隐式证书密钥扩展方法和装置制造方法及图纸

本申请提供了一种隐式证书密钥扩展方法和装置，其中，该方法包括：第一用户端生成第一对称密钥、第二对称密钥、第一密钥对和第二密钥对，并向证书申请注册中心发送证书申请请求；证书申请注册中心根据第一对称密钥扩展第一公钥并根据第二对称密钥扩展第二公钥，得到各证书索引对应的第三公钥和第四公钥，并针对各证书索引向证书授权中心发送证书颁发请求；证书授权中心根据各证书索引对应的第三公钥生成对应的隐式证书，根据各证书索引对应的第四公钥对对应的隐式证书进行加密，并将各证书索引对应的加密后的隐式证书发送至证书申请注册中心。上述方案可以基于密钥扩展实现发送一次证书申请请求获得多个隐式证书，有效提高证书生成效率。

Methods and devices of implicit certificate key extension

【技术实现步骤摘要】
隐式证书密钥扩展方法和装置
本申请涉及信息安全
，特别涉及一种隐式证书密钥扩展方法和装置。
技术介绍
随着网络信息技术应用的日渐普及，网络信息安全越来越成为一个倍受关注的课题。使用数字证书可以确保公钥不被冒充。数字证书是经过权威机构认证的公钥，通过查看数字证书，可以知道该证书是由那家权威机构签发的，证书使用人的信息，使用人的公钥。目前，为了获取多个数字证书，终端设备可以发送多次请求，每次请求中携带一个公钥。这种情况下，需要多次交互，数字证书的生成效率低。此外，终端设备也可以发送一次请求，并且该请求中包括多个公钥。这种该情况下，发送的请求的数据量大，发送效率低，导致数字证书生成效率降低。针对上述问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种隐式证书密钥扩展方法和装置，以解决现有技术中证书生成效率低的问题。本申请实施例提供了一种隐式证书密钥扩展方法，包括：第一用户端生成第一对称密钥、第二对称密钥、第一密钥对和第二密钥对，并向证书申请注册中心发送证书申请请求，其中，第一密钥对包括第一公钥，第二密钥对包括第二公钥，证书申请请求中携带有第一对称密钥、第二对称密钥、第一公钥和第二公钥；响应于所述证书申请请求，证书申请注册中心获取多个证书索引，根据第一对称密钥对第一公钥进行扩展，得到多个证书索引中各证书索引对应的第三公钥，根据第二对称密钥对第二公钥进行扩展，得到各证书索引对应的第四公钥，并针对各证书索引向证书授权中心发送证书颁发请求，其中，各证书索引对应的证书颁发请求中携带有各证书索引对应的第三公钥和第四公钥；响应于各证书索引对应的证书颁发请求，证书授权中心根据各证书索引对应的第三公钥生成各证书索引对应的隐式证书，根据各证书索引对应的第四公钥对各证书索引对应的隐式证书进行加密，并将各证书索引对应的加密后的隐式证书发送至证书申请注册中心；证书申请注册中心将接收到的各证书索引对应的加密后的隐式证书发送至第一用户端。本申请实施例还提供了一种隐式证书密钥扩展方法，应用于第一用户端，包括：生成第一对称密钥、第二对称密钥、第一密钥对和第二密钥对，其中，第一密钥对包括第一公钥，第二密钥对包括第二公钥；向证书申请注册中心发送证书申请请求，其中，证书申请请求中携带有第一对称密钥、第二对称密钥、第一公钥和第二公钥，证书申请请求用于指示证书申请注册中心根据第一对称密钥对第一公钥进行扩展，得到多个证书索引中各证书索引对应的第三公钥，根据第二对称密钥对第二公钥进行扩展，得到各证书索引对应的第四公钥，还用于指示证书申请注册中心针对各证书索引向证书授权中心发送证书颁发请求，其中，各证书索引对应的证书颁发请求中携带有各证书索引对应的第三公钥和第四公钥；接收证书申请注册中心响应于证书申请请求返回的各证书索引对应的加密后的隐式证书，其中，各证书索引对应的加密后的隐式证书是由证书授权中心响应于各证书索引对应的证书颁发请求返回至证书申请注册中心的，各证书索引对应的加密后的隐式证书是由证书授权中心根据各证书索引对应的第四公钥对各证书索引对应的隐式证书进行加密得到的，各证书索引对应的隐式证书是由证书授权中心根据各证书索引对应的第三公钥生成的。本申请实施例还提供了一种隐式证书密钥扩展方法，应用于证书申请注册中心，包括：接收第一用户端发送的证书申请请求，其中，证书申请请求中携带有第一对称密钥、第二对称密钥、第一公钥和第二公钥，其中，第一对称密钥、第二对称密钥、第一公钥和第二公钥由第一用户端生成；响应于证书申请请求，获取多个证书索引，根据第一对称密钥对第一公钥进行扩展，得到多个证书索引中各证书索引对应的第三公钥，根据第二对称密钥对第二公钥进行扩展，得到各证书索引对应的第四公钥；针对各证书索引向证书授权中心发送证书颁发请求，其中，各证书索引对应的证书颁发请求中携带有各证书索引对应的第三公钥和第四公钥；接收证书授权中心响应于各证书索引对应的证书颁发请求返回的各证书索引对应的加密后的隐式证书，其中，各证书索引对应的加密后的隐式证书是由证书授权中心根据各证书索引对应的第四公钥对各证书索引对应的隐式证书进行加密得到的，各证书索引对应的隐式证书是由证书授权中心根据各证书索引对应的第三公钥生成的；将接收到的各证书索引对应的加密后的隐式证书发送至第一用户端。本申请实施例还提供了一种隐式证书密钥扩展装置，位于证书申请注册中心，包括：第一接收模块，用于接收第一用户端发送的证书申请请求，其中，证书申请请求中携带有第一对称密钥、第二对称密钥、第一公钥和第二公钥，其中，第一对称密钥、第二对称密钥、第一公钥和第二公钥由第一用户端生成；扩展模块，用于响应于证书申请请求，获取多个证书索引，根据第一对称密钥对第一公钥进行扩展，得到多个证书索引中各证书索引对应的第三公钥，根据第二对称密钥对第二公钥进行扩展，得到各证书索引对应的第四公钥；请求模块，用于针对各证书索引向证书授权中心发送证书颁发请求，其中，各证书索引对应的证书颁发请求中携带有各证书索引对应的第三公钥和第四公钥；第二接收模块，用于接收证书授权中心响应于各证书索引对应的证书颁发请求返回的各证书索引对应的加密后的隐式证书，其中，各证书索引对应的加密后的隐式证书是由证书授权中心根据各证书索引对应的第四公钥对各证书索引对应的隐式证书进行加密得到的，各证书索引对应的隐式证书是由证书授权中心根据各证书索引对应的第三公钥生成的；发送模块，用于将接收到的各证书索引对应的加密后的隐式证书发送至第一用户端。本申请实施例还提供一种计算机设备，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现上述任意实施例中所述的隐式证书密钥扩展方法的步骤。本申请实施例还提供一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现上述任意实施例中所述的隐式证书密钥扩展方法的步骤。在本申请实施例中，提供了一种隐式证书密钥扩展方法，其中，通过第一用户端向证书申请注册中心发送携带有第一对称密钥、第二对称密钥、第一公钥和第二公钥的证书申请请求，使得证书申请注册中心可以根据第一对称密钥对第一公钥进行扩展并根据第二对称密钥对第二公钥进行扩展，得到多个证书索引中各证书索引对应的第三公钥和第四公钥，之后，证书注册申请中心可以针对各证书索引向证书授权中心发送携带有各证书索引对应的第三公钥和第四公钥的证书颁发请求，证书授权中心响应于各证书索引对应的证书颁发请求，根据对应的第三公钥构造各证书索引对应的隐式证书，根据对应的第四公钥对各证书索引对应的隐式证书进行加密，并将加密后的各证书索引对应的隐式证书发送至证书申请注册中心，证书申请注册中心再将接收到的加密后的各证书索引对应的隐式证书发送至第一用户端。通过上述方案，可以基于密钥扩展实现用户端仅需发送一次证书申请请求即可获得多个隐式证书，从而可以有效提高证书生成效率，减少交互次数，节约网络资源，同时，由于隐式证书中不包含证书授权中心的签名信息，因此还具有数据量小且验签快的优点。附图说明此处所说明的附图用来提供对本申请的进一本文档来自技高网...

【技术保护点】
1.一种隐式证书密钥扩展方法，其特征在于，包括：/n第一用户端生成第一对称密钥、第二对称密钥、第一密钥对和第二密钥对，并向证书申请注册中心发送证书申请请求，其中，所述第一密钥对包括第一公钥，所述第二密钥对包括第二公钥，所述证书申请请求中携带有所述第一对称密钥、所述第二对称密钥、所述第一公钥和所述第二公钥；/n响应于所述证书申请请求，所述证书申请注册中心获取多个证书索引，根据所述第一对称密钥对所述第一公钥进行扩展，得到所述多个证书索引中各证书索引对应的第三公钥，根据所述第二对称密钥对所述第二公钥进行扩展，得到所述各证书索引对应的第四公钥，并针对所述各证书索引向证书授权中心发送证书颁发请求，其中，所述各证书索引对应的证书颁发请求中携带有所述各证书索引对应的第三公钥和第四公钥；/n响应于所述各证书索引对应的证书颁发请求，所述证书授权中心根据所述各证书索引对应的第三公钥生成所述各证书索引对应的隐式证书，根据所述各证书索引对应的第四公钥对所述各证书索引对应的隐式证书进行加密，并将所述各证书索引对应的加密后的隐式证书发送至所述证书申请注册中心；/n所述证书申请注册中心将接收到的所述各证书索引对应的加密后的隐式证书发送至所述第一用户端。/n...

【技术特征摘要】
1.一种隐式证书密钥扩展方法，其特征在于，包括：
第一用户端生成第一对称密钥、第二对称密钥、第一密钥对和第二密钥对，并向证书申请注册中心发送证书申请请求，其中，所述第一密钥对包括第一公钥，所述第二密钥对包括第二公钥，所述证书申请请求中携带有所述第一对称密钥、所述第二对称密钥、所述第一公钥和所述第二公钥；
响应于所述证书申请请求，所述证书申请注册中心获取多个证书索引，根据所述第一对称密钥对所述第一公钥进行扩展，得到所述多个证书索引中各证书索引对应的第三公钥，根据所述第二对称密钥对所述第二公钥进行扩展，得到所述各证书索引对应的第四公钥，并针对所述各证书索引向证书授权中心发送证书颁发请求，其中，所述各证书索引对应的证书颁发请求中携带有所述各证书索引对应的第三公钥和第四公钥；
响应于所述各证书索引对应的证书颁发请求，所述证书授权中心根据所述各证书索引对应的第三公钥生成所述各证书索引对应的隐式证书，根据所述各证书索引对应的第四公钥对所述各证书索引对应的隐式证书进行加密，并将所述各证书索引对应的加密后的隐式证书发送至所述证书申请注册中心；
所述证书申请注册中心将接收到的所述各证书索引对应的加密后的隐式证书发送至所述第一用户端。


2.根据权利要求1所述的方法，其特征在于，所述证书授权中心根据所述各证书索引对应的第三公钥生成所述各证书索引对应的隐式证书，根据所述各证书索引对应的第四公钥对所述各证书索引对应的隐式证书进行加密，并将所述各证书索引对应的加密后的隐式证书发送至所述证书申请注册中心，包括：
所述证书授权中心生成所述各证书索引对应的临时密钥对，其中，所述临时密钥对包括临时公钥和临时私钥；
所述证书授权中心根据所述各证书索引对应的第三公钥和所述各证书索引对应的临时公钥生成所述各证书索引对应的证书公钥；
所述证书授权中心根据所述各证书索引对应的证书公钥构造所述各证书索引对应的隐式证书；
所述证书授权中心根据系统私钥、所述各证书索引对应的临时私钥、所述各证书索引对应的隐式证书以及系统证书，生成所述各证书索引对应的部分私钥；
所述证书授权中心根据所述各证书索引对应的第四公钥对所述各证书索引对应的隐式证书和部分私钥进行加密，并根据系统私钥对所述各证书索引对应的加密后的隐式证书和部分私钥进行签名，得到所述各证书索引对应的加密后的隐式证书和部分私钥的签名；
所述证书授权中心将所述各证书索引对应的加密后的隐式证书和部分私钥以及所述各证书索引对应的加密后的隐式证书和部分私钥的签名发送至所述证书申请注册中心。


3.根据权利要求2所述的方法，其特征在于，所述第一密钥对还包括第一私钥，所述第二密钥对还包括第二私钥；
在所述证书申请注册中心将接收到的所述各证书索引对应的加密后的隐式证书发送至所述第一用户端之后，还包括：
所述第一用户端根据所述第一对称密钥对所述第一私钥进行扩展，得到所述各证书索引对应的第三私钥，根据所述第二对称密钥对所述第二私钥进行扩展，得到所述各证书索引对应的第四私钥；
所述第一用户端根据系统证书验证接收到的所述各证书索引对应的加密后的隐式证书和部分私钥的签名是否有效，在验证所述各证书索引对应的加密后的隐式证书和部分私钥的签名有效的情况下，根据所述各证书索引对应的第四私钥对所述各证书索引对应的加密后的隐式证书和部分私钥进行解密，得到所述各证书索引对应的隐式证书和部分私钥；
所述第一用户端根据所述各证书索引对应的部分私钥和所述各证书索引对应的第三私钥生成所述各证书索引对应的完整私钥。


4.根据权利要求3所述的方法，其特征在于，在所述第一用户端根据所述各证书索引对应的部分私钥和所述各证书索引对应的第三私钥生成所述各证书索引对应的完整私钥之后，还包括：
所述第一用户端选取所述各证书索引对应的完整私钥中的一个完整私钥作为目标私钥；
所述第一用户端获取目标数据，并根据所述目标私钥对所述目标数据进行签名，得到目标签名；
所述第一用户端将所述目标数据、所述目标签名和目标隐式证书发送至第二用户端，其中，所述目标隐式证书是与所述目标私钥对应的证书索引对应的隐式证书。


5.根据权利要求4所述的方法，其特征在于，在所述第一用户端将所述目标数据、所述目标签名和目标隐式证书发送至第二用户端之后，还包括：
所述第二用户端获取系统证书，并从所述系统证书中提取系统公钥；
所述第二用户端从所述目标隐式证书中提取目标证书公钥；
所述第二用户端根据所述系统公钥和所述目标证书公钥生成完整公钥；
所述第二用户端根据所述完整公钥验证所述目标签名的有效性。


6.根据权利要求1所述的方法，其特征在于，所述证书申请注册中心根据所述第一对称密钥对所述第一公钥进行扩展，得到所述多个证书索引中各证书索引对应的第三公钥，包括按照以下公式对所述第一公钥进行扩展：
Cl＝A+f1(s1,l)·G；
其中，A为所述第一公钥，其中，l为所述证书索引，l＝(i,j)，其中，i为当前证书周期序号，为大于等于0的整数，j表示一个证书周期内的证书序号，j＝0,1,…J-1，其中，J为一个证书周期内的证书的总数，f1(s1,l)为证书索引l对应的第一扩展函数，Cl为证书索引l对应的第三公钥，其中，f1(s1,l)＝f1int(s1,l)modq，f1int(s1,l)＝(SM4(s1,x+1)XOR(x+1)||SM4(s1,x+2)XOR(x+2)||SM4(s1,x+3)XOR(x+3))，s1为所述第一对称密钥，x＝(032||i||j||032)，SM4(·)为SM4加密算法，XOR(·)为异或运算，G为椭圆曲线上的基点，q为G的阶，mod为模运算。


7.根据权利要求1所述的方法，其特征在于，所述证书申请注册中心根据所述第二对称密钥对所述第二公钥进行扩展，得到所述各证书索引对应的第四公钥，包括按照以下公式对所述第二公钥进行扩展：
Dl＝B+f2(s2,l)·G；
其中，B为所述第二公钥，l为所述证书索引，l＝(i,j)，其中，i为当前证书周期序号，为大于等于0的整数，j表示一个证书周期内的证书序号，j＝0,1,…J-1，其中，J为一个证书周期内的证书的总数，Dl为证书索引l对应的第四公钥，f2(s2,l)为证书索引l对应的第二扩展函数，其中，s2为所述第二对称密钥，x＝(132||i||j||032)，SM4(·)为SM4加密算法，XOR(·)为异或运算，G为椭圆曲线上的基点，q为G的阶，mod为模运算。


8.根据权利要求2所述的方法，其特征在于，所述证书授权中心根据所述各证书索引对应的第三公钥和所述各证书索引对应的临时公钥生成所述各证书索引对应的证书公钥，包括按照以下公式生成所述各证书索引对应的证书公钥：
Pl＝Wl+Cl；
其中，l为所述证书索引，l＝(i,j)，其中，i为当前证书周期序号，为大于等于0的整数，j表示一个证书周期内的证书序号，j＝0,1,…J-1，其中，J为一个证书周期内的证书的总数，Pl为证书索引l对应的证书公钥，Wl为证书索引l对应的临时公钥，Cl为证书索引l对应的第三公钥。


9.根据权利要求2所述的方法，其特征在于，所述证书授权中心根据系统私钥、所述各证书索引对应的临时私钥、所述各证书索引对应的隐式证书以及系统证书，生成所述各证书索引对应的部分私钥，包括按照以下公式生成所述各证书索引对应的部分私钥：
pl＝(wl+hl·m)modq；
其中，l为所述证书索引，l＝(i,j)，其中，i为当前证书周期序号，为大于等于0的整数，j表示一个证书周期内的证书序号，j＝0,1,…J-1，其中，J为一个证书周期内的证书的总数，pl为证书索引l对应的...

【专利技术属性】
技术研发人员：商建伟，张燕燕，孙鑫红，张心中，
申请(专利权)人：济南晟安信息技术有限公司，
类型：发明
国别省市：山东;37