数字证书更新方法、装置、计算机设备和存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种数字证书更新方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书是一种权威性的电子文档，它提供了一种在网络上验证身份的方式。其作用类似于司机的驾驶执照或日常生活中的身份证。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。一般而言，数字证书都会有一定的使用期限，以此来进一步提高安全管控效果。因此，保证数字证书持续有效，是维持网络安全的重要措施。目前对数字证书更新的方式通常是用户手动对数字证书进行更新，然而，通过用户手动更新的方式更新数字证书，更新速度较慢。
3.因此，目前的数字证书更新方式存在更新效率低的缺陷。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高更新效率的数字证书更新方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
5.第一方面，本技术提供了一种数字证书更新方法，应用于服务器，所述方法包括：
6.接收到用户终端发送的数字证书更新请求；所述数字证书更新请求包括待更新数字证书、用户信息以及数字签名；
7.若检测到所述待更新数字证书的有效时间小于预设时间阈值，获取所述待更新数字证书对应的已验证用户信息和已验证数字签名，根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及所述数字签名；
8.若所述验证通过，通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端；所述用户终端用于将所述新的数字证书替换所述待更新数字证书。
9.在其中一个实施例中，所述方法还包括：
10.检测到所述用户终端发送的请求信息包含初始用户信息的初次数字证书请求，通过证书服务器对所述初始用户信息进行初始验证；
11.若所述初始验证通过，获取所述证书服务器生成的所述初始用户信息对应的已验证数字证书，将所述已验证数字证书发送至所述用户终端；所述用户终端用于存储所述已验证数字证书并向所述服务器返回对应的初始数字签名；
12.将所述初始数字签名作为已验证数字签名并存储。
13.在其中一个实施例中，所述用户信息包括用户终端的私钥以及用户标识；
14.所述根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及
所述数字签名，包括：
15.获取所述已验证用户信息中的已验证私钥与所述用户信息中的私钥第一匹配度；
16.获取所述已验证用户信息中的已验证用户标识与所述用户信息中的用户标识的第二匹配度；
17.获取所述已验证数字签名与所述用户信息中的数字签名的第三匹配度；
18.若所述第一匹配度大于或等于第一匹配度阈值、所述第二匹配度大于或等于第二匹配度阈值以及所述第三匹配度大于或等于第三匹配度阈值，确定验证所述用户信息以及所述数字签名通过。
19.在其中一个实施例中，所述接收到用户终端发送的数字证书更新请求之后，还包括：
20.若检测到所述待更新数字证书已失效且所述用户终端中已存在新的数字证书，向所述用户终端发送数字证书检测请求；所述用户终端用于根据所述数字证书检测请求，向所述服务器发送所述新的数字证书；
21.接收所述新的数字证书并对所述新的数字证书进行病毒查杀。
22.在其中一个实施例中，所述通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端，包括：
23.通过证书服务器基于上述待更新数字证书生成新的数字证书，对所述新的数字证书进行非对称加密，得到加密后的数字证书；
24.将所述加密后的数字证书发送至所述用户终端。
25.第二方面，本技术提供了一种数字证书更新方法，应用于用户终端，所述方法还包括：
26.响应于数字证书更新指令，根据待更新数字证书、用户信息以及数字签名生成数字证书更新请求；
27.将所述数字证书更新请求发送至服务器；所述服务器用于接收到用户终端发送的数字证书更新请求，若检测到所述待更新数字证书的有效时间小于预设时间阈值，获取所述待更新数字证书对应的已验证用户信息和已验证数字签名，根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及所述数字签名；若所述验证通过，通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端；
28.根据所述新的数字证书替换所述待更新数字证书并存储。
29.第三方面，本技术提供了一种数字证书更新装置，应用于服务器，所述装置包括：
30.接收模块，用于接收到用户终端发送的数字证书更新请求；所述数字证书更新请求包括待更新数字证书、用户信息以及数字签名；
31.验证模块，用于若检测到所述待更新数字证书的有效时间小于预设时间阈值，获取所述待更新数字证书对应的已验证用户信息和已验证数字签名，根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及所述数字签名；
32.更新模块，用于若所述验证通过，通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端；所述用户终端用于将所述新的数字证书替换所述待更新数字证书。
33.第四方面，本技术提供了一种数字证书更新装置，应用于用户终端，所述装置包括：
34.生成模块，用于响应于数字证书更新指令，根据待更新数字证书、用户信息以及数字签名生成数字证书更新请求；
35.发送模块，用于将所述数字证书更新请求发送至服务器；所述服务器用于接收到用户终端发送的数字证书更新请求，若检测到所述待更新数字证书的有效时间小于预设时间阈值，获取所述待更新数字证书对应的已验证用户信息和已验证数字签名，根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及所述数字签名；若所述验证通过，通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端；
36.存储模块，用于根据所述新的数字证书替换所述待更新数字证书并存储。
37.第五方面，本技术提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法的步骤。
38.第六方面，本技术提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法的步骤。
39.上述数字证书更新方法、装置、计算机设备、存储介质和计算机程序产品，通过在接收到用户终端发送的数字证书更新请求后，若检测到请求中待更新数字证书的有效时间小于预设时间阈值，根据待更新数字证书对应的已验证用户信息和已验证数字签名，验证用户信息和数字签名，若验证通过，则通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端，用户终端可以将新的数字证书替换掉原本的待更新数字证书。相较于传统的需要用户手动更新数字证书的方式，本方案通过基于用户终端的数字证书更新请求，对用户终端的证书更新资格进行验证，从而实现对用户终端的数字证书的更新，提高了数字证书更新的效率。
附图说明
40.图1为一个实施例中数字证书更新方法的应用环境图；
41.图2为另一个实施例中数字证书更新方法的应用环境图；
42.图3为一个实施例中数字证书更新方法的流程示意图；
43.图4为另一个实施例中数字证书更新方法的流程示意图；
44.图5为又一个实施例中数字证书更新方法的流程示意图；
45.图6为一个实施例中数字证书更新装置的结构框图；
46.图7为一个实施例中数字证书更新装置的结构框图；
47.图8为一个实施例中计算机设备的内部结构图。
具体实施方式
48.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
49.本技术实施例提供的数字证书更新方法，可以应用于如图1所示的应用环境中。其
中，用户终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器上。用户终端102可以将数字证书更新请求发送至服务器104，服务器104可以对该数字证书更新请求进行多种验证，并在验证通过该后生成新的数字证书发送至用户终端102，用户终端102可以接收新的数字证书并替换旧的数字证书，完成对数字证书的更新。另外，在一些实施例中，上述数字证书跟新方法还可以应用于如图2所示的应用环境中。其中，包括网络平台，即上述服务器104，网络平台中包括ca服务器，分配单元、判断单元、评估单元等。还包括用户中心，即上述用户终端102，用户中心可以包括采集单元、预处理单元、无线收发单元和更新单元等。其中，用户终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备，物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
50.在一个实施例中，如图3所示，提供了一种数字证书更新方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：
51.步骤s202，接收到用户终端发送的数字证书更新请求；数字证书更新请求包括待更新数字证书、用户信息以及数字签名。
52.其中，用户终端102可以是需要进行数字证书更新的设备，即用户终端102中可以存储有数字证书。用户终端102中的数字证书有对应的有效时间，数字证书在用户终端102中存在超过有效时间时，用户终端102会判定该数字证书失效。因此用户终端102需要定时对数字证书进行更新。数字证书需要更新时，用户终端102可以检测到数字证书的异常情况，从而提示用户对数字证书进行更新，用户可以在用户终端102中触发数字证书更新请求，该数字证书更新请求中包括待更新数字证书、用户信息和数字签名等信息。用户终端102可以将上述包含待更新数字证书、用户信息和数字签名的数字证书更新请求发送至服务器104，服务器104可以接收用户终端102发送的数字证书更新请求。其中，上述待更新数字证书可以是需要进行更新验证的数字证书，上述用户信息可以是使用用户终端102的用户，用户信息可以存储在用户终端102中，也可以是由用户主动输入，上述数字签名可以是用户对数字证书的数字签名。
53.其中，上述数字证书更新请求中的各个信息可以是签核数据，则服务器104可以接收用户在用户终端102中输入的各种签核数据。例如，当用户终端102的采集单元8采集到数字证书有效期即将到期或已经到期时，可以提示用户更新数字证书，用户终端102通过采集单元8将异常情况的数字证书发送至预处理单元9对所述数字证书进行数据签核操作生成签核数据，并将所述签核数据发送给服务器104。
54.步骤s204，若检测到待更新数字证书的有效时间小于预设时间阈值，获取待更新数字证书对应的已验证用户信息和已验证数字签名，根据已验证用户信息以及已验证数字签名，验证用户信息以及数字签名。
55.其中，服务器104接收到用户终端102发送的数字证书更新请求后，可以对其中的待更新数字证书进行有效性验证。服务器104可以检测待更新数字证书的有效时间是否小于预设时间阈值，若是，则服务器104确定待更新数字证书需要更新，则服务器104可以获取待更新数字证书对应的已验证用户信息和已验证数字签名，从而服务器104可以根据已验
证用户信息和已验证数字签名，验证上述数字证书更新请求中的用户信息和数字签名，以对用户的身份进行验证。其中，当上述待更新数字证书的有效时间还有剩余，但小于预设时间阈值时，表征待更新数字证书临近过期，当待更新数字证书的有效时间归零时，说明待更新数字证书已经过期；上述已验证用户信息可以是服务器104中存储的已经验证通过的用户的用户信息，已验证数字签名可以是服务器104中存储的已经通过验证的用户的数字签名。服务器104可以在初次连接用户终端102时，通过对用户终端102第一次发送的用户信息和数字签名进行验证，得到上述已验证用户信息和已验证数字签名。
56.步骤s206，若验证通过，通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端；用户终端用于将新的数字证书替换待更新数字证书。
57.其中，服务器104可以对用户终端102发送的数字证书更新请求中的用户信息和数字签名等信息进行验证，验证用户的身份是否正确。例如服务器104可以基于上述用户信息和数字签名信息等签核信息与服务器104中存储的已验证签核信息的对比结果确定用户是否通过验证。其中，服务器104中可以包括有证书服务器，即ca(certficate authority，数字证书认证中心)服务器，ca服务器可以是一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全的机构。若服务器104验证上述用户的身份通过，则服务器104可以通过上述证书服务器，基于待更新数字证书生成新的数字证书，并将新的数字证书发送至上述用户终端102，用户终端102可以接收上述新的数字证书，并将新的数字证书替换原有的待更新数字证书，从而实现对数字证书的更新。
58.上述数字证书更新方法中，通过在接收到用户终端发送的数字证书更新请求后，若检测到请求中待更新数字证书的有效时间小于预设时间阈值，根据待更新数字证书对应的已验证用户信息和已验证数字签名，验证用户信息和数字签名，若验证通过，则通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端，用户终端可以将新的数字证书替换掉原本的待更新数字证书。相较于传统的需要用户手动更新数字证书的方式，本方案通过基于用户终端的数字证书更新请求，对用户终端的证书更新资格进行验证，从而实现对用户终端的数字证书的更新，提高了数字证书更新的效率。
59.在一个实施例中，还包括：检测到用户终端发送的请求信息包含初始用户信息的初次数字证书请求，通过证书服务器对初始用户信息进行初始验证；若初始验证通过，获取证书服务器生成的初始用户信息对应的已验证数字证书，将已验证数字证书发送至用户终端；用户终端用于存储已验证数字证书并向服务器返回对应的初始数字签名；将初始数字签名作为已验证数字签名并存储。
60.本实施例中，服务器104可以在用户终端102初次连接到服务器104时，对用户终端102的用户身份进行初始验证。在用户终端102初次连接到服务器104时，用户终端102可以将服务器104发送包括初始用户信息的初次数字证书请求发送至服务器104。服务器104可以接收上述用户终端102发送的初次数字证书请求，并通过证书服务器对上述初始用户信息进行初始验证。服务器104确定初始验证通过后，可以获取证书服务器生成的初始用户信息对应的已验证数字证书，并将已验证数字证书发送至用户终端102，从而用户终端102可以接收上述已验证数字证书，将该已验证数字证书进行存储并向服务器104返回对应的初始数字签名，服务器104接收到用户终端102发送的初始数字签名，可以将该初始数字签名作为已验证数字签名并存储。
61.其中，服务器104和用户终端102的连接可以通过无线通信方式进行连接，上述初始用户信息可以是一种签核数据，初始用户信息中可以包括用户终端102的私钥和用户标识中的至少一种。则服务器104可以基于私钥和用户标识中的至少一种对用户终端102进行初始验证。例如，服务器104和用户终端102可以通过无线收发单元进行通信，服务器104和用户终端102可以检测周围设定范围内的无线信号。其中，服务器104和用户终端102可以根据用户需求在特定时间开启检测功能，也可以自动进行检测；当检测到无线设备信号后，服务器104与每个用户的用户终端102进行配对，配对成功后即可建立无线通信链路。若该无线通信链路为初次建立，则服务器104可以获取用户终端102的初始签核数据；即用户终端102可以在预设规定时间内上传用户的签名字迹、指纹和用户身份信息并验证初始签核数据，生成识别码，即上述用户标识，以及用户私有密钥，形成上述初次数字证书请求，其中用户私有密钥为识别码唯一识别组件。服务器104可以由ca服务器事先基于上述初次数字证书请求对用户身份鉴证，当鉴证通过时，服务器104可以检测到ca服务器同意向用户颁发符合其身份标识的初始数字证书和ukey的信息，服务器104还可以基于用户对初始数字证书进行的数字签名生成初始签核数据，当所述用户发出更新请求时，服务器104可以比对当前用户信息与数字签名生成所述签核数据，从而确定用户是否通过验证。
62.通过本实施例，服务器104可以基于用户终端102发送的初始用户信息对用户进行初始验证以及初始数字证书的发送，从而为之后的数字证书更新提供验证依据，提高了数字证书更新的效率。
63.在一个实施例中，根据已验证用户信息以及已验证数字签名，验证用户信息以及数字签名，包括：获取已验证用户信息中的已验证私钥与用户信息中的私钥第一匹配度；获取已验证用户信息中的已验证用户标识与用户信息中的用户标识的第二匹配度；获取已验证数字签名与用户信息中的数字签名的第三匹配度；若第一匹配度大于或等于第一匹配度阈值、第二匹配度大于或等于第二匹配度阈值以及第三匹配度大于或等于第三匹配度阈值，确定验证用户信息以及数字签名通过。
64.本实施例中，上述数字证书更新请求中的用户信息可以包括用户终端102的私钥以及用户的用户标识等信息。服务器104可以基于上述用户标识和私钥对用户身份进行验证。其中，服务器104中可以存储有已验证私钥以及已验证用户标识，已验证私钥和已验证用户标识可以是在服务器104和用户终端102初次连接时，服务器104对用户终端102进行初始验证后得到的信息。服务器104可以获取已验证用户信息中的已验证私钥与上述用户信息中的私钥的第一匹配度、获取所述已验证用户标识与上述用户信息中的用户标识的第二匹配度、以及获取已验证数字签名与上述用户信息中的数字签名的第三匹配度。服务器104检测到第一匹配度大于或等于第一匹配度阈值、第二匹配度大于或等于第二匹配度阈值以及第三匹配度大于或等于第三匹配度阈值时，可以确定验证上述用户信息和数字签名通过；若服务器104检测到第一匹配度小于第一匹配度阈值，则说明上述私钥验证不通过；若服务器104检测到第二匹配度小于第二匹配度阈值，则说明用户标识验证通过；若服务器104检测到第三匹配度小于第三匹配度阈值，则说明上述数字签名验证不通过。上述任一一项验证不通过时，服务器104可以确定对用户的身份验证不通过。其中，上述第一匹配度阈值、第二匹配度阈值和第三匹配度阈值可以是相同的数值或不同的数值，可以根据实际情况设定。
65.其中，上述用户信息中的私钥和数字签名可以是一种签核凭证数据，上述用户标识可以是一种标识码或识别码。服务器104接收到用户终端102发送的数字证书更新请求时，可以向用户终端102发出匹配邀请，用户终端102接收匹配邀请后，提取用户的用户私有密钥与识别码进行匹配，若匹配成功则证明用户身份合法。具体地，服务器104可以通过ca服务器接收更新请求并对用户进行身份核验，并发送签核后的数据至分配单元提取出旧数字证书的签核凭证和识别码，即上述初始的已验证数字证书和已验证私钥，并根据判断单元判断提取的签核凭证和识别码核对用户身份。其中，如果服务器104检测到该提取的签核凭证和识别码与ca服务器中备份的该旧数字证书的签核凭证和识别码都一致，则判定该用户身份正确；如果服务器104检测到该提取的签核凭证和识别码有一个与ca服务器中备份的该旧数字证书的签核凭证和识别码不一致，则判定该用户身份不正确。
66.通过本实施例，服务器104可以基于用户发送的用户信息和数字签名等数据对用户进行身份验证，从而可以在验证通过后发放新的数字证书，提高了数字证书更新的效率。
67.在一个实施例中，接收到用户终端发送的数字证书更新请求之后，还包括：若检测到待更新数字证书已失效且用户终端中已存在新的数字证书，向用户终端发送数字证书检测请求；用户终端用于根据数字证书检测请求，向服务器发送新的数字证书；接收新的数字证书并对新的数字证书进行病毒查杀。
68.本实施例中，服务器104可以对待更新数字证书的有效性进行检测，该检测的结果包括大于或等于预设时间阈值、小于预设时间阈值两种；若为大于或等于预设时间阈值，则说明待更新数字证书尚未过期，服务器104可以不对待更新数字证书进行更新，并且可以对该数字证书进行日常维护；若为小于预设时间阈值，则说明待更新数字证书即将过期或已经过期，当服务器104检测到待更新数字证书已经过期时，可以检测用户终端102中该待更新数字证书是否已经有替换的新的数字证书，若是，则服务器104可以向用户终端102发送数字证书检测请求，用户终端102可以接收该数字证书检测请求，并向服务器104发送新的数字证书，服务器104可以对接收到的新的数字证书进行病毒查杀和维护等处理。即服务器104在检测到数字证书需要更新时，可以基于数字证书的剩余有效期进行不同的处理。
69.例如，服务器104可以检测用户数字证书的异常情况，并检测用户数字证书是否即将到期。当服务器104检测到数字证书即将过期时，直接传递旧的数字证书进行更新；当服务器104检测到数字证书已经过期时，可以查询过期的数字证书是否已经被替换：若未进行替换则直接导出进行更新；若已经替换则进行日常数字证书的护理与杀毒。
70.通过本实施例，服务器104可以基于待更新数字证书的有效时间确定对该数字证书的处理方式，从而提高了数字证书更新的效率。
71.在一个实施例中，通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端，包括：通过证书服务器基于上述待更新数字证书生成新的数字证书，对新的数字证书进行非对称加密，得到加密后的数字证书；将加密后的数字证书发送至用户终端。
72.本实施例中，服务器104可以在对用户的身份验证通过后，向用户发送新的数字证书。服务器104可以通过上述证书服务器，基于上述待更新数字证书生成新的数字证书，并对新的数字证书进行非对称加密，得到加密后的数字证书，服务器104可以将加密后的数字证书发送至上述用户终端102，从而用户终端102可以接收该加密的数字证书，并进行相应
的处理。具体地，上述服务器104可以通过ca服务器生成新的数字证书，并通过评估单元6对新数字证书进行非对称加密，然后将加密数据通过无线收发单元10返回给用户终端102，用户终端102经更新单元7对数字证书解密并进行数字证书的更新。其中，服务器104可以基于上述签核凭证数据中的公钥对新的数字证书进行非对称加密。例如，用户终端102通过供需单元12获取对应的已加密的数字证书，经中心处理单元11根据旧数字证书的私钥对加密后的数据进行解密，得到已解密的新数字证书。其中，签核凭证数据可以是上述用户终端102的用户信息中的各个数据。
73.通过本实施例，服务器104可以通过证书服务器生成新的数字证书，保密柜基于用户终端102的私钥对新的数字证书进行加密，采用加密传输的方式传输至用户终端102，从而提高了数字证书更新的效率和安全性。
74.在一个实施例中，如图4所示，提供了一种数字证书更新方法，以该方法应用于图1中的用户终端为例进行说明，包括以下步骤：
75.步骤s302，响应于数字证书更新指令，根据待更新数字证书、用户信息以及数字签名生成数字证书更新请求。
76.其中，用户终端102可以是需要进行数字证书更新的设备，即用户终端102中可以存储有数字证书。用户终端102中的数字证书有对应的有效时间，数字证书在用户终端102中存在超过有效时间时，用户终端102会判定该数字证书失效。因此用户终端102需要定时对数字证书进行更新。数字证书需要更新时，用户终端102可以检测到数字证书的异常情况，从而提示用户对数字证书进行更新，用户可以在用户终端102中触发数字证书更新请求，该数字证书更新请求中包括待更新数字证书、用户信息和数字签名等信息。
77.步骤s304，将数字证书更新请求发送至服务器；服务器用于接收到用户终端发送的数字证书更新请求，若检测到待更新数字证书的有效时间小于预设时间阈值，获取待更新数字证书对应的已验证用户信息和已验证数字签名，根据已验证用户信息以及已验证数字签名，验证用户信息以及数字签名；若验证通过，通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端。
78.其中，用户终端102可以将上述包含待更新数字证书、用户信息和数字签名的数字证书更新请求发送至服务器104，服务器104可以接收用户终端102发送的数字证书更新请求，并基于该数字证书更新请求中，对待更新数字证书的有效时间进行检测，当服务器104检测到待更新数字证书的有效时间小于预设时间阈值时，服务器104可以获取待更新数字证书对应的已验证用户信息和已验证数字签名，从而服务器104可以对用户的身份进行验证。若服务器104验证用户身份通过，则服务器104可以通过上述证书服务器，基于待更新数字证书生成新的数字证书，并将新的数字证书发送至上述用户终端102。其中，上述待更新数字证书可以是需要进行更新验证的数字证书，上述用户信息可以是使用用户终端102的用户，用户信息可以存储在用户终端102中，也可以是由用户主动输入，上述数字签名可以是用户对数字证书的数字签名。
79.步骤s306，根据新的数字证书替换待更新数字证书并存储。
80.其中，服务器104可以在对待更新数字证书的有效性验证通过以及对用户的身份信息验证通过后，向用户终端102发送对应的新的数字证书，用户终端102可以接收上述新的数字证书，并将新的数字证书替换原有的待更新数字证书，从而实现对数字证书的更新。
其中，上述新的数字证书还可以是以加密形式进行发送。例如，服务器104可以利用用户终端102的公钥将新的数字证书进行非对称加密，并将加密后的数字证书发送至用户终端102，用户终端102可以基于私钥对加密的数字证书进行解密，得到上述新的数字证书并进行存储。
81.上述数字证书更新方法中，通过在接收到用户终端发送的数字证书更新请求后，若检测到请求中待更新数字证书的有效时间小于预设时间阈值，根据待更新数字证书对应的已验证用户信息和已验证数字签名，验证用户信息和数字签名，若验证通过，则通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端，用户终端可以将新的数字证书替换掉原本的待更新数字证书。相较于传统的需要用户手动更新数字证书的方式，本方案通过基于用户终端的数字证书更新请求，对用户终端的证书更新资格进行验证，从而实现对用户终端的数字证书的更新，提高了数字证书更新的效率。
82.在一个实施例中，如图5所示，图5为又一个实施例中数字证书更新方法的流程示意图。包括以下流程：
83.s1、用户终端102通过采集单元将异常情况的数字证书发送至预处理单元对数字证书进行数据签核操作生成签核数据，并将签核数据发送给服务器104；
84.服务器104通过ca服务器事先对用户身份鉴证，验证通过时，通过ca服务器同意向用户颁发符合其身份标识的初始数字证书和ukey，由用户对初始数字证书进行数字签名后生成初始签核数据，当用户发出更新请求时，服务器104可以比对当前用户信息与数字签名生成签核数据；
85.s2、通过服务器104检测用户的数字证书是否即将到期；
86.其中判定数字证书有效期即将到期或已经到期时的步骤包括：服务器104检测用户数字证书的异常情况，并检测用户数字证书是否即将到期。
87.当检测到数字证书即将过期时，服务器104可以直接传递旧的数字证书进行更新；当检测到数字证书已经过期时，服务器104可以查询过期的数字证书是否已经被替换：若未进行替换则直接导出进行更新；若已经替换则进行日常数字证书的护理与杀毒。
88.另外，服务器104还可以检查用户的数字证书是否作废，一般称crl(certificate revocation list，证书作废表)查询，俗称“黑名单查询”。一个实体证书因私钥泄密等原因，需要废止时，应及时向ca服务器声明作废。ca服务器实时地通过ldap标准协议向证书库中发布，以供访问时实体间进行开放式查询。
89.s3、服务器104通过ca服务器接收更新请求并对用户进行身份核验，发送签核后的数据至分配单元提取出旧数字证书的签核凭证和识别码，并根据判断单元判断提取的签核凭证和识别码核对用户身份；
90.s4、服务器104通过ca服务器生成新的数字证书，并通过评估单元对新数字证书进行非对称加密，然后将加密数据通过无线收发单元返回给用户终端102；
91.s5、用户终端102经更新单元对数字证书解密并进行数字证书的更新。
92.其中，为了证书的使用安全，服务器104通过ca服务器所签发的数字证书要与最终用户实体证书相区分。因此，服务器104可以在扩展域基本制约中其默认值表示最终实体(end entity)，以区别其他ca内部管理证书，防止用户更新证书用于不同的目的；以及在证书扩展域中要对声明的公开密钥与保密密钥用途有效分离，用于数字签名或用于传输加
密，为确保安全，要明确分开，不能混用，以备争议时审计，为仲裁提供依据。
93.通过上述实施例，服务器104可以基于用户终端的数字证书更新请求，对用户终端的证书更新资格进行验证，从而实现对用户终端的数字证书的更新，提高了数字证书更新的效率。并且具有产业上的广泛利用价值，优点为在数字证书过期、损坏或丢失时，自动进行证书更新程序下载替换数字证书，摒弃了传统手动更新证书的繁琐，简化了用户操作流程，提高了用户体验，且利用每个用户特有的签核凭证和识别码进行用户中心客户端合法性判断，并适当进行数字证书的加密与解密，保证了用户信息的安全性。
94.在一个实施例中，一种数字证书更新系统，包括：服务器104和用户终端102，其中，
95.用户终端102，用于响应于数字证书更新指令，根据待更新数字证书、用户信息以及数字签名生成数字证书更新请求；将所述数字证书更新请求发送至服务器；
96.服务器104，用于接收到用户终端发送的数字证书更新请求，若检测到所述待更新数字证书的有效时间小于预设时间阈值，获取所述待更新数字证书对应的已验证用户信息和已验证数字签名，根据所述已验证用户信息以及所述已验证数字签名，验证所述用户信息以及所述数字签名；若所述验证通过，通过证书服务器基于所述待更新数字证书生成新的数字证书，将所述新的数字证书发送至所述用户终端；
97.用户终端102，用于根据所述新的数字证书替换所述待更新数字证书并存储。
98.其中，上述服务器104和用户终端102中包括多种单元和模块，服务器104和用户终端102可以基于其中的多种单元和模块进行数字证书的更新。例如，如图2所示，当用户终端102的采集单元8采集到数字证书有效期即将到期或已经到期时，提示用户更新数字证书，采集单元8将数字证书发送至预处理单元9对数字证书进行数据签核操作生成签核数据，并将签核数据发送给服务器104；服务器104通过ca服务器3发送签核后的数据至分配单元4提取出旧数字证书的签核凭证和识别码，并根据判断单元5判断提取的签核凭证和识别码核对用户身份；ca服务器3生成新的数字证书，并通过评估单元6对新数字证书进行非对称加密，然后将加密数据通过无线收发单元10返回给用户终端102同时经更新单元7对数字证书解密并进行数字证书的更新。用户终端102自动删除旧数字证书，并导入新数字证书。
99.其中，服务器104与用户终端102经无线收发单元10进行互联；无线收发单元10连接时对数据和指令传输。服务器104经判断单元5自动识别当前数字证书的期限类型；当数字证书未过期时，直接传输当前数字证书。更新单元7根据接收到的数字证书的处理结果执行是否更新数字证书。
100.并且，服务器104中还可以设置有安全杀毒模块与安全检查模块，安全检查模块具体用于通过调用安全杀毒模块对数字证书进行安全检查。安全检查模块用于保存和更新病毒数据库，并将更新的病毒数据库发送给安全杀毒模块，安全杀毒模块用于实时监测通过服务器104的接口传输的数据内容，并将监测到的数据内容与病毒库中的病毒进行比较，以检测数据内容中是否存在病毒，如果检测到数据内容中存在病毒，则清除数据内容并重新进行数据存储。如果检测到数据内容中不存在病毒，则直接进行数据存储。安全杀毒模块的杀毒创新性地整合五大领先防杀引擎，通过对五个引擎的智能调度，提供全时全面的病毒防护，不但查杀能力出色，而且能第一时间防御新出现的病毒木马。实现对后台数据库的高效防护，防止数据丢失以及因病毒入侵造成数据出现错误的情况。
101.通过上述实施例，服务器104基于用户终端的数字证书更新请求，对用户终端的证
书更新资格进行验证，从而实现对用户终端的数字证书的更新，提高了数字证书更新的效率，并且，无线收发单元10采用无线设备与网络连通传输语音数据，无线设备包括蓝牙模块或wifi(wireless-fidelity，无线保真)模块，信息安全设备上设有与的无线设备相对应的无线收发模块。使用蓝牙模块连接时，数据和信号传输的便捷性更好，不受网络环境的影响；使用wifi模块连接时，数据和指令传输的速度更快。
102.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
103.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的数字证书更新方法的数字证书更新装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个数字证书更新装置实施例中的具体限定可以参见上文中对于数字证书更新方法的限定，在此不再赘述。
104.在一个实施例中，如图6所示，提供了一种数字证书更新装置，包括：接收模块500、验证模块502和更新模块504，其中：
105.接收模块500，用于接收到用户终端发送的数字证书更新请求；数字证书更新请求包括待更新数字证书、用户信息以及数字签名。
106.验证模块502，用于若检测到待更新数字证书的有效时间小于预设时间阈值，获取待更新数字证书对应的已验证用户信息和已验证数字签名，根据已验证用户信息以及已验证数字签名，验证用户信息以及数字签名。
107.更新模块504，用于若验证通过，通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端；用户终端用于将新的数字证书替换待更新数字证书。
108.在一个实施例中，上述装置还包括：初始验证模块，用于检测到用户终端发送的请求信息包含初始用户信息的初次数字证书请求，通过证书服务器对初始用户信息进行初始验证；若初始验证通过，获取证书服务器生成的初始用户信息对应的已验证数字证书，将已验证数字证书发送至用户终端；用户终端用于存储已验证数字证书并向服务器返回对应的初始数字签名；将初始数字签名作为已验证数字签名并存储。
109.在一个实施例中，上述验证模块502，具体用于获取已验证用户信息中的已验证私钥与用户信息中的私钥第一匹配度；获取已验证用户信息中的已验证用户标识与用户信息中的用户标识的第二匹配度；获取已验证数字签名与用户信息中的数字签名的第三匹配度；若第一匹配度大于或等于第一匹配度阈值、第二匹配度大于或等于第二匹配度阈值以及第三匹配度大于或等于第三匹配度阈值，确定验证用户信息以及数字签名通过。
110.在一个实施例中，上述装置还包括：维护模块，用于若检测到待更新数字证书已失效且用户终端中已存在新的数字证书，向用户终端发送数字证书检测请求；用户终端用于根据数字证书检测请求，向服务器发送新的数字证书；接收新的数字证书并对新的数字证
书进行病毒查杀。
111.在一个实施例中，上述更新模块504，具体用于通过证书服务器基于上述待更新数字证书生成新的数字证书，对新的数字证书进行非对称加密，得到加密后的数字证书；将加密后的数字证书发送至用户终端。
112.在一个实施例中，如图7所示，提供了一种数字证书更新装置，包括：生成模块600、发送模块602和存储模块604，其中：
113.生成模块600，用于响应于数字证书更新指令，根据待更新数字证书、用户信息以及数字签名生成数字证书更新请求。
114.发送模块602，用于将数字证书更新请求发送至服务器；服务器用于接收到用户终端发送的数字证书更新请求，若检测到待更新数字证书的有效时间小于预设时间阈值，获取待更新数字证书对应的已验证用户信息和已验证数字签名，根据已验证用户信息以及已验证数字签名，验证用户信息以及数字签名；若验证通过，通过证书服务器基于待更新数字证书生成新的数字证书，将新的数字证书发送至用户终端。
115.存储模块604，用于根据新的数字证书替换待更新数字证书并存储。
116.上述数字证书更新装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
117.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数字证书等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数字证书更新方法。
118.本领域技术人员可以理解，图8中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
119.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述的数字证书更新方法。
120.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述的数字证书更新方法。
121.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述的数字证书更新方法。
122.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
123.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，
本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
124.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
125.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。