[发明专利]数字证书生成、身份认证方法及量子CA认证中心与系统

权利要求书

1.一种量子安全的CA认证中心，其特征在于：包括依次连接的注册认证单元（1）、基础功能单元（2）、量子安全单元（3）和接口单元（4），其中：

所述注册认证单元（1）用于向相连接的管理中心以及上一级CA认证中心上报本CA认证中心的信息进行注册、认证，还用于接收下一级CA认证中心或用户的注册请求，对注册请求进行认证，同时执行证书生成颁发、安全存储和管理功能；

所述注册认证单元（1）包括依次相连接的信息记录模块（11）、量子随机数模块（12）、CA证书生成颁发模块（13）、证书安全存储模块（14）和证书管理模块（15），其中：

所述信息记录模块（11）用于记录注册用户的信息和上下级CA认证中心的信息，所述信息记录模块（11）记录的信息可授权读取；所述量子随机数模块（12）用于产生量子随机数，作为CA机构证书和用户证书中的隐私字段、在生成不可约多项式时提供随机数；CA证书生成颁发模块（13）利用信息记录模块（11）的用户信息和下一级CA认证中心的信息以及量子随机数模块（12）生成的特定长度的量子随机数，按照标准格式生成下一级CA认证中心的CA机构证书、用户证书并颁发，证书分为公开证书和隐私证书，公开证书记为CA₁，隐私证书CA₂记为；证书安全存储模块（14）接收并存储CA认证中心本身的CA机构证书、下一级CA认证中心的CA机构证书、用户证书；证书管理模块（15）用于为CA机构和用户提供证书挂失、注销和重新下发功能；

所述基础功能单元（2）用于为CA中心提供证书生成、颁发和信息认证过程中提供时间戳、计费信息、事件记录和管理功能；

所述量子安全单元（3）为用户提供包括量子数字签名在内的量子安全服务；

所述量子安全单元（3）包括依次相连接的密钥接收模块（31）、密钥存储模块（32）、加解密模块（33）、哈希运算模块（34）和量子数字签名模块（35），其中：

所述密钥接收模块（31）用于从管理中心接收密钥；密钥存储模块（32）被划分成n个存储区域，n为与该CA认证中心直接连接的管理中心数量，这n个存储区域与相连接的管理中心一一对应，存储管理中心下发给该认证中心的配对密钥；相应的，管理中心中的密钥存储模块中也划分出与CA认证中心相对应的密钥存储区域，用于存储管理中心下发给CA认证中心密钥的配对密钥；加解密模块（33）用于对密钥执行加密、解密操作；哈希运算模块（34）用于执行量子安全的哈希值计算；量子数字签名模块（35）用于调用量子安全单元其他模块功能、执行用户请求的量子数字签名业务，CA认证中心作为验签方，验签结果计入日志管理模块（23）；

接口单元4用于实现CA认证中心与本地的同级管理中心、各级CA认证中心之间、CA认证中心与用户之间的连接和通信交互。

2.根据权利要求1所述量子安全的CA认证中心，其特征在于：所述基础功能单元（2）包括依次相连接的时间戳模块（21）、计费模块（22）、日志管理模块（23）和设备管理模块（24），其中：

所述时间戳模块（21）用于提供发起各种业务请求的权威时间，作为该业务请求和日志的一个字段；计费模块（22）用于为用户的服务进行计费管理；日志管理模块（23）用于将事件以日志的方式进行记录、存档，以便后期有需要时进行查阅、溯源、审计；设备管理模块（24）用于服务器的人员、权限、审计管理、数据恢复与备份。