[发明专利]一种数字证书的颁发系统及方法

说明书

本发明提供了一种数字证书的颁发系统及方法，涉及智能联网设备技术领域，基于生产时与运营过程中终端向云端申请颁发数字证书至终端并备案的两种不同状态，其中，所述终端包括物联网终端、终端生产系统以及终端生产管理系统，所述云端代理服务器、云端业务应用服务器以及PKI系统，通过更新终端向云端申请颁发数字证书至终端并备案的技术，在云端设备与终端设备之间的预设加密解密方式，解决了人们使用物联网通讯安全性不足的问题，提高了数字证书颁发的安全性。

技术领域

本发明涉及智能联网设备技术领域，具体涉及一种数字证书的颁发系统及方法。

背景技术

随着物联网技术的发展与应用，人们使用物联网进行通讯变得更加普遍，通过物联网进行通讯的安全性越来越受到人们重视。但近年来网络安全事件频发，网络攻击已经从信息泄露、资金窃取、电信诈骗及钓鱼网站等个人事件，上升到全社会的安全事件，会影响我们的生活、影响政府的服务、社会稳定甚至社会安全。密码技术是网络信息安全的核心技术，在互联网全球化的大环境下，国产密码技术在国家安全战略上有着重要的地位，是实现国家网络信息自主可控的基础，可以广泛用于电子政务、能源、交通、卫生、教育等涉及民生和基础信息资源的行业系统。

目前，物联网终端与云服务器的通讯安全主要是使用数字证书建立安全的双向认证TLS或SSL连接进行保障。为了避免终端被伪造或者终端通讯过程中被非法监听，这就要求向终端颁发数字证书的过程必须是安全可靠的。

因此，有必要开发一种新的数字证书的颁发系统及方法。

发明内容

有鉴于此，本发明的目的在于提供一种数字证书的颁发系统及方法，用于解决使用物联网通讯安全性不足的技术问题，避免造成物联网终端被伪造或物联网终端通讯过程被非法监听。

第一方面，本发明提供了一种数字证书的颁发系统，基于终端向云端申请颁发数字证书至终端并备案，所述终端包括物联网终端、终端生产系统以及终端生产管理系统，所述云端包括云端代理服务器、云端业务应用服务器以及PKI系统，其中，所述终端生产管理系统通过浏览器发起https双向认证连接的方式，请求所述云端代理服务器为所述物联网终端颁发第一数字证书；云端代理服务器通过检查发起请求的浏览器客户端的数字证书是否合法，若合法则将请求转发至所述云端业务应用服务器；云端业务应用服务器在收到第一数字证书颁发请求后自动生成第一公私钥对，并对所述第一公私钥对分配第一证书ID；云端业务应用服务器将生成的第一公钥和第一证书ID发给所述PKI系统，PKI系统通过根证书将第一公钥和第一证书ID签发为第一数字证书，并将返回云端业务应用服务器；云端业务应用服务器记录下第一证书ID和第一数字证书，并将第一证书ID、第一数字证书以及第一私钥按照预设加密方式进行加密得到数字证书密文，将所述数字证书密文返回终端生产管理系统；终端生产管理系统则将数字证书密文导入终端生产系统中，终端生产系统按照预设解密方式将数字证书密文解密得到第一证书ID、第一数字证书以及第一私钥，并将其烧录到物联网终端。

进一步地，所述预设加密方式包括对称加密方式或信封加密方式。

进一步地，在烧录到物联网终端后，终端生产系统通过https双向认证连接的方式向云端业务应用服务器发送终端ID与第一证书ID进行备案。

进一步地，所述云端业务应用服务器收到备案信息后，记录形成终端ID、第一证书ID以及第一数字证书的关系，即完成了物联网终端的第一数字证书的颁发与备案。

进一步地， 在完成物联网终端第一数字证书的颁发与备案后，物联网终端自动生成第二公私钥对，基于第一数字证书向云端发起https双向认证连接，并将终端ID与第二公钥发给云端代理服务器请求颁发第二数字证书。