一种基于后量子签名的证书认证系统及认证方法技术方案

本发明专利技术属于保密通信技术领域，公开了一种基于后量子签名的证书认证系统，包括核心层、管理层、服务层以及用户层，核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块；管理层包括量子安全证书管理服务模块和系统安全管理服务模块；服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块。与现有技术相比，本发明专利技术采用国密认证和后量子认证的混合身份认证方式，构建用户域内的量子安全PKI体系；同时终端采用集成安全加固SDK的方式，构建端到证书认证系统、端到端的量子安全双向认证加密信道，用于证书的申请签发、加密公私钥对的安全托管和业务系统的量子安全身份认证以及数据的可信传输。份认证以及数据的可信传输。份认证以及数据的可信传输。

【技术实现步骤摘要】
一种基于后量子签名的证书认证系统及认证方法


[0001]本专利技术涉及量子保密通信应用
，特别涉及一种基于后量子签名的证书认证系统及认证方法。

技术介绍

[0002]随着企业数字化进程加快，内部系统广泛存在无身份校验的认证或者基于简单机制的认证，存在身份认证安全问题，容易导致数据非法越权访问，造成数据泄露的风险；企业业务系统内部存在采用数据明文方式的传输，存在数据安全问题，需要在内部建立双向认证加密传输机制；企业业务在从http向https迁移过程中，需要有证书认证机制的支持；随着企业搭建内部私有云，业务上云后，云端业务系统之间进行身份认证，需要搭建一个内部的证书认证体系；一般证书认证系统使用的加密证书密钥对存在管理难的问题和存储安全性问题；一般证书认证系统基于非对称密码机制，使用RSA或椭圆曲线算法，无法应对潜在的量子计算的威胁，存在一定的技术性风险；一般证书认证系统无法做到业务终端级的国密认证和后量子认证的混合身份认证。

技术实现思路

[0003]针对现有技术存在以上缺陷，本专利技术提供一种基于后量子签名的证书认证系统及认证方法，具体如下：本专利技术的技术方案是这样实现的：一种基于后量子签名的证书认证系统，包括部署在核心安全区域的核心层、部署在安全接入区域的管理层、部署在互联网区域的服务层以及用户层，所述核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块；所述管理层包括量子安全证书管理服务模块和系统安全管理服务模块；所述服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块；所述用户层包括应用系统以及系统用户，所述密钥安全管理服务模块用于对生命周期内的加密证书密钥对进行全过程管理；所述量子安全证书/CRL生成与签发服务模块用于生成、签发数字证书和证书撤销列表；量子安全证书/CRL存储发布服务模块用于量子安全证书、证书撤销列表的存储和发布，采用数据库或目录服务方式，实现量子安全证书/证书撤销列表的存储、备份和恢复等功能，并提供查询服务；所述量子安全证书管理服务模块用于对量子安全证书／证书撤销列表进行管理控制；所述系统安全管理服务模块用于认证系统的安全审计和安全防护；
所述远程RA模块、本地RA模块用于用户的证书申请、身份审核和证书下载；所述证书CRL/OCSP查询服务模块为系统用户和应用系统提供证书状态查询服务。
[0004]优选地，所述密钥安全管理服务模块的全过程管理包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理，所述密钥安全管理服务模块根据量子安全证书/CRL生成与签发服务模块的请求，为用户生成非对称密钥对和后量子密钥对。
[0005]优选地，所述密钥安全管理服务模块支持采用热备份、冷备份和异地备份措施实现密钥备份。
[0006]优选地，所述证书认证系统采用签名证书和加密证书双证书机制，以及非对称签名和后量子签名的混合认证签名方式。
[0007]优选地，所述签名证书的密钥对由用户利用具有密码运算功能的证书载体产生，所述加密证书的密钥对和后量子签名的密钥对由密钥安全管理服务模块产生并负责安全管理，签名证书和加密证书一起保存在用户的证书载体中。
[0008]优选地，所述量子安全证书管理服务模块实现对量子安全证书／证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档。
[0009]本专利技术还公开了一种基于后量子签名的证书认证方法，包括以下步骤：S1、用户构建PCA，量子签名的证书认证系统在使用前进行用户构建PCA；S2、量子安全证书申请，量子签名的证书认证系统进行量子安全证书的申请和签发；S3、量子安全证书更新，所述量子签名的证书认证系统进行量子安全证书的更新；S4、量子安全证书吊销，所述量子签名的证书认证系统进行量子安全证书的吊销；S5、量子安全加密证书私钥恢复，所述量子签名的证书认证系统进行量子安全加密证书私钥恢复；S6、用户集成量子安全SDK，所述量子签名的证书认证系统提供量子安全SDK，所述量子安全SDK支持门限密钥共享算法，支持私钥安全分发备份和多密码设备冗余同步。
[0010]优选地，所述步骤S1中包括：S11、登录量子签名的证书认证系统申请P10证书请求文件；S12、密钥安全管理服务模块生成PCA根证书的公私钥对和PQC公私钥对；S13、量子安全证书/CRL存储发布服务模块进行后量子自签名，作为属性值加入P10证书请求文件返回；S14、将P10证书请求文件提交给第三方可信机构进行国密证书的签发，所述国密证书为PCA双证书；S15、将PCA双证书导入量子签名的证书认证系统；S16、提供用户PCA域内证书申请、证书更新、证书吊销、挂起解挂、密钥恢复认证服务。
[0011]优选地，所述步骤S2中包括：S21、业务系统通过RA或量子安全SDK提交P10证书请求文件和身份证明文件；S22、身份验证通过后，密钥安全管理服务模块分配PQC公私钥对；S23、量子安全证书/CRL存储发布服务模块进行后量子签名和国密签名；
S24、生成并发布量子安全签名证书；S25、密钥安全管理服务模块分配加密证书密钥对，进行后量子签名和国密签名；S26、生成并发布量子安全签名证书；S27、返回量子安全签名证书、量子安全加密证书以及加密保护的加密证书私钥和PQC私钥。
[0012]优选地，所述量子签名的证书认证系统与所述RA为一对多关系。
[0013]优选地，所述量子签名的证书认证系统与所述量子安全SDK为一对多关系。
[0014]优选地，所述量子安全SDK与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道；所述RA与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道。
[0015]与现有技术相比，本专利技术有以下有益效果：本专利技术的一种基于后量子签名的证书认证系统及方法，可以为企业数字化进程提供安全的身份认证机制，有效的进行数据身份权限管理；可以实现在集成量子SDK的业务系统间构建量子安全的双向认证加密信道，解决数据传输安全问题；可以很好的兼容现有的国密非对称服务，帮助企业业务从http向https迁移；可以快速在企业私有云环境搭建一个内部的量子安全PKI体系，提供SDK方便业务系统接入调用，为企业业务上云提供完整的证书认证服务；提供密钥安全管理服务，通过(3, 5)门限算法将根私钥进行安全分发备份，并用根私钥保护从量子真随机数发生器获取的对称密钥，用对称密钥保护数据库里的公私钥对数据，解决了加密证书密钥对存在的管理难和安全性问题；本专利技术基于国密签名和后量子签名混合认证机制，并利用量子真随机数作为对称密钥构建量子安全信道，能够有效应对量子计算的潜在威胁；本专利技术提供量子安全SDK，便于业务系统快速构建国密认证和后量子认证的混合身份认证能力。
附图说明
[0016]图1为本专利技术基于后量子签名的证书认证系统的原理框图。
具体实施方式
[0017]下面将结合本专利技术实施例中的附图，对本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于后量子签名的证书认证系统，其特征在于，包括部署在核心安全区域的核心层、部署在安全接入区域的管理层、部署在互联网区域的服务层以及用户层，所述核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块；所述管理层包括量子安全证书管理服务模块和系统安全管理服务模块；所述服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块；所述用户层包括应用系统以及系统用户，所述密钥安全管理服务模块用于对生命周期内的加密证书密钥对进行全过程管理；所述量子安全证书/CRL生成与签发服务模块用于生成、签发数字证书和证书撤销列表；量子安全证书/CRL存储发布服务模块用于量子安全证书、证书撤销列表的存储和发布，采用数据库或目录服务方式，实现量子安全证书/证书撤销列表的存储、备份和恢复等功能，并提供查询服务；所述量子安全证书管理服务模块用于对量子安全证书／证书撤销列表进行管理控制；所述系统安全管理服务模块用于认证系统的安全审计和安全防护；所述远程RA模块、本地RA模块用于用户的证书申请、身份审核和证书下载；所述证书CRL/OCSP查询服务模块为系统用户和应用系统提供证书状态查询服务。2.如权利要求1所述的基于后量子签名的证书认证系统，其特征在于，所述密钥安全管理服务模块的全过程管理包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理，所述密钥安全管理服务模块根据量子安全证书/CRL生成与签发服务模块的请求，为用户生成非对称密钥对和后量子密钥对。3.如权利要求2所述的基于后量子签名的证书认证系统，其特征在于，所述密钥安全管理服务模块支持采用热备份、冷备份和异地备份措施实现密钥备份。4.如权利要求1所述的基于后量子签名的证书认证系统，其特征在于，所述证书认证系统采用签名证书和加密证书双证书机制，以及非对称签名和后量子签名的混合认证签名方式。5.如权利要求4所述的基于后量子签名的证书认证系统，其特征在于，所述签名证书的密钥对由用户利用具有密码运算功能的证书载体产生，所述加密证书的密钥对和后量子签名的密钥对由密钥安全管理服务模块产生并负责安全管理，签名证书和加密证书一起保存在用户的证书载体中。6.如权利要求1所述的基于后量子签名的证书认证系统，其特征在于，所述量子安全证书管理服务模块实现对量子安全证书／证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档。7...

【专利技术属性】
技术研发人员：张玲松，
申请(专利权)人：北京正道量子科技有限公司，
类型：发明
国别省市：