[发明专利]一种轻量级的SM2国密证书的生成方法和系统

说明书

一种轻量级的SM2国密证书的生成方法和系统，其中的方法包括：对X.509数字证书进行压缩，仅保留合规SM2国密证书所要求的最少内容；然后基于简明二进制对象表示(CBOR，Concise Binary Object Representation)编码格式，对证书进行进一步压缩和重新编码，得到轻量级的SM2国密证书。通过本发明提供的生成方法得到的SM2国密证书，其大小得到了有效的缩减，从而使得物联网设备在使用SM2国密证书进行身份认证时的通信开销、功耗、延迟和所占用存储空间都能够有效减少，提升了性能。

技术领域

本发明涉及信息安全技术领域，具体涉及一种轻量级的SM2国密证书的生成方法和系统。

背景技术

X.509是密码学里公钥证书的格式标准。公钥证书，又称数字证书，是用来证明公开密钥拥有者的身份的电子文件，此文件包含了公钥信息、拥有者身份信息(主体)、以及数字证书认证机构(发行者)对这份文件的数字签名，以保证这个文件的整体内容正确无误。目前互联网上使用的数字证书标准是X.509v3版本，于2008年发布在IETF RFC 5280。X.509证书内容的编码方法是ASN.1标准的DER(Distinguished Encoding Rules，唯一编码规则)编码。

我国在X.509证书格式标准的基础上，于2012年发布了基于SM2密码算法的数字证书格式(相关国家标准见于GM/T 0015、GM/T 0043、GB/T 20518)，称为SM2国密证书。SM2国密证书使用SM2公钥和签名算法，但SM2国密证书的编码方法仍是ASN.1标准的DER编码。ASN.1标准的DER编码可以将数字证书、密钥等数据进行二进制序列化，但其缺点是编码后占用的空间较大，不适合在物联网场景下使用。

目前我国的SM2国密证书在使用DER编码时占用的空间较大，导致在物联网场景下使用SM2国密证书进行身份认证时，通信开销、功耗、延迟和占用存储空间都较大，影响了性能。

发明内容

本申请提供一种轻量级的SM2国密证书的生成方法和系统，旨在解决现有SM2国密证书通信开销、功耗、延迟和占用存储空间都较大，影响性能的问题。

根据第一方面，一种实施例中提供一种轻量级的SM2国密证书的生成方法，所述SM2国密证书基于X.509数字证书设计，所述生成方法包括：

对X.509数字证书进行压缩，仅保留合规SM2国密证书所要求的最少内容，得到SM2CertTiny证书，所述SM2CertTiny证书为一轻量级的X.509数字证书；

基于简明二进制对象表示CBOR编码格式，对所述SM2CertTiny证书进行进一步压缩和重新编码，得到所述轻量级SM2国密证书。

一种实施例中，所述基于简明二进制对象表示CBOR编码格式，对所述SM2CertTiny证书进行进一步压缩和重新编码，包括：

省略SM2CertTiny证书中有固定的值的字段；

省略SM2CertTiny证书中，值可以直接根据其他字段的值计算得到的字段；

对剩余的字段，省略字段值中的固定内容，并基于简明二进制对象表示CBOR编码格式进行重新编码。

一种实施例中，所述SM2CertTiny证书包括以下字段：版本号version、证书序列号serialNumber、签名算法标识符signature、颁发者issuer、有效期validity、主体subject、主体公钥信息subjectPublicKeyInfo、颁发机构密钥标识符authorityKeyIdentifier、主体密钥标识符subjectKeyIdentifier、密钥用途keyUsage、证书撤销列表分发点CRLDistributionPoints、签名算法标识符signatureAlgorithm和签名值signatureValue。