TW201917614A - 數位證書申請方法和裝置 - Google Patents
數位證書申請方法和裝置 Download PDFInfo
- Publication number
- TW201917614A TW201917614A TW107128937A TW107128937A TW201917614A TW 201917614 A TW201917614 A TW 201917614A TW 107128937 A TW107128937 A TW 107128937A TW 107128937 A TW107128937 A TW 107128937A TW 201917614 A TW201917614 A TW 201917614A
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- information
- server
- terminal
- data
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本說明書揭露一種數位證書申請方法和裝置。該方法包括:用戶端向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回給用戶端,申請資訊包括:與申請請求唯一對應的申請識別;用戶端將伺服端返回的申請資訊下發給安全元件;安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後發送給用戶端;用戶端將該指定格式資料發送給伺服端,以供伺服端在根據公鑰確定終端簽名資料通過驗證,且申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA。
Description
本說明書涉及安全技術領域,尤其涉及一種數位證書申請方法和裝置。
數位證書通常由權威機構CA(Certificate Authority,第三方可信機構)頒發,可包括公鑰以及公鑰擁有者資訊,可用於在網際網路中對對方的身份進行驗證。 目前,在申請數位證書的過程中,通常需要產生CSR(Cerificate Signing Request,證書請求)檔案,由於CSR檔案的資料結構較複雜、且檔案較大,會佔用終端較多的計算資源。因此,需要提供一種輕量級、可用的證書申請方案。
有鑑於此,本說明書提供一種數位證書申請方法和裝置。 具體地,本說明書是通過如下技術方案實現的: 一種數位證書申請方法,應用於終端設備,所述終端設備整合有安全元件,並裝載有用戶端軟體,該方法包括: 用戶端向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回給用戶端,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 用戶端將伺服端返回的所述申請資訊下發給安全元件; 安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後發送給用戶端; 用戶端將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA。 一種數位證書申請方法,應用於伺服端,所述伺服端用於與終端設備中裝載的用戶端軟體互動,所述終端設備還整合有安全元件,該方法包括: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 一種數位證書申請裝置,應用於終端設備,所述終端設備還整合有安全元件,該裝置包括: 請求發送單元,向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 資訊下發單元,將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 資料發送單元,將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。 一種數位證書申請裝置,應用於伺服端,所述裝置用於與終端設備中裝載的用戶端軟體互動,所述終端設備還整合有安全元件,該裝置包括: 資訊產生單元,在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 資料接收單元,接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 資料驗證單元,解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 證書申請單元,當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 一種數位證書申請裝置,應用於終端設備,該裝置包括: 安全元件; 處理器; 用於儲存機器可執行指令的記憶體; 其中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。 一種數位證書申請裝置,應用於伺服器,該裝置包括: 處理器; 用於儲存機器可執行指令的記憶體; 其中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 由以上描述可以看出,本說明書可通過終端與伺服端配合產生證書請求檔案,大大減輕安全元件的計算壓力,實現輕量級、可用性高的證書申請方案。同時,由伺服端和CA分別對終端簽名資料進行驗證,還可確保數位證書申請的安全性。
