CN116455579A - 数字证书管理方法及系统 - Google Patents
数字证书管理方法及系统 Download PDFInfo
- Publication number
- CN116455579A CN116455579A CN202310370786.5A CN202310370786A CN116455579A CN 116455579 A CN116455579 A CN 116455579A CN 202310370786 A CN202310370786 A CN 202310370786A CN 116455579 A CN116455579 A CN 116455579A
- Authority
- CN
- China
- Prior art keywords
- certificate
- issuing center
- encryption
- digital
- demand data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 29
- 238000000034 method Methods 0.000 claims description 47
- 238000012795 verification Methods 0.000 claims description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 23
- 238000013507 mapping Methods 0.000 claims description 5
- 238000013139 quantization Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 abstract description 12
- 238000012545 processing Methods 0.000 abstract description 6
- 230000006854 communication Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 230000008676 import Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及数据安全技术领域,具体提供一种数字证书管理方法及系统,包括:配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。本发明通过基于不同服务端的安全需求为服务端生成安全度匹配的数字证书,由此可以避免为安全需求低的服务端生成高安全度的数字证书,降低了证书签发中心的计算量,节省了证书签发中心的计算资源,同时也提升了证书签发中心的业务处理能力。
Description
技术领域
本发明属于数据安全技术领域,具体涉及一种数字证书管理方法及系统。
背景技术
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
现有的证书签发方法严重依赖证书签发中心,以BMC为例,如图1所示,由BMC作为服务端进行方法,服务端通过随机数生成CSR和私钥K,并将CSR交给证书签发中心;证书签发中心通过随机数生成根证书R,并根据根证书R和CSR签发数字证书A;服务端将私钥K和数字证书A进行匹配,匹配后将数字证书A导入服务端;证书签发中心将根证书R导入用户端;当用户端和服务端通信时,用户端根据根证书R和数字证书A验证是否匹配,若匹配则身份验证完成。
证书签发中心在签发证书时往往是按照设定好的安全等级进行证书签发,选用的加密算法固定,不同安全需求的服务端占用的计算资源相同,而在服务端数量较多时,就会造成证书签发中心的资源不足,无法正常签发数字证书。
发明内容
针对现有技术的上述不足,本发明提供一种数字证书管理方法及系统,以解决上述技术问题。
第一方面,本发明提供一种数字证书管理方法,包括:
配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
在一个可选的实施方式中,所述需求数据包括:
一类需求数据,包括证书的应用场景;
二类需求数据,包括私钥算法、私钥长度、签名算法、私钥密码。
在一个可选的实施方式中,与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书,包括:
接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
将证书申请文件发送至证书签发中心,以使证书签发中心基于证书请求文件生成数字证书和用户端需求的根证书;
利用私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书,以利用所述数字证书对用户端根证书进行身份验证。
在一个可选的实施方式中,证书签发中心基于需求数据生成安全等级和生成方式的方法包括:
将需求数据中的应用场景基于预设的应用场景安全需求转换为安全等级系数;
评估安全等级
其中,EA是加密算法量化系数、KL是私钥长度、CVP是证书有效期、SCVP是作为基准时间的标准证书有效期;
表示当CVP为0时,证书不合理,安全等级最低;当CVP和SCVP相等时,安全等级正常;当CVP是SCVP的两倍时,证书时间过长,安全等级进一步降低;
对安全等级SL求解时,将该安全等级向上取整;
基于预先设定的安全等级与生成方式的映射关系,调取与安全等级SL对应的生成方式。
在一个可选的实施方式中,与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书,包括:
接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
在一个可选的实施方式中,证书签发中心生成加密根证书的方法包括:
接收的证书申请文件触发证书签发中心通过随机数生成根证书和第一私钥;
利用所述第一私钥将所述根证书加密为加密根证书。
在一个可选的实施方式中,基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书,包括:
基于证书签发规则,根据加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,所述加密证书在证书签发中心被加解密算法基于所述第一私钥解密为数字证书。
第二方面,本发明还提供一种数字证书管理方法,包括:
服务端生成证书申请文件和私钥;
将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
第三方面,本发明提供一种数字证书管理系统,包括:
需求配置模块,用于配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
证书生成模块,用于与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
在一个可选的实施方式中,所述需求数据包括:
一类需求数据,包括证书的应用场景;
二类需求数据,包括私钥算法、私钥长度、签名算法、私钥密码。
在一个可选的实施方式中,证书生成模块包括:
文件生成单元,用于接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
文件发送单元,用于将证书申请文件发送至证书签发中心,以使证书签发中心基于证书请求文件生成数字证书和用户端需求的根证书;
证书导入单元,用于利用私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书,以利用所述数字证书对用户端根证书进行身份验证。
在一个可选的实施方式中,证书签发中心基于需求数据生成安全等级和生成方式的方法包括:
将需求数据中的应用场景基于预设的应用场景安全需求转换为安全等级系数;
评估安全等级
其中,EA是加密算法量化系数、KL是私钥长度、CVP是证书有效期、SCVP是作为基准时间的标准证书有效期;
表示当CVP为0时,证书不合理,安全等级最低;当CVP和SCVP相等时,安全等级正常;当CVP是SCVP的两倍时,证书时间过长,安全等级进一步降低;
对安全等级SL求解时,将该安全等级向上取整;
基于预先设定的安全等级与生成方式的映射关系,调取与安全等级SL对应的生成方式。
在一个可选的实施方式中,证书生成模块包括:
基础生成单元,用于接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
文件交互单元,用于将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
证书生成单元,用于基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
证书验证单元,利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
在一个可选的实施方式中,证书签发中心生成加密根证书的方法包括:
接收的证书申请文件触发证书签发中心通过随机数生成根证书和第一私钥;
利用所述第一私钥将所述根证书加密为加密根证书。
在一个可选的实施方式中,证书生成单元包括:
基于证书签发规则,根据加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,所述加密证书在证书签发中心被加解密算法基于所述第一私钥解密为数字证书。
第四方面,本发明还提供一种数字证书管理系统,包括:
基础生成模块,用于服务端生成证书申请文件和私钥;
申请发送模块,用于将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
证书生成模块,用于基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
证书导入模块,用于利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
第五方面,提供一种终端,包括:
处理器、存储器,其中,
该存储器用于存储计算机程序,
该处理器用于从存储器中调用并运行该计算机程序,使得终端执行上述的终端的方法。
第六方面,提供了一种计算机存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本发明的有益效果在于,本发明提供的数字证书管理方法及系统,通过基于不同服务端的安全需求为服务端生成安全度匹配的数字证书,由此可以避免为安全需求低的服务端生成高安全度的数字证书,降低了证书签发中心的计算量,节省了证书签发中心的计算资源,同时也提升了证书签发中心的业务处理能力。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有数字证书管理方法的示例图。
图2是本发明一个实施例的方法的示意性流程图。
图3是本发明一个实施例的方法的一个示例性流程图。
图4是本发明一个实施例的方法的一个示例性流程图。
图5是本发明一个实施例的方法的另一示意性流程图。
图6是本发明一个实施例的系统的示意性框图。
图7是本发明一个实施例的系统的另一示意性框图。
图8为本发明实施例提供的一种终端的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
下面对本发明中出现的关键术语进行解释。
CSR,全称为:Certificate Signing Request,证书请求文件的缩写。CSR是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。通常CSR文件是在拿到参考码、授权码进行证书签发和下载时,通过网页提交给CA的(也可以由浏览器自动生成)。
本发明实施例提供的数字证书管理方法由计算机设备执行,相应地,数字证书管理系统运行于计算机设备中。
图2是本发明一个实施例的方法的示意性流程图。其中,图2执行主体可以为一种数字证书管理系统。根据不同的需求,该流程图中步骤的顺序可以改变,某些可以省略。
如图2所示,该方法包括:
步骤210,配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
步骤220,与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
为了便于对本发明的理解,下面以本发明数字证书管理方法的原理,结合实施例中对数字证书进行管理的过程,对本发明提供的数字证书管理方法做进一步的描述。
具体的,所述数字证书管理方法包括:
S1、配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度。
其中,一类需求数据,包括证书的应用场景;二类需求数据,包括私钥算法、私钥长度、签名算法、私钥密码。
具体的,针对任意服务端(Fx)不明确申请证书的加密情况、有效期等,在服务端添加需求层。需求层数据可由Fx主动修改,或通过局域网批量设置。需求数据包括:第一类需求数据为必要数据,该证书的应用场景,比如BMC访问、员工机器访问、存放加密文件、公司最高级别机密等,针对每种需求可进行一定层次的量化,以便于整体调控;第二类需求数据为可选数据,如密钥算法(RSA、SHA等),密钥长度,签名算法,私钥密码、备用名称等。
S2、与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
基于需求数据的协商过程包括:服务端接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;将证书申请文件发送至证书签发中心,以使证书签发中心基于证书请求文件生成数字证书和用户端需求的根证书;利用私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书,以利用所述数字证书对用户端根证书进行身份验证。
如图3所示,服务端Fx将需求数据发送给证书签发中心F1。证书签发中心F1接收到需求数据后,计算出需求数据所对应的安全等级,并将安全等级和相应生成方式发回给服务端Fx。服务端Fx接收后,根据安全等级和生成方式在本地生成私钥K、CSR,并将CSR上传给证书签发中心F1。证书签发中心F1接收到CSR后,通过随机数生成根证书R,并根据根证书R和CSR签发数字证书A。然后证书签发中心F1将数字证书A发送给服务端Fx。服务端Fx接收到数字证书A后,将私钥K和数字证书A进行匹配,匹配后将数字证书A导入本地系统或数据库,同时向证书签发中心F1反馈成功导入提示信息。在收到向服务端导入数字证书A成功的提示后,证书签发中心F1将根证书发送至用户端。后续当用户端向服务端Fx发送通信建立请求时,用户端根据根证书R和服务端Fx反馈的数字证书A验证是否匹配,若匹配则身份验证完成,通过身份验证后用户端才可以与服务端Fx成功建立通信。
其中证书签发中心基于需求数据生成安全等级和生成方式的方法包括:
将需求数据中的应用场景基于预设的应用场景安全需求转换为安全等级系数;
评估安全等级
其中,EA是加密算法量化系数、KL是私钥长度、CVP是证书有效期、SCVP是作为基准时间的标准证书有效期;
表示当CVP为0时,证书不合理,安全等级最低;当CVP和SCVP相等时,安全等级正常;当CVP是SCVP的两倍时,证书时间过长,安全等级进一步降低;
对安全等级SL求解时,将该安全等级向上取整;
基于预先设定的安全等级与生成方式的映射关系,调取与安全等级SL对应的生成方式。
为了进一步降低证书签发中心F1的计算量,将证书生成过程转移至服务端完成,服务端增设的计算层可承担证书签发中心F1原本根据CSR生成数字证书的任务,这部分计算量是F1计算压力的主要组成部分。具体实现方法如图4所示,包括以下步骤:
服务端Fx将需求数据交给证书签发中心F1,证书签发中心F1将与需求数据匹配的安全等级和生成方式返给服务端Fx,该过程可参考上述实施方式。服务端Fx基于接收到的安全等级和生成方式生成CSR和私钥K并将CSR提交给证书签发中心F1。证书签发中心F1核验CSR有效,通过随机数生成根证书R,并将根证书R进行J方法加密生成加密根证书RL。证书签发中心F1将RL发给服务端Fx。服务端Fx结合CSR和RL生成数字加密证书AL,并将AL发送给证书签发中心F1。证书签发中心F1将AL解密为数字证书A。证书签发中心F1将数字证书A发给服务端Fx。服务端Fx将私钥K和数字证书A进行匹配,匹配通过才可将数字证书A导入服务端Fx的系统。完成数字证书导入后,证书签发中心F1将根证书R导入用户端。当用户端请求与服务端Fx建立通信时,根据根证书R和服务端Fx的数字证书A是否匹配进行身份验证,若两者匹配则成功建立通信连接。
其中证书签发中心利用J方法加密根证书的方法包括:证书签发中心F1再生成一个私钥NKx,以便于加密和解密数字证书A。其中NKx和服务端Fx中的x表示此私钥仅供服务端Fx一台设备专用。具体加解密根证书的过程包括:服务端Fx将CSR提交给证书签发中心F1。证书签发中心F1接收到CSR后,通过随机数生成根证书R,并通过随机数生成私钥NKx。证书签发中心将根证书R使用NKx加密生成加密根证书RL。证书签发中心F1将RL发给服务端Fx。服务端Fx接收到RL后,结合CSR和RL生成数字加密证书AL,并将AL上传至证书签发中心F1。证书签发中心F1接收到AL后,使用NKx将AL解密为数字证书A,并将数字证书A发送给服务端Fx。
在本发明的另一种实施方式中,请参考图5,仅在各服务端添加计算层,计算层执行方法包括:
