CN115883102B - 基于身份可信度的跨域身份认证方法、***及电子设备 - Google Patents
基于身份可信度的跨域身份认证方法、***及电子设备 Download PDFInfo
- Publication number
- CN115883102B CN115883102B CN202211498448.1A CN202211498448A CN115883102B CN 115883102 B CN115883102 B CN 115883102B CN 202211498448 A CN202211498448 A CN 202211498448A CN 115883102 B CN115883102 B CN 115883102B
- Authority
- CN
- China
- Prior art keywords
- identity
- credibility
- user
- security domain
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012423 maintenance Methods 0.000 claims abstract description 12
- 238000013475 authorization Methods 0.000 claims abstract description 8
- 238000003860 storage Methods 0.000 claims description 43
- 230000007246 mechanism Effects 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000009826 distribution Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 claims 2
- 101000932768 Conus catus Alpha-conotoxin CIC Proteins 0.000 claims 1
- 239000004744 fabric Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 101000743596 Homo sapiens Vacuolar protein sorting-associated protein 26C Proteins 0.000 description 1
- 102100038397 Vacuolar protein sorting-associated protein 26C Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000013329 compounding Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于身份可信度的跨域身份认证方法、***及电子设备,***包含唯一身份标识授权模块、基于同态加密和零知识范围证明的隐私保护模块、基于联盟链的身份可信度的管理和共享模块。唯一身份标识授权模块用于将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;基于同态加密和零知识范围证明的隐私保护模块用于加密和验证在联盟链账本中公开存储的身份可信度记录,保证公开记录的安全性和正确性;基于联盟链的身份可信度的管理和共享模块用于实现身份可信度的动态维护和跨域身份认证。本发明提供了身份可信度的跨域统一管理模式,在保护用户隐私的前提下的实现安全域之间身份可信度的安全比较。
Description
技术领域
本发明属于应用密码学中具有隐私保护特性的跨域身份认证技术领域,涉及一种身份认证方法、***及电子设备,具体涉及一种基于身份可信度的跨域身份认证方法、***及电子设备。
背景技术
基于用户名和口令的身份认证是Web应用的一种通用鉴权方式。每个Web应用的身份认证服务都会形成一个独立的安全域,并且仅能识别本域中的数字身份。跨域身份认证允许用户只拥有一个安全域的身份,但是可以被其他安全域识别。然而各安全域由于缺乏可信的数据共享渠道,只能被动地接受来自域外的身份凭证,而难以对其身份风险进行评估。
目前,日渐丰富的Web应用市场使得跨域请求数量增长迅速,用户和服务提供商均对跨域身份认证服务的功能和安全性有了更高的要求。一方面,在信用体系中存在着多方信用联合授信的场景;类似地,在身份认证中,同一用户在多个域的身份同样可以作为跨域身份认证的凭证来源;另一方面,为了减少***风险,做好Web服务的安全防护,各企业和部门会根据***安全策略和隐私需求,建立不同的身份可信度模型,评估本域用户身份的信用状态。身份可信度模型通过分析存储在身份认证服务器中的日志文件,获取本域用户的历史行为记录,从而根据特定的计算规则得到目标身份当前的信用等级;并且***可以分析用户行为偏好,以动态地监控异常的身份认证行为。但是,在跨域场景下,现有的身份认证框架难以可靠地实现上述需求:首先,无论是集中式认证服务还是第三方认证服务,均属于中心化的服务节点,存在着单点失效的风险。其次,由于数据保密要求和用户隐私的考虑,各身份认证服务提供机构缺乏身份状态和身份风险相关数据的公开维护和共享的渠道,因此只能被动地接受来自第三方的身份凭证。最后,基于传统数据库的日志存储方式也无法提供可靠的数据全生命周期的回溯和审计方式。因此,如何在保护用户隐私的前提下,对身份可信度进行可靠地存储、共享和比较,以实现跨域身份认证是亟待解决的问题。
基于中心化策略的认证方式过于依赖于单一信任中心,即使引入多服务节点构成的认证服务集群也仅能解决由物理因素导致的单点失效问题,并不能在逻辑上将信任分散,实现去中心化的身份认证。现有的分布式身份认证方案通常基于公共区块链技术,对身份认证数据进行公开维护,为跨域身份认证提供了解决思路,然而由于公共区块链吞吐量低并且缺少链上数据的访问控制机制,在存储效率和隐私保护方面存在着挑战性问题。
Hyperledger Fabric联盟链作为开源的企业级准入许可分布式账本技术,针对企业用户的上述需求做出了特殊的设计。首先,在身份管理方面,Fabric将区块链网络划分为由多个组织共同维护的联盟,并定义了组织中各种类型的参与者,比如Peer节点,排序服务节点,各组织的客户端应用程序以及各组织的联盟链管理员等。这些身份信息与根CA和中间CA分发的数字证书中的数字身份严格关联;因此,数字证书中定义的数字身份就与Fabric网络中的职责,以及特定资源的访问权限相对应。其次,在交易的确认和共识机制上,Fabric利用统一的透明治理模式和严格的准入机制,通过引入排序节点和背书机制实现了交易执行和排序的分离;通过支持可插拔的共识协议,在可信任的权威机构管理模式下采用确定性的共识算法,保证Peer节点验证的区块都是最终状态并且是正确的,从而避免了公开区块链中的分叉情况。最后,Fabric还支持智能合约技术。智能合约的定义是将企业业务之间的交互的数据、规则、概念定义和业务流程等组成的业务模型转化为添加到分布式账本中事实记录的可执行逻辑。为了更好地管理物理地存储在Peer节点上的智能合约,Fabric将特定的业务流程的智能合约打包到用于合约安装和实例化的专用技术容器中,该容器称为链码。
虽然Fabric区块链提供了通道架构和私有数据实现了个别组织间的保密交易,但是在参与保密交易的组织间,仍然需要公开用于交易的数据。因此,针对数值信息在联盟链账本上的保密维护,可以采用同态加密密码体制来保证密文的可计算性,以及通过零知识证明中的范围证明来保证密文处于合法的范围区间。
Paillier同态加密体制是基于离散对数和DCRA假设的加法同态加密方案,该方案的安全性假设可以归约到复合剩余类分解问题的计算困难性。为了减少解密运算的时间复杂度,Paillier同态加密体制能转换为基于部分离散对数问题的改进方案:通过选取具有较小阶的生成元g的子群,从而限制密文空间大小。改进的Paillier算法组成部分为密钥生成步骤、加密步骤、解密步骤。
基于Pederson向量承诺的范围证明的目标是证明给定数字v,证明v∈[0,2n),也即是说如果数字v满足区间要求,那么其二进制表示法的长度一定是n,并且二进制表示法对应的字符串只由0和1组成。在随机预言机模型下,Fiat-Shamir变换可将需要log(n)步骤的交互式协议转化为一个安全且完全零知识的非交互零知识证明***。此外,还能通过将处于同一范围的m个数值的二进制表示字符串拼接起来,在仅增加2·log2(m)个证明元素的情况下,生成能一次证明n·m比特的聚合范围证明。
发明内容
鉴于以上提及的基于中心化策略的认证方式过于依赖于单一信任中心的弊端,以及公共区块链在存储身份认证相关数据需求下对效率和隐私保护方面的需求,本发明基于具有准入许可的联盟链账本,提供了一种身份可信度管理模型,在保护用户隐私的前提下实现了身份可信度的统一管理,并实现基于身份可信度安全比较的跨域身份认证方法、***及电子设备。
本发明的方法所采用的技术方案是:一种基于身份可信度的跨域身份认证方法,包括以下步骤:
步骤1:将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
步骤2:加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
步骤3:身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数。
本发明的***所采用的技术方案是:一种基于身份可信度的跨域身份认证***,包括唯一身份标识授权模块、基于同态加密和零知识范围证明的隐私保护模块和基于联盟链的身份可信度的管理和共享模块组成;
所述唯一身份标识授权模块,用于将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
所述基于同态加密和零知识范围证明的隐私保护模块,用于加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
所述基于联盟链的身份可信度的管理和共享模块,用于身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数。
本发明的电子设备所采用的技术方案是:一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现所述的基于身份可信度的跨域身份认证方法。
本发明相比现有技术,其优点和积极效果主要体现在以下几个方面:
(1)本发明提出了一种基于同态加密和非交互式零知识范围证明的身份可信度标准存储模式,在保证数据可计算性的前提下,构建了身份可信度安全共享渠道,实现了多元异构身份可信度的统一管理;
(2)本发明设计了高效的紧凑存储模式,通过设计结合默克尔哈希树和聚合范围证明的紧凑存储结构,实现了多个身份可信度状态记录的高效存储;
(3)本发明提出了基于身份可信度的跨域身份认证方法。各安全域在接受来自域外的身份凭证时,在密文鉴定链码作为可信第三方的监督下,使用密文证明、身份可信度状态密文记录和事先公开的身份可信度评价标准,执行身份可信度安全比较协议,得到用户身份可信度和本域身份可信度最小阈值要求的比较结果,从而决定是否接受此次跨域身份认证请求。在此过程中,本方案提供的协议能够有效地保护安全域和用户的隐私。
附图说明
图1为本发明实施例的***整体框架图;
图2为本发明实施例中基于唯一身份标识授权模块的原理图;
图3为本发明实施例中基于同态加密和零知识范围证明的隐私保护模块的原理图;
图4为本发明实施例中基于联盟链的身份可信度的管理和共享模块的安全域配置信息标准结构原理图;
图5为本发明实施例中基于联盟链的身份可信度的管理和共享模块的身份可信度的可验证比较原理图。
具体实施方式
为了便于本领域普遍技术人员的理解和实施本发明,下面结合附图及实施例对本发明作为进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
本实施例提供的一种基于身份可信度的跨域身份认证方法,包括以下步骤:
步骤1:将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
步骤2:加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
步骤3:身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数。
本发明提供的一种基于身份可信度的跨域身份认证***,由唯一身份标识授权模块、基于同态加密和零知识范围证明的隐私保护模块、基于联盟链的身份可信度的管理和共享模块组成,完整的***架构图请见图1。
本实施例的唯一身份标识授权模块,用于将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
本实施例的基于同态加密和零知识范围证明的隐私保护模块,用于加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
本实施例的基于联盟链的身份可信度的管理和共享模块,用于身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数。
请见图2,本实施例基于唯一身份标识授权模块,具体工作过程包括以下步骤:
步骤A1:用户唯一身份标识的生成过程涉及到三个实体:用户,权威身份来源机构和联盟链账本;
权威身份来源机构向用户提供包含唯一识别码appid的认证应用程序。用户使用认证应用生成用户密钥(PrivKeyUser,PubKeyUser),计算个人信息哈希值并签名,向权威身份来源机构申请唯一身份标识uuidUser;
步骤A1.1:由权威身份来源机构分发具有唯一识别码appid的认证应用程序给用户,利用非对称加密算法产生私钥PrivKeyUser和公钥PubKeyUser;随后用户将个人信息UserInfo整理成标准存储格式,并计算个人信息的摘要值H=Hash(UserInfo),并使用自己的私钥PrivKeyUser对个人信息摘要,应用程序识别码appid和身份生成时间戳进行签名SigUser(H|appid|Timestamp)。完成计算后,用户通过应用程序将公钥PubKeyUser,个人信息UserInfo,个人信息摘要H,应用程序识别码appid,签名SigUser通过安全信道传输给权威身份来源机构;
其中,非对称加密算法本实施例优选基于NIST P-256曲线的椭圆曲线加密算法,数字签名算法本实施例优选ECDSA(FIPS 186-3)签名算法。
步骤A1.2:权威身份来源机构在收到来自用户应用的请求之后,根据同样的规则,计算用户的个人信息摘要H=Hash(UserInfo),并使用公钥PubKeyUser核验用户签名SigUser。在证实该请求的真实性和完整性之后,权威身份来源机构将个人信息摘要H,应用程序识别码appid,身份生成时间戳Timestamp和权威机构对上链信息的签名SigAuthority(H|appid|Timestamp)提交到联盟链账本中,得到身份地址addrUser,随后将addrUser作为用户的唯一身份标识uuidUser返回给认证应用程序。
步骤A2:用户唯一身份标识的认证过程涉及到三个实体:用户,本地安全域认证服务器和联盟链账本;
用户通过使用认证应用程序生成由从A1获得的唯一身份标识uuidUser、个人信息摘要值H、身份动态识别凭证生成时间戳Timestamp、申请访问的安全域和有效期组成的身份动态识别凭证Cert组成的动态识别凭证发送给目标认证服务器。
步骤A2.1:认证应用程序将生成由应用程序识别码appid,个人信息摘要值H,身份动态识别凭证生成时间戳Timestamp,申请访问的安全域和有效期组成的身份动态识别凭证Cert=(appid,H,Timestamp,targetDomain,LifeTime),并使用私钥PrivKeyUser对其签名,其中,TargetDomain为申请访问的安全域,LifeTime为有效期;随后将身份动态识别凭证Cert,签名SigUser,公钥PubKeyUser,个人信息摘要值H和唯一身份标识uuidUser组合成身份认证消息,发送给目标认证服务器;
在一次跨域身份认证过程中,本地安全域认证服务器需要对发起认证请求的用户身份进行验证;而目标认证服务器则需要对本地安全域服务器提供的跨域身份认证消息进行验证。
首先,本地安全域能校验用户的身份凭证,敌手需要拥有用户私钥才能通过本地安全域的身份认证。然后,本地安全域需要使用私钥构造合法的跨域认证消息,因此敌手难以伪造跨域身份认证请求。最后目标认证服务器通过本地安全域认证服务器的公钥和身份识别信息摘要的权威记录,即可验证该认证消息的真实性。
步骤A2.2:目标认证服务器在获取身份认证消息之后,将使用生成时间戳和有效期对身份认证消息进行时效性判断。随后使用用户公钥PubKeyUser和身份认证消息内容,对身份动态识别凭证Cert进行验证。身份动态识别凭证验证通过后,再根据唯一身份标识uuidUser获得身份识别信息摘要的权威记录,核验个人信息摘要值H。在用户侧提供的所有信息都是一致的情况下,目标认证服务器可以判定用户身份合法。最后,目标认证服务器记录该身份动态识别凭证的哈希值,并标记为已经使用。
请见图3,本实施例基于同态加密和零知识范围证明的隐私保护模块,具体工作过程包括以下步骤:
步骤B1:同态加密密钥分发;
用户使用从A1获得的唯一身份标识uuidUser经过步骤A2通过本地安全域Web应用的认证。随后,本地安全域Web应用为用户的数字身份生成一对同态加密公私钥对公钥PKUser=(n,g),私钥SKUser=(p,q,α),将其私钥安全保存在本地,用于身份可信度比较结果的验证,并将公钥公开发送给***中的所有参与方,用于身份可信度的加密。其中,p,q为随机的大素数,n为p,q的乘积,g为随机数,α为p-1,q-1最小公倍数的因子;
其中,同态加密算法本实施例优选基于部分离散对数问题(Partial DiscreteLogarithm Problem)的Paillier改进算法。
步骤B2:身份可信度密文生成,本地安全域的Web应用评估用户数字身份对应的身份可信度之后,使用相应的同态加密公钥PKUser=(n,g)和随机数r生成身份可信度密文。
步骤B3:身份可信度范围证明生成,本地安全域的Web应用选取公开参数ParamsRP,生成身份可信度密文记录对应的范围证明。
其中,零知识范围证明算法本实施例优选Bulletproof算法;
请见图4和图5,本实施例基于联盟链的身份可信度的管理和共享模块,具体工作过程包括以下步骤:
步骤C1:身份可信度配置信息管理,各安全域事先将身份可信度配置信息以JSON标准存储结构形式存储在联盟链账本中,其中包括安全域Domain,同态加密公钥PHEKey,身份可信度最大值CreditMax,身份可信度最小值CreditMin,身份可信度评价标准TrustworthinessStandard,时间戳Timestamp,消息哈希值MessageHash,数字签名ConfigSig;
其中,数字签名算法本实施例优选ECDSA(FIPS 186-3)签名算法;
步骤C2:身份可信度链上动态维护,用户在安全域注册数字身份之后,安全域通过C1中的身份可信度评价标准TrustworthinessStandard生成数字身份的身份可信度状态信息,并采用标准存储模式或者紧凑存储模式将一个或多个身份可信度状态记录存储在联盟链账本中;
这里为了表述清晰,假设安全域以标准存储模式进行身份可信度的动态维护;
步骤C2.1:安全域采用标准存储模式,生成包含具有安全域Domain,时间戳Timestamp,前一身份可信度状态记录PreviousCreditAddress,身份可信度密文Credit,身份可信度范围证明CreditRangeProof,配置信息地址ConfigAddress,消息哈希值MessageHash,数字签名MessageSig等信息的加密存储结构的记录;
步骤C2.2:联盟链链码对数字签名和范围证明进行验证,先检查安全域Web应用的签名的有效性,再计算VerifyRP(paramsRP,proofRP),其中,proofRP为身份可信度范围证明;如果验证通过,密文验证链码则将身份可信度状态存储到联盟链账本中,获得对应记录的交易地址addr;否则,将舍弃该身份可信度状态,联盟链账本无需更新;
步骤C3:身份可信度的可验证比较,用户可以使用已有的数字身份进行跨域身份认证。接受跨域身份凭证的安全域可以根据提供身份的安全域事先公开的身份可信度评价标准TrustworthinessStandard,选取合适的身份可信度最小阈值要求t;在联盟链链码作为可信第三方的监督下,判断跨域身份凭证的身份可信度是否满足本域的最小要求,从而决定是否通过本次跨域身份认证请求。
步骤C3.1:外部安全域Ex根据本地安全域L的身份可信度配置信息选取比较参数θ(θ>CreditMaxL),计算比较参数θ的密文EncryptEx(θ,rθ);其中,CreditMaxL为身份可信度允许的最大值,rθ为加密θ时采用的随机数;
步骤C3.2:外部安全域Ex计算v1=θ-t,并向密文鉴定链码申请证明C(Ex,v1),证明内容包括Sig(Hash(CertificateEx)),PKEx,PKCC;其中,C(Ex,v1)为外部安全域Ex申请的密文v1的鉴定证明,CertificateEx为外部安全域Ex的证书,PKEx为外部安全域Ex的公钥,PKCC为密文鉴定链码CC的公钥;
步骤C3.3:外部安全域将EncryptEx(θ,rθ)和C(Ex,v1)一同发送给本地安全域;
步骤C3.4:假设UserL的身份可信度为v2,本地安全域L随机选取线性变换参数k1,k2,并向密文鉴定链码申请证明C(L,k1·v2),证明内容包括Sig(Hash(CertificateL)),EncryptL(k1,rk), PKL,PKCC;其中,CertificateL为本地安全域L的证书,rk为加密k时的随机数,/>为密文v2在联盟链账本中的存储地址,PKL为本地安全域L的公钥;
步骤C3.5:本地安全域L获得密文证明之后,将计算用于比较的中间结果m1,m2,
本地安全域L还需计算用于验证的中间结果m3,m4,m5,
步骤C3.6:得到所有中间结果后,本地安全域L将m1,m2,m3,m4,m5,C(L,k1·v2)发送给外部安全域Ex;
步骤C3.7:外部安全域Ex首先查验证明C(L,k1·v2)中的是否与对应的身份可信度状态记录一致,若不一致则立即终止协议。然后,外部安全域将验证证明C(L,k1·v2)中的数字签名,若数字签名验证不通过则立即终止协议。在确保密文的真实性之后,外部安全域Ex解密并比较d1=Decryptex(m1)和d2=DecryptEx(m2),从而得到UserL在本地安全域中的数字身份对应的身份可信度和外部安全域的身份可信度最小阈值要求的比较结果。最后,外部安全域Ex解密d3=DecryptEx(m3)和d4=DecryptEx(m4),得到验证信息,随后计算并验证下列等式
如果等式均成立,则证明本地安全域L诚实地执行了协议,外部安全域Ex从而接受本次身份可信度比较结果;否则,证明本地安全域L在协议执行过程中出现了欺诈行为。
步骤C3.8:外部安全域Ex根据比较结果,判断是否通过用户本次跨域身份认证请求。
步骤C3.9:最后,外部安全域Ex将此次身份可信度安全比较协议的执行日志记录在联盟链账本中。
本发明能够提供:
1.数字身份与身份可信度的绑定:本方案将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定。权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用。用户随后可以使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
2.多元异构身份可信度的统一管理:本方案提供了身份可信度配置信息的标准存储结构,并以此为基础设计了基于同态加密和非交互式零知识范围证明的身份可信度标准存储模式和高效的紧凑存储模式,将具有准入许可的Fabric联盟链账本作为存储媒介,实现了在保护用户隐私的前提下,身份可信度记录的统一维护。
3.基于身份可信度的跨域身份认证框架:各安全域在接受来自域外的身份凭证时,在联盟链链码作为可信第三方的监督下,使用密文证明和公开存储的身份可信度状态密文记录执行身份可信度安全比较协议,得到用户身份可信度和本域身份可信度最小阈值要求的比较结果,从而决定是否接受此次跨域身份认证请求。通过将现有的身份可信度管理模式与跨域身份认证结合,本方案实现了跨域场景下安全、可靠的身份认证机制。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
Claims (8)
1.一种基于身份可信度的跨域身份认证方法,其特征在于,包括以下步骤:
步骤1:将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
步骤2:加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
步骤3:身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数;
所述身份可信度的可验证比较,接受跨域身份凭证的安全域根据提供身份的安全域事先公开的身份可信度评价标准,选取合适的身份可信度最小阈值要求;在联盟链链码作为可信第三方的监督下,判断跨域身份凭证的身份可信度是否满足本域的最小要求,从而决定是否通过本次跨域身份认证请求;
具体实现包括以下子步骤:
步骤C3.1:用户请求使用已有的本地安全域中的数字身份通过外部安全域的身份认证;
步骤C3.2:外部安全域根据本地安全域在联盟链账本中事先公开的身份可信度评价标准,选取合适的身份可信度最小阈值要求,并向联盟链链码申请比较参数的密文证明;
步骤C3.3:本地安全域根据用户身份可信度的联盟链账本记录,向联盟链链码申请用户身份可信度的密文证明;
步骤C3.4:外部安全域向本地安全域提供比较参数和对应的密文证明;
步骤C3.5:本地安全域使用外部安全域提供的比较参数和己方拥有的参数完成中间结果和验证信息的计算;
步骤C3.6:外部安全域根据中间结果得到身份可信度和阈值比较的结果,并使用验证信息判断比较结果的真实性,并将本次比较日志提交到联盟链账本中。
2.根据权利要求1所述的基于身份可信度的跨域身份认证方法,其特征在于:步骤1中,用户唯一身份标识的生成过程涉及到三个实体:用户,权威身份来源机构和联盟链账本;
用户唯一身份标识的生成过程具体包括以下子步骤:
步骤A1.1:用户通过权威身份来源机构提供的包含唯一识别码的认证应用程序,利用非对称加密算法产生一对公私钥对;随后用户将个人信息整理成标准存储格式,计算个人信息的摘要值,并使用自己的私钥对个人信息摘要,应用程序识别码和身份生成时间戳进行签名;用户通过应用程序将公钥、个人信息、个人信息摘要、应用程序识别码、签名通过安全信道传输给权威身份来源机构,向权威身份来源机构申请唯一身份标识;
步骤A1.2:权威身份来源机构在收到来自用户应用的请求之后,根据同样的规则,计算用户的个人信息摘要,并核验用户签名;在证实该请求的真实性和完整性之后,权威身份来源机构将个人信息摘要、应用程序识别码、身份生成时间戳和权威机构对上链信息的签名提交到联盟链账本中,得到交易地址;随后将该交易地址作为用户的唯一身份标识返回给认证应用程序。
3.根据权利要求1所述的基于身份可信度的跨域身份认证方法,其特征在于:步骤1中,用户唯一身份标识的认证过程涉及到三个实体:用户,本地安全域认证服务器和联盟链账本;
用户唯一身份标识的认证过程具体包括以下子步骤:
步骤A2.1:用户进行身份认证时,认证应用程序将生成由应用程序识别码,个人信息摘要值,身份动态识别凭证生成时间戳,申请访问的安全域和有效期组成的身份动态识别凭证,并使用私钥对其签名;随后将身份动态识别凭证、签名、公钥、个人信息摘要值和唯一身份标识组合成身份认证消息,发送给目标认证服务器;
步骤A2.2:目标认证服务器在获取身份认证消息之后,将使用生成时间戳和有效期对身份认证消息进行时效性判断;随后使用用户公钥和身份认证消息内容,对身份动态识别凭证进行验证;身份动态识别凭证验证通过后,再根据唯一身份标识获得身份识别信息摘要的权威记录,核验个人信息摘要值;在用户侧提供的所有信息都是一致的情况下,目标认证服务器判定用户身份合法;最后目标认证服务器记录该身份动态识别凭证的哈希值,并标记为已经使用。
4.根据权利要求1所述的基于身份可信度的跨域身份认证方法,其特征在于:步骤2的具体实现包括以下子步骤:
步骤B1:同态加密密钥分发;
用户向本地安全域认证服务器提供个人身份信息和本地安全域中数字身份对应的用户名和口令创建数字身份,并使用唯一身份标识通过本地安全域认证服务器的认证;随后,本地安全域认证服务器为用户的数字身份生成一对同态加密公私钥对,将其私钥安全保存在本地,用于身份可信度比较结果的验证,并将公钥公开发送给***中的所有参与方,用于身份可信度的加密;
步骤B2:身份可信度密文生成;
本地安全域认证服务器评估用户数字身份对应的身份可信度之后,使用相应的同态加密公钥生成身份可信度密文;
步骤B3:身份可信度范围证明生成;
本地安全域认证服务器选取公开参数,生成身份可信度密文记录对应的范围证明。
5.根据权利要求1所述的基于身份可信度的跨域身份认证方法,其特征在于:步骤3中所述身份可信度配置信息管理,各安全域事先将身份可信度配置信息以JSON标准存储结构形式存储在联盟链账本中,并对配置信息进行签名;
具体实现包括以下子步骤:
步骤C1.1:安全域选取由用户安全行为和从对应行为可获取的身份可信度最大值组成的身份可信度评价标准,身份可信度最大值和最小值,并生成一对同态加密密钥对;
步骤C1.2:安全域将安全域名称、同态加密公钥、身份可信度最大值和最小值、身份可信度评价标准、配置生成时间戳、配置消息哈希值以及数字签名,整理成JSON格式的标准存储结构;
步骤C1.3:安全域将身份可信度配置信息提交给联盟链账本,并获取其存储位置。
6.根据权利要求1所述的基于身份可信度的跨域身份认证方法,其特征在于:步骤3中所述身份可信度链上动态维护,用户在安全域注册数字身份之后,安全域通过事先公开的身份可信度评价标准生成数字身份的身份可信度状态信息,并采用标准存储模式或者紧凑存储模式将一个或多个身份可信度状态记录存储在联盟链账本中;
具体实现包括以下子步骤:
步骤C2.1:安全域生成用户身份可信度的密文和对应的零知识范围证明记录,组成标准存储模式的加密存储结构或是紧凑存储模式的紧凑存储结构,并提交到联盟链账本中;
步骤C2.2:在标准存储模式中,联盟链账本将对加密存储结构中的数字签名和范围证明进行验证;在紧凑存储模式中,联盟链账本将对紧凑存储结构中的默克尔哈希树树根和聚合范围证明进行验证。
7.一种基于身份可信度的跨域身份认证***,其特征在于:包括唯一身份标识授权模块、基于同态加密和零知识范围证明的隐私保护模块和基于联盟链的身份可信度的管理和共享模块组成;
所述唯一身份标识授权模块,用于将用户的数字身份转换为公开可验证的唯一身份标识,实现数字身份与身份可信度的绑定;
权威身份来源机构对用户提供的身份信息进行验证,将合法的身份信息摘要提交到联盟链账本中,并向用户分发密钥和身份动态识别凭证生成应用;用户使用身份动态识别凭证注册数字身份,提供可验证的动态身份凭证;
所述基于同态加密和零知识范围证明的隐私保护模块,用于加密和验证在联盟链账本中公开存储的身份可信度记录;
用户通过使用唯一身份标识注册数字身份后,身份认证服务将为每个数字身份分发同态加密密钥;在生成数字身份对应的身份可信度记录时,身份认证服务将生成相应的同态加密密文和零知识范围证明作为数据合法性的验证信息;
所述基于联盟链的身份可信度的管理和共享模块,用于身份可信度配置信息管理、身份可信度链上动态维护及身份可信度的可验证比较;
由联盟链作为公共可验证的存储媒介和可信的联盟链链码执行环境,保证公共账本中的身份可信度相关信息未被篡改,并且能够诚实地执行链码定义的功能函数;
所述身份可信度的可验证比较,接受跨域身份凭证的安全域根据提供身份的安全域事先公开的身份可信度评价标准,选取合适的身份可信度最小阈值要求;在联盟链链码作为可信第三方的监督下,判断跨域身份凭证的身份可信度是否满足本域的最小要求,从而决定是否通过本次跨域身份认证请求;
具体包括以下子模块:
模块C3.1:用户请求使用已有的本地安全域中的数字身份通过外部安全域的身份认证;
模块C3.2:外部安全域根据本地安全域在联盟链账本中事先公开的身份可信度评价标准,选取合适的身份可信度最小阈值要求,并向联盟链链码申请比较参数的密文证明;
模块C3.3:本地安全域根据用户身份可信度的联盟链账本记录,向联盟链链码申请用户身份可信度的密文证明;
模块C3.4:外部安全域向本地安全域提供比较参数和对应的密文证明;
模块C3.5:本地安全域使用外部安全域提供的比较参数和己方拥有的参数完成中间结果和验证信息的计算;
模块C3.6:外部安全域根据中间结果得到身份可信度和阈值比较的结果,并使用验证信息判断比较结果的真实性,并将本次比较日志提交到联盟链账本中。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至6中任一项所述的基于身份可信度的跨域身份认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211498448.1A CN115883102B (zh) | 2022-11-28 | 2022-11-28 | 基于身份可信度的跨域身份认证方法、***及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211498448.1A CN115883102B (zh) | 2022-11-28 | 2022-11-28 | 基于身份可信度的跨域身份认证方法、***及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115883102A CN115883102A (zh) | 2023-03-31 |
CN115883102B true CN115883102B (zh) | 2024-04-19 |
Family
ID=85764208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211498448.1A Active CN115883102B (zh) | 2022-11-28 | 2022-11-28 | 基于身份可信度的跨域身份认证方法、***及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115883102B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117478329B (zh) * | 2023-10-16 | 2024-04-26 | 武汉大学 | 基于身份密钥封装的多用户抗合谋密文检索方法及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113411384A (zh) * | 2021-06-10 | 2021-09-17 | 华中科技大学 | 针对物联网数据安全共享过程中隐私保护的***及方法 |
CN113645020A (zh) * | 2021-07-06 | 2021-11-12 | 北京理工大学 | 一种基于安全多方计算的联盟链隐私保护方法 |
CN113691361A (zh) * | 2021-08-25 | 2021-11-23 | 上海万向区块链股份公司 | 基于同态加密和零知识证明的联盟链隐私保护方法及*** |
WO2022007889A1 (zh) * | 2020-07-08 | 2022-01-13 | 浙江工商大学 | 基于区块链与同态加密的可搜索加密数据共享方法及*** |
CN115002717A (zh) * | 2022-04-14 | 2022-09-02 | 河北师范大学 | 一种基于区块链技术的车联网跨域认证隐私保护模型 |
CN115277122A (zh) * | 2022-07-12 | 2022-11-01 | 云南财经大学 | 基于区块链的跨境数据流动与监管*** |
-
2022
- 2022-11-28 CN CN202211498448.1A patent/CN115883102B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022007889A1 (zh) * | 2020-07-08 | 2022-01-13 | 浙江工商大学 | 基于区块链与同态加密的可搜索加密数据共享方法及*** |
CN113411384A (zh) * | 2021-06-10 | 2021-09-17 | 华中科技大学 | 针对物联网数据安全共享过程中隐私保护的***及方法 |
CN113645020A (zh) * | 2021-07-06 | 2021-11-12 | 北京理工大学 | 一种基于安全多方计算的联盟链隐私保护方法 |
CN113691361A (zh) * | 2021-08-25 | 2021-11-23 | 上海万向区块链股份公司 | 基于同态加密和零知识证明的联盟链隐私保护方法及*** |
CN115002717A (zh) * | 2022-04-14 | 2022-09-02 | 河北师范大学 | 一种基于区块链技术的车联网跨域认证隐私保护模型 |
CN115277122A (zh) * | 2022-07-12 | 2022-11-01 | 云南财经大学 | 基于区块链的跨境数据流动与监管*** |
Non-Patent Citations (3)
Title |
---|
Process:privacy-preserving on-chain certificate status service;Jing Chen et al.;IEEE;20210726;全文 * |
基于区块链的信息网络信任支撑环境构建研究;周云;;信息安全与通信保密;20200410(04);全文 * |
基于区块链的异构身份联盟与监管体系架构和关键机制;***;张兆雷;李洪伟;白健;郝尧;陈宇翔;;通信技术;20200210(02);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115883102A (zh) | 2023-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240054437A1 (en) | Blockchain-Based Authentication And Authorization | |
CN113014392B (zh) | 基于区块链的数字证书管理方法及***、设备、存储介质 | |
Sun et al. | Outsourced decentralized multi-authority attribute based signature and its application in IoT | |
CN111614680B (zh) | 一种基于cp-abe的可追溯云存储访问控制方法和*** | |
Liu et al. | Blockchain-cloud transparent data marketing: Consortium management and fairness | |
CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
Li et al. | Traceable Ciphertext‐Policy Attribute‐Based Encryption with Verifiable Outsourced Decryption in eHealth Cloud | |
Xu et al. | Accountable ring signatures: A smart card approach | |
CN112733179A (zh) | 一种轻量级非交互隐私保护数据聚合方法 | |
Pussewalage et al. | An anonymous delegatable attribute-based credential scheme for a collaborative e-health environment | |
CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、***及电子设备 | |
Liu et al. | Multiauthority Attribute‐Based Access Control for Supply Chain Information Sharing in Blockchain | |
Mao et al. | BTAA: Blockchain and TEE-Assisted Authentication for IoT Systems | |
Kaaniche et al. | Id-based user-centric data usage auditing scheme for distributed environments | |
CN114866244B (zh) | 基于密文分组链接加密的可控匿名认证方法、***及装置 | |
Nait-Hamoud et al. | Certificateless Public Key Systems Aggregation: An enabling technique for 5G multi-domain security management and delegation | |
Hena et al. | A three-tier authentication scheme for kerberized hadoop environment | |
Saxena et al. | A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology | |
Mishra et al. | Fine-grained access control of files stored in cloud storage with traceable and revocable multi-authority CP-ABE scheme | |
CN112950356A (zh) | 基于数字身份的个人贷款处理方法及***、设备、介质 | |
Yang et al. | Scalable and auditable self-agent pseudonym management scheme for intelligent transportation systems | |
CN105187213A (zh) | 一种计算机信息安全的方法 | |
Chaudhari et al. | Towards lightweight provable data possession for cloud storage using indistinguishability obfuscation | |
Yao et al. | Compact and anonymous role-based authorization chain | |
Xu et al. | HERMS: A hierarchical electronic records management system based on blockchain with distributed key generation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |