一种证书链的生成方法及认证方法技术

本发明专利技术公开了一种证书链的生成方法及认证方法，涉及量子安全领域，证书链包括量子根证书、中间证书及用户证书，证书链的生成方法为：第一量子CA证书颁发中心向传统CA证书颁发中心发送证书请求文件，传统CA证书颁发中心基于本地传统根证书签发量子根证书，第一量子CA证书颁发中心基于量子根证书签发中间证书，第二量子CA证书颁发中心基于中间证书签发用户证书。本发明专利技术用户证书中镶嵌了量子根证书的一次性身份和中间证书的一次性身份，因此，本发明专利技术证书链的认证方法为：只需认证用户证书的合法性，即可认证本发明专利技术证书链的合法性。本发明专利技术将证书链作为整体实现认证，提高了证书链的认证效率。证效率。证效率。

【技术实现步骤摘要】
一种证书链的生成方法及认证方法


[0001]本专利技术涉及量子安全
，具体涉及一种证书链的生成方法及认证方法。

技术介绍

[0002]在通信过程中，用户可以通过数字证书来识别通信各方的身份信息，数字证书由证书中心(Certificate authority，简称CA)签发。网络的发展使得依靠证书中心直接签发数字证书的行为已经不能满足当今的网络应用需求，因此，证书中心衍生出了多级，包括根证书中心、中间证书中心、用户证书中心等，相应地，所颁发的证书也就包括根证书、中间证书、用户证书等，中间证书也可以是很多级。
[0003]在传统的证书链的认证过程中，根证书用于认证中间证书的合法性，中间证书用于认证用户证书的合法性，针对每一级证书都需要进行一次认证，这样就导致一个证书链中的多个证书认证需要分多次进行，认证效率很低。
[0004]如何提升证书链的认证效率，改进证书链的多级认证的方式，成为当下需要解决的技术问题。

技术实现思路

[0005]专利技术目的：本专利技术目的是提供一种证书链的生成方法及认证方法，解决了当前证书链的逐级认证方式所带来的认证效率低的问题。本专利技术改进了传统证书链的逐级证书认证的方式，将证书链作为整体实现认证。本专利技术所提出的方法中涉及到的证书链，将传统的根证书与量子数字证书进行了衔接，实现了传统数字证书和量子数字证书的有效融合，提升了证书链的安全性。
[0006]技术方案：一种证书链的生成方法，所述证书链包括量子根证书、由量子根证书签发的中间证书及由中间证书签发的用户证书，所述生成方法包括以下步骤：
[0007]步骤1、量子CA证书颁发系统中的第一量子CA证书颁发中心向传统CA证书颁发中心发送证书请求文件；
[0008]步骤2、传统CA证书颁发中心基于本地传统根证书向第一量子CA证书颁发中心签发量子根证书；
[0009]步骤3、第一量子CA证书颁发中心基于量子根证书向量子CA证书颁发系统中的第二量子CA证书颁发中心签发中间证书，中间证书包括量子根证书的一次性身份；
[0010]步骤4、第二量子CA证书颁发中心基于中间证书向量子CA证书颁发系统中的第三量子CA证书颁发中心签发用户证书，用户证书包括量子根证书的一次性身份和中间证书的一次性身份。
[0011]进一步地，所述步骤1、2进一步包括：
[0012]所述第一量子CA证书颁发中心从本地获取一个随机数，所述随机数作为量子根证书的私钥，所述量子根证书的私钥记为：root.pri.key，所述第一量子CA证书颁发中心基于私钥root.pri.key生成相对应的公钥，所述第一量子CA证书颁发中心生成证书请求文件，
所述证书请求文件包括所述第一量子证书颁发中心基于私钥root.pri.key生成的公钥，所述第一量子CA证书颁发中心将证书请求文件发送至所述传统CA证书颁发中心；
[0013]所述传统CA证书颁发中心接收证书请求文件，并使用本地传统根证书对第一量子CA证书颁发中心基于私钥root.pri.key生成的公钥进行签名，签名文件作为量子根证书发送至所述第一量子CA证书颁发中心。
[0014]进一步地，所述步骤3中第一量子CA证书颁发中心基于量子根证书向第二量子CA证书颁发中心签发中间证书的过程如下：
[0015](1)、所述第一量子CA证书颁发中心从本地获取随机数r1、s1及u1，基于随机数r1生成不可约多项式p1，基于不可约多项式p1及随机数s1生成第一哈希函数H
p1,s1
，使用第一哈希函数H
p1,s1
计算量子根证书的私钥root.pri.key的哈希值，得到H
p1,s1
(root.pri.key)，使用随机数u1对哈希值H
p1,s1
(root.pri.key)进行加密，得到量子根证书的一次性身份OTID
root
＝H
p1,s1
(root.pri.key)
⊕
u1；
[0016](2)、所述第一量子CA证书颁发中心从本地获取一个随机数，所述随机数作为中间证书的私钥，所述中间证书的私钥记为：medi.pri.key；
[0017](3)、所述第一量子CA证书颁发中心从本地获取随机数r2、s2及u2，基于随机数r2生成不可约多项式p2，基于不可约多项式p2及随机数s2生成第二哈希函数H
p2,s2
，使用第二哈希函数H
p2,s2
计算中间证书的私钥medi.pri.key的哈希值，得到H
p2,s2
(medi.pri.key)，使用随机数u2对哈希值H
p2,s2
(medi.pri.key)进行加密，得到中间证书的一次性身份OTID
medi
＝H
p2,s2
(medi.pri.key)
⊕
u2；
[0018](4)、所述第一量子CA证书颁发中心构建待签名的中间证书Medi.Cert；
[0019]Medi.Cert＝(tbsMediCert,OTID
medi
,OTID
root
)；
[0020]其中，tbsMediCert为中间证书数据；
[0021](5)、所述第一量子CA证书颁发中心从本地获取随机数r3、s3及t3，基于随机数r3生成不可约多项式p3，基于不可约多项式p3及随机数s3生成第三哈希函数H
p3,s3
，使用第三哈希函数H
p3,s3
计算中间证书Medi.Cert的哈希值，得到H
p3,s3
(Medi.Cert)，使用随机数t3对哈希值H
p3,s3
(Medi.Cert)进行加密，得到签名文件Sign
medi
＝[H
p3,s3
(Medi.Cert),p3]⊕
t3；
[0022](6)、封装中间证书，得到所述第一量子CA证书颁发中心基于量子根证书签发的中间证书Signed.Medi.Cert；
[0023]Signed.Medi.Cert＝(Medi.Cert,Sign
medi
)；
[0024]即：Signed.Medi.Cert＝(tbsMediCert,OTID
medi
,OTID
root
,Sign
medi
)。
[0025]进一步地，所述第一量子CA证书颁发中心基于量子根证书向所述第二量子CA证书颁发中心签发中间证书的过程(1)中，所述第一量子CA证书颁发中心从本地获取的随机数r1、s1、u1长度相等；
[0026]所述第一量子CA证书颁发中心基于量子根证书向所述第二量子CA证书颁发中心签发中间证书的过程(3)中，所述第一量子CA证书颁发中心从本地获取的随机数r2、s2、u2长度相等；
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种证书链的生成方法，其特征在于，所述证书链包括量子根证书、由量子根证书签发的中间证书及由中间证书签发的用户证书，所述生成方法包括以下步骤：步骤1、量子CA证书颁发系统中的第一量子CA证书颁发中心向传统CA证书颁发中心发送证书请求文件；步骤2、传统CA证书颁发中心基于本地传统根证书向第一量子CA证书颁发中心签发量子根证书；步骤3、第一量子CA证书颁发中心基于量子根证书向量子CA证书颁发系统中的第二量子CA证书颁发中心签发中间证书，中间证书包括量子根证书的一次性身份；步骤4、第二量子CA证书颁发中心基于中间证书向量子CA证书颁发系统中的第三量子CA证书颁发中心签发用户证书，用户证书包括量子根证书的一次性身份和中间证书的一次性身份。2.根据权利要求1所述的一种证书链的生成方法，其特征在于，所述步骤1、2进一步包括：所述第一量子CA证书颁发中心从本地获取一个随机数，所述随机数作为量子根证书的私钥，所述量子根证书的私钥记为：root.pri.key，所述第一量子CA证书颁发中心基于私钥root.pri.key生成相对应的公钥，所述第一量子CA证书颁发中心生成证书请求文件，所述证书请求文件包括所述第一量子证书颁发中心基于私钥root.pri.key生成的公钥，所述第一量子CA证书颁发中心将证书请求文件发送至所述传统CA证书颁发中心；所述传统CA证书颁发中心接收证书请求文件，并使用本地传统根证书对第一量子CA证书颁发中心基于私钥root.pri.key生成的公钥进行签名，签名文件作为量子根证书发送至所述第一量子CA证书颁发中心。3.根据权利要求2所述的一种证书链的生成方法，其特征在于，所述步骤3中第一量子CA证书颁发中心基于量子根证书向第二量子CA证书颁发中心签发中间证书的过程如下：(1)、所述第一量子CA证书颁发中心从本地获取随机数r1、s1及u1，基于随机数r1生成不可约多项式p1，基于不可约多项式p1及随机数s1生成第一哈希函数H
p1,s1
，使用第一哈希函数H
p1,s1
计算量子根证书的私钥root.pri.key的哈希值，得到H
p1,s1
(root.pri.key)，使用随机数u1对哈希值H
p1,s1
(root.pri.key)进行加密，得到量子根证书的一次性身份OTID
root
＝H
p1,s1
(root.pri.key)
⊕
u1；(2)、所述第一量子CA证书颁发中心从本地获取一个随机数，所述随机数作为中间证书的私钥，所述中间证书的私钥记为：medi.pri.key；(3)、所述第一量子CA证书颁发中心从本地获取随机数r2、s2及u2，基于随机数r2生成不可约多项式p2，基于不可约多项式p2及随机数s2生成第二哈希函数H
p2,s2
，使用第二哈希函数H
p2,s2
计算中间证书的私钥medi.pri.key的哈希值，得到H
p2,s2
(medi.pri.key)，使用随机数u2对哈希值H
p2,s2
(medi.pri.key)进行加密，得到中间证书的一次性身份OTID
medi
＝H
p2,s2
(medi.pri.key)
⊕
u2；(4)、所述第一量子CA证书颁发中心构建待签名的中间证书Medi.Cert；Medi.Cert＝(tbsMediCert,OTID
medi
,OTID
root
)；其中，tbsMediCert为中间证书数据；(5)、所述第一量子CA证书颁发中心从本地获取随机数r3、s3及t3，基于随机数r3生成
不可约多项式p3，基于不可约多项式p3及随机数s3生成第三哈希函数H
p3,s3
，使用第三哈希函数H
p3,s3
计算中间证书Medi.Cert的哈希值，得到H
p3,s3
(Medi.Cert)，使用随机数t3对哈希值H
p3,s3
(Medi.Cert)进行加密，得到签名文件Sign
medi
＝[H
p3,s3
(Medi.Cert),p3]
⊕
t3；(6)、封装中间证书，得到所述第一量子CA证书颁发中心基于量子根证书签发的中间证书Signed.Medi.Cert；Signed.Medi.Cert＝(Medi.Cert,Sign
medi
)；即：Signed.Medi.Cert＝(tbsMediCert,OTID
medi
,OTID
root
,Sign
medi
)。4.根据权利要求3所述的一种证书链的生成方法，其特征在于，所述第一量子CA证书颁发中心基于量子根证书向所述第二量子CA证书颁发中心签发中间证书的过程(1)中，所述第一量子CA证书颁发中心从本地获取的随机数r1、s1、u1长度相等；所述第一量子CA证书颁发中心基于量子根证书向所述第二量子CA证书颁发中心签发中间证书的过程(3)中，所述第一量子CA证书颁发中心从本地获取的随机数r2、s2、u2长度相等；所述第一量子CA证书颁发中心基于量子根证书向所述第二量子CA证书颁发中心签发中间证书的过程(5)中，所述第一量子CA证书颁发中心从本地获取随机数r3、s3及t3，其中，随机数r3与随机数s3长度相等，随机数t3的长度是随机数r3的长度的2倍。5.根据权利要求3所述的一种证书链的生成方法，其特征在于，所述步骤4中第二量子CA证书颁发中心基于中间证书向第三量子CA证书颁发中心签发用户证书的过程如下：(1)、所述第二量子CA证书颁发中心从本地获取一个随机数，所述随机数作为用户证书的私钥，所述用户证书的私钥记为：user.pri.key；(2)、所述第二量子CA证书颁发中心从本地获取随机数r4、s4及u4，基于随机数r4生成不可约多项式p4，基于不可约多项式p4及随机数s4生成第四哈希函数H
p4,s4
，使用第四哈希函数H
p4,s4
计算用户证书的私钥user.pri.key的哈希值，得到H
p4,s4
(user.pri.key)，使用随机数u4对哈希值H
p4,s4
(user.pri.key)进行加密，得到用户证书的一次性身份OTID
user
＝H
p4,s4
(user.pri.key)
⊕
u4；(3)、所述第二量子CA证书颁发中心构建待签名的用户证书User.Cert；User.Cert＝(tbsUserCert,OTID
user
,OTID
medi
,OTID
root
)；其中，tbsUserCert为用户证书数据；(4)、所述第二量子CA证书颁发中心从本地获取随机数r5、s5及t5，基于...

【专利技术属性】
技术研发人员：史钦锋，赵呈洋，赵健，
申请(专利权)人：矩阵时光数字科技有限公司，
类型：发明
国别省市：