CN108712264A - 一种基于零知识证明的身份认证方法 - Google Patents

Abstract

本发明公开了一种基于零知识证明的身份认证方法，涉及身份识别和认证技术领域。该身份认证方法，通过免密的方式实现对用户身份真实性验证，解决了因为使用用户名密码过于简单和遭遇暴力撞库，带来的身份信息被窃取和被泄露的安全风险，从而导致搭建的用户认证体系失效。

Description

一种基于零知识证明的身份认证方法

技术领域

本发明涉及身份识别和认证技术领域，尤其涉及一种基于零知识证明的身份认证方法。

背景技术

随着互联网和移动互联网技术和应用发展，对用户身份合法性进行验证的场景环境更加复杂，但是，目前常用的身份验证方式主要还是基于用户名密码的主流方式，结合短信验证码、图片验证码等技术实现对用户身份的识别，但是用户名密码方式出现的数据库被脱库、爆库、注入的事件愈发猛烈，导致政府、企业、个人的关键、重要、隐私数据频频失窃并被在互联网上肆意传播或进行非法地下交易，导致关键信息失窃和肆意泛滥，而且即使用了短信验证码和图片验证码，同样依然面临因为对于身份验证手法的传统化和单一性，导致因为伪造和窃取身份的低成本性，从而使得身份安全验证通常形同虚设而被突破，从而造成后台数据被长驱直入而被窃取。

发明内容

本发明的目的在于提供一种基于零知识证明的身份认证方法，从而解决现有技术中存在的前述问题。

为了实现上述目的，本发明采用的技术方案如下：

一种基于零知识证明的身份认证方法，包括如下步骤：

S1、业务初始，合法用户进行数据操作时，ZKIA通过解析，获取与操作关联的四要素：设备标识TI(i)、动作标识AI(i)、用户标识UI(i)和目标数据标识DI(i)，并将该四要素作为身份参数传入ZKIL中；

S2、ZKIL通过Hash算法将传入的四个参数计算生成代表该用户从该设备使用该动作访问该数据对象的唯一ZKID(i)，将ZKID(i)和DI(i)作为本次数据操作的确认结果；

S3、继续本次数据操作的同时，向基于区块链技术建立的ZKIL中的所有区块节点广播确认结果记录请求；

S4、ZKIL中所有区块节点收到广播请求后，启动ZKBS服务，计算区块Hash值，直到其中某个节点ZB(i)计算产生出符合条件的区块Hash值H(i)；

S5、ZB(i)向全网广播计算结果H(i)和其对应区块信息BI；

S6、ZKIL中所有区块节点对H(i)进行确认无误后，在自身保存的区块链上，创建区块，并将H(i)和BI记录其中；

S7、当用户发出数据请求时，不需要用户进行密码输入行为，数据请求方在终端可以向ZKIA直接发出数据获取请求；

S8、ZKIA对发起请求进行解析，获取用于数据发起方身份证明的设备标识TI(n)、动作标识AI(n)、用户标识UI(n)和目标数据标识DI(n)，并通过对TI(n)、AI(n)、UI(n)、DI(n)进行Hash计算，获取ZKID(n)，并将ZKID(n)和DI(n)作为身份验证参数传递给ZKII；

S9、ZKII依据ZKID(n)和DI(n)，检索ZKIL中所有区块信息，查询是否存在与ZKID(n)和DI(n)相同的ZB(M)，如果存在对应ZB(M)，则证明发起数据请求的用户是合法的，访问行为被认为是合法行为，可以继续后续数据操作动作；反之，此次数据请求访问操作被视为危险行为，后续数据操作行为将被禁止，同时对此次非法访问操作通过日志进行记录。

本发明的有益效果是：本发明实施例提供的基于零知识证明的身份认证方法，通过免密的方式实现对用户身份真实性验证，解决了因为使用用户名密码过于简单和遭遇暴力撞库，带来的身份信息被窃取和被泄露的安全风险，从而导致搭建的用户认证体系失效。

附图说明

图1是本发明提供的基于零知识证明的身份认证方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种基于零知识证明的身份认证方法，包括如下步骤：

S1、业务初始，合法用户进行数据操作时，ZKIA通过解析，获取与操作关联的四要素：设备标识TI(i)、动作标识AI(i)、用户标识UI(i)和目标数据标识DI(i)，并将该四要素作为身份参数传入ZKIL中；

S2、ZKIL通过Hash算法将传入的四个参数计算生成代表该用户从该设备使用该动作访问该数据对象的唯一ZKID(i)，将ZKID(i)和DI(i)作为本次数据操作的确认结果；

S3、继续本次数据操作的同时，向基于区块链技术建立的ZKIL中的所有区块节点广播确认结果记录请求；

S4、ZKIL中所有区块节点收到广播请求后，启动ZKBS服务，计算区块Hash值，直到其中某个节点ZB(i)计算产生出符合条件的区块Hash值H(i)；

S5、ZB(i)向全网广播计算结果H(i)和其对应区块信息BI；

S6、ZKIL中所有区块节点对H(i)进行确认无误后，在自身保存的区块链上，创建区块，并将H(i)和BI记录其中；

S7、当用户发出数据请求时，不需要用户进行密码输入行为，数据请求方在终端可以向ZKIA直接发出数据获取请求；

S8、ZKIA对发起请求进行解析，获取用于数据发起方身份证明的设备标识TI(n)、动作标识AI(n)、用户标识UI(n)和目标数据标识DI(n)，并通过对TI(n)、AI(n)、UI(n)、DI(n)进行Hash计算，获取ZKID(n)，并将ZKID(n)和DI(n)作为身份验证参数传递给ZKII；

S9、ZKII依据ZKID(n)和DI(n)，检索ZKIL中所有区块信息，查询是否存在与ZKID(n)和DI(n)相同的ZB(M)，如果存在对应ZB(M)，则证明发起数据请求的用户是合法的，访问行为被认为是合法行为，可以继续后续数据操作动作；反之，此次数据请求访问操作被视为危险行为，后续数据操作行为将被禁止，同时对此次非法访问操作通过日志进行记录。

上述方法中，对其中一些术语的解释如下：

ZK：Zero Knowledge，

ZKIA：ZK ID Analysis，ZK身份解析管理；

ZKIL：ZK ID Library，ZK身份区块库；

ZKII：ZK ID Identification，ZK身份识别；

TI：Terminal ID，设备标识；

AI：Action ID，动作标识；

UI：User ID，用户标识；

DI：Data ID，目标数据标识。

BI：Block Info。

上述方法，基于ZK(Zero Knowledge)的身份认证机制底层通过C构建认证服务，实现通信监听和交互，通过Java实现应用层的业务处理逻辑。

通过采用本发明公开的上述技术方案，得到了如下有益的效果：本发明实施例提供的基于零知识证明的身份认证方法，通过免密的方式实现对用户身份真实性验证，解决了因为使用用户名密码过于简单和遭遇暴力撞库，带来的身份信息被窃取和被泄露的安全风险，从而导致搭建的用户认证体系失效。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims (1)

1.一种基于零知识证明的身份认证方法，其特征在于，包括如下步骤：

S1、业务初始，合法用户进行数据操作时，ZKIA通过解析，获取与操作关联的四要素：设备标识TI(i)、动作标识AI(i)、用户标识UI(i)和目标数据标识DI(i)，并将该四要素作为身份参数传入ZKIL中；

S2、ZKIL通过Hash算法将传入的四个参数计算生成代表该用户从该设备使用该动作访问该数据对象的唯一ZKID(i)，将ZKID(i)和DI(i)作为本次数据操作的确认结果；

S3、继续本次数据操作的同时，向基于区块链技术建立的ZKIL中的所有区块节点广播确认结果记录请求；

S4、ZKIL中所有区块节点收到广播请求后，启动ZKBS服务，计算区块Hash值，直到其中某个节点ZB(i)计算产生出符合条件的区块Hash值H(i)；

S5、ZB(i)向全网广播计算结果H(i)和其对应区块信息BI；

S6、ZKIL中所有区块节点对H(i)进行确认无误后，在自身保存的区块链上，创建区块，并将H(i)和BI记录其中；

S7、当用户发出数据请求时，不需要用户进行密码输入行为，数据请求方在终端可以向ZKIA直接发出数据获取请求；

S8、ZKIA对发起请求进行解析，获取用于数据发起方身份证明的设备标识TI(n)、动作标识AI(n)、用户标识UI(n)和目标数据标识DI(n)，并通过对TI(n)、AI(n)、UI(n)、DI(n)进行Hash计算，获取ZKID(n)，并将ZKID(n)和DI(n)作为身份验证参数传递给ZKII；

S9、ZKII依据ZKID(n)和DI(n)，检索ZKIL中所有区块信息，查询是否存在与ZKID(n)和DI(n)相同的ZB(M)，如果存在对应ZB(M)，则证明发起数据请求的用户是合法的，访问行为被认为是合法行为，可以继续后续数据操作动作；反之，此次数据请求访问操作被视为危险行为，后续数据操作行为将被禁止，同时对此次非法访问操作通过日志进行记录。