CN109902508A

CN109902508A - 一种凭证签发者匿名的实体鉴别方法及系统

Info

Publication number: CN109902508A
Application number: CN201910048838.0A
Authority: CN
Inventors: 张严; 张立武; 张敏; 陈华; 冯登国
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2019-01-18
Filing date: 2019-01-18
Publication date: 2019-06-18

Abstract

本发明公开了一种凭证签发者匿名的实体鉴别方法及系统。其步骤为：1)加入系统的每一凭证签发者根据系统公开参数生成该凭证签发者的私有密钥与公开密钥；2)凭证签发者I根据输入的用户身份标识、凭证签发者I的私有密钥和系统公开参数，生成该用户的身份凭证并传送给该用户；3)该用户选取多个凭证签发者构成一混淆集合；然后根据系统公开参数、所有被选取的凭证签发者的公开密钥和该用户所持有的身份凭证，生成该用户的匿名身份证明并发送给身份验证方；其中，该混淆集合中包括为该用户签发用户凭证的凭证签发者I；4)身份验证方根据系统公开参数与该混淆集合中各凭证签发者的公开密钥对收到的匿名身份证明进行验证，确定是否有效。

Description

一种凭证签发者匿名的实体鉴别方法及系统

技术领域

本发明属于计算机技术与信息安全领域，涉及网络环境中对实体身份鉴别过程的隐私进行保护以及防止隐私泄露的方法，具体表现为一种凭证签发者匿名的鉴别方法及系统。

背景技术

近年来，网络个人身份信息保护已成为人们关注的重点。随着网络服务在人们生活中的地位越来越重要，隐私泄露事件也层出不穷，对用户切身利益和国家安全造成了很大的影响。如何避免隐私泄露成为当前网络发展亟待解决的问题。

在这种背景下，匿名凭证及匿名认证技术的研究与应用成为当前身份鉴别中的热点，匿名认证的核心思想是通过群签名、环签名等技术手段，使得身份验证方在认证过程中只验证用户是某一集合内的成员，而不获知其具体身份。随着相关研究的开展，已经出现了许多可以实现匿名认证的技术方案，并且得到了一定程度的应用。

但是随着目前网络应用的高速发展，网络应用的规模越发庞大，在这种环境下，传统的集中式身份管理已经很难满足当前大规模网络应用的需要，分布式的云服务被广泛应用于当前网络服务的部署之中。与传统模式相比，分布式网络服务大量应用了CDN、负载均衡等技术，这使得当前网络应用中的用户身份管理需要采用多信任根的分布式信任模式，以应对海量用户和用户位置分布所带来的限制。

然而，目前的传统匿名凭证及匿名认证技术大多仍然为单一信任根所设计，虽然可以隐藏用户具体的身份标识信息，但其在出示凭证或进行匿名认证时，为了验证用户持有凭证的有效性，必须使用凭证签发者的信息(通常是公钥)来进行验证。因此，当匿名认证方案应用于多信任根模式下时，用户身份凭证的签发者对身份验证方来讲仍然是公开的。在现实中，出于系统实现和维护代价考虑，通常会基于地理位置、组织结构等来建设层级式的信任体系。此时，用户凭证签发者与用户所属的地区、组织部门等具有直接关系，这一信息对身份验证方的公开，会引发用户区分对待、数据恶意收集等问题，特别是在云环境中对虚拟机进行身份管理时，会严重破坏云环境所需的位置无关性、透明性等特性。因此，如何在匿名身份鉴别过程中有效隐藏签发者的信息，是当前匿名凭证及匿名认证技术所急需解决的问题。

发明内容

本发明的目的之一在于克服现有技术中存在的问题，提供一种签发者匿名的实体鉴别方法及系统。具体的说，本发明包括以下两个重要的方面：第一，设计了一种签发者匿名的实体鉴别算法；第二，设计了一种凭证签发者匿名的匿名认证系统。

一、签发者匿名的实体鉴别算法

本发明的目的在于提供一种签发者匿名的匿名认证系统来加强对用户的隐私保护，首先，可信方集合(由互相信任的若干个可信方组成)中的一个可信方为某个经过认证的用户颁发身份凭证，之后该用户向服务方匿名出示自己的身份凭证，并由服务方在无法获取用户身份与凭证签发方的情况下，验证身份凭证的有效性来完成对该用户的认证过程。本发明的签发者匿名的实体鉴别方法主要包括匿名凭证的签发、出示和验证系统，为运行匿名认证协议的系统提供匿名凭证的签发、出示和验证功能，提供了匿名凭证签发、出示与验证算法的实现。

本发明所实现的匿名凭证出示方案具有如下基本性质：

用户匿名性：验证方可以确信用户持有某个有效签发者签发的有效凭证，但无法获取关于用户凭证中身份相关的任何信息；

不可关联性：对于多次出示过程，验证方无法区分这些过程是否来自于持有同一凭证的用户；

凭证签发者匿名性：对于用户所选择的系统中的任意个有效签发者，验证方无法区分用户所出示的凭证是由哪个签发者签发的。

该签名方案包含五个主要的算法，各算法的功能如下：

系统建立(System setup)算法：该算法是由系统创建者完成的概率多项式时间算法，算法无输入，输出系统公开参数。系统公开参数对外公开，使其他方容易获取(比如公布在官方网站)；

签发者密钥生成(Isser Key Generation)算法：该算法是由加入系统的凭证签发者完成的概率多项式时间算法，算法输入系统公开参数，输出凭证签发者的私有密钥与公开密钥，其中私有密钥由签发者秘密保存，公开密钥对外公开，使用户容易获取。在本系统中，可以有多个凭证签发者，他们使用相同的系统参数，但使用不同的私有密钥与公开密钥。

凭证签发(Credetial Issue)算法：如图1所示，该算法是由系统中的某个凭证签发者完成的概率多项式时间算法，算法输入一个用户的身份标识，凭证签发者的私有密钥和系统公开参数，算法输出用户的身份凭证，并通过可信方与用户之间的秘密信道(例如线下的方式，现场交接等)安全的传送给该用户。

凭证出示(Credential Show)算法：如图2所示，该算法是由持有身份凭证的用户完成的概率多项式时间算法，用户首先从加入系统的所有凭证签发者中选取本次出示时所使用的多个凭证签发者构成一混淆集合(包括签发用户凭证的真实凭证签发者)，然后输入系统公开参数、所有被选取的凭证签发者的公开密钥和用户所持有的身份凭证，输出该用户的匿名身份证明；匿名身份证明包含混淆集合、匿名化凭证和证明信息。

凭证校验(Credential Verify)算法：该算法是由身份验证方即服务提供者完成的确定性多项式时间算法，该算法输入由某个用户给出的匿名身份证明并验证其有效性，输出“有效”或“无效”。当且仅当用户持有某个凭证签发者所签发的身份凭证，且该签发者属于混淆集合时，本算法输出“有效”。

二、签发者匿名的匿名认证系统

系统主要的参与方由凭证签发方(Credential Issuer，CI)，用户代理(UserAgent，UA)(用户通过用户代理与可信方及服务提供方进行交互)，以及服务提供方(Service Provider，SP)三部分，其中凭证签发方CI会对用户身份进行审核，并负责为用户颁发身份凭证；用户代理UA代表用户进行相应的计算，包括匿名身份证明的计算等。服务提供方SP获取用户的凭证证明，验证后为用户提供服务。

该系统的构架如图3所示，为了说明本发明的签发者匿名性，图中展示了多个CI，一个用户U(用户通过UA与CI或SP通信)和一个服务提供方SP，在实际应用过程中，必然存在多个用户U和多个服务提供方SP。系统的主要组成包括:凭证签发服务，用户代理插件，应用服务三大部分。各部分的主要组成如下：

·凭证签发服务

凭证签发

·用户代理插件

凭证请求

凭证管理

凭证出示

·应用服务

凭证验证

凭证签发服务运行在CI端，主要实现凭证签发功能，即在用户向可信方提交身份信息，并提出凭证签发请求后，由CI对用户所申请进行行政上的审核与验证，验证通过之后，为用户签发有效的身份凭证。

用户代理插件运行在用户端，代表用户完成一些复杂的运算以及匹配。它首先会代替用户向可信方提出属性凭证的申请请求，将用户要申请的属性对应的值发送给TP。凭证管理功能，是将用户所有已经申请到的身份凭证维护一个列表，执行对身份凭证的查找，添加，删除，替换等操作。凭证出示功能是在用户希望访问SP时，根据用户选择的混淆集合，根据身份凭证和相关CI的公共参数计算匿名凭证证明出示给服务提供方。

应用服务主要是SP端，实现凭证验证功能，即对用户端发送过来的证明，根据系统公开参数与混淆集合中包含的CI的公钥进行验证，(具体的验证算法在实施方案中详细说明)，判断是否有效。若证明有效，则用户通过该服务的认证。

与现有技术相比，本发明的积极效果为：

本发明的优势主要体现在保持原有匿名凭证所具有的用户身份匿名性与不可连接性和流程不变的基础上，增加了凭证签发者匿名性。该匿名性可由用户根据需要每次选择不同的混淆集合，无需凭证签发者参与计算，同时凭证签发者可以动态加入，具有更强的隐私性和灵活性。

附图说明

图1表示本发明系统建立与凭证颁发阶段的流程。

图2表示本发明凭证出示与验证阶段的流程。

图3表示本发明匿名凭证系统的结构。

具体实施方式

下面通过具体实施例对本发明作更详细的说明。其中实施例1给出为该系统所涉及的签发者匿名的匿名凭证相关算法，实施例2给出匿名凭证系统的具体运作方式。

实施例1.签发者的匿名认证算法

下面给出一个本发明的基于属性的签名算法的具体实例：

系统建立：令G₁,G₂,G_T为阶为p的素数阶循环群(本发明需要设定三个不同的素数阶循环群，用角标1、2和T来区分两个不同的素数阶循环群)，P₁,P₂分别为G₁,G₂的生成元。ψ为G₂到G₁的同构映射，满足ψ(P₂)＝P₁，e∶G₁×G₂→G_T为双线性映射，即双线性映射e的输入为分别属于群G₁和G₂中的两个元素，输出为群G_T中一个元素。选取杂凑函数以及P₀∈G₂，其中为阶为p的整数乘法群。则系统生成的公开参数为params＝{G₁,G₂,G_T,p,e,ψ,P₁,P₂,P₀,h,H}，其中e为如前所述的双线性映射。

签发方密钥生成：当签发者标识为I的凭证签发者需要生成它自己的密钥时，执行以下操作：首先从中随机选择x_I，然后计算Ppub_I＝x_IP₂，则I的公开密钥即为Ppub_I，对应的私有密钥为x_I。

凭证签发：当用户向签发者标识为I的凭证签发者申请身份凭证时，签发者执行以下操作：验证输入的用户身份标识u和消息ω(可以包含任何需要写入凭证的公开信息，例如用户的属性)，签发者首先计算Q_ω＝H(ω)，然后随机从选择r,r_u并计算以下四个参数的值：c2＝rP₂,d2＝r_uP₂。则最终的凭证cre＝(c1,c2,d1,d2)。

凭证出示：当用户需要向校验者出示凭证时，他首先选择混淆集合L，L中某个签发者I为用户凭证cre的真实签发者。接下来，用户随机从选择r_d,s,t并计算匿名化凭证

f1＝s^-1t^-1(c1+r_dd1),f2＝c2+r_dd2

其次，对于L中除签发者I以外的每一个签发者i，用户随机从选择a_i并使用I的公钥Ppub_I计算S_i＝sa_i(h(ω||I)P₁+ψ(Ppub_I))，对于签发者I，计算

然后，用户计算T＝s(h(ω||I)P₁+ψ(Ppub_I))，I表示签发者I的标识。

最后，用户使用u和t，通过零知识证明方案生成如下的证明：

Π＝POK{u,t∶e(P₁,P₂)·e(ψ(f2),H(ω))＝e(T,f1)^t·e(P₁,P₀)^-u}

完成计算后，用户将混淆集合L、匿名化凭证f1,f2以及证明信息a＝(S,T,Π)发送给校验者，其中，S为所有S_i(i∈L)组成的集合。

凭证校验：当校验者接收到用户发来的混淆集合L、匿名化凭证f1,f2以及证明信息a时，他首先获取所有对应的签发者公钥，然后验证等式

是否成立，其中i表示签发者i的标识。同时，校验者校验知识证明Π的正确性，即用户知道u和t的值，使得等式e(P₁,P₂)·e(ψ(f2),H(ω))＝e(T,f1)^t·e(P₁,P₀)^-u成立。如果上述验证式均成立，则出示协议执行成功，校验者输出“有效”，否则输出“无效”。

实施例2.签发者匿名的匿名认证系统

本实施例旨在提供本发明基于属性的匿名认证系统的一个具体实例。

该系统包含三类主体：凭证签发方(Crendential Issuer，CI)，用户代理(UserAgent，UA)，以及服务提供方(Service Provider，SP)三部分。三部分之间通过网络连接，凭证签发方负责验证用户身份有效性，并为用户颁发属性凭证。用户方的主要工作由用户代理来完成，主要是公开参数存储、凭证接收、存储、查询，以及生成身份证明。用户在请求服务之前需要向凭证签发方申请属性凭证。服务提供方对用户出示的证明进行验证，验证通过则提供相应的服务或数据。

具体的实施过程为四段：系统初始化，凭证签发协议，凭证出示协议以及凭证验证协议。系统初始化过程为系统的运行产生必须的公共参数。凭证签发过程主要由CI和用户共同协商完成。凭证出示协议和凭证验证协议由用户与服务提供方SP共同完成。

本实施例基于如下的情景设定：用户U获取某个凭证签发方CI_U颁发的身份凭证后，访问应用提供方SP的资源，U选择由CI_U在内的若干凭证签发方构成的混淆集合S＝{CI_U,CI₁,CI₂,…,CI_n}，SP验证U持有集合S中某个凭证签发方签发的有效凭证，若通过，则允许用户访问，具体过程如下：

系统建立者(可以是建立系统时加入系统的某个CI，也可以是任何第三方实体)，运行实施例1中的System Setup算法，并将系统公开参数以其他方容易获取的方式发布出来

所有加入系统的CI各自运行实施例1中的Isser Key Generation算法，并分别保存生成的主密钥。

用户U通过用户代理UA向某个CI(记作CI_U)发起凭证签发请求，CI_U与U执行认证协议，验证用户身份的真实有效性，并根据U的身份标识、CI_U的私有密钥x和系统公开参数，运行实施例1中的Credetial Issue算法为其颁发身份凭证cre；

用户U通过用户代理UA向服务提供方SP发起访问请求，包含所要访问的服务的标识；

用户代理给出所有已加入系统的CI的列表，提示用户U选择要加入到混淆集合中的CI，用户选择其中任意数量的CI，与CI_U一起构成混淆集合S，UA使用存储的身份凭证自身的属性凭证和S中所有CI的公开参数，执行实例1中的Credential Show算法计算匿名身份证明，并通过用户代理发送给SP；

应用服务提供方SP执行实例1中的Verify算法验证用户的匿名证明，若验证通过并满足该访问策略，则将资源返回给用户。

以上通过形式表达和实施案例对本发明进行了详细的说明，但本发明的具体实现形式并不局限于此。本领域的一般技术人员，可以在不背离本发明所述方法的精神和原则的情况下对其进行各种显而易见的变化与修改。本发明的保护范围应以权利要求书所述为准。

Claims

1.一种凭证签发者匿名的实体鉴别方法，其步骤包括：

1)加入系统的每一凭证签发者根据系统公开参数生成该凭证签发者的私有密钥与公开密钥；

2)凭证签发者I根据输入的用户身份标识、凭证签发者I的私有密钥和系统公开参数，生成该用户的身份凭证并传送给该用户；

3)该用户选取多个凭证签发者构成一混淆集合；然后根据系统公开参数、所有被选取的凭证签发者的公开密钥和该用户所持有的身份凭证，生成该用户的匿名身份证明并发送给身份验证方；其中，该混淆集合中包括为该用户签发用户凭证的凭证签发者I；

4)身份验证方根据系统公开参数与该混淆集合中各凭证签发者的公开密钥对收到的匿名身份证明进行验证，确定是否有效。

2.如权利要求1所述的方法，其特征在于，所述公开参数为params＝{G₁,G₂,G_T,p,e,ψ,P₁,P₂,P₀,h,H}；其中，G₁,G₂,G_T为阶为p的素数阶循环群，P₁,P₂分别为G₁,G₂的生成元，ψ为G₂到G₁的同构映射，满足ψ(P₂)＝P₁，e∶G₁×G₂→G_T为双线性映射，杂凑函数H∶{0,1}^*→G₂以及P₀∈G₂，为阶为p的整数乘法群。

3.如权利要求2所述的方法，其特征在于，凭证签发者I生成所述私有密钥与公开密钥的方法为：从中随机选择x_I，然后计算Ppub_I＝x_IP₂，则凭证签发者I的公开密钥为Ppub_I，对应的私有密钥为x_I。

4.如权利要求2所述的方法，其特征在于，生成该身份凭证的方法为：凭证签发者I验证用户的用户身份标识u和需要写入该身份凭证的消息ω，然后计算Q_ω＝H(ω)，然后从选择r,r_u并计算得到该用户的身份凭证cre＝(c1,c2,d1,d2)。

5.如权利要求2所述的方法，其特征在于，生成该匿名身份证明的方法为：首先从选择r_d,s,t并计算匿名化凭证f1＝s^-1t^-1(c1+r_dd1),f2＝c2+r_dd2；然后对于该混淆集合中除凭证签发者I以外的每一个签发者i，从选择a_i并使用凭证签发者I的公开密钥Ppub_I计算S_i＝sa_i(h(ω||I)P₁+ψ(Ppub_I))，对于该凭证签发者I，计算S_I＝sP₁-s·∑_i∈L,i≠Ia_i(h(ω||i)P₁+ψ(Ppub_i))；然后计算T＝s(h(ω||I)P₁+ψ(Ppub_I))；然后使用u和t，通过零知识证明方案生成证明Π＝POK{u,t∶e(P₁,P₂)·e(ψ(f2),H(ω))＝e(T,f1)t·e(P₁,P₀)^-u}；然后根据混淆集合L、匿名化凭证f1,f2以及证明信息a＝(S,T,Π)生成该用户的匿名身份证明；其中，I表示凭证签发者I的标识，i表示凭证签发者i的标识，S为所有S_i与S_I组成的集合。

6.如权利要求5所述的方法，其特征在于，验证该匿名身份证明的方法为：通过验证等式∏_i∈Le(S_i,h(ω||i)P₂+Ppub_i)＝e(T,P₂)是否成立，如果成立则验证通过。

7.如权利要求1所述的方法，其特征在于，该匿名身份证明包含混淆集合、匿名化凭证和证明信息。

8.如权利要求1所述的方法，其特征在于，不同凭证签发者具有不同的私有密钥与公开密钥。

9.一种凭证签发者匿名的实体鉴别系统，其特征在于，包括凭证签发方，用户代理以及服务提供方；其中，

凭证签发方，用于根据系统公开参数生成自己的私有密钥与公开密钥；以及根据输入的用户身份标识、自己的私有密钥和系统公开参数，生成该用户的身份凭证并传送给该用户；

用户代理，用于根据系统公开参数、所有被选取的凭证签发者的公开密钥和用户所持有的身份凭证，生成该用户的匿名身份证明并发送给身份验证方；其中，该混淆集合中包括为该用户签发用户凭证的凭证签发者I；用户通过用户代理从加入系统的所有凭证签发方中选取多个凭证签发者构成一混淆集合；

服务提供方，用于根据系统公开参数与该混淆集合中各凭证签发者的公开密钥对收到的匿名身份证明进行验证，确定是否有效。

10.如权利要求9所述的系统，其特征在于，该匿名身份证明包含混淆集合、匿名化凭证和证明信息；不同凭证签发者具有不同的私有密钥与公开密钥。