本請(qǐng)求涉及信息安全，具體而言，涉及一種數(shù)字證書生成方法、裝置、電子設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，用戶逐漸在線完成各項(xiàng)操作、獲得各項(xiàng)服務(wù)，在線操作為用戶帶來(lái)使用便捷的同時(shí)，也為用戶帶來(lái)了保密、安全方面的隱患。

2、相關(guān)技術(shù)中，通常采用公鑰基礎(chǔ)設(shè)施（public?key?infrastructure?,?pki）來(lái)實(shí)現(xiàn)并提供安全服務(wù)，其中，pki是利用非對(duì)稱密碼算法原理（公鑰理論）和第三方認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全服務(wù)措施。

3、然而，傳統(tǒng)公鑰密碼體系的安全性依賴于計(jì)算的復(fù)雜度，不具有無(wú)條件安全性，存在一定安全隱患。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本請(qǐng)求實(shí)施例提供了一種數(shù)字證書生成方法、裝置、電子設(shè)備和存儲(chǔ)介質(zhì)，以基于后量子密碼算法和國(guó)密算法生成數(shù)字證書，能夠保證通信安全，抵抗量子攻擊，實(shí)現(xiàn)無(wú)條件安全級(jí)別的證書生成。

2、第一方面，本請(qǐng)求實(shí)施例提供了一種數(shù)字證書生成方法，應(yīng)用于證書簽發(fā)系統(tǒng)，所述方法包括：

3、接收用戶終端發(fā)送的證書生成請(qǐng)求，所述證書生成請(qǐng)求中包括：用戶信息和證書生成算法的標(biāo)識(shí)符，所述證書生成算法包括：后量子密碼算法和預(yù)設(shè)國(guó)密算法；

4、根據(jù)所述后量子密碼算法的后量子公鑰和所述預(yù)設(shè)國(guó)密算法的國(guó)密公鑰，生成目標(biāo)混合公鑰；

5、根據(jù)所述用戶信息和所述目標(biāo)混合公鑰，生成目標(biāo)數(shù)字證書；

6、向所述用戶終端發(fā)送所述目標(biāo)數(shù)字證書。

7、在一可選的實(shí)施方式中，所述證書生成請(qǐng)求中還包括：第一證書類型和/或第二證書類型；所述根據(jù)所述后量子密碼算法的后量子公鑰和所述預(yù)設(shè)國(guó)密算法的國(guó)密公鑰，生成目標(biāo)混合公鑰，包括：

8、根據(jù)所述第一證書類型的第一后量子公鑰和第一國(guó)密公鑰，生成第一混合公鑰；和/或，

9、根據(jù)所述第二證書類型的第二后量子公鑰和第二國(guó)密公鑰，生成第二混合公鑰；

10、所述根據(jù)所述用戶信息和所述目標(biāo)混合公鑰，生成目標(biāo)數(shù)字證書，包括：

11、根據(jù)所述用戶信息和所述第一混合公鑰，生成簽名證書，以基于所述用戶終端自身存儲(chǔ)的第一混合私鑰和所述簽名證書進(jìn)行數(shù)據(jù)傳輸；和/或，

12、根據(jù)所述用戶信息和所述第二混合公鑰，生成加密證書，以基于所述加密證書進(jìn)行數(shù)據(jù)傳輸。

13、在一可選的實(shí)施方式中，所述根據(jù)所述第二證書類型的第二后量子公鑰和第二國(guó)密公鑰，生成第二混合公鑰，包括：

14、向密鑰管理中心發(fā)送混合密鑰生成請(qǐng)求，所述混合密鑰生成請(qǐng)求中包括：所述證書生成算法的標(biāo)識(shí)符、所述第二后量子公鑰以及所述第二國(guó)密公鑰，以使所述密鑰管理中心根據(jù)所述第二后量子公鑰和所述第二國(guó)密公鑰生成第二混合公鑰；

15、接收所述密鑰管理中心發(fā)送的所述第二混合公鑰。

16、在一可選的實(shí)施方式中，所述方法還包括：

17、從所述證書生成請(qǐng)求中獲取臨時(shí)混合公鑰，所述混合密鑰生成請(qǐng)求中還包括：所述臨時(shí)混合公鑰，以使所述密鑰管理中心生成所述第二混合公鑰對(duì)應(yīng)的第二混合私鑰，并采用所述臨時(shí)混合公鑰對(duì)所述第二混合私鑰進(jìn)行加密得到加密私鑰；

18、接收所述密鑰管理中心發(fā)送的所述加密私鑰；

19、向所述用戶終端發(fā)送所述加密私鑰，以使所述用戶終端采用臨時(shí)混合私鑰對(duì)所述加密私鑰進(jìn)行解密得到所述第二混合私鑰，以基于所述第二混合私鑰和所述加密證書進(jìn)行數(shù)據(jù)傳輸。

20、在一可選的實(shí)施方式中，所述方法還包括：

21、接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書更新請(qǐng)求；

22、根據(jù)所述證書更新請(qǐng)求，重新生成目標(biāo)混合公鑰，并生成新的目標(biāo)數(shù)字證書；

23、向所述用戶終端發(fā)送證書更新響應(yīng)，以指示采用所述新的目標(biāo)數(shù)字證書更新所述目標(biāo)數(shù)字證書。

24、在一可選的實(shí)施方式中，所述方法還包括：

25、在所述簽名證書丟失的情況下，接收所述用戶終端發(fā)送的簽名證書恢復(fù)請(qǐng)求，所述簽名證書恢復(fù)請(qǐng)求中包括：新的第一混合公鑰；

26、根據(jù)所述用戶信息和所述新的第一混合公鑰，重新生成簽名證書；

27、向所述用戶終端發(fā)送給簽名證書恢復(fù)響應(yīng)，以指示采用重新生成的簽名證書更新所述簽名證書。

28、在一可選的實(shí)施方式中，所述方法還包括：

29、在所述加密證書丟失的情況下，接收所述用戶終端發(fā)送的加密證書恢復(fù)請(qǐng)求，所述加密證書恢復(fù)請(qǐng)求中包括：所述臨時(shí)混合公鑰；

30、向所述密鑰管理中心發(fā)送密鑰恢復(fù)請(qǐng)求，所述密鑰恢復(fù)請(qǐng)求中包括：所述臨時(shí)混合公鑰和所述加密證書的標(biāo)識(shí)，以使所述密鑰管理中心根據(jù)所述加密證書的標(biāo)識(shí)，查詢所述第二混合公鑰和所述第二混合私鑰，并采用所述臨時(shí)混合公鑰重新對(duì)所述第二混合私鑰進(jìn)行加密得到加密私鑰；

31、接收所述密鑰管理中心發(fā)送查詢到的第二混合公鑰和重新生成的加密私鑰；

32、根據(jù)所述用戶信息和所述第二混合公鑰，重新生成加密證書；

33、向所述用戶終端發(fā)送重新生成的加密證書和所述重新生成的加密私鑰。

34、在一可選的實(shí)施方式中，所述方法還包括：

35、接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書無(wú)效請(qǐng)求，所述證書無(wú)效請(qǐng)求為：證書撤銷請(qǐng)求或證書凍結(jié)請(qǐng)求；

36、根據(jù)所述證書撤銷請(qǐng)求或證書凍結(jié)請(qǐng)求，將所述目標(biāo)數(shù)字證書加入證書撤銷列表中，并將證書狀態(tài)查詢系統(tǒng)中所述目標(biāo)數(shù)字證書的狀態(tài)標(biāo)記為撤銷或凍結(jié)。

37、在一可選的實(shí)施方式中，所述方法還包括：

38、若所述證書無(wú)效請(qǐng)求為證書凍結(jié)請(qǐng)求，接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書解凍請(qǐng)求；

39、根據(jù)所述證書解凍請(qǐng)求，將所述目標(biāo)數(shù)字證書從證書撤銷列表中移除，并將所述證書狀態(tài)查詢系統(tǒng)中所述目標(biāo)數(shù)字證書的狀態(tài)標(biāo)記為使用中。

40、在一可選的實(shí)施方式中，所述方法還包括：

41、接收所述用戶終端發(fā)送的針對(duì)所述簽名證書的證書延期請(qǐng)求，所述證書延期請(qǐng)求中包括：延期時(shí)間；

42、根據(jù)所述延期時(shí)間，向所述用戶終端發(fā)送給簽名證書延期響應(yīng)，以指示采用所述延期時(shí)間更新所述簽名證書內(nèi)存儲(chǔ)的結(jié)束時(shí)間。

43、在一可選的實(shí)施方式中，所述方法還包括：

44、接收所述用戶終端發(fā)送的針對(duì)所述加密證書的證書延期請(qǐng)求，所述證書延期請(qǐng)求中包括：延期時(shí)間；

45、向所述密鑰管理中心發(fā)送混合密鑰生成請(qǐng)求，以使所述密鑰管理中心采用所述證書生成算法，根據(jù)所述第二后量子公鑰和所述第二國(guó)密公鑰重新生成所述第二混合公鑰；

46、根據(jù)所述延期時(shí)間、所述用戶信息以及所述第二混合公鑰，重新生成加密證書；

47、向所述用戶終端發(fā)送給重新生成的加密證書。

48、第二方面，本請(qǐng)求實(shí)施例還提供了一種數(shù)字證書生成裝置，包括：

49、接收模塊，用于接收用戶終端發(fā)送的證書生成請(qǐng)求，所述證書生成請(qǐng)求中包括：用戶信息和證書生成算法的標(biāo)識(shí)符，所述證書生成算法包括：后量子密碼算法和預(yù)設(shè)國(guó)密算法；

50、處理模塊，用于根據(jù)所述后量子密碼算法的后量子公鑰和所述預(yù)設(shè)國(guó)密算法的國(guó)密公鑰，生成目標(biāo)混合公鑰；

51、所述處理模塊，還用于根據(jù)所述用戶信息和所述目標(biāo)混合公鑰，生成目標(biāo)數(shù)字證書；

52、發(fā)送模塊，用于向所述用戶終端發(fā)送所述目標(biāo)數(shù)字證書。

53、在一可選的實(shí)施方式中，所述處理模塊，具體用于：

54、根據(jù)所述第一證書類型的第一后量子公鑰和第一國(guó)密公鑰，生成第一混合公鑰；和/或，

55、根據(jù)所述第二證書類型的第二后量子公鑰和第二國(guó)密公鑰，生成第二混合公鑰；

56、所述處理模塊，具體用于：根據(jù)所述用戶信息和所述第一混合公鑰，生成簽名證書，以基于所述用戶終端自身存儲(chǔ)的第一混合私鑰和所述簽名證書進(jìn)行數(shù)據(jù)傳輸；和/或，

57、根據(jù)所述用戶信息和所述第二混合公鑰，生成加密證書，以基于所述加密證書進(jìn)行數(shù)據(jù)傳輸。

58、在一可選的實(shí)施方式中，所述處理模塊，具體用于：

59、向密鑰管理中心發(fā)送混合密鑰生成請(qǐng)求，所述混合密鑰生成請(qǐng)求中包括：所述證書生成算法的標(biāo)識(shí)符、所述第二后量子公鑰以及所述第二國(guó)密公鑰，以使所述密鑰管理中心根據(jù)所述第二后量子公鑰和所述第二國(guó)密公鑰生成第二混合公鑰；

60、接收所述密鑰管理中心發(fā)送的所述第二混合公鑰。

61、在一可選的實(shí)施方式中，所述裝置還包括：

62、獲取模塊，用于從所述證書生成請(qǐng)求中獲取臨時(shí)混合公鑰，所述混合密鑰生成請(qǐng)求中還包括：所述臨時(shí)混合公鑰，以使所述密鑰管理中心生成所述第二混合公鑰對(duì)應(yīng)的第二混合私鑰，并采用所述臨時(shí)混合公鑰對(duì)所述第二混合私鑰進(jìn)行加密得到加密私鑰；

63、所述接收模塊，還用于接收所述密鑰管理中心發(fā)送的所述加密私鑰；

64、所述發(fā)送模塊，還用于向所述用戶終端發(fā)送所述加密私鑰，以使所述用戶終端采用臨時(shí)混合私鑰對(duì)所述加密私鑰進(jìn)行解密得到所述第二混合私鑰，以基于所述第二混合私鑰和所述加密證書進(jìn)行數(shù)據(jù)傳輸。

65、在一可選的實(shí)施方式中，所述接收模塊，還用于：

66、接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書更新請(qǐng)求；

67、所述處理模塊，還用于根據(jù)所述證書更新請(qǐng)求，重新生成目標(biāo)混合公鑰，并生成新的目標(biāo)數(shù)字證書；

68、所述發(fā)送模塊，還用于向所述用戶終端發(fā)送證書更新響應(yīng)，以指示采用所述新的目標(biāo)數(shù)字證書更新所述目標(biāo)數(shù)字證書。

69、在一可選的實(shí)施方式中，所述接收模塊，還用于：

70、在所述簽名證書丟失的情況下，接收所述用戶終端發(fā)送的簽名證書恢復(fù)請(qǐng)求，所述簽名證書恢復(fù)請(qǐng)求中包括：新的第一混合公鑰；

71、所述處理模塊，還用于根據(jù)所述用戶信息和所述新的第一混合公鑰，重新生成簽名證書；

72、所述發(fā)送模塊，還用于向所述用戶終端發(fā)送給簽名證書恢復(fù)響應(yīng)，以指示采用重新生成的簽名證書更新所述簽名證書。

73、在一可選的實(shí)施方式中，所述接收模塊，還用于：

74、在所述加密證書丟失的情況下，接收所述用戶終端發(fā)送的加密證書恢復(fù)請(qǐng)求，所述加密證書恢復(fù)請(qǐng)求中包括：所述臨時(shí)混合公鑰；

75、所述發(fā)送模塊，還用于向所述密鑰管理中心發(fā)送密鑰恢復(fù)請(qǐng)求，所述密鑰恢復(fù)請(qǐng)求中包括：所述臨時(shí)混合公鑰和所述加密證書的標(biāo)識(shí)，以使所述密鑰管理中心根據(jù)所述加密證書的標(biāo)識(shí)，查詢所述第二混合公鑰和所述第二混合私鑰，并采用所述臨時(shí)混合公鑰重新對(duì)所述第二混合私鑰進(jìn)行加密得到加密私鑰；

76、所述接收模塊，還用于接收所述密鑰管理中心發(fā)送查詢到的第二混合公鑰和重新生成的加密私鑰；

77、所述處理模塊，還用于根據(jù)所述用戶信息和所述第二混合公鑰，重新生成加密證書；

78、所述發(fā)送模塊，還用于向所述用戶終端發(fā)送重新生成的加密證書和所述重新生成的加密私鑰。

79、在一可選的實(shí)施方式中，所述接收模塊，還用于：

80、接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書無(wú)效請(qǐng)求，所述證書無(wú)效請(qǐng)求為：證書撤銷請(qǐng)求或證書凍結(jié)請(qǐng)求；

81、所述處理模塊，還用于根據(jù)所述證書撤銷請(qǐng)求或證書凍結(jié)請(qǐng)求，將所述目標(biāo)數(shù)字證書加入證書撤銷列表中，并將證書狀態(tài)查詢系統(tǒng)中所述目標(biāo)數(shù)字證書的狀態(tài)標(biāo)記為撤銷或凍結(jié)。

82、在一可選的實(shí)施方式中，所述接收模塊，還用于：

83、若所述證書無(wú)效請(qǐng)求為證書凍結(jié)請(qǐng)求，接收所述用戶終端發(fā)送的針對(duì)所述目標(biāo)數(shù)字證書的證書解凍請(qǐng)求；

84、所述處理模塊，還用于根據(jù)所述證書解凍請(qǐng)求，將所述目標(biāo)數(shù)字證書從證書撤銷列表中移除，并將所述證書狀態(tài)查詢系統(tǒng)中所述目標(biāo)數(shù)字證書的狀態(tài)標(biāo)記為使用中。

85、在一可選的實(shí)施方式中，所述接收模塊，還用于：

86、接收所述用戶終端發(fā)送的針對(duì)所述簽名證書的證書延期請(qǐng)求，所述證書延期請(qǐng)求中包括：延期時(shí)間；

87、所述發(fā)送模塊，還用于根據(jù)所述延期時(shí)間，向所述用戶終端發(fā)送給簽名證書延期響應(yīng)，以指示采用所述延期時(shí)間更新所述簽名證書內(nèi)存儲(chǔ)的結(jié)束時(shí)間。

88、在一可選的實(shí)施方式中，所述接收模塊，還用于：

89、接收所述用戶終端發(fā)送的針對(duì)所述加密證書的證書延期請(qǐng)求，所述證書延期請(qǐng)求中包括：延期時(shí)間；

90、所述發(fā)送模塊，還用于向所述密鑰管理中心發(fā)送混合密鑰生成請(qǐng)求，以使所述密鑰管理中心采用所述證書生成算法，根據(jù)所述第二后量子公鑰和所述第二國(guó)密公鑰重新生成所述第二混合公鑰；

91、所述處理模塊，還用于根據(jù)所述延期時(shí)間、所述用戶信息以及所述第二混合公鑰，重新生成加密證書；

92、所述發(fā)送模塊，還用于向所述用戶終端發(fā)送給重新生成的加密證書。

93、第三方面，本請(qǐng)求實(shí)施例還提供了一種電子設(shè)備，包括：處理器、存儲(chǔ)器和總線，所述存儲(chǔ)器存儲(chǔ)有所述處理器可執(zhí)行的機(jī)器可讀指令，當(dāng)電子設(shè)備運(yùn)行時(shí)，所述處理器與所述存儲(chǔ)器之間通過(guò)總線通信，所述處理器執(zhí)行所述機(jī)器可讀指令，以執(zhí)行第一方面任一項(xiàng)所述的方法。

94、第四方面，本請(qǐng)求實(shí)施例還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器運(yùn)行時(shí)執(zhí)行第一方面任一項(xiàng)所述的方法。

95、本請(qǐng)求提供了一種數(shù)字證書生成方法、裝置、電子設(shè)備和存儲(chǔ)介質(zhì)，其中，該方法包括：接收用戶終端發(fā)送的證書生成請(qǐng)求，證書生成請(qǐng)求中包括：用戶信息和證書生成算法的標(biāo)識(shí)符，證書生成算法包括：后量子密碼算法和預(yù)設(shè)國(guó)密算法，根據(jù)后量子密碼算法的后量子公鑰和預(yù)設(shè)國(guó)密算法的國(guó)密公鑰，生成目標(biāo)混合公鑰，根據(jù)用戶信息和目標(biāo)混合公鑰，生成目標(biāo)數(shù)字證書，向用戶終端發(fā)送目標(biāo)數(shù)字證書。以基于后量子密碼算法和國(guó)密算法生成數(shù)字證書，能夠保證通信安全，抵抗量子攻擊，實(shí)現(xiàn)無(wú)條件安全級(jí)別的證書生成。