CN111130777B - 一种用于短效证书的签发管理方法和系统 - Google Patents

Abstract

本发明给出了一种用于短效证书的签发管理方法和系统，包括证书签发机构根据请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用公钥A_i加密数字证书cert_i和密钥分量b_i并返回第一响应数据；终端向终端管理系统发出激活私钥的请求，终端解密终端管理系统返回的第二响应数据，计算验证数字证书对应的私钥a是否与公钥P_i匹配；终端安装并激活证书签发机构为终端签发的终端实体证书，利用激活的私钥a进行数字签名。本发明可以降低密码芯片的存储和计算能力，降低了软件和硬件的复杂度。

Description

一种用于短效证书的签发管理方法和系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种用于短效证书的签发管理方法和系统。

背景技术

PKI(公钥基础设施)和数字证书常用于身份认证和安全通信过程。其中，证书认证中心CA用于签发数字证书，通信和交互的实体使用证书完成身份认证和安全通信。按照标准，每个数字证书具有“生效时间NotBefore”和“失效时间NotAfter”，用于约定实体标识与公开密钥之间的绑定时效性。

通常，CA机构根据证书策略CP和业务规则CPS，在签发数字证书时确定证书的有效期。例如有效期1年、2年等等。

在某些场景中，通常需要使用有效期较短的数字证书来满足特定的安全需求，例如车联网V2X系统，为了满足车辆匿名不可追踪的特性，就设计了一种称为“假名证书PseudonymCertificate”的机制，采用大量的短有效期证书；另外，某些物联网应用例如穿戴式设备、移动应用，为了适应移动终端密钥保护能力比较弱的场景特点，也设计了有效期较短的证书。短有效期的证书，在这些场景中，能够更加便捷地使用，有效保证实体隐私。

现有的短效证书方案与长效证书基本相同。相对于长效数字证书，实体需要的短效证书数量上比较多，多出的数量取决于短效有效期和长效有效期的差别。例如长效证书有效期为1年，短效证书有效期为1天，那么证书签发机构 CA(Certification Authority)要签发的证书数量是长效证书的300多倍。这一方面给证书签发机构CA(CertificationAuthority)、数字证书注册审批机构RA(Registration Authority)带来业务量的压力，同时也要求最终证书持有者具备更强的密钥存储能力、证书存储能力，也对客户端密码模块的处理能力提出了挑战。

在2013IEEE Vehicular Networking Conference的论文《A SecurityCredential Management System for V2V Communications》中描述了一种用于智能交通系统的短效证书方案，在方案中，车辆产生一个短效密钥的“种子”，然后在RA端使用一个“公钥扩展函数”扩展为若干个公钥，这些公钥由CA签发成数字证书返回给设备。设备接收到之后使用“私钥扩展函数”扩展得到若干对应的私钥，将私钥在芯片中存储，证书在设备的软件中存储，两者能够一一对应。从而实现车辆设备中拥有大量的短效证书和与之相匹配的私钥。车辆还可以在设备中存储车辆产生一个短效密钥的“种子”，在需要执行签名操作的时刻使用“私钥扩展函数”扩展得到本次签名操作所需要的私钥，然后执行签名操作，在完成签名操作之后将扩展得到的私钥销毁。

上述论文中描述的这种机制的不足之处在于客户端的安全芯片中需要安全存储大量的私有密钥，从而提升了芯片成本。

另外，PKI通常配套证书吊销机制用于实现对证书状态的管理，在发现实体出现密钥泄露等问题后及时吊销密钥，从而阻止依赖方实体信任出现问题的数字证书。大量短效证书，也有可能造成大量的吊销证书和较大的吊销列表，给系统处理能力、网络流量带来压力。

发明内容

针对现有技术中存在的问题，本发明提出了一种用于短效证书的签发管理方法和系统，用以解决现有技术中对密码芯片的存储能力和计算能力要求高，以及软件和硬件的复杂度较高的问题。

在一个方面，本发明提出了一种用于短效证书的签发管理方法，该方法包括：

响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用公钥A_i加密数字证书cert_i和密钥分量b_i并返回包括 eCert和E_b的第一响应数据，终端管理系统缓存第一响应数据；

终端向终端管理系统发出激活私钥的请求，终端解密终端管理系统返回的第二响应数据，并计算验证数字证书对应的私钥a是否与公钥P_i匹配，其中， i＝0,1，…，n-1；

终端安装并激活证书签发机构为终端签发的终端实体证书，利用激活的私钥 a进行数字签名。

优选的，第二响应数据具体表示为：终端管理系统在收到激活私钥请求时，利用公钥A加密随机数r_i获得的数据Er作为第二响应数据；或者终端管理系统在发送证书请求包时利用公钥A加密随机数r_i获得的数据Er，在收到激活私钥的请求时提取为终端计算并缓存的数据Er作为第二响应数据。

优选的，证书签发机构根据请求生成密钥分量b_i的方式具体包括：证书签发机构根据每个请求或每批请求生成一个密钥分量b_i。

优选的，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将随机公钥集合封装为n个证书请求包。

优选的，响应于接收到的注册信息，终端生成密钥种子(私钥a，公钥A)并将公钥A提交至终端管理系统，同时保持私钥a的私密性，其中A＝[a^-1] G，G为基点。

优选的，终端包括终端软件和芯片。利用终端软件和芯片的配合，可以更好的实现对密钥和证书进行解密等操作。

优选的，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}的具体计算方式为：A_i＝[r_i ^-1]A，其中，r_i表示随机数集合{r₀，r₁，…，r_n-1}中的一个元素，A_i表示对应随机公钥集合 {A₀，A₁，…，A_n-1}中的元素。

优选的，证书签发机构返回的第一响应数据具体包括利用所述公钥A_i加密所述数字证书和所述密钥分量b_i分别获得的eCert和E_b，或利用所述 A_i加密将所述数字证书和所述密钥分量b_i作为一个整体后所获得的数据。凭借响应数据的设立，可以通过相应证书对实体进行控制，使其无法仅利用数字签名和私钥进行解密，便于对证书状态进行管理，提高了安全性。

优选的，终端下载所述数字证书的方式包括按周期下载新的证书、一次下载一个或多个证书，并且私钥的激活能够在证书签发后的任意时刻对应的一次性或分多次执行。不同的下载方式可以满足不同实体的使用需求，相应的实体可根据自己的策略，选择适合的下载策略。

优选的，公钥P利用合并公钥函数计算获得，具体计算公式为： P＝F_Combine(A_i，b_i)。

进一步优选的，终端解密终端管理系统返回的第二响应数据具体包括：响应于终端接收到第二响应数据，终端利用私钥a解密获得数字证书、密钥分量b_i以及随机数r_i并存入终端软件中，验证数字证书中的私钥a与公钥 P_i是否匹配。

进一步优选的，终端利用私钥a解密的方法具体为：利用私钥a解密数据E_r获得随机数r_i；利用随机数r_i与私钥a计算获得随机公钥集合A_i对应的私钥a_i，其中

利用私钥a_i解密第一响应数据获得数字证书和密钥分量b_i。通过一系列的解密过程，最终获取响应数据中的数字证书cert和密钥分量集合b_i，通过相应数据的加密和解密更加便于证书签发机构的管理。

进一步优选的，若数字证书中的公钥P_i满足 P_i＝F_CalcPoint(a，r_i，b_i)，则表示数字证书中的私钥a与公钥P_i匹配。通过计算公钥的函数的计算验证可以有效的判别证书公钥是否匹配。

进一步优选的，终端安装并激活证书签发机构为终端签发的终端实体证书后，终端芯片中持有私钥a，终端软件中存储密钥分量b_i和数字证书。

进一步优选的，还包括：当终端芯片提供功能和接口支撑时，将密钥分量 b_i和随机数r_i送入终端芯片，并在终端芯片中合成私钥d完成数字签名和私钥解密。

进一步优选的，签名或加密的过程在SM2椭圆曲线上进行。基于SM2 曲线可以提高处理速度且复杂程度高对实体的性能消耗更小。

优选的，该方法还包括响应于依赖于数字证书的实体出现异常，终端管理系统不发放第二响应数据，终端无法通过数字签名和私钥a解密。证书签发机构控制响应数据即可对实体进行控制管理，实体无法仅利用数字证书和私钥进行解密，提升了安全性能。

优选的，终端生成密钥种子后，终端管理系统执行多次随机公钥集合的计算和向证书签发机构发送证书请求包。执行多次随机公钥集合的计算和向证书签发机构发送证书请求包能够有效地提高效率。

优选的，数字证书下载后，终端可以使用激活的数字证书及其对应的私钥执行任意多次数字签名或私钥解密操作。利用没有失效的私钥执行任意多次的数字签名可以避免资源的浪费，降低算力的消耗。

根据本发明的第二方面，提出了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机处理器执行时上述方法。

根据本发明的第三方面，提出了一种用于短效证书的签发管理系统，该系统包括：

证书签发系统：配置用于响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用公钥A_i加密数字证书cert_i和密钥分量b_i并返回包括eCert和E_b的第一响应数据；

终端：配置用于终端向终端管理系统发出激活私钥的请求，终端解密终端管理系统返回的第二响应数据，并计算验证数字证书对应的私钥a是否与公钥 P_i匹配，其中，i＝0,1，…，n-1；终端安装并激活证书签发机构为终端签发的终端实体证书，利用激活的私钥a进行数字签名；

终端管理系统：配置用于利用随机数集合{r₀，r₁，…，r_n-1}与公钥A 计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将随机公钥集合封装为n个证书请求包，终端管理系统缓存第一响应数据以及包括第一响应数据。

本发明提出了一种通过终端安全芯片、终端软件、终端管理系统、证书认证系统配合完成短效证书的PKI方案，该方案包括基于椭圆曲线公钥算法的数字证书的申请、签发、终端能够该短效证书完成数字签名和加密的方案。主要通过终端申请证书、证书签发机构签发和发放证书，终端安装证书激活密钥，使用证书进行数字签名和数据加密等操作，实现对证书状态的管理，对于存在问题的实体，可在终端来获取的时候，不发放对应的相应数据，使其无法利用数字签名和私钥进行解密。利用本发明的机制，可以降低对密码芯片的存储能力和计算能力的要求，且仅需处理一张数字证书和一个相应的私钥，极大的降低了软件和硬件的复杂度，对于使用短效证书的大型系统，可以有效的解决实体证书状态的问题。

附图说明

包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点，因为通过引用以下详细描述，它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是本申请的实施例的用于短效证书的签发管理方法的流程图；

图2是本申请的具体的实施例的短效证书签名过程的示意性流程图；

图3是本申请的具体的实施例的私钥解密过程的示意性流程图；

图4是本申请的具体的实施例的短效证书申请过程的示意性流程图；

图5是本申请的实施例的用于短效证书的签发管理系统的框架图；

图6是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

根据本申请的一个实施例的用于短效证书的签发管理方法，图1示出了根据本申请的实施例的用于短效证书的签发管理方法的流程图。如图1所示，该方法包括：

S101：响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用公钥A_i加密数字证书cert_i和密钥分量b_i并返回包括 eCert和E_b的第一响应数据，终端管理系统缓存第一响应数据。

在具体的实施例中，响应于接收到的注册信息，终端生成密钥种子(私钥a，公钥A)并将公钥A提交至终端管理系统，同时保持私钥a的私密性，其中A＝[a^-1]G，G为基点。终端在管理系统中进行注册时，终端在其硬件密码模块(HSM)内部产生一对密钥种子(a，A)，其中A＝[a^-1]G，将公钥A和终端的其他信息提交给管理系统。

在具体的实施例中，管理系统使用随机比特发生器产生一系列的随机数 r₀，r₁，…，r_n-1，与公钥A计算得到为一系列公钥A₀，A₁，…，A_n-1，管理中心将这些公钥封装成为n个证书请求包，提交给证书签发系统签发证书。管理系统中，由公钥A计算A₀，A₁，…，A_n-1的过程具体表示为：

FOR i from 0to n-1

A_i＝[r_i ^-1]A

END FOR

管理系统保存r_i与公钥A_i，并使用A_i作为公钥，封装证书，向证书签发系统请求证书。

在优选的实施例中，终端生成密钥种子后，终端管理系统执行多次随机公钥集合的计算和向证书签发机构发送证书请求包。可以根据实际的应用需求执行多次随机公钥集合的计算和向证书签发机构发送证书请求包，降低软件和硬件的复杂度，提高效率。

在优选的实施例中，请求可以是每个请求生成一个密钥分量b_i，也可以为每批请求生成一个密钥分量b_i，可以根据应用需要设置合适的密钥分量 b_i的生成方式。

在优选的实施例中，管理系统可以根据自己的策略，选择一次性申请这些证书或者在终端请求时向证书签发机构CA申请签发证书。两种的下载策略可以满足不同实体的使用需求，相应的实体可根据自己的策略，选择适合的下载策略。

在具体的实施例中，证书签发系统接收到管理系统的请求，其请求中包含A_i和签发证书所需的其它信息。证书签发机构CA为每个请求产生一个单独的密钥分量b_i，计算公钥B_i＝[b_i]G，P_i＝F_Combine(A_i，b_i)。以P_i为终端公钥签发，按照CA的证书策略包括有效期策略、授权策略签发成为设备和业务所需的数字证书cert_i。CA使用A_i加密证书cert_i得到eCert，加密b_i得到 E_b。最终将第一响应数据<eCert,E_b>发给管理系统，管理系统转发给终端。管理系统也可以将一定数量的CA应答缓存在自己的数据存储中。应当认识到，第一响应数据还可以为利用所述A_i加密将所述数字证书和所述密钥分量b_i作为一个整体后所获得的数据，同样可以实现本发明的技术效果。

在优选的实施例中，对GB/T32198所定义的SM2曲线，加密可采用 GB/T32198-4《信息安全技术SM2椭圆曲线公钥算法-公钥加密算法》。 F_Combine是合并公钥的函数，随椭圆曲线参数以及密码运算的定义不同而有所不同。对GB/T32918中定义的国家密码管理局发布的SM2曲线，可定义 F_Combine如下：

F_Combine(Q，d)＝d^-1[Q]-G。可替代的，除了SM2椭圆曲线公钥算法之外，还可以选用其他例如Nist P-256、BrainPool-256r1曲线的ECIES 加密方法，同样可以实现本发明的技术效果。

S102：终端向终端管理系统发出激活私钥的请求，终端解密终端管理系统返回的第二响应数据，并计算验证数字证书对应的私钥a是否与公钥P_i匹配，其中，i＝0,1，…，n-1。

在优选的实施例中，第二响应数据具体为：终端管理系统在收到激活私钥请求时，利用公钥A加密随机数r_i获得的数据Er作为第二响应数据；或者终端管理系统在发送证书请求包时利用公钥A加密随机数r_i获得的数据Er，在收到激活私钥的请求时提取为终端计算并缓存的数据Er作为第二响应数据。

在优选的实施例中，终端可以根据策略选择一次性下载n个证书，也可以选择按照周期例如一天等方式下载新的证书，并且私钥的激活能够在证书签发后的任意时刻对应的一次性或分多次执行。两种的下载策略可以满足不同终端的使用需求，相应的终端可根据自己的策略，选择适合的下载策略。

在一个具体的实施例中，终端获得eCert和E_b后，按照如下流程进行处理：

(1)在芯片中使用私钥a解密E_r得到r_i；

(2)使用r_i和a计算出A_i对应的私钥

然后使用 a_i解密CA的第一响应数据<eCert，E_b>，得到cert_i和b_i，完成后，终端在软件中保存cert_i、b_i和r_i；

(3)验证证书中的公钥P_i是否满足公式P＝F_CalcPoint(a，r_i，b_i)，如果公式满足，则认为私钥和证书中的公钥是匹配的。

其中，F_CalcPoint是通过多个私钥分量计算公钥的函数，随椭圆曲线参数以及密码运算的定义不同而有所不同。例如SM2曲线，可定义F_ CalcPoint如下：

F_CalcPoint(d₁，d₂，d₃)＝[(d₁·d₂·d₃)]^-1G-G

对于其它椭圆曲线，可以同样定义类似的合并公钥函数。

再进一步具体的实施例中，第(2)步骤中的解密方法基于SM2曲线算法进行解密，具体解密方式如下：

a.软件部分：解析密文C得到C₁、C₂和C₃；

b.芯片：密码芯片计算C_temp＝[a^-1]C₁，将C_temp返回给软件；

c.软件部分：软件计算Q＝[r_i ^-1]C_temp＝(x，y)

计算e＝KDF(x|y，mlen)

计算M＝C₂^e

计算C₃’＝Hash(x|M|y)，并验证C₃’＝＝C₃是否成立，若不成立则报错，如果成立，返回M作为明文。应当认识到，可选则其他曲线算法进行解密，例如Nist P-256、BrainPool-256r1曲线的ECIES加密方法，同样可以实现本发明的技术效果。

S103：终端安装并激活证书签发机构为终端签发的终端实体证书，利用激活的私钥a进行数字签名。

在一个具体的实施例中，终端在安装CA的证书响应之后，在芯片中持有密钥分量a，在软件中存储分量b_i、r_i和cert。然后使用SM2椭圆曲线的密码数字签名过程进行数字签名。图2示出了本申请的具体的实施例的短效证书签名过程的示意性流程图，如图2所示，数字签名过程具体包括如下步骤：

首先令D₁＝a^-1，D₂＝(b_i·r_i)^-1mod n

软件部分：

[1]计算消息m的摘要e；

[2]将e送入芯片仅需计算。

硬件芯片：

[3]产生随机数k计算Q＝[k]G＝(x，y)，计算r＝(e+x)mod n；

[4]计算S＝D₁(k+r)，返回(r，S)。

软件部分：

[5]软件计算s＝D₂S-r，若s+r＝n则重新开始签名过程；

[6]公钥P验证(r，s)是否是对应于摘要e的签名，若验证通过则将 (r，s)作为签名结果。

在另一个具体的实施例中，对于使用公钥P加密的数据，可以使用私钥进行解密，解密过程根据曲线的不同有所不同。对于SM2曲线，图3示出了本申请的具体的实施例的短效证书解密过程的示意性流程图，如图3所示，解密过程如下：

首先令D₁＝a^-1,D₂＝(b_i·r_i)^-1mod n

软件部分：

解析密文c得到C₁、C₂和C₃；

验证C₁是否在椭圆曲线上，将C₁发送给密码芯片。

硬件芯片：

密码芯片计算C_temp＝[D₁]C₁，将C_temp返回给软件。

软件部分：

软件计算Q＝[D₂]C_temp-G＝(x，y)；

计算t＝KDF(x|y，mlen)；

计算M＝C₂^t；

计算C₃’＝Hash(x|M|y)，并验证C₃’＝＝C₃是否成立，若不成立则报错，如果成立则将M作为明文输出。

在其他具体的实施例中，如果芯片能够提供功能和接口的支撑，使用私钥进行数字签名和解密的过程，也可以采用将私钥分量b_i、r_i一并送入硬件芯片，在芯片中合成私钥d使用GB/T32918中的过程完成数字签名和私钥解密。以SM2曲线为例，其数字签名和私钥解密过程如下：

数字签名：

设待签名的消息为M，为了获取消息M的数字签名(r，s)，作为签名者的用户A应实现以下运算步骤：

A1：置

A2：计算

将e的数据类型转换为整数；

A3：用随机数发生器产生随机数k∈[1，n-1]；

A4：计算椭圆曲线点(x₁，y₁)＝[k]G，将x₁的数据类型转换为整数；

A5：计算r＝(e+x₁)mod n，若r＝0或r+k＝n则返回A3；

A6：计算d_A＝(a·b·r)^-1，s＝((1+d_A)^-1·(k-r·d_A))mod n，若s＝0 则返回步骤A3；

A7：将r、s的数据类型转换为字节串，消息M的签名为(r,s)。

私钥解密：

为了对密文C＝C₁||C₃||C₂进行解密，作为解密者的用户B应实现以下运算步骤：

B1：从C中取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁是否满足椭圆曲线方程，若不满足则报错并退出；

B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；

B3：计算[d_B]C₁＝(x₂，y₂)，将坐标x₂、y₂的数据类型转换为比特串；

B4：计算t＝KDF(x₂|y₂，klen)，klen是密文中C₂的长度，若t为全 0比特串，则报错并退出；

B5：从C中取出比特串C₂，计算M’＝C₂⊕t；

B6：计算u＝Hash(x₂||M’||y₂)，从C中取出比特串C₃，若u≠C₃，则报错并退出；

输出明文M’。

在具体的实施例中，使用本发明中的机制，终端必须得到管理中心的响应数据，才能进行数字签名、加密解密操作。因此，如果出现某种原因需要标识某个实体存在问题，仅需要管理中心或证书签发系统仅需标记该实体的状态，在终端来获取时，不向其发放第二响应数据即可。终端无法获得b_i和r_i，自然无法执行数字签名和私钥解密。

在优选的实施例中，证书签发机构是对派生公钥Pi签发数字证书，即使因为某些原因撤销了某些数字证书，其后果仅仅是终端无法获得这些证书的r_i和 b_i，进而无法激活这些数字证书。当发生上述情况时，终端并不需要重新生成私钥a，可以利用公钥A来提交注册请求，重新申请数字证书。因此数字证书下载后，终端可以使用激活的数字证书及其对应的私钥执行任意多次数字签名或私钥解密操作，数字证书的激活能够在证书签发后的任意时刻一次性或分多次执行。

利用上述管理方法，证书签发机构CA在签发短效证书时，按照策略签发有效期非常短的证书，终端定期到终端管理中心或证书签发机构CA获得下一个时间周期所需要使用的短效证书和密钥分量，证书签发机构CA将短效证书和密钥分量作为激活数据发放给设备，设备解密得到证书和密钥分量，在终端的密码芯片中保存一部分密钥分量，在软件中保存另外一部分密钥分量，终端中密码芯片和软件部分配合完成数字签名和私钥解密。使用本发明中的管理机制，在需要大量短效证书的场景中，终端的密码芯片只需要存储很少量的密钥即可，降低了对密码芯片的存储能力和计算能力的要求。在使用短效证书的大型系统中，对于存在问题的实体，可在终端来获取的时候，根据策略不向其发放对应的激活数据，使其无法激活密钥，也无法进行数字签名和私钥解密，从而辅助实现证书状态管理。

继续参考图4，图4示出了本申请的具体的实施例的短效证书申请过程的示意性流程图，该过程具体包括以下步骤：

终端：

终端软件产生密钥种子并发送给终端芯片，终端芯片产生密钥对 (a，A)，将公钥A返回终端软件，并提交终端管理系统注册。

终端管理系统：

终端管理系统产生一系列密钥分量r_i，基于密钥分量r_i派生得到一系列公钥A_i，将其封装为多个证书请求包，并向证书签发服务提交证书申请。

证书签发服务：

证书签发系统接收到终端管理系统的请求，产生密钥因子b_i及派生公钥P，利用派生公钥P为终端公钥签发证书，同时利用公钥A_i加密证书和b_i获得响应数据，将响应数据(即公钥A_i加密后的证书和b_i)发给终端管理系统。

终端管理系统：

终端管理系统将响应数据转发给终端，亦可以将一定数量的CA应答缓存在终端管理系统的数据存储中，同时还包括使用公钥A加密r_i得到Er，并将CA的响应数据<eCert，Eb>和Er发送给终端。

终端：

终端软件在收到响应数据后，发送至终端芯片中解密获得证书和b_i，并使用私钥a解密Er得到r_i，将证书和b_i返回终端软件，终端软件的向终端芯片发送计算证书终端中对比公钥请求，终端芯片计算对比公钥后返回终端软件计算结果的对比公钥，终端软件验证公钥满足要求后，保存b_i和r_i。

在具体的实施例中，解密相应数据和验证公钥的具体方式为：使用r_i和a计算出A_i对应的私钥

然后使用a_i解密CA的响应数据<eCert，E_b>，得到cert_i和b_i，完成后，终端在软件中保存cert_i、b_i和r_i；验证证书中的公钥P是否满足公式P＝F_CalcPoint(a，r_i，b_i),如果公式满足，则认为私钥和证书中的公钥是匹配的。

