证书升级方法、装置、设备及存储介质与流程
本发明涉及互联网技术领域,尤其涉及一种证书升级方法、装置、设备及存储介质。
背景技术
系统的证书问题容易导致网络事故,现有技术中,在检测到证书问题时,通过更改线上固件时间使其认为服务器证书有效,本地时间存在错误,新固件使用新域名或超文本传输安全协议降级不在验证证书等手段保证功能可用,导致证书存在安全问题,还存在固件使用了超文本传输安全协议校时或本地绑定子证书或根证书吊销、到期、更换合作签发机构等问题,需要固件升级才可正常使用,但固件升级周期长,还会导致证书升级的效率低下。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
技术实现要素:
本发明的主要目的在于提供了一种证书升级方法、装置、设备及存储介质,旨在解决如何保证证书传输的安全性,进而提高证书的升级效率的技术问题。
为实现上述目的,本发明提供了一种证书升级方法,所述证书升级方法包括:
在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件;
对所述新根证书信息进行预处理,获得目标证书数据;
将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
可选地,所述根据所述业务请求获取新根证书信息和新根证书文件的步骤,包括:
获取所述业务请求对应的请求响应编码;
根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件。
可选地,所述根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件的步骤,包括:
判断所述请求响应编码是否满足预设握手失败条件;
在所述请求响应编码满足所述预设握手失败条件时,提取所述业务请求中的证书访问信息;
根据所述请求响应编码和所述证书访问信息生成新根证书查询指令;
根据所述新根证书查询指令获取新根证书信息和新根证书文件。
可选地,所述根据所述新根证书查询指令获取新根证书信息和新根证书文件的步骤,包括:
根据所述新根证书查询指令获取证书域名;
根据所述证书域名确定新根证书信息和新根证书文件。
可选地,所述根据所述证书域名确定新根证书信息和新根证书文件的步骤,包括:
根据所述证书域名获取多个证书文件;
从多个所述证书文件中选取新根证书文件,并根据所述新根证书文件获取新根证书信息。
可选地,所述根据所述新根证书文件获取新根证书信息的步骤,包括:
根据所述新根证书文件获取证书文件的文件大小、证书签名及证书有效时间;
根据所述文件大小确定文件大小MD5值,并根据所述证书签名确定签名MD5值;
将所述文件大小MD5值、所述签名MD5值及所述证书有效时间作为新根证书信息。
可选地,所述对所述新根证书信息进行预处理,获得目标证书数据的步骤,包括:
获取服务器对应的应用标识,并根据所述应用标识确定第一设备秘钥;
根据所述第一设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
可选地,所述根据所述第一设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
根据所述新根证书信息确定预设约定加密规则;
根据所述第一设备秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
可选地,所述对所述新根证书信息进行预处理,获得目标证书数据的步骤,还包括:
获取所述客户端对应的应用标识,并根据所述应用标识确定第二设备秘钥和非对称公钥;
根据所述非对称公钥对所述第二设备秘钥进行加密处理,获得加密秘钥;
根据所述加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
可选地,所述根据所述加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
获取所述应用标识对应的非对称私钥;
根据所述非对称私钥对所述加密秘钥进行解密处理,获得解密后的所述加密秘钥;
根据所述解密后的加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
可选地,所述根据所述解密后的加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
根据所述新根证书信息确定预设约定加密规则;
根据所述解密后的加密秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
可选地,所述根据所述新根证书信息确定预设约定加密规则的步骤,包括:
根据所述新根证书信息确定证书等级;
根据所述证书等级在映射关系表中匹配所述新根证书信息对应的预设约定加密规则,所述映射关系表中所述证书等级与所述预设约定加密规则存在一一对应的关系。
此外,为实现上述目的,本发明还提出一种证书升级装置,所述证书升级装置包括:
获取模块,用于在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件;
处理模块,用于对所述新根证书信息进行预处理,获得目标证书数据;
升级模块,用于将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
可选地,所述获取模块,还用于获取所述业务请求对应的请求响应编码;
所述获取模块,还用于根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件。
可选地,所述获取模块,还用于判断所述请求响应编码是否满足预设握手失败条件;
所述获取模块,还用于在所述请求响应编码满足所述预设握手失败条件时,提取所述业务请求中的证书访问信息;
所述获取模块,还用于根据所述请求响应编码和所述证书访问信息生成新根证书查询指令;
所述获取模块,还用于根据所述新根证书查询指令获取新根证书信息和新根证书文件。
可选地,所述获取模块,还用于根据所述新根证书查询指令获取证书域名;
所述获取模块,还用于根据所述证书域名确定新根证书信息和新根证书文件。
可选地,所述获取模块,还用于根据所述证书域名获取多个证书文件;
所述获取模块,还用于从多个所述证书文件中选取新根证书文件,并根据所述新根证书文件获取新根证书信息。
可选地,所述获取模块,还用于根据所述新根证书文件获取证书文件的文件大小、证书签名及证书有效时间;
所述获取模块,还用于根据所述文件大小确定文件大小MD5值,并根据所述证书签名确定签名MD5值;
所述获取模块,还用于将所述文件大小MD5值、所述签名MD5值及所述证书有效时间作为新根证书信息。
此外,为实现上述目的,本发明还提出一种证书升级设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的证书升级程序,所述证书升级程序配置为实现如上文所述的证书升级方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有证书升级程序,所述证书升级程序被处理器执行时实现如上文所述的证书升级方法的步骤。
本发明首先在接收到客户端发送的业务请求时,根据业务请求获取新根证书信息和新根证书文件,然后对新根证书信息进行预处理,获得目标证书数据,之后将目标证书数据和新根证书文件发送所述至客户端,以使客户端基于目标证书数据对新根证书文件进行升级处理。由于不需要在证书到期后,通过升级客户端恢复证书的有效性,仅需根据业务请求获取新根证书信息和新根证书文件,之后基于新根证书信息对新根证书文件进行校验,从而保证了证书传输的安全性,进而提高了证书的升级效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的证书升级设备的结构示意图;
图2为本发明证书升级方法第一实施例的流程示意图;
图3为本发明证书升级方法第二实施例的流程示意图;
图4为本发明证书升级装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的证书升级设备结构示意图。
如图1所示,该证书升级设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对证书升级设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及证书升级程序。
在图1所示的证书升级设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明证书升级设备中的处理器1001、存储器1005可以设置在证书升级设备中,所述证书升级设备通过处理器1001调用存储器1005中存储的证书升级程序,并执行本发明实施例提供的证书升级方法。
本发明实施例提供了一种证书升级方法,参照图2,图2为本发明证书升级方法第一实施例的流程示意图。
本实施例中,所述证书升级方法包括以下步骤:
步骤S10:在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件。
易于理解的是,本实施例的执行主体可以是具有数据处理、网络通讯和程序运行等功能的证书升级设备,也可以为其他具有相似功能的计算机设备,本实施例并不加以限制,其中,证书升级设备可以为服务器,本实施例以及下述各实施例以服务器为例进行说明。所述服务器可以是业务服务器、证书空中下载技术(Over-the-Air Technology OTA)服务器及物联网(Internet of Things IOT)云设备等,本实施例并不加以限制。
可以理解的是,客户端可以为固件,也可以为IOT固件等,本实施例并不加以限制。
