【技术实现步骤摘要】
一种双密钥体系数字证书的生成方法和应用方法
本专利技术属于信息安全
和互联网通信领域,更具体地,涉及一种双密钥体系数字证书的生成方法和应用方法。
技术介绍
随着信息化程度的不断提高,各政府部门或企事业单位都已经在互联网上部署了大量的业务系统,并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来。这些业务数据是政府部门或企事业单位的重要数字资产,需要保证其机密性、真实性、完整性和不可否认性,目前主要是采用数字证书来满足这些要求。数字证书是一种权威性的电子文档,用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书分为签名证书和加密证书,其中签名证书用于通信过程中的身份验证,加密证书用于通信过程中的密钥数据加密。现有的数字证书,要么是属于单证书体系,即用户仅仅使用签名证书或加密证书进行签名或加密操作,要么是属于双证书体系,即用户同时使用签名证书和加密证书进行签名和加密操作。同时国家也相继推出了相关的数字证书的标准,提出了双证书的概念。在国密SSL相关的标准中,规定要使用一个签名证书和加密证书,其中签名证书的密钥来自用户,加密证书的密钥来自可信受信任的第三方权威机构(例如密钥管理中心)。由于将签名密钥和加密密钥分别存在了两个数字证书中。因此,现有的数字证书在使用过程中存在一些不可忽略的技术问题:第一,由于双数字证书之间缺乏有效的匹配性,这会导致任意两张数字证书都能够被组合成双数字证书,从而使得受信任的第三方权威机构用户容易替换双数字证书中的任意一张,同时不被双数字证书的 ...
【技术保护点】
1.一种双密钥体系数字证书的生成方法,是应用在CA中,其特征在于,所述生成方法包括以下步骤:/n(1)接收来自用户的数字证书申请请求,并对该数字证书申请请求进行解析,以得到证书的签名公钥或临时公钥;/n(2)获取证书加密密钥对,利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密,以得到第一加密结果,并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密,以得到第二加密结果;/n(3)向用户颁发双密钥体系数字证书,该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。/n(4)把步骤(2)中得到的加密结果发送到用户。/n
【技术特征摘要】
1.一种双密钥体系数字证书的生成方法,是应用在CA中,其特征在于,所述生成方法包括以下步骤:
(1)接收来自用户的数字证书申请请求,并对该数字证书申请请求进行解析,以得到证书的签名公钥或临时公钥;
(2)获取证书加密密钥对,利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密,以得到第一加密结果,并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密,以得到第二加密结果;
(3)向用户颁发双密钥体系数字证书,该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。
(4)把步骤(2)中得到的加密结果发送到用户。
2.根据权利要求1所述的生成方法,其特征在于,对证书加密密钥对中的私钥进行加密是结合对称加密算法和非对称加密算法,其中非对称算法是SM2、RSA、或ECC等,对称算法是AES、3DES、DES、或SM4等,对随机产生的对称密钥进行加密是使用的非对称加密算法,包括SM2、RSA、或ECC。
3.一种双密钥体系数字证书的生成方法,是应用在CA中,其特征在于,所述生成方法包括以下步骤:
(1)接收来自用户的数字证书申请请求,并对该数字证书申请请求进行解析,以得到证书的签名公钥或临时公钥;
(2)获取证书加密密钥对,并利用步骤(1)得到的证书的签名公钥或临时公钥对证书加密密钥对中的私钥进行加密,以得到加密结果;
(3)向用户颁发双密钥体系数字证书,该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。
(4)把步骤(2)中得到的加密结果发送到用户。
4.根据权利要求1所述的生成方法,其特征在于,对证书加密密钥对中的私钥进行加密是使用的非对称加密算法,包括SM2、RSA、或ECC等。
5.根据权利要求1至4中任意一项所述的生成方法,其特征在于,
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段;
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息,其中证书的签名公钥信息包括证书的签名公钥,证书的加密公钥信息包括证书加密密钥对中的公钥;
其中TBS字段中的公钥信息子字段是对现有X.509数字证书的TBS字段中的公钥信息子字段进行了扩充,用于存放证书的签名公钥信息、以及证书的加密公钥信息。
6.根据权利要求1至4中任意一项所述的生成方法,其特征在于,
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段;
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息,其中证书的签名公钥信息包括证书的签名公钥,证书的加密公钥信息包括证书加密密钥对中的公钥;
其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中增加了一个公钥信息子字段,用于存放与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。
7.根据权利要求1至4中任意一项所述的生成方法,其特征在于,
双密钥体系数字证书包括TBS字段、签名算法字段、以及签名值字段;
TBS字段中填充有证书的签名公钥信息、以及证书的加密公钥信息,其中证书的签名公钥信息包括证书的签名公钥,证书的加密公钥信息包括证书加密密钥对中的公钥;
其中TBS字段中的公钥信息子字段是在现有X.509数字证书的TBS字段中的扩展子字段中填充了与现有X.509数字证书的该TBS字段中原有的公钥信息子字段中存放的公钥信息不同的公钥信息。
8.一种双密钥体系数字证书的应用方法,其中所述双密钥体系数字证书是通过根据上述权利要求1至5中任意一项所述的双密钥体系数字证书的生成方法生成,其特征在于,所述应用方法包...
【专利技术属性】
技术研发人员:郑军,胡进,张庆勇,
申请(专利权)人:武汉信安珞珈科技有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。