CN117062079B - 数字证书签发方法、设备和存储介质 - Google Patents

数字证书签发方法、设备和存储介质 Download PDF

Info

Publication number
CN117062079B
CN117062079B CN202311314735.7A CN202311314735A CN117062079B CN 117062079 B CN117062079 B CN 117062079B CN 202311314735 A CN202311314735 A CN 202311314735A CN 117062079 B CN117062079 B CN 117062079B
Authority
CN
China
Prior art keywords
certificate
digital certificate
preset
digital
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311314735.7A
Other languages
English (en)
Other versions
CN117062079A (zh
Inventor
赵万里
于正洋
李岩
李志强
苑寿同
尹月华
周诗妤
吴璟希
藏丹丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongqi Zhilian Technology Co ltd
Original Assignee
Zhongqi Zhilian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongqi Zhilian Technology Co ltd filed Critical Zhongqi Zhilian Technology Co ltd
Priority to CN202311314735.7A priority Critical patent/CN117062079B/zh
Publication of CN117062079A publication Critical patent/CN117062079A/zh
Application granted granted Critical
Publication of CN117062079B publication Critical patent/CN117062079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及数字信息传输技术领域,公开了一种数字证书签发方法、设备和存储介质。该方法包括:终端设备生成统一的预设密钥对,进而响应于至少一个证书申请请求,根据设备信息与预设公钥生成对应的证书请求文件,并将其发送至授权中心,进而授权中心基于证书请求文件和预设私钥生成对应的数字证书,并将数字证书和根证书公钥下发至终端设备,以使终端设备验证数字证书是否安全,从而对安全的数字证书进行存储,该方法基于统一的预设密钥对可以实现多个不同类型数字证书的申请,终端设备仅需保存一个密钥对即可,极大节省了终端设备的密钥存储空间。并且,简化了现有技术中签发数字证书的复杂性和成本,节省企业建设授权中心的资源和成本。

