技術領域

本發明涉及網絡安全技術領域，特別涉及一種基于CSP的SM2證書申請及應用方法。

背景技術

數字簽名又稱電子簽章，是一種依靠附加信息或密碼處理對數字信息或其發送方進行證明的技術，目前主要使用密鑰加密方式實現。一套數字簽名通常定義兩種互補的運算并使用一對密鑰，發送方利用本方的私鑰對數據進行簽名，接收方則利用對應的公鑰對數字簽名進行驗證。

數字簽名的安全性和可靠性主要依賴于密鑰算法，目前最有影響力的公鑰加密算法是RSA算法，其已被ISO推薦為公鑰數據加密標準。但是，RSA算法的安全性依賴于大數運算，其密鑰的產生很復雜，且由于分組大、密鑰長度長，算法運算代價很高，速度較慢。此外，由于大數的因數分解有規律可循，RSA算法也存在一定的安全隱患，為提高安全性只能不斷增加密鑰長度，導致算法的執行效率不斷降低。

在此情況下，亟需一種安全高效的算法來替代RSA，為此國家密碼管理局編制并公開了一系列商用密碼算法（以下稱為“國密算法”），其包括標準對稱算法SM1、基于橢圓曲線ECC的非對稱加密算法SM2、數據摘要算法SM3和分組對稱塊加密算法SM4等。國密算法提供了替代RSA算法的理論性指導，但是要想成為統一的、世界公認的安全標準，仍需要大量切實可用的安全應用來支持國密算法，并對其安全性做進一步的檢驗。如何將國密算法應用到信息安全的各個領域中成為國密算法的推廣所必須解決的問題。

發明內容

有鑒于此，本發明提供了一種基于CSP的SM2證書申請及應用方法，以解決現有技術中無法將國密算法理論轉化為實際的安全應用的問題。

為解決上述技術問題，本發明的基于CSP的SM2證書申請及應用方法包括步驟：

SM2數字證書申請：利用客戶端本地的安全控件調用CSP接口，生成用于制作SM2證書的密鑰對，生成用于申請SM2數字證書的PKCS#10請求發送給CA中心；

SM2數字證書導入：調用CSP接口解析CA中心返回的數據，將其中的SM2數字證書數據導入到本地安全設備中保存；

使用SM2證書進行數字簽名：在本地安全設備中，使用簽名用SM2私鑰對待簽名數據的SM3哈希值進行簽名。

優選地，所述SM2數字證書申請步驟具體過程為：

利用客戶端本地的安全控件提出SM2數字證書申請的PKCS#10請求；

調用CSP接口創建密鑰容器；

生成用于制作SM2證書的密鑰對；

導出所述密鑰對中的SM2公鑰集成至所述PKCS#10請求中；

組織證書信息集成至所述PKCS#10請求中；

創建SM3哈希句柄，計算所述SM2公鑰和證書信息的SM3哈希值；

對所述SM3哈希值進行SM2簽名并集成至所述PKCS#10請求中；

生成完整的PKCS#10請求發送給CA中心。

優選地，其特征在于，導入的所述SM2數字證書數據包括SM2簽名證書數據。

優選地，若同時進行數字簽名和數字加密則使用雙證書，導入的所述SM2數字證書數據還包括SM2加密證書數據。

優選地，所述簽名證書數據的導入過程具體為：

獲取CSP上下文；獲取CSP保存的簽名用SM2私鑰句柄；從所述CA中心返回的數據中解析出SM2簽名證書，并導入到本地安全設備中。

優選地，所述加密證書數據的導入過程為：

獲取CSP上下文；從所述CA中心返回的數據中解析出SM2加密證書和加密的與所述SM2加密證書對應的加密私鑰，并導入到本地安全設備中。

優選地，所述使用SM2證書進行數字簽名步驟具體過程為：

調用CSP接口獲取簽名用SM2私鑰句柄；創建SM3哈希句柄；計算待簽名數據的SM3哈希值；獲得所述SM3哈希值并對其進行SM2簽名。

優選地，若同時進行數字簽名和數字加密，則進行雙證書申請，在生成所述密鑰對時，同時生成簽名密鑰對和臨時加密密鑰對這二對SM2密鑰對。

優選地，所述加密的與所述SM2加密證書對應的加密私鑰由曲線點分量、加密的私鑰和所述私鑰的SM3哈希值構成。

通過上述方案，本發明提供了一種基于CSP的SM2證書申請及應用方法，解決了現有技術中無法將國密算法理論轉化為實際的安全應用的問題，實現了基于SM2數字證書的國密算法的安全應用。

附圖說明

圖1為本發明的一個實施例中基于CSP的SM2證書申請及應用方法的基本流程示意圖；