[发明专利]CFL应用去中心内部人员防范方法

说明书

在CFL应用去中心化认证中，还存在着内部人员泄密的问题。即内部人员说自己的Ukey丢失了，然后经由组织申请新的Ukey以及新的CFL证书。这时内部人员会应用原来的Ukey，各种验证都是通过的，因此存在信息安全问题；如果内部人员离岗，他使用的Ukey没有上交，同样也存在着信息安全问题。为此本发明给出了CFL应用去中心内部人员防范方法。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的认证方法。

技术领域

本发明属于信息安全技术领域，涉及网络安全。

背景技术

在CFL应用去中心化认证中，还存在着内部人员泄密的问题。即内部人员说自己的Ukey丢失了，然后经由组织申请新的Ukey以及新的CFL证书。这时，内部人员会应用原来的Ukey，各种验证都是通过的，因此存在信息安全问题；如果内部人员离岗，他使用的Ukey没有上交，同样也存在着信息安全问题。为此我们给出了CFL应用去中心内部人员防范方法。

发明内容

如果CFL的用户是一个单位，则单位中的工作人员都称为用户的内部人员。在等保三级以上信息安全管理中，要求安全员、审计员以及系统员之间是三权分立的。CFL应用去中心内部人员防范方法，也是基于三权分立给出的，即多个内部人员使用同一个Ukey时，分别使用自己的工作私钥，并进行多次动态签名的动态认证方法。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的认证方法。

具体实施方式

CFL应用去中心化内部人员防范方法流程：

(1)CFL证书生成中心基于二代以上Ukey的标识ID_Ukey生成每个二代以上Ukey的临时工作公私钥对；

(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；

(3)用户领取二代以上Ukey，由用户1到用户λ(＞1)作为用户的内部人员一起完成用户的工作，用户α，α＝1，2…，λ选定自己的工作私钥(保密字或者用户的生物信息)利用二代以上Ukey，安全生成对应的工作公钥以自己的工作私钥分别对进行签名生成SIGN₁₁，…，SIGN_1λ；

(4)用户以CFL证书生成中心的工作公钥对

进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对

进行的签名；

(5)CFL证书生成中心收到用户的加密信息后，解密得

根据ID_Ukey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即

其中ID_C是CFL证书生成中心的为用户证书的管理信息，SIGN₂是CFL证书生成中心为用户的CFL证书的CFL认证算法签名；

(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户，用户验证CFL证书生成中心的签名，通过后，解密得用户自己的静态CFL证书。

(7)用户的内部人员将各自的工作私钥备份，将二代以上Ukey中的工作私钥以及临时工作私钥删除，并将静态CFL证书存储在二代以上Ukey内；

(8)用户在每次使用二代以上Ukey时，通过各个用户二代以上Ukey中的安全输入设备，输入自己的工作私钥，在使用CFL证书时，由静态CFL证书变成动态CFL证书，即