[发明专利]一种分布式在线社会网络密钥分发隐私保护方法

说明书

技术领域

本发明属于社会网络隐私保护领域，涉及一个分布式在线社会网络密钥分发隐私保护方法。

背景技术

随着网络技术的飞速发展，以及人们对社会网络的日益热衷，分布式在线社会网络的安全和隐私保护问题也日益突出。

传统的PKI体制采用的是通过一个权威的证书认证中心CA来给所有成员进行身份认证和颁发数字证书的模式并不能很好的适应分布式在线社会网络的应用场景。

为了避免PKI的证书管理方面的庞大开销，基于身份的IBC体制被逐步引入到分布式在线社会网络中，不仅能有效简化密钥管理，还能提供更灵活的身份验证和认证等服务。但是，现有的IBC方案存在如下几个不足之处：①现有多数方案都是采用离线预认证模式，或者假定一个安全信道的存在；②密钥产生中心可以通过获取私钥的方式来伪装甚至陷害某个用户。这就导致了一系列实际需求：在现实的分布式在线社会网络环境下，需要一种在非安全信道或称为开放信道下安全分发用户密钥的方案，并需要对用户的隐私安全级别进行进一步的提升。

发明内容

本发明的目的是针对分布式在线社会网络，提出一种基于开放网络的密钥分发隐私保护方案。

一个分布式在线社会网络密钥分发隐私保护方法涉及Peer、密钥产生中心KGC(Key Generator Center)及用户隐私保护助理PA(Privacy Authority)三种基本角色，其中，所述的Peer为在线社会网络中的普通用户，他们容易受到各种攻击，特别是隐私窥探攻击，对他们的有关隐私需要有效的保护机制；所述的密钥产生中心KGC负责提供Peer注册和密钥颁发服务，一般由在线社会网络服务提供商提供，如一些知名的社会网络网站；所述的用户隐私保护助理PA负责为特定用户提供密钥相关的隐私保护服务。

进一步的，为了在线验证用户隐私保护助理PA的合法性，可以设定一个测试用户集合T来完成对户隐私保护助理PA的在线验证。

同时假定用户隐私保护助理PA是由Peer的朋友担任的，用户隐私保护助理PA并不需要像密钥产生中心KGC那样的可靠性和安全性。

分布式在线社会网络密钥分发隐私保护方法具体为：

步骤一：密钥产生中心KGC选定系统私钥和系统安全参数，所有n个用户隐私保护助理PA联合执行一次门限密钥s分布式产生和共享过程，使得任意k个用户隐私保护助理PA利用各自拥有的密钥碎片就可以恢复s；

步骤二：Peer向密钥产生中心KGC进行注册，注册通过后密钥产生中心KGC为每个Peer产生一个唯一的标识ID_A和证据Proof_A；

步骤三：每次需要生成密钥时，Peer A发送密钥申请，标识ID_A，证据Proof_A和一个随机数N给KGC；

步骤四：密钥产生中心KGC对A进行注册认证，验证通过后产生一个部分密钥，加上前一步收到的N一起发送给A；

步骤五：A随机选择部分用户隐私保护助理PA来提供密钥辅助分发服务，并向其指定的用户隐私保护助理PA发送：密钥协助申请，标识ID_A，证据Proof_A和一个随机数N；

步骤六：用户隐私保护助理PA对A进行身份认证，通过后也产生一个部分密钥，加上前一步收到的N一起发送给A；

步骤七：A累计收到k个来自用户隐私保护助理PA的部分密钥后，组合这k个密钥并利用其产生出自己的私钥。

进一步的，用户隐私保护助理PA认证协议方式为：

步骤一：密钥产生中心KGC给选定的Peer T集合中的成员提供ID信息，供其挑战某个特定的用户隐私保护助理PA之用；

步骤二：T中的成员分别向用户隐私保护助理PA提交部分密钥申请挑战，以期测试用户隐私保护助理PA是否拥有来自密钥产生中心KGC的合法密钥碎片；

步骤三：用户隐私保护助理PA向T中的成员返回部分密钥；

步骤四：T中的成员将由用户隐私保护助理PA获取的部分密钥信息提交密钥产生中心KGC验证其合法性，如果合法数超过(N-1)/3+1，则可认定用户隐私保护助理PA认证通过，并设定N为T集合的成员个数，如果该PA未认证通过，则认为该PA是恶意用户隐私保护助理PA并采取隔离措施。