[发明专利]加密证书生成、解密方法及装置、加密证书系统

说明书

本发明提供一种加密证书生成、解密方法及装置、加密证书系统，属于信息安全技术领域。该加密证书生成方法包括：接收来自加密证书发送装置的主题信息，从主题信息中提取身份信息属性对；将身份信息属性对划分为敏感信息属性对和非敏感信息属性对；随机生成主密钥，根据主密钥对敏感信息属性对进行加密；根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书，发送加密证书至加密证书发送装置。本发明可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。

技术领域

本发明涉及信息安全技术领域，具体地，涉及一种加密证书生成、解密方法及装置、加密证书系统。

背景技术

在互联网环境中，一些重要的活动需要参与交互的各方相互验证身份，而数字证书就是常用的验证工具之一。数字证书中会包含一些持有者的身份信息，这些信息经由权威的CA(Certificate Authority，证书授权)认证并由CA的私钥进行签名，各参与者可以使用C A的公钥进行验证。在银行业，尤其是支付、结算等领域，这些身份信息通常属于敏感数据需要进行保护，而身份认证时又可能需要用到这些信息中的一个或者多个。如何兼顾敏感信息的保护、身份认证的需求将是一项挑战。现有的一些方案是对证书中的敏感属性进行加密，在需要验证时再进行解密，但通常只使用一个密钥来加解密所有的敏感属性导致再揭示敏感属性(即解密)时会一次暴露所有的敏感属性，无法做到只揭示当前需要被验证的属性。

发明内容

本发明实施例的主要目的在于提供一种加密证书生成、解密方法及装置、加密证书系统，以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。

为了实现上述目的，本发明实施例提供一种加密证书生成方法，包括：

接收来自加密证书发送装置的主题信息，从主题信息中提取身份信息属性对；

将身份信息属性对划分为敏感信息属性对和非敏感信息属性对；

随机生成主密钥，根据主密钥对敏感信息属性对进行加密；

根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书，发送加密证书至加密证书发送装置。

本发明实施例还提供一种加密证书生成装置，包括：

属性对提取模块，用于接收来自加密证书发送装置的主题信息，从主题信息中提取身份信息属性对；

属性对划分模块，用于将身份信息属性对划分为敏感信息属性对和非敏感信息属性对；

加密模块，用于随机生成主密钥，根据主密钥对敏感信息属性对进行加密；

加密证书生成模块，用于根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书，发送加密证书至加密证书发送装置。

本发明实施例的加密证书生成方法及装置将身份信息属性对划分为敏感信息属性对和非敏感信息属性对，通过随机生成的主密钥对敏感信息属性对进行加密，根据加密后的敏感信息属性对和非敏感信息属性对生成加密证书，可以在兼顾密钥管理便捷性的同时有选择地揭示数字证书的敏感属性。

本发明实施例还提供一种加密证书解密方法，包括：

将本地公钥发送至加密证书发送装置，以使加密证书发送装置根据加密证书中的目标敏感属性、来自加密证书生成装置的主密钥和本地公钥生成目标敏感属性秘钥；

获取来自加密证书发送装置的目标敏感属性秘钥和加密证书；加密证书还包括加密后的目标敏感信息属性值和非敏感信息属性对；

根据本地私钥和目标敏感属性秘钥对加密后的目标敏感信息属性值进行解密，得到目标敏感信息属性值；

根据目标敏感信息属性值、目标敏感属性和非敏感信息属性对生成目标主题信息。