数字证书的同步方法、装置及电子设备与流程

1.本发明涉及信息安全领域，具体而言，涉及一种数字证书的同步方法、装置及电子设备。

背景技术：

2.随着移动互联网的普及及相关技术的发展，加密的https(超文本传输安全协议，hypertext transfer protocol secure)站点成为主流，使用https，企业需要利用由可信任的第三方权威机构(如：ca(证书授权中心，certificate authority)机构)颁发给企业的，需要定期更新的数字证书，用于企业验证身份、数据签名、数据加密等操作。数字证书的加解密过程需要大量复杂的非对称算法运算，对设备性能要求非常高，在移动互联网的普及场景下，用户数量庞大，所以需要使用大量的证书计算设备来分布式地处理证书计算需求。
3.数字证书是一个企业站点的安全核心资产，数字证书相当于企业网站身份证明，如果企业数字证书泄露，将造成企业站点被假冒，对企业用户造成损失。目前，一般企业都通过证书管理维护人员，将数字证书获取到本地工作计算机设备后，手动逐台上传到证书计算设备上。在证书同步过程中，管理人员可能存在操作不当或设备、网络问题，从而导致多台设备证书不一致，进而引起部分用户访问出现问题的情况。
4.针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

5.本发明实施例提供了一种数字证书的同步方法、装置及电子设备，以至少解决现有技术中向多台相关设备同步数字证书时存在的证书版本不相同的技术问题。
6.根据本发明实施例的一个方面，提供了一种数字证书的同步方法，包括：周期性获取至少一个目标设备上的数字证书的特征信息，其中，目标设备至少用于执行目标计算任务，目标计算任务为需要数字证书的任务；基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，目标数字证书为当前平台发送给至少一个目标设备的证书；向异常目标设备同步目标数字证书。
7.进一步地，数字证书的同步方法还包括：对每个特征信息进行信息摘要计算，得到每个特征信息对应的第一信息摘要值；获取第二信息摘要值，其中，第二信息摘要值为对目标特征信息进行信息摘要计算得到的；确定与第二信息摘要值不同的第一信息摘要值所对应的特征信息为异常特征信息，并确定与异常特征信息对应的目标设备为异常目标设备。
8.进一步地，数字证书的同步方法还包括：在周期性获取至少一个目标设备上的数字证书的特征信息之前，获取目标数字证书；基于目标公钥加密目标数字证书，得到加密后的目标数字证书；对加密后的目标数字证书进行分割处理，得到多个目标数字证书片段；对每个目标数字证书片段进行哈希计算，得到与每个目标数字证书片段对应的哈希值；将多个哈希值分散式存储至第一存储区域，将与目标公钥对应的目标私钥存储至第二存储区
域，并将目标数字证书从当前平台删除。
9.进一步地，数字证书的同步方法还包括：在获取目标数字证书之后，确定目标数字证书对应的目标特征信息；对目标特征信息进行信息摘要计算，得到第二信息摘要值，并将第二信息摘要值存储至第三存储区域。
10.进一步地，数字证书的同步方法还包括：在将目标数字证书从当前平台删除之后，响应目标对象发送的证书下发指令，从第一存储区域中获取多个哈希值，并从第二存储区域中获取目标私钥；基于多个哈希值和目标私钥确定目标数字证书；向至少一个目标设备发送目标数字证书。
11.进一步地，数字证书的同步方法还包括：从第一存储区域中获取多个哈希值；基于多个哈希值确定加密后的目标数字证书；从第二存储区域中获取目标私钥；基于目标私钥解密加密后的目标数字证书，得到目标数字证书；向异常目标设备同步目标数字证书。
12.进一步地，数字证书的同步方法还包括：在向异常目标设备同步目标数字证书之前，禁止异常目标设备执行目标计算任务。
13.进一步地，数字证书的同步方法还包括：基于目标特征信息确定目标数字证书的待更新时间范围；当当前时间处于待更新时间范围时，从目标证书颁发机构获取更新后的目标数字证书。
14.根据本发明实施例的另一方面，还提供了一种数字证书的同步装置，包括：第一获取模块，用于周期性获取至少一个目标设备上的数字证书的特征信息，其中，目标设备至少用于执行目标计算任务，目标计算任务为需要数字证书的任务；第一确定模块，用于基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，目标数字证书为当前平台发送给至少一个目标设备的证书；同步模块，用于向异常目标设备同步目标数字证书。
