本发明专利技术公开了一种基于CPK密钥的CA证书发放方法及系统,该方法包括:当CA中心接收到CA证书请求时,将用户标识ID发送到请求用户的安全设备;所述安全设备根据所述标识ID产生CPK密钥,并返回给所述CA中心;CA中心根据所述CPK密钥和用户标识ID生成CA证书;CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户,所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID;将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。通过本发明专利技术的技术方案,提高了数据加密的性能和可靠性。
【技术实现步骤摘要】
一种基于CPK密钥的CA证书发放方法及系统
本专利技术涉及信息安全领域,尤其涉及一种基于CPK密钥的CA证书发放方法、系统以及一种基于CA证书的数据安全传输方法、系统。
技术介绍
随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施(PKI,PublicKeyInfrastructure)逐步在国内外得到广泛应用。参见图1,根据一个具体实施例对PKI技术进行描述:甲想将一份合同文件通过Internet发给远在国外的乙,此合同文件对双方非常重要,不能有丝毫差错,而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送?可以采用一些成熟的对称加密算法,如DES、3DES、RC5等对文件加密。对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用做解密密钥,这种方法在密码学中叫做对称加密算法。为了对对称密钥进行安全传输,一般采用非对称密钥算法加密对称密钥后进行传送。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(PublicKey)和私有密钥(PrivateKey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算法(公/私钥可由专门软件生成)。为了确保密钥的唯一性,采用了数值证书的方法。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,是网络通信中标识通信各方身份信息的一系列数据,它提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证,人们可以在交往中用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关(证书授权中心)名称、该证书的序列号等信息。它是由一个权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发放的。CA机构作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书,CA是PKI的核心,负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份。因为数字证书是公开的,就像公开的电话簿一样,在实践中,发送者(即甲)会将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给接收者(即乙),而乙则通过验证证书上权威机构的签名来检查此证书的有效性(只需用那个可信的权威机构的公钥来验证该证书上的签名就可以了),如果证书检查一切正常,那么就可以相信包含在该证书中的公钥的确属于列在证书中的那个人(即甲)。可见,PKI技术在保证密钥的合法性,以及保证数据的安全性上具有很大的优势,这既要归功于PKI的非对称密钥加密模式,也要归功于CA中心对于密钥的可靠性保证。组合密钥架构(CombinedPublicKeyCryptosystem,简称CPK)是以ECC椭圆曲线加密算法,对多随机数或特定数据进行运算,生成同运算模型下的若干对不同的私钥和公钥,分别放在私钥矩阵和公钥矩阵中,通过对用户的标识号ID做摘要(即:基于标识号的数据生成一散列值)映射,即把摘要值换算成若干位置坐标,私钥矩阵中对应位置取出的多个私钥模加的结果组成的新私钥和对应的公钥矩阵中同样位置取出的多个公钥点加的结果组成的新公钥仍然是一对公钥对,公钥矩阵和公钥运算算法公开,私钥矩阵由发行方秘密保存,生成的私钥交由安全硬件保存或由用户自己秘密保存,用户通过对方的标识号ID,计算对方的公钥,安全的给对方发信息,以及验证对方的签名,用户通过自己的私钥,解开接收的加密数据,以及对自己发出的数据做签名。但是组合密钥不需要数据库的在线支持,因此可用一个芯片来实现,在规模化、经济性、可行性、运行效率上具有PKI,IBE这两种体制无法比拟的优势。根据上述描述客户自,CA中心保证了密钥的合法性,并且可以防伪,而CPK相比PKI、IBE在加密性能上具有极大的优势,然而目前还没有一种技术将CA中心和CPK两种技术结合起来,从而既能具备CPK数据加密的优势,又能具备CA中心的优势。
技术实现思路
为解决上述技术问题,本专利技术提供了一种基于CPK密钥的CA证书发放方法,该方法包括:当CA中心接收到CA证书请求时,将用户标识ID发送到请求用户的安全设备;所述安全设备根据所述标识ID产生CPK密钥,并返回给所述CA中心;CA中心根据所述CPK密钥和用户标识ID生成CA证书;CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户,所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID;将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。根据本专利技术的方法,优选的,预先在在安全设备上存储CPK私钥矩阵以及CPK公钥矩阵。根据本专利技术的方法,优选的,所述安全设备接收到用户标识ID后,对该用户标识ID做摘要映射生成摘要值,该摘要值对应若干位置坐标,基于该位置坐标,从CPK私钥矩阵中对应位置取出多个私钥模加的结果得到CPK私钥,从CPK公钥矩阵中同样位置取出多个公钥点加得到CPK公钥,得到所述CPK私钥和CPK公钥组成的CPK密钥。根据本专利技术的方法,优选的,CA证书包含CN项或SN项,所述CN项或SN项包含所述用户标识ID,所述SN项为包含但不限于以下用于标识用户身份的标识码:手机号码、身份证号码。根据本专利技术的方法,优选的,CA中心将从请求用户接收的用户CPK公钥做为CA证书的公钥项,将从请求用户接收的CPK公钥矩阵做为CA证书的延伸项。根据本专利技术的方法,优选的,所述安全芯片支持标准国密SKF、CSP标准以及P11标准,将用户的CPK私钥以及CA证书导入到安全芯片的COS内。为解决上述技术问题,本专利技术提供了一种基于CA证书的数据安全传输方法,该方法包括以下步骤:发送方采用对称密钥对用户数据进行加密,并采用接收方的CPK公钥将所述对称密钥加密,采用自身CPK私钥对用户数据签名;将所述加密后的用户数据,加密后的对称密钥,签名后的用户数据以及包括发送方CPK密钥信息的CA证书发送给接收方;接收方采用自身的CPK私钥解密得到对称密钥,并采用对称密钥解密得到用户数据;接收方请求所述CA系统对接收的CA证书进行验证;验证通过后,接收方从接收的CA证书中提取发送方的CPK公钥,并对用户签名数据进行验签;验签通过后,成功接收所述用户数据。根据本专利技术的方法,优选的,所述CA证书包括发送方的CPK公钥,CA中心对CA证书的签名,发送方的用户标识ID。根据本专利技术的方法,优选的,发送方通过以下方式对用户数据进行签名:对用户数据进行散列算法得到原始摘要值;采用发送发的CPK私钥对所述原始摘要值进行数字签名;根据本专利技术的方法,优选的,对用户签名数据进行验签包括:接本文档来自技高网...
【技术保护点】
1.一种基于CPK密钥的CA证书发放方法,其特征在于,该方法包括:当CA中心接收到CA证书请求时,将用户标识ID发送到请求用户的安全设备;所述安全设备根据所述标识ID产生CPK密钥,并返回给所述CA中心;CA中心根据所述CPK密钥和用户标识ID生成CA证书;CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户,所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID;将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。
【技术特征摘要】
1.一种基于CPK密钥的CA证书发放方法,其特征在于,该方法包括:当CA中心接收到CA证书请求时,将用户标识ID发送到请求用户的安全设备;所述安全设备根据所述标识ID产生CPK密钥,并返回给所述CA中心;CA中心根据所述CPK密钥和用户标识ID生成CA证书;CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户,所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID;将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。2.根据权利要求1所述的方法,预先在在安全设备上存储CPK私钥矩阵以及CPK公钥矩阵。3.根据权利要求2所述的方法,所述安全设备接收到用户标识ID后,对该用户标识ID做摘要映射生成摘要值,该摘要值对应若干位置坐标,基于该位置坐标,从CPK私钥矩阵中对应位置取出多个私钥模加的结果得到CPK私钥,从CPK公钥矩阵中同样位置取出多个公钥点加得到CPK公钥,得到所述CPK私钥和CPK公钥组成的CPK密钥。4.根据权利要求1所述的方法,CA证书包含CN项或SN项,所述CN项或SN项包含所述用户标识ID,所述SN项为包含但不限于以下用于标识用户身份的标识码:手机号码、身份证号码。5.根据权利要求1所述的方法,CA中心将从请求用户接收的用户CPK公钥做为CA证书的公钥项,将从请求用户接收的CPK公钥矩阵做为CA证书的延伸项。6.根据权利要求1所述的方法,所述安全芯片支持标准国密SKF、CSP标准以及P11标准,将用户的CPK私钥以及CA证书导入到安全芯片的COS内。7.一种基于CA证书的数据安全传输方法,其特征在于,该方法包括以下步骤:发送方采用对称密钥对用户数据进行加密,并采用接收方的CPK公钥将所述对称密钥加密,采用自身CPK私钥对用户数据签名;将所述加密后的用户数据,加密后的对称密钥,签名后的用户数据以及包括发送方CPK密钥信息的CA证书发送给接收方;接收方采用自身的CPK私钥解密得到对称密钥,并采用对称密钥解密得到用户数据;接收方请求所述CA系统对接收的CA证书进行验证;验证通过后,接收方从接收的CA证书中提取发送方的CPK公钥,并对用户签名数据进行验签;验签通过后,成功接收所述用户数据。8.根据权利要求7所述的方法,所述CA证书包括发送方的CPK公钥,CA中心对CA证书的签名,发送方的用户标识ID。9.根据权利要求7所述的方法,发送方通过以下方式对用户数据进行签名:对用户数据进行散列算法得到原始摘要值;采用发送发的CPK私钥对所述原始摘要值进行数字签名。10.根据权利要求9所述的方法,对用户签名数据进行验签包括:接...
【专利技术属性】
技术研发人员:裴志,
申请(专利权)人:北京虎符信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。