Description

数字证书签发方法、设备和存储介质
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种数字证书签发方法、设备和存储介质。
背景技术
在车联网领域,主机厂为满足车云、车际网联的安全认证需求,需要分别研发和建设不同类型的数字证书认证系统。目前传统的数字证书认证系统,针对不同类型的数字证书,是各种独立研发系统的,而且这些数字证书都使用独立的密钥对,相互之间不能信息共享。特别是在终端用户证书,针对同样车联网设备,就需要生成用于车云通信的X509证书密钥对,还要生成用于车际通信IEEE1609.2证书密钥对等,并且要分别存储这些密钥及数字证书。
由此可知,传统方法针对不同类型的数字证书系统需要独立开发,且密钥及数字证书管理也彼此独立。在一个企业需要多种类型数字证书的场景下,会部署多套相关系统来为智能网联车辆提供用于身份认证及安全通信的数字证书。一方面,会导致企业管理和使用成本较高;另一方面,会增加企业产线灌装数字证书及使用数字证书的复杂性。
有鉴于此,特提出本发明。
发明内容
为了解决上述技术问题,本发明提供了一种数字证书签发方法、设备和存储介质,以基于统一的密钥对以及授权中心签发不同类型的数字证书,极大简化了车联网中终端的证书管理和使用。
本发明实施例提供了一种数字证书签发方法,所述方法应用于数字证书签发系统,所述数字证书签发系统包括授权中心以及各终端设备,该方法包括:
所述终端设备生成预设密钥对,所述预设密钥对包括预设公钥以及预设私钥;
所述终端设备响应于至少一个证书申请请求,基于设备信息以及所述预设公钥生成每个证书申请请求对应的证书请求文件,将所述证书请求文件发送至所述授权中心;
所述授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书,并将每个数字证书以及根证书公钥发送至所述终端设备;
所述终端设备基于所述根证书公钥对每个数字证书进行验证,若验证通过,则对每个数字证书进行存储。
本发明实施例提供了一种电子设备,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行任一实施例所述的数字证书签发方法的步骤。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行任一实施例所述的数字证书签发方法的步骤。
本发明实施例具有以下技术效果:
终端设备生成统一的预设密钥对,进而响应于至少一个证书申请请求,根据设备信息以及预设密钥对中的预设公钥,生成每个证书申请请求对应的证书请求文件,并将其发送至授权中心,进而授权中心基于每个证书请求文件和预设密钥对中的预设私钥,生成对应的数字证书,并将数字证书和根证书公钥下发至终端设备,终端设备根据根证书公钥对数字证书进行验证,以验证数字证书是否安全,从而对安全的数字证书进行存储,该方法基于统一的预设密钥对可以实现多个不同类型的数字证书的申请,终端设备仅需保存一个密钥对即可,在保证密钥对安全性的同时,极大节省了终端设备的密钥存储空间。并且,不同类型、不同用途、不同编码方式的数字证书,通过数字证书签发系统中的授权中心即可实现签发,简化了现有技术中签发数字证书的复杂性和成本,提高了对授权中心的管理效率,节省企业建设授权中心的资源和成本,方便企业实现车联网应用。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种数字证书签发方法的流程图;
图2为本发明实施例提供的一种数字证书签发方法的过程示意图;
图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行清楚、完整的描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
在对本发明实施例提供的数字证书签发方法进行详细介绍之前,先对该方法所解决的技术问题进行说明。
以数字证书技术发展起来的PKI(Public Key Infrastructure,公钥体系)已成为信息安全最成熟、最经济的安全基础设施之一,在互联网领域、车联网领域、物联网领域等各行各业得到广泛应用,用来解决身份认证、信息保密、信息完整性及抗抵赖等安全基本问题。
在互联网通信场景中,主要使用的是X509标准数字证书,其广泛用于网络安全通信、数字签名和数据加解密服务。车联网场景下,在车云网络中,同样使用X509数字证书进行身份认证等安全应用;在车际网环境下,由于要满足直连通信低延时、窄带宽技术特性,目前主要使用IEEE1609.2标准数字证书;在V2G充电网络,要使用基于ISO 15118标准数字证书;在物联网领域,设备与设备之间通信还需要使用M2M类型的数字证书。
可见,在不同应用场景下,会使用不同标准、不同类型的数字证书,这样使得企业需要为不同标准及类型的数字证书研发不同类型的数字证书认证系统。在一个企业需要多种类型数字证书的场景下,就会部署多套相关系统,来为智能网联车辆提供用于身份认证及安全通信的数字证书。这种方式一方面会导致企业管理和使用成本较高;另一方面会增加企业产线灌装数字证书及使用数字证书的复杂性。
并且,这些不同类型的数字证书都使用独立的密钥对,相互之间不能信息共享。特别是在终端用户证书,针对同样车联网设备,就需要生成用于车云通信的X509证书密钥对,还要生成用于车际通信IEEE1609.2证书密钥对等,进而终端要分别存储这些密钥及数字证书。
因此,为了解决上述在企业方面对各个独立数字证书认证系统的管理和使用成本较高、在产线灌装数字证书及使用数字证书的复杂性的问题,以及,解决在终端方面需要存储多个密钥对的问题。本发明实施例提供了一种数字证书签发方法,该方法可以应用于数字证书签发系统,该数字证书签发系统可以支持对不同类型的数字证书的统一签发,无需再分别针对每一个证书体系研发对应的认证系统。
并且,该方法采用统一密钥对方式,可以极大简化车联网场景下终端设备的证书管理和使用,可以针对用于车云网络X509数字证书、用于车际通讯IEEE1609.2数字证书、用于V2G充电网络ISO15118数字证书等,均使用统一密钥对签发,从之前需要多个不同的密钥对,减少到仅需要一个密钥对,极大节省了终端设备的密钥存储空间,提高密钥的安全性。
图1是本发明实施例提供的一种数字证书签发方法的流程图,该方法应用于数字证书签发系统,数字证书签发系统包括授权中心以及各终端设备。参见图1,该数字证书签发方法具体包括:
S110、终端设备生成预设密钥对,预设密钥对包括预设公钥以及预设私钥。
其中,终端设备可以是车联网中的设备,如,车辆、路测设备、智能手机等。具体的,终端设备可以生成预设密钥对,需要说明的是,对于一个终端设备来说,该预设密钥对可以用于进行所有类型的数字证书的申请。
换言之,一个终端设备仅生成一次预设密钥对即可,对于后续的任意一个证书申请请求,均可以基于该预设密钥对完成对应的数字证书的申请流程。其中,预设密钥对可以由一个预设公钥和一个预设私钥组成。
在一种具体的实施方式中,终端设备生成预设密钥对,包括:终端设备基于安全外壳协议、开源安全套接层协议或隐私保护协议,生成预设密钥对。
其中,终端设备可以通过安全外壳协议(Secure Shell,SSH)、开源安全套接层协议(Open Secure Socket Layer,OpenSSL)、或者隐私保护协议(GNU Privacy Guard,GPG),生成预设密钥对。
具体的,可以于终端设备中预先设置安全外壳协议、开源安全套接层协议以及隐私保护协议中的至少一个,进而终端设备可以选择一个协议,生成预设密钥对,以通过该预设密钥对实现后续对所有类型的数字证书的申请。
S120、终端设备响应于至少一个证书申请请求,基于设备信息以及预设公钥生成每个证书申请请求对应的证书请求文件,将证书请求文件发送至授权中心。
其中,证书申请请求可以是终端设备投入使用时自动生成的,或者,证书申请请求可以是终端设备在检测到与其它设备之间存在通信需求时生成的。示例性的,终端设备在检测到云端发送的数据,或者,具备向云端发送数据的需求时,可以检测是否存在X509证书,若不存在,则可以生成与X509证书对应的证书申请请求;或者,终端设备在检测到充电桩发送的数据,或者,具备向充电桩发送数据的需求时,可以检测是否存在ISO15118数字证书,若不存在,则可以生成与ISO15118对应的证书申请请求。
需要说明的是,终端设备生成的证书申请请求的数量可以是一个或多个。例如,在车辆下产线投入使用后,可以检测其自身是否具备数字证书,若否,则可以分别生成与X509证书对应的证书申请请求、与ISO15118数字证书对应的证书申请请求、与IEEE1609.2数字证书对应的证书申请请求等。
在本发明实施例中,终端设备在检测到证书申请请求后,可以根据设备信息和预设密钥对设备信息中的预设公钥,生成每个证书申请请求对应的证书请求文件。
其中,设备信息可以是用于描述终端设备的设备属性的信息,如,设备信息可以包括设备序列号、设备识别码以及组织名称。以车辆为例,设备序列号可以是车辆中T-Box(Telematics BOX,远程信息处理器)的序列号,设备识别码可以是VIN(VehicleIdentification Number,车辆识别码),组织名称可以是车辆所属品牌或车辆所属车型。
在一种具体的实施方式中,基于设备信息以及预设公钥生成每个证书申请请求对应的证书请求文件,包括:针对每一个证书申请请求,获取用户于服务器管理界面录入的证书类型、设备信息、邮箱信息以及有效期;基于证书类型、设备信息、版本信息、邮箱信息、网站域名、有效期以及预设公钥,生成对应的证书请求文件。
具体的,可以通过终端设备的显示屏幕向用户展示服务器管理界面,以使用户可以于服务器管理界面中触发生成证书请求文件的控件;进一步的,可以继续展示服务器管理界面,以获取用户于服务器管理界面中录入的证书类型、设备信息、邮箱信息以及有效期。
其中,证书类型可以是用于车云认证X509证书、用于车际认证IEEE1609.2证书、或用于车电网络ISO15118数字证书等。有效期可以描述终端设备当前所申请的数字证书的有效时间。
进一步的,可以通过证书类型、设备信息、版本信息、邮箱信息、网站域名、有效期以及预设公钥,生成证书申请请求对应的证书请求文件。其中,版本信息、网站域名等信息可以是预先设置的默认信息。
通过上述实施方式,实现了对各种类型的数字证书的证书请求文件的准确生成,保证了证书请求文件的安全性,便于后续基于证书请求文件进行数字证书的签发。
在生成各个证书申请请求对应的证书请求文件之后,进一步的,终端设备可以对所生成的每个证书申请请求对应的证书请求文件进行保存,进而将各个证书请求文件发送至数字证书签发系统中的授权中心。
示例性的,以车辆为例,终端设备可以通过T-BOX将各个证书请求文件发送至授权中心。
S130、授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书,并将每个数字证书以及根证书公钥发送至终端设备。