這裡將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數位表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本說明書相一致的所有實施方式。相反,它們僅是與如所附申請專利範圍中所詳述的、本說明書的一些方面相一致的裝置和方法的例子。 在本說明書使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本說明書。在本說明書和所附申請專利範圍中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指並包含一個或多個相關聯的列出項目的任何或所有可能組合。 應當理解,儘管在本說明書可能採用術語第一、第二、第三等來描述各種資訊,但這些資訊不應限於這些術語。這些術語僅用來將同一類型的資訊彼此區分開。例如,在不脫離本說明書範圍的情況下,第一資訊也可以被稱為第二資訊,類似地,第二資訊也可以被稱為第一資訊。取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“回應於確定”。 本說明書提供一種數位證書申請方案,可將原來由終端產生的證書請求檔案改為由終端和伺服端配合產生,以節省終端的計算資源。 圖1是本說明書一示例性實施例示出的一種數位證書申請方法的流程示意圖。 所述數位證書申請方法可以應用在終端中,所述終端可以為手機、PC機等電子設備,所述終端中通常裝載有可以和伺服端進行互動的用戶端軟體(Application,APP),該用戶端軟體並不限制於獨立裝載的APP,還可以為瀏覽器等,本說明書對此不作特殊限制。所述終端中還整合有安全元件(Secure Element,SE),可用於產生公私鑰對、實現加密、簽名等操作。 請參考圖1,所述數位證書申請方法可以包括以下步驟: 步驟102,用戶端向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回給用戶端,所述申請資訊包括:與所述申請請求唯一對應的申請識別。 在本實施例中,所述申請資訊還可以包括:非對稱演算法資訊以及簽名演算法資訊、時間戳等資訊,本說明書對此不作特殊限制。 步驟104,用戶端將伺服端返回的所述申請資訊下發給安全元件。 步驟106,安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後發送給用戶端。 在本實施例中,當所述申請資訊包括:非對稱演算法資訊以及簽名演算法資訊時,安全元件可以根據申請資訊中指定的非對稱演算法產生公私鑰對,採用申請資訊中的簽名演算法計算所述申請識別的摘要,並採用私鑰對該摘要進行簽名,以得到終端簽名資料。 在另一個例子中,安全元件在進行摘要計算、簽名時,所使用的資料並不限制於所述申請識別,還可以包括安全元件的產生公私鑰對時得到的密鑰長度等資訊,本說明書對此不作特殊限制。 在本實施例中,所述指定格式可以為:TLV(Type,類型;Length,長度;Value,值)格式等。 步驟108,用戶端將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA。 圖2是本說明書一示例性實施例示出的另一種數位證書申請方法的流程示意圖。 請參考圖2,所述數位證書申請方法可以應用在伺服端,該伺服端通常為第三方服務提供商部署的伺服器或者伺服器集群,該數位證書申請方法包括以下步驟: 步驟202,在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別。 步驟204,接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成。 步驟206,解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別。 步驟208,當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 由以上描述可以看出,本實施例可通過終端與伺服端配合產生證書請求檔案,大大減輕安全元件的計算壓力,實現輕量級、可用性高的證書申請方案。同時,由伺服端和CA對終端簽名資料進行驗證還可確保數位證書申請的安全性。 圖3是本說明書一示例性實施例示出的另一種數位證書申請方法的流程示意圖。 請參考圖3,所述數位證書申請方法可以包括以下步驟: 步驟302,用戶端向伺服端發送數位證書申請請求。 在本實施例中,基於用戶端登錄的使用者在申請數位證書時,可以基於用戶端發起數位證書申請請求。例如,可通過觸發預定的選項實現該數位證書申請請求的發送。 在本實施例中,所述數位證書申請請求中通常攜帶有使用者的帳號資訊,例如帳號ID等。 步驟304,伺服端根據該申請請求產生申請資訊,並將該申請資訊發送給用戶端和CA。 在本實施例中,伺服端在接收到用戶端發送的數位證書申請請求後,針對該申請請求,可以產生申請資訊併發送給用戶端和CA。 在一個例子中,所述申請資訊可包括:與所述申請請求唯一對應的申請識別。該申請識別可以被攜帶在本次數位證書申請的互動過程中,用於識別本次數位證書申請,以在用戶端重複發送數位證書申請請求時,重新進行數位證書申請。 在另一個例子中,在申請識別的基礎上,所述申請資訊還可以包括:非對稱演算法資訊以及簽名演算法資訊。所述非對稱演算法通常是安全元件產生公私鑰對的演算法依據,所述簽名演算法資訊通常是安全元件計算摘要的演算法依據。 當然,所述申請資訊還可以包括其他資訊,例如時間戳等,本說明書對此不作特殊限制。 步驟306,用戶端將所述申請資訊下發給安全元件。 步驟308,安全元件產生公私鑰對。 在一個例子中,若所述申請資訊中攜帶非對稱演算法資訊,安全元件可以根據該非對稱演算法資訊產生公私鑰對,例如,根據申請資訊中攜帶的RSA演算法產生公私鑰對。 在另一個例子中,若所述申請資訊中未攜帶非對稱演算法,安全元件可以根據缺省演算法產生公私鑰對,本實施例對此不作特殊限制。 在本實施例中,安全元件在產生公私鑰對後,還可以得到密鑰長度。 步驟310,安全元件採用私鑰對該申請識別和密鑰長度進行簽名,得到終端簽名資料。 基於前述步驟308,安全元件可將申請識別和密鑰長度作為簽名原文,先採用申請資訊中指定的簽名演算法計算申請識別和密鑰長度的摘要,然後採用公私鑰對中的私鑰對該摘要進行簽名,以得到終端簽名資料。 在本例中,對密鑰長度進行簽名是對公鑰進行簽名的最小安全有效集合,可有效節約安全元件的處理資源。另一方面,只有通過暴力破解,對密鑰長度進行因數分解,才可能會計算出私鑰,而因數分解的難度極大,目前也沒有相關的因數分解方案,因此將秘鑰長度作為簽名原文,並不會影響私鑰的安全性。 在另一個例子中,也可以不將密鑰長度作為簽名原文,例如,可以將時間戳等其他資訊作為簽名原文。當然,也可以僅將申請識別作為簽名原文,本說明書對此不作特殊限制。 步驟312,安全元件將該終端簽名資料、密鑰長度和公鑰封裝為指定格式後發送給用戶端。 在本實施例中,所述指定格式可以由開發人員預先進行設置,例如:TLV格式等,本說明書對此不作特殊限制。 請參考圖4所示的TLV格式示意圖,可在左邊起第一個TLV字段添加密鑰長度的相關資訊,在中間的TLV字段添加公鑰的資訊,在右邊的TLV字段添終端簽名資料。 以RSA的演算法位元數是1024位元為例,密鑰長度為128位元組,終端簽名資料也是128位元組,整個TLV共計265個位元組,大大小於傳統技術中2k左右的P10格式的證書請求檔案,實現終端輕量級的資料封裝,大大減輕了安全元件的計算量,也節省了網路傳輸流量。 步驟314,用戶端將該指定格式資料發送給伺服端。 步驟316,伺服端解析所述指定格式資料,確定終端簽名資料通過驗證,且所述申請識別也通過驗證。 在本實施例中,伺服端在接收到所述指定格式資料後,可從該指定格式資料中提取出密鑰長度、公鑰以及終端簽名資料。然後可採用該公鑰對終端簽名資料進行驗證,在驗證過程中得到終端簽名資料中的申請識別和密鑰長度,並驗證得到的密鑰長度和從上述指定格式中提取出的密鑰長度是否一致,若一致,則可以確認密鑰長度通過驗證 若伺服端確定該終端簽名資料和密鑰長度通過驗證,則可以確定公鑰安全,所述指定格式資料沒有被篡改。若伺服端還確定所述申請識別也通過驗證,則可以確定用戶端也通過驗證,進而可以執行步驟318。 值得注意的是,用戶端和伺服端的互動過程中通常還會攜帶有使用者帳號的資訊,伺服端在接收到上述指定格式資料後,可以根據帳號資訊查找為該用戶端產生的申請識別,並判斷查找到的申請識別與校驗簽名過程中得到的申請識別是否一致。若一致,則可以確定申請識別通過驗證;若不一致,則可以確定申請識別未通過驗證。當然,在實際應用中,還可以採用其他方式對申請識別進行驗證,本說明書對此不作特殊限制。 在本實施例中,若伺服端確定終端簽名資料未通過驗證,或申請識別未通過驗證,則可以確認本次數位證書申請存在安全隱患,進而可以向用戶端返回申請失敗的消息。 步驟318,伺服端將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊、證書使用資訊、證書使用資訊以及伺服端簽名資料發送給CA。 基於前述步驟316, 在確定終端簽名資料通過驗證,且申請識別也通過驗證後,可以獲取用戶端登錄使用者的使用者資訊,例如:使用者名稱、使用者地址、使用者電話等資訊。 在本實施例中,伺服端可以將上述指定格式資料中攜帶的公鑰封裝為PKCS1、上述指定格式資料中的終端簽名資料、使用者資訊、證書使用資訊以及伺服端簽名資料一同發送給CA。 其中,證書使用資訊可以包括:證書用途、證書顯示模板、證書自定義域資訊等。 所述伺服端簽名資料由伺服端採用伺服端私鑰對伺服端資訊進行簽名後產生。所述伺服端資訊可以由開發人員預先進行設置,例如:伺服端名稱、伺服端地址等。 若CA中保存有伺服端公鑰,伺服端可以僅將所述伺服端簽名資料發給CA;若CA中未保存伺服端公鑰,伺服端可以將伺服端公鑰和所述伺服端簽名資料一同發送給CA,以供CA對伺服端簽名資料進行驗證,本說明書對此不作特殊限制。 步驟320,CA確定所述終端簽名資料通過驗證、所述申請識別通過驗證、且所述伺服端簽名資料通過驗證後,產生數位證書。 在本實施例中,CA在接收到伺服端發送的上述公鑰、終端簽名資料、用戶端的登錄使用者資訊、證書使用資訊以及伺服端簽名資料後,一方面,可以對該終端簽名資料、申請識別和密鑰長度進行驗證,例如,根據伺服端在步驟304中發送的申請識別,參考前述步驟316中伺服端的驗證方式對該終端簽名資料、申請識別和進行驗證;根據安全元件的演算法類別、位元數等對密鑰長度進行驗證等。 另一方面,CA還可以對伺服端簽名資料進行驗證,例如,採用伺服端公鑰對伺服端簽名資料進行驗證,以驗證伺服端的簽名是否合法。 在本實施例中,若CA確定終端簽名資料通過驗證、申請識別通過驗證、且伺服端簽名資料也通過驗證,則可以確定安全元件、用戶端和伺服端均合法,進而執行產生數位證書的操作。 由以上描述可以看出,本說明書採用處理性能較佳的伺服端配合終端產生證書請求檔案,以進行數位證書的申請,大大減輕終端安全元件的計算壓力,實現輕量級、可用性高的證書申請方案。同時,由伺服端對終端的安全元件和用戶端進行驗證,由CA再對終端的安全元件、用戶端以及伺服端進行驗證,還可確保數位證書申請的安全性。 需要說明的是,在前述步驟318中,伺服端也可以不發送伺服端簽名資料給CA,CA默認伺服端合法,後續也無需對伺服端簽名資料進行驗證,本說明書對此不作特殊限制。 與前述圖1所示的數位證書申請方法的實施例相對應,本說明書還提供了數位證書申請裝置的實施例。 本說明書數位證書申請裝置的實施例可以應用在終端設備上,該終端設備中整合有安全元件。裝置實施例可以通過軟體實現,也可以通過硬體或者軟硬體結合的方式實現。以軟體實現為例,作為一個邏輯意義上的裝置,是通過其所在終端設備的處理器將非揮發性記憶體中對應的電腦程式指令讀取到記憶體中運行形成的。從硬體層面而言,如圖5所示,為本說明書數位證書申請裝置所在終端設備的一種硬體結構圖,除了圖5所示的處理器、記憶體、網路介面、以及非揮發性記憶體之外,實施例中裝置所在的終端設備通常根據該終端設備的實際功能,還可以包括其他硬體,對此不再贅述。 圖6是本說明書一示例性實施例示出的一種數位證書申請裝置的方塊圖。 請參考圖6,所述數位證書申請裝置500可以應用在前述圖5所示的終端設備中,包括:請求發送單元501、資訊下發單元502以及資料發送單元503。 其中,請求發送單元501,向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 資訊下發單元502,將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 資料發送單元503,將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。 可選的,所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊; 所述安全元件根據非對稱演算法產生公私鑰對,並採用私鑰對該申請識別進行簽名,得到終端簽名資料,包括: 所述安全元件根據所述申請資訊中的非對稱演算法資訊產生公私鑰對,採用所述申請資訊中的簽名演算法資訊計算密鑰長度和所述申請識別的摘要,並採用私鑰對該摘要進行簽名,得到終端簽名資料。 可選的,所述指定格式為TLV格式。 與前述圖2所示的數位證書申請方法的實施例相對應,本說明書還提供了數位證書申請裝置的實施例。 本說明書數位證書申請裝置的實施例可以應用在伺服器上,裝置實施例可以通過軟體實現,也可以通過硬體或者軟硬體結合的方式實現。以軟體實現為例,作為一個邏輯意義上的裝置,是通過其所在伺服器的處理器將非揮發性記憶體中對應的電腦程式指令讀取到記憶體中運行形成的。從硬體層面而言,如圖7所示,為本說明書數位證書申請裝置所在伺服器的一種硬體結構圖,除了圖7所示的處理器、記憶體、網路介面、以及非揮發性記憶體之外,實施例中裝置所在的伺服器通常根據該伺服器的實際功能,還可以包括其他硬體,對此不再贅述。 圖8是本說明書一示例性實施例示出的一種數位證書申請裝置的方塊圖。 請參考圖8,所述數位證書申請裝置700可以應用在前述圖7所示的伺服器中,包括:資訊產生單元701、資料接收單元702、資料驗證單元703以及證書申請單元704。 其中,資訊產生單元701,在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 資料接收單元702,接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 資料驗證單元703,解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 證書申請單元704,當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 可選的,所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊,用於供安全元件產生公私鑰對並進行簽名。 可選的,所述公鑰被伺服端封裝為PKCS1格式。 可選的,所述證書申請單元704,還當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將伺服端簽名資料發送給CA,以供CA進行驗證; 其中,所述伺服端簽名資料由伺服端採用伺服端私鑰對伺服端資訊簽名後產生。 上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,在此不再贅述。 對於裝置實施例而言,由於其基本對應於方法實施例,所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的部件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部模組來實現本說明書方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解並實施。 上述實施例闡明的系統、裝置、模組或單元,具體可以由電腦晶片或實體實現,或者由具有某種功能的產品來實現。一種典型的實現設備為電腦,電腦的具體形式可以是個人電腦、膝上型電腦、行動電話、相機電話、智慧型手機、個人數位助理、媒體播放器、導航設備、電子郵件收發設備、遊戲控制台、平板電腦、可穿戴設備或者這些設備中的任意幾種設備的組合。 與前述圖1所示的數位證書申請方法的實施例相對應,本說明書還提供一種數位證書申請裝置,該數位證書申請裝置包括:安全元件、處理器以及用於儲存機器可執行指令的記憶體。其中,處理器和記憶體通常借由內部匯流排相互連接。在其他可能的實現方式中,所述設備還可能包括外部介面,以能夠與其他設備或者部件進行通信。 在本實施例中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。 與前述圖2所示的數位證書申請方法的實施例相對應,本說明書還提供一種數位證書申請裝置,該數位證書申請裝置包括:處理器以及用於儲存機器可執行指令的記憶體。其中,處理器和記憶體通常借由內部匯流排相互連接。在其他可能的實現方式中,所述設備還可能包括外部介面,以能夠與其他設備或者部件進行通信。 在本實施例中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 與前述圖1所示的數位證書申請方法的實施例相對應,本說明書還提供一種電腦可讀儲存介質,所述電腦可讀儲存介質上儲存有電腦程式,該程式被處理器執行時實現以下步驟: 向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。 與前述圖2所示的數位證書申請方法的實施例相對應,本說明書還提供一種電腦可讀儲存介質,所述電腦可讀儲存介質上儲存有電腦程式,該程式被處理器執行時實現以下步驟: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。 上述對本說明書特定實施例進行了描述。其它實施例在所附申請專利範圍的範圍內。在一些情況下,在申請專利範圍中記載的動作或步驟可以按照不同於實施例中的順序來執行並且仍然可以實現期望的結果。另外,在附圖中描繪的過程不一定要求示出的特定順序或者連續順序才能實現期望的結果。在某些實施方式中,多任務處理和並行處理也是可以的或者可能是有利的。 以上所述僅為本說明書的較佳實施例而已,並不用以限制本說明書,凡在本說明書的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本說明書保護的範圍之內。
S102‧‧‧步驟
S104‧‧‧步驟
S106‧‧‧步驟
S108‧‧‧步驟
S202‧‧‧步驟
S204‧‧‧步驟
S206‧‧‧步驟
S208‧‧‧步驟
302‧‧‧步驟
304‧‧‧步驟
306‧‧‧步驟
308‧‧‧步驟
310‧‧‧步驟
312‧‧‧步驟
314‧‧‧步驟
316‧‧‧步驟
318‧‧‧步驟
320‧‧‧步驟
500‧‧‧數位證書申請裝置
501‧‧‧請求發送單元
502‧‧‧資訊下發單元
503‧‧‧資料發送單元
700‧‧‧數位證書申請裝置
700‧‧‧數位證書申請裝置
701‧‧‧資訊產生單元
702‧‧‧資料接收單元
703‧‧‧資料驗證單元
704‧‧‧證書申請單元
圖1是本說明書一示例性實施例示出的一種數位證書申請方法的流程示意圖。 圖2是本說明書一示例性實施例示出的另一種數位證書申請方法的流程示意圖。 圖3是本說明書一示例性實施例示出的另一種數位證書申請方法的流程示意圖。 圖4是本說明書一示例性實施例示出的一種TLV格式的指定資料的結構示意圖。 圖5是本說明書一示例性實施例示出的一種終端設備的一結構示意圖。 圖6是本說明書一示例性實施例示出的一種數位證書申請裝置的方塊圖。 圖7是本說明書一示例性實施例示出的一種伺服器的一結構示意圖。 圖8是本說明書一示例性實施例示出的另一種數位證書申請裝置的方塊圖。
Claims (16)
- 一種數位證書申請方法,應用於終端設備,所述終端設備整合有安全元件,並裝載有用戶端軟體,該方法包括: 用戶端向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回給用戶端,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 用戶端將伺服端返回的所述申請資訊下發給安全元件; 安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後發送給用戶端; 用戶端將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA。
- 根據請求項1所述的方法, 所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊; 所述安全元件根據非對稱演算法產生公私鑰對,並採用私鑰對該申請識別進行簽名,得到終端簽名資料,包括: 所述安全元件根據所述申請資訊中的非對稱演算法資訊產生公私鑰對,採用所述申請資訊中的簽名演算法資訊計算密鑰長度和所述申請識別的摘要,並採用私鑰對該摘要進行簽名,得到終端簽名資料。
- 根據請求項1所述的方法, 所述指定格式為TLV格式。
- 一種數位證書申請方法,應用於伺服端,所述伺服端用於與終端設備中裝載的用戶端軟體互動,所述終端設備還整合有安全元件,該方法包括: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。
- 根據請求項4所述的方法, 所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊,用於供安全元件產生公私鑰對並進行簽名。
- 根據請求項4所述的方法, 所述公鑰被伺服端封裝為PKCS1格式。
- 根據請求項4所述的方法,還包括: 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將伺服端簽名資料發送給CA,以供CA進行驗證; 其中,所述伺服端簽名資料由伺服端採用伺服端私鑰對伺服端資訊簽名後產生。
- 一種數位證書申請裝置,應用於終端設備,所述終端設備還整合有安全元件,該裝置包括: 請求發送單元,向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 資訊下發單元,將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 資料發送單元,將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。
- 根據請求項8所述的裝置, 所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊; 所述安全元件根據非對稱演算法產生公私鑰對,並採用私鑰對該申請識別進行簽名,得到終端簽名資料,包括: 所述安全元件根據所述申請資訊中的非對稱演算法資訊產生公私鑰對,採用所述申請資訊中的簽名演算法資訊計算密鑰長度和所述申請識別的摘要,並採用私鑰對該摘要進行簽名,得到終端簽名資料。
- 根據請求項8所述的資訊, 所述指定格式為TLV格式。
- 一種數位證書申請裝置,應用於伺服端,所述裝置用於與終端設備中裝載的用戶端軟體互動,所述終端設備還整合有安全元件,該裝置包括: 資訊產生單元,在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 資料接收單元,接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 資料驗證單元,解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 證書申請單元,當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。
- 根據請求項11所述的裝置, 所述申請資訊中還包括:非對稱演算法資訊以及簽名演算法資訊,用於供安全元件產生公私鑰對並進行簽名。
- 根據請求項11所述的裝置, 所述公鑰被伺服端封裝為PKCS1格式。
- 根據請求項11所述的裝置, 所述證書申請單元,還當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將伺服端簽名資料發送給CA,以供CA進行驗證; 其中,所述伺服端簽名資料由伺服端採用伺服端私鑰對伺服端資訊簽名後產生。
- 一種數位證書申請裝置,應用於終端設備,該裝置包括: 安全元件; 處理器; 用於儲存機器可執行指令的記憶體; 其中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 向伺服端發送數位證書申請請求,以供伺服端根據該申請請求產生申請資訊,並將該申請資訊返回,所述申請資訊包括:與所述申請請求唯一對應的申請識別; 將伺服端返回的所述申請資訊下發給安全元件,以供安全元件根據非對稱演算法產生公私鑰對,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並將該終端簽名資料和公鑰封裝為指定格式後返回; 將該指定格式資料發送給伺服端,以供伺服端在根據所述公鑰確定所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、登錄使用者資訊以及證書使用資訊發送給CA。
- 一種數位證書申請裝置,應用於伺服器,該裝置包括: 處理器; 用於儲存機器可執行指令的記憶體; 其中,通過讀取並執行所述記憶體儲存的與數位證書申請邏輯對應的機器可執行指令,所述處理器被促使: 在接收到用戶端發送的數位證書申請請求後,產生申請資訊,並將該申請資訊發送給用戶端和CA,所述申請資訊包括:與該申請請求唯一對應的申請識別; 接收用戶端發送的指定格式資料,所述指定格式資料由安全元件在產生公私鑰對後,採用私鑰對所述申請識別進行簽名,得到終端簽名資料,並對該終端簽名資料和公鑰封裝而成; 解析所述指定格式資料,並根據所述公鑰驗證所述終端簽名資料,得到終端簽名資料中的申請識別; 當所述終端簽名資料通過驗證,且所述申請識別也通過驗證後,將所述公鑰、所述終端簽名資料、所述用戶端的登錄使用者資訊以及證書使用資訊發送給CA,以供CA在確定所述終端簽名資料通過驗證、且所述申請識別通過驗證後,產生數位證書。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710985105.0 | 2017-10-20 | ||
| CN201710985105.0A CN107612697B (zh) | 2017-10-20 | 2017-10-20 | 数字证书申请方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201917614A true TW201917614A (zh) | 2019-05-01 |
| TWI696931B TWI696931B (zh) | 2020-06-21 |
Family
ID=61077929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107128937A TWI696931B (zh) | 2017-10-20 | 2018-08-20 | 數位證書申請方法和裝置 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US11106775B2 (zh) |
| EP (1) | EP3632036B1 (zh) |
| CN (1) | CN107612697B (zh) |
| ES (1) | ES2884169T3 (zh) |
| PL (1) | PL3632036T3 (zh) |
| SG (1) | SG11201912710UA (zh) |
| TW (1) | TWI696931B (zh) |
| WO (1) | WO2019079761A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612697B (zh) | 2017-10-20 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
| CN110278084B (zh) * | 2018-03-16 | 2021-10-15 | 华为技术有限公司 | eID建立方法、相关设备及系统 |
| US10601806B1 (en) * | 2019-02-22 | 2020-03-24 | Capital One Services, Llc | Runtime identity confirmation for restricted server communication control |
| US11444759B2 (en) * | 2019-05-29 | 2022-09-13 | Stmicroelectronics, Inc. | Method and apparatus for cryptographically aligning and binding a secure element with a host device |
| CN116405193A (zh) * | 2019-12-18 | 2023-07-07 | 华为技术有限公司 | 一种证书申请方法及设备 |
| CN111401901B (zh) * | 2020-03-23 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
| CN111523862B (zh) * | 2020-04-27 | 2024-02-23 | 广东电网有限责任公司培训与评价中心 | 一种获取人才数据的方法和相关设备 |
| CN111865992B (zh) * | 2020-07-23 | 2021-04-02 | 亚数信息科技(上海)有限公司 | 一种acme集中管理系统及其负载均衡方法 |
| CN111917557B (zh) * | 2020-07-28 | 2023-05-26 | 中国平安财产保险股份有限公司 | 网络服务请求的安全验证方法、安全验证系统及存储介质 |
| CN112926095A (zh) * | 2021-01-20 | 2021-06-08 | 厦门海西医药交易中心有限公司 | 数字证书办理方法、系统、移动终端及存储介质 |
| US11784827B2 (en) | 2021-03-09 | 2023-10-10 | Micron Technology, Inc. | In-memory signing of messages with a personal identifier |
| CN113139166B (zh) * | 2021-03-16 | 2022-09-02 | 标信智链(杭州)科技发展有限公司 | 基于云证书的评标专家签名方法及装置 |
| CN113239379B (zh) * | 2021-05-19 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于scep协议的国密证书签发方法和系统 |
