书。
19.根据权利要求15所述的方法,其特征在于,所述终端设备确定所述第m+1个数字证书是过期失效证书的情况下,所述终端设备向所述CA服务器请求并获取第m+2个数字证书,包括:
所述终端设备采用CMPv2协议,向所述CA服务器请求并获取第m+2个数字证书。
20.一种数字证书的更新方法,应用于包括证书下载服务器、CA服务器和终端设备的系统,其特征在于,所述方法包括:
所述终端设备根据所述终端设备中存储的第m个数字证书,从所述下载服务器请求作为所述第m个数字证书的更新版本的第m+1个数字证书,其中,第m个数字证书用于表示CA服务器按照时间先后顺序为所述终端设备生成的第m个版本的数字证书,则m为大于等于1的自然数;
所述终端设备确定所述第m+1个数字证书是过期失效证书的情况下,所述终端设备向所述CA服务器请求并获取第m+2个数字证书,以替换所述第m个数字证书,其中,所述第m+2个数字证书是所述第m+1个数字证书的更新版本,并且是有效证书。
21.根据权利要求20所述的方法,其特征在于,所述终端设备确定所述第m+1个数字证书是过期失效证书,包括:
所述证书下载服务器将所述第m+1个数字证书发送给所述终端设备;
所述终端设备接收所述第m+1个数字证书,并判断所述第m+1个数字证书是过期失效证书。
22.根据权利要求20所述的方法,其特征在于,所述下载服务器将所述第m+1个数字证书发送给所述终端设备,进一步包括:
所述证书下载服务器确定所述第m+1个数字证书是有效证书的情况下,将所述第m+1个数字证书标记成已下载。
23.根据权利要求20所述的方法,其特征在于,所述终端设备确定所述第m+1个数字证书是过期失效证书,包括:
所述终端设备向所述CA服务器发送更新请求,所述更新请求用于请求作为所述第m个数字证书的更新版本的第m+1个数字证书,该更新请求包括所述第m个数字证书的证书身份标识;
所述CA服务器基于所述第m个数字证书的证书身份标识从所述下载服务器上查询与所述证书身份标识对应的第m+1个数字证书是否为过期失效证书;
当所述CA服务器确定所述第m+1个数字证书为过期失效证书,并告知所述终端设备所述第m+1个数字证书是过期失效证书。
24.根据权利要求23所述的方法,其特征在于,所述CA服务器确定所述第m+1个数字证书为过期失效证书,包括:
所述CA服务器从所述下载服务器上查询到所述第m+1个数字证书被标识为停用标识,则判断所述第m+1个数字证书为过期失效证书,所述停用标识用于指示所述第m+1个数字证书已过有效期。
25.根据权利要求23所述的方法,其特征在于,
当所述CA服务器确定所述第m+1个数字证书是有效证书的情况下,所述CA服务器获取所述第m+1个数字证书的下载地址,并发送给所述终端设备;
所述终端设备基于所述下载地址从所述下载服务器下载所述第m+1个数字证书。
26.一种终端设备,其特征在于,包括:
存储器,用于存储由设备的一个或多个处理器执行的指令,以及
处理器,用于执行上述权利要求15-19任一项所述的方法。
27.一种CA服务器,其特征在于,包括:
存储器,用于存储由设备的一个或多个处理器执行的指令,以及
处理器,用于执行上述权利要求1-5任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器运行时,使得所述处理器执行权利要求1-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010837137.8A CN114172653B (zh) | 2020-08-19 | 2020-08-19 | 数字证书的更新方法、终端设备、ca服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010837137.8A CN114172653B (zh) | 2020-08-19 | 2020-08-19 | 数字证书的更新方法、终端设备、ca服务器及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114172653A true CN114172653A (zh) | 2022-03-11 |
| CN114172653B CN114172653B (zh) | 2024-03-15 |
Family
ID=80475325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010837137.8A Active CN114172653B (zh) | 2020-08-19 | 2020-08-19 | 数字证书的更新方法、终端设备、ca服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114172653B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117082520A (zh) * | 2023-10-13 | 2023-11-17 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126433A1 (en) * | 2001-12-27 | 2003-07-03 | Waikwan Hui | Method and system for performing on-line status checking of digital certificates |
| WO2004044717A1 (en) * | 2002-11-08 | 2004-05-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
| US20170104749A1 (en) * | 2015-10-13 | 2017-04-13 | Cloudpath Networks, Inc. | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
-
2020
- 2020-08-19 CN CN202010837137.8A patent/CN114172653B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126433A1 (en) * | 2001-12-27 | 2003-07-03 | Waikwan Hui | Method and system for performing on-line status checking of digital certificates |
| WO2004044717A1 (en) * | 2002-11-08 | 2004-05-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
| US20170104749A1 (en) * | 2015-10-13 | 2017-04-13 | Cloudpath Networks, Inc. | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration |
| CN110381077A (zh) * | 2019-07-26 | 2019-10-25 | 中国工商银行股份有限公司 | 针对数字证书的处理方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117082520A (zh) * | 2023-10-13 | 2023-11-17 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
| CN117082520B (zh) * | 2023-10-13 | 2024-01-09 | 武汉信安珞珈科技有限公司 | 数字证书处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114172653B (zh) | 2024-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020042778A1 (zh) | 固件升级方法及装置 | |
| JP4685876B2 (ja) | 複数の信用証明認証プロトコルを提供するシステム及び方法 | |
| CA2616358C (en) | Secure software updates | |
| US9301132B2 (en) | Managing distribution of software updates in near field communication (NFC) mobile devices | |
| KR102082854B1 (ko) | 업데이트된 프로파일을 다운로드하기 위한 방법, 서버들 및 시스템 | |
| EP2645665A1 (en) | Bluetooth loe energy privacy | |
| US20170201378A1 (en) | Electronic device and method for authenticating identification information thereof | |
| CN112654100B9 (zh) | 一种信息处理方法和相关网络设备 | |
| JP2018533282A (ja) | コンピューティングデバイス上の証明書を管理するための技法 | |
| CN111918274B (zh) | 码号配置、管理方法、装置、电子设备及可读存储介质 | |
| US11678176B1 (en) | Electronic subscriber identity module (eSIM) transfer via activation code | |
| CN115918031A (zh) | 执行边缘计算服务的电子装置和电子装置的操作方法 | |
| CN114172653B (zh) | 数字证书的更新方法、终端设备、ca服务器及存储介质 | |
| US20230224216A1 (en) | System and method for subscription limitation enforcement in distributed system | |
| CN111818518A (zh) | 基于应用软件的5g消息接收方法、装置及存储介质 | |
| US9948632B2 (en) | Sharing data between sandboxed applications with certificates | |
| WO2020134719A1 (zh) | 移动终端及其预置应用程序的卸载方法、存储器 | |
| JP2009200845A (ja) | 移動端末の記憶システム及びアクセス制御方法 | |
| JP4106875B2 (ja) | 電子デバイス、電子デバイス内の情報更新システム、情報更新方法およびそのプログラム | |
| US20210273817A1 (en) | Secure certificate or key distribution | |
| US11297488B2 (en) | Electronic device in which profile is installed and operating method for electronic device | |
| US20210273920A1 (en) | Secure certificate or key distribution for synchronous mobile device management (mdm) clients | |
| US11570009B1 (en) | Systems and methods for onboarding IoT devices with session certificates | |
| CN112003815A (zh) | 通信系统、方法和装置、定位系统、计算设备和存储介质 | |
| US11588861B2 (en) | Electronic device and operating method for registering IP multimedia subsystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |