(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210652532.8 (22)申请日 2022.06.07 (71)申请人 拉卡拉支付股份有限公司 地址 100094 北京市海淀区北清路中关村 壹号D1座12层 (72)发明人 高飞荣　雷嘉健　高艳平　 (74)专利代理 机构 北京智宇 正信知识产权代理 事务所(普通 合伙) 11876 专利代理师 李明卓 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 证书管理方法、 装置、 电子设备、 存储介质及 程序产品 (57)摘要 本公开实施例公开了一种证书 管理方法、 装 置、 电子设备、 存储介质及程序产品， 所述方法包 括： 接收应用系统发送的证书请求； 证书请求包 括被加密 的待请求证书的信息以及应用系统的 授权标识； 基于授权标识获取证书管理系统为应 用系统生 成的授权密码； 利用授权密码解密被加 密的待请求证书的信息， 并验证应用系统对于待 请求证书的获取权限； 在应用系统具有待请求证 书的获取权 限时， 从存储设备获取待请求证书； 使用证书管理系统为应用系统生成的授权密码 的加密待请求证书， 并返回给应用系统。 该技术 方案能够统一管理企业内部的所有证书， 并且应 用系统与证书管理系统之间的所有交互通过安 装在应用系统上的管理服务工具包提供的接口 实现， 保证 了安全性。 权利要求书2页 说明书19页 附图6页 CN 115085931 A 2022.09.20 CN 115085931 A 1.一种证书管理方法， 其中， 该 方法在证书管理系统上 执行， 包括： 接收应用系统发送的证书请求； 所述证书请求包括被加密的待请求证书的信 息以及所 述应用系统的授权标识； 基于所述授权标识获取 所述证书管理系统为所述应用系统生成的授权密码； 利用所述授权密码解密被加密的所述待请求证书的信 息， 并验证所述应用系统对于所 述待请求证书的获取权限； 在所述应用系统具有所述待请求证书的获取权限时， 从存 储设备获取待请求证书； 使用所述证书管理系统为所述应用系统生成的授权密码的加密所述待请求证书， 并返 回给所述应用系统。 2.根据权利要求1所述的方法， 其中， 从存储设备获取的所述待请求证书为被加密的证 书， 使用所述证书管理系统为所述应用 系统生成的授权密码的加密所述待请求证书之前， 所述方法还 包括： 获取被配置的主密钥； 利用所述主密钥对被加密的所述待请求证书 进行解密。 3.一种数据加密方法， 其中， 该 方法在应用系统上 执行， 包括： 响应于对所述应用系统上的敏感数据的加密请求， 向证书管理系统发送证书请求； 其 中所述证书请求包括利用所述应用系统的授权密码所加密的待请求证书的信息， 且所述证 书请求携带所述应用系统的授权标识； 所述授权密码和所述授权标识是所述证书 管理系统 为所述应用系统预 先生成的； 接收所述证书管理系统返回的被加密的待请求证书； 利用所述授权密码对被加密的所述待请求证书 进行解密； 利用解密后的所述待请求证书加密所述敏感数据。 4.一种证书管理方法， 包括： 应用系统响应于对所述应用系统上的敏感数据的加密请求， 向证书管理系统发送证书 请求； 其中所述证书请求包括利用所述应用系统的授权密码所加密的待请求证书的信息， 且所述证书请求携带所述应用系统的授权标识； 所述授权密码和所述授权标识是所述证书 管理系统为所述应用系统预 先生成的； 所述证书管理系统接收所述应用系统发送的证书请求， 并基于所述授权标识获取所述 证书管理系统为所述应用系统生成的授权密码； 所述证书管理系统利用所述授权密码解密被加密的所述待请求证书的信 息， 并验证所 述应用系统对于所述待请求证书的获取权限； 在所述应用系统具有所述待请求证书的获取权限时， 所述证书管理系统从存储设备获 取待请求证书； 所述证书管理系统还使用所述证书管理系统为所述应用系统生成的授权密码的加密 所述待请求证书， 并返回给 所述应用系统； 所述应用系统接收所述证书管理系统返回的被加密的待请求证书， 并利用所述授权密 码对被加密的所述待请求证书 进行解密； 所述应用系统还利用解密后的所述待请求证书加密所述敏感数据。 5.一种证书管理及数据加密系统， 包括： 证书管理系统和至少一个 应用系统； 其中：权　利　要　求　书 1/2 页 2 CN 115085931 A 2所述应用系统响应于对所述应用系统上的敏感数据的加密请求， 向证书管理系统发送 证书请求； 其中所述证书请求包括利用所述应用系统的授权密码所加密的待请求证书的信 息， 且所述证书请求携带所述应用 系统的授权标识； 所述授权密码和所述授权标识是所述 证书管理系统为所述应用系统预 先生成的； 所述证书管理系统接收应用系统发送的证书请求， 并基于所述授权标识获取所述证书 管理系统为所述应用系统生成的授权密码， 利用所述授权密码解密被加密的所述待请求证 书的信息， 并验证所述应用 系统对于所述待请求证书的获取权限， 在所述应用系统具有所 述待请求证书的获取权限时， 从存 储设备获取待请求证书； 所述证书管理系统还使用所述证书管理系统为所述应用系统生成的授权密码的加密 所述待请求证书， 并返回给 所述应用系统； 所述应用系统接收所述证书管理系统返回的被加密的待请求证书， 利用所述授权密码 对被加密的所述待请求证书进行解密， 并利用解密后的所述待请求证书加密所述敏感数 据。 6.一种证书管理装置， 包括： 第一接收模块， 被配置为接收应用系统发送的证书请求； 所述证书请求包括被加密的 待请求证书的信息以及所述应用系统的授权标识； 生成模块， 被配置为基于所述授权标识获取所述证书管理系统为所述应用系统生成的 授权密码； 第一解密模块， 被配置为利用所述授权密码解密被加密的所述待请求证书的信息， 并 验证所述应用系统对于所述待请求证书的获取权限； 获取模块， 被配置为在所述应用系统具有所述待请求证书的获取权限时， 从存储设备 获取待请求证书； 返回模块， 被配置为使用所述证书管理系统为所述应用系统生成的授权密码的加密所 述待请求证书， 并返回给 所述应用系统。 7.一种数据加密装置， 包括： 响应模块， 被配置为响应于对所述应用系统上的敏感数据的加密请求， 向证书管理系 统发送证书请求； 其中所述证书请求包括利用所述应用系统的授权密码所加密的待请求证 书的信息， 且所述证书请求携带所述应用系统的授权标识； 所述授权密码和所述授权标识 是所述证书管理系统为所述应用系统预 先生成的； 第二接收模块， 被 配置为接收所述证书管理系统返回的被加密的待请求证书； 第二解密模块， 被 配置为利用所述授权密码对被加密的所述待请求证书 进行解密； 加密模块， 被 配置为利用解密后的所述待请求证书加密所述敏感数据。 8.一种电子设备， 包括存 储器和处 理器； 其中， 所述存储器用于存储一条或多条计算机指令， 其中， 所述一条或多条计算机指令被所 述处理器执行以实现权利要求1 ‑4任一项所述方法的步骤。 9.一种计算机可读存储介质， 其上存储有计算机指令， 其中， 该计算机指令被处理器执 行时实现权利要求1 ‑4任一项所述方法的步骤。 10.一种计算机程序产品， 包括计算机程序/指令， 该计算机程序/指令被处理器执行时 实现权利要求1 ‑4任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115085931 A 3