| CN115941217B (zh) * | 2021-08-17 | 2024-03-29 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5214702A (en) | 1988-02-12 | 1993-05-25 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| US5367573A (en) * | 1993-07-02 | 1994-11-22 | Digital Equipment Corporation | Signature data object |
| US5420927B1 (en) | 1994-02-01 | 1997-02-04 | Silvio Micali | Method for certifying public keys in a digital signature scheme |
| US5606617A (en) | 1994-10-14 | 1997-02-25 | Brands; Stefanus A. | Secret-key certificates |
| JP2002207426A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体 |
| US7475250B2 (en) | 2001-12-19 | 2009-01-06 | Northrop Grumman Corporation | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| US6963873B2 (en) | 2002-01-02 | 2005-11-08 | Intel Corporation | Method and system for automatic association of a signed certificate with a certificate signing request |
| JP4128610B1 (ja) * | 2007-10-05 | 2008-07-30 | グローバルサイン株式会社 | サーバ証明書発行システム |
| US8769291B2 (en) * | 2007-07-23 | 2014-07-01 | Red Hat, Inc. | Certificate generation for a network appliance |
| US20100250946A1 (en) * | 2009-03-31 | 2010-09-30 | Korte Michael D | Ad hoc distribution |
| US20120079279A1 (en) * | 2010-03-29 | 2012-03-29 | Maxlinear, Inc. | Generation of SW Encryption Key During Silicon Manufacturing Process |
| CN101977193B (zh) * | 2010-10-28 | 2013-11-13 | 飞天诚信科技股份有限公司 | 安全下载证书的方法及系统 |
| US8522035B2 (en) * | 2011-09-20 | 2013-08-27 | Blackberry Limited | Assisted certificate enrollment |
| US8776186B2 (en) * | 2011-10-04 | 2014-07-08 | Cleversafe, Inc. | Obtaining a signed certificate for a dispersed storage network |
| CN103167491B (zh) * | 2011-12-15 | 2016-03-02 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| CN103685138B (zh) * | 2012-08-30 | 2016-12-21 | 卓望数码技术(深圳)有限公司 | 移动互联网上的Android平台应用软件的认证方法和系统 |
| CN102932343B (zh) * | 2012-10-26 | 2015-01-14 | 飞天诚信科技股份有限公司 | 一种下载数字证书的方法和装置 |
| US9515836B2 (en) * | 2013-03-28 | 2016-12-06 | Xerox Corporation | System and method for location assurance using passive computational tags |
| US9769151B2 (en) | 2013-12-23 | 2017-09-19 | Symantec Corporation | Multi-algorithm key generation and certificate install |
| US9276887B2 (en) * | 2014-03-19 | 2016-03-01 | Symantec Corporation | Systems and methods for managing security certificates through email |
| US10277406B1 (en) | 2014-09-05 | 2019-04-30 | Digicert, Inc. | Authentication process for issuing sequence of short-lived digital certificates |
| CN106161350B (zh) * | 2015-03-31 | 2020-03-10 | 华为技术有限公司 | 一种管理应用标识的方法及装置 |
| SG10202012073XA (en) * | 2015-12-04 | 2021-01-28 | Visa Int Service Ass | Secure token distribution |
| US11734678B2 (en) * | 2016-01-25 | 2023-08-22 | Apple Inc. | Document importation into secure element |
