本發明公開了一種用戶身份可追蹤的匿名PKI系統，包括：證書申請模塊用于證書認證機構和終端設備生成相應的參數與公私鑰；證書發布模塊用于證書認證機構的私鑰對終端設備的公鑰進行簽名，生成終端設備的證書；證書隨機化模塊用于終端設備對終端設備對應的證書進行隨機化，并將隨機化后的證書發送給遠程驗證終端；證書驗證模塊用于遠程驗證終端驗證終端設備隨機化后的證書的有效性；用戶身份追蹤模塊用于根據隨機化后的所述終端設備的公鑰對所述終端設備進行追蹤以實現對用戶身份進行追蹤。該系統通過設計用戶身份可追蹤的匿名數字證書，使得系統具備良好的跨平臺特性，增強了系統的可擴展性，并保障終端設備的匿名性和可追蹤性。

技術領域

本發明涉及公鑰基礎設施PKI系統中終端設備的隱私保護與追蹤技術領域，特別涉及一種用戶身份可追蹤的匿名PKI系統。

背景技術

信息化技術的迅猛發展極大地推動了通信領域的變革。隨著電子商務、電子銀行、電子選舉、網上醫療咨詢、匿名WEB(WORLD WIDE WEB)瀏覽、匿名電子郵件等新需求的出現和普及，人們更加關注通信系統中的信息安全和個人隱私保護。傳統的公鑰基礎設施PKI(Public Key Infrastructure)雖然可以通過使用公開密鑰技術和數字證書來確保系統信息安全并驗證用戶的身份，但是PKI體系中的所有安全操作都是通過數字證書實現的，基于X.509標準的數字證書的主體名域中會標有證書持有者的真實名稱等個人信息，用戶使用該證書時容易遭受攻擊造成用戶個人身份信息的泄露。

在這種背景環境下，匿名數字證書的概念應運而生。匿名數字證書是一種新型的數字證書方案，它既有實名數字證書的功能，同時還能夠保護證書持有者的個人隱私。匿名數字證書與傳統的實名證書相似，也是基于X.509標準的，只是在主體名域中沒有標識用戶的真實名稱，而是由一個匿名來代替。匿名數字證書是PKI系統中保護用戶隱私的一種重要手段，但該方案實施過程中服務器之間復雜的交互模型使得整體架構存在性能問題。而且，匿名數字證書需要滿足可追蹤性，以便由匿名證書追蹤到實體用戶。缺失可追蹤性的匿名數字證書會使得用戶通信繞開任何現行組織或機構的審計和追蹤，容易滋生利用匿名證書進行欺詐、誹謗、盜竊等網絡違法犯罪行為。

因此，同時實現PKI系統中終端設備的隱私保護與身份追蹤是迫切需要突破的一項關鍵技術。

發明內容

本發明旨在至少在一定程度上解決相關技術中的技術問題之一。

為此，本發明的目的在于提出一種用戶身份可追蹤的匿名PKI系統。

為達到上述目的，本發明提出了用戶身份可追蹤的匿名PKI系統，包括：證書申請模塊，用于創建PKI系統的系統參數，根據所述系統參數分別生成證書認證機構的公私鑰和終端設備的公私鑰，并根據所述證書認證機構的公鑰生成追蹤參數；證書發布模塊，用于根據所述證書認證機構的私鑰對所述終端設備的公鑰進行簽名生成證書，并將所述證書和所述追蹤參數添加到證書庫中；證書隨機化模塊，用于所述終端設備對所述證書進行簽名驗證，并在確認所述證書有效后，所述終端設備對所述證書和所述終端設備的公鑰進行隨機化，并將隨機化后的證書發送給遠程驗證終端；證書驗證模塊，用于所述遠程驗證終端驗證所述隨機化后的證書的有效性；用戶身份追蹤模塊，用于從所述證書庫中獲取所述追蹤參數，并根據隨機化后的所述終端設備的公鑰對所述終端設備進行追蹤以實現對用戶身份進行追蹤。

本發明實施例的用戶身份可追蹤的匿名PKI系統，通過采用公鑰基礎設施PKI體系架構設計用戶身份可追蹤的匿名數字證書，使得系統具備良好的跨平臺特性，增強了系統的可擴展性，并保障了終端設備的匿名性和可追蹤性。

另外，根據本發明上述實施例的用戶身份可追蹤的匿名PKI系統還可以具有以下附加的技術特征：

進一步地，在本發明的一個實施例中，所述證書申請模塊和所述證書隨機化模塊的操作由所述終端設備完成，所述證書發布模塊和所述用戶身份追蹤模塊的操作由所述證書認證機構完成，所述證書驗證模塊的操作由所述遠程驗證終端完成。