CN108769020A - 一种隐私保护的身份属性证明系统及方法 - Google Patents

Abstract

本发明提供一种隐私保护的身份属性证明系统及方法，系统包括：服务商服务端生成服务的访问策略，向服务商客户端发送该访问策略，服务商服务端对证据进行验证；服务商客户端向服务商服务端发送服务请求，重定向到系统客户端，向其转发访问策略；系统服务端请求属性的证书；对证书中的属性重新签名，并生成属性的凭证，颁发给系统客户端；系统客户端检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则系统客户端向系统服务端申请该属性的凭证；通过聚合签名生成用于属性证明的证据，并发送给服务商服务端。服务商无法得到用户的真实属性信息，用户的隐私得到保护。

Description

一种隐私保护的身份属性证明系统及方法

技术领域

本发明属于安全与隐私保护领域，特别涉及一种隐私保护的身份属性证明系统及方法。

背景技术

身份认证是在线服务提供商验证用户身份有效性的基本技术手段，目前的身份认证过程需要用户将诸如姓名、手机号、身份证号、银行卡号、密码等敏感信息提交给服务提供商进行验证，由于缺乏有效的隐私保护机制，使得服务提供商过度收集用户的身份信息，这些敏感的身份信息被用来分析用户的行为习惯和偏好，甚至在用户不知情的状况下被分发给直销等第三方应用。

近年来由于隐私泄露而导致的身份盗用、诈骗问题层出不穷，从个人用户隐私权的角度来看，用户对于自身隐私信息失去控制，很有可能被攻击者盗用合法身份进行非法行为，给用户财产及生命安全带来危害；从服务提供商的角度来看，由于留存大量用户敏感信息，因此极易成为攻击者的目标，一旦数据库发生泄露，不仅会威胁到核心业务，也会在名誉和用户赔偿上受到极大影响。因此，隐私保护的身份认证技术是互联网应用的刚需。

eID在我国被定义为公民网络电子身份标识，由公安部统一签发，以密码学相关技术为基础，智能卡芯片为载体，公民通过eID在网络上远程证明自己的真实、有效身份的同时保护了自己的身份信息，具有隐私保护、普适性等特点。我国近年来同样制定了一系列相关技术标准。2002年，通过分析、研究国外PKI/PMI标准体系，完成了适合于国内的PKI/PMI标准的制定；2008年，开始研究身份管理(IdM)相关技术，将其分为三个技术阶段，分别是：1.研究IdM的需求；2.设计应用场景，制定IdM体系架构、功能模块以及协议机制；3.完善数据模型，制定API接口。公安部第三研究所分别于2011年10月和2012年7月牵头负责研究制定了《网络电子身份格式规范》和《网络电子身份标识eID载体安全技术要求》。我国对于eID的推行已取得显著成果，2012年，已将北京邮电大学作为试点，发放了3万张加载eID的校园卡。公安部分别于2012年、2014年和2016年与中国工商银行、上海银行、中国建设银行签订协议，合作发行嵌入eID的金融IC卡。

发明内容

针对现有技术存在的问题，本发明提供一种隐私保护的身份属性证明系统及方法。

本发明的技术方案如下：

一种隐私保护的身份属性证明系统，包括：系统服务端、系统客户端和服务提供商；

服务提供商：被实例化为服务商客户端和服务商服务端，服务商服务端生成服务的访问策略，向服务商客户端发送该访问策略，服务商服务端对用于属性证明的证据进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务商客户端的服务请求，否则，拒绝服务商客户端的服务请求；服务商客户端向服务商服务端发送服务请求，重定向到系统客户端，向其发送该访问策略；

系统服务端：向身份颁发者请求某类属性的证书；对证书中的属性重新签名，并生成属性凭证，将属性凭证颁发给系统客户端；

系统客户端：解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则系统客户端向系统服务端申请该属性的凭证，系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；接收到身份认证通知后，与系统服务端交互，完成身份认证；通过聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端。

本发明还提供一种隐私保护的身份属性证明方法，包括：

步骤1、通过服务商客户端向服务商服务端发送服务请求；

步骤2、服务商服务端生成该服务的访问策略，向服务商客户端发送该访问策略；

步骤3、服务商客户端重定向到系统客户端，向其转发该访问策略；

步骤4、系统客户端解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则执行步骤5，否则直接执行步骤10；

步骤5、系统客户端向系统服务端申请该属性的凭证；

步骤6、系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；

步骤7、系统客户端接收到身份认证通知后，与系统服务端交互，完成身份认证；

步骤8、系统服务端向证书颁发者请求该属性的证书；

步骤9、系统服务端接收到证书后，对证书中的属性重新签名，并生成属性的凭证，将属性的凭证颁发给系统客户端；

步骤10、系统客户端通过聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端；

步骤11、服务商服务端进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务请求，否则，拒绝服务请求。

进一步，在所述通过服务商客户端向服务商服务端发送服务请求之前，还包括：进行系统初始化；具体是：

生成系统的公共参数；

系统服务端将用户名和个人识别码从任意位的二进制数映射到有限域，生成有限域上的随机数，计算账户的承诺并将其保存在系统服务端；

所述系统客户端针对用户属性集中的每个属性值进行预计算(哈希、双线性映射)。

所述服务商服务端针对访问策略属性集中的每个属性值进行预计算(哈希、双线性映射)。

进一步，所述系统客户端接收到身份认证通知后，与系统服务端交互，完成身份认证，具体方法是：

系统客户端生成随机数并计算承诺，然后将其发送到系统服务端；

系统服务端生成随机数并将其作为挑战发送给系统客户端；

系统客户端在接收到挑战后，计算应答，将应答发送给系统服务端进行验证：若验证通过，说明身份认证成功，执行系统服务端向身份颁发者请求该属性的证书；若未验证通过，说明身份认证失败，发送失败通知。

本发明的优点：在验证过程中，系统客户端提供给服务提供商的都是基于具体属性值的密码学信息，例如验证式的一部分是由签名聚合、盲化生成，验证式的另一部分虽然是由具体属性值生成，但是经过哈希散列、双线性映射之后，服务提供商已无法得到用户的真实属性信息，从而使用户的隐私保护得到保证。并且，随后的零知识证明有效的防止了用户对证据的伪造，进一步保证了系统的安全性。本发明提出了一种隐私保护的身份属性证明系统及方法，系统从属于eID(电子身份标识，Electronic Identity)，用于网络空间中的身份管理。

本发明与已有eID的不同之处体现如下两方面。

一、在系统设计方面，客户端不存储任何身份属性的实际取值，而只存储身份属性相关的标签和证书。在身份认证过程中，建立在属性证明基础上，只向服务提供商输出“用户属性是否满足安全策略”的二元信息(有效，无效)，除此之外，服务提供商无法得到用户的任何身份信息，因此，满足匿名性和不可关联性。然而，采用eID进行身份认证无法提供这样的隐私保护强度。

二、在算法设计方面，采用了一系列密码学原语实现具有匿名性和不可关联性的属性证明协议，对系统客户端计算和存储性能的要求较高，因此系统客户端不适合采用eID的物理媒介Java智能卡来承载，故发布为智能终端上的移动App。此外，可以将不同权威签发的身份统一在系统内，然后充当可信第三方为具有多种多样安全策略的在线服务提供商提供联合身份认证业务。

附图说明

图1为本发明的系统模型图；

图2为本发明的信任关系图；

图3为本发明的系统模块图；

图4为本发明的方法框架图；

图5为本发明的凭证颁发协议概要设计图；

图6为属性证明协议概要设计图；

图7为属性证明协议执行时间图。

具体实施方式

下面结合附图对本发明的具体实施方式做详细说明。

本系统的服务端与服务提供商的服务端的硬件环境均为Core^TMi5-5200UCPU@2.20GHz的CPU、8GB内存，部署在Tomcat7.0上。

本系统的客户端与服务提供商的客户端的虚拟机均为环境：RAM为2GB，CPU为2.20GHz。

软件环境：JDK版本为1.8.0_31，IDE位Android Studio 2.3.3，SDK版本为7.0，采用jPBC 2.0加密库实现内部功能函数，网络通信采用http协议。

如图1所示的一种隐私保护的身份属性证明系统，包括三个实体，分别是系统服务端、系统客户端和服务提供商。由于本实施方式以视频服务为例来实施本发明的技术方案，因此此处的服务提供商为视频服务提供商。

服务提供商：被实例化为服务商客户端和服务商服务端，服务商服务端生成服务的访问策略，向服务商客户端发送该访问策略，服务商服务端对用于属性证明的证据进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务商客户端的服务请求，否则，拒绝服务商客户端的服务请求；服务商客户端向服务商服务端发送服务请求，收到访问策略后重定向到系统客户端，向其转发该访问策略；服务提供商与系统客户端之间通过属性证明协议交互。

系统服务端：生成系统的公共参数；向身份颁发者请求某类属性的证书；系统服务端接收到证书后，对证书中的属性重新签名，并生成属性的凭证，将属性的凭证颁发给系统客户端；

系统客户端：可以实现为安装于用户移动终端上的应用程序，作为身份验证、访问控制和其他安全应用程序的个人身份管理工具；解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则系统客户端向系统服务端申请该属性的凭证，系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；接收到身份认证通知后，与系统服务端交互，完成身份认证；通过聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端。

该系统的模块图如图3所示，系统服务端设有用户身份数据存储模块、签名生成模块、凭证生成模块和凭着持有者验证模块；系统客户端设有密码转换密钥模块、身份认证模块和凭证存储模块，还设有策略解析模块、证据生成模块和聚合签名模块；系统服务端与系统客户端之间通过各自的接口交互信息。服务提供商客户端设有服务模块，且通过接口与系统客户端交互信息；视频服务提供商服务端设有策略生成模块、证据验证模块和服务模块；视频服务提供商服务端通过接口与系统客户端和服务提供商客户端交互信息。

本实施方式涉及的属性如下表：

表1

本实施方式提供一种隐私保护的身份属性证明方法，首先要进行系统的初始化，包括：

系统服务端生成并公布系统公共参数(p,G₁,G₂,G_T,g,k,g₂,H,e)；其中，p是大素数，G₁、G₂为p阶乘法循环群，g、k是G₁的生成元，g₂是G₂的生成元，H:{0,1}*→G₁是全域哈希函数，e:G₁×G₂→G_T是一个高效可计算双线性映射；选择有限域Z_p上的随机数x，生成v←g₂x，x为私钥，v为公钥将被公布；将用户名和个人识别码PIN从任意位的二进制数{0,1}*映射到有限域Z_p，生成有限域Z_p上的随机数m,r，计算账户的承诺M＝g^mk^rmod p并将其保存在系统服务端的用户身份数据存储模块。

系统客户端针对用户属性集ATTR＝{m₁,...,m_N}中的每个属性值m_i∈{m₁,...,m_N}进行预计算(哈希、双线性映射)：生成以及V_c1＝e(g,v),V_c2＝e(k,v)。

服务商服务端针对访问策略中的属性集TA＝{a₁,...,a_L}中的每个属性值a_i∈{a₁,...,a_L}进行预计算(哈希、双线性映射)：生成h_i←H(a_i),V_i＝e(h_i,v)以及生成V_c1＝e(g,v),V_c2＝e(k,v)；

然后按如图4所示的步骤进行，包括：

步骤1、通过服务商客户端向服务商服务端发送服务请求；

假设服务商客户端发送的服务请求是某视频的播放服务请求，其访问策略为：1、要求观影者超过16岁；2、具有该服务提供商6个月或1年会员资格；3、是中国合法公民，即持有有效的身份证件，如驾驶执照、护照或社保号(SSN)；

步骤2、服务商服务端通过策略生成模块生成该服务的访问策略，向服务商客户端发送该访问策略；

步骤3、服务商客户端重定向到系统客户端，向转发该访问策略；

步骤4、系统客户端通过策略解析模块解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端的凭证存储模块中，则执行步骤5，系统客户端向系统服务端申请该属性的凭证，否则直接执行步骤10；

检索访问策略中的属性标签，假设年龄和会员资格两种属性的凭证在系统客户端的凭证记录中已经保存，但是没有保存有效身份证件这一属性的凭证，则需要向系统服务端申请有效身份证件这一属性的凭证；

步骤5、系统客户端向系统服务端申请该属性的凭证；举例来说，系统客户端向系统服务端申请有效身份证件的凭证；

由于系统服务端与系统客户端之间的信任关系(如图2所示)为：系统客户端信任系统服务端，但系统服务端不信任系统客户端。所以在凭证颁发之前，系统服务端要先对用户进行身份认证，故向系统客户端发送身份认证通知；

步骤6、系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；

步骤7、系统客户端接收到身份认证通知后，通过其身份认证模块与系统服务端的凭证持有者验证模块交互，完成身份认证；

凭证颁发协议概要设计如图5所示。

步骤7.1：系统客户端生成随机数t,t'∈Z_p并计算T＝g^tk^t'作为承诺，然后将承诺T发送到系统服务端；

步骤7.2：系统服务端生成随机数c'∈Z_p并将c'作为挑战发送给系统客户端；

步骤7.3：系统客户端在接收到挑战c'后，计算s＝rc'+t(modp),s'＝mc'+t'(modp)作为应答，其中，r为用户的个人识别码转换而来的主秘钥，m为用户账户名转换得出，两者均通过密码转换密钥模块得到；t,t'为步骤7.1生成承诺时产生的随机数。生成应答后，将应答s,s'发送给系统服务端进行验证；

步骤7.4：系统服务端验证等式g^sk^s'＝M^c'T是否成立，其中，g、k是公共参数，M是初始化时生成，T是步骤7.1生成的承诺，c'是步骤7.2生成的挑战，s,s’是步骤7.3生成的应答，若成立，说明身份认证成功，执行步骤8；若不成立，说明身份认证失败，发送失败通知；

步骤8、系统服务端基于属性(有效身份证件)的凭证的申请，向属性的身份颁发者(权威机构)请求该属性的证书，属性的证书颁发者将该属性的证书颁发给系统服务端；

步骤9、系统服务端接收到证书后，通过签名生成模块对属性的证书中的属性值重新签名，并通过凭证生成模块生成该属性的凭证，将该属性的凭证颁发给系统客户端。

系统服务端接收到证书后，用系统所采用的BLS+签名方案对有效身份证件证书中的属性值重新签名并生成凭证，将凭证颁发给系统客户端，其中签名并生成凭证的过程如下：

步骤9.1：系统服务端选取安全散列算法SHA-256对消息进行散列，生成消息摘要：提取属性值m∈{0,1}*，计算该属性的哈希值h←H(m)和双线性映射V＝e(h,v)；

步骤9.2：选择初始化中生成的x和M以及步骤9.1中的h，生成签名σ←(h·M)^x；

步骤9.3：由于凭证模型定义为<attr_label,attr_value,attr_sig>形式，故生成该样式凭证并将凭证发送给系统客户端；系统客户端保存有效证件的凭证；

本实施方式的凭证模型如下：

将凭证中的attr_label、attr_value、attr_sig保存在系统客户端凭证存储模块中的凭证记录中。系统客户端维护凭证记录是为了保证当下一次进行属性证明涉及有效证件时，无需向系统服务端发出凭证申请，在检索凭证记录后就可以直接生成证据发送给服务商服务端进行验证。

步骤10：系统客户端通过聚合签名模块聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端；

属性证明协议概要设计如图6所示。

步骤10.1：系统客户端解析访问策略后，检索用户在系统客户端中的属性集合ATTR，根据{V₁,V₂,...,V_L}与用户属性集进行匹配，令其交集为U；若m_i＝a_i，j∈{1,...N}，i∈{1,...L}，则提取出σ_j，生成聚合签名σ←∏_1≤j≤|U|σ_j，并将聚合签名σ进行盲化，生成σ'←σ^r'，其中r'∈Z_p；

步骤10.2：系统客户端根据接收到的访问策略中的{V₁,V₂,...,V_L}，将V₁,V₂,...,V_L,V_c1,V_c2进行承诺，生成其中r₁,r₂,...,r_L,r_r,r_h∈Z_p，然后将盲化签名σ'和承诺V发送给服务商服务端；

步骤11：服务商服务端进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务请求，服务商服务端与服务商客户端通过各自的服务模块向用户提供服务，否则，拒绝服务请求。

步骤11.1：视频服务商服务端通过证据验证模块生成挑战c∈Z_p作为挑战，发送给系统客户端；

步骤11.2：系统客户端通过证据生成模块,生成w₁,w₂,...,w_L∈{0,r'}，并计算，u₁＝r₁+c×w₁,u₂＝r₂+c×w₂,...,u_L＝r_L+c×w_L，u_r＝r_r+c×r,u_h＝r_h+c×m，以此作为证据，并将证据发送给服务商服务端；其中，r₁,r₂,...,r_L,r_r,r_h∈Z_p出自步骤11.2，c出自步骤11.1，m,r出自步骤7.3；

步骤11.3：服务商服务端通过证据验证模块生成V_s＝e(σ',g₂)和验证等式是否成立；其中σ'出自步骤11，g₂,V_c1,V_c2出自初始化，{V₁,V₂,...,V_L}出自访问策略，c出自步骤11.1，u₁,u₂,...,u_L,u_r,u_h出自步骤11.2。

本系统及方法性能分析如下：

1.本发明涉及的所有属性(见表1)的凭证模型仅占用1228B存储空间。因此，其适合用于资源有限的移动终端设备。

2.本系统属性证明协议执行过程中，属性证明协议及各阶段执行所用时间如下所示：

(1)系统客户端“聚合签名及盲化”的时间t1；

(2)系统客户端“生成承诺”的时间t2；

(3)服务提供商“生成挑战”的时间t3；

(4)系统客户端“生成证据”的时间t4；

(5)服务提供商生成V_s＝e(σ',g₂)的时间t5以及生成的时间t6。

t1～t6的实验数据记录如下表所示。表中“聚合签名及盲化”以及生成V_s＝e(σ',g₂)的过程是固定的，不受策略中内容的变化影响，只受当时系统性能影响，故取平均值。

属性证明协议各阶段执行时间(如下表所示)，形成的曲线图如图7所示，横坐标表示策略中包含的属性个数，纵坐标表示属性证明协议执行所需时间。

由图7可知，属性证明协议的复杂度不受凭证中包含的属性个数影响，仅依赖于策略中包含的属性个数，与策略中包含的属性个数呈线性关系。

Claims (4)

1.一种隐私保护的身份属性证明系统，其特征在于，包括：系统服务端、系统客户端和服务提供商；

服务提供商：被实例化为服务商客户端和服务商服务端，服务商服务端生成服务的访问策略，向服务商客户端发送该访问策略，服务商服务端对用于属性证明的证据进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务商客户端的服务请求，否则，拒绝服务商客户端的服务请求；服务商客户端向服务商服务端发送服务请求，重定向到系统客户端，向其转发该访问策略；

系统服务端：向身份颁发者请求某类属性的证书；对证书中的属性重新签名，并生成属性凭证，将属性凭证颁发给系统客户端；

系统客户端：解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则系统客户端向系统服务端申请该属性的凭证，系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；接收到身份认证通知后，与系统服务端交互，完成身份认证；通过聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端。

2.采用权利要求1所述的一种隐私保护的身份属性证明系统的身份属性证明方法，其特征在于，包括：

步骤1、通过服务商客户端向服务商服务端发送服务请求；

步骤2、服务商服务端生成该服务的访问策略，向服务商客户端发送该访问策略；

步骤3、服务商客户端重定向到系统客户端，向其转发该访问策略；

步骤4、系统客户端解析访问策略后，检索访问策略中的属性标签：若该属性的凭证未保存在系统客户端中，则执行步骤5，否则直接执行步骤10；

步骤5、系统客户端向系统服务端申请该属性的凭证；

步骤6、系统服务端对用户进行身份认证，向系统客户端发送身份认证通知；

步骤7、系统客户端接收到身份认证通知后，与系统服务端交互，完成身份认证；

步骤8、系统服务端向身份颁发者请求该属性的证书；

步骤9、系统服务端接收到证书后，对证书中的属性重新签名，并生成属性的凭证，将属性的凭证颁发给系统客户端；

步骤10、系统客户端通过聚合签名，生成用于属性证明的证据，并将证据发送给服务商服务端；

步骤11、服务商服务端进行验证，验证证据的有效性和所有权：如果验证通过，服务商服务端批准服务请求，否则，拒绝服务请求。

3.根据权利要求2所述的方法，其特征在于，在所述通过服务商客户端向服务商服务端发送服务请求之前，还包括：进行系统初始化；具体是：

生成系统的公共参数；

系统服务端将用户名和个人识别码从任意位的二进制数映射到有限域，生成有限域上的随机数，计算账户的承诺并将其保存在系统服务端；

所述系统客户端针对用户属性集中的每个属性值进行预计算；

所述服务商服务端针对访问策略属性集中的每个属性值进行预计算。

4.根据权利要求2所述的方法，其特征在于，所述系统客户端接收到身份认证通知后，与系统服务端交互，完成身份认证，具体方法是：

系统客户端生成随机数并计算承诺，然后将其发送到系统服务端；

系统服务端生成随机数并将其作为挑战发送给系统客户端；

系统客户端在接收到挑战后，计算应答，将应答发送给系统服务端进行验证：若验证通过，说明身份认证成功，执行系统服务端向身份颁发者请求该属性的证书；若未验证通过，说明身份认证失败，发送失败通知。