访问可控的跨域匿名身份认证方法、系统、设备及介质技术方案

本发明专利技术公开了一种访问可控的跨域匿名身份认证方法、系统、设备及介质，方法包括：S1、证书权威机构生成公开参数并上传至云服务器；S2、认证服务器从云服务器上获取公开参数，并将域信息发送至云服务器，云服务器计算域信息的哈希值并存储；S3、用户向证书权威机构提交自身属性集合，证书权威机构计算生成并返回该用户的密钥；S4、用户向认证服务器提交认证请求，证服务器验证认证请求的正确性和用户资格的有效性，将验证结果上传至云服务器，完成跨域认证。本发明专利技术一方面实现了在用户参与跨域认证时不泄露其身份，另一方面保证了用户身份认证时的访问控制效果，同时引入云服务器提供数据存储功能，满足了跨域匿名认证的应用需求。满足了跨域匿名认证的应用需求。满足了跨域匿名认证的应用需求。

【技术实现步骤摘要】
访问可控的跨域匿名身份认证方法、系统、设备及介质


[0001]本专利技术属于匿名认证
，具体涉及一种访问可控的跨域匿名身份认证方法、系统、设备及介质。

技术介绍

[0002]随着隐私保护技术的发展，匿名认证作为密码学中一项重要的协议，在保证用户身份隐私方面具有重要的应用。通常来说，匿名认证协议保证了用户在与另一方进行通信时的身份保密性，对方不能从通信过程中获取到该用户的身份信息，同时还能完成对该用户身份认证的功能。
[0003]基于PKI、身份和无证书等的匿名认证协议，通常能达到保护用户身份隐私的目的，具有广泛的应用范围。此外，环签名、群签名等匿名签名方案，在一定程度上实现了隐私保护，也能作为匿名认证协议完成身份认证的功能。但是，以上这些方案存在两个应用缺陷：一是，当用户从一个区域跨到另一个区域时，认证环境可能已经发生改变，隐私泄露风险增加，身份认证协议已不再适用；二是，现有的跨域认证协议不能在保护隐私的同时，进一步保证访问控制的功能。因此，如何同时保证跨域认证时的隐私和访问控制，对于现有的认证协议是一项挑战。

技术实现思路

[0004]本专利技术的主要目的在于克服现有技术的缺点与不足，提出一种访问可控的跨域匿名身份认证方法、系统、设备及介质。
[0005]为了达到上述目的，本专利技术采用以下技术方案：
[0006]一种访问可控的跨域匿名身份认证方法，设有证书权威机构CA、云服务器CS、认证服务器AS以及用户U四个实体，包括以下步骤：
[0007]S1、初始化：证书权威机构计算生成公开参数，并将公开参数上传至云服务器；
[0008]S2、域信息部署：认证服务器从云服务器上获取公开参数，并将域信息发送至云服务器，云服务器计算域信息的哈希值并存储该哈希值；
[0009]S3、用户密钥分发：用户向证书权威机构提交自身属性集合，证书权威机构计算生成并返回该用户的密钥；
[0010]S4、跨域身份认证：用户通过云服务器获取公开参数和所要访问的域信息，域信息验证通过后，向认证服务器发起认证请求，认证服务器验证认证请求的正确性和用户资格的有效性，将验证结果上传至云服务器，完成跨域认证。
[0011]本专利技术还包括一种访问可控的跨域匿名身份认证系统，系统采用本专利技术提供的跨域匿名身份认证方法，系统设有证书权威机构CA、云服务器CS、认证服务器AS以及用户U四个实体，系统包括：
[0012]初始化模块，用于证书权威机构生成公开参数并上传至云服务器；
[0013]域信息部署模块，用于云服务器计算认证服务器的域信息的哈希值并存储该哈希
值；
[0014]密钥分发模块，用于用户向证书权威机构提交自身属性集合和证书权威机构生成并返回该用户的密钥；
[0015]跨域认证模块，用于用户跨域向认证服务器申请认证时，认证服务器对其认证请求的正确性和用户资格进行验证。
[0016]本专利技术还包括一种计算机设备，包括存储器以及处理器，存储器存储有计算机程序，处理器执行计算机程序时实现如本专利技术提供的跨域匿名身份认证方法。
[0017]本专利技术还包括一种计算机可读存储介质，存储有计算机程序，当计算机程序被处理器执行时，实现如本专利技术提供的跨域匿名身份认证方法。
[0018]本专利技术与现有技术相比，具有如下优点和有益效果：
[0019]1、本专利技术针对当前跨域身份认证中的隐私保护问题，采用了基于属性的签名的技术方案，实现了用户在跨域认证过程中的身份隐藏，达到了隐藏用户身份隐私的效果。
[0020]2、本专利技术针对当前跨域身份认证缺少访问控制的问题，采用了基于属性的签名的技术方案，通过设置访问策略以达到访问控制的目的，保证了只有满足访问策略的用户才有资格进行访问，达到了身份隐私保护下的访问控制的效果。
[0021]3、本专利技术针对当前跨域身份的可信任问题，引入了云服务器以存储域信息的技术手段，通过可信云服务器来共享不同域间的信息，保证了跨域信息的可信任，达到了可信任的跨域身份认证的效果。
附图说明
[0022]图1是本专利技术方法的流程图；
[0023]图2是本专利技术方法的示意图。
具体实施方式
[0024]下面结合实施例及附图对本专利技术作进一步详细的描述，但本专利技术的实施方式不限于此。
[0025]实施例
[0026]如图1和图2所示，本专利技术，一种访问可控的跨域匿名身份认证方法，设有证书权威机构CA、云服务器CS、认证服务器AS以及用户U四个实体，包括以下步骤：
[0027]S1、初始化：证书权威机构计算并生成公开参数，将公开参数上传至云服务器；具体为：
[0028]证书权威机构CA选择素数阶p的两个循环群G1和G2，双线性配对e:G1×
G2→
G
T
，并设定作为属性集合；
[0029]从群G1选择生成元g，从群G2选择生成元
[0030]选择Hash函数从中选择随机数a0、a、b、c，计算和C＝g
c
；对于j＝1,
…
,t
maz
，分别计算
[0031]生成公开参数证书权
威机构CA将公开参数pp上传至云服务器CS。
[0032]S2、域信息部署：认证服务器从云服务器上获取公开参数，并将域信息发送至云服务器，云服务器计算域信息的哈希值并存储该哈希值；具体为：
[0033]认证服务器AS从云服务器CS获取公开参数pp，从群G1中选择随机数x
As
，计算作为其公钥，设置该域的域名D
AS
和访问策略P
AS
，发送域信息D
AS
||y
AS
||P
AS
到云服务器CS；
[0034]云服务器CS计算H(D
AS
||y
AS
||P
AS
)并存储该哈希值。
[0035]S3、用户密钥分发：用户向证书权威机构提交自身属性集合，证书权威机构计算生成并返回该用户的密钥；在本实施例中，具体为：
[0036]用户U
A
向证书权威机构CA提交自己的属性集合CA从G1群中选择生成元K
base
，计算
[0037]对于用户U
A
的每一个属性u∈S，CA计算生成U
A
的密钥sk
S
＝(K
base
,K0,{K
u
|u∈S})；
[0038]CA将sk
S
发送给用户U
A
。
[0039]S4、跨域身份认证：用户通过云服务器获取公开参数和所要访问的域信息，域信息验证通过后，向认证服务器发起认证请求，认证服务器验证认证请求的正确性和用户资格的有效性，将验证结果上传至云服务器，完成跨域认证；在本实施例中，具体为：
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问可控的跨域匿名身份认证方法，其特征在于，设有证书权威机构CA、云服务器CS、认证服务器AS以及用户U四个实体，包括以下步骤：S1、初始化：证书权威机构计算生成公开参数，并将公开参数上传至云服务器；S2、域信息部署：认证服务器从云服务器上获取公开参数，并将域信息发送至云服务器，云服务器计算域信息的哈希值并存储该哈希值；S3、用户密钥分发：用户向证书权威机构提交自身属性集合，证书权威机构计算生成并返回该用户的密钥；S4、跨域身份认证：用户通过云服务器获取公开参数和所要访问的域信息，域信息验证通过后，向认证服务器发起认证请求，认证服务器验证认证请求的正确性和用户资格的有效性，将验证结果上传至云服务器，完成跨域认证。2.根据权利要求1所述的一种访问可控的跨域匿名身份认证方法，其特征在于，步骤S1具体为：证书权威机构CA选择素数阶p的两个循环群G1和G2，双线性配对e:G1×
G2→
G
T
，并设定作为属性集合；从群G1选择生成元g，从群G2选择生成元选择Hash函数H:从中选择随机数a0、a、b、c，计算和C＝g
c
；对于j＝1,
…
,t
max
，分别计算生成公开参数证书权威机构CA将公开参数pp上传至云服务器CS。3.根据权利要求2所述的一种访问可控的跨域匿名身份认证方法，其特征在于，步骤S2具体为：认证服务器AS从云服务器CS获取公开参数pp，从群G1中选择随机数x
AS
，计算作为其公钥，设置该域的域名D
AS
和访问策略P
AS
，发送域信息D
AS
||
AS
||
AS
到云服务器CS；云服务器CS计算H(D
AS
||
AS
||
AS
)并存储该哈希值。4.根据权利要求1所述的一种访问可控的跨域匿名身份认证方法，其特征在于，步骤S3具体为：用户U向证书权威机构CA提交自己的属性集合CA从G1群中选择生成元K
base
，计算对于用户U的每一个属性u∈S，CA计算生成U的密钥sk
S
＝(K
base
,K0,{K
u
|u∈S})；CA将sk
S
发送给用户U。5.根据权利要求4所述的一种访问可控的跨域匿名身份认证方法，其特征在于，步骤S4具体为：用户U先向云服务器CS发送查询公开参数和域信息的请求，CS返回存储的pp、D
AS
||y
AS
||P
AS
和H(D
AS
||y
AS
||P
AS
)，U通过对D
AS
||y
AS
||P
AS
进行哈希运算判断其是否等于CS返回的H(D
AS
|
|y
AS
||P
AS
)，以此检验域信息的一致性；当域信息验证通过且U满足访问策略P

【专利技术属性】
技术研发人员：李鹏，赖俊祚，马浩斌，周德华，
申请(专利权)人：暨南大学，
类型：发明
国别省市：