一种可追踪匿名认证方法与系统与流程

1.本发明涉及匿名身份认证技术领域，尤其涉及到一种可追踪匿名认证方法与系统。


背景技术：

2.匿名身份认证技术是一种匿名通信系统中使用的技术手段，主要为通信主体提供匿名性。由于匿名认证主体难以被追踪撤销，匿名认证系统中各类匿名滥用问题层出不穷，而其中基于别命机制的身份隐藏机制更是被用于构建充斥着各种非法活动的匿名通信网络中，给社会和人们带来了巨大的危害和影响。匿名凭证技术是实现匿名身份认证的主要方式之一。相比于传统的数字证书，用户可以根据具体场景的要求，向服务提供者证明其拥有的身份凭证属于某个特定的用户集合(有资格访问服务的集合)，但服务提供者无法识别出用户究竟是该特定用户集合中的哪一个具体用户。目前最为主流的方案时是ibm于2009年提出的identity mixer方案。匿名凭证允许身份提供者向用户颁发凭证(或证书)。此证书包含用户的属性，例如地址或出生日期以及用户的权利或角色。匿名凭证系统涉及颁发者、接收者、证明者和验证者的角色。证书颁发是在颁发者和接收者之间进行的，接收者拥有证书。此凭证由一组属性值以及允许凭证所有者创建所有权证明的密码信息组成。在创建证明时，凭证所有者充当证明者与验证者通信的角色。使用证书时，用户可以向第三方证明她拥有包含给定属性或角色的证书，而无需透露存储在凭证中的任何其他信息。证明拥有提供的凭证的方法是公开凭证中包含的选定属性子集，证明属性在给定范围内，证明属性在某些第三方的公钥加密下可验证地加密，或生成特定属性的承诺。除了匿名证书系统的基本功能，选择性地揭示凭证中包含的属性之外，还有包括撤销证书、撤销匿名、有效编码二进制属性，或在某些第三方的加密密钥下可验证地加密属性。这些重要的特征在某种程度上是独立的，具有不同的设置假设和信任模型。
3.近年来在匿名凭证研究中结合实现的算法如下：1)可用于颁发凭证的签名方案(camenisch-lysyanskaya(cl)/bbs)。签名方案支持消息块，即一个签名可以对许多消息进行签名。在简单凭证中，每个属性值都作为单独的消息处理，对属性签名。签名允许用户使用有效的零知识知识证明，在不泄露底层消息甚至签名本身的情况下证明拥有签名。2)使用紧凑编码将多个属性值组合成一个消息，实现消息的聚合。3)与盲签名技术结合，其中接收者仅向颁发者提供将包含在凭证中的属性值的承诺。始终使用假名颁发给接收者身份验证。盲签名协议中用户通过盲签名可以得到签名者的签名，但是签名者无法得到被签名消息及最终签名的信息。
4.由于匿名认证的特性，在保护了用户隐私的同时，也使得对恶意用户的管控变得困难，从而可能在一定程度上对系统产生不良影响。因此从保护服务提供者利益，打击非法用户的角度考虑，身份匿名性的撤销、如何防止匿名身份出借，以及在特定情况下，允许服务提供者借助可信第三方获取用户真实身份也是匿名身份认证设计与实现中应考虑的问题。在恶意用户追踪方面，目前的主要手段是通过设置可信第三方，使得在必要情况下可以
通过该可信方的恢复获得用户的真实身份，从而实现对恶意用户的追踪。在匿名身份防出借方面，除目前常用的撤销方法外，还可将认证过程与用户隐私联系起来，通过认证本身实现防出借。这样，匿名身份出借代价是泄露自己的隐私，而隐私是用户使用匿名身份认证系统的根本利益所在。因此用户出于对自己利益的保护自然就不会随意出借自己的匿名身份。该方法特点在于不需要引入任何系统之外的元素，不需要限制认证的次数。在匿名身份撤销方面，在实际应用中，有时会采用设置较短的匿名身份有效期来实现粗粒度的撤销。而就一般意义上的撤销来说，目前的方法通常是采用黑名单比对的方式来实现。在这种场景，校验者维护一个用户黑名单(bl)，对于用户的访问，校验者可以检测用户是否属于黑名单，若是则拒绝访问。但由于不能获取用户身份，因此无法直接进行匹配，因此需要采取某种特定的协议来实现。但是，上述方案都存在的问题是校验时间会随bl规模成线性增加，而这将给系统效率带来很大影响。因此如何在实现强匿名认证的同时防止用户进行恶意活动，是强匿名认证研究的一个重要方向。


技术实现要素：

5.本发明的主要目的在于提供一种可追踪匿名认证方法与系统，旨在保护认证用户凭证出示中隐私的同时，对恶意用户进行事后追踪，实现凭证中属性证明的高效出示，并提高计算效率。
6.为实现上述目的，本发明提供一种可追踪匿名认证方法，所述方法包括以下步骤：
7.s1：凭证颁发方生成颁发私钥签名，并向用户颁发属性凭证；
8.s2：用户根据验证方的验证要求出示属性凭证中的属性证明；
9.s3：验证方验证用户出示的属性证明，若验证通过则认证成功，若验证不通过则认证失败；
10.s4：凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。
11.可选的，所述步骤s1中，凭证颁发方生成颁发私钥签名步骤，具体包括：
12.s111：选择一个生成元为g1阶为p的加法群g1和一个生成元为g2阶为p的加法群g2，还包括一个关于生成元g1,g2的离散对数关系g1＝ψ(g2)，(g1,g2)满足是一个(τ,t,ε)co-gdh群对，乘法群g
t
的生成元为其中是双线性映射
13.s112：随机选取作为主私钥对(ω,θ)，计算u＝g
2ω
∈g2,v
←g2θ
∈g2作为主公钥对(u,v)；
14.s113：随机选取和作为追踪私钥对(ξ1,ξ2)，令a,b∈g1使得作为追踪公钥(l,a,b)；
15.s114：选择全域哈希函数h:{0,1}
*
→
g1，
16.s115：系统公开系统保存msk＝{ω,θ}，gsk＝{ξ1,ξ2}。
17.可选的，所述步骤s1中，向用户颁发属性凭证步骤，具体包括：
18.s121：用户随机选取秘密信息聚合所有秘密信息，获得聚合私钥根据公开参数的(u,v)，计算承诺求出聚合承诺
将属性信息{mi}、承诺{mi}、聚合承诺m、聚合私钥r发送给颁发方，并出示承诺证明nizk1{γ:m＝g
1γ
}；
19.s122：颁发方验证关于承诺的零知识证明；
20.s123：颁发方根据用户发送的消息计算hi←
h(mi),属性签名ci←hiω
·miθ
；
21.s124：颁发方随机选取计算a
←g11/(ω+x)
，将(a,x)作为用户私钥对，并记录在用户列表中；
22.s125：颁发方将用户私钥{a,x}和属性签名{ci}发送给用户。
23.可选的，所述步骤s2，具体包括：
24.s21：用户聚合所要证明的属性信息、属性签名和相关的随机秘密信息
25.s22：用户盲化聚合签名c：随机选择一个盲化签名c
′
←ck
，并出示关于盲化签名的证明
26.s23：用户使用用户私钥(a,x)对需要验证的聚合属性信息进行知识签名：随机选取计算得到知识签名σ＝{t1,t2,t3}，并出示知识签名的证明
27.s24：用户将盲化签名c
′
及其证明和知识签名σ及其证明作为出示凭证发送给验证方。
28.可选的，所述步骤s3，具体包括：验证方接收到出示凭证后，首先验证盲化签名的承诺、知识签名的证明，当两者同时成立时，验证方通过出示凭证的验证。
29.可选的，所述步骤s4，具体包括：
30.s41：验证方将通过验证的恶意用户的出示凭证发送给颁发方；
31.s42：颁发方使用追踪私钥gsk＝{ξ1,ξ2}恢复用户私钥：计算}恢复用户私钥：计算通过在用户列表中比对与a
′
相同的a，找到用户私钥对(a,x)，从而确定恶意用户身份，实现身份追踪。
32.此外，为了实现上述目的，本发明还提供了一种可追踪匿名认证装置，所述装置包括：
33.生成与颁发模块，用于凭证颁发方生成颁发私钥签名，并向用户颁发属性凭证；
34.出示模块，用于用户根据验证方的验证要求出示属性凭证中的属性证明；
35.验证模块，用于验证方验证用户出示的属性证明，若验证通过则认证成功，若验证不通过则认证失败；
36.追踪模块，用于凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。
37.此外，为了实现上述目的，本发明还提供了一种可追踪匿名认证系统，所述可追踪匿名认证系统包括凭证颁发方、用户和验证方；其中，凭证颁发方、用户和验证方包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的可追踪匿名认证程序，所述可追踪匿名认证程序被所述处理器执行时实现如上所述的可追踪匿名认证方法的步骤。
38.此外，为了实现上述目的，本发明还提供了一种存储介质，所述存储介质上存储有可追踪匿名认证程序，所述可追踪匿名认证程序被处理器执行时实现如上所述的可追踪匿名认证方法的步骤。
39.本发明实施例提出的一种可追踪匿名认证方法与系统，具有如下的优点：
40.1)本发明设计的匿名认证协议实现了凭证出示的简洁高效，用户在出示属性凭证时，无需出示所有属性凭证信息，仅需出示需要验证的部分属性凭证，且使用聚合方法实现了出示凭证的高效验证。
41.2)本发明设计的匿名认证协议实现了恶意用户身份的追踪，在保证非恶意用户凭证出示阶段不会泄露身份隐私的情况下，实现颁发方对恶意用户的身份追踪。
附图说明
42.图1为本发明高效可追踪的匿名认证流程示意图；
43.图2为本发明高效可追踪匿名认证协议图。
44.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
45.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
46.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
47.本提供一种高效可追踪的匿名认证协议，是一种可保护隐私的身份认证协议，能够实现证书出示方的用户在认证时不向验证方暴露过多的隐私信息，同时当验证方发现用户存在恶意行为时，可请求凭证颁发方追踪用户的真实身份。
48.本实施例如图1-图2所示，其主要思想为：1、可信第三方作为凭证颁发方用颁发方私钥签名向用户颁发属性凭证；2、用户根据验证方的验证要求出示属性凭证中的属性证明；3、验证方验证用户出示的属性证明，若验证通过则认证成功；4、凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。本协议作为基础密码协议可以应用到隐私计算领域，保护通信双方的隐私。
49.高效可追踪的匿名认证方法由密钥生成算法ac.generate、凭证颁发算法ac.issue、凭证出示算法ac.show、出示凭证验证算法ac.verify和身份追踪算法ac.trace五个算法组成。
50.(1)密钥生成算法ac.generate：该算法由凭证颁发方(issuer)运行。输入安全参数λ，该算法输出系统公开参数mpk和主私钥msk和追踪私钥gsk。issuer公开gpk，并保密msk及gsk。具体运行过程如下：
51.1)选择一个生成元为g1阶为p的加法群g1和一个生成元为g2阶为p的加法群g2，还包括一个关于生成元g1,g2的离散对数关系g1＝ψ(g2)，(g1,g2)满足是一个(τ,t,ε)co-gdh群对。乘法群g
t
的生成元为其中是双线性映射
52.2)随机选取作为主私钥对(ω,θ)，计算u＝g
2ω
∈g2,v
←g2θ
∈g2作为
主公钥对(u,v)；
53.3)随机选取和作为追踪私钥对(ξ1,ξ2)，令a,b∈g1使得作为追踪公钥(l,a,b)；
54.4)选择全域哈希函数h:{0,1}
*
→
g1，
55.5)系统公开系统保存msk＝{ω,θ}，gsk＝{ξ1,ξ2}。
56.(2)凭证颁发算法ac.issue：该算法由颁发方和用户(user)交互运行。输入为用户的属性信息m1,
…
,mn、消息承诺和颁发方的主私钥，该算法输出对属性信息颁发的有效凭证。具体运行过程如下：
57.1)用户随机选取秘密信息聚合所有秘密信息，获得聚合私钥根据公开参数的(u,v)，计算承诺求出聚合承诺将属性信息{mi}、承诺{mi}、聚合承诺m、聚合私钥r发送给颁发方，并出示承诺证明nizk1{γ:m＝g
1γ
}；
58.2)颁发方验证关于承诺的零知识证明；
59.3)颁发方根据用户发送的消息计算hi←
h(mi),属性签名ci←hiω
·miθ
；
60.4)颁发方随机选取计算a
←g11/(
′
+x)
，将(a,x)作为用户私钥对，并记录在用户列表中；
61.5)颁发方将用户私钥{a,x}和属性签名{ci}发送给用户；
62.(3)凭证出示算法ac.show：该算法由用户执行。输入为验证方要求出示的n(n≤n)个属性ta＝{a1,
…
,an}，用户属性信息、秘密信息、属性签名和用户私钥，具体运行过程如下：
63.1)用户聚合所要证明的属性信息、属性签名和相关的随机秘密信息
64.2)用户盲化聚合签名c：随机选择一个盲化签名c
′←ck
，并出示关于盲化签名的证明
65.3)用户使用用户私钥(a,x)对需要验证的聚合属性信息进行知识签名：随机选取计算得到知识签名σ＝{t1,t2,t3}，并出示知识签名的证明}，并出示知识签名的证明
66.4)用户将盲化签名c
′
及其证明和知识签名σ及其证明作为出示凭证发送给验证方；
67.(4)出示凭证验证算法ac.verify：该算法由验证方(verifier)运行。具体运行过程如下：
68.1)验证方接收到出示凭证后，首先验证盲化签名的承诺、知识签名的证明，当两者同时成立时，验证方通过出示凭证的验证；
69.(5)身份追踪算法ac.trace：该算法由颁发方运行。具体运行过程如下：
70.1)验证方将通过验证的恶意用户的出示凭证发送给颁发方；
71.2)颁发方使用追踪私钥gsk＝{ξ1,ξ2}恢复用户私钥：计算}恢复用户私钥：计算通过在用户列表中比对与a
′
相同的a，找到用户私钥对(a,x)，从而确定恶意用户身份，实现身份追踪。
72.(1)对于：nizk1{γ:m＝g
1γ
}
73.证明方需要向验证方证明对知识γ的持有，验证方通过非交互式协议的执行完成验证。
74.1)证明方随机选取计算s
γ
←rγ
+cγ并将c
γ
、s
γ
发送给验证方；
75.2)验证方计算并验证是否成立，若成立则通过验证。
76.(2)对于：
77.证明方需要向验证方证明对知识λ,μ的持有，验证方通过非交互式协议的执行完成验证。
78.1)双方各自预计算
79.2)证明方随机选取计算计算s
λ
←rλ
+cλ，s
μ
←rμ
+cμ并将cm、s
λ
、s
μ
发送给验证方；
80.3)验证方计算并验证
81.是否成立，若成立则通过验证。
82.(3)对于：
83.证明方需要向验证方证明使用秘密ζ,η对消息h的签名，验证方通过非交互式协议的执行完成验证。
84.1)证明方随机选取计算关于ζ的线性加密：t1←aα
，t2←bβ
，t3←
ζl
α+β
，同时计算两个辅助值δ1←
ηα和δ2←
ηβ；
85.2)证明方向验证方证明对知识α,β,η,δ1,δ2的持有，其满足a
α
＝t1，b
β
＝t2，，随机选取先计算承诺值先计算承诺值再计算挑战值最后计算响应值s
α
＝r
α
+cα，s
β
＝r
β
+cβ，s
η
＝r
η
+cη，并将c、s
α
、s
β
、s
η
、发送给验证方；
86.3)验证方分别计算
87.再验证是否成立，如果成立则通过验证。
88.本实施例提出一种可追踪匿名认证方法，基于聚合签名和匿名凭证系统，利用零知识证明，能够在保护认证用户凭证出示中隐私的同时，对恶意用户进行事后追踪，实现凭证中属性证明的高效出示，并提高计算效率。
89.本发明实施例还提出一种可追踪匿名认证装置，包括：
90.生成与颁发模块，用于凭证颁发方生成颁发私钥签名，并向用户颁发属性凭证；
91.出示模块，用于用户根据验证方的验证要求出示属性凭证中的属性证明；
92.验证模块，用于验证方验证用户出示的属性证明，若验证通过则认证成功，若验证不通过则认证失败；
93.追踪模块，用于凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。
94.本发明可追踪匿名认证装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
95.此外，本发明还提出一种可追踪匿名认证系统，所述可追踪匿名认证系统包括凭证颁发方、用户和验证方；其中，凭证颁发方、用户和验证方包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的可追踪匿名认证程序，所述可追踪匿名认证程序被所述处理器执行时实现如上所述的可追踪匿名认证方法的步骤。
96.本技术可追踪匿名认证设备的具体实施方式与上述可追踪匿名认证方法各实施例基本相同，在此不再赘述。
97.此外，本发明还提出一种可读存储介质，所述可读存储介质包括计算机可读存储介质，其上存储有可追踪匿名认证程序。所述可读存储介质可以是终端中的存储器，也可以是如rom(read-only memory，只读存储器)/ram(random access memory，随机存取存储器)、磁碟、光盘中的至少一种，所述可读存储介质包括若干指令用以使得一台具有处理器的可追踪匿名认证设备执行本发明各个实施例所述的可追踪匿名认证方法。
98.本技术可读存储介质中可追踪匿名认证程序的具体实施方式与上述可追踪匿名认证方法各实施例基本相同，在此不再赘述。
99.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
100.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
101.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个
存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
102.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

技术特征：
1.一种可追踪匿名认证方法，其特征在于，所述方法包括以下步骤：s1：凭证颁发方生成颁发私钥签名，并向用户颁发属性凭证；s2：用户根据验证方的验证要求出示属性凭证中的属性证明；s3：验证方验证用户出示的属性证明，若验证通过则认证成功，若验证不通过则认证失败；s4：凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。2.如权利要求1所述的可追踪匿名认证方法，其特征在于，所述步骤s1中，凭证颁发方生成颁发私钥签名步骤，具体包括：s111：选择一个生成元为g1阶为p的加法群g1和一个生成元为g2阶为p的加法群g2，还包括一个关于生成元g1，g2的离散对数关系g1＝ψ(g2)，(g1，g2)满足是一个(τ，t，ε)co-gdh群对，乘法群g
t
的生成元为其中是双线性映射s112：随机选取作为主私钥对(ω，θ)，计算u＝g
2ω
∈g2，v
←
g
2θ
∈g2作为主公钥对(u，v)；s113：随机选取和作为追踪私钥对(ξ1，ξ2)，令a，b∈g1使得作为追踪公钥(l，a，b)；s114：选择全域哈希函数s115：系统公开系统保存msk＝{ω，θ}，gsk＝{ξ1，ξ2}。3.如权利要求2所述的可追踪匿名认证方法，其特征在于，所述步骤s1中，向用户颁发属性凭证步骤，具体包括：s121：用户随机选取秘密信息聚合所有秘密信息，获得聚合私钥根据公开参数的(u，v)，计算承诺求出聚合承诺将属性信息{m
i
}、承诺{m
i
}、聚合承诺m、聚合私钥r发送给颁发方，并出示承诺证明n1zk1{γ：m＝g
1γ
}；s122：颁发方验证关于承诺的零知识证明；s123：颁发方根据用户发送的消息计算h
i
←
h(m
i
)，属性签名c
i
←
h
iω
·
m
iθ
；s124：颁发方随机选取计算a
←
g
11/(ω+x)
，将(a，x)作为用户私钥对，并记录在用户列表中；s125：颁发方将用户私钥{a，x}和属性签名{c
i
}发送给用户。4.如权利要求3所述的可追踪匿名认证方法，其特征在于，所述步骤s2，具体包括：s21：用户聚合所要证明的属性信息、属性签名和相关的随机秘密信息s22：用户盲化聚合签名c：随机选择一个盲化签名c
′←
c
k
，并出示关于盲化签名的证明s23：用户使用用户私钥(a，x)对需要验证的聚合属性信息进行知识签名：随机选取计算得到知识签名σ＝{t1，t2，
t3}，并出示知识签名的证明s24：用户将盲化签名c
′
及其证明和知识签名σ及其证明作为出示凭证发送给验证方。5.如权利要求4所述的可追踪匿名认证方法，其特征在于，所述步骤s3，具体包括：验证方接收到出示凭证后，首先验证盲化签名的承诺、知识签名的证明，当两者同时成立时，验证方通过出示凭证的验证。6.如权利要求5所述的可追踪匿名认证方法，其特征在于，所述步骤s4，具体包括：s41：验证方将通过验证的恶意用户的出示凭证发送给颁发方；s42：颁发方使用追踪私钥gsk＝{ξ1，ξ2}恢复用户私钥：计算}恢复用户私钥：计算通过在用户列表中比对与a
′
相同的a，找到用户私钥对(a，x)，从而确定恶意用户身份，实现身份追踪。7.一种可追踪匿名认证系统，其特征在于，所述可追踪匿名认证系统包括凭证颁发方、用户和验证方；其中，凭证颁发方、用户和验证方包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的可追踪匿名认证程序，所述可追踪匿名认证程序被所述处理器执行时实现如权利要求1至6中任一项所述的可追踪匿名认证方法的步骤。

技术总结
本发明公开了一种可追踪匿名认证方法与系统，所述方法包括：可信第三方作为凭证颁发方用颁发方私钥签名向用户颁发属性凭证；用户根据验证方的验证要求出示属性凭证中的属性证明；验证方验证用户出示的属性证明，若验证通过则认证成功；凭证颁发方根据验证方发送的恶意用户出示的属性证明，追踪用户身份。本发明实现了凭证出示的简洁高效，用户在出示属性凭证时，无需出示所有属性凭证信息，仅需出示需要验证的部分属性凭证，且使用聚合方法实现了出示凭证的高效验证。本发明实现了恶意用户身份的追踪，在保证非恶意用户凭证出示阶段不会泄露身份隐私的情况下，实现颁发方对恶意用户的身份追踪。户的身份追踪。户的身份追踪。


技术研发人员：王雪 赵越 吴开均 张皓 乔兰斐 孟金桃
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：2023.05.06
技术公布日：2023/8/14