CN115277011A - 安全证书获取方法、系统、计算机设备及存储介质 - Google Patents

安全证书获取方法、系统、计算机设备及存储介质 Download PDF

Info

Publication number
CN115277011A
CN115277011A CN202210811202.9A CN202210811202A CN115277011A CN 115277011 A CN115277011 A CN 115277011A CN 202210811202 A CN202210811202 A CN 202210811202A CN 115277011 A CN115277011 A CN 115277011A
Authority
CN
China
Prior art keywords
certificate
service providing
remote service
public key
providing platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210811202.9A
Other languages
English (en)
Inventor
李甜
程中阳
黄强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Jinkang Sailisi New Energy Automobile Design Institute Co Ltd
Original Assignee
Chongqing Jinkang Sailisi New Energy Automobile Design Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing Jinkang Sailisi New Energy Automobile Design Institute Co Ltd filed Critical Chongqing Jinkang Sailisi New Energy Automobile Design Institute Co Ltd
Priority to CN202210811202.9A priority Critical patent/CN115277011A/zh
Publication of CN115277011A publication Critical patent/CN115277011A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种安全证书获取方法、系统、计算机设备及存储介质,所述方法包括:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对网联产品件中的第一证书进行验证,若验证通过则根据第一证书向远程服务提供平台申请第二证书;利用第二证书替换第一证书,将换取的第二证书预埋于设备应用端的网联产品件中。采用本方法能够解决正式证书预埋传输问题,正式使用的安全证书在生命周期始终控制在设备应用端内部网络,避免了人工干预的场景,从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题,提高了证书传输的安全性。