其中,根证书私钥可以是授权中心所使用的根证书中的私钥。具体的,针对每一个证书请求文件,授权中心可以根据证书请求文件中解析出的信息,结合根证书私钥,得到对应的数字证书。
在一种具体的实施方式中,授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书,包括:针对每一个证书请求文件,授权中心对证书请求文件进行解析,得到证书请求文件中的预设公钥以及其它入参信息;授权中心将预设公钥以及其它入参信息导入至对应的证书模板文件中,并使用根证书私钥对导入后的证书模板文件进行签名,得到对应的数字证书。
其中,其它入参信息可以包括设备信息、证书类型、版本信息、邮箱信息、网站域名以及有效期。具体的,授权中心可以对证书请求文件进行解析,进而得到其中的预设公钥和其它入参信息。
进一步的,授权中心可以将预设公钥和其它入参信息作为参数,导入至证书模板文件中,并使用根证书私钥对导入参数后的证书模板文件进行签名,得到数字证书。
示例性的,针对每一个证书请求文件,授权中心可以先根据其它入参信息中的证书类型,调用与证书类型对应的签发单元,通过签发单元将预设公钥以及其它入参信息导入至对应的证书模板文件中,并使用根证书私钥进行签名。其中,不同证书类型对应的签发单元,可以包括X509证书对应的签发单元、IEEE1609.2证书对应的签发单元、以及ISO15118证书对应的签发单元等。
通过上述实施方式,授权中心可以基于终端设备所生成的统一的预设密钥对,签发多种不同类型的数字证书,解决了现有技术中终端设备需要存储不同证书类型分别对应的密钥对的问题。
需要说明的是,在上述实施方式中,授权中心在签发多种类型的数字证书时,所使用的根证书私钥可以相同,也可以不同。例如,在签发X509的数字证书时,可以调用对应的签发单元,使用X509根证书私钥对其进行签名,在签发IEEE1609.2的数字证书时,可以调用对应的签发单元,使用ISO15118根证书私钥对其进行签名。
在一种示例中,授权中心签发不同数字证书所使用的根证书私钥相同。
即,授权中心可以使用同一个根证书私钥(例如,从X509根证书、IEEE1609.2根证书或ISO15118根证书中选取任意一个根证书的私钥),签发不同类型的数字证书,这样可以使得授权中心仅存储一个根证书以及对应的公私钥即可,无需存储多个根证书以及对应的公私钥,减少了授权中心的密钥和根证书存储空间。
在本发明实施例中,为了避免有其它设备盗取终端设备与授权中心之间传输的文件,进而对文件进行恶意篡改的情况,还可以在传输证书请求文件之前对其进行加密,以使终端设备发送加密后的证书请求文件。
可选的,在基于设备信息以及预设公钥生成每个证书申请请求对应的证书请求文件之后,还包括:终端设备基于预设私钥对证书请求文件进行加密,并将预设公钥发送至授权中心;
相应的,在授权中心对证书请求文件进行解析之前,还包括:授权中心基于预设公钥对证书请求文件进行解密,若解密成功,则执行对证书请求文件进行解析的步骤。
即,在终端设备生成证书请求文件之后,还可以根据预设密钥对中的预设私钥,对证书请求文件进行加密,加密算法可以是预先设置的默认算法,也可以由用户自主选择。
进一步的,终端设备将加密后的证书请求文件与预设公钥发送至授权中心,证书请求文件可以通过预设公钥对证书请求文件进行解密,如果解密成功,则进一步对证书请求文件进行解析,以生成数字证书。
终端设备通过对预设私钥对证书请求文件进行加密,进而发送加密后的证书请求文件,可以避免其它设备对证书请求文件进行盗取或恶意篡改的情况,进一步保证了终端设备与授权中心之间的通信安全性,进而保证了数字证书下发的安全性。
需要说明的是,授权中心在完成数字证书的签发之后,需要将所有数字证书以及签发各数字证书所使用的根证书中的公钥,发送至终端设备。若签发所有数字证书均使用相同的根证书,则授权中心发送该根证书的公钥即可,若签发不同类型的数字证书所使用的根证书不同(即签名所使用的根证书私钥不同),则授权中心可以发送签名用到的所有根证书的公钥。
S140、终端设备基于根证书公钥对每个数字证书进行验证,若验证通过,则对每个数字证书进行存储。
具体的,终端设备在接收到与证书申请请求所对应的数字证书之后,可以对每个数字证书进行验证,以判断数字证书是否由可信的机构下发,如果是,则表示数字证书是安全的,可以存储并使用数字证书。
在一种具体的实施方式中,终端设备基于根证书公钥对每个数字证书进行验证,包括:针对每一个数字证书,终端设备基于根证书公钥对数字证书进行验签,在验签通过的情况下确定验证结果为身份验证通过。
具体的,终端设备可以使用根证书公钥对数字证书进行验签,验签通过则表示对该数字证书的签发者的身份验证通过。
除了上述终端设备使用接收到的根证书公钥对数字证书进行验证的方式之外,还可以预先在终端设备中存储预置根证书,该预置根证书为可信的机构所使用的根证书。例如,可以预先将授权中心签发所使用的所有类型的根证书均作为预置根证书,存储至终端设备中,或者,预先将授权中心签发所使用的同一根证书,作为预置根证书,存储至终端设备中。终端设备可以使用预置根证书的公钥对数字证书进行验签,验签通过则表示对该数字证书的签发者的身份验证通过。
或者,终端设备还可以使用授权中心发送的根证书公钥和预置根证书的公钥分别对数字证书进行验签,如果使用根证书公钥和预置根证书的公钥均验签通过,那么则表示该数字证书是由可信的机构所签发的,进而可以确定验证结果为身份验证通过。
通过上述实施方式,实现了对数字证书的身份验证,进而保证数字证书是由可信的机构所签发的,进一步保证了后续使用该数字证书进行通信时的安全性。
除了该实施方式之外,还可以于终端设备中预先存储可信域证书列表,该可信域证书列表包括所有可信的CA(Certificate Authority,证书颁发机构)所使用的根证书的哈希值,进而终端设备可以根据根证书公钥确定对应的哈希值,将该哈希值与可信域证书列表中的各哈希值进行比对,若存在一致的哈希值,则确定验证结果为身份验证通过。
在本发明实施例中,为了避免有其它设备盗取授权中心与终端设备之间传输的数字证书,进而对数字证书进行恶意篡改的情况,还可以在传输数字证书之前对其进行加密,以使授权中心发送加密后的数字证书。
可选的,在授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书之后,还包括:针对每一个数字证书,授权中心基于预设公钥对数字证书进行加密;
相应的,在对每个数字证书进行存储之前,还包括:终端设备基于预设私钥对数字证书进行解密,若解密结果为成功,则执行对每个数字证书进行存储的步骤。
即,在授权中心生成数字证书之后,可以通过预设密钥对中的预设公钥,对数字证书进行加密,进而发送加密后的数字证书以及根证书公钥。
进一步的,终端设备接收到数字证书并数字证书确定验证通过后,可以通过预设密钥对中的预设私钥对数字证书进行解密,解密成功后,存储数字证书。
通过该可选的实施方式,可以避免其它设备对数字证书进行盗取或恶意篡改的情况,进一步保证了终端设备与授权中心之间的通信安全性,进而保证了数字证书下发的安全性。
示例性的,图2为本发明实施例提供的一种数字证书签发方法的过程示意图。如图2所示,可以包括如下步骤:1、设备生成一对预设密钥对;2、设备利用公钥生成CSR(Certificate Signing Request,证书签名申请)请求文件(包含组织名称、网站域名、邮箱、证书类型、有效期、版本等信息),将CSR文件上传至数字证书签发系统中的授权中心;3、授权中心解析CSR请求文件,将解析的信息作为入参,使用根证书私钥签发数字证书,并将数字证书返回给设备;4、设备下载数字证书,并使用根证书公钥来验证数字证书的一致性,验证通过后安全存储。
本发明具有以下技术效果:终端设备生成统一的预设密钥对,进而响应于至少一个证书申请请求,根据设备信息以及预设密钥对中的预设公钥,生成每个证书申请请求对应的证书请求文件,并将其发送至授权中心,进而授权中心基于每个证书请求文件和预设密钥对中的预设私钥,生成对应的数字证书,并将数字证书和根证书公钥下发至终端设备,终端设备根据根证书公钥对数字证书进行验证,以验证数字证书是否安全,从而对安全的数字证书进行存储,该方法基于统一的预设密钥对可以实现多个数字证书的申请,终端设备仅需保存一个密钥对即可,在保证密钥对安全性的同时,极大节省了终端设备的密钥存储空间。并且,不同类型、不同用途、不同编码方式的数字证书,通过数字证书签发系统中的授权中心即可实现签发,简化了现有技术中签发数字证书的复杂性和成本,提高了对授权中心的管理效率,节省企业建设授权中心的资源和成本,方便企业实现车联网应用。
图3为本发明实施例提供的一种电子设备的结构示意图。如图3所示,电子设备400包括一个或多个处理器401和存储器402。
处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备400中的其他组件以执行期望的功能。
存储器402可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行所述程序指令,以实现上文所说明的本发明任意实施例的数字证书签发方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如初始外参、阈值等各种内容。
在一个示例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。该输入装置403可以包括例如键盘、鼠标等等。该输出装置404可以向外部输出各种信息,包括预警提示信息、制动力度等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图3中仅示出了该电子设备400中与本发明有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备400还可以包括任何其他适当的组件。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的数字证书签发方法的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本发明任意实施例所提供的数字证书签发方法的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,本发明所用术语仅为了描述特定实施例,而非限制本申请范围。如本发明说明书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。
还需说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”等应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案。

