8配置一个或多个公共/私有密 钥,所述各种数据诸如另一密码密钥(其可以被称为秘密密钥或私有密钥)、经编码的属性 数据和/或素数阶循环群的元素。凭证108的一个示例实现包括身份托管假名(为了清楚 在本文中可称其为假名),以及各种密码数据。
[0031] 如本文所述,假名112是指作为不当用户活动的后果能够标识该用户的值。假名 是使用编码在凭证108内的属性作为对除了审计者114之外任何人均不能解密的值来计算 的。未披露的属性可包括唯一用户标识符或与用户的身份相对应的其他数据。该属性在本 文中可被称为身份托管属性并可使用素数阶密码群的某一元素来编码。假名112的经由由 审计者114生成的公共密码密钥加密的形式在本文中可被称为加密假名数据。要领会,凭 证108内编码的任何属性可被加密且可被用作加密假名数据。
[0032] 如本文所述的,如果该用户请求访问某个服务提供商,验证者106用认证组件110 评估凭证108和/或其他数据来确定准许还是拒绝该用户的请求,同时保持该用户匿名并 保持该用户对不当活动负责。凭证108不披露假名112(除了以加密形式外,加密形式可包 括相当大的数学数字或构造),但是确实能够解除匿名,由此该用户或用户的组织或设备的 身份被透露给验证者106。
[0033] 认证组件110的一部分构成证明者102的私有密钥的拥有呈递证据以及该用户在 交易相关数据上的数字签名,其中该数字签名能够经由数种密码机制来被验证,包括经由 公共密钥或私有密钥的应用或经由与散列挑战的比较。从而,呈递证据担当交易相关数据 (例如,消息)上的可验证数字签名。认证组件110还包括对假名112的承诺和假名112之 间的身份托管一致性证据(或即一致性证据)。
[0034] 根据一个示例实施例,颁发者104和证明者102根据不带双线性配对的素数阶群 构造来协商公共参数;并且基于这些参数,颁发者104或一独立的权威机构生成凭证108, 该凭证108具有包括标识符、编码属性数据的公共密钥以及包括签名值和响应值的数字签 名的格式。
[0035] 在颁发者104和证明者102之间建立的一个示例参数包括群g构造选择。如果示 例参数指定子群构造,则群g的描述(P,q,g)指定阶P的有限域的素数阶q的子群。P和 q两者都是素数,q能除尽p-1,且q是g的生成元(generator)。另一示例参数指定基于素 数域&上的椭圆曲线密码术的群构造,群g的描述(P,a,b,g,q,h)指定有限域,ρ上的椭 圆曲线,其中ρ是素数,a和b是定义该椭圆曲线的两个域元素,g是素数阶q在该曲线上的 基点(gx,gy)(以及gq的生成元),q是该群的阶,而h是该曲线的余因子。这些群构造可形 成用于生成密码群和原语的基础。
[0036] 下面的步骤描述了身份托管管理的一个示例实现。在初始设置步骤,审计者114 生成密码数据116,包括公共/私有密钥的密码密钥对。审计者114的一个示例实现在设 置阶段期间生成ElGamal加密密钥对。对密钥对的群参数应当匹配颁发者参数。该群由 G表示,G的素数阶由q表示,而用于ElGgmal加密方案的生成元被由g表示。元素g将从 群参数中被重用于颁发者104。审计者还建立定义该用户在什么条件下可被解除匿名的策 略 118〇
[0037] 颁发步骤是指执行颁发者104藉以颁发凭证108的协议。经由呈递步骤,审计者 104将身份托管属性加密为假名112并使用证明假名112的有效性的对假名112的承诺来 生成身份托管证据。在验证步骤期间,在确定呈递证据也有效之后,验证者106可验证假名 112有效。如果发生最小披露凭证滥用,则审计者114在某些条件下代表验证者106解密假 名 112〇
[0038] 以下提供了用于将身份托管管理配置为一单独的独立计算机制的附加细节,该机 制接受对属性xb的承诺(用表示)作为输入,并产生对假名加密的密文,其 中g是群生成元连同匕与-致的身份托管证据。承诺包括呈递证据和身份托管属 性xb的至少一部分。为了正确加密假名,证明者102采用审计者公共密码ElGamal密钥Η的真实副本和策略118。注意,颁发者104不应当担当用于证明Η的权威机构,因为目标就 是将颁发者104和审计者114分开。可用例如证书权威机构(CA/PKI)来完成带有真实性 的Η分发,或者Η可被嵌入证明者设备中,或作为与审计者114对接的软件包的一部分来分 发。
[0039] 证明者102和/或审计者114合作计算身份托管证据,其被如下定义:
[0040] Λ私=沒办/ir 砭為)
[0041] 密文EJPE2,连同以上证据,和呈递证据(其中属性知不被披露)包括被传达给 依赖方的认证组件110。认证组件110的身份托管证据向依赖方证明密文e2是此属性的加 密,且密文E1是素数阶密码群基本元素或生成元g的加密。用这种方式将假名112加密可 被称为可验证加密,因为依赖方可验证假名112的某个性质,而无需拥有用于解密的私有 密码密钥。例如,验证者106可确定因为密文是被正确计算的且该凭证是最小披露凭证的 某一属性所以该凭证是有效的。验证者106可在任何解密之前使用审计者114来检查假名 112的身份托管一致性证据以确定经加密的假名112是否被不利地损害/修改。
[0042] 图2是解说根据一个或多个示例实现的用于身份托管管理的示例协议的框图。该 示例系统是关于图1描述的示例性系统的替换实现。示例协议中涉及的各方包括身份管理 系统202、审计者204、用户计算设备206和身份提供者208。要领会,在该示例协议所规定 的任何操作处可补充任何其他方。
[0043] 身份管理系统202可被实现为网络或云计算资源,其中颁发者生成各种密码数 据,包括基于素数阶循环群的密码密钥和其他密码原语。身份管理系统202的示例架构包 括微软Windows?LiveId和微软Windows?Azure?ActiveDirectory?Federation Service(联合服务),其中受信安全令牌服务(STS)认证用户并随后颁发用于访问其他依 赖服务的凭证。身份管理系统202的一个实施例可以是网络或云计算资源上的集成服务, 诸如微软Windows?Azure?ActiveD'i:r.e(幽
[0044] 身份管理系统202还可实现用于管理分别包括被撤销的和/或有效的最小披露凭 证的黑名单和/或白名单的撤销权威机构。通过操作用于基于累加器的密码方案的指定验 证者撤销权威机构,根据一个示例实现,身份管理系统202的指定验证者特性提供另一级 别的私?£?性。
[0045] 服务提供商包括各种在线(S卩,因特网)特性,所述特性可采用最小披露凭证技术 来保护存储在计算机数据中的信息。身份管理系统202配置验证机制(在本文中被称为验 证者)以在服务提供商的系统上运行并证实用户提交的凭证。验证者通过评估数字签名来 确定该凭证是否是使用颁发者的密码密钥生成的来执行最小披露凭证证实。此外,该数字 签名还可用来确定在被撤销用户身份组或有效用户身份组中的成员资格或非成员资格。
[0046] 用户采用最小披露凭证技术以便选择性地披露属性信息,且仍旧被准许对某一依 赖方所提供的服务的访问。身份提供者208可包括创建用户身份的许可部门。结合身份管 理系统202,身份提供者208使用各种用户数据生成最小披露凭证并向该用户颁发该最小 披露凭证。如本文所述,可以诸如采用经编码属性(诸如车辆标识号(VIN))、汽车制造商/ 型号、凭证标识符、拥有者名称、驾驶证号和/或类似者形式的用户数据的任何组合来呈递 最小披露凭证。不管用户期望披露哪个属性(如果有),许可部门用所有这些属性的编码来 配置该凭证。
[0047] 根据一个或多个示例实现,身份管理系统202与一个或多个审计者组件(诸如身 份托管验证者210和身份托管证明者212)可通信地耦合,审计者204使用所述审计者组件 来将最小披露凭证解除匿名并经由解密经加密的假名数据来标识该用户。身份托管验证者 210在服务提供商的系统上运行并与身份管理系统202的验证者相结合地操作,如本文所 述。身份托管证明者212在用户计算设备212上运行并与身份管理系统202的证明者相结 合地操作,如本文所述。
[0048] 如在图2中所描绘的,示例协议的一个示例实现执行至少八个身份托管管理操作 的序列,其中每个操作对应于特定顺序时间点。每个操作的标签是表示该操作的序列位置 的加圈数字。
[0049] 操作一(1)表示示例协议的设置阶段,其中身份管理系统202生成密码群,诸如素 数阶循环群,其被定义为群G,其中G的素数阶由q表示,且被称为生成元的元素由g表示并 被用于审计者的加密方案。身份管理系统202的一个示例实现生成不带任何配对(诸如双 线性配对)的密码群G。元素g可被存储在颁发者的参数数据214中并从该参数数据被访 问。
[0050] 根据操作一(1)的一个示例实现,身份管理系统202的颁发者组件通过生成参数 数据214 (包括用于保护交易数据的密码数据)来发起该示例协议。生成设置参数导致至 少一组密码群元素(g。,gl,…,gb,__,gn,gt),其中1彡b彡η。所述设置参数还包括用于 颁发最小披露凭证的公共/私有密码密钥,在下文中其被称为颁发密钥。颁发者组件例如 生成私有密钥>>S%以及相应的公共密钥(g。,gi,…,gb,…,gn,gt),其中% 。
[0051] 使用参数数据214,根据一个示例实现,身份托管证明者210从素数阶群%随机生 成私有密钥X,计算公共密钥H=g/,并指定该私有和公共密码密钥用于身份托管管理。要 领会,本公开可将私有密钥X称为审计者私有密码密钥,反之亦然。尽管以上密钥对可构成 ElGamal密码密钥对,然而要领会,本公开构想了其他加密方案。由于身份托管证明者加密 每个用户的假名数据,操作一(1)的一个示例实现记录描绘每个假名且标识针对每个假名 用户的信息的身份托管数据216。身份管理系统202可代表身份托管证明者210来保存身 份托管数据216,或替换地,身份托管证明者210可保存身份托管数据216的一单独的独立 副本。身份托管证明者210可保持对身份托管数据216的完全单独控制。
[0052] 审计者204的一个示例实现创建描述准许将最小披露凭证解除匿名以及披露用 户信息的条件的策略。当验证者请求这种解除匿名时,验证者还可传达展示满足这些条件 中的至少一个条件的信息。该策略还建立用于身份托管验证者21