WO2018177045A1

WO2018177045A1 - 数字证书管理方法及设备

Info

Publication number: WO2018177045A1
Application number: PCT/CN2018/076618
Authority: WO
Inventors: 王月辉; 张变玲; 铁满霞; 赖晓龙; 李琴; 童伟刚; 张国强; 杜志强; 颜湘
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2017-04-01
Filing date: 2018-02-13
Publication date: 2018-10-04
Also published as: CN108667609A; US20210314170A1; CN108667609B; EP3609121A4; US11363010B2; KR102290342B1; EP3609121A1; EP3609121B1; KR20190099066A; JP2020505849A; JP7014806B2

Abstract

一种数字证书管理方法及设备，所述方法包括：数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果。本发明可以有效提高数字证书管理的安全性。

Description

数字证书管理方法及设备

本申请要求于2017年4月1日提交中国专利局、申请号为201710211816.2、发明名称为“一种数字证书管理方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，具体涉及一种数字证书管理方法及设备。

背景技术

随着网络安全技术的发展，如何确保网络信息传输的保密性、完整性成为一个重要的研究课题。数字证书是一种验证网络通信实体身份的方式，可以利用数字证书技术进行数据加密、身份验证等。数字证书一般是由数字证书颁发设备向数字证书申请设备签发的，可以用于识别数字证书申请设备的身份。

现有技术中，存在一种数字证书自动申请的方法，应用于无线局域网内数字证书的申请、更新和颁发。在这种方法中，数字证书申请设备可以通过无线局域网向数字证书颁发设备发送消息，通知其支持的数字证书产生方法，以便数字证书颁发设备生成新的数字证书。在这种方法中，数字证书申请设备和数字证书颁发设备之间传输的消息均是明文传输的，二者仅进行消息的完整性校验，以确定消息未被篡改。这种方式仅能保证数据的完整性，对数据的真实性、保密性无法进行有效的保护。特别地，当数字证书申请设备和数字证书颁发设备若通过其他网络形式交互数据时，由于消息是明文传输的，这种方式存在安全性不高的缺陷。

发明内容

本发明提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间建立数据传输的安全通道，并对二者传输的消息进行加密传输，有效提高了数字证书管理的安全性。

为此，本发明提供如下技术方案：

第一方面，本发明提供了一种数字证书管理方法，包括：数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向数字证书申请设备发送数字证书管理响应消息，所述数字证书申请设备利用所述安全数据通道接收所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果。

第二方面，本发明提供了一种数字证书申请设备，包括：安全数据通道建立单元，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；加密单元，用于利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；接收单元，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；处理单元，用于对所述数字证书管理响应消息进行处理，获取处理结果。

第三方面，本发明提供了一种用于数字证书申请的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；对所述数字证书管理响应消息进行处理，获取处理结果。

第四方面，本发明提供了一种数字证书颁发设备，所述设备包括：安全数据通道建立单元，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；接收单元，用于接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理单元，用于处理收到的所述数字证书管理请求消息，并生成数字证书管理响应消息；加密单元，用于利用所述数据通信密钥对数字证书管理响应消息进行加密处理；发送单元，用于利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

第五方面，本发明提供了一种用于数字证书颁发的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理收到的数字证书管理请求消息，并生成数字证书管理响应消息；利用所述数据通信密钥对数字证书管理响应消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

本发明提供的数字证书管理方法及设备中，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥，并在数字证书申请设备和数字证书颁发设备之间的消息交互过程中，利用生成的数据通信密钥对消息加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销列表获取等。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中所记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例可以应用的一个示意性应用场景；

图2为本发明一实施例提供的数字证书管理方法流程图；

图3为本发明另一实施例提供的数字证书管理方法流程图；

图4为本发明实施例提供的安全数据通道协商和建立示意图；

图5为本发明一实施例提供的数字证书自动申请、查询、更新、吊销和撤销列表获取方法中的消息内容示意图；

图6是根据一示例性实施例示出的一种数字证书申请设备的框图；

图7是根据另一示例性实施例示出的一种用于数字证书申请的设备的框图；

图8是根据一示例性实施例示出的一种数字证书颁发设备的框图；

图9是根据另一示例性实施例示出的一种用于数字证书颁发的设备的框图。

具体实施方式

本发明实施例提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间建立数据传输的安全通道，并对二者传输的消息进行加密传输，有效提高了数字证书管理的安全性。

