支持门限聚合的属性基匿名凭证系统

本发明属于凭证系统，具体涉及一种支持门限聚合的属性基匿名凭证系统。

背景技术：

1、区块链是一个不可篡改的、共享的分布式账本，能够用于记录各类商业应用中的交易信息，在区块链系统中部署匿名凭证有助于审计和追踪数字资产。在以太坊(ethereum)和超级账本(hyperledger)等区块链平台中，通常将凭证发布者集成到区块链节点中，并通过智能合约实现凭证的自动分发。

2、然而，区块链等分布式系统要求即使存在一定数量的不诚实或故障节点，仍能保障系统的可靠性、可信性和可用性，通常的属性凭证方案由于其依赖单一的凭证发布者而不再适用于区块链系统。门限凭证方案仅需要门限数量的发布者在线就可以实现稳定的凭证发布，因此非常适合部署在区块链系统中。

3、sonnino等第一次提出了门限凭证方案—coconut，并将其集成到ethereum和chainspace系统中。coconut支持私有和公开属性的门限发布和用户属性的选择泄露证明，并具有常数大小的用户凭证。然而，coconut不支持用户身份的门限追踪功能；此外，该方案凭证验证的通信和计算复杂度随着用户属性数量的增加而线性增长，从而限制了其在大规模用户属性应用中的部署。

4、为了在保护用户隐私的同时，调查恶意用户的行为，用户身份的追踪功能成为增强属性凭证方案的必要功能。用户身份追踪可以帮助政府和企业实现身份管理、数据审计和人员问责等内部治理。为了防止追踪权力的滥用，需要将追踪权分配给多个追踪者，并且只有超过门限数量的追踪者进行合作，追踪程序才可以执行。

5、在大规模并发应用中，较低的凭证验证开销对于提高验证服务的稳定性非常重要。在coconut方案中，不管凭证验证算法公开了多少用户属性，验证用户凭证的计算消耗都随着用户属性的数量线性增加；对于发布大量用户属性的应用程序来说，这种复杂度并不理想。例如，由隐私保护设计基金会开发的匿名凭证(irma)系统支持政府和企业广泛使用的现实世界属性，包括文凭、护照、电子卡片和在线服务的会员id等，以及与用户计算设备相关的属性，如硬件平台和软件配置；这些属性超出了姓名、性别、地址和职位等个人属性，使得某些用户的属性数量可能会增加到数百个，因此有必要在应用中降低验证用户凭证的计算开销。

6、由于具有部署灵活、隐私保护和可审计性等功能，许多分布式和可追踪的匿名凭证方案已经被提出。garman等基于分布式账本首次提出了一种去中心化的匿名凭证方案。他们的方案可以在没有可信发布者的情况下发布可公开审计的凭证；然而，在他们的方案中显示凭证需要计算耗时的双离散对数证明。后来，yang等使用基于黑名单的身份验证方法构造了一个去中心化的匿名凭证方案，该方案避免了计算复杂的双离散对数证明。但是，garman等和yang等的方案都不支持凭证的门限发布和身份的门限追踪。

7、h`ebant等利用带随机化标签的可聚合签名提出了一种多发布者的属性凭证方案。他们的方案支持可追踪性，并且首次实现了凭证显示的计算消耗与用户属性数量和凭证发布者的数量都无关。但是，由于他们使用聚合的方式实现属性泄露证明，使得方案不支持隐藏属性的关系证明。此外，他们的方案不支持凭证的门限发布和身份的门限追踪。sonnino等提出了“coconut”，这是一个基于ps签名的门限属性凭证方案；接着，rial等在通用可组合模型中分析了coconut的安全性。然而，coconut没有解决用户身份的门限追踪问题，并且凭证验证的计算开销随着用户属性的数量的增长而线性增加。

8、此外，还有一些群签名方案也实现了门限发布和门限追踪功能。例如，gennaro等提出了扩展的bbs和cl群签名方案以支持凭证的门限发布；但是，他们的方案使用签名和加密的技术构造，从而在实现门限追踪时产生了巨大的存储消耗。最近，camenisch等提出了一种短门限动态群签名方案。他们给出了门限动态群签名的形式化模型，定义了存在多个发布者和多个追踪者时的安全属性，并且利用ps签名提出了一个高效的、可证明安全的实例化构造。但是，上述群签名方案都不是基于属性的，因此不能实现细粒度的访问控制。

技术实现思路

1、本发明针对上述现有技术存在的问题，在不可链接的可编辑签名(urs)的基础上，通过融合shamir门限密码技术、elgamal加密方案和知识签名技术提出了一种新的门限的匿名凭证方案。

2、首先，本发明支持私有属性和公开属性的门限发布和用户属性的选择泄露证明等功能，使得属性凭证方案部署在分布式环境中时也能实现稳定的凭证发布和细粒度的访问控制；并且本发明支持用户身份的门限追踪功能，使其更适合部署在匿名但有责任的分布式应用中。

3、考虑区块链等分布式系统要求即使存在一定数量的不诚实或故障节点，仍能保障系统的可靠性、可信性和可用性，因此在分布式系统中部署已有的属性凭证方案不再可行。本发明涉及一种支持门限聚合的属性基匿名凭证系统。该系统针对已有的匿名凭证方案无法在分布式系统中部署的问题，在不可链接的可编辑签名基础上，通过融合shamir门限秘密共享、elgamal加密和知识签名技术提出了一个支持门限发布和门限追踪的属性基匿名凭证。本发明同时支持凭证的门限发布和用户身份的门限追踪，使得匿名凭证方案部署在分布式环境中也能实现稳定的凭证发布和可靠的用户审计。此外，本发明还支持高效的选择属性泄露证明，并实现了较低的存储和计算消耗。

4、本发明解决其技术问题具体采用的技术方案是：

5、一种支持门限聚合的属性基匿名凭证系统，包括以下六种实体：

6、ttp，作为一次性的可信的第三方，负责初始时设置系统并为ni个发布者分发公私钥对；

7、ii，作为一个独立的发布者，用于为用户发布部分属性凭证；系统中设置有ni个发布者，且只要至少ti个诚实的发布者在线，就可以向用户发布完整的属性凭证；

8、ti，作为一个独立的追踪者，用于追踪用户身份；系统中设置有nt个追踪者，且只要至少tt个诚实的追踪者在线，就可以执行用户追踪程序；

9、u拥有一个隐私的属性集合，向ni个中的ti个发布者请求凭证，然后获得的ti个部分属性凭证可以被聚合为一个完整的属性凭证；当显示凭证时，u需要向v泄露一个属性子集或提供隐藏属性的关系证明；

10、v，为一个凭证验证者，用于验证由用户产生的凭证显示令牌的正确性；

11、为一个只增的公开数据库，用户注册时，发布者将用户注册信息存储到追踪用户时，追踪者从中遍历用户注册信息；

12、系统的基本工作流程如下：

13、ttp设置系统参数，并为ni个发布者分发密钥；每个追踪者ti(i∈[1,nt])产生用于追踪用户身份的公私钥对并公开其公钥；当用户u申请获取属性凭证时，u向ni发布者提出申请；

14、每个在线的发布者为u发布部分属性凭证，并将用户注册信息存储到用户注册列表

15、从ti个发布者接收到部分属性凭证后，u将所有的部分属性凭证聚合为一个完整的属性凭证；当需要显示凭证时，u计算一个凭证显示令牌，同时泄露一个属性子集或计算隐藏属性的关系证明；当任意由用户u产生的令牌需要被追踪时，tt个在线的追踪者合作追踪用户身份。

16、进一步地，作为一个区块链，当用户注册时，发布者通过发起交易协议将用户注册信息写入区块链。

17、进一步地，将sander基于多项式的不可链接的可编辑签名urs应用于凭证发布；在凭证发布算法中，用户使用shamir的秘密共享方案将其私钥分成nt份，并使用elgamal的加密方案对每一份进行加密，然后将所有份额的密文作为注册信息的一部分发送给所有发布者；在凭证显示算法中，用户计算一个私钥的知识签名；在追踪算法中，追踪者使用基于配对的方程来确定隐藏在知识签名中的私钥与隐藏在注册信息中的私钥是否一致。

18、进一步地，在凭证发布算法中，用户使用elgamal算法对每个私有属性进行加密并计算每个密文的知识签名，以证明所有密文的正确性；用户收到密文的签名后，利用其同态性对签名进行去盲，从而获得私有属性的凭证。

19、进一步地，所述知识签名具体为：

20、对于任意的多项式时间非确定性关系np语言的知识签名由参数生成gen、签名sign和验签verify三种算法组成：

21、(1)gen(1λ)→pp：输入安全参数1λ，产生公开参数pp；

22、(2)sign(y,x,m)→π：输入消息m和一个np关系(x,y)，产生知识签名

23、(3)verify(y,π,m)→0/1：输入消息m，和知识签名π，若验证通过输出1，否则输出0。

24、相比于现有技术，本发明及其优选方案具有以下有益效果：

25、(1)本发明支持私有属性和公开属性的门限发布和用户属性的选择泄露证明等功能，使得属性凭证方案部署在分布式环境中时也能实现稳定的凭证发布和细粒度的访问控制。

26、(2)本发明支持用户身份的门限追踪功能，使其更适合部署在匿名但有责任的分布式应用中，使用不可链接的可编辑签名实现了高效的选择泄露证明。

27、(3)本发明可应用在匿名举报系统和基于许可链的匿名货币系统中用于提高系统的隐私性。