安全證書(shū)更新方法��、客戶(hù)端��、服務(wù)器的制造方法
【專(zhuān)利摘要】本發(fā)明涉及一種安全證書(shū)更新方法��,所述方法包括:客戶(hù)端在與服務(wù)器建立連接后�����,在需要進(jìn)行證書(shū)更新時(shí),接收服務(wù)器發(fā)送的證書(shū)更新通知���;接收到所述證書(shū)更新通知之后�����,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息�;接收所述服務(wù)器在確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)發(fā)送的證書(shū)更新命令����,接收到所述證書(shū)征信命令后,生成包括安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求��;將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器����,客戶(hù)端接收所述服務(wù)器發(fā)送的所述安全證書(shū)文件。本發(fā)明實(shí)施例提供的安全證書(shū)更新方法����,能夠避免人工對(duì)客戶(hù)端進(jìn)行手工維護(hù)造成的成本,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率��。
【專(zhuān)利說(shuō)明】安全證書(shū)更新方法����、客戶(hù)端�、服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域�����,具體涉及一種安全證書(shū)更新方法�����、客戶(hù)端�����、服務(wù)器���。
【背景技術(shù)】
[0002]證書(shū)是一種保護(hù)數(shù)據(jù)傳輸手段,在金融��、通信等領(lǐng)域應(yīng)用廣泛?�,F(xiàn)在技術(shù)中的證書(shū)頒發(fā)和維護(hù)基本參照公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)規(guī)范,使用USB key等傳遞方式進(jìn)行證書(shū)的傳遞����,在需要進(jìn)行更新時(shí)�,往往需要人工參與�。
[0003]但是,對(duì)于家庭儀表(例如����,煤氣表、電表)設(shè)備等需要進(jìn)行遠(yuǎn)程控制的客戶(hù)端�����,通過(guò)互聯(lián)網(wǎng)連接到遠(yuǎn)端的服務(wù)器對(duì)這些客戶(hù)端進(jìn)行智能控制����,執(zhí)行抄表,讀數(shù)�����、計(jì)費(fèi)等操作���。為了數(shù)據(jù)安全����,服務(wù)器通常會(huì)給所述客戶(hù)端進(jìn)行證書(shū)安裝���,達(dá)到對(duì)傳輸?shù)臄?shù)據(jù)的安全控制��。但是�,安全證書(shū)往往需要定期更新,以實(shí)現(xiàn)對(duì)更高的安全性能���,然而�,對(duì)于儀表類(lèi)客戶(hù)端�,在首次安裝完成之后,如果由人工進(jìn)行證書(shū)更新和升級(jí)工作����,將耗費(fèi)很高的人力成本��,且操作不方便�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是提供一種安全證書(shū)更新方法����、客戶(hù)端、服務(wù)器���,實(shí)現(xiàn)在不需要人工參與的情況下對(duì)遠(yuǎn)程客戶(hù)端進(jìn)行證書(shū)更新����,實(shí)現(xiàn)服務(wù)器對(duì)客戶(hù)端的安全控制。
[0005]為實(shí)現(xiàn)上述目的�,本發(fā)明實(shí)施例第一方面提供了一種安全證書(shū)更新方法,所述方法包括:
[0006]客戶(hù)端在與服務(wù)器建立連接后�,在需要進(jìn)行證書(shū)更新時(shí),接收所述服務(wù)器發(fā)送的證書(shū)更新通知�����;
[0007]所述客戶(hù)端根據(jù)所述證書(shū)更新通知向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息��,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證�;
[0008]當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí),所述客戶(hù)端接收所述服務(wù)器發(fā)送的證書(shū)更新命令�;
[0009]所述客戶(hù)端根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件����;
[0010]所述客戶(hù)端將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名���,生成安全證書(shū)����;
[0011]所述客戶(hù)端接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)。
[0012]第二方面�,本發(fā)明實(shí)施例提供了一種安全證書(shū)更新方法,所述方法包括:
[0013]服務(wù)器在與客戶(hù)端建立連接后�����,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送的證書(shū)更新通知;
[0014]所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息���;
[0015]所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證����,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新����;[0016]當(dāng)所述服務(wù)器確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送證書(shū)更新命令;
[0017]所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新命令發(fā)送的證書(shū)簽名請(qǐng)求��,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件����;
[0018]所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名,生成安全證書(shū)�;
[0019]所述服務(wù)器將所述安全證書(shū)發(fā)送給所述客戶(hù)端���。第三方面�����,本發(fā)明實(shí)施例提供了一種客戶(hù)端,所述客戶(hù)端包括:
[0020]接收單元��,用于在與服務(wù)器建立連接后�,在需要進(jìn)行證書(shū)更新時(shí)�����,接收服務(wù)器發(fā)送的證書(shū)更新通知�;
[0021]發(fā)送單元���,用于在接收到所述證書(shū)更新通知之后��,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息��,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證�;
[0022]所述接收單元,還用于當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí)�,接收所述服務(wù)器發(fā)送的證書(shū)更新命令;
[0023]生成單元���,用于根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求��,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件�;
[0024]所述發(fā)送單元�,還用于將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器����,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名,生成安全證書(shū)��;
[0025]證書(shū)更新單元�����,用于接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)�。
[0026]第四方面,本發(fā)明實(shí)施例提供了一種服務(wù)器����,所述服務(wù)器包括:
[0027]發(fā)送模塊����,用于在與客戶(hù)端建立連接后,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)���,向所述客戶(hù)端發(fā)送的證書(shū)更新通知�;
[0028]接收模塊�����,用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息�����;
[0029]判斷模塊�,用于依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新����;
[0030]所述發(fā)送模塊�,還用于在確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)�����,向所述客戶(hù)端發(fā)送證書(shū)更新命令����;
[0031]所述接收模塊,還用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新命令發(fā)送的證書(shū)簽名請(qǐng)求�����,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件��;
[0032]簽發(fā)模塊����,用于對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名,生成安全證書(shū)�����;
[0033]所述發(fā)送模塊�����,還用于將所述安全證書(shū)發(fā)送給客戶(hù)端����。
[0034]本發(fā)明實(shí)施例提供的安全證書(shū)更新方法,在客戶(hù)端與遠(yuǎn)程服務(wù)器建立連接后�����,月艮務(wù)器對(duì)客戶(hù)端的現(xiàn)有證書(shū)進(jìn)行檢測(cè)����,在客戶(hù)端需要進(jìn)行證書(shū)更新的情況下,接收服務(wù)器發(fā)送的證書(shū)發(fā)送證書(shū)更新通知之后��,生成安全證書(shū)預(yù)備文件����,交給服務(wù)器進(jìn)行簽名,并接收服務(wù)器簽名后的正式證書(shū)文件�����,在客戶(hù)端更新�,以執(zhí)行后續(xù)的安全控制過(guò)程��,能夠避免人工對(duì)客戶(hù)端進(jìn)行手工維護(hù)造成的成本��,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0035]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。
[0036]圖1為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景圖����;
[0037]圖2為本發(fā)明實(shí)施例提供的一種安全證書(shū)更新方法的流程圖;
[0038]圖3是本發(fā)明實(shí)施例提供的另一種安全證書(shū)更新方法的流程圖��;
[0039]圖4是本發(fā)明實(shí)施例提供的又一種安全證書(shū)更新方法的信令交互示意圖�;
[0040]圖5A是本發(fā)明實(shí)施例提供的一種客戶(hù)端的結(jié)構(gòu)圖;
[0041]圖5B是本發(fā)明實(shí)施例提供的又一種客戶(hù)端的結(jié)構(gòu)圖����;
[0042]圖6A是本發(fā)明實(shí)施例提供的一種服務(wù)器的結(jié)構(gòu)圖��;
[0043]圖6A是本發(fā)明實(shí)施例提供的又一種服務(wù)器的結(jié)構(gòu)圖�����;
[0044]圖7是本發(fā)明實(shí)施例提供的另一種客戶(hù)端的結(jié)構(gòu)圖;
[0045]圖8是本發(fā)明實(shí)施例提供的又一種服務(wù)器的結(jié)構(gòu)圖���。
【具體實(shí)施方式】
[0046]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案�,下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例���?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0047]圖1為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景圖����,如圖1所示,為了能夠?qū)彝x表等客戶(hù)端進(jìn)行智能控制和智能數(shù)據(jù)采集����,多個(gè)客戶(hù)端10可以通過(guò)互聯(lián)網(wǎng)直接連接中心服務(wù)器20。通過(guò)中心服務(wù)器對(duì)進(jìn)行客戶(hù)端的抄表����、控制。為了保證數(shù)據(jù)傳輸?shù)陌踩?���,可選用安全套接層(Secure Sockets Layer, SSL)協(xié)議進(jìn)行數(shù)據(jù)傳輸,而為了保證雙方身份的可靠,儀表可以使用安全證書(shū)進(jìn)行身份驗(yàn)證����。但是���,隨著軟件升級(jí)����、系統(tǒng)更新等����,儀表設(shè)備上的安全證書(shū)需要更新�,數(shù)據(jù)的傳輸可以使用GPRS或者3G或者寬帶等移動(dòng)網(wǎng)絡(luò),本例中使用GPRS作為例子描述
[0048]如圖2所示���,本發(fā)明實(shí)施例提供一種安全證書(shū)更新方法����,在該實(shí)施例中����,執(zhí)行動(dòng)作的主體為遠(yuǎn)程的客戶(hù)端,例如家庭儀表等設(shè)備����。由圖2可見(jiàn)�,所述方法包括:
[0049]201���,在與服務(wù)器建立連接后����,在需要進(jìn)行證書(shū)更新時(shí)�,接收服務(wù)器發(fā)送的證書(shū)更新通知;
[0050]具體而言����,客戶(hù)端可以通過(guò)家庭互聯(lián)網(wǎng)或者移動(dòng)網(wǎng)絡(luò),與服務(wù)器進(jìn)行連接��。在連接時(shí)�����,使用現(xiàn)有的安全證書(shū)與服務(wù)器進(jìn)行校驗(yàn)�,所述服務(wù)器例如可以是安全接入網(wǎng)關(guān)(Security Access Gateway, SAG),客戶(hù)端與所述服務(wù)器建立的連接為安全傳輸層協(xié)議(Transport Layer Security, TLS)連接。
[0051]更進(jìn)一步的�,所述客戶(hù)端只有在被喚醒的情況下,才會(huì)主動(dòng)與服務(wù)器取得連接?���?蛻?hù)端可以是被設(shè)置在客戶(hù)端的定時(shí)器喚醒,或者是被服務(wù)器發(fā)送的短消息喚醒�����,不多贅述���。
[0052]具體的�����,所述客戶(hù)端需要使用現(xiàn)有的安全證書(shū)與服務(wù)器進(jìn)行相互校驗(yàn)�,在驗(yàn)證過(guò)程中�����,服務(wù)器如果發(fā)現(xiàn)所述安全證書(shū)需要更新�,則向所述客戶(hù)端通過(guò)GPRS短信或者其他報(bào)文發(fā)送證書(shū)更新通知�����。更具體的,所述客戶(hù)端上安裝有服務(wù)器下發(fā)的安全證書(shū)����,但該安全證書(shū)通常設(shè)定有有效期限或版本號(hào),因此���,在所述安全證書(shū)有效期滿或者是版本號(hào)過(guò)低的情況下��,需要對(duì)安全證書(shū)進(jìn)行升級(jí)�����、更換或者更新等操作����。
[0053]202�,所述客戶(hù)端根據(jù)所述證書(shū)更新通知向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證��;
[0054]具體的���,由于服務(wù)器可能只對(duì)安全證書(shū)進(jìn)行驗(yàn)證�����,根據(jù)安全證書(shū)的屬性判斷安全證書(shū)是否需要更新���,所述的屬性例如可以是有效期��、版本號(hào)等信息��。因此���,雖然根據(jù)舊的安全證書(shū)的屬性判斷需要進(jìn)行安全證書(shū)更新,但是可能所述客戶(hù)端并不具備安全證書(shū)更新的資格�����,例如該客戶(hù)端是否簽約�����、是否已經(jīng)續(xù)費(fèi)等情況��,都可能影響該客戶(hù)端的安全證書(shū)資格����。因此��,在接收到服務(wù)器發(fā)送的證書(shū)更新通知之后,客戶(hù)端將自身的身份標(biāo)識(shí)信息發(fā)送給服務(wù)器����。所述身份標(biāo)識(shí)信息包括但不限于:客戶(hù)端所屬的公司名稱(chēng)、客戶(hù)端的ID�、序列號(hào)等信息。服務(wù)器可以根據(jù)該些信息對(duì)客戶(hù)端的安全證書(shū)更新資格進(jìn)行驗(yàn)證��,在確定所述客戶(hù)端具備安全證書(shū)的更新資格之后���,向所述客戶(hù)端發(fā)送證書(shū)更新命令��。
[0055]客戶(hù)端在生成包含安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求之前����,還需要向服務(wù)器發(fā)送身份標(biāo)識(shí)信息�,由服務(wù)器對(duì)客戶(hù)端進(jìn)行證書(shū)更新資格的驗(yàn)證,在驗(yàn)證通過(guò)后��,才執(zhí)行證書(shū)更新的動(dòng)作�,能夠進(jìn)一步提高安全性能。
[0056]203����,當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí)�,所述客戶(hù)端接收所述服務(wù)器發(fā)送的證書(shū)更新命令�����;
[0057]具體而言��,客戶(hù)端只有在具備安全證書(shū)更新資格時(shí)�����,才會(huì)收到服務(wù)器發(fā)送的證書(shū)更新命令����,在接收到服務(wù)器發(fā)送的證書(shū)更新命令之后,執(zhí)行步驟204-206��。
[0058]204���,所述客戶(hù)端根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求�,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件�;
[0059]具體而言,所述客戶(hù)端在接收到服務(wù)器發(fā)送的證書(shū)更新通知之后����,生成私鑰,并根據(jù)私鑰進(jìn)一步生成包含有安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求(Certificate signrequest, CSR)��。
[0060]205��,所述客戶(hù)端將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器��,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名�,生成安全證書(shū);
[0061]具體而言����,客戶(hù)端進(jìn)一步通過(guò)無(wú)線網(wǎng)將生成的攜帶有安全證書(shū)預(yù)備文件的CSR發(fā)送給服務(wù)器,服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名����,生成新的正式安全證書(shū)文件,將此簽名后的正式安全證書(shū)文件發(fā)送給客戶(hù)端����。
[0062]206,所述客戶(hù)端接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)����。
[0063]具體而言,客戶(hù)端接收并保存服務(wù)器下發(fā)的新的安全證書(shū)文件����,對(duì)自身的證書(shū)文件進(jìn)行更新�,等待下次連接服務(wù)器時(shí)����,作為身份認(rèn)證之用。
[0064]通過(guò)上述實(shí)施例�,在客戶(hù)端與遠(yuǎn)程服務(wù)器建立連接后,服務(wù)器對(duì)客戶(hù)端的現(xiàn)有證書(shū)進(jìn)行檢測(cè)����,在客戶(hù)端需要進(jìn)行證書(shū)更新的情況下,接收服務(wù)器發(fā)送的證書(shū)發(fā)送證書(shū)更新通知之后�,生成安全證書(shū)預(yù)備文件,交給服務(wù)器進(jìn)行簽名�,并接收服務(wù)器簽名后的正式證書(shū)文件,在客戶(hù)端進(jìn)行更新���,以執(zhí)行后續(xù)的安全控制過(guò)程��,能夠避免人工對(duì)客戶(hù)端的安全證書(shū)進(jìn)行手工維護(hù)造成的成本�,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率����?��?梢栽诓恍枰斯じ深A(yù)的情況下,實(shí)現(xiàn)設(shè)備上安全證書(shū)的更新或升級(jí)過(guò)程��。
[0065]圖3是本發(fā)明實(shí)施例提供的一種安全證書(shū)更新方法的流程圖���,在該實(shí)施例中安全控制的執(zhí)行主體可以為服務(wù)器,所述方法包括:
[0066]301�����,在與客戶(hù)端建立連接后�����,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)��,向所述客戶(hù)端發(fā)送的證書(shū)更新通知�����;
[0067]具體而言���,服務(wù)器可以通過(guò)家庭互聯(lián)網(wǎng)或者移動(dòng)網(wǎng)絡(luò)����,與客戶(hù)端進(jìn)行連接。在連接時(shí)���,使用客戶(hù)端現(xiàn)有的安全證書(shū)對(duì)客戶(hù)端進(jìn)行校驗(yàn),所述服務(wù)器例如可以是安全接入網(wǎng)關(guān)(Security Access Gateway, SAG)服務(wù)器,客戶(hù)端與所述服務(wù)器建立的連接為安全傳輸層協(xié)議(Transport Layer Security, TLS)連接�����。
[0068]更進(jìn)一步的�����,所述客戶(hù)端只有在被喚醒的情況下,才會(huì)主動(dòng)與服務(wù)器取得連接�。因此��,服務(wù)器可以通過(guò)短信或廣播消息將客戶(hù)端喚醒�����。具體的,所述客戶(hù)端上安裝有服務(wù)器下發(fā)的安全證書(shū)�,但該安全證書(shū)通常設(shè)定有有效期限或版本號(hào),因此����,在所述安全證書(shū)有效期滿或者是版本號(hào)過(guò)低的情況下,需要對(duì)安全證書(shū)進(jìn)行升級(jí)�、更換或者更新等操作�����。所述客戶(hù)端需要使用現(xiàn)有的安全證書(shū)與服務(wù)器進(jìn)行相互校驗(yàn)���,在校驗(yàn)過(guò)程中���,服務(wù)器通過(guò)現(xiàn)有安全證書(shū)的屬性,例如版本號(hào)��、使用期限等信息判斷所述客戶(hù)端上的安全證書(shū)是否需要更新����,如果發(fā)現(xiàn)所述安全證書(shū)需要更新,則向所述客戶(hù)端通過(guò)GPRS短信或者其他報(bào)文發(fā)送證書(shū)更新通知。
[0069]302����,所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息;
[0070]具體而言���,客戶(hù)端發(fā)送的身份標(biāo)識(shí)信息包括但不限定于客戶(hù)端儀表所屬的公司信息���、ID、序列號(hào)等信息��。
[0071]303��,所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證����,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新;
[0072]具體而言��,服務(wù)器根據(jù)客戶(hù)端發(fā)送的身份標(biāo)識(shí)信息對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證���,判斷客戶(hù)端具備安全證書(shū)更新的資格的情況向����,才向客戶(hù)端發(fā)送證書(shū)更新命令。
[0073]304�,當(dāng)所述服務(wù)器確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)��,向所述客戶(hù)端發(fā)送證書(shū)更新命令�����;
[0074]具體而言�,服務(wù)器可以根據(jù)客戶(hù)端發(fā)送的身份標(biāo)識(shí)信息,在數(shù)據(jù)庫(kù)中查找相應(yīng)的數(shù)據(jù)���,判斷客戶(hù)端是否具備安全證書(shū)更新的資格,在客戶(hù)端具有證書(shū)更新資格時(shí)�����,向所述客戶(hù)端發(fā)送證書(shū)更新命令����。
[0075]305,所述服務(wù)器接收所述客戶(hù)端在接收到所述證書(shū)更新命令后發(fā)送的證書(shū)簽名請(qǐng)求��,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件���;
[0076]具體而言���,客戶(hù)端在接收到服務(wù)器發(fā)送的證書(shū)更新通知之后�,生成包含安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求(Certificate sign request, CSR),服務(wù)器通過(guò)無(wú)線通信方式進(jìn)行接收����。
[0077]306,所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名�,生成安全證書(shū);
[0078]具體而言�,服務(wù)器在接收到所述證書(shū)簽名請(qǐng)求之后,在其中獲取安全證書(shū)預(yù)備文件�,并對(duì)安全證書(shū)預(yù)備文件中的信息進(jìn)行核實(shí),核實(shí)之后�,對(duì)安全證書(shū)預(yù)備文件進(jìn)行簽名,生成正式的安全證書(shū)����。
[0079]307���,所述服務(wù)器將所述安全證書(shū)發(fā)送給所述客戶(hù)端����。
[0080]具體的,服務(wù)器在生成正式的安全證書(shū)之后��,將所述安全證書(shū)文件發(fā)送給客戶(hù)端�,在客戶(hù)端更新之后����,下次與客戶(hù)端進(jìn)行連接和數(shù)據(jù)讀取時(shí),作為身份驗(yàn)證的安全標(biāo)識(shí)�����。[0081]通過(guò)上述實(shí)施例��,使得服務(wù)器能夠通過(guò)遠(yuǎn)程方式控制客戶(hù)端儀表設(shè)備的安全證書(shū)更新��,不需要人工進(jìn)行維護(hù),提高了對(duì)家庭儀表等設(shè)備維護(hù)的效率和安全性能�����。此外���,服務(wù)器對(duì)客戶(hù)端進(jìn)行證書(shū)更新資格的驗(yàn)證�,在驗(yàn)證通過(guò)后,才執(zhí)行證書(shū)更新的動(dòng)作���,能夠進(jìn)一步提聞安全性能�。
[0082]如圖4所示�����,其為本發(fā)明實(shí)施例提供的安全證書(shū)更新方法的交互狀態(tài)參考圖�����,由圖可見(jiàn)���,所述方法包括:
[0083]S401�����,服務(wù)器與客戶(hù)端建立連接���,使用現(xiàn)有的安全證書(shū)進(jìn)行校驗(yàn);
[0084]具體而言���,客戶(hù)端可以通過(guò)家庭互聯(lián)網(wǎng)或者移動(dòng)網(wǎng)絡(luò)��,與服務(wù)器進(jìn)行連接��。在連接時(shí)��,使用現(xiàn)有的安全證書(shū)與服務(wù)器進(jìn)行校驗(yàn)�����,所述服務(wù)器例如可以是安全接入網(wǎng)關(guān)(Security Access Gateway, SAG),客戶(hù)端與所述服務(wù)器建立的連接為安全傳輸層協(xié)議(Transport Layer Security, TLS)連接�����。
[0085]更進(jìn)一步的�����,所述客戶(hù)端只有在被喚醒的情況下����,才會(huì)主動(dòng)與服務(wù)器取得連接?�?蛻?hù)端可以是被設(shè)置在客戶(hù)端的定時(shí)器喚醒�,或者是被服務(wù)器發(fā)送的短消息喚醒�,不多贅述�。
[0086]更具體的����,所述客戶(hù)端上安裝有服務(wù)器下發(fā)的安全證書(shū),但該安全證書(shū)通常設(shè)定有有效期限或版本號(hào)��,因此��,在所述安全證書(shū)有效期滿或者是版本號(hào)過(guò)低的情況下�����,需要對(duì)安全證書(shū)進(jìn)行升級(jí)�����、更換或者更新等操作��。
[0087]所述客戶(hù)端需要使用現(xiàn)有的安全證書(shū)與服務(wù)器進(jìn)行相互校驗(yàn)�,在校驗(yàn)過(guò)程中,月艮務(wù)器通過(guò)現(xiàn)有安全證書(shū)的屬性�,例如版本號(hào)、使用期限等信息判斷所述客戶(hù)端上的安全證書(shū)是否需要更新���,如果發(fā)現(xiàn)所述安全證書(shū)需要更新���,則向所述客戶(hù)端通過(guò)通用分組無(wú)線服務(wù)技術(shù)(General Packet Radio Service, GPRS)短信或者其他報(bào)文發(fā)送證書(shū)更新通知��。
[0088]S402����,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�����,服務(wù)器向所述客戶(hù)端發(fā)送的證書(shū)更新通知���;
[0089]S403�����,客戶(hù)端在接收到所述證書(shū)更新通知之后��,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息�����;
[0090]具體的���,由于在步驟401中服務(wù)器可能只對(duì)客戶(hù)端現(xiàn)有的安全證書(shū)進(jìn)行驗(yàn)證,根據(jù)安全證書(shū)的屬性判斷安全證書(shū)是否需要更新�,所述的屬性例如可以是有效期、版本號(hào)等信息��。因此�,雖然根據(jù)舊的安全證書(shū)的屬性判斷需要進(jìn)行安全證書(shū)更新,但是可能所述客戶(hù)端并不具備安全證書(shū)更新的資格�,例如該客戶(hù)端是否簽約、是否已經(jīng)續(xù)費(fèi)等情況����,都可能影響該客戶(hù)端的安全證書(shū)資格。因此�,在接收到服務(wù)器發(fā)送的證書(shū)更新通知之后,客戶(hù)端可以將自身的身份標(biāo)識(shí)信息發(fā)送給服務(wù)器���。所述身份標(biāo)識(shí)信息包括但不限于:客戶(hù)端所屬的公司名稱(chēng)����、客戶(hù)端的ID�、序列號(hào)等信息。服務(wù)器可以根據(jù)該些信息對(duì)客戶(hù)端的安全證書(shū)更新資格進(jìn)行驗(yàn)證�,在確定所述客戶(hù)端具備安全證書(shū)的更新資格之后,向所述客戶(hù)端發(fā)送證書(shū)更新命令。
[0091]本步驟中�����,由于客戶(hù)端在生成包含安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求之前�,還需要向服務(wù)器發(fā)送身份標(biāo)識(shí)信息,由服務(wù)器對(duì)客戶(hù)端進(jìn)行證書(shū)更新資格的驗(yàn)證���,在驗(yàn)證通過(guò)后����,才執(zhí)行證書(shū)更新的動(dòng)作���,因此,能夠進(jìn)一步提高安全性能�����。
[0092]S404�,服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新����;
[0093]具體而言���,服務(wù)器可以對(duì)客戶(hù)端所屬的公司名稱(chēng)、客戶(hù)端的ID���、序列號(hào)等信息進(jìn)行證書(shū)更新資格驗(yàn)證,判斷客戶(hù)端是否具備安全證書(shū)更新的資格��。
[0094]S405�,服務(wù)器在確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí),向所述客戶(hù)端發(fā)送證書(shū)更新命令���;
[0095]具體而言�����,服務(wù)器根據(jù)客戶(hù)端發(fā)送的身份標(biāo)識(shí)信息對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證�����,判斷客戶(hù)端具備安全證書(shū)更新的資格的情況下�����,才向客戶(hù)端發(fā)送證書(shū)更新命令����。
[0096]S406,客戶(hù)端根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求�����,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件��;
[0097]具體而言���,所述客戶(hù)端在接收到服務(wù)器發(fā)送的證書(shū)更新通知之后�,生成私鑰���,并根據(jù)私鑰進(jìn)一步生成包含有安全證書(shū)預(yù)備文件的證書(shū)簽名請(qǐng)求(Certificate signrequest, CSR)����。
[0098]S407�����,客戶(hù)端將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器����;
[0099]具體而言�����,客戶(hù)端進(jìn)一步通過(guò)無(wú)線網(wǎng)將生成的攜帶有安全證書(shū)預(yù)備文件的CSR發(fā)送給服務(wù)器�,服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名����,生成新的正式安全證書(shū)文件,將此簽名后的正式安全證書(shū)文件發(fā)送給客戶(hù)端��。
[0100]S408�����,服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名�����,生成安全證書(shū)文件���;
[0101]具體而言,服務(wù)器在接收到所述證書(shū)簽名請(qǐng)求之后��,在其中獲取安全證書(shū)預(yù)備文件���,并對(duì)安全證書(shū)預(yù)備文件中的信息進(jìn)行核實(shí)���,核實(shí)之后�����,對(duì)安全證書(shū)預(yù)備文件進(jìn)行簽名�����,生成正式的安全證書(shū)文件�����。
[0102]S409��,服務(wù)器將所述安全證書(shū)文件發(fā)送給客戶(hù)端����;
[0103]具體的�����,服務(wù)器在生成正式的安全證書(shū)文件之后���,將所述安全證書(shū)文件發(fā)送給客戶(hù)端�����,在客戶(hù)端更新之后�,下次與客戶(hù)端進(jìn)行連接和數(shù)據(jù)讀取時(shí),作為身份驗(yàn)證的安全標(biāo)識(shí)��。
[0104]最后�����,客戶(hù)端接收服務(wù)器下發(fā)的新的安全證書(shū)文件����,并將其寫(xiě)入客戶(hù)端設(shè)備���,對(duì)自身的安全證書(shū)文件進(jìn)行更新�,等待下次連接服務(wù)器時(shí)��,作為身份認(rèn)證之用�����。
[0105]本發(fā)明實(shí)施例所述的安全證書(shū)更新方法����,在客戶(hù)端與遠(yuǎn)程服務(wù)器建立連接后��,月艮務(wù)器對(duì)客戶(hù)端的現(xiàn)有證書(shū)進(jìn)行檢測(cè),在客戶(hù)端需要進(jìn)行證書(shū)更新的情況下����,接收服務(wù)器發(fā)送的證書(shū)發(fā)送證書(shū)更新通知之后�����,生成安全證書(shū)預(yù)備文件�����,交給服務(wù)器進(jìn)行簽名����,并接收并保存服務(wù)器簽發(fā)的正式安全證書(shū)��,從而能夠避免人工對(duì)客戶(hù)端的安全證書(shū)進(jìn)行手工維護(hù)造成的成本,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率��?����?梢栽诓恍枰斯じ深A(yù)的情況下���,實(shí)現(xiàn)設(shè)備上安全證書(shū)的更新或升級(jí)過(guò)程���。
[0106]圖4所示的交互圖中的各個(gè)步驟可參考前述實(shí)施例中的,相應(yīng)描述���,不多贅述。
[0107]如圖5A所示,本發(fā)明實(shí)施例提供了一種客戶(hù)端�,所述客戶(hù)端可以是家庭儀表設(shè)備����,其包括:
[0108]接收單元501����,用于在與服務(wù)器建立連接后,在需要進(jìn)行證書(shū)更新時(shí)�,接收服務(wù)器發(fā)送的證書(shū)更新通知���;
[0109]發(fā)送單元502��,用于在接收到所述證書(shū)更新通知之后���,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證��;
[0110]所述接收單元501����,還用于當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí)����,接收所述服務(wù)器發(fā)送的證書(shū)更新命令�;[0111]生成單元503,用于根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求�����,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件�;
[0112]所述發(fā)送單元502,還用于將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器�,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名,生成安全證書(shū)����;
[0113]證書(shū)更新單元504,用于接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)�。
[0114]如圖5B所示,在一種可能的實(shí)施方式中�����,所述客戶(hù)端在圖5A所示實(shí)施例的基礎(chǔ)上還可以包括:
[0115]連接建立單元505����,用于根據(jù)服務(wù)器發(fā)送的激活短信與所述服務(wù)器建立安全傳輸層連接�����;
[0116]校驗(yàn)單元506,用于通過(guò)所述安全傳輸層連接使用保存的安全證書(shū)對(duì)所述服務(wù)器進(jìn)行校驗(yàn)�����;
[0117]具體的���,所述校驗(yàn)單元506可以通過(guò)所述安全傳輸層連接使用客戶(hù)端當(dāng)前保存的安全證書(shū)對(duì)所述服務(wù)器的安全證書(shū)進(jìn)行校驗(yàn)��,以便驗(yàn)證服務(wù)器的身份是否合法�,提高系統(tǒng)的安全性�。
[0118]所述接收單元501,具體用于當(dāng)所述校驗(yàn)單元506對(duì)所述服務(wù)器校驗(yàn)通過(guò)后�,在需要進(jìn)行證書(shū)更新時(shí),通過(guò)所述安全傳輸層連接接收所述服務(wù)器發(fā)送的證書(shū)更新通知�。
[0119]本發(fā)明實(shí)施例所述的客戶(hù)端,在接收服務(wù)器發(fā)送的證書(shū)更新通知后����,能夠向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,當(dāng)所述服務(wù)器根據(jù)所述客戶(hù)端的身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行驗(yàn)證后�����,根據(jù)所述服務(wù)器發(fā)送的證書(shū)更新命令,自動(dòng)向所述服務(wù)器發(fā)送證書(shū)簽名請(qǐng)求�,并接收和保存所述服務(wù)器根據(jù)所述證書(shū)簽名請(qǐng)求簽發(fā)的安全證書(shū),以完成對(duì)客戶(hù)端自身存儲(chǔ)的安全證書(shū)的更新或升級(jí)�����,能夠避免人工對(duì)客戶(hù)端的安全證書(shū)進(jìn)行手工維護(hù)造成的成本���,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率�����?��?梢栽诓恍枰斯じ深A(yù)的情況下,實(shí)現(xiàn)設(shè)備上安全證書(shū)的更新或升級(jí)過(guò)程�����。相應(yīng)的����,如圖6A所示�,本發(fā)明實(shí)施例提供了一種服務(wù)器��,所述服務(wù)器包括:
[0120]發(fā)送模塊601��,用于在與客戶(hù)端建立連接后��,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送的證書(shū)更新通知��;
[0121]接收模塊602����,用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息;
[0122]判斷模塊603��,用于依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證���,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新�����;
[0123]所述發(fā)送模塊601��,還用于在確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)�����,向所述客戶(hù)端發(fā)送證書(shū)更新命令���;
[0124]所述接收模塊602����,還用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新命令發(fā)送的證書(shū)簽名請(qǐng)求����,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件;
[0125]簽發(fā)模塊604����,用于對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名,生成安全證書(shū)文件�����;
[0126]所述發(fā)送模塊601�,還用于將所述安全證書(shū)文件發(fā)送給客戶(hù)端。
[0127]如圖6B所示��,在一種可能的實(shí)施方式中,所述服務(wù)器還包括:
[0128]激活模塊605�����,用于向所述客戶(hù)端發(fā)送激活短信�����,以激活所述客戶(hù)端與所述服務(wù)器建立安全傳輸層連接����;[0129]校驗(yàn)?zāi)K606�����,用于通過(guò)所述安全傳輸層連接對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn);
[0130]具體的�����,服務(wù)器的校驗(yàn)?zāi)K606可以通過(guò)所述安全傳輸層連接對(duì)所述客戶(hù)端當(dāng)前保存的安全證書(shū)進(jìn)行校驗(yàn)�����,以判斷所述客戶(hù)端的身份是否合法以及所述客戶(hù)端當(dāng)前保存的安全證書(shū)是否需要更新�����。
[0131]所述發(fā)送模塊601,具體用于當(dāng)所述校驗(yàn)?zāi)K對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn)過(guò)程中發(fā)現(xiàn)所述客戶(hù)端的安全證書(shū)需要進(jìn)行證書(shū)更新時(shí)����,通過(guò)所述安全傳輸層連接向所述客戶(hù)端發(fā)送的證書(shū)更新通知。
[0132]所述服務(wù)器可以用來(lái)執(zhí)行圖3所述的方法���,具體表現(xiàn)形式可根據(jù)具體應(yīng)用設(shè)置��。
[0133]本發(fā)明實(shí)施例提供的服務(wù)器���,在與客戶(hù)端建立連接后,能夠自動(dòng)檢測(cè)客戶(hù)端存儲(chǔ)的安全證書(shū)是否需要升級(jí)����,并且在客戶(hù)端的安全證書(shū)需要升級(jí)時(shí),能夠主動(dòng)向所述客戶(hù)端發(fā)送證書(shū)更新命令���,并根據(jù)所述客戶(hù)端發(fā)送的證書(shū)更新請(qǐng)求向所述客戶(hù)端簽發(fā)新的安全證書(shū)�����,從而能夠避免人工對(duì)客戶(hù)端的安全證書(shū)進(jìn)行手工維護(hù)造成的成本���,提高對(duì)遠(yuǎn)程客戶(hù)端的維護(hù)效率����?��?梢栽诓恍枰斯じ深A(yù)的情況下����,實(shí)現(xiàn)設(shè)備上安全證書(shū)的更新或升級(jí)過(guò)程�。
[0134]如圖7所示,本發(fā)明實(shí)施例還提供了一種客戶(hù)端��,所述客戶(hù)端可以是家庭儀表等設(shè)備����。由圖7可見(jiàn)�����,本實(shí)施例包括網(wǎng)絡(luò)接口 71��、處理器72和存儲(chǔ)器73��。系統(tǒng)總線74用于連接網(wǎng)絡(luò)接口 71、處理器72和存儲(chǔ)器73���。
[0135]網(wǎng)絡(luò)接口 71用于與各種服務(wù)器通信����。
[0136]存儲(chǔ)器73可以是永久存儲(chǔ)器�,例如硬盤(pán)驅(qū)動(dòng)器和閃存,存儲(chǔ)器73中具有軟件模塊和設(shè)備驅(qū)動(dòng)程序���。軟件模塊能夠執(zhí)行本發(fā)明上述方法的各種功能模塊����;設(shè)備驅(qū)動(dòng)程序可以是網(wǎng)絡(luò)和接口驅(qū)動(dòng)程序�����。
[0137]在啟動(dòng)時(shí)�,這些軟件模塊被加載到存儲(chǔ)器73中,處理器72訪問(wèn)軟件模塊并執(zhí)行如下指令:
[0138]客戶(hù)端在與服務(wù)器建立連接后�,在需要進(jìn)行證書(shū)更新時(shí),接收所述服務(wù)器發(fā)送的證書(shū)更新通知��;
[0139]所述客戶(hù)端接收到所述證書(shū)更新通知之后��,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證��;
[0140]當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí)��,所述客戶(hù)端接收所述服務(wù)器發(fā)送的證書(shū)更新命令����。
[0141]所述客戶(hù)端根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件��;
[0142]所述客戶(hù)端將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器��,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名�����,生成安全證書(shū)�����;
[0143]所述客戶(hù)端接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)�。
[0144]所述客戶(hù)端可以用來(lái)執(zhí)行圖2所述的方法����,具體表現(xiàn)形式可根據(jù)具體應(yīng)用設(shè)置����。
[0145]如圖8示��,本發(fā)明實(shí)施例還提供了一種服務(wù)器����,由圖8可見(jiàn),本實(shí)施例包括網(wǎng)絡(luò)接口 81�����、處理器82和存儲(chǔ)器13�����。系統(tǒng)總線84用于連接網(wǎng)絡(luò)接口 81��、處理器82和存儲(chǔ)器83�����。
[0146]網(wǎng)絡(luò)接口 81用于與各種客戶(hù)端通信����,其中����,所述客戶(hù)端可以是家庭儀表等設(shè)備���。
[0147]存儲(chǔ)器83可以是永久存儲(chǔ)器�����,例如硬盤(pán)驅(qū)動(dòng)器和閃存����,存儲(chǔ)器83中具有軟件模塊和設(shè)備驅(qū)動(dòng)程序��。軟件模塊能夠執(zhí)行本發(fā)明上述方法的各種功能模塊����;設(shè)備驅(qū)動(dòng)程序可以是網(wǎng)絡(luò)和接口驅(qū)動(dòng)程序。
[0148]在啟動(dòng)時(shí)�����,這些軟件模塊被加載到存儲(chǔ)器83中����,然后被處理器82訪問(wèn)軟件模塊并執(zhí)行如下指令:
[0149]服務(wù)器在與客戶(hù)端建立連接后,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送的證書(shū)更新通知;
[0150]所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息��;
[0151]所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證�,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新;
[0152]當(dāng)所述服務(wù)器確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送證書(shū)更新命令;
[0153]所述服務(wù)器接收所述客戶(hù)端在接收到所述證書(shū)更新命令后發(fā)送的證書(shū)簽名請(qǐng)求����,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件;
[0154]所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名��,生成安全證書(shū)�����;
[0155]所述服務(wù)器將所述安全證書(shū)發(fā)送給所述客戶(hù)端��。
[0156]所述服務(wù)器可以用來(lái)執(zhí)行圖3所述的方法���,具體表現(xiàn)形式可根據(jù)具體應(yīng)用設(shè)置����。
[0157]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)�,執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:R0M�、RAM、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
[0158]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�,為描述的方便和簡(jiǎn)潔,上述描述的設(shè)備和模塊的具體工作過(guò)程����,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程描述,在此不再贅述����。
[0159]在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到�����,所揭露的設(shè)備和方法���,可以通過(guò)其它的方式實(shí)現(xiàn)�����。例如���,以上所描述的裝置實(shí)施例僅僅是示意性的,例如���,所述模塊的劃分����,僅僅為一種邏輯功能劃分�,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)模塊或組件可以結(jié)合或者可以集成到另一個(gè)設(shè)備中�����,或一些特征可以忽略����,或不執(zhí)行。另一點(diǎn)���,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些通信接口���,裝置或模塊的間接耦合或通信連接����,可以是電性�,機(jī)械或其它的形式。
[0160]所述作為分離部件說(shuō)明的模塊可以是或者也可以不是物理上分開(kāi)的����,作為模塊顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方���,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上���。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部��,模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的��。
[0161]另外��,在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一個(gè)處理模塊中��,也可以是各個(gè)模塊單獨(dú)物理存在�����,也可以?xún)蓚€(gè)或兩個(gè)以上模塊集成在一個(gè)模塊中�����。
[0162]最后應(yīng)說(shuō)明的是:以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案���,而非對(duì)其限制;盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍���。
【權(quán)利要求】
1.一種安全證書(shū)更新方法���,其特征在于,所述方法包括: 客戶(hù)端在與服務(wù)器建立連接后�����,在需要進(jìn)行證書(shū)更新時(shí),接收所述服務(wù)器發(fā)送的證書(shū)更新通知����; 所述客戶(hù)端根據(jù)所述證書(shū)更新通知向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證����; 當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí),所述客戶(hù)端接收所述服務(wù)器發(fā)送的證書(shū)更新命令�; 所述客戶(hù)端根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件�; 所述客戶(hù)端將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名����,生成安全證書(shū); 所述客戶(hù)端接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)�����。
2.如權(quán)利要求1所述的方法�,其特征在于,還包括: 客戶(hù)端接收服務(wù)器發(fā)送的激活短信����,并根據(jù)所述激活短信與所述服務(wù)器建立安全傳輸層連接�。
3.如權(quán)利要求1或2所述的方法�,其特征在于,還包括: 所述客戶(hù)端通過(guò)所述安全傳輸層連接使用保存的安全證書(shū)對(duì)所述服務(wù)器進(jìn)行校驗(yàn) 所述在需要進(jìn)行證書(shū)更新時(shí) ����,接收所述服務(wù)器發(fā)送的證書(shū)更新通知包括: 當(dāng)所述客戶(hù)端對(duì)所述服務(wù)器校驗(yàn)通過(guò)后,在需要進(jìn)行證書(shū)更新時(shí)��,通過(guò)所述安全傳輸層連接接收服務(wù)器發(fā)送的證書(shū)更新通知�。
4.一種安全證書(shū)更新方法,其特征在于���,所述方法包括: 服務(wù)器在與客戶(hù)端建立連接后,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送的證書(shū)更新通知; 所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息��; 所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證�����,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新�����; 當(dāng)所述服務(wù)器確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí),向所述客戶(hù)端發(fā)送證書(shū)更新命令�����; 所述服務(wù)器接收所述客戶(hù)端根據(jù)所述證書(shū)更新命令發(fā)送的證書(shū)簽名請(qǐng)求��,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件�����; 所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名���,生成安全證書(shū)�����; 所述服務(wù)器將所述安全證書(shū)發(fā)送給所述客戶(hù)端��。
5.如權(quán)利要求4所述的方法�,其特征在于�,還包括: 所述服務(wù)器向所述客戶(hù)端發(fā)送激活短信,以激活所述客戶(hù)端與所述服務(wù)器建立安全傳輸層連接�����。
6.如權(quán)利要求4或5所述的方法,其特征在于�����,還包括: 所述服務(wù)器通過(guò)所述安全傳輸層連接對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn)���; 所述在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí),向所述客戶(hù)端發(fā)送的證書(shū)更新通知�����,具體包 括:當(dāng)所述服務(wù)器在對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn)過(guò)程中發(fā)現(xiàn)所述客戶(hù)端的安全證書(shū)需要進(jìn)行更新時(shí)���,通過(guò)所述安全傳輸層連接向所述客戶(hù)端發(fā)送的證書(shū)更新通知。
7.一種客戶(hù)端�,其特征在于,包括: 接收單元�����,用于在與服務(wù)器建立連接后�,在需要進(jìn)行證書(shū)更新時(shí)��,接收服務(wù)器發(fā)送的證書(shū)更新通知�����; 發(fā)送單元�,用于在接收到所述證書(shū)更新通知之后�,向所述服務(wù)器發(fā)送身份標(biāo)識(shí)信息,以便于所述服務(wù)器依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證�����; 所述接收單元����,還用于當(dāng)所述客戶(hù)端通過(guò)所述證書(shū)更新資格驗(yàn)證時(shí),接收所述服務(wù)器發(fā)送的證書(shū)更新命令�����; 生成單元���,用于根據(jù)所述證書(shū)更新命令生成證書(shū)簽名請(qǐng)求�,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件; 所述發(fā)送單元�,還用于將所述證書(shū)簽名請(qǐng)求發(fā)送給所述服務(wù)器,以便于所述服務(wù)器對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名�,生成安全證書(shū); 證書(shū)更新單元����,用于接收并保存所述服務(wù)器簽發(fā)的所述安全證書(shū)。
8.如權(quán)利要求7所述的客戶(hù)端�����,其特征在于��,還包括: 連接建立單元�����,用于根據(jù)服務(wù)器發(fā)送的激活短信與所述服務(wù)器建立安全傳輸層連接����; 校驗(yàn)單元,用于通過(guò)所述安全傳輸層連接使用保存的安全證書(shū)對(duì)所述服務(wù)器進(jìn)行校驗(yàn); 所述接收單元�,具體用于當(dāng)所述校驗(yàn)單元對(duì)所述服務(wù)器校驗(yàn)通過(guò)后���,在需要進(jìn)行證書(shū)更新時(shí)���,通過(guò)所述安全傳輸層連接接收所述服務(wù)器發(fā)送的證書(shū)更新通知�。
9.一種服務(wù)器�,其特征在于,包括: 發(fā)送模塊�����,用于在與客戶(hù)端建立連接后�����,在所述客戶(hù)端需要進(jìn)行證書(shū)更新時(shí)�,向所述客戶(hù)端發(fā)送的證書(shū)更新通知; 接收模塊����,用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新通知發(fā)送的身份標(biāo)識(shí)信息; 判斷模塊����,用于依據(jù)所述身份標(biāo)識(shí)信息對(duì)所述客戶(hù)端進(jìn)行證書(shū)更新資格驗(yàn)證,確定所述客戶(hù)端是否有資格進(jìn)行證書(shū)更新����; 所述發(fā)送模塊�����,還用于在確定所述客戶(hù)端有資格進(jìn)行證書(shū)更新時(shí)���,向所述客戶(hù)端發(fā)送證書(shū)更新命令; 所述接收模塊��,還用于接收所述客戶(hù)端根據(jù)所述證書(shū)更新命令發(fā)送的證書(shū)簽名請(qǐng)求�,所述證書(shū)簽名請(qǐng)求中包括安全證書(shū)預(yù)備文件; 簽發(fā)模塊���,用于對(duì)所述安全證書(shū)預(yù)備文件進(jìn)行簽名��,生成安全證書(shū)����; 所述發(fā)送模塊�,還用于將所述安全證書(shū)發(fā)送給客戶(hù)端。
10.如權(quán)利9所述的服務(wù)器���,其特征在于����,還包括: 激活模塊���,用于向所述客戶(hù)端發(fā)送激活短信�����,以激活所述客戶(hù)端與所述服務(wù)器建立安全傳輸層連接�����; 校驗(yàn)?zāi)K����,用于通過(guò)所述安全傳輸層連接對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn)���; 所述發(fā)送模塊����,具體用于當(dāng)所述校驗(yàn)?zāi)K在對(duì)所述客戶(hù)端的安全證書(shū)進(jìn)行校驗(yàn)過(guò)程中發(fā)現(xiàn)所述客戶(hù)端的安全證書(shū)需要進(jìn)行更新時(shí)���,通過(guò)所述安全傳輸層連接向所述客戶(hù)端發(fā)送的證書(shū)更新通知�。
【文檔編號(hào)】H04L29/06GK103888422SQ201210560374
【公開(kāi)日】2014年6月25日 申請(qǐng)日期:2012年12月21日 優(yōu)先權(quán)日:2012年12月21日
【發(fā)明者】劉世龍, 陳愛(ài)平 申請(qǐng)人:華為技術(shù)有限公司