[发明专利]一种用于短效证书的签发管理方法和系统

权利要求书

1.一种用于短效证书的签发管理方法，其特征在于，该方法包括：

响应于接收到证书请求包，证书签发机构根据请求生成密钥分量b_i，利用所述证书请求包中的公钥A_i，计算获得公钥P_i，基于证书策略和公钥P_i签发数字证书，并利用所述公钥A_i加密所述数字证书cert_i和所述密钥分量b_i并返回包括eCert和E_b的第一响应数据，终端管理系统缓存所述第一响应数据；

终端向终端管理系统发出激活私钥的请求，所述终端解密所述终端管理系统返回的第二响应数据，并计算验证所述数字证书对应的私钥a是否与所述公钥P_i匹配，其中，i＝0，1，…，n-1；

所述终端包括终端软件和终端芯片；所述终端安装并激活所述证书签发机构为终端签发的终端实体证书，利用激活的所述私钥a进行数字签名；

响应于接收到的注册信息，所述终端生成密钥种子：私钥a、公钥A，并将所述公钥A提交至终端管理系统，同时保持所述私钥a的私密性，其中A＝[a^-1]G，G为基点；

所述第二响应数据具体表示为：所述终端管理系统在收到激活私钥请求时，利用所述公钥A加密随机数r_i获得的数据Er作为所述第二响应数据；或者所述终端管理系统在发送所述证书请求包时利用所述公钥A加密所述随机数r_i获得的所述数据Er，在收到所述激活私钥的请求时提取为所述终端计算并缓存的所述数据Er作为所述第二响应数据；

所述终端解密所述终端管理系统返回的第二响应数据具体包括：响应于所述终端接收到所述第二响应数据，所述终端利用私钥a解密获得所述数字证书、所述密钥分量b_i以及所述随机数r_i并存入所述终端软件中，验证所述数字证书中的私钥a与公钥P_i是否匹配；

所述终端安装并激活所述证书签发机构为终端签发的终端实体证书后，所述终端芯片中持有所述私钥a，所述终端软件中存储所述密钥分量b_i和所述数字证书；

还包括：当所述终端芯片提供功能和接口支撑时，将所述密钥分量b_i和随机数r_i送入所述终端芯片，并在所述终端芯片中合成私钥d完成数字签名和私钥解密；

以及，响应于依赖于所述数字证书的实体出现异常，所述终端管理系统不发放所述第二响应数据，所述终端无法通过所述数字签名和所述私钥a解密。

2.根据权利要求1所述的用于短效证书的签发管理方法，其特征在于，所述证书签发机构根据请求生成密钥分量b_i的方式具体包括：所述证书签发机构根据每个请求或每批请求生成一个密钥分量b_i。

3.根据权利要求2所述的用于短效证书的签发管理方法，其特征在于，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}，并将所述随机公钥集合封装为n个所述证书请求包。

4.根据权利要求3所述的用于短效证书的签发管理方法，其特征在于，利用随机数集合{r₀，r₁，…，r_n-1}与公钥A计算获得对应的随机公钥集合{A₀，A₁，…，A_n-1}的具体计算方式为：

A_i＝[r_i^-1]A，其中，r_i表示所述随机数集合{r₀，r₁，…，r_n-1}中的一个元素，A_i表示对应所述随机公钥集合{A₀，A₁，…，A_n-1}中的一个元素。