摘要：當(dāng)屬性證書(shū)中引入了秘密屬性之后，原有的PMI框架不能很好地處理包含秘密屬性的屬性證書(shū)。文章指出，秘密屬性的實(shí)現(xiàn)可以采取明文屬性的屬性證書(shū)和密文屬性的屬性證書(shū)兩種方式，加密屬性證書(shū)可以采用對(duì)稱密鑰加密和公開(kāi)密鑰加密兩種方案。并根據(jù)兩種實(shí)現(xiàn)方式分別對(duì)原PMI框架作不同程度的改進(jìn)。

關(guān)鍵詞：秘密屬性；屬性證書(shū)；密鑰；PMI

0 引言

屬性證書(shū)(Attribute Certificate，AC)是在ISO/IEC 9594-8中引入的。而ISOflEC 9594-8的修正草案(Proposed DraftAmendment.PDAM)包含了對(duì)屬性證書(shū)的廣泛討論并引入了權(quán)限管理基礎(chǔ)設(shè)施框架(Privilege Management Infrastructure，PMI)X.509(V4)中定義了PMI的框架結(jié)構(gòu)，其中定義了擴(kuò)展屬性證書(shū)的語(yǔ)法。屬性可以表明持有者所具有的某種特征、身份等，被訪問(wèn)者可以根據(jù)持有者所具有的屬性使之與特定的權(quán)限相關(guān)聯(lián)。在屬性證書(shū)的使用過(guò)程中，某些屬性可能涉及持有者的隱私，這一類屬性稱為秘密屬性。指出了秘密屬性加密可采取的編碼方式，但未指明秘密屬性的密鑰管理方法以及如何在PMI的框架中實(shí)現(xiàn)它。提出對(duì)于秘密屬性可以采取兩種實(shí)現(xiàn)方案，但是沒(méi)有給出具體的描述。本文主要關(guān)注的是對(duì)PMI框架進(jìn)行改進(jìn)，以實(shí)現(xiàn)在屬性證書(shū)中包含秘密屬性，提出了明文屬性的屬性證書(shū)和密文屬性的屬性證書(shū)的具體實(shí)現(xiàn)方案。