数字证书管理方法、装置、设备、系统及可读存储介质与流程

1.本发明涉及数字证书技术领域，特别是涉及一种数字证书管理方法、装置、设备、系统及可读存储介质。


背景技术：

2.数字证书（digital certificate）是一种数字身份证明，用于证明某个实体（通常是一个人、组织或网站）的身份。数字证书是通过使用加密技术创建的，其中包含了一个公钥以及相关的标识信息，例如证书持有人的姓名、电子邮件地址、组织名称等。数字证书在电子商务、互联网银行、电子邮件安全、网络安全等领域广泛应用。
3.数字证书通常由权威的证书颁发机构（certificate authority，ca）颁发给证书拥有者，数字证书中具有证书颁发机构的数字签名，以供证书使用者对证书拥有者进行合法性验证。然而，这种数字证书管理机制对第三方（即证书颁发机构）依赖性较高，在证书颁发机构受到安全威胁或被中间人攻击的情况下，对证书用户的安全性造成极大威胁。
4.如何提高数字证书管理系统的安全性，进而提高证书拥有者的安全性和证书使用者的安全性，是本领域技术人员需要解决的技术问题。


技术实现要素：

5.本发明的目的是提供一种数字证书管理方法、装置、设备、系统及可读存储介质，用于提高数字证书管理系统的安全性，进而提高证书拥有者的安全性和证书使用者的安全性。
6.为解决上述技术问题，本发明提供一种数字证书管理方法，包括：根据目标业务的需求，生成数字证书颁发请求；将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
7.在一些实施中，所述证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书。
8.在一些实施中，所述数字证书设备生成所述目标业务的证书链，包括：用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；
在生成所述证书链的各级数字证书且各级数字证书均通过合法性验证后，得到所述证书链。
9.在一些实施中，用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：若所述第一级数字证书为公钥基础设施证书，则所述第一级数字证书设备为证书颁发机构设备，所述第一级数字证书设备通过本地生成的非对称密钥中的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地生成的非对称密钥中的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；若所述第一级数字证书为机密计算证书，则所述第一级数字证书设备为具有机密计算环境的机密计算设备，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。
10.在一些实施中，自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法，包括：若所述当前级数字证书为公钥基础设施证书，则所述当前级数字证书设备接收通过所述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；若所述当前级数字证书为机密计算证书，则所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理后，接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书进行验签通过后，确定所述当前级数字证书合法。
11.在一些实施中，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，包括：所述第一级数字证书设备在通过对本地机密计算环境进行真实性验证后，通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名。
12.在一些实施中，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理，包括：所述当前级数字证书设备在通过对本地机密计算环境进行真实性验证后，利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证
书信息进行自签名处理。
13.在一些实施中，若所述上一级数字证书设备生成的非对称密钥为在本地机密计算环境中生成的非对称密钥，所述当前级数字证书设备接收通过所述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，包括：所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书；所述当前级数字证书设备接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，包括：所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书。
14.在一些实施中，对本地机密计算环境进行真实性验证，包括：将所在设备的本地数字证书信息中的远程证明数据发送至设备厂商以进行本地机密计算环境的真实性验证。
15.在一些实施中，所述远程证明数据包括所在设备的可信度量信息。
16.在一些实施中，所述远程证明数据包括远程证明数据明文和利用所在设备的本地机密计算环境的硬件远程证明私钥对所述远程证明数据明文进行签名得到的远程证明数据签名；其中，所述远程证明数据明文包括利用所在设备的本地机密计算环境中生成的非对称密钥中的公钥的哈希值和所在设备的可信度量信息。
17.在一些实施中，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：所述第一级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。
18.在一些实施中，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，包括：所述当前级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述当前级数字证书进行验签通过。
19.在一些实施中，所述数字证书设备生成所述目标业务的证书链，包括：若当前级数字证书具有一个上一级数字证书设备的签名，则拥有所述当前级数字
证书的当前级数字证书设备对所述上一级数字证书设备的签名验签通过后，确定所述当前级数字证书合法；若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法；其中，第一预设数量小于所述当前级数字证书中所述上一级数字证书设备的签名的数量。
20.在一些实施中，若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法，包括：若所述当前级数字证书具有的多个所述上一级数字证书设备的签名中既包括公钥基础设施签名又包括机密计算签名，则所述当前级数字证书设备对多个签名中的第二预设数量公钥基础设施签名验签通过且对多个签名中的第三预设数量机密计算签名验签通过后，确定所述当前级数字证书合法；其中，第二预设数量小于所述当前级数字证书中上一级数字证书设备的的公钥基础设施签名的数量，第三预设数量小于所述当前级数字证书中上一级数字证书设备的机密计算签名的数量。
21.在一些实施中，根据目标业务的需求，生成数字证书颁发请求，包括：根据所述目标业务的安全需求，确定所述证书链中公钥基础设施证书和机密计算证书的组合方式；根据所述证书链中公钥基础设施证书和机密计算证书的组合方式，确定对应的所述数字证书设备；生成对各所述数字证书设备的数字证书颁发请求。
22.在一些实施中，还包括：在接收到请求方设备对所述目标业务的应用请求后，对所述证书链进行合法性验证以使所述请求方设备在确定所述证书链合法后确定所述目标业务合法。
23.在一些实施中，应用于进行超文本传输安全协议连接的服务器；数字证书管理方法还包括：在接收到客户端发送的对所述服务器的访问请求后，对所述服务器的超文本传输安全协议连接业务对应的所述证书链进行验签通过后，将所述超文本传输安全协议连接业务对应的所述证书链的最后一级数字证书发送至所述客户端以使所述客户端对最后一级数字证书进行验签，以使所述客户端在对最后一级数字证书验签通过后，确定所述超文本传输安全协议连接业务合法并与所述服务器建立超文本传输安全协议安全信道。
24.在一些实施中，应用于文件发送设备；数字证书管理方法还包括：在接收到文件接收设备对待发送的目标文件的合法性验证后，将所述证书链的各级数字证书提供给所述文件接收设备，以使所述文件接收设备对所述证书链的各级数字证书均进行合法性验证通过后接收所述目标文件。
25.为解决上述技术问题，本发明还提供一种数字证书管理方法，包括：
业务设备根据目标业务的需求，生成数字证书颁发请求，并将所述数字证书颁发请求发送至数字证书设备；所述数字证书设备根据所述数字证书颁发请求生成目标业务的证书链；所述业务设备对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
26.为解决上述技术问题，本发明还提供一种数字证书管理系统，包括：业务设备和数字证书设备；其中，所述业务设备用于根据目标业务的需求，生成数字证书颁发请求；将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
27.为解决上述技术问题，本发明还提供一种数字证书管理装置，包括：请求单元，用于根据目标业务的需求，生成数字证书颁发请求；发送单元，用于将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；部署单元，用于对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
28.为解决上述技术问题，本发明还提供一种数字证书管理设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序，所述计算机程序被所述处理器执行时实现如上述任意一项所述数字证书管理方法的步骤。
29.为解决上述技术问题，本发明还提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任意一项所述数字证书管理方法的步骤。
30.本发明所提供的数字证书管理方法，通过根据目标业务的需求，生成数字证书颁发请求，将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链，该证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书；通过由公钥基础设施证书和机密计算证书构成的混合数字证书组成的证书链，相较于相关技术中的单个公钥基础设施证书或仅由公钥基础设施证书构成的证书链，增加了证书链中的信任方，即除了证书颁发机构外，引入了生成机密计算证书的可信执行环境作为其中一个信任方，从而减少了对证书颁发机构的安全依赖，提高了证书链的安全性，进而提高了证书拥有者的安全性和证书使用者的安全性。在对证书链进行验签通过后再部署目标业务，提高了目标业务的安全性。
31.本发明提供的数字证书管理方法中，还可以通过证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书，以在各级数字证书均为单种类型的数字证书的基础上
进一步提高单级数字证书的安全性，进而提高整个证书链的安全性，提高证书拥有者的安全性和证书使用者的安全性。
32.本发明提供的数字证书管理方法，通过数字证书设备中的机密计算设备先对当前级的机密计算证书进行自签名后，再由上一级数字证书设备进行签名，得到了一种更具安全性的数字证书签名方案。
33.本发明还提供一种数字证书管理装置、设备、系统及可读存储介质，具有上述有益效果，在此不再赘述。
附图说明
34.为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1为本发明实施例提供的一种数字证书管理系统的结构示意图；图2为本发明实施例提供的一种数字证书管理方法的流程图；图3为本发明实施例提供的一种数字证书设备生成目标业务的证书链的流程图；图4为本发明实施例提供的第一种证书链场景示意图；图5为本发明实施例提供的第二种证书链场景示意图；图6为本发明实施例提供的第三种证书链场景示意图；图7为本发明实施例提供的第四种证书链场景示意图；图8为本发明实施例提供的第五种证书链场景示意图；图9为本发明实施例提供的第六种证书链场景示意图；图10为本发明实施例提供的一种数字证书管理装置的结构示意图；图11为本发明实施例提供的一种数字证书管理设备的结构示意图。
具体实施方式
36.本发明的核心是提供一种数字证书管理方法、装置、设备、系统及可读存储介质，用于提高数字证书管理系统的安全性，进而提高证书拥有者的安全性和证书使用者的安全性。
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.下面对本发明实施例一进行说明。
39.图1为本发明实施例提供的一种数字证书管理系统的结构示意图。
40.为便于理解，首先对本发明提供的数字证书管理系统和相关定义进行介绍。
41.如图1所示，本发明实施例提供的数字证书管理系统，包括：业务设备101和数字证书设备102；其中，业务设备101用于根据目标业务的需求，生成数字证书颁发请求；将数字证
书颁发请求发送至数字证书设备102，以使数字证书设备102生成目标业务的证书链；对证书链进行合法性验证通过后，利用证书链部署目标业务；其中，证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
42.数字证书的类型主要有两种，分别为证书颁发机构（certificate authority，ca）颁发的公钥基础设施（public key infrastructure，pki）证书和基于可信执行环境（trusted execution environment，tee）生成的机密计算证书。
43.一个完整的公钥基础设施基本结构由证书颁发机构（certificate authority，ca）、数字证书注册中心（registration authority，ra）、签发系统、密钥管理平台、应用程序接口（application programming interface，api）组成。在本发明实施例中，定义由证书颁发机构颁发的数字证书为公钥基础设施证书。
44.可信执行环境为通过软硬件方法在中央处理器中构建一个安全区域，保证其内部加载的程序和数据在机密性和完整性上得到保护。搭建可信执行环境的设备需要预置集成的商用中央处理器计算芯片。在相关技术中，可以在可信执行环境中构造可信的自签名证书，将硬件可信执行环境作为硬件可信根，将证书与硬件环境强绑定，剔除了公有证书颁发机构的影响。在本发明实施例中，定义拥有可信执行环境的设备为机密计算设备，利用可信执行环境中构造的证书为机密计算证书。
45.数字证书的拥有者可以是一个人、组织或网站，可以部署于设备中。
46.在相关技术中，对于生成证书的请求，数字证书管理体系往往是给予单种类型的数字证书，即要么提供单个公钥基础设施证书或多个公钥基础设施证书构成的证书链，要么是基于可信执行环境生成精密计算证书。可以理解的是，由于基于可信执行环境生成的机密计算证书将证书的可信度与硬件环境进行绑定，相较于由第三方的证书颁发机构来颁发的公钥基础设施证书安全性更高。但是仅仅靠机密计算证书，还是依赖于对硬件环境的信任。故在本发明实施例中，提供一种混合数据证书的方案。对于生成证书的请求，生成包含混合数字证书的证书链，即证书链中既有公钥基础设施证书又有机密计算证书。在本发明实施例提供的数字证书管理系统生成的证书链中，相较于相关技术中的单种类型数字证书，由单个信任体系扩大到了两个信任体系，减弱了对单个信任体系的依赖，从而进一步提高了证书链的安全性，而证书拥有者的安全性和证书使用者的安全性也得到了进一步的提升。
47.需要说明的是，在本发明实施例中，数字证书设备102和业务设备101共同构成了证书链的各级数字证书所对应的数字证书设备102，即业务设备101作为最后一级数字证书设备102存在，各级数字证书设备102均持有对应的数字证书。证书链至少包括两级数字证书，即除了业务设备101外，至少包括一个数字证书设备102配合生成证书链。一级数字证书可以包括多个数字证书。在本发明实施例中，“级”代表证书链的环节。
48.当业务设备101产生部署目标业务的需求时，需要得到与目标业务对应的数字证书，则可以根据目标业务的安全级别来确定证书链中不同类型数字证书的组合方式，而后对应将数字证书颁发请求发送给各级数字证书设备102。数字证书设备102生成证书链的过程为自第一级数字证书设备102开始，先生成先通过自签名得到的根证书。第一级证书设备自行验签通过后，签发对第二级数字证书设备102的第二级数字证书。第二级数字证书设备
102对第二级数字证书通过后确认第二级数字证书合法。如还存在第三级数字证书设备102则继续执行向第三级数字证书设备102签发第三级数字证书的步骤。若第二级数字证书设备102即为业务设备101，则业务设备101收到第二级数字证书并验签通过后，利用合法的第二级数字证书配合部署目标业务。当业务需求方想要使用目标业务时，业务需求方则获取目标业务对应的证书链中的各级数字证书进行逐级验签，逐级验签通过后确定目标业务合法，可以使用。
49.参考上述数字证书管理系统，下面结合附图对本发明实施例提供的数字证书管理方法进行说明。
50.下面对本发明实施例二进行说明。
51.图2为本发明实施例提供的一种数字证书管理方法的流程图。
52.如图2所示，本发明实施例提供的数字证书管理方法包括：s201：根据目标业务的需求，生成数字证书颁发请求。
53.s202：将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链；其中，证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
54.s203：对证书链进行合法性验证通过后，利用证书链部署目标业务。
55.在具体实施中，本发明实施例提供的数字证书管理方法可以应用于个人用户设备或集体用户设备，例如可以应用于文件发送设备或业务服务器。在本发明实施例中，定义由目标设备执行本发明实施例提供的数字证书管理方法的步骤。
56.当业务服务器需要推出业务时，需要得到数字证书确保业务的合法性，以进行对目标业务的部署。当文件发送设备需要发送文件时，如用户a需要向用户b发送文件，则用户a发送的文件需具有合法的数字证书以保证文件的合法性。在数据加解密场景，也可以应用数字证书作为合法性验证工具。
57.对于s201，目标业务可以包括但不限于上文提出的业务服务器所推出的业务、文件发送设备的文件发送需求以及数据加解密业务。根据目标业务的需求生成数字证书颁发请求，具体在将公共基础设施证书和机密计算证书结合的情况下，可以根据场景、需求、安全等级的不同，产生多种类型的数字证书，供使用者灵活选择。
58.在一种实施中，s202：根据目标业务的需求，生成数字证书颁发请求，可以包括：根据目标业务的安全需求，确定证书链中公钥基础设施证书和机密计算证书的组合方式；根据证书链中公钥基础设施证书和机密计算证书的组合方式，确定对应的数字证书设备；生成对各数字证书设备的数字证书颁发请求。
59.由于机密计算证书的安全性相较于公共设施证书相对较高，若目标业务的安全需求较高，则可以在证书链中部署较多的机密计算证书。而由于机密计算证书对所在设备有硬件要求，生成成本较高，在目标业务的安全需求不高的情况下，可以在证书链中部署较少的机密计算证书。为了进一步提高目标业务的安全程度，证书链的一级数字证书可以包括多个数字证书，其中还可以包括由多种方式生成的数字证书，以提高单级数字证书的安全性，进一步提高证书链的安全性。
60.对于s202，如本发明上一实施例所介绍的，产生目标业务需求的设备为证书链所对应的最后一级数字证书设备，而前级数字证书设备均为生成并颁发数字证书的设备。业务设备将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链，可以由业务设备先向上一级数字证书设备发送数字证书颁发请求，数字证书颁发请求中携带整个证书链所对应的各级数字证书设备的信息以及所需要生成数字证书的类型，以使业务设备的上一级数字证书设备向上逐级传递数字证书颁发请求，再逐级向下生成数字证书，形成证书链。或者，业务设备也可以根据证书链中对应的数字证书设备分别将数字证书颁发请求发送给各级数字证书设备，数字证书颁发请求中携带整个证书链所对应的各级数字证书设备的信息以及所需要生成数字证书的类型，以使证书链的第一级数字证书设备向下逐级生成数字证书，形成证书链。
61.基于本发明实施例提供的混合证书方案，证书链至少包括一个公钥基础设施证书和一个机密计算证书。例如，证书链包括两级数字证书且各级均对应一个数字证书，则两级数字证书中一个为公钥基础设施证书，另一个为机密计算证书。
62.对于s203，在证书链的生成过程中，即逐级生成数字证书的过程中进行数字证书的合法性验证。证书链的生成过程中，数字证书颁发者利用非对称密钥中的私钥对数字证书信息进行签名后得到包含数字证书信息明文和对应的数字签名的数字证书。数字证书颁发者将数字证书和对应的公钥一起颁发给数字证书拥有者。数字证书拥有者则利用非对称密钥中的公钥对数字证书进行验签，即通过公钥对数字证书中的数字签名进行解密后与数字证书信息明文对比，若一致则确定数字证书合法，如果不一致则确定数字证书不合法。则在逐级生成数字证书的过程中，验签也是逐级进行的，每生成一级数字证书，均通过验签进行合法性验证后才能进入下一级数字证书的生成过程。而在各级数字证书均通过合法性验证后，得到一条通过合法性验证的证书链，从而可以用于部署目标业务的数字证书。
63.数字证书信息可以包括但不限于：证书颁发者信息、证书拥有者信息和用户自定义扩展信息。机密计算证书的数字证书信息还包括证书拥有者的公钥，乃至证书拥有者的远程证明设备。
64.数字证书的管理周期除了包括数字证书的生成过程外，还可以包括数字证书的使用过程。则本发明实施例提供的数字证书管理方法还可以包括：在接收到请求方设备对目标业务的应用请求后，对证书链进行合法性验证以使请求方设备在确定证书链合法后确定目标业务合法。
65.在本发明实施例中，定义数字证书使用者为想要应用目标业务的请求方设备。在业务设备提供目标业务给请求方设备使用，或请求方设备向业务设备请求使用目标业务时，请求方设备均需要对目标业务对应的证书链进行合法性验证。合法性验证的过程与生成证书链时的合法性验证过程类似，通过逐级向上验签，在确定证书链的各级数字证书均合法时，请求方设备与业务设备完成握手，可以使用目标业务。
66.本发明实施例提供的数字证书管理方法，通过根据目标业务的需求，生成数字证书颁发请求，将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链，该证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书；通过由公钥基础设施证书和机密计算证书构成的混合数字证书组成的证书链，相较于相关技术中的单个公钥基础设施证书或仅由公钥基础设施证
书构成的证书链，增加了证书链中的信任方，即除了证书颁发机构外，引入了生成机密计算证书的可信执行环境作为其中一个信任方，从而减少了对证书颁发机构的安全依赖，提高了证书链的安全性，进而提高了证书拥有者的安全性和证书使用者的安全性。在对证书链进行验签通过后再部署目标业务，提高了目标业务的安全性。
67.下面对本发明实施例三进行说明。
68.在上述实施例中介绍了，为进一步提高证书链的安全性，除了证书链中至少包括一个公钥基础设施证书和一个机密计算证书外，还可以通过一级数字证书包括多个数字证书来提高证书链的安全性。而一级数字证书也可以为混合数字证书方案。
69.则在上述实施例的基础上，在本发明实施例提供的数字证书管理方法中，可以设置证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书。
70.本发明提供的数字证书管理方法中，还可以通过证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书，以在各级数字证书均为单种类型的数字证书的基础上进一步提高单级数字证书的安全性，进而提高整个证书链的安全性，提高证书拥有者的安全性和证书使用者的安全性。
71.下面对本发明实施例四进行说明。
72.图3为本发明实施例提供的一种数字证书设备生成目标业务的证书链的流程图。
73.在上述实施例的基础上，本发明实施例进一步对生成证书链的过程进行说明。
74.在本发明实施例提供的数字证书管理方法中，s202中数字证书设备生成目标业务的证书链，包括：s301：用于持有证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成第一级数字证书并对第一级数字证书验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限。
75.s302：自用于持有证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对当前级数字证书验签通过后，确定当前级数字证书合法。
76.s303：在生成证书链的各级数字证书且各级数字证书均通过合法性验证后，得到证书链。
77.在具体实施中，对于s301，证书链对应的第一级数字证书的拥有者为第一级数字证书设备。第一级数字证书设备通过自签名方式生成第一级数字证书，即为证书链的根证书。第一级数字证书设备自行对第一级数字证书进行验签，通过后确定第一级数字证书合法，且第一级数字证书设备具有颁发数字证书的权限。
78.s301：用于持有证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成第一级数字证书并对第一级数字证书验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限，可以包括：若第一级数字证书为公钥基础设施证书，则第一级数字证书设备为证书颁发机构设备，第一级数字证书设备通过本地生成的非对称密钥中的私钥对本地数字证书信息进行签名，得到第一级数字证书；第一级数字证书设备通过本地生成的非对称密钥中的公钥对第一级数字证书进行验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限；
若第一级数字证书为机密计算证书，则第一级数字证书设备为具有机密计算环境的机密计算设备，第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，得到第一级数字证书；第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对第一级数字证书进行验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限。
79.第一级数字证书中的公钥基础设施证书，是由证书颁发机构生成并颁发的。而作为第一级数字证书时，第一级数字证设备应为证书颁发机构设备，从而自行生成第一级的公钥基础设施证书。在生成过程中，第一级数字证书设备在本地生成一对非对称秘钥，利用其中的私钥对本地数字证书信息的明文进行签名，得到包含本地数字证书信息明文和本地数字证书信息的数字签名的第一级数字证书。第一级数字证书设备再通过上述非对称密钥中的公钥对第一级数字证书进行验签，通过后确定第一级数字证书合法，且此时第一级数字证书设备可以向第二级数字证书设备颁发数字证书。
80.第一级数字证书中的机密计算证书，应基于本地的精密计算环境生成，则第一级数字证书设备应为具有机密计算环境的机密计算设备。在生成过程中，第一级的机密计算设备在本地精密计算环境中生成一对非对称密钥，并利用其中的私钥对本地数字证书信息的明文进行签名，得到包含本地数字证书信息的明文和本地数字证书信息的数字签名的第一级数字证书。第一级的精密计算设备再通过上述非对称密钥中的公钥对第一级数字证书进行验签，通过后确定第一级数字证书合法，且此时第一级数字证书设备可以向第二级数字证书设备颁发数字证书。
81.为保证第一级数字证书中的机密计算证书是在机密计算环境中生成的，需要对本地机密计算环境进行真实性验证。则第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，可以包括：第一级数字证书设备在通过对本地机密计算环境进行真实性验证后，通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名。需要说明的是，第一级数字证书设备对本地机密计算环境进行真实性验证的步骤与第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名的步骤可以无顺序关系，第一级数字证书设备对本地机密计算环境进行真实性验证的步骤与第一级数字证书设备通过本地生成的非对称密钥中的公钥对第一级数字证书进行验签的步骤也可以无顺序关系，即可以在第一级数字证书设备通过对本地机密计算环境进行真实性验证并通过本地生成的非对称密钥中的公钥对第一级数字证书进行验签后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限。对于s302，在本发明实施例中，自证书链的第二级数字证书起，各级数字证书的生成均需要借助上一级数字证书设备。当前级数字证书设备将本地数字证书信息提供给上一级数字证书设备，上一级数字证书设备利用本地生成的非对称密钥中的公钥对当前级数字证书设备的本地数字证书信息进行签名，得到当前级数字证书，将当前级数字证书及对应的公钥提供给当前级数字证书设备，由当前级数字证书设备利用该公钥对当前级数字证书进行验签通过后，确定当前级数字证书合法。
82.s302：自用于持有证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对当前级数字证书验签通过后，确定当前级数字证书合法，可以包括：
若当前级数字证书为公钥基础设施证书，则当前级数字证书设备接收通过上一级数字证书设备生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行签名处理得到的当前级数字证书，并利用上一级数字证书设备生成的非对称密钥中的公钥对当前级数字证书验签通过后，确定当前级数字证书合法；若当前级数字证书为机密计算证书，则当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行自签名处理后，接收上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到当前级数字证书，利用本地机密计算环境中生成的非对称密钥中的公钥对当前级数字证书进行自签名验签通过，并利用上一级数字证书设备生成的非对称密钥中的公钥对当前级数字证书进行验签通过后，确定当前级数字证书合法。
83.非第一级数字证书中的公钥基础设施证书，是完全由上一级数字证书设备进行签名并颁发的。在生成过程中，当前级数字证书设备将本地数字证书信息提供给上一级数字证书设备，由上一级证数字证书设备利用本地生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行签名，得到包含当前级数字证书设备的本地数字证书信息明文和当前级数字证书设备的本地数字证书信息的数字签名的当前级数字证书。上一级数字证书设备将当前级数字证书和对应的公钥发送给当前级数字证书设备。当前级数字证书设备通过该公钥对当前级数字证书进行验签，通过后确定当前级数字证书合法。若当前级数字证书设备为业务设备，则证书链生成完毕；若当前级数字证书设备不是业务设备，则当前级数字证书设备继续为下一级数字证书设备颁发数字证书。
84.非第一级数字证书中的机密计算证书，则是分别通过当前级数字证书设备进行自签名以及利用上一级数字证书设备的私钥进行签名。在生成过程中，当前级数字证书设备在本地机密计算环境中生成一对非对称密钥，利用其中的私钥对本地数字证书信息的明文进行签名，得到包含本地数字证书信息的明文和本地数字证书信息的数字签名的本地数字证书信息。当前级数字证书设备再通过上一级数字证书设备生成的非对称密钥中的私钥对自签名后的本地数字证书信息进行签名，得到包含自签名和上一级签名的当前级数字证书。在进行验签时，当前级数字证书设备分别利用本地机密计算环境中对应的公钥对当前级数字证书中的自签名进行验签，以及利用上一级数字证书设备提供的公钥对当前级数字证书中的上一级签名进行验签。
85.可以看到，本发明实施例提供了一种新的机密计算证书方案，即该机密计算证书既包含自签名又包含上一级签名，相较于相关技术中的机密计算证书安全性更高。
86.为保证当前级数字证书中的机密计算证书是在机密计算环境中生成的，需要对本地机密计算环境进行真实性验证。则当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行自签名处理，可以包括：当前级数字证书设备在通过对本地机密计算环境进行真实性验证后，利用本地机密计算环境中生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行自签名处理。通过在进行自签名之前先对本地机密计算环境进行真实性验证，通过真实性验证后，再利用本地机密计算环境中生成的非对称密钥中的私钥进行自签名，进一步提高了生成机密计算证书的安全性。需要说明的是，当前级数字证书设备对本地机密计算环境进行真实性验证的步骤与当前级数字证书设备通过本地机密计算环境中生成的非对称密钥
的私钥对本地数字证书信息进行签名的步骤可以无顺序关系，当前级数字证书设备对本地机密计算环境进行真实性验证的步骤与当前级数字证书设备通过本地生成的非对称密钥中的公钥对当前级数字证书进行验签的步骤也可以无顺序关系，即可以在当前级数字证书设备通过对本地机密计算环境进行真实性验证并通过本地生成的非对称密钥中的公钥对当前级数字证书进行验签后，确定当前级数字证书合法。
87.而不论当前级数字证书的类型是什么，均需要由上一级数字证书设备进行签名，若上一级数字证书设备提供用于进行签名以及验签的非对称密钥是在机密计算环境中生成的，则还应该对上一级数字签名设备上一级数字证书设备进行本地机密计算环境的真实性验证。
88.则若上一级数字证书设备生成的非对称密钥为在本地机密计算环境中生成的非对称密钥，当前级数字证书设备接收通过上一级数字证书设备生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行签名处理得到的当前级数字证书，可以包括：当前级数字证书设备在触发对上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对当前级数字证书设备的本地数字证书信息进行签名处理得到的当前级数字证书。
89.若上一级数字证书设备生成的非对称密钥为在本地机密计算环境中生成的非对称密钥，当前级数字证书设备接收上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到当前级数字证书，可以包括：当前级数字证书设备在触发对上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到当前级数字证书。
90.即是说，若上一级数字证书设备为当前级数字证书设备签发数字证书时是采用机密计算环境中生成的非对称密钥中的私钥进行签名的，则先通过对上一级数字证书设备的机密计算环境的真实性验证，再接收上一级数字证书设备签发的当前级数字证书。
91.在一些实施中，第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对第一级数字证书进行验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限，可以包括：第一级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过本体公钥对第一级数字证书进行验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限。远程证明数据是机密计算证书中用于进行所在设备的本地机密计算环境真实性验证的数据，第一级数字证书设备在生成第一级数字证书时，通过将基于机密计算环境生成的非对称密钥中的公钥的哈希值放在远程证明数据中，可以在经过远程证明第一级数字证书设备的本地机密计算环境的真实性时完成对公钥哈希值的合法性验证，而在第一级数字证书设备对本地的机密计算证书进行验签时，在经过远程证明本地机密计算环境具有真实性后，比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过本体公钥对第一级数字证书进行验签通过后，确定第一级数字证书合法且第一级数字证书设备具有颁发数字证书的权限。
92.同理，当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的公钥
对当前级数字证书进行自签名验签通过，可以包括：当前级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过本体公钥对当前级数字证书进行验签通过。当前级数字证书设备在生成当前级数字证书时，通过将基于机密计算环境生成的非对称密钥中的公钥的哈希值放在远程证明数据中，可以在经过远程证明当前级数字证书设备的本地机密计算环境的真实性时完成对公钥哈希值的合法性验证，而在当前级数字证书设备对本地的机密计算证书进行验签时，在经过远程证明本地机密计算环境具有真实性后，比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过本体公钥对当前级数字证书进行验签通过后，确定当前级数字证书合法且当前级数字证书设备具有颁发数字证书的权限。
93.则对于机密计算证书中自签名的验签，在通过远程证明数据证明本地机密计算环境存在，且机密计算证书中携带的本体公钥与远程证明数据中的公钥哈希值一致，则可以确定机密计算证书是在本地机密计算环境中生成的，继而可以利用该本体公钥对机密计算证书中的自签名进行验签。
94.对于上一级的机密计算设备提供的在机密计算环境中生成的非对称密钥进行签名和验签时同理，当前级数字证书设备触发上一级数字证书设备进行本地机密计算环境的真实性验证后，上一级数字证书设备进行如上述的步骤完成并通过本地机密计算环境的真实性验证以及本体公钥的一致性验证，可以进行当前级数字证书中由上一级的机密计算设备进行的签名或验签，从而进一步提高数字证书的安全性。
95.本发明实施例提供的数字证书管理方法，通过数字证书设备中的机密计算设备先对当前级的机密计算证书进行自签名后，再由上一级数字证书设备进行签名，得到了一种更具安全性的数字证书签名方案。
96.下面对本发明实施例五进行说明。
97.在上述实施例的基础上，本发明实施例进一步对机密计算设备的本地机密计算环境进行真实性验证的方法进行说明。
98.在本发明实施例提供的数字证书管理方法中，对本地机密计算环境进行真实性验证，可以包括：将所在设备的本地数字证书信息中的远程证明数据发送至设备厂商以进行本地机密计算环境的真实性验证。
99.其中，远程证明数据包括所在设备的可信度量信息，例如所在设备的硬件可信度量信息。设备厂商利用远程证明数据中的可信度量信息，确定为具有机密计算环境的设备，向该设备反馈本地机密计算环境具有真实性的信息。
100.为进一步提高真实性验证的可靠性，远程证明数据可以包括远程证明数据明文和利用所在设备的本地机密计算环境的硬件远程证明私钥对远程证明数据明文进行签名得到的远程证明数据签名；其中，远程证明数据明文包括利用所在设备的本地机密计算环境中生成的非对称密钥中的公钥的哈希值和所在设备的可信度量信息。设备厂商利用该设备的本地机密计算环境的远程证明公钥对远程证明数据进行验签通过后，即可确定该设备通过真实性验证，并向该设备反馈本地机密计算环境具有真实性的信息。
101.下面对本发明实施例六进行说明。
102.在上述实施例中介绍了，证书链的一级数字证书可以包括一个数字证书，也可以
包括多个数字证书。而包括多个数字证书的情况可以进一步提高证书链的安全性。拥有多个数字证书的数字证书设备可以对下一级数字证书设备签发证书时添加多个签名，即签名与签发证书的数字证书设备一一对应。若当前级数字证书中具有多个上一级数字证书设备的签名，在验签时可以设置为必须通过对所有签名的验签才确认当前级数字证书合法，或者可以设置为通过部分签名的验签即确认当前级数字证书合法。
103.则在本发明实施例提供的数字证书管理方法中，s202中数字证书设备生成目标业务的证书链，可以包括：若当前级数字证书具有一个上一级数字证书设备的签名，则拥有当前级数字证书的当前级数字证书设备对上一级数字证书设备的签名验签通过后，确定当前级数字证书合法；若当前级数字证书具有多个上一级数字证书设备的签名，则当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定当前级数字证书合法；其中，第一预设数量小于当前级数字证书中上一级数字证书设备的签名的数量。
104.在具体实施中，本发明实施例对于当前级数字证书具有多个上一级数字证书设备的签名的情况，采用门限验签的方式，即可以仅对其中的部分上一级数字证书设备的签名进行验签通过后即确定当前级数字证书合法。
105.考虑到本发明上述实施例提供的一级数字证书包括公钥基础设施证书和机密计算证书的情况，若上一级数字证书设备既拥有公钥基础设施证书又拥有机密计算证书，则上一级数字证书设备可以对当前级数字证书进行公钥基础设施签名和机密计算签名，此时可以区分类型设置门限。则若当前级数字证书具有多个上一级数字证书设备的签名，则当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定当前级数字证书合法，包括：若当前级数字证书具有的多个上一级数字证书设备的签名中既包括公钥基础设施签名又包括机密计算签名，则当前级数字证书设备对多个签名中的第二预设数量公钥基础设施签名验签通过且对多个签名中的第三预设数量机密计算签名验签通过后，确定当前级数字证书合法；其中，第二预设数量小于当前级数字证书中上一级数字证书设备的的公钥基础设施签名的数量，第三预设数量小于当前级数字证书中上一级数字证书设备的机密计算签名的数量。
106.需要说明的是，若上一级数字证书设备具有多个上一级数字证书，即可以生成对应的多对非对称密钥用于当前级数字证书的签名和验签，但可以不用采用全部的私钥用于当前级数字证书的签名。
107.下面对本发明实施例七进行说明。
108.图4为本发明实施例提供的第一种证书链场景示意图；图5为本发明实施例提供的第二种证书链场景示意图；图6为本发明实施例提供的第三种证书链场景示意图；图7为本发明实施例提供的第四种证书链场景示意图；图8为本发明实施例提供的第五种证书链场景示意图；图9为本发明实施例提供的第六种证书链场景示意图。
109.在上述实施例的基础上，本发明实施例以证书链中的相邻两级数字证书进行场景说明，具体可以包括六种场景。
110.如图4所示，在第一种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书和当前级数字证书可以均为公钥基础设施证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书为自签名的公钥基础设施证书，当前级数字证书由上一级数字证书设备401提供的私钥进行签名，由上一级数字证书设备401提供的公钥进行验签。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。若当前级数字证书不是业务证书，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
111.如图5所示，在第二种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书为公钥基础设施证书，当前级数字证书为机密计算证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书为自签名的公钥基础设施证书，当前级的机密计算证书在本地的机密计算环境中生成，由本地机密计算环境生成的非对称密钥中的私钥进行自签名，再由上一级数字证书设备401通过本地生成的私钥进行签名，保证当前级数字证书的可信性，提高当前级数字证书的使用效率。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。若当前级数字证书不是业务证书，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
112.如图6所示，在第三种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书和当前级数字证书均为机密计算证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书为自签名的机密计算证书，具体由上一级数字证书设备401的机密计算环境生成。当前级的机密计算证书在本地的机密计算环境中生成，由本地机密计算环境生成的非对称密钥中的私钥进行自签名，再由上一级数字证书设备401通过本地生成的私钥进行签名。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。若当前级数字证书不是业务证书，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
113.如图7所示，在第四种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书为机密计算证书，当前级数字证书为公钥基础设施证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书为自签名的机密计算证书，具体由上一级数字证书设备401的机密计算环境生成。当前级的机密计算证书在本地的机密计算环境中生成，由本地机密计算环境生成的非对称密钥中的私钥进行自签名，再由上一级数字证书设备401通过本地生成的私钥进行签名。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。当当前级数字证书不是业务证书时，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
114.如图8所示，在第五种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书为混合证书，即上一级数字证书设备401既拥有公钥基础设施证书又拥有机密计算证书，当前级数字证书为机密计算证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书包括自签名的公钥基础设施证书和自签名的机密计算证书。当前级的机密计算证书在本地的机密计算环境中生成，由本地机密计算环境生成的非
对称密钥中的私钥进行自签名，再由上一级数字证书设备401通过本地生成的私钥进行签名。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。当当前级数字证书不是业务证书时，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
115.如图9所示，在第六种场景下，对应上一级数字证书设备401和当前级数字证书设备402，上一级数字证书为混合证书，即上一级数字证书设备401既拥有公钥基础设施证书又拥有机密计算证书，当前级数字证书为公钥基础设施证书。若上一级数字证书为证书链的第一级数字证书，则上一级数字证书包括自签名的公钥基础设施证书和自签名的机密计算证书。当前级数字证书由上一级数字证书设备401提供的私钥进行签名，由第一级数字证书设备提供的公钥进行验签。若上一级数字证书不是证书链的第一级数字证书，则再根据证书类型由再上一级数字证书设备进行签发。若当前级数字证书不是业务证书，可以派生出下一级数字证书，延长证书链。下一级数字证书可以为公钥基础设施证书，也可以为机密计算证书。
116.下面对本发明实施例八进行说明。
117.在上述实施例的基础上，本发明实施例对一种数字证书管理方法的应用场景进行说明。
118.在本发明实施例提供的数字证书管理方法中，业务服务器包括用于进行超文本传输安全协议连接的服务器。
119.则本发明实施例提供的数字证书管理方法还可以包括：接收到客户端发送的对服务器的访问请求后，对服务器的超文本传输安全（hypertext transfer protocol secure，https）协议连接业务对应的证书链进行验签通过后，将超文本传输安全协议连接业务对应的证书链的最后一级数字证书发送至客户端以使客户端对最后一级数字证书进行验签，以使客户端在对最后一级数字证书验签通过后，确定超文本传输安全协议连接业务合法并与服务器建立超文本传输安全协议安全信道。
120.需要说明的是，每当客户端重新打开业务服务器的网站，均需要重新执行一次对证书链的验签过程。
121.下面对本发明实施例九进行说明。
122.在上述实施例的基础上，本发明实施例对再一种数字证书管理方法的应用场景进行说明。
123.本发明实施例提供的数字证书管理方法还可以应用于文件发送设备。
124.则本发明实施例提供的数字证书管理方法还可以包括：在接收到文件接收设备对待发送的目标文件的合法性验证后，将证书链的各级数字证书提供给文件接收设备，以使文件接收设备对证书链的各级数字证书均进行合法性验证通过后接收目标文件。
125.文件接收设备每接收一次文件发送设备发送的文件时，均需要对该文件对应的证书链进行验签，通过后确认该文件合法。
126.下面对本发明实施例十进行说明。
127.在上述实施例的基础上，本发明实施例还提供一种数字证书管理方法，包括：业务设备根据目标业务的需求，生成数字证书颁发请求，并将所述数字证书颁发请求发送至数字证书设备；
所述数字证书设备根据所述数字证书颁发请求生成目标业务的证书链；所述业务设备对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
128.本发明实施例与上部分方法实施例相互对应，因此本发明实施例的具体实施方式请参见上部分方法部分的实施例的描述，这里暂不赘述。
129.上文详述了数字证书管理方法对应的各个实施例，在此基础上，本发明还公开了与上述方法对应的数字证书管理装置、设备及可读存储介质。
130.下面对本发明实施例十一进行说明。
131.图10为本发明实施例提供的一种数字证书管理装置的结构示意图。
132.如图10所示，本发明实施例提供的数字证书管理装置包括：请求单元1001，用于根据目标业务的需求，生成数字证书颁发请求；发送单元1002，用于将数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链；部署单元1003，用于对证书链进行合法性验证通过后，利用证书链部署目标业务；其中，证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
133.在一些实施中，本发明实施例提供的数字证书管理装置还可以包括：第一验证单元，用于在接收到请求方设备对目标业务的应用请求后，对证书链进行合法性验证以使请求方设备在确定证书链合法后确定目标业务合法。
134.在一些实施中，本发明实施例提供的数字证书管理装置应用于业务服务器，具体为用于进行超文本传输安全协议连接的服务器；则本发明实施例提供的数字证书管理装置还可以包括：第二验证单元，用于在接收到客户端发送的对服务器的访问请求后，对服务器的超文本传输安全协议连接业务对应的证书链进行验签通过后，将超文本传输安全协议连接业务对应的证书链的最后一级数字证书发送至客户端以使客户端对最后一级数字证书进行验签，以使客户端在对最后一级数字证书验签通过后，确定超文本传输安全协议连接业务合法并与服务器建立超文本传输安全协议安全信道。
135.在一些实施中，本发明实施例提供的数字证书管理装置，应用于文件发送设备；则本发明实施例提供的数字证书管理装置还可以包括：第三验证单元，用于在接收到文件接收设备对待发送的目标文件的合法性验证后，将证书链的各级数字证书提供给文件接收设备，以使文件接收设备对证书链的各级数字证书均进行合法性验证通过后接收目标文件。
136.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
137.下面对本发明实施例十二进行说明。
138.图11为本发明实施例提供的一种数字证书管理设备的结构示意图。
139.如图11所示，本发明实施例提供的数字证书管理设备包括：
存储器1110，用于存储计算机程序1111；处理器1120，用于执行计算机程序1111，该计算机程序1111被处理器1120执行时实现如上述任意一项实施例所述数字证书管理方法的步骤。
140.其中，处理器1120可以包括一个或多个处理核心，比如3核心处理器、8核心处理器等。处理器1120可以采用数字信号处理dsp（digital signal processing）、现场可编程门阵列fpga（field－programmable gate array）、可编程逻辑阵列pla（programmable logic array）中的至少一种硬件形式来实现。处理器1120也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器cpu（central processing unit）；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器1120可以集成有图像处理器gpu（graphics processing unit），gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器1120还可以包括人工智能ai（artificial intelligence）处理器，该ai处理器用于处理有关机器学习的计算操作。
141.存储器1110可以包括一个或多个可读存储介质，该可读存储介质可以是非暂态的。存储器1110还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器1110至少用于存储以下计算机程序1111，其中，该计算机程序1111被处理器1120加载并执行之后，能够实现前述任一实施例公开的数字证书管理方法中的相关步骤。另外，存储器1110所存储的资源还可以包括操作系统1112和数据1113等，存储方式可以是短暂存储或者永久存储。其中，操作系统1112可以为windows。数据1113可以包括但不限于上述方法所涉及到的数据。
142.在一些实施例中，数字证书管理设备还可包括有显示屏1130、电源1140、通信接口1150、输入输出接口1160、传感器1170以及通信总线1180。
143.本领域技术人员可以理解，图11中示出的结构并不构成对数字证书管理设备的限定，可以包括比图示更多或更少的组件。
144.本发明实施例提供的数字证书管理设备，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如上所述的数字证书管理方法，效果同上。
145.下面对本发明实施例十三进行说明。
146.需要说明的是，以上所描述的装置、设备实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
147.另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。
148.集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可
以存储在一个可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本发明各个实施例所述方法的全部或部分步骤。
149.为此，本发明实施例还提供一种可读存储介质，该可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如数字证书管理方法的步骤。
150.该可读存储介质可以包括：u盘、移动硬盘、只读存储器rom（read-only memory）、随机存取存储器ram（random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
151.本实施例中提供的可读存储介质所包含的计算机程序能够在被处理器执行时实现如上所述的数字证书管理方法的步骤，效果同上。
152.以上对本发明所提供的一种数字证书管理方法、装置、设备、系统及可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备及可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。
153.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征：
1.一种数字证书管理方法，其特征在于，包括：根据目标业务的需求，生成数字证书颁发请求；将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。2.根据权利要求1所述的数字证书管理方法，其特征在于，所述证书链中至少一级数字证书包括公钥基础设施证书和机密计算证书。3.根据权利要求1所述的数字证书管理方法，其特征在于，所述数字证书设备生成所述目标业务的证书链，包括：用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；在生成所述证书链的各级数字证书且各级数字证书均通过合法性验证后，得到所述证书链。4.根据权利要求3所述的数字证书管理方法，其特征在于，用于持有所述证书链的第一级数字证书的第一级数字证书设备通过自签名方式生成所述第一级数字证书并对所述第一级数字证书验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：若所述第一级数字证书为公钥基础设施证书，则所述第一级数字证书设备为证书颁发机构设备，所述第一级数字证书设备通过本地生成的非对称密钥中的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地生成的非对称密钥中的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限；若所述第一级数字证书为机密计算证书，则所述第一级数字证书设备为具有机密计算环境的机密计算设备，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，得到所述第一级数字证书；所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。5.根据权利要求3所述的数字证书管理方法，其特征在于，自用于持有所述证书链的第二级数字证书的第二级数字证书设备起，当前级数字证书设备接收上一级数字证书设备颁发的当前级数字证书并对所述当前级数字证书验签通过后，确定所述当前级数字证书合法，包括：若所述当前级数字证书为公钥基础设施证书，则所述当前级数字证书设备接收通过所
述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书验签通过后，确定所述当前级数字证书合法；若所述当前级数字证书为机密计算证书，则所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理后，接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，并利用所述上一级数字证书设备生成的非对称密钥中的公钥对所述当前级数字证书进行验签通过后，确定所述当前级数字证书合法。6.根据权利要求4所述的数字证书管理方法，其特征在于，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名，包括：所述第一级数字证书设备在通过对本地机密计算环境进行真实性验证后，通过本地机密计算环境中生成的非对称密钥的私钥对本地数字证书信息进行签名。7.根据权利要求5所述的数字证书管理方法，其特征在于，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理，包括：所述当前级数字证书设备在通过对本地机密计算环境进行真实性验证后，利用本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行自签名处理。8.根据权利要求5所述的数字证书管理方法，其特征在于，若所述上一级数字证书设备生成的非对称密钥为在本地机密计算环境中生成的非对称密钥，所述当前级数字证书设备接收通过所述上一级数字证书设备生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书，包括：所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对所述当前级数字证书设备的本地数字证书信息进行签名处理得到的所述当前级数字证书；所述当前级数字证书设备接收所述上一级数字证书设备生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书，包括：所述当前级数字证书设备在触发对所述上一级数字证书设备的本地机密计算环境的真实性验证并通过后，获取所述上一级数字证书设备的本地机密计算环境中生成的非对称密钥中的私钥对自签名处理后的本地数字证书信息进行签名处理得到所述当前级数字证书。9.根据权利要求6至8任意一项所述的数字证书管理方法，其特征在于，对本地机密计算环境进行真实性验证，包括：将所在设备的本地数字证书信息中的远程证明数据发送至设备厂商以进行本地机密
计算环境的真实性验证。10.根据权利要求9所述的数字证书管理方法，其特征在于，所述远程证明数据包括所在设备的可信度量信息。11.根据权利要求9所述的数字证书管理方法，其特征在于，所述远程证明数据包括远程证明数据明文和利用所在设备的本地机密计算环境的硬件远程证明私钥对所述远程证明数据明文进行签名得到的远程证明数据签名；其中，所述远程证明数据明文包括利用所在设备的本地机密计算环境中生成的非对称密钥中的公钥的哈希值和所在设备的可信度量信息。12.根据权利要求4所述的数字证书管理方法，其特征在于，所述第一级数字证书设备通过本地机密计算环境中生成的非对称密钥的公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限，包括：所述第一级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述第一级数字证书进行验签通过后，确定所述第一级数字证书合法且所述第一级数字证书设备具有颁发数字证书的权限。13.根据权利要求5所述的数字证书管理方法，其特征在于，所述当前级数字证书设备利用本地机密计算环境中生成的非对称密钥中的公钥对所述当前级数字证书进行自签名验签通过，包括：所述当前级数字证书设备比较计算得到的机密计算证书中的本体公钥的哈希值和机密计算证书中的远程证明数据中的公钥哈希值一致，且通过所述本体公钥对所述当前级数字证书进行验签通过。14.根据权利要求1所述的数字证书管理方法，其特征在于，所述数字证书设备生成所述目标业务的证书链，包括：若当前级数字证书具有一个上一级数字证书设备的签名，则拥有所述当前级数字证书的当前级数字证书设备对所述上一级数字证书设备的签名验签通过后，确定所述当前级数字证书合法；若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法；其中，第一预设数量小于所述当前级数字证书中所述上一级数字证书设备的签名的数量。15.根据权利要求14所述的数字证书管理方法，其特征在于，若所述当前级数字证书具有多个所述上一级数字证书设备的签名，则所述当前级数字证书设备对多个签名中的第一预设数量签名验签通过后，确定所述当前级数字证书合法，包括：若所述当前级数字证书具有的多个所述上一级数字证书设备的签名中既包括公钥基础设施签名又包括机密计算签名，则所述当前级数字证书设备对多个签名中的第二预设数量公钥基础设施签名验签通过且对多个签名中的第三预设数量机密计算签名验签通过后，确定所述当前级数字证书合法；其中，第二预设数量小于所述当前级数字证书中上一级数字证书设备的的公钥基础设
施签名的数量，第三预设数量小于所述当前级数字证书中上一级数字证书设备的机密计算签名的数量。16.根据权利要求1所述的数字证书管理方法，其特征在于，根据目标业务的需求，生成数字证书颁发请求，包括：根据所述目标业务的安全需求，确定所述证书链中公钥基础设施证书和机密计算证书的组合方式；根据所述证书链中公钥基础设施证书和机密计算证书的组合方式，确定对应的所述数字证书设备；生成对各所述数字证书设备的数字证书颁发请求。17.根据权利要求1所述的数字证书管理方法，其特征在于，还包括：在接收到请求方设备对所述目标业务的应用请求后，对所述证书链进行合法性验证以使所述请求方设备在确定所述证书链合法后确定所述目标业务合法。18.根据权利要求1所述的数字证书管理方法，其特征在于，应用于进行超文本传输安全协议连接的服务器；数字证书管理方法还包括：在接收到客户端发送的对所述服务器的访问请求后，对所述服务器的超文本传输安全协议连接业务对应的所述证书链进行验签通过后，将所述超文本传输安全协议连接业务对应的所述证书链的最后一级数字证书发送至所述客户端以使所述客户端对最后一级数字证书进行验签，以使所述客户端在对最后一级数字证书验签通过后，确定所述超文本传输安全协议连接业务合法并与所述服务器建立超文本传输安全协议安全信道。19.根据权利要求1所述的数字证书管理方法，其特征在于，应用于文件发送设备；数字证书管理方法还包括：在接收到文件接收设备对待发送的目标文件的合法性验证后，将所述证书链的各级数字证书提供给所述文件接收设备，以使所述文件接收设备对所述证书链的各级数字证书均进行合法性验证通过后接收所述目标文件。20.一种数字证书管理方法，其特征在于，包括：业务设备根据目标业务的需求，生成数字证书颁发请求，并将所述数字证书颁发请求发送至数字证书设备；所述数字证书设备根据所述数字证书颁发请求生成目标业务的证书链；所述业务设备对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。21.一种数字证书管理系统，其特征在于，包括：业务设备和数字证书设备；其中，所述业务设备用于根据目标业务的需求，生成数字证书颁发请求；将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。
22.一种数字证书管理装置，其特征在于，包括：请求单元，用于根据目标业务的需求，生成数字证书颁发请求；发送单元，用于将所述数字证书颁发请求发送至数字证书设备，以使所述数字证书设备生成所述目标业务的证书链；部署单元，用于对所述证书链进行合法性验证通过后，利用所述证书链部署所述目标业务；其中，所述证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书。23.一种数字证书管理设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至20任意一项所述数字证书管理方法的步骤。24.一种可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至20任意一项所述数字证书管理方法的步骤。

技术总结
本发明涉及数字证书技术领域，具体公开了一种数字证书管理方法、装置、设备、系统及可读存储介质，根据目标业务的需求，生成数字证书颁发请求发送至数字证书设备，以使数字证书设备生成目标业务的证书链，该证书链至少包括一个由证书颁发机构颁发的公钥基础设施证书和一个基于机密计算环境生成的机密计算证书，相较于相关技术中的单个公钥基础设施证书或仅由公钥基础设施证书构成的证书链，增加了证书链中的信任方，减少了对证书颁发机构的安全依赖，提高了证书链的安全性，进而提高了证书拥有者的安全性和证书使用者的安全性。在对证书链进行验签通过后再部署目标业务，提高了目标业务的安全性。业务的安全性。业务的安全性。


技术研发人员：麻付强
受保护的技术使用者：山东海量信息技术研究院
技术研发日：2023.06.28
技术公布日：2023/8/1