CN109450645A

CN109450645A - 一种基于零知识证明的可监管匿名认证方法

Info

Publication number: CN109450645A
Application number: CN201811440508.8A
Authority: CN
Inventors: 王震; 范佳; 白健; 安红章
Original assignee: CETC 30 Research Institute
Current assignee: CETC 30 Research Institute
Priority date: 2018-11-29
Filing date: 2018-11-29
Publication date: 2019-03-08
Anticipated expiration: 2038-11-29
Also published as: CN109450645B

Abstract

本发明公开了一种基于零知识证明的可监管匿名认证方法，包括CA、用户和验证者三类参与方，其中：CA生成发行方密钥对和群密钥，在用户进行注册时CA为其分配一对私钥，同时CA根据用户提交的属性信息为用户颁发相关的证书；在用户出示证书时，验证者指定用户证书上需要出示的属性，用户对证书进行签名，同时隐藏无需出示的属性值；验证者对签名进行验证，若签名通过验证，则用户出示的证书有效，否则，用户出示的证书无效。本发明在增加强制监管功能的同时还保证了用户的匿名性，相比一般身份监管方案，极大保护了用户的身份隐私。本发明还增加了可监管的功能。

Description

一种基于零知识证明的可监管匿名认证方法

技术领域

本发明涉及一种基于零知识证明的可监管匿名认证方法。

背景技术

传统的身份认证技术主要用于用户在向验证者证明自己是合法用户，可广泛应用于通信、金融、社交等领域。然而，现有认证技术未考虑用户的身份隐私保护的问题，在进行认证时，用户可能过度暴露自己的信息，从而导致信息泄露或遭到窃取。因此，需要采用匿名认证技术来保护用户的身份隐私。

匿名认证技术主要采用密码学的技术手段来保证用户的隐私安全，如IBM提出的Identity Mixer方案，提供了匿名的认证方法，且用户在认证时可以自主选择出示属性，该类方案虽然克服了传统X.509证书方案全属性暴露的问题，但存在一定的缺陷，即用户的身份无法监管，一旦出现欺诈行为，即使是CA(可信中心)也无法追踪到用户的真实身份。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于零知识证明的可监管匿名认证方法，针对传统认证体制中用户身份、属性信息过度暴露的问题，采用匿名认证的技术手段保护用户的身份隐私，同时采用灵活的认证策略，使用户可以选择出示证书中的属性，避免过度暴露信息；针对匿名认证中无法监管的问题，结合群签名的技术手段使CA能够对用户的身份信息进行监管，避免失信行为的发生。

本发明解决其技术问题所采用的技术方案是：一种基于零知识证明的可监管匿名认证方法，包括CA、用户和验证者三类参与方，其中：CA生成发行方密钥对和群密钥，在用户进行注册时CA为其分配一对私钥，同时CA根据用户提交的属性信息为用户颁发相关的证书；在用户出示证书时，验证者指定用户证书上需要出示的属性，用户对证书进行签名，同时隐藏无需出示的属性值；验证者对签名进行验证，若签名通过验证，则用户出示的证书有效，否则，用户出示的证书无效。

与现有技术相比，本发明的积极效果是：

1、匿名性

改进方案在增加强制监管功能的同时还保证了用户的匿名性，相比一般身份监管方案，极大保护了用户的身份隐私。同时，用户在交易时，只需出示相应的属性值，对无需出示的属性值可以在证书中进行隐藏，符合用户的隐私保护需求。

2、可监管性

相比其他匿名认证方案，增加了可监管的功能，CA可以为群内用户分配密钥，并通过追踪密钥追踪用户的身份，改进方案在原来用户出示证书的部分增加了群签名方案中的零知识证明技术，验证者在验证证书的同时也验证了用户匿名身份信息的正确性，如果出现争端，CA可追踪到用户的身份，因此改进的方案具有强制监管的作用。

具体实施方式

本发明结合零知识证明、群签名方案等密码学技术设计出一种基于属性的可监管匿名认证方法，解决了传统认证体制中用户身份隐私保护不足和无法监管的问题。

一、方案概述

方法包括三类参与方，CA(可信中心)，用户和验证者。系统建立后，CA产生发行密钥对，追踪密钥以及群公钥。然后用户进行注册，CA为其分配一对私钥，同时CA根据用户提交的属性信息为用户颁发相关的证书。在用户出示证书时，验证者可指定用户证书上需要出示的属性，用户对证书进行签名，同时隐藏无需出示的属性值。验证者可对签名进行验证，若签名通过验证，则用户出示的证书有效，否则，用户出示的证书无效。

一个完整的可监管idmixer方案包含以下过程：

1.生成发行方密钥对(ISK，IPK)←(1^λ)

输入安全参数1^λ，其中λ为某一长度的大整数，输出CA(发行方)的密钥对(ISK，IPK)，其中ISK为CA的私钥，IPK为CA的公钥。发行方密钥对用于生成和验证用户的证书。

2.生成群密钥(TK，GPK)←(1^λ)

输入安全参数1^λ，输出追踪密钥TK和群公钥GPK。追踪密钥由CA保存，用于从匿名证书中追踪用户的身份，群公钥用于出示和验证证书。

3.用户注册(SK)←(ISK)

输入CA的私钥ISK，输出用户私钥SK。用户私钥用于出示证书，CA也保存用户的私钥，在身份追踪时会将计算结果与用户的私钥比对进而确定用户身份。

4.证书请求(CertQst)←(sk，IssuerNonce)

输入用户秘密值sk和CA发送给用户的随机数IssuerNonce，输出证书请求CertQst。用户将证书请求和属性值发送给CA，CA先对请求进行验证，若验证通过，则生成证书；否则，拒绝用户的请求。

5.生成证书(Cert)←(ISK，IPK，CertQst，attr)

输入CA的密钥对(ISK，IPK)，证书请求CertQst，用户属性值attr，输出用户的证书Cert。CA将证书发送给用户，用户进行验证，若通过验证，则证书有效，用户在本地存储证书；否则，证书无效。

6.出示证书(Sig)←(SK，sk，IPK，GPK，attr，Cert)

输入用户私钥SK，用户秘密值sk，发行方公钥IPK，群公钥GPK，属性值attr，用户证书Cert，输出一个签名Sig。在出示证书时，验证者可指定用户需要出示的属性值，签名只暴漏需要出示的属性值，用户可在证书上对无需出示的属性值进行隐藏。然后验证者对签名进行验证，若通过验证，则出示的证书有效，否则出示的证书无效。

7.身份追踪(SK)←(sig，TK)

输入出示的证书Sig，CA的追踪密钥TK，输出匿名证书所对应的用户的私钥SK，CA将私钥和群内用户的私钥进行比对，从而追踪到用户的真实身份。

二、方案符号

下表为方案中变量与对应的取值范围和变量在方案中的作用。

三、具体方案

1.发行方密钥对生成：

设G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元，存在可计算的双线性对e：G₁×G₂→G_T，满足：

(1)双线性。对于任意U₁∈G₁，U₂∈G₂，任意整数a，b∈Z_p，都有e(aU₁，bU₂)＝e(abU₁，U₂)＝e(U₁，abU₂)＝e(U₁，U₂)^ab。

(2)非退化性。e(P₁，P₂)≠1。

CA选择随机数r∈Z_p，属性名AttrName＝[name₁，...name_k]，其长度为len(AttrName)＝k，name_i为字符串，CA通过属性名列表定义属性结构。

ISK＝r∈Z_p，PK＝r·P₂∈G₂，AttrName＝[name₁，...name_k]，随机选择整数r′₁，r′₂，...，r′_k∈Z_p，计算一组长度为k的随机数HAttr＝{r′₁·P₁，..，r′_k·P₁}∈G₁，然后随机选择整数r₁，r₂，r₃∈Z_p，计算HSK＝r₁·P₁∈G₁，Hrand＝r₂·P₁∈G₁，

然后计算关于发行方私钥ISK的零知识证明

ZK{ISK：

计算为随机整数

计算

}

输出发行方密钥对

ISK＝r，

验证零知识证明：

计算

判断c_r′＝c_r是否成立。

若公式成立，则发行方密钥正确，否则发行方密钥不正确。

2.生成群密钥

随机选择整数ξ₁，ξ₂∈Z，令h＝(ξ₁ξ₂)·P₁∈G₁，u＝ξ₂·P₁∈G₁，v＝∈ξ₁·P₁∈G₁，则有h＝ξ₁·u＝ξ₂·v。CA设置群追踪密钥为TK＝(ξ₁，ξ₂)，群公钥为GPK＝(u，v，h)。

3.用户注册

对于用户i，CA随机选择整数x∈Z，计算则用户的私钥为SK＝(K，x)，同时CA将用户的私钥SK和对应的身份存储到一个表中。

4.证书请求

用户选择一个随机整数sk∈Z_p作为自己的秘密值，然后随机选择整数r₄∈Z_p，计算假名Nym＝sk·HSK+r₄·Hrand，然后计算关于秘密值sk和随机数r₄的零知识证明

ZK{sk，r₄：

计算t＝r_s·HSK+r_d·Hrand，其中r_s和r_d为随机整数。

计算c_sk＝H(t，HSK，Nym，IssuerNonce)，

其中IssuerNonce为CA发送给用户的随机数，

计算s₁＝r_s+c_sk·sk，

计算s₂＝r_d+c_sk·r₄.

}

输出证书请求CertQst＝{Nym，IssuerNonce，c_sk，s₁，s₂}。

CA可验证证书请求是否正确(验证零知识证明)：

计算t″＝s₁·HSK+s₂·Hrand，

计算t′＝t″-c_sk·Nym，

计算c_sk′＝H(t′，HSK，Nym，IssuerNonce)，

然后判断c_sk′＝c_sk是否成立。

若公式成立，则用户证书请求正确，否则用户证书请求不正确。

5.生成证书

CA选择随机整数e，s∈Z_p，然后计算B₁＝P₁+Nym+s·Hrand∈G₁，设用户提交的属性值为attr＝[attr₁，...attr_k]∈Z_p，则CA先计算然后计算签名最后得到证书Cert＝{A，B，e，s，attr}，证书中包含一个签名，产生签名的随机数以及用户的属性值。

6.验证证书

用户在交易时，需要出示证书，验证者可指定需要出示的属性值，用户对需要隐藏的属性值的下标进行标记，HiddenIndices＝[I₁，...I_l]，其中I_i为需要隐藏属性值的下标。用户先随机选择一个整数r_n∈Z_p，计算一个新的假名Nym_r＝sk·HSK+r_n·Hrand∈G₁，然后随机选择整数对证书中的签名随机化，计算用户随机选择整数α，β∈Z_p，计算两个辅助值δ₁＝xα，δ₂＝xβ，然后计算关于用户私钥x，秘密值sk和随机数e，s，α，β，δ₁，δ₂的零知识证明：

随机选择整数r_sk，r_e，r_l1，r_l2，r_sp，r_nr∈Z_p，

计算t₁＝r_e·A′+r_l1·Hrand，

计算t′₂＝r_sp·Hrand+r_l2·B′+r_sk·HSK，

计算t₂＝t′₂+∑_{i∈HiddenIndices}attr_i·HAttr_i，

计算t₃＝r_sk·HSK+r_nr·Hrand，

随机选择整数r_α，r_β，r_x，r_δ1，r_δ2∈Z，计算

计算T₁＝α·u，T₂＝β·v，T₃＝K+(α+β)·h，

计算R₁＝r_α·u，R₂＝r_β·v，

计算

设签名的消息为m∈{0，1}^*，用户产生一个随机数nonce∈Z_p，然后

计算

计算c＝H(c_h，nonce)，

计算s_sk＝r_sk+c·sk，

计算s_e＝r_e-c·e，

计算

计算s_sp＝r_sp+c·s_p，

计算s_nr＝r_nr+c·r_n，

计算s_α＝r_α+c·α，

计算s_β＝r_β+c·β，

计算s_x＝r_x+c·x，

计算

设为一组随机整数，

对于隐藏的属性值集合i∈HiddenIndices，计算

}

最终，用户出示的匿名证书(签名)为

验证者可对签名进行验证，首先计算双线性对e(PK，A′)，若则签名格式正确，然后验证零知识证明，

计算

需要出示的属性值下标集合记为Disclosure＝[I₁，...I_k-l]，

计算t′₂＝t″₂+c(P₁+∑_{i∈Disclosure}attr_i·HAttr_i)，

计算t″₃＝s_sk·HSK+s_nr·Hrand，

计算t′₃＝t″₃-c·Nym_r，

训算R′₁＝s_α·u-c·T₁，R′₂＝s_β·v-c·T₂，

计算

·(e(T₃，PK)/e(g₁，g₂))^c，

计算

计算c′＝H(c_h′，nonce)，

最后判断c′＝c是否成立。

若公式成立，则用户出示的证书有效，否则用户出示的证书无效。

7.身份追踪

若出现争端，验证者可将用户出示的证书Sig发送给发行方或CA，请求仲裁。CA利用追踪密钥TK＝(ξ₁，ξ₂)进行解密，

计算K′＝T₃-(ξ₁·T₁+ξ₂·T₂)，

然后查找对比用户私钥的列表，最终追踪到用户的身份。

Claims

1.一种基于零知识证明的可监管匿名认证方法，其特征在于：包括CA、用户和验证者三类参与方，其中：CA生成发行方密钥对和群密钥，在用户进行注册时CA为其分配一对私钥，同时CA根据用户提交的属性信息为用户颁发相关的证书；在用户出示证书时，验证者指定用户证书上需要出示的属性，用户对证书进行签名，同时隐藏无需出示的属性值；验证者对签名进行验证，若签名通过验证，则用户出示的证书有效，否则，用户出示的证书无效。

2.根据权利要求1所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：生成发行方密钥对的过程为：设G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元，存在可计算的双线性对e：G₁×G₂→G_T，满足：

(1)双线性：对于任意U₁∈G₁，U₂∈G₂，任意整数a，b∈Z_p，都有e(aU₁，bU₂)＝e(abU₁，U₂)＝e(U₁，abU₂)＝e(U₁，U₂)^ab；

(2)非退化性：e(P₁，P₂)≠1；

CA选择随机数r∈Z_p，属性名AttrName＝[name₁，...name_k]，长度为k，name_i为字符串，CA通过属性名列表定义属性结构；

ISK＝r∈Z_p，PK＝r·P₂∈G₂，AttrName＝[name₁，...name_k]，随机选择整数r′₁，r′₂，...，r′_k∈Z_p，计算一组长度为k的随机数HAttr＝{r′₁·P₁，..，r′_k·P1∈G1，然后随机选择整数r1,r2,r3∈Zp，计算HSK＝r1·P1∈G1，Hrand＝r₂·P₁∈G₁，

然后计算关于ISK的零知识证明：

ZK{ISK：

计算为随机整数，

计算

计算}

输出发行方密钥对：

ISK＝r，

验证零知识证明：

计算

判断c_r′＝c_r是否成立：若成立，则发行方密钥正确，否则发行方密钥不正确。

3.根据权利要求2所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：生成群密钥的过程为：随机选择整数ξ₁，ξ₂∈Z，令h＝(ξ₁ξ₂)·P₁∈G₁，u＝ξ₂·P₁∈G₁，v＝∈ξ₁·P₁∈G₁，则有h＝ξ₁·u＝ξ₂·v；CA设置群追踪密钥为TK＝(ξ₁，ξ₂)，群公钥为GPK＝(u，v，h)，得到群密钥(TK，GPK)。

4.根据权利要求3所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：用户注册的过程为：对于用户i，CA随机选择整数x∈Z，计算则用户的私钥为SK＝(K，x)，同时CA将用户的私钥SK和对应的身份存储到一个表中。

5.根据权利要求4所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：请求证书的过程为：

用户选择一个随机整数sk∈Z_p作为自己的秘密值，然后随机选择整数r₄∈Z_p，计算假名Nym＝sk·HSK+r₄·Hrand，然后计算关于秘密值sk和随机数r₄的零知识证明：

ZK{sk，r₄：

计算t＝r_s·HSK+r_d·Hrand,其中r_s和r_d为随机整数；

计算c_sk＝H(t，HSK，Nym，IssuerNonce)，其中，IssuerNonce为CA发送给用户的随机数，

计算s₁＝r_s+c_sk·sk，

计算s₂＝r_d+c_sk·r₄}

输出证书请求CertQst＝{Nym，IssuerNonce，c_sk，s₁，s₂}；

CA验证证书请求是否正确：

计算t″＝s₁·HSK+s₂·Hrand，

计算t′＝t″-c_sk·Nym，

计算c_sk′＝H(t′，HSK，Nym，IssuerNonce)，

然后判断c_sk′＝c_sk是否成立：若成立，则用户证书请求正确，否则用户证书请求不正确。

6.根据权利要求5所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：生成证书的过程为：CA选择随机整数e，s∈Z_p，然后计算B₁＝P₁+Nym+s·Hrand∈G₁，设用户提交的属性值为attr＝[attr₁，...attr_k]∈Z_p，则CA先计算然后计算签名最后得到证书Cert＝{A，B，e，s，attr}，证书中包含一个签名、产生签名的随机数以及用户的属性值；CA将证书发送给用户，用户进行验证，若通过验证，则证书有效，用户在本地存储证书；否则，证书无效。

7.根据权利要求6所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：出示证书的过程包括：

用户在交易时出示证书，验证者指定需要出示的属性值，用户对需要隐藏的属性值的下标进行标记，HiddenIndices＝[I₁，...I_l]，其中I_i为需要隐藏属性值的下标，用户先随机选择一个整数r_n∈Z_p，计算一个新的假名Nym_r＝sk·HSK+r_n·Hrand∈G₁，然后随机选择整数对证书中的签名随机化，计算

用户随机选择整数α，β∈Z_p，计算两个辅助值δ₁＝xα，δ₂＝xβ，然后计算关于用户私钥x，秘密值sk和随机数e，s，α，β，δ₁，δ₂的零知识证明：

随机选择整数r_sk，r_e，r_l1，r_l2，r_sp，r_nr∈Z_p，

计算t₁＝r_e·A′+r_l1·Hrand,

计算t′₂＝r_sp·Hrand+r_l2·B′+r_sk·HSK,

计算t₂＝t′₂+∑_{i∈HiddenIndices} attr_i·HAttr_i,

计算t₃＝r_sk·HSK+r_nr·Hrand,

随机选择整数

计算T₁＝α·u，T₂＝β·v，T₃＝K+(α+β)·h，

计算R₁＝r_α·u，R₂＝r_β·v，

计算

计算c＝H(c_h，nonce),

计算s_sk＝r_sk+c·sk，

计算s_e＝r_e-c·e，

计算

计算s_sp＝r_sp+c·s_p，

计算s_nr＝r_nr+c·r_n，

计算s_α＝r_α+c·α，

计算s_β＝r_β+c·β，

计算s_x＝r_x+c·x，

计算

设为一组随机整数，

对于隐藏的属性值集合i∈HiddenIndices，计算

}

最终，用户出示的匿名证书签名为

验证者对签名进行验证，首先计算双线性对e(PK，A′),若则签名格式正确，然后验证零知识证明：

计算

需要出示的属性值下标集合记为Disclosure＝[I₁，...I_k-l]，

计算t′₂＝t″₂+c(P₁+∑_{i∈Disclosure} attr_i·HAttr_i)，

计算t″₃＝s_sk·HSK+s_nr·Hrand，

计算t′₃＝t″₃-c·Nym_r，

计算R′₁＝s_α·u-c·T₁，R′₂＝s_β·v-c·T₂，

计算

计算c′＝H(c_h′，nonce),

最后判断c′＝c是否成立：若成立，则用户出示的证书有效，否则用户出示的证书无效。

8.根据权利要求7所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：当出现争端时，验证者将用户出示的证书Sig发送给发行方或CA，请求仲裁；CA利用追踪密钥TK＝(ξ₁，ξ₂)进行解密，计算K′＝T₃-(ξ₁·T₁+ξ₂·T₂)；然后查找对比用户私钥的列表，最终追踪到用户的真实身份。