业务请求可以理解为用户通过客户端发送的业务请求。根据业务请求可以进行网站的正常访问,也可以根据业务请求查询https证书是否有效等,本实施例并不加以限制。
新根证书文件可以理解为更新后的超文本传输安全协议(Hypertext Transfer Protocol Secure https)证书,可以为图片的形式存在,也可以为文件信息的形式存在等,新根证书信息为https证书上存在的信息,可以包括证书文件地址、证书大小的消息摘要算法(Message Digest Algorithm MD5)值、证书有效时间及证书签名的MD5值等,本实施例并不加以限制。
进一步地,为了提高证书的升级效率,本实施例中根据业务请求获取新根证书信息和新根证书文件的操作可以为:服务器获取业务请求对应的请求响应编码,并根据请求响应编码和业务请求获取新根证书信息和新根证书文件,其中,请求响应编码可以为用户通过固件发送请求业务后,服务器返回请求响应编码,请求响应编码可以为证书有有效编码,也可以为安全传输层协议TLS握手失败证书错误编码等,本实施例并不加以限制。
请求响应编码可以为数字的形式来表示,还可以为字符的形式来表现,假设请求报错,提示客户端本地证书错误,CURL错误为58标书固件本地证书错误等,本实施例并不加以限制。
根据请求响应编码和业务请求获取新根证书信息和新根证书文件的操作可以为,业务服务器判断请求响应编码是否满足预设握手失败条件,在请求响应编码不满足预设握手失败条件时,将可以正常访问网站或系统等,在请求响应编码满足预设握手失败条件时,业务服务器提取业务请求中的证书访问信息,根据请求响应编码和证书访问信息生成新根证书查询指令,证书OTA服务器根据新根证书查询指令获取新根证书信息和新根证书文件,其中预设握手失败条件可以理解为证书失效或证书有误等,本实施例并不加以限制。
证书访问信息可以为在证书失效后,需要对证书进行更新等相关信息,新根证书查询指令可以为固件在接收到证书错误信息后,固件请求升级https证书接口,进而向服务器即证书OTA服务器发送新根证书查询指令等,本实施例并不加以限制。
根据新根证书查询指令获取新根证书信息和新根证书文件的操作还可以为,根据新根证书查询指令获取证书域名,根据证书域名确定新根证书信息和新根证书文件。
还可以理解的是,根据证书域名确定新根证书信息和新根证书文件的操作可以为根据证书域名获取多个证书文件,从多个证书文件中选取新根证书文件,根据新根证书文件获取新根证书信息。
需要说明的是,该证书域名下存在多个证书文件,之后可以根据从多个证书文件中查找用户所需要的目标证书文件即新根证书文件,其中可以在新根证书文件中获取新根证书信息等,本实施例并不加以限制。
其中,根据新根证书文件获取新根证书信息的方法可以为根据新根证书文件获取证书文件的文件大小、证书签名及证书有效时间,根据文件大小确定文件大小MD5值,根据证书签名确定签名MD5值,将文件大小MD5值、签名MD5值及证书有效时间作为新根证书信息等,本实施例并不加以限制。
步骤S20:对所述新根证书信息进行预处理,获得目标证书数据。
目标证书数据可以理解为加密后的证书数据等,本实施例并不加以限制。
对新根证书信息进行预处理,获得目标证书数据的方式可以为,获取客户端即固件对应的应用标识,并根据应用标识确定设备秘钥,根据设备秘钥对新根证书信息进行加密处理,获得目标证书数据,其中,设备秘钥可以为理解为IOT云设备对应的设备秘钥即第一设备秘钥,或者根据SN号查询服务端存储的秘钥,还可以为客户端对应的设备秘钥即第二设备秘钥等,应用标识可以为设备号或产品运行号等,本实施例并不加以限制。
在具体实现中,在对接IOT云设备时,由于IOT云设备有三元组可以鉴权设备,约定秘钥可以用于OTA https证书的加密秘钥等,假设证书OTA服务器接收到固件发送的新根证书查询指令时,需要从IOT云设备中获取云设备对应的设备号,之后根据设备号获取云设备对应的设备秘钥即第一设备秘钥,并从IOT云设备中获取新根证书信息和新根证书文件,最后根据设备秘钥对新根证书信息进行加密,获得加密证书信息即目标证书数据等,其中,IOT云设备中可以预先存储证书文件及证书信息等,本实施例并不加以限制。
进一步地,为了保证证书传输的安全性,本实施例中根据设备秘钥对新根证书信息进行加密处理,获得目标证书数据的步骤为:可以根据新根证书信息确定预设约定加密规则,根据设备秘钥和预设约定加密规则对应新根证书进行加密处理,获得目标证书数据,其中,预设约定加密规则可以为各种不同的加密算法,可以为des算法,其中,des算法为密码体制中的对称密码体制,根据明文按64位进行分组,密钥长64位,密钥事实上是56位参与des运算(第8、16、24、32、40、48、56、64位是校验位,使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法,加密算法还可以为密码学中的高级加密标准(Advanced Encryption Standard AES),简称为aes加密算法,AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个(如果数据块及密钥长度不足时,会补齐)。aes加密有很多轮的重复和变换等,本实施例并不加以限制。
还可以理解为,用户可以根据新根证书信息自定义选取预设约定加密规则,其中预设约定加密规则可以为预先存储在证书OTA服务器中,还可以根据新根证书信息确定证书等级,根据证书等级在映射关系表中匹配新根证书信息对应的预设约定加密规则,其中,映射关系表中证书等级与预设约定加密规则存在一一对应的关系,映射关系表中存在多个证书等级和多个预设约定约定加密规则,证书等级可以为中级,可以为高级,还可以为低级等,本实施例并不加以限制。
进一步地,为了保证证书的安全性,本实施例对新根证书信息进行预处理,获得目标证书数据的步骤为:还可以获取客户端对应的应用标识,并根据应用标识确定设备秘钥即第二设备秘钥和非对称公钥,根据非对称公钥对第二设备秘钥进行加密处理,获得加密秘钥,根据加密秘钥对新根证书信息进行加密处理,获得目标证书数据,其中,该设备秘钥为固件本地预先存储的秘钥等。
根据加密秘钥对新根证书信息进行加密处理,获得目标证书数据的方式可以为,获取应用标识对应的非对称私钥,根据非对称私钥对加密秘钥进行解密处理,获得解密后的加密秘钥,根据新根证书信息确定预设约定加密规则,根据解密后的加密秘钥和预设约定加密规则对新根证书信息进行加密处理,获得目标证书数据等,本实施例并不加以限制。
在具体实现中,假设未对接IOT设备的使用,设备本地存放OTA业务公钥,还用于生成OTA https证书通信的加密秘钥,逻辑统一固件端和OTA开发接入,不再需要各业务服务开发,减少工作量。
在固件请求业务,TLS握手失败证书错误,之后固件本地生成设备秘钥即第二设备秘钥,并从固件本地获取OTA公钥即非对称公钥,其中,固件本地中预先存放非对称公私钥等,之后固件利用非对称公钥对第二设备秘钥进行加密处理,获得加密秘钥,固件请求升级https证书接口,携带加密秘钥发送至证书OTA服务器,证书OTA服务器通过非对称私钥对加密秘钥进行解密处理,获得第二设备秘钥,其中新根证书信息即新根证书文件存放至证书OTA服务器中,可根据新根证书指令在证书OTA服务器中查询对应的新根证书文件和新根证书信息,最后利用第二设备秘钥和预设约定规则对新根证书信息进行加密处理,获得目标证书数据等,本实施例并不加以限制。
步骤S30:将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
在对接IOT云设备时,证书OTA服务器将目标证书数据即加密后的新根证书信息及新根证书文件发送至固件端,固件端在接收到加密后的新根证书信息时,获取固件本地秘钥,根据固件本地秘钥对加密后的新根证书信息进行解密处理,获得解密后的新根证书信息即新根证书信息,之后根据新根证书信息检验有效期和证书签名的MD5值来验证有效性,尝试请求是否可用,在验证有效后,可将该新根证书文件添加至本地证书文件中,最后固件请求业务可恢复正常等,本实施例并不加以限制。
在未对接IOT云设备时,证书OTA服务器将目标证书数据即加密后的新根证书信息及新根证书文件发送至固件端,固件端在接收到加密后的新根证书信息时,获取固件本地秘钥,根据固件本地秘钥对加密后的新根证书信息进行解密处理,获得解密后的新根证书信息即新根证书信息,之后根据新根证书信息检验有效期和证书签名的MD5值来验证有效性,尝试请求是否可用,在验证有效后,可将该新根证书文件添加至本地证书文件中,最后固件请求业务可恢复正常等,本实施例并不加以限制。
在本实施例中,首先在接收到客户端发送的业务请求时,根据业务请求获取新根证书信息和新根证书文件,然后对新根证书信息进行预处理,获得目标证书数据,之后将目标证书数据和新根证书文件发送至客户端,以使客户端基于目标证书数据对新根证书文件进行升级处理。由于不需要在证书到期后,通过升级客户端恢复证书的有效性,仅需根据业务请求获取新根证书信息和新根证书文件,之后基于新根证书信息对新根证书文件进行校验,从而保证了证书传输的安全性,进而提高了证书的升级效率。
参考图3,图3为本发明证书升级方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S20,还包括:
步骤S201:获取服务器对应的应用标识,并根据所述应用标识确定第一设备秘钥。
设备秘钥可以为理解为IOT云设备对应的设备秘钥即第一设备秘钥,或者根据SN号查询服务端存储的秘钥等,还可以为客户端即固件本地的第二设备秘钥,应用标识可以为设备号或产品运行号等,本实施例并不加以限制。
还可以理解为,IOT云设备对应的应用标识即设备号存在固定的设备秘钥,也就是说,IOT云设备号与设备秘钥存在一对一的关系等,本实施例并不加以限制。
步骤S202:根据所述设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
新根证书信息包括文件大小MD5值、签名MD5值及证书有效时间等,目标证书数据可以为对文件大小MD5值、签名MD5值及证书有效时间加密后的数据等,本实施例并不加以限制。
根据新根证书文件获取证书文件的文件大小、证书签名及证书有效时间,根据文件大小确定文件大小MD5值,根据证书签名确定签名MD5值,将文件大小MD5值、签名MD5值及证书有效时间作为新根证书信息等,本实施例并不加以限制。
此外,在对接IOT云设备时,需要从IOT云设备中获取云设备对应的设备号,之后根据设备号获取云设备对应的设备秘钥即第一设备秘钥,并从IOT云设备中获取新根证书信息和新根证书文件,最后根据设备秘钥对新根证书信息进行加密,获得加密证书信息即目标证书数据等,其中,IOT云设备中可以预先存储证书文件及证书信息等,本实施例并不加以限制。
在具体实现中,假设未对接IOT设备的使用,固件本地生成设备秘钥即第二设备秘钥,并从固件本地获取OTA公钥即非对称公钥,其中,固件本地中预先存放非对称公私钥等,之后固件利用非对称公钥对第二设备秘钥进行加密处理,获得加密秘钥,固件请求升级https证书接口,携带加密秘钥发送至证书OTA服务器,证书OTA服务器通过非对称私钥对加密秘钥进行解密处理,获得第二设备秘钥,其中新根证书信息即新根证书文件存放至证书OTA服务器中,可根据新根证书指令在证书OTA服务器中查询对应的新根证书文件和新根证书信息,最后利用设备秘钥和预设约定规则对新根证书信息进行加密处理,获得目标证书数据等,本实施例并不加以限制
进一步地,为了保证证书传输的安全性,本实施例根据设备秘钥对新根证书信息进行加密处理,获得目标证书数据的步骤为:可以根据新根证书信息确定预设约定加密规则,根据第一设备秘钥或第二设备秘钥和预设约定加密规则对应新根证书进行加密处理,获得目标证书数据,其中,预设约定加密规则可以为各种不同的加密算法,可以为des算法,其中,des算法为密码体制中的对称密码体制,根据明文按64位进行分组,密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位,使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法,加密算法还可以为密码学中的高级加密标准(Advanced Encryption Standard,AES),简称为aes加密算法,AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个(如果数据块及密钥长度不足时,会补齐)。AES加密有很多轮的重复和变换等,本实施例并不加以限制。
还可以理解为,用户可以根据新根证书信息自定义选取预设约定加密规则,其中预设约定加密规则可以为预先存储在证书OTA服务器中,还可以根据新根证书信息确定证书等级,根据证书等级在映射关系表中匹配新根证书信息对应的预设约定加密规则,其中,映射关系表中证书等级与预设约定加密规则存在一一对应的关系,映射关系表中存在多个证书等级和多个预设约定约定加密规则,证书等级可以为中级,可以为高级,还可以为低级等,本实施例并不加以限制。
需要说明的是,无论是否接入IOT云设备,都需要在证书OTA服务器上,根据设备秘钥对文件大小MD5值、签名MD5值及证书有效时间进行加密处理,获得加密后的数据即目标证书数据。
在本实施例中,首先获取服务器对应的应用标识,并根据应用标识确定第一设备秘钥,之后根据第一设备秘钥对新根证书信息进行加密处理,获得目标证书数据,从而提高了证书信息传输的安全性。
参照图4,图4为本发明证书升级装置第一实施例的结构框图。
如图4所示,本发明实施例提出的证书升级装置包括:
获取模块4001,用于在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件;
处理模块4002,用于对所述新根证书信息进行预处理,获得目标证书数据;
升级模块4003,用于将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
在本实施例中,首先在接收到客户端发送的业务请求时,根据业务请求获取新根证书信息和新根证书文件,然后对新根证书信息进行预处理,获得目标证书数据,之后将目标证书数据和新根证书文件发送至客户端,以使客户端基于目标证书数据对新根证书文件进行升级处理。由于不需要在证书到期后,通过升级客户端恢复证书的有效性,仅需根据业务请求获取新根证书信息和新根证书文件,之后基于新根证书信息对新根证书文件进行校验,从而保证了证书传输的安全性,进而提高了证书的升级效率。
进一步地,所述获取模块4001,还用于获取所述业务请求对应的请求响应编码;
所述获取模块4001,还用于根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件。
进一步地,所述获取模块4001,还用于判断所述请求响应编码是否满足预设握手失败条件;
所述获取模块4001,还用于在所述请求响应编码满足所述预设握手失败条件时,提取所述业务请求中的证书访问信息;
所述获取模块4001,还用于根据所述请求响应编码和所述证书访问信息生成新根证书查询指令;
所述获取模块4001,还用于根据所述新根证书查询指令获取新根证书信息和新根证书文件。
进一步地,所述获取模块4001,还用于根据所述新根证书查询指令获取证书域名;
所述获取模块4001,还用于根据所述证书域名确定新根证书信息和新根证书文件。
进一步地,所述获取模块4001,还用于根据所述证书域名获取多个证书文件;
所述获取模块4001,还用于从多个所述证书文件中选取新根证书文件,并根据所述新根证书文件获取新根证书信息。
进一步地,所述获取模块4001,还用于根据所述新根证书文件获取证书文件的文件大小、证书签名及证书有效时间;
所述获取模块4001,还用于根据所述文件大小确定文件大小MD5值,并根据所述证书签名确定签名MD5值;
所述获取模块4001,还用于将所述文件大小MD5值、所述签名MD5值及所述证书有效时间作为新根证书信息。
进一步地,所述处理模块4002,还用于获取服务器对应的应用标识,并根据所述应用标识确定第一设备秘钥;
所述处理模块4002,还用于根据所述第一设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
进一步地,所述处理模块4002,还用于根据所述新根证书信息确定预设约定加密规则;
所述处理模块4002,还用于根据所述第一设备秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
进一步地,所述处理模块4002,还用于获取所述客户端对应的应用标识,并根据所述应用标识确定第二设备秘钥和非对称公钥;
所述处理模块4002,还用于根据所述非对称公钥对所述第二设备秘钥进行加密处理,获得加密秘钥;
所述处理模块4002,还用于根据所述加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
进一步地,所述处理模块4002,还用于获取所述应用标识对应的非对称私钥;
所述处理模块4002,还用于根据所述非对称私钥对所述加密秘钥进行解密处理,获得解密后的所述加密秘钥;
所述处理模块4002,还用于根据所述解密后的加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
进一步地,所述处理模块4002,还用于根据所述新根证书信息确定预设约定加密规则;
所述处理模块4002,还用于根据所述解密后的加密秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
进一步地,所述处理模块4002,还用于根据所述新根证书信息确定证书等级;
所述处理模块4002,还用于根据所述证书等级在映射关系表中匹配所述新根证书信息对应的预设约定加密规则,所述映射关系表中所述证书等级与所述预设约定加密规则存在一一对应的关系。
本发明证书升级装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种证书升级方法,所述证书升级方法包括:
在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件;
对所述新根证书信息进行预处理,获得目标证书数据;
将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
A2、如权利要求A1所述的方法,所述根据所述业务请求获取新根证书信息和新根证书文件的步骤,包括:
获取所述业务请求对应的请求响应编码;
根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件。
A3、如权利要求A2所述的方法,所述根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件的步骤,包括:
判断所述请求响应编码是否满足预设握手失败条件;
在所述请求响应编码满足所述预设握手失败条件时,提取所述业务请求中的证书访问信息;
根据所述请求响应编码和所述证书访问信息生成新根证书查询指令;
根据所述新根证书查询指令获取新根证书信息和新根证书文件。
A4、如权利要求A3所述的方法,所述根据所述新根证书查询指令获取新根证书信息和新根证书文件的步骤,包括:
根据所述新根证书查询指令获取证书域名;
根据所述证书域名确定新根证书信息和新根证书文件。
A5、如权利要求A4所述的方法,所述根据所述证书域名确定新根证书信息和新根证书文件的步骤,包括:
根据所述证书域名获取多个证书文件;
从多个所述证书文件中选取新根证书文件,并根据所述新根证书文件获取新根证书信息。