图5示出了根据实施例的用于短效证书的签发管理系统的框架图，该系统包括终端501、终端管理系统502、证书签发系统503和依赖数字证书的实体504。其中，终端501被配置用于向终端管理系统发出激活私钥的请求，终端解密终端管理系统返回的第一响应数据和第二响应数据，并计算验证数字证书对应的私钥a是否与公钥P_i匹配，其中，i＝0，1，…，n-1；终端安装并激活证书签发机构为终端签发的终端实体证书，利用激活的私钥a进行数字签名；终端管理系统502被配置用于利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将所述随机公钥集合封装为n个证书请求包，终端管理系统缓存第一响应数据以及包括第一响应数据和数据Er的第二响应数据；证书签发系统503被配置用于响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用公钥A_i加密数字证书cert_i和密钥分量b_i并返回包括eCert和E_b的第一响应数据，利用公钥A加密随机数r_i获得的数据Er。终端501分别与依赖数字证书的实体504和终端管理系统502连接，终端管理系统502与证书签发系统503连接。

在具体的实施例中，终端501被认为是芯片和软件的混合，通常使用芯片作为安全产生、存储密钥的介质，在芯片中安全进行密码计算。软件调用芯片的驱动和接口完成这些密钥和密码操作。终端管理系统502管理终端 501实体身份与终端501所使用的模块信息。证书签发服务通常用于将终端所关联的身份和密钥通过数字签名和数字证书的形式关联在一起，通常，证书签发服务由证书注册系统(RA)和证书签发系统(CA)共同组成。

下面参考图6，其示出了适于用来实现本申请实施例的电子设备的计算机系统600的结构示意图。图6示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602 以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分 609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本申请的方法中限定的上述功能。

需要说明的是，本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质，该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如 Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：响应于接收到的注册信息，终端生成密钥种子(a，A)并提交至管理系统，其中A＝[a^-1] G，A为公钥，a为私钥，G为基点；利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将随机公钥集合封装为n个证书请求包；响应于接收到证书请求包，证书签发机构为每个请求生成密钥分量b_i，利用证书请求包中的公钥A_i，计算获得公钥P，基于证书策略和公钥P签发数字证书，并利用公钥A_i加密数字证书和密钥分量 b_i获得证书签发机构的响应数据；响应于终端的请求，终端向终端管理系统申请安装激活数字证书；响应于终端安装并激活证书签发机构的证书，利用椭圆曲线的密码数字签名过程进行数字签名。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (14)

1.一种用于短效证书的签发管理方法，其特征在于，该方法包括：

响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用所述证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用所述公钥A_i加密所述数字证书cert_i和所述密钥分量b_i并返回包括eCert和E_b的第一响应数据，终端管理系统缓存所述第一响应数据；

终端向终端管理系统发出激活私钥的请求，所述终端解密所述终端管理系统返回的第二响应数据，并计算验证所述数字证书对应的私钥a是否与所述公钥P_i匹配，其中，i＝0，1，…，n-1；

所述终端包括终端软件和终端芯片；所述终端安装并激活所述证书签发机构为终端签发的终端实体证书，利用激活的所述私钥a进行数字签名；

响应于接收到的注册信息，所述终端生成密钥种子：私钥a、公钥A，并将所述公钥A提交至终端管理系统，同时保持所述私钥a的私密性，其中A＝[a^-1]G，G为基点；

所述第二响应数据具体表示为：所述终端管理系统在收到激活私钥请求时，利用所述公钥A加密随机数r_i获得的数据Er作为所述第二响应数据；或者所述终端管理系统在发送所述证书请求包时利用所述公钥A加密所述随机数r_i获得的所述数据Er，在收到所述激活私钥的请求时提取为所述终端计算并缓存的所述数据Er作为所述第二响应数据；

所述终端解密所述终端管理系统返回的第二响应数据具体包括：响应于所述终端接收到所述第二响应数据，所述终端利用私钥a解密获得所述数字证书、所述密钥分量b_i以及所述随机数r_i并存入所述终端软件中，验证所述数字证书中的私钥a与公钥P_i是否匹配；

所述终端安装并激活所述证书签发机构为终端签发的终端实体证书后，所述终端芯片中持有所述私钥a，所述终端软件中存储所述密钥分量b_i和所述数字证书；

还包括：当所述终端芯片提供功能和接口支撑时，将所述密钥分量b_i和随机数r_i送入所述终端芯片，并在所述终端芯片中合成私钥d完成数字签名和私钥解密；

以及，响应于依赖于所述数字证书的实体出现异常，所述终端管理系统不发放所述第二响应数据，所述终端无法通过所述数字签名和所述私钥a解密。

2.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，所述证书签发机构根据请求生成密钥分量b_i的方式具体包括：所述证书签发机构根据每个请求或每批请求生成一个密钥分量b_i。

3.根据权利要求2所述的用于短效证书的签发管理方法，其特征在于，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将所述随机公钥集合封装为n个所述证书请求包。

4.根据权利要求3所述的用于短效证书的签发管理方法，其特征在于，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}的具体计算方式为：

A_i＝[r_i ^-1]A，其中，r_i表示所述随机数集合{r₀，r₁，…，r_n-1}中的一个元素，A_i表示对应所述随机公钥集合{A₀，A₁，…，A_n-1}中的一个元素。

5.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，所述证书签发机构返回的第一响应数据具体包括利用所述公钥A_i加密所述数字证书和所述密钥分量b_i分别获得的eCert和E_b，或利用所述A_i加密将所述数字证书和所述密钥分量b_i作为一个整体后所获得的数据。

6.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，终端下载所述数字证书的方式包括按周期下载新的证书、一次下载一个或多个证书，并且所述私钥的激活能够在证书签发后的任意时刻对应的一次性或分多次执行。

7.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，所述公钥P_i利用合并公钥函数计算获得，具体计算公式为：

P_i＝F_Combine(A_i，b_i)。

8.根据权利要求3所述的用于短效证书的签发管理方法，其特征在于，所述终端利用私钥a解密的方法具体为：利用所述私钥a解密所述数据Er获得所述随机数r_i；利用所述随机数r_i与所述私钥a计算获得所述随机公钥集合A_i对应的私钥a_i，其中

利用所述私钥a_i解密所述第一响应数据获得所述数字证书和所述密钥分量b_i。

9.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，若所述数字证书中的所述公钥P_i满足P_i＝F_CalcPoint(a，r_i，b_i)，则表示所述数字证书中的所述私钥a与所述公钥P_i匹配；

其中，F_CalcPoint是通过多个私钥分量计算公钥的函数，随椭圆曲线参数以及密码运算的定义不同而有所不同。

10.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，签名或加密的过程在SM2椭圆曲线上进行。

11.根据权利要求3所述的用于短效证书的签发管理方法，其特征在于，所述终端生成所述密钥种子后，所述终端管理系统执行多次所述随机公钥集合的计算和向所述证书签发机构发送证书请求包。

12.根据权利要求5所述的用于短效证书的签发管理方法，其特征在于，所述数字证书下载后，所述终端能够使用激活的数字证书及其对应的私钥执行任意多次数字签名或私钥解密操作。

13.一种计算机可读存储介质，其上存储有一或多个计算机程序，其特征在于，该一或多个计算机程序被计算机处理器执行时实施权利要求1至12中任一项所述的方法。

14.根据权利要求1所述方法的短效证书的签发管理系统，其特征在于，所述系统包括：

证书签发系统：配置用于响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用所述证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用所述公钥A_i加密所述数字证书cert_i和所述密钥分量b_i并返回包括eCert和E_b的第一响应数据；

终端：配置用于向终端管理系统发出激活私钥的请求，所述终端解密所述终端管理系统返回的第二响应数据，并计算验证所述数字证书对应的私钥a是否与所述公钥P_i匹配，其中，i＝0,1，…，n-1；所述终端安装并激活所述证书签发机构为终端签发的终端实体证书，利用激活的所述私钥a进行数字签名；

终端管理系统：配置用于利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将所述随机公钥集合封装为n个证书请求包；终端管理系统缓存所述第一响应数据以及包括所述第一响应数据。

Images