[发明专利]一种证书续签的方法、装置及系统

说明书

本文公开了一种证书续签的方法、装置及系统，此方法包括：卫星CA从中心CA接收权限设置信息，所述权限设置信息包括用于指示只执行续签处理的权限信息；卫星CA接收设备发送的续签请求；判断是否满足续签条件；确定满足续签条件，生成新的设备证书，所述新的设备证书是使用所述卫星CA的三级证书所对应的私钥进行签名生成的；将生成的新的设备证书发送至所述设备。本发明设置了分布式的CA结构，设置功能有限的卫星CA，由功能有限的卫星CA分担中心CA的处理压力，并且，使IoT设备就近接入卫星CA从而快速有效的实现证书续签。

技术领域

本发明涉及互联网技术领域，尤其涉及一种证书续签的方法、装置及系统。

背景技术

随着物联网(Internet of Things，IoT)规模的快速增涨，IoT设备的数量也快速增加，从而引起人们对IoT设备的安全性的极大关注。

目前IoT设备的安全问题主要集中在数据加密和身份认证等方面。进行数据加密和身份认证目前均是基于公钥密码基础设施(Public Key Infrastructure，简称PKI)体系来实现的。现有的PKI安全体系中，每个IoT设备均从认证机构(Certification Authority，简称CA)获取一个CA签发的证书，并且还获取一个与此证书对应的私钥，其中证书用于标识IoT设备的身份。后续的处理过程中，IoT设备在需要进行身份认证以及数据加密的时候，需要使用证书和私钥进行相应处理。

例如，需要进行IoT设备的身份认证时，IoT设备使用自身私钥签名向校验方申请进行身份认证，校验方使用IoT设备的证书对此IoT设备的签名进行校验，从而确认IoT设备身份。

再例如，进行数据加密传输时，数据发送方使用IoT设备的证书对数据进行加密后，将加密数据发送至IoT设备，IoT设备接收到加密数据后，使用此IoT设备的私钥对加密数据进行解密。

从上述身份认证和数据加密传输的过程可知，涉及IoT设备安全性的主要因素为证书的有效性。证书是有时限性的，证书到达使用时限时需要对证书进行续签，如果没有对证书进行续签，就会导致证书失效，从而危害IoT设备的安全性。

现有技术中进行证书续签的方法具有以下缺点：

一，IoT设备由于地理分散较广，无法及时的对证书进行续签，导致证书失效。

二，采用集中式的方式实现证书的续签，即只设置一个中心CA用于实现证书续签，所有IoT设备均在此中心CA进行证书续签，导致中心CA处理压力较大，尤其在IoT设备数量急剧增长的背景下，中心CA容易在处理压力下出现故障，从影响证书续签用户的体验。

三，采用人工方式向中心CA申请续签，续签效率慢。

并且，现在的CA证书体系基本采用的是两级体系，具体包括：中心CA生成根证书，并生成与此根证书对应的根私钥，将根证书和根私钥进行物理隔离。基于根私钥生成二级证书，并且生成与二级证书对应的二级私钥。中心CA为IoT设备签发其它证书时，均使用此二级私钥进行签发，例如为IoT设备签发续签证书时，也使用此二级私钥进行签发。中心CA对二级私钥一般不进行远程物理隔离，只是储存于安全芯片中，以方便快速调用。二级私钥签发的证书一般不允许继续行使签发功能，例如：IoT设备证书只能用于其本身业务，而无法继续签发其他证书。

发明内容

为了解决上述技术问题，本发明提供了一种证书续签的方法、装置及系统。

本发明提供的证书续签方法，包括：

卫星CA从中心CA接收权限设置信息，所述权限设置信息包括用于指示只执行续签处理的权限信息；

卫星CA接收设备发送的续签请求；

判断是否满足续签条件；