CN109600218A - 用户身份可追踪的匿名pki系统 - Google Patents

用户身份可追踪的匿名pki系统 Download PDF

Info

Publication number
CN109600218A
CN109600218A CN201811392721.6A CN201811392721A CN109600218A CN 109600218 A CN109600218 A CN 109600218A CN 201811392721 A CN201811392721 A CN 201811392721A CN 109600218 A CN109600218 A CN 109600218A
Authority
CN
China
Prior art keywords
certificate
terminal device
user identity
module
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811392721.6A
Other languages
English (en)
Other versions
CN109600218B (zh
Inventor
伍前红
郑海彬
刘建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN201811392721.6A priority Critical patent/CN109600218B/zh
Publication of CN109600218A publication Critical patent/CN109600218A/zh
Application granted granted Critical
Publication of CN109600218B publication Critical patent/CN109600218B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明公开了一种用户身份可追踪的匿名PKI系统,包括:证书申请模块用于证书认证机构和终端设备生成相应的参数与公私钥;证书发布模块用于证书认证机构的私钥对终端设备的公钥进行签名,生成终端设备的证书;证书随机化模块用于终端设备对终端设备对应的证书进行随机化,并将随机化后的证书发送给远程验证终端;证书验证模块用于远程验证终端验证终端设备随机化后的证书的有效性;用户身份追踪模块用于根据随机化后的所述终端设备的公钥对所述终端设备进行追踪以实现对用户身份进行追踪。该系统通过设计用户身份可追踪的匿名数字证书,使得系统具备良好的跨平台特性,增强了系统的可扩展性,并保障终端设备的匿名性和可追踪性。

Description

用户身份可追踪的匿名PKI系统
技术领域
本发明涉及公钥基础设施PKI系统中终端设备的隐私保护与追踪技术领域,特别涉及一种用户身份可追踪的匿名PKI系统。
背景技术
信息化技术的迅猛发展极大地推动了通信领域的变革。随着电子商务、电子银行、电子选举、网上医疗咨询、匿名WEB(WORLD WIDE WEB)浏览、匿名电子邮件等新需求的出现和普及,人们更加关注通信系统中的信息安全和个人隐私保护。传统的公钥基础设施PKI(Public Key Infrastructure)虽然可以通过使用公开密钥技术和数字证书来确保系统信息安全并验证用户的身份,但是PKI体系中的所有安全操作都是通过数字证书实现的,基于X.509标准的数字证书的主体名域中会标有证书持有者的真实名称等个人信息,用户使用该证书时容易遭受攻击造成用户个人身份信息的泄露。
在这种背景环境下,匿名数字证书的概念应运而生。匿名数字证书是一种新型的数字证书方案,它既有实名数字证书的功能,同时还能够保护证书持有者的个人隐私。匿名数字证书与传统的实名证书相似,也是基于X.509标准的,只是在主体名域中没有标识用户的真实名称,而是由一个匿名来代替。匿名数字证书是PKI系统中保护用户隐私的一种重要手段,但该方案实施过程中服务器之间复杂的交互模型使得整体架构存在性能问题。而且,匿名数字证书需要满足可追踪性,以便由匿名证书追踪到实体用户。缺失可追踪性的匿名数字证书会使得用户通信绕开任何现行组织或机构的审计和追踪,容易滋生利用匿名证书进行欺诈、诽谤、盗窃等网络违法犯罪行为。
因此,同时实现PKI系统中终端设备的隐私保护与身份追踪是迫切需要突破的一项关键技术。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的目的在于提出一种用户身份可追踪的匿名PKI系统。
为达到上述目的,本发明提出了用户身份可追踪的匿名PKI系统,包括:证书申请模块,用于创建PKI系统的系统参数,根据所述系统参数分别生成证书认证机构的公私钥和终端设备的公私钥,并根据所述证书认证机构的公钥生成追踪参数;证书发布模块,用于根据所述证书认证机构的私钥对所述终端设备的公钥进行签名生成证书,并将所述证书和所述追踪参数添加到证书库中;证书随机化模块,用于所述终端设备对所述证书进行签名验证,并在确认所述证书有效后,所述终端设备对所述证书和所述终端设备的公钥进行随机化,并将随机化后的证书发送给远程验证终端;证书验证模块,用于所述远程验证终端验证所述随机化后的证书的有效性;用户身份追踪模块,用于从所述证书库中获取所述追踪参数,并根据随机化后的所述终端设备的公钥对所述终端设备进行追踪以实现对用户身份进行追踪。
本发明实施例的用户身份可追踪的匿名PKI系统,通过采用公钥基础设施PKI体系架构设计用户身份可追踪的匿名数字证书,使得系统具备良好的跨平台特性,增强了系统的可扩展性,并保障了终端设备的匿名性和可追踪性。
另外,根据本发明上述实施例的用户身份可追踪的匿名PKI系统还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述证书申请模块和所述证书随机化模块的操作由所述终端设备完成,所述证书发布模块和所述用户身份追踪模块的操作由所述证书认证机构完成,所述证书验证模块的操作由所述远程验证终端完成。
进一步地,在本发明的一个实施例中,所述证书申请模块,具体用于:在所述PKI系统中创建所述证书认证机构和所述终端设备的系统参数;所述证书认证机构利用所述系统参数生成与所述证书认证机构对应的公私钥对,保存私钥,公布公钥;所述终端设备利用所述系统参数生成与所述终端设备对应的公私钥对,保存私钥,发送公钥给所述证书认证机构,同时利用所述证书认证机构的公钥生成追踪参数。
进一步地,在本发明的一个实施例中,所述证书发布模块,具体用于:接收所述证书申请模块中的所述终端设备的公钥,所述证书认证机构利用与所述证书认证机构对应的私钥对所述终端设备的公钥进行签名生成证书,并将所述证书发送给所述终端设备;所述证书认证机构在证书登记机构对所述终端设备进行登记注册,并将所述终端设备的证书和所述追踪参数添加到证书库中。
进一步地,在本发明的一个实施例中,所述证书随机化模块,具体用于:所述终端设备接收到证书后,对所述证书进行签名验证;所述终端设备对验证通过的证书和公钥进行随机化;所述终端设备利用零知识证明技术证明所述随机化的有效性,并将所述随机化后的证书发送至远程验证终端。
可选地,在本发明的一个实施例中,若所述终端设备接收到证书验证通过,则所述终端设备输出1,接收证书;若所述终端设备接收到证书验证未通过,则所述终端设备输出0,并返回警告信息给所述证书认证机构。
可选地,在本发明的一个实施例中,所述证书验证模块,具体用于:所述远程验证终端对所述随机化后的证书进行验证,若通过验证,则所述远程验证终端输出1,否则输出0,并返回警示信息给所述终端设备。
进一步地,在本发明的一个实施例中,所述用户身份追踪模块,具体用于:所述证书认证机构接收到用户身份追踪请求后,所述证书认证机构调取证书库中所有终端设备注册时的追踪参数;所述证书认证机构根据所述随机化后的证书的公钥和相关参数对用户身份进行追踪。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明一个实施例的用户身份可追踪的匿名PKI系统结构示意图;
图2为本发明一个实施例的用户身份可追踪的匿名PKI系统框架图;
图3为本发明一个实施例的用户身份可追踪的匿名PKI系统总流程图;
图4为本发明一个实施例的用户身份可追踪的匿名PKI系统的证书申请模块流程图;
图5为本发明一个实施例的用户身份可追踪的匿名PKI系统的证书发布模块流程图;
图6为本发明一个实施例的用户身份可追踪的匿名PKI系统的证书随机化模块流程图;
图7为本发明一个实施例的用户身份可追踪的匿名PKI系统的证书验证模块流程图;
图8为本发明一个实施例的用户身份可追踪的匿名PKI系统的用户身份追踪模块流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的用户身份可追踪的匿名PKI系统。
图1为本发明一个实施例的用户身份可追踪的匿名PKI系统结构示意图。
如图1所示,该用户身份可追踪的匿名PKI系统10包括:证书申请模块100,证书发布模块200,证书随机化模块300,证书验证模块400和用户身份追踪模块500。
其中,证书申请模块100用于创建PKI系统的系统参数,根据系统参数分别生成证书认证机构的公私钥和终端设备的公私钥,并根据证书认证机构的公钥生成追踪参数。
需要说明的是,PKI系统包括证书认证机构CA(Certificate Authority)、证书登记机构RA(Registration Authority)、证书库、终端设备和远程验证终端五大实体。其中,证书认证机构CA是证书的签发和追踪机构,它是PKI的核心;证书登记机构RA是证书的登记机构,用于对证书用户的登记注册;证书库是证书存储服务器,用来存储和分配证书列表;终端设备是PKI证书的使用者,远程验证终端是随机化证书的验证者,终端设备可以为用户使用的手机或计算机等等,即可以将终端设备视为用户。
进一步地,在本发明的一个实施例中,证书申请模块具体用于:在PKI系统中创建证书认证机构和终端设备的系统参数;证书认证机构利用系统参数生成与证书认证机构对应的公私钥对,保存私钥,公布公钥;终端设备利用系统参数生成与终端设备对应的公私钥对,保存私钥,发送公钥给证书认证机构,同时利用证书认证机构的公钥生成追踪参数。
换句话来说,证书申请模块的执行过程为:
步骤1:CA机构和用户创建相应的系统参数;
步骤2:CA机构利用系统参数生成自己的公私钥对,保存私钥,公布公钥;
步骤3:用户利用系统参数生成自己的公私钥对,保存私钥,发送公钥和追踪参数给CA机构,并利用证书认证机构的公钥生成追踪参数。
需要说明的是,证书申请模块和证书随机化模块的操作由终端设备完成,证书发布模块和用户身份追踪模块的操作由证书认证机构完成,证书验证模块的操作由远程验证终端完成。
证书发布模块200用于根据证书认证机构的私钥对终端设备的公钥进行签名生成证书,并将证书和追踪参数添加到证书库中。
进一步地,在本发明的一个实施例中,证书发布模块具体用于:接收证书申请模块中的终端设备的公钥,证书认证机构利用与证书认证机构对应的私钥对终端设备的公钥进行签名生成证书,并将证书发送给终端设备;证书认证机构在证书登记机构对终端设备进行登记注册,并将终端设备的证书和追踪参数添加到证书库中。
简单来讲,证书发布模块执行过程为:
步骤1:接收到用户公钥后,CA机构利用自己的私钥对用户公钥进行签名生成证书,并将证书发送给用户;
步骤2:CA机构同时在登记机构RA中对证书用户进行登记注册,并将用户证书和追踪参数添加到证书库中。
证书随机化模块300用于终端设备对证书进行签名验证,并在确认证书有效后,终端设备对证书和终端设备的公钥进行随机化,并将随机化后的证书发送给远程验证终端。
进一步地,在本发明的一个实施例中,证书随机化模块具体用于:终端设备接收到证书后,对证书进行签名验证;终端设备对验证通过的证书和公钥进行随机化;终端设备利用零知识证明技术证明随机化的有效性,并将随机化后的证书发送至远程验证终端。
其中,若终端设备接收到证书验证通过,则终端设备输出1,接收证书;若终端设备接收到证书验证未通过,则终端设备输出0,并返回警告信息给证书认证机构。
换言之,证书随机化模块的执行过程为:
步骤1:接收到证书后,用户对证书进行签名验证。若证书通过验证,输出1,接受该证书。否则用户输出0,并返回警示信息⊥给CA机构;
步骤2:用户对验证通过的证书和公钥进行随机化;
步骤3:用户利用零知识证明技术证明进行了有效的随机化(即用户持有与证书主体的公钥对应的私钥),并将随机化后的证书发送给远程验证终端。
证书验证模块400用于远程验证终端验证随机化后的证书的有效性。
可选地,在本发明的一个实施例中,证书验证模块具体用于:远程验证终端对随机化后的证书进行验证,若通过验证,则远程验证终端输出1,否则输出0,并返回警示信息给终端设备。
具体地,证书验证模块的执行过程为:
步骤1:接收到随机化证书后,远程验证终端对证书进行有效性验证;
步骤2:若证书通过验证,远程验证终端输出1,表明随机化后的证书为有效证书。否则输出0,并返回警示信息⊥给用户。
用户身份追踪模块500用于从证书库中获取追踪参数,并根据随机化后的终端设备的公钥对终端设备进行追踪以实现对用户身份进行追踪。
也就是说,用户身份追踪模块具体用于:证书认证机构接收到用户身份追踪请求后,证书认证机构调取证书库中所有终端设备注册时的追踪参数;证书认证机构根据随机化后的证书的公钥和相关参数对用户身份进行追踪。
下面结合如图2-3所示的具体示例对本发明实施例的用户身份可追踪的匿名PKI系统进行完整的描述。
如图2所示,在本发明实施例的用户身份可追踪的匿名PKI系统包括:证书认证机构CA、证书登记机构RA、证书库、终端设备和远程验证终端。
其中,在本具体示例中,终端设备和远程验证终端主机型号为联想ThinkCentreE74S Tower,CA服务器、RA服务器和数据库服务器的型号均为戴尔OptiPlex 3046 MiniTower,网络环境为校园级网络环境。
如图4所示,在该模块中CA机构和用户需要创建相应公共参数生成各自的公私钥对,用户需要填写个人证书申请表,其中,用户公钥为确认用户身份的主要字段,其他标识符为可选项。Email地址为生成证书后传递证书时使用,必须输入有效的地址,否则申请不成功。具体包括以下步骤:
步骤1:CA机构和用户创建相应的系统参数。
令G1,G2和GT是三个p阶循环群(p为素数),e:G1×G2→GT是第3种类型的双线性对,即G1≠G2,G1与G2之间不存在任何有效同态映射。定义输出系统参数pp←(p,G1,G2,GT,e)。
步骤2:CA机构利用系统参数pp生成自己的公私钥对(cpk,csk),保存私钥csk,公布公钥cpk。
CA机构随机选取计算生成私钥csk=(x,y),公钥CA机构保存私钥csk,公布公钥cpk。
步骤3:用户利用系统参数pp生成自己的公私钥对(upk,usk),保存私钥usk,发送公钥upk给CA机构。同时利用CA机构的公钥cpk生成追踪模块所需参数。
用户随机选取g←G1,α←Zp,生成私钥为usk=α,公钥为同时计算用户保存私钥usk,发送公钥upk和追踪参数T给CA机构。
如图5所示,在该模块中接收到用户公钥和相关参数后,CA机构利用自己的私钥对用户公钥进行签名生成证书并Email发送给终端设备,同时在登记机构RA中对证书用户进行登记注册,最后将用户证书和追踪参数添加到证书库中。具体包括以下步骤:
步骤1:接收到用户公钥upk后,CA机构利用自己的私钥对用户公钥进行签名生成证书Cert,并将证书Cert发送给用户。
接收到用户公钥upk=(X,Y)后,CA机构随机选取r←Zp,计算upkr=(X,Y)r=(gr,gαr),生成签名σ=(gr,grX·gαr·Y)=(gr,gr(X+Yα))=(σ12)。CA机构将签名σ=(σ12)作为证书Cert发送给用户。
步骤2:CA机构同时在登记机构RA中对证书用户进行登记注册,并将用户证书Cert和追踪参数T添加到证书库中。
如图6所示,在该模块中用户首先验证证书的有效性。若证书通过验证,用户对该证书和公钥进行随机化并证明进行了有效的随机化操作。若证书未通过验证,则返回警示信息⊥给CA机构。具体包括以下步骤:
步骤1:接收到证书Cert后,用户对证书进行签名验证,验证证书的有效性。
接收到证书Cert=σ=(σ12),首先验证是否有其次验证等式是否成立。若等式成立,输出1,即接受该证书。否则用户输出0,并返回警示信息⊥给CA机构。
步骤2:若证书通过验证,用户对验证通过的证书和公钥进行随机化。
用户随机选取u←Zp,计算g1=gu得到随机化后的公钥upk′=(g1,X1)。
用户随机选取v←Zp,计算得到随机化后的证书Cert′=σ′=(σ1′,σ2′)。
步骤3:用户利用零知识证明技术证明进行了有效的随机化(即用户持有与证书主体的公钥对应的私钥),并将随机化后的证书发送给远程验证终端。
用户为了证明自己确实利用正确私钥进行了有效随机化操作,首先计算之后利用非交互式零知识证明协议(NIZK,Non-interactive zero knowledge proof)计算从而使得证书格式满足X509.V3规范且具有可随机性,注册用户具有身份可追踪性。最后用户发送随机化后的证书和证明参数Cert″=(Cert′,σ34)=(σ1′,σ2′,σ34)给远程验证终端。
如图7所示,在该模块中远程验证终端验证随机化后证书的有效性。若证书通过验证,表明用户对原始证书进行随机化操作后仍为有效证书。若证书未通过验证,则返回警示信息⊥给用户。具体包括以下步骤:
步骤1:接收到随机化证书Cert″后,远程验证终端对证书进行有效性验证。
接收到证书Cert″=(Cert′,σ34)=(σ1′,σ2′,σ34),首先验证是否有其次验证等式是否成立。
步骤2:若证书通过验证,远程验证终端输出1,即接受该随机化证书。否则输出0,并返回警示信息⊥给用户。
可以看出,若用户对原始证书进行了正确随机化,该随机化后的证书仍为有效证书。因为,若则等式等价于从而有即随机化后的证书仍满足原始证书的有效性。
本实施例的用户身份可追踪的匿名PKI系统的用户身份追踪模块流程,如图8所示。在该模块,接收到用户身份追踪请求后,CA机构调取证书库中所有用户注册时的追踪参数,并根据用户随机化后的公钥和相关参数对用户身份进行追踪。具体包括以下步骤:
步骤1:接收到用户身份追踪请求后,CA机构调取证书库中的所有用户注册时的追踪参数其中αi为第i个用户的私钥α;
步骤2:CA机构根据用户随机化后的公钥upk′=(g1,X1)和追踪参数列表对用户身份进行追踪。CA机构利用追踪参数逐个验证等式若存在某个Ti使得等式成立,则该Ti对应的注册用户即为要追踪的用户。
可以看出,CA机构肯定能够利用证书库中的追踪参数流表追踪到对应用户。因为对于某一用户i,所以只要用户注册时提交了追踪参数,就一定能够被CA机构根据上述等式逐一排查追踪到。
根据本发明实施例提出的用户身份可追踪的匿名PKI系统,通过采用公钥基础设施PKI体系架构设计用户身份可追踪的匿名数字证书,使得系统具备良好的跨平台特性,增强了系统的可扩展性,并保障了终端设备的匿名性和可追踪性。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种用户身份可追踪的匿名PKI系统,其特征在于,包括:
证书申请模块,用于创建PKI系统的系统参数,根据所述系统参数分别生成证书认证机构的公私钥和终端设备的公私钥,并根据所述证书认证机构的公钥生成追踪参数;
证书发布模块,用于根据所述证书认证机构的私钥对所述终端设备的公钥进行签名生成证书,并将所述证书和所述追踪参数添加到证书库中;
证书随机化模块,用于所述终端设备对所述证书进行签名验证,并在确认所述证书有效后,所述终端设备对所述证书和所述终端设备的公钥进行随机化,并将随机化后的证书发送给远程验证终端;
证书验证模块,用于所述远程验证终端验证所述随机化后的证书的有效性;以及
用户身份追踪模块,用于从所述证书库中获取所述追踪参数,并根据随机化后的所述终端设备的公钥对所述终端设备进行追踪以实现对用户身份进行追踪。
2.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,
所述证书申请模块和所述证书随机化模块的操作由所述终端设备完成,所述证书发布模块和所述用户身份追踪模块的操作由所述证书认证机构完成,所述证书验证模块的操作由所述远程验证终端完成。
3.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,所述证书申请模块,具体用于:
在所述PKI系统中创建所述证书认证机构和所述终端设备的系统参数;
所述证书认证机构利用所述系统参数生成与所述证书认证机构对应的公私钥对,保存私钥,公布公钥;以及
所述终端设备利用所述系统参数生成与所述终端设备对应的公私钥对,保存私钥,发送公钥给所述证书认证机构,同时利用所述证书认证机构的公钥生成追踪参数。
4.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,所述证书发布模块,具体用于:
接收所述证书申请模块中的所述终端设备的公钥,所述证书认证机构利用与所述证书认证机构对应的私钥对所述终端设备的公钥进行签名生成证书,并将所述证书发送给所述终端设备;
所述证书认证机构在证书登记机构对所述终端设备进行登记注册,并将所述终端设备的证书和所述追踪参数添加到证书库中。
5.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,所述证书随机化模块,具体用于:
所述终端设备接收到证书后,对所述证书进行签名验证;
所述终端设备对验证通过的证书和公钥进行随机化;
所述终端设备利用零知识证明技术证明所述随机化的有效性,并将所述随机化后的证书发送至远程验证终端。
6.根据权利要求5所述的用户身份可追踪的匿名PKI系统,其特征在于,
若所述终端设备接收到证书验证通过,则所述终端设备输出1,接收证书;
若所述终端设备接收到证书验证未通过,则所述终端设备输出0,并返回警告信息给所述证书认证机构。
7.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,所述证书验证模块,具体用于:
所述远程验证终端对所述随机化后的证书进行验证,若通过验证,则所述远程验证终端输出1,否则输出0,并返回警示信息给所述终端设备。
8.根据权利要求1所述的用户身份可追踪的匿名PKI系统,其特征在于,所述用户身份追踪模块,具体用于:
所述证书认证机构接收到用户身份追踪请求后,所述证书认证机构调取证书库中所有终端设备注册时的追踪参数;
所述证书认证机构根据所述随机化后的证书的公钥和相关参数对用户身份进行追踪。
CN201811392721.6A 2018-11-21 2018-11-21 用户身份可追踪的匿名pki系统 Active CN109600218B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811392721.6A CN109600218B (zh) 2018-11-21 2018-11-21 用户身份可追踪的匿名pki系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811392721.6A CN109600218B (zh) 2018-11-21 2018-11-21 用户身份可追踪的匿名pki系统

Publications (2)

Publication Number Publication Date
CN109600218A true CN109600218A (zh) 2019-04-09
CN109600218B CN109600218B (zh) 2021-02-12

Family

ID=65960334

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811392721.6A Active CN109600218B (zh) 2018-11-21 2018-11-21 用户身份可追踪的匿名pki系统

Country Status (1)

Country Link
CN (1) CN109600218B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064734A (zh) * 2019-12-25 2020-04-24 中国科学院信息工程研究所 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594558A (zh) * 2012-01-19 2012-07-18 东北大学 一种可信计算环境的匿名数字证书系统及验证方法
CN102970682A (zh) * 2012-12-10 2013-03-13 北京航空航天大学 一种应用于可信移动终端平台的直接匿名证明方法
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
CN107342859A (zh) * 2017-07-07 2017-11-10 安徽大学 一种匿名认证方法及其应用
WO2018027300A1 (en) * 2016-08-08 2018-02-15 ISARA Corporation Using a digital certificate with multiple cryptosystems
US20180254898A1 (en) * 2017-03-06 2018-09-06 Rivetz Corp. Device enrollment protocol
US20180278427A1 (en) * 2017-03-24 2018-09-27 Cable Television Laboratories, Inc System and method for distributed pki root
CN108833345A (zh) * 2018-05-04 2018-11-16 西安电子科技大学 可追踪匿名发送者身份的无证书多接收者签密方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594558A (zh) * 2012-01-19 2012-07-18 东北大学 一种可信计算环境的匿名数字证书系统及验证方法
CN102970682A (zh) * 2012-12-10 2013-03-13 北京航空航天大学 一种应用于可信移动终端平台的直接匿名证明方法
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
WO2018027300A1 (en) * 2016-08-08 2018-02-15 ISARA Corporation Using a digital certificate with multiple cryptosystems
US20180254898A1 (en) * 2017-03-06 2018-09-06 Rivetz Corp. Device enrollment protocol
US20180278427A1 (en) * 2017-03-24 2018-09-27 Cable Television Laboratories, Inc System and method for distributed pki root
CN107342859A (zh) * 2017-07-07 2017-11-10 安徽大学 一种匿名认证方法及其应用
CN108833345A (zh) * 2018-05-04 2018-11-16 西安电子科技大学 可追踪匿名发送者身份的无证书多接收者签密方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王兵: "基于PKI的匿名数字证书的研究与实现", 《中国优秀硕士学位论文》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064734A (zh) * 2019-12-25 2020-04-24 中国科学院信息工程研究所 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置

Also Published As

Publication number Publication date
CN109600218B (zh) 2021-02-12

Similar Documents

Publication Publication Date Title
Huang et al. Blockchain-based multiple groups data sharing with anonymity and traceability
CN103856477B (zh) 一种可信计算系统及相应的认证方法和设备
CN101039182B (zh) 基于标识的公钥密码认证系统及标识证书发放方法
CN114186248B (zh) 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法
CN108235806A (zh) 安全访问区块链的方法、装置、系统、存储介质及电子设备
CN102907038B (zh) 基于属性的数字签名系统
CN109687976A (zh) 基于区块链与pki认证机制的车队组建及管理方法及系统
CN104125199B (zh) 一种基于属性的匿名认证方法及系统
Zhang et al. BTCAS: A blockchain-based thoroughly cross-domain authentication scheme
CN101488853B (zh) 一种基于种子密钥管理的交叉认证方法
CN108696360A (zh) 一种基于cpk密钥的ca证书发放方法及系统
CN109583893A (zh) 可追踪的基于区块链的数字货币交易系统
CN105376064B (zh) 一种匿名消息认证系统及其消息签名方法
CN106789033B (zh) 一种基于无证书签密的电子合同签署方法
CN111064734A (zh) 一种区块链系统用户身份匿名、可追踪方法及相应存储介质与电子装置
CN104901804A (zh) 一种基于用户自主的标识认证实现方法
CN107493165A (zh) 一种具有强匿名性的车联网认证及密钥协商方法
CN109902508A (zh) 一种凭证签发者匿名的实体鉴别方法及系统
CN108712259A (zh) 基于身份的可代理上传数据的云存储高效审计方法
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
CN106533681B (zh) 一种支持部分出示的属性证明方法与系统
CN109728901A (zh) 数字签名认证方法、装置和系统
Khan et al. A secure and energy efficient key agreement framework for vehicle-grid system
CN111262691A (zh) 基于混合主密钥的标识私钥生成及使用方法及系统和装置
Parameswarath et al. A privacy-preserving authenticated key exchange protocol for V2G communications using SSI

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant