WO2019047927A1

WO2019047927A1 - 数字证书管理方法及设备

Info

Publication number: WO2019047927A1
Application number: PCT/CN2018/104647
Authority: WO
Inventors: 王月辉; 张变玲; 铁满霞; 赖晓龙; 李琴; 童伟刚; 张国强; 杜志强; 颜湘
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2017-09-07
Filing date: 2018-09-07
Publication date: 2019-03-14
Also published as: US11323433B2; EP3681101A1; JP2020533853A; US20200328902A1; KR102325725B1; CN109474432A; CN109474432B; JP7292263B2; EP3681101A4; EP3681101B1; KR20200044117A

Abstract

本发明提供一种数字证书管理方法及设备，所述方法包括：数字证书申请设备与数字证书颁发设备协商建立安全数据通道；数字证书申请设备向数字证书颁发设备发送数字证书管理请求消息；数字证书颁发设备接收数字证书管理请求消息，向数字证书申请设备发送数字证书管理验证请求消息；数字证书申请设备接收数字证书管理验证请求消息，向数字证书颁发设备发送数字证书管理验证响应消息；数字证书颁发设备接收数字证书管理验证响应消息，向数字证书申请设备发送数字证书管理响应消息；数字证书申请设备接收数字证书管理响应消息，向数字证书颁发设备发送数字证书管理确认消息。本发明可以有效提高数字证书管理的安全性。

Description

数字证书管理方法及设备

本申请要求在2017年9月7日提交中国专利局、申请号为201710802333.X、发明名称为“数字证书管理方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，具体涉及一种数字证书管理方法及设备。

背景技术

随着网络安全技术的发展，如何确保网络信息传输的保密性、完整性成为一个重要的研究课题。数字证书是一种验证网络通信实体身份的方式，可以利用数字证书技术进行数据加密、身份验证等。数字证书一般是由数字证书颁发设备向数字证书申请设备签发的，可以用于识别数字证书申请设备的身份。

现有技术中，存在一种数字证书自动申请的方法，应用于无线局域网内数字证书的申请、更新和颁发。在这种方法中，数字证书申请设备可以通过无线局域网向数字证书颁发设备发送消息，通知其支持的数字证书产生方法，以便数字证书颁发设备生成新的数字证书。在这种方法中，数字证书申请设备和数字证书颁发设备之间传输的消息均是明文传输的，二者仅进行消息的完整性校验，以确定消息未被篡改。这种方式仅能保证数据的完整性，对数据的真实性、保密性无法进行有效的保护。特别地，当数字证书申请设备和数字证书颁发设备若通过其他网络形式交互数据时，由于消息是明文传输的，这种方式存在安全性不高的缺陷。

发明内容

本发明提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间建立数据传输的安全通道，并对二者传输的消息进行加密传输，有效提高了数字证书管理的安全性。

为此，本发明提供如下技术方案：

第一方面，本发明提供了一种数字证书管理方法，包括：数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；数字证书申请设备接收所述数字证书管理验证请求消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；数字证书颁发设备接收所述数字证书管理验证响应消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；数字证书申请设备接收所述数字证书管理响应消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；数字证书颁发设备接收并处理所述数字证书管理确认消息。

第二方面，本发明提供了一种数字证书申请设备，包括：安全数据通道建立单元，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；加密单元，用于利用所述数据通信密钥对所述证书管理请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理；接收单元，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；处理单元，用于处理接收到的所述数字证书管理验证请求消息并生成数字证书管理验证响应消息；还用于处理接收到的所述数字证书管理响应消息并生成数字证书管理确认消息。

第三方面，本发明提供了一种用于数字证书申请的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；生成数字证书管理请求消息；利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；处理所述数字证书管理验证请求消息，并生成数字证书管理验证响应消息；利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；处理所述数字证书管理响应消息，并生成数字证书管理确认消息；利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

第四方面，本发明提供了一种数字证书颁发设备，所述设备包括：安全数据通道建立单元，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；接收单元，用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理验证响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；处理单元，用于处理接收到的所述数字证书管理请求消息，并生成数字证书管理验证请求消息；还用于处理接收到的所述数字证书管理验证响应消息，并生成数字证书管理响应消息；还用于处理接收到的所述数字证书管理确认消息；加密单元，用于利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；发送单元，用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

第五方面，本发明提供了一种用于数字证书颁发的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理所述数字证书管理请求消息，并生成数字证书管理验证请求消息；利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；处理所述数字证书管理验证响应消息，并生成数字证书管理响应消息；利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理确认消息，并处理所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

本发明提供的数字证书管理方法及设备中，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥并在数字证书申请设备和数字证书颁发设备之间的消息交互过程中，利用生成的数据通信密钥对消息加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销列表获取等。同时，数字证书颁发设备利用公私钥所属的验证，检查数字证书申请设备是否拥有“与其公钥相对应的私钥”，从而能够检测出数字证书申请设备的公私钥是否被替换，是否错误等。数字证书颁发设备只能和拥有正确公私钥的数字证书申请设备交互消息，避免数字证书申请设备隐私数据的泄露，进一步保证数字证书管理过程的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中所记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例可以应用的一个示意性应用场景；

图2为本发明一实施例提供的数字证书管理方法流程图；

图3为本发明另一实施例提供的数字证书管理方法流程图；

图4为本发明另一实施例提供的数字证书管理方法流程图；

图5为本发明实施例提供的安全数据通道协商和建立示意图；

图6为本发明一实施例提供的数字证书自动申请、查询、更新和颁发方法中的消息内容示意图；

图7是根据一示例性实施例示出的一种数字证书申请设备的框图；

图8是根据另一示例性实施例示出的一种用于数字证书申请的设备的框图；

图9是根据一示例性实施例示出的一种数字证书颁发设备的框图；

图10是根据另一示例性实施例示出的一种用于数字证书颁发的设备的框图。

具体实施方式

本发明实施例提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间建立数据传输的安全通道，并对二者传输的消息进行加密传输，有效提高了数字证书管理的安全性。

