[发明专利]分布式CA的私钥分配方法和电子装置

说明书

本申请涉及一种分布式CA的私钥分配方法和电子装置。其中，该方法包括：获取认证方的标识信息；将标识信息切片为M份标识信息切片，并将M份标识信息切片一一分配至M个CA；获取各CA根据标识信息切片确定的密钥分配方案，以及获取各CA根据预设椭圆加密算法对第二预设私钥集合进行有限域加和得到的私钥和；根据各CA的密钥分配方案，得到认证方的密钥分配方案，以及根据预设椭圆加密算法对各CA的私钥和进行有限域加和，得到认证方的私钥。通过本申请，解决了无法遏制中心化CA自身作恶的问题，提高了CA的可靠性。

技术领域

本申请涉及非对称加密技术领域，特别是涉及一种分布式CA的私钥分配方法和电子装置。

背景技术

CA（Certification Authority，证书颁发中心）是构建在公钥基础架构（PublicKey Infrastructure，简称为PKI）基础之上的产生并确定数字证书的第三方可信机构（Trusted Third Party）。CA的数字证书包括一对成对的非对称加密密钥，分别为公钥和私钥。其中，私钥分发给认证方，公钥任何人都可以获得。使用公钥加密的密文只有私钥能够解密，使用私钥加密的密文使用公钥能够解密。数字证书使得攻击者不能伪造和篡改数字证书。

相关技术通常采用中心化CA进行数字证书的管理，但是中心化CA容易被攻破而导致数字证书泄漏，且无法遏制中心化CA自身作恶。针对上述问题，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种分布式CA的私钥分配方法和电子装置，以解决相关技术无法遏制中心化CA自身作恶的问题。

第一个方面，在本实施例中提供了一种分布式CA的私钥分配方法，包括：

获取认证方的标识信息；

将所述标识信息切片为M份标识信息切片，并将M份所述标识信息切片一一分配至M个CA，其中，各所述CA存储有第一预设私钥集合，且所述第一预设私钥集合属于预设椭圆加密算法的离散有限域；

获取各所述CA根据所述标识信息切片确定的密钥分配方案，以及获取各所述CA根据所述预设椭圆加密算法对第二预设私钥集合进行有限域加和得到的私钥和，其中，所述第二预设私钥集合根据各所述CA的密钥分配方案确定；

根据各所述CA的密钥分配方案，得到所述认证方的密钥分配方案，以及根据所述预设椭圆加密算法对各所述CA的私钥和进行有限域加和，得到所述认证方的私钥，其中，所述认证方的密钥分配方案用于根据所述预设椭圆加密算法获取所述认证方的公钥。

在其中一些实施例中，将M份所述标识信息切片一一分配至M个CA包括：

在M份所述标识信息切片的二进制表示的数值均不为零的情况下，将M份所述标识信息切片一一分配至M个CA；或者，

在M份所述标识信息切片中任一标识信息切片的二进制表示的数值为零的情况下，通知所述认证方更换所述标识信息。

在其中一些实施例中，在将M份所述标识信息切片一一分配至M个CA之后，所述方法还包括：

获取任一所述CA的标识信息冲突消息，其中，所述标识信息冲突消息用于指示该CA当前所分配的所述标识信息切片与该CA成功处理的历史标识信息切片冲突；

通知所述认证方更换所述标识信息，并通知M个所述CA当前所分配的所述标识信息切片作废。

在其中一些实施例中，各所述CA根据bitmap进行标识信息切片的冲突检测，所述bitmap的每个比特位对应于一个标识信息切片，所述bitmap的每个比特位的数值用于表示与该比特位对应的标识信息切片是否被成功处理。