一种数字证书轻量化传输方法及系统

本申请涉及信息安全领域，尤其涉及一种数字证书轻量化传输方法及系统。

传统的数字证书通常采用X509标准，证书的体积较大，常用的X.509v3版本证书包括了版本号、证书序列号、发行者名称、主题等等一系列内容，一般长度在500字节至1.5K字节，这么大的数据不适合在广播无线网络中传输，尤其是调频广播、中波广播之类窄带传输。

X.509标准证书一般采用DER编码模式，编解码比较复杂，对于广播领域很多终端来说，本身设备一般采用单片机设计，内部存储运算资源有限，使用这种体系的证书实现起来非常困难。

数字证书的传输和验证一般采用的是OCSP和LDAP服务对证书进行验证，包括证书有效性和更新证书黑名单。在广播领域，使用X.509标准证书和OCSP、LDAP等服务需要在县级平台搭建相应的信息系统，而这些县乡级单位信息化水平偏低，运营管理能力较弱，信息系统和设备建设投入有限，搭建这些系统会大幅增加这类单位的资金压力，并且即使搭建起来，后续的运营和维护工作也很困难。

为解决上述技术问题之一，本发明提供了一种数字证书轻量化传输方法及系统。

本发明实施例第一方面提供了一种数字证书轻量化传输方法，所述方法包括：

对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备；

接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。

本发明实施例第二方面提供了一种数字证书轻量化传输方法，所述方法包括：

接收广播平台设备发送的申请请求报文，所述申请请求报文中包含有信任证书列表，所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表；

根据所述申请请求报文生成信任证书验证数据和信任证书数据；

通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据；

将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备，以使所述广播平台设备向广播终端设备进行广播，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过所述广播终端设备内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。

优选地，所述方法还包括：

对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号，以使所述广播终端设备接收到广播平台设备发送的广播信息之后，对所述广播信息中所包含的带有证书编号的数字签名进行识别，当所述进行数字签名的证书编号存在于所述广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证，并在验证通过后进行播出。

本发明实施例第三方面提供了一种数字证书轻量化传输方法，所述方法包括：

接收广播平台设备发送授权报文数据信息，所述授权报文数据信息为认证中心设备根据广播平台设备发送的申请请求报文所生成的信息，所述申请请求报文中包含有信任证书列表，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号；

对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。

优选地，所述方法还包括：

接收认证中心设备预装的非对称密钥对并进行编号，生成证书编号；

接收广播平台设备发送的广播信息，对所述广播信息中所包含的带有证书编号的数字签名进行识别，当所述进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对所述广播消息进行验证，并在验证通过后进行播出。

本发明实施例第四方面提供了一种数字证书轻量化传输系统，所述系统包括广播平台设备、认证中心设备和广播终端设备；

所述广播平台设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在广播平台设备上运行时，使得所述广播平台设备执行本发明实施例第一方面所述的数字证书轻量化传输方法；

所述认证中心设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在认证中心设备上运行时，使得所述认证中心设备执行本发明实施例第二方面所述的数字证书轻量化传输方法；

所述广播终端设备包括计算机可读存储介质，所述计算机可读存储介质包括计算机程序，当计算机程序在广播终端设备上运行时，使得所述广播终端设备执行本发明实施例第三方面所述的数字证书轻量化传输方法。

优选地，所述被数字签名的信任证书列表包括广播终端设备证书号，信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号和认证中心对所述对所述广播终端设备证书号，信任证书列表版本号、信任证书数量及证书编号、认证中心证书编号的签名数据。

优选地，所述信任证书数据包括数字证书版本号、数字证书签发者编号、数字证书编号、数字证书有效期、数字证书公钥数据和数字证书签名数据。

本发明的有益效果如下：本发明所提出的方法通过轻量级数字证书协议，以白名单方式解决了广播终端设备存储容量有限的问题，大大简化了传统对数字证书验证需要使用OCSP和LDAP服务才能进行的业务。

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明实施例1所述的数字证书轻量化传输方法的流程图；

图2为本发明实施例2所述的数字证书轻量化传输方法的流程图；

图3为本发明实施例3所述的数字证书轻量化传输方法的流程图；

图4为本发明实施例4所述的数字证书轻量化传输系统的原理图。

为了使本申请实施例中的技术方案及优点更加清楚明白，以下结合附图对本申请的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本申请的一部分实施例，而不是所有实施例的穷举。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例1

如图1所示，本实施例提出了一种数字证书轻量化传输方法，该方法包括：

S101、对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备。

具体的，本实施例所提出的方法可应用于广播平台设备中。该广播平台设备可对每一个下级的广播终端设备进行管理。其中，包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计，并生成相应的信任证书列表。在生成信任证书列表之后，广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中，申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。

S102、接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播。

具体的，本实施例中认证中心设备在接收到申请请求报文之后，可通过该申请请求报文获取到信任证书列表。同时，根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作，最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，其中，对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。广播平台设备在接收到该授权报文数据信息后，向该广播平台设备的下级广播终端设备进行广播。

更为具体的，本实施例中采用http协议post机制实现广播平台设备与认证中心设备之间的数据传输，其具有传输数据多、安全性高的特点。

请求报文如下：

http://x.x.x.x:port/certauth？path＝证书号1.证书号2.证书号3&opt＝XXX&SMSN＝被授权广播终端设备证书号&signature＝XXXXXXXXXXXXXXXXXXXX

说明如下：

以6字节证书号代替对应的广播终端设备或系统；其中证书号1、证书号2、证书号3及被授权证书号长度都是6个字节；

其中“PATH＝”部分是表示要在被授权设备内建立的信任证书授权列表；此列表最长支持16个，可实现支持每一个村级广播设备；

Opt为功能开关，其内容定义如下：

REG：注册操作；(即将被授权设备注册到管理中心，根据path＝后面的证书号可定位此被授权设备所在的单位)；

SIGN：证书信任列表签名；表示对path后面的证书列表进行签名，此列表将写入被授权设备的安全存储区，后续业务操作时，将以此为依据。

DOWN：证书下载，申请path后面证书信任列表中标识的证书数据；

Signature:通信保护用数字签名，表示使用被授权设备证书对前面path＝之后的所有数据的数字签名，确保通信过程中此数据未被修改，以base64编码形式传输。

REG请求报文如下：

http://192.168.5.33:8090/certauth？path＝00000000000b.00000000000c&opt＝REG&SMSN＝00000000000e&signature＝zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ＝＝

返回内容：

RET_OK

SN＝000000000001,signature＝MEUCIBQCBTUlFoXvr6uItkyPyitAjtMFY+G/IsKpNDe5WnX/AiEAoMg3dEhH2+2Bnb1/aAGGpG2UxKlaupE1oSQlFhwUnA8＝

其中RET_OK表示注册成功；signature＝是服务端使用sn＝的证书对本次返回数据的签名，以base64编码表示。

SIGN请求报文如下：

http://192.168.5.33:8090/MAV/zcqq？path＝00000000000b.00000000000c&opt＝SIGN&SMSN＝00000000000e&signature＝zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ＝＝

返回内容：

RET_OK,SN＝000000000001,SIGN_LIST＝AAAAAAAO/wIAAAAAAAsAAAAAAAwAAAAAAAEj8Hlbai0UV9MaA2DA4+yJ7eD959THJm0zzB3LEi+p0ruXMaqZkX1ZZl5gwI8AJ+4p2KmUd2H23vT1RKm30EHZ,singature＝MEUCICPweVtqLRRX0xoDYMDj7Int4P3n1McmbTPMHcsSL6nSAiEAu5cxqpmRfVlmXmDAjwAn7inYqZR3Yfbe9PVEqbfQQdk＝

其中SIGN_LIST＝表示的就是申请中path部分申请证书列表+对列表的签名的base64编码形式，signature＝是服务端使用sn＝的证书对本次返回全部数据的签名，以base64编码表示。

DOWN请求报文如下：

http://192.168.5.33:8090/MAV/zcqq？path＝00000000000B.00000000000C&opt＝DOWN&SMSN＝00000000000e&signature＝zuWmvbxoJgQl7UQKksT5b52PUjOmSXc7eLdNbc071dN3PCnmiizmYpmI9BmLe7yOb1xKRIqFpxhdfbrxmhtjCQ＝＝

返回内容：

RET_OK

SN＝000000000001,singature＝MEYCIQD0HvyMzeoMysdKw8KKIAh76EMbncNmAhYwqlZH8S4yZwIhAOJGntkmxlA/X8+Q/sT9TsrjbUi2G+BUmG+UHPxFNy1i,<？xml version＝"1.0"encoding＝"GBK"？>2019-04-2416:36:0100000000000B,00000000000C00000000000b01000000000000100000000000B460573922D301E6C1CD96BD10D4E66ED0E1A1A7189DF16EC9028871664BE360B9F64999C0E0E4F9F4AE37FBFCB8D0E007BADE4BF09068BBAFA4E0A7E4B1EEEAEE800D72EE1C64701FE8C6B5409DC8D6B103BF30B2D6165CE379D423DD57366E44127536E6B6A083880418E527382C0B6926E8E1FD3CE99B7C9434015E260BA73EAA502016-05-09 17:52:02.02046-05-31 23:59:59.0

SN＝"00000000000C">00000000000c01000000000000100000000000C46057170B6F949C6FAF23EFABD07845BBD3F0140FD089B0D8D98F6EE77F99F5BEDB1DC3F9AF51DC2823927FCBC31DB2C536BB065C433E8F04B8F76BD9CD943967352FA403DFE8E44E8641295FF3FAB770FBD637C170C96ACCD0523F415D574F5F53FB7D2E6C924D75A6482953060440103E945979C8175F77A60390A3DA2F8723CF302016-05-09 17:52:02.02046-05-31 23:59:59.0

以XML格式返回要下载的证书数据。

另外，本实施例对信任证书数据进行了简化，数字证书长度为143字节，较通用的X.509证书减少了很多，因此证书仅在广播领域使用，属于封闭领域，所以仅保留了必要字段。其中包括1字节的数字证书版本号、6字节的数字证书签发者编号、6字节的数字证书编号、2字节的数字证书有效期、64字节的数字证书公钥数据和64字节的数字证书签名数据，如表1所示。

表1

字段 长度(字节) 备注 CertificateVersion 1 数字证书版本号 IssuerSN 6 数字证书签发者编号 CertificateSN 6 数字证书编号 CertificateValidate 2 数字证书有效期 PublicKey 64 数字证书公钥数据 SignatureData 64 数字证书签名数据

通过上述所描述的请求报文可以看出，本实施例中认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号，即SMSN字段。每个广播终端设备对应一个该证书号，以使广播终端设备对被授权广播终端设备证书号进行识别，当被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。

此外，本实施例中，认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后，对广播信息中所包含的带有证书编号的数字签名进行识别，当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证，并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证，大大降低了终端处理的业务量。

实施例2

如图2所示，本实施例提出了一种数字证书轻量化传输方法，该方法包括：

S201、接收广播平台设备发送的申请请求报文。

具体的，本实施例所提出的方法可应用于认证中心设备中。该认证中心设备可与广播平台设备进行数据传输。该广播平台设备可对每一个下级的广播终端设备进行管理。其中，包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计，并生成相应的信任证书列表。在生成信任证书列表之后，广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中，申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。

S202、根据所述申请请求报文生成信任证书验证数据和信任证书数据，通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据。

具体的，本实施例中认证中心设备在接收到申请请求报文之后，可通过该申请请求报文获取到信任证书列表。同时，根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作，最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，其中，对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。

S203、将所述信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备。

具体的，认证中心设备将生成的信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据发送至广播平台设备。广播平台设备在接收到该授权报文数据信息后，向该广播平台设备的下级广播终端设备进行广播。其中，本实施例中广播平台设备与认证中心设备之间的数据传输机制可参照实施例1所记载的内容，本实施例不再进行赘述。认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号。每个广播终端设备对应一个该证书号，以使广播终端设备对被授权广播终端设备证书号进行识别，当被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。

此外，本实施例中，认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后，对广播信息中所包含的带有证书编号的数字签名进行识别，当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证，并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证，大大降低了终端处理的业务量。

实施例3

如图3所示，本实施例提出了一种数字证书轻量化传输方法，该方法包括：

S301、接收广播平台设备发送授权报文数据信息。

具体的，本实施例所提出的方法可应用广播终端设备中。该广播终端设备可设置在各乡镇。该广播终端设备可受广播平台设备管理。该广播平台设备可对每一个下级的广播终端设备进行管理。其中，包括对每一个广播终端设备内存储哪些或哪种信任证书进行设计，并生成相应的信任证书列表。在生成信任证书列表之后，广播平台设备将信任证书列表以申请请求报文的形式发送至认证中心设备。其中，申请请求报文中可包括对信任证书列表中所罗列的信任证书进行申请注册、签名、下载信任证书等请求。

认证中心设备在接收到申请请求报文之后，可通过该申请请求报文获取到信任证书列表。同时，根据该申请请求报文对信任证书列表中所罗列的内容进行相应的操作，最终将获得的授权报文数据信息发送至广播平台设备。该授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，其中，对信任证书列表和信任证书数据进行数字签名的过程是通过认证中心的根秘钥实现的。广播平台设备在接收到该授权报文数据信息后，向该广播平台设备的下级广播终端设备进行广播。本实施例中认证中心设备所生成的信任证书验证数据中包含有被授权广播终端设备证书号。每个广播终端设备对应一个该证书号。

S302、对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，通过内部预制的根证书对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行验证，并在验证通过后保存所述被数字签名的信任证书列表和被数字签名的信任证书数据。

此外，本实施例中，认证中心设备还可以对广播终端设备预装非对称密钥对并进行编号，生成证书编号，证书编号与广播终端设备一一对应，同时以信任证书列表方式保存所有广播终端设备的证书编号。广播终端设备接收到广播平台设备发送的广播信息之后，对广播信息中所包含的带有证书编号的数字签名进行识别，当进行数字签名的证书编号存在于广播终端设备对应的信任证书列表中时，通过证书编号索引所对应的非对称密钥对的根证书对广播消息进行验证，并在验证通过后进行播出。从而实现了只支持对信任证书列表中有的签名才进行验证，大大降低了终端处理的业务量。

实施例4

如图4所示，本实施例提出了一种数字证书轻量化传输系统，该系统包括广播平台设备、认证中心设备和广播终端设备；其中，广播平台设备、认证中心设备和广播终端设备中均包括计算机可读存储介质，该计算机可读存储介质包括计算机程序，当计算机程序在广播平台设备、认证中心设备和广播终端设备上运行时，使得该广播平台设备、认证中心设备和广播终端设备分别执行相应的操作，具体操作过程和相关内容可参照实施例1至3所记载的内容，本实施例不再进行赘述。

本实施例通过轻量级数字证书协议，以白名单方式解决了广播终端设备存储容量有限的问题，大大简化了传统对数字证书验证需要使用OCSP和LDAP服务才能进行的业务。同时实现了只支持对信任证书列表中有的签名才进行验证，大大降低了终端处理的业务量。另外，在保证证书传输和广播信息传输安全的前提下，降低了使用数字证书系统的难度，县乡村平台不需要额外部署维护数字证书管理系统；降低了县乡村平台使用数字证书的费用。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。