[发明专利]一种双密钥体系数字证书的生成方法和应用方法

说明书

本发明公开了一种双密钥体系数字证书的生成方法，包括：接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果，向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥，把加密结果发送到用户。本发明能够解决现有数字证书使用过程中存在的由于双数字证书之间缺乏有效的匹配性，给双数字证书的拥有者造成不必要的损失的技术问题。

技术领域

本发明属于信息安全技术领域和互联网通信领域，更具体地，涉及一种双密钥体系数字证书的生成方法和应用方法。

背景技术

随着信息化程度的不断提高，各政府部门或企事业单位都已经在互联网上部署了大量的业务系统，并通过互联网与其他各地的分支机构或者合作伙伴进行业务数据往来。这些业务数据是政府部门或企事业单位的重要数字资产，需要保证其机密性、真实性、完整性和不可否认性，目前主要是采用数字证书来满足这些要求。

数字证书是一种权威性的电子文档，用于证明在网上进行信息交流及商务活动的各主体(如人、服务器等)的身份。数字证书分为签名证书和加密证书，其中签名证书用于通信过程中的身份验证，加密证书用于通信过程中的密钥数据加密。现有的数字证书，要么是属于单证书体系，即用户仅仅使用签名证书或加密证书进行签名或加密操作，要么是属于双证书体系，即用户同时使用签名证书和加密证书进行签名和加密操作。同时国家也相继推出了相关的数字证书的标准，提出了双证书的概念。在国密SSL相关的标准中，规定要使用一个签名证书和加密证书，其中签名证书的密钥来自用户，加密证书的密钥来自可信受信任的第三方权威机构(例如密钥管理中心)。由于将签名密钥和加密密钥分别存在了两个数字证书中。

因此，现有的数字证书在使用过程中存在一些不可忽略的技术问题：第一，由于双数字证书之间缺乏有效的匹配性，这会导致任意两张数字证书都能够被组合成双数字证书，从而使得受信任的第三方权威机构用户容易替换双数字证书中的任意一张，同时不被双数字证书的拥有者所知，进而给双数字证书的拥有者造成不必要的损失；第二，用户在使用双数字证书时需要区分签名证书和加密证书，但是目前缺乏简易有效的区分方式，当不法分子使用加密证书作为签名证书、并使用签名证书作为加密证书时，司法机构很难获取不法交易的相关证据；第三，用户无法确定数字证书是属于单证书体系还是双证书体系，从而带来数字证书混用的问题；第四，对于单证书体系而言，由于私钥只存储在用户自己手中，公钥加密后的数据只有用户自身能够解密，当司法机构希望获取用户加密后的数据时，存在取证上的困难。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种双密钥体系数字证书生成方法和应用方法，其目的在于，解决现有数字证书使用过程中存在的上述技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种双密钥体系数字证书的生成方法，是应用在CA中，所述生成方法包括以下步骤：

(1)接收来自用户的数字证书申请请求，并对该数字证书申请请求进行解析，以得到证书的签名公钥或临时公钥；

(2)获取证书加密密钥对，利用随机产生的对称密钥对证书加密密钥对中的私钥进行加密，以得到第一加密结果，并利用步骤(1)中得到的证书的签名公钥或临时公钥对随机产生的对称密钥进行加密，以得到第二加密结果；

(3)向用户颁发双密钥体系数字证书，该双密钥体系数字证书中包含证书的签名公钥、以及证书加密密钥对中的公钥。

(4)把步骤(2)中得到的加密结果发送到用户。