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

参见图1，为本发明实施例的示例性应用场景。本发明实施例提供的方法和设备可以应用于如图1所示的场景，其中，数字证书申请设备和数字证书颁发设备可以通过网络实现连接，所述连接可以是任何形式的有线和/或无线连接(例如，WLAN、LAN、蜂窝、同轴电缆等)。以图1为例说明，数字证书申请设备包括但不限于：现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。数字证书申请设备可以通过各自适用的网络形式向数字证书颁发设备(例如授证中心CA服务器)申请下载、更新证书等。需要说明的是，本发明实施例可以应用到无线运营网络、航空、交通、电力、广电、金融、医疗、教育、工商等诸多行业。当然，上述应用场景仅是为了便于理解本发明而示出，本发明的实施方式在此方面不受任何限制。相反，本发明的实施方式可以应用于适用的任何场景。

下面将结合附图2至附图6对本发明示例性实施例示出的数字证书管理方法进行介绍。

参见图2，为本发明一实施例提供的数字证书管理方法流程图。如图2所示，可以包括：

S201，数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

具体实现时，数字证书申请者可以向数字证书颁发者请求用于下载数字证书的授权码。数字证书申请者例如可以是数字证书申请设备，数字证书颁发者例如可以是数字证书颁发设备。本发明对具体的授权码请求方式不进行限定。例如，数字证书申请者可以通过短信、邮件、专用请求等方式向数字证书颁发者请求授权码。数字证书颁发者可以通过一定的方式将授权码发送给数字证书申请者。例如，数字证书颁发者可以通过短信、邮件、专用消息等方式向数字证书申请者发送授权码。一般地，授权码是数字证书颁发者自己生成的，可以是在数字证书申请者请求授权码时实时生成，也可以是预先生成待使用的，形式上可以是字母和/或数字和/或符号等的组合，具有一定的长度要求，授权码也具有一定的使用期限，超过使用期限，授权码则会失效。在使用过程中，数字证书颁发者分配给不同数字证书申请者的授权码是不同的。

具体实现时，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，所述安全数据通道用于进行安全数据传输。在建立安全数据通道过程中，数字证书申请设备可以利用授权码生成安全密钥，所述安全密钥可以包括一个或多个密钥，所述一个或多个密钥包括数据通信密钥。所述安全密钥还可以包括数据会话密钥。所述数据通信密钥用于加密所述数字证书申请设备与所述数字证书颁发设备在安全数据通道中传输的消息。需要说明的是，在数字证书申请设备侧和数字证书颁发设备侧均会生成安全密钥，便于消息的加密与解密处理。所述数据会话密钥可以用于加密证书请求数据或证书响应数据。所述证书请求数据具体为数字证书管理请求消息携带的数据。所述证书响应数据具体为数字证书管理响应消息携带的数据。

S202，数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。

在本发明中，数字证书管理请求消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。需要说明的是，所述数字证书管理请求消息中包含的数据可以经一次加密处理，也可以经二次加密处理。例如，所述数字证书管理请求消息可以在安全数据通道传输时，利用所述数据通信密钥进行加密后才发送给数字证书颁发设备。又举例说明，所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中携带的证书请求数据进行过加密处理，在安全数据通道传输时则进行了第二次加密处理。出于安全性的考虑，两次加密处理使用的安全密钥(即数据通信密钥和数据会话密钥)是不同的。数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。

S203，数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

具体地，数字证书颁发设备在接收到所述数字证书管理请求消息后，首先利用生成的安全密钥对所述数字证书管理请求消息进行解密处理，并根据数字证书管理请求消息携带的数据进行处理，生成数字证书管理响应消息并向数字证书申请设备发送数字证书管理响应消息。

相应地，在本发明中，数字证书管理响应消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。需要说明的是，所述数字证书管理响应消息同样可以经一次加密处理，也可以经二次加密处理。例如，若S202中所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中包含的数据进行过加密处理，在安全数据通道传输时又利用数据通信密钥进行了第二次加密处理。相应地，所述数字证书管理响应消息也可以利用所述数据会话密钥和所述数据通信密钥分别进行两次加密处理。数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。

S204，数字证书申请设备接收所述数字证书管理响应消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

其中，所述数字证书管理响应消息是经所述数据通信密钥加密处理后的。

具体地，数字证书申请设备对所述数字证书管理响应消息进行处理，获取处理结果，并生成数字证书管理确认消息。

具体实现时，本发明对数字证书申请设备和数字证书颁发设备交互采用的消息及交互方式不作限定，只要能够实现上述信息交互实现数字证书的自动申请、查询、更新和颁发，均属于本发明的保护范围。在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等类型。所述数字证书管理响应消息包括数字证书响应信息。

具体实现时，数字证书申请设备对数字证书管理响应消息进行解密处理以及校验处理，获取消息内容，并根据需求确定使用的数字证书，进行数字证书的安装、更新等处理。

可以理解的是，在本发明具体实现时，数字证书管理请求消息携带有证书请求数据，所述数字证书管理响应消息携带有证书响应数据。根据是否对证书请求数据和/或证书响应数据进行加密处理，可以包括以下几种实现方式：

(1)证书请求数据和证书响应数据都是明文，数字证书管理请求消息和数字证书管理响应消息经安全通道的数据通信密钥加密，完成一次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理；所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理。

(2)当所述安全密钥还包括数据会话密钥时，证书请求数据使用数据会话密钥进行第一次加密处理，证书响应数据不加密，为明文。数字证书管理请求消息使用数据通信密钥进行第二次加密，数字证书管理响应消息使用数据通信密钥进行一次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理请求消息携带的证书请求数据经所述数据会话密钥加密处理。

这时，所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理。

(3)当所述安全密钥还包括数据会话密钥时，证书请求数据使用数据会话密钥进行第一次加密处理，证书响应数据也使用数据会话密钥进行第一层加密处理。其中，证书响应数据和证书请求数据使用的会话密钥以及加密方式是对应的。数字证书管理请求消息和数字证书管理响应消息再分别使用数据通信密钥进行第二次加密。

这时，所述数字证书管理请求消息经所述数据通信密钥加密处理包括：所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理请求消息携带的证书请求数据经所述数据会话密钥加密处理；

这时，所述数字证书管理响应消息经所述数据通信密钥加密处理包括：所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，所述数字证书管理响应消息携带的证书响应数据经所述数据会话密钥加密处理。

具体实现时，数字证书管理确认消息经过加密处理。具体地，是使用S201中生成的数据通信密钥进行加密处理的，由此有效提高了消息传输的安全性。

S205，数字证书颁发设备接收并处理所述数字证书管理确认消息。

在本发明这一实施例中，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥，并在数字证书申请设备和数字证书颁发设备消息交互过程中，利用生成的安全密钥对消息加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销等。

在本发明中，数字证书申请设备和数字证书颁发设备交互消息的过程中，若发送消息后，在一定时间内未收到回应消息，需重传。

在另一实施例中，当数字证书申请设备发送的数字证书管理请求消息中携带的数字证书的用途是加密或密钥交换时，数字证书颁发设备需要判断公私钥是否为所述数字证书申请设备所属，数字证书颁发设备和数字证书申请设备之间需要交互数字证书管理验证请求消息和数字证书管理验证响应消息。具体地，参见图3，为本发明这一实施例提供的数字证书管理方法流程图。在这一实施例中，如图3所示，在S302之后，所述方法还可以包括：

S303，数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理。

具体地，所述数字证书颁发设备在接收到所述数字证书管理请求消息后，首先利用所述数据通信密钥对所述数字证书管理请求消息进行解密处理，并根据所述数字证书管理请求消息携带的数据进行处理，然后生成数字证书管理验证请求消息。

所述数字证书管理验证请求消息包括证书验证请求信息，所述证书验证请求信息包括对比值和验证值密文。

S304，数字证书申请设备接收所述数字证书管理验证请求消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理。

其中，所述数字证书管理验证请求消息是经所述数据通信密钥加密处理后的。

S305，数字证书颁发设备接收所述数字证书管理验证响应消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

在一些实施方式中，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能时(即私钥定义解密变换)时，此时，步骤S303中数字证书颁发设备生成数字证书管理验证请求消息，具体包括：

S3031，所述数字证书颁发设备产生一个验证值，所述验证值经过所述数字证书申请设备的公钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。

步骤S304具体包括：

S3041，所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，使用所述数字证书申请设备的私钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断计算生成的所述新的对比值与接收到的所述对比值是否一致，如果一致，可以确定所述数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息并通过安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息。

步骤S305具体为：

S3051，所述数字证书颁发设备在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以确定公私钥是所述数字证书申请设备所属，则生成所述数字证书管理响应消息并通过安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息。

在一些实施方式中，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能(即公私钥定义密钥交换变换)时，此时，步骤S303中数字证书颁发设备生成数字证书管理验证请求消息，具体包括：

S3032，所述数字证书颁发设备与所述数字证书申请设备密钥交换后生成共享密钥，所述数字证书颁发设备产生一个验证值，所述验证值经过所述共享密钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。

需要说明的是，在这一实施方式中，对数字证书申请设备与数字证书颁发设备进行密钥交换的方式不做限定，数字证书申请设备的公私钥均参与密钥交换。

步骤S304具体为：

S3042，所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，所述数字证书申请设备与所述数字证书颁发设备密钥交换后生成共享密钥，使用所述共享密钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断所述新的对比值与接收到的对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息并向所述数字证书颁发设备发送所述数字证书管理验证响应消息。

步骤S305具体为：

S3052，所述数字证书颁发设备在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以判断公私钥是所述数字证书申请设备所属，则生成所述数字证书管理响应消息并向所述数字证书申请设备发送所述数字证书管理响应消息。

在这一实施例中，S301～S302参照S201～S202执行，S306～S307参照S204～S205执行，此处不再赘述。

在这一实施例中，验证值可以是随机数或其他数值，验证值经过计算生成对比值的计算方式不做限定，可以是杂凑计算或循环冗余校验(CRC)等。

为了便于本领域技术人员更清楚地理解本发明在具体场景下的实施方式，下面以一个具体示例对本发明实施方式进行介绍。需要说明的是，该具体示例仅为使得本领域技术人员更清楚地了解本发明，但本发明的实施方式不限于该具体示例。

参见图4，为本发明另一实施例提供的数字证书管理方法流程图。如图4所示，可以包括如下步骤：

S401，数字证书申请设备获取授权码。

具体实现时，数字证书申请设备向数字证书颁发设备请求用于下载数字证书的授权码，并获取所述数字证书颁发设备发送的授权码。

S402，数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥。

具体实现时，为保证数字证书颁发过程中信息传输的安全，在数字证书申请设备和数字证书颁发设备之间可以协商建立一个安全数据通道。数字证书申请设备使用授权码生成用于安全数据通道数据传输的安全密钥。

本发明对安全通道的建立方式不进行限制，只要能够利用授权码生成用于数据传输的共享安全密钥即可。具体实现时，可以采用如下方式建立安全数据通道：

S402A，数字证书申请设备与数字证书颁发设备进行安全数据通道协商。

S402B，数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥。

其中，所述安全密钥可以包括数据通信密钥，还可以包括数据会话密钥。所述数据通信密钥用于所述数据证书申请设备和数字证书颁发设备在安全数据通道交互消息时对消息进行加密传输。所述数据会话密钥用于在传输消息前对消息携带的证书请求数据和/或证书响应数据进行加密。

S402C，数字证书申请设备与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

具体实现可以参照图4所示的安全数据通道协商和建立示意图。具体地，所述数字证书申请设备与数字证书颁发设备进行安全数据通道协商包括：数字证书申请设备向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息。其中，所述第一随机数为数字证书申请设备随机生成的，所述第一身份信息具体可以为数字证书申请设备的身份标识，例如IP地址、MAC地址、电子邮件地址、全域名字符串或者国际移动用户识别码(IMSI)等。所述第二随机数为数字证书颁发设备随机生成的，所述第二身份信息具体可以为数字证书颁发设备的身份标识，例如IP地址、MAC地址、电子邮件地址、全域名字符串或者国际移动用户识别码(IMSI)等。数字证书申请设备与数字证书颁发设备交互随机数、身份信息的过程可以是数字证书申请设备先发起的，也可以是数字证书颁发设备先发起的，本发明对具体的交互方式不进行限定。

在一些实施方式中，所述数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥包括：所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。需要说明的是，在数字证书申请设备和数字证书颁发设备侧生成的安全密钥是相同的。所述安全密钥可以包括一组或者多组密钥。例如安全密钥可以包括用于数据传输的数据通信密钥，还可以包括进行完整性校验的完整性校验密钥，还可以包括用于加密证书请求数据和/或证书响应数据的数据会话密钥。

在一些实施方式中，所述安全密钥还包括完整性校验密钥，所述数字证书申请设备与数字证书颁发设备通过完整性校验码进行安全通道的密钥确认包括：所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

S403，数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息。

具体实现时，数字证书申请设备通过安全数据通道保密后向数字证书颁发设备发送证书管理请求消息。如果数字证书申请设备没有数字证书颁发设备所颁发的数字证书，则证书管理请求消息中携带需要在申请的新数字证书中包含的证书信息。如果数字证书申请设备已含有数字证书颁发设备所颁发的数字证书，则数字证书申请设备发送的数字证书管理请求消息中携带已有的数字证书的信息，用于数字证书颁发设备进行证书的查询和更新。

在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等。具体实现时，数字证书申请信息、数字证书获取信息、数字证书吊销信息或者数字证书撤销列表信息可以采用但不限于表1所示形式。

表1 数字证书管理请求消息里的信息类型

举例说明，数字证书管理请求消息的信息类型值为2时，所述信息具体为证书申请信息，用于申请新数字证书。数字证书管理请求消息的信息类型值为4时，所述信息具体为证书获取信息，用于查询或者更新已有数字证书。数字证书管理请求消息的信息类型值为5时，所述信息具体为证书吊销信息，用于吊销已有数字证书。数字证书管理请求消息的信息类型值为6时，所述信息具体为证书撤销列表信息，用于请求证书撤销列表。

具体实现时，证书申请信息的字段格式可以采用但不限于表2所示形式。

表2 证书申请信息

证书生成方式

证书请求数据

具体实现时，证书获取信息的字段格式可以采用但不限于表3所示形式。

表3 证书获取信息

颁发设备名称

序列号

具体实现时，证书吊销信息的字段格式可以采用但不限于表4所示形式。

表4 证书吊销信息

颁发设备名称

序列号

吊销原因

具体实现时，证书撤销列表信息的字段格式可以采用但不限于表5所示形式。

表5 证书撤销列表信息

颁发设备名称

本发明对在证书申请信息里携带的证书请求数据不作限定。

在一些实施方式中，所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值。

其中，证书请求信息可以包括：版本、持有者名称、持有者公钥信息和扩展。这些信息要素简练，可以满足颁发证书的基本要求。签名值是数字证书申请设备本地生成公私钥对后，利用签名算法标识对应的签名算法，使用私钥对所述证书请求信息进行计算后得到的值。数字证书颁发设备根据证书请求信息里的持有者公钥信息对签名进行校验后来判断公私钥是否是数字证书申请设备所属。通过签名算法标识和签名值可以验证公私钥是否归该实体所属。

在另一些实施方式中，所述证书请求数据中的所述证书请求信息还可以包括更加完整的信息：序列号、颁发者名称和有效期。这些信息可以扩充证书颁发功能，如数字证书申请者要求限制证书的一些特定信息等。在这种情况下，所述证书请求数据可以进行加密处理，具体的，所述证书请求数据为数字证书申请设备在安全数据通道建立后，使用产生的数据会话密钥对证书请求信息、签名算法标识以及签名值加密处理后得到的数据。更进一步地，在上述实施方式的基础上，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书请求数据还应包括加密算法标识，相应地，所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据。这种证书请求数据结构要素更完善，用途更广，在验证公私钥所属实体的同时，对证书请求数据进行了保密保护。同时，在有安全数据通道的情况下采用这种证书请求数据结构能够实现对证书请求数据进行两次保密保护，进一步提升数据传输的安全性。

S404，数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书验证请求消息。

具体实现时，如果数字证书颁发设备需要判断公私钥是否是数字证书申请设备所属，数字证书颁发设备通过安全数据通道保密后向数字证书申请设备发送数字证书管理验证请求消息。所述数字证书管理验证请求消息中携带证书验证请求信息，用于验证数字证书申请设备的公私钥所属。数字证书管理验证请求消息可以采用但不限于表6所示形式。

表6 数字证书管理验证请求消息里的信息类型

证书验证请求信息的字段格式可以采用但不限于表7所示形式。

表7 证书验证请求信息

对比值

验证值密文

在一些实施方式中，所述数字证书管理验证请求消息携带的证书验证请求信息还包括算法标识、临时公钥等。

具体实现时，数字证书颁发设备根据数字证书的用途来判断是否需要进行公私钥所属验证，当数字证书的用途是加密或密钥交换时，数字证书颁发设备进行公私钥所属验证。具体地，数字证书颁发设备产生一个验证值，对验证值进行计算生成对比值。根据证书用途的不同使用不同的密钥对验证值进行加密。如果证书用于加密，则使用数字证书申请设备的公钥对验证值进行加密生成验证值密文；如果证书用于密钥交换，则数字证书颁发设备和数字证书申请设备进行密钥交换后产生一个共享密钥，使用此共享密钥对验证值进行加密生成验证值密文。数字证书颁发设备将所述对比值和所述验证值密文携带在数字证书管理验证请求消息里。

S405，数字证书申请设备向所述数字证书颁发设备发送数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理。

具体实现时，所述数字证书申请设备处理接收到的所述数字证书管理验证请求消息并生成后数字证书管理验证响应消息。

在一些实施方式中，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能(即私钥定义解密变换)时，所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，使用所述数字证书申请设备的私钥对所述验证值密文进行解密处理得到验证值，对所述验证值进行计算生成新的对比值，判断计算生成的所述新的对比值与接收到的所述对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息。

在一些实施方式中，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能(即公私钥定义密钥交换变换)时，所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，所述数字证书申请设备与所述数字证书颁发设备密钥交换后生成共享密钥，使用所述共享密钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断所述新的对比值与接收到的对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息。

具体实现时，数字证书申请设备通过安全数据通道保密后向数字证书颁发设备发送证书管理验证响应消息。数字证书管理验证响应消息包括证书验证响应信息。数字证书管理验证响应消息可以采用但不限于表8所示形式。

表8 数字证书管理验证响应消息里的信息类型

证书验证响应信息的字段格式可以采用但不限于表9所示形式。

表9 证书验证响应信息

验证值

S406，数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息。

进一步地，数字证书申请设备根据需求确定使用的数字证书。

具体实现时，数字证书颁发设备通过安全数据通道保密后向数字证书申请设备发送证书管理响应消息。数字证书颁发设备确定数字证书申请设备需申请新数字证书时，数字证书管理响应消息包含数字证书颁发设备根据数字证书申请信息包含的证书请求数据产生的新数字证书。数字证书颁发设备确定数字证书申请设备需查询或更新已有的数字证书时，数字证书管理响应消息携带查询的或者更新的数字证书。

具体实现时，数字证书颁发设备根据数字证书管理请求消息里的信息类型判断处理。若接收到数字证书申请信息，判断申请保护的证书信息存在，则根据证书请求数据颁发新的数字证书；如果证书获取信息包含的已有数字证书信息存在，则根据颁发设备名称和序列号查询已有的数字证书；如果证书吊销信息包含的颁发设备名称和序列号存在，则根据颁发设备名称和序列号查询吊销已有的数字证书；如果证书撤销列表存在，则根据颁发设备名称查询证书撤销列表。数字证书颁发设备将上述证书携带在数字证书管理响应消息里。数字证书管理响应消息可以采用但不限于表10所示形式。

表10 数字证书管理响应消息里的信息类型

消息	类型值	含义(信息类型)
数字证书管理响应消息	3	证书响应

证书响应信息格式可以采用但不限于表11所示形式。

表11 证书响应信息格式

证书生成类型

证书响应数据

其中证书生成类型可以如表12所示，列举了不同的证书所有者对应的证书类型。

表12 证书类型

类型值	含义
1	客户端证书
2	AS证书
3	CA证书
4	证书撤销列表

其中，AS证书为认证服务器证书，CA证书为授权中心证书。

具体实现时，数字证书管理响应消息经过加密处理。具体地，在有安全通道的情况下，使用产生的数据通信密钥进行加密处理，由此提高了消息传输的安全性。需要说明的是，所述数字证书管理响应消息可以经一次加密处理，也可以经二次加密处理。例如，若所述数字证书管理请求消息在传输前，已经利用安全密钥中的一组密钥例如数据会话密钥对数字证书管理请求消息中包含的证书请求数据进行过加密处理，在安全数据通道传输时又利用数据通信密钥进行了第二次加密处理。相应地，所述数字证书管理响应消息也可以利用所述数据会话密钥和所述数据通信密钥对所包含的证书响应数据分别进行第二次加密处理。更进一步地，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书响应数据还应包括加密算法标识，相应地，所述证书响应数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据。

S407，数字证书申请设备利用所述安全数据通道向数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在本发明实施例中，通过上述S401、S402消息建立了安全可靠的数据传输通道，通过上述S403、S406、S407三个消息进行交互实现数字证书的自动申请、查询和更新，通过S404、S405中数字证书验证请求消息和数字证书管理验证响应消息之间的交互实现了实体公私钥所属的验证，使得数字证书管理更为有效、安全、可靠。如图6所示，为数字证书自动申请、查询、更新和颁发方法中的消息内容示意图。如图6所示，数字证书管理请求消息具体可以是包括数字证书申请信息、数字证书获取信息、数字证书吊销信息以及数字证书撤销列表信息等。所述数字证书管理响应消息可以包括数字证书响应信息等。数字证书管理确认消息可以用于解除数字证书申请设备和数字证书颁发设备之间的连接。数字证书管理验证请求消息可以包括数字证书验证请求信息等。数字证书管理验证响应消息可以包括数字证书验证响应信息等。

以上从数字证书申请设备侧对本发明提供的数字证书管理方法进行了介绍。本领域技术人员可以理解的是，本发明提供的方法还可以应用于数字证书颁发设备侧，其中的处理可以与图2至图6所示的示例对应进行。举例说明，上述方法应用于证书颁发设备侧还可以包括：数字证书颁发设备利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理所述数字证书管理请求消息，并生成数字证书管理验证请求消息；利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；处理所述数字证书管理验证响应消息，并生成数字证书管理响应消息；利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理确认消息，并处理所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在一些实施方式中，所述数字证书颁发设备利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥包括：所述数字证书颁发设备与数字证书申请设备进行安全数据通道协商；所述数字证书颁发设备与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；所述数字证书颁发设备与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述数字证书颁发设备与数字证书申请设备进行安全数据通道协商包括：所述数字证书颁发设备向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息。

在一些实施方式中，所述数字证书颁发设备与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥包括：所述数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

具体的实现可以参照图2至图6所述方法而实现。

参见图7，为本发明一实施例提供的数字证书申请设备示意图。

一种数字证书申请设备700，包括：

安全数据通道建立单元701，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

发送单元702，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

加密单元703，用于利用所述数据通信密钥对所述证书管理请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理。

接收单元704，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

处理单元705，用于处理接收到的所述数字证书管理验证请求消息并生成数字证书管理验证响应消息；还用于处理接收到的所述数字证书管理响应消息并生成数字证书管理确认消息。

在一些实施方式中，所述加密单元703具体用于：利用所述安全数据通道的数据通信密钥对所述数字证书管理验证响应消息进行加密处理。

在一些实施方式中，所述接收单元704接收到的所述数字证书管理验证请求消息包括证书验证请求信息，所述证书验证请求信息包括对比值和验证值密文。

在一些实施方式中，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能时，所述处理单元705具体用于：

在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，使用所述数字证书申请设备的私钥对所述验证值密文进行解密处理得到验证值，对所述验证值进行计算生成新的对比值，判断计算生成的所述新的对比值与接收到的所述对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息；

所述数字证书管理验证响应消息包括证书验证响应信息。

在一些实施方式中，当所述证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能时，所述处理单元705具体用于：

在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，所述数字证书申请设备与所述数字证书颁发设备密钥交换后生成共享密钥，使用所述共享密钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断所述新的对比值与接收到的对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息。

在一些实施方式中，所述发送单元702发送的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展，所述加密单元703具体用于：利用所述安全数据通道的数据通信密钥对所述数字证书管理请求消息经加密处理。

在一些实施方式中，所述加密单元703还用于：当所述安全密钥还包括数据会话密钥时，在所述数字证书管理请求消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理请求消息携带的证书请求数据进行加密处理。

其中，所述证书请求信息还包括序列号、颁发者名称和有效期。

进一步的，当所述数字证书申请设备支持两种以上的加密算法时，所述发送单元702发送的所述证书请求数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识和所述签名值加密处理后得到的数据；相应的，所述加密单元703还具体用于：利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书请求信息、所述签名算法标识以及所述签名值进行加密处理。

在一些实施方式中，所述发送单元702包括：第一发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据；和/或，第二发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段；和/或，第三发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段；和/或，第四发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。

在一些实施方式中，所述安全数据通道建立单元701包括：协商单元，用于与数字证书颁发设备进行安全数据通道协商；密钥生成单元，用于与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；密钥确认单元，用于与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述协商单元具体用于：向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；所述密钥生成单元具体用于：所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

在一些实施方式中，所述密钥生成单元生成的安全密钥还包括完整性校验密钥，所述密钥确认单元具体用于：所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

其中，本发明设备各单元或模块的设置可以参照图2至图6所示的方法而实现，在此不赘述。需要说明的是，数字证书管理设备可以是独立的设备，也可以与数字证书颁发设备集成在一起，或者作为数字证书颁发设备的一部分而存在，在此不进行限定。

参见图8，是本发明另一实施例提供的用于数字证书申请的设备的框图。包括：至少一个处理器801(例如CPU)，存储器802和至少一个通信总线803，用于实现这些设备之间的连接通信。处理器801用于执行存储器802中存储的可执行模块，例如计算机程序。存储器802可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器801执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；生成数字证书管理请求消息；利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；处理所述数字证书管理验证请求消息，并生成数字证书管理验证响应消息；利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；处理所述数字证书管理响应消息，并生成数字证书管理确认消息；利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理；利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书申请信息用于申请新数字证书，所述数字证书申请信息包括证书生成方式以及证书请求数据。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书获取信息用于查询或更新已有数字证书，所述数字证书获取信息包括颁发设备名称和序列号字段。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书吊销信息用于申请吊销已有数字证书，所述数字证书吊销信息包括颁发设备名称、序列号和吊销原因字段。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书撤销列表信息用于请求数字证书撤销列表，所述数字证书撤销列表信息包括颁发设备名称字段。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书颁发设备进行安全数据通道协商；与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息；与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

在一些实施方式中，处理器801具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

参见图9，为本发明一实施例提供的数字证书颁发设备示意图。

一种数字证书颁发设备900，包括：

安全数据通道建立单元901，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。

接收单元902，用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

处理单元903，用于处理接收到的所述数字证书管理请求消息，并生成数字证书管理验证请求消息；还用于处理接收到的所述数字证书管理验证响应消息，并生成数字证书管理响应消息；还用于处理接收到的所述数字证书管理确认消息。

加密单元904，用于利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；发送单元905，用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。

在一些实施方式中，所述发送单元905发送的所述数字证书管理响应消息携带证书响应数据；所述加密单元904具体用于：利用所述安全数据通道的数据通信密钥对所述数字证书管理响应消息进行加密处理；其中，所述接收单元902接收的所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息和扩展。

在一些实施方式中，所述加密单元904还用于：当所述安全密钥还包括数据会话密钥时，在所述数字证书管理响应消息经所述安全数据通道的数据通信密钥加密处理之前，利用所述数据会话密钥对所述数字证书管理响应消息携带的证书响应数据进行加密处理；其中，所述证书请求信息还包括序列号、颁发者名称和有效期。

在一些实施方式中，当所述数字证书颁发设备支持两种以上的加密算法时，所述发送单元905发送的所述证书响应数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据；相应的，所述加密单元904还具体用于：利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据进行加密处理。

在一些实施方式中，所述安全数据通道建立单元901包括：协商单元，用于与数字证书申请设备进行安全数据通道协商；密钥生成单元，用于与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；密钥确认单元，用于与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，所述协商单元具体用于：向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息；所述密钥生成单元具体用于：利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

在一些实施方式中，所述密钥生成单元生成的安全密钥还包括完整性校验密钥，所述密钥确认单元具体用于：与数字证书申请设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。

参见图10，是本发明另一实施例提供的用于数字证书颁发的设备的框图。包括：至少一个处理器1001(例如CPU)，存储器1002和至少一个通信总线1003，用于实现这些设备之间的连接通信。处理器1001用于执行存储器1002中存储的可执行模块，例如计算机程序。存储器1002可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器1001执行所述一个或者一个以上程序包含的用于进行以下操作的指令：利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；处理所述数字证书管理请求消息，并生成数字证书管理验证请求消息；利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；处理所述数字证书管理验证响应消息，并生成数字证书管理响应消息；利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理确认消息，并处理所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。

在一些实施方式中，处理器1001具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：与数字证书申请设备进行安全数据通道协商；与数字证书申请设备使用授权码以及协商过程中获得的随机数、身份信息生成安全通道的安全密钥；与数字证书申请设备通过完整性校验码对安全通道确认消息进行验证。

在一些实施方式中，处理器1001具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：向数字证书申请设备发送第二随机数、第二身份信息，以及，接收所述数字证书申请设备发送的第一随机数、第一身份信息。

在一些实施方式中，处理器1001具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。

本领域技术人员可以明了，前述方法及设备是对应的关系。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种数字证书管理方法，其特征在于，包括：

数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；

数字证书申请设备接收所述数字证书管理验证请求消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；

数字证书颁发设备接收所述数字证书管理验证响应消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

数字证书申请设备接收所述数字证书管理响应消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；

数字证书颁发设备接收并处理所述数字证书管理确认消息。
根据权利要求1所述的方法，其特征在于，所述数字证书管理验证请求消息经所述数据通信密钥加密处理包括：

所述数字证书管理验证请求消息经所述安全数据通道的数据通信密钥加密处理；

所述数字证书管理验证响应消息经所述数据通信密钥加密处理包括：

所述数字证书管理验证响应消息经所述安全数据通道的数据通信密钥加密处理。
根据权利要求1或2中任一项所述的方法，其特征在于，所述数字证书颁发设备接收所述数字证书管理请求消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理验证请求消息，具体包括：

所述数字证书颁发设备在接收到所述数字证书管理请求消息后，首先利用所述数据通信密钥对所述数字证书管理请求消息进行解密处理，并根据所述数字证书管理请求消息携带的数据进行处理，然后生成数字证书管理验证请求消息；

所述数字证书管理验证请求消息包括证书验证请求信息，所述证书验证请求信息包括对比值和验证值密文。
根据权利要求3所述的方法，其特征在于，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能时，相应的，所述数字证书颁发设备生成所述数字证书管理验证请求消息，具体包括：

所述数字证书颁发设备产生一个验证值，所述验证值经过所述数字证书申请设备的公钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。
根据权利要求4所述的方法，其特征在于，所述数字证书申请设备接收所述数字证书管理验证请求消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理验证响应消息，具体包括：

所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，使用所述数字证书申请设备的私钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断计算生成的所述新的对比值与接收到的所述对比值是否一致，如果一致，可以确定所述数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息并通过安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息。
根据权利要求5所述的方法，其特征在于，所述数字证书颁发设备接收所述数字证书管理验证响应消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，具体包括：

所述数字证书颁发设备在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以确定公私钥是所述数字证书申请设备所属，则生成所述数字证书管理响应消息并通过安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息。
根据权利要求3所述的方法，其特征在于，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能时，相应的，所述数字证书颁发设备生成所述数字证书管理验证请求消息，具体包括：

所述数字证书颁发设备与所述数字证书申请设备密钥交换后生成共享密钥，所述数字证书颁发设备产生一个验证值，所述验证值经过所述共享密钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。
根据权利要求7所述的方法，其特征在于，所述数字证书申请设备接收所述数字证书管理验证请求消息，利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理验证响应消息，具体包括：

所述数字证书申请设备在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，所述数字证书申请设备与所述数字证书颁发设备密钥交换后生成共享密钥，使用所述共享密钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断所述新的对比值与接收到的对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息并向所述数字证书颁发设备发送所述数字证书管理验证响应消息；

所述数字证书管理验证响应消息包括证书验证响应信息。
根据权利要求8所述的方法，其特征在于，所述数字证书颁发设备接收所述数字证书管理验证响应消息，利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，具体包括：

所述数字证书颁发设备在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以判断公私钥是所述数字证书申请设备所属，则生成所述数字证书管理响应消息并向所述数字证书申请设备发送所述数字证书管理响应消息。
一种数字证书申请设备，其特征在于，所述设备包括：

安全数据通道建立单元，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；

发送单元，用于利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；

加密单元，用于利用所述数据通信密钥对所述证书管理请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理；

接收单元，用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

处理单元，用于处理接收到的所述数字证书管理验证请求消息并生成数字证书管理验证响应消息；还用于处理接收到的所述数字证书管理响应消息并生成数字证书管理确认消息。
根据权利要求10所述的设备，其特征在于，所述加密单元具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理验证响应消息进行加密处理。
根据权利要求10或11所述的设备，其特征在于，所述接收单元接收到的所述数字证书管理验证请求消息包括证书验证请求信息，所述证书验证请求信息包括对比值和验证值密文。
根据权利要求12所述的设备，其特征在于，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能时，所述处理单元具体用于：

在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，使用所述数字证书申请设备的私钥对所述验证值密文进行解密处理得到验证值，对所述验证值进行计算生成新的对比值，判断计算生成的所述新的对比值与接收到的所述对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息；

所述数字证书管理验证响应消息包括证书验证响应信息。
根据权利要求12所述的设备，其特征在于，当所述证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能时，所述处理单元具体用于：

在接收到所述数字证书管理验证请求消息后，首先利用所述数据通信密钥对所述数字证书管理验证请求消息进行解密处理，获得所述验证值密文和所述对比值，所述数字证书申请设备与所述数字证书颁发设备密钥交换后生成共享密钥，使用所述共享密钥对所述验证值密文进行解密处理得到所述验证值，对所述验证值进行计算生成新的对比值，判断所述新的对比值与接收到的对比值是否一致，如果一致，可以确定数字证书申请设备能够验证公私钥所属，则使用所述验证值生成所述数字证书管理验证响应消息。
一种用于数字证书申请的设备，其特征在于，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：

利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

生成数字证书管理请求消息；

利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理；

利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；

处理所述数字证书管理验证请求消息，并生成数字证书管理验证响应消息；

利用所述数据通信密钥对所述数字证书管理验证响应消息进行加密处理；

利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；

利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

处理所述数字证书管理响应消息，并生成数字证书管理确认消息；

利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理；

利用所述安全数据通道向所述数字证书颁发设备发送所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。
一种数字证书颁发设备，其特征在于，所述设备包括：

安全数据通道建立单元，用于利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥至少包括数据通信密钥；

接收单元，用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；还用于接收所述数字证书申请设备利用所述安全数据通道发送的数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理；

处理单元，用于处理接收到的所述数字证书管理请求消息，并生成数字证书管理验证请求消息；还用于处理接收到的所述数字证书管理验证响应消息，并生成数字证书管理响应消息；还用于处理接收到的所述数字证书管理确认消息；

加密单元，用于利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；还用于利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；

发送单元，用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；还用于利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。
根据权利要求16所述的设备，其特征在于，所述加密单元具体用于：

利用所述安全数据通道的数据通信密钥对所述数字证书管理验证请求消息进行加密处理。
根据权利要求16或17所述的设备，其特征在于，所述处理单元具体用于：

在接收到所述数字证书管理请求消息后，首先利用所述数据通信密钥对所述数字证书管理请求消息进行解密处理，并根据所述数字证书管理请求消息携带的数据进行处理，然后生成数字证书管理验证请求消息；

所述发送单元发送的的所述数字证书管理验证请求消息包括证书验证请求信息，所述证书验证请求信息包括对比值和验证值密文。
根据权利要求18所述的设备，其特征在于，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于加密功能时，所述处理单元还具体用于：

产生一个验证值，所述验证值经过所述数字证书申请设备的公钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。
根据权利要求19所述的设备，其特征在于，所述处理单元还具体用于：

在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以判断公私钥是数字证书申请设备所属，生成所述数字证书管理响应消息。
根据权利要求18所述的设备，其特征在于，当所述数字证书管理请求消息携带的数据请求管理的数字证书的用途是用于密钥交换功能时，所述处理单元具体用于：

与所述数字证书申请设备密钥交换后生成共享密钥，并产生一个验证值，所述验证值经过所述共享密钥加密处理生成所述验证值密文，所述验证值经过计算生成所述对比值，使用所述验证值密文和所述对比值生成所述数字证书管理验证请求消息。
根据权利要求21所述的设备，其特征在于，所述处理单元还具体用于：

在接收到所述数字证书管理验证响应消息后，首先利用所述数据通信密钥对所述数字证书管理验证响应消息进行解密处理，获得所述验证值，比较所述验证值与所述数字证书颁发设备在发送所述数字证书管理验证请求消息前产生的验证值是否一致，如果一致，所述数字证书颁发设备可以判断公私钥是所述数字证书申请设备所属，则生成所述数字证书管理响应消息。
一种用于数字证书颁发的设备，其特征在于，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：

利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；

利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理；

处理所述数字证书管理请求消息，并生成数字证书管理验证请求消息；

利用所述数据通信密钥对所述数字证书管理验证请求消息进行加密处理；

利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理验证请求消息，所述数字证书管理验证请求消息经所述数据通信密钥加密处理；

利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理验证响应消息，所述数字证书管理验证响应消息经所述数据通信密钥加密处理；

处理所述数字证书管理验证响应消息，并生成数字证书管理响应消息；

利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理；

利用所述安全数据通道向所述数字证书申请设备发送所述数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；

利用所述安全数据通道接收所述数字证书申请设备发送的数字证书管理确认消息，并处理所述数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。