一种信息处理方法及系统、相关装置与流程

1.本发明涉及网络安全领域，具体涉及一种信息处理方法及系统、相关装置。


背景技术：

2.网络功能虚拟化(nfv，network function virtualization)架构中，各虚拟网络功能(vnf，virtual network function)之间使用传输层安全协议(tls，transport layer security)进行安全保护。为了实现不同vnf之间能够建立安全的tls连接，每个vnf在部署之后都应配置与vnf身份相对应的数字证书。目前，数字证书主要由设备商为每个vnf配置相同的数字证书，只需将数字证书写入镜像文件，在vnf部署时自动实现数字证书的配置。
3.5g核心网采用了服务化架构(sba，service-based architecture)网络架构，不同vnf之间都要求采用tls方式进行安全通信，由于vnf数量巨大，且动态部署，因此，对于数字证书的管理有着较高的安全要求和效率要求。
4.采用上述方式无法体现出vnf的差异化身份，且一旦有一个vnf的数字证书出现安全问题，则所有使用该数字证书的vnf都面临安全风险。


技术实现要素：

5.为解决现有存在的技术问题，本发明实施例提供一种信息处理方法及系统、相关装置。
6.为达到上述目的，本发明实施例的技术方案是这样实现的：
7.第一方面，本发明实施例提供了一种信息处理方法，所述方法包括：
8.第一装置获得待部署的第一网元的证书描述信息，以及获得第一公私钥对；
9.基于所述证书描述信息和所述第一公私钥对生成第一数字证书；
10.向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；所述第二装置用于利用数字证书系统对所述第一数字证书的进行验证；
11.在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元。
12.上述方案中，所述方法还包括：所述第一装置确定所述第一数字证书满足预设条件时，获得新的第一公私钥对；
13.基于所述新的第一公私钥对和所述第一网元的证书描述信息生成新的第一数字证书，以及基于所述第一公私钥对中的私钥和所述新的第一数字证书生成第一签名；
14.向所述第二装置发送证书更新请求，所述证书更新请求中包括所述新的第一数字证书以及所述第一签名；所述第二装置用于利用所述数字证书系统对所述新的第一数字证书和所述第一签名进行验证；
15.在所述数字证书系统对所述新的第一数字证书和所述第一签名验证通过的情况下，至少将所述新的第一数字证书发送至所述第一网元，所述新的第一数字证书用于更新所述第一网元中的所述第一数字证书。
16.上述方案中，所述第一装置确定所述第一数字证书满足预设条件，包括：
17.所述第一装置确定所述第一数字证书的有效期限满足第一预设条件时，或者，确定所述第一数字证书的安全性不满足第二预设条件时，确定所述第一数字证书满足预设条件。
18.上述方案中，所述第一装置获得待部署的第一网元的证书描述信息，包括：
19.所述第一装置从虚拟网络功能管理器(vnfm，virtual network function manager)获得待部署的第一网元的证书描述信息；
20.所述获得第一公私钥对，包括：所述第一装置从用于产生公私钥对的第四装置中获得第一公私钥对；所述第四装置位于网络功能虚拟化基础设施(nfvi，network function virtualization infrastructure)中。
21.上述方案中，所述第一装置位于网元管理(em)中；各网元对应一个em；
22.所述至少将所述第一数字证书发送至所述第一网元，包括：
23.通过第一em至少将所述第一数字证书发送至所述第一网元；所述第一em为所述第一网元对应的em。
24.上述方案中，所述第一装置位于vnfm中；
25.所述至少将所述第一数字证书发送至所述第一网元，包括：
26.通过所述vnfm至少将所述第一数字证书发送至第一em，通过所述第一em将所述第一数字证书转发至所述第一网元；所述第一em为所述第一网元对应的em。
27.第二方面，本发明实施例还提供了一种信息处理方法，所述方法包括：
28.第二装置获得第一装置发送的证书申请请求，所述证书申请请求中至少包括第一数字证书；所述第一数字证书基于第一网元的证书描述信息和第一公私钥对生成；
29.基于特定私钥和所述第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；
30.获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；
31.向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
32.上述方案中，所述方法还包括：所述第二装置获得第一装置发送的证书更新请求，所述证书更新请求中包括新的第一数字证书以及第一签名；所述第一签名基于所述新的第一数字证书和所述第一公私钥中的私钥生成；
33.基于所述特定私钥和所述新的第一数字证书生成第三签名，向所述数字证书系统发送包含有所述新的第一数字证书、所述第一签名和所述第三签名的第二请求消息；所述数字证书系统用于对所述新的第一数字证书、所述第一签名和所述第三签名进行验证；
34.获得所述数字证书系统的第二响应消息；在所述数字证书系统对所述新的第一数字证书、所述第一签名和所述第三签名验证通过的情况下，所述响应消息中包括表征所述新的第一数字证书验证通过的指示信息；
35.向所述第一装置发送证书更新响应，所述证书更新响应中包括表征所述新的第一
数字证书验证通过的指示信息。
36.第三方面，本发明实施例还提供了一种信息处理方法，所述方法还包括：
37.第三装置接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；
38.从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；
39.向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。
40.上述方案中，所述方法还包括：所述第三装置接收数字证书系统发送的证书信息集合，存储所述证书信息集合。
41.第四方面，本发明实施例还提供了一种信息处理装置，所述装置包括：第一通信单元和第一处理单元；其中，
42.所述第一通信单元，用于获得待部署的第一网元的证书描述信息，以及获得第一公私钥对；
43.所述第一处理单元，用于基于所述证书描述信息和所述第一公私钥对生成第一数字证书；
44.所述第一通信单元，用于向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；所述第二装置用于利用数字证书系统对所述第一数字证书的进行验证；还用于在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元。
45.上述方案中，所述第一通信单元，还用于在所述第一处理单元确定所述第一数字证书满足预设条件时，获得新的第一公私钥对；
46.所述第一处理单元，还用于基于所述新的第一公私钥对和所述第一网元的证书描述信息生成新的第一数字证书，以及基于所述第一公私钥对中的私钥和所述新的第一数字证书生成第一签名；
47.所述第一通信单元，还用于向所述第二装置发送证书更新请求，所述证书更新请求中包括所述新的第一数字证书以及所述第一签名；所述第二装置用于利用所述数字证书系统对所述新的第一数字证书和所述第一签名进行验证；还用于在所述数字证书系统对所述新的第一数字证书和所述第一签名验证通过的情况下，至少将所述新的第一数字证书发送至所述第一网元，所述新的第一数字证书用于更新所述第一网元中的所述第一数字证书。
48.上述方案中，所述第一处理单元，用于确定所述第一数字证书的有效期限满足第一预设条件时，或者，确定所述第一数字证书的安全性不满足第二预设条件时，确定所述第一数字证书满足预设条件。
49.上述方案中，所述第一通信单元，用于从vnfm获得待部署的第一网元的证书描述信息；还用于从用于产生公私钥对的第四装置中获得第一公私钥对；所述第四装置位于nfvi中。
50.上述方案中，其特征在于，所述第一装置位于em中；各网元对应一个em；
51.所述第一通信单元，用于通过第一em至少将所述第一数字证书发送至所述第一网
元；所述第一em为所述第一网元对应的em。
52.上述方案中，所述第一装置位于vnfm中；
53.所述第一通信单元，用于通过所述vnfm至少将所述第一数字证书发送至第一em，通过所述第一em将所述第一数字证书转发至所述第一网元；所述第一em为所述第一网元对应的em。
54.第五方面，本发明实施例还提供了一种信息处理装置，所述装置包括：第二通信单元和第二处理单元；其中，
55.所述第二通信单元，用于获得第一装置发送的证书申请请求，所述证书申请请求中至少包括第一数字证书；所述第一数字证书基于第一网元的证书描述信息和第一公私钥对生成；
56.所述第二处理单元，用于基于特定私钥和所述第一数字证书生成第二签名；
57.所述第二通信单元，还用于向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；还用于获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；还用于向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
58.上述方案中，所述第二通信单元，还用于获得第一装置发送的证书更新请求，所述证书更新请求中包括新的第一数字证书以及第一签名；所述第一签名基于所述新的第一数字证书和所述第一公私钥中的私钥生成；
59.所述第二处理单元，还用于基于所述特定私钥和所述新的第一数字证书生成第三签名；
60.所述第二通信单元，还用于向所述数字证书系统发送包含有所述新的第一数字证书、所述第一签名和所述第三签名的第二请求消息；所述数字证书系统用于对所述新的第一数字证书、所述第一签名和所述第三签名进行验证；还用于获得所述数字证书系统的第二响应消息；在所述数字证书系统对所述新的第一数字证书、所述第一签名和所述第三签名验证通过的情况下，所述响应消息中包括表征所述新的第一数字证书验证通过的指示信息；还用于向所述第一装置发送证书更新响应，所述证书更新响应中包括表征所述新的第一数字证书验证通过的指示信息。
61.第六方面，本发明实施例还提供了一种信息处理装置，所述装置包括：第三通信单元和第三处理单元；其中，
62.所述第三通信单元，用于接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；
63.所述第三处理单元，用于从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；
64.所述第三通信单元，还用于向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。
65.上述方案中，所述装置还包括存储单元；
66.所述第三通信单元，还用于所述第三装置接收数字证书系统发送的证书信息集
合；
67.所述存储单元，用于存储所述证书信息集合。
68.第七方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明实施例第一方面、第二方面或第三方面所述方法的步骤。
69.第八方面，本发明实施例还提供了一种信息处理装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明实施例第一方面、第二方面或第三方面所述方法的步骤。
70.第九方面，本发明实施例还提供了一种信息处理系统，所述系统包括：第一装置、第二装置和用于产生公私钥对的第四装置；所述第四装置位于网络功能虚拟化基础设施nfvi中；其中，
71.所述第一装置，用于获得待部署的第一网元的证书描述信息，以及从所述第四装置获得第一公私钥对；基于所述证书描述信息和所述第一公私钥对生成第一数字证书；向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；还用于接收所述第二装置的证书申请响应；再所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息的情况下，至少将所述第一数字证书发送至所述第一网元；
72.所述第二装置，用于基于特定私钥和所述第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
73.上述方案中，所述系统还包括第三装置，用于接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息
74.本发明实施例提供的信息处理方法及系统、相关装置，一方面，第一装置获得待部署的第一网元的证书描述信息，以及获得第一公私钥对；基于所述证书描述信息和所述第一公私钥对生成第一数字证书；向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；所述第二装置用于利用数字证书系统对所述第一数字证书的进行验证；在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元；第二装置基于特定私钥和所述第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。如此，利用第一装置结合第二装置的证书申请功能实现了在各个vnf部署之前、对各个vnf的数字
证书的申请及自动化部署，避免各个vnf都采用相同的数字证书的情况下、一旦有任意vnf的数字证书出现安全问题则所有vnf都会面临安全风险的问题。
75.另一方面，第三装置接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。通过利用第三装置的证书查验功能实现了对数字证书的有效性进行查验。
附图说明
76.图1为本发明实施例的信息处理方法的流程示意图一；
77.图2为本发明实施例的信息处理方法的流程示意图二；
78.图3为本发明实施例的信息处理方法的流程示意图三；
79.图4为本发明实施例的信息处理方法应用的系统架构示意图一；
80.图5为本发明实施例的信息处理方法的交互流程示意图一；
81.图6为本发明实施例的信息处理方法的交互流程示意图二；
82.图7为本发明实施例的信息处理方法的交互流程示意图三；
83.图8为本发明实施例的信息处理方法应用的系统架构示意图二；
84.图9为本发明实施例的信息处理方法的交互流程示意图四；
85.图10为本发明实施例的信息处理方法的交互流程示意图五；
86.图11为本发明实施例的信息处理装置的组成结构示意图一；
87.图12为本发明实施例的信息处理装置的组成结构示意图二；
88.图13为本发明实施例的信息处理装置的组成结构示意图三；
89.图14为本发明实施例的信息处理装置的硬件组成结构示意图。
具体实施方式
90.下面结合附图及具体实施例对本发明作进一步详细的说明。
91.在对本发明实施例的信息处理方法进行详细说明之前，首先对本发明信息处理方法涉及到的装置进行简单说明。
92.本实施例的信息处理方法应用的系统可包括第一装置、第二装置和第四装置；其中，第一装置也可称为证书管理装置，第二装置也可称为证书申请装置，第四装置也可称为公私钥对产生装置。
93.其中，所述公私钥对产生装置，具体用于利用密码学算法产生公私钥对。
94.所述证书管理装置，一方面具有证书产生功能，利用公私钥对产生装置产生的公私钥对和来自vnfm的vnf的证书描述信息产生数字证书，将数字证书通过证书申请请求发送给证书申请装置；将公私钥对中的私钥和数字证书发送给对应的vnf；其中，产生的数字证书也可称为自签名数字证书。
95.证书申请装置是基于区块链技术的数字证书管理系统中的可信节点，拥有独立的私钥和公钥，其中私钥用于签名，公钥用于标识在区块链中的身份；具体用于接收来自证书管理装置的证书申请请求，并将证书申请请求提交给数字证书管理系统，由数字证书管理
系统对证书申请请求中的数字证书进行验证，并向证书管理装置反馈证书申请响应。
96.进一步地，所述证书管理装置另一方面还具有证书更新功能，用于在vnf的数字证书临期或者安全性不足的情况下，产生新的数字证书，并将新的数字证书通过证书更新请求发送给证书申请装置；将公私钥对中的私钥和新的数字证书发送给对应的vnf；其中，产生的数字证书也可称为自签名数字证书。
97.证书申请装置用于接收来自证书管理装置的证书更新请求，并将证书更新请求提交给数字证书管理系统，由数字证书管理系统对证书更新请求中的新的数字证书进行验证，并向证书管理装置反馈证书更新响应。
98.在一些可选实施例中，系统还可包括第三装置，所述第三装置也可称为证书查询装置，接入区块链技术的数字证书管理系统中，接收数字证书管理系统产生的新区块，并解析出新区块中的数字证书的信息，为vnf提供数字证书查询服务。可选地，证书查询装置可以部署于内网和互联网边界，为内网设备提供证书查询服务。
99.基于前述所述，本发明实施例提供了一种信息处理方法。图1为本发明实施例的信息处理方法的流程示意图一；如图1所示，所述方法包括：
100.步骤101：第一装置获得待部署的第一网元的证书描述信息，以及获得第一公私钥对；
101.步骤102：基于所述证书描述信息和所述第一公私钥对生成第一数字证书；
102.步骤103：向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；所述第二装置用于利用数字证书系统对所述第一数字证书的进行验证；
103.步骤104：在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元。
104.本实施例中，第一装置可以为证书管理装置，可选地，所述第一装置可位于nfv架构中的网元管理(em)中，或者，所述第一装置可位于nfv架构中的vnfm中。
105.本实施例中的各网元(例如第一网元)，具体可以是nfv架构中的vnf。
106.本实施例中，nfv架构中的vnfm中具有待部署的vnf的配置文件，vnf的配置文件包括证书描述信息。在一些可选实施例中，证书描述信息中可包括证书标识(id)。在另一些可选实施例中，证书描述信息中可包括证书标识(id)和证书格式等信息。示例性的，证书格式信息可包括数字证书中携带的字段。示例性的，证书标识(id)可以是vnf的域名、ip地址、设备标识中的至少一种信息；若证书标识(id)包括上述信息中的两种或两种以上，则证书标识(id)可通过上述两种或两种以上信息的组合形式表示。
107.基于此，在本发明的一些可选实施例中，所述第一装置获得待部署的第一网元的证书描述信息，包括：所述第一装置从vnfm获得待部署的第一网元的证书描述信息；所述获得第一公私钥对，包括：所述第一装置从用于产生公私钥对的第四装置中获得第一公私钥对；所述第四装置位于网络功能虚拟化基础设施nfvi中。
108.本实施例中，第一装置基于所述证书描述信息和所述第一公私钥对生成第一数字证书。在一些可选实施例中，第一装置可基于证书标识和第一公私钥对生成第一数字证书；该第一数字证书可称为第一自签名数字证书。示例性的，若证书描述信息中的证书标识为vnf的域名，则第一数字证书中的识别名(dn，distinguished name)项为上述vnf的域名。
109.本实施例中，第一装置将生成的第一数字证书通过证书申请请求发送至第二装
置，上述第二装置也即前述证书申请装置。可选地，证书申请请求中可包括上述第一数字证书和待部署的第一网元(例如vnf)的信息；例如第一网元的标识等信息。
110.本实施例中，第二装置为基于区块链技术的数字证书管理系统中的可信节点，通过数字证书系统对第一数字证书进行验证。则在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元。
111.在本发明的一些可选实施例中，所述第一装置位于em中；各网元对应一个em；所述至少将所述第一数字证书发送至所述第一网元，包括：通过第一em至少将所述第一数字证书发送至所述第一网元；所述第一em为所述第一网元对应的em。
112.在本发明的一些可选实施例中，所述第一装置位于vnfm中；所述至少将所述第一数字证书发送至所述第一网元，包括：通过所述vnfm至少将所述第一数字证书发送至第一em，通过所述第一em将所述第一数字证书转发至所述第一网元；所述第一em为所述第一网元对应的em。
113.可选地，第一装置将第一数字证书发送至第一网元的同时，还可将所述第一公私钥对中的私钥发送至所述第一网元。
114.在本发明的一些可选实施例中，所述方法还包括：所述第一装置确定所述第一数字证书满足预设条件时，获得新的第一公私钥对；基于所述新的第一公私钥对和所述第一网元的证书描述信息生成新的第一数字证书，以及基于所述第一公私钥对中的私钥和所述新的第一数字证书生成第一签名；向所述第二装置发送证书更新请求，所述证书更新请求中包括所述新的第一数字证书以及所述第一签名；所述第二装置用于利用所述数字证书系统对所述新的第一数字证书和所述第一签名进行验证；在所述数字证书系统对所述新的第一数字证书和所述第一签名验证通过的情况下，至少将所述新的第一数字证书发送至所述第一网元，所述新的第一数字证书用于更新所述第一网元中的所述第一数字证书。
115.在本发明的一些可选实施例中，所述第一装置确定所述第一数字证书满足预设条件，包括：所述第一装置确定所述第一数字证书的有效期限满足第一预设条件时，或者，确定所述第一数字证书的安全性不满足第二预设条件时，确定所述第一数字证书满足预设条件。
116.本实施例中，在第一数字证书邻近过期或者第一数字证书的安全性不足的情况下，需要发起更新数字证书的流程。则第一装置重新通过第四装置获得新的第一公私钥对，并基于新的第一公私钥对和所述第一网元的原证书描述信息(例如vnf的标识)生成新的第一数字证书，并且基于原本的第一公私钥对中的私钥对新的第一数字证书进行签名，得到第一签名；将新的第一数字证书和第一签名通过证书更新请求发送至第二装置。第二装置通过数字证书系统对新的第一数字证书进行验证。则在所述数字证书系统对新的第一数字证书验证通过的情况下，至少将新的第一数字证书发送至所述第一网元。可选地，第一装置将新的第一数字证书和心的第一公私钥对中的私钥发送至第一网元。
117.基于前述实施例，本发明实施例还提供了一种信息处理方法。图2为本发明实施例的信息处理方法的流程示意图二；如图2所示，所述方法包括：
118.步骤201：第二装置获得第一装置发送的证书申请请求，所述证书申请请求中至少包括第一数字证书；所述第一数字证书基于第一网元的证书描述信息和第一公私钥对生成；
119.步骤202：基于特定私钥和所述第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；
120.步骤203：获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；
121.步骤204：向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
122.本实施例中，第二装置接收到证书申请请求后，基于其自身独立的私钥(即特定私钥)和第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；数字证书系统对第一数字证书和第二签名进行验证；验证通过后，数字证书系统将第一数字证书及其状态信息记录到区块链中，第一数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。第二装置向第一装置发送证书申请响应。
123.在本发明的一些可选实施例中，所述方法还包括：所述第二装置获得第一装置发送的证书更新请求，所述证书更新请求中包括新的第一数字证书以及第一签名；所述第一签名基于所述新的第一数字证书和所述第一公私钥中的私钥生成；基于所述特定私钥和所述新的第一数字证书生成第三签名，向所述数字证书系统发送包含有所述新的第一数字证书、所述第一签名和所述第三签名的第二请求消息；所述数字证书系统用于对所述新的第一数字证书、所述第一签名和所述第三签名进行验证；获得所述数字证书系统的第二响应消息；在所述数字证书系统对所述新的第一数字证书、所述第一签名和所述第三签名验证通过的情况下，所述响应消息中包括表征所述新的第一数字证书验证通过的指示信息；向所述第一装置发送证书更新响应，所述证书更新响应中包括表征所述新的第一数字证书验证通过的指示信息。
124.本实施例中，在第一数字证书邻近过期或者第一数字证书的安全性不足的情况下，需要发起更新数字证书的流程。则第二装置接收到包含有新的第一数字证书和第一签名的证书更新请求。第二装置基于自身的私钥(即特定私钥)和所述新的第一数字证书生成第三签名，向所述数字证书系统发送包含有所述新的第一数字证书、所述第一签名和所述第三签名的第二请求消息，由数字证书系统对上述新的第一数字证书、第一签名和第三签名进行验证；验证通过后，数字证书系统将新的第一数字证书及其状态信息记录到区块链中，新的第一数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。第二装置向第一装置发送证书更新响应。
125.采用本发明实施例的技术方案，利用第一装置结合第二装置的证书申请功能实现了在各个vnf部署之前、对各个vnf的数字证书的申请及自动化部署，避免各个vnf都采用相同的数字证书的情况下、一旦有任意vnf的数字证书出现安全问题则所有vnf都会面临安全风险的问题。
126.本发明实施例还提供了一种信息处理方法。图3为本发明实施例的信息处理方法的流程示意图三；如图3所示，所述方法包括：
127.步骤301：第三装置接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；
128.步骤302：从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；
129.步骤303：向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。
130.在本发明的一些可选实施例中，所述方法还包括：所述第三装置接收数字证书系统发送的证书信息集合，存储所述证书信息集合。
131.本实施例的技术方案通过利用第三装置的证书查验功能实现了对数字证书的有效性进行查验。本实施例的第三装置可以部署在内网和互联网边界，解决内网vnf无法使用传统ocsp/crl方式查询证书有效性的问题。
132.下面结合具体的示例对本发明实施例的信息处理方法进行说明。在以下各示例中，均以上述实施例中的第一装置为证书管理装置、第二装置为证书申请装置、第三装置为证书查询装置、第四装置为公私钥对产生装置、网元为vnf为例进行说明。
133.场景一
134.在本场景中，图4为本发明实施例的信息处理方法应用的系统架构示意图一；如图4所示，证书管理装置位于各个em中，每个em对应于一个vnf；公私钥对产生装置位于nfvi中。下面结合vnf的证书部署过程、证书查询过程以及证书更新过程为示例进行说明。
135.示例一
136.图5为本发明实施例的信息处理方法的交互流程示意图一；如图5所示，包括：
137.步骤401至步骤402：证书管理装置通过em从vnfm获得vnf的配置文件(vnfd)，从vnfd中获得vnf证书描述信息。
138.在vnf部署之前，vnfm在vnf的配置文件(vnfd)中注明对数字证书的描述，包括证书格式、证书id等信息。示例性的，证书格式可以是证书中携带的字段，证书id可以为vnf的域名、ip地址、设备标识中的至少一种信息。
139.步骤403：在vnf部署时，位于em中的证书管理装置从公私钥对产生装置申请公私钥对，公私钥对产生装置产生公私钥对，并基于证书管理装置的申请向证书管理装置发送公私钥对。
140.步骤404：证书管理装置依据证书描述信息和公私钥对生成自签名数字证书(即前述第一数字证书)。如果证书描述信息中的证书id为vnf的域名，则自签名数字证书中，证书的dn项为vnf的域名。
141.步骤405：证书管理装置向证书申请装置发送证书申请请求，证书申请请求中包括自签名数字证书和待部署的vnf信息。
142.步骤406至步骤407：证书申请装置接收到证书申请请求后，向数字证书系统发送证书发布请求，数字证书系统向证书申请装置发送证书发布响应。
143.其中，证书申请装置基于自身的私钥对自签名数字证书进行签名，将自签名数字证书以及签名通过证书发布请求发送至基于区块链的数字证书系统中。基于区块链的数字证书系统将对自签名数字证书进行验证，以及对签名进行验证；通过验证以及共识之后，该自签名数字证书及其状态将被记录到区块链当中。数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。
144.步骤408至410：证书申请装置向证书管理装置发送证书申请响应；证书管理装置
通过em将公私钥对中的私钥和自签名数字证书发送至相应的vnf。
145.示例二
146.图6为本发明实施例的信息处理方法的交互流程示意图二；如图6所示，包括：
147.步骤501：在证书信息维护阶段，证书查询装置接收来自数字证书系统的新区块，在本地进行数字证书及其状态信息的更新和维护。
148.示例性的，新区块中包含有数字证书系统中在一段时间范围内新验证通过的数字证书及其状态信息。其中，所述状态信息可表征数字证书是否有效，例如状态信息可表示对应的数字证书处于有效状态或撤销状态等等。
149.步骤502至步骤504：当vnf接收到来自其他vnf的数字证书时，vnf向证书查询装置发送证书查询请求；证书查询装置检索出与证书信息对应的数字证书及其状态信息，将结果作为证书查询响应发送至vnf。
150.本实施例中，证书查询请求中可包括待查询的证书信息。所述证书信息例如可以是证书id，或者证书散列值等。
151.进一步地，vnf接收到来自证书查询装置的证书查询响应，对数字证书的有效性进行验证。
152.示例三
153.本示例为证书更新流程，当vnf的数字证书临近过期，或者数字证书不再安全时，证书管理装置发起证书更新过程。图7为本发明实施例的信息处理方法的交互流程示意图三；如图7所示，包括：
154.步骤601至步骤604：位于相应vnf的em中的证书管理装置从公私钥对产生装置获取新公私钥对，证书管理装置生成新的自签名数字证书(例如前述新的第一数字证书)。
155.本实施例中，证书管理装置可依据vnf的原数字证书的描述信息(例如证书id)和新公私钥对，生成新的自签名数字证书。
156.步骤605：证书管理装置向证书申请装置发送证书更新请求，证书更新请求中包括新的自签名数字证书，以及证书管理装置基于原私钥对新的自签名数字证书的签名。
157.步骤606至步骤607：证书申请装置接收到数字证书更新请求后，将数字证书系统发送证书发布请求；数字证书系统向证书申请装置发送证书发布响应。
158.其中，证书申请装置基于自身的私钥对新的自签名数字证书进行签名，将新的自签名数字证书以及签名(包括证书管理装置基于原私钥进行的签名以及证书申请装置基于自身的私钥进行的签名)通过证书发布请求发送至基于区块链的数字证书系统中。基于区块链的数字证书系统将对自签名数字证书进行验证，以及对签名进行验证；通过验证以及共识之后，该自签名数字证书及其状态将被记录到区块链当中。数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。
159.步骤608至步骤610：证书申请装置向证书管理装置发送证书申请响应；证书管理装置通过em将新公私钥对中的私钥和新的自签名数字证书发送至相应的vnf。
160.需要说明的是，vnf证书更新过程可以采用重新部署vnf的方式，关闭原vnf，部署新的vnf，在部署过程中使用新的数字证书。
161.场景二
162.在本场景中，在本场景中，图8为本发明实施例的信息处理方法应用的系统架构示
意图二；如图8所示，证书管理装置位于vnfm中；公私钥对产生装置位于nfvi中。下面结合vnf的证书部署过程、证书查询过程以及证书更新过程为示例进行说明。
163.示例四
164.图9为本发明实施例的信息处理方法的交互流程示意图四；如图9所示，包括：
165.步骤701：证书管理装置通过em从vnfm获得vnf的证书描述信息。
166.在vnf部署之前，vnfm在vnf的配置文件vnfd中注明对数字证书的描述，包括证书格式，证书id等信息。例如，证书格式可以是证书中携带的字段，证书id可以要求为vnf的域名、ip地址、设备标识，以及上述信息的组合等。
167.步骤702至步骤704：证书管理装置从公私钥对产生装置申请公私钥对，公私钥对产生装置产生公私钥对，并基于证书管理装置的申请向证书管理装置发送公私钥对。
168.步骤705：证书管理装置依据证书描述信息和公私钥对生成自签名数字证书(即前述第一数字证书)。如果证书描述信息中的证书id为vnf的域名，则自签名数字证书中，证书的dn项为vnf的域名。
169.步骤706：证书管理装置向证书申请装置发送证书申请请求，证书申请请求中包括自签名数字证书和待部署的vnf信息。
170.步骤707至步骤708：证书申请装置接收到证书申请请求后，向数字证书系统发送证书发布请求，数字证书系统向证书申请装置发送证书发布响应。
171.其中，证书申请装置基于自身的私钥对自签名数字证书进行签名，将自签名数字证书以及签名通过证书发布请求发送至基于区块链的数字证书系统中。基于区块链的数字证书系统将对自签名数字证书进行验证，以及对签名进行验证；通过验证以及共识之后，该自签名数字证书及其状态将被记录到区块链当中。数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。
172.步骤709至步骤711：证书申请装置向证书管理装置发送证书申请响应；证书管理装置将公私钥对中的私钥和自签名数字证书发送至vnfm，vnfm将vnfd、私钥和自签名数字证书发送至相应的em。
173.可选地，由于私钥和自签名数字证书都可以是一串十六进制编码，因此可以将私钥和自签名数字证书作为vnfd的一部分发送至em，用于部署和配置vnf。
174.示例五
175.本示例中有关于证书查询流程，具体可参照前述示例二的处理流程，这里不再赘述。
176.示例六
177.本示例为证书更新流程，当vnf的数字证书临近过期，或者数字证书不再安全时，证书管理装置发起证书更新过程。图10为本发明实施例的信息处理方法的交互流程示意图五；如图10所示，包括：
178.步骤801至步骤804：证书管理装置从公私钥对产生装置获取新公私钥对，证书管理装置生成新的自签名数字证书(例如前述新的第一数字证书)。
179.本实施例中，证书管理装置可依据vnf的原数字证书的描述信息(例如证书id)和新公私钥对，生成新的自签名数字证书。
180.步骤805：证书管理装置向证书申请装置发送证书更新请求，证书更新请求中包括
新的自签名数字证书，以及证书管理装置基于原私钥对新的自签名数字证书的签名。
181.步骤806至步骤807：证书申请装置接收到数字证书更新请求后，将数字证书系统发送证书发布请求；数字证书系统向证书申请装置发送证书发布响应。
182.其中，证书申请装置基于自身的私钥对新的自签名数字证书进行签名，将新的自签名数字证书以及签名(包括证书管理装置基于原私钥进行的签名以及证书申请装置基于自身的私钥进行的签名)通过证书发布请求发送至基于区块链的数字证书系统中。基于区块链的数字证书系统将对自签名数字证书进行验证，以及对签名进行验证；通过验证以及共识之后，该自签名数字证书及其状态将被记录到区块链当中。数字证书一旦被记录到区块链当中，就被区块链中的所有节点认可。
183.步骤808至步骤810：证书申请装置向证书管理装置发送证书申请响应；证书管理装置通过vnfm将新公私钥对中的私钥和新的自签名数字证书发送至相应的em，由em发给对应的vnf。
184.本发明实施例还提供了一种信息处理装置。图11为本发明实施例的信息处理装置的组成结构示意图一；如图11所示，所述装置包括：第一通信单元11和第一处理单元12；其中，
185.所述第一通信单元11，用于获得待部署的第一网元的证书描述信息，以及获得第一公私钥对；
186.所述第一处理单元12，用于基于所述证书描述信息和所述第一公私钥对生成第一数字证书；
187.所述第一通信单元11，用于向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；所述第二装置用于利用数字证书系统对所述第一数字证书的进行验证；还用于在所述数字证书系统对所述第一数字证书验证通过的情况下，至少将所述第一数字证书发送至所述第一网元。
188.在本发明的一些可选实施例中，所述第一通信单元11，还用于在所述第一处理单元12确定所述第一数字证书满足预设条件时，获得新的第一公私钥对；
189.所述第一处理单元12，还用于基于所述新的第一公私钥对和所述第一网元的证书描述信息生成新的第一数字证书，以及基于所述第一公私钥对中的私钥和所述新的第一数字证书生成第一签名；
190.所述第一通信单元11，还用于向所述第二装置发送证书更新请求，所述证书更新请求中包括所述新的第一数字证书以及所述第一签名；所述第二装置用于利用所述数字证书系统对所述新的第一数字证书和所述第一签名进行验证；还用于在所述数字证书系统对所述新的第一数字证书和所述第一签名验证通过的情况下，至少将所述新的第一数字证书发送至所述第一网元，所述新的第一数字证书用于更新所述第一网元中的所述第一数字证书。
191.在本发明的一些可选实施例中，所述第一处理单元12，用于确定所述第一数字证书的有效期限满足第一预设条件时，或者，确定所述第一数字证书的安全性不满足第二预设条件时，确定所述第一数字证书满足预设条件。
192.在本发明的一些可选实施例中，所述第一通信单元11，用于从vnfm获得待部署的第一网元的证书描述信息；还用于从用于产生公私钥对的第四装置中获得第一公私钥对；
所述第四装置位于nfvi中。
193.在本发明的一些可选实施例中，所述第一装置位于em中；各网元对应一个em；
194.所述第一通信单元11，用于通过第一em至少将所述第一数字证书发送至所述第一网元；所述第一em为所述第一网元对应的em。
195.在本发明的一些可选实施例中，所述第一装置位于vnfm中；所述第一通信单元11，用于通过所述vnfm至少将所述第一数字证书发送至第一em，通过所述第一em将所述第一数字证书转发至所述第一网元；所述第一em为所述第一网元对应的em。
196.本发明实施例中，所述装置中的第一处理单元12，在实际应用中可由中央处理器(cpu，central processing unit)、数字信号处理器(dsp，digital signal processor)、微控制单元(mcu，microcontroller unit)或可编程门阵列(fpga，field－programmable gate array)实现；所述装置中的第一通信单元11，在实际应用中可通过通信模组(包含：基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
197.需要说明的是：上述实施例提供的信息处理装置在进行信息处理时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的信息处理装置与信息处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
198.本发明实施例还提供了一种信息处理装置。图12为本发明实施例的信息处理装置的组成结构示意图二；如图12所示，所述装置包括：第二通信单元21和第二处理单元22；其中，
199.所述第二通信单元21，用于获得第一装置发送的证书申请请求，所述证书申请请求中至少包括第一数字证书；所述第一数字证书基于第一网元的证书描述信息和第一公私钥对生成；
200.所述第二处理单元22，用于基于特定私钥和所述第一数字证书生成第二签名；
201.所述第二通信单元21，还用于向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；还用于获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；还用于向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
202.在本发明的一些可选实施例中，所述第二通信单元21，还用于获得第一装置发送的证书更新请求，所述证书更新请求中包括新的第一数字证书以及第一签名；所述第一签名基于所述新的第一数字证书和所述第一公私钥中的私钥生成；
203.所述第二处理单元22，还用于基于所述特定私钥和所述新的第一数字证书生成第三签名；
204.所述第二通信单元21，还用于向所述数字证书系统发送包含有所述新的第一数字证书、所述第一签名和所述第三签名的第二请求消息；所述数字证书系统用于对所述新的第一数字证书、所述第一签名和所述第三签名进行验证；还用于获得所述数字证书系统的第二响应消息；在所述数字证书系统对所述新的第一数字证书、所述第一签名和所述第三
签名验证通过的情况下，所述响应消息中包括表征所述新的第一数字证书验证通过的指示信息；还用于向所述第一装置发送证书更新响应，所述证书更新响应中包括表征所述新的第一数字证书验证通过的指示信息。
205.本发明实施例中，所述装置中的第二处理单元22，在实际应用中可由cpu、dsp、mcu或fpga实现；所述装置中的第二通信单元21，在实际应用中可通过通信模组(包含：基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
206.需要说明的是：上述实施例提供的信息处理装置在进行信息处理时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的信息处理装置与信息处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
207.本发明实施例还提供了一种信息处理装置。图13为本发明实施例的信息处理装置的组成结构示意图三；如图13所示，所述装置包括：第三通信单元31和第三处理单元32；其中，
208.所述第三通信单元31，用于接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；
209.所述第三处理单元32，用于从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；
210.所述第三通信单元31，还用于向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。
211.在本发明的一些可选实施例中，所述装置还包括存储单元；
212.所述第三通信单元31，还用于所述第三装置接收数字证书系统发送的证书信息集合；
213.所述存储单元，用于存储所述证书信息集合。
214.本发明实施例中，所述装置中的第三处理单元32，在实际应用中可由cpu、dsp、mcu或fpga实现；所述装置中的存储单元，在实际应用中可由存储器实现；所述装置中的第三通信单元31，在实际应用中可通过通信模组(包含：基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
215.需要说明的是：上述实施例提供的信息处理装置在进行信息处理时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的信息处理装置与信息处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
216.本发明实施例还提供了一种信息处理装置，图14为本发明实施例的信息处理装置的硬件组成结构示意图，如图14所示，信息处理装置包括存储器42、处理器41及存储在存储器42上并可在处理器41上运行的计算机程序，所述处理器41执行所述程序时实现应用于第一装置、第二装置或第三装置中的所述信息处理方法的步骤。
217.可选地，信息处理装置中还可包括网络接口43。可以理解，信息处理装置中的各个组件通过总线系统44耦合在一起。可理解，总线系统44用于实现这些组件之间的连接通信。
总线系统44除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图14中将各种总线都标为总线系统44。
218.可以理解，存储器42可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-only memory)、可擦除可编程只读存储器(eprom，erasable programmableread-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本发明实施例描述的存储器42旨在包括但不限于这些和任意其它适合类型的存储器。
219.上述本发明实施例揭示的方法可以应用于处理器41中，或者由处理器41实现。处理器41可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器41中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器41可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器41可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器42，处理器41读取存储器42中的信息，结合其硬件完成前述方法的步骤。
220.在示例性实施例中，信息处理装置可以被一个或多个应用专用集成电路(asic，application specific integrated circuit)、dsp、可编程逻辑器件(pld，programmable logic device)、复杂可编程逻辑器件(cpld，complex programmable logic device)、现场可编程门阵列(fpga，field-programmable gate array)、通用处理器、控制器、mcu、微处理器(microprocessor)、或其他电子元件实现，用于执行前述方法。
221.在示例性实施例中，本发明实施例还提供了一种计算机可读存储介质，例如包括计算机程序的存储器42，上述计算机程序可由信息处理装置的处理器41执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器；也可以是包括上述存储器之一或任意组合的各种设备。
222.本发明实施例提供的一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现应用于第一装置、第二装置或第三装置中的所述信息处理方法的步骤。
223.本发明实施例还提供了一种信息处理系统，所述信息处理系统可采用前述图4或图8所示的部署方式。所述系统包括：第一装置、第二装置和用于产生公私钥对的第四装置；所述第四装置位于网络功能虚拟化基础设施nfvi中；其中，
224.所述第一装置，用于获得待部署的第一网元的证书描述信息，以及从所述第四装置获得第一公私钥对；基于所述证书描述信息和所述第一公私钥对生成第一数字证书；向第二装置发送证书申请请求，所述证书申请请求中至少包括所述第一数字证书；还用于接收所述第二装置的证书申请响应；再所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息的情况下，至少将所述第一数字证书发送至所述第一网元；
225.所述第二装置，用于基于特定私钥和所述第一数字证书生成第二签名，向数字证书系统发送包含有所述第一数字证书和所述第二签名的第一请求消息；所述数字证书系统用于对所述第一数字证书和所述第二签名进行验证；获得所述数字证书系统的第一响应消息；在所述数字证书系统对所述第一数字证书和所述第二签名验证通过的情况下，所述响应消息中包括表征所述第一数字证书验证通过的指示信息；向所述第一装置发送证书申请响应，所述证书申请响应中包括表征所述第一数字证书验证通过的指示信息。
226.在本发明的一些可选实施例中，所述系统还包括第三装置，用于接收第一网元的证书查询请求；所述证书查询请求中包括待查询的第一证书信息；从预先存储的证书信息集合中检索出与所述第一证书信息对应的数字证书以及检索出的所述数字证书对应的状态信息；向所述第一网元发送证书查询响应；所述证书查询响应包括所述数字证书以及所述数字证书对应的状态信息。
227.本技术所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
228.本技术所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。
229.本技术所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。
230.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
231.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
232.另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述
集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
233.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
234.或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
235.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。