本申請公開了重新提供數字安全證書的方法、系統和計算機程序產品。一種用于在用于用戶設備UE(140)的第一數字安全證書已經過期之后重新提供UE(140)的方法，包括在驗證第一數字安全證書的有效性之后，通過第一安全通信信道向控制器(130)傳送內容數據。一旦意識到第一數字安全證書已經過期，UE(140)就通過非安全信道向控制器(130)發送證書提供請求消息，作為給控制器(130)的提供第二數字安全證書的請求。UE(140)使用用于現在已過期的第一數字安全證書的私鑰對證書提供請求消息進行簽名。第二數字安全證書在控制器(130)處由救援機密私鑰簽名并被發送到UE(140)，UE(140)用相應的救援機密公鑰驗證第二數字安全證書的真實性。

技術領域

本公開涉及自動證書管理，并且更具體地，涉及用于重新提供諸如傳輸層安全(TLS)證書或安全套接層(SSL)證書的安全證書的方法及其系統和非暫時性計算機程序產品。

背景技術

也稱為數字安全證書、自動公鑰證書或標識證書的“數字證書”被用于將公鑰的權限與該密鑰存儲在其中的計算裝置安全地關聯。服務提供商(例如，網站)經常使用數字證書，因此用戶裝置上的瀏覽器確信地知道服務提供商實際上是服務提供商聲稱的那個人。數字證書包括關于持有公鑰的裝置的信息的公鑰標識、原始數據以及與由證書發行方生成的公鑰的數字證書相關聯的數字簽名。

常規地，使用傳輸層安全(TLS)協議通過由用戶設備(UE)的瀏覽器發起的一系列步驟來建立安全鏈路。UE的瀏覽器請求向其提供安全頁面(例如，https：//...)。然后，網絡服務器將其公鑰連同網絡服務器的證書(描述通過密鑰數字綁定的組織細節的數據文件)發送到UE的瀏覽器。然后，UE的瀏覽器確認網絡服務器的證書是由可信賴方發行的、是依然有效的，并且該證書與網絡服務器的網站適當相關。如果一切正常，則UE的瀏覽器使用從網絡服務器發送的公鑰來對UE的瀏覽器獨有的隨機對稱加密密鑰以及其它加密的http數據進行加密，并且將其發送到網絡服務器。作為響應，網絡服務器使用網絡服務器的私鑰來對UE的公鑰(和數據)進行解密。隨后，現在具有其建立安全的雙向通信信道所需的所有信息的網絡服務器隨之用由對稱密鑰加密的數據進行應答。因為UE的瀏覽器具有與由網絡瀏覽器使用以對發送給它的數據進行加密的公鑰配對的私鑰，所以網絡瀏覽器能夠對應答消息的內容進行解密，并且將信息呈現在顯示器上或以對用戶有用的另一種方式呈現信息。

使用公鑰/私鑰對的加密被用于防止消息的內容被當消息在通信信道上發送時可能截取該消息的第三方訪問。消息用接收者的公鑰進行加密，所以接收者可以用他們的私鑰對消息進行解密。公鑰/私鑰對也可以被用于對消息進行簽名。簽名的目的不是為了防止消息被截取，而是為了提供消息的源的真實性的證明(即，消息確實是從聲稱發送它的人發送的)。為了生成簽名，通常從明文消息生成散列(hash)，然后用發送者的私鑰對該散列進行加密，并且之后將加密的散列附加到明文。

發明內容

如本發明人所認識到的，傳統系統需要冗長且耗時的過程來在安全證書已經過期之后重新提供安全證書。此外，在第一次提供期間，提供驗證網絡服務器的真實性的安全證書，并且該安全證書在有限的時間內有效。如果UE頻繁地連接到控制器(例如，諸如當將UE插接到使用安全證書在安全信道上與控制器進行通信的本地計算機時)，則UE可以使用傳統的程序來在安全證書過期之前自動地重新提供證書。然而，如果安全證書已經過期，則沒有方便的機制來為UE重新提供新的安全證書，因為安全證書是UE和控制器維持可信的和安全的通信的機制。