数字证书在线下载方法及系统、数字证书发放平台

摘要

本发明提供一种数字证书在线下载方法及系统、数字证书发放平台。该方法包括设备管理平台获取终端设备发送的数字证书下载请求；设备管理平台向数字证书发放平台发送令牌申请请求，令牌申请请求包括设备管理平台的注册信息，以及终端设备的身份标识；设备管理平台接收数字证书发放平台返回的令牌，将令牌转发给终端设备，以便终端设备根据设备的身份标识对令牌进行令牌验证，并在令牌验证通过后，基于令牌中的数字证书请求接口的地址向数字证书发放平台发送令牌，以请求下载终端设备的数字证书。本发明技术方案可基于设备管理平台获取令牌，并基于令牌从数字证书发放平台获取数字证书，可提高数字证书在线下载的安全性和可靠性。

说明书

技术领域

本发明涉及通信技术，尤其涉及一种数字证书在线下载方法及系统、数 字证书发放平台。

背景技术

随着互联网和新媒体技术的发展，越来越多的终端设备，例如电脑、移 动终端、电视机(包括电视机机顶盒)等均涉及到终端身份鉴权的问题，通 过对终端设备进行身份鉴权，可有效确保运营商或业务提供商可为合法的终 端设备提供相关业务。

目前，在对终端设备进行身份鉴权时，通常采用下发数字证书的方式给 终端设备，以利用数字证书对终端设备进行身份鉴权，其中，终端设备的数 字证书具体是指设备的身份信息、设备所持有的一对公私钥和数字签名等构 成，该数字证书由数字证书发放机构(CA)来下发。现有技术中，对数字证 书进行下发时，通常采用通过U盘等硬件实体携带方式下发数字证书，或者 通过网络下载的方式，由终端设备从CA平台下载数字证书。由于通过U盘 等硬件实体进行数字证书下发具有较大的局限性，而通过网络下载数字证书 的方式则具有较强的便利性和快捷性，可为各种移动终端提供相应的数字证 书的下载，因此得到了广泛的应用。

但是，现有利用网络下载方式进行数字证书下载过程中，通常是由终端 直接发起请求，且通常是基于注册的账户名和密码方式来进行数字证书的下 载认证，这样在数字证书下发时，CA平台极易遭受恶意下载，导致数字证书 下发的安全性和可靠性降低；同时，现有也有通过获得下载码的方式来进行 数字证书的下载，这种方式同样存在安全性较差的问题。

发明内容

本发明提供一种数字证书在线下载方法及系统、数字证书发放平台，可 克服现有数字证书下载时所存在的安全性较差的问题。

第一方面，本发明提供一种数字证书在线下载方法，包括：

设备管理平台获取终端设备发送的数字证书下载请求，所述数字证书下 载请求包括终端设备的身份标识；

设备管理平台向数字证书发放平台发送令牌申请请求，所述令牌申请请 求包括设备管理平台的注册信息，以及所述终端设备的身份标识，以便所述 数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台进 行身份验证，以在所述设备管理平台的身份验证通过后，基于所述终端设备 的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平 台，所述令牌包括数字证书请求接口的地址以及终端设备的身份标识；

设备管理平台接收所述数字证书发放平台返回的所述令牌，将所述令牌 转发给所述终端设备，以便所述终端设备根据所述设备的身份标识对所述令 牌进行令牌验证，并在令牌验证通过后，基于所述令牌中的数字证书请求接 口的地址向所述数字证书发放平台发送所述令牌，以请求下载所述终端设备 的数字证书。

第二方面，本发明提供一种数字证书在线下载方法，包括：

数字证书发放平台接收设备管理平台发送的令牌申请请求，所述令牌申 请请求包括设备管理平台的注册信息，以及终端设备的身份标识；

数字证书发放平台根据自身存储的设备管理平台的注册信息和所述令牌 申请请求中的设备管理平台的注册信息，对所述设备管理平台进行身份验证；

在所述设备管理平台身份验证通过后，基于所述终端设备的身份标识为 所述终端设备分配令牌，并将所述令牌发送至所述设备管理平台，以便由所 述设备管理平台将所述令牌转发给终端设备，所述令牌包括数字证书请求接 口的地址以及终端设备的身份标识。

