技術領域

本發明一般地涉及通信網絡安全，更具體地，涉及能夠利用匿名可選擇憑證保護隱私的通信設備、通信系統及其方法。

背景技術

隨著智能裝置、用品、移動設備、PDA和傳感器的激增，可以構建普適(ubiquitous)計算環境，其由互連的設備和服務組成，提供了將數字基礎設施無縫集成到我們的日常生活中的希望。不可避免的趨勢是在用戶能夠自由選擇接入網絡技術、應用和服務的情況下，普適通信不斷增加。也有一些方法通過使得移動設備在整個物理環境中可用并且實際上對用戶不可見，來增強設備的使用。

在普適計算商業化并且被廣泛采用和部署之前，它必須克服若干安全性和隱私性的挑戰。普適計算的一般安全性要求包括驗證和授權等。授權簡單地是指這樣的行為：判斷某種特定權力(例如對某個資源的訪問權)是否可以被授權給特定憑證的出示者。邏輯上，授權是在驗證之后，驗證是保密性、完整性和不可否認性前提。驗證確保了用戶是他或她宣稱的人，而授權則允許用戶基于用戶的身份訪問各種服務。

作為經典的研究領域，學術上已經很好地研究了授權。但是，得到的授權方案并沒有考慮到隱私保護。例如，傳統的授權可以向用戶頒發一個憑證，用于某些訪問權力。用戶因此可以將該憑證出示給服務，以便根據他/她已經被授予的權力來使用服務。由于一個憑證被多次出示給服務的事實，以及用戶所具有的權力不得不被整個出示給服務的事實，在普適計算環境中，這種授權方案將產生嚴重的隱私擔憂。

例如，游客漫游到一個城市，并試圖享受該城市的旅游門戶站點提供的購物服務、賓館服務、交通服務等。游客可以向該旅游門戶站點支付對購物服務和賓館服務的一天訪問權力的費用。假定旅游門戶站點向游客頒發一個憑證，該憑證說明用戶被授權僅在2006年1月1日訪問購物服務和賓館服務。當游客多次向購物服務出示該憑證時，因為使用了單個憑證，所以他/她的活動將被容易地關聯起來，并且用戶的行為模式可能被模擬。購物服務將輕易地得知游客具有賓館服務權力。不管怎樣，由于可能出現廣告、直銷等，所以這些被認為侵犯了隱私。

由于對于普適計算，隱私保護是要解決的重要任務，因此希望理想的尊重隱私的授權滿足如下要求：

1)不可鏈接(un-linkable)的授權訪問。普適服務或者多個普適服務一起將其授權用戶的活動關聯起來是計算困難的。換句話說，一個普適用戶不論訪問了他/她被授權的一個或多個服務多少次，都將保持匿名。

2)可選擇的最小權力。普適服務或者多個普適服務一起得知授權用戶除了他/她出示給服務用于檢驗的權力之外的任何權力是計算困難的。換句話說，對于每次被許可的會話，服務得知的是該會話正好需要的用戶權力。服務既不能得知用戶對于該服務的權力中對于該會話來說不必要的權力，也不能得知用戶對于其他服務的權力。

不難想象出一個中央授權服務器，普適用戶以及普適服務在進行每次訪問時都需要咨詢該中央授權服務器。例如在C.Y.Yeun，E.K.Lua，J.Crowcroft，Security?for?Emerging?Ubiquitous?Networks，IEEE?62^nd?VehicularTechnology?Conference，2005中提出了這樣一種方法。利用該方法，對于用戶的每次訪問嘗試，服務都需要向中央授權服務器咨詢用戶對于該服務具有什么權力。顯然，利用這種方法，因為用戶從不直接將自己的全部訪問權力出示給服務，所以用戶隱私在一定程度上受到了保護。

但是，對于普適計算來說，要求普適用戶以及服務對于每次訪問都去咨詢中央授權服務器并不是一個好的辦法。這種方法存在很多問題。

例如，用戶將不會總是具有到中央授權點的持續連接。弱的網絡連接是這種情況的最被推崇的原因。然而，用戶不保持到中央授權點的持續連接還有其他原因，例如到中央授權點的長的往返時間、金錢的額外花費或者電池能量的額外開銷。

另外，中央授權點沒有能力面對大量普適用戶的挑戰。如上所述，如果每個用戶僅有一個來自中央授權點的授權憑證，則這樣的授權憑證實際上幫助了服務將用戶的活動關聯起來。因此，為了滿足隱私保護的需要，中央授權點必須為來自其大量用戶的針對他/她訪問服務的每次會話的請求做好準備。因此，可擴縮性成為一個嚴重問題。