本發(fā)明涉及計算機技術與信息安全，尤其是一種基于可信根產生的匿名網絡身份認證方法及系統(tǒng)。

背景技術：

1、近年來，為了有效抵制非授權用戶或攻擊者非法收集用戶真實身份信息的問題，各類網絡應用服務商采用分散獨立建立用戶網絡身份，采用賬號、口令的身份認證方式；或要求用戶提交真實身份信息到中心進行統(tǒng)一認證和監(jiān)管；或要求用戶使用第三方應用產生的網絡身份賬戶，授權登錄的方式進行身份認證。但其存在如下缺陷：(1)賬號、口令的認證方式屬于低保障等級的認證技術，易破解，無法直接滿足實名監(jiān)管需求；(2)中心化的身份認證方式使得海量實名身份信息都集中到中心系統(tǒng)，一旦中心認證系統(tǒng)出現(xiàn)故障，很容易由單點故障造成系統(tǒng)全面停服；(3)采用第三方應用賬戶授權用戶網絡身份的方式，無統(tǒng)一的可信根產生，無法使用戶具有全局身份，無法滿足多方應用互認的需求；(4)統(tǒng)一認證平臺會大量收集、留存用戶相關明文信息，無法保障用戶網絡身份的隱私安全。綜上所述，當前網絡身份僅實現(xiàn)了基本的后臺實名、前臺匿名，對于解決網絡身份可信、隱私保護、身份監(jiān)管及多應用融合情況下的并發(fā)認證等問題，缺乏有效技術手段。

2、為此，需要一種有效的用戶網絡身份產生方法，確保能夠滿足實名制的監(jiān)管需求，有效保障網絡身份是基于可信根產生的網絡可信身份。同時，還需要保證產生的網絡身份在應用、用戶等各方中的匿名性，保障用戶網絡身份信息隱私安全，并在認證過程無需第三方機構參與，不同應用可自行實現(xiàn)用戶網絡可信身份的分布式公開認證，有效避免中心化認證時造成的單點故障，實現(xiàn)真正意義上的前臺匿名認證，后臺實名可監(jiān)管。

技術實現(xiàn)思路

1、鑒于上述的分析，本發(fā)明旨在提供一種基于可信根產生的匿名網絡身份認證方法及系統(tǒng)，實現(xiàn)了用戶匿名網絡可信身份標識的匿名化產生、受控隱私保護，解決了用戶網絡身份信息泄露及軌跡鏈接問題。

2、本發(fā)明的目的主要是通過以下技術方案實現(xiàn)的：

3、本發(fā)明公開了一種基于可信根產生的匿名網絡身份認證方法，包括：

4、可信身份管理平臺生成可信身份管理平臺的公私鑰對及公開參數；

5、以用戶真實身份作為可信根，基于可信根、可信身份管理平臺私鑰與用戶協(xié)同計算，在用戶側生成用戶注冊私鑰；

6、基于所述用戶注冊私鑰，產生與應用方對應的用戶匿名網絡可信身份標識；

7、通過所述用戶注冊私鑰對匿名網絡可信身份標識和應用域信息進行簽名，并將用戶簽名后的信息發(fā)送至應用方；所述應用域信息包括應用方id、應用域公開參數和可信身份管理平臺公開參數；

8、應用方利用可信身份管理平臺公開參數、應用域公開參數和用戶匿名網絡可信身份標識，驗證所述用戶簽名信息的正確性，完成用戶在該應用域內匿名網絡身份認證。

9、進一步的，所述以用戶真實身份作為可信根，基于可信根、在用戶側可信身份管理平臺私鑰生成用戶注冊私鑰，包括：

10、通過用戶設備向可信身份管理平臺發(fā)送注冊請求；

11、在可信身份管理平臺返回響應后，將所述可信根發(fā)送至可信身份管理平臺；

12、通過可信身份管理平臺核驗用戶網絡身份信息的真實性；若驗證通過，則基于所述可信根、可信身份管理平臺私鑰與用戶協(xié)同計算；

13、基于協(xié)同計算結果，在所述用戶設備側產生與所述真實身份緊耦合的用戶注冊私鑰。

14、進一步的，所述基于所述用戶注冊私鑰，產生與應用方對應的用戶匿名網絡可信身份標識，包括：

15、通過可信身份管理平臺對應用方創(chuàng)建相應的應用域公私鑰對；并將應用域公開參數、可信身份管理平臺公開參數發(fā)送至用戶；

16、通過用戶設備驗證域公開參數、可信身份管理平臺公開參數的正確性；若驗證通過，則基于域公開參數、可信身份管理平臺公開參數和用戶注冊私鑰，生成針對對應應用域的用戶匿名網絡可信身份標識。

17、進一步的，基于所述協(xié)同計算結果，在所述可信身份管理平臺側生成與所述真實身份緊耦合的用戶網絡可信身份參數，并記錄用戶真實身份和所述用戶網絡身份參數的對應關系表，得到用戶真實身份列表；

18、還包括對用戶網絡身份進行追溯監(jiān)管，包括：

19、應用方將包括所述匿名網絡可信身份標識、應用域公開參數、可信身份管理平臺公開參數的信息通過監(jiān)管方發(fā)送至可信身份管理平臺；

20、所述可信身份管理平臺通過應用域公開參數和可信身份管理平臺公開參數對匿名網絡可信身份標識進行打開計算，得到用戶網絡身份參數，在所述用戶真實身份列表中查找，得到用戶真實身份，并將用戶真實身份信息發(fā)送至監(jiān)管方進行監(jiān)管。

21、另一方面，還包括一種基于可信根產生的匿名網絡身份認證系統(tǒng)，包括：用戶設備、可信身份管理平臺和應用方；

22、所述用戶設備，用于與所述可信身份管理平臺協(xié)同計算產生用戶注冊私鑰，并基于用戶注冊私鑰生成與應用方對應的用戶匿名網絡可信身份標識；

23、所述可信身份管理平臺，用于基于包括可信根的用戶真實身份信息與用戶設備協(xié)同計算生成與用戶真實身份信息緊耦合的用戶網絡可信身份參數，以及針對不同的應用域生成對應的應用域公私鑰對和應用域公開參數；

24、所述應用方，用于驗證所述應用域信息的正確性、用戶簽名信息的真實性，實現(xiàn)匿名網絡可信身份認證。

25、進一步的，所述用戶設備包括匿名網絡可信身份標識終端管理模塊和用戶身份密鑰管理模塊；

26、所述用戶身份密鑰管理模塊用于與可信身份管理平臺協(xié)同計算，得到與用戶真實身份緊耦合的用戶注冊私鑰并進行存儲；

27、所述匿名網絡可信身份標識終端管理模塊用于針對不同應用方，基于用戶注冊私鑰產生對應的匿名網絡可信身份標識。

28、進一步的，所述針對不同應用方，基于用戶注冊私鑰產生對應的可信身份標識，包括：

29、通過可信身份管理平臺對應用方創(chuàng)建應用域公私鑰對；并將應用域公開參數、可信身份管理平臺公開參數發(fā)送至用戶；

30、通過用戶設備驗證域公開參數、可信身份管理平臺公開參數的正確性；若驗證通過，則基于域公開參數、可信身份管理平臺公開參數和用戶注冊私鑰，生成針對對應應用域的可信身份標識。

31、進一步的，所述可信身份管理平臺用于用戶注冊及應用域管理，包括用戶注冊及私鑰協(xié)商模塊和域管理模塊；

32、所述域管理模塊用于創(chuàng)建不同應用域的域公私鑰對、域公開參數、可信身份管理平臺公開參數，并將域公開參數、可信身份管理平臺公開參數公開給用戶設備；

33、所述用戶注冊及私鑰協(xié)商模塊用于在核驗用戶真實身份后，以用戶真實身份為可信根，與用戶協(xié)同計算，產生與用戶真實身份緊耦合的用戶網絡可信身份參數。

34、進一步的，所述可信身份管理平臺還包括匿名網絡可信身份標識存儲和撤銷模塊和匿名網絡可信身份標識打開模塊，用于身份標識監(jiān)管和撤銷；

35、所述匿名網絡可信身份標識存儲和撤銷模塊用于基于用戶的撤銷身份標識請求，驗證所述請求的合法性，將用戶匿名網絡可信身份標識添加到撤銷列表中并發(fā)布；并存儲用戶網絡可信身份參數與用戶真實身份信息對應表，以用于查找真實用戶；

36、所述匿名網絡可信身份標識打開模塊用于基于所述匿名網絡可信身份標識、域公開參數、可信身份管理平臺公開參數，利用標識打開算法，計算并查找用戶真實身份列表，追溯到用戶真實身份，以對用戶網絡身份進行監(jiān)管。

37、進一步的，所述應用方包括匿名網絡可信身份標識驗證模塊；用于利用域公開參數和可信身份管理平臺公開參數驗證應用域信息的正確性；并通過匿名網絡可信身份標識、域公開參數和可信身份管理平臺公開參數，對用戶注冊私鑰簽名信息進行認證，以判斷所述匿名網絡可信身份標識及用戶簽名的正確性。

38、本發(fā)明有益效果如下：

39、本發(fā)明基于包括可信根的用戶真實身份信息產生匿名網絡可信身份標識、用戶注冊私鑰及域公開參數、可信身份管理平臺公開參數等應用域信息。應用方通過使用匿名網絡可信身份標識、域公開參數、可信身份管理平臺公開參數等應用域信息對用戶注冊私鑰簽名信息進行驗證，判斷匿名網絡可信身份標識是否為經過可信身份管理平臺實名核驗的網絡可信身份。監(jiān)管方通過標識打開操作能夠溯源追蹤到用戶真實身份信息。從而實現(xiàn)可信身份管理平臺統(tǒng)一簽發(fā)身份、用戶與可信身份管理平臺協(xié)同產生匿名網絡可信身份標識、應用分布式認證身份、網絡身份可監(jiān)管。保證同一用戶在不同應用域間的身份標識的不可鏈接，解決了用戶匿名網絡可信身份標識的匿名化產生、受控隱私保護及分布式認證的問題。

40、應用方得到匿名的用戶網絡身份標識信息，無法解密獲取用戶真實身份信息，保護用戶網絡身份信息的隱私安全。

41、不同應用均可實現(xiàn)用戶全局網絡可信身份的分布式認證，解決中心化身份認證易存在單點故障造成的系統(tǒng)全面停服等問題，有效保障用戶網絡身份的真實性、合法性。