CN113114458A - 加密证书生成、解密方法及装置、加密证书系统 - Google Patents

加密证书生成、解密方法及装置、加密证书系统 Download PDF

Info

Publication number
CN113114458A
CN113114458A CN202110425071.6A CN202110425071A CN113114458A CN 113114458 A CN113114458 A CN 113114458A CN 202110425071 A CN202110425071 A CN 202110425071A CN 113114458 A CN113114458 A CN 113114458A
Authority
CN
China
Prior art keywords
certificate
encrypted
sensitive information
information attribute
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110425071.6A
Other languages
English (en)
Inventor
凌乐真
吴佳文
张洪斌
陆婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202110425071.6A priority Critical patent/CN113114458A/zh
Publication of CN113114458A publication Critical patent/CN113114458A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

本发明提供一种加密证书生成、解密方法及装置、加密证书系统,属于信息安全技术领域。该加密证书生成方法包括:接收来自加密证书发送装置的主题信息,从主题信息中提取身份信息属性对;将身份信息属性对划分为敏感信息属性对和非敏感信息属性对;随机生成主密钥,根据主密钥对敏感信息属性对进行加密;根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书至加密证书发送装置。本发明可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。

Description

加密证书生成、解密方法及装置、加密证书系统
技术领域
本发明涉及信息安全技术领域,具体地,涉及一种加密证书生成、解密方法及装置、加密证书系统。
背景技术
在互联网环境中,一些重要的活动需要参与交互的各方相互验证身份,而数字证书就是常用的验证工具之一。数字证书中会包含一些持有者的身份信息,这些信息经由权威的CA(Certificate Authority,证书授权)认证并由CA的私钥进行签名,各参与者可以使用C A的公钥进行验证。在银行业,尤其是支付、结算等领域,这些身份信息通常属于敏感数据需要进行保护,而身份认证时又可能需要用到这些信息中的一个或者多个。如何兼顾敏感信息的保护、身份认证的需求将是一项挑战。现有的一些方案是对证书中的敏感属性进行加密,在需要验证时再进行解密,但通常只使用一个密钥来加解密所有的敏感属性导致再揭示敏感属性(即解密)时会一次暴露所有的敏感属性,无法做到只揭示当前需要被验证的属性。
发明内容
本发明实施例的主要目的在于提供一种加密证书生成、解密方法及装置、加密证书系统,以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
为了实现上述目的,本发明实施例提供一种加密证书生成方法,包括:
接收来自加密证书发送装置的主题信息,从主题信息中提取身份信息属性对;
将身份信息属性对划分为敏感信息属性对和非敏感信息属性对;
随机生成主密钥,根据主密钥对敏感信息属性对进行加密;
根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书至加密证书发送装置。
本发明实施例还提供一种加密证书生成装置,包括:
属性对提取模块,用于接收来自加密证书发送装置的主题信息,从主题信息中提取身份信息属性对;
属性对划分模块,用于将身份信息属性对划分为敏感信息属性对和非敏感信息属性对;
加密模块,用于随机生成主密钥,根据主密钥对敏感信息属性对进行加密;
加密证书生成模块,用于根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书至加密证书发送装置。
本发明实施例的加密证书生成方法及装置将身份信息属性对划分为敏感信息属性对和非敏感信息属性对,通过随机生成的主密钥对敏感信息属性对进行加密,根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
本发明实施例还提供一种加密证书解密方法,包括:
将本地公钥发送至加密证书发送装置,以使加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥;
获取来自加密证书发送装置的目标敏感属性秘钥和加密证书;加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对;
根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值;
根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。
本发明实施例还提供一种加密证书解密装置,包括:
发送模块,用于将本地公钥发送至加密证书发送装置,以使加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥;
获取模块,用于获取来自加密证书发送装置的目标敏感属性秘钥和加密证书;加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对;
解密模块,用于根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值;
目标主题信息生成模块,用于根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。
本发明实施例的加密证书解密方法及装置先将本地公钥发送至加密证书发送装置以获取目标敏感属性秘钥和加密证书,再根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值,最后根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
本发明实施例还提供一种加密证书系统,包括:
如上所述的加密证书生成装置;
如上所述的加密证书解密装置;以及
加密证书发送装置,用于根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和来自加密证书解密装置的本地公钥生成目标敏感属性秘钥,发送目标敏感属性秘钥和加密证书至加密证书解密装置。
本发明实施例的加密证书系统可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中加密证书生成方法的流程图;
图2是本发明另一实施例中加密证书生成方法的流程图;
图3是本发明实施例中对敏感信息属性对进行加密的流程图;
图4是本发明一实施例中加密证书解密方法的流程图;
图5是本发明另一实施例中加密证书解密方法的流程图;
图6是本发明另一实施例中加密证书发送装置的执行流程图;
图7是本发明实施例中S303的流程图;
图8是本发明实施例中加密证书生成装置的结构框图;
图9是本发明实施例中加密证书解密装置的结构框图;
图10是本发明实施例中加密证书系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
鉴于现有技术通常只使用一个密钥来加解密所有的敏感属性导致再揭示敏感属性(即解密)时会一次暴露所有的敏感属性,无法做到只揭示当前需要被验证的属性,本发明实施例提供一种加密证书生成、解密方法及装置、加密证书系统,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。以下结合附图对本发明进行详细说明。
图1是本发明一实施例中加密证书生成方法的流程图。图2是本发明另一实施例中加密证书生成方法的流程图。如图1-图2所示,加密证书生成方法包括:
S101:接收来自加密证书发送装置的主题信息,从主题信息中提取身份信息属性对。
在执行S101之前,还包括:加载CA基础证书和证书授权私钥,选取一个公钥密码算法、一个安全的散列函数(散列算法)HASH(m)和一个对称密码算法,用密钥k加密明文m记为ENC(m,k),用密钥k解密密文c记为DEC(c,k)。将所选的公钥密码算法、HASH(m),ENC(m,k)以及DEC(c,k)对外公布。
其中,公钥密码算法加解密使用两个不同的密钥将加密功能和解密功能分开,一个是公钥可以公开,另一个是私钥为用户专有,通信时无需事先协商密钥就可以进行保密通信,而从公钥或密文分析出私钥在计算上是不可能的。
散列函数为将任意长度的输入通过散列算法变换成固定长度的输出,也称为散列值。本发明实施例中如无特别说明,则散列函数特指单向散列函数,即从根据输入很容易计算输出,但根据输出很难计算输入,这里所谓的“难”是指用计算机在计算上不可行。
其中,身份信息属性对可以用<ANi,AVi>来表示。ANi为第i个身份信息属性,AVi为第i个身份信息属性值。
S102:将身份信息属性对划分为敏感信息属性对和非敏感信息属性对。
其中,敏感信息属性对包括敏感信息属性和敏感信息属性值,可以用<ANx,AVx>来表示。ANx为第x个敏感信息属性,AVx为第x个敏感信息属性值。非敏感信息属性对包括非敏感信息属性和非敏感信息属性值,可以用<ANy,AVy>来表示。ANy为第y个非敏感信息属性,AVy为第y个非敏感信息属性值。
在执行S102之前,还包括:验证主题信息的有效性。当主题信息有效时,执行S102。
S103:随机生成主密钥,根据主密钥对敏感信息属性对进行加密。
在执行S03之前,还包括:随机生成公私钥对(PK,SK),并将PK写入CA基础证书。PK为公钥,SK为私钥。
图3是本发明实施例中对敏感信息属性对进行加密的流程图。如图3所示,根据主密钥对所述敏感信息属性对进行加密包括:
S201:根据主密钥对敏感信息属性进行加密,得到对称秘钥。
具体实施时,可以通过如下公式得到对称秘钥:
Kx=HASH(MK||ANx);
其中,Kx为第x个对称秘钥,MK为主密钥,||表示级联。本发明采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
S202:根据对称秘钥对敏感信息属性值进行加密,得到加密后的敏感信息属性值。
具体实施时,可以通过如下公式得到加密后的敏感信息属性值:
AVx′=ENC(AVx,Kx);
其中,AVx′为第x个加密后的敏感信息属性值。
S203:根据敏感信息属性和加密后的敏感信息属性值生成加密后的敏感信息属性对。
其中,加密后的敏感信息属性对为<ANx,AVx′>。
S104:根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书至加密证书发送装置。
