一种数字证书空发方法及装置制造方法及图纸

本发明专利技术提供一种数字证书空发方法及装置，涉及通信领域，能够在终端设备启用后，远程申请并下载数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。该方法包括：终端设备向CA平台发送终端身份认证以及获取会话秘钥请求；终端设备从CA平台接收终端身份认证结果以及会话秘钥；若身份认证结果为身份认证成功，终端设备向CA平台发送数字证书申请请求；终端设备从CA平台接收数字证书。

A Method and Device for Empty Issue of Digital Certificate

The invention provides a digital certificate airing method and device, which relates to the field of communication. It can apply for and download digital certificates remotely after the terminal device is enabled, making the process of acquiring digital certificates for the terminal device simple and efficient, and reducing the cost of acquiring digital certificates for the terminal device. The method includes: terminal device sending terminal identity authentication and acquiring session key request to CA platform; terminal device receiving terminal identity authentication result and session key from CA platform; terminal device sending digital certificate application request to CA platform if identity authentication result is successful; terminal device receiving digital certificate from CA platform.

【技术实现步骤摘要】
一种数字证书空发方法及装置
本专利技术涉及通信领域，尤其涉及一种数字证书空发方法及装置。
技术介绍
随着嵌入式SIM(Embedded-SubscriberIdentificationModule，eSIM)卡技术的不断发展，越来越多的终端设备支持eSIM卡。目前不论SIM卡或是eSIM卡，均需要提前在工厂中人工进行数字证书申请，并将数字证书预制于卡片中，无法在使用终端设备过程中选择数字证书。对于终端设备而言，在出厂时是不知道将来需要下载哪家运营商的数字证书的，若想兼容不同的运营商或在使用过程中进行运行商切换，就需在出厂前预制多家运营商的数字证书，提高了设备的成本。并且，如果终端设备在一段时间内没有销售出去，而终端厂家又需要制作另一批次的终端产品，就需要另外申请一批终端证书，整个过程非常繁琐。
技术实现思路
本申请提供一种数字证书空发方法及装置，不需在终端设备出厂前预制数字证书，而是在终端设备启用后，远程申请并下载数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。为达到上述目的，本申请采用如下技术方案：第一方面，本申请提供一种数字证书空发方法，该方法可以包括：终端设备向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；终端设备从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；若身份认证结果为身份认证成功，终端设备向所述CA平台发送数字证书申请请求；终端设备从所述CA平台接收数字证书。第二方面，本申请提供一种数字证书空发方法，该方法可以包括：数字证书CA平台从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述CA平台根据所述终端标志确定对应的信任服务管理TSM平台，并向所述TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识；所述CA平台从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述CA平台向所述终端设备发送所述终端身份认证结果以及会话秘钥；所述CA平台从所述终端设备接收数字证书申请请求，签发所述终端设备的数字证书，并向所述终端设备发送所述数字证书。第三方面，本申请提供一种数字证书空发方法，该方法可以包括：信任服务管理TSM平台从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述TSM平台根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥；所述TSM平台向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。第四方面，本申请提供一种终端设备，该终端设备可以包括：发送模块和接收模块。其中，发送模块，用于向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；接收模块，用于从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述发送模块，还用于若身份认证结果为身份认证成功，向所述CA平台发送数字证书申请请求；所述接收模块，还用于从所述CA平台接收数字证书。第五方面，本申请提供一种数字证书CA平台，该CA平台可以包括：接收模块、确定模块、发送模块和签发模块。其中，接收模块，用于从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；确定模块，用于根据所述终端标志确定对应的信任服务管理TSM平台；发送模块，用于向确定模块确定的TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识；所述接收模块，还用于从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述发送模块，还用于向所述终端设备发送所述终端身份认证结果以及会话秘钥；所述接收模块，还用于从所述终端设备接收数字证书申请请求；签发模块，用于签发所述终端设备的数字证书；所述发送模块，还用于向所述终端设备发送所述数字证书。第六方面，本申请提供一种信任服务管理TSM平台，该TSM平台可以包括：接收模块、认证模块和发送模块。其中，接收模块，用于从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备；认证模块，用于根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥；发送模块，用于向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。本申请还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一方面所述的方法。本申请提供了一种网络系统，该网络系统包括第三方面及其各种可选的实现方式中任意之一所述的终端设备、第二方面及其各种可选的实现方式中任意之一所述的CA平台以及第三方面及其各种可选的实现方式中任意之一所述的TSM平台。本专利技术实施例提供的数字证书空发方法、装置及系统，可以在终端设备启用后，根据需要远程向CA平台申请并下载数字证书，而不需在终端设备出厂前预制数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。并且在申请数字证书时验证终端设备身份，并采用双向认证技术，保证了安全性和合法性。附图说明图1为本专利技术实施例提供的数字证书空发方法应用的网络架构示意图；图2为本专利技术实施例提供的数字证书空发方法中安全通道对数据层进行安全保障的原理示意图；图3为本专利技术实施例提供的数字证书空发方法示意图；图4为本专利技术实施例提供的终端设备的结构示意图一；图5为本专利技术实施例提供的终端设备的结构示意图二；图6为本专利技术实施例提供的CA平台的结构示意图；图7为本专利技术实施例提供的TSM平台的结构示意图；图8为本专利技术实施例提供的一种装置结构示意图。具体实施方式下面结合附图对本专利技术实施例提供的数字证书空发方法、装置及系统进行详细地描述。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。本专利技术的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。此外，本专利技术的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤本文档来自技高网...

【技术保护点】
1.一种数字证书空发方法，其特征在于，包括：终端设备向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；终端设备从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；若身份认证结果为身份认证成功，终端设备向所述CA平台发送数字证书申请请求；终端设备从所述CA平台接收数字证书。

【技术特征摘要】
1.一种数字证书空发方法，其特征在于，包括：终端设备向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；终端设备从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；若身份认证结果为身份认证成功，终端设备向所述CA平台发送数字证书申请请求；终端设备从所述CA平台接收数字证书。2.根据权利要求1所述的数字证书空发方法，其特征在于，所述终端设备向所述CA平台发送数字证书申请请求的报文使用所述会话秘钥加密。3.根据权利要求1或2所述的数字证书空发方法，其特征在于，所述数字证书申请请求中包括特殊名称DN项，所述DN项包括以下至少一项：终端标识、终端标志。4.根据权利要求1-3任意一项所述的数字证书空发方法，其特征在于，所述数字证书申请请求为PKCS10证书申请请求。5.根据权利要求1-4任意一项所述的数字证书空发方法，其特征在于，在终端设备向数字证书CA平台发送终端身份认证以及获取会话秘钥请求之前，所述方法还包括：终端设备预置至少一个CA平台的证书，并根据所述终端设备的椭圆曲线算法支撑能力选择一个CA平台请求申请数字证书。6.一种数字证书空发方法，其特征在于，包括：数字证书CA平台从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述CA平台根据所述终端标志确定对应的信任服务管理TSM平台，并向所述TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识；所述CA平台从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述CA平台向所述终端设备发送所述终端身份认证结果以及会话秘钥；所述CA平台从所述终端设备接收数字证书申请请求，签发所述终端设备的数字证书，并向所述终端设备发送所述数字证书。7.根据权利要求6所述的数字证书空发方法，其特征在于，所述CA平台从所述终端设备接收数字证书申请请求的报文使用所述会话秘钥加密。8.根据权利要求6或7所述的数字证书空发方法，其特征在于，所述数字证书申请请求中包括特殊名称DN项，所述DN项包括以下至少一项：终端标识、终端标志。9.根据权利要求6-8任意一项所述的数字证书空发方法，其特征在于，所述CA平台从所述TSM平台接收终端身份认证结果以及会话秘钥的报文使用安全信道秘钥进行加密。10.一种数字证书空发方法，其特征在于，包括：信任服务管理TSM平台从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述TSM平台根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥；所述TSM平台向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。11.根据权利要求10所述的数字证书空发方法，其特征在于，所述TSM平台向所述CA平台发送终端身份认证结果以及所述会话秘钥的报文使用安全信道秘钥进行加密。12.一种终端设备，其特征在于...

【专利技术属性】
技术研发人员：李贺男，闵庆学，赵东辉，方恒明，肖志玮，王佳晗，刘英伟，薛绍龙，程琳，张轶慧，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京,11