设备证书分发方法、系统、计算机设备和可读存储介质与流程

本申请涉及计算机，特别是涉及一种设备证书分发方法、系统、计算机设备和可读存储介质。

背景技术：

1、随着公共安全视频监控实现数字化、网络化后出现了越来越多的网络问题。尤其在大规模联网、云计算和人工智能新技术普及应用大背景下，视频监控系统所面对的安全威胁和手段发生了翻天覆地的巨大变化，视频监控态势愈发严峻。为了解决视频监控安全问题，《gb 35114-2017公共安全视频监控联网信息安全技术要求》规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，为各监控设备及监控系统提供了准则。

2、其中规定使用数字证书、数字签名对设备网络用户在计算机网络交流中的信息和数据以加密或解密的形式保证信息和数据的完整性和安全性，因此需要系统与设备交换证书与密钥来达到互信。

3、相关技术中，以线下的方式将设备的设备证书发送给设备客户，设备客户将设备证书手动导入到对应的设备中，完成设备的安装，导致设备证书分发效率低。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够提高设备证书分发效率的设备证书分发方法、系统、计算机设备、计算机可读存储介质和计算机程序产品。

2、第一方面，本申请提供了一种设备证书分发方法，应用于证书管理中心，包括：

3、接收业务管理平台发送的待安装网络设备的设备证书申请请求，所述设备证书申请请求携带所述待安装网络设备的设备安装信息、芯片标识和密钥信息；所述密钥信息是根据所述待安装网络设备根据存在安全芯片中的dipk密钥对生成的；

4、根据所述芯片标识确定对应的dipk公钥信息；

5、根据所述dipk公钥信息、所述设备安装信息和所述密钥信息，生成对应的设备证书信息；

6、将所述设备证书信息发送至所述待安装网络设备，完成安装。

7、在其中一个实施例中，所述根据所述dipk公钥信息、所述设备安装信息和所述密钥信息，生成对应的设备证书信息，包括：

8、根据所述dipk公钥信息对所述密钥信息中的dcpk密文进行解密，得到dcpk公钥明文信息；

9、根据所述dcpk公钥明文信息和所述设备安装信息，生成设备证书信息。

10、在其中一个实施例中，所述将所述设备证书信息发送至所述待安装网络设备，完成安装，包括：

11、将所述设备证书信息发送至所述待安装网络设备，以使所述待安装网络设备根据存储在安全芯片中的carpk公钥对所述设备证书信息进行验证，在验证通过的情况下，将所述设备证书信息所述待安装网络设备的安全芯片中，完成安装。

12、在其中一个实施例中，所述dcpk密文是所述业务管理平台控制所述待安装网络设备申请设备证书信息，根据存储在所述待安装网络设备的安全芯片中的dipk公钥衍生出证书公钥信息dcpk公钥，并使用dipk私钥加密对dcpk公钥进行加密得到的。

13、在其中一个实施例中，所述dipk密钥对中的dipk私钥是接收安全设备生产平台发送设备初始密钥对的分配请求，根据所述分配请求携带的待安装网络设备中安全芯片的芯片标识确定的。

14、在其中一个实施例中，所述待安装网络设备包括gb35114设备。

15、第二方面，本申请提供了一种设备证书分发方法，应用于安全设备生产平台，包括：

16、生成待安装网络设备的pcrk密钥对，以及从证书管理中心获取所述待安装网络设备的carpk密钥对；

17、根据所述待安装网络设备的芯片标识，向所述证书管理中心发送dipk分配请求，接收所述证书管理中心响应所述dipk分配请求，发送与所述芯片标识对应的dipk私钥密文；

18、根据所述pcrk密钥对对所述dipk私钥密文进行解密，得到dipk私钥信息；

19、将所述dipk私钥信息和所述carpk密钥对中的carpk公钥烧写至所述安全芯片的安全空间中；所述dipk私钥信息和所述carpk公钥用于生成所述待安装网络设备的设备证书申请信息，以完成所述待安装网络设备的设备证书分发。

