CN107612697B - 数字证书申请方法和装置 - Google Patents

数字证书申请方法和装置 Download PDF

Info

Publication number
CN107612697B
CN107612697B CN201710985105.0A CN201710985105A CN107612697B CN 107612697 B CN107612697 B CN 107612697B CN 201710985105 A CN201710985105 A CN 201710985105A CN 107612697 B CN107612697 B CN 107612697B
Authority
CN
China
Prior art keywords
application
signature data
information
server
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710985105.0A
Other languages
English (en)
Other versions
CN107612697A (zh
Inventor
魏亚文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Advantageous New Technologies Co Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710985105.0A priority Critical patent/CN107612697B/zh
Publication of CN107612697A publication Critical patent/CN107612697A/zh
Priority to TW107128937A priority patent/TWI696931B/zh
Priority to US16/160,810 priority patent/US11106775B2/en
Priority to PL18799645T priority patent/PL3632036T3/pl
Priority to SG11201912710UA priority patent/SG11201912710UA/en
Priority to EP18799645.9A priority patent/EP3632036B1/en
Priority to PCT/US2018/056773 priority patent/WO2019079761A1/en
Priority to ES18799645T priority patent/ES2884169T3/es
Priority to US16/720,522 priority patent/US11106776B2/en
Application granted granted Critical
Publication of CN107612697B publication Critical patent/CN107612697B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computing Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Finance (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

说明书披露一种数字证书申请方法和装置。该方法包括:客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,申请信息包括:与申请请求唯一对应的申请标识;客户端将服务端返回的申请信息下发给安全元件;安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端;客户端将该指定格式数据发送给服务端,以供服务端在根据公钥确定终端签名数据通过验证,且申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。

Description

数字证书申请方法和装置
技术领域
本说明书涉及安全技术领域,尤其涉及一种数字证书申请方法和装置。
背景技术
数字证书通常由权威机构CA(Certificate Authority,第三方可信机构)颁发,可包括公钥以及公钥拥有者信息,可用于在互联网中对对方的身份进行验证。
目前,在申请数字证书的过程中,通常需要生成CSR(Cerificate SigningRequest,证书请求)文件,由于CSR文件的数据结构较复杂、且文件较大,会占用终端较多的计算资源。因此,需要提供一种轻量级、可用的证书申请方案。
发明内容
有鉴于此,本说明书提供一种数字证书申请方法和装置。
具体地,本说明书是通过如下技术方案实现的:
一种数字证书申请方法,应用于终端设备,所述终端设备集成有安全元件,并装载有客户端软件,该方法包括:
客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识;
客户端将服务端返回的所述申请信息下发给安全元件;
安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端;
客户端将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。
一种数字证书申请方法,应用于服务端,所述服务端用于与终端设备中装载的客户端软件交互,所述终端设备还集成有安全元件,该方法包括:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
一种数字证书申请装置,应用于终端设备,所述终端设备还集成有安全元件,该装置包括:
请求发送单元,向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
信息下发单元,将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
数据发送单元,将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
一种数字证书申请装置,应用于服务端,所述装置用于与终端设备中装载的客户端软件交互,所述终端设备还集成有安全元件,该装置包括:
信息生成单元,在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
数据接收单元,接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
数据验证单元,解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
证书申请单元,当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
一种数字证书申请装置,应用于终端设备,该装置包括:
安全元件;
处理器;
用于存储机器可执行指令的存储器;
其中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
一种数字证书申请装置,应用于服务器,该装置包括:
处理器;
用于存储机器可执行指令的存储器;
其中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
由以上描述可以看出,本说明书可通过终端与服务端配合生成证书请求文件,大大减轻安全元件的计算压力,实现轻量级、可用性高的证书申请方案。同时,由服务端和CA分别对终端签名数据进行验证,还可确保数字证书申请的安全性。
附图说明
图1是本说明书一示例性实施例示出的一种数字证书申请方法的流程示意图。
图2是本说明书一示例性实施例示出的另一种数字证书申请方法的流程示意图。
图3是本说明书一示例性实施例示出的另一种数字证书申请方法的流程示意图。
图4是本说明书一示例性实施例示出的一种TLV格式的指定数据的结构示意图。
图5是本说明书一示例性实施例示出的一种终端设备的一结构示意图。
图6是本说明书一示例性实施例示出的一种数字证书申请装置的框图。
图7是本说明书一示例性实施例示出的一种服务器的一结构示意图。
图8是本说明书一示例性实施例示出的另一种数字证书申请装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本说明书提供一种数字证书申请方案,可将原来由终端生成的证书请求文件改为由终端和服务端配合生成,以节省终端的计算资源。
图1是本说明书一示例性实施例示出的一种数字证书申请方法的流程示意图。
所述数字证书申请方法可以应用在终端中,所述终端可以为手机、PC机等电子设备,所述终端中通常装载有可以和服务端进行交互的客户端软件(Application,APP),该客户端软件并不限制于独立装载的APP,还可以为浏览器等,本说明书对此不作特殊限制。所述终端中还集成有安全元件(Secure Element,SE),可用于生成公私钥对、实现加密、签名等操作。
请参考图1,所述数字证书申请方法可以包括以下步骤:
步骤102,客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识。
在本实施例中,所述申请信息还可以包括:非对称算法信息以及签名算法信息、时间戳等信息,本说明书对此不作特殊限制。
步骤104,客户端将服务端返回的所述申请信息下发给安全元件。
步骤106,安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端。
在本实施例中,当所述申请信息包括:非对称算法信息以及签名算法信息时,安全元件可以根据申请信息中指定的非对称算法生成公私钥对,采用申请信息中的签名算法计算所述申请标识的摘要,并采用私钥对该摘要进行签名,以得到终端签名数据。
在另一个例子中,安全元件在进行摘要计算、签名时,所使用的数据并不限制于所述申请标识,还可以包括安全元件的生成公私钥对时得到的密钥长度等信息,本说明书对此不作特殊限制。
在本实施例中,所述指定格式可以为:TLV(Type,类型;Length,长度;Value,值)格式等。
步骤108,客户端将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。
图2是本说明书一示例性实施例示出的另一种数字证书申请方法的流程示意图。
请参考图2,所述数字证书申请方法可以应用在服务端,该服务端通常为第三方服务提供商部署的服务器或者服务器集群,该数字证书申请方法包括以下步骤:
步骤202,在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识。
步骤204,接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成。
步骤206,解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识。
步骤208,当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
由以上描述可以看出,本实施例可通过终端与服务端配合生成证书请求文件,大大减轻安全元件的计算压力,实现轻量级、可用性高的证书申请方案。同时,由服务端和CA对终端签名数据进行验证还可确保数字证书申请的安全性。
图3是本说明书一示例性实施例示出的另一种数字证书申请方法的流程示意图。
请参考图3,所述数字证书申请方法可以包括以下步骤:
步骤302,客户端向服务端发送数字证书申请请求。
在本实施例中,基于客户端登录的用户在申请数字证书时,可以基于客户端发起数字证书申请请求。例如,可通过触发预定的选项实现该数字证书申请请求的发送。
在本实施例中,所述数字证书申请请求中通常携带有用户的账号信息,例如账号ID等。
步骤304,服务端根据该申请请求生成申请信息,并将该申请信息发送给客户端和CA。
在本实施例中,服务端在接收到客户端发送的数字证书申请请求后,针对该申请请求,可以生成申请信息并发送给客户端和CA。
在一个例子中,所述申请信息可包括:与所述申请请求唯一对应的申请标识。该申请标识可以被携带在本次数字证书申请的交互过程中,用于标识本次数字证书申请,以在客户端重复发送数字证书申请请求时,重新进行数字证书申请。
在另一个例子中,在申请标识的基础上,所述申请信息还可以包括:非对称算法信息以及签名算法信息。所述非对称算法通常是安全元件生成公私钥对的算法依据,所述签名算法信息通常是安全元件计算摘要的算法依据。
当然,所述申请信息还可以包括其他信息,例如时间戳等,本说明书对此不作特殊限制。
步骤306,客户端将所述申请信息下发给安全元件。
步骤308,安全元件生成公私钥对。
在一个例子中,若所述申请信息中携带非对称算法信息,安全元件可以根据该非对称算法信息生成公私钥对,例如,根据申请信息中携带的RSA算法生成公私钥对。
在另一个例子中,若所述申请信息中未携带非对称算法,安全元件可以根据缺省算法生成公私钥对,本实施例对此不作特殊限制。
在本实施例中,安全元件在生成公私钥对后,还可以得到密钥长度。
步骤310,安全元件采用私钥对该申请标识和密钥长度进行签名,得到终端签名数据。
基于前述步骤308,安全元件可将申请标识和密钥长度作为签名原文,先采用申请信息中指定的签名算法计算申请标识和密钥长度的摘要,然后采用公私钥对中的私钥对该摘要进行签名,以得到终端签名数据。
在本例中,对密钥长度进行签名是对公钥进行签名的最小安全有效集合,可有效节约安全元件的处理资源。另一方面,只有通过暴力破解,对密钥长度进行因数分解,才可能会计算出私钥,而因数分解的难度极大,目前也没有相关的因数分解方案,因此将秘钥长度作为签名原文,并不会影响私钥的安全性。
在另一个例子中,也可以不将密钥长度作为签名原文,例如,可以将时间戳等其他信息作为签名原文。当然,也可以仅将申请标识作为签名原文,本说明书对此不作特殊限制。
步骤312,安全元件将该终端签名数据、密钥长度和公钥封装为指定格式后发送给客户端。
在本实施例中,所述指定格式可以由开发人员预先进行设置,例如:TLV格式等,本说明书对此不作特殊限制。
请参考图4所示的TLV格式示意图,可在左边起第一个TLV字段添加密钥长度的相关信息,在中间的TLV字段添加公钥的信息,在右边的TLV字段添终端签名数据。
以RSA的算法位数是1024位为例,密钥长度为128字节,终端签名数据也是128字节,整个TLV共计265个字节,大大小于传统技术中2k左右的P10格式的证书请求文件,实现终端轻量级的数据封装,大大减轻了安全元件的计算量,也节省了网络传输流量。
步骤314,客户端将该指定格式数据发送给服务端。
步骤316,服务端解析所述指定格式数据,确定终端签名数据通过验证,且所述申请标识也通过验证。
在本实施例中,服务端在接收到所述指定格式数据后,可从该指定格式数据中提取出密钥长度、公钥以及终端签名数据。然后可采用该公钥对终端签名数据进行验证,在验证过程中得到终端签名数据中的申请标识和密钥长度,并验证得到的密钥长度和从上述指定格式中提取出的密钥长度是否一致,若一致,则可以确认密钥长度通过验证
若服务端确定该终端签名数据和密钥长度通过验证,则可以确定公钥安全,所述指定格式数据没有被篡改。若服务端还确定所述申请标识也通过验证,则可以确定客户端也通过验证,进而可以执行步骤318。
值得注意的是,客户端和服务端的交互过程中通常还会携带有用户账号的信息,服务端在接收到上述指定格式数据后,可以根据账号信息查找为该客户端生成的申请标识,并判断查找到的申请标识与校验签名过程中得到的申请标识是否一致。若一致,则可以确定申请标识通过验证;若不一致,则可以确定申请标识未通过验证。当然,在实际应用中,还可以采用其他方式对申请标识进行验证,本说明书对此不作特殊限制。
在本实施例中,若服务端确定终端签名数据未通过验证,或申请标识未通过验证,则可以确认本次数字证书申请存在安全隐患,进而可以向客户端返回申请失败的消息。
步骤318,服务端将所述公钥、所述终端签名数据、所述客户端的登录用户信息、证书使用信息、证书使用信息以及服务端签名数据发送给CA。
基于前述步骤316,在确定终端签名数据通过验证,且申请标识也通过验证后,可以获取客户端登录用户的用户信息,例如:用户名称、用户地址、用户电话等信息。
在本实施例中,服务端可以将上述指定格式数据中携带的公钥封装为PKCS1、上述指定格式数据中的终端签名数据、用户信息、证书使用信息以及服务端签名数据一同发送给CA。
其中,证书使用信息可以包括:证书用途、证书显示模板、证书自定义域信息等。
所述服务端签名数据由服务端采用服务端私钥对服务端信息进行签名后生成。所述服务端信息可以由开发人员预先进行设置,例如:服务端名称、服务端地址等。
若CA中保存有服务端公钥,服务端可以仅将所述服务端签名数据发给CA;若CA中未保存服务端公钥,服务端可以将服务端公钥和所述服务端签名数据一同发送给CA,以供CA对服务端签名数据进行验证,本说明书对此不作特殊限制。
步骤320,CA确定所述终端签名数据通过验证、所述申请标识通过验证、且所述服务端签名数据通过验证后,生成数字证书。
在本实施例中,CA在接收到服务端发送的上述公钥、终端签名数据、客户端的登录用户信息、证书使用信息以及服务端签名数据后,一方面,可以对该终端签名数据、申请标识和密钥长度进行验证,例如,根据服务端在步骤304中发送的申请标识,参考前述步骤316中服务端的验证方式对该终端签名数据、申请标识和进行验证;根据安全元件的算法类别、位数等对密钥长度进行验证等。
另一方面,CA还可以对服务端签名数据进行验证,例如,采用服务端公钥对服务端签名数据进行验证,以验证服务端的签名是否合法。
在本实施例中,若CA确定终端签名数据通过验证、申请标识通过验证、且服务端签名数据也通过验证,则可以确定安全元件、客户端和服务端均合法,进而执行生成数字证书的操作。
由以上描述可以看出,本说明书采用处理性能较佳的服务端配合终端生成证书请求文件,以进行数字证书的申请,大大减轻终端安全元件的计算压力,实现轻量级、可用性高的证书申请方案。同时,由服务端对终端的安全元件和客户端进行验证,由CA再对终端的安全元件、客户端以及服务端进行验证,还可确保数字证书申请的安全性。
需要说明的是,在前述步骤318中,服务端也可以不发送服务端签名数据给CA,CA默认服务端合法,后续也无需对服务端签名数据进行验证,本说明书对此不作特殊限制。
与前述图1所示的数字证书申请方法的实施例相对应,本说明书还提供了数字证书申请装置的实施例。
本说明书数字证书申请装置的实施例可以应用在终端设备上,该终端设备中集成有安全元件。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在终端设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本说明书数字证书申请装置所在终端设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的终端设备通常根据该终端设备的实际功能,还可以包括其他硬件,对此不再赘述。
图6是本说明书一示例性实施例示出的一种数字证书申请装置的框图。
请参考图6,所述数字证书申请装置500可以应用在前述图5所示的终端设备中,包括:请求发送单元501、信息下发单元502以及数据发送单元503。
其中,请求发送单元501,向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
信息下发单元502,将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
数据发送单元503,将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
可选的,所述申请信息中还包括:非对称算法信息以及签名算法信息;
所述安全元件根据非对称算法生成公私钥对,并采用私钥对该申请标识进行签名,得到终端签名数据,包括:
所述安全元件根据所述申请信息中的非对称算法信息生成公私钥对,采用所述申请信息中的签名算法信息计算密钥长度和所述申请标识的摘要,并采用私钥对该摘要进行签名,得到终端签名数据。
可选的,所述指定格式为TLV格式。
与前述图2所示的数字证书申请方法的实施例相对应,本说明书还提供了数字证书申请装置的实施例。
本说明书数字证书申请装置的实施例可以应用在服务器上,装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在服务器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图7所示,为本说明书数字证书申请装置所在服务器的一种硬件结构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的服务器通常根据该服务器的实际功能,还可以包括其他硬件,对此不再赘述。
图8是本说明书一示例性实施例示出的一种数字证书申请装置的框图。
请参考图8,所述数字证书申请装置700可以应用在前述图7所示的服务器中,包括:信息生成单元701、数据接收单元702、数据验证单元703以及证书申请单元704。
其中,信息生成单元701,在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
数据接收单元702,接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
数据验证单元703,解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
证书申请单元704,当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
可选的,所述申请信息中还包括:非对称算法信息以及签名算法信息,用于供安全元件生成公私钥对并进行签名。
可选的,所述公钥被服务端封装为PKCS1格式。
可选的,所述证书申请单元704,还当所述终端签名数据通过验证,且所述申请标识也通过验证后,将服务端签名数据发送给CA,以供CA进行验证;
其中,所述服务端签名数据由服务端采用服务端私钥对服务端信息签名后生成。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
与前述图1所示的数字证书申请方法的实施例相对应,本说明书还提供一种数字证书申请装置,该数字证书申请装置包括:安全元件、处理器以及用于存储机器可执行指令的存储器。其中,处理器和存储器通常借由内部总线相互连接。在其他可能的实现方式中,所述设备还可能包括外部接口,以能够与其他设备或者部件进行通信。
在本实施例中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
与前述图2所示的数字证书申请方法的实施例相对应,本说明书还提供一种数字证书申请装置,该数字证书申请装置包括:处理器以及用于存储机器可执行指令的存储器。其中,处理器和存储器通常借由内部总线相互连接。在其他可能的实现方式中,所述设备还可能包括外部接口,以能够与其他设备或者部件进行通信。
在本实施例中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
与前述图1所示的数字证书申请方法的实施例相对应,本说明书还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现以下步骤:
向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
与前述图2所示的数字证书申请方法的实施例相对应,本说明书还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (16)

1.一种数字证书申请方法,应用于终端设备,所述终端设备集成有安全元件,并装载有客户端软件,该方法包括:
客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识;
客户端将服务端返回的所述申请信息下发给安全元件;
安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端;
客户端将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。
2.根据权利要求1所述的方法,
所述申请信息中还包括:非对称算法信息以及签名算法信息;
所述安全元件根据非对称算法生成公私钥对,并采用私钥对该申请标识进行签名,得到终端签名数据,包括:
所述安全元件根据所述申请信息中的非对称算法信息生成公私钥对,采用所述申请信息中的签名算法信息计算密钥长度和所述申请标识的摘要,并采用私钥对该摘要进行签名,得到终端签名数据。
3.根据权利要求1所述的方法,
所述指定格式为TLV格式。
4.一种数字证书申请方法,应用于服务端,所述服务端用于与终端设备中装载的客户端软件交互,所述终端设备还集成有安全元件,该方法包括:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
5.根据权利要求4所述的方法,
所述申请信息中还包括:非对称算法信息以及签名算法信息,用于供安全元件生成公私钥对并进行签名。
6.根据权利要求4所述的方法,
所述公钥被服务端封装为PKCS1格式。
7.根据权利要求4所述的方法,还包括:
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将服务端签名数据发送给CA,以供CA进行验证;
其中,所述服务端签名数据由服务端采用服务端私钥对服务端信息签名后生成。
8.一种数字证书申请装置,应用于终端设备,所述终端设备还集成有安全元件,该装置包括:
请求发送单元,向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
信息下发单元,将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
数据发送单元,将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
9.根据权利要求8所述的装置,
所述申请信息中还包括:非对称算法信息以及签名算法信息;
所述安全元件根据非对称算法生成公私钥对,并采用私钥对该申请标识进行签名,得到终端签名数据,包括:
所述安全元件根据所述申请信息中的非对称算法信息生成公私钥对,采用所述申请信息中的签名算法信息计算密钥长度和所述申请标识的摘要,并采用私钥对该摘要进行签名,得到终端签名数据。
10.根据权利要求8所述的装置,
所述指定格式为TLV格式。
11.一种数字证书申请装置,应用于服务端,所述装置用于与终端设备中装载的客户端软件交互,所述终端设备还集成有安全元件,该装置包括:
信息生成单元,在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
数据接收单元,接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
数据验证单元,解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
证书申请单元,当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
12.根据权利要求11所述的装置,
所述申请信息中还包括:非对称算法信息以及签名算法信息,用于供安全元件生成公私钥对并进行签名。
13.根据权利要求11所述的装置,
所述公钥被服务端封装为PKCS1格式。
14.根据权利要求11所述的装置,
所述证书申请单元,还当所述终端签名数据通过验证,且所述申请标识也通过验证后,将服务端签名数据发送给CA,以供CA进行验证;
其中,所述服务端签名数据由服务端采用服务端私钥对服务端信息签名后生成。
15.一种数字证书申请装置,应用于终端设备,该装置包括:
安全元件;
处理器;
用于存储机器可执行指令的存储器;
其中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;
将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;
将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。
16.一种数字证书申请装置,应用于服务器,该装置包括:
处理器;
用于存储机器可执行指令的存储器;
其中,通过读取并执行所述存储器存储的与数字证书申请逻辑对应的机器可执行指令,所述处理器被促使:
在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;
接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;
解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;
当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。
CN201710985105.0A 2017-10-20 2017-10-20 数字证书申请方法和装置 Active CN107612697B (zh)

Priority Applications (9)

Application Number Priority Date Filing Date Title
CN201710985105.0A CN107612697B (zh) 2017-10-20 2017-10-20 数字证书申请方法和装置
TW107128937A TWI696931B (zh) 2017-10-20 2018-08-20 數位證書申請方法和裝置
US16/160,810 US11106775B2 (en) 2017-10-20 2018-10-15 Digital certificate application
SG11201912710UA SG11201912710UA (en) 2017-10-20 2018-10-19 Digital certificate application method and device
PL18799645T PL3632036T3 (pl) 2017-10-20 2018-10-19 Sposób i urządzenie do wnioskowania o certyfikat cyfrowy
EP18799645.9A EP3632036B1 (en) 2017-10-20 2018-10-19 Digital certificate application method and device
PCT/US2018/056773 WO2019079761A1 (en) 2017-10-20 2018-10-19 METHOD AND DEVICE FOR APPLYING A DIGITAL CERTIFICATE
ES18799645T ES2884169T3 (es) 2017-10-20 2018-10-19 Método y dispositivo de aplicación de certificado digital
US16/720,522 US11106776B2 (en) 2017-10-20 2019-12-19 Digital certificate application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710985105.0A CN107612697B (zh) 2017-10-20 2017-10-20 数字证书申请方法和装置

Publications (2)

Publication Number Publication Date
CN107612697A CN107612697A (zh) 2018-01-19
CN107612697B true CN107612697B (zh) 2020-04-14

Family

ID=61077929

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710985105.0A Active CN107612697B (zh) 2017-10-20 2017-10-20 数字证书申请方法和装置

Country Status (8)

Country Link
US (2) US11106775B2 (zh)
EP (1) EP3632036B1 (zh)
CN (1) CN107612697B (zh)
ES (1) ES2884169T3 (zh)
PL (1) PL3632036T3 (zh)
SG (1) SG11201912710UA (zh)
TW (1) TWI696931B (zh)
WO (1) WO2019079761A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107612697B (zh) 2017-10-20 2020-04-14 阿里巴巴集团控股有限公司 数字证书申请方法和装置
CN110278084B (zh) * 2018-03-16 2021-10-15 华为技术有限公司 eID建立方法、相关设备及***
US10601806B1 (en) * 2019-02-22 2020-03-24 Capital One Services, Llc Runtime identity confirmation for restricted server communication control
US11444759B2 (en) 2019-05-29 2022-09-13 Stmicroelectronics, Inc. Method and apparatus for cryptographically aligning and binding a secure element with a host device
CN112994873B (zh) * 2019-12-18 2023-03-24 华为技术有限公司 一种证书申请方法及设备
CN111401901B (zh) * 2020-03-23 2021-06-04 腾讯科技(深圳)有限公司 生物支付设备的认证方法、装置、计算机设备和存储介质
CN111523862B (zh) * 2020-04-27 2024-02-23 广东电网有限责任公司培训与评价中心 一种获取人才数据的方法和相关设备
CN111865992B (zh) 2020-07-23 2021-04-02 亚数信息科技(上海)有限公司 一种acme集中管理***及其负载均衡方法
CN111917557B (zh) * 2020-07-28 2023-05-26 中国平安财产保险股份有限公司 网络服务请求的安全验证方法、安全验证***及存储介质
CN112926095A (zh) * 2021-01-20 2021-06-08 厦门海西医药交易中心有限公司 数字***理方法、***、移动终端及存储介质
US11784827B2 (en) * 2021-03-09 2023-10-10 Micron Technology, Inc. In-memory signing of messages with a personal identifier
CN113139166B (zh) * 2021-03-16 2022-09-02 标信智链(杭州)科技发展有限公司 基于云证书的评标专家签名方法及装置
CN113239379B (zh) * 2021-05-19 2022-02-11 郑州信大捷安信息技术股份有限公司 一种基于scep协议的国密证书签发方法和***
CN115941217B (zh) * 2021-08-17 2024-03-29 中金金融认证中心有限公司 用于安全通信的方法和其相关产品

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977193A (zh) * 2010-10-28 2011-02-16 北京飞天诚信科技有限公司 安全下载证书的方法及***
CN102932343A (zh) * 2012-10-26 2013-02-13 飞天诚信科技股份有限公司 一种下载数字证书的方法和装置
CN103167491A (zh) * 2011-12-15 2013-06-19 上海格尔软件股份有限公司 一种基于软件数字证书的移动终端唯一性认证方法
CN103685138A (zh) * 2012-08-30 2014-03-26 卓望数码技术(深圳)有限公司 移动互联网上的Android平台应用软件的认证方法和***
CN103959831A (zh) * 2011-09-20 2014-07-30 黑莓有限公司 辅助的证书注册

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5367573A (en) * 1993-07-02 1994-11-22 Digital Equipment Corporation Signature data object
US5420927B1 (en) 1994-02-01 1997-02-04 Silvio Micali Method for certifying public keys in a digital signature scheme
US5606617A (en) 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
JP2002207426A (ja) * 2001-01-10 2002-07-26 Sony Corp 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体
US7475250B2 (en) 2001-12-19 2009-01-06 Northrop Grumman Corporation Assignment of user certificates/private keys in token enabled public key infrastructure system
US6963873B2 (en) 2002-01-02 2005-11-08 Intel Corporation Method and system for automatic association of a signed certificate with a certificate signing request
JP4128610B1 (ja) * 2007-10-05 2008-07-30 グローバルサイン株式会社 サーバ証明書発行システム
US8769291B2 (en) * 2007-07-23 2014-07-01 Red Hat, Inc. Certificate generation for a network appliance
US20100250946A1 (en) * 2009-03-31 2010-09-30 Korte Michael D Ad hoc distribution
WO2011123462A1 (en) * 2010-03-29 2011-10-06 Maxlinear, Inc. Generation of sw encryption key during silicon manufacturing process
US9274864B2 (en) * 2011-10-04 2016-03-01 International Business Machines Corporation Accessing large amounts of data in a dispersed storage network
US9515836B2 (en) * 2013-03-28 2016-12-06 Xerox Corporation System and method for location assurance using passive computational tags
US9769151B2 (en) 2013-12-23 2017-09-19 Symantec Corporation Multi-algorithm key generation and certificate install
US9276887B2 (en) * 2014-03-19 2016-03-01 Symantec Corporation Systems and methods for managing security certificates through email
US10277406B1 (en) 2014-09-05 2019-04-30 Digicert, Inc. Authentication process for issuing sequence of short-lived digital certificates
CN106161350B (zh) * 2015-03-31 2020-03-10 华为技术有限公司 一种管理应用标识的方法及装置
SG10202012073XA (en) * 2015-12-04 2021-01-28 Visa Int Service Ass Secure token distribution
US11734678B2 (en) * 2016-01-25 2023-08-22 Apple Inc. Document importation into secure element
CN107612697B (zh) 2017-10-20 2020-04-14 阿里巴巴集团控股有限公司 数字证书申请方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101977193A (zh) * 2010-10-28 2011-02-16 北京飞天诚信科技有限公司 安全下载证书的方法及***
CN103959831A (zh) * 2011-09-20 2014-07-30 黑莓有限公司 辅助的证书注册
CN103167491A (zh) * 2011-12-15 2013-06-19 上海格尔软件股份有限公司 一种基于软件数字证书的移动终端唯一性认证方法
CN103685138A (zh) * 2012-08-30 2014-03-26 卓望数码技术(深圳)有限公司 移动互联网上的Android平台应用软件的认证方法和***
CN102932343A (zh) * 2012-10-26 2013-02-13 飞天诚信科技股份有限公司 一种下载数字证书的方法和装置

Also Published As

Publication number Publication date
TW201917614A (zh) 2019-05-01
US11106776B2 (en) 2021-08-31
EP3632036A1 (en) 2020-04-08
US20190123914A1 (en) 2019-04-25
PL3632036T3 (pl) 2021-11-08
US20200127856A1 (en) 2020-04-23
SG11201912710UA (en) 2020-01-30
WO2019079761A1 (en) 2019-04-25
ES2884169T3 (es) 2021-12-10
EP3632036B1 (en) 2021-05-19
TWI696931B (zh) 2020-06-21
US11106775B2 (en) 2021-08-31
CN107612697A (zh) 2018-01-19

Similar Documents

Publication Publication Date Title
CN107612697B (zh) 数字证书申请方法和装置
CN111080295B (zh) 一种基于区块链的电子合同处理方法以及设备
CN107994991B (zh) 一种数据处理方法、数据处理服务器及存储介质
CN107770159B (zh) 车辆事故数据记录方法及相关装置、可读存储介质
CN107493291B (zh) 一种基于安全元件se的身份认证方法和装置
CN112333198A (zh) 安全跨域登录方法、***及服务器
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
EP3206329B1 (en) Security check method, device, terminal and server
CN111666564B (zh) 应用程序安全启动方法、装置、计算机设备和存储介质
CN111342963A (zh) 数据上链方法、数据存储方法及装置
CN114282193A (zh) 一种应用授权方法、装置、设备及存储介质
CN111628863B (zh) 一种数据签名的方法、装置、电子设备及存储介质
CN111062059B (zh) 用于业务处理的方法和装置
KR20120091618A (ko) 연쇄 해시에 의한 전자서명 시스템 및 방법
CN114785524A (zh) 电子***生成方法、装置、设备和介质
CN111241492A (zh) 一种产品多租户安全授信方法、***及电子设备
CN113329004B (zh) 一种认证方法、***及装置
CN112751878B (zh) 一种页面请求处理方法及装置
CN112352399A (zh) 用于使用物理上不可克隆函数在板上生成密码密钥的方法
US8904508B2 (en) System and method for real time secure image based key generation using partial polygons assembled into a master composite image
CN112862484A (zh) 一种基于多端交互的安全支付方法及装置
CN116049802B (zh) 应用单点登陆方法、***、计算机设备和存储介质
CN116684102A (zh) 报文传输方法、报文校验方法、装置、设备、介质和产品
CN114124440B (zh) 安全传输方法、装置、计算机设备和存储介质
CN107918739B (zh) 一种数据的保护方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1249295

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200924

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20200924

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Patentee before: Alibaba Group Holding Ltd.

TR01 Transfer of patent right