(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221094026 0.1 (22)申请日 2022.08.05 (71)申请人 超聚变数字技 术有限公司 地址 450000 河南省郑州市郑东 新区龙子 湖智慧岛正商博雅广场1号楼 9层 (72)发明人 许金川　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 刘方 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G06F 9/455(2006.01) (54)发明名称 一种证书签发系统及相关 设备 (57)摘要 一种证书签发系统， 该系统包括第一计算设 备和第二计算设备， 第一计算设备包括用于存储 生成可信身份密钥的信息的可信单元， 该第二计 算设备用于认证该第一计算设备和签发证书。 具 体地， 第一计算设备向第二计算 设备发送身份认 证请求， 该请求携带可信身份密钥； 第二计算设 备根据该请求携带的可信身份密钥进行认证； 若 认证通过， 第二计算设备向第一计算设备发送登 录凭证； 之后， 第一计算设备可 以通过该登录凭 证向第二计算设备申请证书。 本申请实施例， 第 一计算设备可以基于可信单元通过可信身份密 钥实现可信的身份认证， 而不是采用固定的 Token进行身份认证， 从而可以提高身份认证的 安全性， 进 而可以提高证书签发的安全性。 权利要求书2页 说明书20页 附图7页 CN 115473648 A 2022.12.13 CN 115473648 A 1.一种证书签发系统， 其特征在于， 所述系统包括第 一计算设备和第 二计算设备； 所述 第一计算设备包括用于存储生成可信身份密钥的信息的可信单元； 所述第二计算设备用于 认证所述第一计算设备和签发证书； 所述第一计算设备向所述第二计算设备发送身份认证请求； 其中， 所述身份认证请求 携带可信身份密钥； 所述身份认证请求用于获取登录凭证； 所述第二计算设备接收所述身份认证请求； 所述第二计算设备根据所述身份认证请求携带的可信身份密钥认证所述第一计算设 备； 若所述第一计算设备通过认证， 所述第二计算设备向所述第一计算设备发送登录凭证； 所述第一计算设备向所述第 二计算设备发送证书签署请求； 所述证书签署请求中携带 所述登录凭证； 所述证书签署 请求用于获取签名证书； 所述第二计算设备接收所述证书签署 请求； 所述第二计算设备根据所述证书签署请求携带的所述登录凭证验证所述第一计算设 备； 若所述第一计算设备通过验证， 所述第二计算设备向所述第一计算设备发送签名证 书； 所述第一计算设备接收所述签名证书。 2.根据权利要求1所述的系统， 其特征在于， 所述生成可信身份密钥的信 息包括所述第 一计算设备的身份信息和所述第一计算设备的第一公钥； 所述第一计算设备向所述第二计算设备发送身份认证请求之前， 包括： 所述第一计算设备采用所述可信单 元加密所述身份信息； 所述第一设备将所述第一公钥与加密的身份信息 封装为所述可信身份密钥。 3.根据权利要求2所述的系统， 其特征在于， 加密所述身份信 息的密钥为所述第 二计算 设备的公钥。 4.根据权利要求1至3任一项所述的系统， 其特征在于， 所述第二计算设备根据所述身 份认证请求携带的可信身份密钥认证所述第一计算设备， 包括： 所述第二计算设备解析所述可信身份密钥获取加密的身份信息和所述第一计算设备 的第一公钥； 所述第二计算设备解密所述加密的身份信息； 所述第二计算设备确定解密后的所述身份信息和所述第一公钥与预设的身份信息与 第一公钥是否匹配。 5.根据权利要求1至4任一项所述的系统， 其特征在于： 所述第二计算设备接收所述证 书签署请求之后， 还 包括： 所述第二计算设备基于所述证书签署 请求创建证书签署 请求资源； 响应于创建所述证书签署 请求资源， 所述第二计算设备验证所述登录凭证。 6.根据权利要求1至5任一项所述的系统， 其特征在于， 所述若所述第一计算设备通过 验证， 所述第二计算设备向所述第一计算设备发送签名的证书， 包括： 所述若所述第一计算设备通过验证， 所述第二计算设备审批证书签署 请求资源； 在所述证书签署请求资源通过审批时， 所述第 二计算设备将所述证书签署请求资源的 状态修改为 通过；权　利　要　求　书 1/2 页 2 CN 115473648 A 2所述第二计算设备对状态为 通过的所述证书签署 请求资源进行签名， 生成签名证书； 所述第二计算设备向所述第一计算设备发送所述签名证书。 7.根据权利要求1至6任一项所述的系统， 其特征在于， 所述第一计算设备接收所述签 名证书之后， 还 包括： 所述第一计算设备将所述签名证书存 储在所述第一计算设备的内存中。 8.一种第 一计算设备， 其特征在于： 所述第 一计算设备包括可信芯片及处理器； 所述可 信芯片与所述处理器耦合； 所述可信 芯片用于存储生成可信身份密钥的信息； 所述处理器 用于执行： 向第二计算设备发送身份认证请求； 其中， 所述身份认证请求携带所述可信身份密钥； 所述身份认证请求用于获取登录凭证； 接收来自所述第二计算设备的登录凭证； 向所述第二计算设备发送证书签署请求； 所述证书签署请求中携带所述登录凭证； 所 述证书签署 请求用于获取签名证书； 接收来自所述第二计算设备的签名证书。 9.根据权利要求8所述的第 一计算设备， 其特征在于： 所述处理器执行向所述第 二计算 设备发送身份认证请求之前， 所述处 理器还用于执 行： 响应于可信身份密钥获取请求； 向所述可信芯片发送密钥获取请求； 接收可信芯片发送的密钥； 所述密钥包括加密的身份信息与第一公钥； 将所述密钥封装为可信身份密钥。 10.根据权利要求8 或9所述的第 一计算设备， 其特征在于： 所述处理器在所述接收来自 所述第二计算设备的所述签名证书之后， 还用于执 行： 将所述签名证书存 储在所述第一计算设备的内存中。权　利　要　求　书 2/2 页 3 CN 115473648 A 3