一种数字证书空发方法及装置

本发明涉及通信领域，尤其涉及一种数字证书空发方法及装置。

随着嵌入式SIM(Embedded-Subscriber Identification Module，eSIM)卡技术的不断发展，越来越多的终端设备支持eSIM卡。目前不论SIM卡或是eSIM卡，均需要提前在工厂中人工进行数字证书申请，并将数字证书预制于卡片中，无法在使用终端设备过程中选择数字证书。对于终端设备而言，在出厂时是不知道将来需要下载哪家运营商的数字证书的，若想兼容不同的运营商或在使用过程中进行运行商切换，就需在出厂前预制多家运营商的数字证书，提高了设备的成本。并且，如果终端设备在一段时间内没有销售出去，而终端厂家又需要制作另一批次的终端产品，就需要另外申请一批终端证书，整个过程非常繁琐。

本申请提供一种数字证书空发方法及装置，不需在终端设备出厂前预制数字证书，而是在终端设备启用后，远程申请并下载数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种数字证书空发方法，该方法可以包括：终端设备向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；终端设备从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；若身份认证结果为身份认证成功，终端设备向所述CA平台发送数字证书申请请求；终端设备从所述CA平台接收数字证书。

第二方面，本申请提供一种数字证书空发方法，该方法可以包括：数字证书CA平台从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述CA平台根据所述终端标志确定对应的信任服务管理TSM平台，并向所述TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识；所述CA平台从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述CA平台向所述终端设备发送所述终端身份认证结果以及会话秘钥；所述CA平台从所述终端设备接收数字证书申请请求，签发所述终端设备的数字证书，并向所述终端设备发送所述数字证书。

第三方面，本申请提供一种数字证书空发方法，该方法可以包括：信任服务管理TSM平台从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备；所述TSM平台根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥；所述TSM平台向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。

第四方面，本申请提供一种终端设备，该终端设备可以包括：发送模块和接收模块。其中，发送模块，用于向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；接收模块，用于从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述发送模块，还用于若身份认证结果为身份认证成功，向所述CA平台发送数字证书申请请求；所述接收模块，还用于从所述CA平台接收数字证书。

第五方面，本申请提供一种数字证书CA平台，该CA平台可以包括：接收模块、确定模块、发送模块和签发模块。其中，接收模块，用于从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备；确定模块，用于根据所述终端标志确定对应的信任服务管理TSM平台；发送模块，用于向确定模块确定的TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识；所述接收模块，还用于从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败；所述发送模块，还用于向所述终端设备发送所述终端身份认证结果以及会话秘钥；所述接收模块，还用于从所述终端设备接收数字证书申请请求；签发模块，用于签发所述终端设备的数字证书；所述发送模块，还用于向所述终端设备发送所述数字证书。

第六方面，本申请提供一种信任服务管理TSM平台，该TSM平台可以包括：接收模块、认证模块和发送模块。其中，接收模块，用于从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备；认证模块，用于根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥；发送模块，用于向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一方面所述的方法。

本申请提供了一种网络系统，该网络系统包括第三方面及其各种可选的实现方式中任意之一所述的终端设备、第二方面及其各种可选的实现方式中任意之一所述的CA平台以及第三方面及其各种可选的实现方式中任意之一所述的TSM平台。

本发明实施例提供的数字证书空发方法、装置及系统，可以在终端设备启用后，根据需要远程向CA平台申请并下载数字证书，而不需在终端设备出厂前预制数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。并且在申请数字证书时验证终端设备身份，并采用双向认证技术，保证了安全性和合法性。

图1为本发明实施例提供的数字证书空发方法应用的网络架构示意图；

图2为本发明实施例提供的数字证书空发方法中安全通道对数据层进行安全保障的原理示意图；

图3为本发明实施例提供的数字证书空发方法示意图；

图4为本发明实施例提供的终端设备的结构示意图一；

图5为本发明实施例提供的终端设备的结构示意图二；

图6为本发明实施例提供的CA平台的结构示意图；

图7为本发明实施例提供的TSM平台的结构示意图；

图8为本发明实施例提供的一种装置结构示意图。

下面结合附图对本发明实施例提供的数字证书空发方法、装置及系统进行详细地描述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本发明的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。

此外，本发明的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本发明实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本发明的描述中，除非另有说明，“多个”的含义是指两个或两个以上。

本发明实施例提供的数字证书空发方法可以应用于图1所示的网络架构中，该网络架构可以包含：终端设备、数字证书(Certificate，

CA)平台、信任服务管理(Trust Service Management，TSM)平台。其中，图1中的终端设备可以通过CA平台动态申请数字证书，并在获得数字证书后将数字证书加载至终端设备。CA平台负责数字证书的安全签发及安全管理。TSM平台负责对终端设备的可信管理，包括对终端设备身份的安全鉴别，为终端厂商构建鉴权平台，以及根据终端设备的设备公钥进行验签操作等。需要说明的是，图1仅为示例性架构图，除图1中所示功能单元之外，该网络架构还可以包括其他功能单元，并且在实际应用中可以根据需要配置终端设备、CA平台和TSM平台的数量，本发明实施例对此不进行限定。

上述终端设备可以为：手机、电脑，还可以为蜂窝电话、无绳电话、会话发起协议(Session Initiation Protocol，SIP)电话、智能电话、无线本地环路(Wireless LocalLoop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、电视机顶盒(Set Top Box，STB)、用户驻地设备(Customer Premise Equipment，CPE)和/或需要获取数字证书的其它设备。终端设备中包括eSIM卡，eSIM卡可以通过获取运营商的数字证书并安装该数字证书从而支持运营商服务。

比如，上述终端设备可以是一种基于硬件扩展的可信执行环境(TrustedExecution Environment，TEE)终端，TEE终端可以提供可信的执行环境、数据安全、应用运行安全保障，比如，TEE终端可以为eSIM数据提供安全的存储环境，为eSIM应用提供安全的运行环境。

在一种实现方式中，CA平台与TSM平台之间可以通过安全通道进行通信，以保障CA平台和TSM平台之间传输数据的机密性、完整性、认证性。CA平台与TSM平台之间安全信道实现方式可灵活选择，根据TSM平台的能力进行配置，比如，安全信道可支持标准的超文本传送协议服务(Hypertext Transport Protocol Server，HTTPS)协议，通过HTTPS协议对CA平台与TSM平台之间的通讯层进行安全保障，通过其他协议对数据层进行保障；比如，还可以使用对称或非对称密钥技术自定义安全信道等。

示例性的，图2为CA平台与TSM平台之间的安全通道对数据层进行安全保障的原理示意图。如图2所示，在CA平台与TSM平台预制已验证过的对方的数字证书。CA平台产生椭圆曲线算法(Elliptic Curve Cryptography，ECC)临时公私钥对，并产生随机挑战码(RandomChallenge，RC)；使用CA平台的椭圆曲线数字签名算法(Elliptic Curve DigitalSignature Algorithm，ECDSA)私钥对ECC临时公钥及RC进行签名。CA平台将签名结果及临时公钥通过HTTPS发送给TSM平台。

TSM平台使用CA平台证书验证签名，验证无误后继续进行下一步，若验证失败则返回给CA平台错误消息。

TSM平台使用CA平台的临时公钥和自己的ECDSA私钥计算共享秘钥(Shs SharedSecret，SHS)，并计算收据；其中，收据为对SHS进行Sha256摘要计算的结果。

TSM平台将收据和从CA平台获取的TSM平台临时公钥返回给CA平台。

CA平台使用自己的ECDSA私钥和TSM平台的临时公钥计算SHS；并对SHS进行sha256摘要计算获得收据，比较CA平台计算的收据与接收TSM平台的收据是否一致，从而保证CA平台与TSM平台生成的SHS一致。

CA平台与TSM平台分别使用SHS派生出对称会话秘钥。当CA平台与TSM平台之间传输报文时，数据加密使用此会话秘钥进行加密，对数据层进行安全保障。

本发明实施例提供的数字证书空发方法，应用于图1所示的网络架构中，可以在终端启用后，根据需要远程向CA平台申请并下载数字证书，而不需在终端设备出厂前预制数字证书，使得终端设备获取数字证书的过程简洁高效，并且可以降低终端设备获取数字证书成本。

本发明实施例提供一种数字证书空发方法，如图3所示，该方法可以包括S101-S114：

S101、终端设备生成身份认证信息。

身份认证信息可以包括终端鉴权数据、终端标识、终端标志和终端设备流水号。其中，终端鉴权数据中包括了终端标识等信息，终端标志用于表示终端设备的厂商信息，终端标识用于在一个厂商范围内唯一标识终端设备。

在一种实现方式中，终端设备中预置多个CA平台的证书，比如，CA平台的证书可以包括NIST P-256，BrainpoolP256r1，FRP256V1三种不同算法曲线的CA平台证书，终端设备可以根据自身ECC算法支撑能力选择对应的算法曲线类型的CA平台证书。比如，图1中三个CA平台分别支持NIST P-256，BrainpoolP256r1，FRP256V1三种不同算法曲线的CA平台证书，终端设备根据自身ECC算法支撑能力选择了其中一个CA平台，则可以向这个CA平台申请数字证书。终端设备中预置了多个CA平台的证书，则可以通过CA平台的证书加密终端设备向CA平台发送的数字证书申请请求，保障数字证书申请请求中敏感信息的传输机密性；并且还可以通过CA平台证书验证从CA平台接收到的消息的合法性。

在一种实现方式中，终端设备根据自身ECC算法支撑能力选择生成对应算法曲线的ECC密钥对。

另外，终端设备产生终端设备流水号，示例性的，流水号包括系统当前时间、随机数等。需要说明的是，本申请中业务流水号包括终端流水号和平台流水号，业务流水号可充当消息令牌来鉴别终端设备和CA平台之间的消息，并且通过平台流水号可以有效防止终端设备的客户端对CA平台的重放攻击。

进一步的，终端设备根据终端标识等信息生成终端鉴权数据。示例性的，终端设备将终端标识、终端设备流水号等信息使用终端设备秘钥进行加密，形成终端鉴权数据。

S102、终端设备向CA平台发送终端身份认证以及获取会话秘钥请求。

具体的，终端设备向CA平台发送终端身份认证以及获取会话秘钥请求，其中包括身份认证信息，比如，终端鉴权数据、终端标识、终端标志和终端设备流水号。

S103、CA平台接收终端身份认证以及获取会话秘钥请求。

CA平台从终端设备接收终端身份认证以及获取会话秘钥请求之后，根据终端标志确定对应的TSM平台。

可选的，CA平台可以支撑多个TSM平台，通过不同的终端标志来确定终端设备隶属的TSM平台。并且，CA平台可以灵活配置终端设备与TSM平台的映射关系。

示例性的，图1中的三个不同的TSM平台分别对应不同的终端设备厂商，CA平台根据身份认证信息中的终端标志确定终端设备的厂商信息，从而可以确定终端设备对应的TSM平台。

S104、CA平台向TSM平台发送终端身份认证以及获取会话秘钥请求。

CA平台向TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括身份认证信息，比如，终端鉴权数据、终端标识、终端标志和终端设备流水号。

S105、TSM平台接收终端身份认证以及获取会话秘钥请求。

TSM平台接收到终端身份认证以及获取会话秘钥请求之后，对终端身份进行认证。示例性的，TSM平台可以根据终端标识计算出终端的终端设备秘钥，再使用终端设备秘钥认证终端鉴权数据是否正确。

若TSM平台对终端身份认证成功，则TSM平台生成会话秘钥；其中，会话秘钥包含两部分，一部分是用于返回给CA平台的明文会话秘钥，一部分是用于返回给终端的密文会话秘钥。

S106、TSM平台向CA平台发送终端身份认证结果及会话秘钥。

TSM平台向CA平台发送终端身份认证结果及会话秘钥，其中，终端身份认证结果包括身份认证成功或身份认证失败。

在一种实现方式中，TSM平台向CA平台发送终端身份认证结果及会话秘钥的报文由TSM平台与CA平台之间的安全信道秘钥进行整体加密。

S107、CA平台接收终端身份认证结果及会话秘钥。

CA平台接收终端身份认证结果及会话秘钥之后，若判断终端身份认证结果为身份认证失败，则向终端设备返回终端认证失败以及终端认证失败的原因；终端设备接收到终端认证失败后，过程结束，不进行数字证书申请。

若判断终端身份认证结果为身份认证成功，CA平台生成平台流水号，示例性的，平台流水号由系统当前时间与随机数等组成。之后，执行S108。

S108、CA平台向终端设备发送终端身份认证结果及会话秘钥。

在一种实现方式中，CA平台将终端身份认证结果、平台流水号和终端设备流水号使用会话秘钥中的明文会话秘钥进行加密，并将加密后的密文及会话秘钥密文发送给终端设备。

S109、终端设备接收终端身份认证结果及会话秘钥。

在一种实现方式中，终端设备接收终端身份认证结果及会话秘钥之后，使用终端设备秘钥解密会话秘钥，并用会话秘钥解密平台流水号、终端设备流水号等信息。

终端设备校验CA平台返回的终端设备流水号与终端设备发送给CA平台的终端设备流水号是否一致。如果一致，终端设备根据生成的ECC公钥、终端标识等信息生成数字证书申请请求。示例性的，数字证书申请请求可以为PKCS10证书申请请求(CertificateSigning Request，CSR)。

S110、终端设备向CA平台发送数字证书申请请求。

示例性的，终端设备将数字证书申请请求、平台流水号等信息使用预置的CA平台证书对应的CA平台公钥进行加密。

终端设备携带密文信息向CA平台发送数字证书申请请求，数字证书申请请求中可以包括特殊名称(Distinct Name，DN)项，其中，DN项可以包括以下至少一项：终端标识、终端标志。在一种实现方式中，终端设备向CA平台发送的数字证书申请请求的报文使用会话秘钥进行加密。

S111、CA平台接收数字证书申请请求。

CA平台接收到数字证书申请请求后，对数字证书申请请求进行校验。

在一种实现方式中，CA平台可以先使用CA平台私钥解密数字证书申请请求报文，获得终端设备发送的数字证书申请请求和平台流水号。然后校验终端设备发送的平台流水号与CA平台保存的该终端设备对应的平台流水号是否匹配；校验CSR中的DN项信息与CA平台保存的终端设备的信息是否一致；校验CSR是否合规；以及校验其他信息。

S112、CA平台为终端设备签发数字证书。

具体的，如果CA平台对数字证书申请请求校验通过，则为终端设备签发数字证书。

S113、CA平台向终端设备发送数字证书。

CA平台将为终端设备签发的数字证书发送给终端设备。

在一种实现方式中，CA平台对包含数字证书的报文使用会话秘钥进行加密，并使用CA平台私钥进行签名，然后将签名后的数字证书发送给终端设备。

S114、终端设备接收数字证书。

终端设备接收到包含数字证书的报文后，使用CA平台私钥验证签名，并使用会话秘钥解密报文，获取到数字证书。

进一步的，终端设备可以将数字证书安装到终端设备中。

本发明实施例提供的数字证书空发方法，可以在终端设备启用后，根据需要在线远程向CA平台申请并下载数字证书。相对于现有技术中，终端设备厂商线下申请证书，并在终端设备出厂前预制数字证书的方法。本发明提供的数字证书空发方法，可以远程下载需要的数字证书，使得终端设备获取数字证书的过程简洁高效，并且降低了终端设备获取数字证书的成本。并且在申请数字证书时验证终端设备身份，并采用双向认证技术，保证了安全性和合法性。

本发明实施例提供一种终端设备，在采用对应各个功能划分各个功能模块的情况下，图4示出了上述实施例中所涉及的终端设备的一种可能的结构示意图。该终端设备包括发送模块401和接收模块402。

其中，所述发送模块401，用于向数字证书CA平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备。

所述接收模块402，用于从所述CA平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。

所述发送模块401，还用于若身份认证结果为身份认证成功，向所述CA平台发送数字证书申请请求。

所述接收模块402，还用于从所述CA平台接收数字证书。

可选的，所述发送模块401向所述CA平台发送数字证书申请请求的报文使用所述会话秘钥加密。

可选的，所述数字证书申请请求中包括DN项，所述DN项包括以下至少一项：终端标识、终端标志。

可选的，所述数字证书申请请求为PKCS10证书申请请求。

可选的，结合图4，如图5所示，本发明实施例提供的终端设备还可以包括配置模块403。

所述配置模块403，用于预置至少一个CA平台的证书，并根据终端设备的椭圆曲线算法支撑能力选择一个CA平台请求申请数字证书。

本发明实施例提供一种CA平台，在采用对应各个功能划分各个功能模块的情况下，图6示出了上述实施例中所涉及的CA平台的一种可能的结构示意图。该CA平台包括接收模块501、确定模块502、发送模块503和签发模块504。

其中，所述接收模块501，用于从终端设备接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据、终端标识和终端标志，所述终端标志用于表示所述终端设备的厂商信息，所述终端标识用于在一个厂商范围内唯一标识终端设备。

确定模块502，用于根据所述终端标志确定对应的信任服务管理TSM平台。

发送模块503，用于向确定模块502确定的TSM平台发送终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识。

所述接收模块501，还用于从所述TSM平台接收终端身份认证结果以及会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。

所述发送模块503，还用于向所述终端设备发送所述终端身份认证结果以及会话秘钥。

所述接收模块501，还用于从所述终端设备接收数字证书申请请求。

签发模块504，用于签发所述终端设备的数字证书。

所述发送模块503，还用于向所述终端设备发送所述数字证书。

可选的，接收模块501从所述终端设备接收数字证书申请请求的报文使用所述会话秘钥加密。

可选的，所述数字证书申请请求中包括DN项，所述DN项包括以下至少一项：终端标识、终端标志。

可选的，接收模块501从所述TSM平台接收终端身份认证结果以及会话秘钥的报文使用安全信道秘钥进行加密。

本发明实施例提供一种TSM平台，在采用对应各个功能划分各个功能模块的情况下，图7示出了上述实施例中所涉及的TSM平台的一种可能的结构示意图。该TSM平台包括接收模块601、认证模块602和发送模块603。

其中，接收模块601，用于从数字证书CA平台接收终端身份认证以及获取会话秘钥请求，其中包括终端鉴权数据和终端标识，所述终端标识用于在一个厂商范围内唯一标识终端设备。

认证模块602，用于根据所述终端鉴权数据和所述终端标识对终端设备进行身份认证，并生成会话秘钥。

发送模块603，用于向所述CA平台发送终端身份认证结果以及所述会话秘钥，所述终端身份认证结果包括身份认证成功或身份认证失败。

可选的，发送模块603向所述CA平台发送终端身份认证结果以及所述会话秘钥的报文使用安全信道秘钥进行加密。

在采用集成的单元的情况下，图8提供了一种装置800，装置800示出了上述实施例中所涉及的终端设备或CA平台或TSM平台的一种可能的结构示意图。该装置800包括：处理单元802和通信单元803。处理单元802用于对终端设备或CA平台或TSM平台的动作进行控制管理，例如，执行上述配置模块403、确定模块502、签发模块504、认证模块602执行的步骤，和/或用于执行本文所描述的技术的其它过程。通信单元803用于支持终端设备或CA平台或TSM平台与其他网络实体的通信，例如，执行上述发送模块401、接收模块402、接收模块501、发送模块503、接收模块601、发送模块603执行的步骤。终端设备或CA平台或TSM平台还可以包括存储单元801和总线804，存储单元801用于存储终端设备或CA平台或TSM平台的程序代码和数据。

其中，上述处理单元802可以是终端设备或CA平台或TSM平台中的处理器或控制器，该处理器或控制器可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。该处理器或控制器可以是中央处理器，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

通信单元803可以是终端设备或CA平台或TSM平台中的收发器、收发电路或通信接口等。

存储单元801可以是终端设备或CA平台或TSM平台中的存储器等，该存储器可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；该存储器还可以包括上述种类的存储器的组合。

总线804可以是扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。总线804可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有一个或多个程序，一个或多个程序包括指令，当上述终端设备或CA平台或TSM平台的处理器执行该指令时，该终端设备或CA平台或TSM平台执行上述方法实施例所示的方法流程中终端设备或CA平台或TSM平台执行的各个步骤。

本发明实施例提供一种网络系统，该网络系统可以包括终端设备、CA平台、TSM平台，以执行本发明实施例提供的数字证书空发方法。对于终端设备、CA平台、TSM平台的描述具体可以参见上述方法实施例和装置实施例中的相关描述，此处不再赘述。

其中，上述提供的任意一种装置或计算机可读存储介质或网络系统中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例，此处不再赘述。

结合本发明公开内容所描述的方法或者算法的步骤可以由硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于RAM、闪存、ROM、可擦除可编程只读存储器(easable programmable ROM，EPROM)、电可擦可编程只读存储器(electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。