【技术实现步骤摘要】
一种终端设备及其管理服务器证书的方法
本专利技术涉及通信领域,尤其涉及一种终端设备及其管理服务器证书的方法。
技术介绍
安全性一直是终端行业关注的焦点,终端设备出厂后,当需要转让时,终端设备需要更换或清除服务器下发的公钥证书和应用密钥,而远程更换或清除服务器下发的公钥证书和应用密钥是一种极为便利的方法。现有技术中多采用随机数加密的方法来实现对服务器下发的公钥证书和应用密钥进行远程更换或清除操作,由于随机数加密涉及到网络传输,随机数在网络传输过程中容易被篡改,安全性可靠性较低,因此,如何实现远程更换或清除服务器下发的公钥证书和应用密钥的安全,已成为当前亟待解决的技术问题。
技术实现思路
本专利技术为克服现有技术中的不足,提供了一种终端设备及其管理服务器证书的方法。第一方面,本专利技术提供的一种终端设备管理服务器证书的方法,包括重绑流程,所述流程如下步骤:步骤S0:终端设备获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功...
【技术保护点】
1.一种终端设备管理服务器证书的方法,其特征在于,包括重绑流程,所述流程如下步骤:/n步骤S0:终端设备获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;/n步骤S1:当所述终端设备接收到目标服务器返回的识别重绑请求成功响应时,向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;/n步骤S2:所述终端设备接收所述目标服务器返回的第二重绑数据包;所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器...
【技术特征摘要】
1.一种终端设备管理服务器证书的方法,其特征在于,包括重绑流程,所述流程如下步骤:
步骤S0:终端设备获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
步骤S1:当所述终端设备接收到目标服务器返回的识别重绑请求成功响应时,向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
步骤S2:所述终端设备接收所述目标服务器返回的第二重绑数据包;所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
步骤S3:所述终端设备根据预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行验签,如验签成功,则执行步骤S4,如验签失败,结束;
步骤S4:所述终端设备基于预存的终端设备序列号与所述第二重绑数据包中的终端设备序列号进行匹配,如匹配,执行步骤S5,如不匹配,结束;
步骤S5:所述终端设备判断第二重绑数据包中的第二随机数与发送给所述目标服务器的第二随机数是否匹配,如匹配,执行步骤S6,如不匹配,结束;
步骤S6:所述终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验签,如验签成功,则执行步骤S7,如验签失败,结束;
步骤S7:所述终端设备清除所述终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书,保存所述第二服务器公钥证书。
2.如权利要求1所述的方法,其特征在于,所述步骤S1中,所述向目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包具体为:所述终端设备生成第二随机数,组建包含所述第一重绑请求码和所述第二随机数的第一重绑数据包,将所述第一重绑数据包发送给所述目标服务器。
3.如权利要求1所述的方法,其特征在于,所述步骤S3具体为:所述终端设备从所述第二重绑数据包中获取第一签名数据,基于所述终端设备预存的第二服务器公钥证书对应的公钥对所述第一签名数据进行解密,得到第三摘要数据,所述终端设备对所述终端设备序列号、第二随机数和第二服务器公钥证书进行哈希运算得到第四摘要数据,所述终端设备判断第三摘要数据与第四摘要数据是否匹配,如果匹配,验签成功,执行步骤S4,如不匹配,验签失败,结束。
4.如权利要求1所述的方法,其特征在于,所述步骤S6具体为:所述终端设备从所述第二重绑数据包中获取第二服务器公钥证书,从所述第二服务器公钥证书中获取第二服务器公钥证书签名数据,所述终端设备基于预存的第二服务器公钥证书的认证中心公钥对第二服务器公钥证书签名数据进行验证,判断是否验签成功,如果是,执行步骤S7,否则,结束。
5.如权利要求1所述的方法,其特征在于,所述步骤S2中,所述第二重绑数据包中还包括:服务器公钥证书吊销列表。
6.如权利要求5所述的方法,其特征在于,所述步骤S3之前还包括:
步骤K1:所述终端设备获取并校验所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤K2,否则,结束;
步骤K2:所述终端设备校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则执行步骤K3,如验签失败,结束;
步骤K3:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤S3。
7.如权利要求1所述的方法,其特征在于,还包括解绑流程,所述解绑流程包括如下步骤:
步骤L0:所述终端设备向所述目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的已绑定响应时,根据用户选择向所述目标服务器发送解绑请求;
步骤L1:当所述终端设备接收到所述目标服务器返回的识别解绑请求成功响应时,向所述目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包;
步骤L2:所述终端设备接收所述目标服务器返回的第二解绑数据包;所述第二解绑数据包包含终端设备序列号、第一随机数和所述目标服务器对终端设备序列号与第一随机数进行签名后得到的第二签名数据;
步骤L3:所述终端设备根据终端设备预存的第一服务器公钥证书对应的公钥对第二签名数据进行验签,如验签成功,则执行步骤L4,如验签失败,结束;
步骤L4:所述终端设备基于预存的终端设备序列号与所述终端设备序列号匹配,如匹配,则执行步骤L5,如不匹配,结束;
步骤L5:所述终端设备判断第二解绑数据包中的第一随机数与发送给所述目标服务器的第一解绑数据包的第一随机数是否匹配,如匹配,则执行步骤L6,如不匹配,结束;
步骤L6:所述终端设备清除终端设备存储的全部应用密钥,清除当前保存的第一服务器公钥证书。
8.如权利要求7所述的方法,其特征在于,所述步骤L1中,所述向目标服务器发送包含第一解绑请求码和第一随机数的第一解绑数据包具体为:所述终端设备生成第一随机数,组建包含所述第一解绑请求码和所述第一随机数的第一解绑数据包,将所述第一解绑数据包发送给所述目标服务器。
9.如权利要求7所述的方法,其特征在于,所述步骤L3具体为:所述终端设备从所述第二解绑数据包中获取第二签名数据,基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第二签名数据进行解密,得到第一摘要数据,对所述终端设备序列号与第一随机数进行哈希运算,得到第二摘要数据,判断第一摘要数据与第二摘要数据是否匹配,如匹配,则验签成功,执行步骤L4,如不匹配,验签失败,结束。
10.如权利要求7所述的方法,其特征在于,所述步骤L2中,所述第二解绑数据包中还包括:服务器公钥证书吊销列表。
11.如权利要求10所述的方法,其特征在于,所述步骤L3之前还包括:
步骤N1:所述终端设备获取并校验所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤N2,否则,结束;
步骤N2:所述终端设备校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则执行步骤N3,如验签失败,结束;
步骤N3:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断所述终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤L3。
12.如权利要求1所述的方法,其特征在于,还包括绑定流程,所述绑定流程包括如下步骤:
步骤M0:所述终端设备向目标服务器发送查询绑定状态请求,当接收到所述目标服务器返回的未绑定响应时,向所述目标服务器发送绑定请求;
步骤M1:当所述终端设备接收到所述目标服务器返回的识别绑定请求成功响应时,向所述目标服务器发送包含第一绑定请求码和终端设备公钥证书的第一绑定数据包;
步骤M2:所述终端设备接收所述目标服务器返回第二绑定数据包;所述第二绑定数据包包含第一服务器公钥证书和第一服务器公钥证书签名数据;
步骤M3:所述终端设备根据预存的第一服务器公钥证书的认证中心公钥对所述第一服务器公钥证书签名数据进行验签,如验签成功,则执行步骤M4,如验签失败,结束;
步骤M4:所述终端设备获取并校验所述第一服务器公钥证书,判断所述第一服务器公钥证书是否有效,如果是,则执行步骤M5,否则,结束;
步骤M5:所述终端设备判断当前是否有服务器公钥证书与所述终端设备绑定,如果是,则执行步骤M6,否则,执行步骤M7;
步骤M6:所述终端设备判断当前绑定的服务器公钥证书序列号与所述第一服务器公钥证书序列号是否相同,如果是,则执行步骤M7,否则,结束;
步骤M7:所述终端设备保存所述第一服务器公钥证书。
13.如权利要求12所述的方法,其特征在于,所述步骤M1中,向所述目标服务器发送包含第一绑定请求和终端设备公钥证书的第一绑定数据包具体为:所述终端设备获取保存的终端设备公钥证书,组建包含所述第一绑定请求码和终端设备公钥证书的第一绑定数据包,将所述第一绑定数据包发送给所述目标服务器。
14.如权利要求12所述的方法,其特征在于,所述步骤M3具体为:所述终端设备从所述第二绑定数据包中获取第一服务器公钥证书签名数据,基于所述终端设备预存的第一服务器公钥证书对应的公钥对所述第一服务器公钥证书签名数据进行解密,得到第五摘要数据,对所述第一服务器公钥证书进行哈希运算,得到第六摘要数据,判断第五摘要数据与第六摘要数据是否匹配,如匹配,则验签成功,执行步骤M4,如不匹配,验签失败,结束。
15.如权利要求12所述的方法,其特征在于,所述步骤S2中,所述第二绑定数据包中还包括:服务器公钥证书吊销列表。
16.如权利要求15所述的方法,其特征在于,所述步骤M3之前还包括:
步骤Q1:所述终端设备获取所述目标服务器公钥证书吊销列表,判断所述目标服务器公钥证书吊销列表是否有效,如果是,则执行步骤Q2,否则,结束;
步骤Q2:所述终端设备校验所述目标服务器公钥证书吊销列表签名数据,如验签成功,则执行步骤M3,如验签失败,结束。
17.如权利要求12所述的方法,其特征在于,所述步骤M5之前还包括:所述终端设备获取终端设备预存的第一服务器公钥证书序列号,判断终端设备预存的第一服务器公钥证书序列号是否在所述目标服务器公钥证书吊销列表中,如果是,结束,否则,执行步骤M5。
18.一种终端设备,其特征在于,包括重绑模块,所述重绑模块具体包括:
获取发送接收单元,用于获取终端设备序列号,向目标服务器发送所述终端设备序列号,当接收到所述目标服务器发送的校验终端设备序列号成功响应时,向所述目标服务器发送重绑请求;
第一接收单元,用于接收所述目标服务器返回的识别重绑请求成功响应;
第二发送单元,用于向所述目标服务器发送包含第一重绑请求码和第二随机数的第一重绑数据包;
第二接收单元,用于接收所述目标服务器返回的第二重绑数据包;
所述第二重绑数据包包含终端设备序列号、第二随机数、第二服务器公钥证书和所述目标服务器对终端设备序列号、第二随机数与第二服务器公钥证书进行签名后得到的第一签名数据;所述第二服务器公钥证书包含第二服务器公钥证书签名数据;
第一验证单元...
【专利技术属性】
技术研发人员:陆舟,于华章,
申请(专利权)人:飞天诚信科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。