CFL去中心化应用方法技术

在基于标识的证书认证技术CFL的基础上，本发明专利技术给出了CFL去中心化应用方法。通过二代以上Ukey的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。

【技术实现步骤摘要】
CFL去中心化应用方法
本专利技术属于信息安全
，涉及网络安全。
技术介绍
由于PKI证书认证方法在传统应用中都是基于CA中心的，也就是说，PKI证书的传统应用都是没有去中心化的。这种传统的应用方式，虽然能够解决证书的挂失问题带来的信息安全风险，但是这种每次证书应用都由CA中心完成的应用方式，使得面向进程认证时，因进程延迟而无法应用，这限制了传统PKI认证方法的应用的深度以及广度，例如操作系统进程认证、数据库访问进程认证。同时，也因为所有的认证都依赖CA中心，这需要CA必须具有超算能力，及时完成大量的认证需求，因此这种PKI证书传统认证方式，能耗大，建设投资大，运维管理费用高。为此，研究去中心化的直接认证方法，具有着重要的理论价值和实践价值。在基于标识的证书认证技术CFL的基础上，本专利技术给出了CFL去中心化的认证方法，按照本方法，同样可以给出PKI证书认证体制去中心化的认证方法，改进了传统的PKI证书的应用依赖CA中心的认证方法。
技术实现思路
在基于标识的证书认证技术CFL的基础上，本专利技术给出了CFL去中心化应用方法。通过二代以上Ukey(含二代Ukey，下同)的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。具体实施方式CFL去中心化应用方法流程：(1)CFL证书生成中心基于二代以上Ukey的标识IDUkey生成每个二代以上Ukey的临时工作公私钥对；(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；(3)用户领取二代以上Ukey，选定自己的工作私钥(保密字或者用户的生物信息)SKu，利用二代以上Ukey，安全生成对应的工作公钥PKu，构成如下信息IDu||PKu，以自己的工作私钥对IDu||PKu进行签名生成SIGN1；(4)用户以CFL证书生成中心的工作公钥对IDu||PKu||SIGN1||IDUkey||SIGN′进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对IDu||PKu||SIGN1||IDUkey进行的签名；(5)CFL证书生成中心收到IDu||PKu||SIGN1||IDUkey||SIGN′的加密信息后，解密得IDu||PKu||SIGN1||IDUkey||SIGN′，根据IDUkey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即Cu＝IDu||PKu||SIGN1||IDC||SIGN2，其中IDC是CFL证书生成中心的为用户证书的管理信息，SIGN2是CFL证书生成中心为用户的CFL证书的CFL认证算法签名；(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户，用户验证CFL证书生成中心的签名，通过后，解密得用户自己的静态CFL证书。(7)用户将工作私钥备份，将二代以上Ukey中的工作私钥以及临时工作私钥删除，并将静态CFL证书存储在二代以上Ukey内；(8)用户在每次使用二代以上Ukey时，通过二代以上Ukey中的安全输入设备，输入自己的工作私钥，在使用CFL证书时，由静态CFL证书变成动态CFL证书，即CD＝Cu||T||SIGN3＝IDu||PKu||SIGN1||IDC||SIGN2||T||SIGN3，其中T是用户使用时的时间戳或者是随机数，SIGN3是用户利用自己的工作私钥对IDu||PKu||IDC||T的签名；(9)第三方在验证用户的动态证书时，利用PKu验证SIGN1，SIGN3，利用CFL认证算法验证SIGN2；(10)用户使用完毕CFL证书后，在Ukey中删除用户自己的工作私钥。CFL去中心化应用方法安全性分析：PKI证书的传统的应用方式是指Ukey中一直含有用户的工作私钥的，我们有下面的结论：命题1在PKI证书的传统的应用方式中，若该用户的Ukey丢失，则该用户必须对该Ukey进行挂失，否则存在信息安全问题。证明因为该Ukey中含有该用户的工作私钥，PKI证书信息，因此该Ukey的捡到者可以冒充该用户与验证方进行证书交换，且证书的验证是通过的，因此存在信息安全问题。命题2在PKI证书的传统的应用方式中，验证方只有在用户的证书在CA中心被证明没有挂失登记后，才可能效性。证明若该PKI证书没有在CA中心证明挂失登记，说明该用户的Ukey可能没有丢失，因此才可能有效。显然我们易得：命题3若用户Ukey丢失了，而验证方不知道用户已经挂失该Ukey，直接对用户的PKI证书进行验证，因此存在信息安全问题。命题1、命题2、命题3说明了传统的PKI证书使用方法必须依靠CA中心。从而不适应当前实践中迫切需要的直接进程认证。本专利技术给出的CFL去中心化应用方法可以在实际中去中心化。我们有下述命题：命题4本专利技术给出的CFL去中心化应用方法是安全的。证明在二代以上Ukey丢失后，由于捡到者并不知道用户的工作私钥，因此捡到者无法冒充该用户，所以本专利技术应用去中心化是安全的。显然我们有如下推论：命题5本专利技术给出的CFL去中心化方法，同样可以适用于PKI证书的使用，从而可以改进PKI证书的传统应用方法，进而可以达到应用去中心化。由命题1至命题5可知，本专利技术可以应用去中心化，因此可以做到直接进程认证，从而可以基于本专利技术支持安全操作系统、安全数据库、安全软件、安全计算机、安全网络的建设。本文档来自技高网...

【技术保护点】
CFL去中心化应用方法，其特征在于：1)CFL去中心化应用方法流程：(1)CFL证书生成中心基于二代以上Ukey的标识ID

【技术特征摘要】
1.CFL去中心化应用方法，其特征在于：1)CFL去中心化应用方法流程：(1)CFL证书生成中心基于二代以上Ukey的标识IDUkey生成每个二代以上Ukey的临时工作公私钥对；(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；(3)用户领取二代以上Ukey，选定自己的工作私钥(保密字或者用户的生物信息)SKu，利用二代以上Ukey，安全生成对应的工作公钥PKu，构成如下信息IDu||PKu，以自己的工作私钥对IDu||PKu进行签名生成SIGN1；(4)用户以CFL证书生成中心的工作公钥对IDu||PKu||SIGN1||IDUkey||SIGN′进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对IDu||PKu||SIGN1||IDUkey进行的签名；(5)CFL证书生成中心收到IDu||PKu||SIGN1||IDUkey||SIGN′的加密信息后，解密得IDu||PKu||SIGN1||IDUkey||SIGN′，根据IDUkey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即Du＝IDu||PKu||SIGN1||IDC||SI...

【专利技术属性】
技术研发人员：范修斌，
申请(专利权)人：北京博文广成信息安全技术有限公司，
类型：发明
国别省市：北京,11