[发明专利]一种业务证书管理方法、终端及服务器

说明书

一种业务证书管理方法、终端及服务器，其中一种业务证书管理方法包括：在第一应用启动时，如果确定该第一应用被预先配置为申请业务证书，则向认证服务器发送业务证书申请请求，该业务证书申请请求携带的申请信息包括该第一应用的应用标识，接收该认证服务器根据该申请信息发送的对该第一应用的身份验证结果，在身份验证结果指示该第一应用具备业务证书申请权限时，可以在可信执行环境中生成证书请求文件，并根据该证书请求文件获取该第一应用对应的目标业务证书。通过实施本申请可以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

技术领域

本申请涉及计算机技术领域，尤其涉及一种业务证书管理方法、终端及服务器。

背景技术

目前，公钥基础设施(Public Key Infrastructure，PKI)体系可以由终端厂商自建，也可以由第三方提供。在终端厂商自建PKI体系的方案中，由根认证中心(CertificateAuthority，CA)(即厂商CA)为二级CA颁发证书，再由二级CA为终端按照批次颁发设备证书，终端获取到设备证书后可以直接利用设备证书对应的私钥签发业务证书，业务证书的签发缺乏有效管控；在第三方提供PKI体系的方案中，证书请求方需要通过邮件的方式向第三方CA提交证书签发请求，第三方CA对证书签发请求进行人工审核，审核通过后签发业务证书，整个业务证书签发过程耗时较长，无法满足业务快速响应的需求。可见，目前在签发业务证书时存在缺乏有效管控，实时性较差的弊端。

发明内容

本申请实施例公开了一种业务证书管理方法、终端及服务器，可以对业务证书的签发进行有效管控，并可以满足业务快速响应的需求。

本申请实施例第一方面提供了一种业务证书管理方法，包括：启动第一应用时，如果确定第一应用被预先配置为申请业务证书，则向认证服务器发送业务证书申请请求，业务证书申请请求携带的申请信息包括第一应用的应用标识，第一应用的应用标识用于认证服务器对第一应用的业务证书申请权限进行校验；接收认证服务器根据申请信息发送的对第一应用的身份验证结果，在身份验证结果指示第一应用具备业务证书申请权限时，在可信执行环境中生成证书请求文件，并根据证书请求文件获取第一应用对应的目标业务证书，从而通过认证服务器对应用进行身份验证可以实现对业务证书的签发进行有效管控，在认证服务器对应用的身份验证通过后，即可获取相应的业务证书，能够实现业务证书签发请求的在线及时响应，可以满足业务快速响应的需求。

可选的，在可信执行环境中生成证书请求文件的具体方式可以是：在可信执行环境中生成密钥对，密钥对包括第一公钥和第一私钥，在可信执行环境中根据申请信息和第一公钥生成证书请求文件，并将第一私钥存储在可信执行环境中，将私钥存储在可信执行环境中可以保证私钥安全，避免泄露风险。

可选的，在身份验证结果指示第一应用具备业务证书申请权限时，身份验证结果包括认证服务器对申请信息的数字签名，则在可信执行环境中生成密钥对的具体方式可以是：生成密钥对第一获取请求，密钥对第一获取请求携带有数字签名，响应密钥对第一获取请求对数字签名进行验签，在验签通过时生成密钥对第二获取请求，响应密钥对第二获取请求，在可信执行环境中生成密钥对。

可选的，向认证服务器发送业务证书申请请求的具体方式可以是：生成用于申请业务证书的申请信息，申请信息包括第一应用的应用标识，根据申请信息向认证服务器发送业务证书申请请求，业务证书申请请求携带有申请信息。

可选的，还可以获取第一私钥的索引以及允许在可信执行环境中使用第一私钥的应用的第一目标应用标识集合，第一目标应用标识集合包括至少一个应用标识，该至少一个应用标识包括第一应用的应用标识，建立第一私钥的索引与第一目标应用标识集合之间的第一关联关系，通过建立关联关系将私钥与授权使用该私钥的应用绑定，能够有效防止私钥的滥用，保证了私钥的使用安全。