具体实施时,可以根据写入PK后的CA基础证书、加密后的敏感信息属性对、非敏感信息属性对和证书要素(例如版本号、有效期和颁发者信息等)生成加密证书,根据证书授权私钥对加密证书进行数字签名;发送加密证书至持有者(加密证书发送装置),并通过安全途径将私钥SK和主密钥MK交给持有者。
其中,“数字签名”是通过某种密码运算生成一系列符号及代码组成电子密码进行签名来代替书写签名或印章,对于这种电子式的签名还可进行技术验证。ISO7498-2标准将其定义为:附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。
加密证书为数字证书,它是互联网通讯中标志通讯各方身份信息的一系列数据,用于在Internet上验证识别对方的身份,其作用类似于身份证,由证书授权(CA)中心发行。
图1所示的加密证书生成方法的执行主体可以为证书授权(CA)中心。由图1所示的流程可知,本发明实施例的加密证书生成方法将身份信息属性对划分为敏感信息属性对和非敏感信息属性对,通过随机生成的主密钥对敏感信息属性对进行加密,根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
图4是本发明一实施例中加密证书解密方法的流程图。图5是本发明另一实施例中加密证书解密方法的流程图。图6是本发明另一实施例中加密证书发送装置的执行流程图。如图4-图6所示,加密证书解密方法包括:
S301:将本地公钥发送至加密证书发送装置,以使加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥。
在执行S301之前,还包括:加密证书发送装置和作为执行主体的加密证书解密装置各自加载自身的证书C(加密证书发送装置的证书为加密证书CA,加密证书解密装置的证书为加密证书CB)、信任库和私钥SK(加密证书发送装置的私钥为SKA,加密证书解密装置的私钥为SKB)。加密证书发送装置还读取主密钥MK。
加密证书发送装置和加密证书解密装置判断各自的证书是否与各自的私钥匹配。当匹配时,加密证书解密装置开始监听端口,加密证书发送装置向加密证书解密装置发起连接。当连接成功时,加密证书发送装置获取加密证书CB,根据证书授权公钥对加密证书CB上的签名进行验证。当验证成功时,表明证书有效,此时加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥。
具体实施时,可以通过如下公式生成目标敏感属性秘钥:
Kj=HASH(MK||ANj);
Kj′=PKB[Kj];
其中,ANj为第j个目标敏感属性,Kj为第j个目标对称密钥,PKB为本地公钥,Kj′为第j个目标敏感属性秘钥,PKB[Kj]表示用本地公钥PKB加密Kj
S302:获取来自加密证书发送装置的目标敏感属性秘钥和加密证书。
其中,加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对。加密证书发送装置向加密证书解密装置有选择地揭示加密证书中的部分敏感属性,被揭露的部分是加密证书发送装置认为加密证书解密装置有权知道的那部分,而对于其他敏感属性,不会透露其他敏感属性给加密证书解密装置。
一实施例中,S302包括:当连接成功时,获取加密证书,根据证书授权公钥对加密证书上的签名进行验证;当验证成功时,表明证书有效,此时获取目标敏感属性秘钥。
S303:根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
图7是本发明实施例中S303的流程图。如图7所示,S303包括:
S401:根据本地私钥对目标敏感属性秘钥进行解密,得到目标对称密钥。
具体实施时,可以通过如下公式得到目标对称密钥:
Kj=SKB[Kj′];
其中,SKB[Kj′]表示用本地私钥SKB解密Kj′。
S402:根据目标对称密钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
具体实施时,可以通过如下公式得到目标敏感信息属性值:
AVj=DEC(AVj′,Kj);
其中,AVj为第j个目标敏感信息属性值,AVj′为第j个加密后的目标敏感信息属性值。
S304:根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。
执行S304之后,还包括:保存目标主题信息和加密证书。
图4所示的加密证书解密方法的执行主体可以为加密证书解密装置。由图4所示的流程可知,本发明实施例的加密证书解密方法先将本地公钥发送至加密证书发送装置以获取目标敏感属性秘钥和加密证书,再根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值,最后根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
基于同一发明构思,本发明实施例还提供了一种加密证书生成装置,由于该装置解决问题的原理与加密证书生成方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图8是本发明实施例中加密证书生成装置的结构框图。如图8所示,加密证书生成装置包括:
属性对提取模块,用于接收来自加密证书发送装置的主题信息,从主题信息中提取身份信息属性对;
属性对划分模块,用于将身份信息属性对划分为敏感信息属性对和非敏感信息属性对;
加密模块,用于随机生成主密钥,根据主密钥对敏感信息属性对进行加密;
加密证书生成模块,用于根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书至加密证书发送装置。
在其中一种实施例中,敏感信息属性对包括敏感信息属性和敏感信息属性值;
加密模块包括:
第一加密单元,用于根据主密钥对所述敏感信息属性进行加密,得到对称秘钥;
第二加密单元,用于根据对称秘钥对敏感信息属性值进行加密,得到加密后的敏感信息属性值;