步骤510,服务端生成证书申请文件和私钥;
步骤520,将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
步骤530基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
步骤540利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
该种实施方式中,由服务端承担生成证书的任务。这种方式也能够极大降低证书签发中心的计算量。通过添加计算层使得原本证书签发中心F1的功能从原来的一次性生成生成随机数、根据随机数一次性生成根证书R、解析CSR并审核CSR、根据根证书R和CSR签发数字证书A(占绝大多数的计算量)变成了一次性生成生成随机数、根据随机数一次性生成根证书R、解析并审核CSR、将根证书R通过其他非对称加密的方式生成加密证书RL、将Fx返回来的AL解密成数字证书A。
具体的,服务端Fx生成证书申请请求CSR和私钥K,并将CSR提交给证书签发中心F1。证书签发中心F1核验CSR有效,通过随机数生成根证书R,并将根证书R进行J方法加密生成加密根证书RL。证书签发中心F1将RL发给服务端Fx。服务端Fx结合CSR和RL生成数字加密证书AL,并将AL发送给证书签发中心F1。证书签发中心F1将AL解密为数字证书A。证书签发中心F1将数字证书A发给服务端Fx。服务端Fx将私钥K和数字证书A进行匹配,匹配通过才可将数字证书A导入服务端Fx的系统或数据库。完成数字证书导入后,证书签发中心F1将根证书R导入用户端。当用户端请求与服务端Fx建立通信时,根据根证书R和服务端Fx的数字证书A是否匹配进行身份验证,若两者匹配则成功建立通信连接。
其中证书签发中心利用J方法加密根证书的方法包括:证书签发中心F1再生成一个私钥NKx,以便于加密和解密数字证书A。其中NKx和服务端Fx中的x表示此私钥仅供服务端Fx一台设备专用。具体加解密根证书的过程包括:服务端Fx将CSR提交给证书签发中心F1。证书签发中心F1接收到CSR后,通过随机数生成根证书R,并通过随机数生成私钥NKx。证书签发中心将根证书R使用NKx加密生成加密根证书RL。证书签发中心F1将RL发给服务端Fx。服务端Fx接收到RL后,结合CSR和RL生成数字加密证书AL,并将AL上传至证书签发中心F1。证书签发中心F1接收到AL后,使用NKx将AL解密为数字证书A,并将数字证书A发送给服务端Fx。
现有技术中的计算量由于加密算法复杂、密钥长度较长,安全等级高,往往需要较多时间;而在本发明的实施方式只需要保证证书签发中心F1和服务端Fx在交换数据的过程的安全等级即可,这个通信过程往往会显著低于原方案的安全等级。因此可以显著减少证书签发中心F1的压力。
在一些实施例中,所述数字证书管理系统600可以包括多个由计算机程序段所组成的功能模块。所述数字证书管理系统600中的各个程序段的计算机程序可以存储于计算机设备的存储器中,并由至少一个处理器所执行,以执行(详见图1描述)数字证书管理的功能。
本实施例中,所述数字证书管理系统600根据其所执行的功能,可以被划分为多个功能模块,如图6所示。所述功能模块可以包括:需求配置模块610、证书生成模块620。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段,其存储在存储器中。在本实施例中,关于各模块的功能将在后续的实施例中详述。
需求配置模块610,用于配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
证书生成模块620,用于与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
可选地,作为本发明一个实施例,所述需求数据包括:
一类需求数据,包括证书的应用场景;
二类需求数据,包括私钥算法、私钥长度、签名算法、私钥密码。
可选地,作为本发明一个实施例,证书生成模块包括:
文件生成单元,用于接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
文件发送单元,用于将证书申请文件发送至证书签发中心,以使证书签发中心基于证书请求文件生成数字证书和用户端需求的根证书;
证书导入单元,用于利用私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书,以利用所述数字证书对用户端根证书进行身份验证。
可选地,作为本发明一个实施例,证书签发中心基于需求数据生成安全等级和生成方式的方法包括:
将需求数据中的应用场景基于预设的应用场景安全需求转换为安全等级系数;
评估安全等级
其中,EA是加密算法量化系数、KL是私钥长度、CVP是证书有效期、SCVP是作为基准时间的标准证书有效期;
表示当CVP为0时,证书不合理,安全等级最低;当CVP和SCVP相等时,安全等级正常;当CVP是SCVP的两倍时,证书时间过长,安全等级进一步降低;
对安全等级SL求解时,将该安全等级向上取整;
基于预先设定的安全等级与生成方式的映射关系,调取与安全等级SL对应的生成方式。
可选地,作为本发明一个实施例,证书生成模块包括:
基础生成单元,用于接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
文件交互单元,用于将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
证书生成单元,用于基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
证书验证单元,利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
可选地,作为本发明一个实施例,证书签发中心生成加密根证书的方法包括:
接收的证书申请文件触发证书签发中心通过随机数生成根证书和第一私钥;
利用所述第一私钥将所述根证书加密为加密根证书。
可选地,作为本发明一个实施例,证书生成单元包括:
基于证书签发规则,根据加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,所述加密证书在证书签发中心被加解密算法基于所述第一私钥解密为数字证书。
如图7所示。所述功能模块可以包括:基础生成模块710、申请发送模块720、证书生成模块730和证书导入模块740。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段,其存储在存储器中。在本实施例中,关于各模块的功能将在后续的实施例中详述。
基础生成模块710,用于服务端生成证书申请文件和私钥;
申请发送模块720,用于将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
证书生成模块730,用于基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
证书导入模块740,用于利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
图8为本发明实施例提供的一种终端800的结构示意图,该终端800可以用于执行本发明实施例提供的数字证书管理方法。
其中,该终端800可以包括:处理器810、存储器820及通信模块830。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器820可以用于存储处理器810的执行指令,存储器820可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器820中的执行指令由处理器810执行时,使得终端800能够执行以下上述方法实施例中的部分或全部步骤。
处理器810为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器820内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器810可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信模块830,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
本发明还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
因此,本发明通过基于不同服务端的安全需求为服务端生成安全度匹配的数字证书,由此可以避免为安全需求低的服务端生成高安全度的数字证书,降低了证书签发中心的计算量,节省了证书签发中心的计算资源,同时也提升了证书签发中心的业务处理能力,本实施例所能达到的技术效果可以参见上文中的描述,此处不再赘述。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,包括若干指令用以使得一台计算机终端(可以是个人计算机,服务器,或者第二终端、网络终端等)执行本发明各个实施例所述方法的全部或部分步骤。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种数字证书管理方法,其特征在于,包括:
配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
2.根据权利要求1所述的方法,其特征在于,所述需求数据包括:
一类需求数据,包括证书的应用场景;
二类需求数据,包括私钥算法、私钥长度、签名算法、私钥密码。
3.根据权利要求1所述的方法,其特征在于,与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书,包括:
接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
将证书申请文件发送至证书签发中心,以使证书签发中心基于证书请求文件生成数字证书和用户端需求的根证书;
利用私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书,以利用所述数字证书对用户端根证书进行身份验证。
4.根据权利要求3所述的方法,其特征在于,证书签发中心基于需求数据生成安全等级和生成方式的方法包括:
将需求数据中的应用场景基于预设的应用场景安全需求转换为安全等级系数;
评估安全等级
其中,EA是加密算法量化系数、KL是私钥长度、CVP是证书有效期、SCVP是作为基准时间的标准证书有效期;
表示当CVP为0时,证书不合理,安全等级最低;当CVP和SCVP相等时,安全等级正常;当CVP是SCVP的两倍时,证书时间过长,安全等级进一步降低;
对安全等级SL求解时,将该安全等级向上取整;
基于预先设定的安全等级与生成方式的映射关系,调取与安全等级SL对应的生成方式。
5.根据权利要求1所述的方法,其特征在于,与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书,包括:
接收证书签发中心基于所述需求数据反馈的安全等级和生成方式,并基于安全等级和生成方式生成私钥和证书申请文件;
将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
6.根据权利要求5所述的方法,其特征在于,证书签发中心生成加密根证书的方法包括:
接收的证书申请文件触发证书签发中心通过随机数生成根证书和第一私钥;
利用所述第一私钥将所述根证书加密为加密根证书。
7.根据权利要求6所述的方法,其特征在于,基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书,包括:
基于证书签发规则,根据加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,所述加密证书在证书签发中心被加解密算法基于所述第一私钥解密为数字证书。
8.一种数字证书管理方法,其特征在于,包括:
服务端生成证书申请文件和私钥;
将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
9.一种数字证书管理系统,其特征在于,包括:
需求配置模块,用于配置需求数据,将需求数据发送至证书签发中心,所述需求数据限定数字证书的安全需求参数、有效期和私钥长度;
证书生成模块,用于与证书签发中心基于需求数据进行协商,生成与所述需求数据匹配的数字证书。
10.一种数字证书管理系统,其特征在于,包括:
基础生成模块,用于服务端生成证书申请文件和私钥;
申请发送模块,用于将证书申请文件发送至证书签发中心,并接收证书签发中心反馈的基于根证书加密得到的加密根证书;
证书生成模块,用于基于所述加密根证书和证书申请文件生成加密证书,并将加密证书发送至证书签发中心,以使证书签发中心将所述加密证书解密为数字证书;
证书导入模块,用于利用所述私钥对接收自证书签发中心的数字证书进行验证,并在验证通过后导入所述数字证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310370786.5A CN116455579A (zh) | 2023-04-07 | 2023-04-07 | 数字证书管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310370786.5A CN116455579A (zh) | 2023-04-07 | 2023-04-07 | 数字证书管理方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116455579A true CN116455579A (zh) | 2023-07-18 |
Family
ID=87131565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310370786.5A Pending CN116455579A (zh) | 2023-04-07 | 2023-04-07 | 数字证书管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116455579A (zh) |
-
2023
- 2023-04-07 CN CN202310370786.5A patent/CN116455579A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110337797B (zh) | 用于执行双因素认证的方法 | |
CN110784491B (zh) | 一种物联网安全管理系统 | |
CN107210914B (zh) | 用于安全凭证供应的方法 | |
US7676430B2 (en) | System and method for installing a remote credit card authorization on a system with a TCPA complaint chipset | |
WO2017020452A1 (zh) | 认证方法和认证系统 | |
CN109547445B (zh) | 一种验证客户端网络请求合法的方法及系统 | |
US7526649B2 (en) | Session key exchange | |
US8788836B1 (en) | Method and apparatus for providing identity claim validation | |
US20080235513A1 (en) | Three Party Authentication | |
US20070061566A1 (en) | Tokencode Exchanges for Peripheral Authentication | |
CN109067539A (zh) | 联盟链交易方法、设备及计算机可读存储介质 | |
CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
WO2021139338A1 (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
CN110189184B (zh) | 一种电子发票存储方法和装置 | |
CN105580312A (zh) | 用于认证设备的用户的方法和系统 | |
CN111641615A (zh) | 一种基于证书的分布式身份验证方法及系统 | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN111651745B (zh) | 基于密码设备的应用授权签名方法 | |
CN113051540A (zh) | 一种应用程序接口安全分级治理方法 | |
CN104301288A (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
CN112583594B (zh) | 数据处理方法、采集设备和网关、可信平台及存储介质 | |
CN113849797A (zh) | 数据安全漏洞的修复方法、装置、设备及存储介质 | |
KR100848966B1 (ko) | 공개키 기반의 무선단문메시지 보안 및 인증방법 | |
CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |