一個支持秘密屬性的改進ＰＭＩ框架

摘要：當屬性證書中引入了秘密屬性之后，原有的PMI框架不能很好地處理包含秘密屬性的屬性證書。文章指出，秘密屬性的實現可以采取明文屬性的屬性證書和密文屬性的屬性證書兩種方式，加密屬性證書可以采用對稱密鑰加密和公開密鑰加密兩種方案。并根據兩種實現方式分別對原PMI框架作不同程度的改進。

關鍵詞：秘密屬性；屬性證書；密鑰；PMI

0 引言

屬性證書(Attribute Certificate，AC)是在ISO/IEC 9594-8中引入的。而ISOflEC 9594-8的修正草案(Proposed DraftAmendment.PDAM)包含了對屬性證書的廣泛討論并引入了權限管理基礎設施框架(Privilege Management Infrastructure，PMI)X.509(V4)中定義了PMI的框架結構，其中定義了擴展屬性證書的語法。屬性可以表明持有者所具有的某種特征、身份等，被訪問者可以根據持有者所具有的屬性使之與特定的權限相關聯。在屬性證書的使用過程中，某些屬性可能涉及持有者的隱私，這一類屬性稱為秘密屬性。指出了秘密屬性加密可采取的編碼方式，但未指明秘密屬性的密鑰管理方法以及如何在PMI的框架中實現它。提出對于秘密屬性可以采取兩種實現方案，但是沒有給出具體的描述。本文主要關注的是對PMI框架進行改進，以實現在屬性證書中包含秘密屬性，提出了明文屬性的屬性證書和密文屬性的屬性證書的具體實現方案。