CN113472720A - 数字证书密钥处理方法、装置、终端设备及存储介质 - Google Patents
数字证书密钥处理方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN113472720A CN113472720A CN202010245315.8A CN202010245315A CN113472720A CN 113472720 A CN113472720 A CN 113472720A CN 202010245315 A CN202010245315 A CN 202010245315A CN 113472720 A CN113472720 A CN 113472720A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- key
- request
- information
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 50
- 238000003860 storage Methods 0.000 title claims abstract description 23
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000000034 method Methods 0.000 claims description 53
- 238000004590 computer program Methods 0.000 claims description 23
- 238000009826 distribution Methods 0.000 description 26
- 238000004519 manufacturing process Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 23
- 238000012795 verification Methods 0.000 description 21
- 238000005516 engineering process Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 239000000463 material Substances 0.000 description 5
- 230000006378 damage Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004806 packaging method and process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请适用于密钥技术领域,提供了数字证书密钥处理方法、装置、终端设备及存储介质。该数字证书密钥处理方法包括:获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息;对第一用户身份信息进行验证,在对第一用户身份信息验证通过后,将第一用户身份信息和数字证书请求信息发送给密钥管理服务器;其中,数字证书请求信息用于指示密钥管理服务器生成一加密密钥对和一签名密钥对,并根据加密密钥对、签名密钥和第一用户身份信息生成P10请求文件;接收密钥管理服务器发送的P10请求文件,并根据P10请求文件生成数字证书发送给用户终端。本申请将密钥保存于密钥管理服务器中,能够提高密钥的安全性。
Description
技术领域
本申请属于密钥技术领域,尤其涉及数字证书密钥处理方法、装置、终端设备及存储介质。
背景技术
在云服务、云计算、大数据、海量信息的环境中,无论是在工作还是生活都开启了快捷、方便、简单的方式方法,手机已经成为每个人必不分割的一部分,通过手机终端扫二维码可以实现登陆工作平台、付款支付、网上购物、预约服务等众多功能应用。但当前采用手机终端保存用户的私钥尚未达到国家安全级别的要求,为了保障云环境中的数据、传输通道、用户接入、虚拟化架构等安全,密码技术作为保障安全的核心在云安全中发挥着重要作用。
与密码技术息息相关的密钥管理技术是提供云计算环境机密性、数据源认证、实体认证、数据完整性和数字签名等安全密码技术的基础,包括密钥从产生至最终销毁的整个生命周期。一旦密钥泄露或者密钥管理***沦陷,传输通道安全、虚拟化安全、云中数据访问及其数据本身的安全等都将无法得到保障。而传统的密钥管理技术还存在用户证书密钥保存安全性较差和证书密钥应用安全性较差的问题。
发明内容
为克服相关技术中存在的问题,本申请实施例提供了数字证书密钥处理方法、装置、终端设备及存储介质。
本申请是通过如下技术方案实现的:
第一方面,本申请实施例提供了一种数字证书密钥处理方法,应用于认证服务器,所述方法包括:
获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息;
对所述第一用户身份信息进行验证,在对所述第一用户身份信息验证通过后,将所述第一用户身份信息和数字证书请求信息发送给密钥管理服务器;其中,所述数字证书请求信息用于指示所述密钥管理服务器生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
接收所述密钥管理服务器发送的所述P10请求文件,并根据所述P10请求文件生成数字证书发送给所述用户终端。
第二方面,本申请实施例提供了一种数字证书密钥处理方法,应用于密钥管理服务器,所述方法包括:
获取认证服务器发送的第一用户身份信息和数字证书请求信息;
根据所述数字证书请求信息生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
发送所述P10请求文件给所述认证服务器;其中,所述P10请求文件用于指示所述认证服务器根据所述P10请求文件生成数字证书发送给用户终端。
第三方面,本申请实施例提供了一种数字证书密钥处理装置,应用于认证服务器,所述装置包括:
第一获取模块,用于获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息;
第一发送模块,用于对所述第一用户身份信息进行验证,在对所述第一用户身份信息验证通过后,将所述第一用户身份信息和数字证书请求信息发送给密钥管理服务器;其中,所述数字证书请求信息用于指示所述密钥管理服务器生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
数字证书生成模块,用于接收所述密钥管理服务器发送的所述P10请求文件,并根据所述P10请求文件生成数字证书发送给所述用户终端。
第四方面,本申请实施例提供了一种数字证书密钥处理方法,应用于密钥管理服务器,所述装置包括:
第二获取模块,用于获取认证服务器发送的第一用户身份信息和数字证书请求信息;
请求文件生成模块,用于根据所述数字证书请求信息生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
第二发送模块,用于发送所述P10请求文件给所述认证服务器;其中,所述P10请求文件用于指示所述认证服务器根据所述P10请求文件生成数字证书发送给用户终端。
第五方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的数字证书密钥处理方法,或上述第二方面中任一项所述的数字证书密钥处理方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项所述的数字证书密钥处理方法,或上述第二方面中任一项所述的数字证书密钥处理方法。
第七方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的数字证书密钥处理方法,或上述第二方面中任一项所述的数字证书密钥处理方法。
可以理解的是,上述第二方面至第七方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:
本申请实施例,用户终端在需要申请数字证书时,向认证服务器发送包含第一用户身份信息和数字证书请求的数字证书请求,认证服务器向密钥管理服务器发送第一用户身份信息和数字证书请求,密钥管理服务器根据该密钥管理服务器生成一加密密钥对和一签名密钥对,并根据加密密钥对、签名密钥和第一用户身份信息生成P10请求文件发送给认证服务器,认证服务器根据该P10请求文件生成数字证书发送给用户终端,而对应的加密密钥对和签名密钥对是不发送给认证服务器和用户终端的,而是存储在密钥管理服务器中不会造成外传泄露,确保了用户密钥保存的安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的数字证书密钥处理方法的***结构示意图;
图2是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图3是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图4是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图5是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图6是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图7是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图8是本申请一实施例提供的数字证书密钥处理方法的流程示意图;
图9是本申请实施例提供的数字证书密钥处理装置的结构示意图;
图10是本申请实施例提供的数字证书密钥处理装置的结构示意图;
图11是本申请实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
在云服务、云计算、大数据、海量信息的环境中,无论是在工作还是生活都开启了快捷、方便、简单的方式方法,手机已经成为每个人必不分割的一部分,通过手机终端扫二维码可以实现登陆工作平台、付款支付、网上购物、预约服务等众多功能应用。但当前采用手机终端保存用户的私钥尚未达到国家安全级别的要求,为了保障云环境中的数据、传输通道、用户接入、虚拟化架构等安全,密码技术作为保障安全的核心在云安全中发挥着重要作用。
与密码技术息息相关的密钥管理技术是提供云计算环境机密性、数据源认证、实体认证、数据完整性和数字签名等安全密码技术的基础,包括密钥从产生至最终销毁的整个生命周期。一旦密钥泄露或者密钥管理***沦陷,传输通道安全、虚拟化安全、云中数据访问及其数据本身的安全等都将无法得到保障。而传统的密钥管理技术还存在用户证书密钥保存安全性较差和证书密钥应用安全性较差的问题。
基于上述问题,本申请实施例中的数字证书密钥处理方法,用户终端在需要申请数字证书时,向认证服务器发送包含第一用户身份信息和数字证书请求的数字证书请求,认证服务器向密钥管理服务器发送第一用户身份信息和数字证书请求,密钥管理服务器根据该密钥管理服务器生成一加密密钥对和一签名密钥对,并根据加密密钥对、签名密钥和第一用户身份信息生成P10请求文件发送给认证服务器,认证服务器根据该P10请求文件生成数字证书发送给用户终端,而对应的加密密钥对和签名密钥对是不发送给认证服务器和用户终端的,而是存储在密钥管理服务器中不会造成外传泄露,能够提高用户密钥保存的安全性。
举例说明,本申请实施例可以应用到如图1所示的***中。该***包括认证服务器和密钥管理服务器,密钥管理服务器的输出输入接口分别与认证服务器、证书应用云服务中心连接;其中,密钥管理服务器包括归档密钥库、密钥生产模块、生产密钥库、证书密钥库、密钥生产管理模块、密钥分发服务模块、签名验签服务模块和加密解密服务模块。密钥生产管理模块通过对密钥生产模块、生产密钥库、证书密钥库和密钥分发服务模块统一设置管理,完成来自认证服务器的密钥请求处理,为认证服务器提供加密密钥对、签名密钥对和P10请求文件的服务,并将该加密密钥对、签名密钥对保存于证书密钥库中;签名验签服务模块和加密解密服务模块分别为证书应用云服务中心提供使用指定用户的密钥完成签名验签和加密解密请求服务,并确保证书用户密钥***露到密钥管理服务器之外。
其中,上述密钥分发服务模块可以用于密钥提取与发放、密钥挂起、密钥归档、密钥撤销、密钥销毁与P10请求文件生成;上述密钥生产管理模块可以用于密钥生成量设置、密钥生产设置、密钥入库设置、密钥管理设置、密钥安全访问设置;上述生产密钥库可以用于保存密钥生产管理模块所生产的密钥对,供密钥分发服务模块提取发放给用户;上述证书密钥库可以用于保存由密钥分发服务模块发放成功的密钥对及对应的密钥所属用户的信息;上述签名验签服务模块和加密解密服务模块可以用于为证书用户提供其密钥使用服务,包括数字签名、验签、加密和解密服务。
具体的,新证书申请用户通过用户终端向CA认证服务器申请证书时,按照要求向CA认证服务器的提交相关的身份鉴别材料,经过CA认证服务器申请审核通过后,CA认证服务器将用户请求的关键要素信息按照一定的格式打包,通过专用服务接口发送给密钥管理服务器;密钥管理服务器接收到CA认证服务器的请求信息后,由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,用签名密钥对和加密密钥对按照标准格式结合用户身份信息分别生成签名证书P10请求文件和加密证书P10请求文件,然后将这两个P10请求文件回传给CA认证服务器;CA认证服务器接收到密钥管理服务器回传的P10请求文件后,根据P10请求文件生产数字证书(包含签名证书和加密证书),并按照安全标准要求发放给证书申请用户的用户终端,同时将数字证书发放完成的结果通知密钥管理服务器;密钥管理服务器接收到该用户证书发放完成的指令后,由密钥分发服务模块将该用户的密钥密文保存于证书密钥库中,并设置该密钥的使用权限仅为该证书用户。
证书用户向CA认证服务器提交证书延期请求时,只需要CA认证服务器进行用户证书延期服务即可,不需要向密钥管理服务器请求服务。
证书用户向CA认证服务器提交证书更新申请时,按照要求向CA认证服务器提交相关的身份鉴别材料,经过CA认证服务器申请审核通过后,CA认证服务器将用户请求的关键要素信息按照一定的格式打包,通过专用服务接口发送给密钥管理服务器;密钥管理服务器接收到CA认证服务器请求信息后,由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,用签名密钥对和加密密钥对按照标准格式结合用户信息分别生成签名证书P10请求文件和加密证书P10请求文件,然后将这两个P10请求文件回传给CA认证服务器;CA认证服务器接收到密钥管理服务器回传的P10请求文件后,根据P10请求文件生产签名证书和加密证书,并按照安全标准要求发放给证书申请用户,同时将证书发放完成的结果通知密钥管理服务器;密钥管理服务器接收到该用户证书发放完成的指令后,由密钥分发服务模块将该用户的密钥密文保存于证书密钥库中,并设置该密钥的使用权限仅为该证书用户,而证书密钥库中该用户原有的证书密钥转存如归档密钥库中,并不在为原证书用户提供密钥应用服务,该归档密钥仅为将来司法取证时司法专用。
证书用户向CA认证服务器提交注销申请时,按照要求向CA认证服务器提交相关的身份鉴别材料,经过CA认证服务器申请审核通过后,CA认证服务器通过专用服务接口向密钥管理服务器发出用户密钥注销请求;密钥管理服务器接收到CA认证服务器证书注销请求信息后,由密钥分发服务模块将证书密钥库中该用户原有的证书密钥转存如归档密钥库中,并通知CA认证服务器密钥注销完成,密钥管理服务器不再为原证书用户提供密钥应用服务,该归档密钥仅为将来司法取证时司法专用。
证书用户需要应用其证书进行签名、验签、加密、解密时,向证书应用云服务中心提交相应的请求,经过证书应用云服务中心进行证书用户强身份认证后,确定了申请者的准确身份,证书应用云服务中心向密钥管理服务器转发相应的用户请求;密钥管理服务器根据用户请求,通过签名验签服务模块和加密解密服务模块,调用该证书用户的密钥进行签名、验签、加密和解密操作,完成其密钥应用服务并输出给证书用户相应的结果,整个过程用户密钥***露到密钥管理服务器之外,确保了用户密钥应用的安全。
密钥管理服务器为CA认证服务器提供了司法取证服务专用接口,当司法部门需要CA认证服务器进行司法取证时,启动司法取证服务流程,首先按照CA认证服务器的司法取证流程,完成其相关的审批手续,然后CA认证服务器向密钥管理服务器提交司法取证请求,由密钥分发服务模块将从密钥归档库或证书密钥库中提取用户的密钥对,获取证书用户密钥对司法级别的使用权限,在密钥管理服务器内完成司法所需的解密、验签等司法服务,还原司法所需的证据。
以下结合图1对本申请的数字证书密钥处理方法进行详细说明。
图2是本申请一实施例提供的数字证书密钥处理方法的示意性流程图,该数字证书密钥处理方法应用于认证服务器,参照图2,对该数字证书密钥处理方法的详述如下:
在步骤101中,获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息。
在用户需要申请数字证书时,可以向用户终端输入用于申请数字证书的数字证书请求,该数字证书请求可以包含第一用户身份信息和数字证书请求信息。其中,第一用户身份信息为该新用户的身份信息,可以用于认证服务器鉴别该用户的权限,确定该用户是否能够通过认证服务器申请数字证书。
在步骤102中,对所述第一用户身份信息进行验证,在对所述第一用户身份信息验证通过后,将所述第一用户身份信息和数字证书请求信息发送给密钥管理服务器。
其中,所述数字证书请求信息用于指示所述密钥管理服务器生成一加密密钥对和一签名密钥对,并根据该加密密钥对、签名密钥和第一用户身份信息生成P10请求文件。具体的,P10请求文件可以包含签名证书P10请求文件和加密证书P10请求文件。
示例性的,认证服务器可以将用户请求的关键要素信息(即第一用户身份信息和数字证书请求信息)按照预设格式打包后,通过专用服务接口发送给密钥管理服务器。
示例性的,密钥管理服务器接收到认证服务器发送的第一用户身份信息和数字证书请求信息后,可以由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,根据签名密钥对按照标准格式结合第一用户身份信息分别生成签名证书P10请求文件,根据加密密钥对按照标准格式结合第一用户身份信息分别生成加密证书P10请求文件,得到P10请求文件。其中,密钥管理服务器在得到P10请求文件后,将P10请求文件回传给认证服务器。
在步骤103中,接收所述密钥管理服务器发送的所述P10请求文件,并根据所述P10请求文件生成数字证书发送给所述用户终端。
示例性的,数字证书可以包括签名证书和加密证书。具体的,认证服务器接收到P10请求文件后,根据其中的签名证书P10请求文件生成签名证书,根据其中的加密证书P10请求文件生成加密证书。其中,认证服务器可以按照安全标准要求,将签名证书和加密证书发送给对应的用户终端。
参见图3,一些实施例中,基于图2所示的实施例,上述数字证书密钥处理方法还可以包括:
在步骤104中,发送数字证书发放完成信息给所述密钥管理服务器;其中,所述数字证书发放完成信息用于指示所述密钥管理服务器将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
本步骤中,在认证服务器将数字证书发送给对应的用户终端后,需要将数字证书已发送给用户终端的信息告知密钥管理服务器,使得密钥管理服务器将加密密钥对、签名密钥和第一用户身份信息关联存储。
具体的,密钥管理服务器接收到该用户证书发放完成的指令后,可以由密钥分发服务模块将该用户的密钥密文(即加密密钥对和签名密钥)保存于证书密钥库中,并设置该密钥的使用权限仅为第一用户身份信息对应的用户。
需要说明的是,上述数字证书请求信息可以包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。即,可以包括新用户申请数字证书的过程,也可以包括用户申请更新数字整数的过程。
对于新用户申请数字证书的过程可以包括:
用户通过用户终端向CA认证服务器申请证书时,按照要求向CA认证服务器的提交相关的身份鉴别材料,经过CA认证服务器申请审核通过后,CA认证服务器将用户请求的关键要素信息按照一定的格式打包,通过专用服务接口发送给密钥管理服务器;密钥管理服务器接收到CA认证服务器的请求信息后,由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,用签名密钥对和加密密钥对按照标准格式结合用户身份信息分别生成签名证书P10请求文件和加密证书P10请求文件,然后将这两个P10请求文件回传给CA认证服务器;CA认证服务器接收到密钥管理服务器回传的P10请求文件后,根据P10请求文件生产数字证书(包含签名证书和加密证书),并按照安全标准要求发放给证书申请用户的用户终端,同时将数字证书发放完成的结果通知密钥管理服务器;密钥管理服务器接收到该用户证书发放完成的指令后,由密钥分发服务模块将该用户的密钥密文保存于证书密钥库中,并设置该密钥的使用权限仅为该证书用户。
用户申请更新数字整数的过程可以包括:
证书用户向CA认证服务器提交证书更新申请时,按照要求向CA认证服务器提交相关的身份鉴别材料,经过CA认证服务器申请审核通过后,CA认证服务器将用户请求的关键要素信息按照一定的格式打包,通过专用服务接口发送给密钥管理服务器;密钥管理服务器接收到CA认证服务器请求信息后,由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,用签名密钥对和加密密钥对按照标准格式结合用户信息分别生成签名证书P10请求文件和加密证书P10请求文件,然后将这两个P10请求文件回传给CA认证服务器;CA认证服务器接收到密钥管理服务器回传的P10请求文件后,根据P10请求文件生产签名证书和加密证书,并按照安全标准要求发放给证书申请用户,同时将证书发放完成的结果通知密钥管理服务器;密钥管理服务器接收到该用户证书发放完成的指令后,由密钥分发服务模块将该用户的密钥密文保存于证书密钥库中,并设置该密钥的使用权限仅为该证书用户,而证书密钥库中该用户原有的证书密钥转存如归档密钥库中,并不在为原证书用户提供密钥应用服务,该归档密钥可以用于将来司法取证时司法专用。
而用户通过用户终端向CA认证服务器提交数字证书延期请求时,只需要用户终端向CA认证服务器发送数字证书延期申请,认证服务器根据数字证书延期申请对该数字证书进行延期处理即可,由于不涉及到密钥的修改,因此不需要向密钥管理服务器请求服务。
参见图4,一些实施例中,基于图2所示的实施例,上述数字证书密钥处理方法还可以包括:
在步骤105中,获取用户终端发送的数字证书注销请求,所述数字证书请求包含第二用户身份信息和数字证书注销请求信息。
在步骤106中,对所述第二用户身份信息进行验证,在对所述第二用户身份信息验证通过后,将所述第二用户身份信息和数字证书注销请求信息发送给密钥管理服务器。
其中,所述数字证书注销请求信息用于指示所述密钥管理服务器对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理。
在步骤107中,接收所述密钥管理服务器发送的数字证书注销完成信息。
示例性的,用户申请数字证书注销的过程可以包括:
用户通过用户终端向CA认证服务器提交数字证书注销请求,按照要求向CA认证服务器提交相关的身份鉴别信息(即第二用户身份信息),经过CA认证服务器申请审核通过后,CA认证服务器通过专用服务接口发送第二用户身份信息和数字证书注销请求信息给密钥管理服务器;密钥管理服务器接收到CA认证服务器的信息后,由密钥分发服务模块将证书密钥库中该用户原有的证书密钥转存如归档密钥库中,并通知CA认证服务器密钥注销完成,密钥管理服务器不再为原证书用户提供密钥应用服务,该归档密钥仅为将来司法取证时司法专用。
另外,证书用户需要应用其数字证书进行签名、验签、加密、解密时,可以通过用户终端向证书应用云服务中心提交相应的请求,经过证书应用云服务中心进行数字证书用户身份认证并确定申请者的准确身份后,证书应用云服务中心向密钥管理服务器转发相应的用户请求;密钥管理服务器根据用户请求,通过签名验签服务模块和加密解密服务模块,调用该证书用户的密钥进行签名、验签、加密和解密操作,完成其密钥应用服务并输出给证书用户相应的结果,整个过程用户密钥***露到密钥管理服务器之外,确保了用户密钥应用的安全。
密钥管理服务器为CA认证服务器提供了司法取证服务专用接口,当司法部门需要CA认证服务器进行司法取证时,启动司法取证服务流程,首先按照CA认证服务器的司法取证流程,完成其相关的审批手续,然后CA认证服务器向密钥管理服务器提交司法取证请求,由密钥分发服务模块将从密钥归档库或证书密钥库中提取用户的密钥对,获取证书用户密钥对司法级别的使用权限,在密钥管理服务器内完成司法所需的解密、验签等司法服务,还原司法所需的证据。
上述数字证书密钥处理方法可以具有以下优点:
(1)通过密钥分发服务模块向CA认证服务器提供用户申请数字证书请求所需的密钥服务,包括获取加密密钥对、签名密钥对、密钥更新、密钥恢复和生成P10文件等请求服务,完成密钥服务后,密钥生产管理模块将为用户提供的密钥按照用户请求类型进行归档保存到证书密钥库中,在整个密钥颁发服务过程中,形成用户证书的密钥均保存到证书密钥库中,特别是私钥密文保存于证书密钥库中不外传泄露,确保了用户密钥保存的安全;
(2)该密钥管理服务器通过密钥生产设置,对密钥生产模块生产密钥模式选择自动生产或手动生产,设定好生产密钥库的库存缓冲量,对于自动生产模式,若生产密钥库的密钥库存量少于设置量,密钥生产模块将自动生产密钥随时补充生产密钥库的库存量,通过密钥入库设置,密钥分发服务模块完成密钥提取与发放、密钥挂起、密钥撤销、密钥销毁等服务后,将此密钥及其密钥状态直接归档到证书密钥库,为该证书用户保存密钥,并为其提供证书应用中所需的密钥签名、验签、加密、解密服务,通过对密钥管理设置和密钥安全访问设置,对密钥进行的各种操作及相关事件进行记录,以便于及时发现问题,从而在事故发生后跟踪事故线索,追究其事故责任,极大地提高了证书密钥服务***的预警性,密钥的访问控制用来避免用户的越权访问,并且对密钥访问者的访问权限进行审核,进而确定是否具备访问该密钥的权限,从而对其行为进行控制,密钥的访问控制方式应能可靠地支持对多用户的不同级别或类别的信息进行有效隔离和完整性保护;
(3)通过上述密钥管理服务器,证书用户在应用其证书需要签名、验签、加密、解密时,向证书应用云服务中心提交相应的请求,证书应用云服务中心通过签名验签服务模块和加密解密服务模块,调用该证书用户的密钥进行签名、验签、加密和解密操作,完成其密钥应用服务并输出给证书用户相应的结果,整个过程用户密钥***露到证书密钥服务***之外,确保了用户密钥应用的安全。
图5是本申请一实施例提供的数字证书密钥处理方法的示意性流程图,该数字证书密钥处理方法应用于密钥管理服务器,参照图5,对该数字证书密钥处理方法的详述如下:
在步骤201中,获取认证服务器发送的第一用户身份信息和数字证书请求信息。
在步骤202中,根据所述数字证书请求信息生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件。
其中,密钥管理服务器在接收到认证服务器发送的第一用户身份信息和数字证书请求信息后,可以由密钥分发服务模块从生产密钥库中提取一对签名密钥对和一对加密密钥对,根据签名密钥对按照标准格式结合第一用户身份信息分别生成签名证书P10请求文件,根据加密密钥对按照标准格式结合第一用户身份信息分别生成加密证书P10请求文件,得到P10请求文件。
在步骤203中,发送所述P10请求文件给所述认证服务器;其中,所述P10请求文件用于指示所述认证服务器根据所述P10请求文件生成数字证书发送给用户终端。
示例性的,数字证书可以包括签名证书和加密证书。具体的,认证服务器接收到P10请求文件后,根据其中的签名证书P10请求文件生成签名证书,根据其中的加密证书P10请求文件生成加密证书。其中,认证服务器可以按照安全标准要求,将签名证书和加密证书发送给对应的用户终端。
参见图6,一些实施例中,基于图5所示的实施例,上述数字证书密钥处理方法还可以包括:
在步骤204中,获取所述认证服务器发送的数字证书发放完成信息。
在步骤205中,在接收到所述数字证书发放完成信息后,将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
本步骤中,在认证服务器将数字证书发送给对应的用户终端后,需要将数字证书已发送给用户终端的信息告知密钥管理服务器,密钥管理服务器将加密密钥对、签名密钥和第一用户身份信息关联存储。
具体的,密钥管理服务器接收到该用户证书发放完成的指令后,可以由密钥分发服务模块将该用户的密钥密文(即加密密钥对和签名密钥)保存于证书密钥库中,并设置该密钥的使用权限仅为第一用户身份信息对应的用户。
需要说明的是,上述数字证书请求信息可以包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。即,可以包括新用户申请数字证书的过程,也可以包括用户申请更新数字整数的过程。
其中,对于新用户申请数字证书的过程,以及用户申请更新数字整数的过程,可以参考前述相关内容,在此不再赘述。
参见图7,一些实施例中,基于图5所示的实施例,上述数字证书密钥处理方法还可以包括:
在步骤206中,获取所述认证服务器发送的第二用户身份信息和数字证书注销请求信息。
在步骤207中,根据所述数字证书注销请求信息对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理。
在步骤208中,发送数字证书注销完成信息给所述认证服务器。
上述数字证书密钥处理方法,接收认证服务器发送的包含第一用户身份信息和数字证书请求的数字证书请求,根据该数字证书请求信息生成一加密密钥对和一签名密钥对,并根据上述加密密钥对、签名密钥和第一用户身份信息生成P10请求文件,并将P10请求文件发送给认证服务器,使得认证服务器根据该P10请求文件生成数字证书发送给用户终端,而对应的加密密钥对和签名密钥对是不发送给认证服务器和用户终端的,而是存储在密钥管理服务器中不会造成外传泄露,能够提高用户密钥保存的安全性。
图8是本申请一实施例提供的数字证书密钥处理方法的示意性流程图,参照图8,对该数字证书密钥处理方法的详述如下:
在步骤301中,用户终端在接收到用户输入的数字证书请求后,将数字证书请求发送给CA认证服务器,数字证书请求包含第一用户身份信息和数字证书请求信息。
在步骤302中,CA认证服务器在接收到数字证书请求后,对数字证书请求中的第一用户身份信息进行验证。其中,在对第一用户身份信息进行验证通过后,执行步骤303;否则结束。
在步骤303中,在对第一用户身份信息进行验证通过后,发送第一用户身份信息和数字证书请求信息给密钥管理服务器。
在步骤304中,密钥管理服务器根据数字证书请求信息生成一加密密钥对和一签名密钥对,并根据加密密钥对、签名密钥对和第一用户身份信息生成P10请求文件。
在步骤305中,密钥管理服务器发送P10请求文件给CA认证服务器。
在步骤306中,CA认证服务器根据P10请求文件生成数字证书。
在步骤307中,CA认证服务器将数字证书发送给用户终端。
在步骤308中,在将数字证书发送给用户终端后,CA认证服务器发送数字证书发送完成信息给密钥管理服务器。
在步骤309中,密钥管理服务器将加密密钥对、签名密钥对和第一用户身份信息关联存储。
在步骤310中,用户终端在接收到数字证书注销请求后,将数字证书注销请求发送给CA认证服务器。其中,数字证书注销请求包含第二用户身份信息和数字证书注销请求信息。
在步骤311中,CA认证服务器在接收到数字证书注销请求后,对第二用户身份信息进行验证。其中,在CA认证服务器对第二用户身份信息验证通过后,执行步骤312;否则结束。
在步骤312中,CA认证服务器对第二用户身份信息验证通过后,将第二用户身份信息和数字证书注销请求信息发送给密钥管理服务器。
在步骤313中,密钥管理服务器根据数字证书注销请求信息对于第二用户身份信息关联的加密密钥对和签名密钥对进行注销处理。
在步骤314中,密钥管理服务器发送数字证书注销完成信息给CA认证服务器。
上述数字证书密钥处理方法,用户终端在需要申请数字证书时,向认证服务器发送包含第一用户身份信息和数字证书请求的数字证书请求,认证服务器向密钥管理服务器发送第一用户身份信息和数字证书请求,密钥管理服务器根据该密钥管理服务器生成一加密密钥对和一签名密钥对,并根据加密密钥对、签名密钥和第一用户身份信息生成P10请求文件发送给认证服务器,认证服务器根据该P10请求文件生成数字证书发送给用户终端,而对应的加密密钥对和签名密钥对是不发送给认证服务器和用户终端的,而是存储在密钥管理服务器中不会造成外传泄露,能够提高用户密钥保存的安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的应用于认证服务器的数字证书密钥处理方法,图9示出了本申请实施例提供的数字证书密钥处理装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参见图9,本申请实施例中的数字证书密钥处理装置可以包括第一获取模块401、第一发送模块402和数字证书生成模块403。
其中,第一获取模块401,用于获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息;
第一发送模块402,用于对所述第一用户身份信息进行验证,在对所述第一用户身份信息验证通过后,将所述第一用户身份信息和数字证书请求信息发送给密钥管理服务器;其中,所述数字证书请求信息用于指示所述密钥管理服务器生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
数字证书生成模块403,用于接收所述密钥管理服务器发送的所述P10请求文件,并根据所述P10请求文件生成数字证书发送给所述用户终端。
可选的,所述数字证书请求信息包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。
可选的,上述数字证书密钥处理装置还可以包括:
数字证书发放完成信息发送模块,用于发送数字证书发放完成信息给所述密钥管理服务器;其中,所述数字证书发放完成信息用于指示所述密钥管理服务器将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
可选的,上述数字证书密钥处理装置还可以包括:第一数字证书注销请求获取模块、数字证书注销请求信息发送模块和数字证书注销完成信息接收模块;
其中,第一数字证书注销请求获取模块,用于获取用户终端发送的数字证书注销请求,所述数字证书请求包含第二用户身份信息和数字证书注销请求信息;
数字证书注销请求信息发送模块,用于对所述第二用户身份信息进行验证,在对所述第二用户身份信息验证通过后,将所述第二用户身份信息和数字证书注销请求信息发送给密钥管理服务器;其中,所述数字证书注销请求信息用于指示所述密钥管理服务器对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理;
数字证书注销完成信息接收模块,用于接收所述密钥管理服务器发送的数字证书注销完成信息。
对应于上文实施例所述的应用于密钥管理服务器的数字证书密钥处理方法,图10示出了本申请实施例提供的数字证书密钥处理装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参见图10,本申请实施例中的数字证书密钥处理装置可以包括第二获取模块501、请求文件生成模块502和第二发送模块503。
其中,第二获取模块501,用于获取认证服务器发送的第一用户身份信息和数字证书请求信息;
请求文件生成模块502,用于根据所述数字证书请求信息生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
第二发送模块503,用于发送所述P10请求文件给所述认证服务器;其中,所述P10请求文件用于指示所述认证服务器根据所述P10请求文件生成数字证书发送给用户终端。
可选的,所述数字证书请求信息包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。
可选的,上述数字证书密钥处理装置还可以包括数字证书发放完成信息获取模块和关联存储模块;
其中,数字证书发放完成信息获取模块,用于获取所述认证服务器发送的数字证书发放完成信息;
关联存储模块,用于在接收到所述数字证书发放完成信息后,将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
可选的,上述数字证书密钥处理装置还可以包括第二数字证书注销请求信息获取模块、注销处理模块和数字证书注销完成信息发送模块;
其中,第二数字证书注销请求信息获取模块,用于获取所述认证服务器发送的第二用户身份信息和数字证书注销请求信息;
注销处理模块,用于根据所述数字证书注销请求信息对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理;
数字证书注销完成信息发送模块,用于发送数字证书注销完成信息给所述认证服务器。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种终端设备,参见图11,该终端设600可以包括:至少一个处理器610、存储器620以及存储在所述存储器620中并可在所述至少一个处理器610上运行的计算机程序,所述处理器610执行所述计算机程序时实现上述任意各个方法实施例中的步骤,例如图2所示实施例中的步骤S101至步骤S103,或如图5所示实施例中的步骤S201至步骤S203。或者,处理器610执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如图9所示模块401至403的功能,或如图10所示模块501至503的功能。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器620中,并由处理器610执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序段,该程序段用于描述计算机程序在终端设备600中的执行过程。
本领域技术人员可以理解,图11仅仅是终端设备的示例,并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如输入输出设备、网络接入设备、总线等。
处理器610可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器620可以是终端设备的内部存储单元,也可以是终端设备的外部存储设备,例如插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。所述存储器620用于存储所述计算机程序以及终端设备所需的其他程序和数据。所述存储器620还可以用于暂时地存储已经输出或者将要输出的数据。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
本申请实施例提供的数字证书密钥处理方法可以应用于服务器、计算机、可穿戴设备、车载设备、平板电脑、笔记本电脑、上网本、个人数字助理(personal digitalassistant,PDA)、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、手机等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述应用于认证服务器的数字证书密钥处理方法各个实施例中的步骤,或实现上述应用于密钥管理服务器的数字证书密钥处理方法各个实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述应用于认证服务器的数字证书密钥处理方法各个实施例中的步骤,或实现上述应用于密钥管理服务器的数字证书密钥处理方法各个实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种数字证书密钥处理方法,其特征在于,应用于认证服务器,所述方法包括:
获取用户终端发送的数字证书请求,所述数字证书请求包含第一用户身份信息和数字证书请求信息;
对所述第一用户身份信息进行验证,在对所述第一用户身份信息验证通过后,将所述第一用户身份信息和数字证书请求信息发送给密钥管理服务器;其中,所述数字证书请求信息用于指示所述密钥管理服务器生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
接收所述密钥管理服务器发送的所述P10请求文件,并根据所述P10请求文件生成数字证书发送给所述用户终端。
2.如权利要求1所述的数字证书密钥处理方法,其特征在于,所述数字证书请求信息包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。
3.如权利要求1所述的数字证书密钥处理方法,其特征在于,所述方法还包括:
发送数字证书发放完成信息给所述密钥管理服务器;其中,所述数字证书发放完成信息用于指示所述密钥管理服务器将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
4.如权利要求3所述的数字证书密钥处理方法,其特征在于,所述方法还包括:
获取用户终端发送的数字证书注销请求,所述数字证书请求包含第二用户身份信息和数字证书注销请求信息;
对所述第二用户身份信息进行验证,在对所述第二用户身份信息验证通过后,将所述第二用户身份信息和数字证书注销请求信息发送给密钥管理服务器;其中,所述数字证书注销请求信息用于指示所述密钥管理服务器对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理;
接收所述密钥管理服务器发送的数字证书注销完成信息。
5.一种数字证书密钥处理方法,其特征在于,应用于密钥管理服务器,所述方法包括:
获取认证服务器发送的第一用户身份信息和数字证书请求信息;
根据所述数字证书请求信息生成一加密密钥对和一签名密钥对,并根据所述加密密钥对、所述签名密钥和所述第一用户身份信息生成P10请求文件;
发送所述P10请求文件给所述认证服务器;其中,所述P10请求文件用于指示所述认证服务器根据所述P10请求文件生成数字证书发送给用户终端。
6.如权利要求5所述的数字证书密钥处理方法,其特征在于,所述数字证书请求信息包括用于请求生成数字证书的请求信息或用于请求更新数字证书的请求信息。
7.如权利要求5所述的数字证书密钥处理方法,其特征在于,所述方法还包括:
获取所述认证服务器发送的数字证书发放完成信息;
在接收到所述数字证书发放完成信息后,将所述加密密钥对、所述签名密钥和所述第一用户身份信息关联存储。
8.如权利要求7所述的数字证书密钥处理方法,其特征在于,所述方法还包括:
获取所述认证服务器发送的第二用户身份信息和数字证书注销请求信息;
根据所述数字证书注销请求信息对与所述第二用户身份信息关联的加密密钥对和签名密钥进行注销处理;
发送数字证书注销完成信息给所述认证服务器。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010245315.8A CN113472720B (zh) | 2020-03-31 | 2020-03-31 | 数字证书密钥处理方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010245315.8A CN113472720B (zh) | 2020-03-31 | 2020-03-31 | 数字证书密钥处理方法、装置、终端设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113472720A true CN113472720A (zh) | 2021-10-01 |
CN113472720B CN113472720B (zh) | 2024-02-06 |
Family
ID=77865520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010245315.8A Active CN113472720B (zh) | 2020-03-31 | 2020-03-31 | 数字证书密钥处理方法、装置、终端设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113472720B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205076A (zh) * | 2021-11-18 | 2022-03-18 | 广东电网有限责任公司 | 基于数字证书的量子密钥分发*** |
CN114218548A (zh) * | 2021-12-14 | 2022-03-22 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
CN114329541A (zh) * | 2021-12-23 | 2022-04-12 | 中国科学技术大学先进技术研究院 | 数据加密方法、装置、设备及存储介质 |
CN114978611A (zh) * | 2022-04-29 | 2022-08-30 | 苏州浪潮智能科技有限公司 | 请求接入公网的安全管理方法、公网服务***及存储介质 |
CN115001699A (zh) * | 2022-05-05 | 2022-09-02 | 华东师范大学 | 一种互联网教育平台的数字认证签发*** |
CN115842632A (zh) * | 2022-11-15 | 2023-03-24 | 宁德时代新能源科技股份有限公司 | 身份认证方法、装置、设备及介质 |
CN116882636A (zh) * | 2023-09-05 | 2023-10-13 | 苏州浪潮智能科技有限公司 | 证书生命周期管理方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102970299A (zh) * | 2012-11-27 | 2013-03-13 | 西安电子科技大学 | 文件安全保护***及其方法 |
WO2016177052A1 (zh) * | 2015-08-21 | 2016-11-10 | 中兴通讯股份有限公司 | 一种用户认证方法和装置 |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、***、存储介质和计算机设备 |
CN110445614A (zh) * | 2019-07-05 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778381B (zh) * | 2009-12-31 | 2012-07-04 | 卓望数码技术(深圳)有限公司 | 数字证书生成方法、用户密钥获取方法、移动终端及设备 |
-
2020
- 2020-03-31 CN CN202010245315.8A patent/CN113472720B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102970299A (zh) * | 2012-11-27 | 2013-03-13 | 西安电子科技大学 | 文件安全保护***及其方法 |
WO2016177052A1 (zh) * | 2015-08-21 | 2016-11-10 | 中兴通讯股份有限公司 | 一种用户认证方法和装置 |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、***、存储介质和计算机设备 |
CN110445614A (zh) * | 2019-07-05 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205076A (zh) * | 2021-11-18 | 2022-03-18 | 广东电网有限责任公司 | 基于数字证书的量子密钥分发*** |
CN114218548A (zh) * | 2021-12-14 | 2022-03-22 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
CN114329541A (zh) * | 2021-12-23 | 2022-04-12 | 中国科学技术大学先进技术研究院 | 数据加密方法、装置、设备及存储介质 |
CN114978611A (zh) * | 2022-04-29 | 2022-08-30 | 苏州浪潮智能科技有限公司 | 请求接入公网的安全管理方法、公网服务***及存储介质 |
CN114978611B (zh) * | 2022-04-29 | 2023-07-14 | 苏州浪潮智能科技有限公司 | 请求接入公网的安全管理方法、公网服务***及存储介质 |
CN115001699A (zh) * | 2022-05-05 | 2022-09-02 | 华东师范大学 | 一种互联网教育平台的数字认证签发*** |
CN115842632A (zh) * | 2022-11-15 | 2023-03-24 | 宁德时代新能源科技股份有限公司 | 身份认证方法、装置、设备及介质 |
CN116882636A (zh) * | 2023-09-05 | 2023-10-13 | 苏州浪潮智能科技有限公司 | 证书生命周期管理方法、装置、设备及存储介质 |
CN116882636B (zh) * | 2023-09-05 | 2024-01-16 | 苏州浪潮智能科技有限公司 | 证书生命周期管理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113472720B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113472720A (zh) | 数字证书密钥处理方法、装置、终端设备及存储介质 | |
CN109697365B (zh) | 信息处理方法及区块链节点、电子设备 | |
CN110264200B (zh) | 区块链数据处理方法及装置 | |
US10992481B2 (en) | Two-dimensional code generation method, apparatus, data processing method, apparatus, and server | |
US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
CN111464295B (zh) | 银行卡制卡方法及装置 | |
CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
CN111914293A (zh) | 一种数据访问权限验证方法、装置、计算机设备及存储介质 | |
CN110942382A (zh) | 电子合同的生成方法、装置、计算机设备及存储介质 | |
CN108471403A (zh) | 一种账户迁移的方法、装置、终端设备及存储介质 | |
CN110266653B (zh) | 一种鉴权方法、***及终端设备 | |
CN106656955A (zh) | 一种通信方法及***、客户端 | |
CN114372242A (zh) | 密文数据的处理方法、权限管理服务器和解密服务器 | |
CN114143306A (zh) | 基于区块链的投标文件的传递方法及传递装置 | |
CN107395350B (zh) | 密钥及密钥句柄的生成方法、***及智能密钥安全设备 | |
JP5781678B1 (ja) | 電子データ利用システム、携帯端末装置、及び電子データ利用システムにおける方法 | |
CN109547404B (zh) | 数据的获取方法及服务器 | |
EP4016921A1 (en) | Certificate management method and apparatus | |
CN116528230A (zh) | 验证码处理方法、移动终端及可信服务*** | |
CN107070648B (zh) | 一种密钥保护方法及pki*** | |
CN115811412A (zh) | 一种通信方法、装置、sim卡、电子设备和终端设备 | |
CN106911625B (zh) | 一种安全输入法的文本处理方法、装置和*** | |
CN110601836B (zh) | 密钥获取方法、装置、服务器和介质 | |
CN114640491A (zh) | 通信方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |