一种数字证书管理方法和平台与流程
本发明实施例涉及通信领域,尤其涉及一种数字证书管理方法和平台。
背景技术:
随着无线网络建设的不断扩大和负荷的不断增长,传统的宏基站和室内分布系统建设在物业协调、配套建设、深度和精确覆盖、扩容改造等方面的局限性日益突出。小基站技术应用而生,小基站采用低成本、小型化、低功率的即插即用型接入设备。通过基于网络协议(Internet Protocol,简称IP)的有线带宽回传链路和小基站网关接入运营商核心网,能够较好的解决上述问题,成为传统宏基站和室内分布式系统的有益补充。
小基站接入到运营上的核心网络需要考虑小基站的安全认证和数据的安全传输的问题。为了确保小基站与核心网之间的交互数据在网络上进行安全传输。通常是让小基站与安全网关进行双向认证后,然后通过小基站与安全网关之间的Internet协议安全性(Internet Protocol Security,简称Ipsec)隧道实现对数据进行加密和完整性保护。而目前常用的安全认证方式有数字证书认证。数字证书认证是国际标准,其以安全性高、组网简单且成本低的优势越来越受到各大运营上的推荐。
因此,对数字证书的安全管理越来越重要。数字证书的管理包括数字证书的生成、存储、发布和小基站获取数字证书。现有技术,电子商务认证授权机构(Certifite Authority,简称CA)生成数字证书后,以邮件方式发送到管理者,管理者将接收到数字证书手动导入数字证书管理平台。邮件的方式发送会造成数字证书容易泄露。之后管理者手动将数字证书导入数字证书管理平台,之后从数字证书管理平台导入到小基站;通过人工手动导入数字证书的效率较低。
技术实现要素:
本发明实施例提供一种数字证书管理方法和平台,用以解决现有技术中数字证书以邮件方式发送容易泄露的问题。
本发明实施例提供一种数字证书管理方法,所述方法适用于由数字证书管理平台及电子商务认证机构CA的证书管理平台组成的系统;所述数字证书管理平台和所述CA的证书管理平台设置有通信接口;所述方法包括:所述数字证书管理平台通过所述通信接口向所述CA的证书管理平台发送数字证书申请信息;所述数字证书管理平台通过所述通信接口接收所述CA的证书管理平台发送的数字证书信息;所述数字证书信息为所述CA的证书管理平台根据所述数字证书申请信息生成的;所述数字证书管理平台对接收到的所述数字证书信息进行加密并存储。
可选地,所述数字证书申请信息中包括基站标识;所述数字证书管理平台对接收到的所述数字证书信息进行加密并存储,包括:所述数字证书管理平台根据所述基站标识确定所述基站标识对应的数字证书信息;所述数字证书管理平台对确定出的所述数字证书信息进行加密;所述数字证书管理平台用所述基站标识对加密的所述数字证书信息命名,并存储。
可选地,所述数字证书管理平台对接收到的所述数字证书信息进行加密、并存储之后,还包括:所述数字证书管理平台接收数字证书请求;其中,所述数字证书请求中包括基站标识;所述数字证书管理平台确定所述数字证书请求中的基站标识对应的加密的数字证书信息和私钥;所述数字证书管理平台根据确定出的所述数字证书信息和私钥生成数字证书响应;所述数字证书管理平台向基站发送所述数字证书响应;所述数字证书响应用于被所述基站解密后得到所述数字证书信息和私钥,所述数字证书信息和私钥用于使所述基站和安全网关进行认证。
可选地,所述系统还包括:初始化数字证书管理平台;所述数字证书管理平台接收数字证书请求,包括:所述数字证书管理平台接收所述初始化数字证书管理平台转发的所述数字证书请求;其中,所述数字证书请求由所述基站发送至所述初始化数字证书管理平台;所述数字证书管理平台向基站发送所述数字证书响应,包括:所述数字证书管理平台通过所述初始化数字证书管理平台向基站发送所述数字证书响应。
本发明实施例提供一种数字证书管理平台,所述数字证书管理平台和所述CA的证书管理平台设置有通信接口;包括:发送单元,用于通过所述通信接口向所述CA的证书管理平台发送数字证书申请信息;接收单元,用于通过所述通信接口接收所述CA的证书管理平台发送的数字证书信息;所述数字证书信息为所述CA的证书管理平台根据所述数字证书申请信息生成的;处理单元,用于对接收到的所述数字证书信息进行加密并存储。
可选地,所述数字证书申请信息中包括基站标识;所述处理单元,用于:根据所述基站标识确定所述基站标识对应的数字证书信息;对确定出的所述数字证书信息进行加密;用所述基站标识对加密的所述数字证书信息命名,并存储。
可选地,所述接收还单元,还用于:接收数字证书请求;其中,所述数字证书请求中包括基站标识;所述处理单元,用于:确定所述数字证书请求中的基站标识对应的加密的数字证书信息和私钥;根据确定出的所述数字证书信息和私钥生成数字证书响应;所述发送单元,还用于:向基站发送所述数字证书响应;所述数字证书响应用于被所述基站解密后得到所述数字证书信息和私钥,所述数字证书信息和私钥用于使所述基站和安全网关进行认证。
可选地,所述接收单元,用于:接收初始化数字证书管理平台转发的所述数字证书请求;其中,所述数字证书请求由所述基站发送至所述初始化数字证书管理平台;所述发送单元,用于:通过所述初始化数字证书管理平台向基站发送所述数字证书响应。
本发明实施例提供一种数字证书管理系统,包括:基站、初始化数字证书管理平台和数字证书管理平台;所述数字证书管理平台和CA的证书管理平台设置有通信接口;所述数字证书管理平台,用于:通过所述通信接口向所述CA的证书管理平台发送数字证书申请信息;通过所述通信接口接收所述CA的证书管理平台发送的数字证书信息;对接收到的所述数字证书信息进行加密并存储;其中,所述数字证书信息为所述CA的证书管理平台根据所述数字证书申请信息生成的;所述初始化数字证书管理平台,用于:将接收到的所述基站发送的数字证书请求转发至所述数字证书管理平台,并将数字证书响应转发至所述基站,所述数字证书响应是所述数字证书管理平台根据确定出的所述数字证书信息生成的。
本发明实施例中,由于本发明实施例中,数字证书管理平台与CA的证书管理平台设置有通信接口,数字证书管理平台通过通信接口向CA的证书管理平台发送数字证书申请信息;数字证书管理平台通过通信接口接收CA的证书管理平台发送的数字证书信息;可以避免现有技术中数字证书申请信息或者数字证书信息在邮件发送过程中造成数字证书信息泄露的问题。
进一步,数字证书管理平台对接收到的数字证书信息加密后再存储,提高了数字证书存储和传输过程中的安全性。通过本发明实施例,可以提高数字证书信息传递过程中的安全性,进而提高了数字证书信息维护的效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种通信系统的架构示意图;
图2为本发明实施例提供的一种数字证书管理方法的方法流程示意图;
图3为本发明实施例提供的一种数字证书管理平台的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示出了应用本发明实施例的一种通信系统的架构示意图。如图1所示,该系统架构可以包括小基站101、初始化数字证书管理平台102、数字证书管理平台103、电子商务认证机构(Certifite Authority,简称CA)104以及安全网关105。数字证书管理平台和CA的证书管理平台设置有通信接口。基站101、初始化数字证书管理平台102、数字证书管理平台103以及电子商务认证机构(Certifi te Authority,简称CA)之间通过通信接口进行通信。
小基站101是区别于宏基站的基站类型的统称,根据其支持拥护和覆盖范围分为微蜂窝Microcell基站、微微蜂窝Picocell基站、企业毫微微蜂窝Enterprise Femtocell基站、住宅毫微微蜂窝Residential Femtocell基站、皮基站和飞站等。
初始化数字证书管理平台102可以是与数字证书管理平台103和小基站101进行通信的网络设备。初始化数字证书管理平台用于将接收到的基站发送的数字证书请求转发至数字证书管理平台,并将数字证书响应转发至基站。
数字证书管理平台103可以是与初始化数字证书管理平台102和小基站101进行通信的网络设备。数字证书管理平台103用于根据基站标识或者安全网关标识生成数字证书申请信息和私钥,并通过通信接口向CA的证书管理平台发送数字证书申请信息;通过通信接口接收CA的证书管理平台发送的数字证书信息;对接收到的数字证书信息进行加密并存储。
CA的证书管理平台104是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
安全网关105是一种多功能装置,它同时具备了网络防火墙功能、网络入侵检测功能以及防病毒功能等等。安全网关包括两种模式,分别是网桥模式和网关模式。用于与小基站101之间进行双向认证,建立Ipsec隧道。
本发明实施例中,为了提高系统的安全性,数字证书管理平台和初始化数字证书管理平台之间可基于数字证书进行双向认证,建立数据传输的加密通道。
基于图1所示的系统架构,图2示例性示出了本发明实施例提供的一种数字证书管理方法的方法流程示意图,如图2所示,该数字证书管理方法包括以下步骤:
步骤201,数字证书管理平台通过通信接口向CA的证书管理平台发送数字证书申请信息;
步骤202,数字证书管理平台通过通信接口接收CA的证书管理平台发送的数字证书信息;数字证书信息为CA的证书管理平台根据数字证书申请信息生成的;
步骤203,数字证书管理平台对接收到的数字证书信息进行加密并存储。
由于本发明实施例中,数字证书管理平台与CA的证书管理平台设置有通信接口,数字证书管理平台通过通信接口向CA的证书管理平台发送数字证书申请信息;数字证书管理平台通过通信接口接收CA的证书管理平台发送的数字证书信息;可以避免现有技术中数字证书申请信息或者数字证书信息在邮件发送过程中造成数字证书信息泄露的问题。
进一步,数字证书管理平台对接收到的数字证书信息加密后再存储,提高了数字证书存储和传输过程中的安全性。通过本发明实施例,可以提高数字证书信息传递过程中的安全性,进而提高了数字证书信息维护的效率。
本发明实施例中,数字证书管理平台获取基站标识(比如基站的MAC地址),针对获取到的每个基站标识填写申请数字证书需要的其他信息,比如申请人联系方式。数字证书管理平台根据获取的基站标识,调用openssl的私钥生成命令生成私钥,并确定出私钥对应的公钥。根据基站标识、确定出的公钥和其它信息生成数字证书申请信息。数字证书管理平台将数字证书申请信息通过通信接口发送至CA的证书管理平台。可选地,生成的数字证书申请信息需满足数字证书管理平台和CA的证书管理平台约定的格式。可选地,私钥可以按照基站标识进行命名存储在数字证书管理平台,便于确定基站标识对应的私钥。
可选地,数字证书管理平台获取基站的标识包括:管理者导入基站标识。基站标识可以批量导入数字证书管理平台,批量向CA的证书管理平台申请数字证书。
当CA的证书管理平台接收到数字证书申请信息后,对数字证书申请信息进行审核。CA的证书管理平台在确定数字证书申请信息合法后,生成基站标识对应的数字证书。同时,CA的证书管理平台生成根证书,并用根证书对数字证书进行签名,数字证书及相应的根证书形成数字证书信息。CA的证书管理平台通过通信接口将包括数字证书信息发送至数字证书管理平台。
本发明实施例中,数字证书申请信息中包括基站标识;数字证书管理平台对接收到的数字证书信息进行加密并存储,包括:数字证书管理平台根据基站标识确定基站标识对应的数字证书信息;数字证书管理平台对确定出的数字证书信息进行加密;数字证书管理平台用基站标识对加密的数字证书信息命名,并存储。
本发明实施例中,数字证书管理平台在接收到数字证书信息后,解析数字证书信息,确定出数字证书信息对应的基站标识。根据确定出的基站标识匹配对应的私钥。数字证书管理平台确定出基站标识、数字证书信息以及私钥之间的映射关系后,调用加密算法接口,将数字证书信息和私钥采用加密算法加密,之后按基站标识对加密后的数字证书信息命名,并存储。按基站标识对加密后的数字证书信息命名,便于查找出每个基站标识对应的数字证书信息。而且,加密存储可以保证存储的数字证书信息的安全性。
本发明实施例中,当基站采用数字证书开站时,检测到基站中没有对应的数字证书时,基站向数字证书管理平台发送数字证书请求;其中,数字证书请求中包括基站标识;数字证书管理平台确定数字证书请求中的基站标识对应的加密的数字证书信息和私钥;数字证书管理平台根据确定出的数字证书信息和私钥生成数字证书响应;数字证书管理平台向基站发送数字证书响应;数字证书响应用于被基站解密后得到数字证书信息和私钥,数字证书信息和私钥用于使基站和安全网关进行认证。
本发明实施例中,当基站接收到加密的数字证书信息和私钥后,首先进行解密,之后验证数字证书信息的合法性。在验证数字证书信息的合法后,将数字证书信息存储在基站。其中,数字证书信息和私钥用于使基站和安全网关进行双向认证;基站和安全网关通过双向认证后,建立ipsec隧道,进行数据的安全传输。
为了进一步提高数字证书信息的安全性。该系统还包括:初始化数字证书管理平台;数字证书管理平台接收数字证书请求,包括:数字证书管理平台接收初始化数字证书管理平台转发的数字证书请求;其中,数字证书请求由基站发送至初始化数字证书管理平台;数字证书管理平台向基站发送数字证书响应,包括:数字证书管理平台通过初始化数字证书管理平台向基站发送数字证书响应。
可选地,基站向初始化数字证书管理平台发送数字证书请求后,初始化数字证书管理平台通过通信接口向数字证书管理平台发送数字证书请求。如此,可以避免开站人员在开站过程中接触到数字证书信息;进而确保数字证书信息的安全性。
本发明实施例提供一种数字证书管理系统,包括:基站、初始化数字证书管理平台和数字证书管理平台;数字证书管理平台和CA的证书管理平台设置有通信接口;数字证书管理平台,用于:通过通信接口向CA的证书管理平台发送数字证书申请信息;通过通信接口接收CA的证书管理平台发送的数字证书信息;对接收到的数字证书信息进行加密并存储;其中,数字证书信息为CA的证书管理平台根据数字证书申请信息生成的;初始化数字证书管理平台,用于:将接收到的基站发送的数字证书请求转发至数字证书管理平台,并将数字证书响应转发至基站,数字证书响应是数字证书管理平台根据确定出的数字证书信息生成的。
从上述内容可以看出:本发明实施例中,由于本发明实施例中,数字证书管理平台与CA的证书管理平台设置有通信接口,数字证书管理平台通过通信接口向CA的证书管理平台发送数字证书申请信息;数字证书管理平台通过通信接口接收CA的证书管理平台发送的数字证书信息,可以避免现有技术中数字证书申请信息或者数字证书信息在邮件发送过程中造成数字证书信息泄露的问题。
进一步,数字证书管理平台对接收到的数字证书信息加密后再存储,提高了数字证书存储和传输过程中的安全性。通过本发明实施例,可以提高数字证书信息传递过程中的安全性,进而提高了数字证书信息维护的效率。
基于相同的技术构思,本发明实施例还提供一种数字证书管理平台,该数字证书管理平台可执行上述方法实施例。图3为本发明实施例提供了一种数字证书管理平台的结构示意图,如图3所示,该数字证书管理平台300包括发送单元301、接收单元302和处理单元303。其中:
发送单元,用于通过通信接口向CA的证书管理平台发送数字证书申请信息;
接收单元,用于通过通信接口接收CA的证书管理平台发送的数字证书信息;数字证书信息为CA的证书管理平台根据数字证书申请信息生成的;
处理单元,用于对接收到的数字证书信息进行加密并存储。
可选地,数字证书申请信息中包括基站标识;处理单元,用于:根据基站标识确定基站标识对应的数字证书信息;对确定出的数字证书信息进行加密;用基站标识对加密的数字证书信息命名,并存储。
可选地,接收还单元,还用于:接收数字证书请求;其中,数字证书请求中包括基站标识;处理单元,用于:确定数字证书请求中的基站标识对应的加密的数字证书信息和私钥;根据确定出的数字证书信息和私钥生成数字证书响应;发送单元,还用于:向基站发送数字证书响应;数字证书响应用于被基站解密后得到数字证书信息和私钥,数字证书信息和私钥用于使基站和安全网关进行认证。
可选地,接收单元,用于:接收初始化数字证书管理平台转发的数字证书请求;其中,数字证书请求由基站发送至初始化数字证书管理平台;发送单元,用于:通过初始化数字证书管理平台向基站发送数字证书响应。
本发明实施例提供一种数字证书管理系统,包括:基站、初始化数字证书管理平台和数字证书管理平台;数字证书管理平台和CA的证书管理平台设置有通信接口;数字证书管理平台,用于:通过通信接口向CA的证书管理平台发送数字证书申请信息;通过通信接口接收CA的证书管理平台发送的数字证书信息;对接收到的数字证书信息进行加密并存储;其中,数字证书信息为CA的证书管理平台根据数字证书申请信息生成的;初始化数字证书管理平台,用于:将接收到的基站发送的数字证书请求转发至数字证书管理平台,并将数字证书响应转发至基站,数字证书响应是数字证书管理平台根据确定出的数字证书信息生成的。
从上述内容可以看出:本发明实施例中,由于本发明实施例中,数字证书管理平台与CA的证书管理平台设置有通信接口,数字证书管理平台通过通信接口向CA的证书管理平台发送数字证书申请信息;数字证书管理平台通过通信接口接收CA的证书管理平台发送的数字证书信息;可以避免现有技术中数字证书申请信息或者数字证书信息在邮件发送过程中造成数字证书信息泄露的问题。
进一步,数字证书管理平台对接收到的数字证书信息加密后再存储,提高了数字证书存储和传输过程中的安全性。通过本发明实施例,可以提高数字证书信息传递过程中的安全性,进而提高了数字证书信息维护的效率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!