Description

安全证书获取方法、系统、计算机设备及存储介质
技术领域
本申请涉及数据安全传输的技术领域,特别是涉及一种安全证书获取方法、系统、计算机设备及存储介质。
背景技术
现智能汽车网联产品件需要预埋安全证书,用于车端与云端建立安全通讯和合法认证。传统方案是车企将安全证书通过网络邮件或U盘存储形式发给网联产品供应商,由供应商在开发时进行预埋,此环节存在安全隐患,即安全证书通过网络邮件或U盘传递存在人工参与场景,同时证书出了车企内部网联,有证书泄露风险,如被黑客利用可产生严重的安全隐患。
因此,亟需提出一种降低证书泄露风险及其产生的安全隐患的安全证书获取方法、系统、计算机设备及存储介质。
发明内容
基于此,有必要针对上述技术问题,提供一种能够降低证书泄露风险的安全证书获取方法、系统、计算机设备及存储介质。
一方面,提供一种安全证书获取方法,所述方法包括:
步骤A:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
步骤B:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
步骤C:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
在其中一个实施例中,还包括:所述方法还包括:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
在其中一个实施例中,还包括:所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码;向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
在其中一个实施例中,还包括:所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
在其中一个实施例中,还包括:所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥;利用所述公钥基础设施根证书验证所述第一证书的合法性:采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
在其中一个实施例中,还包括:所述根据所述第一证书向所述远程服务提供平台申请第二证书包括:当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件;对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯;认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
在其中一个实施例中,还包括:利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;所述设备应用端写入所述第二证书以替换所述第一证书;将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
另一方面,提供了一种安全证书获取系统,所述系统包括:
第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
再一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
步骤A:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
步骤B:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
步骤C:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
步骤A:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
步骤B:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
步骤C:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
本申请实现的有益效果为:上述的安全证书获取方法、系统、计算机设备及存储介质,所述方法包括:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,本申请通过设备供应终端主动向设备应用端申请临时证书的方法,将临时证书预埋在网联产品件中,而后在设备应用端的产线上,再通过产线电检触发网联产品件的临时证书换取正式证书,解决正式证书预埋传输问题,正式使用的安全证书在生命周期始终控制在设备应用端内部网络,不存在传输问题,且临时证书一旦发现泄露,可通过管控手段禁止申请正式证书,避免了人工干预的场景,从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题,提高了证书的安全性。
附图说明
图1为一个实施例中安全证书获取方法的应用环境图;
图2为一个实施例中安全证书获取方法的流程示意图;
图3为一个实施例中安全证书获取方法的另一流程示意图;
图4为一个实施例中安全证书获取系统的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的安全证书获取方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信,设备供应终端和设备应用端通过网络与设置于服务器104上的远程服务提供平台进行通信。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种安全证书方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
S1:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中。
需要说明的是,在执行该步骤之前,需基于所述公钥基础设施(PKI,Public KeyInfrastructure)预先生成应用于所述远程服务提供平台(TSP,Telematics ServiceProvider)的第三证书,并将所述第三证书离线发送给所述远程服务提供平台,其中,所述第三证书为安全证书,即为应用于所述远程服务提供平台的正式证书,所述第三证书用于后续与设备供应终端做双向认证,以提高证书传输过程的安全性。
进一步的,示例性的,设备供应终端可以是TBOX(Telematics-BOX,车载通讯终端)供应商,相当于设备零件供应者,而下文所述的设备应用端可以是车企生产产线,相当于将所述设备零件进行组装的生产线,另外,远程服务提供平台即为云平台,用于进行业务校验。
更进一步的,所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:
所述设备供应终端利用源代码基础库(Open SSL基础库)随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码,其中,私钥不公开,所述私钥用于后续的双向认证通讯,P10是指PKCS#10规范,其中,p10文件由公钥和自定义主题构成,本申请关键主题由TBOX的PDID、证书批次号、证书批次数量组合生成;
向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件,其中,所述PDID在远程服务提供平台有维护入口,对设备供应终端的证书申请批次号和批次数量有设定,设定规则为根据设备供应终端产能比例设置,建议值是每批次不大于1000,时长从申请时算起不超过3个月,且所述第一证书按批次从PKI系统申请,同一批次的第一证书相同,同一批次的第一证书才可以换取对应正式证书,正式证书即第二证书是唯一的,如存在第一证书泄露情况,可注销该批次第一证书号,影响范围可控;
所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
将所述第一证书预埋于网联产品件中,其中,网联产品件指的是设备供应终端所提供的各种形式的可以上网的零部件,示例性的,该设备可以是TBOX。
设备供应终端通过网页形式申请临时证书,在供应商侧预埋临时证书,避免了人工干预的场景。
S2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
需要说明的是,所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:
在所述设备应用端写入公钥基础设施根证书(PKI根证书)、PDID、所述第一证书以及所述第一证书的私钥;
利用所述公钥基础设施根证书验证所述第一证书的合法性:
采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
具体的,所述RSA签名算法是一种非对称加密,可以在不直接传递密钥的情况下,完成解密,能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险,是由一对密钥来进行加解密的过程,分别称之为公钥和私钥,如果用公钥进行加密,则只能通过对应的私钥去解密,如果用私钥进行加密,则只能通过对应的公钥去解密,数字签名的过程简述为:发送方通过不可逆算法对内容msg1进行处理(哈希),得到的结果值hash1,然后用私钥加密hash1得到结果encry1,对方接收encry1和msg1,用公钥解密encry1得到hash1,然后再用msg1进行同等的不可逆处理得到hash2,对hash1和hash2进行对比即可认证发送方。
进一步的,根据所述第一证书向所述远程服务提供平台申请第二证书包括:
当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件,即集成PKI-SDK(Software Development Kit,软件开发工具包)生成第二公私钥对及第二p10文件,其中,SDK包是C语言库,可在TBOX软件编译的时候打包进去,由PKI系统提供,内容是一系列底层加解密和验签函数,包括了公私钥对的生成;
对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯,示例性的,即车企云平台认证TBOX,TBOX认证车企云平台;
认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;
所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量,其中,所述第三证书和所述第一证书均由PKI系统根私钥签名,因此合法性得到保证;所述第一证书只能用作申请正式证书使用,如用作业务证书通讯,云平台检验出则会报错无法继续;所述设备供应终端通过网页(WEB)页面申请证书的批次号和数量是通过云平台后到PKI系统申请的,因此可以在云平台得到检验;
当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
具体的,所述第二p10文件在产线外部生成,即通过PKI-SDK生成,所述第三p10文件由产线内部生成,因此,正式证书始终控制在车企内部网络,且不通过人工参预埋与传递,避免出现泄露风险的问题。
S3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
具体的,累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
所述设备应用端写入所述第二证书以替换所述第一证书;
将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
上述安全证书获取方法中,设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,通过设备供应终端主动向设备应用端申请临时证书的方法,将临时证书预埋在网联产品件中,而后在设备应用端的产线上,再通过产线电检触发网联产品件的临时证书换取正式证书,解决正式证书预埋传输问题,正式使用的安全证书在生命周期始终控制在设备应用端内部网络,不存在传输问题,且临时证书一旦发现泄露,可通过管控手段禁止申请正式证书,避免了人工干预的场景,从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题,提高了证书的安全性。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
在一个实施例中,如图4所示,提供了一种安全证书获取系统,包括:第一证书申请及下载模块、第二证书生成模块和证书替换及预埋模块,其中:
第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
所述系统还包括:
第三证书生成模块,用于基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
作为一种较优的实施方式,本发明实施例中,所述第一证书申请及下载模块具体用于:
所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码;
向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书;
其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
作为一种较优的实施方式,本发明实施例中,所述第二证书生成模块具体用于:
在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥;
利用所述公钥基础设施根证书验证所述第一证书的合法性:
采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件;
对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯;
认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;
所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
作为一种较优的实施方式,本发明实施例中,所述证书替换及预埋模块具体用于:利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:
累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
所述设备应用端写入所述第二证书以替换所述第一证书;
将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
关于安全证书获取系统的具体限定可以参见上文中对于安全证书获取方法的限定,在此不再赘述。上述安全证书获取系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
实施例三
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全证书获取方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
S1:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
S2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
S3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
S4:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码;
向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书;
其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥;
利用所述公钥基础设施根证书验证所述第一证书的合法性:
采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件;
对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯;
认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;
所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
所述设备应用端写入所述第二证书以替换所述第一证书;
将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
实施例四
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
S1:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
S2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
S3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
S4:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码;
向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥;
利用所述公钥基础设施根证书验证所述第一证书的合法性:
采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件;
对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯;
认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;
所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
所述设备应用端写入所述第二证书以替换所述第一证书;
将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种安全证书获取方法,其特征在于,所述方法包括:
设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
2.根据权利要求1所述的安全证书获取方法,其特征在于,所述方法还包括:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
3.根据权利要求1所述的安全证书获取方法,其特征在于,所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:
所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件,所述PDID为网联设备追溯码;
向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
4.根据权利要求3所述的安全证书获取方法,其特征在于,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;
所述临时证书的预设效期为三个月。
5.根据权利要求1、3~4任一所述的安全证书获取方法,其特征在于,所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:
在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥;
利用所述公钥基础设施根证书验证所述第一证书的合法性:
采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
6.根据权利要求5所述的安全证书获取方法,其特征在于,所述根据所述第一证书向所述远程服务提供平台申请第二证书包括:
当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件;
对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯;
认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求;
所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
当所述第一证书的合法性和用途、所述PDID的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
7.根据权利要求2或6所述的安全证书获取方法,其特征在于,利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:
累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
所述设备应用端写入所述第二证书以替换所述第一证书;
将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
8.一种安全证书获取系统,其特征在于,包括:
第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202210811202.9A 2022-07-11 2022-07-11 安全证书获取方法、系统、计算机设备及存储介质 Pending CN115277011A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210811202.9A CN115277011A (zh) 2022-07-11 2022-07-11 安全证书获取方法、系统、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210811202.9A CN115277011A (zh) 2022-07-11 2022-07-11 安全证书获取方法、系统、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN115277011A true CN115277011A (zh) 2022-11-01

Family

ID=83765556

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210811202.9A Pending CN115277011A (zh) 2022-07-11 2022-07-11 安全证书获取方法、系统、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN115277011A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107919955A (zh) * 2017-12-28 2018-04-17 北京奇虎科技有限公司 一种车辆网络安全认证方法、系统、车辆、装置及介质
US20180262350A1 (en) * 2016-08-19 2018-09-13 Tencent Technology (Shenzhen) Company Limited Network node encryption method and apparatus
CN110138562A (zh) * 2018-02-09 2019-08-16 腾讯科技(北京)有限公司 智能设备的证书签发方法、装置及系统
CN111193748A (zh) * 2020-01-06 2020-05-22 惠州市德赛西威汽车电子股份有限公司 一种交互式密钥安全认证方法及系统
US11246032B1 (en) * 2020-10-29 2022-02-08 Motional Ad Llc Device provisioning and authentication
CN114125771A (zh) * 2021-11-22 2022-03-01 武汉中海庭数据技术有限公司 一种基于车辆ota更新的信息安全控制方法及控制系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180262350A1 (en) * 2016-08-19 2018-09-13 Tencent Technology (Shenzhen) Company Limited Network node encryption method and apparatus
CN107919955A (zh) * 2017-12-28 2018-04-17 北京奇虎科技有限公司 一种车辆网络安全认证方法、系统、车辆、装置及介质
CN110138562A (zh) * 2018-02-09 2019-08-16 腾讯科技(北京)有限公司 智能设备的证书签发方法、装置及系统
CN111193748A (zh) * 2020-01-06 2020-05-22 惠州市德赛西威汽车电子股份有限公司 一种交互式密钥安全认证方法及系统
US11246032B1 (en) * 2020-10-29 2022-02-08 Motional Ad Llc Device provisioning and authentication
CN114125771A (zh) * 2021-11-22 2022-03-01 武汉中海庭数据技术有限公司 一种基于车辆ota更新的信息安全控制方法及控制系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ASTROPHEL_06C5: "PKCS#10 以及证书颁发过程", Retrieved from the Internet <URL:https://www.jianshu.com/p/d532126e9709> *
汪洋等: "T-BOX终端信息安全防护设计", 工程科技Ⅱ辑, 25 May 2021 (2021-05-25) *
鱼亮等: "证书认证中心管理证书的策略及实现", 电子科技, no. 06, 28 June 2006 (2006-06-28) *

Similar Documents

Publication Publication Date Title
CN108768664B (zh) 密钥管理方法、装置、系统、存储介质和计算机设备
CN108810894B (zh) 终端授权方法、装置、计算机设备和存储介质
CN107231351B (zh) 电子证件的管理方法及相关设备
CN108322451B (zh) 数据处理方法、装置、计算机设备和存储介质
CN108833355B (zh) 数据处理方法、装置、计算机设备和计算机可读存储介质
US11853438B2 (en) Providing cryptographically secure post-secrets-provisioning services
KR101712784B1 (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
TWI454111B (zh) 用於確保通訊之鑑別及完備性的技術
CN109359977B (zh) 网络通信方法、装置、计算机设备和存储介质
CN111343170B (zh) 电子签约方法及系统
CN103051451A (zh) 安全托管执行环境的加密认证
CN111241555B (zh) 模拟用户登录的访问方法、装置、计算机设备和存储介质
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN107743067A (zh) 数字证书的颁发方法、系统、终端以及存储介质
CN112036834B (zh) 电子证据的调证方法、装置、计算机设备及存储介质
CN109560934B (zh) 数据防篡改方法、装置、计算机设备和存储介质
CN113438205B (zh) 区块链数据访问控制方法、节点以及系统
US20130173923A1 (en) Method and system for digital content security cooperation
CN110011796B (zh) 证书更新方法、装置、计算机设备和存储介质
CN111510426A (zh) 物联网配网加密方法、装置、系统、电子设备及存储介质
CN113676332A (zh) 二维码认证方法、通信设备及存储介质
CN114500069A (zh) 一种电子合同的存储及共享的方法与系统
CN113868713B (zh) 一种数据验证方法、装置、电子设备及存储介质
CN108959908B (zh) 一种与接入sdk的移动平台进行认证的方法、计算机设备及存储介质
CN112637307B (zh) 文件更新方法、系统、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination