CN116388986A - 一种基于后量子签名的证书认证系统及认证方法 - Google Patents

一种基于后量子签名的证书认证系统及认证方法 Download PDF

Info

Publication number
CN116388986A
CN116388986A CN202310657001.2A CN202310657001A CN116388986A CN 116388986 A CN116388986 A CN 116388986A CN 202310657001 A CN202310657001 A CN 202310657001A CN 116388986 A CN116388986 A CN 116388986A
Authority
CN
China
Prior art keywords
certificate
quantum
security
key
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310657001.2A
Other languages
English (en)
Other versions
CN116388986B (zh
Inventor
张玲松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhengdao Quantum Technology Co ltd
Original Assignee
Beijing Zhengdao Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhengdao Quantum Technology Co ltd filed Critical Beijing Zhengdao Quantum Technology Co ltd
Priority to CN202310657001.2A priority Critical patent/CN116388986B/zh
Publication of CN116388986A publication Critical patent/CN116388986A/zh
Application granted granted Critical
Publication of CN116388986B publication Critical patent/CN116388986B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Abstract

本发明属于保密通信技术领域,公开了一种基于后量子签名的证书认证系统,包括核心层、管理层、服务层以及用户层,核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块;管理层包括量子安全证书管理服务模块和系统安全管理服务模块;服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块。与现有技术相比,本发明采用国密认证和后量子认证的混合身份认证方式,构建用户域内的量子安全PKI体系;同时终端采用集成安全加固SDK的方式,构建端到证书认证系统、端到端的量子安全双向认证加密信道,用于证书的申请签发、加密公私钥对的安全托管和业务系统的量子安全身份认证以及数据的可信传输。

Description

一种基于后量子签名的证书认证系统及认证方法
技术领域
本发明涉及量子保密通信应用技术领域,特别涉及一种基于后量子签名的证书认证系统及认证方法。
背景技术
随着企业数字化进程加快,内部系统广泛存在无身份校验的认证或者基于简单机制的认证,存在身份认证安全问题,容易导致数据非法越权访问,造成数据泄露的风险;企业业务系统内部存在采用数据明文方式的传输,存在数据安全问题,需要在内部建立双向认证加密传输机制;企业业务在从http向https迁移过程中,需要有证书认证机制的支持;随着企业搭建内部私有云,业务上云后,云端业务系统之间进行身份认证,需要搭建一个内部的证书认证体系;一般证书认证系统使用的加密证书密钥对存在管理难的问题和存储安全性问题;一般证书认证系统基于非对称密码机制,使用RSA或椭圆曲线算法,无法应对潜在的量子计算的威胁,存在一定的技术性风险;一般证书认证系统无法做到业务终端级的国密认证和后量子认证的混合身份认证。
发明内容
针对现有技术存在以上缺陷,本发明提供一种基于后量子签名的证书认证系统及认证方法,具体如下:
本发明的技术方案是这样实现的:
一种基于后量子签名的证书认证系统,包括部署在核心安全区域的核心层、部署在安全接入区域的管理层、部署在互联网区域的服务层以及用户层,
所述核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块;
所述管理层包括量子安全证书管理服务模块和系统安全管理服务模块;
所述服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块;
所述用户层包括应用系统以及系统用户,
所述密钥安全管理服务模块用于对生命周期内的加密证书密钥对进行全过程管理;
所述量子安全证书/CRL生成与签发服务模块用于生成、签发数字证书和证书撤销列表;
量子安全证书/CRL存储发布服务模块用于量子安全证书、证书撤销列表的存储和发布,采用数据库或目录服务方式,实现量子安全证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务;
所述量子安全证书管理服务模块用于对量子安全证书/证书撤销列表进行管理控制;
所述系统安全管理服务模块用于认证系统的安全审计和安全防护;
所述远程RA模块、本地RA模块用于用户的证书申请、身份审核和证书下载;
所述证书CRL/OCSP查询服务模块为系统用户和应用系统提供证书状态查询服务。
优选地,所述密钥安全管理服务模块的全过程管理包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理,所述密钥安全管理服务模块根据量子安全证书/CRL生成与签发服务模块的请求,为用户生成非对称密钥对和后量子密钥对。
优选地,所述密钥安全管理服务模块支持采用热备份、冷备份和异地备份措施实现密钥备份。
优选地,所述证书认证系统采用签名证书和加密证书双证书机制,以及非对称签名和后量子签名的混合认证签名方式。
优选地,所述签名证书的密钥对由用户利用具有密码运算功能的证书载体产生,所述加密证书的密钥对和后量子签名的密钥对由密钥安全管理服务模块产生并负责安全管理,签名证书和加密证书一起保存在用户的证书载体中。
优选地,所述量子安全证书管理服务模块实现对量子安全证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档。
本发明还公开了一种基于后量子签名的证书认证方法,包括以下步骤:
S1、用户构建PCA,量子签名的证书认证系统在使用前进行用户构建PCA;
S2、量子安全证书申请,量子签名的证书认证系统进行量子安全证书的申请和签发;
S3、量子安全证书更新,所述量子签名的证书认证系统进行量子安全证书的更新;
S4、量子安全证书吊销,所述量子签名的证书认证系统进行量子安全证书的吊销;
S5、量子安全加密证书私钥恢复,所述量子签名的证书认证系统进行量子安全加密证书私钥恢复;
S6、用户集成量子安全SDK,所述量子签名的证书认证系统提供量子安全SDK,所述量子安全SDK支持门限密钥共享算法,支持私钥安全分发备份和多密码设备冗余同步。
优选地,所述步骤S1中包括:
S11、登录量子签名的证书认证系统申请P10证书请求文件;
S12、密钥安全管理服务模块生成PCA根证书的公私钥对和PQC公私钥对;
S13、量子安全证书/CRL存储发布服务模块进行后量子自签名,作为属性值加入P10证书请求文件返回;
S14、将P10证书请求文件提交给第三方可信机构进行国密证书的签发,所述国密证书为PCA双证书;
S15、将PCA双证书导入量子签名的证书认证系统;
S16、提供用户PCA域内证书申请、证书更新、证书吊销、挂起解挂、密钥恢复认证服务。
优选地,所述步骤S2中包括:
S21、业务系统通过RA或量子安全SDK提交P10证书请求文件和身份证明文件;
S22、身份验证通过后,密钥安全管理服务模块分配PQC公私钥对;
S23、量子安全证书/CRL存储发布服务模块进行后量子签名和国密签名;
S24、生成并发布量子安全签名证书;
S25、密钥安全管理服务模块分配加密证书密钥对,进行后量子签名和国密签名;
S26、生成并发布量子安全签名证书;
S27、返回量子安全签名证书、量子安全加密证书以及加密保护的加密证书私钥和PQC私钥。
优选地,所述量子签名的证书认证系统与所述RA为一对多关系。
优选地,所述量子签名的证书认证系统与所述量子安全SDK为一对多关系。
优选地,所述量子安全SDK与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道;所述RA与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道。
与现有技术相比,本发明有以下有益效果:
本发明的一种基于后量子签名的证书认证系统及方法,可以为企业数字化进程提供安全的身份认证机制,有效的进行数据身份权限管理;可以实现在集成量子SDK的业务系统间构建量子安全的双向认证加密信道,解决数据传输安全问题;可以很好的兼容现有的国密非对称服务,帮助企业业务从http向https迁移;可以快速在企业私有云环境搭建一个内部的量子安全PKI体系,提供SDK方便业务系统接入调用,为企业业务上云提供完整的证书认证服务;提供密钥安全管理服务,通过(3, 5)门限算法将根私钥进行安全分发备份,并用根私钥保护从量子真随机数发生器获取的对称密钥,用对称密钥保护数据库里的公私钥对数据,解决了加密证书密钥对存在的管理难和安全性问题;本发明基于国密签名和后量子签名混合认证机制,并利用量子真随机数作为对称密钥构建量子安全信道,能够有效应对量子计算的潜在威胁;本发明提供量子安全SDK,便于业务系统快速构建国密认证和后量子认证的混合身份认证能力。
附图说明
图1为本发明基于后量子签名的证书认证系统的原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明进行清楚、完整地描述。
如图1所示,一种基于后量子签名的证书认证方法及系统,包括核心层、管理层、服务层以及用户层,部署在不同的安全区域。核心层包含量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块,要求部署在核心安全区域;管理层包含量子安全证书管理服务模块和系统安全管理服务模块,要求部署到安全接入区;服务层包含远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块,可以部署在互联网区,所述用户层包括应用系统以及系统用户。
其中,所述密钥安全管理服务模块提供对生命周期内的加密证书密钥对进行全过程管理的功能,包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。
根据量子安全证书/CRL生成与签发服务模块请求,为用户生成非对称密钥对和后量子密钥对,非对称密钥对由硬件密码设备生成;密钥安全管理服务模块生成的非对称密钥对和后量子密钥对,经硬件密码设备加密后存储在数据库中;密钥安全管理服务模块生成的非对称密钥对和后量子密钥对,通过量子安全证书认证系统分发到用户证书载体中;密钥安全管理服务模块支持采用热备份、冷备份和异地备份等措施实现密钥备份;当证书到期或用户需要时,为用户生成新的非对称密钥对和后量子密钥对,后量子密钥对可指定不更新;当证书到期、用户需要或管理机构依据合同规定认为必要时,密钥安全管理服务模块根据量子安全证书/CRL生成与签发服务请求撤销用户当前使用的密钥;密钥安全管理服务模块为到期或撤销的密钥提供安全长期的存储;密钥安全管理服务模块可为用户提供密钥恢复服务和为司法取证提供特定密钥恢复。密钥恢复需依据相关法规并按管理策略进行审批,一般用户只限于恢复自身密钥。
所述量子安全证书/CRL生成与签发服务模块负责生成、签发数字证书和证书撤销列表。所述证书认证系统采用签名证书和加密证书双证书机制,以及非对称签名算法认证和后量子算法认证的混合签名方式。签名证书的密钥对由用户利用具有密码运算功能的证书载体产生,加密证书的密钥对和后量子签名的密钥对由密钥安全管理服务模块产生并负责安全管理。签名证书和加密证书一起保存在用户的证书载体中。用户的数字证书由该系统的 CA 签发,PCA的根 CA 数字证书由可信第三方机构签发,下级 CA 的数字证书由上级CA签发;证书撤销列表是在证书有效期之内,CA 签发的终止使用证书的信息,分为用户证书撤销列表 (CRL)和CA证书撤销列表(ARL)两类 。在证书的使用过程中,应用系统通过检查CRL/ARL,获取有关证书的状态。
所述量子安全证书/CRL存储发布服务模块负责量子安全证书、证书撤销列表的存储和发布,采用数据库或目录服务方式,实现量子安全证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务。使用目录服务方式,应采用主从目录服务器结构以保证主目录服务器的安全,同时从目录服务器可以采用分布式的方式进行设置,以提高系统的效率。用户只能访问从目录服务器。
所述量子安全证书管理服务是量子安全证书认证系统中实现对量子安全证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档等功能的管理控制节点。
所述系统安全管理服务模块主要包括安全审计和安全防护。安全审计提供事件级审计功能,对涉及系统安全的行为、人员、时间等记录进行跟踪、统计和分析。安全防护系统提供访问控制、入侵检测(入侵防御)、漏洞扫描、病毒防治等网络安全功能。
两类RA模块负责用户的证书申请、身份审核和证书下载,可分为本地RA和远程RA。证书申请可采用在线或离线两种方式,在线方式是指用户通过登录到RA系统申请证书或者可信系统通过API请求的方式申请证书,离线方式是指用户到指定的注册机构申请证书。身份审核包括自动和人工两种方式,可信系统通过API请求申请证书,根据参数里的身份证明文件自动进行审核;而对于人工申请证书,由审核人员进行身份审核。证书下载包括在线和离线两种方式,在线方式用户通过登录RA系统下载证书,或者通过接口下载证书;离线方式,用户到指定注册管理场所下载证书。
所述证书CRL/OCSP查询服务模块为用户和应用系统提供证书状态查询服务,包括CRL查询和在线证书状态查询。
所述证书认证系统采用国密认证和后量子安全认证的混合认证机制,签发证书的时候在进行国密签名的同时也进行后量子算法签名,而在验证证书的时候也同时进行国密签名和后量子签名的验证,以保证证书的可靠性。
所述证书认证系统中密钥安全管理服务模块对非对称密钥对和后量子密钥对进行统一管理,提供非对称密钥对和后量子密钥对的生成、存储、分发、销毁和备份等操作,并向量子安全证书/CRL生成与签发服务模块提供密钥对服务,所管理的量子安全密钥对包含三个组成部分,密钥标识KID、公钥PUB、私钥PRI,可表示为K = <KID, PUB, PRI>。
所述证书认证系统中两RA模块与量子安全证书管理服务模块建立双向量子安全认证加密信道,RA与量子安全证书管理服务模块互相校验对方证书里的国密签名和后量子签名,再由量子安全管理服务模块从量子真随机数发生器获取量子密钥,建立加密信道,同时支持第三方业务系统通过集成量子安全认证系统SDK获取建立双向量子安全认证加密信道的能力。
证书认证系统通过(3, 5)门限算法将根私钥进行安全分发备份,并用根私钥保护从量子真随机数发生器获取的对称密钥,用对称密钥保护数据库里的公私钥对数据。
当RA服务或第三方业务终端和所述证书认证系统之间进行数据通信时,根据加密策略要求,先进行双方证书的国密签名和后量子签名的验证,再由证书认证系统从量子真随机数发生器获取量子安全密钥,进行双向认证加密信道建立,用于后续通过API申请证书签发的加密通信。
本发明的基于后量子签名的证书认证方法,包括以下步骤:
S1:用户构建PCA
所述量子安全证书认证系统在使用前需要用户构建PCA,主要步骤包括:
S11:登录量子安全证书认证系统申请P10证书请求文件;
S12:密钥安全管理服务生成PCA根证书的公私钥对和PQC公私钥对;
S13:量子安全证书/CRL存储发布服务进行后量子自签名,作为属性值加入P10证书请求文件返回;
S14:将P10证书请求文件提交给第三方可信机构进行国密证书的签发,所述国密证书为PCA双证书;
S15:将PCA双证书导入量子安全证书认证系统;
S16:提供用户PCA域内证书申请、证书更新、证书吊销、挂起解挂、密钥恢复认证服务。
S2:量子安全证书申请
所述量子安全证书认证系统支持量子安全证书的申请和签发。证书申请的步骤主要包括:
S21:业务系统通过RA或量子安全SDK提交P10证书请求文件和身份证明文件;
S22:身份验证通过后,密钥安全管理服务分配PQC公私钥对;
S23:量子安全证书/CRL存储发布服务进行后量子签名和国密签名;
S24:生成并发布量子安全签名证书;
S25:密钥安全管理服务分配加密证书密钥对,进行后量子签名和国密签名;
S26:生成并发布量子安全签名证书;
S27:返回量子安全签名证书、量子安全加密证书以及加密保护的加密证书私钥和PQC私钥。
S3:量子安全证书更新
所述量子安全证书认证系统支持量子安全证书的更新。证书更新与证书申请流程类似,具体的步骤主要包括:
S21:业务系统通过RA或量子安全SDK提交P10证书请求文件和身份证明文件用于证书更新;
S22:身份验证通过后,密钥安全管理服务分配PQC公私钥对;
S23:量子安全证书/CRL存储发布服务进行后量子签名和国密签名;
S24:生成并发布量子安全签名证书;
S25:密钥安全管理服务分配加密证书密钥对,进行后量子签名和国密签名;
S26:生成并发布量子安全签名证书;
S27:返回量子安全签名证书、量子安全加密证书以及加密保护的加密证书私钥和PQC私钥。
S4:量子安全证书吊销
所述量子安全证书认证系统支持量子安全证书的吊销。证书吊销的步骤主要包括:
S21:业务系统通过RA或量子安全SDK提交量子安全证书吊销请求和身份证明文件;
S22:身份验证通过后,量子安全证书认证系统吊销指定的签名证书;
S23:量子安全证书认证系统吊销指定的加密证书及对应的密钥对;
S24:量子安全证书认证系统吊销对应的PQC公私钥对;
S25:更新证书吊销列表及证书状态查询结果。
S5:量子安全加密证书私钥恢复
所述量子安全证书认证系统支持量子安全加密证书私钥恢复。私钥恢复的步骤主要包括:
S21:业务系统通过RA或量子安全SDK提交密钥恢复请求和身份证明文件;
S22:身份验证通过后,从密钥安全管理服务获取加密密钥对和PQC公私钥对;
S23:使用SM2加密密钥对保护结构返回加密公私钥对,使用PQC公私钥对保护结构返回加密PQC公私钥对,返回加密证书。
S6:用户集成量子安全SDK
所述量子安全证书认证系统提供量子安全SDK,便于业务系统接入量子安全PKI体系。主要功能包括:
S61:量子安全SDK支持国密签名和后量子签名双重验证,验证量子安全证书的有效性;
S62:量子安全SDK支持建立量子安全双向认证加密通道,再验证双方量子安全证书有效后,使用量子密钥建立量子安全加密信道;
S63:量子安全SDK支持门限密钥共享算法,支持私钥安全分发备份和多密码设备冗余同步。
在本发明的一个实施例中,所述量子安全证书认证系统与所述RA为一对多关系。
在本发明的一个实施例中,所述量子安全证书认证系统与所述量子安全SDK为一对多关系。
在本发明的一个实施例中,所述量子安全SDK与所述量子安全SDK之间构建的是量子安全双向认证加密信道。
在本发明的一个实施例中,所述量子安全SDK与所述量子安全证书认证系统之间构建的是量子安全双向认证加密信道。
在本发明的一个实施例中,所述RA与所述量子安全证书认证系统之间构建的是量子安全双向认证加密信道。
在本发明的一个实施例中,所述量子安全证书认证系统包含量子随机数模块。
在本发明的一个实施例中,所述量子安全证书认证系统签发量子安全证书使用具有抗量子计算攻击的PQC签名算法。
在本发明的一个实施例中,所述量子安全双向认证加密信道基于量子安全证书做双向身份认证,并基于具有抗量子计算攻击的对称加密方式,使用量子真随机数作为密钥构建量子安全加密信道,使用带密钥的消息认证码进行消息完整性校验。
综合本发明的系统与方法可知,本发明可以为企业数字化进程提供安全的身份认证机制,有效的进行数据身份权限管理;可以实现在集成量子SDK的业务系统间构建量子安全的双向认证加密信道,解决数据传输安全问题;可以很好的兼容现有的国密非对称服务,帮助企业业务从http向https迁移;可以快速在企业私有云环境搭建一个内部的量子安全PKI体系,提供SDK方便业务系统接入调用,为企业业务上云提供完整的证书认证服务;提供密钥安全管理服务,通过(3, 5)门限算法将根私钥进行安全分发备份,并用根私钥保护从量子真随机数发生器获取的对称密钥,用对称密钥保护数据库里的公私钥对数据,解决了加密证书密钥对存在的管理难和安全性问题;本发明基于国密签名和后量子签名混合认证机制,并利用量子真随机数作为对称密钥构建量子安全信道,能够有效应对量子计算的潜在威胁;本发明提供量子安全SDK,便于业务系统快速构建国密认证和后量子认证的混合身份认证能力。

Claims (12)

1.一种基于后量子签名的证书认证系统,其特征在于,包括部署在核心安全区域的核心层、部署在安全接入区域的管理层、部署在互联网区域的服务层以及用户层,
所述核心层包括量子安全证书/CRL存储发布服务模块、量子安全证书/CRL生成与签发服务模块、密钥安全管理服务模块;
所述管理层包括量子安全证书管理服务模块和系统安全管理服务模块;
所述服务层包括远程RA模块、本地RA模块和证书CRL/OCSP查询服务模块;
所述用户层包括应用系统以及系统用户,
所述密钥安全管理服务模块用于对生命周期内的加密证书密钥对进行全过程管理;
所述量子安全证书/CRL生成与签发服务模块用于生成、签发数字证书和证书撤销列表;
量子安全证书/CRL存储发布服务模块用于量子安全证书、证书撤销列表的存储和发布,采用数据库或目录服务方式,实现量子安全证书/证书撤销列表的存储、备份和恢复等功能,并提供查询服务;
所述量子安全证书管理服务模块用于对量子安全证书/证书撤销列表进行管理控制;
所述系统安全管理服务模块用于认证系统的安全审计和安全防护;
所述远程RA模块、本地RA模块用于用户的证书申请、身份审核和证书下载;
所述证书CRL/OCSP查询服务模块为系统用户和应用系统提供证书状态查询服务。
2.如权利要求1所述的基于后量子签名的证书认证系统,其特征在于,所述密钥安全管理服务模块的全过程管理包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理,所述密钥安全管理服务模块根据量子安全证书/CRL生成与签发服务模块的请求,为用户生成非对称密钥对和后量子密钥对。
3.如权利要求2所述的基于后量子签名的证书认证系统,其特征在于,所述密钥安全管理服务模块支持采用热备份、冷备份和异地备份措施实现密钥备份。
4.如权利要求1所述的基于后量子签名的证书认证系统,其特征在于,所述证书认证系统采用签名证书和加密证书双证书机制,以及非对称签名和后量子签名的混合认证签名方式。
5.如权利要求4所述的基于后量子签名的证书认证系统,其特征在于,所述签名证书的密钥对由用户利用具有密码运算功能的证书载体产生,所述加密证书的密钥对和后量子签名的密钥对由密钥安全管理服务模块产生并负责安全管理,签名证书和加密证书一起保存在用户的证书载体中。
6.如权利要求1所述的基于后量子签名的证书认证系统,其特征在于,所述量子安全证书管理服务模块实现对量子安全证书/证书撤销列表的申请、审核、生成、签发、存储、发布、注销、归档。
7.一种基于后量子签名的证书认证方法,其特征在于,包括以下步骤:
S1、用户构建PCA,量子签名的证书认证系统在使用前进行用户构建PCA;
S2、量子安全证书申请,量子签名的证书认证系统进行量子安全证书的申请和签发;
S3、量子安全证书更新,所述量子签名的证书认证系统进行量子安全证书的更新;
S4、量子安全证书吊销,所述量子签名的证书认证系统进行量子安全证书的吊销;
S5、量子安全加密证书私钥恢复,所述量子签名的证书认证系统进行量子安全加密证书私钥恢复;
S6、用户集成量子安全SDK,所述量子签名的证书认证系统提供量子安全SDK。
8.如权利要求7所述的基于后量子签名的证书认证方法,其特征在于,所述步骤S1中包括:
S11、登录量子签名的证书认证系统申请P10证书请求文件;
S12、密钥安全管理服务模块生成PCA根证书的公私钥对和PQC公私钥对;
S13、量子安全证书/CRL存储发布服务模块进行后量子自签名,作为属性值加入P10证书请求文件返回;
S14、将P10证书请求文件提交给第三方可信机构进行国密证书的签发,所述国密证书为PCA双证书;
S15、将PCA双证书导入量子签名的证书认证系统;
S16、提供用户PCA域内证书申请、证书更新、证书吊销、挂起解挂、密钥恢复认证服务。
9.如权利要求7所述的基于后量子签名的证书认证方法,其特征在于,所述步骤S2中包括:
S21、业务系统通过RA或量子安全SDK提交P10证书请求文件和身份证明文件;
S22、身份验证通过后,密钥安全管理服务模块分配PQC公私钥对;
S23、量子安全证书/CRL存储发布服务模块进行后量子签名和国密签名;
S24、生成并发布量子安全签名证书;
S25、密钥安全管理服务模块分配加密证书密钥对,进行后量子签名和国密签名;
S26、生成并发布量子安全签名证书;
S27、返回量子安全签名证书、量子安全加密证书以及加密保护的加密证书私钥和PQC私钥。
10.如权利要求7所述的基于后量子签名的证书认证方法,其特征在于,所述量子签名的证书认证系统与所述RA为一对多关系。
11.如权利要求7所述的基于后量子签名的证书认证方法,其特征在于,所述量子签名的证书认证系统与所述量子安全SDK为一对多关系。
12.如权利要求7所述的基于后量子签名的证书认证方法,其特征在于,所述量子安全SDK与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道;所述RA与所述量子签名的证书认证系统之间构建量子安全双向认证加密信道。
CN202310657001.2A 2023-06-05 2023-06-05 一种基于后量子签名的证书认证系统及认证方法 Active CN116388986B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310657001.2A CN116388986B (zh) 2023-06-05 2023-06-05 一种基于后量子签名的证书认证系统及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310657001.2A CN116388986B (zh) 2023-06-05 2023-06-05 一种基于后量子签名的证书认证系统及认证方法

