[发明专利]CFL去中心化应用方法

说明书

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化应用方法。通过二代以上Ukey的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。

技术领域

本发明属于信息安全技术领域，涉及网络安全。

背景技术

由于PKI证书认证方法在传统应用中都是基于CA中心的，也就是说，PKI证书的传统应用都是没有去中心化的。这种传统的应用方式，虽然能够解决证书的挂失问题带来的信息安全风险，但是这种每次证书应用都由CA中心完成的应用方式，使得面向进程认证时，因进程延迟而无法应用，这限制了传统PKI认证方法的应用的深度以及广度，例如操作系统进程认证、数据库访问进程认证。同时，也因为所有的认证都依赖CA中心，这需要CA必须具有超算能力，及时完成大量的认证需求，因此这种PKI证书传统认证方式，能耗大，建设投资大，运维管理费用高。为此，研究去中心化的直接认证方法，具有着重要的理论价值和实践价值。

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化的认证方法，按照本方法，同样可以给出PKI证书认证体制去中心化的认证方法，改进了传统的PKI证书的应用依赖CA中心的认证方法。

发明内容

在基于标识的证书认证技术CFL的基础上，本发明给出了CFL去中心化应用方法。通过二代以上Ukey(含二代Ukey，下同)的工作私钥安全输入，基于时间戳或者随机数动态签名，构成CFL动态证书，在Ukey使用完毕后，删除工作私钥。该方法不怕Ukey被盗或者丢失，且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的应用依赖CA中心的认证方法。

具体实施方式

CFL去中心化应用方法流程：

(1)CFL证书生成中心基于二代以上Ukey的标识ID_Ukey生成每个二代以上Ukey的临时工作公私钥对；

(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；

(3)用户领取二代以上Ukey，选定自己的工作私钥(保密字或者用户的生物信息)SK_u，利用二代以上Ukey，安全生成对应的工作公钥PK_u，构成如下信息ID_u||PK_u，以自己的工作私钥对ID_u||PK_u进行签名生成SIGN₁；

(4)用户以CFL证书生成中心的工作公钥对ID_u||PK_u||SIGN₁||ID_Ukey||SIGN′进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对ID_u||PK_u||SIGN₁||ID_Ukey进行的签名；