本文公開了一種證書簽名方法、裝置、存儲介質及計算機設備，此方法包括：中心CA發送權限設置信息至衛星CA，所述權限設置信息包括用于指示只執行續簽處理的權限信息；所述中心CA接收所述衛星CA發送的需要生成新的設備證書的連接請求，接收所述衛星CA發送的新的設備證書的簽名請求；所述中心CA使用衛星CA的三級證書所對應的私鑰針對所述新的設備證書的簽名請求進行簽名，生成新的設備證書；將生成的所述新的設備證書發送給所述衛星CA。本發明設置了分布式的CA結構，設置功能有限的衛星CA，由功能有限的衛星CA分擔中心CA的處理壓力，并且，使IoT設備就近接入衛星CA從而快速有效的實現證書續簽。

本申請是2018年6月25日提交中國國家知識產權局專利局，申請號為201810659585.6、發明名稱為“一種證書續簽的方法、裝置及系統”的中國專利申請的分案申請。

技術領域

本發明涉及互聯網技術領域，尤其涉及一種證書簽名方法、裝置、存儲介質及計算機設備。

背景技術

隨著物聯網(Internet?of?Things，IoT)規模的快速增漲，IoT設備的數量也快速增加，從而引起人們對IoT設備的安全性的極大關注。

目前IoT設備的安全問題主要集中在數據加密和身份認證等方面。進行數據加密和身份認證目前均是基于公鑰密碼基礎設施(Public?Key?Infrastructure，簡稱PKI)體系來實現的。現有的PKI安全體系中，每個IoT設備均從認證機構(Certification?Authority，簡稱CA)獲取一個CA簽發的證書，并且還獲取一個與此證書對應的私鑰，其中證書用于標識IoT設備的身份。后續的處理過程中，IoT設備在需要進行身份認證以及數據加密的時候，需要使用證書和私鑰進行相應處理。

例如，需要進行IoT設備的身份認證時，IoT設備使用自身私鑰簽名向校驗方申請進行身份認證，校驗方使用IoT設備的證書對此IoT設備的簽名進行校驗，從而確認IoT設備身份。

再例如，進行數據加密傳輸時，數據發送方使用IoT設備的證書對數據進行加密后，將加密數據發送至IoT設備，IoT設備接收到加密數據后，使用此IoT設備的私鑰對加密數據進行解密。

從上述身份認證和數據加密傳輸的過程可知，涉及IoT設備安全性的主要因素為證書的有效性。證書是有時限性的，證書到達使用時限時需要對證書進行續簽，如果沒有對證書進行續簽，就會導致證書失效，從而危害IoT設備的安全性。

現有技術中進行證書續簽的方法具有以下缺點：

一，IoT設備由于地理分散較廣，無法及時的對證書進行續簽，導致證書失效。

二，采用集中式的方式實現證書的續簽，即只設置一個中心CA用于實現證書續簽，所有IoT設備均在此中心CA進行證書續簽，導致中心CA處理壓力較大，尤其在IoT設備數量急劇增長的背景下，中心CA容易在處理壓力下出現故障，從影響證書續簽用戶的體驗。

三，采用人工方式向中心CA申請續簽，續簽效率慢。

并且，現在的CA證書體系基本采用的是兩級體系，具體包括：中心CA生成根證書，并生成與此根證書對應的根私鑰，將根證書和根私鑰進行物理隔離。基于根私鑰生成二級證書，并且生成與二級證書對應的二級私鑰。中心CA為IoT設備簽發其它證書時，均使用此二級私鑰進行簽發，例如為IoT設備簽發續簽證書時，也使用此二級私鑰進行簽發。中心CA對二級私鑰一般不進行遠程物理隔離，只是儲存于安全芯片中，以方便快速調用。二級私鑰簽發的證書一般不允許繼續行使簽發功能，例如：IoT設備證書只能用于其本身業務，而無法繼續簽發其他證書。

發明內容

為了解決上述技術問題，本發明提供了一種證書簽名方法、裝置、存儲介質及計算機設備。

本發明提供的證書續簽方法，包括：