密碼證書重發(fā)的制作方法
【專利說明】密碼證書重發(fā)
[0001] 本發(fā)明一般地涉及密碼證書的重發(fā)。提供了用于實(shí)現(xiàn)數(shù)據(jù)處理系統(tǒng)中的密碼證書 的重發(fā)的方法��,以及用于此方法中的裝置及計算機(jī)程序�。
[0002] 密碼證書在基于密碼的應(yīng)用中被廣泛應(yīng)用,以認(rèn)證可能需要由證書持有者驗(yàn)證的 信息���。密碼證書本質(zhì)上是通過加密處理產(chǎn)生的證書�����。證書發(fā)布實(shí)體通過對所關(guān)注信息進(jìn)行 適當(dāng)?shù)尿?yàn)證��,將證書發(fā)布至用戶�����。此信息被加密地編碼在證書中以認(rèn)證該信息的正確性���。特 別地����,要被認(rèn)證的信息可由隨后通過密碼算法被編碼在證書中的某函數(shù)值表示���。由證書認(rèn) 證的信息的項(xiàng)目通常被稱為"屬性"�����。這樣的屬性可表示信息的任何項(xiàng)目�,例如�����,與資產(chǎn)���、質(zhì) 量���、特征有關(guān)的項(xiàng)目或其它屬于、描述或通過其它方式與證書持有者相關(guān)的項(xiàng)目����,關(guān)于這些 項(xiàng)目可能需要作出證明。然后��,證書持有者通過多種密碼證明協(xié)議,可使用該證書為驗(yàn)證實(shí) 體就編碼在證書中的信息作出證明�����。證書應(yīng)用的特別示例包括政府或認(rèn)證個人或其它安全 敏感信息的電子ID卡�,關(guān)于這些信息用戶可能需要給出證明以獲得對服務(wù)、設(shè)施或其它由 認(rèn)證者控制的資源的訪問權(quán)限�����。
[0003] 密碼證書通常與保密密碼密鑰綁定�,使得對密碼證明協(xié)議中的證書使用需要關(guān)于 該密鑰的知識�����。出于安全原因���,密鑰通常存儲在防篡改處理設(shè)備中�,防篡改處理設(shè)備能夠在 密碼密鑰之上執(zhí)行運(yùn)算以執(zhí)行證明協(xié)議但并不會提供對"裸"密鑰本身的直接訪問權(quán)限���。這 樣的防篡改設(shè)備利用某種形式的安全機(jī)制禁止對該密鑰的未經(jīng)授權(quán)的訪問�。例如�,該密鑰 可存儲在嵌入在智能卡����、USB(通用串行總線)加密狗(Dongle)或其它硬件設(shè)備中的安全 芯片的存儲中��。此安全措施防止攻擊者竊取該密鑰并克隆該設(shè)備���,并且確保用戶當(dāng)使用證 書時擁有對設(shè)備的物理訪問權(quán)限��。但是同時��,此機(jī)制也阻止了善意用戶為了當(dāng)設(shè)備損壞�、丟 失或失竊時能恢復(fù)而制作存儲的密鑰的備份拷貝����。通常,用戶必須獲得具有新的密鑰的新 的設(shè)備�,以及在理想的情況下,廢除舊密鑰以防止對舊設(shè)備的非法使用����。這當(dāng)然意味著用戶 證書變得不可用,原因是用戶證書與失去的設(shè)備中的舊密鑰綁定����。任何所謂的與證書相關(guān) 的"狀態(tài)信息"���,例如已經(jīng)由舊設(shè)備積累的關(guān)于設(shè)備狀態(tài)的被信任的聲明、屬性�、交易歷史, 或其它被信任的信息����,也一樣丟失。
[0004] 期望允許用戶從上述場景中恢復(fù)�����。尤其期望允許向用戶重發(fā)證書用于新設(shè)備���,同 時重復(fù)所有相關(guān)的認(rèn)證程序,而不需要初始的證書發(fā)布過程�。但是這帶來了關(guān)于被證書所 認(rèn)證的信息的安全和隱私的重大問題。特別地�,通常需要以避免不必要的信息披露的方式 發(fā)布和使用證書。更具體地���,證書通常以這樣的方式在證明協(xié)議中被發(fā)布和使用�����,即����,不會 有比為了特定的當(dāng)前目的而需要被證明的信息更多的信息被披露給發(fā)布方/驗(yàn)證方。例 如���,可以在不向發(fā)布方披露必須編碼在證書中的屬性的情況下發(fā)布所謂的"匿名證書"��。發(fā) 布方可以基于零知識證明�,即這些屬性也包含在另一與用戶的密鑰綁定的有效證書中�,對 證書中的屬性進(jìn)行盲認(rèn)證。為此����,所關(guān)注的屬性可通過所謂的"盲"形式呈現(xiàn)給發(fā)布方,基 于此�����,通過將屬性編碼在密碼函數(shù)中而隱藏屬性�����。通過這樣的方式,可以為同樣的密鑰發(fā)布 新的����、輔助的證書作為用戶已經(jīng)持有的已有的、首要的證書�����。此程序依賴于用戶對密鑰的占 有����,對于發(fā)布過程來說,密鑰被固有地延續(xù)至輔助證書中從而首要和輔助證書與相同的密 鑰綁定是至關(guān)重要的�����。
