[发明专利]基于公钥池的抗量子证书获取系统及获取方法

权利要求书

1.基于公钥池的抗量子证书获取方法，其特征在于，参与方包括证书授权中心和用户，各参与方均配置有密钥卡，密钥卡分为两种，一种是用于证书授权中心系统的证书授权中心密钥卡，还有一种是用户密钥卡；证书授权中心密钥卡包括公钥池、证书授权中心私钥单元和证书授权中心公钥指针随机数；用户密钥卡包括公钥池、用户私钥单元、用户公钥指针随机数和证书授权中心公钥指针随机数；在密钥卡初始化时，证书授权中心密钥卡的公钥池和用户密钥卡中的公钥池相同；

所述公钥池包括1～N号公钥单元，每个公钥单元内对应存储一个用户的加密公钥和签名公钥；私钥单元中存储有对应的加密私钥和签名私钥；

所述抗量子证书获取方法包括在用户端进行的：

生成包含证书请求、用户公钥指针随机数、以及用户身份标识的请求信息；

利用签名私钥对请求信息进行签名；

生成一个真随机数，利用真随机数对请求信息和签名进行加密，得到第一密文；

利用证书授权中心的加密公钥对真随机数进行加密，得到第二密文；

将第一密文和第二密文发送至证书授权中心；

接收并验证证书授权中心的授权证书。

2.如权利要求1所述的基于公钥池的抗量子证书获取方法，其特征在于，所述抗量子证书获取方法还包括在证书授权中心进行的：

接收所述第一密文和第二密文；

利用证书授权中心的加密私钥解密第二密文，得到真随机数；

利用真随机数解密第一密文，得到请求信息和签名；

依据请求信息中的用户公钥指针随机数在公钥池中取出用户的签名公钥；

依据用户的签名公钥对签名进行验证，验证通过生成授权证书；

生成包含证书请求和授权证书的回复消息；

利用证书授权中心的签名私钥对回复消息进行签名；

生成一个真随机数，利用真随机数对回复消息和签名进行加密，得到第三密文；

利用用户的加密公钥对真随机数进行加密，得到第四密文；

将第三密文和第四密文回复给用户。

3.如权利要求2所述的基于公钥池的抗量子证书获取方法，其特征在于，所述抗量子证书获取方法还包括在用户端进行的：

利用加密私钥对第四密文进行解密，得到真随机数；

利用真随机数对第三密文解密，得到回复消息和签名；

利用证书授权中心的签名公钥解密签名，得到回复消息；

验证回复消息中的证书请求是否与发送的证书请求一致；

保存验证通过的授权证书。

4.如权利要求1所述的基于公钥池的抗量子证书获取方法，其特征在于，所述抗量子证书获取方法还包括公私钥更新过程，公私钥更新过程包括在用户端进行的：

生成包含用户身份标识、公私钥更新请求、用户公钥指针随机数、和更新后公钥的更新请求信息；

利用用户签名私钥对更新请求信息进行签名；

生成一个真随机数，利用真随机数对更新请求信息和签名进行加密，得到第五密文；

利用证书授权中心的签名公钥对真随机数进行加密，得到第六密文；

将第五密文和第六密文发送证书授权中心；

接收并验证证书授权中心的反馈结果，以更新公私钥。

5.如权利要求4所述的基于公钥池的抗量子证书获取方法，其特征在于，所述公私钥更新过程还包括在证书授权中心进行的：

接收所述第五密文和第六密文；

利用证书授权中心的加密私钥解密第六密文，得到真随机数；

利用真随机数解密第五密文，得到更新请求信息和签名；

依据更新请求信息中的用户公钥指针随机数在公钥池中取出用户的签名公钥；

依据用户的签名公钥对签名进行验证，验证通过后更新对应公钥单元和公钥池的时间戳；

生成包含公私钥更新请求、更新后的时间戳以及更新结果的更新回复消息；

利用证书授权中心的签名私钥对更新回复消息进行签名；

生成一个真随机数，利用真随机数对更新回复消息和签名进行加密，得到第七密文；

利用用户的加密公钥对真随机数进行加密，得到第八密文；

将第七密文和第八密文回复给用户。