Claims (10)

1.一种数字证书签发方法,其特征在于,应用于数字证书签发系统,所述数字证书签发系统包括授权中心以及各终端设备,所述方法包括:
所述终端设备生成预设密钥对,所述预设密钥对包括预设公钥以及预设私钥;一个终端设备仅生成一次预设密钥对即可,对于后续的任意一个证书申请请求,均通过所述预设密钥对实现后续对所有类型的数字证书的申请;
所述终端设备响应于至少一个证书申请请求,基于设备信息以及所述预设公钥生成每个证书申请请求对应的证书请求文件,将所述证书请求文件发送至所述授权中心;
所述授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书,并将每个数字证书以及根证书公钥发送至所述终端设备;
所述终端设备基于所述根证书公钥对每个数字证书进行验证,若验证通过,则对每个数字证书进行存储。
2.根据权利要求1所述的方法,其特征在于,所述终端设备生成预设密钥对,包括:
所述终端设备基于安全外壳协议、开源安全套接层协议或隐私保护协议,生成预设密钥对。
3.根据权利要求1所述的方法,其特征在于,所述基于设备信息以及所述预设公钥生成每个证书申请请求对应的证书请求文件,包括:
针对每一个证书申请请求,获取用户于服务器管理界面录入的证书类型、设备信息、邮箱信息以及有效期;
基于所述证书类型、所述设备信息、版本信息、所述邮箱信息、网站域名、所述有效期以及所述预设公钥,生成对应的证书请求文件。
4.根据权利要求1所述的方法,其特征在于,所述授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书,包括:
针对每一个证书请求文件,所述授权中心对所述证书请求文件进行解析,得到所述证书请求文件中的预设公钥以及其它入参信息;
所述授权中心将所述预设公钥以及所述其它入参信息导入至对应的证书模板文件中,并使用根证书私钥对导入后的证书模板文件进行签名,得到对应的数字证书。
5.根据权利要求4所述的方法,其特征在于,在所述基于设备信息以及所述预设公钥生成每个证书申请请求对应的证书请求文件之后,还包括:
所述终端设备基于所述预设私钥对所述证书请求文件进行加密,并将所述预设公钥发送至所述授权中心;
相应的,在所述授权中心对所述证书请求文件进行解析之前,还包括:
所述授权中心基于所述预设公钥对所述证书请求文件进行解密,若解密成功,则执行对所述证书请求文件进行解析的步骤。
6.根据权利要求1所述的方法,其特征在于,所述终端设备基于所述根证书公钥对每个数字证书进行验证,包括:
针对每一个所述数字证书,所述终端设备基于所述根证书公钥对所述数字证书进行验签,在验签通过的情况下确定验证结果为身份验证通过。
7.根据权利要求6所述的方法,其特征在于,在所述授权中心基于每个证书请求文件以及根证书私钥生成对应的数字证书之后,还包括:
针对每一个所述数字证书,所述授权中心基于所述预设公钥对所述数字证书进行加密;
相应的,在所述对每个数字证书进行存储之前,还包括:
所述终端设备基于所述预设私钥对所述数字证书进行解密,若解密结果为成功,则执行对每个数字证书进行存储的步骤。
8.根据权利要求1所述的方法,其特征在于,所述授权中心签发不同数字证书所使用的根证书私钥相同。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至8任一项所述的数字证书签发方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至8任一项所述的数字证书签发方法的步骤。
CN202311314735.7A 2023-10-12 2023-10-12 数字证书签发方法、设备和存储介质 Active CN117062079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311314735.7A CN117062079B (zh) 2023-10-12 2023-10-12 数字证书签发方法、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311314735.7A CN117062079B (zh) 2023-10-12 2023-10-12 数字证书签发方法、设备和存储介质

