5　模型和需求

本章描述了匿名鑒別機制涉及到的模型和需求。

一個基于群組公鑰簽名的實體鑒別機制通常包含一系列的群組成員。每個群組必須有一個群組成員發布方。如果有必要通過打開在鑒別協議中產生的一個群組簽名來揭露它的聲稱方，一個群組必須有一個群組的打開方。一個群組如果有必要鏈接同一聲稱方出于鑒別的目的產生的兩個群組簽名，也可能要有一個鏈接方。這個機制的匿名強度取決于這個群組的群組成員數量，一個匿名的實體鑒別機制被定義為如下規范流程：

——密鑰的產生過程；

——匿名實體的鑒別過程；

——打開過程（如果機制支持打開）；

——鏈接過程（如果機制支持鏈接）。

正如以下定義，本部分中使用到了各種各樣的實體，有些實體在所有的機制中都會涉及到，而其它一些實體只在部分機制中才涉及到。在本部分中，如果一個機制支持打開或者鏈接，則其使用的相關操作過程所遵循的群組簽名方案參見ISO/IEC 20008-2。

——聲稱方（Claimant）：一個在被鑒別時其身份不會被揭示的實體，在本部分中，一個聲稱方充當一個群組簽名方案簽名方的角色，見ISO/IEC 20008-2；

00001注： 在某些機制中聲稱方的角色分為多個實體。例如，一個擁有有限計算和存儲能力的首要聲稱方的直接匿名鑒別(數據存取裝置)機制等,一個可信平臺模塊(TPM)，和一個擁有更多的計算能力但更少安全的助理聲稱方等,如一個普通的計算機平臺(TPM被嵌入到主機中)。

——驗證方（Verifier）：一個驗證聲稱方身份正確性的實體，而其并不知道聲稱方的真實身份；

——發布方（Issuer）：一個發送組成員憑證給聲稱方的實體，這個實體所存在的所有機制都在ISO/IEC 20008-2中詳細規定；

——打開方（Opener）：一個能夠確定使用在鑒別過程中產生的群組簽名的聲稱方身份的實體，這個實體存在于ISO/IEC 20008-2規定的部分機制中。在某些機制,集團成員關系發行人、組成員器是相同的實體；

——鏈接方（Linker）：一個能夠判斷兩個群組簽名是否來源于同一個聲稱方的實體。這個實體存在于ISO/IEC 20008-2規定的部分機制中。在一些機制中，這個鏈接方也是驗證方，在一個匿名實體驗證的機制中，這些鏈接方的數量是不固定的。

要求每個參與匿名實體鑒別機制的實體都知道一個公共的群組參數，這個參數被用于計算該機制中的許多功能。

在本部分中的第24個驗證機制有如下使用方法：如果一個在線的TTP是不需要的或者是無效的，那么應該使用到第7章中內容。在第7章中的第1-8節、第16節的機制中不需要綁定特性。第7章和第8章中的機制提供單向匿名鑒別、雙向匿名鑒別和單向匿名雙向鑒別。

撤銷過程用于撤銷用戶并且檢查用戶是否被撤銷，這個過程的細節依賴于匿名數字簽名方案，這個簽名方案被用于產生匿名鑒別中的的標權（token）。ISO/IEC 20008-1規定了撤銷過程的一般模型，ISO/IEC 20008-2規定了使用一個群組公鑰的個人匿名簽名方案的操作過程。