[发明专利]匿名可选择凭证系统及其方法

说明书

技术领域

本发明一般地涉及通信网络安全，更具体地，涉及能够利用匿名可选择凭证保护隐私的通信设备、通信系统及其方法。

背景技术

随着智能装置、用品、移动设备、PDA和传感器的激增，可以构建普适(ubiquitous)计算环境，其由互连的设备和服务组成，提供了将数字基础设施无缝集成到我们的日常生活中的希望。不可避免的趋势是在用户能够自由选择接入网络技术、应用和服务的情况下，普适通信不断增加。也有一些方法通过使得移动设备在整个物理环境中可用并且实际上对用户不可见，来增强设备的使用。

在普适计算商业化并且被广泛采用和部署之前，它必须克服若干安全性和隐私性的挑战。普适计算的一般安全性要求包括验证和授权等。授权简单地是指这样的行为：判断某种特定权力(例如对某个资源的访问权)是否可以被授权给特定凭证的出示者。逻辑上，授权是在验证之后，验证是保密性、完整性和不可否认性前提。验证确保了用户是他或她宣称的人，而授权则允许用户基于用户的身份访问各种服务。

作为经典的研究领域，学术上已经很好地研究了授权。但是，得到的授权方案并没有考虑到隐私保护。例如，传统的授权可以向用户颁发一个凭证，用于某些访问权力。用户因此可以将该凭证出示给服务，以便根据他/她已经被授予的权力来使用服务。由于一个凭证被多次出示给服务的事实，以及用户所具有的权力不得不被整个出示给服务的事实，在普适计算环境中，这种授权方案将产生严重的隐私担忧。

例如，游客漫游到一个城市，并试图享受该城市的旅游门户站点提供的购物服务、宾馆服务、交通服务等。游客可以向该旅游门户站点支付对购物服务和宾馆服务的一天访问权力的费用。假定旅游门户站点向游客颁发一个凭证，该凭证说明用户被授权仅在2006年1月1日访问购物服务和宾馆服务。当游客多次向购物服务出示该凭证时，因为使用了单个凭证，所以他/她的活动将被容易地关联起来，并且用户的行为模式可能被模拟。购物服务将轻易地得知游客具有宾馆服务权力。不管怎样，由于可能出现广告、直销等，所以这些被认为侵犯了隐私。

由于对于普适计算，隐私保护是要解决的重要任务，因此希望理想的尊重隐私的授权满足如下要求：

1)不可链接(un-linkable)的授权访问。普适服务或者多个普适服务一起将其授权用户的活动关联起来是计算困难的。换句话说，一个普适用户不论访问了他/她被授权的一个或多个服务多少次，都将保持匿名。

2)可选择的最小权力。普适服务或者多个普适服务一起得知授权用户除了他/她出示给服务用于检验的权力之外的任何权力是计算困难的。换句话说，对于每次被许可的会话，服务得知的是该会话正好需要的用户权力。服务既不能得知用户对于该服务的权力中对于该会话来说不必要的权力，也不能得知用户对于其他服务的权力。

不难想象出一个中央授权服务器，普适用户以及普适服务在进行每次访问时都需要咨询该中央授权服务器。例如在C.Y.Yeun，E.K.Lua，J.Crowcroft，Security for Emerging Ubiquitous Networks，IEEE 62^nd VehicularTechnology Conference，2005中提出了这样一种方法。利用该方法，对于用户的每次访问尝试，服务都需要向中央授权服务器咨询用户对于该服务具有什么权力。显然，利用这种方法，因为用户从不直接将自己的全部访问权力出示给服务，所以用户隐私在一定程度上受到了保护。

但是，对于普适计算来说，要求普适用户以及服务对于每次访问都去咨询中央授权服务器并不是一个好的办法。这种方法存在很多问题。

例如，用户将不会总是具有到中央授权点的持续连接。弱的网络连接是这种情况的最被推崇的原因。然而，用户不保持到中央授权点的持续连接还有其他原因，例如到中央授权点的长的往返时间、金钱的额外花费或者电池能量的额外开销。

另外，中央授权点没有能力面对大量普适用户的挑战。如上所述，如果每个用户仅有一个来自中央授权点的授权凭证，则这样的授权凭证实际上帮助了服务将用户的活动关联起来。因此，为了满足隐私保护的需要，中央授权点必须为来自其大量用户的针对他/她访问服务的每次会话的请求做好准备。因此，可扩缩性成为一个严重问题。