CN112600850A - 可追踪的基于属性的匿名认证方法、系统及存储介质 - Google Patents

Abstract

本发明公开了可追踪的基于属性的匿名认证方法、系统及存储介质，方法包括以下步骤：系统初始化，通过设置算法生成主公钥和主私钥；用户匿名凭证生成，通过交互的匿名凭证生成算法生成用户的匿名凭证；匿名认证消息，通过认证算法对消息进行认证；验证认证，通过验证算法验证得到的认证；追踪二次认证用户，若某个用户认证了两次，任何人都可以通过追踪算法去追踪认证了两次的用户。本发明在现有匿名认证的基础上，实现了注册匿名和认证匿名的更强隐私保护，即完全匿名性，具有一定的访问控制功能，同时实现了允许任何人可公开追踪的功能，在提供强隐私保护的前提下平衡了匿名性和责任性。

Description

可追踪的基于属性的匿名认证方法、系统及存储介质

技术领域

本发明属于匿名认证技术领域，具体涉及可追踪的基于属性的匿名认证方法、系统及存储介质。

背景技术

匿名认证是一类典型的认证协议，既可以实现认证的功能，又可以保证匿名性，进而不泄露隐私。在群签名中，群成员可以代表整个群去签消息而不泄露其身份，但是群管理员可以在出现纠纷时打开签名，从而找到该签名者，达到追踪的目的。而环签名达到了更强大的匿名性，因无群管理员这一角色，使得任何人无法打开签名进而找到该签名者。一般的可链接的群签名和可链接的环签名，可以实现将同一用户的两个签名识别出，但是未能进一步追踪到具体的某个人。在匿名凭证方案中，用户可以匿名地展示自己拥有某种特质(比如性别、年龄等)而不泄露其他隐私信息；而可追踪的匿名凭证方案引入了可信方，可以实现像群签名一样的追踪，达到追责的目的。但是，这种追责在某种程度上依赖于可信方，不能实现公开可追踪。

另一方面，用户在注册拿到证书的过程中，一般做法是用户将公钥或身份提交给注册机构，并由该机构审核后分发对应的证书。但是，在此注册过程中，有可能存在隐私泄露的风险，比如注册信息被拦截等。因此，保护注册过程中的隐私是非常必要和关键的。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提出可追踪的基于属性的匿名认证方法、系统及存储介质，方法在现有匿名认证的基础上，实现了注册匿名和认证匿名的更强隐私保护，即完全匿名性，具有一定的访问控制功能，同时实现了允许任何人可公开追踪的功能，在提供强隐私保护的前提下平衡了匿名性和责任性。

为了达到上述目的，本发明采用以下技术方案：

可追踪的基于属性的匿名认证方法，包括以下步骤：

系统初始化，通过设置算法生成主公钥和主私钥；

用户匿名凭证生成，通过交互的匿名凭证生成算法生成用户的匿名凭证；

匿名认证消息，通过认证算法对消息进行认证，生成认证令牌；

验证认证，通过验证算法验证得到的认证令牌；

追踪二次认证用户，若某个用户认证了两次，任何人都可以通过追踪算法去追踪认证了两次的用户，得到该用户的身份id。

进一步的，所述系统初始化具体为：

令Cre＝(Cre.Setup,Cre.Gen,Cre.Verify)为具有属性的匿名凭证方案；

Cre.Setup为Cre方案的设置算法，具体为Cre.Setup(λ)→(pk,msk)，输入安全参数λ，输出公开参数pk和主私钥msk，用于初始化匿名凭证方案；

Cre.Gen为Cre方案的证书生成算法，用于生成用户的匿名凭证，具体为用户和证书颁发机构的共同输入是公开参数pk和承诺C_i＝Commit(L_i,r_i,pk)，用户的私有输入为属性{id,l₁,...,l_n}、随机数r_i以及证书编号cid，证书颁发机构的私有输入是主私钥msk，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个匿名凭证

其中，Commit(L_i,r_i,pk)是对用户属性集合L_i＝{id,l₁,...,l_n}生成的承诺，

是对应属性集合L_i的一个新的承诺，

是对

和cid的签名，i为正整数；

Cre.Verify为Cre方案的验证算法，具体为Cre.Verify(cid,σ_i,pk)→0/1，输入证书编号cid、匿名凭证σ_i和公开参数pk，输出0或1，用于验证匿名凭证的有效性。

进一步的，所述系统初始化还包括：

令ZK＝(ZK.Setup,ZK.Prover,ZK.Verifier)为zk-SNARK方案；

ZK.Setup为ZK方案的设置算法，具体为ZK.Setup(λ,￡)→crs，输入安全参数λ和语言￡，输出公共参考字串crs，用于初始化zk-SNARK方案；

ZK.Prover为ZK方案的证明算法，具体为ZK.Prover(x,w,crs)→η，输入声明x、证据w和公共参考字串crs，输出证明η，用于生成一个证明；

ZK.Verifier为ZK方案的验证算法，具体为ZK.Verifier(x,π,crs)→0/1，输入声明x、认证令牌π和公共参考字串crs，输出0或1，用于验证认证令牌的有效性。

进一步的，所述设置算法表示为Setup(λ,￡)，具体为：

调用Cre.Setup(λ)算法，生成公开参数pk和主私钥msk；

调用ZK.Setup(λ,￡)算法，生成公共参考字串crs；

选择两个Hash函数，H₁:{0,1}^*×{0,1}^*→HS，H₂:{0,1}^*×{0,1}^*→HS；

其中，HS为属性空间；

输出主公钥mpk＝(pk,crs,H₁,H₂)，主私钥msk。

进一步的，所述交互的匿名凭证生成算法表示为CredGen，具体为：

调用Cre.Gen算法，由用户和证书颁发机构进行匿名凭证生成的交互，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个证书编号为cid的匿名凭证

进一步的，所述认证算法表示为Auth(M,L_i,r_i,σ_i,mpk)，具体为：

令消息M＝p||Λ||m；

其中，p为事件标识符，Λ为访问策略，m为消息M的负载，||表示连接符；

计算t₁＝H₁(p||Λ,L_i)，t₂＝H₂(p||Λ,id)+m·id；

令x＝(M,t₁,t₂,mpk)为一个声明，w＝(L_i,r_i,C_i,σ_i)为一个证据，对NP语言￡＝{x＝(M,t₁,t₂,mpk):

w＝(L_i,r_i,C_i,σ_i)s.t.Λ(δ_i)＝1∧t₁＝H₁(p||Λ,L_i)∧t₂＝H₂(p||Λ,id)+m·id∧C_i＝Commit(L_i,r_i,pk)∧Cre.Verify(cid,σ_i,pk)＝1}；

其中，

调用ZK.Prover(x,w,crs)算法生成一个证明η；

输出认证令牌π＝(t₁,t₂,η)。

进一步的，所述验证算法表示为Verify(M,π,mpk)，具体为：

调用ZK.Verifier(x,π,crs)，验证认证令牌π的有效性，如果验证通过，输出1，否则输出0。

进一步的，所述追踪算法表示为Trace(M,M',π₁,π₂)，具体为：

假设π＝(t₁,t₂,η)和π'＝(t₁',t₂',η')为某个用户对消息M＝p||Λ||m和M'＝p||Λ||m'分别生成的两个认证令牌；

其中，m和m'是两个不同的消息负载，即m≠m'；

检查π和π'中的t₁和t₁'是否相等，若t₁＝t₁'，说明同一用户认证了两次，计算id＝t₂'-t₂/m'-m；否则，输出0。

本发明还提供可追踪的基于属性的匿名认证系统，应用本发明提供的可追踪的基于属性的匿名认证方法，包括系统初始化模块、匿名凭证生成模块、匿名消息认证模块、验证认证模块以及追踪模块；

所述系统初始化模块用于初始化系统，并生成公开参数；

所述匿名凭证生成模块用于生成用户的匿名凭证；

所述匿名消息认证模块用于对消息进行认证并生成认证令牌；

所述验证认证模块用于验证得到的认证令牌；

所述追踪模块用于对二次认证用户进行追踪，获取其用户身份id。

本发明还提供一种存储介质，存储有程序，所述程序被处理器执行时，实现本发明提供的可追踪的基于属性的匿名认证方法。

本发明与现有技术相比，具有如下优点和有益效果：

1、本发明考虑了在注册和认证环节的隐私泄露问题，采用了匿名凭证方案确保注册过程的隐私保护，利用了zk-SNARK方案保证认证过程的隐私保护，使得这两个环节均是隐私保护的，达到了完全匿名性的效果。

2、本发明考虑了在不借助权威机构的前提下，根据电子现金防止双花的技术，实现匿名认证过程的公开可追踪，保证了当用户认证两次时，任何人都可以识别出该用户的身份。

3、本发明针对访问权限需求，采用类似匿名凭证的访问控制机制，通过设定访问控制策略，达到了只允许满足访问策略的用户才能访问的效果。与当前的匿名认证方案相比较，本发明保证了注册匿名和认证匿名(即完全匿名)的更强隐私保护，具有一定的访问控制功能，同时实现了允许任何人可公开追踪的功能，具有较高的创新度和实际应用价值。

附图说明

图1是本发明方法的流程图；

图2是本发明系统的结构示意图；

图3是本发明存储介质的结构示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

群签名、环签名、可追踪的基于属性签名、可追踪的匿名凭证等方案，在实现了基本的匿名的需求上，可以达到一定程度上的追责，即可追踪性。但大多数这类方案只是保证了签名不泄露用户的身份信息，也忽略了在注册环节保护用户的身份隐私，即注册隐私。本发明考虑了在注册和认证环节的隐私泄露问题，采用了匿名凭证方案保证注册隐私，利用zk-SNARK保证认证隐私，保证这两个环节均是隐私保护的，实现了完全匿名性。

与当前的匿名认证方案相比较，本发明保证了注册匿名和认证匿名(即完全匿名)的更强隐私保护，具有一定的访问控制功能，同时实现了允许任何人可公开追踪的功能，具有较高的创新度和实际应用价值。

实施例

如图1所示，本发明，可追踪的基于属性的匿名认证方法，方法包括以下步骤：

S1、系统初始化，通过设置算法生成主公钥和主私钥，在本实施例中，具体为：

S11、系统初始化，具体为：

令Cre＝(Cre.Setup,Cre.Gen,Cre.Verify)为具有属性的匿名凭证方案；

Cre.Setup为Cre方案的设置算法，具体为Cre.Setup(λ)→(pk,msk)，输入安全参数λ，输出公开参数pk和主私钥msk，用于初始化匿名凭证方案；

Cre.Gen为Cre方案的证书生成算法，用于生成用户的匿名凭证，具体为用户和证书颁发机构的共同输入是公开参数pk和承诺C_i＝Commit(L_i,r_i,pk)，用户的私有输入为属性{id,l₁,...,l_n}、随机数r_i以及证书编号cid，证书颁发机构的私有输入是主私钥msk，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个匿名凭证

其中，Commit(L_i,r_i,pk)是对用户属性集合L_i＝{id,l₁,...,l_n}生成的承诺，

是对应属性集合L_i的一个新的承诺，

是对

和cid的签名，i为正整数；

Cre.Verify为Cre方案的验证算法，具体为Cre.Verify(cid,σ_i,pk)→0/1，输入证书编号cid、匿名凭证σ_i和公开参数pk，输出0或1，用于验证匿名凭证的有效性。

令ZK＝(ZK.Setup,ZK.Prover,ZK.Verifier)为zk-SNARK方案；

ZK.Setup为ZK方案的设置算法，具体为ZK.Setup(λ,￡)→crs，输入安全参数λ和语言￡，输出公共参考字串crs，用于初始化zk-SNARK方案；

ZK.Prover为ZK方案的证明算法，具体为ZK.Prover(x,w,crs)→η，输入声明x、证据w和公共参考字串crs，输出证明η，用于生成一个证明；

ZK.Verifier为ZK方案的验证算法，具体为ZK.Verifier(x,π,crs)→0/1，输入声明x、认证令牌π和公共参考字串crs，输出0或1，用于验证认证令牌的有效性。

S12、通过设置算法生成主公钥和主私钥，所述设置算法表示为Setup(λ,￡)，具体为：

调用Cre.Setup(λ)算法，生成公开参数pk和主私钥msk；

调用ZK.Setup(λ,￡)算法，生成公共参考字串crs；

选择两个Hash函数，H₁:{0,1}^*×{0,1}^*→HS，H₂:{0,1}^*×{0,1}^*→HS；

其中，HS为属性空间；

输出主公钥mpk＝(pk,crs,H₁,H₂)，主私钥msk。

S2、用户匿名凭证生成，在本实施例中，具体为：

通过交互的匿名凭证生成算法生成用户的匿名凭证，所述交互的匿名凭证生成算法表示为CredGen，具体为：

调用Cre.Gen算法，由用户和证书颁发机构进行匿名凭证生成的交互，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个证书编号为cid的匿名凭证

S3、匿名认证消息，在本实施例中，具体为：

通过认证算法对消息进行认证，生成认证令牌；所述认证算法表示为Auth(M,L_i,r_i,σ_i,mpk)，具体如下：

令消息M＝p||Λ||m；

其中，p为事件标识符，Λ为访问策略，m为消息M的负载，||表示连接符；

计算t₁＝H₁(p||Λ,L_i)，t₂＝H₂(p||Λ,id)+m·id；

令x＝(M,t₁,t₂,mpk)为一个声明，w＝(L_i,r_i,C_i,σ_i)为一个证据，对NP语言￡＝{x＝(M,t₁,t₂,mpk):

w＝(L_i,r_i,C_i,σ_i)s.t.Λ(δ_i)＝1∧t₁＝H₁(p||Λ,L_i)∧t₂＝H₂(p||Λ,id)+m·id∧C_i＝Commit(L_i,r_i,pk)∧Cre.Verify(cid,σ_i,pk)＝1}；

其中，

调用ZK.Prover(x,w,crs)算法生成一个证明η；

输出认证令牌π＝(t₁,t₂,η)。

S4、验证认证，在本实施例中，具体为：

通过验证算法验证得到的认证令牌，所述验证算法表示为Verify(M,π,mpk)，具体如下：

调用ZK.Verifier(x,π,crs)，验证认证令牌π的有效性，如果验证通过，输出1，否则输出0。

S5、追踪二次认证用户，在本实施例中，具体为：

通过追踪算法追踪认证两次的用户，所述追踪算法表示为Trace(M,M',π₁,π₂)，具体如下：

假设π＝(t₁,t₂,η)和π'＝(t₁',t₂',η')为某个用户对消息M＝p||Λ||m和M'＝p||Λ||m'分别生成的两个认证令牌；

其中，m和m'是两个不同的消息负载，即m≠m'；

检查π和π'中的t₁和t₁'是否相等，若t₁＝t₁'，说明同一用户认证了两次，计算id＝t₂'-t₂/m'-m；否则，输出0。

如图2所示，在另一个实施例中，提供了可追踪的基于属性的匿名认证系统，系统应用所述可追踪的基于属性的匿名认证方法，包括系统初始化模块、匿名凭证生成模块、匿名消息认证模块、验证认证模块以及追踪模块；

所述系统初始化模块用于初始化系统，并生成公开参数；

所述匿名凭证生成模块用于生成用户的匿名凭证；

所述匿名消息认证模块用于对消息进行认证并生成认证令牌；

所述验证认证模块用于验证得到的认证令牌；

所述追踪模块用于对二次认证用户进行追踪，获取其用户身份id。

在此需要说明的是，上述实施例提供的系统仅以上述各功能模块的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

如图3所示，在另一个实施例中，还提供了一种存储介质，存储有程序，当程序被处理器执行时，实现所述可追踪的基于属性的匿名认证方法，具体为：

系统初始化，通过设置算法生成主公钥和主私钥；

用户匿名凭证生成，通过交互的匿名凭证生成算法生成用户的匿名凭证；

匿名认证消息，通过认证算法对消息进行认证，生成认证令牌；

验证认证，通过验证算法验证得到的认证令牌；

追踪二次认证用户，若某个用户认证了两次，任意一方通过追踪算法追踪认证两次的用户，得到认证两次的用户身份id。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。

还需要说明的是，在本说明书中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.可追踪的基于属性的匿名认证方法，其特征在于，包括以下步骤：

系统初始化，通过设置算法生成主公钥和主私钥；

用户匿名凭证生成，通过交互的匿名凭证生成算法生成用户的匿名凭证；

匿名认证消息，通过认证算法对消息进行认证，生成认证令牌；

验证认证，通过验证算法验证得到的认证令牌；

追踪二次认证用户，若某个用户认证了两次，任何人都可以通过追踪算法去追踪认证了两次的用户，得到该用户的身份id。

2.根据权利要求1所述可追踪的基于属性的匿名认证方法，其特征在于，所述系统初始化具体为：

令Cre＝(Cre.Setup,Cre.Gen,Cre.Verify)为具有属性的匿名凭证方案；

Cre.Setup为Cre方案的设置算法，具体为Cre.Setup(λ)→(pk,msk)，输入安全参数λ，输出公开参数pk和主私钥msk，用于初始化匿名凭证方案；

Cre.Gen为Cre方案的证书生成算法，用于生成用户的匿名凭证，具体为用户和证书颁发机构的共同输入是公开参数pk和承诺C_i＝Commit(L_i,r_i,pk)，用户的私有输入为属性{id,l₁,...,l_n}、随机数r_i以及证书编号cid，证书颁发机构的私有输入是主私钥msk，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个匿名凭证

其中，Commit(L_i,r_i,pk)是对用户属性集合L_i＝{id,l₁,...,l_n}生成的承诺，

是对应属性集合L_i的一个新的承诺，

是对

和cid的签名，i为正整数；

Cre.Verify为Cre方案的验证算法，具体为Cre.Verify(cid,σ_i,pk)→0/1，输入证书编号cid、匿名凭证σ_i和公开参数pk，输出0或1，用于验证匿名凭证的有效性。

3.根据权利要求1所述可追踪的基于属性的匿名认证方法，其特征在于，所述系统初始化还包括：

令ZK＝(ZK.Setup,ZK.Prover,ZK.Verifier)为zk-SNARK方案；

ZK.Setup为ZK方案的设置算法，具体为ZK.Setup(λ,￡)→crs，输入安全参数λ和语言￡，输出公共参考字串crs，用于初始化zk-SNARK方案；

ZK.Prover为ZK方案的证明算法，具体为ZK.Prover(x,w,crs)→η，输入声明x、证据w和公共参考字串crs，输出证明η，用于生成一个证明；

ZK.Verifier为ZK方案的验证算法，具体为ZK.Verifier(x,π,crs)→0/1，输入声明x、认证令牌π和公共参考字串crs，输出0或1，用于验证认证令牌的有效性。

4.根据权利要求2或3所述可追踪的基于属性的匿名认证方法，其特征在于，所述设置算法表示为Setup(λ,￡)，具体为：

调用Cre.Setup(λ)算法，生成公开参数pk和主私钥msk；

调用ZK.Setup(λ,￡)算法，生成公共参考字串crs；

选择两个Hash函数，H₁:{0,1}^*×{0,1}^*→HS，H₂:{0,1}^*×{0,1}^*→HS；

其中，HS为属性空间；

输出主公钥mpk＝(pk,crs,H₁,H₂)，主私钥msk。

5.根据权利要求4所述可追踪的基于属性的匿名认证方法，其特征在于，所述交互的匿名凭证生成算法表示为CredGen，具体为：

调用Cre.Gen算法，由用户和证书颁发机构进行匿名凭证生成的交互，最终，证书颁发机构输出“完成”或“未完成”，用户输出一个证书编号为cid的匿名凭证

6.根据权利要求5所述可追踪的基于属性的匿名认证方法，其特征在于，所述认证算法表示为Auth(M,L_i,r_i,σ_i,mpk)，具体为：

令消息M＝p||Λ||m；

其中，p为事件标识符，Λ为访问策略，m为消息M的负载，||表示连接符；

计算t₁＝H₁(p||Λ,L_i)，t₂＝H₂(p||Λ,id)+m·id；

令x＝(M,t₁,t₂,mpk)为一个声明，w＝(L_i,r_i,C_i,σ_i)为一个证据，对NP语言￡＝{x＝(M,t₁,t₂,mpk):

s.t.Λ(δ_i)＝1∧t₁＝H₁(p||Λ,L_i)∧t₂＝H₂(p||Λ,id)+m·id∧C_i＝Commit(L_i,r_i,pk)∧Cre.Verify(cid,σ_i,pk)＝1}；

其中，

调用ZK.Prover(x,w,crs)算法生成一个证明η；

输出认证令牌π＝(t₁,t₂,η)。

7.根据权利要求6所述可追踪的基于属性的匿名认证方法，其特征在于，所述验证算法表示为Verify(M,π,mpk)，具体为：

调用ZK.Verifier(x,π,crs)，验证认证令牌π的有效性，如果验证通过，输出1，否则输出0。

8.根据权利要求7所述可追踪的基于属性的匿名认证方法，其特征在于，所述追踪算法表示为Trace(M,M',π₁,π₂)，具体为：

假设π＝(t₁,t₂,η)和π'＝(t₁',t₂',η')为某个用户对消息M＝p||Λ||m和M'＝p||Λ||m'分别生成的两个认证令牌；

其中，m和m'是两个不同的消息负载，即m≠m'；

检查π和π'中的t₁和t₁'是否相等，若t₁＝t₁'，说明同一用户认证了两次，计算id＝t₂'-t₂/m'-m；否则，输出0。

9.可追踪的基于属性的匿名认证系统，其特征在于，应用权利要求1-8任一项所述可追踪的基于属性的匿名认证方法，包括系统初始化模块、匿名凭证生成模块、匿名消息认证模块、验证认证模块以及追踪模块；

所述系统初始化模块用于初始化系统，并生成公开参数；

所述匿名凭证生成模块用于生成用户的匿名凭证；

所述匿名消息认证模块用于对消息进行认证并生成认证令牌；

所述验证认证模块用于验证得到的认证令牌；

所述追踪模块用于对二次认证用户进行追踪，获取其用户身份id。

10.一种存储介质，存储有程序，其特征在于，所述程序被处理器执行时，实现权利要求1-8任一项所述可追踪的基于属性的匿名认证方法。

Images