(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210401774.X (22)申请日 2022.04.18 (71)申请人 北京数字认证股份有限公司 地址 100080 北京市海淀区北四环西路68 号1501号 (72)发明人 李向锋　傅大鹏　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 李翠 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/141(2022.01) (54)发明名称 获取数字证书的方法以及系统 (57)摘要 本申请实施例提供获取数字证书的方法以 及系统， 应用在数字证书生成端， 所述方法包括： 接收来自于用户A的获取数字证书的申请， 并获 取与所述用户A相关的至少一个属性信息； 生成 至少一个属性保护密钥， 其中， 一个属性保护密 钥用于对一个属性信息进行加密处理； 根据各属 性保护密钥对相应的属性信息进行加密处理， 得 到密文属性信息； 根据所述密文属性信息生成目 标数字证书， 并向所述用户A提供所述目标数字 证书和至少部分解密参数值。 通过本申请的实施 例能够支持用户控制和选择性披露数字证书上 部分或者全部个人信息， 这是一种隐私保护的机 制提升了用户属性信息的安全性。 权利要求书3页 说明书13页 附图6页 CN 114726544 A 2022.07.08 CN 114726544 A 1.一种获取 数字证书的方法， 应用在数字证书生成端， 其特 征在于， 所述方法包括： 接收来自于用户A的获取数字证书的申请， 并获取与所述用户A相关的至少一个属性信 息； 生成至少一个属性保护密钥， 其中， 一个属性保护密钥用于对一个属性信息进行加密 处理； 根据各属性保护密钥对相应的属性信息进行加密处 理， 得到密文属性信息； 根据所述密文属性信息生成目标数字证书， 并向所述用户A提供所述目标数字证书和 至少部分解密参数值。 2.如权利要求1所述的方法， 其特征在于， 所述至少一个属性信 息包括第 i属性信息， 其 中， 所述生成至少一个属性保护密钥， 包括： 获取共享主密钥； 根据所述共享主密钥和与所述用户A相关的用户标识号得到用户主密钥； 通过所述用户主密钥与所述第i属性信息得到第i保护密钥因子， 并获取第i随机数； 根据所述第i保护密钥因子以及所述第i随机数生成第i属性保护密钥； 所述根据各属性保护密钥对相应的属性信息进行加密处 理， 得到密文属性信息， 包括： 根据所述第i属性保护密钥对所述第i属性信息进行加密处 理得到第i密文属性信息 。 3.如权利要求2所述的方法， 其特 征在于， 所述用户标识号 为证书序列号， 其中， 所述根据所述共享主密钥和所述用户A的用户标识号得到用户主密钥， 包括： 使用所述共享主密钥和所述证书序列号进行密钥分散处 理， 得到所述用户主密钥。 4.如权利要求2 ‑3任一项所述的方法， 其特征在于， 所述通过所述用户主密钥与第i属 性信息得到第i保护密钥因子， 包括： 获取与所述第i属性信息对应的第i属性标识号； 使用所述用户主密钥与所述第i属性标识号进行分散运算， 得到所述第i保护密钥因 子。 5.如权利要求2 ‑3任一项所述的方法， 其特征在于， 所述根据所述第i保护密钥因子以 及所述第i随机数生成第i属性保护密钥， 包括： 根据如下公式计算所述第i属性保护密钥： UAPK＝ η(K,R) 其中， η可选择xor()、 HMAC()、 密码杂凑或者对称加密， K表征任一保护密钥因子， R表 征任一随机数。 6.如权利要求1 ‑3任一项所述的方法， 其特 征在于， 所述方法还 包括： 获取原始数字证书； 其中， 所述根据所述密文属性信息生成目标 数字证书包括： 用所述密文属性信息替换所述原始数字证书包括的属性信息， 并生成数字签名， 得到 所述目标 数字证书。 7.如权利要求6所述的方法， 其特征在于， 所述生成数字签名， 包括： 根据 所述属性信 息 生成所述数字签名； 或者， 根据所述密文属性信息生成所述数字签名。权　利　要　求　书 1/3 页 2 CN 114726544 A 28.如权利要求5所述的方法， 其特征在于， 所述向所述用户A提供所述目标数字证书和 至少部分解密参数值， 包括： 向所述用户A提供所述目标数字证书和由所述任一随机数构成 的随机数集 合。 9.如权利要求1所述的方法， 其特 征在于， 所述向所述用户A提供所述目标数字证书和解密参数值， 包括： 向所述用户A提供所述 目标数字证书和所有属性保护密钥。 10.一种获取 数字证书的方法， 应用在证书应用依赖方， 其特 征在于， 所述方法包括： 从目标数字证书拥有者处获取用户A 的目标数字证书， 并获取与待解密的密文属性信 息对应的目标随机数， 其中， 所述目标数字证书包括密 文属性信息， 所述密 文属性信息是根 据各属性保护密钥对相应的属性信息进行加密处理得到的， 所述目标随机数是由所述用户 A根据自己的意愿从随机数集 合中选择的若干随机数； 根据所述目标随机数对所述待解密的密文属性信 息进行解密处理， 得到目标明文属性 信息。 11.如权利要求10所述的方法， 其特征在于， 所述目标随机数是和所述目标数字证书是 一同提供 给所述证书应用依赖方的。 12.如权利要求10所述的方法， 其特征在于， 所述获取与待解密的密文属性信 息对应的 目标随机数， 包括： 向所述目标 数字证书拥有者发送询问解密随机数的请求； 接收由所述目标证书拥有者返回的所述目标随机数， 其中， 所述目标数字证书拥有者 对所述证书应用依赖方进行 可信度确认后从所有随机数中筛 选得到的所述目标随机数。 13.如权利要求10 ‑12任一项所述的方法， 其特征在于， 所述根据所述目标随机数对所 述待解密的密文属性信息进行解密处 理， 包括： 从数字证书生成端获取共享主密钥； 根据所述共享主密钥和所述用户A的用户标识号得到用户主密钥； 根据所述用户主密钥与所述待解密的密文属性信息得到目标保护密钥因子； 根据所述目标保护密钥因子和所述目标随机数对所述待解密的密文属性信息进行解 密处理。 14.如权利要求13所述的方法， 其特征在于， 所述共享主密钥是在所述数字证书生产端 对所述证书应用依赖方的可信度评估通过后由所述数字证书生产端发送的。 15.如权利要求10 ‑12任一项所述的方法， 其特征在于， 所述目标数字证书包括数字签 名， 且所述数字签名是根据所述密文属性信息计算得到的， 其中， 所述方法包括： 根据所述密文属性信息 完成对所述数字签名的验证。 16.如权利要求10 ‑12任一项所述的方法， 其特征在于， 所述目标数字证书包括数字签 名， 且所述数字签名是根据所述属性信息计算得到的， 其中， 所述方法包括： 根据共享主密钥和所述目标随机数对所述目标数字证书上包括的密文属性信息进行 解密处理， 得到所述属性信息； 根据所述属性信息对所述数字签名进行验证。 17.一种获取 数字证书的系统， 其特 征在于， 所述系统包括：权　利　要　求　书 2/3 页 3 CN 114726544 A 3