[发明专利]一种生成核心身份数字证书和身份侧面数字证书的方法

说明书

本发明公开了一种生成核心身份数字证书和身份侧面数字证书的方法，包括S1 CA认证机构和指定净化方协商，使用可净化签名密钥生成算法产生两对相关联的公私密钥对，一对由CA认证机构持有，用来进行核心身份证书签名和验证，另一对由净化方持有，用于净化操作和对净化后重新生成的签名进行验证；S2用户向CA认证机构申请颁发核心身份数字证书；S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。本发明降低CA认证机构重复颁发数字证书的审核成本，并提高对隐私信息的保护。

技术领域

本发明涉及数字证书领域，具体涉及一种生成核心身份数字证书和身份侧面数字证书的方法。

背景技术

数字身份是人们参与网络活动的真实身份的代理，其具有多种表现形式，如传统的用户名/密码机制，人的生物特征，物理令牌和数字证书。其中数字证书是一种安全性较高的认证方式，但在使用过程中，由于每产生一个新的数字证书都要经过CA认证机构的审核签名，成本较高，因此一般都会避免频繁生成新的数字证书。但在考虑到隐私问题的情况下，用户有时希望能针对不同的应用场景产生包含不同身份属性信息的数字证书，来避免潜在窥探者根据用户的数字身份所参与的网络活动来勾勒出用户的行为肖像，从而暴露用户隐私的问题。如果用户针对每一个应用场景都向CA认证机构申请一个新的数字身份CA证书，会导致CA认证机构对用户的很多身份属性信息进行重复审核，极大的浪费了资源，同时也降低了用户体验。用户需要多种身份侧面数字证书这种需求与数字证书颁发的高成本产生了矛盾，因此限制了数字证书的使用范围，也给用户的隐私留下了隐患。

身份侧面(Identity Facet)是指一个人作为某一个角色的身份属性的子集。比如一个用户在作为特定消费者(购买烟酒等)时，只需要提供年龄属性来证明自己符合购买的要求，而不需要暴露其它诸如性别、联系方式等隐私信息。因此年龄属性和其它一些必要的属性就构成了该用户的一个身份侧面。

非可比性公钥(Incomparable Public Key)算法是Waters和Felten等人在2003年提出来的一种公钥算法。该算法设计初衷是为了解决组播应用场景下接收者的匿名性问题。该算法可生成一个私钥和与之对应的一组公钥。该组公钥中任何一个公钥都可以和私钥构成经典非对称加密算法中的密钥对，即任何一个公钥加密的消息都可以使用同一个私钥进行解密。这种算法的另一个特性是给定若干不同的公钥，除了私钥拥有者外任何人都无法确定这些公钥是否对应唯一的私钥。

可净化签名方案(Sanitizable Signature Scheme)是Giuseppe和Daniel等人在2005年提出的一种新型签名方案。它允许被授权的净化者在受限的条件下对已经签名的文件进行修改，并重新生成可以被成功验证的签名。在净化过程中，净化者不需要与原签名者进行交互。

发明内容

为了克服现有技术存在的缺点与不足，本发明提供一种生成核心身份数字证书和身份侧面数字证书的方法，以降低CA认证机构重复颁发数字证书的审核成本，并提高对隐私信息的保护。

本发明采用如下技术方案：

一种生成核心身份数字证书和身份侧面数字证书的方法，包括如下步骤：

S1CA认证机构和指定净化方协商，使用可净化签名密钥生成算法产生两对相关联的公私密钥对，一对由CA认证机构持有，用来进行核心身份证书签名和验证，另一对由净化方持有，用于净化操作和对净化后重新生成的签名进行验证；

S2用户向CA认证机构申请颁发核心身份数字证书；

S3用户根据核心身份数字证书向CA认证机构指定的净化方申请身份侧面数字证书。

所述S2具体为：

S2.1用户生成一个私钥和与之对应的一组公钥，其中私钥由用户妥善保管；