CN108768608B - 在区块链pki下支持瘦客户端的隐私保护身份认证方法 - Google Patents

Abstract

本发明公开了一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，属于信息安全技术领域。本发明所述方法包括以下步骤：***初始化、生成认证请求、生成查询请求、查询阶段、检测阶段、确认阶段和会话建立。本发明所述方法利用PIR等技术，使得其支持区块链中存储能力和计算能力有限的瘦客户端在去中心化的PKI中完成用户身份认证，同时保护瘦客户端的查询隐私。本发明使用基于区块链的PKI技术，解决传统PKI单点故障和多CA互信难等问题；利用PIR技术，实现去中心化PKI下瘦客户端的身份认证功能；利用PIR技术，保护瘦客户端查询过程中的数据隐私；在认证过程中加入随机数，防止中间人攻击，确保认证过程中消息不被伪造篡改。

Description

在区块链PKI下支持瘦客户端的隐私保护身份认证方法

技术领域

本发明属于信息安全技术领域，具体涉及一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法。

背景技术

PKI(Public Key Infrastructure，公钥基础设施)是一种使用公钥密码技术支持加密、认证、完整性和不可否认服务的安全基础设施，在互联网电子认证服务业中得到广泛应用。传统PKI体系结构依赖于可信的第三方，即CA中心(Certificate Authority，证书认证机构)，只有信任某个CA，才信任该CA给用户签发的数字证书。但在实际应用中，PKI技术存在：(1)单点故障问题，核心CA一旦被攻击者控制，所有证书均不可信；(2)多CA互信难问题，用户证书只能由所属CA的根证书进行验证，不同CA之间不能相互验证。

区块链技术(Blockchain)使用分布式数据存储、共识机制等技术，提供了以去中心化方式建立信任关系的思路与方案，引起了众多行业的广泛关注。区块链是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构，并以密码学方式保证的不可篡改和不可伪造的去中心化共享总账，能够安全存储简单的、有先后关系的、能在***内验证的数据。

目前已有Blockstack、CertCoin等基于区块链的PKI技术应用，可实现去中心化的认证方式，但大量的研究工作致力于设计基于区块链的PKI协议，而未考虑区块链中瘦客户端(例如智能手机用户)问题。此类用户的存储能力和计算能力有限，无法下载整个区块链，难以完成基于区块链的PKI身份认证服务。

发明内容

本发明的目的是克服上述现有技术的缺陷，提供一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法。

本发明所提出的技术问题是这样解决的：

一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，包括以下步骤：

步骤1.***初始化：用户在本地生成公私密钥对，并将身份信息和公钥注册至区块链PKI中；

步骤2.生成认证请求：在用户双方建立会话前，需互相验证对方身份的合法性。待认证用户将其身份信息和公钥封装成认证请求发送给验证方用户；

步骤3.生成查询请求：验证方用户随机选择出k-1个用户身份信息，与待认证用户身份信息一同进行混淆，并利用PIR(Private Information Retrieval，隐私信息检索)技术生成m个不同的查询请求，将其分别发送给m个全节点用户；

步骤4.查询阶段：全节点用户根据查询请求遍历区块链获取相应的公钥，并将公钥异或的结果返回给验证方用户；

步骤5.检测阶段：验证方用户将全节点用户返回的数据进行异或后恢复出公钥，并鉴别待认证用户身份的合法性；

步骤6.确认阶段：待认证用户需检测验证方用户身份的合法性，通过上述步骤2-5后，即可检测验证方用户身份的合法性；

步骤7.会话建立：若用户双方的身份均合法，则用户双方可建立会话连接，进行数据交互。

本发明的有益效果是：

本发明所述方法利用PIR等技术，使得其支持区块链中存储能力和计算能力有限的瘦客户端在去中心化的PKI中完成用户身份认证，同时保护瘦客户端的查询隐私。本发明具有如下特点：使用基于区块链的PKI技术，解决传统PKI单点故障和多CA互信难等问题；利用PIR技术，实现去中心化PKI下瘦客户端的身份认证功能；利用PIR技术，保护瘦客户端查询过程中的数据隐私；在认证过程中加入随机数，防止中间人攻击，确保认证过程中消息不被伪造篡改。

附图说明

图1为本发明所述方法的流程图；

图2为实施例采用的网格示意图。

具体实施方式

下面结合附图和实施例对本发明进行进一步的说明。

本实施例提供一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，包括以下步骤：

步骤1.***初始化：用户在本地生成公私密钥对，并将身份信息和公钥注册至区块链PKI中；具体包括以下步骤：

步骤1-1.用户x根据其身份信息IDx在本地生成公私秘钥对(PK_x，SK_x)，其中私钥SK_x安全存储在本地，公钥PK_x和身份信息ID_x为向区块链PKI注册的信息；

步骤1-2.用户计算私钥SK_x和身份信息IDx的数字签名σ_x，并向区块链中发布注册信息，(ID_x，register，values)，其中σ_x＝sig(SK_x，ID_x)，sig为数字签名算法，register为用户注册标志信息，values＝(PK_x，σ_x)；

步骤1-3.矿工获取注册信息后，首先区块链检查公钥PK_x和身份信息ID_x是否已在区块链PKI中注册，若已注册，矿工直接丢弃该注册信息；若尚未注册，矿工使用公钥PK_x来计算数字签名σ_x的正确性，若签名错误，矿工直接丢弃该注册信息；若签名正确，矿工将信息加入区块链PKI中，用户注册完成。

步骤2.生成认证请求：在用户双方建立会话前，需互相验证对方身份的合法性。待认证用户将其身份信息和公钥封装成认证请求发送给验证方用户；

待认证用户Alice将其身份信息ID_A和公钥PK_A封装成认证请求{ID_A，PK_A}发送给验证方用户Bob，等待验证方用户鉴别其身份的合法性。

步骤3.生成查询请求：验证方用户随机选择出k-1个用户身份信息，与待认证用户身份信息一同进行混淆，并利用PIR生成m个不同的查询请求，将其分别发送给m个全节点用户；

步骤3-1.验证方用户随机选择k-1个用户的身份信息ID₁，ID₂，...，ID_k-1，与待认证用户身份信息ID_A进行混淆，并将k个身份信息随机填充至维度为

的网格中，d为网格的维数，l为网格每一维上的维度，k＝l^d；

步骤3-2.验证方用户根据待认证用户的身份信息ID_A在网格中的位置，生成一个1×d维的位置向量，即身份信息ID_A可由一个唯一的d元组(i₁，i₂，...，i_d)表示，其中i_n为网格内第n个维度的位置坐标，1≤n≤d；

步骤3-3.验证方用户生成d个1×l维的随机向量

其中向量中的每个分量以1/2的概率取值为1，即满足

令向量

与整数f的Δ运算为：

其中，

为向量的第f个分量；验证方用户通过进行Δ运算得到d个新的1×l维的向量

并将2d个向量配对组成d个向量对

步骤3-4.验证方用户向m个全节点用户发送m个不同的查询请求，其中m＝2^d；具体地，对于任意全节点用户C_β，0≤β≤m-1，β的二进制表示为b₁b₂…b_d∈{0，1}^d，验证方用户从d个向量对中选出d个向量

并连同维度为

的网格一起作为查询请求发送给全节点用户C_β。

步骤4.查询阶段：全节点用户根据查询请求遍历区块链获取相应的公钥，并将公钥异或的结果返回给验证方用户；

步骤4-1.对于任意全节点用户C_β，C_β根据查询请求中值为1的向量分量的位置，按向量顺序依次构建l₁×l₂×...×l_d个维度为1×d的位置向量，其中表示第n个向量中值为1的向量分量个数；具体地，对于任意向量

根据

求解出每个向量中j_n的值，通过组合(j₁，j₂，...，j_d)得到所有需查询的位置向量

步骤4-2.全节点用户C_β根据位置向量

从维度为

的网格中选取出与位置向量对应的l₁×l₂×...×l_d个身份信息

步骤4-3.全节点用户C_β根据身份信息

遍历区块链，获取对应的l₁×l₂×...×l_d个公钥

步骤4-4.全节点用户C_β计算异或结果

并将异或结果X_β返回给验证方用户。

步骤5.检测阶段：验证方用户将全节点用户返回的数据进行异或后恢复出公钥，并鉴别待认证用户身份的合法性；

步骤5-1.验证方用户将m个全节点用户返回的m个异或结果X₀，X₁，...，X_m-1进行异或操作恢复出公钥PK′_A，即

步骤5-2.验证方用户通过判断PK_A与PK′_A是否相等，检测待认证用户的合法性；若相等，则验证方用户判断待认证用户的身份合法，进入确认阶段；若不相等，则验证方用户判定待认证用户的身份非法，并终止会话连接。

步骤6.确认阶段：待认证用户需检测验证方用户身份的合法性，通过上述步骤2-5后，即可检测验证方用户身份的合法性；

步骤6-1.验证方用户随机生成一个随机数N_B，使用待认证用户的公钥PK_A加密{ID_B，PK_B，N_B}，即

其中Enc为公钥加密函数，ID_B为验证方用户的身份信息，PK_B为验证方用户的公钥，将加密后的消息

发送给待认证用户；

步骤6-2.待认证用户获得消息

后，使用其私钥SK_A进行解密恢复出{ID_B，PK_B，N_B}，即

Dec为私钥解密函数；如果待认证用户是瘦客户端，通过步骤1-5检测验证方用户的合法性；如果待认证用户是全节点用户，其可自行检测验证方用户身份的合法性；若验证方用户身份合法，则执行步骤6-3；若验证方用户身份非法，则终止会话连接；

步骤6-3.待认证用户生成一个随机数N_A，用验证方用户的公钥PK_B加密{N_A，N_B，ID_A}，即

将加密后的消息发送给验证方用户；

步骤6-4.验证方用户获得消息

后，用其私钥SK_B进行解密恢复出{N_A，N_B，ID_A}，即

若解密消息中存在N_B，则执行步骤6-5；若解密消息中没有N_B，则说明消息被伪造篡改，验证方用户终止会话连接；

步骤6-5.验证方用户使用待认证用户的公钥PK_A加密{N_A}，即

将加密后的消息发送给待认证用户；

步骤6-6.待认证用户获得消息

后，使用其私钥SK_A进行解密恢复出{N_A}，即

若解密消息等于N_A，则整个确认阶段完成；若解密消息不等于N_A，则说明消息被伪造篡改，待认证用户终止会话连接。

步骤7.会话建立：若用户双方的身份均合法，则用户双方可建立会话连接，进行数据交互。

实施例

瘦客户端Bob需验证身份信息为ID_A，令d＝2，l＝3，有k＝9，m＝4。Bob任意选择8个身份ID，分别是ID_B，ID_C，...，ID_I。如图2所示，将9个身份信息ID_A，ID_B，...，ID_I混淆后放入3×3的网格中，使用位置向量(1，2)表示ID_A在网格中的位置。接着，Bob产生两个随机向量

通过计算ID_A的位置向量(1，2)与

的异或来获得两个新向量

随后，Bob对4个全节点用户均发送相同的3×3的网格以及2个互不相同的向量，具体地，向C₀₀发送向量

向C₀₁发送向量

向C₁₀发送向量

向C₁₁发送向量

全节点用户C₀₀发现

得到位置向量(3，1)。位置向量(3，1)对应于身份信息ID_H，故C₀₀遍历区块链获取公钥PK_H，并将结果X₁＝PK_H返回给Bob；C₀₁发现

得到位置向量(3，1)、(3，2)。位置向量(3，1)对应于身份信息ID_H，位置向量(3，2)对应于身份信息ID_D，故C₀₁遍历区块链获取公钥PK_H、PK_D，将异或结果

返回给Bob；C₁₀发现

得到位置向量(1，1)、(3，1)。位置向量(1，1)对应于身份信息ID_R，位置向量(3，1)对应于身份信息ID_H，故C₁₀遍历区块链获取公钥PK_B、PK_H，将异或结果

返回给Bob；C₁₁发现

得到位置向量(1，1)、(1，2)、(3，1)、(3，2)。位置向量(1，1)对应于身份信息ID_B，位置向量(1，2)对应于身份信息ID_A，位置向量(3，1)对应于身份信息ID_H，位置向量(3，2)对应于身份信息ID_D，故C₁₁遍历区块链获取公钥PK_B、PK_A、PK_H、PK_D，将异或结果

返回给Bob。

最终，Bob通过计算

恢复出公钥PK_A。

在上述认证过程中，全节点用户无法获知瘦客户端究竟想获取哪个身份信息对应的公钥，从而保护了瘦客户端的查询隐私。

Claims (4)

1.一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，其特征在于，包括以下步骤：

步骤1.***初始化：用户在本地生成公私密钥对，并将身份信息和公钥注册至区块链PKI中；

步骤1-1.用户x根据其身份信息ID_x在本地生成公私秘钥对(PK_x，SK_x)，其中私钥SK_x安全存储在本地，公钥PK_x和身份信息ID_x为向区块链PKI注册的信息；

步骤1-2.用户计算私钥SK_x和身份信息ID_x的数字签名σ_x，并向区块链中发布注册信息，(ID_x，register，values)，其中σ_x＝sig(SK_x，ID_x)，sig为数字签名算法，register为用户注册标志信息，values＝(PK_x，σ_x)；

步骤1-3.矿工获取注册信息后，首先区块链检查公钥PK_x和身份信息ID_x是否已在区块链PKI中注册，若已注册，矿工直接丢弃该注册信息；若尚未注册，矿工使用公钥PK_x来计算数字签名σ_x的正确性，若签名错误，矿工直接丢弃该注册信息；若签名正确，矿工将信息加入区块链PKI中，用户注册完成；

步骤2.生成认证请求：待认证用户Alice将其身份信息ID_A和公钥PK_A封装成认证请求{ID_A，PK_A}发送给验证方用户Bob，等待验证方用户鉴别其身份的合法性；

步骤3.生成查询请求：验证方用户随机选择出k-1个用户身份信息，与待认证用户身份信息一同进行混淆，并利用PIR技术生成m个不同的查询请求，将其分别发送给m个全节点用户；

步骤3-1.验证方用户随机选择k-1个用户的身份信息ID₁，ID₂，...，ID_k-1，与待认证用户身份信息ID_A进行混淆，并将k个身份信息随机填充至维度为

的网格中，d为网格的维数，l为网格每一维上的维度，k＝l^d；

步骤3-2.验证方用户根据待认证用户的身份信息ID_A在网格中的位置，生成一个1×d维的位置向量，即身份信息ID_A可由一个唯一的d元组(i₁，i₂，...，i_d)表示，其中i_n为网格内第n个维度的位置坐标，1≤n≤d；

步骤3-3.验证方用户生成d个1×l维的随机向量

其中向量中的每个分量以1/2的概率取值为1，即满足

令向量

与整数f的Δ运算为：

其中，

为向量的第f个分量；验证方用户通过进行Δ运算得到d个新的1×l维的向量

并将2d个向量配对组成d个向量对

步骤3-4.验证方用户向m个全节点用户发送m个不同的查询请求，其中m＝2^d；具体地，对于任意全节点用户C_β，0≤β≤m-1，β的二进制表示为b₁b₂...b_d∈{0，1}^d，验证方用户从d个向量对中选出d个向量

并连同维度为

的网格一起作为查询请求发送给全节点用户C_β；

步骤4.查询阶段：全节点用户根据查询请求遍历区块链获取相应的公钥，并将公钥异或的结果返回给验证方用户；

步骤5.检测阶段：验证方用户将全节点用户返回的数据进行异或后恢复出公钥，并鉴别待认证用户身份的合法性；

步骤6.确认阶段：待认证用户需检测验证方用户身份的合法性，通过上述步骤2-5后，即可检测验证方用户身份的合法性；

步骤7.会话建立：若用户双方的身份均合法，则用户双方可建立会话连接，进行数据交互。

2.根据权利要求1所述的在区块链PKI下支持瘦客户端的隐私保护身份认证方法，其特征在于，步骤4的具体过程为：

步骤4-1.对于任意全节点用户C_β，C_β根据查询请求中值为1的向量分量的位置，按向量顺序依次构建l₁×l₂×...×l_d个维度为1×d的位置向量，其中表示第n个向量中值为1的向量分量个数；具体地，对于任意向量

根据

求解出每个向量中j_n的值，通过组合(j₁，j₂，...，j_d)得到所有需查询的位置向量

步骤4-2.全节点用户C_β根据位置向量

从维度为

的网格中选取出与位置向量对应的l₁×l₂×...×l_d个身份信息

步骤4-3.全节点用户C_β根据身份信息

遍历区块链，获取对应的l₁×l₂×...×l_d个公钥

步骤4-4.全节点用户C_β计算异或结果

并将异或结果X_β返回给验证方用户。

3.根据权利要求2所述的在区块链PKI下支持瘦客户端的隐私保护身份认证方法，其特征在于，步骤5的具体过程为：

步骤5-1.验证方用户将m个全节点用户返回的m个异或结果X₀，X₁，...，X_m-1进行异或操作恢复出公钥PK′_A，即

步骤5-2.验证方用户通过判断PK_A与PK′_A是否相等，检测待认证用户的合法性；若相等，则验证方用户判断待认证用户的身份合法，进入确认阶段；若不相等，则验证方用户判定待认证用户的身份非法，并终止会话连接。

4.根据权利要求3所述的在区块链PKI下支持瘦客户端的隐私保护身份认证方法，其特征在于，步骤6的具体过程为：

步骤6-1.验证方用户随机生成一个随机数N_B，使用待认证用户的公钥PK_A加密{ID_B，PK_B，N_B}，即

其中Enc为公钥加密函数，ID_B为验证方用户的身份信息，PK_B为验证方用户的公钥，将加密后的消息

发送给待认证用户；

步骤6-2.待认证用户获得消息

后，使用其私钥SK_A进行解密恢复出{ID_B，PK_B，N_B}，即

Dec为私钥解密函数；如果待认证用户是瘦客户端，通过步骤1-步骤5检测验证方用户的合法性；如果待认证用户是全节点用户，其可自行检测验证方用户身份的合法性；若验证方用户身份合法，则执行步骤6-3；若验证方用户身份非法，则终止会话连接；

步骤6-3.待认证用户生成一个随机数N_A，用验证方用户的公钥PK_B加密{N_A，N_B，ID_A}，即

将加密后的消息发送给验证方用户；

步骤6-4.验证方用户获得消息

后，用其私钥SK_B进行解密恢复出{N_A，N_B，ID_A}，即

若解密消息中存在N_B，则执行步骤6-5；若解密消息中没有N_B，则说明消息被伪造篡改，验证方用户终止会话连接；

步骤6-5.验证方用户使用待认证用户的公钥PK_A加密{N_A}，即

将加密后的消息发送给待认证用户；

步骤6-6.待认证用户获得消息

后，使用其私钥SK_A进行解密恢复出{N_A}，即

若解密消息等于N_A，则整个确认阶段完成；若解密消息不等于N_A，则说明消息被伪造篡改，待认证用户终止会话连接。

Images