2. 专利技术
  3. 安全证书获取方法、系统、计算机设备及存储介质与流程

安全证书获取方法、系统、计算机设备及存储介质与流程

专利2024-03-28  96


1.本技术涉及数据安全传输的技术领域,特别是涉及一种安全证书获取方法、系统、计算机设备及存储介质。


背景技术:

2.现智能汽车网联产品件需要预埋安全证书,用于车端与云端建立安全通讯和合法认证。传统方案是车企将安全证书通过网络邮件或u盘存储形式发给网联产品供应商,由供应商在开发时进行预埋,此环节存在安全隐患,即安全证书通过网络邮件或u盘传递存在人工参与场景,同时证书出了车企内部网联,有证书泄露风险,如被黑客利用可产生严重的安全隐患。
3.因此,亟需提出一种降低证书泄露风险及其产生的安全隐患的安全证书获取方法、系统、计算机设备及存储介质。


技术实现要素:

4.基于此,有必要针对上述技术问题,提供一种能够降低证书泄露风险的安全证书获取方法、系统、计算机设备及存储介质。
5.一方面,提供一种安全证书获取方法,所述方法包括:
6.步骤a:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
7.步骤b:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
8.步骤c:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
9.在其中一个实施例中,还包括:所述方法还包括:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
10.在其中一个实施例中,还包括:所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码;向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
11.在其中一个实施例中,还包括:所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
12.在其中一个实施例中,还包括:所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:在所述设备应用端写入公钥基础设施根证书、pdid、所述第一证书以及所述第一证书的私钥;利用所述公钥基础设施根证书验证所述第一证书的合法性:采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
13.在其中一个实施例中,还包括:所述根据所述第一证书向所述远程服务提供平台申请第二证书包括:当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件;对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯;认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
14.在其中一个实施例中,还包括:利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;所述设备应用端写入所述第二证书以替换所述第一证书;将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
15.另一方面,提供了一种安全证书获取系统,所述系统包括:
16.第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
17.第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
18.证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
19.再一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
20.步骤a:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
21.步骤b:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
22.步骤c:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
23.又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
infrastructure)预先生成应用于所述远程服务提供平台(tsp,telematics service provider)的第三证书,并将所述第三证书离线发送给所述远程服务提供平台,其中,所述第三证书为安全证书,即为应用于所述远程服务提供平台的正式证书,所述第三证书用于后续与设备供应终端做双向认证,以提高证书传输过程的安全性。
38.进一步的,示例性的,设备供应终端可以是tbox(telematics-box,车载通讯终端)供应商,相当于设备零件供应者,而下文所述的设备应用端可以是车企生产产线,相当于将所述设备零件进行组装的生产线,另外,远程服务提供平台即为云平台,用于进行业务校验。
39.更进一步的,所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:
40.所述设备供应终端利用源代码基础库(open ssl基础库)随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码,其中,私钥不公开,所述私钥用于后续的双向认证通讯,p10是指pkcs#10规范,其中,p10文件由公钥和自定义主题构成,本技术关键主题由tbox的pdid、证书批次号、证书批次数量组合生成;
41.向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
42.所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件,其中,所述pdid在远程服务提供平台有维护入口,对设备供应终端的证书申请批次号和批次数量有设定,设定规则为根据设备供应终端产能比例设置,建议值是每批次不大于1000,时长从申请时算起不超过3个月,且所述第一证书按批次从pki系统申请,同一批次的第一证书相同,同一批次的第一证书才可以换取对应正式证书,正式证书即第二证书是唯一的,如存在第一证书泄露情况,可注销该批次第一证书号,影响范围可控;
43.所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
44.所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
45.其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
46.将所述第一证书预埋于网联产品件中,其中,网联产品件指的是设备供应终端所提供的各种形式的可以上网的零部件,示例性的,该设备可以是tbox。
47.设备供应终端通过网页形式申请临时证书,在供应商侧预埋临时证书,避免了人工干预的场景。
48.s2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
49.需要说明的是,所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:
50.在所述设备应用端写入公钥基础设施根证书(pki根证书)、pdid、所述第一证书以及所述第一证书的私钥;
51.利用所述公钥基础设施根证书验证所述第一证书的合法性:
52.采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
53.具体的,所述rsa签名算法是一种非对称加密,可以在不直接传递密钥的情况下,完成解密,能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险,是由一对密钥来进行加解密的过程,分别称之为公钥和私钥,如果用公钥进行加密,则只能通过对应的私钥去解密,如果用私钥进行加密,则只能通过对应的公钥去解密,数字签名的过程简述为:发送方通过不可逆算法对内容msg1进行处理(哈希),得到的结果值hash1,然后用私钥加密hash1得到结果encry1,对方接收encry1和msg1,用公钥解密encry1得到hash1,然后再用msg1进行同等的不可逆处理得到hash2,对hash1和hash2进行对比即可认证发送方。
54.进一步的,根据所述第一证书向所述远程服务提供平台申请第二证书包括:
55.当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件,即集成pki-sdk(software development kit,软件开发工具包)生成第二公私钥对及第二p10文件,其中,sdk包是c语言库,可在tbox软件编译的时候打包进去,由pki系统提供,内容是一系列底层加解密和验签函数,包括了公私钥对的生成;
56.对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯,示例性的,即车企云平台认证tbox,tbox认证车企云平台;
57.认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;
58.所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量,其中,所述第三证书和所述第一证书均由pki系统根私钥签名,因此合法性得到保证;所述第一证书只能用作申请正式证书使用,如用作业务证书通讯,云平台检验出则会报错无法继续;所述设备供应终端通过网页(web)页面申请证书的批次号和数量是通过云平台后到pki系统申请的,因此可以在云平台得到检验;
59.当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
60.具体的,所述第二p10文件在产线外部生成,即通过pki-sdk生成,所述第三p10文件由产线内部生成,因此,正式证书始终控制在车企内部网络,且不通过人工参预埋与传递,避免出现泄露风险的问题。
61.s3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
62.具体的,累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
63.所述设备应用端写入所述第二证书以替换所述第一证书;
64.将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
65.上述安全证书获取方法中,设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,通过设备供应终端主动向设备应用端申请临时证书的方法,将临时证书预埋在网联产品件中,而后在设备应用端的产线上,再通过产线电检触发网联产品件的临时证书换取正式证书,解决正式证书预埋传输问题,正式使用的安全证书在生命周期始终控制在设备应用端内部网络,不存在传输问题,且临时证书一旦发现泄露,可通过管控手段禁止申请正式证书,避免了人工干预的场景,从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题,提高了证书的安全性。
66.应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
67.实施例二
68.在一个实施例中,如图4所示,提供了一种安全证书获取系统,包括:第一证书申请及下载模块、第二证书生成模块和证书替换及预埋模块,其中:
69.第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
70.第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
71.证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
72.所述系统还包括:
73.第三证书生成模块,用于基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
74.作为一种较优的实施方式,本发明实施例中,所述第一证书申请及下载模块具体用于:
75.所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码;
76.向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
77.所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
78.所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
79.所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书;
80.其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
81.作为一种较优的实施方式,本发明实施例中,所述第二证书生成模块具体用于:
82.在所述设备应用端写入公钥基础设施根证书、pdid、所述第一证书以及所述第一证书的私钥;
83.利用所述公钥基础设施根证书验证所述第一证书的合法性:
84.采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
85.当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件;
86.对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯;
87.认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;
88.所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
89.当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
90.作为一种较优的实施方式,本发明实施例中,所述证书替换及预埋模块具体用于:利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:
91.累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
92.所述设备应用端写入所述第二证书以替换所述第一证书;
93.将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
94.关于安全证书获取系统的具体限定可以参见上文中对于安全证书获取方法的限定,在此不再赘述。上述安全证书获取系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
95.实施例三
96.在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构
图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种安全证书获取方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
97.本领域技术人员可以理解,图5中示出的结构,仅仅是与本技术方案相关的部分结构的框图,并不构成对本技术方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
98.在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
99.s1:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
100.s2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
101.s3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
102.s4:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
103.作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
104.所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码;
105.向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
106.所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
107.所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
108.所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书;
109.其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
110.作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
111.在所述设备应用端写入公钥基础设施根证书、pdid、所述第一证书以及所述第一证书的私钥;
112.利用所述公钥基础设施根证书验证所述第一证书的合法性:
113.采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
114.作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
115.当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件;
116.对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯;
117.认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;
118.所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
119.当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
120.作为一种较优的实施方式,本发明实施例中,处理器执行计算机程序时还实现以下步骤:
121.累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
122.所述设备应用端写入所述第二证书以替换所述第一证书;
123.将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
124.实施例四
125.在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
126.s1:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;
127.s2:设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;
128.s3:利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。
129.s4:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。
130.在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
131.所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码;
132.向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;
133.所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;
134.所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;
135.所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。
136.其中,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。
137.在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
138.在所述设备应用端写入公钥基础设施根证书、pdid、所述第一证书以及所述第一证书的私钥;
139.利用所述公钥基础设施根证书验证所述第一证书的合法性:
140.采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。
141.在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
142.当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件;
143.对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯;
144.认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;
145.所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述第一证书的批次号是否准确以及所述第一证书的数量是否有余量;
146.当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。
147.在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
148.累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;
149.所述设备应用端写入所述第二证书以替换所述第一证书;
150.将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。
151.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom
(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
152.以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
153.以上所述实施例仅表达了本技术的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术专利的保护范围应以所附权利要求为准。

技术特征:
1.一种安全证书获取方法,其特征在于,所述方法包括:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。2.根据权利要求1所述的安全证书获取方法,其特征在于,所述方法还包括:基于所述公钥基础设施生成应用于所述远程服务提供平台的第三证书,所述第三证书为安全证书。3.根据权利要求1所述的安全证书获取方法,其特征在于,所述设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书包括:所述设备供应终端利用源代码基础库随机生成第一公私钥对,通过所述第一公私钥对中的公钥、pdid的批次号和本批次pdid数量生成第一p10文件,所述pdid为网联设备追溯码;向所述远程服务提供平台提交所述第一p10文件和所述第一证书的申请请求;所述远程服务提供平台基于所述申请请求,向公钥基础设施提交所述第一p10文件;所述公钥基础设施根据所述第一p10文件生成所述具有预设效期的第一证书,并传送至所述网页页面;所述设备供应终端通过所述网页页面下载所述具有预设效期的第一证书。4.根据权利要求3所述的安全证书获取方法,其特征在于,所述第一证书为临时证书,所述临时证书中包括证书用途标记,所述证书用途标记为:仅可用于申请正式证书,不能用于业务操作;所述临时证书的预设效期为三个月。5.根据权利要求1、3~4任一所述的安全证书获取方法,其特征在于,所述设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证包括:在所述设备应用端写入公钥基础设施根证书、pdid、所述第一证书以及所述第一证书的私钥;利用所述公钥基础设施根证书验证所述第一证书的合法性:采用rsa签名算法以及所述公钥基础设施根证书的公钥对所述第一证书的私钥签名进行验证。6.根据权利要求5所述的安全证书获取方法,其特征在于,所述根据所述第一证书向所述远程服务提供平台申请第二证书包括:当所述第一证书合法时,基于公钥基础设施系统里的软件开发工具包及所述pdid生成第二公私钥对和第二p10文件;对所述第一证书和所述远程服务提供平台的第三证书进行基于国际标准安全传输协议的http双向认证通讯;认证通过后,向所述远程服务提供平台提交所述第二p10文件和所述pdid触发所述第二证书的申请请求;所述远程服务提供平台验证所述第一证书的合法性和用途、所述pdid的合法性、所述
第一证书的批次号是否准确以及所述第一证书的数量是否有余量;当所述第一证书的合法性和用途、所述pdid的合法性符合标准,且所述第一证书的批次号准确以及所述第一证书的数量有余量时,向所述公钥基础设施提交所述设备应用端内部生成的第三p10文件,利用所述公钥基础设施生成所述第二证书。7.根据权利要求2或6所述的安全证书获取方法,其特征在于,利用所述第二证书替换所述第一证书,并将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中,包括:累计所述公钥基础设施生成的所述第二证书数量后,将所述第二证书传送至所述设备应用端;所述设备应用端写入所述第二证书以替换所述第一证书;将所述第二证书与所述第三证书进行消息队列遥测传输双向认证通讯,认证通过后,将所述第二证书预埋于所述设备应用端的所述网联产品件中,以便于进行后续的业务流程。8.一种安全证书获取系统,其特征在于,包括:第一证书申请及下载模块,用于设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将所述第一证书预埋于网联产品件中;第二证书生成模块,用于设备应用端根据预设的验证规则对所述网联产品件中的第一证书进行验证,若验证通过则根据所述第一证书向所述远程服务提供平台申请第二证书;证书替换及预埋模块,用于利用所述第二证书替换所述第一证书,将换取的所述第二证书预埋于所述设备应用端的所述网联产品件中。9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种安全证书获取方法、系统、计算机设备及存储介质,所述方法包括:设备供应终端通过网页页面向远程服务提供平台申请并下载具有预设效期的第一证书,将第一证书预埋于网联产品件中;设备应用端根据预设的验证规则对网联产品件中的第一证书进行验证,若验证通过则根据第一证书向远程服务提供平台申请第二证书;利用第二证书替换第一证书,将换取的第二证书预埋于设备应用端的网联产品件中。采用本方法能够解决正式证书预埋传输问题,正式使用的安全证书在生命周期始终控制在设备应用端内部网络,避免了人工干预的场景,从而从根本上解决了安全证书在传输过程中因人的疏忽导致证书泄露的问题,提高了证书传输的安全性。的安全性。的安全性。


技术研发人员:李甜 程中阳 黄强
受保护的技术使用者:重庆金康赛力斯新能源汽车设计院有限公司
技术研发日:2022.07.11
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-7403.html

专利

最新回复(0)