2在确定假名的有效性时 使用的某些设置和/或密文值。例如,该策略可建立哪些组件要被包括在针对该假名的一 致性证据中。
[0053] 在操作二(2),经由用户计算设备206,用户获得来自身份提供者208的某些凭证。 为了解说一个示例,该用户可通过使用有效口令来登录到与身份提供者208相关联的web 服务器中。该用户可在被从身份托管验证者210重定向之后执行这种认证。例如,当浏览 商业web特性并发起交易时,身份托管验证者210可通过将该用户转移到身份管理系统202 来保护这些交易,而身份管理系统进而将该用户重定向到身份提供者208以进行认证。
[0054] 身份提供者208向用户计算设备206指派各种数据(包括唯一标识符),且在操 作三(3),将每个值(包括该唯一标识符的值)与身份管理系统202共享。身份提供者208 可提交这种数据作为对最小披露凭证颁发的主张。该唯一标识符可被用作被配置成用于在 解除匿名之后标识用户的身份托管属性218。
[0055] 用于身份管理系统202的一个示例证明者组件(被称为证明者212)可将该唯一 标识符选择为身份托管属性218。身份管理系统202可将该唯一标识符存储在身份托管数 据216中。作为替换机制,身份提供者208不向身份管理系统204披露该唯一标识符;相 反,证明者212的一个示例实现传达身份托管假名220用于最小披露凭证颁发。
[0056] 在操作四(4),身份管理系统的颁发者组件使用由身份提供者208和/或证明者 212所提供的信息来为用户计算设备206生成并颁发最小披露凭证。该颁发者组件将该信 息编码为每个最小披露凭证中的属性。作为示例,该颁发者组件利用密码散列函数01? 来计算散列值,该散列值表示用户能够征用以获得对身份托管验证者210的访问的一个 示例身份托管假名220。作为另一示例,该颁发者将身份托管假名220的值变换为采用 big-endian(大端法)字节次序的无符号整数的二进制编码,其必须小于q以作为乘法子群 %J的有效元素。
[0057] 根据一个示例实现,证明者212保留最小披露凭证属性之一用于身份托管,S卩,身 份托管属性218,其被表示为xb。证明者212可随机选择值xb并将身份托管假名220定义 为^? = 在操作四(4),用户接收将PE编码为假名的最小披露凭证,并将该最小披露 凭证存储在用户计算设备206中。可任选地,该最小披露凭证可被存储在耦合至用户计算 设备206的分开的设备中。
[0058] 尽管身份托管属性218涉及该用户或该用户的组织,然而身份管理系统202不能 从被标记为匕的身份托管假名220中容易地解密该用户的身份。因此,身份托管假名220 为身份托管属性218提供了匿名性。不考虑用户计算设备206,审计者210能够解析该用户 的身份。
[0059] 为每个最小披露凭证选择不同的属性xb值限制了审计者妥协所导致的损失,因为 交易将仅能被颁发者链接。如果单一值&被用于该用户的各最小披露凭证中的每一个,则 PE对于所有呈递证据都相同,在给定审计者的秘密密码密钥的情况下,允许它们被链接。为 了简化对每凭证一个&值的存储和管理,可根据最小披露凭证的秘密密码密钥(以及其他 因凭证而异的信息,比如索引/计数)来计算Xb。颁发者可维护与给定身份相对应的所有 PE值的数据库。
[0060] 颁发者组件可能知道PE,但是可能或者可能不知道xb。例如,通过使用协作颁发特 征或通过针对属性i贡献象·¥?'而不是X1。这阻止了不诚实颁发者在该颁发者知道属性&的 情况下冒充证明者220。颁发者维护(PE,ID)的身份托管表,以使得当被身份托管验证者 212稍后呈递匕值时,颁发者可查找与该假名相关联的真实身份。在其中颁发者不存储这 样的表的替换实现中,从唯一标识该用户的相对小(例如,小于2 6°的大小)的可能值(诸 如社保号)的集合中选择属性xb。这允许计算loggPE,从而揭露&并标识该用户。
[0061] 在操作五(5)的一个示例实现期间,身份托管证明者210处理身份托管假名220, 并使用对身份托管假名220的承诺222,用审计者的公共密钥Η加密身份托管假名220以 生成经加密的假名数据。身份托管证明者210还计算散列挑战和响应用于生成一致性证据 224,该一致性证据被配置成验证承诺222是使用身份托管假名220计算的,这证明了经加 密的假名数据的完整性和真实性。
[0062]证明者212的一个示例实现在最小披露凭证呈递证据生成之后执行操作五(5), 其中xb除了是身份托管属性218之外还是所承诺的未披露属性。证明者212可将承诺222 定义为^其中开运算〇b和属性xb连同呈递证据和参数数据214被输入到 审计证明者210用于生成一致性证据224。以下表示了操作五(5)的示例步骤:
[0063] 1.加密
[0064] a.从Zq随机选择r
[0065] b.生成密文& 二沒' 1? 二
[0066] 2.生成一致性证据
[0067] a.从Zq随机选择Xb'、r' 和 0b '
[0068] b.计算&''衡广'E/ =gr 和馬'< 疚
[0069] α计算散列挑,丨狀=丨:艰仙p&為,
[0070] d.计算响应:^ 二r! ?O'、,=你 > -£猶(全部模 q)
[0071] 3.输出:(H
[0072] 散列挑战c的前三个字段UIDP,g。,UIDT (分别)用于唯一标识参数数据214的颁 发者参数、颁发者组件以及最小披露凭证。一个示例实现用要被认证的附加信息生成散列 挑战c。这种附加信息的示例可包括整个呈递证据、针对公共密钥Η的证书、和/或类似者。
[0073]早操作六(6),用户向身份托管验证者210呈递最小披露凭证,以及针对身份托管 假名220的呈递证据和一致性证据,诸如一致性证据224。
[0074]在操作七(7),身份托管验证者210向身份管理系统202传达最小披露凭证和证据 224以用于验证和在恰当时解密。操作八(8)的一个示例实现在呈递证据被身份管理系统 202在操作七(7)期间成功验证之后被运行。到身份托管验证者212的输入包括凭证Τ、颁 发者参数IP、包含承诺222 ^,的呈递证据、以及一致性证据224 (? 因为 该呈递证据被确定为有效,所以身份托管验证者212可假定是对xb的有效承诺。以下 步骤表示用于确定承诺222是否与身份托管假名220 -致的一个示例实现。
[0075] 1.验证经加密的假名数据(密文EdE2)是群G的有效元素。
[0076] 2.验证c和响应值具有正确长度。
[0077]
[0078]
[0079]
[0080] 5.如果c' =c则输出有效,否则无效。
[0081] 注意,步骤号3使用响应匕^来证明同一值在计算密文E2和承诺222 时被使用。
[0082] 为了将该用户解除匿名,验证者组件向身份托管验证者212发送呈递证据、最小 披露凭证、以及一致性证据222。至少,身份托管验证者212可确定该证据何时被创建以及 向哪个依赖方呈递了此证据。
[0083] 不是信任身份托管验证者210来决定何时解除匿名(这留下了开放滥用的可能), 解密策略规定何时解密经加密的假名数据是恰当的情形。如果呈递证据有效,且请求满足 解密策略,则身份托管验证者212执行以下步骤来确保密文有效并与证据224-致。如果 有效,则身份托管验证者212解密经加密的假名数据(由密文沉,E2)表示),并通过计算 下式来获得身份托管假名220 :
[0084]
[0085] 图3是解说根据一个示例实现的用于用假名来保护最小披露凭证的示例步骤的 流程图。各种硬件/软件组件(例如,图1的审计者114的组件)可被配置成执行示例步 骤。步骤302开始示例步骤并前进至步骤304,在该步骤身份托管数据被清除且发布参数被 处理。基于审计者的解除匿名策略,颁发者可有定期地清除旧的身份托管假名。例如,如果 该策略指明身份可在使用该凭证之后被揭露达至多一个月的时间段,且凭证在一个月后过 期,则颁发者应当在两个月之后删除该表格条目。
[0086] 步骤306确定颁发者参数是否定义具有配对或不具有配对的素数阶密码群。如果 例如密码群指代密码群构造的特定集合,诸如基于离散对数假设的非双线性素数阶循环子 群,则步骤306前进至步骤308。如果密码群指代具有配对(诸如双线性配对)的群构造, 则步骤306前进至步骤314。
[0087] 步骤308涉及基于素数阶密码群来配置ElGamal密钥对。如本文所述,一个示例 颁发参数指的是将密码群G定义为具有素数阶q和生成元g的素数阶循环子群。ElGamal 密码密钥对是(X,H= gx),其中X是秘密的而Η是公共的。一种替换的基于ElGamal的加 密方案支持k阈值中k解密(k-〇f-kthresholddecryption),其中密码密钥X是作为X= 叉:+…+知被加性共享的,而公共密钥变成1心"比=H,其中蘇
[0088] 作为身份托管的替代或补充,ElGamal密码密钥对可被用于小值的广义可验证加 密。例如,邮政编码或短时间戳可用这些密钥来加密,并通过求解离散对数(discretelog) 来解密。如果颁发者仅颁发具有小型属性的最小披露凭证,则解密在有界时间量内也许是 可能的。
[0089] 步骤308涉及使用审计者私有密码密钥生成经加密的假名数据,该经加密的假名 数据可被称为密文。一般而言,为了加密G中的消息m,审计者随机选择Zq中的r,并计算 密文(EpEj=ν,ηιΗ1')。当m是假名PE时,m具有形式:|^_二袞'4'其中g是公共基本元 素,而xb是加密假名的一方(例如,用户和/或审计者)已知的私有值以及是一最小披露 凭证中的属性,诸如U-证明(U-Prove)凭证。
[0090] 如果在步骤306,确定密码加密方案基于具有配对的密码群构造,则步骤314被执 行。步骤314涉及使用具有配对的密码群来生成密码密钥对。使用具有配对的密码群的方 案的一个示例实现假定DDH在具有不对称配对的群匕中是困难的。另一示例方案被配置成 在决策线性假设(DLIN)中是安全的。当步骤314的执行完成时,步骤314前进至步骤310。
[0091] 步骤310通过例如使用私