数字证书申请方法和装置制造方法及图纸
Methods and devices for application of digital certificates
The manual discloses a method and device for applying for a digital certificate. The method includes: the client sends a request to the server for digital certificate for the server according to the application request generation application information, and returns the information to the client application, application information including: only corresponding to the application request for identification; the client will return the service end application information to the security element; safety components based on asymmetric the private key generation algorithm, the application of the private key signature logo, the terminal signature data, and the data terminal signature and public key package for the specified format and sent to the client; the client will specify the format of the data sent to the server, the server to determine the terminal based on the public key in the signature data validation, and application identification through verification, the public key and the signature data terminal, the client login user Information and certificate use information are sent to CA.
【技术实现步骤摘要】
数字证书申请方法和装置
本说明书涉及安全
,尤其涉及一种数字证书申请方法和装置。
技术介绍
数字证书通常由权威机构CA(CertificateAuthority,第三方可信机构)颁发,可包括公钥以及公钥拥有者信息,可用于在互联网中对对方的身份进行验证。目前,在申请数字证书的过程中,通常需要生成CSR(CerificateSigningRequest,证书请求)文件,由于CSR文件的数据结构较复杂、且文件较大,会占用终端较多的计算资源。因此,需要提供一种轻量级、可用的证书申请方案。
技术实现思路
有鉴于此,本说明书提供一种数字证书申请方法和装置。具体地,本说明书是通过如下技术方案实现的:一种数字证书申请方法,应用于终端设备,所述终端设备集成有安全元件,并装载有客户端软件,该方法包括:客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识;客户端将服务端返回的所述申请信息下发给安全元件;安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据...
【技术保护点】
一种数字证书申请方法,应用于终端设备,所述终端设备集成有安全元件,并装载有客户端软件,该方法包括:客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识;客户端将服务端返回的所述申请信息下发给安全元件;安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端;客户端将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签...
【技术特征摘要】
1.一种数字证书申请方法,应用于终端设备,所述终端设备集成有安全元件,并装载有客户端软件,该方法包括:客户端向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回给客户端,所述申请信息包括:与所述申请请求唯一对应的申请标识;客户端将服务端返回的所述申请信息下发给安全元件;安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后发送给客户端;客户端将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA。2.根据权利要求1所述的方法,所述申请信息中还包括:非对称算法信息以及签名算法信息;所述安全元件根据非对称算法生成公私钥对,并采用私钥对该申请标识进行签名,得到终端签名数据,包括:所述安全元件根据所述申请信息中的非对称算法信息生成公私钥对,采用所述申请信息中的签名算法信息计算密钥长度和所述申请标识的摘要,并采用私钥对该摘要进行签名,得到终端签名数据。3.根据权利要求1所述的方法,所述指定格式为TLV格式。4.一种数字证书申请方法,应用于服务端,所述服务端用于与终端设备中装载的客户端软件交互,所述终端设备还集成有安全元件,该方法包括:在接收到客户端发送的数字证书申请请求后,生成申请信息,并将该申请信息发送给客户端和CA,所述申请信息包括:与该申请请求唯一对应的申请标识;接收客户端发送的指定格式数据,所述指定格式数据由安全元件在生成公私钥对后,采用私钥对所述申请标识进行签名,得到终端签名数据,并对该终端签名数据和公钥封装而成;解析所述指定格式数据,并根据所述公钥验证所述终端签名数据,得到终端签名数据中的申请标识;当所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、所述客户端的登录用户信息以及证书使用信息发送给CA,以供CA在确定所述终端签名数据通过验证、且所述申请标识通过验证后,生成数字证书。5.根据权利要求4所述的方法,所述申请信息中还包括:非对称算法信息以及签名算法信息,用于供安全元件生成公私钥对并进行签名。6.根据权利要求4所述的方法,所述公钥被服务端封装为PKCS1格式。7.根据权利要求4所述的方法,还包括:当所述终端签名数据通过验证,且所述申请标识也通过验证后,将服务端签名数据发送给CA,以供CA进行验证;其中,所述服务端签名数据由服务端采用服务端私钥对服务端信息签名后生成。8.一种数字证书申请装置,应用于终端设备,所述终端设备还集成有安全元件,该装置包括:请求发送单元,向服务端发送数字证书申请请求,以供服务端根据该申请请求生成申请信息,并将该申请信息返回,所述申请信息包括:与所述申请请求唯一对应的申请标识;信息下发单元,将服务端返回的所述申请信息下发给安全元件,以供安全元件根据非对称算法生成公私钥对,采用私钥对所述申请标识进行签名,得到终端签名数据,并将该终端签名数据和公钥封装为指定格式后返回;数据发送单元,将该指定格式数据发送给服务端,以供服务端在根据所述公钥确定所述终端签名数据通过验证,且所述申请标识也通过验证后,将所述公钥、所述终端签名数据、登录用户信息以及证书使用信息发送给CA。9.根据权利要求8所述的装置,所述申请信息中还包括:非对称算法信息以及签名算法信息;所述安全元件根据非对称算法生成公私钥对,并采用私钥对该申请标识进行...
【专利技术属性】
技术研发人员:魏亚文,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。