CN103281180B - 一种网络服务中保护用户访问隐私的票据生成方法 - Google Patents

Abstract

本发明公开了一种网络服务中保护用户访问隐私的票据生成方法，步骤：(1)根据输入系统安全参数生成系统公共参数pps，分别生成管理机构M、检查机构D和识别机构O所管理组G的公钥/私钥对；(2)用户构建组签名密钥，并且向管理机构M获取用户关于组签名密钥的授权证书；(3)用户根据请求信息，构造保护用户访问隐私的请求信息及其组签名；(4)识别机构O认证请求信息的合法性，确定用户的组成员资格未撤销；(5)检查机构D利用组签名验证信息的合法性，获取合法的服务类型，提供相应的匿名服务；(6)识别机构O生成保护用户访问隐私的服务票据；本发明方法有效保护了用户访问隐私。

Description

一种网络服务中保护用户访问隐私的票据生成方法

技术领域

本发明属于网络服务中的保护用户访问隐私的认证和识别技术领域，特别涉及一种网络服务中保护用户访问隐私的票据生成方法。

背景技术

二十一世纪是网络信息的时代，随着微电子、光电子、计算机、通信和信息服务业的发展，Internet为支撑平台的软件系统也飞速的发展起来，在以金融、通信为代表的各行各业中广泛应用。在计算机系统、Internet网络为国民经济增长发挥重要作用的同时，系统安全的问题及其重要性也日益凸显。在网络空间上接收服务活动，人们最担心的就是安全性问题。关键的安全性要求包括：参与活动各方的身份认证、会话的机密性、会话的完整性和不可否认性，其中身份认证是所有其他安全服务的前提和基础。

以云计算为重要支撑的云服务为信息服务注入了新的活力，也为信息用户带来了信息获取的极大便利。当前大多数保护用户隐私的访问控制机制采用诸如组签名或代理签名等方式提供用户的认证和隐私的保护，这种保护用户隐私的访问控制机制可防止非法用户窃取所需的服务，同时保护服务提供者的利益和消费者的访问隐私，然而，由于其并不能得知用户的身份信息，因此不能生成相关的服务票据。而对于在线服务系统来说，在进行供需服务信息匹配后，一般以传统纸面票据或电子票据的形式提供相应的服务凭证，投送给所服务的用户，然后通过票据对用户的身份进行认证。因此上述采用诸如组签名或代理签名等方式使得服务提供方无法通过服务凭证对用户进行身份认证，仅对用户的隐私和知情权提供了十分有限的安全性保障。

此外，利用可信的第三方将用户的身份信息与享受的服务类型相关联，生成相应的票据。可信第三方平台（简称服务器）是指独立于数据拥有者和数据使用者的可信服务提供方，如以淘宝、Amazon为代表的电子商务网站可以为交易双方提供网上交易、洽谈服务等。在票据生成过程中，需要将用户的身份信息、网上交易的类型和数量、购买者接收货物的地址（一般为家庭住址、或工作单位）等隐私信息显示在票据上。例如，艾滋病患者李三，网购HIV药品齐多夫定片，销售部的销售员知道购买治疗HIV药品齐多夫定片的人姓名李三，开具销售票据的操作员知道李三购买的药是治疗HIV药品齐多夫定片，进一步地凭该销售票据送货的送货员知道这个治疗HIV药品齐多夫定片的李三的具体住址或工作单位。在未经HIV患者允许的情况下传播其患病的信息，侵犯了HIV患者的隐私，损害HIV患者的利益。若用户的隐私信息不能得到恰当保护，将阻碍电子商务等第三方服务平台的发展。

在公开号为US2012072732A1的美国专利中公开了一种用于用户的匿名验证和分离识别的密码方法（Cryptographicmethodforanonymousauthenticationandseparateidentificationofauser）。该专利的系统由管理机构M、检查机构D、识别机构O和用户U_i四个实体组成。管理机构M负责设置系统参数、分配检查机构D的公钥/私钥对(chpk,chsk)、给识别机构O分配一个公钥/私钥对(x,y)和组G的公钥pk_G，给用户U_i分配关于组G的私钥x_i和证书C_i=(A_i,e_i)，并将(U_i,A_i,e_i)发送给识别机构O。用户U_i的请求信息m=m_d||α||C||m_f，由四部分组成：α表示服务类型，C为要求识别机构O在票据服务信息一栏开具的内容，m_d和m_f分别表示服务信息m中除去α和C的前后两部分。用户通过向识别机构O隐藏请求信息中的服务类型α、指定为其开具服务信息为C的票据，使识别机构O只知道用户U_i的身份信息，而不知道用户U_i在交易中的真实服务类型；用户向检查机构D提交关于请求信息的组签名，获取相关的服务，使检查机构D只知道用户U_i在交易中的真实服务类型，而不知道用户U_i的真实身份信息；这样，在检查机构D和识别机构O不共谋的环境中，实现用户U_i的隐私保护。例如在该专利FIG.4A的实例中，用户U_i按如下步骤生成向检查机构D的发送信息：

Step331：将请求信息拆分成m=m_d||α||C||m_f，然后随机选取ρ,β∈{0,1}^λ，利用Chameleon哈希函数中的Proceed算法和Forge算法计算α′和ρ′，其中α′=Proceed(α,ρ,chpk)，ρ′=Forge(chsk,(α,ρ,α'),β)；

Step332：用户U_i的生成关于请求信息m_d||α′||C||m_f的组签名σ=(sg,ρ)，其中sg=(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)，c=H(g||h||y||a₀||T₁||T₂||T₃||d₁||d₂||d₃||d₄||m′)，m'=H′(m_d||α′||C||m_f)；

Step335：用户U_i向检查机构D发送信息(m,σ,β,ρ')。

该发明中用户将m中的敏感信息α变成密文α′，由于Chameleon哈希函数中的Proceed算法α′=Proceed(α,ρ,chpk)输出的密文α′远远大于α，所以用户对m的密文的m_d||α′||C||m_f进行签名后，仍向检查机构D传送m；检查机构D根据m，利用对应自身的公钥chpk，通过α计算出α′，得到用户的密文m_d||α′||C||m_f；最后将密文和组签名发送给识别机构O，隐藏其请求中的敏感信息。但是由于用户向检查机构传送了未经加密处理的原服务请求信息m，使得识别机构O可追踪到用户U_i的发送信息(m,σ,β,ρ')，结合管理机构M给予的用户U_i证书信息(U_i,A_i,e_i)，将用户的身份信息U_i、真实服务类型α和票据服务信息一栏开具的内容C关联，造成用户交易中的隐私泄露。识别机构O的具体操作过程如下：识别机构O窃听检查机构D的接收信息，获取请求信息(m,σ,β,ρ')，利用自己的私钥x和组签名σ中的sg=(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)，可计算出，然后根据用户U_i的证书信息(U_i,A_i,e_i)，识别出这是来自用户U_i的请求信息；而请求信息m=m_d||α||C||m_f中的α和C分别提供了其服务类型、要求识别机构O在票据服务信息一栏开具的内容的信息。这样，识别机构O将用户的身份信息U_i、服务类型α和票据服务信息一栏开具的内容C联系在一起，就能掌握用户的交易信息和个人偏好，获取其有关的隐私信息。

另外该发明中所采用的Chameleon哈希函数中的Proceed算法都含有模指数或更耗时的对（pairing）运算。一般地，Proceed(α,ρ,chpk)的输出长度比较大（例如，Proceed(α,ρ,chpk)=chpk^αg^ρmodn，输出长度最大为log₂n，且需要2次模指数运算），而表示服务类型的敏感数据α通常远小于n，该本明除了发送m_d||α||C||m_f，还需要传送ρ∈{0,1}^λ和组签名sg，其通信成本为λ+α+|m_d|+|C|+|m_f|+|sg|，因此该发明的通信成本开销较大。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种网络服务中保护用户访问隐私的票据生成方法，该方法有效的保护了用户的访问隐私，能够防止出具票据的识别机构O追踪到有关用户的访问隐私。

本发明的目的通过下述技术方案实现：一种网络服务中保护用户访问隐私的票据生成方法，用于实现所述票据生成方法的票据生成系统中包括管理机构M、检查机构D、识别机构O和用户设备；所述管理机构M、检查机构D和识别机构O之间相互连接，所述用户设备相互连接，所述管理机构M、检查机构D和识别机构O分别通过网络与用户设备连接；所述票据生成方法包括以下步骤：

（1）票据生成系统初始化和组的构建：根据输入系统安全参数生成系统公共参数，构建识别结构O所管理的组，分别生成管理机构M、检查机构D和识别机构O所管理组的私钥/公钥对；

（2）用户的授权和撤销：用户U_i向管理机构M申请注册成为其中一个组的成员，然后自身构建一个组签名密钥x_i，并从管理机构M中获取用户U_i关于组签名密钥x_i的授权证书C_i；识别机构O创建和管理授权证书管理数据库；当管理机构M需要撤销用户U_i关于组签名密钥x_i的授权证书C_i时，通知识别机构O；识别机构O收到通知后，将授权证书管理数据库中用户U_i对应的记录C_i删除，即撤销用户U_i的组成员资格；

（3）生成保护用户访问隐私的服务请求信息及其组签名：采用Diffie-Hellman密钥交换算法，建立用户U_i与检查机构D的共享对称密钥k_D，然后采用对称密钥k_D对用户U_i提出的服务请求信息m中的关键敏感数据进行加密，得到保护用户访问隐私的服务请求信息

利用识别机构O所管理且用户U_i所属组的公钥、用户U_i构建的组签名密钥x_i及用户U_i关于组签名密钥x_i的授权证书C_i，生成用户U_i保护用户访问隐私的服务请求信息的组签名sg；

用户U_i将保护用户访问隐私的服务请求信息及其组签名sg发送给识别机构O；

（4）用户服务请求的认证：识别机构O首先验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确，

若sg不正确，则表示用户U_i所提出的服务请求信息不合法，识别机构O丢弃该保护用户访问隐私的服务请求信息

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，识别机构O利用其所管理且用户U_i所属组的私钥及用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg，得出用户U_i关于组签名密钥x_i的授权证书C_i；

识别机构O搜索其授权证书管理数据库，若授权证书管理数据库中存在授权证书C_i，则用户U_i仍是识别机构所管理组的组成员，识别机构将用户U_i所提出的保护用户访问隐私的服务请求信息及其组签名sg发送给检查机构D；

否则表示用户U_i的组成员资格已被撤销，识别机构丢弃用户U_i所提出保护用户访问隐私的服务请求信息

（5）为用户提供服务：检查机构D接收到用户U_i所提出的保护用户访问隐私的服务请求信息及其组签名sg后，通过验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确来判断用户U_i所提出的保护用户访问隐私的服务请求信息的合法性，然后将是否为用户U_i提供了服务的结果反馈给识别机构O；

若sg不正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息不合法，检查机构D不向用户U_i提供相关的服务；

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密，得到加密前的服务请求信息m；然后根据服务请求信息m向用户U_i提供相关的服务；

（6）服务票据的生成：识别机构O接收检查机构D反馈的服务结果，确认检查机构D是否已向用户U_i提供对应服务；

若是，则识别机构O根据用户U_i所提出的保护用户访问隐私的服务请求信息中的票据服务信息，生成服务票据；并将服务票据发送给用户U_i；

若否，则识别机构O不开具服务票据。

优选的，所述步骤（1）中系统初始化流程具体如下：

（1-1）输入系统安全参数ε、k、l_p、λ，生成系统的公共参数pps={λ₁,λ₂,γ₁,γ₂,Λ,Γ,H′,H}；其中ε>1，λ₁>ε(λ₂+k)+2，λ₂>4l_p，γ₁>ε(γ₂+k)+2，γ₂＞λ₁+2, $\mathrm{\Λ}=[2^{{\mathrm{\λ}}_1}-2^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}],$ $\mathrm{\Γ}=[2^{{\mathrm{\γ}}_1}-2^{{\mathrm{\γ}}_2},2^{{\mathrm{\γ}}_1}+2^{{\mathrm{\γ}}_2}],$ H':{0,1}^*→{0,1}^λ和H:{0,1}^*→{0,1}^k是两个抗碰撞的散列函数；

（1-2））生成管理机构M的私钥/公钥对为((p',q'),n)：选取大素数其中p=2p′+1，q=2q′+1，p′和q′都是素数；将管理机构M的私钥定义为(p',q')，则其公钥为：n=pq；

（1-3）生成识别机构O所管理组的私钥/公钥对(x,pk_G)：随机选取参数a,a₀,g,h∈QR(n)，随机选取识别机构O的私钥x为，QR(n)表示关于模n的平方剩余类，将x作为识别机构O所管理组的私钥，通过私钥x得到识别机构O所管理组的公钥pk_G：

pk_G=(n,a₀,a,y,g,h)，y=g^xmodn；

（1-4）生成检查机构D的私钥/公钥对(x_D,y_D)：随机选取检查机构D的私钥x_D为：；通过私钥x_D得到其公钥y_D为：

$y_D=g^{x_D}\mathrm{mod}n.$

更进一步的，所述步骤（2）中用户U_i关于组签名密钥x_i的授权证书的获取步骤如下：

（2-1）用户U_i向管理机构M申请加入识别机构O所管理组G的服务，管理机构M选取一个随机整数m′′∈(0,2^k)，并将m′′发送给用户U_i；用户U_i生成一个秘密的指数和一个随机整数；用户U_i随机选取整数，计算，c_i=H'(n||g||h||C₁||C′₁||m′′)，，得到指数的知识证明及知识证明对应的知识签名(c_i,s_i)；

其中指数的知识证明为：

（2-2）用户U_i将和指数的知识证明对应的知识签名(c_i,s_i)发送给管理机构M；

（2-3）管理机构M认证用户U_i提交的知识签名(c_i,s_i)：首先管理机构M利用用户发送的C₁和知识签名(c_i,s_i)恢复出，得到，然后检查其接收到的s_i和c_i是否满足下述条件：且c_i=H'(n||g||h||C₁||C′₁||m′′)；

若以上条件成立，则证明用户U_i知道指数，且是在开区间的值；

若以上条件不成立，则管理机构M要求用户U_i重新选取新的指数

（2-4）管理机构M检查C₁是否满足：C₁∈QR(n)；若满足，管理机构M将随机选取α_i,，并将α_i和β_i发送给用户U_i；

（2-5）用户U_i构造组签名密钥，通过组签名密钥x_i得到 $C_2=a^{x_i}\mathrm{mod}n$ ，令 $u=({\mathrm{\α}}_i{\tilde{x}}_i+{\mathrm{\β}}_i){\mathrm{mod}2}^{{\mathrm{\λ}}_2}$ ，则 $x_i=u+2^{{\mathrm{\λ}}_1},$ $C_2=a^{2^{{\mathrm{\λ}}_1}}{a}^u\mathrm{mod}n;$

用户U_i根据其选取的和，利用α_i和β_i，得到整数和；又 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}={\left(g^{{\tilde{x}}_i}{h}^{\tilde{r}}\right)}^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{{\tilde{x}}_i{\mathrm{\α}}_i+{\mathrm{\β}}_i}{h}^{\tilde{r}{\mathrm{\α}}_i}=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i}$ ，从而得到 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}}$ ；用户U_i随机选取整数 $u^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ $v^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ ${\mathrm{\ω}}^{\′}\∈({-2}^{2{\mathrm{\λ}}_2},2^{2{\mathrm{\λ}}_2})$ ，计算 $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}}{a}^{u^{\′}}\mathrm{mod}n,$ $y=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i},$ $y^{\′}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}},$ c_i′=H'(n||_g||h||a||C₂||C′₂||y||y′||m′′)，s_u=u′-c_i′u，s_v=v′-c_i′v，s_ω=w′-c_i′ω；得到秘密(u,v,ω)的知识证明及知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)；

其中(u,v,ω)的知识证明为：

SPK{(u,v,ω):

（2-6）用户U_i将、秘密(u,v,ω)的知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)发送给管理机构M；

（2-7）管理机构M认证用户U_i提交的知识签名Σ=(c_i′,s_u,s_v,s_ω)：首先管理机构M利用用户发送的C₂和知识签名Σ=(c_i′,s_u,s_v,s_ω)恢复出C′₂、y和y′： $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}(1-c_i^{\′})+s_u}{C}_2^{c_i^{\′}}\mathrm{mod}n,$ $y=C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i},$ $y^{\′}=y^{c_i^{\′}}{g}^{s_u+2^{{\mathrm{\λ}}_1}{s}_v+s_{\mathrm{\ω}}}$ ，检查s_u、s_v、s_ω和c′是否同时满足以下条件： $s_u\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_v\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_{\mathrm{\ω}}\∈\±{\left\{\mathrm{0,1}\right\}}^{2{\mathrm{\λ}}_2+1}$ ，且c_i′=H'(n||g||h||a||C₂||C′₂||y||y′||m′′)；

（2-8）若步骤（2-7）中的条件均成立，则证明用户从C₁、α_i和β_i已正确地得到密钥x_i；管理机构M检查C₂是否满足：C₂∈QR(n)；若满足，则选取一个随机素数e_i，e_i∈Γ，通过e_i得到modn；然后，管理机构M将用户U_i关于组签名密钥x_i的授权证书C_i={e_i,A_i}发送给用户U_i，同时将注册信息(U_i,e_i,A_i)发送给组G的管理者识别机构O；

（2-9）用户U_i通过检查授权证书C_i的准确性，若该等式成立，则用户U_i将组签名密钥x_i和授权证书C_i进行保存；在步骤（2-3）至（2-9）中的任意一次认证或检查失败，用户U_i与管理机构M重复步骤（2-1）至（2-9），直到用户U_i获得正确的授权证书C_i。

更进一步的，所述步骤（3）生成保护用户访问隐私的服务请求信息的步骤如下：

（3-1-1）用户U_i选取随机整数，根据检查机构D的公钥y_D计算Diffie-Hellman密钥

用户U_i利用散列函数H′，生成长度为λ的对称密钥k_D=H′(K_D)；

（3-1-2）用户U_i采用对称密钥k_D=H′(K_D)对其提出的服务请求信息m进行加密，得到保护用户访问隐私的请求信息；其中用户U_i所提出的服务请求信息m为：

m=m_d||α||m_f||C，

其中α为用户U_i向检查机构D请求的服务类型，即用户服务请求的关键敏感数据，C为票据要求输出的信息，m_d和m_f分别表示服务请求信息m中关键敏感数据α的前后两部分信息；

用户U_i利用k_D密钥使用对称加密算法对服务类型α进行加密，得到密文C_α为：

$C_{\mathrm{\α}}=E_{k_D}\left(\mathrm{\α}\right);$

得到保护用户访问隐私的请求信息为：

$\tilde{m}=m_d\left|\right|C_{\mathrm{\α}}\left|\right|m_f\left|\right|C.$

更进一步的，所述步骤（3）中用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg生成步骤如下：

（3-2-1）用户U_i利用识别机构O所管理组G的公钥pk_G中的y=g^xmodn、用户U_i的组签名密钥x_i、管理机构M发送给它的授权证书C_i={e_i,A_i}及步骤（3-1-1）随机选取的整数得到参数T₁、T₂和T₃如下：

T₁=A_iy^wmodn，T₂=g^wmodn和

（3-2-2）用户U_i随机选取整数r₁、r₂、r₃和r₄，其中r₁、r₂、r₃和r₄满足 $r_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)},$ $r_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)},$ $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)}$ 和 $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)};$

（3-2-3）根据步骤（3-2-1）及（3-2-2）得到d₁、d₂、d₃和d₄如下：

$d_1=T_1^{r_1}/\left(a^{r_2}{y}^{r_3}\right)\mathrm{mod}n,$ $d_2=T_2^{r_1}/g^{r_3}\mathrm{mod}n,$ $d_3=g^{r_4}\mathrm{mod}n$ 和 $d_4=g^{r_1}{h}^{r_4}\mathrm{mod}n;$

（3-2-4）通过步骤（3-2-1）及（3-2-3）得到参数c为：

c=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d₁||d₂||d₃||d₄||m′)；

其中符号||表示字符串的串接，

（3-2-5）通过步骤（3-2-4）得到参数s₁、s₂、s₃和s₄：

$s_1=r_1-c(e_i-2^{{\mathrm{\γ}}_1}),$ $s_2=r_2-c(x_i-2^{{\mathrm{\γ}}_1}),$ s₃=r₃-ce_iw和s₄=r₄-cw；

（3-2-6）最后得到用户U_i组签名sg为：

sg=(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)。

更进一步的，所述步骤（4）中识别机构O对组签名sg正确性的判断步骤如下：

（4-1）识别机构O将接收到的用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg拆分成：(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)；

（4-2）通过步骤（4-1）计算得到参数d′₁、d′₂、d′₃和d′₄如下：

$d_1^{\′}=a_0^c{T}_1^{s_1-c{2}^{r_1}}/\left(a^{s_2-c{2}^{\mathrm{\λ}}}{y}^{s_3}\right)\mathrm{mod}n,$ $d_2^{\′}=T_2^{s_1-c{2}^{r_1}}/g^{s_3}\mathrm{mod}n,$ $d_3^{\′}=T_2^c{g}^{s_4}\mathrm{mod}n$ 和 $d_4^{\′}=T_3^c{g}^{s_1-c{2}^{r_1}}{h}^{s_4}\mathrm{mod}n;$

（4-3）通过步骤(4-2)计算得到参数c′：

c′=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d′₁||d′₂||d′₃||d′₄||m′)，其中

（4-4）判断步骤（4-3）中得到的参数c′和参数c是否相等、s₁是否满足 $s_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)+1},$ s₂是否满足 $s_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)+1},$ s₃是否满足 $s_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)+1}$ 以及s₄是否满足 $s_4\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)+1};$

（4-5）若步骤（4-4）条件均成立，则用户U_i发送给识别机构O的组签名sg是正确的，即用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，它来自识别机构O所管理组的一个授权用户；否则用户U_i发送给识别机构O的组签名sg是不正确的，即用户U_i所提出的服务请求信息不合法，识别机构O将丢弃该保护用户访问隐私的服务请求信息

更进一步的，所述步骤（4-4）的条件成立后，识别机构O根据用户U_i所提出的保护用户访问隐私的服务请求信息组签名sg中的分量T₁和T₂，利用用户U_i所属组G的私钥x得到：；然后依据A_i搜索组G的授权证书管理数据库，确认用户U_i是否为已撤销组的成员资格，

若数据库中存在授权证书C_i=(U_i,A_i,e_i)，则表明用户U_i认为组G的组成员，否则用户U_i的组成员资格已被撤销，识别机构O丢弃用户U_i所提出的保护用户访问隐私的服务请求信息

更进一步的，所述步骤（5）中检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密的步骤如下：

（5-1）检查机构D根据用户U_i提出的保护用户访问隐私的服务请求信息得到其服务类型的密文C_α；

（5-2）检查机构D根据组签名sg中的T₂，利用其私钥x_D计算Diffie-Hellman密钥；然后使用K_D和散列函数H′，生成长度为λ的对称密钥k_D=H′(K_D)；

（5-3）利用对称密钥k_D解密密文C_α，得到用户U_i提出的保护用户访问隐私的服务请求信息中的关键敏感数据α；然后利用关键敏感数据α代替中的C_α，得到用户U_i原来的服务请求信息m。

更进一步的，所述步骤（6）中识别机构O根据授权证书管理数据库中其搜索得到的授权证书C_i=(U_i,A_i,e_i)，获取用户的身份信息U_i；开具身份信息为U_i、服务信息为C的服务票据，同时将检查机构D的标识符、用户U_i服务请求信息中的服务类型密文C_α以及组签名sg分量T₂写入到服务票据的附注中。

优选的，还包括票据信息和服务信息的稽查步骤，执法部门收集有违法嫌疑用户的服务票据，利用每张票据中的附注信息，要求执行相应服务认证的检查机构D恢复出真实服务请求中的关键敏感数据，为执法提供相关的证据。

本发明相对于现有技术具有如下的优点及效果：

（1）本发明方法中使用Diffie-Hellman密钥协商机制建立用户与检查机构D共享的对称加密密钥，然后使用对称加密密钥对用户提出的服务请求信息中的关键敏感数据进行加密，得到保护用户访问隐私的服务请求信息，将所得到的保护用户访问隐私的服务请求信息及其组签名发送给识别机构O，识别机构O不能根据其接收到的保护用户隐私的请求信息追踪用户所提出的服务类型等关键敏感数据，实现了用户请求信息中服务类型与用户身份的不可连接性，在票据生成过程中保护了用户的访问隐私。

由于识别机构O的识别结果只有其自身知道，不会告知检查机构D，识别机构O将保护用户访问隐私的请求信息及其组签名传送给检查机构D；检查机构D通过组签名认证用户请求的正确性，知道用户所属的组，但不知道用户是谁；然后检查机构D对正确的请求信息解密，得到用户的真实请求信息m，给用户提供服务，所以检查机构D知道用户需要什么，但不知道这个用户是谁；因此其对用户提供的是匿名服务，更好的保护了用户的隐私。

另外由于本发明方法中用户发送的服务请求信息是经过加密处理的，该经过加密处理的服务请求信息由识别机构O转发到检查机构D中的，因此检查机构D接收的服务请求信息也是经过加密处理后的，识别机构O不可能追踪到未经加密处理的服务请求信息。对具有窃听能力的识别机构O隐藏了用户的服务类型，增强了安全性能。

（2）本发明方法中服务请求信息所使用的检查机构D和用户的共享对称加密密钥k_D是采用了Diffie-Hellman密钥协商机制建立的，因此识别机构O很难通过从组签名sg和检查机构D的公钥得出该密钥k_D，从而对经过保护用户访问隐私的服务请求信息进行解密，Diffie-Hellman密钥协商机制进一步提高了保护用户访问隐私的服务请求信息在识别机构O中的安全性。

（3）组成员的撤销是组签名所面对的一个难处理的问题，而实际应用中通常需要面对这一情形，本发明方法保护用户访问隐私的服务请求信息及其组签名sg不是直接发送给检查机构D，而是先发送给识别机构O，识别机构O利用组签名sg得到用户的授权证书，确认用户的授权证书是否还在授权证书管理数据库中，以核实用户是否还为组的授权成员；若是，识别机构O才将用户提出的保护用户访问隐私的服务请求信息及其组签名发送给检查机构D，使得组的授权成员才能享受检查机构D提供的服务。当管理机构M需要撤销用户U_i的授权证书C_i时，通知识别机构O；识别机构O收到通知后，将授权证书管理数据库中用户U_i对应的记录C_i删除；因此本发明方法可以实现对组成员资格的审查及撤销操作，提高了系统的实用性。

（4）本发明方法使用Diffie-Hellman密钥协商机制和输出长度为λ的散列函数生成用户与检查机构D共享的对称加密密钥，使对称加密密文长度远小于Chameleon哈希函数中的Proceed算法的计算结果α′，且不用传输ρ′，减小了保护用户访问隐私的用户服务请求信息的长度，降低了通信开销成本。

（5）本发明提供了执法部门对保护用户访问隐私票据的稽查功能，可防止恶意用户使用网络进行犯罪行为，并为执法部门提供了一个相关的取证过程。

（6）本发明中组签名的密钥只有用户U_i知道，包括管理机构M在内其它任何实体均无法得知密钥x_i。由于秘密指数是由用户U_i随机生成的，管理服务器M只知道(α_i,β_i)，不能计算出x_i。这样利用密钥x_i生成的组签名只能来自用户U_i，即使管理机构M也不能冒充用户U_i进行签名。

附图说明

图1是实现本发明方法系统的结构示意图；

图2是实现本发明方法系统中管理机构M的结构组成框图；

图3是本发明方法的流程图；

图4是本发明方法初始化的流程图；

图5是本发明方法中授权证书获取流程图；

图6是本发明方法中保护用户访问隐私的服务请求信息及其组签名的生成流程图；

图7是本发明方法中组签名正确性判断及用户组成员资格判断流程图；

图8是本发明方法中检查机构D提供服务的流程图；

图9是本发明方法中保护用户隐私的服务票据生成的流程图；

图10是本发明方法服务票据和服务信息稽查的流程示意图；

图11-A是本发明方法中用户原服务请求信息中的药品订购单图；

图11-B是本发明方法中用户将关键敏感数据加密后生成保护用户访问隐私的请求信息的药品订购单图；

图11-C是本发明方法中用户将敏感信息加密成“保健药品”后生成有稽查附注信息的服务票据图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例

本实施例一种网络服务中保护用户访问隐私的票据生成方法，如图1所示，用于实现本实施例票据生成方法的票据生成系统中包括管理机构M1、检查机构D2、识别机构O3和用户设备4；管理机构M、检查机构D和识别机构O之间通过数据传输总线相互连接，用户设备通过数据线或网络相互连接，管理机构M、检查机构D和识别机构O分别通过网络与用户设备连接。

管理机构M：用于分配检查机构、识别机构的公钥/私钥对以及生成组的公钥，并且生成用户U_i关于组签名密钥的授权证书。

检查机构D：用于匿名认证用户服务请求的合法性，并对合法请求提供相应的服务。

识别机构O：用于确认发出服务请求信息的用户是否合法及是否具备当前的组成员资格，识别出用户的身份、并对检查机构已提供服务的用户按指定的票据服务信息内容开具相应的服务票据。

用户设备：利用所持有的授权证书，请求获取网上的有关服务，并要求开具指定票据服务信息内容的服务票据。

用户设备通过网络提交保护用户访问隐私的服务请求信息，识别机构认证其合法性和用户的组成员资格后，通过网络从检查机构D获取服务，随后从识别机构得到服务票据。

如图2所示，本实施例管理机构内部结构组成示意图，本实施例的管理机构M可以是一台个人计算机、膝上型电脑、服务器计算机、客户计算机、小型机、大型机或分布式计算机系统等。管理机构M为一个数据处理系统的结构，存在一个或多个处理器211（如CPU）、一个系统存储212（如只读存储器ROM、随机存储器RAM），一个外置存储器213和一条数据传送总线214。处理器211、系统存储212和外置存储器213通过数据传送总线214分别与显示控制器215和I/O控制器217将相连，显示控制器215和显示设备216相连，I/O控制器217分别与输入设备2171（如鼠标、键盘）、输出设备2172（如调制解调器、网络接口）和阅读器2173（如CD-ROM）等外围设备相连。

其中管理机构M外置存储器213中存放了系统初始化程序221、服务器公钥/私钥生成程序222、组的创建程序223、组成员授权证书生成程序224和通信程序225。这些程序通过一个处理器211执行它们的代码，导出需要的功能。在管理机构M上，处理器211分别在对应的系统初始化231、服务器公钥/私钥生成单元232、组的创建单元233、组成员授权证书生成生成单元234和通信处理单元235执行这些程序。

用户设备可以是个人计算机、膝上型电脑、游戏控制台、家庭娱乐系统、数字视频装置、服务器计算机、客户计算机、小型机、大型机或分布式计算机系统等。这些设备与管理机构有类似的结构。用户设备的外置存储器存放了待处理的服务请求信息，系统的公开参数、服务器公钥、组的授权证书、通信程序、签名密钥生成与认证程序、服务请求信息预处理程序、Diffie-Hellman密钥生成程序、对称加密程序和组签名生成程序。相应地，用户设备CPU分别在对应的通信单元、签名密钥生成与认证单元、服务请求信息预处理单元、Diffie-Hellman密钥生成单元、对称加密单元和组签名生成单元执行这些程序。为了安全起见，也可以将组的授权证书及其相关数据保存在防篡改的存储设备（如，智能卡）中，这时，需要在每个用户的外存储设备存放一个智能卡处理程序。

检查机构D具有与管理机构类似的结构。检查机构D的外置存储器存放了通信程序、组签名认证程序、Diffie-Hellman密钥生成程序、对称加密解密程序、用户请求服务调度程序和服务票据稽查程序。检查机构上的CPU分别在通信单元、组签名认证单元、Diffie-Hellman密钥生成单元、对称加密解密单元、用户请求服务调度单元和服务票据稽查单元执行这些程序。

识别机构O也具有与管理机构M类似的结构。识别机构的外置存储器存放了系统的公开参数、组成员的授权证书、待处理的服务请求信息、通信程序、组签名认证程序、票据生成程序、票据打印程序和和票据投递调度程序。识别机构上的CPU分别在通信单元、组签名认证单元、票据生成单元、票据打印单元和票据投递调度单元执行这些程序。

如图3所示为本实施例一种网络服务中保护用户访问隐私的票据生成方法的流程图，包括以下步骤：

（1）票据生成系统初始化和组的构建：根据输入系统安全参数生成系统公共参数，构建相关的组，分别生成管理机构M、检查机构D、识别机构O所管理组的私钥/公钥对；具体步骤如图4所示：

（1-1）输入系统安全参数ε、k、l_p、λ，生成系统的公共参数pps={λ₁,λ₂,γ₁,γ₂,Λ,Γ,H′,H}；其中ε>1，λ₁>ε(λ₂+k)+2，λ₂>4l_p，γ₁>ε(γ₂+k)+2，γ₂>λ₁+2， $\mathrm{\Λ}=[2^{{\mathrm{\λ}}_1}-2^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}],$ $\mathrm{\Γ}=[2^{{\mathrm{\γ}}_1}-2^{{\mathrm{\γ}}_2},2^{{\mathrm{\γ}}_1}+2^{{\mathrm{\γ}}_2}],$ H′:{0,1}^*→{0,1}^λ和H:{0,1}^*→{0,1}^k是两个抗碰撞的散列函数；

（1-2））生成管理机构M的私钥/公钥对为((p',q'),n)：选取大素数其中p=2p′+1，q=2q′+1，p′和q′都是素数；将管理机构M的私钥定义为(p',q')，则其公钥为：n=pq。

（1-3）生成识别机构O所管理组的私钥/公钥对(x,pk_G)：随机选取参数a,a₀,g,h∈QR(n)，随机选取识别机构O的私钥x为，QR(n)表示关于模n的平方剩余类，将x作为识别机构O所管理组的私钥，通过私钥x得到识别机构O所管理组的公钥pk_G：

pk_G=(n,a₀,a,y,g,h)，y=g^xmodn。

（1-4）生成检查机构D的私钥/公钥对(x_D,y_D)：随机选取检查机构D的私钥x_D为：；通过私钥x_D得到其公钥y_D为：

$y_D=g^{x_D}\mathrm{mod}n.$

（2）用户的授权和撤销：用户U_i向管理机构M申请注册成为其中一个组的成员，然后构建一个组签名密钥x_i，并从管理机构M中获取用户U_i关于组签名密钥x_i的授权证书C_i；识别机构O创建和管理授权证书管理数据库；当管理机构M需要撤销用户U_i关于组签名密钥x_i的授权证书C_i时，通知识别机构O；识别机构O收到通知后，将授权证书管理数据库中用户U_i对应的记录C_i删除，即撤销用户U_i的组成员资格；其中用户U_i关于组签名密钥x_i的授权证书C_i获取过程如图5所示：

（2-1）用户U_i向管理机构M申请加入识别机构O所管理组G的服务，管理机构M选取一个随机整数m′′∈(0,2^k)，并将m′′发送给用户U_i；用户U_i生成一个秘密的指数和一个随机整数；用户U_i随机选取整数，计算，c_i=H'(n||g||h||C₁||C′₁||m′′)，，得到指数的知识证明及知识证明对应的知识签名(c_i,s_i)；

其中指数的知识证明为：

（2-2）用户U_i将和指数的知识证明对应的知识签名(c_i,s_i)发送给管理机构M。

（2-3）管理机构M认证用户U_i提交的知识签名(c_i,s_i)：首先管理机构M利用用户发送的C₁和知识签名(c_i,s_i)恢复出C′₁，得到，然后检查其接收到的s_i和c_i是否满足下述条件：且c_i=H'(n||g||h||C₁||C′₁||m′′)；

若以上条件成立，则证明用户U_i知道指数且是在开区间的值；

若以上条件不成立，则管理机构M要求用户U_i重新选取新的指数

（2-4）管理机构M检查C₁是否满足：C₁∈QR(n)；若满足，管理机构M将随机选取，并将α_i和β_i发送给用户U_i。

（2-5）用户U_i构造组签名密钥 $x_i=2^{{\mathrm{\λ}}_1}+({\mathrm{\α}}_i{\tilde{x}}_i+{\mathrm{\β}}_i\mathrm{mod}{2}^{{\mathrm{\λ}}_2})$ 计算 $C_2=a^{x_i}\mathrm{mod}n,$ 令 $u=({\mathrm{\α}}_i{\tilde{x}}_i+{\mathrm{\β}}_i){\mathrm{mod}2}^{{\mathrm{\λ}}_2}$ ，则 $x_i=u+2^{{\mathrm{\λ}}_1},$ $C_2=a^{2^{{\mathrm{\λ}}_1}}{a}^u\mathrm{mod}n;$

用户U_i根据其选取的和利用α_i和β_i，得出整数和 $\mathrm{\ω}=\tilde{r}{\mathrm{\α}}_i$ ；又 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}={\left(g^{{\tilde{x}}_i}{h}^{\tilde{r}}\right)}^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{{\tilde{x}}_i{\mathrm{\α}}_i+{\mathrm{\β}}_i}{h}^{\tilde{r}{\mathrm{\α}}_i}=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i}$ ，从而得到 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}}$ ；用户U_i随机选取整数 $u^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ $v^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ ${\mathrm{\ω}}^{\′}\∈({-2}^{2{\mathrm{\λ}}_2},2^{2{\mathrm{\λ}}_2})$ ，计算 $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}}{a}^{u^{\′}}\mathrm{mod}n,$ $y=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i},$ $y^{\′}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}},$ c_i′=H'(n||g||h||a||C₂||C′₂||y||y′||m′′)，s_u=u′-c_i′u，s_v=v′-c_i′v，s_ω=w′-c_i′ω；得到秘密(u,v,ω)的知识证明及知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)；

其中(u,v,ω)的知识证明为

SPK{(u,v,ω):

（2-6）用户U_i将、秘密(u,v,ω)的知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)发送给管理机构M。

（2-7）管理机构M认证用户U_i提交的知识签名Σ=(c_i′,s_u,s_v,s_ω)：首先管理机构M利用用户发送的C₂和知识签名Σ=(c_i′,s_u,s_v,s_ω)恢复出C′₂、y和y′： $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}(1-c_i^{\′})+s_u}{C}_2^{c_i^{\′}}\mathrm{mod}n,$ $y=C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i},$ $y^{\′}=y^{c_i^{\′}}{g}^{s_u+2^{{\mathrm{\λ}}_1}{s}_v+s_{\mathrm{\ω}}},$ 检查s_u、s_v、s_ω和c′是否同时满足以下条件： $s_u\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_v\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_{\mathrm{\ω}}\∈\±{\left\{\mathrm{0,1}\right\}}^{{2\mathrm{\λ}}_2+1}$ ，且c_i′=H'(n||g||h||a||C₂||C′₂||y||y′||m′′)。

（2-8）若步骤（2-7）中的条件均成立，则证明用户从C₁、α_i和β_i已正确地计算出密钥x_i；管理机构M检查C₂是否满足：C₂∈QR(n)；若满足，则选取一个随机素数e_i，e_i∈Γ，通过e_i得到然后，管理机构M将用户U_i关于组签名密钥x_i的授权证书C_i={e_i,A_i}发送给用户U_i，同时将注册信息(U_i,e_i,A_i)发送给组G的管理者识别机构O。

（2-9）用户U_i通过检查授权证书C_i的准确性，若该等式成立，则用户U_i将组签名密钥x_i和授权证书C_i进行保存；在步骤（2-3）至（2-9）中的任意一次认证或检查失败，用户U_i与管理机构M重复步骤（2-1）至（2-9），直到用户U_i获得组签名密钥x_i的正确的授权证书C_i。

（3）生成保护用户访问隐私的服务请求信息及其组签名：采用Diffie-Hellman密钥交换算法，建立用户U_i与检查机构D的共享密钥K_D，通过共享密钥K_D得到用户U_i与检查机构D的共享对称密钥k_D，然后采用共享对称密钥k_D对用户U_i提出的服务请求信息m中的关键敏感数据进行加密，得到保护用户访问隐私的服务请求信息利用识别机构O所管理且用户U_i所属组的公钥及用户U_i的授权证书C_i，生成用户U_i服务请求信息的组签名sg；其中保护用户访问隐私的服务请求信息生成步骤如图6所示：

（3-1-1）用户U_i选取随机整数，根据检查机构D的公钥y_D计算Diffie-Hellman密钥

用户U_i利用散列函数H′，生成长度为λ的对称密钥k_D=H′(K_D)；

（3-1-2）用户U_i采用对称密钥k_D=H′(K_D)对其提出的服务请求信息m进行加密，得到保护用户访问隐私的请求信息；其中用户U_i所提出的服务请求信息m为：

m=m_d||α||m_f||C，

其中α为用户U_i向检查机构D请求的服务类型，即用户服务请求的关键敏感数据，C为票据要求输出的信息，m_d和m_f分别表示服务请求信息m中关键敏感数据α的前后两部分信息；

用户U_i选用对称加密算法AES(AdvancedEncryptionStandard、高级加密标准)，利用密钥k_D对服务类型α进行加密，得到密文C_α为：

$C_{\mathrm{\α}}=E_{k_D}\left(\mathrm{\α}\right);$

得到保护用户访问隐私的请求信息的服务请求信息为：

$\tilde{m}=m_d\left|\right|C_{\mathrm{\α}}\left|\right|m_f\left|\right|C.$

组签名sg的生成步骤如图6中虚线框所示：

（3-2-1）用户U_i利用识别机构O所管理组G的公钥pk_G中的y=g^xmodn、用户U_i的组签名密钥x_i、管理机构发送给它的授权证书C_i={e_i,A_i}及步骤（3-1-1）随机选取的整数w得到参数T₁、T₂和T₃如下：

T₁=A_iy^wmodn，T₂=g^wmodn和

（3-2-2）用户U_i随机选取整数r₁、r₂、r₃和r₄，其中r₁、r₂、r₃和r₄满足 $r_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)},$ $r_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)},$ $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)}$ 和 $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)}.$

（3-2-3）根据步骤（3-2-1）及（3-2-2）得到d₁、d₂、d₃和d₄如下：

$d_1=T_1^{r_1}/\left(a^{r_2}{y}^{r_3}\right)\mathrm{mod}n,$ $d_2=T_2^{r_1}/g^{r_3}\mathrm{mod}n,$ $d_3=g^{r_4}\mathrm{mod}n$ 和 $d_4=g^{r_1}{h}^{r_4}\mathrm{mod}n.$

（3-2-4）通过上述步骤得到参数c为：

c=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d₁||d₂||d₃||d₄||m′)；

其中符号||表示字符串的串接，

（3-2-5）通过上述步骤得到参数s₁、s₂、s₃和s₄：

$s_1=r_1-c(e_i-2^{{\mathrm{\γ}}_1}),$ $s_2=r_2-c(x_i-2^{{\mathrm{\λ}}_1}),$ s₃=r₃-ce_iw和s₄=r₄-cw。

（3-2-6）最后得到用户U_i组签名sg为：

sg=(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)。

用户U_i通过网络将保护用户访问隐私的服务请求信息及其组签名sg发送给识别机构O；

（4）用户服务请求的认证：识别机构O首先验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确，

若sg不正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息不合法，识别机构O丢弃该保护用户访问隐私的服务请求信息

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，识别机构O利用其所管理且用户U_i所属组的私钥及组签名sg计算出用户U_i的授权证书C_i。

其中识别机构O对组签名sg正确性的判断步骤如图7中虚线框所示：

（4-1）识别机构O将接收到的用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg拆分成：(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)。

（4-2）通过步骤（4-1）得到参数d′₁、d′₂、d′₃和d′₄如下：

$d_1^{\′}=a_0^c{T}_1^{s_1-{c2}^{r_1}}/\left(a^{s_2-{c2}^{\mathrm{\λ}}}{y}^{s_3}\right)\mathrm{mod}n,$ $d_2^{\′}=T_2^{s_1-c{2}^{r_1}}/g^{s_3}\mathrm{mod}n,$ $d_3^{\′}=T_2^c{g}^{s_4}\mathrm{mod}n$ 和 $d_4^{\′}=T_3^c{g}^{s_1-{c2}^{r_1}}{h}^{s_4}\mathrm{mod}n.$

（4-3）通过步骤(4-2)得到参数c′：

c′=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d′₁||d′₂||d′₃||d′₄||m′)，其中

（4-4）判断步骤（4-3）中得到的参数c′和参数c是否相等、s₁是否满足 $s_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)+1},$ s₂是否满足 $s_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)+1},$ s₃是否满足 $s_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)+1}$ 以及s₄是否满足 $s_4\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)+1}.$

（4-5）若步骤（4-4）条件均成立，则用户U_i发送给识别机构O的组签名sg是正确的，否则用户U_i发送给识别机构O的组签名sg是不正确的。

如图7所示，在判断组签名sg正确后，识别机构O根据组签名sg中的分量T₁和T₂，利用用户U_i所属组G的私钥x得到：；然后依据A_i搜索组G的授权证书管理数据库，确认用户U_i的组成员资格是否已被撤销；

若数据库中存在授权证书C_i=(U_i,A_i,e_i)，则表明用户U_i仍为组G的组成员，否则用户U_i的组成员资格已被撤销，识别机构O丢弃用户U_i所提出的服务请求信息

（5）为用户提供服务：如图8所示，检查机构D接收到用户U_i的保护用户访问隐私的服务请求信息及其组签名sg后，通过验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确来判断用户U_i所提出的保护用户访问隐私的服务请求信息的合法性，然后将是否为用户U_i提供了服务的结果反馈给识别机构O；其中检查机构D对组签名sg的判断方法如步骤（4-1）至（4-4）所示，

若sg不正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息不合法，检查机构D不向用户U_i提供相关的服务；

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密，得到加密前的服务请求信息m；然后根据服务请求信息m向用户U_i提供相关的服务。

其中检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密的步骤如图8所示：

（5-1）检查机构D根据用户U_i提出的保护用户访问隐私的服务请求信息得到其服务类型的密文C_α。

（5-2）检查机构D根据组签名sg中的T₂，利用其密钥x_D计算Diffie-Hellman密钥；然后使用K_D和散列函数，生成长度为λ的对称密钥k_D=H′(K_D)。

（5-3）利用对称密钥k_D解密密文C_α，得到用户U_i提出的保护用户访问隐私的服务请求信息中的关键敏感数据α；然后利用关键敏感数据α代替中的C_α，得到用户U_i原来的服务请求信息m。

（6）服务票据的生成：如图9所示，识别机构O接收检查机构D反馈的服务结果，确认检查机构D是否已向用户U_i提供对应服务；

若是，则识别机构O根据授权证书管理数据库中搜索得到的授权证书C_i=(U_i,A_i,e_i)，获取用户的身份信息U_i，开具身份信息为U_i、服务信息为C的服务票据，同时将检查机构D的标识符、用户U_i所提出的保护用户访问隐私的服务请求信息中的服务类型密文C_α以及组签名sg分量T₂写入到服务票据的附注中。并且通过可靠的渠道将服务票据发送给用户U_i。

若否，则识别机构O不开具服务票据。

（7）票据信息和服务信息的稽查：执法部门收集有违法嫌疑用户的服务票据，利用每张票据中的附注信息，要求执行相应服务认证的检查机构D恢复出真实服务请求中的关键敏感数据，为执法提供相关的证据。

收集有违法嫌疑的用户U_i的保护用户隐私的服务票据：执法部门向识别机构O出示法律部门的文书，要求识别机构O提供有违法嫌疑的用户U_i的服务票据；执法部门稽查的具体步骤如图10所示：

（7-1）执法部门根据收集的用户U_i的服务票据，按照附注中标注的服务执行者检查机构D的标识符分类。

（7-2）执法部门向检查机构D出示法律部门的文书，要求检查机构D显示有违法嫌疑用户的所有真实服务类型。

（7-3）检查机构D读取每张服务票据附注中的服务类型密文C_α和组签名分量T₂。

（7-4）输入检查机构D私钥x_D，计算得到对称加密使用的共享密钥 $k_D=H^{\′}\left(T_2^{x_D}\mathrm{mod}n\right).$

（7-5）利用密钥k_D解密服务类型密文C_α，得到真实的服务类型α。

（7-6）标注每张用户U_i的服务票据对应的真实服务类型α，统计汇总交执法部门。

其中步骤（2-5）生成的组签名密钥，只有用户U_i知道，包括管理机构M在内其它任何实体均无法得知密钥x_i。由于秘密指数是由用户U_i随机生成的，管理服务器M只知道(α_i,β_i)，不能计算出x_i。这样利用密钥x_i生成的组签名只能来自用户U_i，即使管理机构M也不能冒充用户U_i进行签名。

如图11-A所示，用户李三提出的原服务请求信息中的药品订购单信息，从图11-A可以看出，原服务请求信息中包含用户不希望让其他人知道的关键敏感数据：齐多夫定片，安微贝克生物制药有限公司。即原服务请求信息m中的α为：齐多夫定片，安微贝克生物制药有限公司。

如图11-B所示为用户使用本实施例方法对关键敏感数据“齐多夫定片和安徽贝克生物制药有限公司”进行加密后得到保护用户访问隐私的请求信息中的药品订购单，即将原服务请求信息m中的关键敏感数据α“齐多夫定片、安微贝克生物制药有限公司”加密成C_α。从加密处理后的药品订购单中其他人无法得知服务请求信息中的关键敏感数据，很好的保护了用户的隐私。

图11-C所示为用户使用本实施例方法后所开具的包含有稽查附注信息的服务票据，该用户将药品“齐多夫定片”的服务票据输出内容指定为“保健药品”。即服务请求信息中票据要求输出的信息c为保健药品，使得其他人员无法通过服务票据内容得知用户实际所需要的服务请求信息。使得用户的隐私信息得到恰当的保护。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (10)

1.一种网络服务中保护用户访问隐私的票据生成方法，用于实现所述票据生成方法的票据生成系统中包括管理机构M、检查机构D、识别机构O和用户设备；所述管理机构M、检查机构D和识别机构O之间相互连接，所述用户设备相互连接，所述管理机构M、检查机构D和识别机构O分别通过网络与用户设备连接；其特征在于，所述票据生成方法包括以下步骤：

（1）票据生成系统初始化和组的构建：根据输入系统安全参数生成系统公共参数，构建识别结构O所管理的组，分别生成管理机构M、检查机构D和识别机构O所管理组的私钥/公钥对；

（2）用户的授权和撤销：用户U_i向管理机构M申请注册成为其中一个组的成员，然后自身构建一个组签名密钥x_i，并从管理机构M中获取用户U_i关于组签名密钥x_i的授权证书C_i；识别机构O创建和管理授权证书管理数据库；当管理机构M需要撤销用户U_i关于组签名密钥x_i的授权证书C_i时，通知识别机构O；识别机构O收到通知后，将授权证书管理数据库中用户U_i对应的记录C_i删除，即撤销用户U_i的组成员资格；

（3）生成保护用户访问隐私的服务请求信息及其组签名：采用Diffie-Hellman密钥交换算法，建立用户U_i与检查机构D的共享对称密钥k_D，然后采用对称密钥k_D对用户U_i提出的服务请求信息m中的关键敏感数据进行加密，得到保护用户访问隐私的服务请求信息

利用识别机构O所管理且用户U_i所属组的公钥、用户U_i构建的组签名密钥x_i及用户U_i关于组签名密钥x_i的授权证书C_i，生成用户U_i保护用户访问隐私的服务请求信息的组签名sg；

用户U_i将保护用户访问隐私的服务请求信息及其组签名sg发送给识别机构O；

（4）用户服务请求的认证：识别机构O首先验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确，

若sg不正确，则表示用户U_i所提出的服务请求信息不合法，识别机构O丢弃该保护用户访问隐私的服务请求信息

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，识别机构O利用其所管理且用户U_i所属组的私钥及用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg，得出用户U_i关于组签名密钥x_i的授权证书C_i；

识别机构O搜索其授权证书管理数据库，若授权证书管理数据库中存在授权证书C_i，则用户U_i仍是识别机构所管理组的组成员，识别机构将用户U_i所提出的保护用户访问隐私的服务请求信息及其组签名sg发送给检查机构D；

否则表示用户U_i的组成员资格已被撤销，识别机构丢弃用户U_i所提出保护用户访问隐私的服务请求信息

（5）为用户提供服务：检查机构D接收到用户U_i所提出的保护用户访问隐私的服务请求信息及其组签名sg后，通过验证用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg是否正确来判断用户U_i所提出的保护用户访问隐私的服务请求信息的合法性，然后将是否为用户U_i提供了服务的结果反馈给识别机构O；

若sg不正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息不合法，检查机构D不向用户U_i提供相关的服务；

若sg正确，则表示用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密，得到加密前的服务请求信息m；然后根据服务请求信息m向用户U_i提供相关的服务；

（6）服务票据的生成：识别机构O接收检查机构D反馈的服务结果，确认检查机构D是否已向用户U_i提供对应服务；

若是，则识别机构O根据用户U_i所提出的保护用户访问隐私的服务请求信息中的票据服务信息，生成服务票据；并将服务票据发送给用户U_i；

若否，则识别机构O不开具服务票据。

2.根据权利要求1所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（1）中系统初始化流程具体如下：

（1-1）输入系统安全参数ε、k、l_p、λ，生成系统的公共参数pps={λ₁,λ₂,γ₁,γ₂,Λ,Γ,H′,H}；其中ε>1，λ₁>ε(λ₂+k)+2，λ₂>4l_p，γ₁>ε(γ₂+k)+2，γ₂>λ₁+2，，Γ=[2^γ1-2^γ2,2^γ1+2^γ2]，H′:{0,1}^*→{0,1}^λ和H:{0,1}^*→{0,1}^k是两个抗碰撞的散列函数；

（1-2））生成管理机构M的私钥/公钥对为((p',q'),n)：选取大素数其中p=2p′+1，q=2q′+1，p′和q′都是素数；将管理机构M的私钥定义为(p',q')，则其公钥为：n=pq；

（1-3）生成识别机构O所管理组的私钥/公钥对(x,pk_G)：随机选取参数a,a₀,g,h∈QR(n)，随机选取识别机构O的私钥x为，QR(n)表示关于模n的平方剩余类，将x作为识别机构O所管理组的私钥，通过私钥x得到识别机构O所管理组的公钥pk_G：

pk_G=(n,a₀,a,y,g,h)，y=g^xmodn；

（1-4）生成检查机构D的私钥/公钥对(x_D,y_D)：随机选取检查机构D的私钥x_D为：；通过私钥x_D得到其公钥y_D为：

$y_D=g^{x_D}\mathrm{mod}n.$

3.根据权利要求2所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（2）中用户U_i关于组签名密钥x_i的授权证书的获取步骤如下：

（2-1）用户U_i向管理机构M申请加入识别机构O所管理组G的服务，管理机构M选取一个随机整数m′′∈(0,2^k)，并将m′′发送给用户U_i；用户U_i生成一个秘密的指数和一个随机整数；用户U_i随机选取整数，计算，c_i=H'(n||g||h||C₁||C′₁||m′′)，，得到指数的知识证明及知识证明对应的知识签名(c_i,s_i)；

其中指数的知识证明为：

（2-2）用户U_i将和指数的知识证明对应的知识签名(c_i,s_i)发送给管理机构M；

（2-3）管理机构M认证用户U_i提交的知识签名(c_i,s_i)：首先管理机构M利用用户发送的C₁和知识签名(c_i,s_i)恢复出C′₁，得到，然后检查其接收到的s_i和c_i是否满足下述条件：且c_i=H'(n||g||h||C₁||C′₁||m′′)；

若以上条件成立，则证明用户U_i知道指数，且是在开区间的值；

若以上条件不成立，则管理机构M要求用户U_i重新选取新的指数

（2-4）管理机构M检查C₁是否满足：C₁∈QR(n)；若满足，管理机构M将随机选取，并将α_i和β_i发送给用户U_i；

（2-5）用户U_i构造组签名密钥，通过组签名密钥x_i得到 $C_2=a^{x_i}\mathrm{mod}n$ ，令 $u=({\mathrm{\α}}_i{\tilde{x}}_i+{\mathrm{\β}}_i){\mathrm{mod}2}^{{\mathrm{\λ}}_2}$ ，则 $x_i=u+2^{{\mathrm{\λ}}_1},$ $C_2=a^{2^{{\mathrm{\λ}}_1}}{a}^u\mathrm{mod}n;$

用户U_i根据其选取的和，利用α_i和β_i，得到整数和 $\mathrm{\ω}=\tilde{r}{\mathrm{\α}}_i$ ；又 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}={\left(g^{{\tilde{x}}_i}{h}^{\tilde{r}}\right)}^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{{\tilde{x}}_i{\mathrm{\α}}_i+{\mathrm{\β}}_i}{h}^{\tilde{r}{\mathrm{\α}}_i}=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i}$ ，从而得到 $C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}}$ ；用户U_i随机选取整数 $u^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ $v^{\′}\∈({-2}^{{\mathrm{\λ}}_2},2^{{\mathrm{\λ}}_2}),$ ${\mathrm{\ω}}^{\′}\∈({-2}^{2{\mathrm{\λ}}_2},2^{2{\mathrm{\λ}}_2}),$ 计算 $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}}{a}^{u^{\′}}\mathrm{mod}n,$ $y=g^{x_i-2^{{\mathrm{\λ}}_1}+2^{{\mathrm{\λ}}_2}\·v}{h}^{{\tilde{r}\mathrm{\α}}_i},$ $y^{\′}=g^{u+2^{{\mathrm{\λ}}_2}\·v}{h}^{\mathrm{\ω}},$ c_i′=H'(n||g||h||a||C₂||C′₂||y||y′||m′′)，s_u=u′-c_i′u，s_v=v′-c_i′v，s_ω=w′-c_i′ω；得到秘密(u,v,ω)的知识证明及知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)；

其中(u,v,ω)的知识证明为：

SPK{(u,v,ω):

（2-6）用户U_i将秘密(u,v,ω)的知识证明对应的知识签名Σ=(c_i′,s_u,s_v,s_ω)发送给管理机构M；

（2-7）管理机构M认证用户U_i提交的知识签名Σ=(c_i′,s_u,s_v,s_ω)：首先管理机构M利用用户发送的C₂和知识签名Σ=(c_i′,s_u,s_v,s_ω)恢复出C′₂、y和y′： $C_2^{\′}=a^{2^{{\mathrm{\λ}}_1}(1-c_i^{\′})+s_u}{C}_2^{c_i^{\′}}\mathrm{mod}n,$ $y=C_1^{{\mathrm{\α}}_i}{g}^{{\mathrm{\β}}_i},$ $y^{\′}=y^{c_i^{\′}}{g}^{s_u+2^{{\mathrm{\λ}}_1}{s}_v+s_{\mathrm{\ω}}}$ ，检查s_u、s_v、s_ω和c′是否同时满足以下条件： $s_u\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_v\∈\±{\left\{\mathrm{0,1}\right\}}^{{\mathrm{\λ}}_2+1},$ $s_{\mathrm{\ω}}\∈\±{\left\{\mathrm{0,1}\right\}}^{2{\mathrm{\λ}}_2+1}$ ，且c_i′=H'(n||g||h||a||C₂||C′₂||y||y′||m′′)；

（2-8）若步骤（2-7）中的条件均成立，则证明用户从C₁、α_i和β_i已正确地得到密钥x_i；管理机构M检查C₂是否满足：C₂∈QR(n)；若满足，则选取一个随机素数e_i，e_i∈Γ，通过e_i得到；然后，管理机构M将用户U_i关于组签名密钥x_i的授权证书C_i={e_i,A_i}发送给用户U_i，同时将注册信息(U_i,e_i,A_i)发送给组G的管理者识别机构O；

（2-9）用户U_i通过检查授权证书C_i的准确性，若该等式成立，则用户U_i将组签名密钥x_i和授权证书C_i进行保存；在步骤（2-3）至（2-9）中的任意一次认证或检查失败，用户U_i与管理机构M重复步骤（2-1）至（2-9），直到用户U_i获得正确的授权证书C_i。

4.根据权利要求3所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（3）生成保护用户访问隐私的服务请求信息的步骤如下：

（3-1-1）用户U_i选取随机整数，根据检查机构D的公钥y_D计算Diffie-Hellman密钥

用户U_i利用散列函数H′，生成长度为λ的对称密钥k_D=H′(K_D)；

（3-1-2）用户U_i采用对称密钥k_D=H′(K_D)对其提出的服务请求信息m进行加密，得到保护用户访问隐私的请求信息；其中用户U_i所提出的服务请求信息m为：

m=m_d||α||m_f||C，

其中α为用户U_i向检查机构D请求的服务类型，即用户服务请求的关键敏感数据，C为票据要求输出的信息，m_d和m_f分别表示服务请求信息m中关键敏感数据α的前后两部分信息；

用户U_i利用k_D密钥使用对称加密算法对服务类型α进行加密，得到密文C_α为：

$C_{\mathrm{\α}}=E_{k_D}\left(\mathrm{\α}\right);$

得到保护用户访问隐私的请求信息为：

$\tilde{m}=m_d\left|\right|C_{\mathrm{\α}}\left|\right|m_f\left|\right|C.$

5.根据权利要求4所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（3）中用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg生成步骤如下：

（3-2-1）用户U_i利用识别机构O所管理组G的公钥pk_G中的y=g^xmodn、用户U_i的组签名密钥x_i、管理机构M发送给它的授权证书C_i={e_i,A_i}及步骤（3-1-1）随机选取的整数得到参数T₁、T₂和T₃如下：

T₁=A_iy^wmodn，T₂=g^wmodn和

（3-2-2）用户U_i随机选取整数r₁、r₂、r₃和r₄，其中r₁、r₂、r₃和r₄满足 $r_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)},$ $r_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)},$ $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)}$ 和 $r_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)};$

（3-2-3）根据步骤（3-2-1）及（3-2-2）得到d₁、d₂、d₃和d₄如下：

$d_1=T_1^{r_1}/\left(a^{r_2}{y}^{r_3}\right)\mathrm{mod}n,$ $d_2=T_2^{r_1}/g^{r_3}\mathrm{mod}n,$ $d_3=g^{r_4}\mathrm{mod}n$ 和 $d_4=g^{r_1}{h}^{r_4}\mathrm{mod}n;$

（3-2-4）通过步骤（3-2-1）及（3-2-3）得到参数c为：

c=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d₁||d₂||d₃||d₄||m′)；

其中符号||表示字符串的串接，

（3-2-5）通过步骤（3-2-4）得到参数s₁、s₂、s₃和s₄：

$s_1=r_1-c(e_i-2^{{\mathrm{\γ}}_1}),$ $s_2=r_2-c(x_i-2^{{\mathrm{\λ}}_1}),$ s₃=r₃-ce_iw和s₄=r₄-cw；

（3-2-6）最后得到用户U_i组签名sg为：

sg=(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)。

6.根据权利要求5所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（4）中识别机构O对组签名sg正确性的判断步骤如下：

（4-1）识别机构O将接收到的用户U_i所提出的保护用户访问隐私的服务请求信息的组签名sg拆分成：(c,s₁,s₂,s₃,s₄,T₁,T₂,T₃)；

（4-2）通过步骤（4-1）计算得到参数d′₁、d′₂、d′₃和d′₄如下：

$d_1^{\′}=a_0^c{T}_1^{s_1-{c2}^{r_1}}/\left(a^{s_2-{c2}^{\mathrm{\λ}}}{y}^{s_3}\right)\mathrm{mod}n,$ $d_2^{\′}=T_2^{s_1-c{2}^{r_1}}/g^{s_3}\mathrm{mod}n,$ $d_3^{\′}=T_2^c{g}^{s_4}\mathrm{mod}n$ 和 $d_4^{\′}=T_3^c{g}^{s_1-c{2}^{r_1}}{h}^{s_4}\mathrm{mod}n;$

（4-3）通过步骤(4-2)计算得到参数c′：

c′=H(g||h||y||a₀||a||T₁||T₂||T₃||T₄||d′₁||d′₂||d′₃||d′₄||m′)，其中

（4-4）判断步骤（4-3）中得到的参数c′和参数c是否相等、s₁是否满足 $s_1\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_2+k)+1},$ s₂是否满足 $s_2\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\λ}}_2+k)+1},$ s₃是否满足 $s_3\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({\mathrm{\γ}}_1+{2l}_p+k+1)+1}$ 以及s₄是否满足 $s_4\∈\±{\left\{\mathrm{0,1}\right\}}^{\mathrm{\ϵ}({2l}_p+k)+1};$

（4-5）若步骤（4-4）条件均成立，则用户U_i发送给识别机构O的组签名sg是正确的，即用户U_i所提出的保护用户访问隐私的服务请求信息是合法的，它来自识别机构O所管理组的一个授权用户；否则用户U_i发送给识别机构O的组签名sg是不正确的，即用户U_i所提出的服务请求信息不合法，识别机构O将丢弃该保护用户访问隐私的服务请求信息

7.根据权利要求6所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（4-4）的条件成立后，识别机构O根据用户U_i所提出的保护用户访问隐私的服务请求信息组签名sg中的分量T₁和T₂，利用用户U_i所属组G的私钥x得到：然后依据A_i搜索组G的授权证书管理数据库，确认用户U_i是否为已撤销组的成员资格，

若数据库中存在授权证书C_i=(U_i,A_i,e_i)，则表明用户U_i认为组G的组成员，否则用户U_i的组成员资格已被撤销，识别机构O丢弃用户U_i所提出的保护用户访问隐私的服务请求信息

8.根据权利要求6所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（5）中检查机构D利用对称密钥k_D对用户U_i所提出的保护用户访问隐私的服务请求信息进行解密的步骤如下：

（5-1）检查机构D根据用户U_i提出的保护用户访问隐私的服务请求信息得到其服务类型的密文C_α；

（5-2）检查机构D根据组签名sg中的T₂，利用其私钥x_D计算Diffie-Hellman密钥；然后使用K_D和散列函数H′，生成长度为λ的对称密钥k_D=H′(K_D)；

（5-3）利用对称密钥k_D解密密文C_α，得到用户U_i提出的保护用户访问隐私的服务请求信息中的关键敏感数据α；然后利用关键敏感数据α代替中的C_α，得到用户U_i原来的服务请求信息m。

9.根据权利要求8所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，所述步骤（6）中识别机构O根据授权证书管理数据库中其搜索得到的授权证书C_i=(U_i,A_i,e_i)，获取用户的身份信息U_i；开具身份信息为U_i、服务信息为C的服务票据，同时将检查机构D的标识符、用户U_i服务请求信息中的服务类型密文C_α以及组签名sg分量T₂写入到服务票据的附注中。

10.根据权利要求1所述的网络服务中保护用户访问隐私的票据生成方法，其特征在于，还包括票据信息和服务信息的稽查步骤，执法部门收集有违法嫌疑用户的服务票据，利用每张票据中的附注信息，要求执行相应服务认证的检查机构D恢复出真实服务请求中的关键敏感数据，为执法提供相关的证据。