CN115277010A - 身份认证方法、***、计算机设备和存储介质 - Google Patents

身份认证方法、***、计算机设备和存储介质 Download PDF

Info

Publication number
CN115277010A
CN115277010A CN202210809236.4A CN202210809236A CN115277010A CN 115277010 A CN115277010 A CN 115277010A CN 202210809236 A CN202210809236 A CN 202210809236A CN 115277010 A CN115277010 A CN 115277010A
Authority
CN
China
Prior art keywords
identity
anonymous
authentication
supervision
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210809236.4A
Other languages
English (en)
Inventor
闫核心
胡勇银
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Mingzhu Technology Co ltd
Original Assignee
Shenzhen Mingzhu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Mingzhu Technology Co ltd filed Critical Shenzhen Mingzhu Technology Co ltd
Priority to CN202210809236.4A priority Critical patent/CN115277010A/zh
Publication of CN115277010A publication Critical patent/CN115277010A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种身份认证方法、***、计算机设备和存储介质。所述方法包括:基于认证属性和原始身份证书生成匿名身份数据;所述认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;获取身份监管设备针对所述匿名身份数据生成的监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书;所述身份监管设备用于监管所述目标用户对应的匿名身份数据;向身份认证设备发送所述匿名身份证书,使得所述身份认证设备基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证;在身份认证通过之后,获取所述身份认证设备发送的认证授权信息。采用本方法能够提高身份认证的安全性。

Description

身份认证方法、***、计算机设备和存储介质
技术领域
本申请涉及计算机技术领域,特别是涉及一种身份认证方法、***、计算机设备和存储介质。
背景技术
随着计算机技术的发展,现在人们的很多重要活动都是通过网络进行的,那么与之俱来的安全问题就显得非常重要。越来越多的人通过使用身份认证技术建立不同实体间的“信任”关系,进行可信赖的网络通信。
传统技术中,通过证书签发机构颁发的数字证书进行身份认证。验证者使用证书签发机构的公钥解开数字证书,以获取数字证书中的用户属性信息。但是,这种方式会导致用户属性信息完全暴露,无法保证用户的隐私安全。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全性的身份认证方法、***、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种身份认证方法。所述方法包括:
基于认证属性和原始身份证书生成匿名身份数据;所述认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;
获取身份监管设备针对所述匿名身份数据生成的监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书;所述身份监管设备用于监管所述目标用户对应的匿名身份数据;
向身份认证设备发送所述匿名身份证书,使得所述身份认证设备基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证;
在身份认证通过之后,获取所述身份认证设备发送的认证授权信息。
在其中一个实施例中,所述匿名身份数据包括匿名身份公钥;所述获取身份监管设备针对所述匿名身份数据生成的监管签名信息包括:
对所述匿名身份公钥进行签名,得到匿名公钥签名信息;
向身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备基于所述匿名公钥签名信息对所述匿名身份公钥进行身份有效性认证;
在身份有效性认证通过之后,获取所述身份监管设备针对所述匿名身份公钥生成的监管签名信息。
在其中一个实施例中,所述向身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备基于所述匿名公钥签名信息对所述匿名身份公钥进行身份有效性认证包括:
向所述身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备通过解析匿名公钥签名信息确定所述匿名身份公钥属于所述目标用户,并在确定所述匿名身份公钥属于所述目标用户、且所述原始身份证书有效的情况下,判定所述匿名身份公钥的身份有效性认证通过。
在其中一个实施例中,所述原始身份证书是基于所述目标用户的原始身份数据生成的数字证书;所述在身份有效性认证通过之后,获取所述身份监管设备针对所述匿名身份公钥生成的监管签名信息包括:
在身份有效性认证通过之后,使得所述身份监管设备针对所述匿名身份公钥生成附带有效期限的监管签名信息,并将所述匿名身份公钥和所述目标用户的原始身份数据对应存储。
在其中一个实施例中,所述方法还包括针对目标用户的身份追踪步骤;所述身份追踪步骤包括:
所述身份监管设备在接收到所述身份认证设备发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与所述匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
在其中一个实施例中,所述匿名身份数据包括零知识证明数据;所述向身份认证设备发送所述匿名身份证书,使得所述身份认证设备基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证包括:
向所述身份认证设备发送所述匿名身份证书,使得所述身份认证设备通过在本地解析所述匿名身份证书中的监管签名信息,对所述匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定所述目标用户具有认证属性的情况下,判定对所述目标用户的身份认证通过。
第二方面,本申请还提供了一种身份认证***。所述***包括目标用户对应的目标设备、身份认证设备和身份监管设备;
所述目标设备,用于基于认证属性和原始身份证书生成匿名身份数据;所述认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;
所述身份监管设备,用于针对所述匿名身份数据生成的监管签名信息;所述身份监管设备用于监管所述目标用户对应的匿名身份数据;
所述目标设备,还用于获取监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书;向身份认证设备发送所述匿名身份证书;
所述身份认证设备,用于基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证;在身份认证通过之后,向所述目标设备发送认证授权信息;
所述目标设备,还用于获取所述身份认证设备发送的认证授权信息。
在其中一个实施例中,所述匿名身份数据包括匿名身份公钥;所述目标设备还用于对所述匿名身份公钥进行签名,得到匿名公钥签名信息;向身份监管设备发送所述匿名公钥签名信息;所述身份监管设备,还用于基于所述匿名公钥签名信息对所述匿名身份公钥进行身份有效性认证;所述目标设备,还用于在身份有效性认证通过之后,获取所述身份监管设备针对所述匿名身份公钥生成的监管签名信息。
在其中一个实施例中,所述目标设备,还用于向所述身份监管设备发送所述匿名公钥签名信息;所述身份监管设备,还用于通过解析匿名公钥签名信息确定所述匿名身份公钥属于所述目标用户,并在确定所述匿名身份公钥属于所述目标用户、且所述原始身份证书有效的情况下,判定所述匿名身份公钥的身份有效性认证通过。
在其中一个实施例中,所述原始身份证书是基于所述目标用户的原始身份数据生成的数字证书;在身份有效性认证通过之后,所述身份监管设备还用于针对所述匿名身份公钥生成附带有效期限的监管签名信息,并将所述匿名身份公钥和所述目标用户的原始身份数据对应存储。
在其中一个实施例中,所述身份监管设备还用于在接收到所述身份认证设备发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与所述匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
在其中一个实施例中,所述匿名身份数据包括零知识证明数据;所述目标设备,还用于向所述身份认证设备发送所述匿名身份证书;所述身份认证设备,还用于通过在本地解析所述匿名身份证书中的监管签名信息,对所述匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定所述目标用户具有认证属性的情况下,判定对所述目标用户的身份认证通过。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请所述方法各实施例中的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本申请所述方法各实施例中的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现本申请所述方法各实施例中的步骤。
上述身份认证方法、***、计算机设备、存储介质和计算机程序产品,基于认证属性和原始身份证书生成匿名身份数据;认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;获取身份监管设备针对匿名身份数据生成的监管签名信息,以根据监管签名信息和匿名身份数据得到匿名身份证书;身份监管设备用于监管目标用户对应的匿名身份数据;向身份认证设备发送匿名身份证书,使得身份认证设备基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证;在身份认证通过之后,获取身份认证设备发送的认证授权信息。通过身份监管设备针对目标用户对应的匿名身份数据进行签名,得到监管签名信息,身份认证设备能够基于匿名身份证书中的监管签名信息和匿名身份数据对目标用户进行身份认证,从而能够在不完全暴露用户属性信息的情况下,完成对目标用户的身份认证,提高了安全性。
附图说明
图1为一个实施例中身份认证方法的应用环境图;
图2为一个实施例中身份认证方法的流程示意图;
图3为一个实施例中身份认证方法的简易流程示意图;
图4为一个实施例中身份认证的时序图;
图5为一个实施例中身份认证***的结构框图;
图6为一个实施例中计算机设备的内部结构图;
图7为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的身份认证方法,可以应用于如图1所示的应用环境中。其中,目标设备102、身份认证设备104和身份监管设备106通过区块链网络进行通信。目标设备102可以基于认证属性和原始身份证书生成匿名身份数据;认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;目标设备102可以获取身份监管设备106针对匿名身份数据生成的监管签名信息,以根据监管签名信息和匿名身份数据得到匿名身份证书;身份监管设备用于监管目标用户对应的匿名身份数据;目标设备102可以向身份认证设备104发送匿名身份证书,使得身份认证设备104基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证;目标设备102在身份认证通过之后,获取身份认证设备104发送的认证授权信息。
其中,目标设备102、身份认证设备104和身份监管设备106是区块链网络中的计算机设备。计算机设备可以是终端或者服务器。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种身份认证方法,该方法通过目标设备、身份认证设备和身份监管设备之间的交互实现,包括以下步骤:
步骤202,基于认证属性和原始身份证书生成匿名身份数据。
其中,认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性。身份属性用于指示目标用户具有的身份特性。原始身份证书是基于目标用户的原始身份数据生成的数字证书,用于证明目标用户的原始身份。原始身份证书中包括目标用户的原始身份属性。原始身份属性是目标用户本身具有的身份属性,没有经过任何修改,是真实的身份属性。可以理解,目标用户本身具有原始身份数据,原始身份数据中包括目标用户全部的原始身份属性。原始身份数据与目标用户一一对应。匿名身份数据是用于选择性地证明目标用户具有认证属性,并隐藏其他对于身份认证不必要的原始身份属性的身份数据。可以理解,匿名身份数据实质上是用于进行身份认证的假名身份数据。目标用户可以对应多种匿名身份数据,即,目标用户可以具有多个假名身份。
具体地,目标设备可以触发身份认证设备对目标用户进行身份认证。身份认证设备可以确定需要认证的身份属性,得到认证属性。目标设备可以获取身份认证设备发送的认证属性,基于原始身份证书中的原始身份属性,生成认证属性的零知识证明数据,得到包括认证属性的零知识证明数据的匿名身份数据。可以理解,认证属性的零知识证明数据可以在目标设备不向身份认证设备发送认证属性的情况下,使得身份认证设备确认目标用户具有认证属性。
在一个实施例中,目标设备可以是业务使用方,身份认证设备可以是业务验证方。在业务交易的过程中,目标设备可以触发身份认证设备确定认证属性和挑战值;目标设备可以使用原始身份数据中的原始身份私钥对挑战值进行签名,得到挑战值签名信息,以得到包括挑战值签名信息和认证属性的零知识证明数据的匿名身份数据。可以理解,挑战值签名信息用于使得身份认证设备确定正在进行身份认证的目标用户与触发身份认证的用户一致,即,目标设备是正确的通信对象。在一个实施例中,在身份认证的过程中,目标设备可以使用基于离散对数难题的知识证明机制(Schnorr机制),并结合启发式变换(Fiat-Shamir)将交互式零知识证明转换为非交互式零知识证明,配合身份认证设备完成身份认证。
在一个实施例中,匿名身份数据包括匿名身份密钥对。目标设备可以从原始身份密钥对中派生出匿名身份密钥对。比如,目标设备可以将原始身份密钥对作为密钥派生函数的输入,通过密钥派生函数输出匿名身份私钥和匿名身份公钥,得到匿名身份密钥对。
在一个实施例中,匿名身份数据可以包括原始身份证书的零知识证明数据。目标设备可以获取身份认证设备发送的认证属性,利用身份混淆技术(Identity Mixer)生成原始身份证书和认证属性的零知识证明数据。可以理解,原始身份证书的零知识证明数据可以在目标设备不向身份认证设备发送原始身份证书的情况下,使得身份认证设备确认目标用户具有授权的原始身份证书。原始身份证书实际上是对原始身份数据授权生成的数字证书,具有原始身份证书的目标设备才能够在区块链网络中进行双方通信。其中,身份混淆技术是区别于传统公钥基础设施(PKI)实名证书的匿名认证方式,具有高效的零知识证明和可验证加密算法,能在不打开签名的条件下证明签名者具有某些属性,可以实现隐藏用户部分属性的同时达到认证的目的。在一个实施例中,目标设备可以向身份授权设备发送原始身份数据。身份授权设备可以对原始身份数据进行授权签名,生成授权签名信息,以得到包括原始身份数据和授权签名信息的原始身份证书。其中,身份授权设备用于签发原始身份证书,相当于证书签证机关(Certification Authority,CA),即,区块链网络中的通信授权机构。可以理解,身份授权设备拥有一个包括身份授权公钥和身份授权私钥的身份授权证书,在获取到身份授权设备的包括身份授权公钥的身份授权证书的情况下,能够使用身份授权公钥验证身份授权设备所签发的原始身份证书。
在一个实施例中,身份授权设备可以通过约定认证策略和选取算法公共参数,生成身份授权设备的身份授权密钥对、以及身份监管设备的身份监管密钥对,得到身份授权设备的身份授权证书。可以理解,身份授权密钥对包括身份授权公钥和身份授权私钥。身份监管密钥对包括身份监管公钥和身份监管私钥身份授权设备和身份监管设备可以对应于同一区块链节点,即,身份授权设备和身份监管设备执行的步骤可以由同一设备执行。
在一个实施例中,身份授权设备可以基于输入的安全参数λ和密钥生成算法,生成身份授权密钥对(CSK,CPK),以及身份监管密钥对(MSK,MPK)。其中,CSK为身份授权私钥,CPK为身份授权公钥,MSK为身份监管私钥,MPK为身份监管公钥。可以理解,身份授权密钥对用于生成和验证原始身份证书。身份监管密钥对用于生成和验证匿名身份证书。可以理解,身份监管设备和身份授权设备可以根据业务场景分开部署或者合设。
在一个实施例中,身份授权设备可以向位于同一区块链网络中的任一设备同步身份授权公钥和身份监管公钥。
在一个实施例中,身份授权设备和身份监管设备可以对应于不同的区块链节点,身份授权设备可以生成包括身份授权密钥对的身份授权证书。身份监管设备可以向身份授权设备申请身份监管证书,在申请通过之后,得到包括身份监管密钥对的身份监管证书。可以理解,身份授权设备也可以直接生成包括身份监管密钥对的身份监管证书,并向身份监管设备同步该身份监管证书。
在一个实施例中,身份授权设备可以向位于同一区块链网络中的任一设备同步身份授权公钥。身份授权设备也可以向位于同一区块链网络中的任一设备同步身份监管公钥。可以理解,身份监管设备可以向位于同一区块链网络中的任一设备同步身份监管公钥。
在一个实施例中,目标设备可以通过注册目标用户的原始身份属性,以生成原始身份证书请求(CertQuest)。目标设备可以将原始身份证书请求发送至身份授权设备,使得身份授权设备对原始身份证书请求进行验证,在验证通过之后,保存目标用户的原始身份属性并生成原始身份证书。可以理解,目标设备可以基于注册的原始身份私钥和原始身份属性,以及身份授权设备发送的随机值,生成包括原始身份公钥等信息的原始身份证书请求。若原始身份证书请求不合法,则身份授权设备可以拒绝该请求。
在一个实施例中,原始身份证书请求中包括目标设备使用原始身份私钥生成的原始签名信息,身份授权设备可以使用原始身份公钥验证原始身份证书请求中的原始签名信息。可以理解,原始签名信息是目标设备使用原始身份私钥生成的,用于指示身份授权设备确定原始身份请求对应的目标用户。验证通过后,身份授权设备可以基于身份授权密钥对(CSK,CPK)、原始身份证书请求(CertQuest)、以及原始身份属性,生成原始身份证书,并发送至目标设备。
在一个实施例中,目标设备可以使用身份授权公钥对接收到的原始身份证书进行验证,在确定原始身份证书是由身份授权设备签发的之后,对原始身份证书进行保存,否则重新向身份授权设备申请原始身份证书。
步骤204,获取身份监管设备针对所述匿名身份数据生成的监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书。
其中,身份监管设备用于监管目标用户对应的匿名身份数据。监管签名信息用于指示匿名身份数据已被身份监管设备监管。
具体地,目标设备可以向身份监管设备发送匿名身份公钥,使得身份监管设备针对匿名身份公钥生成监管签名信息。目标设备可以得到包括监管签名信息和匿名身份数据的匿名身份证书。
步骤206,向身份认证设备发送匿名身份证书,使得身份认证设备基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证;在身份认证通过之后,获取身份认证设备发送的认证授权信息。
其中,认证授权信息用于指示目标用户的身份认证通过。
具体地,目标设备可以向身份认证设备发送匿名身份证书。身份认证设备可以基于匿名身份证书中的监管签名信息对匿名身份证书进行监管有效性认证,以及基于匿名身份数据确定目标用户是否具有认证属性。在监管有效性通过、且目标用户具有认证属性的情况下,判定目标用户的身份认证通过。身份认证通过之后,身份认证设备生成认证授权信息。目标设备可以获取身份认证设备发送的认证授权信息。
上述身份认证方法中,基于认证属性和原始身份证书生成匿名身份数据;认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;获取身份监管设备针对匿名身份数据生成的监管签名信息,以根据监管签名信息和匿名身份数据得到匿名身份证书;身份监管设备用于监管目标用户对应的匿名身份数据;向身份认证设备发送匿名身份证书,使得身份认证设备基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证;在身份认证通过之后,获取身份认证设备发送的认证授权信息。通过身份监管设备针对目标用户对应的匿名身份数据进行签名,得到监管签名信息,身份认证设备能够基于匿名身份证书中的监管签名信息和匿名身份数据对目标用户进行身份认证,从而能够在不完全暴露用户属性信息的情况下,完成对目标用户的身份认证,提高了安全性。
此外,通过身份混淆技术(Identity Mixer)虽然可以将证书转换为用户任何假名的有效标记,这些标记只包含原始凭证中的认证属性,转换后的标记在身份授权公钥(CA公钥)下仍可验证,但是,这种方式会导致假名身份无法被有效监管。通过身份监管设备对匿名身份信息进行监管,能够进一步地提高安全性。
在一个实施例中,匿名身份数据包括匿名身份公钥;获取身份监管设备针对匿名身份数据生成的监管签名信息包括:对匿名身份公钥进行签名,得到匿名公钥签名信息;向身份监管设备发送匿名公钥签名信息,使得身份监管设备基于匿名公钥签名信息对匿名身份公钥进行身份有效性认证;在身份有效性认证通过之后,获取身份监管设备针对匿名身份公钥生成的监管签名信息。
其中,匿名公钥签名信息用于指示匿名身份公钥属于目标用户。
具体地,目标设备可以使用原始身份私钥对匿名身份公钥进行签名,得到匿名公钥签名信息。目标设备可以向身份监管设备发送匿名公钥签名信息和匿名身份公钥。身份监管设备可以使用原始身份公钥解析匿名公钥签名信息,通过比对解析后的监管签名信息和匿名身份公钥,对匿名身份公钥进行身份有效性认证。在身份有效性认证通过之后,目标设备可以获取身份监管设备针对匿名身份公钥生成的监管签名信息。
在一个实施例中,身份监管设备可以在确定解析后的监管签名信息和匿名身份公钥一致的情况下,确定匿名身份公钥属于目标用户,以对匿名身份公钥进行身份有效性认证。
在一个实施例中,在身份有效性认证通过之后,身份监管设备可以使用身份监管公钥对匿名身份公钥进行签名,生成监管签名信息。
本实施例中,通过对匿名身份公钥进行签名,得到匿名公钥签名信息,以及使得身份监管设备基于匿名公钥签名信息对匿名身份公钥进行身份有效性认证,从而能够在身份有效性认证通过之后,获取身份监管设备针对匿名身份公钥生成的监管签名信息,实现了对匿名身份公钥的监管,提高了安全性。并且后续便于身份认证设备可以基于监管签名信息在本地进行身份认证。
在一个实施例中,向身份监管设备发送匿名公钥签名信息,使得身份监管设备基于匿名公钥签名信息对匿名身份公钥进行身份有效性认证包括:向身份监管设备发送匿名公钥签名信息,使得身份监管设备通过解析匿名公钥签名信息确定匿名身份公钥属于目标用户,并在确定匿名身份公钥属于目标用户、且原始身份证书有效的情况下,判定匿名身份公钥的身份有效性认证通过。
其中,原始身份证书有效是指在身份授权设备对原始身份证书的授权有效的情况下,目标用户没有撤销原始身份证书。
具体地,目标设备可以向身份监管设备发送匿名公钥签名信息和匿名身份公钥。身份监管设备可以使用目标用户的原始身份公钥解析匿名公钥签名信息,在确定解析后的匿名公钥签名信息与匿名身份公钥一致的情况下,确定匿名身份公钥属于目标用户。身份监管设备可以在确定匿名身份公钥属于目标用户的情况下,验证目标用户的原始身份证书是否被撤销,即,原始身份证书的授权是否有效。在所述原始身份证书没有被撤销的情况下,身份监管设备可以确定原始身份证书有效,以判定匿名身份公钥的身份有效性认证通过。
本实施例中,向身份监管设备发送匿名公钥签名信息,使得身份监管设备通过解析匿名公钥签名信息确定匿名身份公钥属于目标用户,并在确定匿名身份公钥属于目标用户、且原始身份证书有效的情况下,判定匿名身份公钥的身份有效性认证通过,后续对匿名身份公钥生成监管签名信息以监管匿名身份公钥,提高了安全性。
在一个实施例中,原始身份证书是基于目标用户的原始身份数据生成的数字证书;在身份有效性认证通过之后,获取身份监管设备针对匿名身份公钥生成的监管签名信息包括:在身份有效性认证通过之后,使得身份监管设备针对匿名身份公钥生成附带有效期限的监管签名信息,并将匿名身份公钥和目标用户的原始身份数据对应存储。
具体地,在身份有效性认证通过之后,身份监管设备可以使用身份监管私钥对匿名身份公钥进行签名,生成附带有效期限的监管签名信息。身份监管设备可以将匿名身份公钥和目标用户的原始身份数据对应存储。可以理解,监管签名信息附带有效期限,可以使得身份认证设备在监管签名信息的有效期限内对目标用户进行离线身份认证。
在一个实施例中,原始身份数据可以对应一个身份标识。可以理解,身份监管设备可以将身份标识和原始身份数据对应存储。身份监管设备可以将匿名身份公钥和相应的身份标识对应存储。
在一个实施例中,身份授权设备可以将身份标识和原始身份数据对应存储。身份监管设备可以只存储身份标识,无需存储原始身份数据。可以理解,身份监管设备可以向身份授权设备发送身份标识以得到相应的原始身份数据。
本实施例中,在身份有效性认证通过之后,使得身份监管设备针对匿名身份公钥生成附带有效期限的监管签名信息,并将匿名身份公钥和目标用户的原始身份数据对应存储,使得身份认证设备在监管签名信息的有效期限内对目标用户进行离线身份认证,不需要身份监管设备的配合验证,身份监管和身份认证解耦,提高了适应性。
在一个实施例中,方法还包括针对目标用户的身份追踪步骤;身份追踪步骤包括:身份监管设备在接收到身份认证设备发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
具体地,身份认证设备可以向监管设备发送匿名身份公钥和监管签名信息,触发身份监管设备对目标用户进行身份追踪。可以理解,目标设备使用目标用户的匿名身份证书从身份认证设备出获得认证授权信息,后续在发生纠纷的时候,需要身份监管设备追踪目标用户的原始身份数据。身份监管设备可以使用身份监管私钥解析监管签名信息,通过比对解析后的监管签名信息与匿名身份公钥对监管签名信息进行签名有效性认证。可以理解,在解析后的监管签名信息与匿名身份公钥一致的情况下,身份监管设备可以判定签名有效性认证通过。在签名有效性认证通过的情况下,身份监管设备可以确定与匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
在一个实施例中,身份监管设备可以使用身份监管公钥解析监管签名信息,得到解析后的监管签名信息。
在一个实施例中,身份监管设备在接收到身份认证设备发送的匿名身份公钥和监管签名信息之后,向身份认证设备发送追踪码。身份认证设备在接收到追踪码后,确定身份监管设备受理了针对目标用户的身份追踪。可以理解,后续身份认证设备可以基于追踪码获取身份监管设备针对目标用户的追踪结果,以基于追踪结果确定目标用户的真实身份。
在一个实施例中,如图3所示,提供了身份认证方法的简易流程示意图。身份监管设备和身份授权设备可以是位于同一区块链节点的设备。首先,身份授权设备创建身份授权密钥对,目标设备向身份授权设备发送原始身份证书请求,原始身份证书请求中可以携带目标用户的原始身份属性和使用原始身份私钥签名得到的原始签名信息。身份授权设备可以通过使用原始身份公钥解析原始签名信息验证原始身份证书请求是否合法,若合法则根据原始身份属性向目标设备发放原始身份证书,并保存原始身份属性。可以理解,身份授权设备可以生成目标用户的身份标识,并将身份标识和原始身份属性对应存储。目标设备可以通过使用身份授权公钥解析原始身份证书中的授权签名信息验证原始身份证书是否合法。
在业务交易过程中,目标设备可以生成匿名身份数据,并在获取身份监管设备生成的监管签名信息后,生成匿名身份证书。身份认证设备可以基于匿名身份证书中的监管签名信息和匿名身份数据对目标用户进行身份认证,若身份认证通过,则向目标设备发送认证授权信息。可以理解,认证授权信息可以是对应于本次业务交易的业务授权令牌,业务授权令牌用于指示目标用户具有使用相应业务的权限。当有业务纠纷等原因需要针对匿名身份证书进行身份追踪时,身份监管设备可以基于身份认证设备发送的监管签名信息和匿名身份公钥确定目标用户的原始身份数据,实现对目标用户的身份追踪。
本实施例中,身份监管设备在接收到身份认证设备发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果,从而实现对目标用户的身份追踪,通过事前监管,事后追踪,能够提高身份认证的安全性。
在一个实施例中,匿名身份数据包括零知识证明数据;向身份认证设备发送匿名身份证书,使得身份认证设备基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证包括:向身份认证设备发送匿名身份证书,使得身份认证设备通过在本地解析匿名身份证书中的监管签名信息,对匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定目标用户具有认证属性的情况下,判定对目标用户的身份认证通过。
其中,零知识证明数据用于在不向身份认证设备提供任何有用的信息的前提下,使得身份认证设备能够相信某个论断是正确的。
具体地,目标设备可以向身份认证设备发送匿名身份证书和挑战值签名信息。匿名身份数据包括认证属性的零知识证明数据、监管签名信息和匿名身份公钥。身份认证设备可以通过解析挑战值签名信息对目标用户进行身份一致性验证。在身份一致性验证之后,身份认证设备可以在本地使用身份监管公钥解析匿名身份证书中的监管签名信息,在解析后的监管签名信息与匿名身份公钥一致的情况下,判定对匿名身份证书的监管有效性认证通过。身份认证设备可以在监管有效性认证通过的情况下,通过验证认证属性的零知识证明数据以确定目标用户具有认证属性,从而判定对目标用户的身份认证通过。
在一个实施例中,匿名身份数据包括原始身份证书和认证属性的零知识证明数据。身份认证设备可以通过验证零知识证明数据确定目标用户的原始身份证书有效,即,目标用户具有身份授权设备授予的权限,以及目标用户具有认证属性。在身份一致性验证通过、监管有效性认证通过、目标用户的原始身份证书有效、且目标用户具有认证属性的情况下,判定对目标用户的身份认证通过。
在一个实施例中,身份认证设备可以使用匿名身份公钥解析挑战值签名信息,通过比对解析后的挑战值签名信息与挑战值是否一致,确定发送匿名身份证书的目标设备是待进行身份认证的目标用户的设备。在解析后的挑战值签名信息与挑战值一致的情况下,判定对目标用户进行身份一致性验证通过。可以理解,匿名身份密钥对是从原始身份密钥对中派生出来的,匿名身份公钥能够解析使用原始身份私钥进行签名得到的签名信息。