Publications (2)

Publication Number Publication Date
CN116388986A true CN116388986A (zh) 2023-07-04
CN116388986B CN116388986B (zh) 2023-08-04

Family

ID=86980996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310657001.2A Active CN116388986B (zh) 2023-06-05 2023-06-05 一种基于后量子签名的证书认证系统及认证方法

Country Status (1)

Country Link
CN (1) CN116388986B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116996237A (zh) * 2023-09-29 2023-11-03 山东高速建设管理集团有限公司 一种基于量子门限签名的分布式管理方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024676A (zh) * 2022-01-05 2022-02-08 华中科技大学 基于身份标识的后量子加解密方法、系统、设备及介质
CN114154174A (zh) * 2020-09-08 2022-03-08 英特尔公司 后量子签名设施的状态同步
CN115345618A (zh) * 2022-10-19 2022-11-15 确信信息股份有限公司 基于混合后量子数字签名的区块链交易验证方法及系统
EP4099611A1 (de) * 2021-05-31 2022-12-07 Deutsche Telekom AG Erzeugung quantensicherer schlüssel in einem netzwerk

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114154174A (zh) * 2020-09-08 2022-03-08 英特尔公司 后量子签名设施的状态同步
EP4099611A1 (de) * 2021-05-31 2022-12-07 Deutsche Telekom AG Erzeugung quantensicherer schlüssel in einem netzwerk
CN114024676A (zh) * 2022-01-05 2022-02-08 华中科技大学 基于身份标识的后量子加解密方法、系统、设备及介质
CN115345618A (zh) * 2022-10-19 2022-11-15 确信信息股份有限公司 基于混合后量子数字签名的区块链交易验证方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116996237A (zh) * 2023-09-29 2023-11-03 山东高速建设管理集团有限公司 一种基于量子门限签名的分布式管理方法及系统
CN116996237B (zh) * 2023-09-29 2023-12-08 山东高速建设管理集团有限公司 一种基于量子门限签名的分布式管理方法及系统

Also Published As

Publication number Publication date
CN116388986B (zh) 2023-08-04

Similar Documents

Publication Publication Date Title
CN112311530B (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN108599954B (zh) 基于分布式账本的身份验证方法
WO2021179449A1 (zh) 一种基于证书身份认证的拟态防御系统及证书签发方法
US8856530B2 (en) Data storage incorporating cryptographically enhanced data protection
CN103490881B (zh) 认证服务系统、用户认证方法、认证信息处理方法及系统
CN113507458B (zh) 一种基于区块链的跨域身份认证方法
US7356693B2 (en) Method for producing certificate revocation lists
CN102664885A (zh) 一种基于生物特征加密和同态算法的身份认证方法
GB2386802A (en) Auditing of secure communication sessions over a communication network
CN102035838B (zh) 一种基于平台身份的信任服务连接方法与信任服务系统
KR102089852B1 (ko) 블록체인 기반의 보안 자격증명 배포를 위한 장치 및 방법
CN114244527B (zh) 基于区块链的电力物联网设备身份认证方法及系统
CN108632251B (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN105516119A (zh) 基于代理重签名的跨域身份认证方法
Isirova et al. Decentralized public key infrastructure development principles
CN116388986B (zh) 一种基于后量子签名的证书认证系统及认证方法
CN102340500B (zh) 可信计算平台安全管理系统及安全管理方法
CN111901432A (zh) 一种基于区块链的安全数据交换方法
Fugkeaw Achieving privacy and security in multi-owner data outsourcing
Larsen et al. Direct anonymous attestation on the road: Efficient and privacy-preserving revocation in c-its
Khurana et al. Reasoning about joint administration of access policies for coalition resources
Balusamy et al. Collective advancements on access control scheme for multi-authority cloud storage system
JP2014022920A (ja) 電子署名システム、電子署名方法および電子署名プログラム
Yan et al. Distributed authentication scheme for industry internet platform application based on consortium blockchain
CN111342968B (zh) 一种颁发双数字证书的方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant