[发明专利]一种数字证书轻量化传输方法及系统

说明书

本发明提出了一种数字证书轻量化传输方法，包括：对广播终端设备中所存储的信任证书进行预设生成信任证书列表并以申请请求报文的形式发送至认证中心设备；接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并向所述广播终端设备进行广播，广播终端设备对被授权广播终端设备证书号进行识别，当被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后并保存。通过轻量级数字证书协议，解决了广播终端设备存储容量有限和广电网络传输方面的问题，以安全白名单的方式简化了对使用数字证书依赖OCSP和LDAP服务才能验证数字证书有效性的模式。

技术领域

本申请涉及信息安全领域，尤其涉及一种数字证书轻量化传输方法及系统。

背景技术

传统的数字证书通常采用X509标准，证书的体积较大，常用的X.509v3版本证书包括了版本号、证书序列号、发行者名称、主题等等一系列内容，一般长度在500字节至1.5K字节，这么大的数据不适合在广播无线网络中传输，尤其是调频广播、中波广播之类窄带传输。

X.509标准证书一般采用DER编码模式，编解码比较复杂，对于广播领域很多终端来说，本身设备一般采用单片机设计，内部存储运算资源有限，使用这种体系的证书实现起来非常困难。

数字证书的传输和验证一般采用的是OCSP和LDAP服务对证书进行验证，包括证书有效性和更新证书黑名单。在广播领域，使用X.509标准证书和OCSP、LDAP等服务需要在县级平台搭建相应的信息系统，而这些县乡级单位信息化水平偏低，运营管理能力较弱，信息系统和设备建设投入有限，搭建这些系统会大幅增加这类单位的资金压力，并且即使搭建起来，后续的运营和维护工作也很困难。

发明内容

为解决上述技术问题之一，本发明提供了一种数字证书轻量化传输方法及系统。

本发明实施例第一方面提供了一种数字证书轻量化传输方法，所述方法包括：

对广播终端设备中所存储的信任证书进行预设生成信任证书列表，并将所述信任证书列表以申请请求报文的形式发送至认证中心设备；

接收认证中心设备根据所述申请请求报文返回的授权报文数据信息，并将所述授权报文数据信息向所述广播终端设备进行广播，所述授权报文数据信息包含有信任证书验证数据、被数字签名的信任证书列表和被数字签名的信任证书数据，所述信任证书验证数据中包含有被授权广播终端设备证书号，每个所述广播终端设备对应一个证书号，以使所述广播终端设备对所述被授权广播终端设备证书号进行识别，当所述被授权广播终端设备证书号与广播终端设备相对应时，广播终端设备根据预制的根证书对接收到的被数字签名的信任证书列表和被数字签名的信任证书数据进行验证后，对所述被数字签名的信任证书列表和被数字签名的信任证书数据进行保存。

本发明实施例第二方面提供了一种数字证书轻量化传输方法，所述方法包括：

接收广播平台设备发送的申请请求报文，所述申请请求报文中包含有信任证书列表，所述信任证书列表是所述广播平台设备为广播终端设备预设信任关系所生成的数字证书列表；

根据所述申请请求报文生成信任证书验证数据和信任证书数据；

通过根秘钥对所述信任证书列表和信任证书数据进行数字签名生成被数字签名的信任证书列表和被数字签名的信任证书数据；