CN106066958A - 用户计算机的认证 - Google Patents

Abstract

本发明涉及用户计算机的认证。提供了用于向可连接到移动网络的用户计算机附近的检验方服务器认证用户计算机的计算机实现的方法。用户计算机存储属性证书，所述属性证书证明一组用户属性和用于向移动网络标识用户计算机的设备标识符。用户计算机与移动网络通信以便获得位置证书。所述位置证书证明所述设备标识符和位置数据，所述位置数据指示由所述移动网络确定的所述用户计算机的当前位置。用户计算机生成认证令牌，所述认证令牌包括属性证书、位置证书、位置数据、以及用于证明所述属性证书中的设备标识符等于所述位置证书中的设备标识符的证据。用户计算机将所述认证令牌发送到所述检验方服务器以用于用户计算机的认证。

Description

用户计算机的认证

技术领域

本发明一般地涉及用户计算机的认证，更具体地说，涉及可连接到移动网络的用户计算机向所述用户计算机附近的检验方服务器的认证。

背景技术

在许多情形中，用户计算机可以用于向附近的检验方服务器认证。例如，诸如移动电话、平板计算机、PDA之类的用户计算机可以存储信息，当将该信息提供给检验方服务器时，该信息可以用于获得对服务或其它资源的访问。示例性实例包括：使用存储在用户计算机上的支付数据(例如信用卡详细信息)，在销售点终端处支付商品/服务款项；以及基于存储在用户计算机上的授权数据，证明有权进入建筑物或其它设施。此处的一个问题是用户计算机可能被恶意软件感染。该恶意软件可以试图捕获所存储的信息，并且使用该信息认证不同用户计算机。存储在移动电话上的认证信息例如可以由恶意软件发送到恶意方，并且然后用于以该用户的名义在别处获得商品/服务。

众所周知，在某些支付系统中，作为支付授权过程的一部分，从移动网络运营商获得用户移动设备的位置并且将该位置与商家位置相比较。如果两个位置不一致，则确定安全问题。但是，已知系统往往危及用户隐私和/或需要复杂的操作过程。

发明内容

根据本发明的第一实施例，提供一种用于向可连接到移动网络的用户计算机附近的检验方服务器认证所述用户计算机的计算机实现的方法。所述用户计算机存储属性证书。所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符。所述用户计算机与所述移动网络通信以便获得位置证书。所述位置证书证明所述设备标识符和位置数据，所述位置数据指示由所述移动网络确定的所述用户计算机的当前位置。所述用户计算机生成认证令牌，所述认证令牌包括所述属性证书、所述位置证书、所述位置数据、以及用于证明所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符的证据。所述用户计算机将所述认证令牌发送到所述检验方服务器以用于所述用户计算机的认证。

上面的实施例提供一种非常简单的认证方法，并且具有高级别的用户隐私。可以确认所述用户计算机在正确位置处，即，在所述检验方服务器附近，但所述用户计算机不需要揭示所述设备标识符，因为所述证据展示所述位置证书与所述属性证书证明了相同标识符。

本发明的另一个实施例提供一种计算机程序产品，其包括计算机可读存储介质，所述计算机可读存储介质具有随其包含的程序指令，所述程序指令可由用户计算机执行，以使得所述用户计算机执行根据上面第一实施例的方法。

本发明的另一个实施例提供一种用于向可连接到移动网络的用户计算机附近的检验方服务器认证所述用户计算机的计算机实现的方法，其中所述用户计算机存储属性证书，所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符。所述方法包括在所述检验方服务器处，接收来自所述用户计算机的认证令牌。所述认证令牌包括所述属性证书、位置证书、位置数据以及证据，所述位置证书证明所述设备标识符和所述位置数据，所述位置数据指示由所述移动网络确定的所述用户计算机的当前位置，所述证据用于证明所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符。所述检验方服务器从所述证据检验所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符。所述检验方服务器还检验所述位置证书证明了所述位置数据，并且判定由所述位置数据指示的所述用户计算机的当前位置是否在所述检验方服务器附近。所述检验方服务器还判定由所述属性证书证明的所述一组用户属性是否满足所述用户计算机的认证条件。

有利地，所述位置证书可以进一步证明指示所述位置证书的发行时间的时间戳。该时间戳可以被包括在所述认证令牌中。所述检验方服务器可以检验所述位置证书证明了所述时间戳，并且判定由所述时间戳指示的所述发行时间是否在当前时间之前的预定时间间隔内。然后仅可在发行之后的预定时间间隔内使用所述认证令牌。

所述属性和位置证书可以以编码形式被包括在所述认证令牌中。优选实施例包括在所述用户计算机处，通过所述属性证书的随机盲化产生盲化属性证书。所述盲化属性证书可以被包括在所述认证令牌中，并且所述证据可以适于证明所述用户计算机拥有所述盲化属性证书中的所述属性证书。所述用户计算机同样可以产生盲化位置证书以便包括在所述认证令牌中，并且所述证据适于证明所述用户计算机拥有所述盲化位置证书中的所述位置证书。这种证书随机盲化的使用可以通过防止经由使用证书链接具有相同用户计算机的不同交易来提供增强的隐私性。

在一个有利的实施例中，所述检验方服务器将策略数据发送到所述用户计算机。所述策略数据定义所述用户计算机的认证条件。所述用户计算机接收所述策略数据，所述用户计算机产生所述认证令牌中的所述证据，使得所述证据适于证明所述属性证书中的所述一组用户属性满足该认证条件。所述检验方服务器然后可以从所述证据检验所述一组用户属性满足所述认证条件。这可以进一步增强隐私，因为所述用户计算机仅需揭示与认证具体需要的一组属性有关的信息。

在一个优选实施例中，所述检验方服务器可以向所述用户计算机发送定义所述认证的上下文信息的上下文消息。由所述用户计算机生成的所述证据可以依赖于所述上下文消息。所述检验方服务器然后可以检验所述证据依赖于所述上下文消息。这提供增加的安全性，因为所述认证令牌仅可用于由所述上下文信息标识的特定认证过程。

下面将通过示例性和非限制性实例的方式，参考附图更详细地描述本发明的实施例。

附图说明

图1是其中可以采用体现本发明的认证方法的系统的示意性表示；

图2是用于图1系统中的用户计算机的示意框图；

图3示出图1系统中的认证过程的步骤；以及

图4示出认证过程的另一个实施例的步骤。

具体实施方式

本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是—但不限于—电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输介质传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供方来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其它设备以特定方式工作，从而，存储有指令的计算机可读存储介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

图1的系统1包括可连接到移动网络3的用户计算机2以及检验方服务器4，检验方服务器4由在此称为“服务提供方”的实体操作。用户计算机2可以由检验方服务器4附近的设备用户使用以便向检验方服务器认证，从而获得或访问由服务提供方控制的某个资源。可以在许多情形中执行这种认证过程。例如，认证可以作为交易(例如在商店或咖啡厅支付)的一部分执行，或者为了进入建筑物或其它设施(例如，使用会员卡进入俱乐部)，或者为了获得服务提供方限制对其访问的某个项目或其它资源。设备用户可以通过输入用户密码p对用户计算机2进行解锁以便实现认证过程。这可以包括PIN(个人身份号码)或其它字母数字字符串、生物测量数据(例如指纹扫描或语音样本)或其它方便的个人标识符。

用户计算机2例如可以是移动电话、平板计算机、掌上型计算机、膝上型计算机、笔记本计算机、PDA(个人数字助理)、个人音乐播放器或者可连接到移动网络的其它移动计算机设备。在下面描述的一个实施例中，移动网络3包括蜂窝电信网络。在其它实施例中，移动网络可以包括基于Wi-Fi的移动网络，或者其中可以标识移动计算机设备的位置以便经由网络与设备通信的任何其它网络。检验方服务器4例如可以包括销售点设备(例如收银机或其它支付终端)、ATM(自动柜员机)、停车计时器、自动贩卖机、自动售票机、接入点设备(例如用于控制进入建筑物或其它设施)，或者用户可以出于认证目的而在其中提供用户计算机2的任何其它设备。认证过程需要用户计算机存在于检验方服务器附近。认证过程的用户计算机与检验方服务器之间的通信通常可以通过通信通道进行，该通信通道经由临时物理连接或无线链路提供。通信通道可以利用诸如NFC(近场通信)、Wi-Fi或其它无线LAN(局域网)协议之类的局部通信协议，但通常可以经由任何方便的通信机制或网络被提供。

用户计算机2存储设备标识符sid以便向移动网络3标识用户计算机。用户计算机还存储属性证书C_att，属性证书C_att至少证明设备标识符sid和一组用户属性att。通过经由加密算法对要证明的数据项(通常称为“属性”)进行编码，以已知方式加密地实现此类证书中的证明。加密算法被设计为通过针对证书产生加密证据来允许已证明信息的检验。用于实现此类证书系统的加密协议在所属技术领域是公知的。加密证书由在此称为“属性提供方”的证书发行者发行，如在图1中的5处示意性地指示的那样。服务提供方信任属性提供方以便证明由证书证明的属性。加密协议已知，它们允许发行证书而不向证书发行者揭示由证书证明的属性。证书可以使用属性提供方的加密密钥证明属性。服务提供方然后可以检验使用正确密钥产生了证书。例如，属性提供方可以使用公钥-私钥对的私钥产生证书，该公钥-私钥对的公钥可以用于检验。

由属性证书C_att证明的一组用户属性att通常可以包括一个或多个用户属性。给定用户属性可以包括表示认证过程可能需要的任何信息项的数据。典型实例包括：诸如支付账户详细信息(例如，信用卡、借记卡或账户卡详细信息)之类的支付数据和诸如比特币或其它电子现金之类的支付令牌；定义用户计算机2的属性的设备数据；以及诸如生日、国籍、职务之类的个人用户信息。

属性提供方5的特定性质以及属性提供方确认属性的方式与要描述的认证方法的操作无关。此类技术是公知的并且不需要在此讨论。用户计算机2可以以多种方式获得证书，例如，通过向用户提供证书以便存储在用户计算机2中，或者经由用户计算机和属性提供方通过网络(例如移动网络3、专用网络或因特网)的通信。

在要描述的认证过程的操作中，用户计算机2可以动态获得另一个加密证书，即位置证书C_loc。位置证书C_loc经由与移动网络3的通信获得，如在图1中示意性地指示的那样。该证书至少证明设备标识符sid和位置数据loc，位置数据loc指示由移动网络确定的用户计算机的当前位置。位置数据loc可以以任何方便的方式指示位置，例如根据地理坐标、地图区域、邮政编码、地址等。在下面描述的一个实施例中，直接从移动网络运营商(MNO)获得位置证书。例如，可以通过经由移动网络3的用户计算机与MNO服务器6之间的通信获得位置证书。位置证书可以在加密密钥下证明设备标识符sid和位置数据loc。在下面描述的一个实施例中，该加密密钥是移动网络运营商的公钥-私钥对的私钥。

图1示出在该实例中的认证过程的操作中涉及的检验方服务器4的主要组件。这些组件包括通信接口7，其提供用于实现与附近用户计算机2的通信的电路。认证逻辑8提供用于实现下面详述的认证过程的步骤的功能。认证逻辑8可以以硬件或软件或其组合来实现。认证逻辑例如可以包括计算机可读存储介质，计算机可读存储介质具有随其包含的程序指令，所述程序指令可由检验方服务器执行以使得服务器执行认证过程的步骤。存储器9存储由认证逻辑8在认证过程中使用的数据。在下面的实施例中，该数据包括加密密钥(例如上面提及的密钥对的公钥)和策略数据。策略数据定义一个或多个条件，由用户计算机2提供的证书中的属性必须满足这些条件以使与这些用户计算机的认证过程成功。检验方服务器在该实例中被示为单个“面向用户”设备，用户可以出于认证目的而在该处提供用户计算机2。但是，一般而言，检验方服务器4可以由此类设备单独实现，或者与一个或多个其它设备(例如，另一个计算机，面向用户设备可以与之通信以便实现检验方服务器功能的某个方面)组合实现。

图2是用户计算机2的一个实施例的示意框图。用户计算机包括通信接口(由方框10指示)，其提供用于实现与移动网络3和检验方服务器4的通信的电路。用户输入/输出(I/O)方框11提供用于与设备用户通信的用户接口(例如显示器和键盘)功能，以便例如请求和接收用户密码p。处理器12根据存储在计算机可读存储介质13中的程序指令，执行设备2的处理操作。计算机可读介质13可以存储设备操作系统和用于在设备上运行的任何应用的应用软件。介质13还存储认证模块14，认证模块14包括用于下面描述的认证过程的步骤的程序指令。存储器15存储由处理器12在操作中使用的数据，存储器15可以包括一个或多个存储器类型，包括诸如SRAM(静态随机存取存储器)之类的易失性存储器和诸如闪存之类的非易失性存储器。所述数据包括属性证书C_att。在某些实施例中，存储器15还可以存储设备标识符sid。在该优选实施例中，设备标识符sid存储在设备的安全硬件模块上，在这种情况下为SIM卡16，由此将标识符sid绑定到用户计算机2。

现在将参考图3描述认证过程的一个实例。当用户在检验方服务器4的附近提供用户计算机2，并且分别在检验方服务器和用户计算机的通信接口7与10之间建立通信时，认证过程开始，如在步骤20处指示的那样。在某些实施例中，启动可能需要用户经由I/O机构11输入用户密码p。在该实例的步骤21，检验方服务器4将策略数据发送到用户计算机2。该策略数据定义用户计算机的认证条件。该认证条件可以包括一个或多个构成条件。此类构成条件例如可以指示必须展示一个或多个特定用户属性，或者给定属性必须满足特定要求，例如是被允许的一组属性的成员或者落入定义的范围内。在步骤22，用户计算机2接收策略数据。

在步骤23，用户计算机2与移动网络3通信以便从MNO服务器6请求位置证书。在步骤24，MNO服务器6基于在移动网络中标识用户计算机的设备标识符sid，经由移动网络基础架构确定用户计算机2的当前位置。MNO服务器生成位置证书C_loc，位置证书C_loc证明设备标识符sid和位置数据loc，位置数据loc指示检测的用户计算机位置。位置证书C_loc可以使用已知证书发行协议来生成，并且可以使用MNO服务器6的加密密钥来产生。在步骤25，用户计算机2从MNO服务器接收位置证书C_loc。

在步骤26，用户计算机2生成认证令牌T。认证令牌T包括存储在存储器15中的属性证书C_att、从移动网络3接收的位置证书C_loc、由位置证书证明的位置数据loc以及证据Π。证书C_att和C_loc可以以编码形式被结合在认证令牌中，如下面解释的那样。可以将位置数据loc与来自MNO服务器6的位置证书C_loc一起提供给用户计算机。可设想其它实施例，其中用户计算机可以基于用于产生证书的加密密钥(例如使用公钥/私钥对的公钥，该公钥/私钥对的私钥用于产生证书)，从位置证书获得位置数据loc。可以根据作为证书系统的基础的加密协议，以已知方式生成证据Π，以便证明属性证书C_att中的设备标识符sid等于位置证书C_loc中的设备标识符sid。在该实例中，证据Π还适于证明属性证书C_att中的一组用户属性att满足由在步骤22接收的策略数据定义的认证条件，例如证书包含需要的属性(多个)和/或一个或多个属性满足指定要求。证据Π还可以证明要向检验方展示的其它事实，如下面进一步讨论的那样。在步骤27，用户计算机2将认证令牌T发送到检验方服务器4以用于用户计算机的认证。

在步骤28，检验方服务器4接收认证令牌T。在步骤29，检验方服务器4的认证逻辑8根据作为证书系统的基础的加密协议，执行加密检验过程。在该过程中，认证逻辑8从证据Π检验属性证书C_att中的设备标识符sid等于位置证书C_loc中的设备标识符sid。认证逻辑8还检验位置证书C_loc证明了该认证令牌中的位置数据loc。检验过程的这部分可以基于用于生成位置证书的加密密钥(例如，使用公钥/私钥对的公钥，该公钥/私钥对的私钥用于产生证书)，检查位置证书C_loc有效地证明了位置数据loc。认证逻辑8还判定由位置数据loc指示的用户计算机的当前位置是否在检验方服务器4附近。在此可以将当前用户计算机位置与检验方服务器的已知位置相比较。认证逻辑可以检查用户计算机在检验方服务器位置的阈值距离内。认证逻辑还判定由属性证书C_att认证的一组用户属性att是否满足用户计算机的认证条件。在该实施例中，认证逻辑检查证据Π证明属性证书C_att中的一组用户属性att满足由在步骤21发送的策略数据定义的认证条件。检验过程的这部分可以要求属性证书C_att是基于用于生成属性证书的加密密钥(例如使用公钥/私钥对的公钥，该公钥/私钥对的私钥由属性提供方用于产生证书)而对所需属性(多个)的有效证明。

在决策方框30，认证逻辑8判定步骤29的检验过程是否成功。如果是，即在步骤30判定“是”(Y)，则检验方服务器在步骤31认证用户计算机。然后允许依赖于认证的操作(例如交易、访问项目/接入设施等)继续。如果检验过程的任何部分失败(在步骤30判定“否”(N))，则在步骤32拒绝认证并且拒绝限制的操作。认证过程然后完成。

将看到，上面的实施例允许将由移动网络安全认证的用户计算机的位置确认为在检验方服务器附近。这阻止另一个位置处的设备例如在通过用户计算机上的恶意软件捕获和传输之后，恶意使用用户的属性证书C_att。甚至存储在用户计算机上的长期证书因此也得以免受此类恶意软件的攻击。在不向检验方服务器揭示设备标识符sid的情况下实现位置检验。移动网络运营商并不知道与检验方的用户交易的详细信息。在上面的过程中使用策略数据允许用户仅向检验方揭示与认证所必需的一组已证明属性有关的特定信息。上面的实施例因此保持高级别的用户隐私。

在其中一组用户属性att包括由账户发行者向用户发行的支付账户数据(例如支付卡详细信息)的实施例中，不向账户发行者揭示由移动网络确定的用户计算机的位置。在此处的一个优选实施例中，可以在账户发行者的公钥-私钥对的私钥下，对支付账户数据进行加密。在图3过程的步骤29，检验方服务器可以根据账户发行者公钥-私钥对的公钥，进一步检验支付账户数据的有效性。因此检验方可以认证支付，并且向检验方揭示从账户发行者获得的支付(没有包括用户身份的支付账户数据)，因此进一步增强用户隐私。此外，账户发行者并不知道由移动网络确定的用户计算机的位置。

下面将描述认证方法的一个实施例的示例性加密实现。该实施例采用基于Camenisch-Lysyanskaya签名的匿名证书系统的加密技术。首先将给出Camenisch-Lysyanskaya签名属性的简要描述以便有助于理解要描述的实施例。

公知的基于离散对数的零知识证据：

在常用参数模型中，我们使用数个已知结果以便证明有关离散对数的声明，例如：(1)离散对数模质数或合数(discrete logarithm modulo a prime or a composite)的知识证明；(2)表示模两个(可能不同)质数或合数模相等的知识证明；(3)承诺面向两个其它承诺值的乘积的证明；(4)承诺值位于给定整数区间内的证明；以及(5)任何两个先前证明分离或结合的证明。这些协议模合数在强RSA(Rivest、Shamir、Adleman)假设下是安全的，并且模质数在离散对数假设下是安全的。

当参考上面证明时，我们将针对离散对数的不同知识证明和有关离散对数的声明有效性的证明，遵循由Camenisch和Stadler引入的表示法(“Efficient Group SignatureSchemes for Large Groups(用于大群的有效群签名方案)”，J.Camenisch和M.Stadler，编辑B.Kaliski，Advances in Cryptology-CRYPTO’97，Lecture Notes in ComputerScience第1296卷，第410-424页，Springer Verlag，1997年)。例如，PK{(α,β,δ):y＝g^αh^β (u≤α≤v)}表示“整数α、β和δ知识的零知识证明，使得y＝g^αh^β和成立，其中u≤α≤v”，并且其中y、g、h、 是某些群G＝〈g〉＝〈h〉和的元素。约定是希腊字母表示被证明的知识数量，而所有其它值对于检验方而言已知。我们应用Fiat-Shamir试探法(“How to prove yourself:Practical solutions toidentification and signature problems(如何证明你自己：用于识别和签名问题的实际解决方案)”，A.Fiat和A.Shamir，编辑A.M.Odlyzko，Advances in Cryptology-CRYPTO’86，Lecture Notes in Computer Science第263卷，第186-194页，Springer Verlag，1987年)，以便将此类知识证明变成某个消息m上的签名；这例如被表示为SPK{(α):y＝g^α}(m)。如果给出采用这种表示法的协议，则直接导出实现证明的实际协议，并且用于以下实施例的合适协议对于所属技术领域的技术人员来说将显而易见。

Camenisch-Lysyanskaya签名

在“A Signature Scheme with Efficient Protocols(使用有效协议的签名方案)”(J.Camenisch和A.Lysyanskaya，编辑S.Cimato、C.Galdi和G.Persiano，Security inCommunications Networks，第三届国际会议，SCN 2002，Lecture Notes in ComputerScience第2576卷，第268-289页，Springer Verlag，2003年)中详细描述了Camenisch-Lysyanskaya签名。我们提供简单变型，其允许消息也为负整数。假设l_m、l_e、l_n和L是系统参数。l_r是安全系数，并且其它参数的含义将在下面变得显而易见。

我们将整数集表示为该集合的元素因此可以被编码为长度为l_m的二进制串加上携带符号的附加位，即共计l_m+1位。

密钥生成：在输入l_n上，选择l_n位RSA模n以使得n＝pq，p＝2p’+1，q＝2q’+1，其中p、q、p’和q’是质数。随机均匀地选择R₀,…,R_L-1,S,Z∈QRn。输出公钥(n,R₀,…,R_L-1,S,Z)和密钥p。

消息空间是集合{(m₀,…,m_L-1):

签名算法：在输出m₀,…,m_L-1上，选择长度为l_e>l_m+2的随机质数e，以及长度为l_v＝l_n+l_m+l_r的随机数v。

计算

签名包括(e,A,v)。

检验算法：为了检验元组(e,A,v)是消息(m₀,…,m_L-1)上的签名，检查以下声明成立：

和

证明签名的知识

我们回想证明者如何可以证明拥有CL签名而不揭示有关签名的任何其它信息。我们想要使用上面讨论的基于离散对数的零知识证明协议。如果A是公共值，则我们可以通过针对R₀,…,R_L-1,S和A证明知识表示Z而这样做。但是，使A成为公共值将使所有交易可链接。幸运的是，可以随机化A：如果给出签名(A,e,v)，则元组(A’:＝AS^-r mod n,e,v’:＝v+er)也是任何值r的有效签名。现在，假设A∈<S>并且从中随机均匀地选择r，则值A’在上的分布统计上接近均匀。因此，用户可以每次计算新的A’，揭示它，并且然后与检验方运行以下协议：

现在从该证据协议具有关于声明的技术结果。尽管这些声明几乎可以自由实现，但它们需要密钥实际上位于较小区间内，即签名者需要从l'_e<l_e-l_φ-l_Η-3的中选择e，其中l_φ和l_Η是安全参数(第一参数控制统计零知识，并且第二参数是PK协议中的质询消息的大小)。同样，我们需要输入到签名方案的消息的大小是有限的：因为证据只能保证消息的绝对值小于所以我们还在消息空间中包括负消息以便实现一致性。最后，我们注意到在(mod n)中，出现“±”。这是RSA群中的知识证据的技术性：由于在特殊RSA模n上的群结构Z*_n及其子群QR_n，存在小数量级子群，它们可以允许证明者包括已知小数量级的倍数以及以1/2概率证明否定声明。但是，这对于本应用来说并不是问题，因为在这种情况下e(按照定义是奇质数)保持为负并且允许强RSA假设的化简。

(整数)承诺

在Pedersen承诺方案(如在“Non-interactive and Information-theoreticSecure Verifiable Secret Sharing(非交互式和信息理论安全可检验机密共享)”(T.P.Pedersen，编辑J.Feigenbaum，Advances in Cryptology-CRYPTO’91，Lecture Notesin Computer Science第576卷，第129-140页，Springer Verlag，1992年)中详述)中，我们具有质数阶q的群G和生成器(g₀,…,g_m)作为公共参数。为了承诺值 选择随机数r∈Z_q并且设置

和Fujisaki(“An integer commitment scheme based on groupswith hidden order(基于具有隐秩序的群的整数承诺方案)”，I.和E.Fujisaki，http://eprint.iacr.org/2001，2001年)表明，如果群G是RSA群并且承诺者并未秘密参与模的因式分解，则可以使用Pedersen承诺方案承诺任意大小的整数。

将参考图4描述基于上面介绍的加密原理的认证方法的一个实施例。

假设(n,R₀,…,R_L-1,S,Z)是属性提供方5的公钥，并且是MNO的公钥。假设x是用户的密钥。该密钥x可以存储在用户计算机2上(例如存储器15中)或安全硬件模块(例如SIM 16)上。在另一个实施例中，密钥x可能由可经由移动网络3访问用户计算机的认证服务器来存储，或者在用户计算机与此类认证服务器之间共享。这可以使用密钥共享协议以已知方式实现。用户计算机2的设备标识符是sid，如前所述。

在建立操作中，用户从属性提供方5获得属性证书C_att。为了简单起见，属性证书在此被描述为向用户断言单个属性a。通过执行发行协议，以已知方式从属性提供方获得证书。在发行协议结束时，用户计算机2以签名(A,v,e)以及消息x、sid和a的形式存储证书C_att，使得mod(n)，并且成立。属性证书因此在属性提供方的第一公钥-私钥对的私钥下证明属性a和标识符sid。

在发行期间，可以向属性提供方隐藏值x和sid，以便进一步增强用户的安全性和隐私性。这可以通过以已知方式利用证书方案的加密功能来实现。

用户将用户计算机2携带到检验方服务器4处，检验方服务器4位于位置l处并且提供对由服务提供方P提供的服务的访问。为了简单起见，在该实例中，服务提供方P仅需要用户证明拥有向用户断言属性a的证书。要在用户与服务提供方之间实现的特定交易由某些上下文信息(例如商品/服务的标识符代码、成本、检验方服务器标识符、日期等)定义。

当在用户计算机与检验方服务器之间建立了通信时，启动认证过程，如在图4的步骤40指示的那样。在步骤41，检验方服务器将策略数据与定义交易上下文信息的上下文消息cxt一起发送到用户计算机。在步骤42，用户计算机2接收策略数据和上下文消息。在该实例的步骤43，用户计算机2请求用户输入用户密码p。在步骤44接收输入密码时，用户计算机执行密码检验过程以便检验输入密码是正确的用户密码p。这可以涉及对照先前存储在用户计算机2中(例如SIM 16上)的密码p检查输入密码。在另一个实施例中，密码检验过程可能需要用户计算机与认证服务器之间经由移动网络3通信。例如可能需要此类检验过程以便访问用户的密钥x，从而确保加密过程。如果在步骤44密码检验失败(例如，在用户的阈值次数的密码尝试之后)，则认证过程结束。

假设检验了输入密码，则在步骤45用户计算机与移动网络3通信以便从MNO服务器6请求位置证书C_loc。在步骤46，MNO服务器6将用户计算机2的当前位置确定为l’。在步骤47，MNO服务器生成位置证书C_loc，位置证书C_loc证明设备标识符sid、位置数据l’和时间戳t’，时间戳t’指示位置证书的发行时间。用户计算机在步骤48接收的位置证书C_loc采用值sid、l’和t’上的签名的形式，以使得并且成立。位置证书因此在MNO的第二公钥-私钥对的私钥下证明标识符sid、位置数据l’和时间戳t’。

在步骤49，用户计算机2分别通过属性证书和位置证书的随机盲化产生盲化属性证书和盲化位置证书。具体地说，用户计算机选择随机数r和并且计算A′：＝AS^-rmod n、v′：＝v+er，和进一步，在步骤50，用户计算机生成证据

$\mathrm{\&epsiv;},\widetilde{\mathrm{\&epsiv;}}\&Element;\&lsqb;2^{l_e-1}+1,2^{l_e}-1\&rsqb;\}(A^{\&prime;},{\tilde{A}}^{\&prime;},t^{\&prime;},a,l^{\&prime;},P,cxt).$

该证据适合于证明：属性证书中的设备标识符等于位置证书中的设备标识符；用户计算机拥有相应盲化证书中的属性和位置证书；属性证书包含需要的属性a；以及位置证书证明位置l’和时间戳t’。证据Π还依赖于上下文消息，因为在此将Π绑定到cxt。然后将认证令牌T生成为令牌T因此在此包括盲化属性和位置证书、要展示的属性a、时间戳和当前用户位置以及证据Π。

在步骤51，用户计算机2将认证令牌T发送到检验方服务器4。在步骤52，检验方服务器接收令牌T。在步骤53，检验方服务器执行加密检验过程以便检验证据Π证明了针对上面步骤50详细列举的事实，并且证据Π被绑定到正确的上下文消息cxt。在该过程中，检验方服务器可以使用上面描述的第一和第二密钥对的公钥分别检验用户计算机拥有的属性证书和位置证书的有效性。检验方服务器检查用户计算机的位置l’足够接近检验方服务器的位置l。检验方服务器还检查由时间戳t’指示的发行时间在当前时间t之前的预定时间间隔内。

认证过程的其余部分对应于图3的认证过程。因此，检验方服务器在步骤54判定检验是否成功，并且在步骤55认证用户计算机或者在步骤56拒绝认证。

除了先前描述的优点之外，在该实施例中时间戳的使用确保只能在发行位置证书之后的很短时间内使用认证令牌。上下文消息的使用进一步将使用限制为正确的当前交易。盲化证书的使用确保不能通过使用证书来链接用户的不同交易。仅当输入的用户密码得到检验时才生成认证令牌。该实施例因此为用户提供额外的安全性和隐私性。

上面的实施例可以很容易扩展到断言多个属性的属性证书。同样，更复杂的访问控制策略是可能的。此类策略以及如何执行它们在所属技术领域公知，并且因此为了简单起见省略详细信息。在某些实施例中，取决于在策略数据中定义的认证条件，可能不需要向检验方揭示属性本身，以下操作便已足够：证明由属性证书检验的一组属性包含满足所要求的认证条件的一个或多个属性。

其它实施例当然可以使用Camenisch-Lysyanskaya签名方案之外的匿名证书方案，并且本发明的实施例通常可以基于任何方便的加密证书系统。其它证书系统的实例包括：可自盲化证书(例如，在“Self-Blindable Credential Certificates from the WeilPairing(来自Weil配对的可自盲化证书证书)”(Eric R.Verheul，Advances inCryptology ASIACRYPT 2001，Lecture Notes in Computer Science第2248卷，2001年，第533-551页)中讨论)；以及微软公司的U-Prove系统(例如在http://research.microsoft.com/en-us/projects/u-prove/中讨论)。

在某些实施例中，用于获得位置证书的过程可以包括与另一个服务器以及MNO的通信。例如，用户计算机可以与认证服务器通信以便获得证书，该证书证明设备标识符和从移动网络获得的位置数据。可以发行此类证书而不向认证服务器公开所证明的信息。仅当在该过程中检验了用户密码时才发行该位置证书。

检验方服务器4的位置可以针对该服务器是预定的，或者自身可以经由移动网络动态确定，例如，对于包括手持式支付终端(其可以在多个位置处使用)的检验方服务器。

备选实施例可能不需要策略数据的传送。认证策略例如可以在用户计算机2处被预定义，或者用户计算机可以简单地在认证过程中展示所有用户属性。

在其它实施例中，可以以不同于图3和4中所示的顺序执行各步骤。在适当情况下可以同时执行某些步骤。

出于示例目的给出了对本发明的不同实施例的描述，但所述描述并非旨在是穷举的或是限于所公开的实施例。在不偏离所述实施例的范围和精神的情况下，对于所属技术领域的普通技术人员来说许多修改和变化都将是显而易见的。在此使用的术语的选择，旨在最好地解释实施例的原理、实际应用或对市场中的技术的技术改进，或者使所属技术领域的其它普通技术人员能理解在此所公开的实施例。

Claims (16)

1.一种用于向可连接到移动网络的用户计算机附近的检验方服务器认证所述用户计算机的计算机实现的方法，所述方法包括在所述用户计算机处：

存储属性证书，所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符；

与所述移动网络通信以便获得位置证书，所述位置证书证明所述设备标识符和位置数据，所述位置数据指示由所述移动网络确定的所述用户计算机的当前位置；

生成认证令牌，所述认证令牌包括所述属性证书、所述位置证书、所述位置数据、以及用于证明所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符的证据；以及

将所述认证令牌发送到所述检验方服务器以用于所述用户计算机的认证。

2.如权利要求1所述的方法，其中所述位置证书进一步证明指示所述位置证书的发行时间的时间戳，并且其中所述认证令牌包括所述时间戳。

3.如权利要求2所述的方法，还包括在所述用户计算机处，通过所述属性证书的随机盲化产生盲化属性证书，其中所述认证令牌包括所述盲化属性证书，并且其中所述证据适于证明所述用户计算机拥有所述盲化属性证书中的所述属性证书。

4.如权利要求3所述的方法，还包括在所述用户计算机处，通过所述位置证书的随机盲化产生盲化位置证书，其中所述认证令牌包括所述盲化位置证书，并且其中所述证据适于证明所述用户计算机拥有所述盲化位置证书中的所述位置证书。

5.如权利要求3所述的方法，还包括在所述用户计算机处，从所述检验方服务器接收定义所述用户计算机的认证条件的策略数据，其中所述证据适于证明所述属性证书中的所述一组用户属性满足所述条件。

6.如权利要求1所述的方法，还包括在所述用户计算机处，从所述检验方服务器接收定义所述认证的上下文信息的上下文消息，其中所述证据依赖于所述上下文消息。

7.如权利要求1所述的方法，其中与所述移动网络通信的步骤包括直接与所述移动网络通信以便获得所述位置证书，其中所述位置证书在所述移动网络的运营商的加密密钥下证明所述设备标识符和位置数据。

8.如权利要求1所述的方法，还包括在所述用户计算机处，接收由用户输入的密码并且执行密码检验过程以便检验所输入的密码，其中所述方法使得仅当所输入的密码已被检验时才生成所述认证令牌。

9.一种用于向可连接到移动网络的用户计算机附近的检验方服务器认证所述用户计算机的计算机实现的方法，其中所述用户计算机存储属性证书，所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符，所述方法包括在所述检验方服务器处：

接收来自所述用户计算机的认证令牌，所述认证令牌包括所述属性证书、位置证书、位置数据以及证据，所述位置证书证明所述设备标识符和所述位置数据，所述位置数据指示由所述移动网络确定的所述用户计算机的当前位置，所述证据用于证明所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符；

从所述证据检验所述属性证书中的所述设备标识符等于所述位置证书中的所述设备标识符；

检验所述位置证书证明了所述位置数据；

判定由所述位置数据指示的所述用户计算机的当前位置是否在所述检验方服务器附近；以及

判定由所述属性证书证明的所述一组用户属性是否满足所述用户计算机的认证条件。

10.如权利要求9所述的方法，其中所述位置证书进一步证明指示所述位置证书的发行时间的时间戳，并且其中所述认证令牌包括所述时间戳，所述方法还包括在所述检验方服务器处：

检验所述位置证书证明了所述时间戳；以及

判定由所述时间戳指示的所述发行时间是否在当前时间之前的预定时间间隔内。

11.如权利要求10所述的方法，其中所述属性证书在第一公钥-私钥对的私钥下证明所述设备标识符和所述一组用户属性，并且所述位置证书在第二公钥-私钥对的私钥下证明所述位置数据、时间戳和设备标识符，所述方法还包括在所述检验方服务器处：

根据所述第一公钥-私钥对的公钥检验所述属性证书的有效性；以及

根据所述第二公钥-私钥对的公钥检验所述位置证书的有效性。

12.如权利要求9所述的方法，还包括在所述检验方服务器处：

将定义所述用户计算机的认证条件的策略数据发送到所述用户计算机，其中所述证据适于证明所述属性证书中的所述一组用户属性满足所述条件；以及

从所述证据检验所述一组用户属性满足所述条件。

13.如权利要求9所述的方法，还包括在所述检验方服务器处：

将定义所述认证的上下文信息的上下文消息发送到所述用户计算机，其中所述证据依赖于所述上下文消息；以及

检验所述证据依赖于所述上下文消息。

14.如权利要求9所述的方法，其中所述一组用户属性包括支付账户数据，所述支付账户数据在账户-发行者公钥-私钥对的私钥下被加密以便从所述账户发行者获得支付，所述方法还包括在所述检验方服务器处，根据所述账户-发行者公钥-私钥对的公钥检验所述支付账户数据的有效性。

15.一种用于向可连接到移动网络并存储属性证书的用户计算机附近的检验方服务器认证所述用户计算机的计算机程序产品，所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有随其包含的程序指令，所述程序指令可由所述用户计算机执行以使得所述用户计算机执行如权利要求1-14之一所述的方法。

16.一种用于向可连接到移动网络并存储属性证书的用户计算机附近的检验方服务器认证所述用户计算机的系统，所述属性证书证明一组用户属性和用于向所述移动网络标识所述用户计算机的设备标识符，所述系统包括：

存储器；以及

处理器，其在通信上耦合到所述存储器，所述计算机系统被配置为执行如权利要求1-14之一所述的方法。