重新設置通用名，公鑰及序列號來構造匿名證書。

②生成摘要及盲化

通過MD5算法對匿名證書生成摘要，并取隨機數進行盲化，并調用定義的簽名類對證書進行簽名以便BI對用戶身份驗證，為BI驗證用戶身份，用戶需要對證書進行簽名。

③BI簽名

BI通過調用自定義的驗證簽名類驗證證書上的簽名來確認用戶的身份，驗證通過后記錄其身份標識，然后BI調用簽名類對其進行盲簽名。

④AI簽名

AI通過調用Verify Signature類驗證用戶對匿名證書的簽名是否正確，驗證通過后，再調用Signature類對BI簽名后的值進行簽名。AI和BI聯合簽名后即為PCA對匿名證書的簽名。

2.追蹤匿名數字證書

匿名數字證書的追蹤是由站點提出追蹤匿名數字證書的申請請求，由AI服務器和BI服務器通過所存儲的值通過調用加密類PublicEncryption與解密類PrivateDecryption共同恢復出用戶的真實身份。

3.撤銷匿名數字證書

證書撤銷是在證書還未到期，提前停止證書的使用。撤銷證書的原因可能有許多，包括用戶密鑰泄露、身份改變、證書的使用用途終止、CA私鑰泄露等。

最常用的證書吊銷機制是經常發布證書撤銷列表(CRL)。CRL是由CA簽發的包括己經撤銷的未過期證書的證書序列號及撤銷日期和撤銷原因的數據結構。根據CRL列表更新方法不同CRL可分為：傳統CRL證書撤銷機制，重復發布CRL證書撤銷機制，增量CRL證書撤銷機制。本設計中使用的是CRL證書撤銷機制，它是一種有效的并具有較好伸縮性的方法。

由于匿名證書的匿名性，所以在撤銷時必須先由匿名證書追蹤到實名證書，由實名證書對用戶真實身份的進行證實的基礎上才能對匿名證書進行撤銷，此過程可以完成只撤銷匿名證書或者同時撤銷實名證書和匿名證書兩種功能。

①撤銷申請：用戶需要填寫撤銷匿名證書的申請表，其中證書別名只能為用戶名，系統自動生成，用戶不能進行修改，公共名稱為申請匿名證書的公共名稱。

②撤銷實名證書：通過系統提供的匿名證書的追蹤功能可以由匿名證書的序列號追蹤到用戶的真實身份，從而可以確定用戶的實名證書，若需要對實名證書進行撤銷，此時，可以由CA把實名證書的的序列號簽發到CRL中。

③撤銷匿名證書：在由追蹤到的實名證書對申請人的身份進行核實后，可以對匿名證書進行撤銷，由PCA對匿名證書的序列號簽發到CRL中，用戶可以通過訪問LDAP目錄等方式進行查詢。

四、結束語

本文提出了一個匿名數字證書發布方案并依此構建了一個匿名數字證書管理系統，它的實現還要受到很技術因素的影響，但隨著人們對隱私與安全問題的日益關注，基于PKI的匿名數字證書發布方案的研究也會逐步成熟，可以預測伴隨著網絡和信息安全技術的不斷發展，關于匿名數字證書的研究將會取得實質性的突破，匿名數字證書將會得到更廣泛的應用。