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

参见图1，为本发明实施例的示例性应用场景。本发明实施例提供的方法和设备可以应用于如图1所示的场景，其中，数字证书申请设备和数字证书颁发设备可以通过网络实现连接，所述连接可以是任何形式的有线和/或无线连接(例如，WLAN、LAN、蜂窝、同轴电缆等)。以图1为例说明，数字证书申请设备包括但不限于：现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。数字证书申请设备可以通过各自适用的网络形式向数字证书颁发设备(例如授证中心CA服务器)申请下载、更新证书等。需要说明的是，本发明实施例可以应用到无线运营网络、航空、交通、电力、广电、金融、医疗、教育、工商等诸多行业。当然，上述应用场景仅是为了便于理解本发明而示出，本发明的实施方式在此方面不受任何限制。相反，本发明的实施方式可以应用于适用的任何场景。

下面将结合附图2至附图6对本发明示例性实施例示出的数字证书管理方法进行介绍。

参见图2，为本发明一实施例提供的数字证书管理方法流程图。如图2所示，可以包括：

S201，数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

具体实现时，数字证书申请者可以向数字证书颁发者请求用于下载数字证书的授权码。数字证书申请者例如可以是数字证书申请设备，数字证书颁发者例如可以是数字证书颁发设备。本发明对具体的授权码请求方式不进行限定。例如，数字证书申请者可以通过短信、邮件、专用请求等方式向数字证书颁发者请求授权码。数字证书颁发者可以通过一定的方式将授权码发送给数字证书申请者。例如，数字证书颁发者可以通过短信、邮件、专用消息等方式向数字证书申请者发送授权码。一般地，授权码是数字证书颁发者自己生成的，可以是在数字证书申请者请求授权码时实时生成，也可以是预先生成待使用的，形式上可以是字母和/或数字和/或符号等的组合，具有一定的长度要求，授权码也具有一定的使用期限，超过使用期限，授权码则会失效。在使用过程中，数字证书颁发者分配给不同数字证书申请者的授权码是不同的。

具体实现时，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，所述安全数据通道用于进行安全数据传输。在建立安全数据通道过程中，数字证书申请设备可以利用授权码生成安全密钥，所述安全密钥可以包括一个或多个密钥，所述一个或多个密钥包括数据通信密钥。所述安全密钥还可以包括数据会话密钥。所述数据通信密钥用于加密所述数字证书申请设备与所述数字证书颁发设备在安全数据通道中传输的消息。需要说明的是，在数字证书申请设备侧和数字证书颁发设备侧均会生成安全密钥，便于消息的加密与解密处理。所述数据会话密钥可以用于加密证书请求数据或证书响应数据。所述证书请求数据具体为数字证书管理请求消息携带的数据。所述证书响应数据具体为数字证书管理响应消息携带的数据。

S202，数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。

在本发明中，数字证书管理请求消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。需要说明的是，所述数字证书管理请求消息中包含的数据可以经一次加密处理，也可以经二次加密处理。例如，所述数字证书管理请求消息可以在安全数据通道传输时，利用所述数据通信密钥进行加密后才发送给数字证书颁发设备。又举例说明，所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中携带的证书请求数据进行过加密处理，在安全数据通道传输时则进行了第二次加密处理。出于安全性的考虑，两次加密处理使用的安全密钥(即数据通信密钥和数据会话密钥)是不同的。数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。

S203，数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向数字证书申请设备发送数字证书管理响应消息。其中，所述数字证书管理响应消息经所述数据通信密钥加密处理。

具体地，数字证书颁发设备在接收到所述数字证书管理请求消息后，首先利用生成的安全密钥对所述数字证书管理请求消息进行解密处理，并根据数字证书管理请求消息携带的数据进行处理，生成数字证书管理响应消息并向数字证书申请设备发送数字证书管理响应消息。

相应地，在本发明中，数字证书管理响应消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。需要说明的是，所述数字证书管理响应消息同样可以经一次加密处理，也可以经二次加密处理。例如，若S202中所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中包含的数据进行过加密处理，在安全数据通道传输时又利用数据通信密钥进行了第二次加密处理。相应地，所述数字证书管理响应消息也可以利用所述数据会话密钥和所述数据通信密钥分别进行两次加密处理。数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。

S204，数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息。

其中，所述数字证书管理响应消息是经所述数据通信密钥加密处理后的。

具体实现时，本发明对数字证书申请设备和数字证书颁发设备交互采用的消息及交互方式不作限定，只要能够实现上述信息交互实现数字证书的自动申请、查询、更新、吊销和撤销列表获取，均属于本发明的保护范围。在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等类型。所述数字证书管理响应消息包括数字证书响应信息。

S205，数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果。

具体实现时，数字证书申请设备对数字证书管理响应消息进行解密处理以及校验处理，获取消息内容，并根据需求确定使用的数字证书，进行数字证书的安装、更新等处理。

可以理解的是，在本发明具体实现时，数字证书管理请求消息携带有证书请求数据，所述数字证书管理响应消息携带有证书响应数据。根据是否对证书请求数据和/或证书响应数据进行加密处理，可以包括以下几种实现方式：

(1)证书请求数据和证书响应数据都是明文，数字证书管理请求消息和数字证书管理响应消息经安全通道的数据通信密钥加密，完成一次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理；所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理。

(2)当所述安全密钥还包括数据会话密钥时，证书请求数据使用数据会话密钥进行第一次加密处理，证书响应数据不加密，为明文。数字证书管理请求消息使用数据通信密钥进行第二次加密，数字证书管理响应消息使用数据通信密钥进行一次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理请求消息携带的证书请求数据经所述数据会话密钥加密处理。

这时，所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理。

(3)当所述安全密钥还包括数据会话密钥时，证书请求数据使用数据会话密钥进行第一次加密处理，证书响应数据也使用数据会话密钥进行第一层加密处理。其中，证书响应数据和证书请求数据使用的会话密钥以及加密方式是对应的。数字证书管理请求消息和数字证书管理响应消息再分别使用数据通信密钥进行第二次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理请求消息携带的证书请求数据经所述数据会话密钥加密处理；

这时，所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理响应消息携带的证书响应数据经所述数据会话密钥加密处理。

所述方法还可以包括：

S206，数字证书申请设备利用所述安全数据通道向数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

具体实现时，数字证书管理确认消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。

S207，数字证书颁发设备接收并处理所述数字证书管理确认消息。

在本发明这一实施例中，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥，并在数字证书申请设备和数字证书颁发设备消息交互过程中，利用生成的安全密钥对消息加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销列表获取等。

在本发明中，数字证书申请设备和数字证书颁发设备交互消息的过程中，若发送消息后，在一定时间内未收到回应消息，需重传。

为了便于本领域技术人员更清楚地理解本发明在具体场景下的实施方式，下面以一个具体示例对本发明实施方式进行介绍。需要说明的是，该具体示例仅为使得本领域技术人员更清楚地了解本发明，但本发明的实施方式不限于该具体示例。

参见图3，为本发明另一实施例提供的数字证书管理方法流程图。如图3所示，可以包括如下步骤：

S301，数字证书申请设备获取授权码。

具体实现时，数字证书申请设备向数字证书颁发设备请求用于下载数字证书的授权码，并获取所述数字证书颁发设备发送的授权码。

S302，数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥。

具体实现时，为保证数字证书颁发过程中信息传输的安全，在数字证书申请设备和数字证书颁发设备之间可以协商建立一个安全数据通道。数字证书申请设备使用授权码生成用于安全数据通道数据传输的安全密钥。

本发明对安全通道的建立方式不进行限制，只要能够利用授权码生成用于数据传输的共享安全密钥即可。具体实现时，可以采用如下方式建立安全数据通道：

S302A，数字证书申请设备与数字证书颁发设备进行安全数据通道协商。

S302B，数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥。

其中，所述安全密钥可以包括数据通信密钥，还可以包括数据会话密钥。所述数据通信密钥用于所述数据证书申请设备和数字证书颁发设备在安全数据通道交互消息时对消息进行加密传输。所述数据会话密钥用于在传输消息前对消息携带的证书请求数据和/或证书响应数据进行加密。

S302C，数字证书申请设备与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

具体实现可以参照图4所示的安全数据通道协商和建立示意图。具体地，所述数字证书申请设备与数字证书颁发设备进行安全数据通道协商包括：数字证书申请设备向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息。其中，所述第一随机数为数字证书申请设备随机生成的，所述第一身份信息具体可以为数字证书申请设备的身份标识，例如IP地址、MAC地址、电子邮件地址、全域名字符串或者国际移动用户识别码(IMSI)等。所述第二随机数为数字证书颁发设备随机生成的，所述第二身份信息具体可以为数字证书颁发设备的身份标识，例如IP地址、MAC地址、电子邮件地址、全域名字符串或者国际移动用户识别码(IMSI)等。数字证书申请设备与数字证书颁发设备交互随机数、身份信息的过程可以是数字证书申请设备先发起的，也可以是数字证书颁发设备先发起的，本发明对具体的交互方式不进行限定。

在一些实施方式中，所述数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥包括：所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。需要说明的是，在数字证书申请设备和数字证书颁发设备侧生成的安全密钥是相同的。所述安全密钥可以包括一组或者多组密钥。例如安全密钥可以包括用于数据传输的数据通信密钥，还可以包括进行完整性校验的完整性校验密钥，还可以包括用于加密证书请求数据和/或证书响应数据的数据会话密钥。

在一些实施方式中，所述安全密钥还包括完整性校验密钥，所述数字证书申请设备与数字证书颁发设备通过完整性校验码进行安全通道的密钥确认包括：所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

S303，数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息。

具体实现时，数字证书申请设备通过安全数据通道保密后向数字证书颁发设备发送证书管理请求消息。如果数字证书申请设备没有数字证书颁发设备所颁发的数字证书，则证书管理请求消息中携带需要在申请的新数字证书中包含的证书信息。如果数字证书申请设备已含有数字证书颁发设备所颁发的数字证书，则数字证书申请设备发送的数字证书管理请求消息中携带已有的数字证书的信息，用于数字证书颁发设备进行证书的查询和更新。

在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等。具体实现时，数字证书申请信息、数字证书获取信息、数字证书吊销信息或者数字证书撤销列表信息可以采用但不限于表1所示形式。

表1 数字证书管理请求消息里的信息类型

举例说明，数字证书管理请求消息的信息类型值为2时，所述信息具体为证书申请信息，用于申请新数字证书。数字证书管理请求消息的信息类型值为4时，所述信息具体为证书获取信息，用于查询或者更新已有数字证书。数字证书管理请求消息的信息类型值为5时，所述信息具体为证书吊销信息，用于吊销已有数字证书。数字证书管理请求消息的信息类型值为6时，所述信息具体为证书撤销列表信息，用于请求证书撤销列表。

具体实现时，证书申请信息的字段格式可以采用但不限于表2所示形式。

表2 证书申请信息

证书生成方式

证书请求数据

具体实现时，证书获取信息的字段格式可以采用但不限于表3所示形式。

表3 证书获取信息

颁发设备名称

序列号

具体实现时，证书吊销信息的字段格式可以采用但不限于表4所示形式。

表4 证书吊销信息

颁发设备名称

序列号

吊销原因

具体实现时，证书撤销列表信息的字段格式可以采用但不限于表5所示形式。

表5 证书撤销列表信息

颁发设备名称

本发明对在证书申请信息里携带的证书请求数据不作限定。

在一些实施方式中，所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值。

其中，证书请求信息可以包括：版本、持有者名称、持有者公钥信息和扩展。这些信息要素简练，可以满足颁发证书的基本要求。签名值是数字证书申请设备本地生成公私钥对后，利用签名算法标识对应的签名算法，使用私钥对所述证书请求信息进行计算后得到的值。数字证书颁发设备根据证书请求信息里的持有者公钥信息对签名进行校验后来判断公私钥是否是数字证书申请设备所属。通过签名算法标识和签名值可以验证公私钥是否归该实体所属。

