一种证书下载方法及系统与流程

本发明涉及数据安全领域，尤其涉及一种证书下载方法及系统。

背景技术：

1、在终端产品实现某些功能时，会需要使用到某些非金融证书，而这些证书需要后台签发后下载到终端保存，为了保证终端产品尤其是金融类终端的使用安全，证书无法直接提前预置在终端上。

2、现有的方案是终端与后台需要生成用于传输的对称密钥，后台生成密钥对并且生成证书请求给证书签发服务签发证书，使用传输密钥来对私钥加密，加密后的数据与证书数据通过特定的安全通道一起下发给终端，在这个过程中，终端与后台需要建立安全通道，涉及握手，身份认证，密钥交换等等流程，同时终端还需要生成传输密钥给后台，过程比较繁琐，维护的代码量多；并且终端收到后台的私钥数据后，还需要执行解密操作，而这个操作是在tee(trusted execution environment，可信执行环境)执行，而考虑到有些tee的性能，执行效率可能不是很高。

技术实现思路

1、本发明所要解决的技术问题是：提供一种证书下载方法及系统，实现流程简便且高效的证书下载方案。

2、为了解决上述技术问题，本发明采用的一种技术方案为：

3、一种证书下载方法，包括步骤：

4、终端生成公钥、私钥和证书签名请求，并保存所述私钥；

5、终端将所述公钥以及所述证书签名请求发送到后台；

6、所述后台根据所述证书签名请求对所述公钥进行签名后得到证书，并将所述证书发送到所述终端。

7、为了解决上述技术问题，本发明采用的另一种技术方案为：

8、一种证书下载系统，包括终端以及后台，所述终端包括第一存储器、第一处理器及存储在所述第一存储器上并可在所述第一处理器上运行的第一计算机程序；所述后台包括第二存储器、第二处理器及存储在所述第二存储器上并可在所述第二处理器上运行的第二计算机程序；其特征在于，所述第一处理器执行所述第一计算机程序时实现以下步骤：

9、生成公钥、私钥和证书签名请求，并保存所述私钥；

10、将所述公钥以及所述证书签名请求发送到后台；

11、所述第二处理器执行所述第二计算机程序时实现以下步骤：

12、根据所述证书签名请求对所述公钥进行签名后得到证书，并将所述证书发送到所述终端。

13、本发明的有益效果在于：终端本身生成公钥、私钥以及证书签名请求，由后台对公钥进行加密得到证书；私钥全程保存在终端中，不参与传输过程故避免了私钥泄漏的风险，而公钥本身就是能够公开的，故对证书直接传递，无需单独构建安全通道，即使证书被获取也无法得到私钥的内容，从而减少了终端和后台在进行证书传递前的身份验证过程，同时能够保证证书下载过程的安全性。

技术特征：

1.一种证书下载方法，其特征在于，包括步骤：

2.根据权利要求1所述的一种证书下载方法，其特征在于，所述终端生成公钥、私钥和证书签名请求包括：

3.根据权利要求1或2所述的一种证书下载方法，其特征在于，所述终端通过tee中的可信应用生成公钥、私钥和证书签名请求，并将所述私钥保存在可信应用中。

4.根据权利要求1所述的一种证书下载方法，其特征在于，所述将所述证书发送到所述终端之后还包括：

5.根据权利要求2所述的一种证书下载方法，其特征在于，所述证书生成类型包括rsa以及ecc。

6.一种证书下载系统，包括终端以及后台，所述终端包括第一存储器、第一处理器及存储在所述第一存储器上并可在所述第一处理器上运行的第一计算机程序；所述后台包括第二存储器、第二处理器及存储在所述第二存储器上并可在所述第二处理器上运行的第二计算机程序；其特征在于，所述第一处理器执行所述第一计算机程序时实现以下步骤：

7.根据权利要求6所述的一种证书下载系统，其特征在于，所述第一处理器执行所述第一计算机程序时实现生成公钥、私钥和证书签名请求包括：

8.根据权利要求6或7所述的一种证书下载系统，其特征在于，所述第一处理器执行所述第一计算机程序时实现通过tee中的可信应用生成公钥、私钥和证书签名请求，并将所述私钥保存在可信应用中。

9.根据权利要求6所述的一种证书下载系统，其特征在于，所述将所述证书发送到所述终端之后还包括：

10.根据权利要求7所述的一种证书下载系统，其特征在于，所述证书生成类型包括rsa以及ecc。

技术总结
本发明公开了一种证书下载方法及系统，终端生成公钥、私钥和证书签名请求，并保存所述私钥；终端将所述公钥以及所述证书签名请求发送到后台；所述后台根据所述证书签名请求对所述公钥进行签名后得到证书，并将所述证书发送到所述终端。本发明终端本身生成公钥、私钥以及证书签名请求，由后台对公钥进行加密得到证书；私钥全程保存在终端中，不参与传输过程故避免了私钥泄漏的风险，而公钥本身就是能够公开的，故对证书直接传递，无需单独构建安全通道，即使证书被获取也无法得到私钥的内容，从而减少了终端和后台在进行证书传递前的身份验证过程，同时能够保证证书下载过程的安全性。

技术研发人员：黄辉
受保护的技术使用者：福建汇思博数字科技有限公司
技术研发日：
技术公布日：2024/10/14