專利名稱:帶有匿名證書表示的匿名證書的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在發(fā)布機(jī)構(gòu)(authority)匿名地向個體提供證書的方法,以及一種利用該證書在通信參與者提供匿名地批準(zhǔn)(approval)該個體的方法���。本發(fā)明進(jìn)一步涉及用于在通信參與者提供匿名地批準(zhǔn)個體的證書�����,涉及用于匿名地向個體提供證書的發(fā)布機(jī)構(gòu)以及用于利用該證書匿名地批準(zhǔn)個體的批準(zhǔn)設(shè)備��。進(jìn)而����,本發(fā)明涉及一種授權(quán)系統(tǒng)��,包括至少一個發(fā)布機(jī)構(gòu)��、一個批準(zhǔn)設(shè)備和一個個體���。
有這樣的情況存在個體群組、或者該群組內(nèi)的個體子群組具有一些特權(quán)并且群組成員資格必須向特定第一機(jī)構(gòu)加以證明以允許群組中的任何個體來行使該特權(quán)���。一個例子就是可以有權(quán)訪問某一訪問受控制的因特網(wǎng)服務(wù)器的個體群組�。如果關(guān)心的是個體的隱私�����,那么可以以匿名的方式以致于使第一機(jī)構(gòu)不用得知個體的身份來實施“成員資格-證明”事務(wù)(例如導(dǎo)致對服務(wù)器的授權(quán)訪問)。這意味著該機(jī)構(gòu)必須區(qū)別群組成員與非成員���,但個體成員不必彼此區(qū)分���。為了實現(xiàn)這一點,已經(jīng)提出了很多匿名群組識別方案��,其中群組由群組成員的所有公鑰的公共已知子集表示�。在核實成員資格時,不論是個體的秘密密鑰還是公鑰(即個體標(biāo)識符)都不會向第一機(jī)構(gòu)泄露�。
在上文所述的方案中,個體可能稍后希望仍匿名地向不同的參與者證明群組成員資格�,而不履行與第一機(jī)構(gòu)之間執(zhí)行的事務(wù)相同的另一成員資格-證明事務(wù)。這可以借助于用于該成員資格-證明事務(wù)的證書來實現(xiàn)���,個體在該事務(wù)完成之后向第一機(jī)構(gòu)請求該證書���。該證書除了涉及個體和群組之外,還可以包含關(guān)于事務(wù)的數(shù)據(jù)����,例如它發(fā)生的時間��、位置����、證明該事務(wù)所使用的方法等等�。為了保持個體的匿名,證書必須是匿名的���。而且當(dāng)需要完全匿名時�,當(dāng)個體稍后向另一參與者出示證書的時候����,證書的匿名應(yīng)該保持。在“Anonymous Authentication ofMembership in Dynamic Groups”(by Schechter��,Pamell and Hartemink����,International Conference on Financial Cryptography′99�,British WestIndies,1999)中��,提出了一種用于成員資格匿名證明的事務(wù)的證書����。在與第一機(jī)構(gòu)完成成員資格證明事務(wù)之后���,在與第一機(jī)構(gòu)相獨立的協(xié)議中發(fā)布該證書。該協(xié)議使用公共密匙加密和散列函數(shù)并聲明事務(wù)執(zhí)行的時間���。證書是匿名的���,因為它不泄露證書發(fā)布給的個體的身份。然而���,當(dāng)個體在稍后任何時間需要向另一參與者(利用該證書)證明他已經(jīng)由第一機(jī)構(gòu)在某一時間進(jìn)行過身份驗證�����,那么他的匿名就喪失了��。這是因為他需要向該參與者泄露證書本身以及只能由用戶計算的并用于該證書中的值��,以及泄露為了使該參與者能夠核實該證書中的值所需要的他的身份(即公鑰)��。
為了讓個體向任何參與者證明關(guān)于他自己的一個或多個屬性���,還提出了數(shù)字授權(quán)書方案��。這種授權(quán)書實質(zhì)上是由機(jī)構(gòu)發(fā)布的通用數(shù)字證書��。因而�,數(shù)字授權(quán)書可以用作證明群組成員資格的證書�,如上所述。然而����,在一些方案中,即使個體的匿名是依靠授權(quán)書出示而得到保持��,發(fā)布機(jī)構(gòu)仍然能夠獲知個體的身份以及屬于該個體的所有屬性��,因此不向授權(quán)書發(fā)布方提供匿名���。在其它方案中���,個體的隱私是通過使用假名在發(fā)布以及出示數(shù)字授權(quán)書時而得到保持的。然而�����,這些方案具有假名管理的負(fù)擔(dān)�,這必須在授權(quán)書發(fā)布協(xié)議之前執(zhí)行并進(jìn)一步在個體處執(zhí)行。
除了以上方案中指出的問題��,它們?nèi)慷夹枰趥€體和特定機(jī)構(gòu)之間執(zhí)行兩個不同的協(xié)議以便讓個體能夠獲得證明群組成員資格的證書或者數(shù)字授權(quán)書���。這些協(xié)議包括個體證明群組成員資格的協(xié)議以及發(fā)布證書(或者數(shù)字授權(quán)書)本身所采用的協(xié)議����。
因此��,現(xiàn)有技術(shù)中待解決的問題是如何提供一種方案以使得(a)在發(fā)布以及出示證書的時候保持個體的匿名��,(b)當(dāng)發(fā)布證書時只執(zhí)行一個協(xié)議�;以及(c)只允許群組成員能夠隨后使用該證書。
本發(fā)明的目的在于解決上述的問題并規(guī)定發(fā)布機(jī)構(gòu)匿名地向個體提供所完成的證書�,同時執(zhí)行一個單一協(xié)議。作為附加優(yōu)勢����,它規(guī)定個體借助于證書向另一參與者匿名地證明群組成員資格。這應(yīng)該設(shè)置為這種方式使得只有群組成員才能夠使用發(fā)布機(jī)構(gòu)發(fā)布的證書����。
該目的是這樣實現(xiàn)的借助于根據(jù)權(quán)利要求1的在發(fā)布機(jī)構(gòu)為個體匿名地提供證書的方法;根據(jù)權(quán)利要求12用于在通信參與者為個體提供匿名批準(zhǔn)的證書��;根據(jù)權(quán)利要求13的利用證書在通信參與者為個體提供匿名批準(zhǔn)的方法;根據(jù)權(quán)利要求16用于匿名地為個體提供證書的發(fā)布機(jī)構(gòu)���;根據(jù)權(quán)利要求26的利用證書匿名地批準(zhǔn)個體的批準(zhǔn)設(shè)備�����;以及包括至少一個發(fā)布機(jī)構(gòu)��、根據(jù)權(quán)利要求29的一個批準(zhǔn)設(shè)備和一個個體的授權(quán)系統(tǒng)�����。
根據(jù)本發(fā)明的第一方面����,提供一種在發(fā)布機(jī)構(gòu)匿名地為個體提供證書的方法����,該方法包括如下步驟在所述發(fā)布機(jī)構(gòu)從個體接收多個數(shù)據(jù)結(jié)構(gòu),其中每個數(shù)據(jù)結(jié)構(gòu)包括基于與個體有關(guān)的標(biāo)識符的值���,以及標(biāo)識符的至少一個加密拷貝���;從所述發(fā)布機(jī)構(gòu)向個體發(fā)送請求以獲得第一數(shù)目個包括在發(fā)布機(jī)構(gòu)接收的數(shù)據(jù)結(jié)構(gòu)中的標(biāo)識符�����;在所述發(fā)布機(jī)構(gòu)從個體接收所述第一數(shù)目個標(biāo)識符以及對應(yīng)于所述標(biāo)識符的每個至少一個加密拷貝的加密密鑰;在所述發(fā)布機(jī)構(gòu)核實對應(yīng)加密密鑰包括在由發(fā)布機(jī)構(gòu)保存的預(yù)定密鑰組中�����,并且核實已經(jīng)利用包含在該組中的所述對應(yīng)加密密鑰對標(biāo)識符的所述至少一個加密拷貝進(jìn)行加密���,并且將其確認(rèn)發(fā)送到個體�;在所述發(fā)布機(jī)構(gòu)從個體接收包含在多個數(shù)據(jù)結(jié)構(gòu)中的多個剩余加密標(biāo)識符的至少一個��,并且針對基于對應(yīng)剩余標(biāo)識符的每個值����,核實所述至少一個剩余加密標(biāo)識符能夠從多個數(shù)據(jù)結(jié)構(gòu)中標(biāo)識出。該方法進(jìn)一步包括以下步驟在所述發(fā)布機(jī)構(gòu)向每個所述至少一個剩余加密標(biāo)識符發(fā)布證書��,所述證書包括各個所述至少一個剩余加密標(biāo)識符和基于該剩余加密標(biāo)識符的相應(yīng)的值����,所述證書表示它已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布。
根據(jù)本發(fā)明的第二方面����,提供一種在通信參與者為個體提供匿名批準(zhǔn)的證書�����,所述證書包括基于與持有證書的個體有關(guān)的標(biāo)識符的值��,標(biāo)識符的加密拷貝和證書已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布的指示���。
根據(jù)本發(fā)明的第三方面,提供一種利用證書在通信參與者為個體提供匿名批準(zhǔn)的方法����,該方法包括如下步驟在通信參與者接收個體的證書;在通信參與者核實證書已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布���;從通信參與者向個體發(fā)送包括在證書中的加密標(biāo)識符�����;并在通信參與者接收個體知道標(biāo)識符的證明�。
根據(jù)本發(fā)明的第四方面�����,提供向個體匿名地提供證書的發(fā)布機(jī)構(gòu),該發(fā)布機(jī)構(gòu)配置有用于從個體接收多個數(shù)據(jù)結(jié)構(gòu)的接收裝置�,其中每個數(shù)據(jù)結(jié)構(gòu)包括基于與個體有關(guān)的標(biāo)識符的值,以及標(biāo)識符的至少一個加密拷貝���;發(fā)送裝置,用于向個體發(fā)送請求以獲得第一數(shù)目個標(biāo)識符��;其中所述接收裝置進(jìn)一步配置為從個體接收所述第一數(shù)目個標(biāo)識符以及對應(yīng)于標(biāo)識符的每個所述至少一個加密拷貝的加密密鑰�����。該發(fā)布機(jī)構(gòu)進(jìn)一步配置有核實裝置�����,用于核實對應(yīng)加密密鑰包括在由發(fā)布機(jī)構(gòu)保存的���、預(yù)定的密鑰組中���,并且核實已經(jīng)利用包含在該組中的所述對應(yīng)加密密鑰加密標(biāo)識符的所述至少一個加密拷貝,以及用于將其確認(rèn)發(fā)送到個體��;其中所述接收裝置進(jìn)一步配置為從個體接收多個包含在多個數(shù)據(jù)結(jié)構(gòu)中的剩余加密標(biāo)識符的至少一個;并且所述核實裝置進(jìn)一步配置為針對基于對應(yīng)剩余標(biāo)識符的每個值核實所述至少一個剩余加密標(biāo)識符能夠從多個數(shù)據(jù)結(jié)構(gòu)中被標(biāo)識出��;以及發(fā)布機(jī)構(gòu)進(jìn)一步配置有發(fā)布裝置�,為每個所述至少一個剩余加密標(biāo)識符發(fā)布證書,所述證書包括各個所述至少一個剩余加密標(biāo)識符以及基于該剩余加密標(biāo)識符的相應(yīng)的值�,該證書表示它已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布。
根據(jù)本發(fā)明的第五方面���,提供一種批準(zhǔn)設(shè)備��,用于利用證書匿名地批準(zhǔn)個體�,該批準(zhǔn)設(shè)備配置有用于接收個體的證書的接收裝置�;用于核實該證書由受托發(fā)布機(jī)構(gòu)發(fā)布的核實裝置;用于向個體發(fā)送包括在證書中的加密標(biāo)識符的發(fā)送裝置����;并且其中所述接收裝置進(jìn)一步配置為接收個體知道該標(biāo)識符的證明。
根據(jù)本發(fā)明的第六方面��,提供一種包括至少一個發(fā)布機(jī)構(gòu)���、一個批準(zhǔn)設(shè)備以及一個個體的授權(quán)系統(tǒng)�,其中該授權(quán)系統(tǒng)配置為使得發(fā)布機(jī)構(gòu)為個體匿名地提供證書��,并且批準(zhǔn)設(shè)備利用該證書匿名地批準(zhǔn)個體。
本發(fā)明的基本思想在于從個體向發(fā)布機(jī)構(gòu)(諸如連接至因特網(wǎng)的服務(wù)器)發(fā)送請求以匿名地接收由該發(fā)布機(jī)構(gòu)發(fā)布的證書����。因此,個體和發(fā)布機(jī)構(gòu)之間建立的通信信道必須是匿名的����,以致于發(fā)布機(jī)構(gòu)就無法獲知個體的身份,例如個體的IP地址���。應(yīng)注意的是,此匿名信道不必是秘密的����,因為不交換秘密信息。術(shù)語“個體”未必表示個體的個人����,也可以表示個體設(shè)備,諸如移動電話����、PDA、膝上型計算機(jī)�����、便攜式音頻播放器或者具有計算和通信能力的其它適當(dāng)?shù)脑O(shè)備。術(shù)語個體設(shè)備還可以表示例如智能卡或者包括在諸如移動電話之列的設(shè)備中的其它的抗干擾器件�。此外,應(yīng)該理解的是�,中間設(shè)備(例如由服務(wù)供應(yīng)商提供的服務(wù)器)可以配置為在該個體和發(fā)布機(jī)構(gòu)之間中繼信息,或者甚至配置為在多個個體和該發(fā)布機(jī)構(gòu)之間中繼信息����。在那種情況下,術(shù)語個體還可以包括中間設(shè)備本身���,并且必要的是���,至少個體和中間設(shè)備之間的通信是匿名的。
發(fā)布機(jī)構(gòu)接收多個M數(shù)據(jù)結(jié)構(gòu)形式的請求����,每個數(shù)據(jù)結(jié)構(gòu)包括基于與個體相關(guān)聯(lián)的標(biāo)識符的值以及標(biāo)識符的至少一個加密拷貝。正如將在下文中示出的���,優(yōu)選的是����,S個標(biāo)識符加密拷貝包括在每個數(shù)據(jù)結(jié)構(gòu)內(nèi),其中每個拷貝是利用不同的密鑰加密的����。所使用的不同密鑰屬于由發(fā)布機(jī)構(gòu)保存的預(yù)定密鑰組。當(dāng)接收到請求時����,發(fā)布機(jī)構(gòu)挑選第一數(shù)目M-B個數(shù)據(jù)結(jié)構(gòu)M,對此�����,個體將泄露對應(yīng)的標(biāo)識符以及對應(yīng)于在發(fā)布機(jī)構(gòu)接收到的每個加密標(biāo)識符的加密密鑰�。其后,個體將挑選的標(biāo)識符以及加密密鑰發(fā)送到發(fā)布機(jī)構(gòu)����。發(fā)布機(jī)構(gòu)核實這些加密密鑰包括在發(fā)布機(jī)構(gòu)保存的預(yù)定的密鑰組中����,并且核實已經(jīng)利用有效的對應(yīng)加密密鑰加密了標(biāo)識符的加密拷貝并將其確認(rèn)發(fā)送到個體。
當(dāng)個體接收到確認(rèn)時����,將基于與個體相關(guān)聯(lián)的標(biāo)識符的B個剩余值中的至少一個以及包含在多個M數(shù)據(jù)結(jié)構(gòu)中的B*S個剩余加密標(biāo)識符中的至少一個發(fā)送到發(fā)布機(jī)構(gòu)���。如果可以從多個M數(shù)據(jù)結(jié)構(gòu)識別出所述剩余加密標(biāo)識符,那么發(fā)布機(jī)構(gòu)可以發(fā)布用于該剩余加密標(biāo)識符的證書���,其中所述證書表示剩余加密標(biāo)識符的加密密鑰包括在發(fā)布機(jī)構(gòu)已知的所述預(yù)定組內(nèi)���。因而,證書表示其加密密鑰被用于加密標(biāo)識符的個體符合受托發(fā)布機(jī)構(gòu)的“群組成員資格”要求����。因為每個生成的剩余標(biāo)識符優(yōu)選為應(yīng)該用于創(chuàng)建對應(yīng)證書,所以發(fā)布機(jī)構(gòu)優(yōu)選為接收完全的B個剩余加密標(biāo)識符并為每個剩余加密標(biāo)識符生成證書�����。也就是���,證書的數(shù)目通常等于剩余加密標(biāo)識符的數(shù)目B�����。每個證書包括各個剩余加密的標(biāo)識符以及基于該剩余加密的標(biāo)識符的相應(yīng)值�����。
本發(fā)明是有益的����,因為由于個體的身份,即用于加密證書中的標(biāo)識符的加密密鑰沒有泄露這一事實的原因�,所以證書是匿名的。此外��,對發(fā)布機(jī)構(gòu)保存的預(yù)定的密鑰組的參照����,即對證書聲明個體所屬的群組的參照是經(jīng)由批準(zhǔn)該證書的發(fā)布機(jī)構(gòu)做出的。從而�����,假定特定發(fā)布機(jī)構(gòu)只發(fā)布參照特定群組的證書��。因為個體將用于加密標(biāo)識符的所有加密密鑰發(fā)送到該機(jī)構(gòu)�,所以該機(jī)構(gòu)能夠?qū)τ诎ㄔ诙鄠€M中的每個數(shù)據(jù)結(jié)構(gòu)核實只有包含在發(fā)布機(jī)構(gòu)保存的�、預(yù)定的密鑰組中的有效密鑰、即加密密鑰被使用于加密標(biāo)識符��。因此��,發(fā)布機(jī)構(gòu)確信包括在多個M數(shù)據(jù)結(jié)構(gòu)內(nèi)的剩余加密標(biāo)識符也已經(jīng)利用有效加密密鑰加密過了。如上所述�����,為了充分利用生成的標(biāo)識符�,發(fā)布的證書數(shù)目通常等于公開的、剩余加密標(biāo)識符的數(shù)目B���。對于一批B個發(fā)布的證書�����,要避免相對于標(biāo)識符的可鏈接性��,因為每個證書都分配有不同的標(biāo)識符�。隨后�����,個體可以通過利用只有個體知道的解密密鑰來從該證書獲得標(biāo)識符��,向該參與者證明知道包括在該證書中的加密標(biāo)識符�,而不泄露標(biāo)識符本身。通常,非對稱密鑰對(公鑰和私鑰)用于加密/解密過程�。通常借助于零知識協(xié)議來提供知道標(biāo)識符的證明。這一點具有如下效果通信參與者��,即要向其示出證書的批準(zhǔn)設(shè)備不能使用該證書來向某一其它參與者冒充成該個體��。
當(dāng)該個體被借助于證書在通信參與者匿名地得到批準(zhǔn)時�,通信參與者從個體接收該證書并核實該證書已由受托發(fā)布機(jī)構(gòu)發(fā)布。通信參與者將加密的標(biāo)識符發(fā)送到個體�����,該個體隨后以零知識協(xié)議證明知道該標(biāo)識符�����。只有個體知道的解密密鑰用于獲得明文標(biāo)識符���?���;跇?biāo)識符的值由通信參與者用于在協(xié)議執(zhí)行期間進(jìn)行檢驗�。個體和通信參與者之間建立的通信信道必須是匿名的,以致于使通信參與者無法獲得該個體的身份�����。
正如從以上說明書中得知的����,可以通過調(diào)節(jié)兩個參數(shù)來控制匿名和安全性的級別。這些參數(shù)還確定了根據(jù)本發(fā)明的方法相對于所涉及的各參與者的計算�����、存儲和信息交換資源的效率����。這兩個參數(shù)是(a)個體必須生成的標(biāo)識符的數(shù)目M和(b)用于給數(shù)據(jù)結(jié)構(gòu)提供對應(yīng)的S個標(biāo)識符加密拷貝的加密密鑰的數(shù)目S。
參數(shù)M(其中M>1)是原則上由發(fā)布機(jī)構(gòu)設(shè)定的安全性參數(shù)����。M值越大,則發(fā)布機(jī)構(gòu)就越信任包含在多個M數(shù)據(jù)結(jié)構(gòu)中的B個剩余加密標(biāo)識符已經(jīng)利用有效加密密鑰加密過����,即包含在發(fā)布機(jī)構(gòu)保存的、預(yù)定的密鑰組中的加密密鑰加密過����。通常發(fā)布機(jī)構(gòu)可以處理大量計算。然而,個體也許覺得難以承受計算�、存儲和發(fā)送大量數(shù)據(jù)結(jié)構(gòu)。因此���,在發(fā)布機(jī)構(gòu)的安全性方面必須和個體端上所承擔(dān)的計算保持平衡���。
參數(shù)S(其中1<S≤N(其中N=預(yù)定組中的密鑰總數(shù)))是由個體設(shè)定的匿名參數(shù)。用于向發(fā)布機(jī)構(gòu)提供對應(yīng)S個標(biāo)識符加密拷貝的S個加密密鑰包括與特定個體有關(guān)的加密密鑰��。值S越大�,個體的加密密鑰處于特定預(yù)定密鑰組中就越匿名(并且由此個體本身也越匿名)。此外�����,必須進(jìn)行權(quán)衡�;個體端上標(biāo)識符的加密的數(shù)目必須與發(fā)布機(jī)構(gòu)的匿名方面相當(dāng)。應(yīng)注意的是�,一旦已經(jīng)發(fā)布證書,那么就不再必要在個體處存儲標(biāo)識符了�。
然而,應(yīng)注意的是����,因為群組成員資格的證明不發(fā)生在證書發(fā)布時�����,所以用于證書發(fā)布的協(xié)議可以在發(fā)布機(jī)構(gòu)和任何參與者之間實施。該參與者必須知道該群組的密鑰組并且必須代表該群組的一個或多個個體來動作以便在參與與發(fā)布機(jī)構(gòu)之間的協(xié)議時獲得B個證書����。這B個證書均包括剩余加密的標(biāo)識符和基于剩余加密的標(biāo)識符的相應(yīng)值。而且��,該參與者優(yōu)選為具有較大計算能力以便消除在個體處可能存在的計算限制�����。
根據(jù)本發(fā)明的實施例���,每個標(biāo)識符包括在個體處生成的秘密隨機(jī)信息��,并且基于標(biāo)識符的各個值包括也在個體處計算的�����、對應(yīng)秘密隨機(jī)信息的指數(shù)函數(shù)����。這一點是有益的,因為秘密隨機(jī)信息可以從一組數(shù)目中挑選�,其中開平方計算是難題。例如�,基于標(biāo)識符的值可以表示為根據(jù)Fiat-Shamir協(xié)議升到2的秘密隨機(jī)信息。作為選擇�,該值可以表示為根據(jù)Guillou-Quisquater協(xié)議升到因數(shù)p的秘密隨機(jī)信息,其中p是質(zhì)數(shù)�。
根據(jù)本發(fā)明的另一實施例,證書已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布的指示通過向每個證書提供發(fā)布機(jī)構(gòu)的簽名來實現(xiàn)���。因此�,證書的完整性可以通過在通信參與者核實簽名的正確性來加以核實����。如上所述,受托發(fā)布機(jī)構(gòu)挑選第一數(shù)目M-B個數(shù)據(jù)結(jié)構(gòu)M�,對此,個體將泄露各自的標(biāo)識符�,以及對應(yīng)于在發(fā)布機(jī)構(gòu)接收的各自加密的標(biāo)識符的加密密鑰。如果第一數(shù)目M-B足夠高���,那么該機(jī)構(gòu)可以確信有數(shù)目B個公開的��、剩余加密的標(biāo)識符(該數(shù)目通常等于發(fā)布的證書數(shù)目)也已經(jīng)利用包括在發(fā)布機(jī)構(gòu)所保存的預(yù)定密鑰組中的密鑰加密過�。因此,發(fā)布機(jī)構(gòu)在對應(yīng)于給定公開的��、剩余加密標(biāo)識符的任何給定證書中的簽名可以看作是保證用于加密該公開的剩余加密標(biāo)識符的密鑰的確包括在發(fā)布機(jī)構(gòu)所保存的預(yù)定密鑰組中�����。因而���,簽名表示隨后能夠證明知道證書中的隨機(jī)標(biāo)識符的個體是符合受托發(fā)布機(jī)構(gòu)的群組成員資格要求的,即他是該群組的成員�。
根據(jù)另一實施例的本發(fā)明,每個證書進(jìn)一步包括與該證書的發(fā)布有關(guān)的數(shù)據(jù)�。該數(shù)據(jù)例如可以涉及發(fā)布證書的時間標(biāo)記形式的時間、用于提供證書已經(jīng)被發(fā)布的位置�、證明等等。通信參與者被確保公鑰屬于依照所述數(shù)據(jù)的群組����。例如,它曾在更早時間屬于該群組����。如果作為群組的一部分就給個體賦予該參與者可以許可的某一特權(quán)并且該群組的成員自從那個特定時刻以來一直未被改變過,那么該個體就可以匿名地行使該特權(quán)了��。
根據(jù)本發(fā)明的另一實施例,時間標(biāo)記被提供成使得在將一個以上的證書發(fā)布給個體的情況下��,每個證書均包括不同于發(fā)布給該個體的任何其它證書的時間標(biāo)記的時間標(biāo)記��。如果一個以上的證書以一批B個證書的形式發(fā)布給該個體(它們?nèi)慷急煌瑫r發(fā)布)��,那么每個證書均包括與發(fā)布給該個體的任何其它證書的時間標(biāo)記相差一個隨機(jī)的小量的時間標(biāo)記����。
該實施例是有益的,因為降低了入侵者成功將一個證書鏈接到另一個的風(fēng)險�。包括在一批B個發(fā)布的證書中的任何特定時間標(biāo)記都不同于包括在該一批中的任何其它時間標(biāo)記。因為時間標(biāo)記值不同����,所以一個時間標(biāo)記就不能被直接鏈接到另一個。利用第一證書�����,個體可以匿名地向通信參與者證明群組成員資格�。如果相同的通信參與者再次被相同的個體匿名地聯(lián)系并且相同的一批中的第二證書被向該通信參與者示出了,那么時間標(biāo)記值也不相同��,并且因而該一參與者就無法肯定兩個證書都涉及同一個體�。
當(dāng)學(xué)習(xí)所附權(quán)利要求書以及以下描述時�,本發(fā)明的其他特征以及優(yōu)勢將更加明顯�。本領(lǐng)域技術(shù)人員將意識到的是,可以組合本發(fā)明的不同特征來創(chuàng)建不同于以下描述的那些實施例的實施例�����。
將參照附圖詳細(xì)說明本發(fā)明的優(yōu)選實施例�����,其中
圖1示出了系統(tǒng)根據(jù)本發(fā)明的授權(quán)系統(tǒng)�,在該系統(tǒng)中���,可以實現(xiàn)本發(fā)明的各方面�;圖2示出了用戶設(shè)備和受托證書發(fā)布機(jī)構(gòu)所參與的證書發(fā)布協(xié)議����;以及圖3示出了用戶設(shè)備和通信參與者所參與的證書批準(zhǔn)協(xié)議。
圖1示出了系統(tǒng)根據(jù)本發(fā)明的授權(quán)系統(tǒng)��,在該系統(tǒng)中����,可以實現(xiàn)本發(fā)明的各方面���。所示出的是用戶裝置121形式的“個體”,其例如可以是設(shè)置在諸如移動電話���、PDA�、膝上型計算機(jī)���、便攜式音頻播放器或者具有計算以及通信能力的某一別的適當(dāng)設(shè)備之類的設(shè)備中的USB適配器(dongle)或者智能卡��。此外�,所示出的是用于發(fā)布證書的受托發(fā)布機(jī)構(gòu)111���,以及通信參與者101(即批準(zhǔn)設(shè)備)����,在通信參與者101��,證書用于提供用戶設(shè)備的匿名批準(zhǔn)��。典型地����,圖1所示的系統(tǒng)包括多個用戶設(shè)備和通信參與者��。它還可以包括很多發(fā)布機(jī)構(gòu)���。為了示出通信在不同設(shè)備之間實施,術(shù)語“用戶設(shè)備”和“通信參與者”將貫穿說明書使用���。然而�����,通信參與者通常包括類似于由121標(biāo)示的設(shè)備的用戶設(shè)備并具有類似的屬性��。