[0005] 存在一個問題�����,即如何進(jìn)行證書的重發(fā)����,而不用披露隱私信息�����,并且也不用占有相 關(guān)的密鑰。期望允許在這樣的情形下為用戶重發(fā)證書��,同時保持適當(dāng)程度的隱私性�。
[0006] 本發(fā)明一個方面的一個實(shí)施例提供了用于實(shí)現(xiàn)由數(shù)據(jù)處理系統(tǒng)的證書發(fā)布方重 發(fā)用于認(rèn)證一系列屬性的密碼證書的方法,該證書初始地與存儲在第一防篡改處理設(shè)備中 的第一密鑰綁定�����。該方法包括:
[0007] 利用第一防篡改處理設(shè)備生成備份令牌��,該備份令牌包括對所述一組屬性的指定 以及第一證明數(shù)據(jù)�,該第一證明數(shù)據(jù)允許驗(yàn)證在所述指定中的該組屬性對應(yīng)于由所述證書 認(rèn)證的該組屬性;
[0008] 在備份存儲中存儲該備份令牌�����;
[0009] 在第二防篡改處理設(shè)備中存儲第二密鑰����,使所述第二密鑰不可見以生成盲化密 鑰;
[0010] 生成證書模板令牌����,其包括所述備份令牌和所述盲化密鑰�;
[0011] 通過所述數(shù)據(jù)處理系統(tǒng)的用戶裝置���,將所述證書模板令牌發(fā)送至證書發(fā)布方���;以 及
[0012] 在證書發(fā)布方,利用所述第一證明數(shù)據(jù)執(zhí)行所述驗(yàn)證����,以及利用所述證書模板令 牌并通過所述用戶裝置(6)向所述第二防篡改設(shè)備提供認(rèn)證所述組屬性的重發(fā)的證書,所 述重發(fā)的證書與所述第二密鑰綁定���。
[0013] 實(shí)現(xiàn)本發(fā)明的方法允許重發(fā)密碼證書用于新的防篡改處理設(shè)備���,同時保留期望的 隱私度。其密鑰被第一防篡改處理設(shè)備所保護(hù)的證書用戶可通過使用該設(shè)備創(chuàng)建備份令牌 來保護(hù)該設(shè)備以免丟失或破壞����。備份令牌包括對一系列(一個或多個)由證書認(rèn)證的屬性 的指定(commitment)。(指定是密碼應(yīng)用中的基礎(chǔ)概念����,其本質(zhì)上涉及使用密碼函數(shù)生成 密碼值(指定)��,該密碼值編碼提供者想要指定的值(或多個值)。然后�����,可以作出關(guān)于指 定的值的密碼證明����,而不用披露值本身)。備份令牌還包括第一證明數(shù)據(jù)���,其允許由證書發(fā) 布方隨后驗(yàn)證指定中的系列屬性對應(yīng)于由證書認(rèn)證的系列屬性��。備份令牌存儲在備份存儲 中���,以便當(dāng)證書需要被重發(fā)時可以被重新獲取。在此情形下��,證書持有者獲得存儲了第二密 鑰的新的�����、第二防篡改設(shè)備�����。為了啟動證書重發(fā),該第二設(shè)備使第二密鑰不可見以生成盲化 密鑰����。這與備份令牌一起使用以生成證書模板令牌,其隨后通過數(shù)據(jù)處理系統(tǒng)的用戶裝置 被發(fā)送至證書發(fā)布方��。證書發(fā)布方可使用第一證明數(shù)據(jù)進(jìn)行前述對(隱藏)屬性的驗(yàn)證�����, 然后使用證書模板令牌并通過用戶裝置向新的防篡改設(shè)備提供重發(fā)的證書��,該重發(fā)的證書 認(rèn)證同一系列屬性���。重發(fā)的證書基于證書模板令牌中的盲化密鑰與第二密鑰綁定��,從而重 發(fā)的證書可與新的防篡改設(shè)備一起使用�。因此�����,證書模板令牌本質(zhì)上提供了用于新的證書 的模板��,該新的證書可由證書發(fā)布方為證明數(shù)據(jù)的滿意度驗(yàn)證重發(fā)�。從而原始證書被重發(fā) 至證書持有者���,允許繼續(xù)與新的密鑰一起使用該證書�����,而不用向發(fā)布方披露屬性�。
[0014] 在一些實(shí)施例中,證書發(fā)布方可通過發(fā)送證書本身來向第二防篡改設(shè)備提供重發(fā) 的證書���。在其它的實(shí)施例中���,證書發(fā)布方可發(fā)送能夠被使用在防篡改設(shè)備以構(gòu)造最終證書 的信息。下面描述一個關(guān)于此的具體示例���。
[0015] 通常�����,證書發(fā)布方可以通過任何形式的用于數(shù)據(jù)處理系統(tǒng)中的密碼證書發(fā)布的設(shè) 備����、元件或系統(tǒng)實(shí)現(xiàn)����。用戶裝置在數(shù)據(jù)處理系統(tǒng)中提供了防篡改處理設(shè)備和發(fā)布方之間的 接口�����。盡管預(yù)想到有些情況下此用戶裝置可能與防篡改設(shè)備一起集成在硬件設(shè)備中��,用戶 裝置將典型地為獨(dú)立的裝置����,方便地為用戶計算機(jī)例如用于通過數(shù)據(jù)通信網(wǎng)絡(luò)與發(fā)布方通 信的通用目的個人計算機(jī)(PC)��。
[0016] 備份令牌可由第一防篡改設(shè)備單獨(dú)地或由包括該第一防篡改設(shè)備的裝置產(chǎn)生�。因 此在一些實(shí)施例中,在第一防篡改設(shè)備產(chǎn)生備份令牌����。盡管預(yù)想到這些設(shè)備可能具有設(shè)施 以直接連接至用于存儲備份令牌的備份存儲,此令牌方便地由用戶計算機(jī)存儲在備份存儲 中�,該用戶計算機(jī)在備份操作期間連接至(通過有線或無線連接直接或間接地連接)第一 防篡改設(shè)備。在其它的實(shí)施例中����,備份令牌可以由第一防篡改設(shè)備和連接至該第一防篡改 設(shè)備的用戶計算機(jī)共同產(chǎn)生。例如,該設(shè)備和用戶計算機(jī)可能每個都執(zhí)行生成備份令牌所 涉及的特定計算���。然后�����,備份令牌被用戶計算機(jī)存儲在備份存儲中?���?赡芟嗨频卦诘诙?篡改設(shè)備產(chǎn)生證書模板令牌,或者���,此令牌可由第二防篡改設(shè)備以及連接至第二防篡改設(shè) 備的用戶計算機(jī)產(chǎn)生����。這些實(shí)施例中的用戶計算機(jī)通??捎衫缤ㄓ媚康腜C、移動電話���、 PDA(掌上電腦)等方便的計算設(shè)備實(shí)現(xiàn)���。這樣的計算機(jī)可以或不能實(shí)現(xiàn)前述用于向發(fā)布方 發(fā)送證書模板令牌的用戶裝置。
[0017] 在優(yōu)選的方法中,用于說明第二密鑰的知識證明的第二證明數(shù)據(jù)在第二防篡改設(shè) 備產(chǎn)生�,并且此第二證明數(shù)據(jù)包括在證書模板令牌中。然后��,證書發(fā)布方在重發(fā)證書前�����,利 用該第二證明數(shù)據(jù)驗(yàn)證知識證明����。
[0018] 優(yōu)選的實(shí)施例也允許對與原始證書相關(guān)聯(lián)且由第一防篡改設(shè)備存儲的狀態(tài)數(shù)據(jù) 進(jìn)行恢復(fù)。這樣的方法包括:
[0019] 在第一防篡改設(shè)備�,從證書以及狀態(tài)數(shù)據(jù)產(chǎn)生狀態(tài)令牌,用于對狀態(tài)數(shù)據(jù)進(jìn)行鑒 定��;
[0020] 在備份存儲中存儲該狀態(tài)數(shù)據(jù)以及狀態(tài)令牌�;
[0021] 將狀態(tài)數(shù)據(jù)以及狀態(tài)令牌發(fā)送至證書發(fā)布方;以及
[0022] 在發(fā)布方處�����,利用狀態(tài)令牌驗(yàn)證狀態(tài)數(shù)據(jù)的所述鑒定�����,并向第二防篡改設(shè)備提供 狀態(tài)數(shù)據(jù),以在第二防篡改設(shè)備中進(jìn)行存儲�����。
[0023] 本發(fā)明還提供了用于在前述方法中使用的防篡改處理設(shè)備�。特別地,本發(fā)明的第 二方面的實(shí)施例提供了在按照本發(fā)明的第一方面的方法中的用作第二防篡改處理設(shè)備的 防篡改處理設(shè)備�����。該設(shè)備包括用于存儲第二密鑰的存儲�����,以及被配置為以下內(nèi)容的控制邏 輯:
[0024] 使第二密鑰不可見���,以產(chǎn)生用于所述證書模板令