[发明专利]CFL应用去中心内部人员防范方法

摘要

在CFL应用去中心化认证中，还存在着内部人员泄密的问题。即内部人员说自己的Ukey丢失了，然后经由组织申请新的Ukey以及新的CFL证书。这时内部人员会应用原来的Ukey，各种验证都是通过的，因此存在信息安全问题；如果内部人员离岗，他使用的Ukey没有上交，同样也存在着信息安全问题。为此本发明给出了CFL应用去中心内部人员防范方法。该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的认证方法。

主权项

CFL应用去中心化内部人员防范方法，其特征在于：1)CFL应用去中心化内部人员防范方法流程：(1)CFL证书生成中心基于二代以上Ukey的标识IDUkey生成每个二代以上Ukey的临时工作公私钥对；(2)用户到CFL注册中心填写自己的基本信息，核实后，领取带有临时工作公私钥对的二代以上Ukey；(3)用户领取二代以上Ukey，由用户1到用户λ(＞1)作为用户的内部人员一起完成用户的工作，用户α，α＝1，2…，λ选定自己的工作私钥(保密字或者用户的生物信息)利用二代以上Ukey，安全生成对应的工作公钥以自己的工作私钥分别对进行签名生成SIGN11，…，SIGN1λ；(4)用户1到用户λ以CFL证书生成中心的工作公钥对进行加密发送给CFL证书生成中心，其中SIGN′是用户用Ukey临时工作私钥对进行的签名；(5)CFL证书生成中心收到用户的加密信息后，解密得根据IDUkey生成相应的临时公私钥对，利用临时公钥对SIGN′进行验证，验证通过后，生成静态CFL证书即其中IDC是CFL证书生成中心的为用户证书的管理信息，SIGN2是CFL证书生成中心为用户的CFL证书的CFL认证算法签名；(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户，用户验证CFL证书生成中心的签名，通过后，解密得用户自己的静态CFL证书。(7)用户的内部人员将各自的工作私钥备份，将二代以上Ukey中的工作私钥以及临时工作私钥删除，并将静态CFL证书存储在二代以上Ukey内；(8)用户在每次使用二代以上Ukey时，通过各个用户二代以上Ukey中的安全输入设备，输入自己的工作私钥，在使用CFL证书时，由静态CFL证书变成动态CFL证书，即其中T是用户使用时的时间戳或者是随机数，SIGN3k，k＝1，…，λ是各个用户利用自己的工作私钥对的签名；(9)第三方在验证用户的动态证书时，利用验证SIGN1k，SIGN3k，利用CFL认证算法验证SIGN2；(10)用户使用完毕CFL证书后，在Ukey中删除每个用户自己的工作私钥。2)该方法同样可以应用于PKI证书认证体制的去中心化应用，改进了传统的PKI证书的认证方法。