第三方面，本发明提供一种数字证书在线下载方法，包括：

终端设备向设备管理平台发送数字证书下载请求，所述数字证书下载请 求包括终端设备的身份标识；

接收所述设备管理平台转发的从数字证书发放平台获取的令牌，所述令 牌包括数字证书请求接口的地址以及终端设备标识；

将所述令牌发送至所述数字证书发放平台，以便所述数字证书发放平台 根据所述令牌向所述终端设备发送数字证书；

接收所述数字证书发放平台发送的数字证书。

第四方面，本发明提供一种设备管理平台，包括：

获取模块，用于获取终端设备发送的数字证书下载请求，所述数字证书 下载请求包括终端设备的身份标识；

发送模块，用于向数字证书发放平台发送令牌申请请求，所述令牌申请 请求包括设备管理平台的注册信息，以及所述终端设备的身份标识，以便所 述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台 进行身份验证，以在所述设备管理平台的身份验证通过后，基于所述终端设 备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平 台，所述令牌包括数字证书请求接口的地址以及终端设备的身份标识；

转发模块，用于接收所述数字证书发放平台返回的所述令牌，将所述令 牌转发给所述终端设备，以便所述终端设备根据所述设备的身份标识对所述 令牌进行令牌验证，并在令牌验证通过后，基于所述令牌中的数字证书请求 接口的地址向所述数字证书发放平台发送所述令牌，以请求下载所述终端设 备的数字证书。

第五方面，本发明提供一种数字证书发放平台，包括：

接收模块，用于接收设备管理平台发送的令牌申请请求，所述令牌申请 请求包括设备管理平台的注册信息，以及终端设备的身份标识；

验证模块，用于根据自身存储的设备管理平台的注册信息和所述令牌申 请请求中的设备管理平台的注册信息，对所述设备管理平台进行身份验证；

发送模块，用于在所述设备管理平台身份验证通过后，基于所述终端设 备的身份标识为所述终端设备分配令牌，并将所述令牌发送至所述设备管理 平台，以便由所述设备管理平台将所述令牌转发给终端设备，所述令牌包括 数字证书请求接口的地址以及终端设备的身份标识。

第六方面，本发明提供一种终端设备，包括：

发送模块，用于向设备管理平台发送数字证书下载请求，所述数字证书 下载请求包括终端设备的身份标识；

接收模块，用于接收所述设备管理平台转发的从数字证书发放平台获取 的令牌，所述令牌包括数字证书请求接口的地址以及终端设备标识；

所述发送模块，还用于将所述令牌发送至所述数字证书发放平台，以便 所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书；

所述接收模块，还用于接收所述数字证书发放平台发送的数字证书。

第七方面，本发明提供一种数字证书在线下载系统，包括设备管理平台 和数字证书发放平台，所述设备管理平台为采用上述本发明提供的设备管理 平台，所述数字证书发放平台为采用上述本发明提供的数字证书发放平台。

本发明提供的数字证书在线下载方法及系统、数字证书发放平台，可通 过设备管理平台向数字证书发放平台请求令牌，使得终端设备可根据该令牌 向数字证书发放平台请求获得数字证书，且在令牌请求以及令牌中，均携带 有终端设备的身份标识，这样，在整个数字证书下载过程中，可有效确保数 字证书在线下载的安全性和可靠性，减少或避免数字证书的恶意下载。

附图说明

图1为本发明实施例一提供的数字证书在线下载方法的流程示意图；

图2为本发明实施例二提供的数字证书在线下载方法的流程示意图；

图3为本发明实施例三提供的数字证书在线下载方法的流程示意图；

图4为本发明实施例四提供的数字证书在线下载方法的流程示意图；

图5为本发明实施例五提供的数字证书在线下载方法的流程示意图；

图6为本发明实施例五中运营商获取令牌的流程示意图；

图7为本发明实施例五中终端设备接收到令牌后请求获得数字证书的流 程示意图；

图8为本发明实施例五中数字证书发放平台进行数字证书下发的流程示 意图；

图9为本发明实施例五中终端设备接收到数字证书后安装数字证书的流 程示意图；

图10为本发明实施例六提供的设备管理平台的结构示意图；

图11为本发明实施例八提供的数字证书发放平台的结构示意图；

图12为本发明实施例九提供的终端设备的结构示意图；

图13为本发明实施例十提供的数字证书在线下载系统的结构示意图。

具体实施方式

为克服现有技术中由终端设备直接向数字证书发放平台(CA)，以及采 用下载码进行数字证书在线下载时所存在的安全性问题，本发明实施例提供 的数字证书在线下载系统可包括设备管理平台以及数字证书发放平台，终端 设备在进行数字证书在线下载时，可由设备管理平台向数字证书发放平台获 取令牌，并将令牌转发给终端设备，最终由终端设备通过发送令牌的方式， 向数字证书发放平台请求获得数字证书，其中，数字证书发放平台是基于终 端设备的身份标识下发给终端设备，且令牌中同样携带终端设备的身份标识， 这样，在整个数字证书请求过程中可有效提高数字证书在线下载的安全性和 可靠性。下面将以具体实例对本发明技术方案做详细的说明。

图1为本发明实施例一提供的数字证书在线下载方法的流程示意图。本 实施例方法的执行主体为上述的设备管理平台，其可以根据终端设备的请求， 向数字证书方法平台申请获得令牌，具体地，如图1所示，本实施例方法可 包括如下步骤：

步骤101、设备管理平台获取终端设备发送的数字证书下载请求，该数 字证书下载请求包括终端设备的身份标识；

步骤102、设备管理平台向数字证书发放平台发送令牌申请请求，该令 牌申请请求包括设备管理平台的注册信息，以及终端设备的身份标识，以便 数字证书发放平台基于设备管理平台的注册信息对设备管理平台进行身份验 证，以在设备管理平台的身份验证通过后，基于终端设备的身份标识为终端 设备分配令牌并将令牌返回至设备管理平台，该令牌包括数字证书请求接口 的地址以及终端设备的身份标识；

步骤103、设备管理平台接收数字证书发放平台返回的令牌，将令牌转 发给终端设备，以便终端设备根据设备的身份标识对令牌进行令牌验证，并 在令牌验证通过后，基于令牌中的数字证书请求接口的地址向数字证书发放 平台发送该令牌，以请求下载终端设备的数字证书。

本实施例中，设备管理平台可基于终端设备的身份标识，向数字证书发 放平台获取令牌，且数字证书发放平台发送的令牌中也包括该终端设备的身 份标识，这样，整个令牌获取过程，均是基于终端设备的身份标识来进行， 可有效提高数字证书下载过程中的安全性和可靠性。其中，所述的终端设备 的身份标识可以是指终端设备的身份信息，该身份信息是终端设备所唯一拥 有的，该身份信息就好像是人的指纹信息一样，可以唯一代表某个人，因此， 该身份信息也可称之为指纹信息。

本实施例中，数字证书发放平台只接收设备管理平台发送的令牌申请请 求，并基于设备管理平台发送的令牌申请请求来发送令牌，其中，设备管理 平台具体可以是指运营商管理平台，或业务提供商管理平台，由于设备管理 平台的数量有限，这样，在令牌申请请求时，可避免对数字证书发放平台的 恶意攻击，提高令牌申请请求的安全性和可靠性。其中，数字证书发放平台 在发放数字证书时，会根据终端设备的身份标识，在自身的数字证书数据库 中为终端设备分配一个数字证书，并将其与终端设备的身份标识关联起来。

本实施例中，由于令牌申请请求以及获取的令牌中均携带有终端设备的 身份标识，这样，数字证书发放平台就可以基于该终端设备的身份标识来对 终端设备进行鉴别，以及终端设备在接收到该令牌后，也可基于终端设备的 身份标识对令牌是否为自身请求的令牌进行鉴别，使得令牌的获取安全、可 靠。

本实施例中，数字证书发放平台对设备管理平台进行身份验证时，是基 于设备管理平台的注册信息来进行验证，该注册信息具体是指设备管理平台 的账户以及密码等信息，该注册信息可以是在设备管理平台部署时为设备管 理平台设置的。这样，数字证书发放平台在接收到设备管理平台发送来的令 牌请求时，就可以基于自身存储的所有设备管理平台的注册信息，来确定发 起令牌请求的设备是否为合法的设备。

综上，本实施例提供的数字证书在线下载方法，通过设备管理平台向数 字证书发放平台请求令牌，使得终端设备可根据该令牌向数字证书发放平台 请求获得数字证书，且在令牌请求以及令牌中，均携带有终端设备的身份标 识，这样，在整个数字证书下载过程中，可有效确保数字证书在线下载的安 全性和可靠性，减少或避免数字证书的恶意下载。

图2为本发明实施例二提供的数字证书在线下载方法的流程示意图。在 上述图1所示实施例基础上，本实施例中设备管理平台在向数字证书发放平 台发送令牌申请请求中还可包括签名信息，这样，数字证书发放平台就可以 基于该签名信息对设备管理平台发送的令牌申请请求进行进一步的身份验 证，可进一步地提高令牌申请请求的安全性和可靠性，避免恶意的令牌申请 请求，具体地，如图2所示，本实施例方法可包括如下步骤：

步骤201、设备管理平台获取终端设备发送的数字证书下载请求，该数 字证书下载请求包括终端设备的身份标识；

步骤202、设备管理平台向数字证书发放平台发送令牌申请请求，该令 牌申请请求包括设备管理平台的注册信息，终端设备的身份标识，以及设备 管理平台的标识、请求时间戳以及签名信息。

步骤203、数字证书发放平台可基于设备管理平台的注册信息，对设备 管理平台进行身份验证，判断设备管理平台的身份验证是否通过，是则执行 步骤204，否则，设备管理平台是非法的设备，令牌请求无效，结束。

步骤204、数字证书发放平台对该签名信息进行验证，判断该令牌申请 请求是否有效，是则执行步骤205，否则，设备管理平台是非法设备，令牌 请求无效，结束。

步骤205、数字证书发放平台为终端设备分配一令牌，并向该设备管理 平台发送该令牌；

步骤206、设备管理平台接收该令牌，并将令牌转发给终端设备。

上述步骤201中，签名信息是设备管理平台基于设备管理平台的数字证 书，对请求时间戳和设备管理平台的标识进行签名的签名信息；该设备管理 平台的数字证书由数字证书发放平台下发给所述设备管理平台。这样，上述 步骤204就可以基于设备管理平台的数字证书，通过对设备管理平台发送的 请求时间戳和设备管理平台的标识进行签名，以确定该签名与设备管理平台 的签名是否一致，来确定设备管理平台是否为合法设备，进而确定令牌请求 是否有效。其中，所述的利用数字证书对时间戳和设备管理平台的标识进行 签名，其具体实现过程与传统签名算法相同或类似，在此不再赘述。

上述步骤203和步骤204中，通过注册信息和签名信息对设备管理平台 进行双重验证，可有效提高令牌发放的安全性和可靠性，避免恶意令牌请求。

上述步骤205和步骤206中，数字证书发放平台为终端设备分配一令牌， 具体是指，数字证书发放平台，可在数字证书数据库中，为其查找并分配一 数字证书，并与该数字证书对应分配一令牌给终端设备，这样，终端设备接 收到该令牌后，就可以直接将令牌发送给数字证书发放平台，而数字证书发 放平台接收到该令牌后，确定是自身发出的令牌，且令牌有效，就可以将分 配的相应的数字证书发送给终端设备，以实现数字证书的在线发放。

图3为本发明实施例三提供的数字证书在线下载方法的流程示意图。本 实施例方法的执行主体为用于在线下载数字证书的发放的数字证书发放平 台，其可以基于上述设备管理平台的令牌申请请求，为终端设备分配令牌， 并可基于终端设备发送的该分配的令牌，为其下发数字证书，具体地，如图 3所示，本实施例方法可包括如下步骤：

步骤301、数字证书发放平台接收设备管理平台发送的令牌申请请求， 该令牌申请请求包括设备管理平台的注册信息，以及终端设备的身份标识；

步骤302、数字证书发放平台根据自身存储的设备管理平台的注册信息 和令牌申请请求中的设备管理平台的注册信息，对设备管理平台进行身份验 证；

步骤303、数字证书发放平台在设备管理平台身份验证通过后，基于终 端设备的身份标识为终端设备分配令牌，并将令牌发送至设备管理平台，以 便由设备管理平台将令牌转发给终端设备，该令牌包括数字证书请求接口的 地址以及终端设备的身份标识。

本实施例中，数字证书发放平台在发送完令牌后，还可接收终端设备基 于令牌中的数字证书请求接口的地址发送的该令牌，为终端设备提供数字证 书，实现数字证书的下发。

本实施例中，数字证书发放平台可接收图1或图2中的设备管理平台发 送的令牌申请请求，为终端设备发送令牌，其具体实现可参见上述图1或图 2中的说明，在此不再详细赘述。

本实施例中，数字证书发放平台在接收到终端设备发送的令牌时，还可 确定该令牌的是否超过有效期，以及令牌是否执行过，以确定令牌是否可用。 具体地，数字证书发放平台在发送令牌后，会为该令牌设定一有效时间，这 样，数字证书发放平台接收到该令牌后，就可以确定该令牌是否在该有效时 间内，是则令牌有效，否则令牌无效；同样的，若数字证书发放平台已经接 收过该令牌，再次接收到该令牌时，也可确定该令牌无效。

本实施例中，数字证书发放平台在为终端设备提供数字证书时，可利用 终端设备的身份标识对数字证书进行加密后发送至终端设备，这样，终端设 备接收到该加密后的数字证书后，就可以利用终端设备自身的身份标识对其 解密，以获得解密后的数字证书。

图4为本发明实施例四提供的数字证书在线下载方法的流程示意图。本 实施例方法的执行主体为上述的终端设备，终端设备在需要下载数字证书时， 即可按照本实施例方法从设备管理平台获取令牌，并通过该令牌向数字证书 在线下发平台下载数字证书，具体地，如图4所示，本实施例方法可包括：

步骤401、终端设备向设备管理平台发送数字证书下载请求，该数字证 书下载请求包括终端设备的身份标识；

步骤402、终端设备接收设备管理平台转发的从数字证书发放平台获取 的令牌，该令牌包括数字证书请求接口的地址以及终端设备标识；

步骤403、终端设备将令牌发送至数字证书发放平台，以便数字证书发 放平台根据该令牌向终端设备发送数字证书；

步骤404、终端设备接收数字证书发放平台发送的数字证书。

本实施例中，终端设备可通过向设备管理平台发送数字证书下载请求， 使得设备管理平台可基于图1或图2所示方法向数字证书发放平台请求获得 令牌；终端设备获得令牌后，即可向数字证书发放平台发送令牌，使得数字 证书发放平台可在接收到该令牌后，基于图3所示方法向终端设备发送数字 证书，从而可实现数字证书的在线下载。

上述步骤402中，终端设备接收到设备管理平台转发的令牌后，终端设 备还可对该令牌进行验证，具体地，可通过判断令牌中的终端设备身份标识 是否为自身的身份标识，以确认该令牌是否为自己的令牌，以确保令牌的准 确性。

上述步骤402中，若数字证书发放平台发送的数字证书为利用终端设备 的身份标识加密后的数字证书，终端设备接收到加密后的数字证书后，可利 用终端设备的身份标识，对加密后的数字证书进行解密，以得到解密后的数 字证书，从而可提高数字证书下发的安全性和可靠性。

为便于对本发明实施例技术方案有更好的了解，下面将以具体实现过程 为例，对本发明技术方案做进一步的说明。

图5为本发明实施例五提供的数字证书在线下载方法的流程示意图。如 图5所示，本实施例方法包括如下步骤：

步骤501、运营商注册步骤。

本实施例中，设备管理平台为运营商设备，因此，在设备管理平台部署 时，需要将其注册到数字证书发放平台。具体地，运营商可向数字证书发放 平台的管理员提交书面注册信息并提供公钥证书请求，管理员验证合格后向 数字证书发放平台添加运营商注册信息并签发运营商数字证书。

步骤502、运营商获取证书申请令牌。

具体地，运营商首先获得终端设备的身份标识，并向数字证书发放平台 发送令牌申请请求，请求一个证书申请令牌。运营商获得证书申请令牌后转 发该令牌给到终端设备。其中，运营商可通过设备管理平台自动获取用户的 终端设备发送的数字证书下载请求，在接收到该下载请求后，即可向数字证 书发放平台申请令牌。

步骤503、终端设备执行该证书申请令牌。

具体地，终端设备接收到令牌后，即可对令牌中的终端设备的身份标识 进行验证，确定是否为自身的身份标识，是则将该令牌通过发送给数字证书 发放平台，以请求获得数字证书。

步骤504、数字证书发放平台接收到终端设备的令牌后，即可将数字证 书发送至用户设备。

具体地，数字证书发放平台接收到来自终端设备令牌后，即可确定终端 设备进行在线证书请求，数字证书发放平台就可以在数字证书数据库中，取 得一张包含公钥证书和私钥的PKCS#12文件，并通过发送至终端设备。

步骤505、终端设备接收到数字证书后，即可安装该数字证书。

具体地，数字证书发放平台在发送数字证书时，可利用终端设备的身份 标识对其进行加密，这样，终端设备接收到该数字证书后，就可以终端设备 的身份标识为口令解密数字证书文件，然后利用操作系统的API把证书公私 钥安装进所在操作系统的证书库中。

可以看出，本实施例中，终端设备需要下载数字证书时，可首先获得一 个证书申请令牌，而该令牌的获取是通过运营商从数字证书发放平台中请求 得到。由于运营商数目是可控的，而终端设备的数目是大量甚至海量的，从 而可从业务上就避免了大量的终端设备对数字证书发放平台的直接攻击。

实际应用中，运营商每次向数字证书发放平台请求获得令牌时，数字证 书发放平台可对其进行一系列的验证，如根据注册信息进行验证以及签名认 证等，可有效确保运营商请求的合法性和不可抵赖性。

实际应用中，运营商在对设备管理平台进行注册时，具体可根据以下步 骤进行注册。

步骤5011、运营商提交注册信息。

具体地，运营商可向数字证书发放平台的管理员提交书面的注册申请， 注册信息可包括运营商标识、运营商名称、联系人、座机电话、手机电话、 电子邮箱、详细地址、邮编等。同时，设备管理平台可自行生成一对1024位 的RSA密钥对，并提供包含该密钥对公钥的公钥证书请求，以及该公钥的 SHA-1值。

步骤5012、数字证书发放平台的管理员可对该运营商提交的注册信息进 行审核。

具体地，数字证书发放平台的管理员检查运营商注册信息填写的时否符 合规范，是否有缺失信息，是否已注册等。如果信息填写有误，运营商需重 新申请，如果信息填写无误，则所述管理员向数字证书发放平台添加一个注 册运营商账号。

步骤5013、数字证书发放平台签发运营商数字证书。

具体地，数字证书发放平台可对运营商提供的公钥证书请求，计算其中 公钥的SHA-1值，看是否与运营商提供的SHA-1值一致，以检验公钥完整性。 如果相同，则签发一张包含该公钥和数字证书发放平台签名的数字证书，并 交还给运营商。该数字证书用于之后请求证书申请令牌时对请求参数进行签 名，从而验证运营商合法性和不可抵赖性。

图6为本发明实施例五中运营商获取令牌的流程示意图。具体地，如图 6所示，本实施例中，运营商可通过设备管理平台从数字证书发放平台通过 以下步骤获得令牌：

步骤5021、运营商请求证书申请令牌。

具体地，运营商通过设备管理平台向数字证书发放平台发送令牌申请请 求，以请求获得证书申请令牌。该令牌申请请求可包括运营商标识、请求时 间戳、设备指纹和运营商签名以及终端设备的身份标识。其中，所述的运营 商标识可以是设备管理平台的身份标识。

上述的终端设备的身份标识对终端设备身份的唯一标识，位数可以由终 端设备自行决定，终端设备可通过对本地设备的特征计算，生成设备指纹， 即终端设备的身份标识。标识字符具体可采用可打印的ASCII字符组成 (ASCII值从32到126)。针对不同的终端设备类型，可生成相应的设备指 纹，其中应包含设备分类信息和特征码，如电脑设备、移动设备、电视机(含 机顶盒)，可分别编码为1、2和3。电脑设备指纹为：1-CPU标识符-硬盘标 识符-网卡MAC地址-操作系统名称-版本-操作系统安装时间；移动设备指纹 为：2-手机IMEI号-CPU标识符-WIFI网卡MAC地址-操作系统名称-版本； 电视机(含机顶盒)指纹为：3-CPU标识符-网卡MAC地址-操作系统名称- 版本。如果某个设备缺少某些特征(例如某些移动设备只有WIFI网卡，没有 IMEI号)，可以用0表示。最后终端设备可将生成的设备指纹计算哈希值后 转成Base64编码格式。

所述运营商签名使用运营商注册时获得的数字证书，数字摘要使用运营 商标识、时间戳和设备指纹的串，例如OperatorId＝233[TimeStamp＝2012-11-22 11:12:30|Fingerprint＝nhP63DzK/hyD6uNxExXRY7Mq。

步骤5022、数字证书发放平台检查令牌请求是否有效。

具体地，数字证书发放平台接收到来自运营商的令牌请求后，首先验证 运营商是否未注册，如果未注册，则返回错误消息；然后从获得的运营商签 名中解析出时间戳，看是否与服务器时间误差超过10分钟，如果超过，则返 回错误消息；最后用所述数字证书发放平台的CA证书验证签名中的运营商 数字证书是否有效，如果无效，则返回错误消息给运营商门户。

步骤5023、数字证书发放平台下发证书申请令牌。

具体地，数字证书发放平台接收到来自运营商的请求后，生成证书申请 令牌并返回给运营商，该证书申请令牌格式具体可以入下表1所示。

表1：

上述表1中，URL标识了数字证书发放平台的证书请求接口地址；ID标 识令牌标识，它是一个Base64编码的唯一随机数。Fingerprint是终端设备的 身份标识，该身份标识同时也是所述终端设备拿到的设备数字证书PKCS#12 文件的解密口令，该身份标识可采用可打印的ASCII字符组成口令(ASCII 值从32到126)。ValidDateEnd是令牌失效日期。

步骤5024、运营商转发令牌到终端设备。

具体地，运营商得到证书申请令牌后，将其提供给相应的终端设备去执 行。提供方式可以是通过接口在线发送给终端设备，也可以是离线植入终端 设备，如机顶盒。

图7为本发明实施例五中终端设备接收到令牌后请求获得数字证书的流 程示意图。如图7所示，本实施例的终端设备得到令牌后，即可根据以下步 骤，获得数字证书：

步骤5031、检查令牌中的终端设备的身份标识是否与自身标识一致。

具体地，终端设备对令牌中的终端设备的身份标识的字段进行验证，看 否是与本地设备身份标识的Base64编码值一致，如果不一致，则返回错误提 示。

步骤5032、终端设备提交证书下发请求。

具体地，终端设备从证书申请令牌中解析出证书请求接口地址，然后将 该令牌通过证书请求接口提交给数字证书发放平台，以请求获得数字证书。

图8为本发明实施例五中数字证书发放平台进行数字证书下发的流程示 意图。如图8所示，本实施例中，数字证书发放平台接收到终端设备发送的 令牌后，即可按照以下步骤，为终端设备提供数字证书：

步骤5041、数字证书发放平台检查令牌格式是否正确。

具体地，数字证书发放平台接收到来自终端设备的证书申请令牌后，检 查该令牌格式是否符合定义，即URL、ID、Fingerprint、ValidDateEnd等字 段是否存在，如果都存在，表示该令牌是完整的，如果缺少某个字段，则返 回错误消息给终端设备。

步骤5042、数字证书发放平台检查令牌是否存在。

具体地，数字证书发放平台接收到的终端设备发送的令牌后，基于该令 牌中的令牌标识，即对Base64编码的ID进行解码，然后查询该标识是否存 在于数字证书发放平台的令牌发放记录数据库表中，如果存在，则表示令牌 是数字证书发放平台下发的，如果不存在，则返回错误消息给终端设备。

步骤5043、数字证书发放平台检查令牌是否未执行。

具体地，数字证书发放平台根据接收到的令牌中的令牌标识去数字证书 发放平台的令牌发放记录数据库表中查询该令牌的状态信息，如果令牌状态 是有效，则该令牌未执行，否则表示表示该令牌已执行。如果令牌已执行， 则返回错误消息给终端设备。

步骤5044、数字证书发放平台检查令牌是否未过期。

具体地，数字证书发放平台根据接收到的令牌中的令牌标识去数字证书 发放平台的令牌发放记录数据库表中查询该令牌的有效期信息，如果收到该 令牌的时间在过期日期前，则表示该令牌未过期，否则表示该令牌已过期。 如果该令牌已过期，则返回错误消息给终端设备。

步骤5045、数字证书发放平台检查设备指纹是否存在。

具体地，数字证书发放平台检查接收到的令牌中的终端设备的身份标识 字段是否有值，如果值为空，则返回错误消息给终端设备。同时，还需检查 该值在数字证书发放平台的令牌发放记录数据库表中是否存在，如果不存在， 则表示该令牌不是通过运营商请求得到的。如果该设备指纹不存在，则返回 错误消息给终端设备。

步骤5046、数字证书发放平台获得包含数字证书的PKCS#12文件。

具体地，数字证书发放平台从本地数字证书数据库中取出一个包含公钥 证书和私钥的PKCS#12文件并以终端设备的身份标识为口令生成基于口令 加密的新的PKCS#12文件。

步骤5047、数字证书发放平台返回PKCS#12文件给终端设备。

具体地，数字证书发放平台的将获得的PKCS#12文件返回给终端设备。

图9为本发明实施例五中终端设备接收到数字证书后安装数字证书的流 程示意图。具体地，如图9所示，本实施例终端设备接收到数字证书发放平 台下发的数字证书后，可按如下步骤执行数字证书：

步骤5051、终端设备检查解密口令是否正确。

具体地，终端设备收到数字证书发放平台返回的包含公钥证书和私钥的 PKCS#12文件后，用本地设备的终端设备的身份标识为口令解密该文件，如 果口令不正确则返回错误信息。

步骤5052、终端设备解密PKCS#12文件。

具体地，如果解密口令正确，终端设备会基于PKCS#12标准从该文件结 构体中解密提取出公钥证书和私钥。

步骤5053、终端设备导入证书公私钥到系统。

具体地，对于Windows操作系统，可以利用Crypt API将其导入操作系 统的证书库中。对于Android操作系统，可以利用Java Keystore API将其导 入操作系统的BKS证书库中。

图10为本发明实施例六提供的设备管理平台的结构示意图。如图10所 示，本实施例设备管理平台可包括获取模块11、发送模块12和转发模块13， 其中：

获取模块11，用于获取终端设备发送的数字证书下载请求，所述数字证 书下载请求包括终端设备的身份标识；

发送模块12，用于向数字证书发放平台发送令牌申请请求，所述令牌申 请请求包括设备管理平台的注册信息，以及所述终端设备的身份标识，以便 所述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平 台进行身份验证，以在所述设备管理平台的身份验证通过后，基于所述终端 设备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理 平台，所述令牌包括数字证书请求接口的地址以及终端设备的身份标识；

转发模块13，用于接收所述数字证书发放平台返回的所述令牌，将所述 令牌转发给所述终端设备，以便所述终端设备根据所述设备的身份标识对所 述令牌进行令牌验证，并在令牌验证通过后，基于所述令牌中的数字证书请 求接口的地址向所述数字证书发放平台发送所述令牌，以请求下载所述终端 设备的数字证书。

本实施例中，上述的令牌申请请求中还包括所述设备管理平台的标识、 请求时间戳以及签名信息，以便所述数字证书下发平台对所述签名信息进行 验证，以确定所述设备管理平台发送的令牌申请请求是否有效；

其中，所述签名信息是所述设备管理平台基于所述设备管理平台的数字 证书，对所述请求时间戳和设备管理平台的标识进行签名的签名信息；所述 设备管理平台的数字证书由所述数字证书发放平台下发给所述设备管理平 台。

本实施例设备管理平台可基于上述图1或图2所示方法，从数字证书发 放平台请求获得令牌，并可将令牌转发给终端设备，使得终端设备可基于令 牌从数字证书发放平台获取数字证书。其具体实现可参见上述本发明方法实 施例的说明，在此不再赘述。

图11为本发明实施例八提供的数字证书发放平台的结构示意图。如图11 所示，本实施例数字证书发放平台可包括接收模块21、验证模块22和发送 模块23，其中：

接收模块21，用于接收设备管理平台发送的令牌申请请求，所述令牌申 请请求包括设备管理平台的注册信息，以及终端设备的身份标识；

验证模块22，用于根据自身存储的设备管理平台的注册信息和所述令牌 申请请求中的设备管理平台的注册信息，对所述设备管理平台进行身份验证；

发送模块23，用于在所述设备管理平台身份验证通过后，基于所述终端 设备的身份标识为所述终端设备分配令牌，并将所述令牌发送至所述设备管 理平台，以便由所述设备管理平台将所述令牌转发给终端设备，所述令牌包 括数字证书请求接口的地址以及终端设备的身份标识。

此外，如图11所示，本实施例数字证书发放平台还可包括数字证书发放 模块24，用于接收所述终端设备基于所述令牌中的数字证书请求接口的地址 发送的所述令牌，为所述终端设备提供数字证书。

本实施例中，上述的数字证书发放模块24，具体可用于为终端设备提供 数字证书时，利用终端设备的身份标识对数字证书进行加密后发送至终端设 备。

本实施例数字证书发放平台可根据上述图10所示的设备管理平台发送 的令牌申请请求，为终端设备提供令牌，并可基于该令牌为终端设备提供数 字证书，具体实现可参见上述本发明方法实施例的说明，在此不再赘述。

图12为本发明实施例九提供的终端设备的结构示意图。如图12所示， 本实施例终端设备可包括发送模块31和接收模块32，其中：

发送模块31，用于向设备管理平台发送数字证书下载请求，所述数字证 书下载请求包括终端设备的身份标识；

接收模块32，用于接收所述设备管理平台转发的从数字证书发放平台获 取的令牌，所述令牌包括数字证书请求接口的地址以及终端设备标识；

所述发送模块31，还用于将所述令牌发送至所述数字证书发放平台，以 便所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书；

所述接收模块32，还用于接收所述数字证书发放平台发送的数字证书。

本实施例中，当数字证书发放平台发送的数字证书为利用终端设备身份 标识加密后的数字证书时，上述的接收模块32，还可用于利用终端设备的身 份标识，对数字证书发放平台发送的加密后的数字证书进行解密，得到解密 后的数字证书。

本实施例终端设备可与图10的设备管理平台交互，获取令牌，并可基于 获取的令牌从数字证书发放平台获取数字证书，其具体实现可参见上述本发 明方法实施例的说明，在此不再赘述。

图13为本发明实施例十提供的数字证书在线下载系统的结构示意图。如 图13所示，本实施例数字证书在线下载系统可包括：设备管理平台10和数 字证书发放平台20，其中，设备管理平台10为采用上述图10所示的设备管 理平台，所述数字证书发放平台20为采用图11所示的数字证书发放平台， 终端设备30需要下载证书时，可从设备管理平台10获得令牌，并基于令牌 向数字证书发放平台获取数字证书。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可 读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而 前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码 的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对 其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。