專利名稱:一種支持sm2算法的數(shù)字證書系統(tǒng)的制作方法
一種支持SM2算法的數(shù)字證書系統(tǒng)技術(shù)領(lǐng)域
本發(fā)明信息安全技術(shù)領(lǐng)域��,特別涉及一種支持SM2算法的數(shù)字證書系統(tǒng)�����。
背景技術(shù):
隨著國家電網(wǎng)公司具有信息化、自動化��、互動化等特征的統(tǒng)一智能電網(wǎng)的建設(shè)���,相應(yīng)的信息化管理和控制也相對從前發(fā)生了變革�����。在智能電網(wǎng)下的信息管理系統(tǒng)中�����,網(wǎng)絡(luò)的接入更加復(fù)雜,信息集成度更高���,用戶交互程度更強����;既需要面對電網(wǎng)業(yè)務(wù)系統(tǒng)中存儲了大量關(guān)鍵信息�����,又必須滿足跨系統(tǒng)��、跨區(qū)域資源共享的需求�����;在這種情況下,如何保障用戶��、終端����、基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用各組成部分的信息安全成為了一項重要的課題��。
目前階段�,數(shù)字證書系統(tǒng)作為一種建立在密碼技術(shù)基礎(chǔ)上的信息安全技術(shù)和安全體系架構(gòu),也是目前唯一能夠同時解決身份認(rèn)證���、訪問控制����、信息保密和抗抵賴的安全技術(shù)��。數(shù)字證書系統(tǒng)也是現(xiàn)階段最適用于智能電網(wǎng)中信息系統(tǒng)或類似的信息系統(tǒng)中的信息安全技術(shù)?�,F(xiàn)階段在該類型的信息系統(tǒng)當(dāng)中也已經(jīng)存在利用數(shù)字證書系統(tǒng)實現(xiàn)全網(wǎng)統(tǒng)一的認(rèn)證與訪問的技術(shù)方案��。
傳統(tǒng)的數(shù)字證書系統(tǒng)中,生成密鑰的安全算法廣泛的采用RSA算法�。相應(yīng)的在整個數(shù)字證書系統(tǒng)中,軟硬件設(shè)備均對應(yīng)RSA算法����。但實際上,現(xiàn)階段RSA算法已經(jīng)不再是最優(yōu)的一種安全算法��。經(jīng)過本領(lǐng)域長期的研究和驗證�����,國產(chǎn)的SM2算法相對于RSA算法存在著很明顯的優(yōu)勢����,SM2算法生成的密鑰安全性更好。
但是�,由于目前的數(shù)字證書系統(tǒng)在軟硬件上��,均是匹配世界范圍內(nèi)通行的RSA算法的�,所以無法直接的和SM2算法兼容。服務(wù)器���、瀏覽器及其他的中間環(huán)節(jié)無法解析SM2算法生成的密鑰��。所以現(xiàn)階段的數(shù)字證書系統(tǒng)中���,無法應(yīng)用SM2算法����,安全性在一些特殊情況下不能夠滿足智能電網(wǎng)中信息系統(tǒng)或類似的信息系統(tǒng)中的使用需要��。發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的在于提供一種支持SM2算法的數(shù)字證書系統(tǒng)�,本發(fā)明所述系統(tǒng)中能夠為第一方簽發(fā)利用SM2算法生成的數(shù)字證書,并利用SM2 數(shù)字證書對用戶進行身份認(rèn)證�。
為實現(xiàn)上述目的,本發(fā)明有如下技術(shù)方案
一種支持SM2算法的數(shù)字證書系統(tǒng)��,所述系統(tǒng)包括
證書服務(wù)模塊��,用于接收第一方的證書簽發(fā)申請�,對第一方進行信息認(rèn)證,當(dāng)信息認(rèn)證通過則發(fā)出簽發(fā)請求�;并用于將簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方;
證書簽發(fā)模塊��,用于接收所述簽發(fā)請求����,利用SM2算法生成數(shù)字證書�,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊���;并保存數(shù)字證書的公鑰部分�;
身份認(rèn)證模塊��,用于對所述第一方進行身份認(rèn)證�����。
所述系統(tǒng)包括
信息認(rèn)證單元�,用于對提出證書簽發(fā)申請的第一方進行信息認(rèn)證;
請求執(zhí)行單元�����,用于在第一方通過信息認(rèn)證的情況下�,生成并發(fā)送證書簽發(fā)申請;
操作反饋單元�����,用于簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方�。
所述信息認(rèn)證單元包括
一次認(rèn)證子單元,用于認(rèn)證第一方信息����;
二次認(rèn)證子單元,用于鑒別一次認(rèn)證子單元的認(rèn)證結(jié)果����。
所述證書簽發(fā)模塊包括
根管理單元,用于保存和管理利用SM2算法生成的數(shù)字證書的公鑰部分���;
SM2簽發(fā)單元�,用于接收所述簽發(fā)請求���,利用SM2算法生成數(shù)字證書�,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊����;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元。
所述證書簽發(fā)模塊還包括
RSA簽發(fā)單元����,用于接收所述簽發(fā)請求,利用RSA算法生成數(shù)字證書��,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元����;
則所述根管理單元還用于保存和管理利用RSA算法生成的數(shù)字證書的公鑰部分。
所述身份認(rèn)證模塊包括
目錄單元����,用于保存數(shù)字證書目錄,在簽發(fā)新的數(shù)字證書時更新數(shù)字證書目錄并向認(rèn)證單元同步���;所述數(shù)字證書目錄記錄簽發(fā)過的數(shù)字證書的公鑰部分�����;
認(rèn)證單元�����,用于保存數(shù)字證書目錄�����,并從目錄單元中同步更新數(shù)字證書目錄���,通過數(shù)字證書目錄中記錄的數(shù)字證書的公鑰部分與所述第一方持有的數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證。
所述目錄單元包括
SM2目錄子單元�����,用于保存SM2數(shù)字證書的數(shù)字證書目錄��,在利用簽發(fā)新的SM2數(shù)字證書時更新SM2數(shù)字證書目錄并向認(rèn)證單元同步�;
RSA目錄子單元,用于保存RSA數(shù)字證書的數(shù)字證書目錄����,在利用簽發(fā)新的RSA數(shù)字證書時更新RSA數(shù)字證書目錄并向認(rèn)證單元同步。
所述認(rèn)證單元包括
SM2認(rèn)證子單元�,用于保存SM2數(shù)字證書目錄,并從SM2目錄子單元中同步更新 SM2數(shù)字證書目錄����,通過SM2數(shù)字證書目錄中記錄的SM2數(shù)字證書的公鑰部分與所述第一方持有的SM2數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證;
RSA認(rèn)證子單元�����,用于保存RSA數(shù)字證書目錄���,并從RSA目錄子單元中同步更新 RSA數(shù)字證書目錄��,通過RSA數(shù)字證書目錄中記錄的RSA數(shù)字證書的公鑰部分與所述第一方持有的RSA數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證����。根據(jù)以上技術(shù)方案可知, 本發(fā)明存在的有益效果是所述系統(tǒng)在傳統(tǒng)數(shù)字證書系統(tǒng)的架構(gòu)之下��,實現(xiàn)了利用SM2算法生成數(shù)字證書�����,并通過SM2數(shù)字證書進行認(rèn)證�;該系統(tǒng)能夠適用于安全性更優(yōu)異的SM2安全算法,相對于傳統(tǒng)數(shù)字證書系統(tǒng)僅適用于RSA算法的結(jié)構(gòu)而言�����,本實施例所述系統(tǒng)安全性能更強�����;所述系統(tǒng)還可以同時支持SM2與RSA兩種安全算法生成的數(shù)字證書�����, 不僅能夠與傳統(tǒng)的數(shù)字證書系統(tǒng)相兼容,還能夠同時實現(xiàn)SM2算法在整個系統(tǒng)中的運用����,使得所述系統(tǒng)的安全性和適用性都得到提高。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖�。
圖1為本發(fā)明實施例所述系統(tǒng)結(jié)構(gòu)示意圖2為本發(fā)明另一實施例所述系統(tǒng)結(jié)構(gòu)示意圖。
具體實施方式
為使本發(fā)明實施例的目的��、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚����、完整地描述,顯然���,所描述的實施例是本發(fā)明一部分實施例��,而不是全部的實施例�。基于本發(fā)明中的實施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。
參見圖1所示��,為本發(fā)明所述系統(tǒng)的一個具體實施例���,本實施例中所述系統(tǒng)具體如下
證書服務(wù)模塊�,用于接收第一方的證書簽發(fā)申請��,對第一方進行信息認(rèn)證��,當(dāng)信息認(rèn)證通過則發(fā)出簽發(fā)請求��;并用于將簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方�;
本實施例中所述證書服務(wù)模塊直接面對第一方,為第一方提供數(shù)字證書簽發(fā)服務(wù)��。針對信息系統(tǒng),在本實施例中����,所述第一方泛指需要接受數(shù)字證書服務(wù)的一方,所述第一方具體可能是用戶����、設(shè)備管理者、服務(wù)器以及其他�����。
由于數(shù)字證書系統(tǒng)應(yīng)用在信息系統(tǒng)中�����,而本發(fā)明實施例所涉及的信息系統(tǒng)的可能覆蓋范圍廣泛��,所述第一方可能來自于不同的地域�,所以本實施例中存在至少I個(圖1中僅示出I個)證書服務(wù)模塊����,多個證書服務(wù)模塊可以分別設(shè)置在不同的區(qū)域,為分布在各地的第一方提供數(shù)字證書簽發(fā)的服務(wù)����。
證書簽發(fā)模塊����,用于接收所述簽發(fā)請求�����,利用SM2算法生成數(shù)字證書����,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊;并保存數(shù)字證書的公鑰部分��;
本實施例中����,所述證書簽發(fā)模塊為通過認(rèn)證的第一方簽發(fā)數(shù)字證書。所述數(shù)字證書是利用安全算法加密計算而生成的����;在現(xiàn)階段本領(lǐng)域中,數(shù)字證書由公鑰與私鑰兩部分組成����,證書簽發(fā)模塊簽發(fā)了數(shù)字證書之后�����,將數(shù)字證書的私鑰部分反饋至第一方持有��,而數(shù)字證書的公鑰部分由證書簽發(fā)模塊本身保存����。
本實施例中利用安全算法進行加密計算而生成數(shù)字證書的過程不同于傳統(tǒng)的數(shù)字證書系統(tǒng)����。傳統(tǒng)的數(shù)字證書系統(tǒng)一般采用RSA算法進行加密計算,而本實施例中�,所述系統(tǒng)采用了 SM2算法進行加密計算��。從硬件的角度來講��,為實現(xiàn)利用SM2算法生成數(shù)字證書��, 本實施例所述證書簽發(fā)模塊當(dāng)中集成了針對SM2算法的加密機和加密卡�����。
身份認(rèn)證模塊����,用于對所述第一方進行身份認(rèn)證���。
所述數(shù)字證書系統(tǒng)最重要的功能就是通過數(shù)字證書對第一方進行身份認(rèn)證。第一方需要訪問業(yè)務(wù)系統(tǒng)的時候����,需將自身持有的數(shù)字證書私鑰部分與數(shù)字證書系統(tǒng)中保存的公鑰部分向匹配,匹配成功則第一方通過數(shù)字證書認(rèn)證�,獲得訪問或操作業(yè)務(wù)系統(tǒng)的一定權(quán)限。以上數(shù)字證書認(rèn)證過程均屬于現(xiàn)有技術(shù)����,在此只作簡單說明。
本實施例中�,所述系統(tǒng)利用身份認(rèn)證模塊實現(xiàn)對于第一方的身份認(rèn)證,其原理也同樣是通過匹配所述第一方持有的數(shù)字證書私鑰部分和系統(tǒng)內(nèi)保存的數(shù)字證書公鑰部分���。 并且�����,由于本實施例中所述數(shù)字證書是由SM2算法生成的��,所以在硬件層面上����,所述身份認(rèn)證模塊同樣需要針對SM2算法進行相應(yīng)的改進,從而實現(xiàn)對SM2數(shù)字證書的公私鑰進行匹配��;其硬件上的改進方法同樣是集成針對SM2算法的加密機和加密卡����。
可見本實施例存在的有益效果是,所述系統(tǒng)在傳統(tǒng)數(shù)字證書系統(tǒng)的架構(gòu)之下����,實現(xiàn)了利用SM2算法生成數(shù)字證書,并通過SM2數(shù)字證書進行認(rèn)證����;該系統(tǒng)能夠適用于安全性更優(yōu)異的SM2安全算法,相對于傳統(tǒng)數(shù)字證書系統(tǒng)僅適用于RSA算法的結(jié)構(gòu)而言���,本實施例所述系統(tǒng)安全性能更強。
參見圖2所示��,為本發(fā)明所述數(shù)字證書系統(tǒng)的另一個具體實施例��。本實施例中�����,所述系統(tǒng)包括
證書服務(wù)模塊,用于接收第一方的證書簽發(fā)申請����,對第一方進行信息認(rèn)證,當(dāng)信息認(rèn)證通過則發(fā)出簽發(fā)請求�����;并用于將簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方����;
證書服務(wù)模塊包括
信息認(rèn)證單元,用于對提出證書簽發(fā)申請的第一方進行信息認(rèn)證���;
在傳統(tǒng)的數(shù)字證書系統(tǒng)中��,均采用第三方進行第一方的信息認(rèn)證���,但是在于第三方進行信息交互的過程中,往往存在信息泄露的隱患��;所以本實施例所述的數(shù)字證書系統(tǒng)中省略了第三方�,直接由信息認(rèn)證單元進行信息認(rèn)證�,提高安全性的同時�,更簡化了信息認(rèn)證的流程,提高了認(rèn)證效率�;
本實施例中所述信息認(rèn)證單元具體可分為
—次認(rèn)證子單兀,用于認(rèn)證第一方信息;
二次認(rèn)證子單元�,用于鑒別一次認(rèn)證子單元的認(rèn)證結(jié)果。
本實施例中所述信息認(rèn)證單元可以通過在認(rèn)證第一方信息之后����,增加一個二次認(rèn)證的檢驗與鑒別過程;進一步的避免了認(rèn)證錯誤的情況發(fā)·生�����。
請求執(zhí)行單元�,用于在第一方通過信息認(rèn)證的情況下,生成并發(fā)送證書簽發(fā)申請����;
操作反饋單元,用于簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方��。
證書簽發(fā)模塊�����,用于接收所述簽發(fā)請求����,利用SM2或RSA算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊����;并保存數(shù)字證書的公鑰部分;
本實施例中����,所述證書簽發(fā)模塊包括
根管理單元,用于保存和管理利用SM2算法生成的數(shù)字證書的公鑰部分���;或保存和管理利用RSA算法生成的數(shù)字證書的公鑰部分��。
SM2簽發(fā)單元����,用于接收所述簽發(fā)請求����,利用SM2算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元��;
RSA簽發(fā)單元���,用于接收所述簽發(fā)請求���,利用RSA算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊��;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元�����;
本實施例中�,所述證書簽發(fā)模塊并不僅限于利用SM2算法生成數(shù)字證書,其同樣能夠?qū)崿F(xiàn)利用傳統(tǒng)的RSA算法生成數(shù)字證書�����。所述SM2簽發(fā)單元和RSA簽發(fā)單元分別實現(xiàn)兩種數(shù)字證書的簽發(fā)���。
身份認(rèn)證模塊���,用于對所述第一方進行身份認(rèn)證�;
本實施例中,所述身份認(rèn)證單元包括
目錄單元�����,用于保存數(shù)字證書目錄�����,在簽發(fā)新的數(shù)字證書時更新數(shù)字證書目錄并向認(rèn)證單元同步���;所述數(shù)字證書目錄記錄簽發(fā)過的數(shù)字證書的公鑰部分;
本實施例中利用所述數(shù)字證書目錄實現(xiàn)第一方的身份認(rèn)證�����,目錄單元保存的數(shù)字證書目錄中����,記錄了所有證書簽發(fā)模塊簽發(fā)過的數(shù)字證書的公鑰部分,并隨著證書簽發(fā)模塊簽發(fā)新的數(shù)字證書而對該目錄進行同步更新����。
而針對本實施例中兼容的SM2和RSA兩種安全算法,所述目錄單元具體包括以下
SM2目錄子單元���,用于保存SM2數(shù)字證書的數(shù)字證書目錄���,在利用簽發(fā)新的SM2數(shù)字證書時更新SM2數(shù)字證書目錄并向認(rèn)證單元同步���;
RSA目錄子單元,用于保存RSA數(shù)字證書的數(shù)字證書目錄���,在利用簽發(fā)新的RSA數(shù)字證書時更新RSA數(shù)字證書目錄并向認(rèn)證單元同步�。
本實施例中兩種算法生成的不同數(shù)字證書分別對應(yīng)專門的數(shù)字證書目錄��,SM2目錄子單元和RSA目錄子單元各自保存和管理其對應(yīng)的數(shù)字證書目錄�。
所述目錄單元在系統(tǒng)中保存一份完整的數(shù)字證書目錄,并且該份目錄一般不會針對外界進行任何操作�����,能夠保障數(shù)字證書目錄的完整和安全��。
目錄單元中保存的數(shù)字證書目錄同樣是認(rèn)證單元數(shù)字證書目錄的來源�。目錄單元跟隨證書簽發(fā)模塊簽發(fā)數(shù)字證書實時的更新自身保存的數(shù)字證書目錄,并向認(rèn)證單元同止 /J/ O
認(rèn)證單元�����,用于保存數(shù)字證書目錄,并從目錄單元中同步更新數(shù)字證書目錄�����,通過數(shù)字證書目錄中記錄的數(shù)字證書的公鑰部分與所述第一方持有的數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�;
認(rèn)證單元利用數(shù)字證書目錄實際的對第一方進行身份認(rèn)證�,避免了目錄單元中的數(shù)字證書目錄直接的對外操作。在第一方請求數(shù)字證書認(rèn)證的時候��,認(rèn)證單元以數(shù)字證書目錄中記載的數(shù)字證書公鑰部分對應(yīng)的匹配第一方提供的數(shù)字證書私鑰部分�����,從而完成第一方的數(shù)字證書認(rèn)證過程�,當(dāng)目錄中有記載能與第一方提供的私鑰匹配的公鑰時,說明該第一方持有本系統(tǒng)簽發(fā)的合法的數(shù)字證書����,則授予該第一方相應(yīng)的訪問業(yè)務(wù)系統(tǒng)的權(quán)限。
為支持SM2和RSA兩種算法�����,所述認(rèn)證單元同樣包括以下兩部分
SM2認(rèn)證子單元�,用于保存SM2數(shù)字證書目錄���,并從SM2目錄子單元中同步更新 SM2數(shù)字證書目錄,通過SM2數(shù)字證書目錄中記錄的SM2數(shù)字證書的公鑰部分與所述第一方持有的SM2數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�����;
RSA認(rèn)證子單元���,用于保存RSA數(shù)字證書目錄�����,并從RSA目錄子單元中同步更新 RSA數(shù)字證書目錄����,通過RSA數(shù)字證書目錄中記錄的RSA數(shù)字證書的公鑰部分與所述第一方持有的RSA數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�����。
也就是說,SM2認(rèn)證子單元專門認(rèn)證持有SM2數(shù)字證書私鑰部分的第一方�,相反 RSA認(rèn)證子單元專門認(rèn)證持有RSA數(shù)字證書私鑰部分的第一方。
可見�����,本實施例在圖1所示實施例的基礎(chǔ)之上,進一步實現(xiàn)的有益效果是本實施例中所述系統(tǒng)同時支持SM2與RSA兩種安全算法生成的數(shù)字證書�,不僅能夠與傳統(tǒng)的數(shù)字證書系統(tǒng)相兼容,還能夠同時實現(xiàn)SM2算法在整個系統(tǒng)中的運用����,使得所述系統(tǒng)的安全性和適用性都得到提高;本實施例所述系統(tǒng)整體技術(shù)方案更加完整��,公開更充分�����,使得所述系統(tǒng)的性能有了進一步的優(yōu)化���。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出���,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下����,還可以做出若干改 進和潤飾�,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍����。
權(quán)利要求
1.一種支持SM2算法的數(shù)字證書系統(tǒng)�����,其特征在于���,所述系統(tǒng)包括證書服務(wù)模塊���,用于接收第一方的證書簽發(fā)申請,對第一方進行信息認(rèn)證��,當(dāng)信息認(rèn)證通過則發(fā)出簽發(fā)請求�����;并用于將簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方�;證書簽發(fā)模塊,用于接收所述簽發(fā)請求�����,利用SM2算法生成數(shù)字證書��,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊;并保存數(shù)字證書的公鑰部分����;身份認(rèn)證模塊,用于對所述第一方進行身份認(rèn)證�����。
2.根據(jù)權(quán)利要求1所述系統(tǒng)�,其特征在于,所述系統(tǒng)包括信息認(rèn)證單元���,用于對提出證書簽發(fā)申請的第一方進行信息認(rèn)證�����;請求執(zhí)行單元,用于在第一方通過信息認(rèn)證的情況下��,生成并發(fā)送證書簽發(fā)申請���; 操作反饋單元����,用于簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方。
3.根據(jù)權(quán)利要求2所示系統(tǒng)�,其特征在于,所述信息認(rèn)證單元包括一次認(rèn)證子單兀�����,用于認(rèn)證第一方信息��;二次認(rèn)證子單元����,用于鑒別一次認(rèn)證子單元的認(rèn)證結(jié)果。
4.根據(jù)權(quán)利要求1所述系統(tǒng)�,其特征在于,所述證書簽發(fā)模塊包括根管理單元��,用于保存和管理利用SM2算法生成的數(shù)字證書的公鑰部分�����;SM2簽發(fā)單元����,用于接收所述簽發(fā)請求,利用SM2算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊�;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元。
5.根據(jù)權(quán)利要求4所述系統(tǒng)����,其特征在于,所述證書簽發(fā)模塊還包括RSA簽發(fā)單元�����,用于接收所述簽發(fā)請求�,利用RSA算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊�����;并將數(shù)字證書的公鑰部分發(fā)送至根管理單元�;則所述根管理單元還用于保存和管理利用RSA算法生成的數(shù)字證書的公鑰部分。
6.根據(jù)權(quán)利要求1所述系統(tǒng)�����,其特征在于�����,所述身份認(rèn)證模塊包括目錄單元��,用于保存數(shù)字證書目錄�,在簽發(fā)新的數(shù)字證書時更新數(shù)字證書目錄并向認(rèn)證單元同步;所述數(shù)字證書目錄記錄簽發(fā)過的數(shù)字證書的公鑰部分���;認(rèn)證單元��,用于保存數(shù)字證書目錄�,并從目錄單元中同步更新數(shù)字證書目錄��,通過數(shù)字證書目錄中記錄的數(shù)字證書的公鑰部分與所述第一方持有的數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�。
7.根據(jù)權(quán)利要求6所述系統(tǒng),其特征在于��,所述目錄單元包括SM2目錄子單元�����,用于保存SM2數(shù)字證書的數(shù)字證書目錄��,在利用簽發(fā)新的SM2數(shù)字證書時更新SM2數(shù)字證書目錄并向認(rèn)證單元同步�;RSA目錄子單元���,用于保存RSA數(shù)字證書的數(shù)字證書目錄�,在利用簽發(fā)新的RSA數(shù)字證書時更新RSA數(shù)字證書目錄并向認(rèn)證單元同步。
8.根據(jù)權(quán)利要求7所述系統(tǒng)�,其特征在于,所述認(rèn)證單元包括SM2認(rèn)證子單元���,用于保存SM2數(shù)字證書目錄���,并從SM2目錄子單元中同步更新SM2數(shù)字證書目錄���,通過SM2數(shù)字證書目錄中記錄的SM2數(shù)字證書的公鑰部分與所述第一方持有的SM2數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�;RSA認(rèn)證子單元����,用于保存RSA數(shù)字證書目錄,并從RSA目錄子單元中同步更新RSA數(shù)字證書目錄,通過RSA數(shù)字證書目錄中記錄的RSA數(shù)字證書的公鑰部分與所述第一方持有的RSA數(shù)字證書的私鑰進行匹配來對第一方進行身份認(rèn)證�����。
全文摘要
本發(fā)明實施例提供一種支持SM2算法的數(shù)字證書系統(tǒng),所述系統(tǒng)包括證書服務(wù)模塊���,用于接收第一方的證書簽發(fā)申請,對第一方進行信息認(rèn)證����,當(dāng)信息認(rèn)證通過則發(fā)出簽發(fā)請求�;并用于將簽發(fā)的數(shù)字證書的私鑰部分反饋給所述第一方;證書簽發(fā)模塊��,用于接收所述簽發(fā)請求,利用SM2算法生成數(shù)字證書,將數(shù)字證書的私鑰部分返回證書服務(wù)模塊;并保存數(shù)字證書的公鑰部分����;身份認(rèn)證模塊,用于對所述第一方進行身份認(rèn)證。
文檔編號H04L9/30GK103036682SQ20121055563
公開日2013年4月10日 申請日期2012年12月19日 優(yōu)先權(quán)日2012年12月19日
發(fā)明者劉冬梅, 來風(fēng)剛, 李靜, 何永遠, 王棟, 劉識, 張祎, 肖磊 申請人:國網(wǎng)信息通信有限公司, 國家電網(wǎng)公司