一种数字证书管理方法及设备与流程

本发明涉及网络安全
技术领域：
，具体涉及一种数字证书管理方法及设备。
背景技术：
：随着网络安全技术的发展，如何确保网络信息传输的保密性、完整性成为一个重要的研究课题。数字证书是一种验证网络通信实体身份的方式，可以利用数字证书技术进行数据加密、身份验证等。数字证书一般是由数字证书颁发设备向数字证书申请设备签发的，可以用于识别数字证书申请设备的身份。现有技术中，存在一种数字证书自动申请的方法，应用于无线局域网内数字证书的申请、更新和颁发。在这种方法中，数字证书申请设备可以通过无线局域网向数字证书颁发设备发送消息，通知其支持的数字证书产生方法，以便数字证书颁发设备生成新的数字证书。在这种方法中，数字证书申请设备和数字证书颁发设备之间传输的消息均是明文传输的，二者仅进行消息的完整性校验，以确定消息未被篡改。这种方式仅能保证数据的完整性，对数据的真实性、保密性无法进行有效的保护。特别地，当数字证书申请设备和数字证书颁发设备若通过其他网络形式交互数据时，由于消息是明文传输的，这种方式存在安全性不高的缺陷。技术实现要素：本发明提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间传输经加密处理的数据，有效提高了数字证书管理的安全性。为此，本发明提供如下技术方案：第一方面，本发明提供了一种数字证书管理方法，包括：数字证书申请设备向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；数字证书颁发设备接收所述数字证书管理请求消息，向数字证书申请设备发送数字证书管理响应消息；数字证书申请设备接收并处理所述数字证书管理响应消息，获取处理结果。第二方面，本发明提供了一种数字证书申请设备，包括：发送单元，用于向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；加密单元，用于利用所述数据会话密钥对所述数字证书管理消息携带的证书请求数据进行加密处理；接收单元，用于接收所述数字证书颁发设备发送的数字证书管理响应消息；处理单元，用于对所述数字证书管理响应消息进行处理，获取处理结果。第三方面，本发明提供了一种用于数字证书申请的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；接收数字证书颁发设备发送的数字证书管理响应消息；处理所述数字证书管理响应消息，获取处理结果。第四方面，本发明提供了一种数字证书颁发设备，所述设备包括：接收单元，用于接收数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；处理单元，用于对所述数字证书管理请求消息进行处理，并生成数字证书管理响应消息；发送单元，用于向所述数字证书申请设备发送数字证书管理响应消息。第五方面，本发明提供了一种用于数字证书颁发的设备，包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器执行所述一个或者一个以上程序包含的用于进行以下操作的指令：接收数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；对所述数字证书管理请求消息进行处理，并生成数字证书管理响应消息；向所述数字证书申请设备发送数字证书管理响应消息。本发明提供的数字证书管理方法及设备中，在数字证书申请设备和数字证书颁发设备之间的消息交互过程中，可以对交互的消息进行加密处理，例如数字证书管理请求消息中携带的证书请求数据经数据会话密钥加密处理，由于对传输的证书请求数据进行了加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销列表获取等。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中所记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例可以应用的一个示意性应用场景；图2为本发明一实施例提供的数字证书管理方法流程图；图3为本发明另一实施例提供的数字证书管理方法流程图；图4为本发明实施例提供的安全数据通道协商和建立示意图；图5为本发明一实施例提供的数字证书自动申请、查询、更新和颁发方法中的消息内容示意图；图6是根据一示例性实施例示出的一种数字证书申请设备的框图；图7是根据另一示例性实施例示出的一种用于数字证书申请的设备的框图；图8是根据一示例性实施例示出的一种数字证书颁发设备的框图；图9是根据另一示例性实施例示出的一种用于数字证颁发的设备的框图。具体实施方式本发明提供了一种数字证书管理方法及设备，可以在数字证书申请设备和数字证书颁发设备间传输经加密处理的数据，有效提高了数字证书管理的安全性。为了使本
技术领域：
