WO2019072039A1 - 一种业务证书管理方法、终端及服务器 - Google Patents

Abstract

一种业务证书管理方法、终端及服务器，其中一种业务证书管理方法包括：在第一应用启动时，如果确定该第一应用被预先配置为申请业务证书，则向认证服务器发送业务证书申请请求，该业务证书申请请求携带的申请信息包括该第一应用的应用标识，接收该认证服务器根据该申请信息发送的对该第一应用的身份验证结果，在身份验证结果指示该第一应用具备业务证书申请权限时，可以在可信执行环境中生成证书请求文件，并根据该证书请求文件获取该第一应用对应的目标业务证书。通过实施本申请可以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

Description

一种业务证书管理方法、终端及服务器 技术领域

本申请涉及计算机技术领域，尤其涉及一种业务证书管理方法、终端及服务器。

背景技术

目前，公钥基础设施(Public Key Infrastructure，PKI)体系可以由终端厂商自建，也可以由第三方提供。在终端厂商自建PKI体系的方案中，由根认证中心(Certificate Authority，CA)(即厂商CA)为二级CA颁发证书，再由二级CA为终端按照批次颁发设备证书，终端获取到设备证书后可以直接利用设备证书对应的私钥签发业务证书，业务证书的签发缺乏有效管控；在第三方提供PKI体系的方案中，证书请求方需要通过邮件的方式向第三方CA提交证书签发请求，第三方CA对证书签发请求进行人工审核，审核通过后签发业务证书，整个业务证书签发过程耗时较长，无法满足业务快速响应的需求。可见，目前在签发业务证书时存在缺乏有效管控，实时性较差的弊端。

发明内容

本申请实施例公开了一种业务证书管理方法、终端及服务器，可以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

本申请实施例第一方面提供了一种业务证书管理方法，包括：启动第一应用时，如果确定第一应用被预先配置为申请业务证书，则向认证服务器发送业务证书申请请求，业务证书申请请求携带的申请信息包括第一应用的应用标识，第一应用的应用标识用于认证服务器对第一应用的业务证书申请权限进行校验；接收认证服务器根据申请信息发送的对第一应用的身份验证结果，在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据证书请求文件获取第一应用对应的目标业务证书，从而通过认证服务器对应用进行身份验证可以实现对业务证书的签发进行有效管控，在认证服务器对应用的身份验证通过后，即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

可选的，在可信执行环境中生成证书请求文件的具体方式可以是：在可信执行环境中生成密钥对，密钥对包括第一公钥和第一私钥，在可信执行环境中根据申请信息和第一公钥生成证书请求文件，并将第一私钥存储在可信执行环境中，将私钥存储在可信执行环境中可以保证私钥安全，避免泄露风险。

可选的，在身份验证结果指示第一应用具备业务证书申请权限时，身份验证结果包括认证服务器对申请信息的数字签名，则在可信执行环境中生成密钥对的具体方式可以是：生成密钥对第一获取请求，密钥对第一获取请求携带有数字签名，响应密钥对第一获取请求对数字签名进行验签，在验签通过时生成密钥对第二获取请求，响应密钥对第二获取请求，在可信执行环境中生成密钥对。

可选的，向认证服务器发送业务证书申请请求的具体方式可以是：生成用于申请业务证书的申请信息，申请信息包括第一应用的应用标识，根据申请信息向认证服务器发送业 务证书申请请求，业务证书申请请求携带有申请信息。

可选的，还可以获取第一私钥的索引以及允许在可信执行环境中使用第一私钥的应用的第一目标应用标识集合，第一目标应用标识集合包括至少一个应用标识，该至少一个应用标识包括第一应用的应用标识，建立第一私钥的索引与第一目标应用标识集合之间的第一关联关系，通过建立关联关系将私钥与授权使用该私钥的应用绑定，能够有效防止私钥的滥用，保证了私钥的使用安全。

可选的，还可以生成第二应用的私钥使用请求，私钥使用请求携带有第一私钥的索引，响应私钥使用请求获取第二应用的应用标识，以及根据第一关联关系获取与第一私钥的索引关联的第一目标应用标识集合，在第一目标应用标识集合包括第二应用的应用标识时，允许第二应用在可信执行环境中使用第一私钥，从而只有与私钥绑定的应用才被允许使用该私钥，保证了私钥的使用安全。

可选的，还可以在向认证服务器发送业务证书申请请求之前，通过第一应用的应用界面输出账号登录页面，响应用户的输入，向账号服务器发送账号登录认证请求，账号登录认证请求携带有在账号登录页面输入的用户账号信息，接收账号服务器对用户账号信息的账号登录认证结果，在账号登录认证结果指示账号登录认证成功时，执行向认证服务器发送业务证书申请请求的步骤。

可选的，在账号登录认证结果指示账号登录认证成功时，业务证书申请请求携带的申请信息还包括账号登录认证标识，账号登录认证标识用于认证服务器对账号登录认证结果进行校验，在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件的具体方式可以是：在身份验证结果指示第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件，通过认证服务器对用户账号在账号服务器上的登录结果进行验证，保证了只有在应用具备证书申请权限且用户账号登录成功的情况下才会签发业务证书，从而保证了签发业务证书的安全性。

可选的，根据证书请求文件获取第一应用对应的目标业务证书的具体方式可以是：获取证书请求文件，向认证服务器发送业务证书签发请求，业务证书签发请求携带有证书请求文件，接收认证服务器在对业务证书签发请求校验通过后，发送的根据证书请求文件为第一应用签发的目标业务证书。

可选的，根据证书请求文件获取第一应用对应的目标业务证书的具体方式可以是：根据证书请求文件获取设备证书对应的第二私钥，在可信执行环境中利用该第二私钥为第一应用签发目标业务证书。

可选的，可以获取目标业务证书的索引以及允许使用目标业务证书的应用的第二目标应用标识集合，第二目标应用标识集合包括至少一个应用标识，该至少一个应用标识包括第一应用的应用标识，建立目标业务证书的索引与第二目标应用标识集合之间的第二关联关系，通过建立关联关系将业务证书与授权使用该业务证书的应用绑定，能够有效防止业务证书的滥用，保证了业务证书的使用安全。

可选的，可以生成第三应用的业务证书使用请求，业务证书使用请求携带有目标业务证书的索引，响应业务证书使用请求获取第三应用的应用标识，以及根据第二关联关系获取与目标业务证书的索引关联的第二目标应用标识集合，在第二目标应用标识集合包括第 三应用的应用标识时，允许第三应用使用目标业务证书，从而只有与业务证书绑定的应用才被允许使用该业务证书，保证了业务证书的使用安全。

本申请实施例第二方面提供了另一种业务证书管理方法，包括：可以接收终端在被预先配置为申请业务证书的第一应用启动时，发送的业务证书申请请求，业务证书申请请求携带的申请信息包括第一应用的应用标识，根据申请信息对第一应用进行身份验证，得到身份验证结果，并向终端发送身份验证结果，身份验证结果用于终端在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据证书请求文件获取第一应用对应的目标业务证书，通过对应用进行身份验证可以实现对业务证书的签发进行有效管控，在身份验证通过后，终端即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

可选的，还可以接收终端在可信执行环境中生成证书请求文件之后，发送的业务证书签发请求，业务证书签发请求携带有证书请求文件，在对业务证书签发请求校验通过后，根据证书请求文件为第一应用签发目标业务证书，并向终端发送目标业务证书。

可选的，根据申请信息对第一应用进行身份验证，得到身份验证结果的具体方式可以是：获取具备业务证书申请权限的应用的应用标识白名单，应用标识白名单包括至少一个应用标识，在应用标识白名单包括第一应用的应用标识时，确定第一应用具备业务证书申请权限，并生成身份验证结果，身份验证结果用于指示第一应用具备业务证书申请权限，从而只有应用标识在应用标识白名单中的应用才会被允许申请业务证书，保证了签发业务证书的安全性。

可选的，申请信息还包括账号登录认证标识，根据申请信息对第一应用进行身份验证，得到身份验证结果的具体方式可以是：获取具备业务证书申请权限的应用的应用标识白名单，应用标识白名单包括至少一个应用标识，向账号服务器发送账号登录认证结果校验请求，账号登录认证结果校验请求携带有账号登录认证标识，接收账号服务器发送的对账号登录认证标识的校验结果，在应用标识白名单包括第一应用的应用标识，且校验结果指示对账号登录认证标识校验通过时，生成身份验证结果，身份验证结果用于指示第一应用具备业务证书申请权限，且账号登录认证成功，通过认证服务器对用户账号在账号服务器上的登录结果进行验证，保证了只有在应用具备证书申请权限且用户账号登录成功的情况下才会签发业务证书，从而保证了签发业务证书的安全性。

本申请实施例第三方面提供了一种业务证书管理装置，包括：

启动模块，用于启动第一应用。

确定模块，用于确定所述第一应用被预先配置为申请业务证书。

发送模块，用于向认证服务器发送业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识，所述第一应用的应用标识用于所述认证服务器对所述第一应用的业务证书申请权限进行校验。

接收模块，用于接收所述认证服务器根据所述申请信息发送的对所述第一应用的身份验证结果。

处理模块，用于在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目 标业务证书，从而通过认证服务器对应用进行身份验证可以实现对业务证书的签发进行有效管控，在认证服务器对应用的身份验证通过后，即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

可选的，所述处理模块在可信执行环境中生成证书请求文件的具体方式为：在可信执行环境中生成密钥对，所述密钥对包括第一公钥和第一私钥，在所述可信执行环境中根据所述申请信息和所述第一公钥生成证书请求文件，并将所述第一私钥存储在所述可信执行环境中。

可选的，在所述身份验证结果指示所述第一应用具备业务证书申请权限时，所述身份验证结果包括所述认证服务器对所述申请信息的数字签名。

可选的，所述处理模块在可信执行环境中生成密钥对的具体方式为：生成密钥对第一获取请求，所述密钥对第一获取请求携带有所述数字签名，响应所述密钥对第一获取请求，对所述数字签名进行验签，在验签通过时，生成密钥对第二获取请求，响应所述密钥对第二获取请求，在可信执行环境中生成密钥对。

可选的，所述处理模块，还用于：获取所述第一私钥的索引以及允许在所述可信执行环境中使用所述第一私钥的应用的第一目标应用标识集合，所述第一目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识，建立所述第一私钥的索引与所述第一目标应用标识集合之间的第一关联关系，通过建立关联关系将私钥与授权使用该私钥的应用绑定，能够有效防止私钥的滥用，保证了私钥的使用安全。

可选的，所述处理模块，还用于：生成第二应用的私钥使用请求，所述私钥使用请求携带有所述第一私钥的索引，响应所述私钥使用请求获取所述第二应用的应用标识，以及根据所述第一关联关系获取与所述第一私钥的索引关联的所述第一目标应用标识集合，在所述第一目标应用标识集合包括所述第二应用的应用标识时，允许所述第二应用在所述可信执行环境中使用所述第一私钥，从而只有与私钥绑定的应用才被允许使用该私钥，保证了私钥的使用安全。

可选的，所述装置还包括：输出模块，其中：

所述输出模块，用于通过所述第一应用的应用界面输出账号登录页面。

所述发送模块，还用于响应用户的输入，向账号服务器发送账号登录认证请求，所述账号登录认证请求携带有在所述账号登录页面输入的用户账号信息。

所述接收模块，还用于接收所述账号服务器对所述用户账号信息的账号登录认证结果。

所述发送模块，具体用于在所述账号登录认证结果指示账号登录认证成功时，向认证服务器发送业务证书申请请求。

可选的，在所述账号登录认证结果指示账号登录认证成功时，所述业务证书申请请求携带的所述申请信息还包括账号登录认证标识，所述账号登录认证标识用于所述认证服务器对所述账号登录认证结果进行校验。

可选的，所述处理模块在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件的具体方式为：在所述身份验证结果指示所述第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件，通过认证服务器对用户账号在账号服务器上的登录结果进行验证，保证了只有在应 用具备证书申请权限且用户账号登录成功的情况下才会签发业务证书，从而保证了签发业务证书的安全性。

可选的，所述处理模块根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：获取所述证书请求文件，通过所述发送模块向所述认证服务器发送业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件，通过所述接收模块接收所述认证服务器在对所述业务证书签发请求校验通过后，发送的根据所述证书请求文件为所述第一应用签发的目标业务证书。

可选的，所述处理模块根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：根据所述证书请求文件获取设备证书对应的第二私钥，在所述可信执行环境中利用该第二私钥为所述第一应用签发目标业务证书。

可选的，所述处理模块，还用于：获取所述目标业务证书的索引以及允许使用所述目标业务证书的应用的第二目标应用标识集合，所述第二目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识，建立所述目标业务证书的索引与所述第二目标应用标识集合之间的第二关联关系，通过建立关联关系将业务证书与授权使用该业务证书的应用绑定，能够有效防止业务证书的滥用，保证了业务证书的使用安全。

可选的，所述处理模块，还用于：生成第三应用的业务证书使用请求，所述业务证书使用请求携带有所述目标业务证书的索引，响应所述业务证书使用请求获取所述第三应用的应用标识，以及根据所述第二关联关系获取与所述目标业务证书的索引关联的所述第二目标应用标识集合，在所述第二目标应用标识集合包括所述第三应用的应用标识时，允许所述第三应用使用所述目标业务证书，从而只有与业务证书绑定的应用才被允许使用该业务证书，保证了业务证书的使用安全。

本申请实施例第四方面提供了另一种业务证书管理装置，包括：

接收模块，用于接收终端在被预先配置为申请业务证书的第一应用启动时，发送的业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识。

验证模块，用于根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果。

发送模块，用于向所述终端发送所述身份验证结果。

其中，所述身份验证结果用于所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书，通过对应用进行身份验证可以实现对业务证书的签发进行有效管控，在身份验证通过后，终端即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

可选的，所述装置还包括：签发模块，其中：

所述接收模块，还用于接收所述终端在所述可信执行环境中生成所述证书请求文件之后，发送的业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件。

所述签发模块，用于在对所述业务证书签发请求校验通过后，根据所述证书请求文件为所述第一应用签发目标业务证书。

所述发送模块，还用于向所述终端发送所述目标业务证书。

可选的，所述验证模块，具体用于：获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识，在所述应用标识白名单包括所述第一应用的应用标识时，确定所述第一应用具备业务证书申请权限，并生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限，从而只有应用标识在应用标识白名单中的应用才会被允许申请业务证书，保证了签发业务证书的安全性。

可选的，所述申请信息还包括账号登录认证标识，所述验证模块，具体用于：获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识，向账号服务器发送账号登录认证结果校验请求，所述账号登录认证结果校验请求携带有所述账号登录认证标识，接收所述账号服务器发送的对所述账号登录认证标识的校验结果，在所述应用标识白名单包括所述第一应用的应用标识，且所述校验结果指示对所述账号登录认证标识校验通过时，生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限，且账号登录认证成功，通过对用户账号在账号服务器上的登录结果进行验证，保证了只有在应用具备证书申请权限且用户账号登录成功的情况下才会签发业务证书，从而保证了签发业务证书的安全性。

本申请实施例第五方面提供了一种终端，包括：处理器、收发器和存储器，所述处理器、所述收发器和所述存储器通过总线连接，所述存储器存储有可执行程序代码，所述收发器受所述处理器的控制用于收发消息，所述处理器用于调用所述可执行程序代码，执行上述第一方面所述的业务证书管理方法。

本申请实施例第六方面提供了一种服务器，包括：处理器、网络接口和存储器，所述处理器、所述网络接口和所述存储器通过总线连接，所述存储器存储有可执行程序代码，所述网络接口受所述处理器的控制用于收发消息，所述处理器用于调用所述可执行程序代码，执行上述第二方面所述的业务证书管理方法。

本申请实施例第七方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的业务证书管理方法。

本申请实施例第八方面提供了另一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第二方面所述的业务证书管理方法。

本申请实施例第九方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的业务证书管理方法。

本申请实施例第十方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的业务证书管理方法。

通过实施本申请实施例可以在启动第一应用时，如果确定该第一应用被预先配置为申请业务证书，则向认证服务器发送业务证书申请请求，该业务证书申请请求携带的申请信息包括该第一应用的应用标识，接收该认证服务器根据该申请信息发送的对该第一应用的身份验证结果，在身份验证结果指示该第一应用具备业务证书申请权限时，可以在可信执行环境中生成证书请求文件，并根据该证书请求文件获取该第一应用对应的目标业务证书，从而通过认证服务器对应用进行身份验证可以实现对业务证书的签发进行有效管控，在认 证服务器对应用的身份验证通过后，即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。

图1是本申请实施例公开的一种业务证书管理系统的架构示意图；

图2是本申请实施例公开的一种终端的结构示意图；

图3是本申请实施例公开的一种服务器的结构示意图；

图4是本申请实施例公开的一种业务证书管理方法的流程示意图；

图5是本申请实施例公开的另一种业务证书管理方法的流程示意图；

图6a是本申请实施例公开的一种账号登录页面的示意图；

图6b是本申请实施例公开的一种账号登录失败界面的示意图；

图7是本申请实施例公开的一种业务证书管理装置的结构示意图；

图8是本申请实施例公开的另一种业务证书管理装置的结构示意图。

具体实施方式

下面结合本申请实施例中的附图对本申请实施例进行描述。

请参阅图1，为本申请实施例提供的一种业务证书管理系统的架构示意图。本实施例中所描述的业务证书管理系统，包括：终端、账号服务器和认证服务器，其中：

终端至少可以包括应用程序层、只读存储器(Read-Only Memory，ROM)/操作系统(Operating System，OS)层、芯片层。应用程序层可以运行各种类型的应用，例如，社交应用、支付应用、游戏应用、视频应用、办公应用、地图应用等，图1中以运行有应用1、应用2为例。ROM/OS层可以运行证书客户端。芯片层提供可信执行环境(Trusted Execution Environment，TEE)，TEE与终端的OS隔开，拥有自己的一套处理系统，包括处理器核、安全存储器、可信操作系统等软硬件资源，TEE用于提供安全操作环境，证书可信应用(Trust Application，TA)是运行在TEE中的一个实例。

证书客户端，具备TEE的访问权限，可以与运行在TEE中的证书TA进行通信，以通过证书TA请求TEE产生密钥对以及证书请求文件，还可以请求认证服务器对应用进行身份验证以及签发证书。

证书可信应用，可以请求TEE生成密钥对以及证书请求文件，将业务证书写入TEE。

TEE，可以生成密钥对以及证书请求文件，存储业务证书以及对应的私钥，并禁止导出存储的私钥。

认证服务器，具体可以是认证中心(Certificate Authority，CA)，可以对应用进行身份验证，校验来自证书客户端的证书签发请求，并在校验通过后签发业务证书。

请参阅图2，为本申请实施例提供的一种终端的结构示意图。该终端可以为手机、平 板电脑、笔记本电脑、超级移动个人计算机(Ultra-mobile Personal Computer，UMPC)、上网本、个人数字助理(Personal Digital Assistant，PDA)等终端设备，本申请实施例以终端为手机为例进行说明，图2示出的是与本申请各实施例相关的手机2000的部分结构的框图。

如图2所示，手机2000包括：收发器2001、存储器2002、输入单元2003、显示单元2004、重力传感器2005、音频电路2006、处理器2007、电源2008以及客户识别模块(Subscriber Identity Module，SIM)卡卡槽2009等部件。本领域技术人员可以理解，图2中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图2对手机2000的各个构成部件进行具体的介绍：

收发器2001可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器2007处理；另外，将上行的数据发送给基站。通常，收发器2001的功能可以考虑通过收发电路或者收发的专用芯片实现，具体可以包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low Noise Amplifier，LNA)、双工器等。此外，收发器2001还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobile communication，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)、码分多址(Code Division Multiple Access，CDMA)、宽带码分多址(Wideband Code Division Multiple Access，WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

存储器2002可用于存储软件程序以及模块，处理器2007通过运行存储在存储器2002的软件程序以及模块，从而执行手机2000的各种功能应用以及数据处理。存储器2002可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机2000的使用所创建的数据(比如音频数据、图像数据、电话本等)等。此外，存储器2002可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元2003可用于接收输入的数字或字符信息，以及产生与手机2000的用户设置以及功能控制有关的键信号输入。具体地，输入单元2003可包括触摸面板20031以及其他输入设备20032。触摸面板20031，也称为触控屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触摸面板20031上或在触摸面板20031附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触摸面板20031可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器2007，并能接收处理器2007发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触摸面板20031。除了触摸面板20031，输入单元2003还可以包括其他输入设备20032。具体地，其他输入设备20032可以包括但不限于物理键盘、功能键(比如音量控制按键、电源开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元2004可用于显示由用户输入的信息或提供给用户的信息以及手机2000的各种菜单。显示单元2004可包括显示面板20041，可选的，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode，OLED)等形式来配置显示面板20041。进一步的，触摸面板20031可覆盖显示面板20041，当触摸面板20031检测到在其上或附近的触摸操作后，传送给处理器2007以确定触摸事件的类型，随后处理器2007根据触摸事件的类型在显示面板20041上提供相应的视觉输出。虽然在图2中，触摸面板20031与显示面板20041是作为两个独立的部件来实现手机2000的输入和输入功能，但是在某些实施例中，可以将触摸面板20031与显示面板20041集成而实现手机2000的输入和输出功能。

重力传感器(Gravity Sensor)2005，可以检测手机在各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机的放置方式的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等。

手机2000还可以包括其它传感器，比如光传感器。具体地，光传感器可包括环境光传感器及接近光传感器。其中，环境光传感器可根据环境光线的明暗来调节显示面板20041的亮度；接近光传感器可以检测是否有物体靠近或接触手机，可在手机2000移动到耳边时，关闭显示面板20041和/或背光。手机2000还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路2006、扬声器20061、麦克风20062可提供用户与手机2000之间的音频接口。音频电路2006可将接收到的音频数据转换后的电信号，传输到扬声器20061，由扬声器20061转换为声音信号输出；另一方面，麦克风20062将收集的声音信号转换为电信号，由音频电路2006接收后转换为音频数据，再将音频数据输出至RF电路2001以发送给比如另一手机，或者将音频数据输出至存储器2002以便进一步处理。

处理器2007是手机2000的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器2001内的软件程序和/或模块，以及调用存储在存储器2002内的数据，执行手机2000的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器2007可包括一个或多个处理单元；优选的，处理器2007可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器2007中。

其中，处理器2007中集成有安全芯片，TEE具体运行在安全芯片中。

手机2000还包括给各个部件供电的电源2008(比如电池)，优选的，电源可以通过电源管理系统与处理器2007逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

手机2000还可以包括用于放置SIM卡的SIM卡卡槽，用户即可以通过手机拨打或接听电话。

尽管未示出，手机2000还可以包括无线保真(Wireless Fidelity，Wi-Fi)模块、蓝牙模块等，在此不再赘述。

具体实现中，本申请实施例中所描述的收发器2001、存储器2002、输入单元2003、显示单元2004、处理器2007可执行如图4、图5所示的业务证书管理方法的流程中所描述的终 端的实现方式，也可执行如图7所示的业务证书管理装置中所描述的实现方式，具体请参考后面的描述。

请参阅图3，为本申请实施例提供的一种服务器的结构示意图。本实施例中所描述的服务器，对应于前文所述的认证服务器，该服务器包括：处理器301、网络接口302及存储器303。其中，处理器301、网络接口302及存储器303可通过总线或其他方式连接，本申请实施例以通过总线连接为例。

其中，处理器301(或称中央处理器(Central Processing Unit，CPU))是服务器的计算核心以及控制核心。网络接口302可选的可以包括标准的有线接口、无线接口(如WI-FI、移动通信接口等)，受处理器301的控制用于收发数据。存储器303(Memory)是服务器的记忆设备，用于存放程序和数据。可以理解的是，此处的存储器303可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器301的存储装置。存储器303提供存储空间，该存储空间存储了服务器的操作系统和可执行程序代码，可包括但不限于：Windows系统(一种操作系统)、Linux(一种操作系统)系统等等，本发明对此并不作限定。

具体实现中，本申请实施例中所描述的处理器301、网络接口302及存储器303可执行如图4、图5所示的业务证书管理方法的流程中所描述的认证服务器的实现方式，也可执行如图8所示的业务证书管理装置中所描述的实现方式，具体请参考后面的描述。

请参阅图4，为本申请实施例提供的一种业务证书管理方法的流程示意图。本实施例中所描述的业务证书管理方法，包括：

401、终端启动第一应用。

其中，终端上可以安装各种类型的应用，例如，社交应用、支付应用、游戏应用、视频应用、办公应用、地图应用等。

具体实现中，用户可以通过点击、触摸、手势操作、语音控制等方式输入针对终端上的应用的启动指令，终端在接收到针对第一应用的启动指令时，启动第一应用。

402、所述终端确定所述第一应用被预先配置为申请业务证书。

其中，研发人员可以根据业务需求对终端上安装的应用进行是否申请业务证书的配置，例如对于安全等级要求较高的应用(如支付应用或者包含支付功能的应用等)可以配置为申请业务证书，被配置为申请业务证书的应用在启动时会触发开始申请业务证书的流程。

具体实现中，可以配置一个应用列表，该应用列表包括的可以是配置为申请业务证书的应用的应用标识，研发人员可以通过将一个应用的应用标识添加到该应用列表中实现将该应用配置为申请业务证书，并将该应用列表存储在终端中。终端在启动第一应用后，判断该第一应用的应用标识是否存在于该应用列表中，设定该应用列表中包含该第一应用的应用标识，则终端确定该第一应用被预先配置为申请业务证书。

可以理解的是，研发人员可以根据实际需求对终端存储的该应用列表进行更新，例如，向该应用列表中增加新的应用标识，删除该应用列表中已有的应用标识等。

403、所述终端向认证服务器发送业务证书申请请求。

相应地，所述认证服务器接收所述业务证书申请请求。

其中，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识，所述第一应用的应用标识用于认证服务器对所述第一应用的业务证书申请权限进行校验。

具体实现中，如果该第一应用被预先配置为申请业务证书，则终端确定触发开始申请业务证书的流程，并向认证服务器发送业务证书申请请求，该业务证书申请请求携带的申请信息包括该第一应用的应用标识。

404、所述认证服务器根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果。

405、所述认证服务器向所述终端发送所述身份验证结果。

相应地，所述终端接收所述身份验证结果。

具体实现中，认证服务器接收到该业务证书申请请求之后，对该第一应用进行身份验证，身份验证包括确定是否具备业务证书申请权限。认证服务器可以获取申请信息中包括的该第一应用的应用标识，并获取具备业务证书申请权限的应用的应用标识白名单，该应用标识白名单包括至少一个应用标识，如果该应用标识白名单包括该第一应用的应用标识，则可以确定该第一应用具备业务证书申请权限，生成身份验证结果，并向终端发送该身份验证结果，该身份验证结果用于指示该第一应用具备业务证书申请权限。

在一种实施方式中，可以按照实际需求对该应用标识白名单进行更新，包括增加和/或删除应用标识等。

406、所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件。

具体实现中，终端接收到身份验证结果之后，如果该身份验证结果指示该第一应用具备业务证书申请权限，则可以先在可信执行环境中生成密钥对，该密钥对包括第一公钥和第一私钥，然后在该可信执行环境中根据该申请信息和该第一公钥生成证书请求文件，并将该第一私钥存储在该可信执行环境中。

其中，该证书请求文件包括该第一公钥、该第一应用(即申请证书的主体)的应用标识以及证书用途，证书用途可以包括签发证书、身份证明、数据签名等。

在一种实施方式中，该业务证书申请请求携带的申请信息还可以包括证书有效期，该证书有效期用于指示签发具有相应期限的业务证书，则该证书请求文件还包括该证书有效期。

407、所述终端根据所述证书请求文件获取所述第一应用对应的目标业务证书。

具体实现中，终端可以向认证服务器发送业务证书签发请求，业务证书签发请求携带有该证书请求文件，认证服务器在接收到该业务证书签发请求时，对该业务证书签发请求进行校验，校验内容可以包括该第一应用是否具备业务证书申请权限，证书用途是否合法等，如果该第一应用具备业务证书申请权限，且证书用途合法，则确定对该业务证书签发请求的校验通过，可以为该第一应用签发业务证书，并根据该证书请求文件为该第一应用签发目标业务证书，向终端发送该目标业务证书，终端接收该目标业务证书，从而实现认证服务器完成业务证书的签发。

在一种实施方式中，业务证书也可以在终端本地进行签发，具体包括：终端可以根据 该证书请求文件获取设备证书对应的第二私钥，在该可信执行环境中利用该第二私钥为该第一应用签发目标业务证书。

其中，设备证书可以由厂商服务器签发，并由厂商服务器将设备证书及其对应的第二私钥下发给厂商，再由厂商将设备证书以及该第二私钥下发给设备商，然后设备商在生产时将设备证书以及该第二私钥配置到终端中。

本申请实施例中，终端在启动第一应用时判断该第一应用是否被配置为申请业务证书，如果是，则向认证服务器发送业务证书申请请求，该业务证书申请请求携带的申请信息包括该第一应用的应用标识。认证服务器可以利用应用标识白名单确定该第一应用是否具备业务证书申请权限，如果该应用标识白名单包括该第一应用的应用标识，则可以确定该第一应用具备业务证书申请权限，生成用于指示该第一应用具备业务证书申请权限的身份验证结果，并向终端发送该身份验证结果。终端可以在该身份验证结果指示该第一应用具备业务证书申请权限时，先在可信执行环境中生成密钥对，该密钥对包括第一公钥和第一私钥，然后在该可信执行环境中根据该申请信息和该第一公钥生成证书请求文件，并将该第一私钥存储在该可信执行环境中，进而根据该证书请求文件获取该第一应用对应的目标业务证书，从而可以由认证服务器对业务证书的签发进行有效管控，证书签发过程中不需要人工参与，实现了业务证书的自动化在线签发，可以满足业务快速响应的需求，将私钥存储在可信执行环境中可以保证私钥安全，避免泄露风险。

请参阅图5，为本申请实施例提供的另一种业务证书管理方法的流程示意图。本实施例中所描述的业务证书管理方法，包括：

501、终端启动第一应用。

502、终端确定所述第一应用被预先配置为申请业务证书。

其中，步骤501、502的实现方式请参见上面实施例中步骤401、402的具体描述，此处不再赘述。

503、终端通过所述第一应用的应用界面输出账号登录页面。

具体实现中，终端的第一应用和账号客户端可以是两个相互独立的应用，如果该第一应用被预先配置为申请业务证书，则终端确定触发开始申请业务证书的流程，首先可以登录用户账号，第一应用可以向账号客户端请求账号登录页面的页面数据，账号客户端将该页面数据返回给第一应用，第一应用根据该页面数据生成账号登录页面，并输出该账号登录页面，该账号登录页面可以如图6a所示，用户可以在该账号登录页面输入用户名(xxx)、密码(******)等用户账号信息，用户点击登录即可提交用户账号信息。

在一种实施方式中，账号登录页面的页面数据可以事先配置在第一应用的应用数据中，则如果该第一应用被预先配置为申请业务证书，第一应用可以直接从第一应用的应用数据中获取账号登录页面的页面数据，并根据该页面数据生成账号登录页面。

504、所述终端的账号客户端响应用户的输入，向账号服务器发送账号登录认证请求。

相应地，所述账号服务器接收所述账号登录认证请求。

具体实现中，第一应用获取到用户提交的用户账号信息后，向账号客户端提交该用户账号信息，账号客户端接收第一应用提交的该用户账号信息，向账号服务器发送账号登录 认证请求，该账号登录认证请求携带有该用户账号信息。

在一种实施方式中，第一应用也可以同时具备账号客户端的功能，此时，账号客户端可以省掉。第一应用获取到用户提交的用户账号信息后，直接向账号服务器发送账号登录认证请求，该账号登录认证请求携带有该用户账号信息。

505、所述账号服务器对所述用户账号信息进行登录认证，生成账号登录认证结果。

506、所述账号服务器向所述终端发送所述账号登录认证结果。

相应地，所述终端接收所述账号登录认证结果。

具体实现中，账号服务器对该用户账号信息包括的用户名、密码等进行登录认证，校验是否存在该用户名，以及该用户名与该密码是否匹配，并根据校验结果生成账号登录认证结果，如果校验通过，则账号登录认证结果包括账号登录认证标识(例如令牌(token))，向终端发送该账号登录认证结果，终端的账号客户端接收到该账号登录认证结果。

507、在所述账号登录认证结果指示账号登录认证成功时，所述终端的证书客户端向认证服务器发送业务证书申请请求。

相应地，所述认证服务器接收所述业务证书申请请求。

具体实现中，该账号客户端将该账号登录认证结果发送给第一应用，如果该账号登录认证结果指示账号登录认证失败时，第一应用可以输出提示消息，如图6b所示，账号登录认证失败时，可以在账号登录界面输出“登录失败，请重新登录！”的提示消息。

如果该账号登录认证结果指示账号登录认证成功时，第一应用生成用于申请业务证书的申请信息，并将该申请消息提交给证书客户端，该申请信息包括该第一应用的应用标识和账号登录认证标识，该证书客户端向认证服务器发送业务证书申请请求，该业务证书申请请求携带有该申请信息。

508、所述认证服务器根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果。

其中，认证服务器对第一应用的身份验证包括对第一应用是否具备业务证书申请权限进行校验，以及对账号登录认证结果进行校验。

具体实现中，认证服务器可以获取申请信息中包括的该第一应用的应用标识，并获取具备业务证书申请权限的应用的应用标识白名单，该应用标识白名单包括至少一个应用标识，如果该应用标识白名单包括该第一应用的应用标识，则可以确定该第一应用具备业务证书申请权限。认证服务器可以获取申请信息中包括的该账号登录认证标识，向账号服务器发送账号登录认证结果校验请求，该账号登录认证结果校验请求携带有该账号登录认证标识，账号服务器根据该账号登录认证标识校验该第一应用的账号登录认证是否成功，向认证服务器发送对该账号登录认证标识的校验结果，认证服务器根据对该第一应用是否具备业务证书申请权限的校验结果，以及对该账号登录认证标识的校验结果生成身份验证结果，如果该身份验证结果指示该第一应用具备业务证书申请权限，且账号登录认证成功，则认证服务器对该申请信息进行数字签名，并将该数字签名包括在该身份验证结果中。

509、所述认证服务器向所述终端发送所述身份验证结果。

相应地，所述终端接收所述身份验证结果。

具体实现中，认证服务器向终端发送该身份验证结果，终端的证书客户端接收到该身 份验证结果。

510、所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件。

具体实现中，在该身份验证结果指示该第一应用具备业务证书申请权限，且账号登录认证成功时，证书客户端生成密钥对第一获取请求，该密钥对第一获取请求携带有该数字签名，向终端的证书可信应用发送该密钥对第一获取请求，该证书可信应用响应该密钥对第一获取请求对该数字签名进行验签。如果验签通过，则生成密钥对第二获取请求，向终端的可信执行环境发送该密钥对第二获取请求，该可信执行环境响应该密钥对第二获取请求，生成密钥对，该密钥对包括第一公钥和第一私钥，并根据该申请信息和该第一公钥生成证书请求文件，以及将该第一私钥存储在该可信执行环境中；如果验签失败，则向证书客户端返回拒绝业务证书申请的消息。

511、所述终端的证书客户端获取所述证书请求文件。

具体实现中，可信执行环境生成证书请求文件后，将该证书请求文件发送给证书可信应用，证书可信应用再将该证书请求文件发送给证书客户端，从而证书客户端获取到可信执行环境生成的证书请求文件。

512、所述终端的证书客户端向所述认证服务器发送业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件。

相应地，所述认证服务器接收所述业务证书签发请求。

具体实现中，可以由证书客户端向认证服务器发送业务证书签发请求，业务证书签发请求携带有该证书请求文件。该证书请求文件可以包括该第一公钥、该第一应用(即申请证书的主体)的应用标识以及证书用途。

513、所述认证服务器在对所述业务证书签发请求校验通过后，根据所述证书请求文件为所述第一应用签发目标业务证书。

具体实现中，认证服务器在接收到该业务证书签发请求时，对该业务证书签发请求进行校验，校验内容可以包括该第一应用是否具备业务证书申请权限，证书用途是否合法等，如果该第一应用具备业务证书申请权限，且证书用途合法，则确定对该业务证书签发请求的校验通过，可以为该第一应用签发业务证书，并根据该证书请求文件为该第一应用签发目标业务证书。

514、所述认证服务器向所述终端发送所述目标业务证书。

相应地，所述终端接收所述目标业务证书。

具体实现中，认证服务器将签发的目标业务证书发送给终端，终端的证书客户端接收该目标业务证书。

在一种实施方式中，证书客户端接收到该目标业务证书后，向证书可信应用发送该目标业务证书，证书可信应用可以将该目标业务证书写入该可信执行环境中。

在另一种实施方式中，终端可以将私钥与应用进行绑定，在应用使用私钥时先对应用鉴权，鉴权通过后才会允许使用私钥，具体实现方式可以为：确定允许在可信执行环境中使用第一私钥的应用集合，该应用集合至少可以包括该第一应用，可信执行环境获取该应用集合包括的应用的第一目标应用标识集合以及该第一私钥的索引，并建立该第一私钥的 索引与该第一目标应用标识集合之间的第一关联关系。第二应用在请求使用该第一私钥时，可以生成私钥使用请求，并将该私钥使用请求发送给证书客户端，证书客户端可以通过证书可信应用将该私钥使用请求转发给可信执行环境，该私钥使用请求携带有该第一私钥的索引，可信执行环境响应该私钥使用请求获取该第二应用的应用标识，根据该第一关联关系获取与该第一私钥的索引关联的第一目标应用标识集合，如果该第一目标应用标识集合包括该第二应用的应用标识，则允许该第二应用在该可信执行环境中使用该第一私钥，从而只允许授权应用在可信执行环境中使用私钥，保证私钥安全。

在又一种实施方式中，终端可以将业务证书与应用绑定，只允许授权的应用使用业务证书，具体实现方式可以为：以目标业务证书写入该可信执行环境中为例，确定允许使用该目标业务证书的应用集合，该应用集合至少可以包括该第一应用，获取该应用集合包括的应用的第二目标应用标识集合以及该目标业务证书的索引，并建立该目标业务证书的索引与该第二目标应用标识集合之间的第二关联关系。第三应用在请求使用该目标业务证书时，可以生成业务证书使用请求，并将该业务证书使用请求发送给证书客户端，证书客户端可以通过证书可信应用将该业务证书使用请求转发给可信执行环境，该业务证书使用请求携带有该目标业务证书的索引，可信执行环境响应该业务证书使用请求获取该第三应用的应用标识，根据该第二关联关系获取与该目标业务证书的索引关联的第二目标应用标识集合，如果该第二目标应用标识集合包括该第三应用的应用标识，则允许该第三应用使用该目标业务证书，从而只允许授权应用使用业务证书，保证业务证书安全。

本申请实施例中，在确定启动的第一应用被预先配置为申请业务证书时，第一应用输出账号登录页面，将用户在该账号登录页面输入的用户账号信息通过账号客户端发送给账号服务器，账号服务器向终端发送对该用户账号信息进行登录认证的账号登录认证结果，如果该账号登录认证结果指示账号登录认证成功，则证书客户端向认证服务器发送业务证书申请请求，认证服务器向终端发送对该第一应用的身份验证结果，在该身份验证结果指示该第一应用具备业务证书申请权限，且账号登录认证成功时，证书客户端通过证书可信应用请求可信执行环境生成密钥对，该密钥对包括第一公钥和第一私钥，可信执行环境根据该申请信息和该第一公钥生成证书请求文件，证书客户端获取到该证书请求文件后，根据该证书请求文件向认证服务器发送业务证书签发请求，认证服务器在对该业务证书签发请求校验通过后，根据该证书请求文件为第一应用签发目标业务证书，并向终端发送签发的目标业务证书，从而可以由认证服务器对业务证书的签发进行有效管控，证书签发过程中不需要人工参与，实现了业务证书的自动化在线签发，可以满足业务快速响应的需求，将私钥存储在可信执行环境中可以保证私钥安全，避免泄露风险。

请参阅图7，为本申请实施例提供的一种业务证书管理装置的结构示意图，该业务证书管理装置用于执行前文所述的终端的相应方法，该业务证书管理装置包括：

启动模块701，用于启动第一应用。

确定模块702，用于确定所述第一应用被预先配置为申请业务证书。

发送模块703，用于向认证服务器发送业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识，所述第一应用的应用标识用于所述认证服务器 对所述第一应用的业务证书申请权限进行校验。

接收模块704，用于接收所述认证服务器根据所述申请信息发送的对所述第一应用的身份验证结果。

处理模块705，用于在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。

在一种实施方式中，所述处理模块705在可信执行环境中生成证书请求文件的具体方式为：

在可信执行环境中生成密钥对，所述密钥对包括第一公钥和第一私钥。

在所述可信执行环境中根据所述申请信息和所述第一公钥生成证书请求文件，并将所述第一私钥存储在所述可信执行环境中。

在一种实施方式中，在所述身份验证结果指示所述第一应用具备业务证书申请权限时，所述身份验证结果包括所述认证服务器对所述申请信息的数字签名。

在一种实施方式中，所述处理模块705在可信执行环境中生成密钥对的具体方式为：

生成密钥对第一获取请求，所述密钥对第一获取请求携带有所述数字签名。

响应所述密钥对第一获取请求，对所述数字签名进行验签。

在验签通过时，生成密钥对第二获取请求。

响应所述密钥对第二获取请求，在可信执行环境中生成密钥对。

在一种实施方式中，所述处理模块705，还用于：

获取所述第一私钥的索引以及允许在所述可信执行环境中使用所述第一私钥的应用的第一目标应用标识集合，所述第一目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识。

建立所述第一私钥的索引与所述第一目标应用标识集合之间的第一关联关系。

在一种实施方式中，所述处理模块705，还用于：

生成第二应用的私钥使用请求，所述私钥使用请求携带有所述第一私钥的索引。

响应所述私钥使用请求获取所述第二应用的应用标识，以及根据所述第一关联关系获取与所述第一私钥的索引关联的所述第一目标应用标识集合。

在所述第一目标应用标识集合包括所述第二应用的应用标识时，允许所述第二应用在所述可信执行环境中使用所述第一私钥。

在一种实施方式中，所述装置还包括：输出模块706，其中：

所述输出模块706，用于通过所述第一应用的应用界面输出账号登录页面。

所述发送模块703，还用于响应用户的输入，向账号服务器发送账号登录认证请求，所述账号登录认证请求携带有在所述账号登录页面输入的用户账号信息。

所述接收模块704，还用于接收所述账号服务器对所述用户账号信息的账号登录认证结果。

所述发送模块703，具体用于在所述账号登录认证结果指示账号登录认证成功时，向认证服务器发送业务证书申请请求。

在一种实施方式中，在所述账号登录认证结果指示账号登录认证成功时，所述业务证 书申请请求携带的所述申请信息还包括账号登录认证标识，所述账号登录认证标识用于所述认证服务器对所述账号登录认证结果进行校验。

在一种实施方式中，所述处理模块705在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件的具体方式为：

在所述身份验证结果指示所述第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件。

在一种实施方式中，所述处理模块705根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：

获取所述证书请求文件。

通过所述发送模块703向所述认证服务器发送业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件。

通过所述接收模块704接收所述认证服务器在对所述业务证书签发请求校验通过后，发送的根据所述证书请求文件为所述第一应用签发的目标业务证书。

在一种实施方式中，所述处理模块705根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：

根据所述证书请求文件获取设备证书对应的第二私钥。

在所述可信执行环境中利用所述第二私钥为所述第一应用签发目标业务证书。

在一种实施方式中，所述处理模块705，还用于：

获取所述目标业务证书的索引以及允许使用所述目标业务证书的应用的第二目标应用标识集合，所述第二目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识。

建立所述目标业务证书的索引与所述第二目标应用标识集合之间的第二关联关系。

在一种实施方式中，所述处理模块705，还用于：

生成第三应用的业务证书使用请求，所述业务证书使用请求携带有所述目标业务证书的索引。

响应所述业务证书使用请求获取所述第三应用的应用标识，以及根据所述第二关联关系获取与所述目标业务证书的索引关联的所述第二目标应用标识集合。

在所述第二目标应用标识集合包括所述第三应用的应用标识时，允许所述第三应用使用所述目标业务证书。

可以理解的是，本实施例的业务证书管理装置的各功能模块的功能可根据上述方法实施例中终端的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本申请实施例中，启动模块701启动第一应用，确定模块702确定第一应用被预先配置为申请业务证书，发送模块703在确定模块702确定第一应用被预先配置为申请业务证书时，向认证服务器发送业务证书申请请求，业务证书申请请求携带的申请信息包括第一应用的应用标识，接收模块704接收认证服务器根据申请信息发送的对第一应用的身份验证结果，处理模块705在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据证书请求文件获取第一应用对应的目标业务证书，可 以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

请参阅图8，为本申请实施例提供的另一种业务证书管理装置的结构示意图，该业务证书管理装置用于执行前文所述的认证服务器的相应方法，该业务证书管理装置包括：

接收模块801，用于接收终端在被预先配置为申请业务证书的第一应用启动时，发送的业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识。

验证模块802，用于根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果。

发送模块803，用于向所述终端发送所述身份验证结果。

其中，所述身份验证结果用于所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。

在一种实施方式中，所述装置还包括：签发模块804，其中：

所述接收模块801，还用于接收所述终端在所述可信执行环境中生成所述证书请求文件之后，发送的业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件。

所述签发模块804，用于在对所述业务证书签发请求校验通过后，根据所述证书请求文件为所述第一应用签发目标业务证书。

所述发送模块803，还用于向所述终端发送所述目标业务证书。

在一种实施方式中，所述验证模块802，具体用于：

获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识。

在所述应用标识白名单包括所述第一应用的应用标识时，确定所述第一应用具备业务证书申请权限，并生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限。

在一种实施方式中，所述申请信息还包括账号登录认证标识，所述验证模块802，具体用于：

获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识。

向账号服务器发送账号登录认证结果校验请求，所述账号登录认证结果校验请求携带有所述账号登录认证标识。

接收所述账号服务器发送的对所述账号登录认证标识的校验结果。

在所述应用标识白名单包括所述第一应用的应用标识，且所述校验结果指示对所述账号登录认证标识校验通过时，生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限，且账号登录认证成功。

可以理解的是，本实施例的业务证书管理装置的各功能模块的功能可根据上述方法实施例中认证服务器的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

本申请实施例中，接收模块801接收终端在被预先配置为申请业务证书的第一应用启动 时，发送的业务证书申请请求，业务证书申请请求携带的申请信息包括第一应用的应用标识，验证模块802根据申请信息对第一应用进行身份验证，得到身份验证结果，发送模块803向终端发送身份验证结果，该身份验证结果用于终端在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据证书请求文件获取第一应用对应的目标业务证书，可以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

综上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (35)

1. 一种业务证书管理方法，其特征在于，包括：

   启动第一应用；

   确定所述第一应用被预先配置为申请业务证书；

   向认证服务器发送业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识，所述第一应用的应用标识用于所述认证服务器对所述第一应用的业务证书申请权限进行校验；

   接收所述认证服务器根据所述申请信息发送的对所述第一应用的身份验证结果；

   在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。
2. 根据权利要求1所述的方法，其特征在于，所述在可信执行环境中生成证书请求文件，包括：

   在可信执行环境中生成密钥对，所述密钥对包括第一公钥和第一私钥；

   在所述可信执行环境中根据所述申请信息和所述第一公钥生成证书请求文件，并将所述第一私钥存储在所述可信执行环境中。
3. 根据权利要求2所述的方法，其特征在于，在所述身份验证结果指示所述第一应用具备业务证书申请权限时，所述身份验证结果包括所述认证服务器对所述申请信息的数字签名。
4. 根据权利要求3所述的方法，其特征在于，所述在可信执行环境中生成密钥对，包括：

   生成密钥对第一获取请求，所述密钥对第一获取请求携带有所述数字签名；

   响应所述密钥对第一获取请求，对所述数字签名进行验签；

   在验签通过时，生成密钥对第二获取请求；

   响应所述密钥对第二获取请求，在可信执行环境中生成密钥对。
5. 根据权利要求2所述的方法，其特征在于，所述方法还包括：

   获取所述第一私钥的索引以及允许在所述可信执行环境中使用所述第一私钥的应用的第一目标应用标识集合，所述第一目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识；

   建立所述第一私钥的索引与所述第一目标应用标识集合之间的第一关联关系。
6. 根据权利要求5所述的方法，其特征在于，所述方法还包括：

   生成第二应用的私钥使用请求，所述私钥使用请求携带有所述第一私钥的索引；

   响应所述私钥使用请求获取所述第二应用的应用标识，以及根据所述第一关联关系获取与所述第一私钥的索引关联的所述第一目标应用标识集合；

   在所述第一目标应用标识集合包括所述第二应用的应用标识时，允许所述第二应用在所述可信执行环境中使用所述第一私钥。
7. 根据权利要求1或2所述的方法，其特征在于，所述向认证服务器发送业务证书申请请求之前，所述方法还包括：

   通过所述第一应用的应用界面输出账号登录页面；

   响应用户的输入，向账号服务器发送账号登录认证请求，所述账号登录认证请求携带有在所述账号登录页面输入的用户账号信息；

   接收所述账号服务器对所述用户账号信息的账号登录认证结果；

   在所述账号登录认证结果指示账号登录认证成功时，执行所述向认证服务器发送业务证书申请请求的步骤。
8. 根据权利要求7所述的方法，其特征在于，在所述账号登录认证结果指示账号登录认证成功时，所述业务证书申请请求携带的所述申请信息还包括账号登录认证标识，所述账号登录认证标识用于所述认证服务器对所述账号登录认证结果进行校验。
9. 根据权利要求8所述的方法，其特征在于，所述在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，包括：

   在所述身份验证结果指示所述第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件。
10. 根据权利要求1或2所述的方法，其特征在于，所述根据所述证书请求文件获取所述第一应用对应的目标业务证书，包括：

    获取所述证书请求文件；

    向所述认证服务器发送业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件；

    接收所述认证服务器在对所述业务证书签发请求校验通过后，发送的根据所述证书请求文件为所述第一应用签发的目标业务证书。
11. 根据权利要求1或2所述的方法，其特征在于，所述根据所述证书请求文件获取所述第一应用对应的目标业务证书，包括：

    根据所述证书请求文件获取设备证书对应的第二私钥；

    在所述可信执行环境中利用所述第二私钥为所述第一应用签发目标业务证书。
12. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

    获取所述目标业务证书的索引以及允许使用所述目标业务证书的应用的第二目标应用标识集合，所述第二目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识；

    建立所述目标业务证书的索引与所述第二目标应用标识集合之间的第二关联关系。
13. 根据权利要求12所述的方法，其特征在于，所述方法还包括：

    生成第三应用的业务证书使用请求，所述业务证书使用请求携带有所述目标业务证书的索引；

    响应所述业务证书使用请求获取所述第三应用的应用标识，以及根据所述第二关联关系获取与所述目标业务证书的索引关联的所述第二目标应用标识集合；

    在所述第二目标应用标识集合包括所述第三应用的应用标识时，允许所述第三应用使用所述目标业务证书。
14. 一种业务证书管理方法，其特征在于，包括：

    接收终端在被预先配置为申请业务证书的第一应用启动时，发送的业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识；

    根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果，并向所述终端发送所述身份验证结果；

    其中，所述身份验证结果用于所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。
15. 根据权利要求14所述的方法，其特征在于，所述方法还包括：

    接收所述终端在所述可信执行环境中生成所述证书请求文件之后，发送的业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件；

    在对所述业务证书签发请求校验通过后，根据所述证书请求文件为所述第一应用签发目标业务证书，并向所述终端发送所述目标业务证书。
16. 根据权利要求14或15所述的方法，其特征在于，所述根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果，包括：

    获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识；

    在所述应用标识白名单包括所述第一应用的应用标识时，确定所述第一应用具备业务证书申请权限，并生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限。
17. 根据权利要求14或15所述的方法，其特征在于，所述申请信息还包括账号登录认证标识，所述根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果，包括：

    获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识；

    向账号服务器发送账号登录认证结果校验请求，所述账号登录认证结果校验请求携带 有所述账号登录认证标识；

    接收所述账号服务器发送的对所述账号登录认证标识的校验结果；

    在所述应用标识白名单包括所述第一应用的应用标识，且所述校验结果指示对所述账号登录认证标识校验通过时，生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限，且账号登录认证成功。
18. 一种终端，其特征在于，包括：处理器、收发器和存储器，所述处理器、所述收发器和所述存储器通过总线连接，所述存储器存储有可执行程序代码，所述收发器受所述处理器的控制用于收发消息，其中：

    所述处理器，用于启动第一应用；

    所述处理器，还用于确定所述第一应用被预先配置为申请业务证书；

    所述收发器，用于向认证服务器发送业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识，所述第一应用的应用标识用于所述认证服务器对所述第一应用的业务证书申请权限进行校验；

    所述收发器，还用于接收所述认证服务器根据所述申请信息发送的对所述第一应用的身份验证结果；

    所述处理器，还用于在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。
19. 根据权利要求18所述的终端，其特征在于，所述处理器在可信执行环境中生成证书请求文件的具体方式为：

    在可信执行环境中生成密钥对，所述密钥对包括第一公钥和第一私钥；

    在所述可信执行环境中根据所述申请信息和所述第一公钥生成证书请求文件，并将所述第一私钥存储在所述可信执行环境中。
20. 根据权利要求19所述的终端，其特征在于，在所述身份验证结果指示所述第一应用具备业务证书申请权限时，所述身份验证结果包括所述认证服务器对所述申请信息的数字签名。
21. 根据权利要求20所述的终端，其特征在于，所述处理器在可信执行环境中生成密钥对的具体方式为：

    生成密钥对第一获取请求，所述密钥对第一获取请求携带有所述数字签名；

    响应所述密钥对第一获取请求，对所述数字签名进行验签；

    在验签通过时，生成密钥对第二获取请求；

    响应所述密钥对第二获取请求，在可信执行环境中生成密钥对。
22. 根据权利要求19所述的终端，其特征在于，

    所述处理器，还用于获取所述第一私钥的索引以及允许在所述可信执行环境中使用所述第一私钥的应用的第一目标应用标识集合，所述第一目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识；

    所述处理器，还用于建立所述第一私钥的索引与所述第一目标应用标识集合之间的第一关联关系。
23. 根据权利要求22所述的终端，其特征在于，

    所述处理器，还用于生成第二应用的私钥使用请求，所述私钥使用请求携带有所述第一私钥的索引；

    所述处理器，还用于响应所述私钥使用请求获取所述第二应用的应用标识，以及根据所述第一关联关系获取与所述第一私钥的索引关联的所述第一目标应用标识集合；

    所述处理器，还用于在所述第一目标应用标识集合包括所述第二应用的应用标识时，允许所述第二应用在所述可信执行环境中使用所述第一私钥。
24. 根据权利要求18或19所述的终端，其特征在于，

    所述处理器，还用于通过所述第一应用的应用界面输出账号登录页面；

    所述收发器，还用于响应用户的输入，向账号服务器发送账号登录认证请求，所述账号登录认证请求携带有在所述账号登录页面输入的用户账号信息；

    所述收发器，还用于接收所述账号服务器对所述用户账号信息的账号登录认证结果；

    所述收发器，具体用于在所述账号登录认证结果指示账号登录认证成功时，向认证服务器发送业务证书申请请求。
25. 根据权利要求24所述的终端，其特征在于，在所述账号登录认证结果指示账号登录认证成功时，所述业务证书申请请求携带的所述申请信息还包括账号登录认证标识，所述账号登录认证标识用于所述认证服务器对所述账号登录认证结果进行校验。
26. 根据权利要求25所述的终端，其特征在于，所述处理器在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件的具体方式为：

    在所述身份验证结果指示所述第一应用具备业务证书申请权限，且账号登录认证成功时，在可信执行环境中生成证书请求文件。
27. 根据权利要求18或19所述的终端，其特征在于，所述处理器根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：

    获取所述证书请求文件；

    通过所述收发器向所述认证服务器发送业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件；

    通过所述收发器接收所述认证服务器在对所述业务证书签发请求校验通过后，发送的 根据所述证书请求文件为所述第一应用签发的目标业务证书。
28. 根据权利要求18或19所述的终端，其特征在于，所述处理器根据所述证书请求文件获取所述第一应用对应的目标业务证书的具体方式为：

    根据所述证书请求文件获取设备证书对应的第二私钥；

    在所述可信执行环境中利用所述第二私钥为所述第一应用签发目标业务证书。
29. 根据权利要求18所述的终端，其特征在于，

    所述处理器，还用于获取所述目标业务证书的索引以及允许使用所述目标业务证书的应用的第二目标应用标识集合，所述第二目标应用标识集合包括至少一个应用标识，所述至少一个应用标识包括所述第一应用的应用标识；

    所述处理器，还用于建立所述目标业务证书的索引与所述第二目标应用标识集合之间的第二关联关系。
30. 根据权利要求29所述的终端，其特征在于，

    所述处理器，还用于生成第三应用的业务证书使用请求，所述业务证书使用请求携带有所述目标业务证书的索引；

    所述处理器，还用于响应所述业务证书使用请求获取所述第三应用的应用标识，以及根据所述第二关联关系获取与所述目标业务证书的索引关联的所述第二目标应用标识集合；

    所述处理器，还用于在所述第二目标应用标识集合包括所述第三应用的应用标识时，允许所述第三应用使用所述目标业务证书。
31. 一种服务器，其特征在于，包括：处理器、网络接口和存储器，所述处理器、所述网络接口和所述存储器通过总线连接，所述存储器存储有可执行程序代码，所述网络接口受所述处理器的控制用于收发消息，其中：

    所述网络接口，用于接收终端在被预先配置为申请业务证书的第一应用启动时，发送的业务证书申请请求，所述业务证书申请请求携带的申请信息包括所述第一应用的应用标识；

    所述处理器，用于根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果，并向所述终端发送所述身份验证结果；

    其中，所述身份验证结果用于所述终端在所述身份验证结果指示所述第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据所述证书请求文件获取所述第一应用对应的目标业务证书。
32. 根据权利要求31所述的服务器，其特征在于，

    所述网络接口，还用于接收所述终端在所述可信执行环境中生成所述证书请求文件之后，发送的业务证书签发请求，所述业务证书签发请求携带有所述证书请求文件；

    所述处理器，还用于在对所述业务证书签发请求校验通过后，根据所述证书请求文件为所述第一应用签发目标业务证书；

    所述网络接口，还用于向所述终端发送所述目标业务证书。
33. 根据权利要求31或32所述的服务器，其特征在于，所述处理器根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果的具体方式为：

    获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识；

    在所述应用标识白名单包括所述第一应用的应用标识时，确定所述第一应用具备业务证书申请权限，并生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限。
34. 根据权利要求31或32所述的服务器，其特征在于，所述申请信息还包括账号登录认证标识，所述处理器根据所述申请信息对所述第一应用进行身份验证，得到身份验证结果的具体方式为：

    获取具备业务证书申请权限的应用的应用标识白名单，所述应用标识白名单包括至少一个应用标识；

    通过所述网络接口向账号服务器发送账号登录认证结果校验请求，所述账号登录认证结果校验请求携带有所述账号登录认证标识；

    通过所述网络接口接收所述账号服务器发送的对所述账号登录认证标识的校验结果；

    在所述应用标识白名单包括所述第一应用的应用标识，且所述校验结果指示对所述账号登录认证标识校验通过时，生成身份验证结果，所述身份验证结果用于指示所述第一应用具备业务证书申请权限，且账号登录认证成功。
35. 一种计算机可读存储介质，其特征在于，所述存储介质存储指令，当其在计算机上运行时，使得计算机实现如权利要求1～13中任一项所述的业务证书管理方法或者如权利要求14～17中任一项所述的业务证书管理方法。

Images