Publications (2)

Publication Number Publication Date
CN117062079A CN117062079A (zh) 2023-11-14
CN117062079B true CN117062079B (zh) 2023-12-15

Family

ID=88661214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311314735.7A Active CN117062079B (zh) 2023-10-12 2023-10-12 数字证书签发方法、设备和存储介质

Country Status (1)

Country Link
CN (1) CN117062079B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004282636A (ja) * 2003-03-18 2004-10-07 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明書作成方法、属性証明書作成方法、証明書関連性検証方法、公開鍵証明書作成装置、属性証明書作成装置、証明書関連性検証装置、公開鍵証明書作成プログラム、属性証明書作成プログラム、証明書関連性検証プログラム、およびプログラム記録媒体
CN107370600A (zh) * 2017-08-14 2017-11-21 华南理工大学 一种生成核心身份数字证书和身份侧面数字证书的方法
CN110769393A (zh) * 2019-11-07 2020-02-07 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN115952483A (zh) * 2021-10-08 2023-04-11 北京航空航天大学 匿名可追踪身份认证方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004282636A (ja) * 2003-03-18 2004-10-07 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明書作成方法、属性証明書作成方法、証明書関連性検証方法、公開鍵証明書作成装置、属性証明書作成装置、証明書関連性検証装置、公開鍵証明書作成プログラム、属性証明書作成プログラム、証明書関連性検証プログラム、およびプログラム記録媒体
CN107370600A (zh) * 2017-08-14 2017-11-21 华南理工大学 一种生成核心身份数字证书和身份侧面数字证书的方法
CN110769393A (zh) * 2019-11-07 2020-02-07 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN115952483A (zh) * 2021-10-08 2023-04-11 北京航空航天大学 匿名可追踪身份认证方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
B. Ramsdell ; S. Turner.Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Certificate Handling (RFC5750).IP.COM.2019,全文. *
公钥证书与属性证书的结合――融合证书;崔捷;张冬梅;原源;;计算机应用研究(第01期);全文 *

Also Published As

Publication number Publication date
CN117062079A (zh) 2023-11-14

Similar Documents

Publication Publication Date Title
US9172544B2 (en) Systems and methods for authentication between networked devices
CN101860540B (zh) 一种识别网站服务合法性的方法及装置
CN108206831B (zh) 电子印章的实现方法和服务器、客户端及可读存储介质
CN105656859B (zh) 税控设备软件安全在线升级方法及系统
CN111708991A (zh) 服务的授权方法、装置、计算机设备和存储介质
CN108322416B (zh) 一种安全认证实现方法、装置及系统
CN112883382B (zh) 一种车辆刷写的方法、车联网盒、车辆及存储介质
CN104753881A (zh) 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法
CA2795428C (en) Trusted certificate authority to create certificates based on capabilities of processes
CN104008351A (zh) Windows应用程序完整性校验系统、方法及装置
US11711205B2 (en) Unified secure device provisioning
CN107995148B (zh) 文件防篡改的方法、系统、终端和可信云平台
CN103684797A (zh) 用户和用户终端设备的关联认证方法及系统
CN113114699A (zh) 一种车辆终端身份证书申请方法
CN115460019B (zh) 基于数字身份的目标应用提供方法和装置、设备和介质
CN113225351A (zh) 一种请求处理方法、装置、存储介质及电子设备
CN115296818A (zh) 认证方法及装置、存储介质及电子设备
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
CN105791294B (zh) 一种实现用户数据完整性和机密性的方法
CN116614814B (zh) 基于v2x通信的x.509证书申请方法、设备和介质
CN114760070A (zh) 数字证书颁发方法、数字证书颁发中心和可读存储介质
CN113505353A (zh) 一种认证方法、装置、设备和存储介质
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
CN113792301A (zh) 基于区块链的物联网数据访问方法及装置
CN112235276A (zh) 主从设备交互方法、装置、系统、电子设备和计算机介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant