一种证书签名方法、装置以及一种证书获取方法、装置制造方法及图纸

本申请实施例提供一种证书签名方法、装置以及一种证书获取方法、装置。其中，获取待签名的证书内容，并确定待签名的证书内容对应的参与者集合，参与者集合中包括多个需要对证书内容进行签名的参与者；向所述参与者集合中的每个参与者发送所述证书内容，以使得参与者集合中的每个参与者随机选取第一秘密值，并根据第一秘密值以及获取的中间结果，生成自身对应的签名分量；获取参与者集合中每个参与者反馈的签名分量，根据多个签名分量生成对证书内容进行签名的签名结果。本申请实施例提供的技术方案通过多个参与者对证书内容进行签名，避免了签名私钥归单一参与者所持有造成CA系统安全性差的问题，从而提高了CA系统的安全性。从而提高了CA系统的安全性。从而提高了CA系统的安全性。

【技术实现步骤摘要】
一种证书签名方法、装置以及一种证书获取方法、装置


[0001]本申请实施例涉及通讯
，尤其涉及一种证书签名方法、装置以及一种证书获取方法、装置。

技术介绍

[0002]公钥基础设施(Public Key Infrastructure，PKI)作为安全基础设施，其应用非常广泛，为网上金融、网上银行、网上证券、电子商务、电子政务等网络中的数据交换提供了完备的安全服务功能。由于网络具有开放性和匿名性等特点，非法用户通过一些技术手段假冒他人身份进行网上欺诈的门槛越来越低，从而对合法用户和系统造成极大的危害。身份认证的实质，就是证实被认证对象是否真实和是否有效的过程，被认为是当今网上交易的基础。
[0003]在PKI体系中，认证中心(Certification Authority，CA)系统作为公钥基础设施（Public Key Infrastructure，PKI）体系的中心，因此一旦CA系统作恶或者被敌手攻破，整个PKI体系会崩溃。
[0004]然而目前多数CA系统通常持有完整的签名私钥，签发证书内容时直接使用该签名私钥对证书内容进行签名，因此一旦CA系统作恶或者被敌手攻破，容易导致签名私钥泄密，从而造成CA系统安全性较差的问题。

技术实现思路

[0005]本申请实施例提供一种证书签名方法、装置以及一种证书获取方法、装置，用以解决现有技术中CA系统安全性较差的问题。
[0006]第一方面，本申请实施例中提供了一种证书签名方法，应用于CA系统中的控制中心，所述CA系统中包括多个参与者，所述方法包括：获取待签名的证书内容，并确定所述待签名的证书内容对应的参与者集合，所述参与者集合中包括多个需要对所述证书内容进行签名的参与者；向所述参与者集合中的每个参与者发送所述证书内容，以使得所述参与者集合中的每个参与者随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为每个参与者根据自身的私钥分量对所述证书内容进行签名的结果；获取所述参与者集合中每个参与者反馈的签名分量，根据多个所述签名分量生成对所述证书内容进行签名的签名结果。
[0007]可选地，还包括：将所述参与者集合中每个参与者对应的签名分量发送给用户端，以供用户端根据多个所述签名分量以及所述证书内容，确定出数字证书。
[0008]第二方面，本申请实施例提供了一种证书签名方法，应用于CA系统中的任一参与者，所述方法包括：
确定自身的私钥分量，所述私钥分量由所述参与者集合中的多个参与者将签名私钥分割后确定；获取控制中心发送证书内容以及所述证书内容对应的参与者集合；随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为参与者根据自身的私钥分量对所述证书内容进行签名的结果；向所述控制中心发送自身对应的签名分量，以使所述控制中心根据多个所述签名分量生成对所述证书内容进行签名的签名结果。
[0009]可选地，所述中间结果包括第一中间结果、第二中间结果、第三中间结果以及第四中间结果；所述随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，包括：随机选取第一秘密值，并根据所述第一秘密值和获取的第一参数，计算出第一中间结果，其中，所述第一参数为预先定义的椭圆曲线的基点；获取所述参与者集合中剩余参与者反馈的第一中间结果，并根据计算的第一中间结果和剩余参与者反馈的第一中间结果，计算出第二中间结果；根据所述证书内容以及所述第二中间结果，计算出第三中间结果；根据所述第一秘密值以及所述私钥分量、获取的第二参数，计算出第四中间结果，所述第二参数为预先定义的椭圆曲线的阶；根据所述第三中间结果和所述第四中间结果，生成自身对应的签名分量。
[0010]可选地，所述确定自身的私钥分量，包括：随机选取第二秘密值，并根据所述第二秘密值确定自身对应的私钥分量；所述随机选取第二秘密值，并根据所述第二秘密值确定自身对应的私钥分量，包括：将随机选取的第二秘密值按照所述参与者集合中的参与者个数进行分割，得到自身对应的秘密份额以及所述参与者集合中其他参与者对应的秘密份额；将每个参与者对应的秘密份额发送给对应参与者，并接收所述参与者集合中其他参与者发送的秘密份额；将分割得到的秘密份额以及其他参与者发送的秘密份额相加，得到自身对应的私钥分量。
[0011]可选地，在获取所述参与者集合中剩余参与者反馈的第一中间结果之前，还包括：广播所述第一中间结果至所述参与者集合中的剩余参与者。
[0012]第三方面，本申请实施例提供了一种证书获取方法，应用于用户端，所述方法包括：向CA系统发送证书内容的签名请求，所述请求携带待签名的证书内容，以使所述CA系统获取待签名的证书内容，并确定所述待签名的证书内容对应的参与者集合，所述参与者集合中包括多个需要对所述证书内容进行签名的参与者；向所述参与者集合中的每个参与者发送所述证书内容，以使得所述参与者集合中的每个参与者随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为
每个参与者根据自身的私钥分量对所述证书内容进行签名的结果；获取所述参与者集合中每个参与者反馈的签名分量，根据多个所述签名分量生成对所述证书内容进行签名的签名结果；将每个参与者对应的签名分量发送给用户端；根据多个所述签名分量以及所述证书内容，确定出数字证书。
[0013]可选地，还包括：根据所述CA系统广播的签名公钥验证所述数字证书的有效性。
[0014]第四方面，本申请实施例提供了一种证书签名装置，包括：第一获取模块，用于获取待签名的证书内容，并确定所述待签名的证书内容对应的参与者集合，所述参与者集合中包括多个需要对所述证书内容进行签名的参与者；第一发送模块，用于向所述参与者集合中的每个参与者发送所述证书内容，以使得所述参与者集合中的每个参与者随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为每个参与者根据自身的私钥分量对所述证书内容进行签名的结果；所述第一获取模块还用于获取所述参与者集合中每个参与者反馈的签名分量；第一生成模块，用于根据多个所述签名分量生成对所述证书内容进行签名的签名结果。
[0015]第五方面，本申请实施例提供了一种证书签名装置，包括：第二确定模块，用于确定自身的私钥分量，所述私钥分量由所述参与者集合中的多个参与者将签名私钥分割后确定；第二获取模块，用于获取控制中心发送证书内容以及所述证书内容对应的参与者集合；第二生成模块，用于随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为参与者根据自身的私钥分量对所述证书内容进行签名的结果；第二发送模块，用于向所述控制中心发送自身对应的签名分量，以使所述控制中心根据多个所述签名分量生成对所述证书内容进行签名的签名结果。
[0016]第六方面，本申请实施例提供了一种证书获取装置，包括：第三发送模块，用于向CA系统发送证书本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种证书签名方法，其特征在于，应用于CA系统中的控制中心，所述CA系统中包括多个参与者，所述方法包括：获取待签名的证书内容，并确定所述待签名的证书内容对应的参与者集合，所述参与者集合中包括多个需要对所述证书内容进行签名的参与者；向所述参与者集合中的每个参与者发送所述证书内容，以使得所述参与者集合中的每个参与者随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为每个参与者根据自身的私钥分量对所述证书内容进行签名的结果；获取所述参与者集合中每个参与者反馈的签名分量，根据多个所述签名分量生成对所述证书内容进行签名的签名结果。2.根据权利要求1所述的方法，其特征在于，还包括：将所述参与者集合中每个参与者对应的签名分量发送给用户端，以供用户端根据多个所述签名分量以及所述证书内容，确定出数字证书。3.一种证书签名方法，其特征在于，应用于CA系统中的任一参与者，所述方法包括：确定自身的私钥分量，所述私钥分量由参与者集合中的多个参与者将签名私钥分割后确定；获取控制中心发送证书内容以及所述证书内容对应的参与者集合；随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，所述签名分量为参与者根据自身的私钥分量对所述证书内容进行签名的结果；向所述控制中心发送自身对应的签名分量，以使所述控制中心根据多个所述签名分量生成对所述证书内容进行签名的签名结果。4.根据权利要求3所述的方法，其特征在于，所述中间结果包括第一中间结果、第二中间结果、第三中间结果以及第四中间结果；所述随机选取第一秘密值，并根据所述第一秘密值以及获取的中间结果，生成自身对应的签名分量，包括：随机选取第一秘密值，并根据所述第一秘密值和获取的第一参数，计算出第一中间结果，其中，所述第一参数为预先定义的椭圆曲线的基点；获取所述参与者集合中剩余参与者反馈的第一中间结果，并根据计算的第一中间结果和剩余参与者反馈的第一中间结果，计算出第二中间结果；根据所述证书内容以及所述第二中间结果，计算出第三中间结果；根据所述第一秘密值以及所述私钥分量、获取的第二参数，计算出第四中间结果，所述第二参数为预先定义的椭圆曲线的阶；根据所述第三中间结果和所述第四中间结果，生成自身对应的签名分量。5.根据权利要求3所述的方法，其特征在于，所述确定自身的私钥分量，包括：随机选取第二秘密值，并根据所述第二秘密值确定自身对应的私钥分量；所述随机选取第二秘密值，并根据所述第二秘密值确定自身对应的私钥分量，包括：将随机选取的第二秘密值按照所述参与者集合中的参与者个数进行分割，得到自身对应的秘密份额以及所述参与者集合中其他参与者对应的秘密份额；将每个参与者对应的秘密份额发送给对应参与者，并接收所述参与者集合中其他参与
者发送的秘密份额；将分割得到的秘密份额以及其他参与者发送的秘密份额相加，得到自身对应的私钥分量。6.根据权利要求5所述的方法，其特征在于，在获取所述参与者集合中剩余参与者反馈的第一中间结果之前，还包括：广播所述第一中间结果至所述参与者集合中的剩余参与者。7.一种证书获取方法，其特征在于，应用于用户端，所述方法包括：向CA系统发送证书内容的签名请求，所述请求携带待签名的证书内容，以使所述CA系统获取待签名的证书内容，并确定所述待签名的证书内容对应的参与者集合，所述参与者集合中包括多个需要对所述证书内容进行签名的参与者；...

【专利技术属性】
技术研发人员：张宇，王翊心，胡进，
申请(专利权)人：武汉信安珞珈科技有限公司，
类型：发明
国别省市：