可信应用标识的生成方法、应用方法、管理系统和应用系统技术方案

一种可信应用标识的生成方法、应用方法、管理系统和应用系统。可信应用标识生成方法，其特征在于，包括：实体属性获取步骤，可信应用标识管理系统获取与实体相关的实体属性；安全域编码生成步骤，可信应用标识管理系统生成与所述实体属性相对应的安全域编码；实体标识生成步骤，所述可信应用标识管理系统将所述实体属性与所述安全域编码组合生成实体标识；以及可信应用标识生成步骤，所述可信应用标识管理系统对所述实体标识计算生成标识密钥并进行签名以获取可信应用标识。本发明专利技术能够有效拓展标识密钥体系的应用方法、范围和功效，有效弥补CA证书体系的缺陷和不足，也是标识密码体系的创新和拓展。

【技术实现步骤摘要】
可信应用标识的生成方法、应用方法、管理系统和应用系统
本专利技术属于信息安全
，具体涉及一种可信应用标识的生成方法、应用方法、管理系统和应用系统。
技术介绍
现有电子认证体系采用非对称密钥体系，通常是通过第三方的可信任机构——认证中心CA(CertificateAuthority)审核登记实体用户基本信息，并通过CA中心签发数字证书的方式实现实体身份和公钥的绑定。在CA证书认证体制中，私钥采用随机数，公钥通过私钥计算产生，公钥与实体身份(下文亦称实体标识EID)无计算关系，需要可信的第三方CA中心进行认证，CA中心需要统一维护大量的证书，难以支撑超大规模的应用，一个实体通常持有多家CA中心的证书且难以互联户通，证书撤销也由中心统一采用CRL列表的方式，在应用时需要访问CA中心进行数据查询或定时进行数据同步；同时，数字证书签发时审核登记的实体用户基本信息在证书中采用标准(如X.500)格式，与应用脱节，实用性较差，且存在隐私泄漏的风险；此外，所有数字证书均由CA中心的私钥签发，存在较大的系统性风险，一旦中心根密钥泄漏，将会破坏整个体系。标识密码体系(Identity-BasedCryptograph)是CA认证体系基础上的最新发展，最早由以色列密码学家Shamir提出，主要思想是以标识作为公钥，在技术上简化CA中心公钥管理和证书交换流程，但现有标识密码体系仍存在算法复杂、效率较低和密钥托管等方面的缺陷或不足。随着网络快速发展和电子认证的推广应用，特别是移动互联网、物联网、区块链网络的发展，现有CA认证体系已经难以满足要求，其在应用中的弊端和不足逐步显现，而标识密码体系也需要从单纯的技术简化向实用性转变。
技术实现思路
本专利技术正是为了解决上述问题而完成，提供了一种可信应用标识的生成方法、应用方法、管理系统和应用系统，能够有效拓展标识密钥体系的应用方法、范围和功效，有效弥补CA证书体系的缺陷和不足，也是标识密码体系的创新和拓展。为了实现上述目的，本专利技术的一方面提供了一种可信应用标识生成方法，其特征在于，包括：实体属性获取步骤，可信应用标识管理系统获取与实体相关的实体属性；安全域编码生成步骤，可信应用标识管理系统生成与所述实体属性相对应的安全域编码；实体标识生成步骤，所述可信应用标识管理系统将所述实体属性与所述安全域编码组合生成实体标识；以及可信应用标识生成步骤，所述可信应用标识管理系统对所述实体标识计算生成标识密钥并进行签名以获取可信应用标识。进一步地，根据前述可信应用标识生成方法，其特征在于，在所述实体属性获取步骤中获取的所述实体属性中，包括与所述实体相关联的管理域属性，以及所述实体与应用相关联的应用域属性，在所述安全域编码生成步骤中生成与所述管理域属性和所述应用域属性对应的所述安全域编码。进一步地，根据前述可信应用标识生成方法，其特征在于，包括：在所述实体属性获取步骤中，所述可信应用标识管理系统对获取的所述管理域属性进行编码从而生成管理域属性编码，并对获取的所述应用域属性进行编码从而生成应用域属性编码；在所述实体标识生成步骤中，所述可信应用标识管理系统将所述管理域属性编码、所述应用域属性编码与所述安全域编码组合而获取实体标识。进一步地，根据前述可信应用标识生成方法，其特征在于，安全域编码对应所述管理域和/或所述应用域的不同类别，并且所述安全域编码以列表形式发布。进一步地，根据前述可信应用标识生成方法，其特征在于，标识密钥生成步骤，所述可信应用标识管理系统基于标识密钥算法通过所述实体标识计算生成所述标识密钥。进一步地，根据前述可信应用标识生成方法，其特征在于，所述标识密钥包括加密公钥、加密私钥、签名公钥和实体私钥，在所述可信应用标识生成步骤中，所述可信应用标识管理系统通过所述实体私钥对实体标识、加密公钥和签名公钥的拼接结果进行签名。进一步地，根据前述可信应用标识生成方法，其特征在于，在所述可信应用标识生成步骤中，所述可信应用标识管理系统对由所述实体标识、所述加密公钥和所述签名公钥组合而成的信息列进行签名，从而获取所述可信应用标识。进一步地，根据前述可信应用标识生成方法，其特征在于，在所述实体标识生成步骤中，所述可信应用标识管理系统还将有效期信息加入到所述信息列中进行签名，从而获取所述可信应用标识。进一步地，根据前述可信应用标识生成方法，其特征在于，一个所述管理域属性编码对应于一个以上的应用域属性编码。本专利技术进一步提供一种可信应用标识应用方法，其特征在于，包括：可信应用标识获取步骤，应用端和/或用户端获得对方包含有实体标识的可信应用标识，所述实体标识含有与实体相关的实体属性编码以及与所述实体属性编码相对应的安全域编码；实体标识提取和可信应用标识验证步骤，所述应用端和/或用户端从所述可信应用标识中提取所述实体标识，计算实体公钥，使用实体公钥对可信应用标识进行验签名，不通过则放弃后续处理，应用端根据所述实体属性的撤销列表进行有效性验证，不通过则放弃后续处理。进一步地，根据前述可信应用标识应用方法，其特征在于，在所述实体标识提取和可信应用标识验证步骤中，还按照管理域属性通过实体内在特征属性进行可信应用标识对应的实体本身的验证，不通过则放弃后续处理。进一步地，根据前述可信应用标识应用方法，其特征于，在所述可信应用标识获取步骤中，所述用户端和/或应用端在自身具有多个可信应用标识和密钥对的情况下，根据所述安全域编码选择当前应用中实际对应的可信应用标识、签名私钥和加密私钥，所述应用端向用户端公布应用端的可信应用标识；在所述可信应用标识验证步骤中，所述应用端在获取了多个可信应用标识的情况下，根据所述安全域编码选择当前应用中可信应用标识实际对应的所述管理域撤销列表和/或应用域撤销列表。进一步地，根据前述可信应用标识应用方法，其特征在于，所述实体属性编码包括管理域属性编码和应用域属性编码，所述撤销列表由所述应用端事先建立并维护，并与所述管理域属性编码和所述应用域属性编码中的一个或两者分别对应，在所述应用步骤中，所述应用端查询所述管理域属性编码或者所述应用属性编码是否存在于所述撤销列表中，如果是，则放弃所述用户端所请求的后续处理。进一步地，根据前述可信应用标识应用方法，其特征在于，所述撤销列表包括管理域属性撤销列表和应用域属性撤销列表，所述管理域属性撤销列表由管理机关在管理域全域范围中发布，由所述应用端定时下载或进行实时查询；所述应用域属性撤销列表根据管理域指令和/或应用系统处理要求和/或用户请求而在所述应用端被即时更新。进一步地，根据前述可信应用标识应用方法，其特征在于，所述可信应用标识由可信应用标识管理系统通过实体私钥进行签名，所述可信应用标识应用方法还包括可信应用标识验签名步骤，应用端和/或用户端根据实体标识计算实体公钥，按验签名的规范方法对可信应用标识进行验签名，不通过则放弃后续处理。进一步地，根据前述可信应用标识应用方法，其特征在于，所述标识密钥包括加密公钥、加密私钥、签名公钥和实体私钥，所述用户端和/或应用端按照加解密和签名验签的规范流程，基于通信对方的所述可信应用标识使用加密公钥和签名公钥进行加密和验签，使用所述用户端和/或应用端自已的加密私钥和签名私钥进行解密和签名。进一步地，根据前述可信应用标识应用本文档来自技高网...

【技术保护点】
1.一种可信应用标识生成方法，其特征在于，包括：实体属性获取步骤，可信应用标识管理系统获取与实体相关的实体属性；安全域编码生成步骤，可信应用标识管理系统生成与所述实体属性相对应的安全域编码；实体标识生成步骤，所述可信应用标识管理系统将所述实体属性与所述安全域编码组合生成实体标识；以及可信应用标识生成步骤，所述可信应用标识管理系统对所述实体标识计算生成标识密钥并进行签名以获取可信应用标识。

【技术特征摘要】
1.一种可信应用标识生成方法，其特征在于，包括：实体属性获取步骤，可信应用标识管理系统获取与实体相关的实体属性；安全域编码生成步骤，可信应用标识管理系统生成与所述实体属性相对应的安全域编码；实体标识生成步骤，所述可信应用标识管理系统将所述实体属性与所述安全域编码组合生成实体标识；以及可信应用标识生成步骤，所述可信应用标识管理系统对所述实体标识计算生成标识密钥并进行签名以获取可信应用标识。2.根据权利要求1所述的可信应用标识生成方法，其特征在于，在所述实体属性获取步骤中获取的所述实体属性中，包括与所述实体相关联的管理域属性，以及所述实体与应用相关联的应用域属性，在所述安全域编码生成步骤中生成与所述管理域属性和所述应用域属性对应的所述安全域编码。3.根据权利要求2所述的可信应用标识生成方法，其特征在于，在所述实体属性获取步骤中，所述可信应用标识管理系统对获取的所述管理域属性进行编码从而生成管理域属性编码，并对获取的所述应用域属性进行编码从而生成应用域属性编码；在所述实体标识生成步骤中，所述可信应用标识管理系统将所述管理域属性编码、所述应用域属性编码与所述安全域编码组合而获取实体标识。4.根据权利要求2所述的可信应用标识生成方法，其特征在于，安全域编码对应所述管理域和/或所述应用域的不同类别，并且所述安全域编码以列表形式发布。5.根据权利要求1所述的可信应用标识生成方法，其特征在于，包括：标识密钥生成步骤，所述可信应用标识管理系统基于标识密钥算法通过所述实体标识计算生成所述标识密钥。6.根据权利要求5所述的可信应用标识生成方法，其特征在于，所述标识密钥包括加密公钥、加密私钥、签名公钥和实体私钥，在所述可信应用标识生成步骤中，所述可信应用标识管理系统通过所述实体私钥对实体标识、加密公钥和签名公钥的拼接结果进行签名。7.根据权利要求5所述的可信应用标识生成方法，其特征在于，在所述可信应用标识生成步骤中，所述可信应用标识管理系统对由所述实体标识、所述加密公钥和所述签名公钥组合而成的信息列进行签名，从而获取所述可信应用标识。8.根据权利要求7所述的可信应用标识生成方法，其特征在于，在所述实体标识生成步骤中，所述可信应用标识管理系统还将有效期信息加入到所述信息列中进行签名，从而获取所述可信应用标识。9.根据权利要求2-8的任何一项所述的可信应用标识生成方法，其特征在于，一个所述管理域属性编码对应于一个以上的应用域属性编码。10.一种可信应用标识应用方法，其特征在于，包括：可信应用标识获取步骤，应用端和/或用户端获得对方包含有实体标识的可信应用标识，所述实体标识含有与实体相关的实体属性编码以及与所述实体属性编码相对应的安全域编码；实体标识提取和可信应用标识验证步骤，所述应用端和/或用户端从所述可信应用标识中提取所述实体标识，计算实体公钥，使用实体公钥对可信应用标识进行验签名，不通过则放弃后续处理，应用端根据所述实体属性的撤销列表进行有效性验证，不通过则放弃后续处理。11.根据权利要求10所述的可信应用标识应用方法，其特征在于，在所述实体标识提取和可信应用标识验证步骤...

【专利技术属性】
技术研发人员：何晓涛，
申请(专利权)人：北京迪曼森科技有限公司，
类型：发明
国别省市：北京,11