一种双密钥体系数字证书的生成方法和应用方法技术

本发明专利技术公开了一种双密钥体系数字证书的生成方法，包括：接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果，向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥，把加密结果发送到用户。本发明专利技术能够解决现有数字证书使用过程中存在的由于双数字证书之间缺乏有效的匹配性，给双数字证书的拥有者造成不必要的损失的技术问题。

【技术实现步骤摘要】
一种双密钥体系数字证书的生成方法和应用方法
本专利技术属于信息安全
和互联网通信领域，更具体地，涉及一种双密钥体系数字证书的生成方法和应用方法。
技术介绍
随着信息化程度的不断提高，各政府部门或企事业单位都已经在互联网上部署了大量的业务系统，并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来。这些业务数据是政府部门或企事业单位的重要数字资产，需要保证其机密性、真实性、完整性和不可否认性，目前主要是采用数字证书来满足这些要求。数字证书是一种权威性的电子文档，用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书分为签名证书和加密证书，其中签名证书用于通信过程中的身份验证，加密证书用于通信过程中的密钥数据加密。现有的数字证书，要么是属于单证书体系，即用户仅仅使用签名证书或加密证书进行签名或加密操作，要么是属于双证书体系，即用户同时使用签名证书和加密证书进行签名和加密操作。同时国家也相继推出了相关的数字证书的标准，提出了双证书的概念。在国密SSL相关的标准中，规定要使用一个签名证书和加密证书，其中签名证书的密钥来自用户，加密证书的密钥来自可信受信任的第三方权威机构(例如密钥管理中心)。由于将签名密钥和加密密钥分别存在了两个数字证书中。因此，现有的数字证书在使用过程中存在一些不可忽略的技术问题：第一，由于双数字证书之间缺乏有效的匹配性，这会导致任意两张数字证书都能够被组合成双数字证书，从而使得受信任的第三方权威机构用户容易替换双数字证书中的任意一张，同时不被双数字证书的拥有者所知，进而给双数字证书的拥有者造成不必要的损失；第二，用户在使用双数字证书时需要区分签名证书和加密证书，但是目前缺乏简易有效的区分方式，当不法分子使用加密证书作为签名证书、并使用签名证书作为加密证书时，司法机构很难获取不法交易的相关证据；第三，用户无法确定数字证书是属于单证书体系还是双证书体系，从而带来数字证书混用的问题；第四，对于单证书体系而言，由于私钥只存储在用户自己手中，公钥加密后的数据只有用户自身能够解密，当司法机构希望获取用户加密后的数据时，存在取证上的困难。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种双密钥体系数字证书生成方法和应用方法，其目的在于，解决现有数字证书使用过程中存在的上述技术问题。为实现上述目的，按照本专利技术的一个方面，提供了一种双密钥体系数字证书的生成方法，是应用在CA中，所述生成方法包括以下步骤：(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；(2)获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果；(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。(4)把步骤(2)中得到的加密结果发送到用户。优选地，对证书加密密钥对中的私钥进行加密是结合对称加密算法和非对称加密算法，其中非对称算法是SM2、RSA、或ECC等，对称算法是AES、3DES、DES、或SM4等，对随机产生的对称密钥进行加密是使用的非对称加密算法，包括SM2、RSA、或ECC。按照本专利技术的另一方面，提供了一种双密钥体系数字证书的生成方法，是应用在CA中，所述生成方法包括以下步骤：(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；(2)获取证书加密密钥对，并利用步骤(1)得到的证书的签名公钥或临时公钥对证书加密密钥对中的私钥进行加密，以得到加密结果；(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。(4)把步骤(2)中得到的加密结果发送到用户。优选地，对证书加密密钥对中的私钥进行加密是使用的非对称加密算法，包括SM2、RSA、或ECC等。优选地，双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段，TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥，其中TBS字段中的公钥信息子字段是对现有X.509数字证书的TBS字段中的公钥信息子字段进行了扩充，用于存放证书的签名公钥信息、以及证书的加密公钥信息。优选地，双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段，TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥，其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中增加了一个公钥信息子字段，用于存放与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。优选地，双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段，TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥，其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中的扩展子字段中填充了与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。按照本专利技术的另一方面，提供了一种双密钥体系数字证书的应用方法，其中所述双密钥体系数字证书是通过根据上述双密钥体系数字证书的生成方法生成，所述应用方法包括以下步骤：(1)第一用户获取双密钥体系数字证书，并对该双密钥体系数字证书进行解析，以获取证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥；(2)第一用户使用步骤(1)中解析得到的证书加密密钥对中的公钥所对应的私钥对数据进行签名操作，以得到签名后的数据，并将双密钥体系数字证书、以及签名后的数据发送到第二用户；(3)第二用户对该双密钥体系数字证书进行解析，以获取证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥；(4)第二用户利用解析得到的证书的签名公钥对来自第一用户的签名后的数据进行验证，以确定第一用户是否是合法用户，如果是则进入步骤(5)，否则过程结束；(5)第二用户利用解析得到的证书的加密公钥对需要发送给第一用户的消息进行加密，并将加密结果发送给第一用户；(6)第一用户使用步骤(1)中解析得到的证书加密密钥对中的公钥所对应的私钥对步骤(5)中得到的加密结果进行解密，以得到信息明文。按照本专利技术的另一方面，提供了一种双密钥体系数字证书的应用方法，其中所述双密钥体系本文档来自技高网...

【技术保护点】
1.一种双密钥体系数字证书的生成方法，是应用在CA中，其特征在于，所述生成方法包括以下步骤：/n(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；/n(2)获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果；/n(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。/n(4)把步骤(2)中得到的加密结果发送到用户。/n

【技术特征摘要】
1.一种双密钥体系数字证书的生成方法，是应用在CA中，其特征在于，所述生成方法包括以下步骤：
(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；
(2)获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果；
(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。
(4)把步骤(2)中得到的加密结果发送到用户。


2.根据权利要求1所述的生成方法，其特征在于，对证书加密密钥对中的私钥进行加密是结合对称加密算法和非对称加密算法，其中非对称算法是SM2、RSA、或ECC等，对称算法是AES、3DES、DES、或SM4等，对随机产生的对称密钥进行加密是使用的非对称加密算法，包括SM2、RSA、或ECC。


3.一种双密钥体系数字证书的生成方法，是应用在CA中，其特征在于，所述生成方法包括以下步骤：
(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；
(2)获取证书加密密钥对，并利用步骤(1)得到的证书的签名公钥或临时公钥对证书加密密钥对中的私钥进行加密，以得到加密结果；
(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。
(4)把步骤(2)中得到的加密结果发送到用户。


4.根据权利要求1所述的生成方法，其特征在于，对证书加密密钥对中的私钥进行加密是使用的非对称加密算法，包括SM2、RSA、或ECC等。


5.根据权利要求1至4中任意一项所述的生成方法，其特征在于，
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段；
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥；
其中TBS字段中的公钥信息子字段是对现有X.509数字证书的TBS字段中的公钥信息子字段进行了扩充，用于存放证书的签名公钥信息、以及证书的加密公钥信息。


6.根据权利要求1至4中任意一项所述的生成方法，其特征在于，
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段；
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥；
其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中增加了一个公钥信息子字段，用于存放与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。


7.根据权利要求1至4中任意一项所述的生成方法，其特征在于，
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段；
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息，其中证书的签名公钥信息包括证书的签名公钥，证书的加密公钥信息包括证书加密密钥对中的公钥；
其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中的扩展子字段中填充了与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。


8.一种双密钥体系数字证书的应用方法，其中所述双密钥体系数字证书是通过根据上述权利要求1至5中任意一项所述的双密钥体系数字证书的生成方法生成，其特征在于，所述应用方法包...

【专利技术属性】
技术研发人员：郑军，胡进，张庆勇，
申请(专利权)人：武汉信安珞珈科技有限公司，
类型：发明
国别省市：湖北;42