A6、如权利要求A5所述的方法,所述根据所述新根证书文件获取新根证书信息的步骤,包括:
根据所述新根证书文件获取证书文件的文件大小、证书签名及证书有效时间;
根据所述文件大小确定文件大小MD5值,并根据所述证书签名确定签名MD5值;
将所述文件大小MD5值、所述签名MD5值及所述证书有效时间作为新根证书信息。
A7、如权利要求A1-A6任一项所述的方法,所述对所述新根证书信息进行预处理,获得目标证书数据的步骤,包括:
获取服务器对应的应用标识,并根据所述应用标识确定第一设备秘钥;
根据所述第一设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
A8、如权利要求A7所述的方法,所述根据所述第一设备秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
根据所述新根证书信息确定预设约定加密规则;
根据所述第一设备秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
A9、如权利要求A1-A6任一项所述的方法,所述对所述新根证书信息进行预处理,获得目标证书数据的步骤,还包括:
获取所述客户端对应的应用标识,并根据所述应用标识确定第二设备秘钥和非对称公钥;
根据所述非对称公钥对所述第二设备秘钥进行加密处理,获得加密秘钥;
根据所述加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
A10、如权利要求A9所述的方法,所述根据所述加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
获取所述应用标识对应的非对称私钥;
根据所述非对称私钥对所述加密秘钥进行解密处理,获得解密后的所述加密秘钥;
根据所述解密后的加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据。
A11、如权利要求A10所述的方法,所述根据所述解密后的加密秘钥对所述新根证书信息进行加密处理,获得目标证书数据的步骤,包括:
根据所述新根证书信息确定预设约定加密规则;
根据所述解密后的加密秘钥和所述预设约定加密规则对所述新根证书信息进行加密处理,获得目标证书数据。
A12、如权利要求A11所述的方法,所述根据所述新根证书信息确定预设约定加密规则的步骤,包括:
根据所述新根证书信息确定证书等级;
根据所述证书等级在映射关系表中匹配所述新根证书信息对应的预设约定加密规则,所述映射关系表中所述证书等级与所述预设约定加密规则存在一一对应的关系。
本发明公开了B13、一种证书升级装置,所述证书升级装置包括:
获取模块,用于在接收到客户端发送的业务请求时,根据所述业务请求获取新根证书信息和新根证书文件;
处理模块,用于对所述新根证书信息进行预处理,获得目标证书数据;
升级模块,用于将所述目标证书数据和所述新根证书文件发送所述至客户端,以使所述客户端基于所述目标证书数据对所述新根证书文件进行升级处理。
B14、如权利要求B13所述的装置,所述获取模块,还用于获取所述业务请求对应的请求响应编码;
所述获取模块,还用于根据所述请求响应编码和所述业务请求获取新根证书信息和新根证书文件。
B15、如权利要求B14所述的装置,所述获取模块,还用于判断所述请求响应编码是否满足预设握手失败条件;
所述获取模块,还用于在所述请求响应编码满足所述预设握手失败条件时,提取所述业务请求中的证书访问信息;
所述获取模块,还用于根据所述请求响应编码和所述证书访问信息生成新根证书查询指令;
所述获取模块,还用于根据所述新根证书查询指令获取新根证书信息和新根证书文件。
B16、如权利要求B15所述的装置,所述获取模块,还用于根据所述新根证书查询指令获取证书域名;
所述获取模块,还用于根据所述证书域名确定新根证书信息和新根证书文件。
B17、如权利要求B16所述的装置,所述获取模块,还用于根据所述证书域名获取多个证书文件;
所述获取模块,还用于从多个所述证书文件中选取新根证书文件,并根据所述新根证书文件获取新根证书信息。
B18、如权利要求B17所述的装置,所述获取模块,还用于根据所述新根证书文件获取证书文件的文件大小、证书签名及证书有效时间;
所述获取模块,还用于根据所述文件大小确定文件大小MD5值,并根据所述证书签名确定签名MD5值;
所述获取模块,还用于将所述文件大小MD5值、所述签名MD5值及所述证书有效时间作为新根证书信息。
本发明公开了C19、一种证书升级设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的证书升级程序,所述证书升级程序配置为实现如上文所述的证书升级方法的步骤。
本发明公开了D20、一种存储介质,所述存储介质上存储有证书升级程序,所述证书升级程序被处理器执行时实现如上文所述的证书升级方法的步骤。
- 还没有人留言评论。精彩留言会获得点赞!