在一个实施例中,身份认证设备可以同时对多个目标用户进行身份认证。身份认证设备可以确定多个目标用户对应的多个匿名身份证书,通过聚合多个匿名身份证书中的监管签名信息,得到多个匿名身份证书对应的聚合签名信息。身份认证设备可以通过解析聚合签名,同时对多个匿名身份证书进行监管有效性认证。相较于分别解析每个监管签名信息的方式,能够节约计算资源。
在一个实施例中,身份认证设备可以利用聚合签名算法聚合多个匿名身份证书中的监管签名信息生成聚合签名信息。聚合签名算法(Boneh-Lynn-Shacham签名算法)是一种可以实现签名聚合和密钥聚合的算法,即,可以将多个密钥聚合成一把密钥,将多个签名聚合成一个签名。聚合签名算法是基于双线性映射构造的短签名方案,其特性之一就是能用于构造聚合签名。双线性映射是一种二元映射,它作为密码学算法的构造工具,在各区块链平台中广泛应用,比如零知识证明、聚合签名等技术方案大多基于双线性对构造得来。
本实施例中,向身份认证设备发送匿名身份证书,使得身份认证设备通过在本地解析匿名身份证书中的监管签名信息,对匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定目标用户具有认证属性的情况下,判定对目标用户的身份认证通过,能够实现在监管签名信息的有效期限内,身份认证设备在本地单独地对目标用户进行身份认证,提高了适应性。
在一个实施例中,如图4所示,提供了身份认证的时序图。身份监管设备和身份授权设备位于区块链网络中的可信节点。身份授权设备可以通过约定认证策略和选取算法公共参数,生成身份授权设备的身份授权密钥对、以及身份监管设备的身份监管密钥对,并发布身份授权证书。身份授权设备可以将包括身份授权公钥的身份授权证书同步至身份监管设备、身份认证设备和目标设备。
目标用户可以通过目标设备注册原始身份属性,生成原始身份证书请求。身份授权设备可以验证原始身份证书请求,并在验证通过后生成原始身份证书。目标设备可以验证身份授权设备发送的原始身份证书,若验证不通过,则重新发送原始身份证书请求。
在业务交易过程中,目标设备触发身份认证设备对目标用户进行身份认证。身份认证设备可以确定认证属性和生成挑战值。目标设备可以生成匿名身份公钥,并将使用原始身份私钥对匿名身份公钥进行签名生成匿名公钥签名信息。目标设备可以使用原始身份私钥对挑战值进行签名生成挑战值签名信息。匿名公钥签名信息用于指示身份监管设备确定匿名身份公钥所对应的目标用户。挑战值签名信息用于向身份认证设备指示目标设备是目标用户的设备。目标设备可以将匿名身份公钥和匿名公钥签名信息发送至身份监管设备,以向身份监管设备申请对匿名身份公钥生成监管签名信息。
身份监管设备可以使用原始身份公钥解析匿名公钥签名信息,以确定匿名身份公钥对应于目标用户,然后使用身份监管私钥对匿名身份公钥进行签名以生成监管签名信息。目标设备可以得到包括监管签名信息和匿名身份数据的匿名身份证书。
目标设备可以向身份认证设备发送匿名身份证书和挑战值签名信息,身份认证设备可以基于匿名身份证书对目标用户进行身份认证,在身份认证通过之后,身份认证设备可以向目标设备发送认证授权信息。可以理解,身份认证设备可以聚合多个监管签名信息得到聚合签名信息以同时对多个匿名身份证书进行监管有效性认证。
在发生业务纠纷时,身份认证设备可以向身份监管设备发送监管签名信息和匿名身份公钥以针对目标用户发起身份追踪请求,身份监管设备可以通过解析监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,查询匿名身份公钥对应的原始身份属性,从而确定目标用户的原始身份,即真实身份,得到身份追踪结果。身份监管设备可以将身份追踪结果返回至身份认证设备。可以理解,身份追踪结果包括目标用户的原始身份数据。比如,身份追踪结果包括目标用户的原始身份证书。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的身份认证方法的身份认证***。该***所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个身份认证***实施例中的具体限定可以参见上文中对于身份认证方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种身份认证***500,包括:目标用户对应的目标设备502、身份认证设备504和身份监管设备506,其中:
目标设备502,用于基于认证属性和原始身份证书生成匿名身份数据;认证属性是身份认证设备504对目标用户进行身份认证时需要认证的身份属性;
身份监管设备506,用于针对匿名身份数据生成的监管签名信息;身份监管设备506用于监管目标用户对应的匿名身份数据;
目标设备502,还用于获取监管签名信息,以根据监管签名信息和匿名身份数据得到匿名身份证书;向身份认证设备504发送匿名身份证书;
身份认证设备504,用于基于匿名身份证书中的监管签名信息和匿名身份数据,对目标用户进行身份认证;在身份认证通过之后,向目标设备502发送认证授权信息;
目标设备502,还用于获取身份认证设备504发送的认证授权信息。
在其中一个实施例中,匿名身份数据包括匿名身份公钥;目标设备502还用于对匿名身份公钥进行签名,得到匿名公钥签名信息;向身份监管设备506发送匿名公钥签名信息;身份监管设备506,还用于基于匿名公钥签名信息对匿名身份公钥进行身份有效性认证;目标设备502,还用于在身份有效性认证通过之后,获取身份监管设备506针对匿名身份公钥生成的监管签名信息。
在其中一个实施例中,目标设备502,还用于向身份监管设备506发送匿名公钥签名信息;身份监管设备506,还用于通过解析匿名公钥签名信息确定匿名身份公钥属于目标用户,并在确定匿名身份公钥属于目标用户、且原始身份证书有效的情况下,判定匿名身份公钥的身份有效性认证通过。
在其中一个实施例中,原始身份证书是基于目标用户的原始身份数据生成的数字证书;在身份有效性认证通过之后,身份监管设备506还用于针对匿名身份公钥生成附带有效期限的监管签名信息,并将匿名身份公钥和目标用户的原始身份数据对应存储。
在其中一个实施例中,身份监管设备506还用于在接收到身份认证设备504发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
在其中一个实施例中,匿名身份数据包括零知识证明数据;目标设备502,还用于向身份认证设备504发送匿名身份证书;身份认证设备504,还用于通过在本地解析匿名身份证书中的监管签名信息,对匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定目标用户具有认证属性的情况下,判定对目标用户的身份认证通过。
上述身份认证***中的各个设备可全部或部分通过软件、硬件及其组合来实现。上述各设备可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个设备对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过***总线连接,通信接口通过输入/输出接口连接到***总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储匿名身份数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种身份认证方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过***总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到***总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种身份认证方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置,显示屏可以是液晶显示屏或电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6和图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种身份认证方法,其特征在于,所述方法包括:
基于认证属性和原始身份证书生成匿名身份数据;所述认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;
获取身份监管设备针对所述匿名身份数据生成的监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书;所述身份监管设备用于监管所述目标用户对应的匿名身份数据;
向身份认证设备发送所述匿名身份证书,使得所述身份认证设备基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证;
在身份认证通过之后,获取所述身份认证设备发送的认证授权信息。
2.根据权利要求1所述的方法,其特征在于,所述匿名身份数据包括匿名身份公钥;所述获取身份监管设备针对所述匿名身份数据生成的监管签名信息包括:
对所述匿名身份公钥进行签名,得到匿名公钥签名信息;
向身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备基于所述匿名公钥签名信息对所述匿名身份公钥进行身份有效性认证;
在身份有效性认证通过之后,获取所述身份监管设备针对所述匿名身份公钥生成的监管签名信息。
3.根据权利要求2所述的方法,其特征在于,所述向身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备基于所述匿名公钥签名信息对所述匿名身份公钥进行身份有效性认证包括:
向所述身份监管设备发送所述匿名公钥签名信息,使得所述身份监管设备通过解析匿名公钥签名信息确定所述匿名身份公钥属于所述目标用户,并在确定所述匿名身份公钥属于所述目标用户、且所述原始身份证书有效的情况下,判定所述匿名身份公钥的身份有效性认证通过。
4.根据权利要求2所述的方法,其特征在于,所述原始身份证书是基于所述目标用户的原始身份数据生成的数字证书;所述在身份有效性认证通过之后,获取所述身份监管设备针对所述匿名身份公钥生成的监管签名信息包括:
在身份有效性认证通过之后,使得所述身份监管设备针对所述匿名身份公钥生成附带有效期限的监管签名信息,并将所述匿名身份公钥和所述目标用户的原始身份数据对应存储。
5.根据权利要求4所述方法,其特征在于,所述方法还包括针对目标用户的身份追踪步骤;所述身份追踪步骤包括:
所述身份监管设备在接收到所述身份认证设备发送的匿名身份公钥和监管签名信息之后,对监管签名信息进行签名有效性认证,并在签名有效性认证通过的情况下,确定与所述匿名身份公钥对应存储的原始身份数据,以得到针对目标用户的身份追踪结果。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述匿名身份数据包括零知识证明数据;所述向身份认证设备发送所述匿名身份证书,使得所述身份认证设备基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证包括:
向所述身份认证设备发送所述匿名身份证书,使得所述身份认证设备通过在本地解析所述匿名身份证书中的监管签名信息,对所述匿名身份证书进行监管有效性认证,并在监管有效性认证通过、且基于零知识证明数据确定所述目标用户具有认证属性的情况下,判定对所述目标用户的身份认证通过。
7.一种身份认证***,其特征在于,所述***包括目标用户对应的目标设备、身份认证设备和身份监管设备;
所述目标设备,用于基于认证属性和原始身份证书生成匿名身份数据;所述认证属性是身份认证设备对目标用户进行身份认证时需要认证的身份属性;
所述身份监管设备,用于针对所述匿名身份数据生成的监管签名信息;所述身份监管设备用于监管所述目标用户对应的匿名身份数据;
所述目标设备,还用于获取监管签名信息,以根据所述监管签名信息和所述匿名身份数据得到匿名身份证书;向身份认证设备发送所述匿名身份证书;
所述身份认证设备,用于基于所述匿名身份证书中的监管签名信息和所述匿名身份数据,对所述目标用户进行身份认证;在身份认证通过之后,向所述目标设备发送认证授权信息;
所述目标设备,还用于获取所述身份认证设备发送的认证授权信息。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202210809236.4A 2022-07-11 2022-07-11 身份认证方法、***、计算机设备和存储介质 Pending CN115277010A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210809236.4A CN115277010A (zh) 2022-07-11 2022-07-11 身份认证方法、***、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210809236.4A CN115277010A (zh) 2022-07-11 2022-07-11 身份认证方法、***、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN115277010A true CN115277010A (zh) 2022-11-01

Family

ID=83764825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210809236.4A Pending CN115277010A (zh) 2022-07-11 2022-07-11 身份认证方法、***、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115277010A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941199A (zh) * 2022-11-11 2023-04-07 南方电网数字电网研究院有限公司 身份信息验证方法、装置、设备、存储介质和程序产品
CN116933334A (zh) * 2023-09-19 2023-10-24 杭州锘崴信息科技有限公司 基于数据运营项目的计算要素认证方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941199A (zh) * 2022-11-11 2023-04-07 南方电网数字电网研究院有限公司 身份信息验证方法、装置、设备、存储介质和程序产品
CN116933334A (zh) * 2023-09-19 2023-10-24 杭州锘崴信息科技有限公司 基于数据运营项目的计算要素认证方法及装置
CN116933334B (zh) * 2023-09-19 2023-12-29 杭州锘崴信息科技有限公司 基于数据运营项目的计算要素认证方法及装置

Similar Documents

Publication Publication Date Title
CN109756485B (zh) 电子合同签署方法、装置、计算机设备及存储介质
Wang et al. Identity-based data outsourcing with comprehensive auditing in clouds
CN109196816B (zh) 使用区块链的公钥基础结构
CN111447187A (zh) 一种异构物联网的跨域认证方法
US11700125B2 (en) zkMFA: zero-knowledge based multi-factor authentication system
EP2747377A2 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN112291062B (zh) 一种基于区块链的投票方法及装置
CN114760071B (zh) 基于零知识证明的跨域数字证书管理方法、***和介质
Bhargav-Spantzel et al. Multifactor identity verification using aggregated proof of knowledge
Tang et al. Privacy-preserving authentication scheme based on zero trust architecture
Xie et al. A novel blockchain-based and proxy-oriented public audit scheme for low performance terminal devices
CN110910110A (zh) 一种数据处理方法、装置及计算机存储介质
CN115277010A (zh) 身份认证方法、***、计算机设备和存储介质
Xu et al. Efficient privacy-preserving electronic voting scheme based on blockchain
CN116170144A (zh) 智能电网匿名认证方法、电子设备及存储介质
CN113792282B (zh) 身份数据验证方法、装置、计算机设备和存储介质
CN115765983A (zh) 一种群签名方法和签名中心群管理员节点
Rehman et al. Securing cloud storage by remote data integrity check with secured key generation
CN112422534B (zh) 电子证书的信用评估方法以及设备
Yang et al. A minimal disclosure signature authentication scheme based on consortium blockchain
Lian et al. A practical solution to clone problem in anonymous information system
Song et al. A trusted authentication model for remote users under cloud architecture
Saquib et al. Secure solution: One time mobile originated PKI
CN114567444B (zh) 数字签名验证方法、装置、计算机设备和存储介质
CN113992380B (zh) 一种基于网络映射证件的可信工作证认证方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination