CN107171814A - 一种数字证书更新方法及装置 - Google Patents
一种数字证书更新方法及装置 Download PDFInfo
- Publication number
- CN107171814A CN107171814A CN201710618107.6A CN201710618107A CN107171814A CN 107171814 A CN107171814 A CN 107171814A CN 201710618107 A CN201710618107 A CN 201710618107A CN 107171814 A CN107171814 A CN 107171814A
- Authority
- CN
- China
- Prior art keywords
- certificate
- old
- embedded
- security element
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种数字证书更新方法及装置,所述方法包括:验证旧证书文件及证书签名;安装新的证书文件及执行签名过程;删除旧实例对象及证书文件。本申请提出的数字证书更新方法及装置,将证书更新的设备变成终端内部的安全元件模块,并且证书更新的方式是通过TSM平台与终端的安全元件模块进行交互处理,极大的提高安全性。并且将证书更新到终端内部,而不是密钥设备等独立硬件设备,从而使得用户不用携带硬件密钥设备便可以完成相应操作,从而方便了用户。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种数字证书更新方法及装置。
背景技术
公钥基础设施(Public Key Infrastructure,简称PKI)是通过使用公开密钥技术和数字证书来确保***信息安全并负责验证数字证书持有者身份的密钥管理平台。该技术广泛应用于网上银行、电子商务、电子政务等领域。一个完整地PKI***是由认证机构(Certification Authority,简称CA)、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构在PKI***中居于核心地位。
CA中心又称为数字证书认证中心,作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证实证书中列出的用户名称和证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。
注册机构(Registration Authority,简称RA)中心是CA功能的延伸,其负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。RA中心是整个CA中心正常运营不可缺少的一部分。CA中心以集中发放证书或网上发放证书为主要发证模式;在这种情况下,用户注册、注册审核、统一发证等各个业务步骤都必须遵循统一化和规范化,这些业务都可以由RA中心来实现。
用户安全终端是用户用于在网上电子签名和数字认证的工具,用户安全终端通常使用内置安全芯片,采用1024位或者2048位非对称密钥算法或者国密算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。用户安全终端存储着用户的私钥以及数字证书,利用其内置的公钥算法实现对用户身份的认证,同时通过内置的安全芯片也保证了用户证书的私钥无法被复制或者导出。例如网上银行用户、电子商务网站或者移动终端的用户所使用的USB-KEY、SD-KEY就是常用的安全终端。
目前证书的更新过程每次都需要硬件设备参与,并与台式机进行数据交互,很不方便用户的使用操作,并且从安全方面而言,当前证书更新过程,证书数据的流程需要有后台,PC或手机,安全终端硬件三个方面进行参与,如果能减少一个参与方面,也能进一步增加证书更新的安全性。
发明内容
为了解决上述问题,本申请提供一种数字证书更新方法及装置。本申请提出一种数字证书更新方法,包括:
步骤S1:验证旧证书文件及证书签名;
步骤S2:安装新的证书文件及执行签名过程;
步骤S3:删除旧实例对象及证书文件。
优选的,所述步骤S1、验证旧证书文件及证书签名,包括:
步骤S101:应用程序存储器发出证书更新请求;
步骤S102:综合访问管理服务器接收到请求,验证应用程序存储器中存储的旧证书,若验证成功则执行步骤S103,否则结束该方法;
步骤S103:发送验证签名请求给安全元件;
步骤S104:嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;
步骤S105:综合访问管理服务器验证旧证书的签名,验证成功则执行步骤S2,否则结束该方法。
优选的,所述步骤S2、安装新的证书文件,包括:
步骤S201:综合访问管理服务器向可信服务管理平台发出更新指令;
步骤S202:在嵌入式安全元件创建实例对象;
步骤S203:可信服务管理平台发出安装个人识别密码指令;
步骤S204:嵌入式安全元件对实例对象进行个人识别密码的安装;
步骤S205:可信服务管理平台向嵌入式安全元件发送证书文件;
步骤S206:嵌入式安全元件在实例对象中安装证书文件。
优选的,所述步骤S3、删除旧实例对象及证书文件,包括:
步骤S301:可信服务管理平台发出旧实例对象删除指令;
步骤S302:嵌入式安全元件对旧实例对象进行删除;
步骤S303:可信服务管理平台发出检测指令;
步骤S304:嵌入式安全元件对结果进行检测,判断检测是否成功,若成功则执行步骤S305,否则执行步骤S2;
步骤S305:在应用程序存储器显示更新完成。
更优选的,在执行步骤S2、安装新的证书文件之前,还执行如下操作:
步骤R101:可信服务管理平台选择共享秘密数据对嵌入式安全元件发送外部认证指令;
步骤R102:嵌入式安全元件对可信服务管理平台进行外部认证。
优选的,在执行步骤S203、可信服务管理平台发出安装个人识别密码指令之前,还执行如下操作:
步骤R201:可信服务管理平台发出应用标识匹配指令;
步骤R202:判断ESE匹配是否成功,如果成功则执行步骤S203,否则结束该方法。
本申请还提出一种数字证书更新***,包括:
综合访问管理服务器、可信服务管理平台、应用程序存储器、用户应用存储器、受信应用存储器和嵌入式安全元件;
其中,所述综合访问管理服务器与所述可信服务管理平台连接,所述可信服务管理平台与所述应用程序存储器连接,所述可信服务管理平台与所述嵌入式安全元件连接,所述嵌入式安全元件与所述应用程序存储器连接。
本申请更提出一种数字证书更新装置,包括:
旧证书验证器,用于验证旧证书文件及证书签名;
新证书安装器,用于安装新的证书文件及执行签名过程;
旧证书删除器,用于删除旧实例对象及证书文件。
优选的,所述旧证书验证器包括:
更新请求模块,用于应用程序存储器发出证书更新请求;
旧证书验证模块,用于综合访问管理服务器接收到请求,验证应用程序存储器中存储的旧证书;
签名请求模块,用于发送验证签名请求给嵌入式安全元件;
数据传输模块,用于嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;
签名验证模块,用于综合访问管理服务器验证旧证书的签名。
优选的,所述新证书安装器包括:
更新指令模块,用于综合访问管理服务器向可信服务管理平台发出更新指令;
实例创建模块,用于在嵌入式安全元件中创建实例对象;
识别指令模块,用于可信服务管理平台发出安装个人识别密码指令;
个人识别密码安装模块,用于对实例对象进行个人识别密码安装;
文件传输模块,用于可信服务管理平台向嵌入式安全元件发送证书文件;
证书安装模块,用于嵌入式安全元件在实例对象中安装证书文件。
优选的,所述旧证书删除器包括:
删除指令模块,用于可信服务管理平台发出旧实例对象删除指令;
实例删除模块,用于嵌入式安全元件对旧实例对象进行删除;
检测指令模块,用于可信服务管理平台发出检测指令;
结果检测模块,用于对结果进行检测,并判断是否成功;
更新显示模块,用于在应用程序存储器中显示更新完成。
上述本发明提出的一种数字证书更新方法及装置,获得了以下技术效果:
1、本申请提出的数字证书更新方法及装置,使用终端内部的SE(Securityelement,安全元件)模块作为证书更新设备,并且证书更新的方式是通过TSM(Trusted Service Manager,可信服务管理)平台与终端的SE模块进行交互处理,从而极大的提高证书更新的安全性。
2、本申请提出的数字证书更新方法及装置,使用终端进行证书更新,从而用户无需携带独立的硬件设备便可以完成证书更新操作。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请数字证书更新***的结构示意图;
图2是本申请数字证书更新装置的结构示意图;
图3是本申请旧证书验证器的结构示意图;
图4是本申请新证书安装器的结构示意图;
图5是本申请旧证书删除器的结构示意图;
图6是本申请数字证书更新方法的流程示意图;
图7是本申请验证旧证书文件及证书签名的方法流程图;
图8是本申请安装新的证书文件及执行签名过程的方法流程图;
图9是本申请删除旧实例对象及证书文件的方法流程图;
图10是本申请外部认证的方法流程图;
图11是本申请AID匹配的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本申请提出一种数字证书更新***,如图1所示,包括:
综合访问管理服务器11(Comprehensive Access Management Server,即CAMS)、可信服务管理平台12(Trusted Service Manager,即TSM)、应用程序(Application,即APP)存储器13、用户应用(Client Application,即CA)存储器14、受信应用(TrustedApplication,即TA)存储器15和嵌入式安全元件16(Embedded Secure Element,即ESE);
其中,综合访问管理服务器11与可信服务管理平台12连接,可信服务管理平台12与应用程序13连接,可信服务管理平台12与嵌入式安全元件16连接,嵌入式安全元件16与APP存储器13连接,CA存储器14、TA存储器15分别与嵌入式安全元件16连接,并且彼此连接。
上述的数字证书更新***,其中在通过TSM对ESE进行更新时,用到了一种数字证书更新装置,如图2所示,包括:
旧证书验证器21、新证书安装器22和旧证书删除器23;
其中,旧证书验证器21,用于验证旧证书文件及证书签名;
其中,如图3所示,旧证书验证器21包括:
更新请求模块31、旧证书验证模块32、签名请求模块33、数据传输模块34和签名验证模块35;其中,
更新请求模块31,用于应用程序存储器发出证书更新请求;旧证书验证模块32,用于综合访问管理服务器接收到请求,验证应用程序存储器中存储的旧证书;签名请求模块33,用于发送验证签名请求给嵌入式安全元件;数据传输模块34,用于嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;签名验证模块35,用于综合访问管理服务器验证旧证书的签名。
在证书快到期时,让CAMS向APP发送更新提示信息,具体的,
判断证书快到期的方法包括以下任一:
主设备在检测到所述手机终端与所述主设备首次通讯时,从所述手机终端中保存的证书中解析出所述证书的设定到期时间;
根据从所述手机终端中保存的证书中解析出所述证书的设定到期时间,保存或更新所述主设备上预先记录的证书到期时间;
所述主设备在证书未到期的情况下,判断证书的剩余有效时间是否满足预先设定的预提醒时间点,如果满足,则按照满足的预提醒时间点对应的提醒方式提醒用户证书即将到期。
新证书安装器22,用于安装新的证书文件及执行签名过程;
新证书安装器22如图4所示,包括:
更新指令模块41、实例创建模块42、识别指令模块43,个人识别密码(PersonalIdentification Number,即PIN码)安装模块44、文件传输模块45和证书安装模块46;其中,
更新指令模块41,用于综合访问管理服务器向可信服务管理平台发出更新指令;实例创建模块42,用于在嵌入式安全元件中创建实例对象;识别指令模块43,用于可信服务管理平台发出安装个人识别密码指令;个人识别密码安装模块44,用于对实例对象进行个人识别密码安装;文件传输模块45,用于可信服务管理平台向嵌入式安全元件发送证书文件;证书安装模块46,用于嵌入式安全元件在实例对象中安装证书文件。
在接收到APP发送的请求时,CA对请求进行判断,判断请求是否从受信的APP和合法的客户端发出的。
其中,CA对请求进行判断是通过解析请求文件,得到其中的设备信息及APP信息,将此信息上传给安全服务器进行比对,如果有相同的设备信息及APP信息,则认为是从受信APP和合法的客户端发出的。
而且为了进一步增加证书的安全性,在发送证书文件前,TSM对要发送的文件用ESE公钥进行加密,在ESE接收到证书文件后,用实现协商好的私钥进行解密得到明文证书。
旧证书删除器23,用于删除旧实例对象及证书文件。
具体的,如图5所示,旧证书删除器23包括:
删除指令模块51、实例删除模块52、检测指令模块53、结果检测模块53和更新显示模块54;其中,
删除指令模块51,用于可信服务管理平台发出旧实例对象删除指令;实例删除模块52,用于嵌入式安全元件对旧实例对象进行删除;检测指令模块53,用于可信服务管理平台发出检测指令;结果检测模块54,用于对结果进行检测,并判断是否成功;更新显示模块55,用于在应用程序存储器中显示更新完成。显然,在TSM需要对证书进行有效的管理,才能支持上述数字证书更新***和装置,具体方法如下:
首先将数字证书配置到数据库中;其次检查数据库中数字证书是否需要更新,是则继续,否则退出;而后对数据库中数字证书进行人为更新(或自动更新);最后将数字证书设置为非更新状态,完成维护TSM证书过程。
在对ESE中证书更新的过程中,为了进一步保障ESE的安全性,采用一种应用访问安全方法,具体来说,设置只有指定的应用可以访问ESE;
指定的应用具体可以由用户手机出厂的时候自带,或者是在用户通过安全认证之后,由CAMS或其他安全途径下载至手机上;
在ESE的证书更新完成之后,若指定应用为下载方式获得,将其从手机上删除,以保证信息***密。
上面根据图1-5介绍了本申请提出的数字证书更新装置及***,下面依据图6-11介绍本申请提出的数字证书更新方法
本申请提出的数字证书更新方法,如图6所示,包括:
步骤S1:验证旧证书文件及证书签名;
其中,如图7所示,上述步骤S1包括:
步骤S101:应用程序存储器13发出证书更新请求;
在证书快到期时,让CAMS向APP发送更新提示信息,具体的,
判断证书快到期的方法包括以下任一:
主设备在检测到所述手机终端与所述主设备首次通讯时,从所述手机终端中保存的证书中解析出所述证书的设定到期时间;
根据从所述手机终端中保存的证书中解析出所述证书的设定到期时间,保存或更新所述主设备上预先记录的证书到期时间;
所述主设备在证书未到期的情况下,判断证书的剩余有效时间是否满足预先设定的预提醒时间点,如果满足,则按照满足的预提醒时间点对应的提醒方式提醒用户证书即将到期。
步骤S102:综合访问管理服务器接收到请求,验证应用程序存储器13中存储的旧证书,若验证成功则执行步骤S103,否则结束该方法;
在接收到APP发送的请求时,CA对请求进行判断,判断请求是否从受信的APP和合法的客户端发出的。
其中,CA对请求进行判断是通过解析请求文件,得到其中的设备信息及APP信息,将此信息上传给安全服务器进行比对,如果有相同的设备信息及APP信息,则认为是从受信APP和合法的客户端发出的。
步骤S103:发送验证签名请求给安全元件;
步骤S104:嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;
步骤S105:综合访问管理服务器验证旧证书的签名,验证成功则执行步骤S2,否则结束该方法。
步骤S2:安装新的证书文件及执行签名过程;
上述步骤S2如图8所示,包括:
步骤S201:综合访问管理服务器向可信服务管理平台发出更新指令;
步骤S202:在嵌入式安全元件创建实例对象;
步骤S203:可信服务管理平台发出安装个人识别密码指令;
在执行步骤S203、可信服务管理平台发出安装个人识别密码指令之前,还执行如图11所示操作:
步骤R201:可信服务管理平台发出应用标识(application identifier,即AID)匹配指令;
步骤R202:判断ESE匹配是否成功,如果成功则执行步骤S203,否则结束该方法。
通过如图11所示的AID匹配验证方法,可以极大的提高用户使用的安全性。
步骤S204:嵌入式安全元件对实例对象进行个人识别密码的安装;
步骤S205:可信服务管理平台向嵌入式安全元件发送证书文件;
在发送证书文件前,TSM对要发送的文件用ESE公钥进行加密,在ESE接收到证书文件后,用实现协商好的私钥进行解密得到明文证书。
步骤S206:嵌入式安全元件在实例对象中安装证书文件。
具体来说,在执行步骤S2、安装新的证书文件之前,还通过执行如图10所示的步骤操作来增加用户操作的安全性:
步骤R101:可信服务管理平台选择共享秘密数据(Shared Secret Data,即SSD)对嵌入式安全元件发送外部认证指令;
步骤R102:嵌入式安全元件对可信服务管理平台进行外部认证。
步骤S3:删除旧实例对象及证书文件。
其中,步骤S3如图9所示,包括:
步骤S301:可信服务管理平台发出旧实例对象删除指令;
步骤S302:嵌入式安全元件对旧实例对象进行删除;
步骤S303:可信服务管理平台发出检测指令;
步骤S304:嵌入式安全元件对结果进行检测,判断检测是否成功,若成功则执行步骤S305,否则执行步骤S2;
步骤S305:在应用程序存储器13中显示更新完成。
显然,在TSM需要对证书进行有效的管理,才能支持上述数字证书更新方法,具体方法如下:
首先将数字证书配置到数据库中;其次检查数据库中数字证书是否需要更新,是则继续,否则退出;而后对数据库中数字证书进行人为更新(或自动更新);最后将数字证书设置为非更新状态,完成维护TSM证书过程。
在本申请提出的数字证书更新装置中,当对ESE中证书更新的过程时,为了进一步保障ESE的安全性,采用一种应用访问安全方法,具体来说,设置只有指定的应用可以访问ESE;
指定的应用具体可以由用户手机出厂的时候自带,或者是在用户通过安全认证之后,由CAMS或其他安全途径下载至手机上;
在ESE的证书更新完成之后,若指定应用为下载方式获得,将其从手机上删除,以保证信息***密。
以上所述,仅是本发明的较佳实施例,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (10)
1.一种数字证书更新方法,其特征在于,包括:
步骤S1:验证旧证书文件及证书签名;
步骤S2:安装新的证书文件及执行签名过程;
步骤S3:删除旧实例对象及证书文件。
2.如权利要求1所述的数字证书更新方法,其特征在于,所述步骤S1、验证旧证书文件及证书签名,包括:
步骤S101:应用程序存储器发出证书更新请求;
步骤S102:综合访问管理服务器接收到请求,验证应用程序存储器中存储的旧证书,若验证成功则执行步骤S103,否则结束该方法;
步骤S103:发送验证签名请求给嵌入式安全元件;
步骤S104:嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;
步骤S105:综合访问管理服务器验证旧证书的签名,验证成功则执行步骤S2,否则结束该方法。
3.如权利要求1所述的数字证书更新方法,其特征在于,所述步骤S2、安装新的证书文件,包括:
步骤S201:综合访问管理服务器向可信服务管理平台发出更新指令;
步骤S202:在嵌入式安全元件创建实例对象;
步骤S203:可信服务管理平台发出安装个人识别密码指令;
步骤S204:嵌入式安全元件对实例对象进行个人识别密码的安装;
步骤S205:可信服务管理平台向嵌入式安全元件发送证书文件;
步骤S206:嵌入式安全元件在实例对象中安装证书文件。
4.如权利要求1所述的数字证书更新方法,其特征在于,所述步骤S3、删除旧实例对象及证书文件,包括:
步骤S301:可信服务管理平台发出旧实例对象删除指令;
步骤S302:嵌入式安全元件对旧实例对象进行删除;
步骤S303:可信服务管理平台发出检测指令;
步骤S304:嵌入式安全元件对结果进行检测,判断检测是否成功,若成功则执行步骤S305,否则执行步骤S2;
步骤S305:在应用程序存储器显示更新完成。
5.如权利要求1-4任一所述的数字证书更新方法,其特征在于,在执行步骤S2、安装新的证书文件之前,还执行如下操作:
步骤R101:可信服务管理平台选择共享秘密数据对嵌入式安全元件发送外部认证指令;
步骤R102:嵌入式安全元件对可信服务管理平台进行外部认证。
6.如权利要求1-4任一所述的数字证书更新方法,其特征在于,在执行步骤S203、可信服务管理平台发出安装个人识别密码指令之前,还执行如下操作:
步骤R201:可信服务管理平台发出应用标识匹配指令;
步骤R202:判断ESE匹配是否成功,如果成功则执行步骤S203,否则结束该方法。
7.一种数字证书更新装置,其特征在于,包括:
旧证书验证器,用于验证旧证书文件及证书签名;
新证书安装器,用于安装新的证书文件及执行签名过程;
旧证书删除器,用于删除旧实例对象及证书文件。
8.如权利要求7所述的数字证书更新装置,其特征在于,所述旧证书验证器包括:
更新请求模块,用于应用程序存储器发出证书更新请求;
旧证书验证模块,用于综合访问管理服务器接收到请求,验证应用程序存储器中存储的旧证书;
签名请求模块,用于发送验证签名请求给嵌入式安全元件;
数据传输模块,用于嵌入式安全元件把旧证书的签名文件发送给综合访问管理服务器;
签名验证模块,用于综合访问管理服务器验证旧证书的签名。
9.如权利要求7所述的数字证书更新装置,其特征在于,所述新证书安装器包括:
更新指令模块,用于综合访问管理服务器向可信服务管理平台发出更新指令;
实例创建模块,用于在嵌入式安全元件中创建实例对象;
识别指令模块,用于可信服务管理平台发出安装个人识别密码指令;
个人识别密码安装模块,用于对实例对象进行个人识别密码安装;
文件传输模块,用于可信服务管理平台向嵌入式安全元件发送证书文件;
证书安装模块,用于嵌入式安全元件在实例对象中安装证书文件。
10.如权利要求7所述的数字证书更新装置,其特征在于,所述旧证书删除器包括:
删除指令模块,用于可信服务管理平台发出旧实例对象删除指令;
实例删除模块,用于嵌入式安全元件对旧实例对象进行删除;
检测指令模块,用于可信服务管理平台发出检测指令;
结果检测模块,用于对结果进行检测,并判断是否成功;
更新显示模块,用于在应用程序存储器中显示更新完成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710618107.6A CN107171814A (zh) | 2017-07-26 | 2017-07-26 | 一种数字证书更新方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710618107.6A CN107171814A (zh) | 2017-07-26 | 2017-07-26 | 一种数字证书更新方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107171814A true CN107171814A (zh) | 2017-09-15 |
Family
ID=59817441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710618107.6A Pending CN107171814A (zh) | 2017-07-26 | 2017-07-26 | 一种数字证书更新方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107171814A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109922056A (zh) * | 2019-02-26 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 数据安全处理方法及其终端、服务器 |
CN113259108A (zh) * | 2020-02-10 | 2021-08-13 | 上海艾拉比智能科技有限公司 | 证书更新方法、物联网平台及物联网设备 |
CN113794564A (zh) * | 2021-07-26 | 2021-12-14 | 浪潮软件股份有限公司 | 一种移动端的本地ssl自签名证书升级策略实现方法 |
WO2024055302A1 (en) * | 2022-09-16 | 2024-03-21 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for mitigating a risk of service un-availability during ca migaration |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117987A (zh) * | 2011-11-17 | 2013-05-22 | 航天信息股份有限公司 | 数字证书更新方法 |
-
2017
- 2017-07-26 CN CN201710618107.6A patent/CN107171814A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117987A (zh) * | 2011-11-17 | 2013-05-22 | 航天信息股份有限公司 | 数字证书更新方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109922056A (zh) * | 2019-02-26 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 数据安全处理方法及其终端、服务器 |
US11251976B2 (en) | 2019-02-26 | 2022-02-15 | Advanced New Technologies Co., Ltd. | Data security processing method and terminal thereof, and server |
CN113259108A (zh) * | 2020-02-10 | 2021-08-13 | 上海艾拉比智能科技有限公司 | 证书更新方法、物联网平台及物联网设备 |
CN113794564A (zh) * | 2021-07-26 | 2021-12-14 | 浪潮软件股份有限公司 | 一种移动端的本地ssl自签名证书升级策略实现方法 |
WO2024055302A1 (en) * | 2022-09-16 | 2024-03-21 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for mitigating a risk of service un-availability during ca migaration |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107070667B (zh) | 身份认证方法 | |
KR101759193B1 (ko) | 안전한 전자 거래를 위한 네트워크 인증 방법 | |
CN101828357B (zh) | 用于证书提供的方法和装置 | |
CN101300808B (zh) | 安全认证的方法和设置 | |
RU2515809C2 (ru) | Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи | |
CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
JP5601729B2 (ja) | 移動無線機の移動無線網へのログイン方法 | |
US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
JP2019519827A (ja) | アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法 | |
US20180184290A1 (en) | Embedded Certificate Method for Strong Authentication and Ease of Use for Wireless IoT Systems | |
CN102171971B (zh) | 电子设备上业务的开通 | |
US20110113241A1 (en) | Ic card, ic card system, and method thereof | |
KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
JP2012530311A5 (zh) | ||
CN101841525A (zh) | 安全接入方法、***及客户端 | |
CN107171814A (zh) | 一种数字证书更新方法及装置 | |
CN110278084B (zh) | eID建立方法、相关设备及*** | |
JP2022517253A (ja) | ブラウザのウェブストレージを利用した簡易認証方法及びシステム | |
KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
CN104869122A (zh) | 基于电子签名的手势密码身份认证方法及*** | |
JP2003298574A (ja) | 電子機器、認証局、電子機器認証システム、電子機器の認証方法 | |
KR20170042137A (ko) | 인증 서버 및 방법 | |
CN115134154A (zh) | 认证方法、装置、远程控制车辆的方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170915 |