本發(fā)明涉及密碼應用，具體而言，涉及一種后量子和國密混合雙證書的簽發(fā)方法、裝置、系統(tǒng)及設備。

背景技術(shù)：

1、隨著量子計算技術(shù)的快速發(fā)展，傳統(tǒng)的公鑰基礎(chǔ)設施(public?keyinfrastructure，pki)系統(tǒng)的公鑰密碼算法依賴于大整數(shù)分解、離散對數(shù)問題設計，容易受到量子計算機的攻擊，可在幾分鐘或幾小時內(nèi)被破解。為了應對這一挑戰(zhàn)，各安全管理部門、標準化組織、產(chǎn)業(yè)界大力推進研究新一代公鑰密碼算法，也就是后量子密碼(post-quantum?cryptography，pqc)，用于抵御量子計算的攻擊。

2、目前pki系統(tǒng)采用國密sm2雙證書體系及雙中心設計，sm2雙證書包括簽名證書和加密證書，其中，簽名證書用于身份認證，加密證書用于公鑰加密和密鑰交換。從sm2雙證書體系向pqc證書體系遷移，首要的是實現(xiàn)pqc密鑰生成及pqc證書簽發(fā)，需考慮安全性的同時，也應考慮與sm2雙證書體系的兼容性。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于，針對上述現(xiàn)有技術(shù)中的不足，提供一種后量子和國密混合雙證書的簽發(fā)方法、裝置、系統(tǒng)及設備，以便通過認證中心根據(jù)主體信息和混合簽名公鑰信息，為用戶端簽發(fā)混合簽名證書、混合加密證書和目標混合加密密鑰信封，實現(xiàn)sm2雙證書體系向pqc+sm2混合雙證書體系的遷移。

2、為實現(xiàn)上述目的，本技術(shù)實施例采用的技術(shù)方案如下：

3、第一方面，本技術(shù)實施例提供了一種后量子和國密混合雙證書的簽發(fā)方法，應用于數(shù)字證書認證系統(tǒng)中的認證中心，所述方法包括：

4、接收用戶端發(fā)送的混合證書請求，其中，所述混合證書請求包括：主體信息和公鑰信息，所述公鑰信息包括：混合簽名公鑰信息和臨時混合加密公鑰信息，所述混合簽名公鑰信息包括：后量子簽名算法公鑰信息和國密簽名算法公鑰信息，所述臨時混合加密公鑰信息包括：臨時后量子加密算法公鑰信息和臨時國密加密算法公鑰信息；

5、對所述主體信息和所述混合簽名公鑰信息進行處理，得到混合簽名證書；

6、基于所述臨時混合加密公鑰信息對應的混合加密算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，所述目標混合加密密鑰信息包括：目標混合加密公鑰信息和目標混合加密私鑰信息；

7、對所述目標混合加密公鑰信息和所述主體信息進行處理，得到混合加密證書；

8、采用所述臨時混合加密公鑰信息，對所述目標混合加密私鑰信息進行數(shù)字信封封裝處理，生成目標混合加密密鑰信封，所述目標混合加密密鑰信封包括：目標混合加密私鑰密文和所述目標混合加密公鑰信息；

9、向所述用戶端發(fā)送所述混合簽名證書、所述混合加密證書以及所述目標混合加密密鑰信封。

10、在可選的實施方式中，所述對所述主體信息和所述混合簽名公鑰信息進行處理，得到混合簽名證書，包括：

11、對所述主體信息和所述混合簽名公鑰信息、預設證書有效期、第一證書版本號、混合公鑰算法標識和第一證書序列號進行封裝，得到第一封裝信息；

12、采用認證機構(gòu)的混合根證書的私鑰信息，對所述第一封裝信息進行簽名處理，得到第一簽名值；

13、對所述第一封裝信息、所述第一簽名值和混合簽名算法標識進行再次封裝處理，得到所述混合簽名證書。

14、在可選的實施方式中，所述基于所述臨時混合加密公鑰信息對應的混合加密算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，包括：

15、向所述密鑰管理中心發(fā)送密鑰申請請求，所述密鑰申請請求包括：所述臨時混合加密公鑰信息對應的混合加密算法標識；所述密鑰申請請求用于使得所述密鑰管理中心基于所述臨時混合加密公鑰信息對應的混合加密算法標識，生成所述目標混合加密密鑰信息；

16、接收所述密鑰管理中心發(fā)送的密鑰申請響應，所述密鑰申請響應包括：所述目標混合加密密鑰信息。

17、在可選的實施方式中，所述對所述目標混合加密公鑰信息和所述主體信息進行處理，得到混合加密證書，包括：

18、對所述目標混合加密公鑰信息、預設證書有效期、第二證書序列號、所述主體信息、第二證書版本號和混合公鑰算法標識進行封裝，得到第二封裝信息；

19、采用認證機構(gòu)的混合根證書的私鑰信息，對所述第二封裝信息進行簽名處理，得到第二簽名值；

20、對所述第二封裝信息、所述第二簽名值和混合簽名算法標識進行再次封裝處理，得到所述混合加密證書。

21、第二方面，本技術(shù)實施例還提供了一種后量子和國密混合雙證書的簽發(fā)方法，應用于用戶端，所述方法包括：

22、向數(shù)字證書認證系統(tǒng)中的認證中心發(fā)送混合證書請求，其中，所述混合證書請求包括：主體信息和公鑰信息，所述公鑰信息包括：混合簽名公鑰信息和臨時混合加密公鑰信息，所述混合簽名公鑰信息包括：后量子簽名算法公鑰信息和國密簽名算法公鑰信息，所述臨時混合加密公鑰信息包括：臨時后量子加密算法公鑰信息和臨時國密加密算法公鑰信息，所述混合證書請求用于使得所述認證中心對所述主體信息和所述混合簽名公鑰信息進行處理，得到混合簽名證書，基于所述臨時混合加密公鑰信息對應的混合加密算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，所述目標混合加密密鑰信息包括：目標混合加密公鑰信息和目標混合加密私鑰信息，并對所述目標混合加密公鑰信息和所述主體信息進行處理，得到混合加密證書，采用所述臨時混合加密公鑰信息，對所述目標混合加密私鑰信息進行數(shù)字信封封裝處理，生成目標混合加密密鑰信封，所述目標混合加密密鑰信封包括：目標混合加密私鑰密文和所述目標混合加密公鑰信息；

23、接收所述認證中心發(fā)送的所述混合簽名證書、所述混合加密證書以及所述目標混合加密密鑰信封。

24、在可選的實施方式中，所述向數(shù)字證書認證系統(tǒng)中的認證中心發(fā)送混合證書請求之前，所述方法還包括：

25、采用混合簽名算法，生成混合簽名密鑰，所述混合簽名密鑰包括：所述混合簽名公鑰信息和混合簽名私鑰信息；

26、采用混合加密算法，生成臨時混合加密密鑰，所述臨時混合加密密鑰包括：所述臨時混合加密公鑰信息和臨時混合加密私鑰信息；

27、根據(jù)所述混合簽名公鑰信息和所述臨時混合加密公鑰信息，生成所述公鑰信息；

28、采用所述混合簽名私鑰信息，對所述主體信息和所述公鑰信息進行簽名，生成簽名信息；

29、將所述主體信息、所述公鑰信息以及所述簽名信息均封裝至所述混合證書請求中。

30、在可選的實施方式中，所述方法還包括：

31、采用認證機構(gòu)的混合簽名根證書的公鑰信息，分別對所述混合簽名證書和所述混合加密證書進行驗證處理，得到所述混合簽名證書的驗證結(jié)果和所述混合加密證書的驗證結(jié)果；

32、采用本地存儲的所述臨時混合加密私鑰信息，對所述混合加密私鑰密文進行數(shù)字信封解封裝處理，得到所述目標混合加密私鑰信息的明文；

33、從所述目標混合加密密鑰信封中獲取所述目標混合加密公鑰信息；

34、存儲所述混合簽名證書、所述混合加密證書以及所述目標混合加密密鑰信息。

35、第三方面，本技術(shù)實施例還提供了一種后量子和國密混合雙證書的簽發(fā)裝置，應用于數(shù)字證書認證系統(tǒng)中的認證中心，所述裝置包括：

36、第一接收模塊，用于接收用戶端發(fā)送的混合證書請求，其中，所述混合證書請求包括：主體信息和公鑰信息，所述公鑰信息包括：混合簽名公鑰信息和臨時混合加密公鑰信息，所述混合簽名公鑰信息包括：后量子簽名算法公鑰信息和國密簽名算法公鑰信息，所述臨時混合加密公鑰信息包括：臨時后量子加密算法公鑰信息和臨時國密加密算法公鑰信息；

37、第一處理模塊，用于對所述主體信息和所述混合簽名公鑰信息進行處理，得到混合簽名證書；

38、獲取模塊，用于基于所述臨時混合加密公鑰信息對應的混合加密算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，所述目標混合加密密鑰信息包括：目標混合加密公鑰信息和目標混合加密私鑰信息；

39、所述第一處理模塊，還用于對所述目標混合加密公鑰信息和所述主體信息進行處理，得到混合加密證書；

40、加密模塊，用于采用所述臨時混合加密公鑰信息，對所述目標混合加密私鑰信息進行數(shù)字信封封裝處理，生成目標混合加密密鑰信封，所述目標混合加密密鑰信封包括：目標混合加密私鑰密文和所述目標混合加密公鑰信息；

41、第一發(fā)送模塊，用于向所述用戶端發(fā)送所述混合簽名證書、所述混合加密證書以及所述目標混合加密密鑰信封。

42、第四方面，本技術(shù)實施例還提供了一種數(shù)字證書認證系統(tǒng)，所述數(shù)字證書認證系統(tǒng)包括：認證中心和密鑰管理中心，所述密鑰管理中心用于向所述認證中心發(fā)送目標混合加密密鑰信息，所述認證中心用于執(zhí)行如第一方面任一所述的后量子和國密混合雙證書的簽發(fā)方法的步驟。

43、第五方面，本技術(shù)實施例還提供了一種用戶端設備，包括：處理器、存儲介質(zhì)和總線，所述存儲介質(zhì)存儲有所述處理器可執(zhí)行的程序指令，當用戶端設備運行時，所述處理器與所述存儲介質(zhì)之間通過總線通信，所述處理器執(zhí)行所述程序指令，以執(zhí)行如第二方面任一所述的后量子和國密混合雙證書的簽發(fā)方法的步驟。

44、第六方面，本技術(shù)實施例還提供了一種計算機可讀存儲介質(zhì)，所述存儲介質(zhì)上存儲有計算機程序，所述計算機程序被處理器運行時執(zhí)行如第二方面任一所述的后量子和國密混合雙證書的簽發(fā)方法的步驟。

45、本技術(shù)的有益效果是：

46、本技術(shù)實施例提供一種后量子和國密混合雙證書的簽發(fā)方法、裝置、系統(tǒng)及設備，應用于數(shù)字證書認證系統(tǒng)中的認證中心，該方法包括：接收用戶端發(fā)送的混合證書請求，其中，混合證書請求包括：主體信息和公鑰信息，公鑰信息包括：混合簽名公鑰信息和臨時混合加密公鑰信息，所述混合簽名公鑰信息包括：后量子簽名算法公鑰信息和國密簽名算法公鑰信息，所述臨時混合加密公鑰信息包括：臨時后量子加密算法公鑰信息和臨時國密加密算法公鑰信息，對主體信息和混合簽名公鑰信息進行處理，得到混合簽名證書，基于臨時混合加密公鑰信息對應的混合加密算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，目標混合加密密鑰信息包括：目標混合加密公鑰信息和目標混合加密私鑰信息；對目標混合加密公鑰信息和主體信息進行處理，得到混合加密證書，采用臨時混合加密公鑰信息，對目標混合加密私鑰信息進行數(shù)字信封封裝處理，生成目標混合加密密鑰信封，目標混合加密密鑰信封包括：目標混合加密私鑰密文和目標混合加密公鑰信息，向用戶端發(fā)送混合簽名證書、混合加密證書以及目標混合加密密鑰信封。

47、本技術(shù)的方法，通過認證中心可以根據(jù)主體信息和混合簽名公鑰信息，為用戶端簽發(fā)混合簽名證書，基于臨時混合加密公鑰信息對應的混合算法標識，從密鑰管理中心獲取目標混合加密密鑰信息，然后對目標混合加密密鑰信息和主體信息進行處理，從而為用戶端簽發(fā)混合加密證書、混合加密私鑰密文以及目標混合加密公鑰信息，實現(xiàn)了為用戶端簽發(fā)混合雙證書以及為用戶端提供目標混合加密密鑰信封，另外，由于混合雙證書是針對混合算法簽發(fā)的雙證書，混合算法包括國密算法和后量子算法，在國密算法的基礎(chǔ)上增加了后量子算法，可以有效抵抗量子算法的攻擊。