【技术实现步骤摘要】
数字证书签发的方法、装置、终端实体和系统
[0001]本专利技术实施例涉及信息技术和通信
,尤其涉及数字证书签发的方法、装置、终端实体和系统。
技术介绍
[0002]通信设备之间进行通信通常需要是相互信任的,将通信设备之间的通信信任可以被认为跨信任域通信,通信设备也可以被称为网络实体(network entity,NE)。通常来说,通信设备内多个单板间通信则被认为属于同一信任域内的通信,单板间通信没有提供任何安全功能。随着网络攻击技术的不断发展,对通信设备的系统安全和韧性能力的要求也越来越高,通信设备的单板间通信安全也变得愈发重要。
[0003]为保证通信设备单板间通信安全,通常会采用安全传输层协议(transport layer security,TLS)、数据包传输层安全性协议(datagram transport layer security,DTLS)、互联网安全协议(internet protocol security,IPSEC)、媒体访问控制层安全协议(media access control security,MACSEC)等协议。这些协议通常使用数字证书作为通信双方身份认证凭据。这就要求设备上每块业务单板都能提供单独的数字证书标识身份。
[0004]由于诸如业务单板的海量终端实体需要请求证书授权(certificate authority,CA)服务器为终端实体签发数字证书,因此CA服务器将为海量终端实体签发数字证书,可能会导致CA服务器的负荷过大,并且消耗了大量网络带宽资源。 ...
【技术保护点】
【技术特征摘要】
1.一种数字证书签发的方法,其特征在于,所述方法包括:代理设备接收终端实体发送的终端实体证书授权请求,所述终端实体证书授权请求包含第一终端实体公钥;所述代理设备根据所述终端实体证书授权请求,对所述第一终端实体公钥生成第一终端实体证书,使用第一代理设备私钥对所述第一终端实体证书进行数字签名,获得所述第一终端实体证书的数字签名值,生成终端实体证书授权响应,其中,所述终端实体证书授权响应包含所述第一终端实体证书和所述第一终端实体证书的证书链,所述第一终端实体证书包含所述第一终端实体公钥和所述第一终端实体证书的数字签名值,所述第一终端实体证书的证书链用于验证所述第一终端实体证书的数字签名值是否正确,所述第一终端实体证书的证书链包含授权认证CA根证书和第一中间证书,其中,所述第一中间证书包含第一代理设备公钥,所述第一代理设备公钥和所述第一代理设备私钥为所述代理设备生成的一对密钥对;所述代理设备向所述终端实体发送所述终端实体证书授权响应。2.根据权利要求1所述的方法,其特征在于,还包括:所述代理设备向CA服务器发送中间证书授权请求,所述中间证书授权请求包含所述第一代理设备公钥;所述代理设备接收所述CA服务器发送的中间证书授权响应,所述中间证书授权响应包含了第一中间证书和第一中间证书的证书链,所述第一中间证书包含所述第一代理设备公钥和第一中间证书的数字签名值,其中,所述第一中间证书的证书链包含所述CA根证书,所述CA根证书包含CA根公钥,所述第一中间证书的数字签名值由所述CA服务器使用CA根私钥对所述第一中间证书进行数字签名获得的,所述CA根公钥和所述CA根私钥为所述CA服务器生成的一对密钥对;所述代理设备使用所述第一中间证书的证书链验证所述第一中间证书的数字签名值是正确的。3.根据权利要求1或2所述的方法,其特征在于,还包括:所述代理设备接收所述终端实体发送的第一证书更新请求,所述第一证书更新请求包含第二终端实体公钥;所述代理设备根据所述第一证书更新请求,对所述第二终端实体公钥生成第二终端实体证书,并使用第一代理设备私钥对所述第二终端实体证书进行数字签名,获得所述第二终端实体证书的数字签名值,生成第一证书更新响应,其中,所述第一证书更新响应包含所述第二终端实体证书和所述第二终端实体证书的证书链,所述第二终端实体证书包含所述第二终端实体公钥和所述第二终端实体证书的数字签名值,所述第二终端实体证书的证书链用于验证所述第二终端实体证书的数字签名值是否正确,所述第二终端实体证书的证书链包含所述CA根证书和第一中间证书;所述代理设备向所述终端实体发送所述第一证书更新响应。4.根据权利要求1或2所述的方法,其特征在于,还包括:所述代理设备向所述CA服务器发送第二证书更新请求,所述第二证书更新请求包含第二代理设备公钥;所述代理设备接收所述CA服务器发送的第二证书更新响应,所述第二证书更新响应包含第二中间证书和第二中间证书的证书链,所述第二中间证书包含所述第二代理设备公钥和第二中间证书的数字签名值,其中,所述第二中间证书的数字签名值由所述CA服务器使用CA根私钥对所述第二中间证书进行数字签名获得的;
所述代理设备使用所述第二中间证书的证书链验证所述第二中间证书的数字签名值是正确的,并将所述第一中间证书替换为所述第二中间证书。5.根据权利要求4所述的方法,其特征在于,还包括:所述代理设备接收所述终端实体发送的第三证书更新请求,所述第三证书更新请求包含所述第一终端实体公钥;所述代理设备根据所述第三证书更新请求,对所述第一终端实体公钥生成第三终端实体证书,并使用第二代理设备私钥对所述第三终端实体证书进行数字签名,获得所述第三终端实体证书的数字签名值,生成第三证书更新响应,其中,所述第三证书更新响应包含所述第三终端实体证书和第三终端实体证书的证书链,所述第三终端实体证书包含所述第一终端实体公钥和所述第三终端实体证书的数字签名值,所述第三终端实体证书的证书链用于验证所述第三终端实体证书的数字签名值是否正确,所述第三终端实体证书的证书链包含所述CA根证书和所述第二中间证书,所述第二代理设备私钥和所述第二代理设备公钥为所述代理设备生成的一对密钥对;所述代理设备向所述终端实体发送所述第三证书更新响应。6.根据权利要求4所述的方法,其特征在于,所述使用所述第二中间证书的证书链验证所述第二中间证书的数字签名值是正确的,具体为:所述代理设备利用CA根公钥验证所述CA根证书的数字签名值是否正确,当验证所述CA根证书的数字签名值为不正确时,确定所述第二中间证书是不正确的;当验证所述CA根证书的数字签名值为正确时,利用所述CA根公钥验证所述第二中间证书的数字签名值是否正确,当验证所述第二中间证书的数字签名值为不正确时,则确定所述第二中间证书是不正确的;当验证所述第二中间证书的数字签名值为正确时,则确定所述第二中间证书是正确的。7.一种数字证书签发的装置,其特征在于,所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。