属性对生成单元,用于根据敏感信息属性和加密后的敏感信息属性值生成加密后的敏感信息属性对。
综上,本发明实施例的加密证书生成装置将身份信息属性对划分为敏感信息属性对和非敏感信息属性对,通过随机生成的主密钥对敏感信息属性对进行加密,根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
基于同一发明构思,本发明实施例还提供了一种加密证书解密装置,由于该装置解决问题的原理与加密证书解密方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图9是本发明实施例中加密证书解密装置的结构框图。如图9所示,加密证书解密装置包括:
发送模块,用于将本地公钥发送至加密证书发送装置,以使加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥;
获取模块,用于获取来自加密证书发送装置的目标敏感属性秘钥和加密证书;加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对;
解密模块,用于根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值;
目标主题信息生成模块,用于根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。
在其中一种实施例中,解密模块包括:
第一解密单元,用于根据本地私钥对目标敏感属性秘钥进行解密,得到目标对称密钥;
第二解密单元,用于根据目标对称密钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
在其中一种实施例中,获取模块包括:
验证单元,用于获取加密证书,根据证书授权公钥对加密证书上的签名进行验证;
获取单元,用于当验证成功时,获取目标敏感属性秘钥。
综上,本发明实施例的加密证书解密装置先将本地公钥发送至加密证书发送装置以获取目标敏感属性秘钥和加密证书,再根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值,最后根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息,可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。
基于同一发明构思,本发明实施例还提供了一种加密证书系统。图10是本发明实施例中加密证书系统的结构框图。如图10所示,加密证书系统包括:
如上所述的加密证书生成装置;
如上所述的加密证书解密装置;以及
加密证书发送装置,用于根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和来自加密证书解密装置的本地公钥生成目标敏感属性秘钥,发送目标敏感属性秘钥和加密证书至加密证书解密装置。
本发明实施例的加密证书系统的具体流程如下:
1、加密证书发送装置发送主题信息至加密证书生成装置。
2、加密证书生成装置从主题信息中提取身份信息属性对,将身份信息属性对划分为敏感信息属性对和非敏感信息属性对;敏感信息属性对包括敏感信息属性和敏感信息属性值。
3、加密证书生成装置随机生成主密钥,根据主密钥对敏感信息属性进行加密,得到对称秘钥。
4、加密证书生成装置根据对称秘钥对敏感信息属性值进行加密,得到加密后的敏感信息属性值。
5、加密证书生成装置根据敏感信息属性和加密后的敏感信息属性值生成加密后的敏感信息属性对。
6、加密证书生成装置根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书,发送加密证书和主密钥至加密证书发送装置。
7、加密证书解密装置发送本地公钥至加密证书发送装置。
8、加密证书发送装置接收加密证书、主密钥和本地公钥,根据加密证书中的目标敏感属性、主密钥和本地公钥生成目标敏感属性秘钥,发送目标敏感属性秘钥和加密证书至加密证书解密装置。加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对。
9、加密证书解密装置获取加密证书,根据证书授权公钥对加密证书上的签名进行验证;当验证成功时,获取目标敏感属性秘钥。
10、加密证书解密装置根据本地私钥对目标敏感属性秘钥进行解密,得到目标对称密钥。
11、加密证书解密装置根据目标对称密钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
12、加密证书解密装置根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。
综上所述,本发明实施例提供的加密证书系统具有以下有益效果:
1、可以有选择地揭示数字证书中的敏感属性,仅对验证者揭示所需的敏感属性,验证者无法根据已知属性的解密密钥计算出其他未知属性的解密密钥。
2、密钥管理简单,数字证书中包含多个敏感属性并且每个敏感属性的加解密密钥均不相同,但持有者仅需维护一个主密钥即可,通过主密钥与属性名可以计算出对应的子密钥。
3、比较灵活,可选择的密码算法非常广泛,可以按需选择,例如公钥密码算法可以选择RSA、椭圆曲线和国产SM2算法等;散列算法可以选择MD5、SHA-1和国产SM3算法等;对称密码算法可以选择3DES、AES和国产SM4算法等。
4、不依赖于操作系统,在Linux、Windows、Android、Unix、IOS等各种操作系统均可使用。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元,或装置都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

Claims (11)

1.一种加密证书生成方法,其特征在于,包括:
接收来自加密证书发送装置的主题信息,从所述主题信息中提取身份信息属性对;
将所述身份信息属性对划分为敏感信息属性对和非敏感信息属性对;
随机生成主密钥,根据所述主密钥对所述敏感信息属性对进行加密;
根据加密后的敏感信息属性对和所述非敏感信息属性对生成加密证书,发送所述加密证书至所述加密证书发送装置。
2.根据权利要求1所述的加密证书生成方法,其特征在于,所述敏感信息属性对包括敏感信息属性和敏感信息属性值;
根据所述主密钥对所述敏感信息属性对进行加密包括:
根据所述主密钥对所述敏感信息属性进行加密,得到对称秘钥;
根据所述对称秘钥对所述敏感信息属性值进行加密,得到加密后的敏感信息属性值;
根据所述敏感信息属性和所述加密后的敏感信息属性值生成加密后的敏感信息属性对。
3.一种加密证书解密方法,其特征在于,包括:
将本地公钥发送至加密证书发送装置,以使所述加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和所述本地公钥生成目标敏感属性秘钥;
获取来自所述加密证书发送装置的目标敏感属性秘钥和加密证书;所述加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对;
根据本地私钥和所述目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值;
根据所述目标敏感信息属性值、所述目标敏感属性和所述非敏感信息属性对生成目标主题信息。
4.根据权利要求3所述的加密证书解密方法,其特征在于,根据本地私钥和所述目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值包括:
根据本地私钥对所述目标敏感属性秘钥进行解密,得到目标对称密钥;
根据所述目标对称密钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
5.根据权利要求3所述的加密证书解密方法,其特征在于,获取来自所述加密证书发送装置的目标敏感属性秘钥和加密证书包括:
获取加密证书,根据证书授权公钥对加密证书上的签名进行验证;
当验证成功时,获取所述目标敏感属性秘钥。
6.一种加密证书生成装置,其特征在于,包括:
属性对提取模块,用于接收来自加密证书发送装置的主题信息,从所述主题信息中提取身份信息属性对;
属性对划分模块,用于将所述身份信息属性对划分为敏感信息属性对和非敏感信息属性对;
加密模块,用于随机生成主密钥,根据所述主密钥对所述敏感信息属性对进行加密;
加密证书生成模块,用于根据加密后的敏感信息属性对和所述非敏感信息属性对生成加密证书,发送所述加密证书至所述加密证书发送装置。
7.根据权利要求6所述的加密证书生成装置,其特征在于,所述敏感信息属性对包括敏感信息属性和敏感信息属性值;
所述加密模块包括:
第一加密单元,用于根据所述主密钥对所述敏感信息属性进行加密,得到对称秘钥;
第二加密单元,用于根据所述对称秘钥对所述敏感信息属性值进行加密,得到加密后的敏感信息属性值;
属性对生成单元,用于根据所述敏感信息属性和所述加密后的敏感信息属性值生成加密后的敏感信息属性对。
8.一种加密证书解密装置,其特征在于,包括:
发送模块,用于将本地公钥发送至加密证书发送装置,以使所述加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和所述本地公钥生成目标敏感属性秘钥;
获取模块,用于获取来自所述加密证书发送装置的目标敏感属性秘钥和加密证书;所述加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对;
解密模块,用于根据本地私钥和所述目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值;
目标主题信息生成模块,用于根据所述目标敏感信息属性值、所述目标敏感属性和所述非敏感信息属性对生成目标主题信息。
9.根据权利要求8所述的加密证书解密装置,其特征在于,所述解密模块包括:
第一解密单元,用于根据本地私钥对所述目标敏感属性秘钥进行解密,得到目标对称密钥;
第二解密单元,用于根据所述目标对称密钥对加密后的目标敏感信息属性值进行解密,得到目标敏感信息属性值。
10.根据权利要求8所述的加密证书解密装置,其特征在于,所述获取模块包括:
验证单元,用于获取加密证书,根据证书授权公钥对加密证书上的签名进行验证;
获取单元,用于当验证成功时,获取所述目标敏感属性秘钥。
11.一种加密证书系统,其特征在于,包括:
权利要求6-7任一权利要求所述的加密证书生成装置;
权利要求8-10任一权利要求所述的加密证书解密装置;以及
加密证书发送装置,用于根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和来自加密证书解密装置的本地公钥生成目标敏感属性秘钥,发送所述目标敏感属性秘钥和所述加密证书至所述加密证书解密装置。
CN202110425071.6A 2021-04-20 2021-04-20 加密证书生成、解密方法及装置、加密证书系统 Pending CN113114458A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110425071.6A CN113114458A (zh) 2021-04-20 2021-04-20 加密证书生成、解密方法及装置、加密证书系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110425071.6A CN113114458A (zh) 2021-04-20 2021-04-20 加密证书生成、解密方法及装置、加密证书系统

Publications (1)

Publication Number Publication Date
CN113114458A true CN113114458A (zh) 2021-07-13

Family

ID=76718892

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110425071.6A Pending CN113114458A (zh) 2021-04-20 2021-04-20 加密证书生成、解密方法及装置、加密证书系统

Country Status (1)

Country Link
CN (1) CN113114458A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726544A (zh) * 2022-04-18 2022-07-08 北京数字认证股份有限公司 获取数字证书的方法以及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180219678A1 (en) * 2017-01-31 2018-08-02 Arris Enterprises Llc Origin certificate based online certificate issuance
CN109033855A (zh) * 2018-07-18 2018-12-18 腾讯科技(深圳)有限公司 一种基于区块链的数据传输方法、装置及存储介质
CN109450633A (zh) * 2018-09-25 2019-03-08 平安科技(深圳)有限公司 信息加密发送方法及装置、电子设备、存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180219678A1 (en) * 2017-01-31 2018-08-02 Arris Enterprises Llc Origin certificate based online certificate issuance
CN109033855A (zh) * 2018-07-18 2018-12-18 腾讯科技(深圳)有限公司 一种基于区块链的数据传输方法、装置及存储介质
CN109450633A (zh) * 2018-09-25 2019-03-08 平安科技(深圳)有限公司 信息加密发送方法及装置、电子设备、存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726544A (zh) * 2022-04-18 2022-07-08 北京数字认证股份有限公司 获取数字证书的方法以及系统
CN114726544B (zh) * 2022-04-18 2024-02-09 北京数字认证股份有限公司 获取数字证书的方法以及系统

Similar Documents

Publication Publication Date Title
RU2718689C2 (ru) Управление конфиденциальной связью
US10708072B2 (en) Mutual authentication of confidential communication
AU2005223902B2 (en) Authentication between device and portable storage
JP5563067B2 (ja) 試験装置によってセキュアドチップへのアクセスを認証する方法
CN101828357B (zh) 用于证书提供的方法和装置
KR101863953B1 (ko) 전자 서명 서비스 시스템 및 방법
CN108768664A (zh) 密钥管理方法、装置、系统、存储介质和计算机设备
US9165148B2 (en) Generating secure device secret key
JP4107420B2 (ja) 安全なバイオメトリック認証/識別方法、バイオメトリックデータ入力モジュールおよび検証モジュール
KR101282972B1 (ko) 디바이스와 휴대형 저장장치와의 상호인증
CN100437422C (zh) 软件使用权加密保护的系统和方法
CN113114458A (zh) 加密证书生成、解密方法及装置、加密证书系统
KR101933090B1 (ko) 전자 서명 제공 방법 및 그 서버
JP2011091517A (ja) サインクリプションシステムおよびサインクリプション生成方法
JP2010028689A (ja) 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム
US8307098B1 (en) System, method, and program for managing a user key used to sign a message for a data processing system
US20200358604A1 (en) Apparatus and method for sharing data
JP4198509B2 (ja) 相互認証方法
EP3737033B1 (en) Apparatus and method for sharing data
KR20180089951A (ko) 전자화폐 거래 방법 및 시스템
CN111641507B (zh) 一种软件通信体系结构组件注册管理方法和装置
JP2013073299A (ja) 情報処理システム
CN116680710A (zh) 一种密码机密钥认证方法及系统
KR20230080676A (ko) 고속 블록체인 네트워크를 이용한 did 관리 시스템 및 방법
CN116614219A (zh) 安全数据烧录方法、安全模块、定制装置以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210713

RJ01 Rejection of invention patent application after publication