数字证书签发的方法、装置、终端实体和系统制造方法及图纸

本申请公开提供一种数字证书签发的方法、装置、终端实体和系统，其中方法包括：代理设备接收终端实体发送的包含第一终端实体公钥的终端实体证书授权请求，由于代理设备自身有中间证书，可以为终端实体签发数字证书，因此代理设备根据终端实体证书授权请求对第一终端实体公钥生成第一终端实体证书，使用第一代理设备私钥对第一终端实体证书进行数字签名，获得第一终端实体证书的数字签名值，生成并向终端实体发送终端实体证书授权响应，这样就实现代理设备对第一终端实体证书的签发。由于代理设备可以有多个，避免海量的终端实体向唯一的CA服务器去请求对终端实体进行数字证书的认证，因此减轻了CA服务器的负荷，也能节约网络带宽资源。带宽资源。带宽资源。

【技术实现步骤摘要】
数字证书签发的方法、装置、终端实体和系统


[0001]本专利技术实施例涉及信息技术和通信
，尤其涉及数字证书签发的方法、装置、终端实体和系统。

技术介绍

[0002]通信设备之间进行通信通常需要是相互信任的，将通信设备之间的通信信任可以被认为跨信任域通信，通信设备也可以被称为网络实体(network entity，NE)。通常来说，通信设备内多个单板间通信则被认为属于同一信任域内的通信，单板间通信没有提供任何安全功能。随着网络攻击技术的不断发展，对通信设备的系统安全和韧性能力的要求也越来越高，通信设备的单板间通信安全也变得愈发重要。
[0003]为保证通信设备单板间通信安全，通常会采用安全传输层协议(transport layer security，TLS)、数据包传输层安全性协议(datagram transport layer security，DTLS)、互联网安全协议(internet protocol security，IPSEC)、媒体访问控制层安全协议(media access control security，MACSEC)等协议。这些协议通常使用数字证书作为通信双方身份认证凭据。这就要求设备上每块业务单板都能提供单独的数字证书标识身份。
[0004]由于诸如业务单板的海量终端实体需要请求证书授权(certificate authority，CA)服务器为终端实体签发数字证书，因此CA服务器将为海量终端实体签发数字证书，可能会导致CA服务器的负荷过大，并且消耗了大量网络带宽资源。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供了一种数字证书签发的方法、装置、终端实体和系统，通过CA服务器授权代理设备发送中间证书，由代理设备向各个终端实体签发各个终端的终端实体证书，这样各个终端实体不需要到授权认证CA服务器请求数字证书的签发，因此，减少了CA服务器的负担。
[0006]第一方面，提供一种数字证书签发的方法，方法包括：终端实体会预先生成自身的第一终端实体公钥和第一终端实体私钥的一对密钥对，代理设备预先生成自身的第一代理设备公钥和第一代理设备私钥的一对密钥对。代理设备接收终端实体发送的终端实体证书授权请求，该终端实体证书授权请求包含第一终端实体公钥，由于代理设备自身有中间证书，可以为终端实体签发数字证书，因此代理设备根据终端实体证书授权请求对第一终端实体公钥生成第一终端实体证书，使用第一代理设备私钥对第一终端实体证书进行数字签名，获得第一终端实体证书的数字签名值，生成终端实体证书授权响应，并向终端实体返回终端实体证书授权响应，这样就实现了代理设备对第一终端实体证书的签发。其中，终端实体证书授权响应包含第一终端实体证书和第一终端实体证书的证书链，第一终端实体证书包含第一终端实体公钥和第一终端实体证书的数字签名值，第一终端实体证书的证书链用于验证第一终端实体证书的数字签名值是否正确，第一终端实体证书的证书链包含CA根证书和第一中间证书，第一中间证书由CA服务器给代理设备签发的，该第一中间证书包含第
一代理设备公钥，这样拥有第一中间证书的代理设备就可以为终端实体签发数字证书。
[0007]上述方案，拥有中间证书的代理设备可以实现对各个终端实体颁发数字证书。通常来说，CA服务器在一个数字证书管理系统中只有一个，而代理设备可以有多个，这样避免了海量的终端实体都向唯一的CA服务器去请求对终端实体进行数字证书的认证，这样减轻了CA服务器的负荷，也能节约网络带宽资源。另外，由于代理设备可以有多个，代理设备可以设置在终端实体的附近，因此代理设备可以向终端实体提供非常安全、快速和方便地数字证书的认证。
[0008]在一种可能的实现方式中，方法还包括：代理设备向CA服务器发送包含第一代理设备公钥的中间证书授权请求，代理设备接收CA服务器发送的中间证书授权响应，该中间证书授权响应包含了第一中间证书和第一中间证书的证书链，其中，第一中间证书包含所述第一代理设备公钥和第一中间证书的数字签名值，第一中间证书的证书链包含CA根证书，CA根证书包含CA根公钥，第一中间证书的数字签名值由CA服务器使用CA根私钥对第一中间证书进行数字签名获得的，CA根公钥和所述CA根私钥为所述CA服务器生成的一对密钥对；代理设备使用所述第一中间证书的证书链验证所述第一中间证书的数字签名值是正确的。因此，CA服务器可以为代理设备颁发中间证书，这样拥有中间证书的代理设备可以实现对各个终端实体颁发终端实体的数字证书。
[0009]在一种可能的实现方式中，方法还包括：当终端实体需要更新自身的终端实体证书时，终端实体将生成新的密钥对：第二终端实体公钥和第二终端实体私钥。代理设备接收终端实体发送的包含第二终端实体公钥的第一证书更新请求，代理设备根据所述第一证书更新请求对所述第二终端实体公钥生成第二终端实体证书，并使用第一代理设备私钥对第二终端实体证书进行数字签名，获得第二终端实体证书的数字签名值，生成并向终端实体发送第一证书更新响应，其中，第一证书更新响应包含第二终端实体证书和第二终端实体证书的证书链，第二终端实体证书包含第二终端实体公钥和所述第二终端实体证书的数字签名值，第二终端实体证书的证书链用于验证所述第二终端实体证书的数字签名值是否正确，第二终端实体证书的证书链包含CA根证书和第一中间证书。当需要更新终端实体证书时，无需到CA服务器去请求更新该终端实体证书，而只需要向位于终端实体附近的代理设备请求更新该终端实体证书。这样避免了海量的终端实体都到唯一的CA服务器去请求更新数字证书的认证，这样减轻了CA服务器的负荷，也能节约网络带宽资源。
[0010]在一种可能的实现方式中，方法还包括：当代理设备需要更新中间证书时，代理设备将生成新的密钥对：第二代理设备公钥和第二代理设备私钥。代理设备向CA服务器发送包含第二代理设备公钥的第二证书更新请求，代理设备接收CA服务器发送的第二证书更新响应，其中，该第二证书更新响应包含第二中间证书和第二中间证书的证书链，第二中间证书包含第二代理设备公钥和第二中间证书的数字签名值，第二中间证书的数字签名值由所述CA服务器使用CA根私钥对所述第二中间证书进行数字签名获得的；当代理设备使用所述第二中间证书的证书链验证所述第二中间证书的数字签名值是正确时，代理设备将所述第一中间证书替换为所述第二中间证书。当需要更新中间证书时，代理设备及时向CA服务器请求更新该中间证书，这样实现了中间证书的及时更新。
[0011]在一种可能的实现方式中，方法还包括：在中间证书更新后，终端实体需要更新重新向代理设备重新签发终端实体证书，此时代理设备接收终端实体发送的包含第一终端实
体公钥第三证书更新请求，代理设备根据第三证书更新请求，对第一终端实体公钥生成第三终端实体证书，并使用第二代理设备私钥对第三终端实体证书进行数字签名，获得第三终端实体证书的数字签名值，生成并向终端实体发送第三证书更新响应，其中，第三证书更新响应包含第三终端实体证书和第三终端实体证书的证书链，第三终端实体证书包含第一终端实体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数字证书签发的方法，其特征在于，所述方法包括：代理设备接收终端实体发送的终端实体证书授权请求，所述终端实体证书授权请求包含第一终端实体公钥；所述代理设备根据所述终端实体证书授权请求，对所述第一终端实体公钥生成第一终端实体证书，使用第一代理设备私钥对所述第一终端实体证书进行数字签名，获得所述第一终端实体证书的数字签名值，生成终端实体证书授权响应，其中，所述终端实体证书授权响应包含所述第一终端实体证书和所述第一终端实体证书的证书链，所述第一终端实体证书包含所述第一终端实体公钥和所述第一终端实体证书的数字签名值，所述第一终端实体证书的证书链用于验证所述第一终端实体证书的数字签名值是否正确，所述第一终端实体证书的证书链包含授权认证CA根证书和第一中间证书，其中，所述第一中间证书包含第一代理设备公钥，所述第一代理设备公钥和所述第一代理设备私钥为所述代理设备生成的一对密钥对；所述代理设备向所述终端实体发送所述终端实体证书授权响应。2.根据权利要求1所述的方法，其特征在于，还包括：所述代理设备向CA服务器发送中间证书授权请求，所述中间证书授权请求包含所述第一代理设备公钥；所述代理设备接收所述CA服务器发送的中间证书授权响应，所述中间证书授权响应包含了第一中间证书和第一中间证书的证书链，所述第一中间证书包含所述第一代理设备公钥和第一中间证书的数字签名值，其中，所述第一中间证书的证书链包含所述CA根证书，所述CA根证书包含CA根公钥，所述第一中间证书的数字签名值由所述CA服务器使用CA根私钥对所述第一中间证书进行数字签名获得的，所述CA根公钥和所述CA根私钥为所述CA服务器生成的一对密钥对；所述代理设备使用所述第一中间证书的证书链验证所述第一中间证书的数字签名值是正确的。3.根据权利要求1或2所述的方法，其特征在于，还包括：所述代理设备接收所述终端实体发送的第一证书更新请求，所述第一证书更新请求包含第二终端实体公钥；所述代理设备根据所述第一证书更新请求，对所述第二终端实体公钥生成第二终端实体证书，并使用第一代理设备私钥对所述第二终端实体证书进行数字签名，获得所述第二终端实体证书的数字签名值，生成第一证书更新响应，其中，所述第一证书更新响应包含所述第二终端实体证书和所述第二终端实体证书的证书链，所述第二终端实体证书包含所述第二终端实体公钥和所述第二终端实体证书的数字签名值，所述第二终端实体证书的证书链用于验证所述第二终端实体证书的数字签名值是否正确，所述第二终端实体证书的证书链包含所述CA根证书和第一中间证书；所述代理设备向所述终端实体发送所述第一证书更新响应。4.根据权利要求1或2所述的方法，其特征在于，还包括：所述代理设备向所述CA服务器发送第二证书更新请求，所述第二证书更新请求包含第二代理设备公钥；所述代理设备接收所述CA服务器发送的第二证书更新响应，所述第二证书更新响应包含第二中间证书和第二中间证书的证书链，所述第二中间证书包含所述第二代理设备公钥和第二中间证书的数字签名值，其中，所述第二中间证书的数字签名值由所述CA服务器使用CA根私钥对所述第二中间证书进行数字签名获得的；
所述代理设备使用所述第二中间证书的证书链验证所述第二中间证书的数字签名值是正确的，并将所述第一中间证书替换为所述第二中间证书。5.根据权利要求4所述的方法，其特征在于，还包括：所述代理设备接收所述终端实体发送的第三证书更新请求，所述第三证书更新请求包含所述第一终端实体公钥；所述代理设备根据所述第三证书更新请求，对所述第一终端实体公钥生成第三终端实体证书，并使用第二代理设备私钥对所述第三终端实体证书进行数字签名，获得所述第三终端实体证书的数字签名值，生成第三证书更新响应，其中，所述第三证书更新响应包含所述第三终端实体证书和第三终端实体证书的证书链，所述第三终端实体证书包含所述第一终端实体公钥和所述第三终端实体证书的数字签名值，所述第三终端实体证书的证书链用于验证所述第三终端实体证书的数字签名值是否正确，所述第三终端实体证书的证书链包含所述CA根证书和所述第二中间证书，所述第二代理设备私钥和所述第二代理设备公钥为所述代理设备生成的一对密钥对；所述代理设备向所述终端实体发送所述第三证书更新响应。6.根据权利要求4所述的方法，其特征在于，所述使用所述第二中间证书的证书链验证所述第二中间证书的数字签名值是正确的，具体为：所述代理设备利用CA根公钥验证所述CA根证书的数字签名值是否正确，当验证所述CA根证书的数字签名值为不正确时，确定所述第二中间证书是不正确的；当验证所述CA根证书的数字签名值为正确时，利用所述CA根公钥验证所述第二中间证书的数字签名值是否正确，当验证所述第二中间证书的数字签名值为不正确时，则确定所述第二中间证书是不正确的；当验证所述第二中间证书的数字签名值为正确时，则确定所述第二中间证书是正确的。7.一种数字证书签发的装置，其特征在于，所述...

【专利技术属性】
技术研发人员：易孟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：