技術領域

本發明涉及通信技術，尤其涉及一種數字證書在線下載方法及系統、數字證書發放平臺。

背景技術

隨著互聯網和新媒體技術的發展，越來越多的終端設備，例如電腦、移動終端、電視機(包括電視機機頂盒)等均涉及到終端身份鑒權的問題，通過對終端設備進行身份鑒權，可有效確保運營商或業務提供商可為合法的終端設備提供相關業務。

目前，在對終端設備進行身份鑒權時，通常采用下發數字證書的方式給終端設備，以利用數字證書對終端設備進行身份鑒權，其中，終端設備的數字證書具體是指設備的身份信息、設備所持有的一對公私鑰和數字簽名等構成，該數字證書由數字證書發放機構(CA)來下發。現有技術中，對數字證書進行下發時，通常采用通過U盤等硬件實體攜帶方式下發數字證書，或者通過網絡下載的方式，由終端設備從CA平臺下載數字證書。由于通過U盤等硬件實體進行數字證書下發具有較大的局限性，而通過網絡下載數字證書的方式則具有較強的便利性和快捷性，可為各種移動終端提供相應的數字證書的下載，因此得到了廣泛的應用。

但是，現有利用網絡下載方式進行數字證書下載過程中，通常是由終端直接發起請求，且通常是基于注冊的賬戶名和密碼方式來進行數字證書的下載認證，這樣在數字證書下發時，CA平臺極易遭受惡意下載，導致數字證書下發的安全性和可靠性降低；同時，現有也有通過獲得下載碼的方式來進行數字證書的下載，這種方式同樣存在安全性較差的問題。

發明內容

本發明提供一種數字證書在線下載方法及系統、數字證書發放平臺，可克服現有數字證書下載時所存在的安全性較差的問題。

第一方面，本發明提供一種數字證書在線下載方法，包括：

設備管理平臺獲取終端設備發送的數字證書下載請求，所述數字證書下載請求包括終端設備的身份標識；

設備管理平臺向數字證書發放平臺發送令牌申請請求，所述令牌申請請求包括設備管理平臺的注冊信息，以及所述終端設備的身份標識，以便所述數字證書發放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證，以在所述設備管理平臺的身份驗證通過后，基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺，所述令牌包括數字證書請求接口的地址以及終端設備的身份標識；

設備管理平臺接收所述數字證書發放平臺返回的所述令牌，將所述令牌轉發給所述終端設備，以便所述終端設備根據所述設備的身份標識對所述令牌進行令牌驗證，并在令牌驗證通過后，基于所述令牌中的數字證書請求接口的地址向所述數字證書發放平臺發送所述令牌，以請求下載所述終端設備的數字證書。

第二方面，本發明提供一種數字證書在線下載方法，包括：

數字證書發放平臺接收設備管理平臺發送的令牌申請請求，所述令牌申請請求包括設備管理平臺的注冊信息，以及終端設備的身份標識；

數字證書發放平臺根據自身存儲的設備管理平臺的注冊信息和所述令牌申請請求中的設備管理平臺的注冊信息，對所述設備管理平臺進行身份驗證；

在所述設備管理平臺身份驗證通過后，基于所述終端設備的身份標識為所述終端設備分配令牌，并將所述令牌發送至所述設備管理平臺，以便由所述設備管理平臺將所述令牌轉發給終端設備，所述令牌包括數字證書請求接口的地址以及終端設備的身份標識。

第三方面，本發明提供一種數字證書在線下載方法，包括：

終端設備向設備管理平臺發送數字證書下載請求，所述數字證書下載請求包括終端設備的身份標識；

接收所述設備管理平臺轉發的從數字證書發放平臺獲取的令牌，所述令牌包括數字證書請求接口的地址以及終端設備標識；

將所述令牌發送至所述數字證書發放平臺，以便所述數字證書發放平臺根據所述令牌向所述終端設備發送數字證書；

接收所述數字證書發放平臺發送的數字證書。

第四方面，本發明提供一種設備管理平臺，包括：

獲取模塊，用于獲取終端設備發送的數字證書下載請求，所述數字證書下載請求包括終端設備的身份標識；

發送模塊，用于向數字證書發放平臺發送令牌申請請求，所述令牌申請請求包括設備管理平臺的注冊信息，以及所述終端設備的身份標識，以便所述數字證書發放平臺基于所述設備管理平臺的注冊信息對所述設備管理平臺進行身份驗證，以在所述設備管理平臺的身份驗證通過后，基于所述終端設備的身份標識為所述終端設備分配令牌并將所述令牌返回至所述設備管理平臺，所述令牌包括數字證書請求接口的地址以及終端設備的身份標識；