数字证书颁发方法、数字证书颁发中心和可读存储介质

本发明涉及电子信息领域，具体涉及信息安全领域，特别是涉及一种数字证书颁发方法、数字证书颁发中心和计算机可读存储介质。

身份认证是用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的技术。目前使用最多的是基于口令的认证方法和基于证书的认证方法。基于证书的身份认证是公钥基础设施PKI(Public Key Infrastructure)提供的基本安全服务之一。PKI基于非对称公钥技术，采用数字证书将用户自然身份和公钥等数字信息绑定在一起，是由认证中心(CA)或者认证中心的下级认证中心颁发的。

认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性。

现有技术多是多级认证中心方式颁发数字的，用户随机产生一对公私钥密钥对，将公共密钥及部分个人身份信息传送给一家认证中心。认证中心核实身份后确信请求确实由用户发送而来的，并发给用户一个数字证书，该证书内附了用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时，就可以提供这一数字证书。该方式的认证过程一般是通过第三方认证中心进行的，不具备自主可控性。并且，认证过程涉及与第三方服务器的多次交付、认证与授权，证书颁发往往存在延迟或不及时的问题，影响大规模的证书授权应用。

为了解决上述问题，本发明的目的是提供一种数字证书颁发方法、数字证书颁发中心及计算机可读存储介质，该方法对将第三方认证中心设置到企业本地，由企业主自己进行证书的颁发。解决了现有数字证书颁发所存在的不及时和无法自主可控的问题。

基于此，本发明提供了一种数字证书颁发方法，所述数字证书颁发方法包括：

向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息；

目标服务器认证所述注册信息，若所述注册信息通过认证，则颁发所述数字证书。

在本发明实施例中，所述向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息的步骤，包括：

获取所述目标服务器的IP地址与端口信息；

随机生成一对公私密钥对，其中私钥用于加密所述注册信息，公钥与所述注册信息发送到所述IP地址与端口信息对应的目标服务器中。

在本发明实施例中，所述认证所述注册信息，若所述认证信息通过认证，则颁发数字证书的步骤包括：

获取目标服务器证书，所述目标服务器证书包括认证公钥；

获取所述注册信息的第一摘要以及基于所述认证公钥解签获取的第二摘要；

将所述第一摘要和所述第二摘要匹配，若所述第一摘要和所述第二摘要一致，则所述注册信息认证通过，颁发数字证书。

在本发明实施例中，获取所述第一摘要的步骤包括：

随机生成第一字符串；

将所述第一字符串、用户信息和时间戳信息组合成组合信息；

对所述组合信息进行一次哈希计算得到第一摘要。

在本发明实施例中，所述基于所述认证公钥解签获取的第二摘要的步骤包括：

随机生成第二字符串；

根据所述第二字符串、组合信息和所述目标服务器的自身信息进行哈希计算得到第二摘要。

在本发明实施例中，所述方法还包括对所述数字证书进行验证，验证步骤包括：

获取解密公钥解析所述数字证书的私钥；

根据所述私钥解析所述数字证书的注册信息。

在本发明实施例中，在所述获取解密公钥解析所述数字证书的私钥步骤之后，还包括：

生成新的公钥加密所述数字证书的私钥。

本发明还提供了一种数字证书颁发中心，包括：

证书请求模块，用于向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息；

证书颁发模块，用于在所述目标服务器通过所述注册信息认证时，颁发所述数字证书。

本发明还提供了一种数字证书颁发中心，包括存储器、处理器和网络接口，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现数字证书颁发方法的步骤。

本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现数字证书颁发方法的步骤。

在本发明中，提供一种数字证书颁发方法，该方法包括向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息；目标服务器认证所述注册信息，若所述注册信息通过认证，则颁发所述数字证书。本发明实施例通过向指定服务器认证，解决了多级认证中心证书授权与颁发过程中的高延迟、低安全、过程复杂等问题。尤其是将本地服务器作为认证中心，本地具有数字证书授权的最高权限，可以进行自主的授权与分发，具有绝对的自主控制权，解决认证授权的自主可控问题。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例可以应用于其中的示例性系统架构图；

图2是本发明实施例提供的数字证书颁发方法的示意图；

图3是本发明实施例提供的数字证书颁发中心的结构示意图；

图4是本发明另一种实施例数字证书颁发中心的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，系统架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104与服务器105交互，完成数字颁发认证过程。终端设备101、102、103通过网络104向服务器105发送证书申请请求、认证请求等。服务器105认证终端设备101、102、103的用户身份，在通过认证时颁发数字证书。

终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于用户设备、网络设备或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品，例如智能手机、平板电脑等，所述移动电子产品可以采用任意操作系统，如android操作系统、IOS操作系统等。其中，所述网络设备包括一种能够按照事先设定或存储的指令，自动进行数值计算和信息处理的电子设备，其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云；在此，云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。当然，本领域技术人员应能理解上述终端设备仅为举例，其他现有的或今后可能出现的终端设备如可适用于本申请，也应包含在本申请保护范围以内，并在此以引用方式包含于此。

服务器105是数字证书颁发应用的服务端，可以通过所述网络104和终端设备101、102、103进行通信，终端设备101、102、103之间可以双方甚至多方连接通信。服务器105可以是一台服务器，或者由若干台服务器组成的服务器集，或者是一个云计算服务中心。其也可以是提供各种服务的服务器，例如对终端设备101、102、103上显示的页面提供支持的后台服务器。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

互联网技术的飞速发展，用户逐渐在线完成各项操作、获得各项服务，在线操作为用户带来便捷的同时，也为用户带来了保密、安全方面的苦恼，用户所发送信息的真实性一般是通过公钥基础设施PKI来确保的，它是利用非对称密码算法原理(公钥理论)来实现并提供安全服务的具有通用性的安全服务措施。

本发明提供一种数字证书颁发方法，图2是本发明实施例提供的数字证书颁发方法的示意图，所述方法包括：

201：向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息。

202：目标服务器认证所述注册信息，若所述注册信息通过认证，则颁发所述数字证书。

需要说明的是，所述注册信息包括但不限于终端用户的基本信息和证书西信息，如个人信息、版本信息、终端设备唯一标识ID码、证书类型、密钥口令以及长度等等。

需要说明的是，本发明实施例根据IP地址与端口信息获取目标服务器，用户终端可以使用手机作为数字证书的终端载体，通过手机APP进行相应的认证、授权等操作。

具体地，用户端随机生成一对公私密钥对，其中私钥用于加密所述注册信息或者托管到所述目标服务器中。公钥与所述注册信息发送到所述IP地址与端口信息对应的目标服务器中。当想要查询用户端的业务信息，如具体交易信息，其需要向目标服务器发送对交易信息的查询请求。为了验证查询请求是合法的用户终端发出的，用户终端需要用其产生的私钥对查询请求签名，目标服务器对查询请求用该用户终端的注册信息进行签名验证，以证明查询请求是用户终端发出的。

更具体地，认证所述注册信息时，需要先获取目标服务器证书的公钥，记做认证公钥。然后计算获取用户终端本身的摘要信息(第一摘要)和目标服务器计算的用户端的摘要信息(第二摘要)，将所述第一摘要和所述第二摘要比较匹配，若所述第一摘要和所述第二摘要一致，则认为所述注册信息认证通过，由目标服务器颁发数字证书。

需要说明的是，所述第一摘要是用户终端随机生成的第一字符串、用户信息和时间戳信息组合后经过一次哈希函数计算得到的。所述第二摘要是目标服务端随机生成的第二字符串、目标服务本身信息、用户端组合信息经过哈希计算得到的。

需要说明的是，本实施例所述的业务场景制定有认证策略，获取与所述业务场景对应的注册信息认证策略，为所述注册信息进行认证；如果认证成功，生成相应的数字证书并发送给用户端，所述数字证书包含明文信息和用私钥对所述明文信息形成的签名，以便所述用户端用认证服务器的公钥对所述签名进行验证，所述明文信息包括所述用户端产生的公钥。

本发明实施例通过向目标服务器发送数字证书申请请求，其中所述数字证书申请请求包括注册信息；目标服务器认证所述注册信息，若所述注册信息通过认证，则颁发所述数字证书。本发明实施例通过向指定服务器认证用户端数字证书，解决了多级认证中心证书授权与颁发过程中的高延迟、低安全、过程复杂等问题。

在本发明的一个具体实施例中，将第三方认证中心提供的认证服务设置到企业本地，成为企业私有的认证中心，也就是说所述认证服务器为企业本地服务器。为防止他人非法获取用户证书获取企业数据资源，需要提供终端用户与认证服务器进行认证。具体地，如用户终端使用手机作为数字证书的终端载体，通过手机APP向本地服务器进行相应的认证、授权等操作。数字颁发服务器提供安全代理(监控)APP、证书APP、认证服务等进行挑战应答、心跳等认证，若认证通过，终端用户与认证服务器认证通过获取证书及私钥，终端用户将证书和私钥加密存储至本地存储，终端用户作证书的载体与企业应用进行统一的身份认证。

需要说明的是，数字证书的操作主要包括数字证书的制备、颁发和应用三个步骤。其中，

数字证书的制备，主要用于申请注册数字证书操作，主要由用户终端进行操作。具体地，可以包括以下步骤：

1、手机用户终端在相应程序上填写目标服务器相应的地址与端口，所述地址不限于IP地址和硬件地址；

2、输入终端用户的基本信息，包括但不限于个人信息；

3、输入认证相关信息，包括但不限于证书类型、密钥长度、密钥口令、有效期限等。

4、提交数字证书申请的注册信息。

数字证书的颁发，该操作主要是终端用户与认证服务器的交互过程，可以包括以下步骤：

1、手机终端用户产生自己的密钥对，其中公共密钥及终端用户申请注册时提交的部分个人信息发送给认证服务器。具体地，公共密钥及终端用户申请注册时提交的部分个人信息作为数字证书申请请求的一部分发送到指定的认证服务器。

2、企业本地服务器(认证服务器)对用户身份进行认证，以确信请求确实由用户发送而来。在认证通过时，企业本地服务器将发给手机终端用户一个数字证书。

需要说明的是，该数字证书是上述证书制备过程得到的，内附了用户和用户的密钥等信息，同时还附有对企业服务器公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时，就可以提供这一数字证书。

本发明实施例将将第三方认证中心提供的认证服务设置到企业本地，使用手机作为数字证书的终端载体，通过手机APP进行相应的认证授权等操作，解决了证书授权与颁发过程中的高延迟、低安全、过程复杂等问题。同时，企业主具有数字证书授权的最高权限，可以进行自主的授权与分发，具有绝对的自主控制权，解决认证授权的自主可控问题。

进一步地，数字证书的操作还包括数字证书的应用，该操作主要也是终端用户与认证服务器的交互过程，用于获取解密公钥解析所述数字证书的私钥，进而根据所述私钥解析所述数字证书的注册信息，以验证数字证书的合法性，具体包括以下步骤：

1、用户终端向认证服务器申请密钥；

2、认证服务器返回密码传回到用户终端；

3、通过所述密码解开私钥；

4、再次加密私钥，并将加密后的私钥写入到本地存储中。

需要说明的是，在所述认证服务器返回密码传回到用户终端时，返回两个密码：第一密码和第二密码。其中，第一密码是基于本次验证的上次加密的公钥解码的，用于对由终端用户提供且使用私用加密密钥加密的数据进行解密。第二密码是新生成的，用于在解密后再次加密所述用户终端的私钥、注册信息等其他加密数据，加密后的私钥写入到本地存储中。本发明实施例所述秘钥采用一次一密的方式，具有较强的安全性。数字证书可以针对不同人员身份，适用于企业内部员工及内部管理。

图3是本发明实施例提供的数字证书颁发中心300的示意图，所述装置包括：

证书请求模块301，用于向目标服务器发送数字证书申请请求，所述数字证书申请请求包括注册信息；

证书颁发模块302，用于在所述目标服务器通过所述注册信息认证时，颁发所述数字证书。

在本发明的一个具体实施例中，用户终端在手机终端设备上下载企业数字钥匙APP，打开APP后需填写企业数字管控器相应的地址与端口，以将企业本地服务器设置为认证服务器。终端用户在可在所述企业数字钥匙APP中手动录入用户个人信息，填写完成后，管理员可在Web端或其他终端的审批列表中点击制证按钮，获取认证信息录入接口，以输入认证信息，如所申请的数字证书类型、秘钥长度、秘钥口令、有效期限等等，其中私钥口令长度可以为8-16位，终端用户的其他信息可以通过选择基本信息中的员工名称自动从数据库中填充相应的信息。在数据录入完成后，通过所述证书请求模块301向企业本地服务器申请颁发数字证书。其交互过程可使用各种协议，例如HTTPS、SSL或TLS协议和其扩展，例如在以引入的方式并入本文中的以下各项中限定的协议：请求注解(RFC)2246，以建立加密通信会话。

进一步地，用户通过手机终端产生自己的密钥对，并将公共密钥及部分个人身份信息传送给企业认证服务器。企业服务器对用户身份进行认证，以确信请求确实由用户发送而来。

具体地，在可能的一个实现方式中，认证过程包括以下步骤：

S1：终端用户连接认证服务器，并从认证服务器获取认证服务器证书(公钥)；

S2：终端用户调用随机函数生成64个随机字符串，记录为：CRS64；

S3：终端用户上报自身信息：a)hardWarelnfo＝手机唯一ID(IMEI)信息，b)appInfo＝代理APP版本信息；

S4：组合所述终端用户信息：grouplnfo＝CRS64+hardWarelnfo+applnfo+cTimeStamp，其中，cTimeStamp为时间戳信息；

S5：通过socket将grouplnfo信息以json格式发送到本地服务器以计算出第一摘要：clientSelfHash Value＝SHA256(grouplnfo)；

S6：本地服务器调用随机函数生成64位随机字符串记为：SRS64；

本地服务器采集自身信息：serverinfo＝服务端ID+随机串SRS64+sTimeStamp(时间戳)；

S7：计算终端用户第二摘要：serverCalcClientHashValue＝SHA256(groupInfo+xsKey)，其中，xsKey为交互过程中约定的静态密钥串；

S8：使用认证服务器私钥对serverCalcClientHashValue摘要签字，记为：ServSign，并发送给用户终端；

S9：用户终端解析收到的消息：{“ServSign”:ServSign]；其中ServSign为认证服务器加签信息；

S10：用认证服务器证书里的公钥对ServSign进行解签，得到解签值，记为：serverCalcClientHashValue；

S11：判断用户终端的第一摘要与本地服务器计算的第二摘要是否一致，若计算结构不一致，关闭终端用户与本地服务器的连接；若判断结果一致，包括三种情况：

1)若用户终端服务器上没有用户证书，则需要向认证服务器申请证书，其中显示申请证书表单内容：姓名、手机号(可以通过SIM卡获取)

2)若用户终端服务器检测到已申请证书但没有证书APP，则直接下载证书APP

3)若用户终端有证书也有证书APP，但是没有启动则需要自动启动证书APP。

本发明实施例通过将第三方认证中心提供的认证服务设置到企业本地，用手机作为数字证书的终端载体，通过手机APP进行相应的认证授权等操作，解决了证书授权与颁发过程中的高延迟、低安全、过程复杂等问题。并且，在本实施例中企业主具有数字证书授权的最高权限，可以进行自主的授权与分发，具有绝对的自主控制权，以解决认证授权的自主可控问题。

进一步地，在验证过程中，秘钥采用一次一密的方式，具有较强的安全性。数字证书可以针对不同人员身份，适用于企业内部员工及内部管理。

需要说明的是，所述数字证书颁发装置300还包括显示模块(图未示)，所述显示模块用于显示所述数字证书颁发中心300的交互过程、响应结果显示或业务请求处理界面。

所述数字证书颁发装置300还可以包括输入模块(图未示)，所述输入模块与所述显示模块相连，所述输入模块可包括按键,可用于输入用户id的账号、密码、名称等信息，所述软件开发过程操作页面可以在所述软件开发装置中的显示模块中显示，并且所述显示模块还可以显示所述用户的其他信息，并将此信息存储起来，方便用户随时进行查看。

需要说明的是，本实施例的数字证书颁发中心300，与方法实施例的属于同一构思，其具体实现过程详细见方法实施例，且方法实施例中的技术特征在本实施例中均对应适用，此处不再赘述。

为解决上述技术问题，本申请实施例还提供又一种数字证书颁发中心。具体请参阅图4，图4为本实施例数字证书颁发中心基本结构框图。

所述数字证书颁发中心4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是，图中仅示出了具有组件41-43的数字证书颁发中心4，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的数字证书颁发中心是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述数字证书颁发中心可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。

所述存储器41至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器41可以是所述数字证书颁发中心备4的内部存储单元，例如该数字证书颁发中心4的硬盘或内存。在另一些实施例中，所述存储器41也可以是所述数字证书颁发中心4的外部存储设备，例如该数字证书颁发中心4上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。当然，所述存储器41还可以既包括所述数字证书颁发中心4的内部存储单元也包括其外部存储设备。本实施例中，所述存储器41通常用于存储安装于所述数字证书颁发中心4的操作系统和各类应用软件，例如数字证书颁发方法的程序代码等。此外，所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。

所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述数字证书颁发中心4的总体操作。本实施例中，所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据，例如运行所述数字证书颁发方法的程序代码。

所述网络接口43可包括无线网络接口或有线网络接口，该网络接口43通常用于在所述数字证书颁发中心4与其他电子设备之间建立通信连接。

本发明的实施例还提出一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现数字证书颁发方法的步骤。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本发明的保护范围。