本發明公開了一種生成核心身份數字證書和身份側面數字證書的方法，包括S1 CA認證機構和指定凈化方協商，使用可凈化簽名密鑰生成算法產生兩對相關聯的公私密鑰對，一對由CA認證機構持有，用來進行核心身份證書簽名和驗證，另一對由凈化方持有，用于凈化操作和對凈化后重新生成的簽名進行驗證；S2用戶向CA認證機構申請頒發核心身份數字證書；S3用戶根據核心身份數字證書向CA認證機構指定的凈化方申請身份側面數字證書。本發明降低CA認證機構重復頒發數字證書的審核成本，并提高對隱私信息的保護。

技術領域

本發明涉及數字證書領域，具體涉及一種生成核心身份數字證書和身份側面數字證書的方法。

背景技術

數字身份是人們參與網絡活動的真實身份的代理，其具有多種表現形式，如傳統的用戶名/密碼機制，人的生物特征，物理令牌和數字證書。其中數字證書是一種安全性較高的認證方式，但在使用過程中，由于每產生一個新的數字證書都要經過CA認證機構的審核簽名，成本較高，因此一般都會避免頻繁生成新的數字證書。但在考慮到隱私問題的情況下，用戶有時希望能針對不同的應用場景產生包含不同身份屬性信息的數字證書，來避免潛在窺探者根據用戶的數字身份所參與的網絡活動來勾勒出用戶的行為肖像，從而暴露用戶隱私的問題。如果用戶針對每一個應用場景都向CA認證機構申請一個新的數字身份CA證書，會導致CA認證機構對用戶的很多身份屬性信息進行重復審核，極大的浪費了資源，同時也降低了用戶體驗。用戶需要多種身份側面數字證書這種需求與數字證書頒發的高成本產生了矛盾，因此限制了數字證書的使用范圍，也給用戶的隱私留下了隱患。

身份側面(Identity Facet)是指一個人作為某一個角色的身份屬性的子集。比如一個用戶在作為特定消費者(購買煙酒等)時，只需要提供年齡屬性來證明自己符合購買的要求，而不需要暴露其它諸如性別、聯系方式等隱私信息。因此年齡屬性和其它一些必要的屬性就構成了該用戶的一個身份側面。

非可比性公鑰(Incomparable Public Key)算法是Waters和Felten等人在2003年提出來的一種公鑰算法。該算法設計初衷是為了解決組播應用場景下接收者的匿名性問題。該算法可生成一個私鑰和與之對應的一組公鑰。該組公鑰中任何一個公鑰都可以和私鑰構成經典非對稱加密算法中的密鑰對，即任何一個公鑰加密的消息都可以使用同一個私鑰進行解密。這種算法的另一個特性是給定若干不同的公鑰，除了私鑰擁有者外任何人都無法確定這些公鑰是否對應唯一的私鑰。

可凈化簽名方案(Sanitizable Signature Scheme)是Giuseppe和Daniel等人在2005年提出的一種新型簽名方案。它允許被授權的凈化者在受限的條件下對已經簽名的文件進行修改，并重新生成可以被成功驗證的簽名。在凈化過程中，凈化者不需要與原簽名者進行交互。

發明內容

為了克服現有技術存在的缺點與不足，本發明提供一種生成核心身份數字證書和身份側面數字證書的方法，以降低CA認證機構重復頒發數字證書的審核成本，并提高對隱私信息的保護。

本發明采用如下技術方案：

一種生成核心身份數字證書和身份側面數字證書的方法，包括如下步驟：

S1CA認證機構和指定凈化方協商，使用可凈化簽名密鑰生成算法產生兩對相關聯的公私密鑰對，一對由CA認證機構持有，用來進行核心身份證書簽名和驗證，另一對由凈化方持有，用于凈化操作和對凈化后重新生成的簽名進行驗證；

S2用戶向CA認證機構申請頒發核心身份數字證書；

S3用戶根據核心身份數字證書向CA認證機構指定的凈化方申請身份側面數字證書。

所述S2具體為：

S2.1用戶生成一個私鑰和與之對應的一組公鑰，其中私鑰由用戶妥善保管；