15.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的数字证书的同步方法。
16.根据本发明实施例的另一方面，还提供了一种电子设备，电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的数字证书的同步方法。
17.在本发明实施例中，采用对多个目标设备中的异常目标设备重新同步数字证书的方式，通过周期性获取至少一个目标设备上的数字证书的特征信息，然后基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，从而向异常目标设备同步目标数字证书。
18.在上述过程中，通过周期性的获取目标设备上数字证书的特征信息，并基于特征信息确定异常目标设备，实现了对数字证书周期性的检验，从而能够及时发现异常目标设备。进一步地，通过向异常目标设备同步目标数字证书，实现了对异常目标设备中数字证书的有效更新，从而保证了各目标设备之间数字证书的实时一致性和实时有效性。此外，通过基于特征信息以及目标数字证书对应的目标特征信息，确定异常目标设备，避免了直接获取目标设备上的数字证书以确定异常目标设备所造成的数据传输量大以及数字证书在传
输过程中泄露的风险。
19.由此可见，本技术所提供的方案达到了对多个目标设备中的异常目标设备重新同步数字证书的目的，从而实现了保证各目标设备之间的数字证书的版本一致的技术效果，进而解决了现有技术中向多台相关设备同步数字证书时存在的证书版本不相同的技术问题。
附图说明
20.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
21.图1是根据本发明实施例的一种可选的数字证书同步及管理系统的示意图；
22.图2是根据本发明实施例的一种可选的数字证书的同步方法的示意图；
23.图3是根据本发明实施例的一种可选的数字证书同步及管理系统的交互图；
24.图4是根据本发明实施例的一种可选的数字证书的同步方法的流程图；
25.图5是根据本发明实施例的一种可选的数字证书的同步装置的示意图；
26.图6是根据本发明实施例的一种可选的电子设备的示意图。
具体实施方式
27.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
28.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
30.实施例1
31.根据本发明实施例，提供了一种数字证书的同步方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
32.在本实施例中，如图1所示，以一种可选的数字证书同步及管理系统为执行主体执行前述的数字证书的同步方法，该数字证书的同步方法至少包括证书下发模块和证书验证
模块，还可以包括证书存储模块、证书同步模块。
33.图2是根据本发明实施例的一种可选的数字证书的同步方法的示意图，如图2所示，该方法包括如下步骤：
34.步骤s201，周期性获取至少一个目标设备上的数字证书的特征信息，其中，目标设备至少用于执行目标计算任务，目标计算任务为需要数字证书的任务。
35.可选的，可以通过前述的证书验证模块周期性的获取多个目标设备中至少一个目标设备上的数字证书的特征信息。其中，前述的目标设备可以是当前机构用于分布式地处理证书计算需求(也即前述的目标计算任务)的证书计算设备，证书计算需求用于基于数字证书实现当前机构验证身份、数据签名、数据加密等操作，目标设备中的数字证书在正常情况下，为当前机构中的数字证书同步及管理系统所下发的。其中，前述的数字证书的特征信息可以包括数字证书所对应的颁发者、有效期、颁发时间戳。前述的周期可以是一小时、一天、一星期或其他预设的时间。
36.需要说明的是，通过周期性的获取目标设备上数字证书的特征信息，一方面，避免了直接获取目标设备上的数字证书所造成的数据传输量大以及数字证书在传输过程中泄露的风险，另一方面，实现了后续对数字证书周期性的检验，从而保证了数字证书的实时一致性和实时有效性。
37.步骤s202，基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，目标数字证书为当前平台发送给至少一个目标设备的证书。
38.在步骤s202中，可以通过证书验证模块，将前述的特征信息与目标数字证书的目标特征信息直接进行比对，并将与目标特征信息不同的特征信息所对应的目标设备确定为异常目标设备，从而实现对各目标设备中数字证书的校验。可选的，证书验证模块也可以对前述的特征信息进行计算得到信息摘要值，并与目标特征信息所对应的信息摘要值进行比对，从而筛选出与目标特征信息所对应的信息摘要值不同的信息摘要值，并将该信息摘要值对应的目标设备确定为异常目标设备。其中，当前平台即为前述的数字证书同步及管理系统，目标特征信息所对应的信息摘要值可以是数字证书同步及管理系统第一次为目标设备下发证书之前所计算好的。
39.需要说明的是，通过基于特征信息以及目标数字证书对应的目标特征信息，确定异常目标设备，可以有效从目标设备所持有的数字证书中确定异常的数字证书，进而实现对异常目标设备的准确确定。
40.步骤s203，向异常目标设备同步目标数字证书。
41.可选的，当确定某一台目标设备为异常目标设备时，可以确定对该设备的证书校验失败，也即确定该设备无法有效进行证书计算。因此，可以通过证书下发模块将异常目标设备重新同步目标数字证书，以保证目标设备内数字证书的有效性，进而使其能正常提供证书计算服务，以成功进行对应的业务流程。
42.基于上述步骤s201至步骤s203所限定的方案，可以获知，在本发明实施例中，采用对多个目标设备中的异常目标设备重新同步数字证书的方式，通过周期性获取至少一个目标设备上的数字证书的特征信息，然后基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，从而向异常目标设备同步目标数字证书。
43.容易注意到的是，在上述过程中，通过周期性的获取目标设备上数字证书的特征信息，并基于特征信息确定异常目标设备，实现了对数字证书周期性的检验，从而能够及时发现异常目标设备。进一步地，通过向异常目标设备同步目标数字证书，实现了对异常目标设备中数字证书的有效更新，从而保证了各目标设备之间数字证书的实时一致性和实时有效性。此外，通过基于特征信息以及目标数字证书对应的目标特征信息，确定异常目标设备，避免了直接获取目标设备上的数字证书以确定异常目标设备所造成的数据传输量大以及数字证书在传输过程中泄露的风险。
44.由此可见，本技术所提供的方案达到了对多个目标设备中的异常目标设备重新同步数字证书的目的，从而实现了保证各目标设备之间的数字证书的版本一致的技术效果，进而解决了现有技术中向多台相关设备同步数字证书时存在的证书版本不相同的技术问题。
45.在一种可选的实施例中，在基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备的过程中，数字证书同步及管理系统可以对每个特征信息进行信息摘要计算，得到每个特征信息对应的第一信息摘要值，然后获取第二信息摘要值，从而确定与第二信息摘要值不同的第一信息摘要值所对应的特征信息为异常特征信息，并确定与异常特征信息对应的目标设备为异常目标设备。其中，第二信息摘要值为对目标特征信息进行信息摘要计算得到的。
46.可选的，在本实施例中，证书验证模块可以对每个特征信息进行信息摘要计算，得到每个特征信息对应的第一信息摘要值，并将其与原先下发的数字证书(即目标数字证书)对应的信息摘要值(也即第二信息摘要值)进行比对，从而确定出异常特征信息，进而确定异常目标设备。其中，前述的第二信息摘要值可以存储在第三存储区域，第三存储区域可以是数字证书同步及管理系统内的存储区域，具体地，可以是证书同步模块中的存储区域。
47.需要说明的是，通过将信息摘要值进行比对以确定异常目标设备，可以减少信息比对过程中的数据量，从而提高比对效率，进而提高确定异常目标设备的效率。
48.在一种可选的实施例中，在周期性获取至少一个目标设备上的数字证书的特征信息之前，数字证书同步及管理系统可以获取目标数字证书，然后基于目标公钥加密目标数字证书，得到加密后的目标数字证书，接着对加密后的目标数字证书进行分割处理，得到多个目标数字证书片段，并对每个目标数字证书片段进行哈希计算，得到与每个目标数字证书片段对应的哈希值，从而将多个哈希值分散式存储至第一存储区域，将与目标公钥对应的目标私钥存储至第二存储区域，并将目标数字证书从当前平台删除。
49.可选的，对在验证目标设备的证书一致性之前，对目标设备下发目标数字证书的方法进行说明。其中，如图3所示，证书同步模块可以先向可信任的第三方权威机构(如，ca机构)申请目标数字证书，并获取由该机构所颁发的目标数字证书。之后，证书同步模块可以将目标数字证书发送给证书存储模块，然后通过证书存储模块对目标数字证书加密、切割分段并进行哈希计算后，将哈希值分散存储在异构分布式存储中。其中，前述的可信任的第三方权威机构即为本技术中的目标证书颁发机构。
50.具体地，当证书同步模块将目标数字证书发送给证书存储模块之后，证书同步模块可以将目标数字证书从证书同步模块中删除，以防止目标数字证书在证书同步模块中因为有意或因为受到安全攻击从而泄露数字证书或数字证书被恶意篡改的风险，同时，避免
了多系统或多区域存储数字证书所存在的安全核心资产泄露问题。
51.进一步地，证书存储模块可以采用非对称算法生成的自签名公钥(即前述的目标公钥)对目标数字证书进行加密，然后将其分割为多个子片段(也即目标数字证书片段)，其中，子片段的数量可以预先设置，在本实施例中，子片段的数量优选为大于5。接着，如图3所示，证书存储模块可以对每个子片段利用一致性哈性算法进行哈希运算，得到与每个目标数字证书片段对应的哈希值，从而将得到哈希值分散式存储到第一存储区域(即图3中的存储区域)内，其中，第一存储区域可以是数字证书同步及管理系统的独立高可用存储空间。此外，证书存储模块还可以将目标数字证书的自签名密钥(即前述的目标私钥)存储到第二存储区域(即图3中的存储区域)，第二存储区域可以是分布式存储节点。其中，哈希函数不可逆，只有证书存储模块可以通过目标数字证书的子片段哈希值来检索目标数字证书各个子片段的存储地址，并计算各个子片段之间的关系。
52.需要说明的是，通过对目标数字证书进行加密、切割分段以及哈希计算等一系列处理，并将处理后得到的哈希值进行分散式存储，一方面，使得攻击者无法同时获取分散存储的多个目标数字证书片段的哈希值以及多个目标数字证书片段分散存储的介质样本，在海量数据中无法对数据进行有效组合，另一方面，即使攻击者合并多个目标数字证书片段后，因目标数字证书整体被目标公钥加密，因此在无法获取目标私钥的情况下，攻击者也无法识别出目标数字证书。由此，可以有效防止第一存储区域或第二存储区域被攻击，或是被人工拉取所存储的哈希值到本地而泄露。从而进一步提高数字证书存储的安全性。
53.在一种可选的实施例中，在获取目标数字证书之后，数字证书同步及管理系统可以确定目标数字证书对应的目标特征信息，然后对目标特征信息进行信息摘要计算，得到第二信息摘要值，并将第二信息摘要值存储至第三存储区域。
54.可选的，在前述的证书同步模块将目标数字证书发送给证书存储模块之前，证书同步模块可以先确定目标数字证书对应的目标特征信息，从而对目标特征信息进行信息摘要计算，得到第二信息摘要值，然后将其存储至第三存储区域。且在此之后，证书同步模块可以将目标数字证书发送给证书存储模块，并从本地删除目标数字证书。其中，还可以将目标数字证书的目标特征信息一并存储至第三存储区域。
55.需要说明的是，通过仅在证书同步模块中留存目标数字证书对应的信息摘要值，使得在实现对异常目标设备进行验证的过程中，避免直接使用到目标数字证书，从而进一步地保证了目标数字证书的安全性。
56.在一种可选的实施例中，在将目标数字证书从当前平台删除之后，数字证书同步及管理系统可以响应目标对象发送的证书下发指令，从第一存储区域中获取多个哈希值，并从第二存储区域中获取目标私钥，然后基于多个哈希值和目标私钥确定目标数字证书，从而向至少一个目标设备发送目标数字证书。
57.可选的，可以通过证书下发模块对接证书存储模块。当相关工作人员(即前述的目标对象)确定需要向目标设备同步数字证书时，工作人员可以向证书下发模块发送证书下发指令。之后，证书下发模块可以响应证书下发指令，并向证书存储模块发送证书读取指令。
58.进一步地，当证书存储模块获取到证书读取指令后，证书存储模块可以从第一存储区域中获取多个哈希值，并利用哈希值，将各个片段组合，得到加密后的目标数字证书。
之后，可以将加密后的目标数字证书发送给证书下发模块，由证书下发模块从第二存储区域中获取目标私钥，并基于目标私钥解密加密后的目标数字证书，得到目标数字证书。进一步地，如图3所示，证书下发模块可以自动遍历当前机构内分布式的证书计算设备，然后对所有证书计算设备下发目标数字证书，以便目标设备基于目标数字证书对当前机构与图3中终端设备之间的信息传递过程进行身份识别、签名、加密等证书计算服务。其中，在对所有证书计算设备下发目标数字证书的过程中，证书下发模块可以逐台对目标设备进行下发。且在下发成功后，证书下发模块即刻执行删除证书下发模块中所复原的目标数字证书。
59.需要说明的是，通过在向至少一个目标设备发送目标数字证书的过程中，基于多个哈希值和目标私钥还原目标数字证书，进一步地保证了目标数字证书在下发过程中的传输安全性。
60.在一种可选的实施例中，在向异常目标设备同步目标数字证书的过程中，数字证书同步及管理系统可以从第一存储区域中获取多个哈希值，然后基于多个哈希值确定加密后的目标数字证书，接着从第二存储区域中获取目标私钥，并基于目标私钥解密加密后的目标数字证书，得到目标数字证书，从而向异常目标设备同步目标数字证书。
61.可选的，数字证书同步及管理系统可以基于前述向至少一个目标设备发送目标数字证书的方法，向异常目标设备同步目标数字证书，故此处不再赘述。
62.需要说明的是，通过在向异常目标设备同步目标数字证书的过程中，基于多个哈希值和目标私钥还原目标数字证书，更进一步地保证了目标数字证书在下发过程中的传输安全性。
63.在一种可选的实施例中，在向异常目标设备同步目标数字证书之前，数字证书同步及管理系统可以将其从分布式证书计算集中移除，以禁止异常目标设备执行目标计算任务，从而避免提供错误的证书计算服务或无法提供证书计算服务，进而导致影响服务处理进度的问题。
64.进一步地，在向异常目标设备同步目标数字证书之后，证书校验模块可以再次对异常目标设备中的数字证书进行校验，并在证书校验成功时，将其再次加入至分布式证书计算集中，以使该目标设备能够继续提供证书计算服务。
65.在一种可选的实施例中，数字证书同步及管理系统还可以基于目标特征信息确定目标数字证书的待更新时间范围，从而当当前时间处于待更新时间范围时，从目标证书颁发机构获取更新后的目标数字证书。
66.为保证数字证书有效，按照国际标准要求，机构内的数字证书需要定期更新。因此，在当前机构第一次获取到目标证书颁发机构颁发的目标数字证书时，可以通过证书同步模块设置键值(key-value)对，其中，可以将当前机构的应用域名信息做为键(key)值，将依据该应用域名信息申请的目标数字证书的目标特征信息作为值(value)。之后，证书同步模块可以自动化对接目标证书颁发机构，并通过读取目标特征信息中的有效期与时间戳，确定目标数字证书的待更新时间范围。从而按待更新时间范围所对应的时间要求自动联动目标证书颁发机构获取更新后的目标数字证书，并将基于更新后的目标数字证书所对应的特征信息更新目标特征信息，同时，重新计算对应的信息摘要值。
67.需要说明的是，通过基于目标特征信息自动更新目标数字证书，避免了相关工作人员遗忘到期时间，导致数字证书不可用从而引起企业站点无法提供服务的情况。
68.在一种可选的实施例中，对本技术的一种应用过程进行说明。具体地，如图4所示，数字证书同步及管理系统通过接口以及加密通道，对接目标证书颁发机构，通过读取现有目标数字证书对应的域名信息、目标特征信息(颁发者、有效期、时间戳)，形成键值对对应关系，并在到期前按目标特征信息中的时间要求(也即确定目标数字证书的到期时间)自动从目标证书颁发机构更新获取目标数字证书。获取目标数字证书后，数字证书同步及管理系统读取其目标特征信息计算信息摘要值(即第二信息摘要值)作为校验标准进行存储，再对目标数字证书通过目标公钥加密、分段以及一致性哈希计算后，将得到的多个哈希值分散存储在异构分布式存储上，保证数字证书存储的机密性与高可用性。
69.进一步地，如图4所示，当需要更新目标设备上的目标数字证书时，数字证书同步及管理系统可以通过哈希值索引，将目标数字证书加密版本(也即加密后的目标数字证书)恢复组合，再通过目标私钥解密，以将目标数字证书还原。之后，数字证书同步及管理系统可以通过目标设备接口，将目标数字证书自动化下发到目标设备上，并在下发后销毁本地所还原的目标数字证书。在目标设备反馈下发成功后，可以周期性将目标设备中数字证书的特征信息读取回证书同步与管理系统，并计算对应的信息摘要值(即第一信息摘要值)，然后与之前下发前计算得到的信息摘要值进行比对，以确认所有目标设备所使用的证书一致性。在验证过程中，若发现异常目标设备，则可以将异常目标设备从分布式证书计算集中移除，并重新下发目标数字证书，反之，若验证目标设备通过，则允许该目标设备处理用户通过终端设备发送的用户请求，并返回请求处理结果。在前述的所有过程中，目标数字证书都是即用即毁，而仅在高可用分布式存储中存储目标数字证书片段，从而保证证书安全性。
70.由此可见，本技术所提供的方案达到了对多个目标设备中的异常目标设备重新同步数字证书的目的，从而实现了保证各目标设备之间的数字证书的版本一致的技术效果，进而解决了现有技术中向多台相关设备同步数字证书时存在的证书版本不相同的技术问题。
71.实施例2
72.根据本发明实施例，提供了一种数字证书的同步装置的实施例，其中，图5是根据本发明实施例的一种可选的数字证书的同步装置的示意图，如图5所示，该装置包括：
73.第一获取模块501，用于周期性获取至少一个目标设备上的数字证书的特征信息，其中，目标设备至少用于执行目标计算任务，目标计算任务为需要数字证书的任务；
74.第一确定模块502，用于基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，目标数字证书为当前平台发送给至少一个目标设备的证书；
75.同步模块503，用于向异常目标设备同步目标数字证书。
76.需要说明的是，上述第一获取模块501、第一确定模块502以及同步模块503对应于上述实施例中的步骤s201至步骤s203，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。
77.可选的，确定模块还包括：第一计算子模块，用于对每个特征信息进行信息摘要计算，得到每个特征信息对应的第一信息摘要值；第二计算子模块，用于获取第二信息摘要值，其中，第二信息摘要值为对目标特征信息进行信息摘要计算得到的；第一确定子模块，
用于确定与第二信息摘要值不同的第一信息摘要值所对应的特征信息为异常特征信息，并确定与异常特征信息对应的目标设备为异常目标设备。
78.可选的，数字证书的同步装置还包括：第二获取模块，用于获取目标数字证书；加密模块，用于基于目标公钥加密目标数字证书，得到加密后的目标数字证书；第一处理模块，用于对加密后的目标数字证书进行分割处理，得到多个目标数字证书片段；计算模块，用于对每个目标数字证书片段进行哈希计算，得到与每个目标数字证书片段对应的哈希值；第一存储模块，用于将多个哈希值分散式存储至第一存储区域，将与目标公钥对应的目标私钥存储至第二存储区域，并将目标数字证书从当前平台删除。
79.可选的，数字证书的同步装置还包括：第二确定模块，用于确定目标数字证书对应的目标特征信息；第二存储模块，用于对目标特征信息进行信息摘要计算，得到第二信息摘要值，并将第二信息摘要值存储至第三存储区域。
80.可选的，数字证书的同步装置还包括：第三获取模块，用于响应目标对象发送的证书下发指令，从第一存储区域中获取多个哈希值，并从第二存储区域中获取目标私钥；第三确定模块，用于基于多个哈希值和目标私钥确定目标数字证书；发送模块，用于向至少一个目标设备发送目标数字证书。
81.可选的，同步模块包括：第一获取子模块，用于从第一存储区域中获取多个哈希值；第二确定子模块，用于基于多个哈希值确定加密后的目标数字证书；第二获取子模块，用于从第二存储区域中获取目标私钥；解密子模块，用于基于目标私钥解密加密后的目标数字证书，得到目标数字证书；同步子模块，用于向异常目标设备同步目标数字证书。
82.可选的，数字证书的同步装置还包括：第二处理模块，用于禁止异常目标设备执行目标计算任务。
83.可选的，数字证书的同步装置还包括：第四确定模块，用于基于目标特征信息确定目标数字证书的待更新时间范围；第四获取模块，用于当当前时间处于待更新时间范围时，从目标证书颁发机构获取更新后的目标数字证书。
84.实施例3
85.根据本发明实施例的另一方面，还提供了计算机可读存储介质，计算机可读存储介质中存储有计算机程序，其中，计算机程序被设置为运行时执行上述的数字证书的同步方法。
86.实施例4
87.根据本发明实施例的另一方面，还提供了一种电子设备，其中，图6是根据本发明实施例的一种可选的电子设备的示意图，如图6所示，电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的数字证书的同步方法。
88.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
89.在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
90.在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如单元的划分，可以为一种
逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
91.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
92.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
93.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
94.以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：

1.一种数字证书的同步方法，其特征在于，包括：周期性获取至少一个目标设备上的数字证书的特征信息，其中，所述目标设备至少用于执行目标计算任务，所述目标计算任务为需要所述数字证书的任务；基于所述特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，所述目标数字证书为当前平台发送给所述至少一个目标设备的证书；向所述异常目标设备同步所述目标数字证书。2.根据权利要求1所述的方法，其特征在于，基于所述特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，包括：对每个特征信息进行信息摘要计算，得到每个特征信息对应的第一信息摘要值；获取第二信息摘要值，其中，所述第二信息摘要值为对所述目标特征信息进行信息摘要计算得到的；确定与所述第二信息摘要值不同的第一信息摘要值所对应的特征信息为异常特征信息，并确定与所述异常特征信息对应的目标设备为所述异常目标设备。3.根据权利要求2所述的方法，其特征在于，在周期性获取至少一个目标设备上的数字证书的特征信息之前，所述方法还包括：获取所述目标数字证书；基于目标公钥加密所述目标数字证书，得到加密后的目标数字证书；对所述加密后的目标数字证书进行分割处理，得到多个目标数字证书片段；对每个目标数字证书片段进行哈希计算，得到与每个目标数字证书片段对应的哈希值；将多个哈希值分散式存储至第一存储区域，将与所述目标公钥对应的目标私钥存储至第二存储区域，并将所述目标数字证书从所述当前平台删除。4.根据权利要求3所述的方法，其特征在于，在获取所述目标数字证书之后，所述方法还包括：确定所述目标数字证书对应的目标特征信息；对所述目标特征信息进行信息摘要计算，得到第二信息摘要值，并将所述第二信息摘要值存储至第三存储区域。5.根据权利要求3所述的方法，其特征在于，在将所述目标数字证书从所述当前平台删除之后，所述方法还包括：响应目标对象发送的证书下发指令，从所述第一存储区域中获取所述多个哈希值，并从所述第二存储区域中获取所述目标私钥；基于所述多个哈希值和所述目标私钥确定所述目标数字证书；向所述至少一个目标设备发送所述目标数字证书。6.根据权利要求3所述的方法，其特征在于，向所述异常目标设备同步所述目标数字证书，包括：从所述第一存储区域中获取所述多个哈希值；基于所述多个哈希值确定所述加密后的目标数字证书；从所述第二存储区域中获取所述目标私钥；
基于所述目标私钥解密所述加密后的目标数字证书，得到所述目标数字证书；向所述异常目标设备同步所述目标数字证书。7.根据权利要求1所述的方法，其特征在于，在向所述异常目标设备同步所述目标数字证书之前，所述方法还包括：禁止所述异常目标设备执行所述目标计算任务。8.根据权利要求1所述的方法，其特征在于，所述方法还包括：基于所述目标特征信息确定所述目标数字证书的待更新时间范围；当当前时间处于所述待更新时间范围时，从目标证书颁发机构获取更新后的目标数字证书。9.一种数字证书的同步装置，其特征在于，包括：第一获取模块，用于周期性获取至少一个目标设备上的数字证书的特征信息，其中，所述目标设备至少用于执行目标计算任务，所述目标计算任务为需要所述数字证书的任务；第一确定模块，用于基于所述特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，所述目标数字证书为当前平台发送给所述至少一个目标设备的证书；同步模块，用于向所述异常目标设备同步所述目标数字证书。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述的数字证书的同步方法。11.一种电子设备，其特征在于，所述电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现用于运行程序，其中，所述程序被设置为运行时执行所述权利要求1至8任一项中所述的数字证书的同步方法。

技术总结

本发明公开了一种数字证书的同步方法、装置及电子设备。涉及信息安全领域，该方法包括：周期性获取至少一个目标设备上的数字证书的特征信息，其中，目标设备至少用于执行目标计算任务，目标计算任务为需要数字证书的任务；基于特征信息以及目标数字证书对应的目标特征信息，从至少一个目标设备中确定异常目标设备，其中，目标数字证书为当前平台发送给至少一个目标设备的证书；向异常目标设备同步目标数字证书。本发明解决了现有技术中向多台相关设备同步数字证书时存在的证书版本不相同的技术问题。技术问题。技术问题。