[发明专利]一种基于CPK密钥的CA证书发放方法及系统

权利要求书

1.一种基于CPK密钥的CA证书发放方法，其特征在于，该方法包括：

当CA中心接收到CA证书请求时，将用户标识ID发送到请求用户的安全设备；

所述安全设备根据所述标识ID产生CPK密钥，并返回给所述CA中心；

CA中心根据所述CPK密钥和用户标识ID生成CA证书；

CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户，所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID；

将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。

2.根据权利要求1所述的方法，预先在在安全设备上存储CPK私钥矩阵以及CPK公钥矩阵。

3.根据权利要求2所述的方法，所述安全设备接收到用户标识ID后，对该用户标识ID做摘要映射生成摘要值，该摘要值对应若干位置坐标，基于该位置坐标，从CPK私钥矩阵中对应位置取出多个私钥模加的结果得到CPK私钥，从CPK公钥矩阵中同样位置取出多个公钥点加得到CPK公钥，得到所述CPK私钥和CPK公钥组成的CPK密钥。

4.根据权利要求1所述的方法，CA证书包含CN项或SN项，所述CN项或SN项包含所述用户标识ID，所述SN项为包含但不限于以下用于标识用户身份的标识码：手机号码、身份证号码。

5.根据权利要求1所述的方法，CA中心将从请求用户接收的用户CPK公钥做为CA证书的公钥项，将从请求用户接收的CPK公钥矩阵做为CA证书的延伸项。

6.根据权利要求1所述的方法，所述安全芯片支持标准国密SKF、CSP标准以及P11标准，将用户的CPK私钥以及CA证书导入到安全芯片的COS内。

7.一种基于CA证书的数据安全传输方法，其特征在于，该方法包括以下步骤：

发送方采用对称密钥对用户数据进行加密，并采用接收方的CPK公钥将所述对称密钥加密，采用自身CPK私钥对用户数据签名；

将所述加密后的用户数据，加密后的对称密钥，签名后的用户数据以及包括发送方CPK密钥信息的CA证书发送给接收方；

接收方采用自身的CPK私钥解密得到对称密钥，并采用对称密钥解密得到用户数据；

接收方请求所述CA系统对接收的CA证书进行验证；

验证通过后，接收方从接收的CA证书中提取发送方的CPK公钥，并对用户签名数据进行验签；

验签通过后，成功接收所述用户数据。

8.根据权利要求7所述的方法，所述CA证书包括发送方的CPK公钥，CA中心对CA证书的签名，发送方的用户标识ID。

9.根据权利要求7所述的方法，发送方通过以下方式对用户数据进行签名：

对用户数据进行散列算法得到原始摘要值；

采用发送发的CPK私钥对所述原始摘要值进行数字签名。

10.根据权利要求9所述的方法，对用户签名数据进行验签包括：

接收方采用其CPK公钥解密所述数字签名数据得到接收用户数据的原始摘要值；

采用对称密钥解密得到明文用户数据，队所述明文用户数据采用同样的散列算法生成一新的摘要值；

比较所述原始摘要值和新的摘要值是否相同；

如果相同，则验证通过，否则验签失败。

11.根据权利要求7所述的方法，该方法用于物联网通信或P2P通信。