CN115941232A - 基于密钥验证凭证的高效匿名单点登录系统及方法 - Google Patents

Abstract

本发明涉及一种基于密钥验证凭证的高效匿名单点登录系统及方法，包括终端用户、身份服务器、服务提供商和可信仲裁机构；基于高效的密钥验证凭证与匿名令牌技术，其构造避免了在先前的ASSO系统中所需要的昂贵双线性配对操作，可以在素数阶群中高效实例化，适合大规模部署。本发明实现了指定验证者功能，可以保证票据认证的可否认性，并实现了高效的问责机制，双重花费或其他恶意行为可以被快速检测并问责。

Description

基于密钥验证凭证的高效匿名单点登录系统及方法

技术领域

本发明涉互联网安全领域，具体涉及一种基于密钥验证凭证的高效匿名单点登录系统及方法。

背景技术

单点登录(single sign-on，SSO)的普及极大地简化了第三方资源提供者之间的身份验证与授权过程。在一个典型的SSO架构中，身份服务器(identity server，IS)负责验证请求第三方服务的用户的凭证，并为经过身份验证的用户颁发短期票据。然后，用户将获得的票据提交给指定的服务提供商(service providers，SPs)以实现身份认证。通过采用这种架构，用户无需为每个所需的服务注册一个帐户，也无需担心存储在第三方提供商中的个人信息的安全性。许多广泛使用的开源标准(如JWT、OAuth)、协议(如Kerberos、SAML)和框架(如OpenID)实现了单点登录机制；同时，这一架构也已被部署在众多网站和移动应用中。据调查，亚马逊Alexa排名前100万的网站中，有6.30％提供SSO服务，其中就包含了谷歌、雅虎、Twitter、Facebook、微软等知名龙头企业。

安全与隐私问题是单点登录系统面临的最重要的挑战之一。由于身份服务器(IS)持有注册用户的隐私并记录了其服务请求，IS经常会成为服务器入侵和数据窃取的目标。2018年，Facebook的单点登录系统曾披露遭遇大规模数据泄露事件，使得至少5000万用户被暴露于严重的隐私风险之中。出于安全与隐私考虑，许多SSO系统在票据申请阶段阻止IS了解用户所请求的服务提供商身份。然而在这些方案中，IS和SP都能够获知登录用户的真实身份，这意味着如果IS或SP不够安全，用户身份信息仍有可能被泄露。匿名单点登录(snonymous single sign-on，ASSO)是一种隐私性更强的单点登录范式，可以提供更强的隐私与安全保护。ASSO系统允许用户匿名地向IS认证并获得票据，同时确保每个票据请求的不可链接性。另一方面，该匿名是可问责的，匿名用户的真实身份可以在必要时由可信仲裁机构(trusted arbitrator，TA)披露。

执行效率是一项对单点登录系统至关重要的指标。有调查显示，Facebook的日活跃用户约为19亿，而Twitter的日活跃用户超过2.06亿，这对单点登录系统的吞吐量提出了极大的要求。不幸的是，现有的ASSO方案在需要处理大规模服务请求的场景中并不实用，因为其发布或验证的票据操作是基于笨重的双线性配对计算实现的，每生成或验证一枚票据，都需要数百毫秒的时间开销。

发明内容

有鉴于此，本发明的目的在于提供一种基于密钥验证凭证的高效匿名单点登录系统及方法，实现了指定验证者功能，可以保证票据认证的可否认性，并实现了高效的问责机制，双重花费或其他恶意行为可以被快速检测并问责。

为实现上述目的，本发明采用如下技术方案：

请参照图1，本发明提供一种基于密钥验证凭证的高效匿名单点登录系统，包括终端用户

身份服务器

服务提供商

和可信仲裁机构

所述

向

注册，获得与自己身份绑定的长期凭证，并在请求服务之前，

使用自己的凭证匿名向

认证，并得到

签发的短期票据；

所述

管理用户身份，保存注册用户的身份信息并发布凭证，并负责验证匿名凭证和颁发短期票据；

所述

提交的票据是否为无效、过期或重用票据，并响应用户请求，如果

违反用户规定，

会将其票据发送给

进行身份追踪；

所述

负责追踪恶意用户。

进一步的，所述

为每个生成的票据存储一个追踪标记。

一种基于密钥验证凭证的高效匿名单点登录系统的控制方法，包括以下阶段：

系统初始化阶段:

以安全参数1^λ为输入，生成系统公共参数PP；然后

分别运行Issuer-Keygen、Provider-Keygen、Arbitrator-Keygen、User-Keygen获取各自的私钥-公钥对；且每个

初始化一个列表

同时，并且

初始化一个列表

以保存追踪标记；

用户注册阶段：在登录并访问服务前，

与身份服务器

运行User-Registration交互协议，将其身份注册到

票据申请阶段：

匿名地向

认证身份，并为所申请的服务提交一个集合

如果认证通过，

为所有申请的服务生成票据

票据验证阶段阶段：

运行Ticket-Validation算法对所提交的票据Tix_sp进行验证；

恶意用户追踪阶段：当检测出任何可疑用户行为时，

发送对应服务请求时提交的票据给

接着，

执行算法Trace以对恶意用户去匿名化并输出其身份ID_eu，公钥PK_eu。

进一步的，所述系统初始化阶段，具体为：

生成一个阶为p的循环群

在选取生成元

与定义抗碰撞哈希函数

后，函数输出公共参数

选取

计算

输出

的私钥SK_is＝(x₁,x₂,x₃,x₄,y)，公钥PK_is＝(X₁,X₂,Y)；

选取

计算

并输出

的私钥SK_sp＝x_sp，公钥

随机选取

并计算

输出

的私钥SK_ta＝x_ta，

公钥PK_ta＝Y_ta；

随机选取

并计算

输出

的私钥SK_eu＝x_eu，公钥

PK_eu＝Y_eu。

进一步的，所述User-Registration交互协议，具体为：

首先为其公钥Y_eu计算一个证明

并将

发送给

如果

有效，

选取

并计算

其中，(t,U,V)为一个与属性x_eu绑定的密钥验证匿名凭证；为保证发行证书的真实性，

生成证明

发送证明

给

并于本地数据库中存储(ID_eu,PK_eu)；

在收到(t,U,V)与

后，

验证

以判断(t,U,V)是否为一个合法的匿名凭证；如果验证通过，

输出cred_eu＝(t,U,V)。

进一步的，所述票据申请阶段，具体为：

令符号

指代

所请求的服务提供者的标识符集合；

选取

计算

接着，

计算

其将被用于还原

的公钥

对每个请求的

选取一个票据标识符

并计算T_sp＝H₂(TID_sp)^r；

为(C_eu,E_eu,R_eu)；

生成一个零知识证明

并将

发送给

在发行票据前，

验证

并检验等式

是否成立以判断用户身份的有效性；如果验证通过，

选取

为所有请求的

计算

该密钥对(lk,rk)是在

与

间共享的一次性票据认证密钥；

利用(lk,rk)计算

其中

本质上是一个匿名令牌；通过利用s_sp对E_eu进行随机化，

生成追踪标记

在生成所有票据

后，

哈希所有接受或生成的组件得到

Λ₂＝H₂(C_eu,E_eu,R_eu)，并以此计算

为σ生成一个证明

最后，

将

返回给

并发送

给

在收到

并验证

后，

令q＝r^-1并为每个请求的服务重新计算

对每对元组

计算

并输出最终票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)。

进一步的，所述Ticket-Validation算法，具体为：

以票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)，私钥SK_sp，公钥PK_is＝(X₁,X₂,Y)为输入，

首先检查有效期VP_sp是否过期；

接着，

计算票据认证密钥

并检查下列条件是否满足：

(1)由TID_sp所标记的记录在列表

中不存在。

(2)等式

成立。

如验证通过，

将Tix_sp插入

并以TID_sp将其标记，输出1。否则，

输出0。

进一步的，所述算法Trace，具体为：

在收到票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)时，

计算TR_sp,1＝H₁(s_sp)并使用其检索相应的追踪标记TR_sp＝(TR_sp,1,TR_sp,2,TR_sp,3)；如果

中存在该记录，

计算

并发送PK_eu给

由于在用户注册阶段

保存了条目(ID_eu,PK_eu)，

可以轻易找出ID_eu并进行问责。

进一步的，所述抗碰撞哈希函数

与

进行与群

相关的计算，并满足以下设定：

令

为一个输出阶为p的循环群

的群生成器，给定DDH元组(g,A＝g^a,B＝g^b,C＝g^c)，DDH假设要求，敌手

将元素C＝g^ab与随机元素

区分开的概率是可以忽略的，即

如果敌手

的优势

是可以忽略的，则我们认为DDH假设在群

上成立；

CTGDH允许执行CDH查询和DDH查询，令

为阶为p的循环群，给定挑战(g,A＝g^a)与3个寓言机查询：(1)

将字符串t∈{0,1}^*编码为元素B；(2)

以元素B为输入，输出C＝B^a；(3)

以元组(B,C)为输入，若C＝B^a，输出1；一个允许访问寓言机

的敌手

生成满足条件

且未在寓言机

中查询B^*的元组(t^*,C^*＝(B^*)^a)的优势是可忽略的；

的优势函数定义为

给定(g,A＝g^a,B＝g^b)与一个寓言机

其以任意

为输入，随机选取

输出T＝(h,h^a+mb)；LRSW假设要求，在敌手

拥有访问寓言机

权限的同时，输出一个具有未查询m^*的元祖

的概率是可忽略不计的；敌手的优势函数定义为

本发明与现有技术相比具有以下有益效果：

1、本发明实现了高效的匿名单点登录，所设计的系统不依赖于笨重的配对计算，能够取得明显高于现有ASSO方案的执行效率

2、本发明仅使用对称密码原语于有限的非交互式零知识证明(non-interactivezeroknowledge proofs，NIZK)，计算量和通信开销相对较低

3、本发明实现了指定验证者的功能。在本发明中，只有指定的服务提供商(SPs)具有验证所提交票据有效性的权限。此属性确保身份验证中的可否认性，SP无法向任何第三方实体证明用户曾经访问了该服务。

4、本发明实现了高效的双花检测与可审计匿名性。每张票据在其有限期内仅能被使用一次，任何双花行为(即重复使用同一票据的行为)，都能被快速发现并阻止。此外票据的匿名是可撤销的，可信的仲裁者可以撤销进行双花行为或违反其他规则的匿名用户的匿名性，以对其进行问责。

附图说明

图1是本发明系统模型示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

请参照图1，本发明提供一种基于密钥验证凭证的高效匿名单点登录系统，包括终端用户

身份服务器

服务提供商

和可信仲裁机构

(1)终端用户

是使用匿名凭证请求服务或资源的用户。

首先向身份服务器

注册，以获得与自己身份绑定的长期凭证(步骤①)。在请求服务之前，

使用自己的凭证匿名向

认证，并得到

签发的短期票据。其中，每个票据对应一个服务提供商

短期票证携带必要的服务信息，稍后由指定的服务提供商验证。

(2)身份服务器

负责管理用户身份，保存注册用户

的身份信息并发布凭证。此外，

还负责验证匿名凭证和颁发短期票据。

(3)服务提供商

可以为匿名用户提供云服务。

检查

提交的票据是否为无效、过期或重用票据，并响应用户请求。如果

违反用户规定，

会将其票据发送给

进行身份追踪。

(4)可信仲裁机构

是一个诚实公正的仲裁者，负责追踪恶意用户。为了提高追踪效率，

为每个生成的票据存储一个追踪标记。可以防止

滥用跟踪权限，确保了身份追踪只能在

发送票据时执行。

在本实施例中：

表1：符号变量

在本实施例中，系统中包含如下算法：

1.Setup(1^λ)→PP.该算法由

执行，以安全参数1^λ为输入，生成系统公共参数PP。

2.Issuer-Keygen(PP)→(SK_is,PK_is).该算法由

执行，以公共参数PP为输入，生成其公私钥对(SK_is,PK_is)。

3.Provider-Keygen(PP)→(SK_sp,PK_sp).该算法由

执行，以公共参数PP为输入，生成其公私钥对(SK_sp,PK_sp)。

4.Arbitrator-Keygen(PP)→(SK_ta,PK_ta).该算法由

执行，以公共参数PP为输入，生成其公私钥对(SK_ta,PK_ta)。

5.User-Keygen(PP)→(SK_eu,PK_eu).该算法由

执行，以公共参数pp为输入，生成其公私钥对(SK_eu,PK_eu)。

6.

通过与

交互运行此算法。

以其身份标识符ID_eu、私钥-公钥对(SK_eu,PK_eu)和

的公钥PK_is为输入；

以其私钥SK_is为输入。交互将

的身份注册到

并为

返回一个与其身份ID_eu绑定的匿名凭证cred_eu。

7.

通过与

交互运行此算法。

以其匿名凭证cred_eu、私钥-公钥对(SK_eu,PK_eu)、公钥PK_is,PK_ta和一个服务集合

为输入，其中

包含

所需访问的服务提供者的标识符；

以其私钥SK_is和所请求

的公钥集合为输入。如果证书cred_eu无效，交互终止；否则，

返回

所请求的票据集合

8.Ticket-Validation(Tix_sp,SK_sp,PK_is)→0/1.

以票据Tix_sp、私钥-公钥对(SK_sp,PK_is)为输入。如果票据Tix_sp有效，算法输出1；否则算法输出0.

9.Trace(Tix_sp,SK_ta)→(ID_eu,PK_eu).

以票据Tix_sp、私钥SK_ta钥为输入执行此算法，算法输出用户身份ID_eu与用户公钥PK_eu。

在本实施例中，系统控制，具体包括以下阶段：

系统初始化阶段:在系统初始化阶段，

运行Setup算法生成系统公共参数。在系统初始化阶段，

运行Setup生成系统公共参数PP，然后

分别运行Issuer-Keygen、Provider-Keygen、Arbitrator-Keygen、User-Keygen获取各自的私钥-公钥对。为了存储收到的票据，每个

初始化一个列表

同时，并且

初始化一个列表

以保存追踪标记。

·Setup(1^λ)→PP.。

运行

生成一个阶为p的循环群

在选取生成元

与定义抗碰撞哈希函数

后，函数输出公共参数

·Issuer-Keygen(PP)→(SK_is,PK_is).。

选取

计算

输出SK_is＝(x₁,x₂,x₃,x₄,y)，PK_is＝(X₁,X₂,Y)。

·Provider-Keygen(PP)→(SK_sp,PK_sp).。

选取

计算

并输出SK_sp＝x_sp，

·Arbitrator-Keygen(PP)→(SK_ta,PK_ta).。

随机选取

并计算

算法输出

的私钥SK_ta＝x_ta，公钥PK_ta＝Y_ta。

·User-Keygen(PP)→(SK_eu,PK_eu).。

随机选取

并计算

算法输出

的私钥SK_eu＝x_eu，公钥PK_eu＝Y_eu。

用户注册阶段：在登录并访问服务前，

与身份服务器

运行User-Registration交互协议，将其身份注册到

·

该

首先为其公钥Y_eu计算一个证明

并将

发送给

如果

有效，

选取

并计算

其中，(t,U,V)为一个与属性x_eu绑定的密钥验证匿名凭证。为保证发行证书的真实性，

生成证明

发送证明

给

并于本地数据库中存储(ID_eu,PK_eu)。在收到(t,U,V)与

后，

验证

以判断(t,U,V)是否为一个合法的匿名凭证。如果验证通过，

输出cred_eu＝(t,U,V)。

票据申请阶段：

匿名地向

认证身份，并为所申请的服务提交一个集合

如果认证通过，

为所有申请的服务生成票据

具体交互过程于算法Ticket-Request中详细描述。

·

令符号

指代

所请求的服务提供者的标识符集合。

选取

计算

接着，

计算

其将被用于还原的公钥

对每个请求的

选取一个票据标识符

并计算T_sp＝H₂(TID_sp)^r。

为(C_eu,E_eu,R_eu)生成一个零知识证明

并将

发送给

在发行票据前，

验证

并检验等式

是否成立以判断用户身份的有效性。如果验证通过，

选取

为所有请求的

计算

该密钥对(lk,rk)是在

与

间共享的一次性票据认证密钥。

利用(lk,rk)计算

其中

本质上是一个匿名令牌。通过利用s_sp对E_eu进行随机化，

生成追踪标记

在生成所有票据

后，

哈希所有接受或生成的组件得到

Λ₂＝H₂(C_eu,E_eu,R_eu)，并以此计算

为σ生成一个证明

该证明能防止票据

被篡改，同时也确保了请求票据的新鲜性。最后，

将

返回给

并发送

给

在收到

并验证

后，

令q＝r^-1并为每个请求的服务重新计算

对每对元组

计算

并输出最终票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)。

票据验证阶段阶段：

运行Ticket-Validation算法对所提交的票据Tix_sp进行验证；

·Ticket-Validation(Tix_sp,SK_sp,PK_is)→0/1.

以票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)，私钥SK_sp，公钥PK_is＝(X₁,X₂,Y)为输入，

首先检查有效期VP_sp是否过期。接着，

计算票据认证密钥

并检查下列条件是否满足：

由TID_sp所标记的记录在列表

中不存在。

等式

成立。

如验证通过，

将Tix_sp插入

并以TID_sp将其标记，输出1。否则，

输出0。

恶意用户追踪阶段：当检测出任何可疑用户行为时，

发送对应服务请求时提交的票据给

接着，

执行算法Trace以对恶意用户去匿名化并输出其身份ID_eu，公钥PK_eu。

·Trace(Tix_sp,SK_ta)→(ID_eu,PK_eu).

在收到票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)时，

计算TR_sp,1＝H₁(s_sp)并使用其检索相应的追踪标记TR_sp＝(TR_sp,1,TR_sp,2,TR_sp,3)。如果

中存在该记录，

计算

并发送PK_eu给

由于在用户注册阶段

保存了条目(ID_eu,PK_eu)，

可以轻易找出ID_eu并进行问责。

在本实施例中，优选的，密钥验证匿名凭证(keyed-verification anonymouscredential，KVAC)包括一个设置算法Setup，一个颁发者密钥生成算法Keygen与两个分别用于证书颁发和验证的交互式算法

与传统的匿名凭证不同，在KVAC中，证书的颁发与验证都是由证书颁发者执行的。KVAC的定义如下：

·Setup(1^λ)→pp.以安全参数λ为输入，算法输出系统公共参数pp。在下列算法中，pp将作为默认公共输入。

·Keygen(pp)→(pk,sk).该算法为证书颁发者输出一个公钥ipk与私钥isk。

·

证书颁发者以私钥isk为输入，用户以公钥ipk、属性向量

为输入执行此算法。算法返回一个与属性

绑定的用户证书cred。

·

证书颁发者以私钥isk与揭露属性

为输入，用户以证书cred为向量

为输入。

在本实施例中，优选的，消息认证码(message authentication code，MAC)是一种篡改检测标记，常用于通信和认证协议的底层构建。与基于哈希函数或分组密码的传统MAC相比，代数MAC是基于群运算构造的，因而可用于证明消息块的知识或关系。在本发明中，消息m的代数MAC计算为

其中U为群

中的随机元素，(x₀,x₁)为

中随机选取的密钥。

在本实施例中，优选的，匿名令牌是提供快速匿名认证功能的轻量级交互式协议。与匿名凭证不同，匿名令牌是一次性的，每次身份验证后都需要重新申请。匿名令牌方案由以下PPT算法组成:

·KeyGen(1^λ)→(pp,sk).以安全参数λ为输入，算法输出系统公共参数pp与私钥sk。

·

令牌颁发者以私钥sk为输入，令牌获取者以随机数t∈{0,1}^λ为输入执行此算法。其中t可以看作所获取令牌的标识符。算法为获取者输出一个令牌tok，但同时也阻止了令牌颁发者得知tok与t。

·TokVerify(sk,t,tok)→0/1.算法以私钥sk，令牌tok与令牌标识符t为输入。如果令牌有效，算法输出1；否则算法输出0。

在本实施例中，优选的，零知识证明(zero-knowledge proof，ZKP)允许证明者向验证者证明其了解给定陈述(statement)中的知识(knowledge)，而无需泄露知识本身。本实施例中利用ZKP来证明离散对数知识，其中对陈述h＝g^x的证明可被表示为DLPoK{(x):h＝g^x}。此外，符号

可用于知识相等证明，即：验证方不仅证明了其了解的知识x，也证明了陈述

与

中的知识是相等的。本发明使用Schnorr协议实例化所涉及的证明，并使用Fiat-Shamir启发式进行非交互式变换。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (9)

1.一种基于密钥验证凭证的高效匿名单点登录系统，其特征在于，包括终端用户

身份服务器

服务提供商

和可信仲裁机构

所述

向

注册，获得与自己身份绑定的长期凭证，并在请求服务之前，

使用自己的凭证匿名向

认证，并得到

签发的短期票据；

所述

管理用户身份，保存注册用户的身份信息并发布凭证，并负责验证匿名凭证和颁发短期票据；

所述

提交的票据是否为无效、过期或重用票据，并响应用户请求，如果

违反用户规定，

会将其票据发送给

进行身份追踪；

所述

负责追踪恶意用户。

2.根据权利要求1所述的基于密钥验证凭证的高效匿名单点登录系统，其特征在于，所述

为每个生成的票据存储一个追踪标记。

3.根据权利要求1或2所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，包括以下阶段：

系统初始化阶段:

以安全参数1^λ为输入，生成系统公共参数PP；然后

分别运行Issuer-Keygen、Provider-Keygen、Arbitrator-Keygen、User-Keygen获取各自的私钥-公钥对；且每个

初始化一个列表

同时，并且

初始化一个列表

以保存追踪标记；

用户注册阶段：在登录并访问服务前，

与身份服务器

运行User-Registration交互协议，将其身份注册到

票据申请阶段：

匿名地向

认证身份，并为所申请的服务提交一个集合

如果认证通过，

为所有申请的服务生成票据

票据验证阶段阶段：

运行Ticket-Validation算法对所提交的票据Tix_sp进行验证；

恶意用户追踪阶段：当检测出任何可疑用户行为时，

发送对应服务请求时提交的票据给

接着，

执行算法Trace以对恶意用户去匿名化并输出其身份ID_eu，公钥PK_eu。

4.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述系统初始化阶段，具体为：

运行

生成一个阶为p的循环群

在选取生成元

与定义抗碰撞哈希函数H₁：

H₂:

后，函数输出公共参数

选取

计算

输出

的私钥SK_is＝(x₁,x₂,x₃,x₄,y)，公钥PK_is＝(X₁,X₂,Y)；

选取

计算

并输出

的私钥SK_sp＝x_sp，公钥

随机选取

并计算

输出

的私钥SK_ta＝x_ta，公钥PK_ta＝Y_ta；

随机选取

并计算

输出

的私钥SK_eu＝x_eu，公钥PK_eu＝Y_eu。

5.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述User-Registration交互协议，具体为：

首先为其公钥Y_eu计算一个证明

并将

发送给

如果

有效，

选取

并计算

其中，(t,U,V)为一个与属性x_eu绑定的密钥验证匿名凭证；为保证发行证书的真实性，

生成证明

发送证明

给

并于本地数据库中存储(ID_eu,PK_eu)；

在收到(t,U,V)与

后，

验证

以判断(t,U,V)是否为一个合法的匿名凭证；如果验证通过，

输出cred_eu＝(t,U,V)。

6.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述票据申请阶段，具体为：

令符号

指代

所请求的服务提供者的标识符集合；

选取

计算

接着，

计算

其将被用于还原

的公钥

对每个请求的

选取一个票据标识符

并计算

为(C_eu,E_eu,R_eu)；

生成一个零知识证明

并将

发送给

在发行票据前，

验证

并检验等式

是否成立以判断用户身份的有效性；如果验证通过，

选取

为所有请求的

计算

该密钥对(lk,rk)是在

与

间共享的一次性票据认证密钥；

利用(lk,rk)计算

其中

本质上是一个匿名令牌；通过利用s_sp对E_eu进行随机化，

生成追踪标记

在生成所有票据

后，

哈希所有接受或生成的组件得到

Λ₂＝H₂(C_eu,E_eu,R_eu)，并以此计算

为σ生成一个证明

最后，

将

返回给

并发送

给

在收到

并验证

后，

令q＝r^-1并为每个请求的服务重新计算

对每对元组

计算

并输出最终票据

7.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述Ticket-Validation算法，具体为：

以票据Tix_sp＝(TID_sp,s_sp,S_sp,W_sp,ID_sp,VP_sp,Info_sp)，私钥SK_sp，公钥PK_is＝(X₁,X₂,Y)为输入，

首先检查有效期VP_sp是否过期；

接着，

计算票据认证密钥

并检查下列条件是否满足：

(1)由TID_sp所标记的记录在列表

中不存在。

(2)等式

成立。

如验证通过，

将Tix_sp插入

并以TID_sp将其标记，输出1。否则，

输出0。

8.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述算法Trace，具体为：

在收到票据

时，

计算TR_sp,1＝H₁(s_sp)并使用其检索相应的追踪标记TR_sp＝(TR_sp,1,TR_sp,2,TR_sp,3)；如果

中存在该记录，

计算

并发送PK_eu给

由于在用户注册阶段

保存了条目(ID_eu,PK_eu)，

可以轻易找出ID_eu并进行问责。

9.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法，其特征在于，所述抗碰撞哈希函数H₁:

与H₂:

进行与群

相关的计算，并满足以下设定：

令

为一个输出阶为p的循环群

的群生成器，给定DDH元组(g,A＝g^a,B＝g^b,C＝g^c)，DDH假设要求，敌手

将元素C＝g^ab与随机元素

区分开的概率是可以忽略的，即

如果敌手

的优势

是可以忽略的，则我们认为DDH假设在群

上成立；

CTGDH允许执行CDH查询和DDH查询，令

为阶为p的循环群，给定挑战(g,A＝g^a)与3个寓言机查询：(1)

将字符串t∈{0,1}^*编码为元素B；(2)

以元素B为输入，输出C＝B^a；(3)

以元组(B,C)为输入，若C＝B^a，输出1；一个允许访问寓言机

的敌手

生成满足条件

且未在寓言机

中查询B^*的元组(t^*,C^*＝(B^*)^a)的优势是可忽略的；

的优势函数定义为

给定(g,A＝g^a,B＝g^b)与一个寓言机

其以任意

为输入，随机选取

输出T＝(h,h^a+mb)；LRSW假设要求，在敌手

拥有访问寓言机

权限的同时，输出一个具有未查询m^*的元祖

的概率是可忽略不计的；敌手的优势函数定义为

Images