一种数字证书轻量化传输方法及系统技术方案

本发明专利技术提出了一种数字证书轻量化传输方法，包括：对广播终端设备中所存储的信任证书进行预设生成信任证书列表并以申请请求报文的形式发送至认证中心设备；接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并向所述广播终端设备进行广播，广播终端设备对被授权广播终端设备证书号进行识别，当被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后并保存。通过轻量级数字证书协议，解决了广播终端设备存储容量有限和广电网络传输方面的问题，以安全白名单的方式简化了对使用数字证书依赖OCSP和LDAP服务才能验证数字证书有效性的模式。

【技术实现步骤摘要】
一种数字证书轻量化传输方法及系统
本申请涉及信息安全领域，尤其涉及一种数字证书轻量化传输方法及系统。
技术介绍
传统的数字证书通常采用X509标准，证书的体积较大，常用的X.509v3版本证书包括了版本号、证书序列号、发行者名称、主题等等一系列内容，一般长度在500字节至1.5K字节，这么大的数据不适合在广播无线网络中传输，尤其是调频广播、中波广播之类窄带传输。X.509标准证书一般采用DER编码模式，编解码比较复杂，对于广播领域很多终端来说，本身设备一般采用单片机设计，内部存储运算资源有限，使用这种体系的证书实现起来非常困难。数字证书的传输和验证一般采用的是OCSP和LDAP服务对证书进行验证，包括证书有效性和更新证书黑名单。在广播领域，使用X.509标准证书和OCSP、LDAP等服务需要在县级平台搭建相应的信息系统，而这些县乡级单位信息化水平偏低，运营管理能力较弱，信息系统和设备建设投入有限，搭建这些系统会大幅增加这类单位的资金压力，并且即使搭建起来，后续的运营和维护工作也很困难。
技术实现思路
为解决上述技术问题之一，本专利技术提供了一种数字证书轻量化传输方法及系统。本专利技术实施例第一方面提供了一种数字证书轻量化传输方法，所述方法包括：对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备；接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。本专利技术实施例第二方面提供了一种数字证书轻量化传输方法，所述方法包括：接收广播平台设备发送的申请请求报文，所述申请请求报文中包含有信任证书列表，所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表；根据所述申请请求报文生成信任证书验证数据和信任证书数据；通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据；将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备，以使所述广播平台设备向广播终端设备进行广播，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过所述广播终端设备内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。优选地，所述方法还包括：对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号，以使所述广播终端设备接收到广播平台设备发送的广播信息之后，对所述广播信息中所包含的带有证书编号的数字签名进行识别，当所述进行数字签名的证书编号存在于所述广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证，并在验证通过后进行播出。本专利技术实施例第三方面提供了一种数字证书轻量化传输方法，所述方法包括：接收广播平台设备发送授权报文数据信息，所述授权报文数据信息为认证中心设备根据广播平台设备发送的申请请求报文所生成的信息，所述申请请求报文中包含有信任证书列表，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号；对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。优选地，所述方法还包括：接收认证中心设备预装的非对称密钥对并进行编号，生成证书编号；接收广播平台设备发送的广播信息，对所述广播信息中所包含的带有证书编号的数字签名进行识别，当所述进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证，并在验证通过后进行播出。本专利技术实施例第四方面提供了一种数字证书轻量化传输系统，所述系统包括广播平台设备、认证中心设备和广播终端设备；所述广播平台设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在广播平台设备上运行时，使得所述广播平台设备执行本专利技术实施例第一方面所述的数字证书轻量化传输方法；所述认证中心设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在认证中心设备上运行时，使得所述认证中心设备执行本专利技术实施例第二方面所述的数字证书轻量化传输方法；所述广播终端设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在广播终端设备上运行时，使得所述广播终端设备执行本专利技术实施例第三方面所述的数字证书轻量化传输方法。优选地，所述被数字签名的信任证书列表包括广播终端设备证书号，信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号和认证中心对所述对所述广播终端设备证书号，信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号的签名数据。优选地，所述信任证书数据包括数字证书版本号、数字证书签发者编号、数字证书编号、数字证书有效期、数字证书公钥数据和数字证书签名数据。本专利技术的有益效果如下：本专利技术所提出的方法通过轻量级数字证书协议，以白名单方式解决了广播终端设备存储容量有限的问题，大大简化了传统对数字证书验证需要使用OCSP和LDAP服务才能进行的业务。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本专利技术实施例1所述的数字证书轻量化传输方法的流程图；图2为本专利技术实施例2所述的数字证书轻量化传输方法的流程图；图3为本专利技术实施例3所述的数字证书轻量化传输方法的流程图；图4为本专利技术实施例4所述的数本文档来自技高网...

【技术保护点】
1.一种数字证书轻量化传输方法，其特征在于，所述方法包括：/n对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备；/n接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。/n

【技术特征摘要】
1.一种数字证书轻量化传输方法，其特征在于，所述方法包括：
对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备；
接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。


2.一种数字证书轻量化传输方法，其特征在于，所述方法包括：
接收广播平台设备发送的申请请求报文，所述申请请求报文中包含有信任证书列表，所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表；
根据所述申请请求报文生成信任证书验证数据和信任证书数据；
通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据；
将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备，以使所述广播平台设备向广播终端设备进行广播，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过所述广播终端设备内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。


3.根据权利要求2所述的方法，其特征在于，所述方法还包括：
对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号，以使所述广播终端设备接收到广播平台设备发送的广播信息之后，对所述广播信息中所包含的带有证书编号的数字签名进行识别，当所述进行数字签名的证书编号存在于所述广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证，并在验证通过后进行播出。


4.一种数字证书轻量化传输方法，其特征在于，所述方法包括：
接收广播平台设备发送授权报文数据信息，...

【专利技术属性】
技术研发人员：赵云辉，闫鸣生，
申请(专利权)人：北京江南天安科技有限公司，
类型：发明
国别省市：北京;11