CN106789010B - Cfl去中心化应用方法 - Google Patents

Abstract

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化应用方法。通过二代以上Ukey的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。

Description

CFL去中心化应用方法

技术领域

本发明属于信息安全技术领域，涉及网络安全。

背景技术

由于PKI证书认证方法在传统应用中都是基于CA中心的，也就是说，PKI证书的传统应用都是没有去中心化的。这种传统的应用方式，虽然能够解决证书的挂失问题带来的信息安全风险，但是这种每次证书应用都由CA中心完成的应用方式，使得面向进程认证时，因进程延迟而无法应用，这限制了传统PKI认证方法的应用的深度以及广度，例如操作系统进程认证、数据库访问进程认证。同时，也因为所有的认证都依赖CA中心，这需要CA必须具有超算能力，及时完成大量的认证需求，因此这种PKI证书传统认证方式，能耗大，建设投资大，运维管理费用高。为此，研究去中心化的直接认证方法，具有着重要的理论价值和实践价值。

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化的认证方法，按照本方法，同样可以给出PKI证书认证体制去中心化的认证方法，改进了传统的PKI证书的应用依赖CA中心的认证方法。

发明内容

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化应用方法。通过二代以上Ukey(含二代Ukey，下同)的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。

具体实施方式

CFL去中心化应用方法流程：

(1)CFL证书生成中心基于二代以上Ukey的标识ID_Ukey生成每个二代以上Ukey的临时工作公私钥对；

(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；

(3)用户领取二代以上Ukey，选定自己的工作私钥(保密字或者用户的生物信息)SK_u，利用二代以上Ukey，安全生成对应的工作公钥PK_u，构成如下信息ID_u||PK_u，以自己的工作私钥对ID_u||PK_u进行签名生成SIGN₁；

(4)用户以CFL证书生成中心的工作公钥对ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对ID_u||PK_u||SIGN₁||ID_Ukey进行的签名；

(5)CFL证书生成中心收到ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′的加密信息后，解密得ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′，根据ID_Ukey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即C_u＝ID_u||PK_u||SIGN₁||ID_C||SIGN₂，其中ID_C是CFL证书生成中心的为用户证书的管理信息，SIGN₂是CFL证书生成中心为用户的CFL证书的CFL认证算法签名；

(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户，用户验证CFL证书生成中心的签名，通过后，解密得用户自己的静态CFL证书。

(7)用户将工作私钥备份，将二代以上Ukey中的工作私钥以及临时工作私钥删除，并将静态CFL证书存储在二代以上Ukey内；

(8)用户在每次使用二代以上Ukey时，通过二代以上Ukey中的安全输入设备，输入自己的工作私钥，在使用CFL证书时，由静态CFL证书变成动态CFL证书，即C_D＝C_u||T||SIGN₃＝ID_u||PK_u||SIGN₁||ID_C||SIGN₂||T||SIGN₃，其中T是用户使用时的时间戳或者是随机数，SIGN₃是用户利用自己的工作私钥对ID_u||PK_u||ID_C||T的签名；

(9)第三方在验证用户的动态证书时，利用PK_u验证SIGN₁，SIGN₃，利用CFL认证算法验证SIGN₂；

(10)用户使用完毕CFL证书后，在Ukey中删除用户自己的工作私钥。

CFL去中心化应用方法安全性分析：

PKI证书的传统的应用方式是指Ukey中一直含有用户的工作私钥的，我们有下面的结论：

命题1在PKI证书的传统的应用方式中，若该用户的Ukey丢失，则该用户必须对该Ukey进行挂失，否则存在信息安全问题。

证明因为该Ukey中含有该用户的工作私钥，PKI证书信息，因此该Ukey的捡到者可以冒充该用户与验证方进行证书交换，且证书的验证是通过的，因此存在信息安全问题。

命题2在PKI证书的传统的应用方式中，验证方只有在用户的证书在CA中心被证明没有挂失登记后，才可能效性。

证明若该PKI证书没有在CA中心证明挂失登记，说明该用户的Ukey可能没有丢失，因此才可能有效。

显然我们易得：

命题3若用户Ukey丢失了，而验证方不知道用户已经挂失该Ukey，直接对用户的PKI证书进行验证，因此存在信息安全问题。

命题1、命题2、命题3说明了传统的PKI证书使用方法必须依靠CA中心。从而不适应当前实践中迫切需要的直接进程认证。

本发明给出的CFL去中心化应用方法可以在实际中去中心化。我们有下述命题：

命题4本发明给出的CFL去中心化应用方法是安全的。

证明在二代以上Ukey丢失后，由于捡到者并不知道用户的工作私钥，因此捡到者无法冒充该用户，所以本发明应用去中心化是安全的。

显然我们有如下推论：

命题5本发明给出的CFL去中心化方法，同样可以适用于PKI证书的使用，从而可以改进PKI证书的传统应用方法，进而可以达到应用去中心化。

由命题1至命题5可知，本发明可以应用去中心化，因此可以做到直接进程认证，从而可以基于本发明支持安全操作系统、安全数据库、安全软件、安全计算机、安全网络的建设。

Claims (1)

1.CFL去中心化应用方法，其特征在于：

1)CFL去中心化应用方法流程：

(1)CFL证书生成中心基于二代以上Ukey的标识ID_Ukey生成每个二代以上Ukey的临时工作公私钥对；

(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；

(3)用户领取二代以上Ukey，选定自己的工作私钥SK_u，该工作私钥是保密字或者用户的生物信息，利用二代以上Ukey，安全生成对应的工作公钥PK_u，并基于用户的标识ID_u，构成如下信息ID_u||PK_u，以自己的工作私钥对ID_u||PK_u进行签名生成SIGN₁；

(4)用户以CFL证书生成中心的工作公钥对ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对ID_u||PK_u||SIGN₁||ID_Ukey进行的签名；

(5)CFL证书生成中心收到ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′的加密信息后，解密得ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′，根据ID_Ukey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即D_u＝ID_u||PK_u||SIGN₁||ID_C||SIGN₂，其中ID_C是CFL证书生成中心的为用户证书的管理信息，SIGN₂是CFL证书生成中心为用户的CFL证书的CFL认证算法签名；

(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户，用户验证CFL证书生成中心的签名，通过后，解密得用户自己的静态CFL证书；

(7)用户将工作私钥备份，将二代以上Ukey中的工作私钥以及临时工作私钥删除，并将静态CFL证书存储在二代以上Ukey内；

(8)用户在每次使用二代以上Ukey时，通过二代以上Ukey中的安全输入设备，输入自己的工作私钥，在使用CFL证书时，由静态CFL证书变成动态CFL证书，即C_D＝D_u||T||SIGN₃＝ID_u||PK_u||SIGN₁||ID_C||SIGN₂||T||SIGN₃，其中T是用户使用时的时间戳或者是随机数，SIGN₃是用户利用自己的工作私钥对ID_u||PK_u||ID_C||T||的签名；

(9)第三方在验证用户的动态证书时，利用PK_u验证SIGN₁，SIGN₃，利用CFL认证算法验证SIGN₂；

(10)用户使用完毕CFL证书后，在Ukey中删除用户自己的工作私钥；

2)该方法同样可以应用于PKI证书认证体制的去中心化应用。