基于PKI的匿名數(shù)字證書(shū)系統(tǒng)的研究

重新設(shè)置通用名，公鑰及序列號(hào)來(lái)構(gòu)造匿名證書(shū)。

②生成摘要及盲化

通過(guò)MD5算法對(duì)匿名證書(shū)生成摘要，并取隨機(jī)數(shù)進(jìn)行盲化，并調(diào)用定義的簽名類(lèi)對(duì)證書(shū)進(jìn)行簽名以便BI對(duì)用戶(hù)身份驗(yàn)證，為BI驗(yàn)證用戶(hù)身份，用戶(hù)需要對(duì)證書(shū)進(jìn)行簽名。

③BI簽名

BI通過(guò)調(diào)用自定義的驗(yàn)證簽名類(lèi)驗(yàn)證證書(shū)上的簽名來(lái)確認(rèn)用戶(hù)的身份，驗(yàn)證通過(guò)后記錄其身份標(biāo)識(shí)，然后BI調(diào)用簽名類(lèi)對(duì)其進(jìn)行盲簽名。

④AI簽名

AI通過(guò)調(diào)用Verify Signature類(lèi)驗(yàn)證用戶(hù)對(duì)匿名證書(shū)的簽名是否正確，驗(yàn)證通過(guò)后，再調(diào)用Signature類(lèi)對(duì)BI簽名后的值進(jìn)行簽名。AI和BI聯(lián)合簽名后即為PCA對(duì)匿名證書(shū)的簽名。

2.追蹤匿名數(shù)字證書(shū)

匿名數(shù)字證書(shū)的追蹤是由站點(diǎn)提出追蹤匿名數(shù)字證書(shū)的申請(qǐng)請(qǐng)求，由AI服務(wù)器和BI服務(wù)器通過(guò)所存儲(chǔ)的值通過(guò)調(diào)用加密類(lèi)PublicEncryption與解密類(lèi)PrivateDecryption共同恢復(fù)出用戶(hù)的真實(shí)身份。

3.撤銷(xiāo)匿名數(shù)字證書(shū)

證書(shū)撤銷(xiāo)是在證書(shū)還未到期，提前停止證書(shū)的使用。撤銷(xiāo)證書(shū)的原因可能有許多，包括用戶(hù)密鑰泄露、身份改變、證書(shū)的使用用途終止、CA私鑰泄露等。

最常用的證書(shū)吊銷(xiāo)機(jī)制是經(jīng)常發(fā)布證書(shū)撤銷(xiāo)列表(CRL)。CRL是由CA簽發(fā)的包括己經(jīng)撤銷(xiāo)的未過(guò)期證書(shū)的證書(shū)序列號(hào)及撤銷(xiāo)日期和撤銷(xiāo)原因的數(shù)據(jù)結(jié)構(gòu)。根據(jù)CRL列表更新方法不同CRL可分為：傳統(tǒng)CRL證書(shū)撤銷(xiāo)機(jī)制，重復(fù)發(fā)布CRL證書(shū)撤銷(xiāo)機(jī)制，增量CRL證書(shū)撤銷(xiāo)機(jī)制。本設(shè)計(jì)中使用的是CRL證書(shū)撤銷(xiāo)機(jī)制，它是一種有效的并具有較好伸縮性的方法。

由于匿名證書(shū)的匿名性，所以在撤銷(xiāo)時(shí)必須先由匿名證書(shū)追蹤到實(shí)名證書(shū)，由實(shí)名證書(shū)對(duì)用戶(hù)真實(shí)身份的進(jìn)行證實(shí)的基礎(chǔ)上才能對(duì)匿名證書(shū)進(jìn)行撤銷(xiāo)，此過(guò)程可以完成只撤銷(xiāo)匿名證書(shū)或者同時(shí)撤銷(xiāo)實(shí)名證書(shū)和匿名證書(shū)兩種功能。

①撤銷(xiāo)申請(qǐng)：用戶(hù)需要填寫(xiě)撤銷(xiāo)匿名證書(shū)的申請(qǐng)表，其中證書(shū)別名只能為用戶(hù)名，系統(tǒng)自動(dòng)生成，用戶(hù)不能進(jìn)行修改，公共名稱(chēng)為申請(qǐng)匿名證書(shū)的公共名稱(chēng)。

②撤銷(xiāo)實(shí)名證書(shū)：通過(guò)系統(tǒng)提供的匿名證書(shū)的追蹤功能可以由匿名證書(shū)的序列號(hào)追蹤到用戶(hù)的真實(shí)身份，從而可以確定用戶(hù)的實(shí)名證書(shū)，若需要對(duì)實(shí)名證書(shū)進(jìn)行撤銷(xiāo)，此時(shí)，可以由CA把實(shí)名證書(shū)的的序列號(hào)簽發(fā)到CRL中。

③撤銷(xiāo)匿名證書(shū)：在由追蹤到的實(shí)名證書(shū)對(duì)申請(qǐng)人的身份進(jìn)行核實(shí)后，可以對(duì)匿名證書(shū)進(jìn)行撤銷(xiāo)，由PCA對(duì)匿名證書(shū)的序列號(hào)簽發(fā)到CRL中，用戶(hù)可以通過(guò)訪(fǎng)問(wèn)LDAP目錄等方式進(jìn)行查詢(xún)。

四、結(jié)束語(yǔ)

本文提出了一個(gè)匿名數(shù)字證書(shū)發(fā)布方案并依此構(gòu)建了一個(gè)匿名數(shù)字證書(shū)管理系統(tǒng)，它的實(shí)現(xiàn)還要受到很技術(shù)因素的影響，但隨著人們對(duì)隱私與安全問(wèn)題的日益關(guān)注，基于PKI的匿名數(shù)字證書(shū)發(fā)布方案的研究也會(huì)逐步成熟，可以預(yù)測(cè)伴隨著網(wǎng)絡(luò)和信息安全技術(shù)的不斷發(fā)展，關(guān)于匿名數(shù)字證書(shū)的研究將會(huì)取得實(shí)質(zhì)性的突破，匿名數(shù)字證書(shū)將會(huì)得到更廣泛的應(yīng)用。