[发明专利]一种基于安全证书的PKI实现方法

摘要

一种基于安全证书的PKI实现方法，是在CA认证中心端部署加密卡或加密机硬件设备，事先将CA认证中心的全体最终实体CA证书加密成密文存储，将各个中级CA证书和根CA证书，存放在CA认证中心加密卡或加密机设备的芯片里，将PKI的安全协议中的密钥产生、调用密钥对证书进行加密或解密，都在芯片里完成，在用户端与CA认证中心端之间，建立“芯片级”的PKI安全协议，并在CA认证中心建立证书安全检测协议，定时对CA认证中心的全体信任链中的CA证书进行检测，防止攻击者篡改CA证书，从而，建立基于安全证书的PKI系统。

主权项

一种基于安全证书的PKI实现方法，是在标准的PKI条件下，在标准的PKI条件下，使用智能卡作为客户端加密系统的硬件设备，在智能卡的芯片里，采用非对称密码算法和对称密码算法建立客户端加密系统，并写入对称密码算法、摘要算法、客户端身份认证协议、数字签名协议、签名验证协议、加/解密协议，以及客户端的SSL协议，并存储用户的一组私钥和最终实体CA证书，在网络应用服务器端建立CA认证中心，CA认证中心由多台服务器或小型机组成，在CA认证中心使用非对称密码算法和对称密码算法来建立认证中心端加密系统，在服务器或小型机里，预存入对称密码算法、摘要算法、认证中心端身份认证协议、数字签名协议、签名验证协议、加/解密协议，以及认证中心端的SSL协议，并存储全体用户的最终实体CA证书、各个中级CA证书和根CA证书，PKI的身份认证协议、数字签名协议和SSL协议，都包括从CA认证中心的证书数据库里，找到对应客户端用户的最终实体CA证书明文后，在CA认证中心服务器硬盘上，调用公钥解密客户端传输来的认证口令，获得客户端的用户最终实体CA证书，并在内存里，对客户端与CA认证中心端的用户最终实体CA证书进行对比认证，同样在内存里，对文件的数字签名进行签名验证，以及对证书的信任链上的各个中级CA证书和根CA证书进行验证，从而，在CA认证中心服务器内存里，完成CA认证中心端的身份认证协议、签名验证协议和SSL协议的整个过程；本发明是在CA认证中心端采用加密卡或加密机硬件设备，在用户端与CA认证中心端之间建立“芯片级”的PKI安全协议，其中：PKI的安全协议包括：用户身份认证、数据完整性验证和数据加密传输，其方法的技术特征在于：在CA认证中心的服务器或小型机的PCI槽里，插入多块加密卡，或将多台加密机与CA认证中心的服务器或小型机链接，并在加密卡或加密机的芯片里，预存非对称密码算法、对称密码算法、一组固定的存储密钥K，以及各种安全协议如：身份认证协议、签名验证协议和服务器端SSL协议等。在客户端的USB‑KEY的芯片里存放对称密码算法、非对称密码算法、用户的私钥、身份认证协议、数字签名协议和客户机端SSL协议，以及对应USB‑KEY设备的用户证书即：最终实体CA证书；在证书初始化过程中，先将CA认证中心的全体最终实体CA证书加密成密文存储，在CA认证中心端的加密卡或加密机芯片里，使用随机数发生器来产生一次一变的随机数，作为对称密钥即：加密证书的密钥Ki(i＝1～n，n为全体用户的总数)，一组密钥Ki加密一组最终实体CAi证书，一次一密，并将全体最终实体CAi证书加密成密文，存储在CA认证中心端的证书数据库里，将各个中级CA证书和根CA证书，存放在CA认证中心加密卡或加密机设备的芯片里；PKI的安全协议如：身份认证协议、数字签名协议和SSL协议中，密钥产生、调用密钥对证书进行加密或解密，都在芯片里完成；在CA认证中心建立证书安全检测协议，定时对CA认证中心的全体信任链中的CA证书进行检测，防止攻击者篡改CA证书，保证全部最终实体CA证书的安全、可信，从而，在用户端与CA认证中心端之间建立“芯片级”的PKI安全协议。