在另一些实施方式中，所述证书请求数据中的所述证书请求信息还可以包括更加完整的信息：序列号、颁发者名称和有效期。这些信息可以扩充证书颁发功能，如数字证书申请者要求限制证书的一些特定信息等。在这种情况下，所述证书请求数据可以进行加密处理，具体的，所述证书请求数据为数字证书申请设备在安全数据通道建立后，使用产生的数据会话密钥对证书请求信息、签名算法标识以及签名值加密处理后得到的数据。更进一步地，在上述实施方式的基础上，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书请求数据还应包括加密算法标识，相应地，所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据。这种证书请求数据结构要素更完善，用途更广，在验证公私钥所属实体的同时，对证书请求数据进行了保密保护。同时，在有安全数据通道的情况下采用这种证书请求数据结构能够实现对证书请求数据进行两次保密保护，进一步提升数据传输的安全性。

S304，数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息。

具体实现时，数字证书颁发设备通过安全数据通道保密后向数字证书申请设备发送证书管理响应消息。数字证书颁发设备确定数字证书申请设备需申请新数字证书时，数字证书管理响应消息包含数字证书颁发设备根据数字证书申请信息包含的证书请求数据产生的新数字证书。数字证书颁发设备确定数字证书申请设备需查询或更新已有的数字证书时，数字证书管理响应消息携带查询的或者更新的数字证书。

具体实现时，数字证书颁发设备根据数字证书管理请求消息里的信息类型判断处理。若接收到数字证书申请信息，判断申请保护的证书信息存在，则根据证书请求数据颁发新的数字证书；如果证书获取信息包含的已有数字证书信息存在，则根据颁发设备名称和序列号查询已有的数字证书；如果证书吊销信息包含的颁发设备名称和序列号存在，则根据颁发设备名称和序列号查询吊销已有的数字证书；如果证书撤销列表存在，则根据颁发设备名称查询证书撤销列表。数字证书颁发设备将上述证书携带在数字证书管理响应消息里。数字证书管理响应消息可以采用但不限于表6所示形式。

表6 数字证书管理响应消息里的信息类型

消息	类型值	含义(信息类型)
数字证书管理响应消息	3	证书响应

证书响应信息格式可以采用但不限于表7所示形式。

表7 证书响应信息格式

证书生成类型

证书响应数据

其中证书生成类型可以如表8所示，列举了不同的证书所有者对应的证书类型。

表8 证书类型

类型值

含义

1	客户端证书
2	AS证书
3	CA证书
4	证书撤销列表

其中，AS证书为认证服务器证书，CA证书为授权中心证书。

具体实现时，数字证书管理响应消息经过加密处理。具体地，在有安全通道的情况下，使用产生的数据通信密钥进行加密处理，由此提高了消息传输的安全性。需要说明的是，所述数字证书管理响应消息可以经一次加密处理，也可以经二次加密处理。例如，若所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中包含的证书请求数据进行过加密处理，在安全数据通道传输时又利用数据通信密钥进行了第二次加密处理。相应地，所述数字证书管理响应消息也可以利用所述数据会话密钥和所述数据通信密钥对所包含的证书响应数据分别进行第二次加密处理。更进一步地，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书响应数据还应包括加密算法标识，相应地，所述证书响应数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据。

S305，数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果。

进一步地，数字证书申请设备根据需求确定使用的数字证书。

所述方法还可以包括：

S306，数字证书申请设备利用所述安全数据通道向数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在本发明实施例中，通过上述S301、S302消息建立了安全可靠的数据传输通道，通过上述S303、S304、S305三个消息进行交互实现数字证书的自动申请、查询和更新，使得数字证书管理更为有效、安全、可靠。如图5所示，为数字证书自动申请、查询、更新、吊销和撤销列表获取方法中的消息内容示意图。如图5所示，数字证书管理请求消息CertReq具体可以是包括数字证书申请信息、数字证书获取信息、数字证书吊销信息以及数字证书撤销列表信息等。所述数字证书管理响应消息CertRes可以包括数字证书响应信息等。数字证书管理确认消息CertConfirm可以用于解除数字证书申请设备和数字证书颁发设备之间的连接。

以上从数字证书申请设备侧对本发明提供的数字证书管理方法进行了介绍。本领域技术人员可以理解的是，本发明提供的方法还可以应用于数字证书颁发设备侧，其中的处理可以与图2至图5所示的示例对应进行。举例说明，上述方法应用于证书颁发设备侧还可以包括：数字证书颁发设备利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理收到的数字证书管理请求消息，并生成数字证书管理响应消息；利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

在一些实施方式中，所述方法还包括：所述数字证书颁发设备接收并处理数字证书申请设备生成并利用所述安全数据通道发送的数字证书管理确认消息。

在一些实施方式中，所述数字证书颁发设备利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥包括：所述数字证书颁发设备与数字证书申请设备进行安全数据通道协商；所述数字证书颁发设备与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；所述数字证书颁发设备与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述数字证书颁发设备与数字证书申请设备进行安全数据通道协商包括：所述数字证书颁发设备向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息。

在一些实施方式中，所述数字证书颁发设备与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥包括：所述数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

具体的实现可以参照图2至图5所述方法而实现。

参见图6，为本发明一实施例提供的数字证书申请设备示意图。

一种数字证书申请设备600，包括：

安全数据通道建立单元601，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

加密单元602，用于利用所述数据通信密钥对所述证书管理请求消息进行加密处理。

发送单元603，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。

接收单元604，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

处理单元605，用于对所述数字证书管理响应消息进行处理，获取处理结果。

在一些实施方式中，所述处理单元605还用于生成数字证书管理确认消息；所述发送单元603，还用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在一些实施方式中，所述发送单元603发送的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展，所述加密单元602具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理请求消息经加密处理。

在一些实施方式中，所述加密单元602还用于：

当所述安全密钥还包括数据会话密钥时，在所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理请求消息携带的证书请求数据进行加密处理。

其中，所述证书请求信息还包括序列号、颁发者名称和有效期。

进一步的，当所述数字证书申请设备支持两种以上的加密算法时，所述发送单元603发送的所述证书请求数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据；相应的，所述加密单元602还具体用于：

利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识以及所述签名值进行加密处理。

在一些实施方式中，所述发送单元603包括：

第一发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据；和/或，

第二发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段；和/或，

第三发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段；和/或，

第四发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。

在一些实施方式中，所述安全数据通道建立单元601包括：

协商单元，用于与数字证书颁发设备进行安全数据通道协商；

密钥生成单元，用于与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；

密钥确认单元，用于与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述协商单元具体用于：

向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；

所述密钥生成单元具体用于：

所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

在一些实施方式中，所述密钥生成单元生成的安全密钥还包括完整性校验密钥，所述密钥确认单元具体用于：

所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

其中，本发明设备各单元或模块的设置可以参照图2至图5所示的方法而实现，在此不赘述。需要说明的是，数字证书管理设备可以是独立的设备，也可以与数字证书颁发设备集成在一起，或者作为数字证书颁发设备的一部分而存在，在此不进行限定。

参见图7，是本发明另一实施例提供的用于数字证书申请的设备的框图。包括：至少一个处理器701(例如CPU)，存储器702和至少一个通信总线703，用于实现这些设备之间的连接通信。处理器701用于执行存储器702中存储的可执行模块，例如计算机程序。存储器702可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器701执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；对所述数字证书管理响应消息进行处理，获取处理结果。

在一些实施方式中，处理器701还用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书颁发设备进行安全数据通道协商；与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

参见图8，为本发明一实施例提供的数字证书颁发设备示意图。

一种数字证书颁发设备800，包括：

安全数据通道建立单元801，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

接收单元802，用于接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。

处理单元803，用于处理收到的数字证书管理请求消息，并生成数字证书管理响应消息。

加密单元804，用于利用所述数据通信密钥对数字证书管理响应消息进行加密处理；

发送单元805，用于利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

在一些实施方式中，所述接收单元802还用于接收数字证书申请设备利用所述安全数据通道发送的数字证书管理确认消息；所述处理单元803还用于处理收到的数字证书管理确认消息。

在一些实施方式中，所述发送单元805发送的所述数字证书管理响应消息携带证书响应数据；所述加密单元804具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理响应消息进行加密处理；

其中，所述接收单元802接收的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展。

在一些实施方式中，所述加密单元804还用于：

当所述安全密钥还包括数据会话密钥时，在所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理响应消息携带的证书响应数据进行加密处理；

在一些实施方式中，当所述数字证书颁发设备支持两种以上的加密算法时，所述发送单元805发送的所述证书响应数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据；相应的，所述加密单元804还具体用于：

利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据进行加密处理。

在一些实施方式中，所述安全数据通道建立单元801包括：

协商单元，用于与数字证书申请设备进行安全数据通道协商；

密钥生成单元，用于与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；

密钥确认单元，用于与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述协商单元具体用于：

向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息；

所述密钥生成单元具体用于：

利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

与数字证书申请设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

参见图9，是本发明另一实施例提供的用于数字证书颁发的设备的框图。包括：至少一个处理器901(例如CPU)，存储器902和至少一个通信总线903，用于实现这些设备之间的连接通信。处理器901用于执行存储器902中存储的可执行模块，例如计算机程序。存储器902可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器901执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理收到的数字证书管理请求消息，并生成数字证书管理响应消息；利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

在一些实施方式中，处理器901还用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：接收并处理数字证书申请设备生成并利用所述安全数据通道发送的数字证书管理确认消息。

在一些实施方式中，处理器901具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书申请设备进行安全数据通道协商；与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，处理器901具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息。

在一些实施方式中，处理器901具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

本领域技术人员可以明了，前述方法及设备是对应的关系。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种数字证书管理方法，其特征在于，包括：

数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向数字证书申请设备发送数字证书管理响应消息，所述数字证书申请设备利用所述安全数据通道接收所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述数字证书申请设备利用所述安全数据通道向数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；

所述数字证书颁发设备接收并处理所述数字证书管理确认消息。
根据权利要求1所述的方法，其特征在于，所述数字证书管理请求消息携带有证书请求数据，所述数字证书管理响应消息携带有证书响应数据，其中，所述证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展；

所述数字证书管理请求消息经所述数据通信密钥加密处理包括：

所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理；

所述数字证书管理响应消息经所述数据通信密钥加密处理包括：

所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理。
根据权利要求3所述的方法，其特征在于，所述安全密钥还包括数据会话密钥；相应的，

所述数字证书管理请求消息经所述数据通信密钥加密处理还包括：

所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理请求消息携带的证书请求数据经所述数据会话密钥加密处理；

其中，所述证书请求信息还包括序列号、颁发者名称和有效期。
根据权利要求4所述的方法，其特征在于，当所述数字证书申请设备和/或所述数字证书颁发设备支持两种以上的加密算法时，所述证书请求数据还进一步包括加密算法标识；相应的，

所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据。
根据权利要求4或5中任一项所述的方法，其特征在于，所述数字证书管理响应消息经所述数据通信密钥加密处理还包括：

所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理响应消息携带的证书响应数据经所述数据会话密钥加密处理。
根据权利要求6所述的方法，其特征在于，当所述数字证书申请设备和/或所述数字证书颁发设备支持两种以上的加密算法时，所述证书响应数据还进一步包括加密算法标识；相应的，

所述证书响应数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据。
根据权利要求1所述的方法，其特征在于，所述数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息包括：

所述数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据；和/或，

所述数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段；和/或，

所述数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段；和/或，

所述数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。
根据权利要求1所述的方法，其特征在于，所述数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥包括：

数字证书申请设备与数字证书颁发设备进行安全数据通道协商；

数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；

数字证书申请设备与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。
根据权利要求9所述的方法，其特征在于，所述数字证书申请设备与数字证书颁发设备进行安全数据通道协商包括：

数字证书申请设备向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；

所述数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥包括：

所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。
根据权利要求9或10所述的方法，其特征在于，所述安全密钥还包括完整性校验密钥，所述数字证书申请设备与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证包括：

