[发明专利]一种基于CPK密钥的CA证书发放方法及系统

说明书

本发明公开了一种基于CPK密钥的CA证书发放方法及系统，该方法包括：当CA中心接收到CA证书请求时，将用户标识ID发送到请求用户的安全设备；所述安全设备根据所述标识ID产生CPK密钥，并返回给所述CA中心；CA中心根据所述CPK密钥和用户标识ID生成CA证书；CA中心对CA证书进行签名并将经签名的CA证书返回给请求用户，所述CA证书包含请求用户的CPK公钥、公钥矩阵以及用户标识ID；将所述CA证书以及用户CPK私钥写入所述安全设备的安全芯片中。通过本发明的技术方案，提高了数据加密的性能和可靠性。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于CPK密钥的CA证书发放方法、系统以及一种基于CA证书的数据安全传输方法、系统。

背景技术

随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动，公开密钥基础设施(PKI，Public Key Infrastructure)逐步在国内外得到广泛应用。参见图1，根据一个具体实施例对PKI技术进行描述：甲想将一份合同文件通过Internet发给远在国外的乙，此合同文件对双方非常重要，不能有丝毫差错，而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送？

可以采用一些成熟的对称加密算法，如DES、3DES、RC5等对文件加密。对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用做解密密钥，这种方法在密码学中叫做对称加密算法。

为了对对称密钥进行安全传输，一般采用非对称密钥算法加密对称密钥后进行传送。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥(Public Key)和私有密钥(Private Key)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法(公/私钥可由专门软件生成)。

为了确保密钥的唯一性，采用了数值证书的方法。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，是网络通信中标识通信各方身份信息的一系列数据，它提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证，人们可以在交往中用它来识别对方的身份。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间、发证机关(证书授权中心)名称、该证书的序列号等信息。它是由一个权威机构——CA机构，又称为证书授权(Certificate Authority)中心发放的。CA机构作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书，CA是PKI的核心，负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。

因为数字证书是公开的，就像公开的电话簿一样，在实践中，发送者(即甲)会将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给接收者(即乙)，而乙则通过验证证书上权威机构的签名来检查此证书的有效性(只需用那个可信的权威机构的公钥来验证该证书上的签名就可以了)，如果证书检查一切正常，那么就可以相信包含在该证书中的公钥的确属于列在证书中的那个人(即甲)。

可见，PKI技术在保证密钥的合法性，以及保证数据的安全性上具有很大的优势，这既要归功于PKI的非对称密钥加密模式，也要归功于CA中心对于密钥的可靠性保证。