CN114615278A - 基于区块链的完全匿名认证方法 - Google Patents

Abstract

一种基于区块链的完全匿名认证方法，由系统初始化、密钥生成、证书发布、自盲化、证明、验证、撤销步骤组成。方法中，区块链作为一个公告板使用。在自盲化步骤中，用户不依赖任何第三方即可完成证书的盲化操作，并在证明步骤中快速证明证书的有效性和合法性，提高了本发明的计算效率和计算成本。在验证步骤中，验证者可以快速验证用户证书的合法性而不暴露证书中的身份信息，从而实现证书的匿名性。在撤销步骤，证书管理者可以随时撤销用户证书，被撤销的用户将失去证明证书合法性的能力，未被撤销的用户则可以自主更新证书的证据。本发明具有运算效率高、运算成本低、管理简化等优点，可用于匿名身份认证技术领域。

Description

基于区块链的完全匿名认证方法

技术领域

本发明属于密码学技术领域。具体涉及到基于区块链的支持证书撤销的匿名认证构造方法。

背景技术

身份验证是解决系统安全管理的重要手段，有效地保证用户身份的真实性、合法性、唯一性，防止非法人员进入系统。现有的认证方案由于自身的缺陷或网络环境的问题，在实际应用中存在很多问题，主要表现在以下几个方面：一是过于依赖第三方证书管理中心，赋予证书管理中心过多的权力，这种集中式认证模式容易出现单点故障和信任危机。其次，在认证过程中，用户需要出示证件来证明自己的合法性，这往往会泄露用户的个人身份信息。第三，大多数现有的方案不支持不可链接性，这意味着恶意敌手很容易了解用户信息，或链接两个身份验证算法的执行结果。最后，当用户行为不当或证书泄漏时，需要及时撤销证书，然而，撤销问题仍然比较复杂。目前，在分布式网络环境中，一种去中心化、高效、完全匿名的认证方案受到了广大研究者的重视。

2016年，Ouaddah等人提出了一种基于比特币思想的分布式的匿名认证机制，实现端到端认证。该机制使用访问令牌代替比特币实现各种新的交易类型，包括资源注册、访问令牌授予、委托和访问令牌的撤销。研究表明利用比特币地址进行匿名交易的方法可以实现对用户身份的隐私保护。然而，如果目标是实现完全隐私，仅使用假名是不够的，用户在连接到比特币系统时总是创建假名，但由于区块链的开放性，任何人都可以找到涉及到给定地址的所有交易，对区块链进行静态分析或主动监控网络信息解密用户，挖掘比特币地址与用户真实身份之间的关联，即实现去匿名化。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，提供一种运算效率高、运算成本低、管理简化的基于区块链的完全匿名认证方法。

解决上述技术问题所采用的技术方法是由以下步骤组成：

(1)系统初始化

1)证书管理中心为系统设置安全参数k，生成全局公开参数P：

P＝{N,G₁,G₂,G_T,g₁,g₂,e}

其中G₁,G₂,G_T是阶为N的循环群，N为有限的正整数，g₁和g₂分别是群G₁和G₂的生成元，e是一个双线性映射，满足e:G₁×G₂→G_T。

2)证书管理中心设定用户身份集合U：

U＝{u₁,u₂,...,u_n}

其中u₁,u₂,...,u_n表示n个用户的身份，n为有限的正整数。

3)证书管理中心选择一个哈希函数H：

H:{0,1}^*→Z_q

H将任意长度的0，1字符串映射到集合Z_q上，Z_q表示q的最小非负完全剩余系集合，即{0,1,2，…,q-1}，q为有限的正整数。

4)证书管理中心公布全局公开参数P至区块链：

P＝{N,G₁,G₂,G_T,g₁,g₂,e,U}；

(2)密钥生成

1)证书管理中心在集合Z_q中随机选择三个元素x,y,z，在G₁中随机选择

自身的密钥sk，自身公钥pk，用户身份集合的一个累加结果Δ和公开值Y按下式确定：

sk＝{x,y,z}

2)证书管理中心建立一个空的证书撤销列表CRL，将pk,Y,g,Δ,CRL发布至区块链，自己秘密保存密钥sk。

(3)证书发布

1)证书管理中心为合法用户发布证书σ，在集合z_q中随机选择元素h，按下式确定管理中心发布的证书σ：

σ＝(σ₁，σ₂)

2)同时，证书管理中心确定用户u_i的证书证据w_i如下：

证书管理中心将证书σ和w_i发送给用户u_i。

(4)自盲化

1)用户u_i收到证书管理中心发布的证书σ，验证E₁与E₂是否相等，确定证书σ的有效性：

E₂＝e(σ₂，g₂)

E₁与E₂相等，证书σ有效，E₁与E₂不相等，证书σ无效。

2)用户u_i在集合z_q中随机选择元素e_i，r_i，按下式确定元素e_i，r_i的承诺值c：

承诺值c表示用户u_i自己产生的证书，用户u_i将承诺值c嵌入在一个区块链交易事务的输出，同时通过区块链交易消费掉证书管理中心发布的证书σ，用户u_i秘密保存元素e_i，r_i。

(5)证明

1)用户u_i选择一个任意的证书集合C，如果

则证明终止，如果c∈C，用户u_i产生第一个零知识证明π₁：

零知识证明π₁在不出示e_i，s_i，r_i，y′，w′信息的同时向验证者证明自己拥有这些元素，且满足上式关系，其中：

y′，s_i为用户u_i在集合Z_q中随机选择的元素，c_i∈C，m为有限的正整数，Δ′表示用户u_i对证书集合C的一个累加结果，w′表示用户u_i自己产生的证书c_i的证据，C_w′表示对证据w′的转换。

用户u_i将下式的

发送给验证者：

s_α＝r_α-η×(e_i+y)

s_β＝r_β-η×s_i

η＝H(C_w′，t₁，t₂)

其中

为用户u_i在集合z_q中随机选择的元素。

2)用户u_i产生第二个零知识证明π₂：

在不出示φ，u_i，w_i信息的同时，向验证者证明自己拥有这些元素，且满足上式关系，其中：

S_i＝Y^φ

φ为用户u_i在集合Z_q中随机选择的元素，Y′表示对y′的承诺，Y表示对y的承诺。

用户u_i将下式的a，d，k，T₁，T₂，s_x，s_k，s_u发送给验证者：

k＝r_x×u_i

η＝H(T₁，T₂，S_i)

s_x＝ρ_x+η′×r_x

s_k＝ρ_k+η′×k

s_u＝ρ_u+η′×u_i

其中r_x，ρ_x，ρ_i，ρ_k为用户u_i在集合z_q中随机选择的元素。

3)用户u_i输出π₁，π₂，Δ′，C。

(6)验证

验证者利用公开参数验证π₁，π₂的有效性。

1)验证π₁有效性

按下式确定验证参数t′₁和验证参数t′₂：

验证t₁与t′₁是否相等，t₂与t′₂是否相等，若同时相等，π₁有效，若不相等，π₁无效。

2)验证π₂有效性

验证

与T₁×a^η′是否相等，

与

是否相等，若同时相等，π₂有效，若不相等，π₂无效。

3)如果π₁，π₂验证有效，则输出成功，如果π₁，π₂验证无效，则输出失败。

(7)撤销

撤销一个用户u_j时，证书管理中心更新列表CRL和Δ，方法如下：

CRL＝CRL∪{u_j}

完成用户u_i撤销操作。

在本发明的(1)步骤的2)步骤中，证书管理中心设定用户身份集合U：

U＝{u₁，u₂，...，u_n}

其中u₁,u₂,...,u_n表示n个用户的身份，n取值为20～100。

本发明将区块链作为公告板，记录公开参数、公开密钥和相关交易信息，通过证书交易实现身份认证，用户通过证书管理中心获得原始证书，为了实现匿名认证，用户运行自盲化方法，首先选取两个随机数e,r，生成两个随机数的承诺值c，表示一个新的证书。用户将承诺值c发布到区块链上，同时销毁原始的认证证书，在不依赖第三方的情况下完成证书的盲化操作。在证明步骤中，用户一方面在不泄露任何信息的情况下证明自己确实掌握了合法的证书，另一方面证明自己的原始证书没有被证书管理中心撤销，该步骤可以快速证明证书的有效性和合法性，提高了本发明的运算效率和运算成本。在验证步骤中，验证者可以快速用户证书的合法性而不暴露证书中的身份信息，实现证书的匿名性。在撤销步骤，证书管理者可以随时撤销用户证书，被撤销的用户将失去证明证书合法性的能力，未被撤销的用户则可以自主更新证书的证据。本发明方法可用于匿名身份认证技术领域。

附图说明

图1是本发明实施例1的流程图。

图2是实施例1密钥生成步骤和证书发布步骤与运行时间的实验结果图。

图3是实施例1证明步骤和验证步骤与运行时间的实验结果图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于下述的实施方式。

实施例1

在图1中，本实施例的基于区块链的完全匿名认证方法由以下步骤组成：

(1)系统初始化

1)证书管理中心为系统设置安全参数k，生成全局公开参数P：

P＝{N,G₁,G₂,G_T,g₁,g₂,e}

其中G₁,G₂,G_T是阶为N的循环群，N为有限的正整数，g₁和g₂分别是群G₁和G₂的生成元，e是一个双线性映射，满足e:G₁×G₂→G_T。

2)证书管理中心设定用户身份集合U：

U＝{u₁，u₂，...，u_n}

其中u₁，u₂，...，u_n表示n个用户的身份，n为有限的正整数，本实施例的n取值为50。

3)证书管理中心选择一个哈希函数H：

H：{0，1}^*→Z_q

H将任意长度的0，1字符串映射到集合z_q上，Z_q表示q的最小非负完全剩余系集合，即{0，1，2，...，q-1}，q为有限的正整数。

4)证书管理中心公布全局公开参数P至区块链：

P＝{N，G₁，G₂，G_T，g₁，g₂，e，U}。

(2)密钥生成

1)证书管理中心在集合Z_q中随机选择三个元素x，y，z，在G₁中随机选择

自身的密钥sk，自身公钥pk，用户身份集合的一个累加结果Δ和公开值Y按下式确定：

sk＝{x，y，z}

2)证书管理中心建立一个空的证书撤销列表CRL，将pk，Y，g，Δ，CRL发布至区块链，自己秘密保存密钥sk。

(3)证书发布

1)证书管理中心为合法用户发布证书σ，在集合z_q中随机选择元素h，按下式确定管理中心发布的证书σ：

σ＝(σ₁，σ₂)

2)同时，证书管理中心确定用户u_i的证书证据w_i如下：

证书管理中心将证书σ和w_i发送给用户u_i。

(4)自盲化

1)用户u_i收到证书管理中心发布的证书σ，验证E₁与E₂是否相等，确定证书σ的有效性：

E₂＝e(σ₂，g₂)

若E₁与E₂相等，证书σ有效，若E₁与E₂不相等，证书σ无效。

2)用户u_i在集合z_q中随机选择元素e_i，r_i，按下式确定元素e_i，r_i的承诺值c：

承诺值c表示用户u_i自己产生的证书，用户u_i将承诺值c嵌入在一个区块链交易事务的输出，同时通过区块链交易消费掉证书管理中心发布的证书σ，用户u_i秘密保存元素e_i，r_i。该方法在不依赖第三方的情况下完成证书的肓化操作。

(5)证明

1)用户u_i选择一个任意的证书集合C，如果

则证明终止，如果c∈C，用户u_i产生第一个零知识证明π₁：

零知识证明π₁在不出示e_i，s_i，r_i，y′，w′信息的同时向验证者证明自己拥有这些元素，且满足上式关系，其中：

其中y′，s_i为用户u_i在集合z_q中随机选择的元素，c_i∈C，m为有限的正整数，Δ′表示用户u_i对证书集合C的一个累加结果，w′表示用户u_i自己产生的证书c_i的证据，C_w′表示对证据w′的转换。

用户u_i将下式的

发送给验证者：

s_α＝r_α-η×(e_i+y′)

s_β＝r_β-η×s_i

η＝H(C_w′，t₁，t₂)

其中

为用户u_i在集合z_q中随机选择的元素。

2)用户u_i产生第二个零知识证明π₂

在不出示φ，u_i，w_i信息的同时，向验证者证明自己拥有这些元素，且满足上式关系，其中：

S_i＝Y^φ

其中φ为用户u_i在集合z_q中随机选择的元素，Y′表示对y′的承诺，Y表示对y的承诺。

用户u_i将下式的a，d，k，T₁，T₂，s_x，s_k，s_u发送给验证者：

k＝r_x×u_i

η′＝H(T₁，T₂，S_i)

s_x＝ρ_x+η′×r_x

s_k＝ρ_x+η′×k

s_u＝ρ_u+η′×u_i

其中r_x，ρ_x，ρ_u，ρ_k为用户u_i在集合z_q中随机选择元素。

3)用户u_i输出π₁，π₂，Δ′，C。

在证明步骤中，用户一方面在不泄露任何信息的情况下证明自己确实掌握了合法的证书，另一一方面证明自己的原始证书没有被证书管理中心撤销，可以快速证明证书的有效性和合法性。

(6)验证

验证者利用公开参数验证π₁，π₂的有效性。

1)验证π₁有效性

按下式确定验证参数t′₁和验证参数t′₂：

验证t₁与t′₁是否相等，t₂与t′₂是否相等，若同时相等，π₁有效，若不相等，π₁无效。

2)验证π₂有效性

验证

与T₁×a^η′是否相等，

与

是否相等，若同时相等，π₂有效，若不相等，π₂无效。

3)如果π₁，π₂验证有效，则输出成功，如果π₁，π₂验证无效，则输出失败。

在验证步骤中，验证者可以快速用户证书的合法性而不暴露证书中的身份信息，实现了证书的匿名性。

(7)撤销

撤销一个用户u_j时，证书管理中心更新列表CRL和Δ，方法如下：

CRL＝CRL∪{u_j}

完成用户u_i撤销操作。

完成基于区块链的完全匿名认证方法。

在撤销步骤，证书管理者可以随时撤销用户证书，被撤销的用户将失去证明证书合法性的能力，未被撤销的用户可自主更新证书的证据。

实施例2

本实施例的基于区块链的完全匿名认证方法由以下步骤组成：

(1)系统初始化

1)证书管理中心为系统设置安全参数k，生成全局公开参数P：

P＝{N，G₁，G₂，G_T，g₁，g₂，e}

其中G₁，G₂，G_T是阶为N的循环群，N为有限的正整数，g₁和g₂分别是群G₁和G₂的生成元，e是一个双线性映射，满足e：G₁×G₂→G_T。

2)证书管理中心设定用户身份集合U：

U＝{u₁，u₂，...，u_n}

其中u₁，u₂，...，u_n表示n个用户的身份，n为有限的正整数，本实施例的n取值为20。

该步骤的其它步骤与实施例1相同。

其它步骤与实施例1相同。完成基于区块链的完全匿名认证方法。

实施例3

本实施例的基于区块链的完全匿名认证方法由以下步骤组成：

(1)系统初始化

1)证书管理中心为系统设置安全参数k，生成全局公开参数P：

P＝{N，G₁，G₂，G_T，g₁，g₂，e}

其中G₁，G₂，G_T是阶为N的循环群，N为有限的正整数，g₁和g₂分别是群G₁和G₂的生成元，e是一个双线性映射，满足e：G₁×G₂→G_T。

2)证书管理中心设定用户身份集合U：

U＝{u₁，u₂，...，u_n}

其中u₁，u₂，...，u_n表示n个用户的身份，n为有限的正整数，本实施例的n取值为100。

该步骤的其它步骤与实施例1相同。

其它步骤与实施例1相同。完成基于区块链的完全匿名认证方法。

为了验证本发明的有益效果，发明人采用本发明实施例1的基于区块链的完全匿名认证方法进行了仿真实验，实验结果见图2、图3。在图2、3中，横坐标表示各步骤名称，纵坐标表示运行时间，柱状图表示各步骤的用时。由图2、3可见，系统初始化步骤运行时间为0.0001秒，密钥生成步骤运行时间为0.0086秒，证书撤销运行时间为0.0294秒，证书发布步骤运行时间为0.0426，秒，证明步骤运行时间为16.8735秒，验证步骤运行时间为18.5935秒。试验结果表明本发明各步骤运行时间短。

Claims (2)

1.一种基于区块链的完全匿名认证方法，其特征在于由下述步骤组成：

(1)系统初始化

1)证书管理中心为系统设置安全参数k，生成全局公开参数P：

P＝{N，G₁,G₂,G_T,g₁,g₂,e}

其中_G1，G₂，G_T是阶为N的循环群，N为有限的正整数，g₁和g₂分别是群G₁和G₂的生成元，e是一个双线性映射，满足e:G₁×G₂→G_T；

2)证书管理中心设定用户身份集合U：

U＝{u₁,u₂,...,u_n}

其中u₁,u₂,...,u_n表示n个用户的身份，n为有限的正整数；

3)证书管理中心选择一个哈希函数H：

H:{0，1}^*→Z_q

H将任意长度的0，1字符串映射到集合Z_q上，Z_q表示q的最小非负完全剩余系集合，即

{0，1，2，…,q-1}，q为有限的正整数；

4)证书管理中心公布全局公开参数P至区块链：

P＝{N,G₁,G₂,G_T,g₁,g₂,e,U}；

(2)密钥生成

1)证书管理中心在集合Z_q中随机选择三个元素x,y,z，在G₁中随机选择

自身的密钥sk，自身公钥pk，用户身份集合的一个累加结果Δ和公开值Y按下式确定：

sk＝{x,y,z}

2)证书管理中心建立一个空的证书撤销列表CRL，将pk,Y,g,Δ,CRL发布至区块链，自己秘密保存密钥sk；

(3)证书发布

1)证书管理中心为合法用户发布证书σ，在集合Z_q中随机选择元素h，按下式确定管理中心发布的证书σ：

σ＝(σ₁,σ₂)

2)同时，证书管理中心确定用户u_i的证书证据w_i如下：

证书管理中心将证书σ和w_i发送给用户u_i；

(4)自盲化

1)用户u_i收到证书管理中心发布的证书σ，验证E₁与E₂是否相等，确定证书σ的有效性：

E₂＝e(σ₂,g₂)

E₁与E₂相等，证书σ有效，E₁与E₂不相等，证书σ无效；

2)用户u_i在集合Z_q中随机选择元素e_i,r_i，按下式确定元素e_i,r_i的承诺值c：

承诺值c表示用户u_i自己产生的证书，用户u_i将承诺值c嵌入在一个区块链交易事务的输出，同时通过区块链交易消费掉证书管理中心发布的证书σ，用户u_i秘密保存元素e_i,r_i；

(5)证明

1)用户u_i选择一个任意的证书集合C，如果

则证明终止，如果c∈C，用户u_i产生第一个零知识证明π₁：

零知识证明π₁在不出示e_i,s_i,r_i,y',w'信息的同时向验证者证明自己拥有这些元素，且满足上式关系，其中：

y',s_i为用户u_i在集合Z_q中随机选择的元素，c_i∈C，m为有限的正整数，Δ'表示用户u_i对证书集合C的一个累加结果，w'表示用户u_i自己产生的证书c_i的证据，C_w'表示对证据w'的转换；

用户u_i将下式的t₁,t₂,s_α,s_β,

发送给验证者：

s_α＝r_α-η×(e_i+y')

s_β＝r_β-η×s_i

η＝H(C_w',t₁,t₂)

其中r_α,r_β,

为用户u_i在集合Z_q中随机选择的元素；

2)用户u_i产生第二个零知识证明π₂：

在不出示φ,u_i,w_i信息的同时，向验证者证明自己拥有这些元素，且满足上式关系，其中：

S_i＝Y^φ

φ为用户u_i在集合Z_q中随机选择的元素，Y'表示对y'的承诺，Y表示对y的承诺；

用户u_i将下式的a,d,k，T₁,T₂,s_x,s_k,s_u发送给验证者：

k＝r_x×u_i

η'＝H(T₁,T₂,S_i)

s_x＝ρ_x+η'×r_x

s_k＝ρ_k+η'×k

s_u＝ρ_u+η'×u_i

其中r_x,ρ_x,ρ_u,ρ_k为用户u_i在集合Z_q中随机选择的元素；

3)用户u_i输出π₁,π₂,Δ',C；

(6)验证

验证者利用公开参数验证π₁,π₂的有效性；

1)验证π₁有效性

按下式确定验证参数t₁'和验证参数t'₂：

验证t₁与t₁'是否相等，t₂与t'₂是否相等，若同时相等，π₁有效，若不相等，π₁无效；

2)验证π₂有效性

验证

与T₁×a^η'是否相等，

与

是否相等，若同时相等，π₂有效，若不相等，π₂无效；

3)如果π₁,π₂验证有效，则输出成功，如果π₁,π₂验证无效，则输出失败；

(7)撤销

撤销一个用户u_j时，证书管理中心更新列表CRL和Δ，方法如下：

CRL＝CRL∪{u_j}

完成用户u_i撤销操作。

2.根据权利要求1所述的基于区块链的完全匿名认证方法，其特征在于：在(1)步骤的2)步骤中，证书管理中心设定用户身份集合U：

U＝{u₁,u₂,...,u_n}

其中u₁,u₂,...,u_n表示n个用户的身份，n取值为20～100。

Images