本文公开了一种证书签名方法、装置、存储介质及计算机设备,此方法包括:中心CA发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;所述中心CA接收所述卫星CA发送的需要生成新的设备证书的连接请求,接收所述卫星CA发送的新的设备证书的签名请求;所述中心CA使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;将生成的所述新的设备证书发送给所述卫星CA。本发明专利技术设置了分布式的CA结构,设置功能有限的卫星CA,由功能有限的卫星CA分担中心CA的处理压力,并且,使IoT设备就近接入卫星CA从而快速有效的实现证书续签。
【技术实现步骤摘要】
一种证书签名方法、装置、存储介质及计算机设备本申请是2018年6月25日提交中国国家知识产权局专利局,申请号为201810659585.6、专利技术名称为“一种证书续签的方法、装置及系统”的中国专利申请的分案申请。
本专利技术涉及互联网
,尤其涉及一种证书签名方法、装置、存储介质及计算机设备。
技术介绍
随着物联网(InternetofThings,IoT)规模的快速增涨,IoT设备的数量也快速增加,从而引起人们对IoT设备的安全性的极大关注。目前IoT设备的安全问题主要集中在数据加密和身份认证等方面。进行数据加密和身份认证目前均是基于公钥密码基础设施(PublicKeyInfrastructure,简称PKI)体系来实现的。现有的PKI安全体系中,每个IoT设备均从认证机构(CertificationAuthority,简称CA)获取一个CA签发的证书,并且还获取一个与此证书对应的私钥,其中证书用于标识IoT设备的身份。后续的处理过程中,IoT设备在需要进行身份认证以及数据加密的时候,需要使用证书和私钥进行相应处理。例如,需要进行IoT设备的身份认证时,IoT设备使用自身私钥签名向校验方申请进行身份认证,校验方使用IoT设备的证书对此IoT设备的签名进行校验,从而确认IoT设备身份。再例如,进行数据加密传输时,数据发送方使用IoT设备的证书对数据进行加密后,将加密数据发送至IoT设备,IoT设备接收到加密数据后,使用此IoT设备的私钥对加密数据进行解密。从上述身份认证和数据加密传输的过程可知,涉及IoT设备安全性的主要因素为证书的有效性。证书是有时限性的,证书到达使用时限时需要对证书进行续签,如果没有对证书进行续签,就会导致证书失效,从而危害IoT设备的安全性。现有技术中进行证书续签的方法具有以下缺点:一,IoT设备由于地理分散较广,无法及时的对证书进行续签,导致证书失效。二,采用集中式的方式实现证书的续签,即只设置一个中心CA用于实现证书续签,所有IoT设备均在此中心CA进行证书续签,导致中心CA处理压力较大,尤其在IoT设备数量急剧增长的背景下,中心CA容易在处理压力下出现故障,从影响证书续签用户的体验。三,采用人工方式向中心CA申请续签,续签效率慢。并且,现在的CA证书体系基本采用的是两级体系,具体包括:中心CA生成根证书,并生成与此根证书对应的根私钥,将根证书和根私钥进行物理隔离。基于根私钥生成二级证书,并且生成与二级证书对应的二级私钥。中心CA为IoT设备签发其它证书时,均使用此二级私钥进行签发,例如为IoT设备签发续签证书时,也使用此二级私钥进行签发。中心CA对二级私钥一般不进行远程物理隔离,只是储存于安全芯片中,以方便快速调用。二级私钥签发的证书一般不允许继续行使签发功能,例如:IoT设备证书只能用于其本身业务,而无法继续签发其他证书。
技术实现思路
为了解决上述技术问题,本专利技术提供了一种证书签名方法、装置、存储介质及计算机设备。本专利技术提供的证书续签方法,包括:卫星认证机构CA从中心CA接收权限设置信息,所述权限设置信息包括用于指示只执行续签处理的权限信息;卫星CA接收设备发送的续签请求;判断是否满足续签条件;确定满足续签条件,生成新的设备证书,所述新的设备证书是使用所述卫星CA的三级证书所对应的私钥进行签名生成的;将生成的新的设备证书发送至所述设备。上述证书续签方法还具有以下特点:所述卫星CA接收设备发送的续签请求之前,所述方法还包括:所述卫星CA从所述中心CA接收设备标识集合;所述判断是否满足续签条件之前,所述方法还包括:确定所述设备的标识属于所述设备标识集合。上述证书续签方法还具有以下特点:所述续签请求还包括证书签名请求,所述证书签名请求还包括过期时间;所述续签条件包括:当前时间距所述证书签名请求的过期时间的时间差值小于预设时长。上述证书续签方法还具有以下特点:所述卫星CA接收设备发送的续签请求的同时还接收所述设备的当前证书;所述续签请求还包括证书签名请求;所述续签条件包括:所述证书签名请求中的信息与所述卫星CA中已保存的所述设备的当前证书的信息相同。上述证书续签方法还具有以下特点:所述方法还包括:所述卫星CA从中心CA接收所述三级证书,所述三级证书是所述中心CA根据所述卫星CA的唯一标识信息生成的。上述证书续签方法还具有以下特点:所述卫星CA包括签发单元和私钥管理单元;所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;所述私钥管理单元,用于从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名,将签名生成的新的设备证书发送至所述签发单元;或者,所述卫星CA包括签发单元;所述签发单元,用于在判断所述卫星CA需要生成所述新的设备证书时,向所述私钥管理单元发送连接请求,在与所述私钥管理单元连接成功后,向所述私钥管理单元发送所述证书签名请求;还用于从所述私钥管理单元接收所述新的设备证书;所述新的设备证书是所述私钥管理单元从所述签发单元接收连接请求,在与所述签发单元建立连接后,使用所述卫星CA的三级证书所对应的私钥对所述证书签名请求进行签名生成的。本专利技术提供的证书续签装置,应用于卫星CA,包括:第一接收模块,用于从中心CA接收权限设置信息,所述权限设置信息包括用于指示只执行续签处理的权限信息;第二接收模块,用于接收设备发送的续签请求;判断模块,用于判断是否满足续签条件;生成模块,用于在所述判断模块确定满足续签条件时,生成新的设备证书,所述新的设备证书是使用所述卫星CA的三级证书所对应的私钥进行签名生成的;发送模块,用于将生成的新的设备证书发送至所述设备。上述证书续签装置还具有以下特点:所述装置还包括:第三接收模块,用于在所述第二接收模块接收设备发送的续签请求之前,从所述中心CA接收设备标识集合;确定模块,用于确定所述设备的标识属于所述设备标识集合,在确定所述设备的标识属于所述设备标识集合后,触发所述判断模块。上述证书续签装置还具有以下特点:所述续签请求还包括证书签名请求,所述证书签名请求还包括过期时间;所述续签条件包括:当前时间距所述证书签名请求的过期时间的时间差值小于预设时长。上述证书续签装置还具有以下特点:所述第二接收模块,还用于在接收设备发送的续签请求的同时还接收所述设备的当前证书;所述续签请求还包括证书签名请求;所述续签条件包括:所述证书签名请求中的信息与所述卫星CA本文档来自技高网...
【技术保护点】
1.一种证书签名方法,其特征在于,所述方法包括:判断设备需要进行证书续签时:/n中心CA发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;/n所述中心CA接收卫星CA发送的需要生成新的设备证书的连接请求,并与卫星CA连接;/n所述中心CA接收卫星CA发送的新的设备证书的签名请求;/n所述中心CA使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;/n将生成的所述新的设备证书发送给卫星CA;/n卫星CA将生成的新的设备证书发送至所述设备。/n
【技术特征摘要】
1.一种证书签名方法,其特征在于,所述方法包括:判断设备需要进行证书续签时:
中心CA发送权限设置信息至卫星CA,所述权限设置信息包括用于指示只执行续签处理的权限信息;
所述中心CA接收卫星CA发送的需要生成新的设备证书的连接请求,并与卫星CA连接;
所述中心CA接收卫星CA发送的新的设备证书的签名请求;
所述中心CA使用卫星CA的三级证书所对应的私钥针对所述新的设备证书的签名请求进行签名,生成新的设备证书;
将生成的所述新的设备证书发送给卫星CA;
卫星CA将生成的新的设备证书发送至所述设备。
2.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:所述中心CA发送设备标识集合给卫星CA。
3.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
所述中心CA接收续签的签发行为信息;所述中心CA验证所述续签的签发行为信息;
如果合格,续签有效,如果不合格续签无效。
4.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
所述中心CA根据卫星CA的唯一标识信息生成所述卫星CA的三级证书,并将所述卫星CA的三级证书所述发送至卫星CA。
5.根据权利要求1所述的证书签名方法,其特征在于,所述方法还包括:
判断设备需要进行证书...
【专利技术属性】
技术研发人员:杨洋,苗辉,
申请(专利权)人:北京白山耘科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。