数字证书管理方法、装置、设备、系统及可读存储介质与流程

本发明涉及数字证书，特别是涉及一种数字证书管理方法、装置、设备、系统及可读存储介质。

背景技术：

1、数字证书（digital certificate）是一种数字身份证明，用于证明某个实体（通常是一个人、组织或网站）的身份。数字证书是通过使用加密技术创建的，其中包含了一个公钥以及相关的标识信息，例如证书持有人的姓名、电子邮件地址、组织名称等。数字证书在电子商务、互联网银行、电子邮件安全、网络安全等领域广泛应用。

2、数字证书通常由权威的证书颁发机构（certificate authority，ca）颁发给证书拥有者，数字证书中具有证书颁发机构的数字签名，以供证书使用者对证书拥有者进行合法性验证。然而，这种数字证书管理机制对第三方（即证书颁发机构）依赖性较高，在证书颁发机构受到安全威胁或被中间人攻击的情况下，对证书用户的安全性造成极大威胁。

3、如何提高数字证书管理系统的安全性，进而提高证书拥有者的安全性和证书使用者的安全性，是本领域技术人员需要解决的技术问题。

技术实现思路

1、本发明的目的是提供一种数字证书管理方法、装置、设备、系统及可读存储介质，用于提高数字证书管理系统的安全性，进而提高证书拥有者的安全性和证书使用者的安全性。

2、为解决上述技术问题，本发明提供一种数字证书管理方法，包括：

3、根据目标业务的需求，生成数字证书颁发请求；

4、将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；

5、对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；

6、其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。

7、在一些实施中，所述证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书。

8、在一些实施中，所述数字证书设备生成所述目标业务的证书链，包括：

9、用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；

10、自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；

11、在生成所述证书链的各级数字证书且各级数字证书均通过合法性验证后，得到所述证书链。

12、在一些实施中，用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：

13、若所述第一级数字证书为公钥基础设施证书，则所述第一级数字证书设备为证书颁发机构设备，所述第一级数字证书设备通过本地生成的非对称密钥中的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地生成的非对称密钥中的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；

14、若所述第一级数字证书为机密计算证书，则所述第一级数字证书设备为具有机密计算环境的机密计算设备，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。

15、在一些实施中，自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法，包括：

16、若所述当前级数字证书为公钥基础设施证书，则所述当前级数字证书设备接收通过所述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；

17、若所述当前级数字证书为机密计算证书，则所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理后，接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书进行验签通过后，确定所述当前级数字证书合法。

18、在一些实施中，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，包括：

19、所述第一级数字证书设备在通过对本地机密计算环境进行真实性验证后，通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名。

20、在一些实施中，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理，包括：

21、所述当前级数字证书设备在通过对本地机密计算环境进行真实性验证后，利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理。

22、在一些实施中，若所述上一级数字证书设备生成的非对称密钥为在本地机密计算环境中生成的非对称密钥，

23、所述当前级数字证书设备接收通过所述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，包括：

24、所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书；

25、所述当前级数字证书设备接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，包括：

26、所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书。

27、在一些实施中，对本地机密计算环境进行真实性验证，包括：

28、将所在设备的本地数字证书信息中的远程证明数据发送至设备厂商以进行本地机密计算环境的真实性验证。

29、在一些实施中，所述远程证明数据包括所在设备的可信度量信息。

30、在一些实施中，所述远程证明数据包括远程证明数据明文和利用所在设备的本地机密计算环境的硬件远程证明私钥对所述远程证明数据明文进行签名得到的远程证明数据签名；

31、其中，所述远程证明数据明文包括利用所在设备的本地机密计算环境中生成的非对称密钥中的公钥的哈希值和所在设备的可信度量信息。

32、在一些实施中，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：

33、所述第一级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。

34、在一些实施中，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，包括：

35、所述当前级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述当前级数字证书进行验签通过。

36、在一些实施中，所述数字证书设备生成所述目标业务的证书链，包括：

37、若当前级数字证书具有一个上一级数字证书设备的签名，则拥有所述当前级数字证书的当前级数字证书设备对所述上一级数字证书设备的签名验签通过后，确定所述当前级数字证书合法；

38、若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法；

39、其中，第一预设数量小于所述当前级数字证书中所述上一级数字证书设备的签名的数量。

40、在一些实施中，若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法，包括：

41、若所述当前级数字证书具有的多个所述上一级数字证书设备的签名中既包括公钥基础设施签名又包括机密计算签名，则所述当前级数字证书设备对多个签名中的第二预设数量公钥基础设施签名验签通过且对多个签名中的第三预设数量机密计算签名验签通过后，确定所述当前级数字证书合法；

42、其中，第二预设数量小于所述当前级数字证书中上一级数字证书设备的的公钥基础设施签名的数量，第三预设数量小于所述当前级数字证书中上一级数字证书设备的机密计算签名的数量。

43、在一些实施中，根据目标业务的需求，生成数字证书颁发请求，包括：

44、根据所述目标业务的安全需求，确定所述证书链中公钥基础设施证书和机密计算证书的组合方式；

45、根据所述证书链中公钥基础设施证书和机密计算证书的组合方式，确定对应的所述数字证书设备；

46、生成对各所述数字证书设备的数字证书颁发请求。

47、在一些实施中，还包括：

48、在接收到请求方设备对所述目标业务的应用请求后，对所述证书链进行合法性验证以使所述请求方设备在确定所述证书链合法后确定所述目标业务合法。

49、在一些实施中，应用于进行超文本传输安全协议连接的服务器；

50、数字证书管理方法还包括：

51、在接收到客户端发送的对所述服务器的访问请求后，对所述服务器的超文本传输安全协议连接业务对应的所述证书链进行验签通过后，将所述超文本传输安全协议连接业务对应的所述证书链的最后一级数字证书发送至所述客户端以使所述客户端对最后一级数字证书进行验签，以使所述客户端在对最后一级数字证书验签通过后，确定所述超文本传输安全协议连接业务合法并与所述服务器建立超文本传输安全协议安全信道。

52、在一些实施中，应用于文件发送设备；

53、数字证书管理方法还包括：

54、在接收到文件接收设备对待发送的目标文件的合法性验证后，将所述证书链的各级数字证书提供给所述文件接收设备，以使所述文件接收设备对所述证书链的各级数字证书均进行合法性验证通过后接收所述目标文件。

55、为解决上述技术问题，本发明还提供一种数字证书管理方法，包括：

56、业务设备根据目标业务的需求，生成数字证书颁发请求，并将所述数字证书颁发请求发送至数字证书设备；

57、所述数字证书设备根据所述数字证书颁发请求生成目标业务的证书链；

58、所述业务设备对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；

59、其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。

60、为解决上述技术问题，本发明还提供一种数字证书管理系统，包括：业务设备和数字证书设备；

61、其中，所述业务设备用于根据目标业务的需求，生成数字证书颁发请求；将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；

62、其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。

63、为解决上述技术问题，本发明还提供一种数字证书管理装置，包括：

64、请求单元，用于根据目标业务的需求，生成数字证书颁发请求；

65、发送单元，用于将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；

66、部署单元，用于对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；

67、其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。

68、为解决上述技术问题，本发明还提供一种数字证书管理设备，包括：

69、存储器，用于存储计算机程序；

70、处理器，用于执行所述计算机程序，所述计算机程序被所述处理器执行时实现如上述任意一项所述数字证书管理方法的步骤。

71、为解决上述技术问题，本发明还提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任意一项所述数字证书管理方法的步骤。

72、本发明所提供的数字证书管理方法，通过根据目标业务的需求，生成数字证书颁发请求，将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链，该证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书；通过由公钥基础设施证书和机密计算证书构成的混合数字证书组成的证书链，相较于相关技术中的单个公钥基础设施证书或仅由公钥基础设施证书构成的证书链，增加了证书链中的信任方，即除了证书颁发机构外，引入了生成机密计算证书的可信执行环境作为其中一个信任方，从而减少了对证书颁发机构的安全依赖，提高了证书链的安全性，进而提高了证书拥有者的安全性和证书使用者的安全性。在对证书链进行验签通过后再部署目标业务，提高了目标业务的安全性。

73、本发明提供的数字证书管理方法中，还可以通过证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书，以在各级数字证书均为单种类型的数字证书的基础上进一步提高单级数字证书的安全性，进而提高整个证书链的安全性，提高证书拥有者的安全性和证书使用者的安全性。

74、本发明提供的数字证书管理方法，通过数字证书设备中的机密计算设备先对当前级的机密计算证书进行自签名后，再由上一级数字证书设备进行签名，得到了一种更具安全性的数字证书签名方案。

75、本发明还提供一种数字证书管理装置、设备、系统及可读存储介质，具有上述有益效果，在此不再赘述。