的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。参见图1，为本发明实施例的示例性应用场景。本发明实施例提供的方法和设备可以应用于如图1所示的场景，其中，数字证书申请设备和数字证书颁发设备可以通过网络实现连接，所述连接可以是任何形式的有线和/或无线连接(例如，wlan、lan、蜂窝、同轴电缆等)。以图1为例说明，数字证书申请设备包括但不限于：现有的、正在研发的或将来研发的智能手机、非智能手机、平板电脑、膝上型个人计算机、桌面型个人计算机、小型计算机、中型计算机、大型计算机等。数字证书申请设备可以通过各自适用的网络形式向数字证书颁发设备(例如授证中心ca服务器)申请下载、更新证书等。需要说明的是，本发明实施例可以应用到无线运营网络、航空、交通、电力、广电、金融、医疗、教育、工商等诸多行业。当然，上述应用场景仅是为了便于理解本发明而示出，本发明的实施方式在此方面不受任何限制。相反，本发明的实施方式可以应用于适用的任何场景。下面将结合附图2至附图5对本发明示例性实施例示出的数字证书管理方法进行介绍。参见图2，为本发明一实施例提供的数字证书管理方法流程图。如图2所示，可以包括：s201，数字证书申请设备向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥。在一些实施方式中，可以利用数据会话密钥对数字证书管理请求消息携带的证书请求数据进行加密处理。本发明对数据会话密钥的获得不作限定，数据会话密钥可以是数字证书申请设备和数字证书颁发设备之间的预共享密钥，可选地，可以使用数字证书申请设备和数字证书颁发设备之间的授权码作为预共享密钥。具体实现时，数字证书申请者可以向数字证书颁发者请求用于下载数字证书的授权码。数字证书申请者例如可以是数字证书申请设备，数字证书颁发者例如可以是数字证书颁发设备。本发明对具体的授权码请求方式不进行限定。例如，数字证书申请者可以通过短信、邮件、专用请求等方式向数字证书颁发者请求授权码。数字证书颁发者可以通过一定的方式将授权码发送给数字证书申请者。例如，数字证书颁发者可以通过短信、邮件、专用消息等方式向数字证书申请者发送授权码。一般地，授权码是数字证书颁发者自己生成的，可以是在数字证书申请者请求授权码时实时生成，也可以是预先生成待使用的，形式上可以是字母和/或数字和/或符号等的组合，具有一定的长度要求，授权码也具有一定的使用期限，超过使用期限，授权码则会失效。在使用过程中，数字证书颁发者分配给不同数字证书申请者的授权码是不同的。在另一些实施方式中，在数字证书申请设备向数字证书颁发设备发送数字证书管理请求消息之前，所述方法还包括：数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。在建立安全数据通道过程中，数字证书申请设备可以利用授权码生成安全密钥，所述安全密钥可以包括一个或多个密钥，所述一个或多个密钥包括数据通信密钥。所述数据通信密钥用于加密所述数字证书申请设备与所述数字证书颁发设备在安全数据通道中传输的消息。需要说明的是，在数字证书申请设备侧和数字证书颁发设备侧均会生成安全密钥，便于消息的加密与解密处理。在有安全数据通道的情况下，不仅可以利用加密算法标识对应的加密算法以及数据会话密钥对证书请求数据进行加密处理，在利用安全数据通道传输消息时，还可以利用数据通信密钥对传输的数字证书管理请求消息进行加密处理。这样可以实现对证书请求数据进行两次保密保护。所述数据会话密钥可以用于加密证书请求数据和/或证书响应数据。所述证书请求数据具体为数字证书管理请求消息携带的数据。所述证书响应数据具体为数字证书管理响应消息携带的数据。需要说明的是，出于安全性的考虑，两次加密处理使用的密钥(即数据通信密钥和数据会话密钥)是不同的。数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。在一些实施方式中，所述数字证书管理请求消息携带的证书请求数据包括证书请求信息、签名算法标识以及签名值。其中，证书请求信息可以包括：证书版本信息、证书持有者信息以及证书持有者对应的公钥信息和扩展。这些信息要素简练，可以满足颁发证书的基本要求。签名值是数字证书申请设备本地生成公私钥对后，利用签名算法标识对应的签名算法，使用私钥对所述证书请求信息进行计算后得到的值。数字证书颁发设备根据证书请求信息里的持有者公钥信息对签名进行校验后来判断公私钥是否是数字证书申请设备所属。通过签名算法标识和签名值可以验证公私钥是否归该实体所属。在另一些实施方式中，所述证书请求数据中的所述证书请求信息还可以包括更加完整的信息：序列号、颁发者名称和有效期。这些信息可以扩充证书颁发功能，如数字证书申请者要求限制证书的一些特定信息等。在这种情况下，所述证书请求数据可以进行加密处理，具体的，所述证书请求数据为数字证书申请设备使用数据会话密钥对证书请求信息、签名算法标识以及签名值加密处理后得到的数据。