专利名称:一种分布式在线社会网络密钥分发隐私保护方法
技术领域:
本发明属于社会网络隐私保护领域,涉及ー个分布式在线社会网络密钥分发隐私保护方法。
背景技术:
随着网络技术的飞速发展,以及人们对社会网络的日益热衷,分布式在线社会网络的安全和隐私保护问题也日益突出。传统的PKI体制采用的是通过ー个权威的证书认证中心CA来给所有成员进行身份认证和颁发数字证书的模式并不能很好的适应分布式在线社会网络的应用场景。 为了避免PKI的证书管理方面的庞大开销,基于身份的IBC体制被逐步引入到分布式在线社会网络中,不仅能有效简化密钥管理,还能提供更灵活的身份验证和认证等服务。但是,现有的IBC方案存在如下几个不足之处①现有多数方案都是采用离线预认证模式,或者假定ー个安全信道的存在密钥产生中心可以通过获取私钥的方式来伪装甚至陷害某个用户。这就导致了一系列实际需求在现实的分布式在线社会网络环境下,需要一种在非安全信道或称为开放信道下安全分发用户密钥的方案,并需要对用户的隐私安全级别进行进ー步的提升。
发明内容
本发明的目的是针对分布式在线社会网络,提出ー种基于开放网络的密钥分发隐私保护方案。ー个分布式在线社会网络密钥分发隐私保护方法涉及Peer、密钥产生中心KGC (Key Generator Center)及用户隐私保护助理PA (Privacy Authority)三种基本角色,其中,所述的Peer为在线社会网络中的普通用户,他们容易受到各种攻击,特别是隐私窥探攻击,对他们的有关隐私需要有效的保护机制;所述的密钥产生中心KGC负责提供Peer注册和密钥颁发服务,一般由在线社会网络服务提供商提供,如ー些知名的社会网络网站;所述的用户隐私保护助理PA负责为特定用户提供密钥相关的隐私保护服务。进ー步的,为了在线验证用户隐私保护助理PA的合法性,可以设定ー个测试用户集合T来完成对户隐私保护助理PA的在线验证。同时假定用户隐私保护助理PA是由Peer的朋友担任的,用户隐私保护助理PA并 不需要像密钥产生中心KGC那样的可靠性和安全性。分布式在线社会网络密钥分发隐私保护方法具体为步骤一密钥产生中心KGC选定系统私钥和系统安全參数,所有η个用户隐私保护助理PA联合执行一次门限密钥s分布式产生和共享过程,使得任意k个用户隐私保护助理PA利用各自拥有的密钥碎片就可以恢复s ;步骤ニ peer向密钥产生中心KGC进行注册,注册通过后密钥产生中心KGC为每个Peer产生一个卩隹一的标识IDa和证据ProofA ;
步骤三姆次需要生成密钥时,Peer A发送密钥申请,标识IDa,证据ProofA和一个随机数N给KGC ;步骤四密钥产生中心KGC对A进行注册认证,验证通过后产生ー个部分密钥,カロ上前一步收到的N —起发送给A ;步骤五A随机选择部分用户隐私保护助理PA来提供密钥辅助分发服务,井向其指定的用户隐私保护助理PA发送密钥协助申请,标识IDa,证据ProofA和一个随机数N ;步骤六用户隐私保护助理PA对A进行身份认证,通过后也产生ー个部分密钥,カロ上前一步收到的N —起发送给A ; 步骤七:A累计收到k个来自用户隐私保护助理PA的部分密钥后,组合这k个密钥并利用其产生出自己的私钥。进ー步的,用户隐私保护助理PA认证协议方式为步骤一密钥产生中心KGC给选定的Peer T集合中的成员提供ID信息,供其挑战某个特定的用户隐私保护助理PA之用;步骤ニ T中的成员分别向用户隐私保护助理PA提交部分密钥申请挑战,以期测试用户隐私保护助理PA是否拥有来自密钥产生中心KGC的合法密钥碎片;步骤三用户隐私保护助理PA向T中的成员返回部分密钥;步骤四Τ中的成员将由用户隐私保护助理PA获取的部分密钥信息提交密钥产生中心KGC验证其合法性,如果合法数超过(N-I)/3+1,则可认定用户隐私保护助理PA认证通过,并设定N为T集合的成员个数,如果该PA未认证通过,则认为该PA是恶意用户隐私保护助理PA并采取隔离措施。本发明的有益效果在于实现安全密钥的分发,系统应在无可信信道保证的环境下提供安全的密钥分发方法,井能有效抵御重放攻击,中间人攻击和内部攻击等;实现系统维护鲁棒性,系统提供一种在线鉴别恶意用户隐私保护助理PA并隔离的机制,如果被隔离的用户隐私保护助理PA过多,会导致密钥分发的失效,因此,在隔离用户隐私保护助理PA的同时,还需要不断批准新的用户隐私保护助理PA进行等量补充。
图I为本发明所述分布式在线社会网络密钥分发隐私保护方法示意图;图2为本发明所述的PA认证协议示意图
具体实施例方式如图I所示,分布式在线社会网络密钥分发隐私保护方法具体为步骤一密钥产生中心KGC选定系统私钥和系统安全參数,所有η个用户隐私保护助理PA联合执行一次门限密钥s分布式产生和共享过程,使得任意k个用户隐私保护助理PA利用各自拥有的密钥碎片就可以恢复s ;步骤ニ Peer向密钥产生中心KGC进行注册,注册通过后密钥产生中心KGC为每个Peer产生一个卩隹一的标识IDa和证据ProofA ;步骤三姆次需要生成密钥时,Peer A发送密钥申请,标识IDa,证据ProofA和一个随机数N给KGC ;
步骤四密钥产生中心KGC对A进行注册认证,验证通过后产生ー个部分密钥,カロ上前一步收到的N —起发送给A ;步骤五A随机选择部分用户隐私保护助理PA来提供密钥辅助分发服务,井向其指定的用户隐私保护助理PA发送密钥协助申请,标识IDa,证据ProofA和一个随机数N ;步骤六用户隐私保护助理PA对A进行身份认证,通过后也产生ー个部分密钥,カロ上前一步收到的N —起发送给A ;步骤七A累计收到k个来自用户隐私保护助理PA的部分密钥后,组合这k个密钥并利用其产生出自己的私钥。如图2所示,PA认证协议方式为步骤一密钥产生中心KGC给选定的Peer T集合中的成员提供ID信息,供其挑战某个特定的用户隐私保护助理PA之用;步骤ニ T中的成员分别向用户隐私保护助理PA提交部分密钥申请挑战,以期测试用户隐私保护助理PA是否拥有来自密钥产生中心KGC的合法密钥碎片;步骤三用户隐私保护助理PA向T中的成员返回部分密钥;步骤四Τ中的成员将由用户隐私保护助理PA获取的部分密钥信息提交密钥产生中心KGC验证其合法性,如果合法数超过(N-I)/3+1,则可认定用户隐私保护助理PA认证通过,并设定N为T集合的成员个数,如果该PA未认证通过,则认为该PA是恶意用户隐私保 护助理PA并采取隔离措施。
权利要求
1.一种分布式在线社会网络密钥分发隐私保护方法涉及Peer、密钥产生中心KGC及用户隐私保护助理PA三种基本角色,其中,所述的Peer为在线社会网络中的普通用户,他们容易受到各种攻击,特别是隐私窥探攻击,对他们的有关隐私需要有效的保护机制;所述的密钥产生中心KGC负责提供Peer注册和密钥颁发服务,一般由在线社会网络服务提供商提供,如一些知名的社会网络网站;所述的用户隐私保护助理PA负责为特定用户提供密钥相关的隐私保护服务。
2.如权利要求I所述的一种分布式在线社会网络密钥分发隐私保护方法,其特征在于,为了在线验证用户隐私保护助理PA的合法性,可以设定一个测试用户集合T来完成对户隐私保护助理PA的在线验证。
3.如权利要求I所述的一种分布式在线社会网络密钥分发隐私保护方法,其特征在于,分布式在线社会网络密钥分发隐私保护方法具体为 步骤一密钥产生中心KGC选定系统私钥和系统安全参数,所有n个用户隐私保护助理PA联合执行一次门限密钥s分布式产生和共享过程,使得任意k个用户隐私保护助理PA利用各自拥有的密钥碎片就可以恢复s ; 步骤二 Peer向密钥产生中心KGC进行注册,注册通过后密钥产生中心KGC为每个Peer产生一个唯一的标识IDa和证据ProofA ; 步骤三每次需要生成密钥时,Peer A发送密钥申请,标识IDa,证据ProofA和一个随机数N给KGC ; 步骤四密钥产生中心KGC对A进行注册认证,验证通过后产生一个部分密钥,加上前一步收到的N —起发送给A ; 步骤五A随机选择部分用户隐私保护助理PA来提供密钥辅助分发服务,并向其指定的用户隐私保护助理PA发送密钥协助申请,标识IDa,证据ProofA和一个随机数N ; 步骤六用户隐私保护助理PA对A进行身份认证,通过后也产生一个部分密钥,加上前一步收到的N —起发送给A ; 步骤七:A累计收到k个来自用户隐私保护助理PA的部分密钥后,组合这k个密钥并利用其产生出自己的私钥。
4.如权利要求3所述的一种分布式在线社会网络密钥分发隐私保护方法,其特征在于,用户隐私保护助理PA认证协议方式为 步骤一密钥产生中心KGC给选定的Peer T集合中的成员提供ID信息,供其挑战某个特定的用户隐私保护助理PA之用; 步骤二 T中的成员分别向用户隐私保护助理PA提交部分密钥申请挑战,以期测试用户隐私保护助理PA是否拥有来自密钥产生中心KGC的合法密钥碎片; 步骤三用户隐私保护助理PA向T中的成员返回部分密钥; 步骤四T中的成员将由用户隐私保护助理PA获取的部分密钥信息提交密钥产生中心KGC验证其合法性,如果合法数超过(N-I) /3+1,则可认定用户隐私保护助理PA认证通过,并设定N为T集合的成员个数,如果该PA未认证通过,则认为该PA是恶意用户隐私保护助理PA并采取隔离措施。
全文摘要
一个分布式在线社会网络密钥分发隐私保护方法涉及Peer、密钥产生中心KGC及用户隐私保护助理PA三种基本角色,其中,所述的Peer为在线社会网络中的普通用户,他们容易受到各种攻击,特别是隐私窥探攻击,对他们的有关隐私需要有效的保护机制;所述的密钥产生中心KGC负责提供Peer注册和密钥颁发服务,一般由在线社会网络服务提供商提供,如一些知名的社会网络网站;所述的用户隐私保护助理PA负责为特定用户提供密钥相关的隐私保护服务。本发明的有益效果在于实现安全密钥的分发,系统应在无可信信道保证的环境下提供安全的密钥分发方法,并能有效抵御重放攻击,中间人攻击和内部攻击等;实现系统维护鲁棒性,系统提供一种在线鉴别恶意用户隐私保护助理PA并隔离的机制,如果被隔离的用户隐私保护助理PA过多,会导致密钥分发的失效,因此,在隔离用户隐私保护助理PA的同时,还需要不断批准新的用户隐私保护助理PA进行等量补充。
文档编号H04L9/32GK102684883SQ20121016096
公开日2012年9月19日 申请日期2012年5月23日 优先权日2012年5月23日
发明者杨涛 申请人:杨涛