所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。
一种数字证书申请设备，其特征在于，所述设备包括：

安全数据通道建立单元，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；

加密单元，用于利用所述数据通信密钥对所述证书管理请求消息进行加密处理；

发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

接收单元，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

处理单元，用于对所述数字证书管理响应消息进行处理，获取处理结果。
根据权利要求12所述的设备，其特征在于，所述处理单元还用于生成数字证书管理确认消息；

所述发送单元，还用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。
根据权利要求12所述的设备，其特征在于，所述发送单元发送的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展；

所述加密单元具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理请求消息进行加密处理。
根据权利要求14所述的设备，其特征在于，所述加密单元还用于：

当所述安全密钥还包括数据会话密钥时，在所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理请求消息携带的证书请求数据进行加密处理；

其中，所述证书请求信息还包括序列号、颁发者名称和有效期。
根据权利要求15所述的设备，其特征在于，当所述数字证书申请设备支持两种以上的加密算法时，所述发送单元发送的所述证书请求数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据；相应的，所述加密单元还具体用于：

利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识以及所述签名值进行加密处理。
根据权利要求12所述的设备，其特征在于，所述发送单元包括：

第一发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据；和/或，

第二发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段；和/或，

第三发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段；和/或，

第四发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。
根据权利要求12所述的设备，其特征在于，所述安全数据通道建立单元包括：

协商单元，用于与数字证书颁发设备进行安全数据通道协商；

密钥生成单元，用于与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；

密钥确认单元，用于与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。
根据权利要求18所述的设备，其特征在于，所述协商单元具体用于：

向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；

所述密钥生成单元具体用于：

与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。
根据权利要求18或19所述的设备，其特征在于，所述密钥生成单元生成的安全密钥还包括完整性校验密钥，所述密钥确认单元具体用于：

与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。
一种用于数字证书申请的设备，其特征在于，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：

利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；

利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

对所述数字证书管理响应消息进行处理，获取处理结果。
一种数字证书颁发设备，其特征在于，所述设备包括：

安全数据通道建立单元，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

接收单元，用于接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

处理单元，用于处理收到的所述数字证书管理请求消息，并生成数字证书管理响应消息；

加密单元，用于利用所述数据通信密钥对数字证书管理响应消息进行加密处理；

发送单元，用于利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。
根据权利要求22所述的设备，其特征在于，所述接收单元还用于接收数字证书申请设备利用所述安全数据通道发送的数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；

所述处理单元，还用于处理收到的数字证书管理确认消息。
根据权利要求22所述的设备，其特征在于，所述发送单元发送的所述数字证书管理响应消息携带证书响应数据；

所述加密单元具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理响应消息进行加密处理；

其中，所述接收单元接收的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展。
根据权利要求24所述的设备，其特征在于，所述加密单元还用于：

当所述安全密钥还包括数据会话密钥时，在所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理响应消息携带的证书响应数据进行加密处理；

其中，所述证书请求信息还包括序列号、颁发者名称和有效期。
根据权利要求25所述的设备，其特征在于，当所述数字证书颁发设备支持两种以上的加密算法时，所述发送单元发送的所述证书响应数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据；相应的，所述加密单元还具体用于：

利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据进行加密处理。
根据权利要求22所述的设备，其特征在于，所述安全数据通道建立单元包括：

协商单元，用于与数字证书申请设备进行安全数据通道协商；

密钥生成单元，用于与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；

密钥确认单元，用于与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。
根据权利要求27所述的设备，其特征在于，所述协商单元具体用于：

向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息；

所述密钥生成单元具体用于：

利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。
根据权利要求27或28所述的设备，其特征在于，所述密钥生成单元生成的安全密钥还包括完整性校验密钥，所述密钥确认单元具体用于：

与数字证书申请设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。
一种用于数字证书颁发的设备，其特征在于，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：

利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；

接收数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

处理收到的数字证书管理请求消息，并生成数字证书管理响应消息；

利用所述数据通信密钥对数字证书管理响应消息进行加密处理；

利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。