[发明专利]一种支持SM2算法的数字证书系统

说明书

技术领域

本发明信息安全技术领域，特别涉及一种支持SM2算法的数字证书系统。

背景技术

随着国家电网公司具有信息化、自动化、互动化等特征的统一智能电网的建设，相应的信息化管理和控制也相对从前发生了变革。在智能电网下的信息管理系统中，网络的接入更加复杂，信息集成度更高，用户交互程度更强；既需要面对电网业务系统中存储了大量关键信息，又必须满足跨系统、跨区域资源共享的需求；在这种情况下，如何保障用户、终端、基础网络、业务应用各组成部分的信息安全成为了一项重要的课题。

目前阶段，数字证书系统作为一种建立在密码技术基础上的信息安全技术和安全体系架构，也是目前唯一能够同时解决身份认证、访问控制、信息保密和抗抵赖的安全技术。数字证书系统也是现阶段最适用于智能电网中信息系统或类似的信息系统中的信息安全技术。现阶段在该类型的信息系统当中也已经存在利用数字证书系统实现全网统一的认证与访问的技术方案。

传统的数字证书系统中，生成密钥的安全算法广泛的采用RSA算法。相应的在整个数字证书系统中，软硬件设备均对应RSA算法。但实际上，现阶段RSA算法已经不再是最优的一种安全算法。经过本领域长期的研究和验证，国产的SM2算法相对于RSA算法存在着很明显的优势，SM2算法生成的密钥安全性更好。

但是，由于目前的数字证书系统在软硬件上，均是匹配世界范围内通行的RSA算法的，所以无法直接的和SM2算法兼容。服务器、浏览器及其他的中间环节无法解析SM2算法生成的密钥。所以现阶段的数字证书系统中，无法应用SM2算法，安全性在一些特殊情况下不能够满足智能电网中信息系统或类似的信息系统中的使用需要。

发明内容

有鉴于此，本发明的目的在于提供一种支持SM2算法的数字证书系统，本发明所述系统中能够为第一方签发利用SM2算法生成的数字证书，并利用SM2数字证书对用户进行身份认证。

为实现上述目的，本发明有如下技术方案：

一种支持SM2算法的数字证书系统，所述系统包括：

证书服务模块，用于接收第一方的证书签发申请，对第一方进行信息认证，当信息认证通过则发出签发请求；并用于将签发的数字证书的私钥部分反馈给所述第一方；

证书签发模块，用于接收所述签发请求，利用SM2算法生成数字证书，将数字证书的私钥部分返回证书服务模块；并保存数字证书的公钥部分；

身份认证模块，用于对所述第一方进行身份认证。

所述系统包括：

信息认证单元，用于对提出证书签发申请的第一方进行信息认证；

请求执行单元，用于在第一方通过信息认证的情况下，生成并发送证书签发申请；

操作反馈单元，用于签发的数字证书的私钥部分反馈给所述第一方。

所述信息认证单元包括：

一次认证子单元，用于认证第一方信息；

二次认证子单元，用于鉴别一次认证子单元的认证结果。

所述证书签发模块包括：

根管理单元，用于保存和管理利用SM2算法生成的数字证书的公钥部分；

SM2签发单元，用于接收所述签发请求，利用SM2算法生成数字证书，将数字证书的私钥部分返回证书服务模块；并将数字证书的公钥部分发送至根管理单元。

所述证书签发模块还包括：

RSA签发单元，用于接收所述签发请求，利用RSA算法生成数字证书，将数字证书的私钥部分返回证书服务模块；并将数字证书的公钥部分发送至根管理单元；

则所述根管理单元还用于保存和管理利用RSA算法生成的数字证书的公钥部分。

所述身份认证模块包括：

目录单元，用于保存数字证书目录，在签发新的数字证书时更新数字证书目录并向认证单元同步；所述数字证书目录记录签发过的数字证书的公钥部分；

认证单元，用于保存数字证书目录，并从目录单元中同步更新数字证书目录，通过数字证书目录中记录的数字证书的公钥部分与所述第一方持有的数字证书的私钥进行匹配来对第一方进行身份认证。

所述目录单元包括：

SM2目录子单元，用于保存SM2数字证书的数字证书目录，在利用签发新的SM2数字证书时更新SM2数字证书目录并向认证单元同步；

RSA目录子单元，用于保存RSA数字证书的数字证书目录，在利用签发新的RSA数字证书时更新RSA数字证书目录并向认证单元同步。

所述认证单元包括：