專利名稱:數字證書在線下載方法及系統(tǒng)、數字證書發(fā)放平臺的制作方法
技術領域:
本發(fā)明涉及通信技術,尤其涉及一種數字證書在線下載方法及系統(tǒng)、數字證書發(fā)放平臺。
背景技術:
隨著互聯網和新媒體技術的發(fā)展,越來越多的終端設備,例如電腦、移動終端、電視機(包括電視機機頂盒)等均涉及到終端身份鑒權的問題,通過對終端設備進行身份鑒權,可有效確保運營商或業(yè)務提供商可為合法的終端設備提供相關業(yè)務。目前,在對終端設備進行身份鑒權時,通常采用下發(fā)數字證書的方式給終端設備,以利用數字證書對終端設備進行身份鑒權,其中,終端設備的數字證書具體是指設備的身份信息、設備所持有的一對公私鑰和數字簽名等構成,該數字證書由數字證書發(fā)放機構(CA)來下發(fā)?,F有技術中,對數字證書進行下發(fā)時,通常采用通過U盤等硬件實體攜帶方式下發(fā)數字證書,或者通過網絡下載的方式,由終端設備從CA平臺下載數字證書。由于通過U盤等硬件實體進行數字證書下發(fā)具有較大的局限性,而通過網絡下載數字證書的方式則具有較強的便利性和快捷性,可為各種移動終端提供相應的數字證書的下載,因此得到了廣泛的應用。但是,現有利用網絡下載方式進行數字證書下載過程中,通常是由終端直接發(fā)起請求,且通常是基于注冊的賬戶名和密碼方式來進行數字證書的下載認證,這樣在數字證書下發(fā)時,CA平臺極易遭受惡意下載,導致數字證書下發(fā)的安全性和可靠性降低;同時,現有也有通過獲得下載碼的方式來進行數字證書的下載,這種方式同樣存在安全性較差的問題。
發(fā)明內容
本發(fā)明提供一種數字證書在線下載方法及系統(tǒng)、數字證書發(fā)放平臺,可克服現有數字證書下載時所存在的安全性較差的問題。第一方面,本發(fā)明提供一種數字證書在線下載方法,包括:設備管理平臺獲取終端設備發(fā)送的數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識;設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及所述終端設備的身份標識,以便所述數字證書發(fā)放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證,以在所述設備管理平臺的身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識;設備管理平臺接收所述數字證書發(fā)放平臺返回的所述令牌,將所述令牌轉發(fā)給所述終端設備,以便所述終端設備根據所述設備的身份標識對所述令牌進行令牌驗證,并在令牌驗證通過后,基于所述令牌中的數字證書請求接口的地址向所述數字證書發(fā)放平臺發(fā)送所述令牌,以請求下載所述終端設備的數字證書。第二方面,本發(fā)明提供一種數字證書在線下載方法,包括:數字證書發(fā)放平臺接收設備管理平臺發(fā)送的令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識;數字證書發(fā)放平臺根據自身存儲的設備管理平臺的注冊信息和所述令牌申請請求中的設備管理平臺的注冊信息,對所述設備管理平臺進行身份驗證;在所述設備管理平臺身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌,并將所述令牌發(fā)送至所述設備管理平臺,以便由所述設備管理平臺將所述令牌轉發(fā)給終端設備,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識。第三方面,本發(fā)明提供一種數字證書在線下載方法,包括:終端設備向設備管理平臺發(fā)送數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識;接收所述設備管理平臺轉發(fā)的從數字證書發(fā)放平臺獲取的令牌,所述令牌包括數字證書請求接口的地址以及終端設備標識;將所述令牌發(fā)送至所述數字證書發(fā)放平臺,以便所述數字證書發(fā)放平臺根據所述令牌向所述終端設備發(fā)送數字證書;接收所述數字證書發(fā)放平臺發(fā)送的數字證書。第四方面,本發(fā)明提供一種設備管理平臺,包括:獲取模塊,用于獲取終端設備發(fā)送的數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識;發(fā)送模塊,用于向數字證書發(fā)放平臺發(fā)送令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及所述終端設備的身份標識,以便所述數字證書發(fā)放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證,以在所述設備管理平臺的身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識;轉發(fā)模塊,用于接收所述數字證書發(fā)放平臺返回的所述令牌,將所述令牌轉發(fā)給所述終端設備,以便所述終端設備根據所述設備的身份標識對所述令牌進行令牌驗證,并在令牌驗證通過后,基于所述令牌中的數字證書請求接口的地址向所述數字證書發(fā)放平臺發(fā)送所述令牌,以請求下載所述終端設備的數字證書。第五方面,本發(fā)明提供一種數字證書發(fā)放平臺,包括:接收模塊,用于接收設備管理平臺發(fā)送的令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識;驗證模塊,用于根據自身存儲的設備管理平臺的注冊信息和所述令牌申請請求中的設備管理平臺的注冊信息,對所述設備管理平臺進行身份驗證;發(fā)送模塊,用于在所述設備管理平臺身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌,并將所述令牌發(fā)送至所述設備管理平臺,以便由所述設備管理平臺將所述令牌轉發(fā)給終端設備,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識。第六方面,本發(fā)明提供一種終端設備,包括:發(fā)送模塊,用于向設備管理平臺發(fā)送數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識;接收模塊,用于接收所述設備管理平臺轉發(fā)的從數字證書發(fā)放平臺獲取的令牌,所述令牌包括數字證書請求接口的地址以及終端設備標識;所述發(fā)送模塊,還用于將所述令牌發(fā)送至所述數字證書發(fā)放平臺,以便所述數字證書發(fā)放平臺根據所述令牌向所述終端設備發(fā)送數字證書;所述接收模塊,還用于接收所述數字證書發(fā)放平臺發(fā)送的數字證書。第七方面,本發(fā)明提供一種數字證書在線下載系統(tǒng),包括設備管理平臺和數字證書發(fā)放平臺,所述設備管理平臺為采用上述本發(fā)明提供的設備管理平臺,所述數字證書發(fā)放平臺為采用上述本發(fā)明提供的數字證書發(fā)放平臺。本發(fā)明提供的數字證書在線下載方法及系統(tǒng)、數字證書發(fā)放平臺,可通過設備管理平臺向數字證書發(fā)放平臺請求令牌,使得終端設備可根據該令牌向數字證書發(fā)放平臺請求獲得數字證書,且在令牌請求以及令牌中,均攜帶有終端設備的身份標識,這樣,在整個數字證書下載過程中,可有效確保數字證書在線下載的安全性和可靠性,減少或避免數字證書的惡意下載。
圖1為本發(fā)明實施例一提供的數字證書在線下載方法的流程示意圖;圖2為本發(fā)明實施例二提供的數字證書在線下載方法的流程示意圖;圖3為本發(fā)明實施例三提供的數字證書在線下載方法的流程示意圖;圖4為本發(fā)明實施例四提供的數字證書在線下載方法的流程示意圖;圖5為本發(fā)明實施例五提供的數字證書在線下載方法的流程示意圖;圖6為本發(fā)明實施例五中運營商獲取令牌的流程示意圖;圖7為本發(fā)明實施例五中終端設備接收到令牌后請求獲得數字證書的流程示意圖;圖8為本發(fā)明實施例五中數字證書發(fā)放平臺進行數字證書下發(fā)的流程示意圖;圖9為本發(fā)明實施例五中終端設備接收到數字證書后安裝數字證書的流程示意圖;圖10為本發(fā)明實施例六提供的設備管理平臺的結構示意圖;圖11為本發(fā)明實施例八提供的數字證書發(fā)放平臺的結構示意圖;圖12為本發(fā)明實施例九提供的終端設備的結構示意圖;圖13為本發(fā)明實施例十提供的數字證書在線下載系統(tǒng)的結構示意圖。
具體實施例方式為克服現有技術中由終端設備直接向數字證書發(fā)放平臺(CA),以及采用下載碼進行數字證書在線下載時所存在的安全性問題,本發(fā)明實施例提供的數字證書在線下載系統(tǒng)可包括設備管理平臺以及數字證書發(fā)放平臺,終端設備在進行數字證書在線下載時,可由設備管理平臺向數字證書發(fā)放平臺獲取令牌,并將令牌轉發(fā)給終端設備,最終由終端設備通過發(fā)送令牌的方式,向數字證書發(fā)放平臺請求獲得數字證書,其中,數字證書發(fā)放平臺是基于終端設備的身份標識下發(fā)給終端設備,且令牌中同樣攜帶終端設備的身份標識,這樣,在整個數字證書請求過程中可有效提高數字證書在線下載的安全性和可靠性。下面將以具體實例對本發(fā)明技術方案做詳細的說明。圖1為本發(fā)明實施例一提供的數字證書在線下載方法的流程示意圖。本實施例方法的執(zhí)行主體為上述的設備管理平臺,其可以根據終端設備的請求,向數字證書方法平臺申請獲得令牌,具體地,如圖1所示,本實施例方法可包括如下步驟:步驟101、設備管理平臺獲取終端設備發(fā)送的數字證書下載請求,該數字證書下載請求包括終端設備的身份標識;步驟102、設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,該令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識,以便數字證書發(fā)放平臺基于設備管理平臺的注冊信息對設備管理平臺進行身份驗證,以在設備管理平臺的身份驗證通過后,基于終端設備的身份標識為終端設備分配令牌并將令牌返回至設備管理平臺,該令牌包括數字證書請求接口的地址以及終端設備的身份標識;步驟103、設備管理平臺接收數字證書發(fā)放平臺返回的令牌,將令牌轉發(fā)給終端設備,以便終端設備根據設備的身份標識對令牌進行令牌驗證,并在令牌驗證通過后,基于令牌中的數字證書請求接口的地址向數字證書發(fā)放平臺發(fā)送該令牌,以請求下載終端設備的數字證書。本實施例中,設備管理平臺可基于終端設備的身份標識,向數字證書發(fā)放平臺獲取令牌,且數字證書發(fā)放平臺發(fā)送的令牌中也包括該終端設備的身份標識,這樣,整個令牌獲取過程,均是基于終端設備的身份標識來進行,可有效提高數字證書下載過程中的安全性和可靠性。其中,所述的終端設備的身份標識可以是指終端設備的身份信息,該身份信息是終端設備所唯一擁有的,該身份信息就好像是人的指紋信息一樣,可以唯一代表某個人,因此,該身份信息也可稱之為指紋信息。本實施例中,數字證書發(fā)放平臺只接收設備管理平臺發(fā)送的令牌申請請求,并基于設備管理平臺發(fā)送的令牌申請請求來發(fā)送令牌,其中,設備管理平臺具體可以是指運營商管理平臺,或業(yè)務提供商管理平臺,由于設備管理平臺的數量有限,這樣,在令牌申請請求時,可避免對數字證書發(fā)放平臺的惡意攻擊,提高令牌申請請求的安全性和可靠性。其中,數字證書發(fā)放平臺在發(fā)放數字證書時,會根據終端設備的身份標識,在自身的數字證書數據庫中為終端設備分配一個數字證書,并將其與終端設備的身份標識關聯起來。本實施例中,由于令牌申請請求以及獲取的令牌中均攜帶有終端設備的身份標識,這樣,數字證書發(fā)放平臺就可以基于該終端設備的身份標識來對終端設備進行鑒別,以及終端設備在接收到該令牌后,也可基于終端設備的身份標識對令牌是否為自身請求的令牌進行鑒別,使得令牌的獲取安全、可靠。本實施例中,數字證書發(fā)放平臺對設備管理平臺進行身份驗證時,是基于設備管理平臺的注冊信息來進行驗證,該注冊信息具體是指設備管理平臺的賬戶以及密碼等信息,該注冊信息可以是在設備管理平臺部署時為設備管理平臺設置的。這樣,數字證書發(fā)放平臺在接收到設備管理平臺發(fā)送來的令牌請求時,就可以基于自身存儲的所有設備管理平臺的注冊信息,來確定發(fā)起令牌請求的設備是否為合法的設備。綜上,本實施例提供的數字證書在線下載方法,通過設備管理平臺向數字證書發(fā)放平臺請求令牌,使得終端設備可根據該令牌向數字證書發(fā)放平臺請求獲得數字證書,且在令牌請求以及令牌中,均攜帶有終端設備的身份標識,這樣,在整個數字證書下載過程中,可有效確保數字證書在線下載的安全性和可靠性,減少或避免數字證書的惡意下載。圖2為本發(fā)明實施例二提供的數字證書在線下載方法的流程示意圖。在上述圖1所示實施例基礎上,本實施例中設備管理平臺在向數字證書發(fā)放平臺發(fā)送令牌申請請求中還可包括簽名信息,這樣,數字證書發(fā)放平臺就可以基于該簽名信息對設備管理平臺發(fā)送的令牌申請請求進行進一步的身份驗證,可進一步地提高令牌申請請求的安全性和可靠性,避免惡意的令牌申請請求,具體地,如圖2所示,本實施例方法可包括如下步驟:步驟201、設備管理平臺獲取終端設備發(fā)送的數字證書下載請求,該數字證書下載請求包括終端設備的身份標識;步驟202、設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,該令牌申請請求包括設備管理平臺的注冊信息,終端設備的身份標識,以及設備管理平臺的標識、請求時間戳以及簽名信息。步驟203、數字證書發(fā)放平臺可基于設備管理平臺的注冊信息,對設備管理平臺進行身份驗證,判斷設備管理平臺的身份驗證是否通過,是則執(zhí)行步驟204,否則,設備管理平臺是非法的設備,令牌請求無效,結束。步驟204、數字證書發(fā)放平臺對該簽名信息進行驗證,判斷該令牌申請請求是否有效,是則執(zhí)行步驟205,否則,設備管理平臺是非法設備,令牌請求無效,結束。步驟205、數字證書發(fā)放平臺為終端設備分配一令牌,并向該設備管理平臺發(fā)送該令牌;步驟206、設備管理平臺接收該令牌,并將令牌轉發(fā)給終端設備。上述步驟201中,簽名信息是設備管理平臺基于設備管理平臺的數字證書,對請求時間戳和設備管理平臺的標識進行簽名的簽名信息;該設備管理平臺的數字證書由數字證書發(fā)放平臺下發(fā)給所述設備管理平臺。這樣,上述步驟204就可以基于設備管理平臺的數字證書,通過對設備管理平臺發(fā)送的請求時間戳和設備管理平臺的標識進行簽名,以確定該簽名與設備管理平臺的簽名是否一致,來確定設備管理平臺是否為合法設備,進而確定令牌請求是否有效。其中,所述的利用數字證書對時間戳和設備管理平臺的標識進行簽名,其具體實現過程與傳統(tǒng)簽名算法相同或類似,在此不再贅述。上述步驟203和步驟204中,通過注冊信息和簽名信息對設備管理平臺進行雙重驗證,可有效提高令牌發(fā)放的安全性和可靠性,避免惡意令牌請求。上述步驟205和步驟206中,數字證書發(fā)放平臺為終端設備分配一令牌,具體是指,數字證書發(fā)放平臺,可在數字證書數據庫中,為其查找并分配一數字證書,并與該數字證書對應分配一令牌給終端設備,這樣,終端設備接收到該令牌后,就可以直接將令牌發(fā)送給數字證書發(fā)放平臺,而數字證書發(fā)放平臺接收到該令牌后,確定是自身發(fā)出的令牌,且令牌有效,就可以將分配的相應的數字證書發(fā)送給終端設備,以實現數字證書的在線發(fā)放。圖3為本發(fā)明實施例三提供的數字證書在線下載方法的流程示意圖。本實施例方法的執(zhí)行主體為用于在線下載數字證書的發(fā)放的數字證書發(fā)放平臺,其可以基于上述設備管理平臺的令牌申請請求,為終端設備分配令牌,并可基于終端設備發(fā)送的該分配的令牌,為其下發(fā)數字證書,具體地,如圖3所示,本實施例方法可包括如下步驟:步驟301、數字證書發(fā)放平臺接收設備管理平臺發(fā)送的令牌申請請求,該令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識;步驟302、數字證書發(fā)放平臺根據自身存儲的設備管理平臺的注冊信息和令牌申請請求中的設備管理平臺的注冊信息,對設備管理平臺進行身份驗證;步驟303、數字證書發(fā)放平臺在設備管理平臺身份驗證通過后,基于終端設備的身份標識為終端設備分配令牌,并將令牌發(fā)送至設備管理平臺,以便由設備管理平臺將令牌轉發(fā)給終端設備,該令牌包括數字證書請求接口的地址以及終端設備的身份標識。本實施例中,數字證書發(fā)放平臺在發(fā)送完令牌后,還可接收終端設備基于令牌中的數字證書請求接口的地址發(fā)送的該令牌,為終端設備提供數字證書,實現數字證書的下發(fā)。本實施例中,數字證書發(fā)放平臺可接收圖1或圖2中的設備管理平臺發(fā)送的令牌申請請求,為終端設備發(fā)送令牌,其具體實現可參見上述圖1或圖2中的說明,在此不再詳細贅述。本實施例中,數字證書發(fā)放平臺在接收到終端設備發(fā)送的令牌時,還可確定該令牌的是否超過有效期,以及令牌是否執(zhí)行過,以確定令牌是否可用。具體地,數字證書發(fā)放平臺在發(fā)送令牌后,會為該令牌設定一有效時間,這樣,數字證書發(fā)放平臺接收到該令牌后,就可以確定該令牌是否在該有效時間內,是則令牌有效,否則令牌無效;同樣的,若數字證書發(fā)放平臺已經接收過該令牌,再次接收到該令牌時,也可確定該令牌無效。本實施例中,數字證書發(fā)放平臺在為終端設備提供數字證書時,可利用終端設備的身份標識對數字證書進行加密后發(fā)送至終端設備,這樣,終端設備接收到該加密后的數字證書后,就可以利用終端設備自身的身份標識對其解密,以獲得解密后的數字證書。圖4為本發(fā)明實施例四提供的數字證書在線下載方法的流程示意圖。本實施例方法的執(zhí)行主體為上述的終端設備,終端設備在需要下載數字證書時,即可按照本實施例方法從設備管理平臺獲取令牌,并通過該令牌向數字證書在線下發(fā)平臺下載數字證書,具體地,如圖4所示,本實施例方法可包括:步驟401、終端設備向設備管理平臺發(fā)送數字證書下載請求,該數字證書下載請求包括終端設備的身份標識;步驟402、終端設備接收設備管理平臺轉發(fā)的從數字證書發(fā)放平臺獲取的令牌,該令牌包括數字證書請求接口的地址以及終端設備標識;步驟403、終端設備將令牌發(fā)送至數字證書發(fā)放平臺,以便數字證書發(fā)放平臺根據該令牌向終端設備發(fā)送數字證書;步驟404、終端設備接收數字證書發(fā)放平臺發(fā)送的數字證書。本實施例中,終端設備可通過向設備管理平臺發(fā)送數字證書下載請求,使得設備管理平臺可基于圖1或圖2所示方法向數字證書發(fā)放平臺請求獲得令牌;終端設備獲得令牌后,即可向數字證書發(fā)放平臺發(fā)送令牌,使得數字證書發(fā)放平臺可在接收到該令牌后,基于圖3所示方法向終端設備發(fā)送數字證書,從而可實現數字證書的在線下載。上述步驟402中,終端設備接收到設備管理平臺轉發(fā)的令牌后,終端設備還可對該令牌進行驗證,具體地,可通過判斷令牌中的終端設備身份標識是否為自身的身份標識,以確認該令牌是否為自己的令牌,以確保令牌的準確性。上述步驟402中,若數字證書發(fā)放平臺發(fā)送的數字證書為利用終端設備的身份標識加密后的數字證書,終端設備接收到加密后的數字證書后,可利用終端設備的身份標識,對加密后的數字證書進行解密,以得到解密后的數字證書,從而可提高數字證書下發(fā)的安全性和可靠性。為便于對本發(fā)明實施例技術方案有更好的了解,下面將以具體實現過程為例,對本發(fā)明技術方案做進一步的說明。圖5為本發(fā)明實施例五提供的數字證書在線下載方法的流程示意圖。如圖5所示,本實施例方法包括如下步驟:步驟501、運營商注冊步驟。本實施例中,設備管理平臺為運營商設備,因此,在設備管理平臺部署時,需要將其注冊到數字證書發(fā)放平臺。具體地,運營商可向數字證書發(fā)放平臺的管理員提交書面注冊信息并提供公鑰證書請求,管理員驗證合格后向數字證書發(fā)放平臺添加運營商注冊信息并簽發(fā)運營商數字證書。步驟502、運營商獲取證書申請令牌。具體地,運營商首先獲得終端設備的身份標識,并向數字證書發(fā)放平臺發(fā)送令牌申請請求,請求一個證書申請令牌。運營商獲得證書申請令牌后轉發(fā)該令牌給到終端設備。其中,運營商可通過設備管理平臺自動獲取用戶的終端設備發(fā)送的數字證書下載請求,在接收到該下載請求后,即可向數字證書發(fā)放平臺申請令牌。步驟503、終端設備執(zhí)行該證書申請令牌。具體地,終端設備接收到令牌后,即可對令牌中的終端設備的身份標識進行驗證,確定是否為自身的身份標識,是則將該令牌通過發(fā)送給數字證書發(fā)放平臺,以請求獲得數字證書。步驟504、數字證書發(fā)放平臺接收到終端設備的令牌后,即可將數字證書發(fā)送至用戶設備。具體地,數字證書發(fā)放平臺接收到來自終端設備令牌后,即可確定終端設備進行在線證書請求,數字證書發(fā)放平臺就可以在數字證書數據庫中,取得一張包含公鑰證書和私鑰的PKCS#12文件,并通過發(fā)送至終端設備。步驟505、終端設備接收到數字證書后,即可安裝該數字證書。具體地,數字證書發(fā)放平臺在發(fā)送數字證書時,可利用終端設備的身份標識對其進行加密,這樣,終端設備接收到該數字證書后,就可以終端設備的身份標識為口令解密數字證書文件,然后利用操作系統(tǒng)的API把證書公私鑰安裝進所在操作系統(tǒng)的證書庫中??梢钥闯?,本實施例中,終端設備需要下載數字證書時,可首先獲得一個證書申請令牌,而該令牌的獲取是通過運營商從數字證書發(fā)放平臺中請求得到。由于運營商數目是可控的,而終端設備的數目是大量甚至海量的,從而可從業(yè)務上就避免了大量的終端設備對數字證書發(fā)放平臺的直接攻擊。實際應用中,運營商每次向數字證書發(fā)放平臺請求獲得令牌時,數字證書發(fā)放平臺可對其進行一系列的驗證,如根據注冊信息進行驗證以及簽名認證等,可有效確保運營商請求的合法性和不可抵賴性。實際應用中,運營商在對設備管理平臺進行注冊時,具體可根據以下步驟進行注
nn
/ttr o步驟5011、運營商提交注冊信息。具體地,運營商可向數字證書發(fā)放平臺的管理員提交書面的注冊申請,注冊信息可包括運營商標識、運營商名稱、聯系人、座機電話、手機電話、電子郵箱、詳細地址、郵編等。同時,設備管理平臺可自行生成一對1024位的RSA密鑰對,并提供包含該密鑰對公鑰的公鑰證書請求,以及該公鑰的SHA-1值。步驟5012、數字證書發(fā)放平臺的管理員可對該運營商提交的注冊信息進行審核。具體地,數字證書發(fā)放平臺的管理員檢查運營商注冊信息填寫的時否符合規(guī)范,是否有缺失信息,是否已注冊等。如果信息填寫有誤,運營商需重新申請,如果信息填寫無誤,則所述管理員向數字證書發(fā)放平臺添加一個注冊運營商賬號。步驟5013、數字證書發(fā)放平臺簽發(fā)運營商數字證書。具體地,數字證書發(fā)放平臺可對運營商提供的公鑰證書請求,計算其中公鑰的SHA-1值,看是否與運營商提供的SHA-1值一致,以檢驗公鑰完整性。如果相同,則簽發(fā)一張包含該公鑰和數字證書發(fā)放平臺簽名的數字證書,并交還給運營商。該數字證書用于之后請求證書申請令牌時對請求參數進行簽名,從而驗證運營商合法性和不可抵賴性。圖6為本發(fā)明實施例五中運營商獲取令牌的流程示意圖。具體地,如圖6所示,本實施例中,運營商可通過設備管理平臺從數字證書發(fā)放平臺通過以下步驟獲得令牌:步驟5021、運營商請求證書申請令牌。具體地,運營商通過設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,以請求獲得證書申請令牌。該令牌申請請求可包括運營商標識、請求時間戳、設備指紋和運營商簽名以及終端設備的身份標識。其中,所述的運營商標識可以是設備管理平臺的身份標識。上述的終端設備的身份標識對終端設備身份的唯一標識,位數可以由終端設備自行決定,終端設備可通過對本地設備的特征計算,生成設備指紋,即終端設備的身份標識。標識字符具體可采用可打印的ASCII字符組成(ASCII值從32到126)。針對不同的終端設備類型,可生成相應的設備指紋,其中應包含設備分類信息和特征碼,如電腦設備、移動設備、電視機(含機頂盒),可分別編碼為1、2和3。電腦設備指紋為=1-CPU標識符-硬盤標識符-網卡MAC地址-操作系統(tǒng)名稱-版本-操作系統(tǒng)安裝時間;移動設備指紋為:2_手機MEI號-CPU標識符-WIFI網卡MAC地址-操作系統(tǒng)名稱-版本;電視機(含機頂盒)指紋為:3_CPU標識符-網卡MAC地址-操作系統(tǒng)名稱-版本。如果某個設備缺少某些特征(例如某些移動設備只有WIFI網卡,沒有MEI號),可以用0表示。最后終端設備可將生成的設備指紋計算哈希值后轉成Base64編碼格式。所述運營商簽名使用運營商注冊時獲得的數字證書,數字摘要使用運營商標識、時間戳和設備指紋的串,例如OperatorId = 233 [TimeStamp =2012-11-2211:12:30 I Fingerprint = nhP63DzK/hyD6uNxExXRY7Mq。步驟5022、數字證書發(fā)放平臺檢查令牌請求是否有效。具體地,數字證書發(fā)放平臺接收到來自運營商的令牌請求后,首先驗證運營商是否未注冊,如果未注冊,則返回錯誤消息;然后從獲得的運營商簽名中解析出時間戳,看是否與服務器時間誤差超過10分鐘,如果超過,則返回錯誤消息;最后用所述數字證書發(fā)放平臺的CA證書驗證簽名中的運營商數字證書是否有效,如果無效,則返回錯誤消息給運營商門戶。步驟5023、數字證書發(fā)放平臺下發(fā)證書申請令牌。具體地,數字證書發(fā)放平臺接收到來自運營商的請求后,生成證書申請令牌并返回給運營商,該證書申請令牌格式具體可以入下表I所示。表1:
權利要求
1.一種數字證書在線下載方法,其特征在于,包括: 設備管理平臺獲取終端設備發(fā)送的數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識; 設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及所述終端設備的身份標識,以便所述數字證書發(fā)放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證,以在所述設備管理平臺的身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識; 設備管理平臺接收所述數字證書發(fā)放平臺返回的所述令牌,將所述令牌轉發(fā)給所述終端設備,以便所述終端設備根據所述設備的身份標識對所述令牌進行令牌驗證,并在令牌驗證通過后,基于所述令牌中的數字證書請求接口的地址向所述數字證書發(fā)放平臺發(fā)送所述令牌,以請求下載所述終端設備的數字證書。
2.根據權利要求1所述的數字證書在線下載方法,其特征在于,所述令牌申請請求還包括所述設備管理平臺的標識、請求時間戳以及簽名信息,以便所述數字證書下發(fā)平臺對所述簽名信息進行驗證,以確定所述設備管理平臺發(fā)送的令牌申請請求是否有效; 其中,所述簽名信息是所述設備管理平臺基于所述設備管理平臺的數字證書,對所述請求時間戳和設備管理平臺的標識進行簽名的簽名信息;所述設備管理平臺的數字證書由所述數字證書發(fā)放平臺下發(fā)給所述設備管理平臺。
3.一種數字證書在線下載方法,其特征在于,包括: 數字證書發(fā)放平臺接收設備管理平臺發(fā)送的令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識; 數字證書發(fā)放平臺根據自身存儲的`設備管理平臺的注冊信息和所述令牌申請請求中的設備管理平臺的注冊信息,對所述設備管理平臺進行身份驗證; 在所述設備管理平臺身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌,并將所述令牌發(fā)送至所述設備管理平臺,以便由所述設備管理平臺將所述令牌轉發(fā)給終端設備,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識。
4.根據權利要求3所述的數字證書在線下載方法,其特征在于,還包括: 數字證書發(fā)放平臺接收所述終端設備基于所述令牌中的數字證書請求接口的地址發(fā)送的所述令牌,為所述終端設備提供數字證書。
5.根據權利要求4所述的數字證書在線下載方法,其特征在于,所述數字證書發(fā)放平臺為所述終端設備提供數字證書時,利用所述終端設備的身份標識對所述數字證書進行加密后發(fā)送至所述終端設備。
6.一種數字證書在線下載方法,其特征在于,包括: 終端設備向設備管理平臺發(fā)送數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識; 接收所述設備管理平臺轉發(fā)的從數字證書發(fā)放平臺獲取的令牌,所述令牌包括數字證書請求接口的地址以及終端設備標識; 將所述令牌發(fā)送至所述數字證書發(fā)放平臺,以便所述數字證書發(fā)放平臺根據所述令牌向所述終端設備發(fā)送數字證書;接收所述數字證書發(fā)放平臺發(fā)送的數字證書。
7.根據權利要求6所述的數字證書在線下載方法,其特征在于,所述數字證書發(fā)放平臺發(fā)送的數字證書為利用終端設備身份標識加密后的數字證書; 所述方法還包括: 利用所述終端設備的身份標識,對所述數字證書發(fā)放平臺發(fā)送的加密后的數字證書進行解密,得到解密后的數字證書。
8.一種設備管理平臺,其特征在于,包括: 獲取模塊,用于獲取終端設備發(fā)送的數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識; 發(fā)送模塊,用于向數字證書發(fā)放平臺發(fā)送令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及所述終端設備的身份標識,以便所述數字證書發(fā)放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證,以在所述設備管理平臺的身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識; 轉發(fā)模塊,用于接收所述數字證書發(fā)放平臺返回的所述令牌,將所述令牌轉發(fā)給所述終端設備,以便所述終端設備根據所述設備的身份標識對所述令牌進行令牌驗證,并在令牌驗證通過后,基于所述令牌中的數字證書請求接口的地址向所述數字證書發(fā)放平臺發(fā)送所述令牌,以請求下載所述終端設備的數字證書。
9.根據權利要求8所述的設備管理平臺,其特征在于,所述令牌申請請求還包括所述設備管理平臺的標識、請求時間戳以及簽名信息,以便所述數字證書下發(fā)平臺對所述簽名信息進行驗證,以確定所述設備管理`平臺發(fā)送的令牌申請請求是否有效; 其中,所述簽名信息是所述設備管理平臺基于所述設備管理平臺的數字證書,對所述請求時間戳和設備管理平臺的標識進行簽名的簽名信息;所述設備管理平臺的數字證書由所述數字證書發(fā)放平臺下發(fā)給所述設備管理平臺。
10.一種數字證書發(fā)放平臺,其特征在于,包括: 接收模塊,用于接收設備管理平臺發(fā)送的令牌申請請求,所述令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識; 驗證模塊,用于根據自身存儲的設備管理平臺的注冊信息和所述令牌申請請求中的設備管理平臺的注冊信息,對所述設備管理平臺進行身份驗證; 發(fā)送模塊,用于在所述設備管理平臺身份驗證通過后,基于所述終端設備的身份標識為所述終端設備分配令牌,并將所述令牌發(fā)送至所述設備管理平臺,以便由所述設備管理平臺將所述令牌轉發(fā)給終端設備,所述令牌包括數字證書請求接口的地址以及終端設備的身份標識。
11.根據權利要求10所述的數字證書發(fā)放平臺,其特征在于,還包括: 數字證書發(fā)放模塊,用于接收所述終端設備基于所述令牌中的數字證書請求接口的地址發(fā)送的所述令牌,為所述終端設備提供數字證書。
12.根據權利要求10所述的數字證書發(fā)放平臺,其特征在于,所述數字證書發(fā)放模塊,具體用于為所述終端設備提供數字證書時,利用所述終端設備的身份標識對所述數字證書進行加密后發(fā)送至所述終端設備。
13.一種終端設備,其特征在于,包括: 發(fā)送模塊,用于向設備管理平臺發(fā)送數字證書下載請求,所述數字證書下載請求包括終端設備的身份標識; 接收模塊,用于接收所述設備管理平臺轉發(fā)的從數字證書發(fā)放平臺獲取的令牌,所述令牌包括數字證書請求接口的地址以及終端設備標識; 所述發(fā)送模塊,還用于將所述令牌發(fā)送至所述數字證書發(fā)放平臺,以便所述數字證書發(fā)放平臺根據所述令牌向所述終端設備發(fā)送數字證書; 所述接收模塊,還用于接收所述數字證書發(fā)放平臺發(fā)送的數字證書。
14.根據權利要求13所述的終端設備,其特征在于,所述數字證書發(fā)放平臺發(fā)送的數字證書為利用終端設備身份標識加密后的數字證書; 所述接收模塊,還用于利用所述終端設備的身份標識,對所述數字證書發(fā)放平臺發(fā)送的加密后的數字證書進行解密,得到解密后的數字證書。
15.一種數字證書在線下載系統(tǒng),其特征在于,包括設備管理平臺和數字證書發(fā)放平臺,所述設備管理平臺為采用權利要求8或9所述的設備管理平臺,所述數字證書發(fā)放平臺為采用權利要求10、11或12所述的`數字證書發(fā)放平臺。
全文摘要
本發(fā)明提供一種數字證書在線下載方法及系統(tǒng)、數字證書發(fā)放平臺。該方法包括設備管理平臺獲取終端設備發(fā)送的數字證書下載請求;設備管理平臺向數字證書發(fā)放平臺發(fā)送令牌申請請求,令牌申請請求包括設備管理平臺的注冊信息,以及終端設備的身份標識;設備管理平臺接收數字證書發(fā)放平臺返回的令牌,將令牌轉發(fā)給終端設備,以便終端設備根據設備的身份標識對令牌進行令牌驗證,并在令牌驗證通過后,基于令牌中的數字證書請求接口的地址向數字證書發(fā)放平臺發(fā)送令牌,以請求下載終端設備的數字證書。本發(fā)明技術方案可基于設備管理平臺獲取令牌,并基于令牌從數字證書發(fā)放平臺獲取數字證書,可提高數字證書在線下載的安全性和可靠性。
文檔編號H04L9/32GK103107996SQ20131004949
公開日2013年5月15日 申請日期2013年2月7日 優(yōu)先權日2013年2月7日
發(fā)明者袁浩, 孫劍, 唐小軍 申請人:北京中視廣信科技有限公司