CN1867878A - 为可被具有安全模块的用户设备执行的事务维护私密 - Google Patents

Abstract

本发明公开了一种用于通过私密认证管理机构和验证者为可被具有安全模块的用户设备执行的事务维护私密的方法和系统。该系统包括提供颁发者公钥PK_I的颁发者；用于生成第一组证明签名值DAA1的具有安全模块22的用户设备；用于提供管理机构公钥PK_PCA并发出第二证明值AV2的私密认证管理机构计算机30；以及用于利用颁发者公钥PK_I检查第一组证明签名值DAA1的有效性以及利用管理机构公钥PK_PCA检查第二组证明签名值DAA2的有效性的验证计算机，该第二组证明签名值DAA2可由用户设备20从第二证明值AV2生成，其中可验证这两组证明签名值DAA1、DAA2与用户设备有关。

Description

为可被具有安全模块的用户设备执行的事务维护私密

技术领域

本发明涉及一种用于通过私密认证管理机构和验证者维护可被具有安全模块的用户设备执行的事务中的私密的方法和系统。此外，本发明还涉及用于执行该方法的计算机程序单元以及用于使计算机执行该方法的存储在计算机可用介质上的计算机程序产品。

背景技术

计算机已发展成用于许多应用和服务的工具。在当今世界里，越来越需要可信赖的计算环境。需要综合的信任、安全和私密功能以在内容提供者、应用和服务提供者、消费者、企业和金融机构尤其是用户可依赖的设备之间建立多方信任。

为此，已建立可信平台模块(TPM)。该模块的作用是提供受保护的存储、平台认证、受保护的加密过程和可证明状态能力以为计算平台提供一信任等级。此信任的基础是公认的管理机构作出的平台对于预期用途可信的认证。所谓的可信计算机组(TCG)将进一步为在多个平台包括个人计算机、服务器、PDA和数字电话之间的可信计算硬件构件块和软件接口开发和促进开放工业标准规范。这将使能进行更安全的数据存储、在线业务实践和在线商业交易，同时保护私密和个人权利。用户将具有更安全的本地数据存储和更低的来自外部软件攻击和物理盗窃两者的身份盗窃的风险。

为了实现可证明状态的功能，颁发者向下文也被简称为TPM的可信平台模块颁发证书以便允许TPM以后证明其是真正的TPM，并因此验证方可具有由TPM声明和证明的置信度。为了允许TPM证明其是真正的而无需验证方能够识别TPM，可信计算机组已规定了所谓的直接匿名证明(direct anonymous attestation)(DAA)协议。该协议允许TPM使验证方确信其已获得颁发者的证明而无需显露其身份。该协议发生在下面的场景中。颁发者已使公钥(n，R₀，R₁，S，Z)可用。每个TPM与一个所谓的签注密钥(endorsement key)相关联。此密钥是一RSA加密密钥对，其秘密密钥对TPM可用。为了得到证明，TPM和颁发者运行第一协议。在该协议期间，TPM向颁发者发送值 $U=R_0^{f0}{R}_1^{f1}{S}^{v^{\′}}\mathrm{mod}n$ 和 $N_I={\mathrm{\ζ}}_I^{f0+\mathrm{kf}1},$

其中k是一系统参数而ζ_I是由颁发者确定的所谓的命名基值。使用TPM的签注密钥验证值U。TPM还向颁发者证明N_I相对于U被正确地计算，即它们包含相同的值f0和f1。在接收到U和N_I之后，颁发者选择一合适的素数e和一值v”，计算值

                  A＝(Z/US^v”)^(1/e)mod n

并将A、e和v”发送给TPM。TPM设定v＝v’+v”。因此得出

$A^e{R}_0^{f0}{R}_1^{f1}{S}^{v^{\′}}=Z\left(\mathrm{mod}n\right)$

即TPM已从颁发者获得证明。

现在，TPM可用第二协议使验证方确信其已获得证明而无需标识自身，这在文中也被称为DAA签名操作。就是说，验证方仅接收到TPM计算为ζ_v ^f0+kf1的值N_v，其中k是相同的系统参数，而ζ_v是由验证方确定的基值或命名基值，并且接收到TPM拥有值A、e、v、f0和f1从而使得

$A^e{R}_0^{f0}{R}_1^{f1}{S}^{v^{\′}}=Z\left(\mathrm{mod}n\right)$ 和 $N_v={\mathrm{\ζ}}_v^{f0+\mathrm{kf}1}$

成立的证据。应注意到，验证方并不知道值A、e、v、f0和f1中的任何一个。验证方可允许TPM或用户的计算机随机选择值ζ_v，在该情况下验证方根本没有接收任何信息；或者验证方可请求计算值ζ_v并使该值在一定时间段内保持固定，在该情况下验证方能够通过检查其是否此前已看到给定的N_v而注意到相同TPM是否此前已与其联系。

使用TPM的平台也参与了这两个协议的执行。该平台从TPM接收到值，可能修改它们，并将它们转发到颁发者或验证方。然后，该平台接收来自颁发者或验证方的(回复)消息，可能修改它们，并将它们提供给TPM。

针对所有TPM并且在一定时间段内使用相同ζ_v允许验证方通过监视给定值N_v被多么频繁地使用来监视某个TPM是否过度使用了验证方提供的服务，并因此识别不再是真正的TPM。但是，它也允许验证方进行概要分析(profiling)并因此侵入TPM的用户的私密，这是不希望的。

从以上可见，本领域内仍需要一种改进的协议，该协议防止概要分析并为可被用户设备与各方执行的事务维护私密，同时仍允许验证方监视过度使用并识别无赖TPM。

发明内容

下文提出了一种防止概要分析并通过私密认证管理机构和通常是验证计算机的验证者或验证方为可被用户设备执行的事务维护私密的系统和方法。用户设备具有安全模块，该安全模块在这里也被称为可信平台模块(TPM)，该模块允许平台认证、被保护的加密过程以及可证明状态能力。一般地，频率检查与服务的准许/请求分开，服务可在验证者的成功验证时访问。使用作为可信第三方(TTP)的私密认证管理机构来代表验证者执行频率检查，并且如果检查成功，则将证明值例如作为令牌发给用户设备和TPM，然后具有TPM的用户设备可使用所述证明值生成证明签名值，将该证明签名值提供给验证者，并从而使验证者确信它已从TTP得到这样的证明值。该令牌应仅能使用一次(或者至少有限的次数)，并且应优选地是这样的，即它仅可对单个验证者使用，并且即使当验证者和TTP串通时，它们也不能将对服务的请求与其中将该令牌授予具有TPM的用户设备的事务相联系。因此，如果验证者信任TTP，则确保了它将仅能从没有过度使用其服务的具有TPM的用户设备接收到证明签名值。另一方面，向具有TPM的用户设备保证了验证者不会进行概要分析，因为向它们确保了验证者不能将不同服务请求相联系。当然，具有TPM的用户设备应为每个服务请求从TTP获取新令牌。具有用户设备的用户不需要信任TTP，TTP和验证者甚至可以是相同实体。

根据本发明，提供了一种用于在计算机执行事务时维护私密的系统。该系统包括提供颁发者公钥PK_I的颁发者；用于生成第一组证明签名(attestation-signature)值DAA1的具有安全模块的用户设备；用于提供管理机构公钥PK_PCA并发出第二证明值AV2的私密认证管理机构计算机；以及用于利用颁发者公钥PK_I检查第一组证明签名值DAA1的有效性并利用管理机构公钥PK_PCA检查第二组证明签名值DAA2的有效性的验证计算机，该第二组证明签名值DAA2可由用户设备20从第二证明值AV2得到，其中可验证这两组证明签名值DAA1、DAA2与该用户设备有关。

根据本发明的另一个方面，提供了一种用于通过私密认证管理机构计算机和验证计算机为可被具有安全模块的用户设备执行的事务维护私密的方法，该验证计算机已从私密认证管理机构计算机和提供安全模块的证明的颁发者得到公钥PK_PCA、PK_I。该方法包括以下步骤：

接收第一和第二组证明签名值DAA1、DAA2，该第一组证明签名值DAA1由用户设备使用从颁发者获得的第一证明值AV1生成，而第二组证明签名值DAA2由用户设备使用从私密认证管理机构计算机获得的第二证明值AV2生成；

利用颁发者的公钥PK_I检查第一组证明签名值DAA1的有效性；

利用私密认证管理机构计算机的公钥PK_PCA检查第二组证明签名值DAA2的有效性；以及

验证这两组证明签名值DAA1、DAA2是否与该用户设备有关。

该系统和方法允许为用户设备执行的事务维护私密，因为它们允许将滥用和频率检查与任何访问请求分开。还有利地可防止任何一方进行概要分析。

所述验证步骤可包括以下步骤，即验证第一值是得自基值，被包含在第一组证明签名值DAA1内并与这样的第二值相同，该第二值得自所述基值并且被包含在第二组证明签名值DAA2内。这导致更安全的系统。

所述验证步骤可包括以下步骤，即验证这两个证明签名值DAA1、DAA2基于得自至少一个共同值t的第一和第二证明值AV1、AV2的证据。这再次导致更安全的系统，并允许用户设备处理第二证明值AV2和第二证明签名值DAA2而无需使用安全模块。

每次应用该方法时基值都可不同，这确保了事务的不可联系性。

共同值t可得自与安全模块有关的签注密钥EK。这同样可导致更安全的系统，因为共同值t被很好地定义并且确保对于每个安全模块不同。

根据本发明的另一方面，提供了一种用于通过私密认证管理机构计算机和验证计算机为可被具有安全模块的用户设备执行的事务维护私密的方法，该私密认证管理机构计算机已从提供安全模块的证明的颁发者得到公钥。该方法包括以下步骤：

从用户设备接收到最初的一组证明签名值DAA1’，该最初的一组证明签名值DAA1’由用户设备使用从颁发者得到的证明值AV1生成；

利用颁发者的公钥检查最初的一组证明签名值DAA1’的有效性；

相应于该检查步骤，发出与该最初的一组证明签名值DAA1’有关的第二证明值AV2；

向用户设备提供第二证明值AV2，可从该第二证明值AV2得出第二组证明签名值DAA2，

其中可验证第一组证明签名值DAA1和第二组证明签名值DAA2与用户设备有关，该第一组证明签名值DAA1可由用户设备使用从颁发者得到的第一证明值AV1生成。

所述发出第二证明值AV2的步骤还可包括以下步骤，即从用户设备接收请求值并验证该请求值是否与最初的一组证明签名值DAA1’有关。

根据本发明的另一个方面，提供了一种用于通过私密认证管理机构计算机和验证计算机为可被具有安全模块的用户设备执行的事务维护私密的方法，用户设备已从颁发者得到第一证明值AV1，并从私密认证管理机构计算机得到第二证明值AV2。该方法包括以下步骤：

使用第一证明值AV1生成第一组证明签名值，使用第二证明值AV2生成第二组证明签名值DAA2；以及

将该第一和第二组证明签名值DAA1、DAA2发送给验证计算机，

其中验证计算机能够利用颁发者的颁发者公钥PK_I检查第一组证明签名值DAA1的有效性，利用私密认证管理机构计算机的管理机构公钥PK_PCA检查第二组证明签名值DAA2的有效性，以及

验证这两组证明签名值DAA1、DAA2与用户设备(20)有关。

该生成步骤可包括使用与安全模块有关的签注密钥EK。

附图说明

下文参照附图并仅作为示例详细说明了本发明的优选实施例。

图1示出具有颁发者、具有可信平台模块的用户计算机、私密认证管理机构和验证者的情景(scenario)的示意图。

图2示出其中私密认证管理机构和验证者形成一个实体的图1的示意图。

附图是仅为示例目的提供的。

具体实施方式

图1示出具有颁发者10和用户设备20的情景的示意图，该用户设备20包括通常是用户的计算机的一部分的安全模块22。也被标记为UC的用户设备20连接到也被标记为PCA的私密认证管理机构计算机30和被标记为V的验证计算机40。

颁发者10向公众提供颁发者公钥PK_I，如被标记为PK_I的虚线平行四边形12所示，并保持一列签注密钥EK₁...EK_n，每个签注密钥被分配给用户设备内包含的一个安全模块。此外，颁发者10向具有安全模块22的用户设备20提供一个特定的签注密钥EK_TPM。另外，如箭头1所示，颁发者10向用户设备20提供证明值AV1。私密认证管理机构计算机30也向公众提供在此被称为管理机构公钥PK_PCA的公钥，如另一个被标记为PK_PCA的虚线平行四边形32所示。具有也被标记为TPM的安全模块22的用户设备20生成第一组证明签名值DAA1，并如具有

的箭头2所示，将这些值发送给私密认证管理机构计算机30，该计算机然后如箭头3所示将第二证明值AV2发回用户设备20。手掌符号在此指示将各个值示出给另一方，所述值可被理解为令牌或签名。

具有安全模块22的用户设备20通过使用还被称为颁发者令牌AV1的第一证明值AV1生成第一组证明签名值DAA1，并通过使用从私密认证管理机构计算机30接收到的第二证明值AV2生成第二组证明签名值DAA2。然后，如附图中的具有

的箭头4所示，将第一和第二组证明签名值DAA1、DAA2发送给验证计算机40。验证计算机40能够利用颁发者10的颁发者公钥PK_I检查第一组证明签名值DAA1的有效性，利用私密认证管理机构计算机30的管理机构公钥PK_PCA检查第二组证明签名值DAA2的有效性，并验证这两组证明签名值DAA1、DAA2与用户设备20有关。通过将第一组证明签名值DAA1示出给验证计算机40，用户设备20可指示拥有所谓的管理机构令牌AV2的第二证明值AV2。

下面更详细地描述所提出的用于通过私密认证管理机构计算机30和验证计算机40为可被用户设备20执行的事务维护私密的方法的实现。下文被简称为验证者40的验证计算机40可在成功的验证之后提供对服务、数据或信息的访问。

当具有在下文还被称为可信平台模块(TPM)的安全模块22的用户设备20从颁发者10得到证明时，颁发者10不同地计算值A，即它选择某个对于用户设备20是唯一的共同值4(例如，t可以是TPM的签注密钥的散列)，并计算

$A={(Z/U{S}^{v^{\′\′}}{R}_2^t)}^{(1/e)}\mathrm{mod}n,$

其中R₂是另一基值，该基值目前也是颁发者公钥PK_I的一部分。就是说，第一证明值AV1是(A，e，v”)，并且与t的值一起被发送给用户设备20，其中共同值t没有被转送给TPM。接下来，用户设备20联系此后也被称为第三可信方(TTP)的私密认证管理机构计算机30，并使用TPM的DAA签名操作来使TTP确信其从颁发者10获得了证明。但是，也被称为平台的存放TPM的用户设备20修改从TPM接收到的消息以便反映参数t和以下事实，即值A被颁发者10不同地计算。另外，修改TTP运行的DAA签名操作的部分以反映这些变化。这里，TTP使用对于所有TPM以及因此对于用户设备相同的命名基值ζ_v且使用足够长的一段时间，从而TTP可确定TPM或用户设备是否仍有效，即它是否没有过于频繁地看到N_v的特定值。然后，TTP向具有TPM的用户设备20发送笫二证明值AV2，该证明值也被称为管理机构令牌AV2，其与TPM的共同值t有关。

应以这样的方式发出管理机构令牌AV2，即1)TTP不知道关于共同值t的任何有用信息，2)当用户设备20对验证者使用管理机构令牌AV2时，该使用不能被联系到其中用户设备20的TTP发出该管理机构令牌AV2的事务，3)验证者40可验证用户设备20或TPM使用的管理机构令牌AV2与被包含在用户设备20从颁发者10得到的证明内的某个共同值t有关，以及4)用户设备20可仅使用一次管理机构令牌AV2，并仅对给定的验证者使用。

这些特性原则上可使用所谓的盲签方案实现，在这种方案中TTP盲目地对依赖于共同值t、目标验证者的标识符以及可能地由平台即用户设备20选择的某随机数的消息签名。用户设备20接收的值是第二证明值AV2，该证明值还被称为管理机构令牌AV2。然后，用户设备20设法使TTP确信该消息确实依赖于该共同值t。这样的盲签协议确保了TTP不知道该消息以及其签名。因此，具有TPM的用户设备20可联系任何验证者40，对验证者40执行DAA签名操作以获得第一组证明签名值DAA1(其中再次地，用户设备20合适地修改TPM得到的消息以便反映A是使用共同值t计算的)，其中命名基值ζ_v应是随机的，从而验证者40不能将相同用户设备20或TPM发出的不同请求相联系。此外，用户设备20将作为它通过盲签协议从TTP获得的第二组证明签名值DAA2的消息及其签名发送给验证者40，并使验证者40确信该消息基于共同值t、验证者的标识符以及可能某随机数，该共同值也被包含在由颁发者10得到的证明值AV1内(第一组证明签名值DDA1基于该证明值)，其中验证者40可知道该随机数。如果验证者40此前没有看到相同随机数(或相同消息签名对)，则它准许该请求。否则它拒绝该请求。

除了使用盲签方案之外，私密认证管理机构计算机30即TTP也可使用如下的对DAA方案的修改。假设( n， R ₀， R ₁， R ₂， R ₃， S， Z)是TTP的管理机构公钥PK_PCA。然后，具有TPM的用户设备20计算 $\underset{\‾}{U}={\underset{\‾}{R}}_0^a{\underset{\‾}{R}}_1^b{\underset{\‾}{R}}_2^t{\underset{\‾}{R}}_3^w{\underset{\‾}{S}}^{c^{\′}}$ 和 ${\underset{\‾}{N}}_I={\mathrm{\ζ}}_I^{a+\mathrm{kb}},$ 其中a、b和c’是用户设备20选择的随机值，w是依赖于目标验证者和某随机值r的值，例如w＝SHA1(verifier_id，r)，其中SHA1是单向散列函数，而ζ_I由TTP确定。对于这些步骤，用户设备20也可涉及TTP。接下来，用户设备20针对从颁发者10得到的证明值AV1运行DAA签名操作，并向TTP证明 U和 N _I被正确计算，特别是 U包括与这样的证明值AV1内包含的共同值相同的共同值t，该证明值AV1已由用户设备20从颁发者10得到，并且从该证明值生成用户设备发送给TTP的证明签名值DAA1’。对于此DAA签名操作，用户设备20应再次修改来自TTP的消息，以便反映颁发者10使用t计算A。此后，TTP选择合适的e和c”，计算

            A＝( Z/ US ^c”)(1/e)mod  n

并将A、e和c”作为第二证明值AV2发送给用户设备20。已得到这些值之后，用户设备20现在可联系验证者10并执行DAA签名操作(必要时使用TPM)，其中用户设备20修改来自TPM的消息以反映A(以及可能 A)的计算涉及t(和w)。对于这些DAA签名操作，命名基值ζ_v应是随机的。另外，用户设备20向验证者40发送w和r，从而验证者40可验证w被正确计算，并且它被包含在用户设备20从TTP得到的证明内。最后，用户设备20向验证者20证明其从颁发者10得到的证明以及从TTP得到的证明包含相同的共同值t。可通过轻微修改DAA签名操作即通过用户设备20选择与在这些DAA签名操作内与该共同值t相关联的所有值相同以及通过验证者40检查这些值确实是相同的，容易地执行此证明。

由于具有用户设备20的用户不再需要迫使TTP即私密认证管理机构计算机30保证TTP不与验证者40串通，所以这两个实体可并入单个实体。图2示出这样的另一个实施例，其中私密认证管理机构计算机30和验证计算机40形成一实体50。这对于特定应用或服务是有利的。

任何公开的实施例可与所示和/或所述的其他实施例中的一个或几个组合。实施例的一个或多个特征也可能组合。

本发明可在硬件、软件或硬件和软件的组合内实现。任何类型的计算机系统或适于执行文中公开的方法的其他装置都适用。硬件和软件的典型组合可以是具有这样的计算机程序的通用计算机，该计算机程序在被加载和执行时控制该计算机系统使得该计算机系统执行文中公开的方法。本发明还可包含在这样的计算机程序产品内，该计算机程序产品包含使能够实现文中公开的方法的所有特征，并且在加载到计算机内时能够执行这些方法。

计算机程序装置或计算机程序在本上下文内是指这样的一组指令的以任何语言、代码或符号表示的任何表达，该组指令旨在使具有信息处理能力的系统直接地或者在a)转换成另一种语言、代码或符号；b)以不同的物质形式再现这两种操作中的任何一个或全部之后执行特定功能。

Claims (12)

1.一种用于通过私密认证管理机构计算机(30)和验证计算机(40)为可被具有安全模块(22)的用户设备(20)执行的事务维护私密的方法，该验证计算机(40)已从该私密认证管理机构计算机(30)以及从提供该安全模块(22)的证明的颁发者(10)得到公钥，该方法包括以下步骤：

接收第一和第二组证明签名值(DAA1、DAA2)，该第一组证明签名值(DAA1)由该用户设备(20)使用从该颁发者(10)获得的第一证明值(AV1)生成，而该第二组证明签名值(DAA2)由该用户设备(20)使用从该私密认证管理机构计算机(30)获得的第二证明值(AV2)生成；

利用该颁发者(10)的公钥检查该第一组证明签名值(DAA1)的有效性；

利用该私密认证管理机构计算机(30)的公钥检查该第二组证明签名值(DAA2)的有效性；以及

验证这两组证明签名值(DAA1、DAA2)是否与该用户设备(20)有关。

2.根据权利要求1的方法，其中，所述验证步骤包括以下步骤：验证第一值是得自基值，被包含在所述第一组证明签名值(DAA1)内，并与这样的第二值相同，该第二值得自所述基值并且被包含在所述第二组证明签名值(DAA2)内。

3.根据权利要求1的方法，其中，所述验证步骤包括以下步骤：验证所述两个证明签名值(DAA1、DAA2)基于得自至少一个共同值(t)的第一和第二证明值(AV1、AV2)的证据。

4.根据权利要求2的方法，其中，每次使用该方法时所述基值是不同的。

5.根据权利要求3的方法，其中，所述共同值(t)得自与所述安全模块(22)有关的签注密钥(EK)。

6.一种用于通过私密认证管理机构计算机(30)和验证计算机(40)为可被具有安全模块(22)的用户设备(20)执行的事务维护私密的方法，该私密认证管理机构计算机(30)已从提供该安全模块(22)的证明的颁发者(10)得到公钥，该方法包括以下步骤：

从用户设备(20)接收最初的一组证明签名值(DAA1’)，该最初的一组证明签名值(DAA1’)由用户设备(20)使用从颁发者(10)得到的第一证明值(AV1)生成；

利用该颁发者(10)的公钥检查该最初的一组证明签名值(DAA1’)的有效性；

响应于该检查步骤，发出与该最初的一组证明签名值(DAA1’)有关的第二证明值(AV2)；以及

向该用户设备(10)提供第二证明值(AV2)，可从该第二证明值(AV2)得出第二组证明签名值(DAA2)，

其中可验证第一组证明签名值(DAA1)和该第二组证明签名值(DAA2)与该用户设备(20)有关，该第一组证明签名值(DAA1)可由该用户设备(20)使用从该颁发者(10)得到的第一证明值(AV1)生成。

7.根据权利要求6的方法，其中，所述发出第二证明值(AV2)的步骤还包括以下步骤：从所述用户设备(20)接收请求值，并验证该请求值是否与所述最初的一组证明签名值(DAA1’)有关。

8.一种用于通过私密认证管理机构计算机(30)和验证计算机(40)为可被具有安全模块(22)的用户设备(20)执行的事务维护私密的方法，该用户设备(20)已从颁发者(10)得到第一证明值(AV1)，并从该私密认证管理机构计算机(30)得到第二证明值(AV2)，该方法包括以下步骤：

使用该第一证明值(AV1)生成第一组证明签名值(DAA1)，使用该第二证明值(AV2)生成第二组证明签名值(DAA2)；以及

将该第一和第二组证明签名值(DAA1、DAA2)发送给该验证计算机(40)，

其中该验证计算机(40)能够利用该颁发者(10)的颁发者公钥(PK_I)检查该第一组证明签名值(DAA1)的有效性，利用该私密认证管理机构计算机(40)的管理机构公钥(PK_PCA)检查该第二组证明签名值(DAA2)的有效性，以及

验证这两组证明签名值(DAA1、DAA2)与该用户设备(20)有关。

9.根据权利要求8的方法，其中，所述生成步骤包括使用与所述安全模块(22)有关的签注密钥(EK)。

10.一种包含这样的程序代码装置的计算机程序产品，该程序代码装置用于在所述程序在计算机上运行时执行权利要求1-9中的任何一个的方法。

11.一种存储在计算机可用介质上的计算机程序产品，包括用于使得计算机执行根据权利要求1到9中的任何一个的方法的计算机可读程序装置。

12.一种用于在计算机执行事务时维护私密的系统，包括：

提供颁发者公钥(PK_I)的颁发者(10)；

用于生成第一组证明签名值(DAA1)的具有安全模块(22)的用户设备(20)；

用于提供管理机构公钥(PK_PCA)并发出第二证明值(AV2)的私密认证管理机构计算机(30)；以及

用于利用该颁发者公钥(PK_I)检查该第一组证明签名值(DAA1)的有效性以及利用该管理机构公钥(PK_PCA)检查第二组证明签名值(DAA2)的有效性的验证计算机(40)，该第二组证明签名值(DAA2)可由该用户设备(20)使用该第二证明值(AV2)生成，

其中可验证这两组证明签名值(DAA1、DAA2)与该用户设备(20)有关。

Images