CN110225023A - 一种可追踪的匿名认证方法和系统 - Google Patents

Abstract

本发明公开了一种可追踪的匿名认证方法，包括：客户端向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器，管理服务器判断来自于客户端的身份信息是否是重复的身份信息，如果不是则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，然后客户端从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息。本发明能解决现有匿名认证方法中由于在签名过程中采用了双线性计算过程，导致计算开销大、无法适用于计算能力不高的小型嵌入式设备的技术问题。

Description

一种可追踪的匿名认证方法和系统

技术领域

本发明属于隐私保护技术领域，更具体地，涉及一种可追踪的匿名认证方法和系统。

背景技术

随着“互联网+”和大数据技术的不断发展和演进，用户在网络上留下的痕迹越来越多，隐私泄露和隐私安全问题日益凸显，各种相应的用户隐私保护技术相继被提出，匿名认证就是其中相当重要的一种。

匿名认证技术允许用户在进行身份认证的同时保证用户身份的匿名性，从而保障认证用户的隐私安全。然而，由于现有的大部分匿名认证技术缺乏相应的身份追踪方案，导致匿名认证的匿名特征会被恶意用户利用，用于传播虚假或有害信息，并在实施犯罪活动的同时隐藏自己的身份信息。

针对上述问题，研究者们开发出了具有恶意用户追踪机制的匿名认证方法，其中目前广泛采用的方法是基于环签名机制的匿名认证方法，这种方法是在环签名中添加一些用户信息，在必要的时候通过可信的第三方和环中添加的用户信息来追踪匿名签名者的真实身份。然而，这种基于环签名机制的匿名认证方法仍然存在着不可忽略的技术问题：由于在环签名过程中采用双线性运算，其计算开销非常大，因此该匿名认证方法并不适用于计算能力不高的小型嵌入式设备。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种可追踪的匿名认证方法和系统，其目的在于，解决现有匿名认证方法中由于在签名过程中采用了双线性计算过程，导致计算开销大、无法适用于计算能力不高的小型嵌入式设备的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种可追踪的匿名认证方法，其是应用在包括多个客户端、验证服务器、以及管理服务器的身份认证系统中，所述匿名认证方法包括以下步骤：

(1)客户端向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器；

(2)管理服务器判断来自于客户端的身份信息是否是重复的身份信息，如果是则返回步骤(1)，否则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，并在整个匿名认证系统中公开，然后进入步骤(3)；

(3)客户端从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息，并将生成的匿名签名信息发送到验证服务器；

(4)验证服务器根据来自于客户端的匿名签名信息判断该客户端是否通过验证，如果通过验证，则过程结束，否则将该客户端的匿名签名信息发送到管理服务器，转入步骤(5)；

(5)管理服务器根据客户端的匿名签名信息进行计算以得到计算结果，在整个匿名认证系统内每个客户端的验证值中查找该计算结果，并将等于该计算结果的验证值所对应的客户端识别作为匿名签名用户。

优选地，所述方法还包括在步骤(1)之前，管理服务器执行初始化的过程，其具体包括以下子步骤：

a、管理服务器随机选取大素数p和q，并根据该大素数p和q构建第一哈希函数H₁()和第二哈希函数H₂()：其中G₁表示阶数为q、生成元为g的加法循环群，表示小于q且与q互素的整数构成的循环群；

b、管理服务器向整个匿名认证系统公开加法循环群G₁、第一哈希函数H₁、第二哈希函数H₂、生成元g、以及大素数q。

优选地，步骤(1)包括以下子步骤：

(1-1)客户端U_i向管理服务器注册成功后随机选择私钥x_i，根据私钥x_i计算对应的公钥y_i＝x_ig，其中i表示该客户端在整个匿名认证系统的所有客户端中的序号；

(1-2)客户端U_i根据步骤(1-1)得到的公钥y_i、以及客户端U_i的身份信息ID_i计算对应的身份密钥X_i＝x_iH₂(ID_i)，并保存私钥x_i，其中

(1-3)客户端U_i将公钥y_i、身份信息ID_i、以及身份密钥X_i发送给管理服务器。

优选地，步骤(3)具体包括以下子步骤：

(3-1)客户端U_i从管理服务器的客户端信息表中随机选择d个客户端的公钥y₁，y₂，...，y_d构成公钥集Y_i＝{y₁，y₂，...，y_d}，其中d表示选取的公钥总数；

(3-2)根据步骤(3-1)得到的公钥集Y_i获取匿名签名信息的第三个字段s，具体计算过程为：

s＝t-σ_iY_i

其中t表示随机数且σ_i表示匿名签名信息的第一个字段中的第i个元素；

(3-3)客户端U_i根据步骤(3-1)和(3-2)的结果生成匿名签名信息{(σ₁，σ₂，σ₃，...，σ_n)，m，s}，并将生成的匿名签名信息发送到验证服务器，其中n表示整个匿名认证系统中客户端的总数。

优选地，匿名签名信息的第一个字段中的第i个元素是采用以下公式计算：

σ_i＝h-∑_k≠iσ_k，

其中k∈{1，2，...，n}，h为中间变量，且有：

其中m表示客户端的待签名消息，Y表示整个匿名认证系统中所有客户端的公钥构成的集合。

优选地，验证服务器判断客户端是否通过验证是判断以下等式是否成立：

若等式成立，则表示客户端通过验证，若等式不成立，则表示客户端未通过验证。

优选地，根据客户端的匿名签名信息进行计算以得到计算结果具体是使用以下公式：

S_i＝s(y_i+X_i)

其中S_i表示计算结果。

客户端的验证值R_i是采用以下公式计算：

R_i＝sx_i(g+Q_i)

其中Q_i＝H₂(ID_i)。

按照本发明的另一方面，提供了一种可追踪的匿名认证系统，其是应用在包括多个客户端、验证服务器、以及管理服务器的身份认证系统中，所述匿名认证系统包括：

第一模块，其设置于客户端中，用于向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器；

第二模块，其设置于管理服务器中，用于判断来自于客户端的身份信息是否是重复的身份信息，如果是则返回第一模块，否则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，并在整个匿名认证系统中公开，然后进入第三模块；

第三模块，其设置于客户端中，用于从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息，并将生成的匿名签名信息发送到验证服务器；

第四模块，其设置于验证服务器中，用于根据来自于客户端的匿名签名信息判断该客户端是否通过验证，如果通过验证，则过程结束，否则将该客户端的匿名签名信息发送到管理服务器，转入第五模块；

第五模块，其设置于管理服务器中，用于根据客户端的匿名签名信息进行计算以得到计算结果，在整个匿名认证系统内每个客户端的验证值中查找该计算结果，并将等于该计算结果的验证值所对应的客户端识别作为匿名签名用户。

优选地，所述系统进一步包括第五模块，其设置在管理服务器中，用于执行初始化的过程，且第五模块包括以下子模块：

第一子模块，用于随机选取大素数p和q，并根据该大素数p和q构建第一哈希函数H₁()和第二哈希函数H₂()：H₂：{0，1}^*→G₁，其中G₁表示阶数为q、生成元为g的加法循环群，表示小于q且与q互素的整数构成的循环群；

第二子模块，用于向整个匿名认证系统公开加法循环群G₁、第一哈希函数H₁、第二哈希函数H₂、生成元g、以及大素数q。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)由于本发明在签名过程中没有采用双线性运算，其计算开销非常小，因此该匿名认证方法可适用于各种嵌入式设备；

(2)本发明可通过在签名过程中附加相关的变量，实现匿名签名用户真实身份信息的追踪，从而确保匿名签名过程的安全高效。

附图说明

图1是本发明可追踪的匿名认证方法所应用到的身份认证系统的示意图；

图2是本发明可追踪的匿名认证方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图2所示，本发明可追踪的匿名认证方法，其是应用在包括多个客户端、验证服务器、以及管理服务器的身份认证系统中(如图1所示)，所述匿名认证方法包括以下步骤：

(1)客户端向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器；

本发明的方法还包括在上述步骤(1)之前，管理服务器执行初始化的过程，其具体包括以下子步骤：

a、管理服务器随机选取大素数p和q，并根据该大素数p和q构建第一哈希函数和第二哈希函数：其中G₁表示阶数为q、生成元为g的加法循环群；其中表示小于q且与q互素的整数构成的循环群；

b、管理服务器向整个匿名认证系统公开加法循环群G₁、第一哈希函数H₁、第二哈希函数H₂、生成元g、以及大素数q；

具体而言，本步骤(1)包括以下子步骤：

(1-1)客户端U_i向管理服务器注册成功后随机选择私钥x_i，根据私钥x_i计算对应的公钥y_i＝x_ig，其中i表示该客户端在整个匿名认证系统的所有客户端中的序号；

(1-2)客户端U_i根据步骤(1-1)得到的公钥y_i、以及客户端U_i的身份信息ID_i计算对应的身份密钥X_i＝x_iH₂(ID_i)，并保存私钥x_i，其中H₂()表示系统初始化过程中得到的第二哈希函数；

(1-3)客户端U_i将公钥y_i、身份信息ID_i、以及身份密钥X_i发送给管理服务器；

(2)管理服务器判断来自于客户端的身份信息是否是重复的身份信息，如果是则返回步骤(1)，否则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，并在整个匿名认证系统中公开，然后进入步骤(3)；

具体而言，管理服务器判断某个客户端的身份信息是否重复，是通过将其之前已经处理过的客户端的身份信息和该客户端的身份信息进行比较，如果相同，则表示来自于客户端的身份信息是重复的身份信息。

(3)客户端从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息，并将生成的匿名签名信息发送到验证服务器；

本步骤(3)具体包括以下子步骤：

(3-1)客户端U_i从管理服务器的客户端信息表中随机选择d个客户端的公钥y₁，y₂，...，y_d构成公钥集Y_i＝{y₁，y₂，...，y_d}，其中d表示选取的公钥总数；

(3-2)根据步骤(3-1)得到的公钥集Y_i获取匿名签名信息的第三个字段s，具体计算过程为：

s＝t-σ_iY_i

其中t表示随机数且σ_i表示匿名签名信息的第一个字段中的第i个元素，且有：σ_i＝h-∑_k≠iσ_k，其中k∈{1，2，...，n}，n表示整个匿名认证系统中客户端的总数，h为中间变量，且有：

其中m表示客户端的待签名消息，Y表示整个匿名认证系统中所有客户端的公钥构成的集合；

(3-3)客户端U_i根据步骤(3-1)和(3-2)的结果生成匿名签名信息{(σ₁，σ₂，σ₃，...，σ_n)，m，s}，并将生成的匿名签名信息发送到验证服务器；

(4)验证服务器根据来自于客户端的匿名签名信息判断该客户端是否通过验证，如果通过验证，则过程结束，否则将该客户端的匿名签名信息发送到管理服务器，转入步骤(5)；

具体而言，验证服务器判断客户端是否通过验证是判断以下等式是否成立：

若等式成立，则表示客户端通过验证，若等式不成立，则表示客户端未通过验证。

(5)管理服务器根据客户端的匿名签名信息进行计算以得到计算结果，在整个匿名认证系统内每个客户端的验证值中查找该计算结果，并将等于该计算结果的验证值所对应的客户端识别作为匿名签名用户。

具体而言，根据客户端的匿名签名信息进行计算以得到计算结果具体是使用以下公式：

S_i＝s(y_i+X_i)，其中S_i表示计算结果；

客户端的验证值R_i是采用以下公式计算：

R_i＝sx_i(g+Q_i)，其中Q_i＝H₂(ID_i)。

总而言之，本发明提出的匿名认证方法采用无双线性对环签名方法对用户进行匿名签名和验证，大大节约计算开销和成本；同时，采用匿名用户追踪机制，必要的时候可以对不诚实的用户的真实身份进行追踪，安全高效。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种可追踪的匿名认证方法，其是应用在包括多个客户端、验证服务器、以及管理服务器的身份认证系统中，其特征在于，所述匿名认证方法包括以下步骤：

(1)客户端向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器；

(2)管理服务器判断来自于客户端的身份信息是否是重复的身份信息，如果是则返回步骤(1)，否则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，并在整个匿名认证系统中公开，然后进入步骤(3)；

(3)客户端从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息，并将生成的匿名签名信息发送到验证服务器；

(4)验证服务器根据来自于客户端的匿名签名信息判断该客户端是否通过验证，如果通过验证，则过程结束，否则将该客户端的匿名签名信息发送到管理服务器，转入步骤(5)；

(5)管理服务器根据客户端的匿名签名信息进行计算以得到计算结果，在整个匿名认证系统内每个客户端的验证值中查找该计算结果，并将等于该计算结果的验证值所对应的客户端识别作为匿名签名用户。

2.根据权利要求1所述的可追踪的匿名认证方法，其特征在于，所述方法还包括在步骤(1)之前，管理服务器执行初始化的过程，其具体包括以下子步骤：

a、管理服务器随机选取大素数p和q，并根据该大素数p和q构建第一哈希函数H₁()和第二哈希函数H₂()：H₁:H₂:{0,1}^*→G₁，其中G₁表示阶数为q、生成元为g的加法循环群，表示小于q且与q互素的整数构成的循环群；

b、管理服务器向整个匿名认证系统公开加法循环群G₁、第一哈希函数H₁、第二哈希函数H₂、生成元g、以及大素数q。

3.根据权利要求2所述的可追踪的匿名认证方法，其特征在于，步骤(1)包括以下子步骤：

(1-1)客户端U_i向管理服务器注册成功后随机选择私钥x_i，根据私钥x_i计算对应的公钥y_i＝x_ig，其中i表示该客户端在整个匿名认证系统的所有客户端中的序号；

(1-2)客户端U_i根据步骤(1-1)得到的公钥y_i、以及客户端U_i的身份信息ID_i计算对应的身份密钥X_i＝x_iH₂(ID_i)，并保存私钥x_i，其中

(1-3)客户端U_i将公钥y_i、身份信息ID_i、以及身份密钥X_i发送给管理服务器。

4.根据权利要求3所述的可追踪的匿名认证方法，其特征在于，步骤(3)具体包括以下子步骤：

(3-1)客户端U_i从管理服务器的客户端信息表中随机选择d个客户端的公钥y₁,y₂,...,y_d构成公钥集Y_i＝{y₁,y₂,...,y_d}，其中d表示选取的公钥总数；

(3-2)根据步骤(3-1)得到的公钥集Y_i获取匿名签名信息的第三个字段s，具体计算过程为：

s＝t-σ_iY_i

其中t表示随机数且σ_i表示匿名签名信息的第一个字段中的第i个元素；

(3-3)客户端U_i根据步骤(3-1)和(3-2)的结果生成匿名签名信息{(σ₁,σ₂,σ₃,...,σ_n),m,s}，并将生成的匿名签名信息发送到验证服务器，其中n表示整个匿名认证系统中客户端的总数。

5.根据权利要求4所述的可追踪的匿名认证方法，其特征在于，匿名签名信息的第一个字段中的第i个元素是采用以下公式计算：

σ_i＝h-∑_k≠iσ_k，

其中k∈{1,2,...,n}，h为中间变量，且有：

其中m表示客户端的待签名消息，Y表示整个匿名认证系统中所有客户端的公钥构成的集合。

6.根据权利要求5所述的可追踪的匿名认证方法，其特征在于，验证服务器判断客户端是否通过验证是判断以下等式是否成立：

若等式成立，则表示客户端通过验证，若等式不成立，则表示客户端未通过验证。

7.根据权利要求6所述的可追踪的匿名认证方法，其特征在于，

根据客户端的匿名签名信息进行计算以得到计算结果具体是使用以下公式：

S_i＝s(y_i+X_i)

其中S_i表示计算结果。

客户端的验证值R_i是采用以下公式计算：

R_i＝sx_i(g+Q_i)

其中Q_i＝H₂(ID_i)。

8.一种可追踪的匿名认证系统，其是应用在包括多个客户端、验证服务器、以及管理服务器的身份认证系统中，其特征在于，所述匿名认证系统包括：

第一模块，其设置于客户端中，用于向管理服务器注册，并在注册成功后根据自身的私钥和身份信息获得对应的公钥和身份密钥，并将该公钥、身份信息、以及身份密钥发送到管理服务器；

第二模块，其设置于管理服务器中，用于判断来自于客户端的身份信息是否是重复的身份信息，如果是则返回第一模块，否则将该客户端的公钥、身份信息、以及身份密钥存储在客户端信息表中，并在整个匿名认证系统中公开，然后进入第三模块；

第三模块，其设置于客户端中，用于从管理服务器的客户端信息表中随机选择d个客户端的公钥，利用选择的多个客户端的公钥、以及该客户端自身的身份信息进行哈希计算，以生成匿名签名信息，并将生成的匿名签名信息发送到验证服务器；

第四模块，其设置于验证服务器中，用于根据来自于客户端的匿名签名信息判断该客户端是否通过验证，如果通过验证，则过程结束，否则将该客户端的匿名签名信息发送到管理服务器，转入第五模块；

第五模块，其设置于管理服务器中，用于根据客户端的匿名签名信息进行计算以得到计算结果，在整个匿名认证系统内每个客户端的验证值中查找该计算结果，并将等于该计算结果的验证值所对应的客户端识别作为匿名签名用户。

9.根据权利要求8所述的可追踪的匿名认证系统，其特征在于，所述系统进一步包括第五模块，其设置在管理服务器中，用于执行初始化的过程，且第五模块包括以下子模块：

第一子模块，用于随机选取大素数p和q，并根据该大素数p和q构建第一哈希函数H₁()和第二哈希函数H₂()：H₁:H₂:{0,1}^*→G₁，其中G₁表示阶数为q、生成元为g的加法循环群，表示小于q且与q互素的整数构成的循环群；

第二子模块，用于向整个匿名认证系统公开加法循环群G₁、第一哈希函数H₁、第二哈希函数H₂、生成元g、以及大素数q。