[发明专利]用户身份可追踪的匿名PKI系统

说明书

本发明公开了一种用户身份可追踪的匿名PKI系统，包括：证书申请模块用于证书认证机构和终端设备生成相应的参数与公私钥；证书发布模块用于证书认证机构的私钥对终端设备的公钥进行签名，生成终端设备的证书；证书随机化模块用于终端设备对终端设备对应的证书进行随机化，并将随机化后的证书发送给远程验证终端；证书验证模块用于远程验证终端验证终端设备随机化后的证书的有效性；用户身份追踪模块用于根据随机化后的所述终端设备的公钥对所述终端设备进行追踪以实现对用户身份进行追踪。该系统通过设计用户身份可追踪的匿名数字证书，使得系统具备良好的跨平台特性，增强了系统的可扩展性，并保障终端设备的匿名性和可追踪性。

技术领域

本发明涉及公钥基础设施PKI系统中终端设备的隐私保护与追踪技术领域，特别涉及一种用户身份可追踪的匿名PKI系统。

背景技术

信息化技术的迅猛发展极大地推动了通信领域的变革。随着电子商务、电子银行、电子选举、网上医疗咨询、匿名WEB(WORLD WIDE WEB)浏览、匿名电子邮件等新需求的出现和普及，人们更加关注通信系统中的信息安全和个人隐私保护。传统的公钥基础设施PKI(Public Key Infrastructure)虽然可以通过使用公开密钥技术和数字证书来确保系统信息安全并验证用户的身份，但是PKI体系中的所有安全操作都是通过数字证书实现的，基于X.509标准的数字证书的主体名域中会标有证书持有者的真实名称等个人信息，用户使用该证书时容易遭受攻击造成用户个人身份信息的泄露。

在这种背景环境下，匿名数字证书的概念应运而生。匿名数字证书是一种新型的数字证书方案，它既有实名数字证书的功能，同时还能够保护证书持有者的个人隐私。匿名数字证书与传统的实名证书相似，也是基于X.509标准的，只是在主体名域中没有标识用户的真实名称，而是由一个匿名来代替。匿名数字证书是PKI系统中保护用户隐私的一种重要手段，但该方案实施过程中服务器之间复杂的交互模型使得整体架构存在性能问题。而且，匿名数字证书需要满足可追踪性，以便由匿名证书追踪到实体用户。缺失可追踪性的匿名数字证书会使得用户通信绕开任何现行组织或机构的审计和追踪，容易滋生利用匿名证书进行欺诈、诽谤、盗窃等网络违法犯罪行为。

因此，同时实现PKI系统中终端设备的隐私保护与身份追踪是迫切需要突破的一项关键技术。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的目的在于提出一种用户身份可追踪的匿名PKI系统。

为达到上述目的，本发明提出了用户身份可追踪的匿名PKI系统，包括：证书申请模块，用于创建PKI系统的系统参数，根据所述系统参数分别生成证书认证机构的公私钥和终端设备的公私钥，并根据所述证书认证机构的公钥生成追踪参数；证书发布模块，用于根据所述证书认证机构的私钥对所述终端设备的公钥进行签名生成证书，并将所述证书和所述追踪参数添加到证书库中；证书随机化模块，用于所述终端设备对所述证书进行签名验证，并在确认所述证书有效后，所述终端设备对所述证书和所述终端设备的公钥进行随机化，并将随机化后的证书发送给远程验证终端；证书验证模块，用于所述远程验证终端验证所述随机化后的证书的有效性；用户身份追踪模块，用于从所述证书库中获取所述追踪参数，并根据随机化后的所述终端设备的公钥对所述终端设备进行追踪以实现对用户身份进行追踪。

本发明实施例的用户身份可追踪的匿名PKI系统，通过采用公钥基础设施PKI体系架构设计用户身份可追踪的匿名数字证书，使得系统具备良好的跨平台特性，增强了系统的可扩展性，并保障了终端设备的匿名性和可追踪性。

另外，根据本发明上述实施例的用户身份可追踪的匿名PKI系统还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述证书申请模块和所述证书随机化模块的操作由所述终端设备完成，所述证书发布模块和所述用户身份追踪模块的操作由所述证书认证机构完成，所述证书验证模块的操作由所述远程验证终端完成。