20、第三方面，本申请还提供了一种设备证书分发系统，所述系统包括安全设备生产平台、业务管理平台、证书管理中心、待安装网络设备，其中：

21、所述安全设备生产平台，用于生成待安装网络设备的pcrk密钥对，以及从证书管理中心获取所述待安装网络设备的carpk密钥对；根据所述待安装网络设备的芯片标识，向所述证书管理中心发送dipk分配请求，接收所述证书管理中心响应所述dipk分配请求，发送与所述芯片标识对应的dipk私钥密文；根据所述pcrk密钥对对所述dipk私钥密文进行解密，得到dipk私钥信息；将所述dipk私钥信息和所述carpk密钥对中的carpk公钥烧写至所述安全芯片的安全空间中；

22、所述业务管理平台，用于发送的待安装网络设备的设备证书申请请求，所述设备证书申请请求携带所述待安装网络设备的设备安装信息、芯片标识和密钥信息；所述密钥信息是根据所述待安装网络设备根据存在安全芯片中的dipk密钥对生成的；

23、所述证书管理中心，用于根据所述芯片标识确定对应的dipk公钥信息；根据所述dipk公钥信息、所述设备安装信息和所述密钥信息，生成对应的设备证书信息；将所述设备证书信息发送至所述待安装网络设备，完成安装。

24、第四方面，本申请还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任意一项所述的方法的步骤。

25、第五方面，本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的方法的步骤。

26、第六方面，本申请还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述任意一项所述的方法的步骤。

27、上述设备证书分发方法、系统、计算机设备、计算机可读存储介质和计算机程序产品，通过接收业务管理平台发送的待安装网络设备的设备证书申请请求，设备证书申请请求携带待安装网络设备的设备安装信息、芯片标识和密钥信息；密钥信息是根据待安装网络设备根据存在安全芯片中的dipk密钥对生成的；根据芯片标识确定对应的dipk公钥信息；根据dipk公钥信息、设备安装信息和密钥信息，生成对应的设备证书信息；将设备证书信息发送至待安装网络设备，完成安装。这一方式相对于现有的分发方式，不需要人为手动干预证书分发流程，全自动化的实现了安全传输密钥信息与证书分发，进一步可以实现大批量设备的安全高效生产、自动化导入，避免了人为的干预与证书泄漏风险，提高了证书分发效率。

技术特征：

1.一种设备证书分发方法，其特征在于，应用于证书管理中心，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述dipk公钥信息、所述设备安装信息和所述密钥信息，生成对应的设备证书信息，包括：

3.根据权利要求2所述的方法，其特征在于，所述将所述设备证书信息发送至所述待安装网络设备，完成安装，包括：

4.根据权利要求2所述的方法，其特征在于，所述dcpk密文是所述业务管理平台控制所述待安装网络设备申请设备证书信息，根据存储在所述待安装网络设备的安全芯片中的dipk公钥衍生出证书公钥信息dcpk公钥，并使用dipk私钥加密对dcpk公钥进行加密得到的。

5.根据权利要求1所述的方法，其特征在于，所述dipk密钥对中的dipk私钥是接收安全设备生产平台发送设备初始密钥对的分配请求，根据所述分配请求携带的待安装网络设备中安全芯片的芯片标识确定的。

6.根据权利要求1至5任意一项所述的方法，其特征在于，所述待安装网络设备包括gb35114设备。

7.一种设备证书分发方法，其特征在于，应用于安全设备生产平台，所述方法包括：

8.一种设备证书分发系统，其特征在于，所述系统包括安全设备生产平台、业务管理平台、证书管理中心、待安装网络设备，其中：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种设备证书分发方法、系统、计算机设备和可读存储介质。所述方法包括：接收业务管理平台发送的待安装网络设备的设备证书申请请求，所述设备证书申请请求携带所述待安装网络设备的设备安装信息、芯片标识和密钥信息；所述密钥信息是根据所述待安装网络设备根据存在安全芯片中的DIPK密钥对生成的；根据所述芯片标识确定对应的DIPK公钥信息；根据所述DIPK公钥信息、所述设备安装信息和所述密钥信息，生成对应的设备证书信息；将所述设备证书信息发送至所述待安装网络设备，完成安装。采用本方法能够提高设备证书分发效率。

技术研发人员：高福旺,王刚,黄文文,刘精华
受保护的技术使用者：天翼视联科技有限公司
技术研发日：
技术公布日：2024/11/18