| CN107612697B (zh) | 2017-10-20 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
-
2017
- 2017-10-20 CN CN201710985105.0A patent/CN107612697B/zh active Active
-
2018
- 2018-08-20 TW TW107128937A patent/TWI696931B/zh active
- 2018-10-15 US US16/160,810 patent/US11106775B2/en active Active
- 2018-10-19 ES ES18799645T patent/ES2884169T3/es active Active
- 2018-10-19 WO PCT/US2018/056773 patent/WO2019079761A1/en active Search and Examination
- 2018-10-19 EP EP18799645.9A patent/EP3632036B1/en active Active
- 2018-10-19 SG SG11201912710UA patent/SG11201912710UA/en unknown
- 2018-10-19 PL PL18799645T patent/PL3632036T3/pl unknown
-
2019
- 2019-12-19 US US16/720,522 patent/US11106776B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20200127856A1 (en) | 2020-04-23 |
| CN107612697A (zh) | 2018-01-19 |
| ES2884169T3 (es) | 2021-12-10 |
| US20190123914A1 (en) | 2019-04-25 |
| PL3632036T3 (pl) | 2021-11-08 |
| WO2019079761A1 (en) | 2019-04-25 |
| US11106776B2 (en) | 2021-08-31 |
| CN107612697B (zh) | 2020-04-14 |
| EP3632036B1 (en) | 2021-05-19 |
| SG11201912710UA (en) | 2020-01-30 |
| TWI696931B (zh) | 2020-06-21 |
| US11106775B2 (en) | 2021-08-31 |
| EP3632036A1 (en) | 2020-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI696931B (zh) | 數位證書申請方法和裝置 | |
| US11121873B2 (en) | System and method for hardening security between web services using protected forwarded access tokens | |
| EP3484125B1 (en) | Method and device for scheduling interface of hybrid cloud | |
| CN111080295B (zh) | 一种基于区块链的电子合同处理方法以及设备 | |
| US8953790B2 (en) | Secure generation of a device root key in the field | |
| US10650119B2 (en) | Multimedia data processing method, apparatus, system, and storage medium | |
| CN107493291B (zh) | 一种基于安全元件se的身份认证方法和装置 | |
| CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| CN103701919A (zh) | 远程登录方法与系统 | |
| CN110401677B (zh) | 数字版权密钥的获取方法、装置、存储介质及电子设备 | |
| CN115242379A (zh) | 用于在线身份的分布式验证的系统和方法 | |
| CN106663268A (zh) | 具有临时匿名身份的平台身份架构 | |
| CN112199622A (zh) | 页面跳转方法、系统及存储介质 | |
| CN114785524B (zh) | 电子印章生成方法、装置、设备和介质 | |
| KR20210112359A (ko) | 브라우저 쿠키 보안 | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| US9531549B2 (en) | Image verification by an electronic device | |
| CN116684102A (zh) | 报文传输方法、报文校验方法、装置、设备、介质和产品 | |
| CN116015846A (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
| CN112751878B (zh) | 一种页面请求处理方法及装置 | |
| CN114048513A (zh) | 一种一次性数字证书申请及签名系统及方法 | |
| CN112995098B (zh) | 鉴权的方法、电子设备及存储介质 | |
| KR101808315B1 (ko) | 모바일 장치 및 사용자 단말기 사이의 인증서 로밍 방법 및 시스템 | |
| KR101811285B1 (ko) | 부가인증장치에 기반한 클라우드 시스템의 인증 방법 및 그 클라우드 시스템 | |
| CN110995437A (zh) | 基于etc系统的用户信息录入方法、装置、设备和存储介质 |