安全证书获取方法、系统、计算机设备及存储介质

本申请涉及数据安全传输的技术领域，特别是涉及一种安全证书获取方法、系统、计算机设备及存储介质。

现智能汽车网联产品件需要预埋安全证书，用于车端与云端建立安全通讯和合法认证。传统方案是车企将安全证书通过网络邮件或U盘存储形式发给网联产品供应商，由供应商在开发时进行预埋，此环节存在安全隐患，即安全证书通过网络邮件或U盘传递存在人工参与场景，同时证书出了车企内部网联，有证书泄露风险，如被黑客利用可产生严重的安全隐患。

因此，亟需提出一种降低证书泄露风险及其产生的安全隐患的安全证书获取方法、系统、计算机设备及存储介质。

基于此，有必要针对上述技术问题，提供一种能够降低证书泄露风险的安全证书获取方法、系统、计算机设备及存储介质。

一方面，提供一种安全证书获取方法，所述方法包括：

步骤A：设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中；

步骤B：设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证，若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书；

步骤C：利用所述第二证书替换所述第一证书，将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。

在其中一个实施例中，还包括：所述方法还包括：基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书，所述第三证书为安全证书。

在其中一个实施例中，还包括：所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括：所述设备供应终端利用源代码基础库随机生成第一公私钥对，通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件，所述PDID为网联设备追溯码；向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求；所述远程服务提供平台基于所述申请请求，向公钥基础设施提交所述第一p10文件；所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书，并传送至所述网页页面；所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。

在其中一个实施例中，还包括：所述第一证书为临时证书，所述临时证书中包括证书用途标记，所述证书用途标记为：仅可用于申请正式证书，不能用于业务操作；所述临时证书的预设效期为三个月。

在其中一个实施例中，还包括：所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括：在所述设备应用端写入公钥基础设施根证书、PDID、所述第一证书以及所述第一证书的私钥；利用所述公钥基础设施根证书验证所述第一证书的合法性：采用RSA签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。

在其中一个实施例中，还包括：所述根据所述第一证书向所述远程服务提供平台申请第二证书包括：当所述第一证书合法时，基于公钥基础设施系统里的软件开发工具包及所述PDID生成第二公私钥对和第二p10文件；对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的HTTP双向认证通讯；认证通过后，向所述远程服务提供平台提交所述第二p10文件和所述PDID触发所述第二证书的申请请求；所述远程服务提供平台验证所述第一证书的合法性和用途、所述PDID的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量；当所述第一证书的合法性和用途、所述PDID的合法性符合标准，且所述第一证书的批次号准确以及所述第一证书的数量有余量时，向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件，利用所述公钥基础设施生成所述第二证书。

在其中一个实施例中，还包括：利用所述第二证书替换所述第一证书，并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中，包括：累计所述公钥基础设施生成的所述第二证书数量后，将所述第二证书传送至所述设备应用端；所述设备应用端写入所述第二证书以替换所述第一证书；将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯，认证通过后，将所述第二证书预埋于所述设备应用端的所述网联产品件中，以便于进行后续的业务流程。

另一方面，提供了一种安全证书获取系统，所述系统包括：

第一证书申请及下载模块，用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中；

第二证书生成模块，用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证，若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书；

证书替换及预埋模块，用于利用所述第二证书替换所述第一证书，将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。

再一方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

步骤A：设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中；

步骤B：设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证，若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书；

步骤C：利用所述第二证书替换所述第一证书，将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。

又一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

步骤A：设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中；

步骤B：设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证，若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书；

步骤C：利用所述第二证书替换所述第一证书，将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。

本申请实现的有益效果为：上述的安全证书获取方法、系统、计算机设备及存储介质，所述方法包括：设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中；设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证，若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书；利用所述第二证书替换所述第一证书，将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中，本申请通过设备供应终端主动向设备应用端申请临时证书的方法，将临时证书预埋在网联产品件中，而后在设备应用端的产线上，再通过产线电检触发网联产品件的临时证书换取正式证书，解决正式证书预埋传输问题，正式使用的安全证书在生命周期始终控制在设备应用端内部网络，不存在传输问题，且临时证书一旦发现泄露，可通过管控手段禁止申请正式证书，避免了人工干预的场景，从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题，提高了证书的安全性。

图1为一个实施例中安全证书获取方法的应用环境图；

图2为一个实施例中安全证书获取方法的流程示意图；

图3为一个实施例中安全证书获取方法的另一流程示意图；

图4为一个实施例中安全证书获取系统的结构框图；

图5为一个实施例中计算机设备的内部结构图。

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的安全证书获取方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104通过网络进行通信，设备供应终端和设备应用端通过网络与设置于服务器104上的远程服务提供平台进行通信。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者是多个服务器组成的服务器集来实现。

在一个实施例中，如图2所示，提供了一种安全证书方法，以该方法应用于图1中的终端为例进行说明，包括以下步骤：

S1：设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书，将所述第一证书预埋于网联产品件中。

需要说明的是，在执行该步骤之前，需基于所述公钥基础设施(PKI，Public KeyInfrastructure)预先生成应用于所述远程服务提供平台(TSP，Telematics ServiceProvider)的第三证书，并将所述第三证书离线发送给所述远程服务提供平台，其中，所述第三证书为安全证书，即为应用于所述远程服务提供平台的正式证书，所述第三证书用于后续与设备供应终端做双向认证，以提高证书传输过程的安全性。

进一步的，示例性的，设备供应终端可以是TBOX(Telematics-BOX,车载通讯终端)供应商，相当于设备零件供应者，而下文所述的设备应用端可以是车企生产产线，相当于将所述设备零件进行组装的生产线，另外，远程服务提供平台即为云平台，用于进行业务校验。

更进一步的，所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括：

所述设备供应终端利用源代码基础库(Open SSL基础库)随机生成第一公私钥对，通过所述第一公私钥对中的公钥、PDID的批次号和本批次PDID数量生成第一p10文件，所述PDID为网联设备追溯码，其中，私钥不公开，所述私钥用于后续的双向认证通讯，P10是指PKCS