這些設(shè)備(用戶設(shè)備-發(fā)布機(jī)構(gòu)和用戶設(shè)備-通信參與者)可以經(jīng)由網(wǎng)絡(luò)140(例如因特網(wǎng))互聯(lián)�����,還可以如圖所示直接經(jīng)由通信信道141和142互聯(lián)。因為通信參與者101通常包括用戶設(shè)備��,所以通信參與者類似地可以經(jīng)由通信信道143與發(fā)布機(jī)構(gòu)相互連接��。計算能力通常由各個設(shè)備中的處理單元102����、112����、122具體化�。這些處理單元包括處理器103、113���、123����,存儲器104����、114、124以及可能的其它必需的標(biāo)準(zhǔn)電子裝備�。這些處理單元處理例如加密/解密功能。每個設(shè)備101���、111���、121都配置有接收裝置106、116����、126���,用于從網(wǎng)絡(luò)或者從其它設(shè)備接收信息,以及發(fā)送裝置107��、117�、127,用于傳輸信息����。
包含在該系統(tǒng)中的這些設(shè)備被認(rèn)為是兼容的。這意味著這些設(shè)備符合給定標(biāo)準(zhǔn)并遵循某些運行規(guī)則���。它還意味著這些設(shè)備借助于某一協(xié)議進(jìn)行通信以致于使得它們以所期待的方式應(yīng)答提給它們的問題和請求���。即使本發(fā)明已經(jīng)參照其特定的示范性實施例進(jìn)行了描述,但是許多不同的修改�、變化等等對于本領(lǐng)域技術(shù)人員而言是顯而易見的。因此��,所描述的實施例不表示限制本發(fā)明的范圍���,本發(fā)明的范圍由所附權(quán)利要求書限定。應(yīng)注意的是,本領(lǐng)域人員可以認(rèn)識到��,包含在本發(fā)明中的各個設(shè)備101����、111、121中的處理單元102�、112、122通常執(zhí)行適當(dāng)?shù)能浖韺嵤┙Y(jié)合圖2-3所述的步驟����。
當(dāng)用戶設(shè)備121希望讓證書匿名地發(fā)布時,該用戶設(shè)備必須經(jīng)由致使用戶設(shè)備(即個體)的任何標(biāo)識數(shù)據(jù)都不被泄漏的匿名信道來與發(fā)布機(jī)構(gòu)111聯(lián)系��。
在本發(fā)明的一個實施例中��,為匿名證書提供了如下格式C={RAN2��,PK[RAN]}SignIA���,(1)��,其中RAN是在用戶設(shè)備生成的秘密隨機(jī)數(shù)��,RAN在下文中稱為用戶設(shè)備的標(biāo)識符�;PK是用戶設(shè)備的公鑰;PK[RAN]是利用PK對RAN的加密�����;并且SignIA是附于證書的發(fā)布機(jī)構(gòu)的簽名�����。
眾所周知的Fiat-Shamir標(biāo)識協(xié)議可用于當(dāng)把證書C出示給通信參與者101時向通信參與者101證明知道秘密隨機(jī)數(shù)RAN∈Zn*�,它的平方值RAN2通信參與者可從證書得到。該問題基于以下的事實計算乘法組Zn*中的平方根是個難題��。在通信費用是個問題的應(yīng)用中�����,例如如果用戶設(shè)備是利用智能卡實現(xiàn)的�����,那么在RAN的冪較高(RANp����,其中p是質(zhì)數(shù))的情況下,Guillou-Quisquater標(biāo)識協(xié)議更為適合���,原因在于用戶設(shè)備和通信參與者之間的交換可以被保持在最低限度�。對于每個證書����,值RAN是Zn*中不同的隨機(jī)選擇的值,因此值RAN2對于每一個證書也是唯一的��。然而�����,用戶設(shè)備加密密鑰PK(對于一個給定用戶的所有證書都是一樣的)則不受阻礙�。因為只有用戶有權(quán)訪問對應(yīng)于公鑰PK的私鑰SK,所以只有該用戶可以從證書C獲取RAN��。證書必須是由受托發(fā)布機(jī)構(gòu)(它例如可以是內(nèi)容提供商)簽名以使通信參與者確信其完整性���。
應(yīng)注意的是���,不必將RAN值存儲在用戶設(shè)備中的存儲器中。用戶身份驗證的步驟隱含地發(fā)生在用戶設(shè)備獲取數(shù)值RAN之時����,因為只有知道對應(yīng)于用戶公鑰PK的私鑰SK的用戶才能夠解密PK[RAN]以值RAN�����。
本發(fā)明中在用戶設(shè)備和發(fā)布機(jī)構(gòu)之間所使用的通信協(xié)議通常屬于切斷和選擇類型����。也就是����,用戶設(shè)備生成多個根據(jù)特定程序計算的秘密值。依照此給定程序計算的秘密只有該秘密被泄露了才能被核實����。因此,發(fā)布機(jī)構(gòu)隨機(jī)地選擇多個這種秘密值����,用戶設(shè)備向發(fā)布機(jī)構(gòu)暴露這些值。如果這些值中的至少一個不是根據(jù)給定程序計算的�,那么發(fā)布機(jī)構(gòu)拒絕所有其它值并且該協(xié)議結(jié)束。另一方面�����,如果所有這些值都是根據(jù)給定程序計算的,那么發(fā)布機(jī)構(gòu)可以確信未揭露的秘密數(shù)值也是根據(jù)給定程序計算的��。
現(xiàn)在���,基于切斷和選擇概念���,用戶設(shè)備121匿名地聯(lián)系發(fā)布機(jī)構(gòu)111���,并且為了讓一個單一的證書發(fā)布�,個體生成M個秘密隨機(jī)數(shù)RAN(RANm���,其中m=1����、2�����、...�、M)。然后�,用戶設(shè)備選擇包含在發(fā)布機(jī)構(gòu)保存的預(yù)定的P組中的S個公鑰以形成一個PR組。組PR可以是完全的預(yù)定的組P�����,在這種情況下S=N,或者如果N非常大則組PR是P的子集����。然而,組PR必須包括該特定用戶設(shè)備的公鑰PKind���。然后�����,用戶設(shè)備對于組PR(即s=1�����、2�����、...�����、S)中的所有密鑰和對RAN的所有值M(即m=1����、2、...����、M)計算PKs[RANm]。
正如前面提到的那樣�����,參數(shù)M(其中M>1)是原則上由發(fā)布機(jī)構(gòu)設(shè)定的安全性參數(shù)����。M值越大�����,則發(fā)布機(jī)構(gòu)就越信任標(biāo)識符(即各個RAN)已經(jīng)利用有效加密密鑰加密過����,其中“有效”加密密鑰是包含在發(fā)布機(jī)構(gòu)保存的預(yù)定密鑰組中的那些加密密鑰。
參數(shù)S(其中1<S≤N)是由個體設(shè)定的匿名參數(shù)��。值S越大,個體的加密密鑰PKind處于特定預(yù)定密鑰組P中就越匿名(并且由此個體本身也越匿名)��。
參照圖2�����,它示出了發(fā)布協(xié)議沿著用戶設(shè)備221和受托證書發(fā)布機(jī)構(gòu)211之間的時間線220的情況�����,然后用戶設(shè)備將以下形式的M個數(shù)據(jù)結(jié)構(gòu)發(fā)送給發(fā)布機(jī)構(gòu)[RANm2,{PKs[RANm],s=1,2,...,S}]]]>也就是�,在步驟231,發(fā)布機(jī)構(gòu)接收多個M數(shù)據(jù)結(jié)構(gòu)�����,其中每個數(shù)據(jù)結(jié)構(gòu)包括基于與用戶設(shè)備有關(guān)的標(biāo)識符RANm的值RANm2�,以及該標(biāo)識符的至少一個加密拷貝PKs[RANm]。實際上����,如上所述,在每個數(shù)據(jù)結(jié)構(gòu)中包括該標(biāo)識符的多個加密拷貝���。發(fā)布協(xié)議向發(fā)布機(jī)構(gòu)為用戶設(shè)備提供匿名�����。當(dāng)接收到數(shù)據(jù)結(jié)構(gòu)時��,在步驟232���,發(fā)布機(jī)構(gòu)選擇M-B個標(biāo)識符��。該選擇可以這樣實現(xiàn)將發(fā)布機(jī)構(gòu)選擇的(多個M-B)標(biāo)識符RANm所對應(yīng)的多個M-B值RANm2發(fā)送到用戶設(shè)備����。實現(xiàn)選擇的另一方式是將所有數(shù)據(jù)結(jié)構(gòu)按序列編號����,并讓發(fā)布機(jī)構(gòu)通過發(fā)送表示發(fā)布機(jī)構(gòu)希望接收的哪些數(shù)據(jù)結(jié)構(gòu)的消息來發(fā)送其選擇���。因此�����,B個標(biāo)識符RANm被保密并且隨后將用于發(fā)布的證書���。
在步驟233�����,將所選擇的數(shù)據(jù)-即M-B個標(biāo)識符RANm和包含在組PR中的所有加密密鑰PKS發(fā)送到發(fā)布機(jī)構(gòu)����。發(fā)布機(jī)構(gòu)核實這些加密密鑰包括在預(yù)定的組P中����,即用于加密所述標(biāo)識符的這些加密密鑰是有效的,并且還核實用于M-B個泄露的RANm值中的每一個的值PKS[RANm]中的每一個是正確的����。該機(jī)構(gòu)可以核實對應(yīng)于所選擇的數(shù)據(jù)的M-B個數(shù)據(jù)結(jié)構(gòu)的值PKS[RANm]確實已經(jīng)通過利用包含在組PR中的對應(yīng)加密密鑰PKS加密每個選擇的標(biāo)識符RANm而利用有效密鑰加密過了。
如果該事實被確認(rèn)�,那么發(fā)布機(jī)構(gòu)可以確信具有未公開的標(biāo)識符的數(shù)據(jù)結(jié)構(gòu)是利用有效加密密鑰(即,組PR中的加密密鑰)加密過了�����,����。在步驟234,發(fā)布機(jī)構(gòu)將其確認(rèn)發(fā)送到用戶設(shè)備��。應(yīng)注意的是,組PR必須包括用戶設(shè)備的公鑰PKind���,因此該密鑰優(yōu)選為被選擇為對于所有M個數(shù)據(jù)結(jié)構(gòu)都是同一個��。而且����,因為組PR優(yōu)選為較大的組(至少大于1���,因為匿名依賴于這樣的事實用戶設(shè)備的密鑰包括在該組內(nèi)���,由此包括在許多其它密鑰中)。在該優(yōu)選情況中����,組PR中的密鑰PKS僅僅被向發(fā)布機(jī)構(gòu)發(fā)送一次,因為它們對于所有數(shù)據(jù)結(jié)構(gòu)都是相同的���。
在步驟235,用戶設(shè)備將剩余的B個加密的標(biāo)識符PKind[RANm](各加密的標(biāo)識符將要用于發(fā)布的證書中)發(fā)送到發(fā)布機(jī)構(gòu)����。發(fā)布機(jī)構(gòu)檢驗PKind[RANm]出現(xiàn)在先前接收到的數(shù)據(jù)結(jié)構(gòu)中����,創(chuàng)建證書C并根據(jù)(1)對證書簽名�����。最后�����,在步驟236�����,該證書被發(fā)送到用戶設(shè)備���。隨后��,該證書只能由群組成員使用-即擁有預(yù)定的組P中的公鑰之一的個體-知道對應(yīng)于公鑰PKind的私鑰SKind的個體����。
任何有權(quán)訪問組P的人或者物都可以具有為包含在組中的公鑰所發(fā)布的證書���,因為在執(zhí)行協(xié)議期間不提供知道私鑰的證明�����。例如��,一個第三方參與者�,它受個體的委托,并且可以以一定費用為該個體執(zhí)行證書發(fā)布服務(wù)�����。第三方參與者相當(dāng)于先前提及的��、配置為在個體和發(fā)布機(jī)構(gòu)之間中繼信息的中間設(shè)備��。個體和中間設(shè)備之間的通信必須是匿名的�����。然而�,在中間設(shè)備和發(fā)布機(jī)構(gòu)之間對匿名則不作要求。
根據(jù)本發(fā)明的另一實施例�,每個證書進(jìn)一步包括與證書發(fā)布相關(guān)的數(shù)據(jù)。該數(shù)據(jù)例如可以涉及時間標(biāo)記T形式的�����、證書發(fā)布的時間�����,如下面(2)所示C={RAN2����,PK[RAN],T}SignIA����,(2)如果作為群組的一部分就給個體賦予該參與者可以許可的某一特權(quán)并且該群組的成員自從那個特定時刻以來一直未被改變過,那么該個體就可以匿名地行使該特權(quán)了�。所述時間標(biāo)記可以被提供成使得在將一個以上的證書發(fā)布給個體的情況下,在這一批證書中每個證書均包括不同于發(fā)布給該個體的任何其它證書的時間標(biāo)記的時間標(biāo)記���。
圖3示出了沿著用戶設(shè)備321和通信參與者301之間的時間線320的批準(zhǔn)協(xié)議���。當(dāng)用戶設(shè)備321希望匿名地向通信參與者301證明成員資格時,用戶設(shè)備經(jīng)由匿名信道建立聯(lián)系���。在步驟331��,用戶設(shè)備經(jīng)由匿名信道將證書發(fā)送到通信參與者��。通信參與者核實該證書已經(jīng)由受托發(fā)布機(jī)構(gòu)借助于對應(yīng)于發(fā)布機(jī)構(gòu)的私鑰的公鑰所發(fā)布����,該私鑰被用于為證書提供數(shù)字簽名SignIA。
然后��,在步驟332�����,通信參與者將包括在證書中的加密標(biāo)識符PK[RAN]-其例如可以采用在(1)或者(2)中描述的形式-發(fā)送回用戶設(shè)備�。該標(biāo)識符是在用戶設(shè)備處通過利用對應(yīng)于公鑰PK的私鑰SK解密加密的標(biāo)識符而以明文得到的。最后��,在步驟333�,通信參與者接收用戶設(shè)備知道包括在該證書內(nèi)的標(biāo)識符RAN的證明。如上所述�����,該證明是通過用戶設(shè)備和通信參與者之間的零知識協(xié)議提供的��。這意味著在零知識協(xié)議之后��,通信參與者確信用戶設(shè)備知道標(biāo)識符RAN(只有該用戶設(shè)備可以知道),但沒有向通信參與者泄露關(guān)于該標(biāo)識符的任何信息�����。這防止通信參與者通過在與另一通信參與者的事務(wù)中表示知道值RAN而假冒該用戶設(shè)備���。在零知識協(xié)議期間,有多個輪次�����,并且在每個輪次中��,在用戶設(shè)備實際知道標(biāo)識符RAN的事實的這一情況下���,通信參與者的可靠度增加���。如果通信參與者充分確信用戶設(shè)備知道標(biāo)識符RAN,那么它據(jù)此進(jìn)行動作���。如果通信參與者充當(dāng)內(nèi)容設(shè)備��,那么它可以向用戶賦予訪問數(shù)字內(nèi)容(例如以MPEG或者M(jìn)P3文件或者其它音頻和/或視頻內(nèi)容的形式)的權(quán)利���。在另一個實施例中����,通信參與者可以將結(jié)果發(fā)送到作為內(nèi)容設(shè)備運行的不同設(shè)備��。利用結(jié)合圖3描述的程序�,通信參與者301可以確信匿名的個體321知道對應(yīng)于用于加密標(biāo)識符的公鑰的私有(秘密)密鑰,該加密標(biāo)識符包含在證書中��。而且���,發(fā)布機(jī)構(gòu)在證書上的簽名確保用于加密標(biāo)識符的公鑰確實屬于該發(fā)布機(jī)構(gòu)知道并且認(rèn)證的群組��。然而���,通信參與者并不知道關(guān)于那個公鑰的任何信息。
盡管本發(fā)明已經(jīng)參照其特定的實施例進(jìn)行了描述����,但是許多不同的修改、變化等等對于本領(lǐng)域技術(shù)人員而言是顯而易見的���。因此�,所描述的實施例不表示限制本發(fā)明的范圍,本發(fā)明的范圍由所附權(quán)利要求書限定�。
權(quán)利要求
1.一種在發(fā)布機(jī)構(gòu)(111)匿名地為個體(122)提供證書(C)的方法,該方法包括如下步驟在所述發(fā)布機(jī)構(gòu)從個體接收(231)多個(M)數(shù)據(jù)結(jié)構(gòu)�,其中每個數(shù)據(jù)結(jié)構(gòu)包括基于與個體有關(guān)的標(biāo)識符(RAN)的值,以及標(biāo)識符的至少一個加密拷貝(PK[RAN])����;從所述發(fā)布機(jī)構(gòu)向個體發(fā)送(232)請求以獲得第一數(shù)目個包括在發(fā)布機(jī)構(gòu)所接收的數(shù)據(jù)結(jié)構(gòu)中的標(biāo)識符(RAN)�;在所述發(fā)布機(jī)構(gòu)從個體接收(233)所述第一數(shù)目(M-B)個標(biāo)識符以及對應(yīng)于所述標(biāo)識符的每個所述至少一個加密拷貝的加密密鑰(PK);在所述發(fā)布機(jī)構(gòu)核實對應(yīng)加密密鑰(PK)包括在由發(fā)布機(jī)構(gòu)保存的預(yù)定密鑰組(P)中���,并且核實已經(jīng)利用包含在該組中的所述對應(yīng)加密密鑰對標(biāo)識符的所述至少一個加密拷貝進(jìn)行加密���,并且將其確認(rèn)發(fā)送(234)到個體;在所述發(fā)布機(jī)構(gòu)從個體接收(235)包含在多個(M)數(shù)據(jù)結(jié)構(gòu)中的多個(B)剩余加密標(biāo)識符的至少一個�,并且針對基于對應(yīng)剩余標(biāo)識符的每個值,核實所述至少一個剩余加密標(biāo)識符能夠從多個(M)數(shù)據(jù)結(jié)構(gòu)中標(biāo)識出�;在所述發(fā)布機(jī)構(gòu)向每個所述至少一個剩余加密標(biāo)識符發(fā)布(236)證書,所述證書包括各個所述至少一個剩余加密標(biāo)識符和基于該剩余加密標(biāo)識符的相應(yīng)的值��,所述證書表示它已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布��。
2.如權(quán)利要求1所述的方法����,其中每個標(biāo)識符包括秘密隨機(jī)信息(RAN)��。
3.如權(quán)利要求2所述的方法��,其中基于標(biāo)識符(RAN)的各個值包括對應(yīng)秘密隨機(jī)信息的指數(shù)函數(shù)�����。
4.如權(quán)利要求3所述的方法�����,其中該指數(shù)是質(zhì)數(shù)(p)��。
5.如權(quán)利要求1所述的方法��,其中每個證書(c)進(jìn)一步包括與證書的發(fā)布相關(guān)的數(shù)據(jù)��。
6.如權(quán)利要求5所述的方法���,其中與證書的發(fā)布相關(guān)的所述數(shù)據(jù)包括表示證書(c)的發(fā)布時間的時間標(biāo)記(T)。
7.如權(quán)利要求6所述的方法���,其中所述時間標(biāo)記(T)被提供成使得在將一個以上證書(c)發(fā)布給個體(121)的情況下�����,每個證書均包括不同于發(fā)布給所述個體的任何其它證書的時間標(biāo)記的時間標(biāo)記�����。
8.如權(quán)利要求1所述的方法�,其中證書(c)已經(jīng)由受托發(fā)布機(jī)構(gòu)(111)發(fā)布的指示通過向每個證書提供發(fā)布機(jī)構(gòu)的簽名(SignIA)來實現(xiàn)。
9.如權(quán)利要求1所述的方法�����,其中每個標(biāo)識符(RAN)利用包含在所述預(yù)定的密鑰組(P)中的對應(yīng)公鑰(PK)加密��。
10.如權(quán)利要求9所述的方法����,其中標(biāo)識符的多個(S)加密拷貝(PKs[RAN])包括在每個數(shù)據(jù)結(jié)構(gòu)中��,每個標(biāo)識符利用包含在所述預(yù)定密鑰組(P)中的不同公鑰加密����。
11.如權(quán)利要求1所述的方法,其中在個體(121)處生成所述值和標(biāo)識符(RAN)��。
12.一種在通信參與者(101)為個體(121)提供匿名批準(zhǔn)的證書(C),所述證書包括基于與持有證書的個體有關(guān)的標(biāo)識符(RAN)的值����;標(biāo)識符的加密拷貝(PK[RAN]);以及證書已經(jīng)由受托發(fā)布機(jī)構(gòu)(111)發(fā)布的指示(SignIA)����。
13.一種利用根據(jù)權(quán)利要求12的證書(C)在通信參與者(101)為個體(121)提供匿名批準(zhǔn)的方法,該方法包括如下步驟在通信參與者接收(331)個體的證書���;在通信參與者核實證書已經(jīng)由受托發(fā)布機(jī)構(gòu)(111)發(fā)布����;從通信參與者向個體發(fā)送(332)包括在證書中的加密標(biāo)識符(PK[RAN])���;以及在通信參與者接收(333)個體知道標(biāo)識符的證明���。
14.如權(quán)利要求13所述的方法,其中通過利用對應(yīng)解密密鑰(SK)解密加密的(PK[RAN])標(biāo)識符以在個體(121)獲得標(biāo)識符(RAN)�。
15如權(quán)利要求13所述的方法,其中通過采用零知識協(xié)議提供個體(121)知道標(biāo)識符(RAN)的證明���。
16.一種匿名地為個體(121)提供證書(C)的發(fā)布機(jī)構(gòu)(111)����,該發(fā)布機(jī)構(gòu)配置有-接收裝置(116),用于從個體接收(231)多個(M)數(shù)據(jù)結(jié)構(gòu)�����,其中每個數(shù)據(jù)結(jié)構(gòu)包括基于與個體有關(guān)的標(biāo)識符(RAN)的值��,以及標(biāo)識符的至少一個加密拷貝(PK[RAN])���;-發(fā)送裝置(117)���,用于向個體發(fā)送(232)請求以獲得第一數(shù)目個(M-B)標(biāo)識符;所述接收裝置進(jìn)一步配置為從個體接收(233)所述第一數(shù)目(M-B)個標(biāo)識符以及對應(yīng)于所述標(biāo)識符的每個至少一個加密拷貝的加密密鑰(PK)�;-核實裝置(112)���,用于核實對應(yīng)加密密鑰(PK)包括在由發(fā)布機(jī)構(gòu)保存的預(yù)定密鑰組(P)中���,并且核實已經(jīng)利用包含在該組中的所述對應(yīng)加密密鑰對標(biāo)識符的所述至少一個加密拷貝進(jìn)行加密,并且將其確認(rèn)發(fā)送(234)到個體�;所述接收裝置進(jìn)一步配置為從個體接收(235)包含在多個(M)數(shù)據(jù)結(jié)構(gòu)中的多個(B)剩余加密標(biāo)識符的至少一個;以及所述核實裝置進(jìn)一步配置成針對基于對應(yīng)剩余標(biāo)識符的每個值���,核實所述至少一個剩余加密標(biāo)識符能夠從多個(M)數(shù)據(jù)結(jié)構(gòu)中標(biāo)識出����;以及該發(fā)布機(jī)構(gòu)進(jìn)一步配置有-發(fā)布裝置(112),用于向每個所述至少一個剩余加密標(biāo)識符發(fā)布(236)證書�,所述證書包括各個所述至少一個剩余加密標(biāo)識符和基于該剩余加密標(biāo)識符的相應(yīng)的值,所述證書表示它已經(jīng)由受托發(fā)布機(jī)構(gòu)發(fā)布�。
17.如權(quán)利要求16所述的發(fā)布機(jī)構(gòu)(111),其中每個標(biāo)識符配置為包括秘密隨機(jī)的信息(RAN)��。
18.如權(quán)利要求17所述的發(fā)布機(jī)構(gòu)(111)����,其中基于標(biāo)識符(RAN)的各個值配置為包括對應(yīng)秘密隨機(jī)信息的指數(shù)函數(shù)。
19.如權(quán)利要求18所述的發(fā)布機(jī)構(gòu)(111)�,其中該指數(shù)配置為質(zhì)數(shù)(p)。
20.如權(quán)利要求16所述的發(fā)布機(jī)構(gòu)(111)��,其中每個證書(c)進(jìn)一步配置為包括與證書的發(fā)布相關(guān)的數(shù)據(jù)�����。
21.如權(quán)利要求20所述的發(fā)布機(jī)構(gòu)(111)���,其中與證書的發(fā)布相關(guān)的所述數(shù)據(jù)配置為包括表示證書(c)的發(fā)布時間的時間標(biāo)記(T)�����。
22.如權(quán)利要求21所述的發(fā)布機(jī)構(gòu)(111)����,其中所述時間標(biāo)記(T)被提供成使得在將一個以上的證書(c)發(fā)布給個體(121)的情況下,每個證書均被安排成包括不同于發(fā)布給所述個體的任何其它證書的時間標(biāo)記的時間標(biāo)記�����。
23.如權(quán)利要求16所述的發(fā)布機(jī)構(gòu)(111)���,其中通過給每個證書安排發(fā)布機(jī)構(gòu)的簽名(SignIA)來指示該證書(c)已經(jīng)由受托發(fā)布機(jī)構(gòu)(111)發(fā)布�����。
24.如權(quán)利要求16所述的發(fā)布機(jī)構(gòu)(111)�����,其中每個標(biāo)識符(RAN)配置為利用包含在所述預(yù)定的密鑰組(P)中的對應(yīng)公鑰(PK)加密。
25.如權(quán)利要求24所述的發(fā)布機(jī)構(gòu)(111)��,其中標(biāo)識符的多個(S)加密拷貝(PKs[RAN])配置為包括在每個數(shù)據(jù)結(jié)構(gòu)中,每個標(biāo)識符利用包含在所述預(yù)定密鑰組(P)中的不同公鑰加密���。
26.一種批準(zhǔn)設(shè)備(101)�,用于利用根據(jù)權(quán)利要求12的證書匿名地批準(zhǔn)個體(121)���,該批準(zhǔn)設(shè)備配置有-用于接收(331)個體的證書的接收裝置(107)��;-用于核實證書已由受托發(fā)布機(jī)構(gòu)(111)發(fā)布的核實裝置(102)��;-用于向個體發(fā)送(332)包括在證書中的加密標(biāo)識符(PK[RAN])的發(fā)送裝置(106)���;以及其中所述接收裝置進(jìn)一步配置為接收(333)個體知道該標(biāo)識符的證明。
27.如權(quán)利要求26所述的批準(zhǔn)設(shè)備(101)��,其中標(biāo)識符(RAN)配置為在個體(121)利用對應(yīng)解密密鑰(SK)解密加密的(PK[RAN])標(biāo)識符而獲得����。
28.如權(quán)利要求26所述的批準(zhǔn)設(shè)備(101),其中個體(121)知道標(biāo)識符(RAN)的證明配置為通過采用零知識協(xié)議提供�����。
29.一種授權(quán)系統(tǒng)�����,包括至少一個發(fā)布機(jī)構(gòu)(111)、一個批準(zhǔn)設(shè)備(101)以及一個個體(121)��,其中該授權(quán)系統(tǒng)配置為使得發(fā)布機(jī)構(gòu)為個體匿名地提供證書(c)��,并且批準(zhǔn)設(shè)備利用該證書匿名地批準(zhǔn)個體�。
全文摘要
本發(fā)明涉及一種在發(fā)布機(jī)構(gòu)(111)匿名地為個體(121)提供證書(c)的方法,一種利用證書在通信參與者(101)匿名地提供批準(zhǔn)個體的方法���,一種用于匿名地為個體提供證書的發(fā)布機(jī)構(gòu)�,以及一種用于利用證書匿名地批準(zhǔn)個體的批準(zhǔn)設(shè)備�����。本發(fā)明的基本思想是在發(fā)布機(jī)構(gòu)匿名地為個體提供證書����,個體隨后可以使用證書來在通信參與者匿名地證明組中的成員資格。
文檔編號H04L29/06GK1973517SQ200580021147
公開日2007年5月30日 申請日期2005年6月22日 優(yōu)先權(quán)日2004年6月25日
發(fā)明者C·V·康拉多, F·L·A·J·坎帕曼 申請人:皇家飛利浦電子股份有限公司