本发明专利技术公开了一种生成核心身份数字证书和身份侧面数字证书的方法,包括S1 CA认证机构和指定净化方协商,使用可净化签名密钥生成算法产生两对相关联的公私密钥对,一对由CA认证机构持有,用来进行核心身份证书签名和验证,另一对由净化方持有,用于净化操作和对净化后重新生成的签名进行验证;S2用户向CA认证机构申请颁发核心身份数字证书;S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。本发明专利技术降低CA认证机构重复颁发数字证书的审核成本,并提高对隐私信息的保护。
【技术实现步骤摘要】
一种生成核心身份数字证书和身份侧面数字证书的方法
本专利技术涉及数字证书领域,具体涉及一种生成核心身份数字证书和身份侧面数字证书的方法。
技术介绍
数字身份是人们参与网络活动的真实身份的代理,其具有多种表现形式,如传统的用户名/密码机制,人的生物特征,物理令牌和数字证书。其中数字证书是一种安全性较高的认证方式,但在使用过程中,由于每产生一个新的数字证书都要经过CA认证机构的审核签名,成本较高,因此一般都会避免频繁生成新的数字证书。但在考虑到隐私问题的情况下,用户有时希望能针对不同的应用场景产生包含不同身份属性信息的数字证书,来避免潜在窥探者根据用户的数字身份所参与的网络活动来勾勒出用户的行为肖像,从而暴露用户隐私的问题。如果用户针对每一个应用场景都向CA认证机构申请一个新的数字身份CA证书,会导致CA认证机构对用户的很多身份属性信息进行重复审核,极大的浪费了资源,同时也降低了用户体验。用户需要多种身份侧面数字证书这种需求与数字证书颁发的高成本产生了矛盾,因此限制了数字证书的使用范围,也给用户的隐私留下了隐患。身份侧面(IdentityFacet)是指一个人作为某一个角色的身份属性的子集。比如一个用户在作为特定消费者(购买烟酒等)时,只需要提供年龄属性来证明自己符合购买的要求,而不需要暴露其它诸如性别、联系方式等隐私信息。因此年龄属性和其它一些必要的属性就构成了该用户的一个身份侧面。非可比性公钥(IncomparablePublicKey)算法是Waters和Felten等人在2003年提出来的一种公钥算法。该算法设计初衷是为了解决组播应用场景下接收者的匿名性问题。该算法可生成一个私钥和与之对应的一组公钥。该组公钥中任何一个公钥都可以和私钥构成经典非对称加密算法中的密钥对,即任何一个公钥加密的消息都可以使用同一个私钥进行解密。这种算法的另一个特性是给定若干不同的公钥,除了私钥拥有者外任何人都无法确定这些公钥是否对应唯一的私钥。可净化签名方案(SanitizableSignatureScheme)是Giuseppe和Daniel等人在2005年提出的一种新型签名方案。它允许被授权的净化者在受限的条件下对已经签名的文件进行修改,并重新生成可以被成功验证的签名。在净化过程中,净化者不需要与原签名者进行交互。
技术实现思路
为了克服现有技术存在的缺点与不足,本专利技术提供一种生成核心身份数字证书和身份侧面数字证书的方法,以降低CA认证机构重复颁发数字证书的审核成本,并提高对隐私信息的保护。本专利技术采用如下技术方案:一种生成核心身份数字证书和身份侧面数字证书的方法,包括如下步骤:S1CA认证机构和指定净化方协商,使用可净化签名密钥生成算法产生两对相关联的公私密钥对,一对由CA认证机构持有,用来进行核心身份证书签名和验证,另一对由净化方持有,用于净化操作和对净化后重新生成的签名进行验证;S2用户向CA认证机构申请颁发核心身份数字证书;S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。所述S2具体为:S2.1用户生成一个私钥和与之对应的一组公钥,其中私钥由用户妥善保管;S2.2用户将公钥组和所需要的详细身份属性信息发给CA认证机构,CA认证机构对身份属性信息进行审核,并从公钥组中随机选择一个公钥对用户进行挑战;S2.3若身份属性信息审核通过,且用户能正确响应挑战,则CA认证机构对该证书使用可净化签名算法进行签名,向用户颁发核心身份CA证书;若身份属性信息审核不通过或用户不能正确响应挑战,则拒绝颁发证书。所述S3具体为:S3.1用户在需要生成一个身份侧面数字证书时,将核心身份CA证书发送给CA认证机构指定的净化方,并指定需要隐藏的身份属性信息和公钥组中一个未被使用过的公钥作为新生成的身份侧面数字证书的公钥;S3.2净化方对核心身份证书进行净化,隐藏除了被指定的公钥之外的所有公钥和用户指定需要隐藏的身份属性信息,最后重新生成签名,将该身份侧面数字证书返回给用户;S3.3用户在特定的应用场景中使用该身份侧面数字证书认证自己的身份来参与网络活动;S3.4验证方使用CA认证机构的公钥和指定净化方的公钥对用户证书的签名进行验证。用户采用非可比性公钥算法生成一个私钥和与之对应一组公钥。所述S3.2还包括净化方在收到核心身份数字证书时,首先验证该证书的签名是否是与自己关联的CA认证机构生成的有效签名,是则继续进行,否则拒绝。本专利技术的有益效果:1、CA认证机构只需对用户的详细身份属性信息审核一次,降低了审核成本,提升了用户体验;2、用户可以根据不同应用场景的需要,使用核心身份数字证书定制新的身份侧面数字证书。在产生侧面身份数字证书时,用户只选择保留所需要的最少的信息,从而保证自己的隐私。另外,由于潜在的窥探者无法通过众多身份侧面数字证书关联到同一个人,从而进一步保护了用户的隐私;3、用户在使用众多的侧面身份数字证书时,只需使用同一个私钥,操作上简单易于管理,避免了当前密码爆炸导致的混乱。附图说明图1是本专利技术工作流程图;图2是本专利技术的核心身份证书颁发过程的流程图;图3是本专利技术根据核心身份数字证书衍生身份侧面数字证书过程的流程图。具体实施方式下面结合实施例及附图,对本专利技术作进一步地详细说明,但本专利技术的实施方式不限于此。实施例如图1所示,一种生成核心身份数字证书和身份侧面数字证书的方法,包括如下步骤:S1CA认证机构和指定净化方协商,使用可净化签名密钥生成算法产生两对相关联的公私密钥对,一对由CA认证机构持有,用来进行核心身份证书签名和验证,另一对由净化方持有,用于净化操作和对净化后重新生成的签名进行验证;如图2所示,S2用户向CA认证机构申请颁发核心身份数字证书,该证书代表用户的核心身份,具有用户身份属性的完整信息,核心身份证书需要与私钥一起妥善保管,具体如下:S2.1用户使用非可比性公钥算法生成一个私钥和与之对应的一组公钥,其中私钥由用户妥善保管,可以加密后保存在用户的客户端设备内或智能卡中。S2.2用户将公钥组和所需要的详细身份属性信息发给CA认证机构,CA认证机构对身份属性信息进行审核,并从公钥组中随机选择一个公钥,对一个随机数加密,作为挑战发送给用户,如果用户拥有正确的私钥,则可以解密得到该随机数,并将随机数发送给CA认证机构;S2.3CA认证机构判断用户的身份属性信息和对挑战的响应是否正确,若正确,则CA认证机构对该证书使用可净化签名算法进行签名,并标明公钥组信息和身份属性信息字段为可净化字段,若前述两项条件中任何一个条件不通过则拒绝签名。向用户颁发签名后的核心身份CA证书,用户对其进行妥善保管。自此完成核心身份数字证书的颁发过程。若身份属性信息审核不通过或用户不能正确响应挑战,则拒绝颁发证书。如图3所示,S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书,具体为:S3.1用户在需要生成一个身份侧面数字证书时,将核心身份CA证书发送给CA认证机构指定的净化方,并指定需要隐藏的身份属性信息和公钥组中一个未被使用过的公钥作为新生成的身份侧面数字证书的公钥;S3.2净化方在收到核心身份数字证书时,首先验证该证书的签名是否与自己关联的CA认证机构生成的有效签名,是则进行下一步,否则拒绝;本文档来自技高网...
【技术保护点】
一种生成核心身份数字证书和身份侧面数字证书的方法,其特征在于,包括如下步骤:S1CA认证机构和指定净化方协商,使用可净化签名密钥生成算法产生两对相关联的公私密钥对,一对由CA认证机构持有,用来进行核心身份证书签名和验证,另一对由净化方持有,用于净化操作和对净化后重新生成的签名进行验证;S2用户向CA认证机构申请颁发核心身份数字证书;S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。
【技术特征摘要】
1.一种生成核心身份数字证书和身份侧面数字证书的方法,其特征在于,包括如下步骤:S1CA认证机构和指定净化方协商,使用可净化签名密钥生成算法产生两对相关联的公私密钥对,一对由CA认证机构持有,用来进行核心身份证书签名和验证,另一对由净化方持有,用于净化操作和对净化后重新生成的签名进行验证;S2用户向CA认证机构申请颁发核心身份数字证书;S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。2.根据权利要求1所述的方法,其特征在于,所述S2具体为:S2.1用户生成一个私钥和与之对应的一组公钥,其中私钥由用户妥善保管;S2.2用户将公钥组和所需要的详细身份属性信息发给CA认证机构,CA认证机构对身份属性信息进行审核,并从公钥组中随机选择一个公钥对用户进行挑战;S2.3若身份属性信息审核通过,且用户能正确响应挑战,则CA认证机构对该证书使用可净化签名算法进行签名,向用户颁发核心身份CA证书;若身份属性信息审核不通过或用户不能正确响应挑战...
【专利技术属性】
技术研发人员:贺小箭,寇池滨,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。