CN101335622A - 使用匿名柔性凭证的用于分布式授权的方法和装置 - Google Patents

Abstract

一种使用匿名柔性凭证的用于分布式授权的方法和装置。伪名机构向用户颁发根伪名。用户可以从根伪名生成大量派生伪名。用户可以使用派生伪名从资源持有者获取资源凭证。用户可以选择一组资源凭证，从这组资源凭证生成一个柔性凭证，并使用该柔性凭证和派生伪名向资源持有者请求访问与这组资源凭证相对应的资源。可以在系统中维护每个资源的吊销列表，从而任一用户的任一资源凭证可以被吊销，而不影响该用户的其他资源凭证。

Description

使用匿名柔性凭证的用于分布式授权的方法和装置

技术领域

本发明一般地涉及计算机通信网络安全，更具体地，涉及能够保护隐私的用于分布式授权的通信方法、系统和装置。

背景技术

随着各种计算机通信网络(在其上已经开展了各种各样的申请)的激增，在基于访问控制(授权)的应用中，消费者隐私的保护成为刻不容缓的挑战。

逻辑上，认证在授权之前，因为认证确保了用户是他/她所宣称的用户，而授权使用户基于其身份被允许访问各种服务。当前的产业实践，例如访问控制表(Access Control List，ACL)，通过从本地数据库获取用户的凭证，然后检查出用户的凭证满足与资源相关的给定的访问控制策略，从而实现授权。由于为了获取用户的凭证，必须向资源保护者公开用户的唯一身份，因此这种做法是以牺牲用户隐私为代价来实现安全授权。

如图16所示，作为各种参与者，授权系统具有伪名机构(PseudonymAuthority，PA)、用户、资源持有者(Resource Holder，RH)和资源保护者(Resource Protector，RP)。PA例如是耦合到网络的管理系统内的伪名使用的服务器等，RH例如是耦合到网络的具有内容数据、计算资源等的工作站或提供某些服务的服务器等，RP例如是耦合到网络的控制对资源的访问的登陆服务器等。用户可以通过例如耦合到网络的个人计算机(PC)或终端来使用伪名进行资源访问。伪名是不表明用户真实身份的用户标识。

PA担当受信第三方，其能够向用户授予伪名，追查可疑用户，并吊销不良用户。

RH管理若干资源，并向用户授予访问权利，即凭证。

RP保护资源，并验证用户的凭证。应当注意，用户可以向RP表明由不同RH颁发的凭证，这在授权系统中是普遍的做法。举例说明，如果用户既是A公司的黄金客户(有第一RH的凭证)，又是B公司的黄金客户(有第二RH的凭证)，则(第三RH的RP)给予其对C公司资源的黄金成员访问权。

希望实现具有如下特点的高隐私性的授权系统：

(1)不可关联(unlinkable)的匿名性。用户与一个或多个RH多次交互之后，一个RH或多个RH难以探知用户的身份。并且，在用户与一个或多个RP多次交互之后，一个RP或多个RP难以探知用户的身份。

(2)可伸缩(scalable)。用户匿名地向RP表明(一个或多个)凭证并使RP信服，而不用在线地涉及第三方。特别地，对于用户和(一个或多个)RP之间的每次交互，都不需要(一个或多个)RH重新颁发凭证。

(3)精细(fine-grained)的匿名性。取代总是向(一个或多个)RP表明全部凭证，用户可以选择其凭证的任何部分来表明给(一个或多个)RP。

(4)精细的可吊销性。可以基于每用户每凭证来进行(一个或多个)凭证的吊销。用户的任何访问权，即用户的任何凭证，可以被吊销，而不影响该用户的其他凭证。

(5)恒量的高代价计算。当实现了精细的匿名性时，高代价的密码计算的数量与被选择要表明的凭证的数目不相关。例如，标量乘法、模指数运算、双线性对计算一般被认为是高代价的。以及，当实现了精细的可吊销性时，高代价的密码计算的数量与被选择要验证是否被吊销的凭证的数目不相关。

(6)可扩充。在授权系统扩充为容纳新的RH，或者现有的RH扩充为管理新的资源的情况中，不需要改变用户已有的凭证。特别地，应当避免任何已颁发凭证的重新颁发。

在D.Chaum，J.H.Evertst，A Secure and Privacy-protecting Protocol forTransmitting Personal Information Between Organizations.In Proc.ofAdvances in Cryptology-Crypto’86，LNCS vol.263，pp.118～167，1986中，首先介绍了这样的情形：多个用户向资源持有者请求凭证，然后匿名地向资源保护者出示凭证。在该文献和下面提到的文献中，使用了术语“组织(organization)”，来表示资源持有者和资源保护者的逻辑组合。

Chaum等提出的上述方案的基础是在所有的交互中都涉及受信第三方。由Chen(参见L Chen，Access with Pseudonyms，In Proc.ofInternational Conference on Cryptography：Policy and Algorithms，LNCS vol.1029，pp.232～243，1995)和Lysyanskaya等(参见A.Lysyanskaya，R.Rivest，A.Sahai，S.Wolf，Pseudonym Systems.In Proc.of Selected Areas inCryptography，LNCS vol.1758，pp.184～199，1999)提出的后来的方案也是依赖于在所有的交互中都要被涉及的受信第三方。为了实现不可关联性，不可避免地需要使得资源持有者为用户和资源保护者之间的每次交互都重新颁发凭证。因此，这些匿名凭证方案不是可伸缩的。

另外，Camenisch等也提出了两种匿名凭证方案(参见J.Camenisch，A.Lysyanskaya，An Efficient System for Non-transferable AnonymousCredentials with Optional Anonymity Revocation，In Proc.of Advances inCryptology-EuroCrypto’01，LNCS vol.2045，pp.93～118，2001和J.Camenisch，A.Lysyanskaya.Signature Schemes and Anonymous Credentialsfrom Bilinear Maps，In Proc.of Advances in Cryptology-Crypto’04，LNCS vol.3152，pp.56～72，2004)，其实现了不可关联的匿名性和可伸缩性。

但是，在前述各种传统方案中，资源持有者可以管理的资源是由资源持有者的公钥中的一些参数确定的。对参数的修改必然导致要刷新已经颁发的凭证。因此，没能实现可扩充性。

并且，在传统方案中，要么用户的凭证被资源持有者捆绑在一起，用户必须向资源保护者表明全部凭证(如图17所示)，要么高代价的密码计算的数量是与所表明的凭证的数目成比例的。因此，没能实现精细的匿名性和恒量的高代价计算。

另外，在传统方案中，为了吊销用户的一个访问权，唯一的办法是吊销该用户的全部访问权，即，使得该用户的全部凭证都无效，然后向该用户重新颁发凭证，如图17所示。因此，没能实现精细的可吊销性。

发明内容

鉴于上述问题，作出了本发明。

根据本发明的一个方面，提供了一种用于通信系统的方法，包括：颁发根伪名；获取一个或多个资源凭证；从根伪名生成第一派生伪名；从所述一个或多个资源凭证中选择一组资源凭证；根据该组资源凭证，生成柔性凭证；利用第一派生伪名和柔性凭证作出访问请求；以及，在验证第一派生伪名和柔性凭证之后，准许该访问请求。

根据本发明的另一个方面，提供了一种在通信系统中管理伪名的装置(PA)，包括：系统参数建立单元，被配置为建立系统参数；身份验证单元，被配置为执行用户身份验证；用户伪名密钥分配单元，被配置为为用户分配用户伪名密钥；和，根伪名生成单元，被配置为基于用户伪名密钥，生成要颁发给用户的根伪名。

根据本发明的另一个方面，提供了一种在通信系统中管理伪名的方法，包括：当接收到来自用户终端的用户请求时，验证用户身份；如果用户身份通过验证，则为该用户分配用户伪名密钥；以及，基于用户伪名密钥，生成根伪名。

根据本发明的另一个方面，提供了一种在通信系统中管理一个或多个资源的凭证的装置(RH)，包括：资源密钥生成单元，被配置为为每个资源生成资源私钥和资源公钥；伪名验证单元，被配置为验证用户的派生伪名；和，凭证信息生成单元，被配置为基于用户的派生伪名，生成要发送给该用户的用户终端的关于资源的凭证信息。

根据本发明的另一个方面，提供了一种在通信系统中管理一个或多个资源的凭证的方法，包括：为每个资源生成资源私钥和资源公钥；当接收到来自用户终端的用户请求时，验证用户的派生伪名；以及，如果验证通过，则基于派生伪名，生成要发送给该用户终端的关于资源的凭证信息。

根据本发明的另一个方面，提供了一种通信系统中的用户终端，包括：根伪名获取单元，被配置为获取根伪名；资源凭证获取单元，被配置为获取一个或多个资源凭证；派生伪名生成单元，被配置为从根伪名生成第一派生伪名；和，柔性凭证生成单元，被配置为根据所选择的一组资源凭证，生成柔性凭证。其中，用户终端使用第一派生伪名和柔性凭证来获得对与该组资源凭证相对应的一组资源的访问。

根据本发明的另一个方面，提供了一种用于通信系统中的用户终端的方法，包括：获取根伪名；获取一个或多个资源凭证；从根伪名生成第一派生伪名，并根据所选择的一组资源凭证，生成柔性凭证；以及，使用第一派生伪名和柔性凭证来获得对与该组资源凭证相对应的一组资源的访问。

根据本发明的另一个方面，提供了一种在通信系统中管理对一个或多个资源的访问的装置(RP)，包括：伪名验证单元，被配置为验证用户的派生伪名；柔性凭证验证单元，被配置为验证用户的柔性凭证；和，授权单元，被配置为基于伪名验证单元和柔性凭证验证单元的验证结果，授权用户访问与柔性凭证相对应的一组资源。

根据本发明的另一个方面，提供了一种在通信系统中管理对一个或多个资源的访问的方法，包括：验证用户的派生伪名；验证用户的柔性凭证；以及，基于派生伪名和柔性凭证的验证结果，授权用户访问与柔性凭证相对应的一组资源。

本发明还提供了具有机器可读介质的制品，该机器可读介质上记录有能够使得处理器执行根据本发明的方法的指令。

根据本发明的方案，用户在被授予资源凭证之后，不论多少次向资源保护者出示其凭证，都可以保持匿名性，而不需要再次联系资源持有者。并且，在PA的公钥被确定和公布之后，PA可以容纳的RH的数量可变。在资源持有者的公钥被确定和公布之后，资源持有者可以管理的资源的数量可以不固定，而不需改变已经颁发的凭证。

另外，用户可以有选择地向资源保护者出示其全部访问权的集合的任何一部分。并且，用于用来证明其任何一部分访问权的计算开销与要被证明的权利的数量无关(与仅证明一个权利的计算开销相同)。

另外，伪名机构可以吊销用户的任何一个访问权，而不改变用户的其他权利。并且，伪名机构可以在不涉及资源持有者的情况下进行该吊销。换句话说，实现了精细吊销，并且吊销不用到资源持有者的私钥。验证任意多个访问权是否被吊销所需要的高代价计算量是衡量的，即与验证一个访问权是否被吊销所需要的高代价计算量相同。

从下面结合附图的详细描述中，可以看出本发明的其他特征和优点。注意，本发明并不限于图中所示的示例或者任何具体的实施例。

附图说明

结合附图，从下面对本发明优选实施例的详细描述，将更好地理解本发明，附图中类似的参考标记指示类似的部分，其中：

图1是示意性地示出了根据本发明的方案的一般性概念的示图；

图2是示出了根据本发明的凭证使用和吊销的示意图；

图3是示出了根据本发明第一实施例的PA的示例配置的框图；

图4是示出了根据本发明第一实施例的RH的示例配置的框图；

图5是示出了根据本发明第一实施例的用户终端的示例配置的框图；

图6是示出了根据本发明第一实施例的RP的示例配置的框图；

图7是示出了根据本发明第一实施例的PA建立过程的流程图；

图8是示出了根据本发明第一实施例的RH建立过程的流程图；

图9是示出了根据本发明第一实施例的根伪名颁发过程的流程图；

图10是示出了根据本发明第一实施例的凭证颁发过程的流程图；

图11是示出了根据本发明第一实施例的授权过程的流程图；

图12是示出了根据本发明第三实施例的PA的示例配置的框图；

图13是示出了根据本发明第三实施例的RH的示例配置的框图；

图14是示出了根据本发明第三实施例的用户终端的示例配置的框图；

图15是示出了根据本发明第三实施例的资源保护者的示例配置的框图；

图16是示出了传统技术的授权系统的框图；以及

图17是示出了传统技术的授权和吊销方案的示图。

具体实施方式

图1示意性地示出了根据本发明的方案的一般性概念。如图1所示，伪名机构PA向用户颁发根伪名，用户利用从根伪名自己计算出的派生伪名，从资源持有者RH获得资源凭证。当用户希望访问一个或多个资源时，用户从其全部资源凭证中选择与希望访问的资源相对应的一组资源凭证，从这组资源凭证生成一个凭证。该凭证可以由用户基于所选的任何资源凭证来生成，这里将其称为柔性凭证。然后，用户向资源保护者RP出示所生成的柔性凭证和从根伪名计算得到的派生伪名，经过资源保护者RP的验证之后，获得对希望的资源的访问。

根据本发明的方案，用户可以从根伪名生成大量彼此不同的派生伪名，在每次与资源保护者的交互中，用户可以使用不同的派生伪名，而不需要向伪名机构的多次申请。

图2是示出了根据本发明的方案的凭证使用和吊销的示意图。如图2所示，与如传统技术中将全部资源凭证出示给资源保护者不同，用户可以选择一部分资源凭证，从其生成一个柔性凭证，并将该柔性凭证发送给资源保护者进行验证。另外，利用该柔性凭证，验证过程仅在用户与资源保护者之间进行，并不涉及伪名机构或资源持有者。另外，本发明的伪名机构PA可以吊销用户的资源凭证。并且，伪名机构PA可以维护吊销列表，从而实现精细的吊销，即仅吊销用户的一个或多个资源凭证，而不影响用户的其他资源凭证。

下面参考附图描述根据本发明的示例性实施例。应当意识到，所描述的实施例仅是用于举例说明的目的，本发明并不限于所描述的具体实施例。

[第一实施例]

在下面的描述中，使用了传统乘法群(multiplicative group)符号作为示例。但是，本领域的技术人员可以认识到，也可以类似地采用经常在椭圆曲线设置中使用的加法符号。

令

和

以及另一个

均为有限循环群，使得

其中p是某个大素数。双线性映射(参见D.Boneh，M.Franklin，Identity-Based Encryption from the Weil Pairing，Proc.Ctypto’01，LNCS，vol.2139，pp.213～229，2001；S.Galbraith，K.Harrison，D.Soldera，Implementing the Tate pairing，Proc.of the 5th International Symposium onAlgorithmic Number Theory，LNCS 2369，324～337，2002；以及A.Miyaji，M.Nakabayashi，S.Takano，New Explicit Conditions of Elliptic Curves for FR-reduction，IEICE Trans.Fundamentals，E84-A(5)：1234～1243，2001，以上文献通过引用全文结合于此)

是一个函数，满足以下要求：

i.双线性(bilinear)：对于所有

并且对于所有

有e(h₁ ^a，h₂ ^b)＝e(h₁，h₂)^ab；

ii.非退化(non-degenerate)：

使得e(h₁，h₂)≠I，其中I是

的幺元(identity)；并且

iii.可计算：存在用于计算e的高效算法。

建立算法Setup(·)被定义为对于输入安全参数1^k，输出上述双线性映射的配置，并且表示为：

其中1^k意思是系统的安全长度被选择为k位。

由于

和具有相同素数阶p，因此根据双线性性质和非退化性质，可以容易地知道

系统配置

根据本发明的通信系统包括可以彼此通信的伪名机构PA、资源持有者RH、资源保护者RP以及要访问资源的用户。

图3示出了根据本发明第一实施例的伪名机构PA 300的示例配置。如图3所示，PA 300主要包括互相耦合的用于建立系统参数的系统参数建立单元310、用于执行用户身份验证的身份验证单元320、用于为用户分配用户伪名密钥的用户伪名密钥分配单元330、用于为用户生成根伪名的根伪名生成单元340、用于存储PA运行所需数据的存储单元350，以及用于与系统中的其他设备通信的通信单元360。

图4示出了根据本发明第一实施例的资源持有者RH 400的示例配置。如图4所示，RH 400主要包括互相耦合的用于为每个资源选择资源私钥并计算资源公钥的资源密钥生成单元410、验证用户伪名的伪名验证单元420、用于基于用户伪名为用户生成关于资源的凭证信息的凭证信息生成单元430、用于存储RH运行所需数据的存储单元440，以及用于与其他设备通信的通信单元450。

图5示出了根据本发明第一实施例的用户终端500的示例配置。如图5所示，用户终端500主要包括互相耦合的用于获取根伪名的根伪名获取单元510、用于从根伪名生成派生伪名的派生伪名生成单元520、用于获取资源凭证的资源凭证获取单元530、用于从所选择的资源凭证生成柔性凭证的柔性凭证生成单元540、用于存储用户终端500运行所需数据的存储单元550，以及用于与其他设备通信的通信单元560。

图6示出了根据本发明第一实施例的资源保护者RP 600的示例配置。如图所示，RP 600主要包括互相耦合的用于验证用户的伪名的伪名验证单元610、用于验证用户的柔性凭证的柔性凭证验证单元620、用于授权用户访问资源的授权单元630、用于存储RP 600运行所需数据的存储单元640，以及用于与其他设备通信的通信单元650。

下面将详细描述本发明第一实施例的示例过程。

伪名机构建立

当授权系统启动时，PA需要确定希望的安全强度，选择基本代数，生成PA的私钥，并公布PA公钥。图7示出了PA的具体建立过程。

如图7所示，在步骤S701，PA的系统参数建立单元310根据希望的安全长度确定安全参数1^k，并调用建立算法

在步骤S702，系统参数建立单元310随机选择整数

作为PA的私钥，并计算

在步骤S703，PA通过通信单元360公布其公钥

资源持有者建立

图8示出了根据本发明第一实施例的资源持有者的具体建立过程。如图8所示，在得到PA的公钥PK^PA之后，管理资源R_i ^j(j＝1，2，...，n_i)的资源持有者RH_i执行以下步骤：

在步骤S801，RH_i的资源密钥生成单元410为每个R_i ^j选择整数

作为R_i ^j的资源私钥，并计算每个资源的资源公钥

j＝1，2，...，n_i。

在步骤S802，资源密钥生成单元410还为每组B_i ^j生成关于资源私钥的知识证明签名

${\mathrm{\Σ}}_i^j=\mathrm{SKP}\{\left(x_j\right):B_i^j={g_2}^{x_j}\},j=\mathrm{1,2},...,n_i$

通过∑_i ^j，RH_i可以证明 $b_i^j={\log }_{g_2}^{B_i^j}$ 的知识。

这里，符号SKP代表所谓的知识证明技术(参见S.Goldwasser，S.Micali，C.Rackoff，The Knowledge Complexity of Interactive Proof Systems，17^th ACM Symposium on Theory of Computation，pp.291～304，1985，该文献通过引用结合与此)。已经提出了许多方法来以零知识证明离散对数知识(参见A.Fiat，A.Shamir，How To Prove Yourself：Practical Solutions toIdentification and Signature Problems，Advances in Cryptology-CRYPTO’86，pp.186～194，1986；D.Chaum，Demonstrating Possession of a DiscreteLogarithm without Revealing It，Advances in Cryptology-CRYPTO’86，pp.200～212，1987；D.Chaum，J.H.Evertse，J.van de Graaf，An Improved Protocolfor Demonstrating Possession of Discrete Logarithms and Some Generalizations，Advances in Cryptology-EUROCRYPTO’87，pp.127～141，1987；D.Chaum，T.P.Pedersen，Wallet Databases with Observers，Advances in Cryptology-CRYPTO’92，pp.89～105，1993；K.Sako，J.Kilian，Receipt-Free Mix-TypeVoting Scheme-A Practical Solution to the Implementation of a Voting Booth，Advances in Cryptology-CRYPTO’98，pp.393～403，1998；以及Ke Zeng，Pseudonymous PKI for Ubiquitous Computing，LNCS 4043，pp.207-222，EuroPKI’06，2006，其提供了如何计算和实现知识证明过程的具体的按步骤的示例。以上文献通过应用结合于此)。例如， $\mathrm{SKP}\{\left(x_j\right):B_i^j={g_2}^{x_j}\}$ 表示资源持有者RH_i可以证明其知道x_i，使得 $B_i^j={g_2}^{x_j},$ 但是并未在计算上泄漏关于x_j的任何信息。

用于执行知识证明的各种传统方法可以用在本发明的实施例中。由于它们是本领域中公知的，所以这里不对其详细描述。对本领域的技术人员来说很明显，交互式和非交互式知识证明都可以用在本发明的实施例中。非交互式知识证明可以减小用户设备和服务设备之间的往返通信，因此，在网络使用和时间消耗方面是有利的。但是，它可能要求用户设备和服务设备共享相同的时间源点，以便防御重放攻击。交互式和非交互式变形的优点和缺点是本领域技术人员公知的。

返回参考图8，在步骤S803，RH_i通过其通信单元430公布其公钥 ${\mathrm{PK}}_i^{\mathrm{RH}}=\left\{(B_i^j,{\mathrm{\Σ}}_i^j)\right\},$ j＝1，2，...，n_i，其中B_i ^j是资源R_i ^j的公钥。或者，代替自己公布PK_i ^RH，RH_i可以将{(B_i ^j，∑_i ^j)，j＝1，2，...，n_i，发送给PA，并由PA公布 ${\mathrm{PK}}_i^{\mathrm{RH}}=\left\{(B_i^j,{\mathrm{\Σ}}_i^j)\right\},$ j＝1，2，...，n_i。如所公知的，∑_i ^j表明了资源持有者Rh_i按照不能攻击系统的方式产生了B_i ^j。

实际上，也可以由伪名机构代替资源持有者来为资源持有者所管理的资源分配资源私钥，并发送给资源持有者。另外，资源私钥的知识证明签名以及资源公钥也可以由伪名机构来计算并公布。在本发明的另外的实施例中，伪名机构可以包括资源密钥生成单元(未在图中示出)，用于分配资源私钥、计算资源公钥和/或生成资源私钥的知识证明签名。

伪名颁发

图9示出了根据本发明的第一实施例的颁发根伪名的具体过程。如图9所示，在得到PA的公钥PK^PA之后，为了从PA得到根伪名，具有可验证身份U的用户与PA执行以下交互：

在步骤S901，用户终端的根伪名获取单元510向PA请求根伪名，并通过通信单元560将用户的可验证身份U发送给PA。

在步骤S902，PA的身份验证单元320验证用户身份U，从而判断是否可以对该用户颁发根伪名。如果用户未通过验证，则PA不向用户颁发根伪名，过程进行到步骤S903，进行失败处理。例如向用户通知失败原因并结束过程，或者要求用户重新发送信息。

如果判断出可以向该用户颁发伪名，则在步骤S904，PA的用户伪名密钥分配单元330在PA的数据库(可以存储在存储单元350中)中寻找对于U存储的用户伪名密钥

如果找到匹配的用户伪名密钥，则过程进行到步骤S906。否则，过程进行到步骤S905，用户伪名密钥分配单元330为U选择

作为该用户的伪名密钥。

在步骤S906，PA的根伪名生成单元340计算作为用户的根伪名。

在步骤S907，PA将

保存在存储单元350中的数据库中，并通过通信单元360将用户伪名密钥和根伪名t发送给用户。

接收到PA发送的用户伪名密钥和根伪名t之后，在步骤S908，用户终端的根伪名获取单元510验证 $e(t,A\·{g_2}^z)=e(g_1,g_2)$ 是否成立。如果验证失败，则过程返回步骤S901，重新作出请求。或者，用户向PA发送通知，要求重新传送数据。

如果验证通过，则在步骤S909，用户在存储单元550中存储其用户伪名密钥

和根伪名t。

注意，如所公知的，可以存在各种方法来使得PA验证用户身份并确保用户的可验证身份U与真实用户之间的关联。因为PA如何实现这一点与本发明并不直接相关，因此这里省略对其详细描述。

凭证颁发

凭证颁发过程可以概念性地解释为两个阶段。第一阶段执行伪名验证，而第二阶段颁发凭证。图10示出了根据本发明第一实施例的颁发凭证的具体过程。如图10所示，在得到PA的公钥PK^PA和资源R_i ^j的公钥B_i ^j之后，为了获得对资源R_i ^j的访问权，具有用户伪名密钥和根伪名t的用户与管理资源R_i ^j的资源持有者RH_i执行以下交互：

在步骤S1001，用户终端的派生伪名生成单元520选择

并计算派生伪名 $T=t^{\mathrm{\τ}}.$

在步骤S1002，用户终端的派生伪名生成单元520计算知识证明签名

$\mathrm{\Σ}=\mathrm{SKP}\{(x_1,x_2):e(T,A)=e{(g_1,g_2)}^{x_1}\·{\left(e{(t^{-1},g_2)}^{\mathrm{\τ}}\right)}^{x_2}\}$

在步骤S1003，用户终端的资源凭证获取单元530向资源持有者RH_i请求资源R_i ^j的凭证，并通过通信单元560将派生伪名T和知识证明签名∑发送到资源持有者RH_i。

在步骤S1004，RH_i接收到∑后，其伪名验证单元420检查∑的有效性。如果∑是无效的，则RH_i不向用户颁发凭证，过程进行到步骤S1005，进行失败处理。例如向用户通知失败原因并结束过程，或者要求用户重新发送信息。

如果∑是有效的，则在步骤S1006，RH_i的凭证信息生成单元430计算凭证信息 ${{\mathrm{\υ}}_{\mathrm{ij}}}^{\′}=T^{b_i^j},$ 并通过通信单元450将凭证信息υ_ij′发送给用户。

用户从RH_i接收到凭证υ_ij′后，在步骤S1007，用户终端的资源凭证获取单元530计算资源凭证 ${\mathrm{\υ}}_{\mathrm{ij}}={{{\mathrm{\υ}}_{\mathrm{ij}}}^{\′}}^{1/\mathrm{\τ}}.$

然后在步骤S1008，用户终端的资源凭证获取单元530验证 $e(t,B^j)=e({\mathrm{\υ}}_{\mathrm{ij}},g_2)$ 是否成立。如果验证失败，则过程返回步骤S1001，重新作出请求。或者，用户向RH_i发送通知，要求重新传送数据。

如果验证通过，则在步骤S1009，用户在存储单元550中存储υ_ij作为对于资源R_i ^j的资源凭证。

虽然上面以用户请求资源R_i ^j的凭证为例，说明了凭证颁发的过程。但是，很明显，在资源持有者管理多个资源的情况下，用户可以利用上述过程的多次执行来获得多个资源凭证，也可以在一次过程同时请求并获得多个资源凭证。

当然，用户也可以直接使用根伪名t从资源持有者获取资源凭证。此时，上述的派生伪名T被根伪名t代替，并且RH_i将向用户发送

而用户直接将

存储为资源凭证。

授权

逻辑上，在授权之前进行认证。因此，授权过程一般可以分为两个阶段。第一阶段用于验证用户的伪名，第二阶段用于验证用户的与其伪名相关联的凭证。

图11示出了根据本发明第一实施例的具体授权过程。

给定PA的公钥PK^PA、资源持有者的公钥{PK_i ^RH}，并且用户具有用户伪名密钥根伪名t和一组凭证Λ＝{υ_ij}，用户通过这组凭证可以访问具有一组公钥 $B=\left\{B_i^j\right\}$ 的资源 $R=\left\{R_i^j\right\}.$ 下面参考图11描述的步骤说明了用户使资源保护者RP确信其具有对由用户选择的资源子集

的访问权的过程。

基于与相对应的公钥组

用户需要做的是表明其持有代表对资源

的访问权的凭证子集不丧失一般性，这里将

写为

将

写为

作为用户秘密的凭证子集是

在步骤S1101，用户终端的派生伪名生成单元520选择

并计算派生伪名 $T=t^{\mathrm{\τ}}.$ 注意，在授权过程中一般使用与上述凭证颁发过程中所用的派生伪名不同的派生伪名。这可以通过选择不同的

来实现。以下为了简化描述，各种派生伪名均使用相同的符号T表示。但是应当理解，根据本发明，每次凭证颁发过程和每次授权过程中使用的派生伪名都可以不同。

在步骤S1102，用户终端的柔性凭证生成单元540选择与要访问的资源相对应的资源凭证子集

要访问的一个或多个资源例如可以由柔性凭证生成单元540根据用户的命令(例如来自另外的输入装置的用户输入)来确定。或者，用户终端还可以包括与柔性凭证生成单元540相耦合的另外的资源选择单元(未示出)，用于选择希望访问的资源。

在步骤S1103，用户终端的柔性凭证生成单元540根据所选的凭证子集计算柔性凭证

在步骤S1104，用户终端的派生伪名生成单元520计算知识证明签名

$\mathrm{\Σ}=\mathrm{SKP}\{(x_1,x_2):e(T,A)=e{(g_1,g_2)}^{x_1}\·{\left(e{(t^{-1},g_2)}^{\mathrm{\τ}}\right)}^{x_2}\}$

然后，在步骤S1105，用户向RP请求授权访问资源

并通过通信单元560将柔性凭证V、派生伪名T和知识证明签名∑发送给资源保护者RP。

在接收到∑和柔性凭证V之后，RP的伪名验证单元610在步骤S1106检查∑的有效性。如果∑是无效的，则RP拒绝用户，过程进行到步骤S1107，进行失败处理。例如向用户通知失败原因并结束过程，或者要求用户重新发送信息。

如果∑是有效的，则在步骤S1108，RP的柔性凭证验证单元620检查

是否成立。如果等式不成立，则过程进行到步骤S1107，进行失败处理。例如向用户通知失败原因并结束过程，或者要求用户重新发送信息。

如果等式成立，则RP确信用户具有对资源

的访问权，其中

是R的子集。于是在步骤S1109，RP的授权单元630允许用户访问资源

当然，用户也可以直接使用根伪名和柔性凭证来与RP交互。本领域技术人员可以容易地设计相应的过程，因此这里省略对该过程的详细描述。

显然，与传统技术中需要表明全部凭证不同，根据本发明，在凭证验证期间，用户可以自由地选择任何一部分凭证来表明给资源保护者。归功于的批量验证，高代价的密码计算的量，尤其是有限循环加法群中的标量乘法、有限循环乘法群中的模指数运算以及双线性对计算的量，保持相同，与具体哪些凭证要被表明无关。

在上面描述的实施例中，并未提及PA的追查的能力。但是，根据本发明的匿名柔性凭证方案，可以对PA添加追查和吊销的能力。下面将描述具有追查和吊销能力的本发明的另外的实施例。

[第二实施例]

下面描述根据本发明的具有追查能力的第二实施例。

如上所述，凭证颁发过程和授权过程的第一阶段验证了用户的伪名。因此，仅需要对伪名颁发和伪名验证稍作修改，便可以使得PA具有追查能力。注意，实际中，追查和吊销可以分别被指派给另外的追查机构或吊销机构。但这并不影响本发明的实质。

本领域的技术人员可以设计各种方案。例如，可以采用D.Boneh，X.Boyen，H.Shacham，Short Group Signatures.In Proc.of Advances inCryptology-Crypto’04，LNCS vol.3152，pp.41～55，2004或K.Zeng.Pseudonymous PKI for Ubiquitous Computing.In Proc.of 3rd European PKIWorkshop：theory and practice(EuroPKI’06)，LNCS vol.4043，pp.207～222，2006中描述的标准做法，上述文献通过引用全文结合于此。

此外，这样的修改还可以使得PA具有吊销的能力。但是应当注意，利用传统技术的修改，得到的吊销能力不是精细的。换句话说，PA只能同时吊销用户的伪名及其全部凭证。

下面，以K.Zeng.Pseudonymous PKI for Ubiquitous Computing.In Proc.of 3rd European PKI Workshop：theory and practice(EuroPKI’06)，LNCS vol.4043，pp.207～222，2006中提出的方法为例，说明本发明的具有追查能力的一个实施例。本实施例的配置与上述本发明的第一实施例类似，并对其作出了若干修改。为了清楚，下面仅描述本实施例与上述第一实施例的不同之处，并且使用相同的参考标号表示类似的部分。注意，这里的描述仅是用于举例说明的目的。如上所述，本领域的技术人员可以在本发明的匿名柔性凭证方案的基础上，利用其他各种方式，来实现PA的追查能力。

下面描述对本发明第一实施例作出的示例修改。

在伪名颁发期间，用户需要计算并向PA发送用户公钥

以及

该参数用于追查目的，其中h是PA的公钥PK^PA的附加参数，x_u是用户的私钥。该计算例如可以由用户终端的根伪名获取单元510执行，或者由另外的能够得到或生成用户私钥和公钥的单元执行。获得和使用用户公钥和私钥的方法是本领域公知的，这里省略对其的详细描述。用户可以在上述图9所示的步骤S901中，将用户公钥

以及

包括在用户身份中发送给PA。

另外，在上述图9所示的步骤S906中，代替PA的根伪名生成单元340将计算

其中 $t=t_g{\·t}_h$ 将作为用户的根伪名，h₁是PA的公钥PK^PA的附加参数，x_u是用户的私钥。并且在步骤S907中，PA将向用户发送

(或者发送

以及 $t=t_g{\·t}_h),$ 并且还将存储与用户身份相对应的

然后，在步骤S909中，用户除了存储根伪名 $t=t_g\·t_h,$ 还存储伪名吊销参数 $\mathrm{\θ}{=t}_g,$ 其中伪名吊销参数θ是用于非精细吊销目的。

对于凭证颁发过程和授权过程中的伪名验证，用户终端的派生伪名生成单元520将选择整数

计算派生伪名 $T=t^{\mathrm{\τ}}.$ 另外，用户还将计算追查参数 $T_y=T^{x_u},$ 并根据伪名吊销参数生成与派生伪名T一同使用的伪名吊销验证参数 $\mathrm{\Θ}={\mathrm{\θ}}^r$ (例如，由用户终端的派生伪名生成单元520在上述图10所示的步骤S1001和图11所示的步骤S1101中完成该计算，并且在上述图10所示的步骤S1003和上述图11所示的步骤S1105中，用户还将和Θ发送给RH或RP)。注意，在凭证颁发过程和授权过程中，用户可以选择不同的

以便生成不同的派生伪名。

并且，例如在上述图10所示的步骤S1002和上述图11所示的步骤S1102中，用户终端的派生伪名生成单元520计算知识证明签名

其中

${\mathrm{\υ}}_1=e(g_1\·h_1,g_2),$ ${\mathrm{\υ}}_2=e({(t_g\·t_h)}^{-1},g_2),$ ${\mathrm{\υ}}_3=e(h,g_2),$ ${\mathrm{\υ}}_4=e(g_1,g_2),$ ${\mathrm{\υ}}_5=e({\mathrm{\θ}}^{-1},g_2)$

从而，当需要追查使用派生伪名的用户的真实身份时，PA可以对存储在其数据库中的所有

检查 $e(T,y^{\′})=e(T_y,g_2)$ 是否成立，从匹配的

找到用户伪名密钥和其身份。这样，利用少量修改，PA具有了追查任何用户的真实身份及其用户伪名密钥的能力。在这种情况下，PA可以包括执行查找的追查单元(未在图中示出)。

应当注意，在凭证颁发阶段，资源保护者RH_i将使用 $T={(t_g\·t_h)}^r$ 来向用户颁发凭证，用户的资源凭证将是 ${\mathrm{\υ}}_{\mathrm{ij}}={(t_g\·t_h)}^{b_j}.$ 由于以后改变

和

将使得用户全部的伪名T无效，从而全部的υ_ij无效，即，使得用户的凭证无效，因此针对非精细的吊销目的，添加了伪名吊销参数θ及其相关的知识证明签名。相应地，PA可以包括利用上述关于伪名吊销参数θ的机制，吊销用户派生伪名的吊销单元。例如，该吊销单元使得伪名吊销参数θ无效来使得用户的根伪名和从该根伪名生成的任何派生伪名无效。本领域的技术人员可以容易地设计吊销机制。例如，将D.Boneh，X.Boyen，H.Shacham，Short Group Signatures.In Proc.of Advances in Cryptology-Crypto’04，LNCS vol.3152，pp.41～55，2004中的机制应用于伪名吊销参数θ。当然，仅对于追查匿名用户的真实身份而言，伪名吊销参数θ并非是必需的。

在用户的根伪名和从其生成的派生伪名被吊销之后，用户不能够再通过伪名验证过程。自然，与该用户的根伪名和派生伪名相关联的全部凭证都被吊销了。因此，上述实施例所实现的吊销不是精细的。

上面给出了基于用户的私钥x_u进行追查的一个示例。然而，本领域技术人员可以理解，在本发明中也可以使用其他参数和追查算法来实现伪名机构的追查能力。例如，可以使用已有的或另外设计的某个参数(用户唯一参数)，只要该参数对于用户来说是唯一的，并且伪名机构能够从用户的派生伪名或与派生伪名一起使用的信息中重构该参数，且该参数对于其他方来说是不可计算的。

例如，利用D.Boneh，X.Boyen，H.Shacham，Short Group Signatures.InProc.of Advances in Cryptology-Crypto’04，LNCS vol.3152，pp.41～55，2004中公开的另一种追查机制，可以在本发明中使用用户伪名密钥

来实现追查能力。下面简要描述基于用户伪名密钥

实现追查的一种示例性的过程。

首先，PA公布额外的公钥(u，v，h)，并且PA保持私钥(x，y)，使得h＝u^x＝v^y。其中，u，v和h都是群的元素。

对于凭证颁发过程和授权过程中的伪名验证，代替上述示例中的

用户从

中选择整数α和β，并计算追查参数T₁＝u^α，T₂＝v^β， $T_3={g_1}^z{h}^{\mathrm{\α}+\mathrm{\β}}.$ 在相应的知识证明(计算知识证明签名)中，用户向资源持有者或资源保护者发送T₁，T₂和T₃，并相对于基数u，v，h和

分别证明α，β，α+β和

的知识。

例如在上述图10所示的步骤S1002和上述图11所示的步骤S1102中，用户终端的派生伪名生成单元520计算知识证明签名

其中

${\mathrm{\υ}}_1=e(g_1\·h_1,g_2),$ ${\mathrm{\υ}}_2=e({(t_g\·t_h)}^{-1},g_2),$ ${\mathrm{\υ}}_3=e(h,g_2),$ ${\mathrm{\υ}}_4=e(g_1,g_2),$ ${\mathrm{\υ}}_5=e({\mathrm{\θ}}^{-1},g_2)$

给定用户的有效的知识证明，伪名机构能够通过计算 ${g_1}^z=T_3/\left({T_1}^x{T_2}^y\right),$ 从T₁，T₂和T₃解出

由于每个用户的用户伪名密钥

是不同的，因此可以利用唯一地识别出用户，从而实现了追查。

如本领域技术人员所能理解的，追查能力的实现并不限于基于用户私钥x_u或用户伪名密钥

而是，还可以利用已有技术中任何适当的参数和算法，或者另外设计的参数和算法来实现追查。因此，在本发明的精神和范围中，本领域技术人员能够对上述实施例作出各种替换、修改或改进，而不脱离本发明的精神和范围。

在本发明的另外的实施例中，可以实现精细的方法，即可以吊销用户的任何凭证而保留用户的其他凭证的有效性。下面将描述这样的实施例的示例。

[第三实施例]

下面描述本发明的具有精细吊销能力，即能够基于每用户每凭证来进行吊销的示例性实施例。

假设用户

具有用户伪名密钥

和对资源R_i ^j的访问权。一些情况中，由于用户的不良行为或者其他原因，需要吊销其例如关于资源R_i ^j的资源凭证。根据本发明的该实施例，PA可以只吊销用户

关于资源R_i ^j的资源凭证，而不是使用非精细的吊销来吊销用户的全部凭证。一般，在每用户每凭证的吊销之前，PA需要执行追查，以发现用户

的真实身份及其用户伪名密钥

可以例如使用上述第二实施例中描述的方法来进行追查。

下面简要描述具有精细吊销能力的第三实施例。

只需对上述第一实施例的PA、RH、用户和RP的配置添加相应的用于吊销和更新的部分，就可以实现根据本发明第三实施例的具有精细吊销能力的方案。图12～图15分别示出了根据本发明第三实施例的PA、RH、用户和RP的示例配置。

具体地说，如图12所示，根据本发明第三实施例的PA 1200除了具有如图3所示的那些部分，还具有用于吊销任一用户的任一资源凭证的吊销单元1201。如图13所示，根据本发明第三实施例的RH 1300除了具有如图4所示的那些部分，还具有用于初始化或维护吊销列表的吊销列表单元1301。如图14所示，根据本发明第三实施例的用户终端1400除了具有如图5所示的那些部分，还具有用于更新凭证吊销参数的吊销参数更新单元1401。如图15所示，根据本发明第三实施例的RP 1500除了具有如图6所示的那些部分，还具有用于获取最新的吊销列表的吊销列表获取单元1501。

下面将详细描述本发明第三实施例的示例过程。

在资源持有者建立过程中，资源持有者RH_i在上述图8所示的步骤S801生成每个资源R_i ^j的私钥

和公钥

j＝1，2，...，n_i，之后，其吊销列表单元1301对每个R_i ^j初始化吊销列表 ${\mathrm{RL}}_i^j=\left\{({g_1}_i^j,\mathrm{\Δ})\right\},$ 其中，

Δ代表还没有发生吊销，即，二元组是RL_i ^j(j＝1，2，...，n_i)中的第一行。

然后，在上述图8所示的步骤S802中，资源密钥生成单元410将为每组B_i ^j和生成如下知识证明签名：

并且在上述图8所示的步骤S803中，RH_i公布其公钥 ${\mathrm{PK}}_i^{\mathrm{RH}}=\left\{(B_i^j,R_i^j,{\mathrm{\Σ}}_i^j)\right\},$ j＝1，2，...，n_i。同样，另外，代替自己公布PK_i ^RH，RH_i可以将{(B_i ^j，RL_i ^j，∑_i ^j)}发送给PA，并由PA公布。

实际上，也可以由PA为每个R_i ^j生成初始吊销列表。例如，在本发明的另外的实施例中，在PA从资源持有者得到资源私钥和公钥，或者由PA生成资源私钥和公钥的情形中，资源的初始吊销列表可以例如由PA的吊销单元1201来执行。

在凭证颁发过程中，用户在上述参考图10描述的步骤S1009中，除了υ_ij，用户还将存储ω_ij＝υ_ij，其中ω_ij是针对每用户每凭证吊销的目的而添加的凭证吊销参数，该凭证吊销参数可以由用户终端的吊销参数更新单元1401作为初始值而生成。

下面描述PA吊销用户

关于资源R_i ^j的资源凭证的过程。

首先，PA的吊销单元1201从与资源R_i ^j相关的吊销列表RL_i ^j的最后(最新的)一行获取

然后，吊销单元1201计算 ${\tilde{g}}_{1i}^j=g_{1i}^{j1/(a+\stackrel{\‾}{z})}.$

然后，吊销单元1201向吊销列表RL_i ^j添加新的行

并通过通信单元340公布更新的吊销列表。

考虑具有用户伪名密钥和凭证(υ_ij，ω_ij)的另一用户U，该用户U被授权访问资源R_i ^j。由于用户U的关于资源R_i ^j的资源凭证没有被吊销，因此每当资源R_i ^j的更新的吊销列表公布之后，即添加了新的一行，用户U的吊销参数更新单元1401可以将其用于资源R_i ^j的凭证吊销参数ω_ij更新为 ${\widetilde{\mathrm{\ω}}}_{\mathrm{ij}}={({\tilde{g}}_{1i}^j/{\mathrm{\ω}}_{\mathrm{ij}})}^{1/(z-\stackrel{\‾}{z})}.$ 很容易验证出 ${{\widetilde{\mathrm{\ω}}}_{\mathrm{ij}}}^{a+z}=g_{1i}^{j1/(a+\stackrel{\‾}{z})}={\tilde{g}}_{1i}^j.$

注意，每当资源的吊销列表被添加了新的一行，用户U都可以相应地更新相关的凭证吊销参数。或者，用户U可以仅在需要的时候或者定期地，根据资源的吊销列表中的吊销历史(之前的各个行)和最新的一行，完成凭证吊销参数的更新。

应当注意，授权系统也可以令PA向资源R_i ^j的资源持有者发送

并要求资源持有者更新RL_i ^j。在这种情况下，资源持有者的吊销列表单元执行资源的吊销列表更新。但是根据本发明的精细吊销，吊销并不使用任何资源持有者的密钥。因此，可以不需要经过资源持有者的允许或涉及资源持有者，PA自身就能够实现精细的吊销。

下面描述根据本发明第三实施例的授权过程。

假设在授权过程期间，资源保护者RP尤为关心用户关于资源

的资源凭证是否被吊销了。于是，用户U的吊销参数更新单元1401和资源保护者RP的吊销列表获取单元1501都将从与资源相关的吊销列表RL的最后一行获取

并且，在上述参考图11描述的授权过程的步骤S1103中，用户U的柔性凭证生成单元540除了根据所选的凭证子集计算柔性凭证还根据资源的凭证吊销参数计算凭证吊销验证参数 $W={{\mathrm{\ω}}_k}^{\mathrm{\τ}}.$

然后，在上述参考图11描述的步骤S1104中，用户U将计算如下知识证明签名：

现在，一个有效的∑不仅证明了用户U具有对资源

的访问权，而且还使得RP确信其关于资源

的资源凭证未被吊销。而由于被吊销了关于R_k的资源凭证的用户不能有效更新其凭证吊销参数，因此无法生成有效的知识证明签名，从而无法通过授权过程。

如果RP关心更多的资源凭证是否被吊销了，例如不仅

还有

则户U的吊销参数更新单元1401将进一步更新关于资源R_m的凭证吊销参数ω_m，并且资源保护者RP的吊销列表获取单元1501将进一步从与资源R_m相关的吊销列表RL的最后一行获取并且，在上述参考图11描述的授权过程的步骤S1103中，用户U的柔性凭证生成单元540计算凭证吊销验证参数 $W={\left({\mathrm{\ω}}_k{\mathrm{\ω}}_m\right)}^{\mathrm{\τ}}.$ 然后，在上述参考图11描述的步骤S1104中，用户U将计算如下知识证明签名：

当然，也可以类似地在一次知识证明中验证更多个凭证是否被吊销。容易看到，根据本发明的精细吊销能力，所需要的高代价计算量与需要特别验证的是否被吊销的资源凭证个数无关(即与验证一个资源凭证是否被吊销相同)。

上面描述了根据本发明的PA精细吊销能力。当然，代替由PA执行追查和吊销，也可以在系统中设立另外的追查机构和吊销机构来利用本发明的上述方法进行执行追查和吊销。

另外，PA或另外的吊销机构就也可以同时具有根据本发明的精细吊销能力和非精细吊销能力，例如上述第二实施例中的利用伪名吊销参数θ的吊销，从而可以选择性地执行精细和非精细的吊销。由于本领域技术人员根据上述说明，可以容易地将用于非精细吊销的参数和相关知识证明结合到上述具有精细吊销能力的方案中，因此这里省略其算法的具体描述。根据本发明的一个替代实施例，可以由PA的吊销单元1201进行精细和非精细的吊销。

根据上述描述可以看出，本发明具有以下效果：

在用户被授权之后，无论用户多少次向RP表明其凭证，用户都可以保持匿名，而不需要再次联系RH和/或PA。同时，在PA的公钥被确定和公布之后，PA可以容纳的RH的数量可变。类似的，在资源持有者的公钥被确定和公布之后，资源持有者可以管理的资源的数量可以不固定，而不需改变已经颁发的凭证。

用户可以有选择地向RP同时表明其全部访问权中的任何一个或多个，并且用户证明其任何一部分访问权时的计算成本与被证明的权利的数目无关(与证明一个权利的计算成本相同)。

PA可以吊销用户的任何一个资源凭证，而不改变用户的其他权利。并且，PA可以吊销用户的访问权而不涉及到RH，换句话说，实现了不需要RH的密钥的精细的吊销。另外，验证任意多个资源凭证是否被吊销所需要的高代价计算量是衡量的，即与验证一个资源凭证是否被吊销所需要的高代价计算量相同。

上面已经参考附图描述了根据本发明的具体实施例。但是，本发明并不限于图中示出的特定配置和处理。

例如，在上述各种交互中，还可以采用各种方法来了保证安全。例如对于上述凭证颁发过程中的关于使用知识证明签名的步骤，时变参数可以被用来抵抗重放和交错攻击，提供唯一性和时间性的保证，并防止某些选择文本攻击(参见A.Menezes，P.van Oorschot，S.Vanstone，Handbook ofApplied Cryptography.CRC Press，1996，其通过引用全文结合于此)。时变参数例如是时间戳或者随机数挑战。为了简明起见，这里省略对这些已知方法的详细描述。

在上述实施例中，使用了传统乘法群符号作为示例，但是本领域的技术人员将认识到，也可以类似地采用在椭圆曲线设置中使用的加法符号。在使用加法符号时，例如上述柔性凭证将被计算为

在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神之后，作出各种改变、修改和添加。例如，在上述第一实施例的步骤S1101～S1103中，用户生成派生伪名T之后生成了柔性凭证V，但是，用户也可以先选择

并生成柔性凭证V之后，生成派生伪名T。

根据本发明的PA、RH、用户终端和RP可以实现为网络中的或者可耦合到网络的各种设备，例如个人计算机、服务器、诸如移动电话、个人数字助理、膝上型计算机等移动设备等等，也可以实现为上述各种设备中的硬件或软件模块。

虽然作为PA、RH、用户终端和RP的示例性配置，附图中已经示出了耦合在一起的某些单元和模块。但是，每种设备所包括的部分并不限于所描述的这些单元和模块，并且具体的配置可以被修改或改变。例如，一些被示出为分立的单元可以组合在一起，或者一个单元可以按照其功能被分为若干个单元。例如，图示的存储单元可以被实现为若干部件，其中每个部件被结合到一个单元中用于存储该单元的数据。

另外，虽然示出了分别具有特定功能的示例性的单元和模块，但是单元和模块的功能划分并不限于所示出的示例，而是可以进行任何修改、交换和组合。例如，上述伪名吊销验证参数和凭证吊销验证参数分别由用户的派生伪名生成单元和柔性凭证生成单元生成，但是关于各种吊销参数的计算也可以代替地由吊销参数更新单元或者另外的单元执行。又例如，代替上述相关单元生成知识证明签名，各个设备也可以另外具有分别的知识证明单元用于进行相关的知识证明。

另外，PA、RH、用户终端和RP中的每一个也可以同时具有其他方的功能，例如，RH和RP可以同时实现在同一个服务器中。

另外，当实现为具体的设备时，PA、RH、用户终端和RP还可以包括作为具体设备所需的其他单元，例如用于向操作者显示信息的显示单元、用于接收操作者的输入的输入单元、用于控制每个单元的操作的控制器等等。由于这些部件是本领域中公知的，因此并未对其详细描述，并且本领域的技术人员将容易地想到将它们添加到上述的设备中。

本发明的元素可以实现为硬件、软件、固件或者它们的组合，并且可以用在它们的系统、子系统、部件或者子部件中。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

本发明可以以其他的具体形式实现，而不脱离其精神和本质特征。例如，特定实施例中所描述的算法可以被修改，而系统体系结构并不脱离本发明的基本精神。因此，当前的实施例在所有方面都被看作是示例性的而非限定性的，本发明的范围由所附权利要求而非上述描述定义，并且，落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。

Claims (54)

1.一种用于通信系统的方法，包括：

颁发根伪名；

获取一个或多个资源凭证；

从所述根伪名生成第一派生伪名；

从所述一个或多个资源凭证中选择一组资源凭证；

根据所述一组资源凭证，生成柔性凭证；

利用所述第一派生伪名和所述柔性凭证作出访问请求；以及

在验证所述第一派生伪名和所述柔性凭证之后，准许所述访问请求。

2.根据权利要求1所述的方法，还包括：

为每个资源生成资源私钥和资源公钥。

3.根据权利要求1所述的方法，其中，颁发根伪名还包括：

分配并存储用户伪名密钥；以及

基于所述用户伪名密钥，生成所述根伪名。

4.根据权利要求1所述的方法，其中，获取一个或多个资源凭证包括：

利用所述根伪名，请求资源凭证；

计算 ${\mathrm{\υ}}_{\mathrm{ij}}=t^{b_i^j},$ 其中t是所述根伪名，b_i ^j是所述资源的资源私钥；以及

将υ_ij存储为所述资源的资源凭证。

5.根据权利要求1所述的方法，其中，获取一个或多个资源凭证包括：

从所述根伪名生成第二派生伪名；以及

利用所述第二派生伪名获取资源凭证。

6.根据权利要求5所述的方法，其中，所述第二派生伪名被计算为T＝t^τ，其中t是所述根伪名，τ是一个整数，并且其中，利用所述第二派生伪名获取资源凭证还包括：

计算凭证信息 ${{\mathrm{\υ}}_{\mathrm{ij}}}^{\′}=T^{b_i^j},$ 其中，b_i ^j是所述资源的资源私钥；以及

将υ_ij＝υ_ij′^l/τ存储为所述资源的资源凭证。

7.根据权利要求1所述的方法，其中，所述第一派生伪名被计算为T′＝t^τ′，其中t是所述根伪名，τ′是一个整数，并且，所述柔性凭证被计算为

或其中

是所述一组资源凭证。

8.根据权利要求1所述的方法，还包括：

根据用户唯一参数生成追查参数，其中所述追查参数可以与所述根伪名或从所述根伪名生成的派生伪名一同用于追查。

9.根据权利要求1所述的方法，还包括：

颁发伪名吊销参数，所述伪名吊销参数可用于吊销所述根伪名和从所述根伪名生成的任何派生伪名；以及

根据所述伪名吊销参数生成与派生伪名一同使用的伪名吊销验证参数。

10.根据权利要求1所述的方法，还包括：

生成每个资源的初始吊销列表；

当一个资源凭证要被吊销时，更新与所述资源凭证相对应的资源的吊销列表；以及

根据更新的吊销列表，更新关于所述资源的凭证吊销参数，并生成凭证吊销验证参数，

其中，验证所述第一派生伪名还包括基于资源的吊销列表中的参数，验证凭证吊销验证参数。

11.一种在通信系统中管理伪名的装置，包括：

系统参数建立单元，被配置为建立系统参数；

身份验证单元，被配置为执行用户身份验证；

用户伪名密钥分配单元，被配置为为用户分配用户伪名密钥；和

根伪名生成单元，被配置为基于用户伪名密钥，生成要颁发给用户的根伪名。

12.根据权利要求11所述的装置，还包括：

资源密钥生成单元，被配置为生成资源私钥和/或资源公钥。

13.根据权利要求11所述的装置，还包括：

追查单元，被配置为利用用户唯一参数追查使用派生伪名的用户身份。

14.根据权利要求13所述的装置，其中，所述用户唯一参数是用户伪名密钥或用户私钥。

15.根据权利要求11所述的装置，还包括：

吊销单元，被配置为通过使用户的伪名吊销参数无效，吊销用户的根伪名和从所述根伪名生成的任何派生伪名。

16.根据权利要求11所述的装置，还包括：

吊销单元，被配置为更新资源的吊销列表，以吊销一个关于该资源的用户资源凭证。

17.一种在通信系统中管理伪名的方法，包括：

当接收到来自用户终端的用户请求时，验证用户身份；

如果所述用户身份通过验证，则为所述用户分配用户伪名密钥；以及

基于所述用户伪名密钥，生成根伪名。

18.根据权利要求17所述的方法，还包括：

生成资源私钥和/或资源公钥。

19.根据权利要求17所述的方法，还包括：

利用用户唯一参数，追查使用派生伪名的用户身份。

20.根据权利要求19所述的方法，其中，所述用户唯一参数是用户伪名密钥或用户私钥。

21.根据权利要求17所述的方法，还包括：

通过使用户的伪名吊销参数无效，吊销用户的根伪名和从所述根伪名生成的任何派生伪名。

22.根据权利要求17所述的方法，还包括：

更新资源的吊销列表，以吊销一个关于该资源的用户资源凭证。

23.一种在通信系统中管理一个或多个资源的凭证的装置，包括：

资源密钥生成单元，被配置为为每个资源生成资源私钥和资源公钥；

伪名验证单元，被配置为验证用户的派生伪名；和

凭证信息生成单元，被配置为基于用户的派生伪名，生成要发送给所述用户的用户终端的关于资源的凭证信息。

24.根据权利要求23所述的装置，还包括：

吊销列表单元，被配置为生成或接收资源的初始吊销列表。

25.根据权利要求23所述的装置，其中，所述伪名验证单元还被配置为验证所述用户的伪名吊销验证参数。

26.根据权利要求23所述的装置，其中，所述凭证信息生成单元计算 ${{\mathrm{\υ}}_{\mathrm{ij}}}^{\′}=T^{b_i^j}$ 作为资源的凭证信息，其中T是所述用户的派生伪名，b_i ^j是所述资源的资源私钥。

27.一种在通信系统中管理一个或多个资源的凭证的方法，包括：

为每个资源生成资源私钥和资源公钥；

当接收到来自用户终端的用户请求时，验证所述用户的派生伪名；以及

如果验证通过，则基于所述派生伪名，生成要发送给所述用户终端的关于资源的凭证信息。

28.根据权利要求27所述的方法，还包括：

生成或接收资源的初始吊销列表。

29.根据权利要求27所述的方法，还包括：

验证所述用户的伪名吊销验证参数。

30.根据权利要求27所述的方法，其中，所述凭证信息被计算为 ${{\mathrm{\υ}}_{\mathrm{ij}}}^{\′}=T^{b_i^j}$ ，其中T是所述用户的派生伪名，b_i ^j是所述资源的资源私钥。

31.一种通信系统中的用户终端，包括：

根伪名获取单元，被配置为获取根伪名；

资源凭证获取单元，被配置为获取一个或多个资源凭证；

派生伪名生成单元，被配置为从所述根伪名生成第一派生伪名；和

柔性凭证生成单元，被配置为根据所选择的一组资源凭证，生成柔性凭证，

其中，所述用户终端使用所述第一派生伪名和所述柔性凭证来获得对与所述一组资源凭证相对应的一组资源的访问。

32.根据权利要求31所述的用户终端，还包括：

吊销参数更新单元，被配置为根据资源的吊销列表，更新所述资源的凭证吊销参数，

其中，所述柔性凭证生成单元还被配置为根据所述凭证吊销参数，生成凭证吊销验证参数。

33.根据权利要求31所述的用户终端，其中，所述资源凭证获取单元被配置为利用所述根伪名获取资源凭证。

34.根据权利要求31所述的用户终端，其中，所述派生伪名生成单元还被配置为从所述根伪名生成第二派生伪名，并且所述资源凭证获取单元被配置为利用所述第二派生伪名获取资源凭证。

35.根据权利要求34所述的用户终端，其中，所述派生伪名生成单元计算为T＝t^τ作为所述第二派生伪名，其中t是所述根伪名，τ是一个整数，并且其中，所述资源凭证获取单元获取凭证信息υ_ij′，并且将υ_ij′＝υ_ij′^l/τ存储为所述资源凭证。

36.根据权利要求31所述的用户终端，其中，所述派生伪名生成单元计算为T′＝t^τ′作为所述第一派生伪名，其中t是所述根伪名，τ′是一个整数，并且其中，所述柔性凭证生成单元计算

或

作为所述柔性凭证，其中

是所述一组资源凭证。

37.根据权利要求31所述的用户终端，其中，所述派生伪名生成单元还被配置为根据用户唯一参数生成追查参数，其中所述追查参数可以与所述根伪名或从所述根伪名生成的派生伪名一同用于追查用户身份。

38.根据权利要求31所述的用户终端，其中，所述根伪名获取单元还被配置为获取伪名吊销参数，所述伪名吊销参数可用于吊销所述根伪名和从所述根伪名生成的任何派生伪名，并且其中，所述派生伪名生成单元还被配置为根据所述伪名吊销参数，生成与派生伪名一同使用的伪名吊销验证参数。

39.一种用于通信系统中的用户终端的方法，包括：

获取根伪名；

获取一个或多个资源凭证；

从所述根伪名生成第一派生伪名，并根据所选择的一组资源凭证，生成柔性凭证；以及

使用所述第一派生伪名和所述柔性凭证来获得对与所述一组资源凭证相对应的一组资源的访问。

40.根据权利要求39所述的方法，还包括：

根据资源的吊销列表，更新所述资源的凭证吊销参数；以及

根据所述凭证吊销参数，生成凭证吊销验证参数。

41.根据权利要求39所述的方法，其中，获取一个或多个资源凭证包括利用所述根伪名获取资源凭证。

42.根据权利要求39所述的方法，其中，获取一个或多个资源凭证包括从所述根伪名生成第二派生伪名，并且利用所述第二派生伪名获取资源凭证。

43.根据权利要求42所述的方法，其中，所述第二派生伪名被计算为T＝t^τ，其中t是所述根伪名，τ是一个整数，并且其中，获取一个或多个资源凭证包括获取凭证信息υ_ij′，并且将υ_ij＝υ_ij′^1/τ存储为资源凭证。

44.根据权利要求39所述的方法，其中，所述第一派生伪名被计算为T′＝t^τ′，其中t是所述根伪名，τ′是一个整数，并且其中，所述柔性凭证被计算为

或其中

是所述一组资源凭证。

45.根据权利要求39所述的方法，还包括：

根据用户唯一参数生成追查参数，其中所述追查参数可以与所述根伪名或从所述根伪名生成的派生伪名一同用于追查用户身份。

46.根据权利要求39所述的方法，还包括：

获取伪名吊销参数，所述伪名吊销参数可用于吊销所述根伪名和从所述根伪名生成的任何派生伪名；以及

根据所述伪名吊销参数，生成与派生伪名一同使用的伪名吊销验证参数。

47.一种在通信系统中管理对一个或多个资源的访问的装置，包括：

伪名验证单元，被配置为验证用户的派生伪名；

柔性凭证验证单元，被配置为验证用户的柔性凭证；和

授权单元，被配置为基于所述伪名验证单元和所述柔性凭证验证单元的验证结果，授权用户访问与所述柔性凭证相对应的一组资源。

48.根据权利要求47所述的装置，还包括：

吊销列表获取单元，被配置为获取资源的吊销列表。

49.根据权利要求48所述的装置，其中，所述伪名验证单元还被配置为基于所述吊销列表中的参数，验证所述用户的凭证吊销验证参数。

50.根据权利要求47所述的装置，其中，所述伪名验证单元还被配置为验证用户的伪名吊销验证参数。

51.一种在通信系统中管理对一个或多个资源的访问的方法，包括：

验证用户的派生伪名；

验证用户的柔性凭证；以及

基于所述派生伪名和所述柔性凭证的验证结果，授权用户访问与所述柔性凭证相对应的一组资源。

52.根据权利要求51所述的方法，还包括：

获取资源的吊销列表。

53.根据权利要求52所述的方法，其中，验证用户的派生伪名还包括基于资源的吊销列表中的参数，验证所述用户的凭证吊销验证参数。

54.根据权利要求51所述的方法，其中，验证用户的派生伪名还包括验证用户的伪名吊销验证参数。

Images