[发明专利]一种数字证书管理方法、装置及存储介质

说明书

本发明公开了一种数字证书管理方法，其中包括：获取可信任客户端列表，其中可信任客户端列表保存多个可信任客户端的客户端标识；根据可信任客户端的客户端标识，获取可信任客户端的角色；根据可信任客户端的角色生成临时证书；将临时证书发送至可信任客户端，以便可信任客户端使用临时证书访问资源服务器。本发明还公开了一种数字证书管理装置以及存储介质。本发明实施例向可信任客户端推送与其角色相关的临时证书，从而可信任客户端可以使用有效期较短的临时证书访问资源服务器的资源，而不需要依赖存储在客户端本地的数字证书进行身份认证及权限鉴定，显著地提高了资源服务器的资源的安全性。

技术领域

本发明属于通信技术领域，尤其涉及一种数字证书管理方法、装置及存储介质。

背景技术

数字证书指的是互联网通讯中标记通讯各方的身份信息的一串字符，提供了一种在互联网上验证通信实体身份的方式。数字证书的其中一个重要特征是数字证书具有有效期，即数字证书只有在有效期内是有效的。根据数字证书的有效期，可以将数字证书分为持久证书和临时证书。临时证书的有效期通常较短，可以配置为几分钟至几小时，一旦临时证书到期，则该临时证书失效，因此临时证书的安全风险相对可控。

目前，用户通过客户端访问服务器的资源时，服务器通常根据客户端提供的数字证书，对用户进行身份认证及权限鉴定。然而该数字证书是保存在客户端本地的持久证书，持久证书的有效期较长，通常为一年以上，若客户端受到外界攻击，导致保存在客户端本地的数字证书泄漏，则会严重地影响服务器的资源的安全性。

发明内容

本发明的目的在于提供一种数字证书管理方法、装置及存储介质，旨在提高服务器的资源的安全性。

为解决上述技术问题，本发明实施例提供以下技术方案：

一种数字证书管理方法，其中包括：

获取可信任客户端列表，其中可信任客户端列表保存多个可信任客户端的客户端标识；

根据可信任客户端的客户端标识，获取可信任客户端的角色；

根据可信任客户端的角色生成临时证书；

将临时证书发送至所述可信任客户端，以便可信任客户端使用临时证书访问资源服务器。

进一步地，获取可信任客户端列表之前，还包括：创建可信任客户端列表。进一步地，创建可信任客户端列表，包括：接收客户端发送的预认证请求，预认证请求携带客户端的客户端标识；根据预认证请求，对客户端进行预认证；将通过预认证的客户端确定为可信任客户端；根据可信任客户端的客户端标识，创建可信任客户端列表。

进一步地，根据预认证请求，对客户端进行预认证，包括：根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时，向客户端发送反向认证请求，以便客户端根据反向认证请求生成反向认证结果；根据反向认证结果确定反向认证请求通过时，确定客户端通过预认证，并将通过预认证的客户端确定为可信任客户端。

进一步地，根据反向认证结果确定反向认证请求通过之后，还包括：向客户端发送控制指令，以使客户端向资源服务器发送第三认证请求，并且由资源服务器生成第三认证结果；根据第三认证结果确定资源服务器通过对客户端的身份认证时，确定客户端通过预认证，并将通过预认证的客户端确定为可信任客户端。

进一步地，创建可信任客户端列表之后，还包括：根据预设的角色授权策略，配置一个或多个角色的权限；对可信任客户端授予至少一个角色，使可信任客户端拥有相应的角色的权限。

进一步地，预认证请求还携带加密密钥，根据可信任客户端的角色生成临时证书之后，还包括：采用预认证请求中携带的加密密钥对临时证书进行加密。进而，将临时证书发送至可信任客户端，包括：将加密后的临时证书发送至可信任客户端。