更进一步地，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书请求数据还应包括加密算法标识，相应地，所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对证书请求信息、签名算法标识和签名值加密处理后得到的数据。这种证书请求数据结构要素更完善，用途更广，在验证公私钥所属实体的同时，对证书请求数据进行了保密保护。同时，在有安全数据通道的情况下采用这种证书请求数据结构能够实现对证书请求数据进行两次保密保护，进一步提升数据传输的安全性。s202，数字证书颁发设备接收所述数字证书管理请求消息，向数字证书申请设备发送数字证书管理响应消息。相应地，数字证书颁发设备在接收到所述数字证书管理请求消息后，根据数字证书管理请求消息携带的数据进行处理，向数字证书申请设备发送数字证书管理响应消息。具体地，由于数据证书管理请求消息携带的证书请求数据经数据会话密钥加密处理，数字证书颁发设备在接收到所述数字证书管理请求消息后，首先利用对应的数据会话密钥对所述数字证书管理请求消息进行解密处理，并根据数字证书管理请求消息携带的数据进行处理，向数字证书申请设备发送数字证书管理响应消息。需要说明的是，所述数字证书管理响应消息携带的证书响应数据可以为明文数据，也可以经数据会话密钥加密处理。进一步地，当数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥后，数字证书颁发设备还可以利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书响应消息经所述数据通信密钥加密处理。具体实现时，根据是否对证书请求数据和/或证书响应数据进行加密处理，可以包括以下几种实现方式：(1)证书请求数据经数据会话密钥加密处理，证书响应数据为明文数据。在这种实现方式中，仅有证书请求数据经一次加密处理，证书响应数据为明文传输。(2)证书请求数据经数据会话密钥加密处理，证书响应数据也经数据会话密钥加密处理。其中，证书请求数据和证书响应数据使用的数据会话密钥以及加密方式是一致的。在这种实现方式中，证书请求数据与证书响应数据均利用数据会话密钥经一次加密处理。(3)证书请求数据经数据会话密钥进行第一次加密处理，所述数字证书管理请求消息利用安全数据通道的数据通信密钥进行第二次加密处理。证书响应数据为明文数据，所述数字证书管理响应消息利用安全数据通道的数据通信密钥进行一次加密处理。在这种实现方式中，数字证书管理请求消息经两次加密处理，证书管理响应消息经一次加密处理。(4)证书请求数据和证书响应数据均经数据会话密钥进行第一次加密处理，所述数字证书管理请求消息和数字证书管理响应消息均利用安全数据通道的数据通信密钥进行第二次加密处理。在这种实现方式中，数字证书管理请求消息经两次加密处理，证书管理响应消息也经两次加密处理。本发明对具体的加密实现方式不进行限定，数字证书请求设备与数字证书颁发设备可以预先约定加密次数、加密算法以及加密所使用的密钥种类(即数据通信密钥和数据会话密钥)。具体实现时，本发明对数字证书申请设备和数字证书颁发设备交互采用的消息及交互方式不作限定，只要能够实现上述信息交互实现数字证书的自动申请、查询、更新和颁发，均属于本发明的保护范围。在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等类型。所述数字证书管理响应消息包括数字证书响应信息。s203，数字证书申请设备接收并处理所述数字证书管理响应消息，获取处理结果。具体实现时，数字证书申请设备对数字证书管理响应消息进行校验处理，获取消息内容，并根据需求确定使用的数字证书，进行数字证书的安装、更新等处理。当所述数字证书管理响应消息经加密处理时，数字证书申请设备需要利用数据通信密钥对所述数字证书管理响应消息进行解密处理。当所述数字证书管理响应消息携带的证书响应数据经加密处理时，数字证书申请设备还需要利用所述数据会话密钥对所述证书响应数据进行解密处理。所述方法还包括：s204，数字证书申请设备生成数字证书管理确认消息，并向数字证书颁发设备发送数字证书管理确认消息。具体实现时，当数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥后，数字证书申请设备还可以利用所述安全数据通道向所述数字证书办法设备发送数字证书管理确认消息，所述数字证书响应消息经所述数据通信密钥加密处理。s205，数字证书颁发设备接收并处理所述数字证书管理确认消息。在本发明这一实施例中，在数字证书申请设备和数字证书颁发设备消息交互过程中，利用生成的数据会话密钥对数字证书管理请求消息携带的证书请求数据进行加密处理，有效提高了数据传输的安全性，并可以适用于多种不同类型场景下的数字证书自动申请、查询、更新、吊销和撤销列表获取等。为了便于本领域技术人员更清楚地理解本发明在具体场景下的实施方式，下面以一个具体示例对本发明实施方式进行介绍。需要说明的是，该具体示例仅为使得本领域技术人员更清楚地了解本发明，但本发明的实施方式不限于该具体示例。需要说明的是，下述实施例以数字证书管理请求消息经两次加密处理为例进行说明，本领域技术人员可以在此实施例的基础上得到本发明的其他实现方式。参见图3，为本发明另一实施例提供的数字证书管理方法流程图。如图3所示，可以包括如下步骤：s301，数字证书申请设备获取授权码。具体实现时，数字证书申请设备向数字证书颁发设备请求下载数字证书的授权码，并获取所述数字证书颁发设备发送的授权码。s302，数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥。具体实现时，为保证数字证书颁发过程中信息传输的安全，在数字证书申请设备和数字证书颁发设备之间可以协商建立一个安全数据通道。可选的，数字证书申请设备可以利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥。本发明对安全数据通道的建立方式不进行限制，只要能够利用授权码生成用于数据传输的共享安全密钥即可。具体实现时，可以采用如下方式建立安全数据通道：s302a，数字证书申请设备与数字证书颁发设备进行安全数据通道协商。s302b，数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全数据通道的安全密钥。其中，所述安全密钥包括数据通信密钥，所述数据通信密钥用于所述数字证书申请设备和数字证书颁发设备在安全数据通道交互消息时对消息进行加密传输。s302c，数字证书申请设备与数字证书颁发设备通过完整性校验码对安全通道确认消息进行验证。具体实现可以参照图4所示的安全数据通道协商和建立示意图。具体地，所述数字证书申请设备与数字证书颁发设备进行安全数据通道协商包括：数字证书申请设备向数字证书颁发设备发送第一随机数、第一身份信息，以及，接收所述数字证书颁发设备发送的第二随机数、第二身份信息。其中，所述第一随机数为数字证书申请设备随机生成的，所述第一身份信息具体可以为数字证书申请设备的身份标识，例如ip地址、mac地址、电子邮件地址、全域名字符串或者国际移动用户识别码(imsi)等。所述第二随机数为数字证书颁发设备随机生成的，所述第二身份信息具体可以为数字证书颁发设备的身份标识，例如ip地址、mac地址、电子邮件地址、全域名字符串或者国际移动用户识别码(imsi)等。数字证书申请设备与数字证书颁发设备交互随机数、身份信息的过程可以是数字证书申请设备先发起的，也可以是数字证书颁发设备先发起的，本发明对具体的交互方式不进行限定。在一些实施方式中，所述数字证书申请设备与数字证书颁发设备使用授权码以及协商过程中获得的随机数、身份信息生成安全数据通道的安全密钥包括：所述数字证书申请设备与数字证书颁发设备利用授权码、所述第一随机数、所述第一身份信息、所述第二随机数以及所述第二身份信息生成安全密钥。需要说明的是，在数字证书申请设备和数字证书颁发设备侧生成的安全密钥是相同的。所述安全密钥可以包括一组或者多组密钥。例如安全密钥可以包括用于数据传输的数据通信密钥，还可以包括进行完整性校验的完整性校验密钥。在一些实施方式中，所述安全密钥还包括完整性校验密钥，所述数字证书申请设备与数字证书颁发设备通过完整性校验码进行安全数据通道的密钥确认包括：所述数字证书申请设备与数字证书颁发设备利用随机数、所述完整性校验密钥生成完整性校验码，利用所述完整性校验码对安全通道确认消息进行验证。s303，数字证书申请设备利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息；其中，所述数字证书管理请求消息经数据通信密钥加密处理。具体实现时，所述数字证书申请设备首先利用数据会话密钥对数字证书管理请求消息携带的证书请求数据进行加密。所述证书请求数据包括证书请求信息、签名算法标识以及签名值。所述证书请求信息可以包括版本、持有者名称、持有者公钥信息、扩展、序列号、颁发者名称和有效期。当所述数字证书申请设备和/或所述数字证书颁发设备支持两种以上的加密算法时，所述数字证书管理请求消息携带的证书请求数据还包括加密算法标识，所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用数据会话密钥对证书请求信息、签名算法标识和签名值加密处理后得到的数据。在传输时，数字证书申请设备通过安全数据通道保密后向数字证书颁发设备发送证书管理请求消息。这时，数字证书管理请求消息经数据通信密钥进行了第二次加密处理。如果数字证书申请设备没有数字证书颁发设备所颁发的数字证书，则证书管理请求消息中携带需要在申请的新数字证书中包含的证书信息。如果数字证书申请设备已含有数字证书颁发设备所颁发的数字证书，则数字证书申请设备发送的数字证书管理请求消息中携带已有的数字证书的信息，用于数字证书颁发设备进行证书的查询和更新。在一些实施方式中，所述数字证书管理请求消息可以包括数字证书申请信息、数字证书获取信息、数字证书吊销信息、数字证书撤销列表信息等类型。具体实现时，数字证书申请信息、数字证书吊销信息、数字证书获取信息或者数字证书撤销列表信息可以采用但不限于表1所示形式。表1数字证书管理请求消息的信息类型举例说明，数字证书管理请求消息的类型值为2时，所述消息具体为证书申请信息，用于申请新数字证书。数字证书管理请求消息的类型值为4时，所述消息具体为证书获取信息，用于查询或者更新已有数字证书。数字证书管理请求消息的类型值为5时，所述消息具体为证书吊销信息，用于吊销已有数字证书。数字证书管理请求消息的类型值为6时，所述消息具体为证书撤销列表信息，用于请求证书撤销列表。具体实现时，证书申请信息的字段格式可以采用但不限于表2所示形式。表2证书申请信息证书生成方式证书请求数据具体实现时，证书获取信息的字段格式可以采用但不限于表3所示形式。表3证书获取信息颁发设备名称序列号具体实现时，证书吊销信息的字段格式可以采用但不限于表4所示形式。表4证书吊销信息颁发设备名称序列号吊销原因具体实现时，证书撤销列表信息的字段格式可以采用但不限于表5所示形式。表5证书撤销列表信息颁发设备名称s304，数字证书申请设备利用所述安全数据通道接收所述数字证书颁发设备发送的数字证书管理响应消息。具体实现时，所述数字证书管理响应消息携带的证书响应数据可以是明文数据，也可以是经数据会话密钥加密处理后的数据。若经数据会话密钥加密处理，所述证书响应数据和证书请求数据使用的数据会话密钥以及加密方式是一致的。进一步地，数字证书颁发设备通过安全数据通道保密后向数字证书申请设备发送数字证书管理响应消息。也就是说，数字证书管理响应消息经安全数据通道的数据通信密钥进行加密处理。举例说明，若所述数字证书管理请求消息在传输前，已经利用数据会话密钥对数字证书管理请求消息中携带的证书请求数据进行过加密处理，在安全数据通道传输时又利用数据通信密钥进行了第二次加密处理。所述数字证书管理响应消息在传输前，也可以先利用所述数据会话密钥对数字证书管理响应消息携带的证书响应数据进行一次加密处理，再利用所述数据通信密钥对数字证书管理响应消息进行第二次加密处理。更进一步地，若数字证书申请设备和/或数字证书颁发设备支持两种以上的加密算法，所述证书响应数据还应包括加密算法标识，相应地，所述证书响应数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据。数字证书颁发设备确定数字证书申请设备需申请新数字证书时，数字证书管理响应消息包含数字证书颁发设备根据数字证书申请信息包含的证书请求数据产生的新数字证书。数字证书颁发设备确定数字证书申请设备需查询或更新已有的数字证书时，数字证书管理响应消息携带查询的或者更新的数字证书。具体实现时，数字证书颁发设备根据数字证书管理请求消息里的信息类型判断处理。若接收到数字证书申请信息，判断申请保护的证书信息存在，则根据证书请求数据颁发新的数字证书；如果证书获取信息包含的已有数字证书信息存在，则根据颁发设备名称和序列号查询已有的数字证书；如果证书吊销信息包含的颁发设备名称和序列号存在，则根据颁发设备名称和序列号查询吊销已有的数字证书；如果证书撤销列表存在，则根据颁发设备名称查询证书撤销列表。数字证书颁发设备将上述证书携带在证书管理响应消息里。证书管理响应消息可以采用但不限于表6所示形式。表6数字证书管理响应消息里信息类型消息类型值含义(信息类型)数字证书管理响应消息3证书响应证书响应字段格式可以采用但不限于表7所示形式。表7证书响应字段格式证书生成类型证书响应数据其中证书生成类型可以如表8所示，列举了不同的证书所有者对应的证书类型。表8证书类型类型值含义1客户端证书2as证书3ca证书4证书撤销列表其中，as证书为认证服务器证书，ca证书为授权中心证书。s305，数字证书申请设备对所述证书管理响应消息进行处理，获取处理结果。具体实现时，数字证书申请设备根据需要对数字证书管理响应消息进行解密处理以及校验处理，获取消息内容，并根据需求确定使用的数字证书，进行数字证书的安装、更新等处理。所述方法还包括：s306，数字证书申请设备生成数字证书管理确认消息，并向数字证书颁发设备发送证书管理确认消息。具体实现时，当数字证书申请设备利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥后，数字证书申请设备可以利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书响应消息经所述数据通信密钥加密处理。在本发明实施例中，通过上述s301、s302消息建立了安全可靠的数据传输通道，通过上述s303、s304、s305三个消息进行交互实现数字证书的自动申请、查询和更新，使得数字证书管理更为有效、安全、可靠。如图5所示，为数字证书自动申请、查询、更新和颁发方法中的消息内容示意图。如图5所示，数字证书管理请求消息certreq具体可以是包括数字证书申请信息、数字证书获取信息、数字证书吊销信息以及数字证书撤销列表信息等。所述数字证书管理响应消息certres可以包括数字证书响应信息等。数字证书管理确认消息certconfirm可以用于解除数字证书申请设备和数字证书颁发设备之间的连接。以上从数字证书申请设备侧对本发明提供的数字证书管理方法进行了介绍。本领域技术人员可以理解的是，本发明提供的方法还可以应用于数字证书颁发设备侧，其中的处理可以与图2至图5所示的示例对应进行。举例说明，上述方法应用于证书颁发设备侧还可以包括：数字证书颁发设备接收数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；数字证书颁发设备对所述数字证书管理请求消息进行处理，并生成数字证书管理响应消息；数字证书颁发设备向所述数字证书申请设备发送数字证书管理响应消息。在一些实施方式中，所述方法还包括：数字证书颁发设备接收并处理所述数字证书申请设备发送的数字证书管理确认消息。在一些实施方式中，所述数字证书颁发设备利用授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥。具体的实现可以参照图2至图5所述方法而实现。参见图6，为本发明一实施例提供的数字证书申请设备示意图。一种数字证书申请设备600，包括：发送单元601，用于向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥。加密单元602，用于利用所述数据会话密钥对所述数字证书管理消息携带的证书请求数据进行加密处理。接收单元603，用于接收所述数字证书颁发设备发送的数字证书管理响应消息。处理单元604，用于对所述数字证书管理响应消息进行处理，获取处理结果。在一些实施方式中，所述处理单元604还用于生成数字证书管理确认消息；所述发送单元601还用于向数字证书颁发设备发送数字证书管理确认消息。在一些实施方式中，所述发送单元601具体用于向数字证书颁发设备发送携带证书请求数据的数字证书管理请求消息，所述证书请求数据包括证书请求信息、签名算法标识以及签名值。在一些实施方式中，所述证书请求信息可以包括版本、持有者名称、持有者公钥信息、扩展、序列号、颁发者名称和有效期，当所述数字证书申请设备和/或所述数字证书颁发设备支持两种以上的加密算法时，所述发送单元601向数字证书颁发设备发送的数字证书管理请求消息携带的证书请求数据还包括加密算法标识，所述证书请求数据具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用数据会话密钥对证书请求信息、签名算法标识和签名值加密处理后得到的数据；相应的，所述加密单元602具体用于利用所述加密算法标识对应的加密算法、利用数据会话密钥对证书请求信息、签名算法标识和签名值进行加密处理。在一些实施方式中，所述设备还包括：安全数据通道建立单元，用于利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；所述发送单元601具体用于：利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。所述加密单元602，还用于利用所述数据通信密钥对所述数字证书管理请求消息进行加密处理。在一些实施方式中，所述发送单元601具体用于：利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理确认消息，所述数字证书管理确认消息经所述数据通信密钥加密处理。所述加密单元602，还用于利用所述数据通信密钥对所述数字证书管理确认消息进行加密处理。其中，本发明设备各单元或模块的设置可以参照图2至图5所示的方法而实现，在此不赘述。需要说明的是，数字证书管理设备可以是独立的设备，也可以与数字证书颁发设备集成在一起，或者作为数字证书颁发设备的一部分而存在，在此不进行限定。参见图7，是本发明另一实施例提供的用于数字证书申请的设备的框图。包括：至少一个处理器701(例如cpu)，存储器702和至少一个通信总线703，用于实现这些设备之间的连接通信。处理器701用于执行存储器702中存储的可执行模块，例如计算机程序。存储器702可能包含高速随机存取存储器(ram：randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器701执行所述一个或者一个以上程序包含的用于进行以下操作的指令：向数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；接收数字证书颁发设备发送的数字证书管理响应消息；处理所述数字证书管理响应消息，获取处理结果。在一些实施方式中，处理器701还用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：生成数字证书管理确认消息，并向数字证书颁发设备发送数字证书管理确认消息。在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用获取的授权码与数字证书颁发设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。在一些实施方式中，处理器701具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书颁发设备发送数字证书管理请求消息，所述数字证书管理请求消息经所述数据通信密钥加密处理。参见图8，为本发明一实施例提供的数字证书颁发设备示意图。一种数字证书颁发设备800，包括：接收单元801，用于接收数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥。处理单元802，用于对所述数字证书管理请求消息进行处理，并生成数字证书管理响应消息。发送单元803，用于向所述数字证书申请设备发送数字证书管理响应消息。在一些实施方式中，所述接收单元801还用于接收所述数字申请设备发送的数字证书管理确认消息；所述处理单元802还用于处理所述数字证书管理确认消息。在一些实施方式中，所述发送单元803发送的所述数字证书管理响应消息携带的证书响应数据经所述数据会话密钥加密处理；所述设备还包括加密单元804，具体用于：利用所述数据会话密钥对所述数字证书管理响应消息携带的证书响应数据进行加密处理。其中，所述接收单元801接收的所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理，所述证书请求数据包括证书请求信息、签名算法标识以及签名值，所述证书请求信息包括版本、持有者名称、持有者公钥信息、扩展、序列号、颁发者名称和有效期。在一些实施方式中，当所述数字证书颁发设备支持两种以上的加密算法时，所述发送单元803发送的所述证书响应数据还进一步包括加密算法标识，具体包括加密算法标识，以及利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据加密处理后得到的数据；相应的，所述加密单元804还具体用于：利用所述加密算法标识对应的加密算法、利用所述数据会话密钥对所述证书响应数据进行加密处理。在一些实施方式中，所述设备还包括：安全数据通道建立单元，用于利用获取的授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥；所述发送单元具体用于：利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理；所述加密单元804还用于：利用所述数据通信密钥对所述数字证书管理响应消息进行加密处理。参见图9，是本发明另一实施例提供的用于数字证书颁发的设备的框图。包括：至少一个处理器901(例如cpu)，存储器902和至少一个通信总线903，用于实现这些设备之间的连接通信。处理器901用于执行存储器902中存储的可执行模块，例如计算机程序。存储器902可能包含高速随机存取存储器(ram：randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。一个或者一个以上程序存储于存储器中，且经配置由一个或者一个以上处理器901执行所述一个或者一个以上程序包含的用于进行以下操作的指令：接收数字证书申请设备发送的数字证书管理请求消息，所述数字证书管理请求消息携带的证书请求数据经数据会话密钥加密处理；其中，所述数据会话密钥为所述数字证书申请设备和所述数字证书颁发设备之间的预共享密钥；对所述数字证书管理请求消息进行处理，并生成数字证书管理响应消息；向所述数字证书申请设备发送数字证书管理响应消息。在一些实施方式中，处理器901还用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：接收并处理数字证书申请设备发送的数字证书管理确认消息。在一些实施方式中，处理器901具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用获取的授权码与数字证书申请设备协商建立安全数据通道，生成安全密钥；其中，所述安全密钥包括数据通信密钥。在一些实施方式中，处理器901具体用于执行所述一个或者一个以上程序包含用于进行以下操作的指令：利用所述安全数据通道向所述数字证书申请设备发送数字证书管理响应消息，所述数字证书管理响应消息经所述数据通信密钥加密处理。本领域技术人员可以明了，前述方法及设备是对应的关系。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅是本发明的具体实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12