资源公钥基础设施的资源签发方法、资源验证方法及系统与流程

本技术涉及网络安全，尤其涉及资源公钥基础设施的资源签发方法、资源验证方法及系统。

背景技术：

1、资源公钥基础设施是一种用于管理数字证书的系统。在资源公钥基础设施中，资源的合理签发是提供安全保障的核心机制，因此规划一个合适的资源公钥基础设施的证书签发方法是很有必要的。

2、在相关技术中，针对于资源公钥技术设施中的资源签发，为了保证资源签发的安全性，通常是在请求单元的上一层单元对请求单元的请求资源进行资源验证后，向主注册单元获取私钥，并根据私钥进行私钥签名，并根据私钥签名生成签发资源证书并发送给请求单元；请求单元在接收到资源证书后，还需要将私钥签名发送到主注册单元处以验证签发资源证书的有效性。但是使用这种方法进行资源签发，需要与主注册单元进行多次的信息交互，尤其是当资源公钥基础设施存在大量单元时，将导致资源签发和验证过程中的通信开销较大，使得资源签发的效率较低的情况。

技术实现思路

1、本技术实施例的提供了一种资源公钥基础设施的资源签发方法、资源验证方法及系统，能够在资源公钥基础设施中提高资源签发的效率。

2、为实现上述目的，本技术实施例的第一方面提出了一种资源公钥基础设施的资源签发方法，所述资源公钥基础设施包括逐级关联的多个单元，所述单元从上到下依次包括局部注册单元和请求注册单元，所述方法应用于所述局部注册单元，所述方法包括：

3、接收所述请求注册单元的资源证书签发请求，所述资源证书签发请求包括目标请求资源和所述请求注册单元的请求单元标识；

4、获取所述局部注册单元的局部私钥签名，所述局部私钥签名基于所述局部注册单元的局部单元私钥所生成；

5、基于所述局部私钥签名、所述局部注册单元的局部单元公钥以及所述局部注册单元的局部单元标识，生成局部签发签名，所述局部单元公钥与所述局部单元私钥关联绑定，所述局部单元公钥基于所述局部单元标识生成；

6、基于所述局部签发签名、所述目标请求资源、所述局部单元标识以及所述请求单元标识，生成目标资源签发证书，并将所述目标资源签发证书发送至所述请求注册单元，以使得所述请求注册单元根据所述局部单元标识对所述局部签发签名进行资源验签通过后使用所述目标请求资源。

7、在一些实施例，所述单元还包括位于所述局部注册单元上级的主注册单元，所述接收所述请求注册单元的资源证书签发请求之前，所述方法还包括：

8、向所述主注册单元发送单元注册请求，所述单元注册请求包括标识请求、私钥生成请求以及公钥生成请求；

9、获取所述主注册单元基于所述标识请求所生成的局部单元标识，所述局部单元标识基于所述局部注册单元与所述主注册单元之间的所有单元的单元链关系所生成；

10、生成第一私钥随机数，并基于所述第一私钥随机数生成第一公钥随机数，将所述第一公钥随机数发送至所述主注册单元；

11、接收所述主注册单元基于所述私钥生成请求所生成的第二公钥随机数，并基于所述第一私钥随机数、所述第一公钥随机数以及所述第二公钥随机数生成局部注册私钥；

12、接收所述主注册单元基于所述公钥生成请求所生成的局部单元公钥，所述局部单元公钥基于所述第一公钥随机数所生成。

13、在一些实施例，所述基于所述第一私钥随机数、所述第一公钥随机数以及所述第二公钥随机数生成局部注册私钥，包括：

14、累加所述第一公钥随机数和所述第二公钥随机数生成伴随公钥；

15、基于所述伴随公钥与所述局部单元标识生成坐标序列集，并将所述坐标序列集发送至所述主注册单元的专用管理设备，以使得所述专用管理设备根据所述坐标序列集以及所述主注册单元的第二私钥随机数生成中心密钥；

16、获取所述主注册单元发出的中心密钥，并基于所述中心密钥与所述第一私钥随机数生成所述局部注册私钥。

17、在一些实施例，所述基于所述伴随公钥与所述局部单元标识生成坐标序列集，包括：

18、获取认证码算法；

19、将所述伴随公钥作为所述认证码算法的使用密钥，并基于所述认证码算法对所述局部单元标识进行认证计算，得到所述坐标序列集。

20、在一些实施例，所述基于所述中心密钥与所述第一私钥随机数生成所述局部注册私钥，包括：

21、累加所述中心密钥与所述第一私钥随机数，得到局部私钥总数；

22、获取预设私钥除数，并基于所述局部私钥总数除以所述预设私钥除数之后的余值，得到所述局部注册私钥。

23、在一些实施例中，所述主注册单元在生成所述局部单元标识时，执行步骤包括：

24、逐一确定所述主注册单元到所述局部注册单元之间的所有单元的单元链关系，并获取所述主注册单元到所述局部注册单元之间的所有单元的单元属性名称；

25、基于所述单元链关系中从上到下的层级顺序，根据所述主注册单元到所述局部注册单元之间的所有单元的单元属性名称生成所述局部单元标识。

26、在一些实施例中，所述主注册单元在生成局部单元公钥时，执行步骤包括：

27、获取公钥矩阵，所述公钥矩阵包括多个公钥元素；

28、基于所述坐标序列集中每个序列元素的元素值得到选择坐标集；

29、基于所述选择坐标集从所述公钥矩阵中选取预设公钥数量的公钥元素作为局部公钥元素；

30、累加所有所述局部公钥元素和所述伴随公钥得到所述局部单元公钥。

31、在一些实施例中，所述基于所述局部私钥签名、所述局部注册单元的局部单元公钥以及所述局部注册单元的局部单元标识，生成局部签发签名，包括：

32、获取所述局部注册单元的局部资源，基于所述局部资源对所述目标请求资源进行资源检验，得到资源检验结果；

33、当所述资源检验结果表征所述目标请求资源无误时，基于所述局部私钥签名、所述局部注册单元的局部单元公钥以及所述局部注册单元的局部单元标识，生成局部签发签名。

34、在一些实施例中，所述基于所述局部资源对所述目标请求资源进行资源检验，得到资源检验结果，包括：

35、获取所述局部单元标识的有效使用期限；

36、当目前时刻在所述有效使用期限之内，基于所述局部资源与所述目标请求资源，生成资源包含信息；

37、获取所述目标请求资源的资源使用信息，并基于所述资源使用信息和所述资源包含信息生成所述资源检验结果。

38、在一些实施例中，所述基于所述局部私钥签名、所述局部注册单元的局部单元公钥以及所述局部注册单元的局部单元标识，生成局部签发签名，包括：

39、获取哈希参数，并基于所述哈希参数计算所述目标请求资源的哈希值，得到目标资源摘要；

40、基于所述目标资源摘要、所述局部单元标识、所述局部私钥签名以及所述局部单元公钥进行哈希计算，得到所述局部签发签名。

41、在一些实施例中，所述资源公钥基础设施包括逐级关联的多个单元，所述单元从上到下依次包括局部注册单元和请求注册单元，所述方法应用于所述请求注册单元，所述方法包括：

42、基于所述请求注册单元的请求单元标识和目标请求资源生成资源证书签发请求，并将所述资源证书签发请求发送至所述局部注册单元；

43、接收由所述局部注册单元针对于所述资源证书签发请求所发出的目标资源签发证书，所述目标资源签发证书包括所述局部注册单元的局部签发签名和所述局部注册单元的局部单元标识；

44、基于所述局部单元标识计算得到验证局部单元公钥，并基于所述验证局部单元公钥对所述局部签发签名进行签名验证，得到签名验证结果；

45、当所述签名验证结果表征所述局部签发签名与所述局部单元标识的对应关系无误时，使用所述目标请求资源。

46、为实现上述目的，本技术实施例的第二方面提出了资源公钥基础设施的资源验证方法，所述资源公钥基础设施包括逐级关联的多个单元，所述单元从上到下依次包括局部注册单元和请求注册单元，所述方法应用于所述请求注册单元，所述方法包括：

47、基于所述请求注册单元的请求单元标识和目标请求资源生成资源证书签发请求，并将所述资源证书签发请求发送至所述局部注册单元；

48、接收由所述局部注册单元针对于所述资源证书签发请求所发出的目标资源签发证书，所述目标资源签发证书包括所述局部注册单元的局部签发签名和所述局部注册单元的局部单元标识；

49、基于所述局部单元标识计算得到验证局部单元公钥，并基于所述验证局部单元公钥对所述局部签发签名进行签名验证，得到签名验证结果；

50、当所述签名验证结果表征所述局部签发签名与所述局部单元标识的对应关系无误时，使用所述目标请求资源。

51、为实现上述目的，本技术实施例的第三方面提出了资源公钥基础设施系统，所述系统包括逐级关联的多个单元，所述单元从上到下依次包括局部注册单元和请求注册单元；

52、所述请求注册单元，用于基于所述请求注册单元的请求单元标识和目标请求资源生成资源证书签发请求，并将所述资源证书签发请求发送至所述局部注册单元；

53、所述局部注册单元，用于接收所述请求注册单元的资源证书签发请求，所述资源证书签发请求包括目标请求资源和所述请求注册单元的请求单元标识；

54、所述局部注册单元，还用于获取所述局部注册单元的局部私钥签名，所述局部私钥签名基于所述局部注册单元的局部单元私钥所生成；

55、所述局部注册单元，还用于基于所述局部私钥签名、所述局部注册单元的局部单元公钥以及所述局部注册单元的局部单元标识，生成局部签发签名，所述局部单元公钥与所述局部单元私钥关联绑定，所述局部单元公钥基于所述局部单元标识生成；

56、所述局部注册单元，还用于基于所述局部签发签名、所述目标请求资源、所述局部单元标识以及所述请求单元标识，生成目标资源签发证书，并将所述目标资源签发证书发送至所述请求注册单元，以使得所述请求注册单元根据所述局部单元标识对所述局部签发签名进行资源验签通过后使用所述目标请求资源；

57、所述请求注册单元，还用于接收由所述局部注册单元针对于所述资源证书签发请求所发出的目标资源签发证书，所述目标资源签发证书包括所述局部注册单元的局部签发签名和所述局部注册单元的局部单元标识；

58、所述请求注册单元，还用于基于所述局部单元标识计算得到验证局部单元公钥，并基于所述验证局部单元公钥对所述局部签发签名进行签名验证，得到签名验证结果；

59、所述请求注册单元，还用于当所述签名验证结果表征所述局部签发签名与所述局部单元标识的对应关系无误时，使用所述目标请求资源。

60、为实现上述目的，本技术实施例的第四方面提出了一种电子设备，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如第一方面所述的资源公钥基础设施的资源签发方法或者第二方面所述的资源公钥基础设施的资源验证方法。

61、为实现上述目的，本技术实施例的第五方面提出了一种存储介质，所述存储介质为计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的资源公钥基础设施的资源签发方法或者第二方面所述的资源公钥基础设施的资源验证方法。

62、本技术实施例提出的资源公钥基础设施的资源签发方法、资源验证方法及系统，资源公钥基础设施包括逐级关联的多个单元，单元从上到下依次包括局部注册单元和请求注册单元，方法应用于局部注册单元，方法包括：首先，接收请求注册单元的资源证书签发请求，资源证书签发请求包括目标请求资源和请求注册单元的请求单元标识；然后，获取局部注册单元的局部私钥签名，局部私钥签名基于局部注册单元的局部单元私钥所生成；接下来，基于局部私钥签名、局部注册单元的局部单元公钥以及局部注册单元的局部单元标识，生成局部签发签名，局部单元公钥与局部单元私钥关联绑定，局部单元公钥基于局部单元标识生成；最后，基于局部签发签名、目标请求资源、局部单元标识以及请求单元标识，生成目标资源签发证书，并将目标资源签发证书发送至请求注册单元，以使得请求注册单元根据局部单元标识对局部签发签名进行资源验签通过后使用目标请求资源。本技术实施例当局部注册单元在接收请求注册单元的目标请求资源的请求之后，利用由自身所携带的局部单元私钥所生成的局部私钥签名，以及利用与局部单元私钥关联的局部单元公钥直接生成局部签发签名，并基于局部签发签名生成目标资源签发证书，并将目标资源签发证书发送至请求注册单元，从而在资源签发过程中，局部注册单元无需向主注册单元获取相关的资源签发信息；且当请求注册单元接收到局部签发签名之后，由于局部单元公钥基于局部单元标识生成，因此请求注册单元可以直接利用目标资源签发证书中的局部单元标识生成局部单元公钥，并利用局部单元公钥对局部签发签名进行资源验签，从而在资源签发过程中，请求注册单元无需向主注册单元获取相关的资源验证信息，从而在资源公钥基础设施中进行安全可靠的资源签发时，有效地减少通信开销，进而提高资源签发和资源验证的效率。

63、本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。