(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210509130.2 (22)申请日 2022.05.11 (65)同一申请的已公布的文献号 申请公布号 CN 114726546 A (43)申请公布日 2022.07.08 (73)专利权人 北京信安世纪科技股份有限公司 地址 100052 北京市西城区宣武门外大街 甲1号环球财讯中心C座 4层 (72)发明人 郑军　 (74)专利代理 机构 北京太合九思知识产权代理 有限公司 1 1610 专利代理师 孙明子　刘戈 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01)(56)对比文件 CN 110380862 A,2019.10.25 CN 112367175 A,2021.02.12 CN 114302367 A,202 2.04.08 审查员 颜悦 (54)发明名称 数字身份认证方法、 装置、 设备和存 储介质 (57)摘要 本发明实施例提供一种数字身份认证方法、 装置、 设备和存储介质， 所述方法包括： 获取证书 颁发机构下发的系统证书和终端用户证书， 其 中， 系统证书为证书颁发机构 的证书， 并且所述 系统证书的类型为显式证书， 所述终端用户证书 的类型包括隐式证书或无证书。 基于终端用户私 钥， 获取所述终端用户证书相对应的中间公钥。 根据所述中间公钥和系统公钥， 生成目标公钥， 所述系统公钥为所述系统证书对应的公钥， 所述 目标公钥用于认 证终端用户的数字身份。 在本方 案中， 融合了显式证书和其它证书的优势， 不仅 可以有效的满足现有的公钥基础设施信任体系 的建立， 同时也可以有效的降低终端设备的存储 空间， 减少带宽开销， 从而 有效提升通信效率。 权利要求书2页 说明书17页 附图3页 CN 114726546 B 2022.09.16 CN 114726546 B 1.一种数字身份认证方法， 其特 征在于， 应用于终端设备， 包括： 获取证书颁发机构下发的系统证书和终端用户证书， 所述系统证书为证书颁发机构的 证书， 其中， 所述系统证书的类型为显式证书， 所述显式证书包括所述证书颁 发机构对证书 属性的签名， 所述终端用户证书的类型包括隐式证书或无证书； 基于终端用户私钥， 获取 所述终端用户证书相对应的中间公钥； 若所述终端用户证书为 隐式证书， 则利用杂凑算法对所述终端用户证书进行处理， 得 到中间公钥系数； 若所述终端用户证书为无证书， 则利用杂凑算法对所述终端用户的身份标识以及中间 公钥进行处 理， 得到中间公钥系数； 利用杂凑算法对所述中间公钥和系统公钥进行处 理， 得到系统公钥系数； 根据所述中间公钥、 所述系统公钥、 所述中间公钥系数以及所述系统公钥系数， 生成目 标公钥， 并将所述 目标公钥与所述终端用户证书进行绑定， 所述系统公钥为所述系统证书 对应的公钥， 所述目标公钥用于认证终端用户的数字身份。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述中间公钥、 所述系统公钥、 所 述中间公钥系数以及所述系统公钥系数， 生成目标公钥， 包括： 获取中间公钥与中间公钥系数的第 一乘积值、 以及系统公钥与系统公钥系数的第 二乘 积值； 将所述第一乘积值与第二乘积值之和 确定为目标公钥。 3.根据权利要求1所述的方法， 其特 征在于， 所述 生成目标公钥之后， 还 包括： 基于终端用户私钥， 获取所述终端用户证书相对应的私钥因子， 所述私钥因子是证书 颁发机构基于系统私钥和临时私钥生成的； 根据所述私钥因子、 所述终端用户私钥， 生成目标私钥。 4.根据权利要求3所述的方法， 其特征在于， 所述根据所述私钥因子、 所述终端用户私 钥， 生成目标私钥， 包括： 获取私钥因子、 以及终端用户私钥与中间公钥系数的乘积值； 获取所述私钥因子与乘积值之和； 对所述私钥因子与乘积值之和做模的运 算， 得到目标私钥。 5.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取终端用户的目标私钥、 待发送消息、 以及 椭圆曲线参数； 基于所述终端用户的目标私钥和椭圆曲线参数对待发送消息进行签名， 得到签名值， 所述签名值用于进行 数字身份认证。 6.一种数字身份认证方法， 其特 征在于， 应用于证书颁发机构， 包括： 接收终端用户发送 的证书请求， 所述证书请求中包括证书信息、 所述终端用户的身份 标识、 终端用户公钥； 基于所述证书请求， 由随机数发生器产生临时公钥和临时私钥； 基于所述终端用户的身份标识， 生成临时公钥系数； 根据所述临时公钥、 所述终端用户公钥以及所述临时公钥系数， 生成中间公钥； 基于所述中间公钥和证书信息， 生成与身份标识相对应的终端用户证书。 7.根据权利要求6所述的方法， 其特征在于， 所述基于所述终端用户的身份标识， 生成权　利　要　求　书 1/2 页 2 CN 114726546 B 2临时公钥系数， 包括： 选取椭圆曲线； 确定与所述椭圆曲线相对应的椭圆曲线参数； 利用哈希函数对所述终端用户的身份标识和所述椭圆曲线参数进行处理， 得到临时公 钥系数。 8.根据权利要求7所述的方法， 其特征在于， 根据所述临时公钥、 所述终端用户公钥和 临时公钥系数， 生成中间公钥， 包括： 获取终端用户公钥、 临时公钥与临时公钥系数的乘积值； 将所述终端用户公钥与乘积值之和 确定为中间公钥。 9.一种数字身份认证装置， 其特 征在于， 位于终端设备， 包括： 第一获取模块， 用于获取证书颁发机构下发的系统证书和终端用户证书， 所述系统证 书为证书颁 发机构的证书， 其中， 所述系统证书的类型为显式证书， 所述显式证书包括所述 证书颁发机构对证书属性的签名， 所述终端用户证书的类型包括隐式证书或无证书； 第二获取模块， 用于基于终端用户私钥， 获取 所述终端用户证书相对应的中间公钥； 生成模块， 用于若所述终端用户证书为 隐式证书， 则利用杂凑算法对所述终端用户证 书进行处理， 得到中间公钥系数； 若 所述终端用户证书为无证书， 则利用杂凑算法对所述 终 端用户的身份标识以及中间公钥进行处理， 得到中间公钥系 数； 利用杂凑算法对所述中间 公钥和系统公钥进行处理， 得到系统公钥系 数； 根据所述中间公钥、 所述系统公钥、 所述中 间公钥系 数以及所述系统公钥系 数， 生成目标公钥， 并将所述 目标公钥与所述终端用户证 书进行绑定， 所述系统公钥为所述系统证书对应的公钥， 所述 目标公钥用于认证终端用户 的数字身份。 10.一种数字身份认证装置， 其特 征在于， 位于证书颁发机构， 包括： 接收模块， 用于接收终端用户发送的证书请求， 所述证书请求中包括证书信息、 所述终 端用户的身份标识、 终端用户公钥； 产生模块， 用于基于所述证书请求， 由随机数发生器产生临时公钥和临时私钥； 第一生成模块， 用于基于所述终端用户的身份标识， 生成临时公钥系数； 根据所述临时 公钥、 所述终端用户公钥以及所述临时公钥系数， 生成中间公钥； 第二生成模块， 用于基于所述中间公钥和证书信息， 生成与身份标识相对应的终端用 户证书。 11.一种终端设备， 其特 征在于， 包括： 存 储器、 处理器、 通信接口； 其中， 所述存 储 器上存储有可执行代码， 当所述可执行代码被所述处理器执行时， 使所述处理器执行 如权利 要求1至5中任一项所述数字身份认证方法。 12.一种电子设备， 其特征在于， 包括： 存储器、 处理器、 通信接口； 其中， 所述存储器上 存储有可执行代码， 当所述可执行代码被所述处理器执行时， 使所述处理器执行如权利要 求6至8中任一项所述数字身份认证方法。 13.一种非暂时性机器可读存储介质， 其特征在于， 所述非暂时性机器可读存储介质上 存储有可执行代码， 当所述可执行代码被处理器执行时， 使 所述处理器执行如权利要求 1至 8中任一项所述数字身份认证方法。权　利　要　求　书 2/2 页 3 CN 114726546 B 3