【技术实现步骤摘要】
基于密钥验证凭证的高效匿名单点登录系统及方法
[0001]本专利技术涉互联网安全领域,具体涉及一种基于密钥验证凭证的高效匿名单点登录系统及方法。
技术介绍
[0002]单点登录(single sign
‑
on,SSO)的普及极大地简化了第三方资源提供者之间的身份验证与授权过程。在一个典型的SSO架构中,身份服务器(identity server,IS)负责验证请求第三方服务的用户的凭证,并为经过身份验证的用户颁发短期票据。然后,用户将获得的票据提交给指定的服务提供商(service providers,SPs)以实现身份认证。通过采用这种架构,用户无需为每个所需的服务注册一个帐户,也无需担心存储在第三方提供商中的个人信息的安全性。许多广泛使用的开源标准(如JWT、OAuth)、协议(如Kerberos、SAML)和框架(如OpenID)实现了单点登录机制;同时,这一架构也已被部署在众多网站和移动应用中。据调查,亚马逊Alexa排名前100万的网站中,有6.30%提供SSO服务,其中就包含了谷歌、雅虎、Twitter、Facebook、微软等知名龙头企业。
[0003]安全与隐私问题是单点登录系统面临的最重要的挑战之一。由于身份服务器(IS)持有注册用户的隐私并记录了其服务请求,IS经常会成为服务器入侵和数据窃取的目标。2018年,Facebook的单点登录系统曾披露遭遇大规模数据泄露事件,使得至少5000万用户被暴露于严重的隐私风险之中。出于安全与隐私考虑,许多SSO系统在票据申请阶段阻止I ...
【技术保护点】
【技术特征摘要】
1.一种基于密钥验证凭证的高效匿名单点登录系统,其特征在于,包括终端用户身份服务器服务提供商和可信仲裁机构所述向注册,获得与自己身份绑定的长期凭证,并在请求服务之前,使用自己的凭证匿名向认证,并得到签发的短期票据;所述管理用户身份,保存注册用户的身份信息并发布凭证,并负责验证匿名凭证和颁发短期票据;所述提交的票据是否为无效、过期或重用票据,并响应用户请求,如果违反用户规定,会将其票据发送给进行身份追踪;所述负责追踪恶意用户。2.根据权利要求1所述的基于密钥验证凭证的高效匿名单点登录系统,其特征在于,所述为每个生成的票据存储一个追踪标记。3.根据权利要求1或2所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法,其特征在于,包括以下阶段:系统初始化阶段:以安全参数1
λ
为输入,生成系统公共参数PP;然后分别运行Issuer
‑
Keygen、Provider
‑
Keygen、Arbitrator
‑
Keygen、User
‑
Keygen获取各自的私钥
‑
公钥对;且每个初始化一个列表同时,并且初始化一个列表以保存追踪标记;用户注册阶段:在登录并访问服务前,与身份服务器运行User
‑
Registration交互协议,将其身份注册到票据申请阶段:匿名地向认证身份,并为所申请的服务提交一个集合如果认证通过,为所有申请的服务生成票据票据验证阶段阶段:运行Ticket
‑
Validation算法对所提交的票据Tix
sp
进行验证;恶意用户追踪阶段:当检测出任何可疑用户行为时,发送对应服务请求时提交的票据给接着,执行算法Trace以对恶意用户去匿名化并输出其身份ID
eu
,公钥PK
eu
。4.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法,其特征在于,所述系统初始化阶段,具体为:运行生成一个阶为p的循环群在选取生成元与定义抗碰撞哈希函数H1:H2:后,函数输出公共参数输出公共参数选取计算计算输出的私钥SK
is
=(x1,x2,x3,x4,y),公钥PK
is
=(X1,X2,Y);选取计算并输出的私钥SK
sp
=x
sp
,公钥
随机选取并计算输出的私钥SK
ta
=x
ta
,公钥PK
ta
=Y
ta
;随机选取并计算输出的私钥SK
eu
=x
eu
,公钥PK
eu
=Y
eu
。5.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法,其特征在于,所述User
‑
Registration交互协议,具体为:首先为其公钥Y
eu
计算一个证明并将发送给如果有效,选取选取并计算其中,(t,U,V)为一个与属性x
eu
绑定的密钥验证匿名凭证;为保证发行证书的真实性,生成证明生成证明生成证明发送证明给并于本地数据库中存储(ID
eu
,PK
eu
);在收到(t,U,V)与后,验证以判断(t,U,V)是否为一个合法的匿名凭证;如果验证通过,输出cred
eu
=(t,U,V)。6.根据权利要求3所述的基于密钥验证凭证的高效匿名单点登录系统的控制方法,其特征在于,所述票据申请阶段,具体为:令符号指代所请求的服务提供者的标识符集合;选取计算计算接着,计算其将被用于还原的公钥对每个请求的对每个请求的选取一个票据标识符并计算并计算为(C
eu
,E
eu
,R
eu
);生成一个零知识证明生成一个零知识证明并将发送给在发行票据前,验证并检验等式是否成立以判断用户身份...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。