CN112434281B - 一种面向联盟链的多因子身份认证方法 - Google Patents
一种面向联盟链的多因子身份认证方法 Download PDFInfo
- Publication number
- CN112434281B CN112434281B CN202011283600.5A CN202011283600A CN112434281B CN 112434281 B CN112434281 B CN 112434281B CN 202011283600 A CN202011283600 A CN 202011283600A CN 112434281 B CN112434281 B CN 112434281B
- Authority
- CN
- China
- Prior art keywords
- attribute
- user terminal
- node
- authority
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000012795 verification Methods 0.000 claims abstract description 43
- 230000003993 interaction Effects 0.000 claims abstract description 5
- 238000013475 authorization Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 125000004122 cyclic group Chemical group 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种面向联盟链的多因子身份认证方法,通过各授权中心节点生成系统的主公钥y和中间参数g2,根据公共参数、主公钥y、中间参数g2生成并公开系统验证参数Z,各授权中心节点根据用户终端的用户属性信息针对该用户的每一目标属性生成对应的属性部分密钥,将属性部分密钥发送给用户终端,用户终端根据属性部分密钥计算对应目标属性的属性私钥,当用户终端需要向系统中的其他验证者证明自己的身份时,用户终端和验证方利用用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证,用户终端每一属性的属性私钥由多个授权中心节点共同参与生成,密钥不容易泄露,且在认证过程中基于多属性进行认证,提升了认证的安全性。
Description
技术领域
本发明涉及身份认证技术领域,尤其涉及一种面向联盟链的多因子身份认证方法。
背景技术
随着互联网技术的高速发展,网络空间安全受到广泛关注,身份认证技术作为网络空间安全的第一关口,更是重中之重。传统身份认证技术通常存在一个可信中心进行用户密钥的生成,存在密钥托管问题,容易造成密钥泄露。另外,传统的认证方法通常是基于单因子进行认证,安全性较低。
发明内容
为解决上述技术问题,本发明提供一种面向联盟链的多因子身份认证方法。
本发明采用的技术方案是:
一种面向联盟链的多因子身份认证方法,包括:
S1:联盟链服务器生成并公开系统公共参数;
S2:联盟链中的各授权中心节点根据系统公共参数进行初始化,生成系统的主公钥y和中间参数g2,并根据所述系统公共参数、主公钥y和中间参数g2生成并公开系统验证参数Z;
S3:用户终端向联盟链服务器发送注册请求,所述注册请求中包含所述用户终端的用户属性信息,所述用户属性信息中包括所述用户终端的多个属性组成的用户属性集以及每一属性分别对应的特征信息;
S4:所述联盟链服务器根据所述用户属性信息确定所述用户终端合法后,向授权中心节点发送指示信息;
S5:各授权中心节点在接收到所述指示信息后根据所述用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥,并将所述属性部分密钥发送给所述用户终端;
S6:所述用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥;
S7:当所述用户终端需要向系统中的其他验证者证明自己的身份时,所述用户终端和所述验证方利用所述用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证。
进一步地,所述系统公共参数包括p、g、e、G、GT、k、n、t,其中,p表示联盟链服务器根据安全参数生成的素数阶,G和GT表示两个阶为素数p的乘法循环群,g是群G的生成元,双线性映射e:G×G→GT,属性门限值k表示用户终端在指定验证策略属性集中需要满足的属性个数门限值,n表示授权中心的个数,系统门限值t表示生成属性密钥所需的授权中心的个数;
所述步骤S2中生成系统主公钥y的步骤包括:
S21:所述联盟链中的各授权中心节点Pi根据参数t生成第一多项式函数,根据所述第一多项式函数、参数g和p计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i;
S22:授权中心节点Pj根据接收到的第一秘密值yij判断授权中心节点Pi是否是可信的授权中心,如是,转至S23,否则授权中心节点Pj要求授权中心节点Pi重新发送第一秘密值yij;
S23:各授权中心节点Pi基于可信授权中心节点的第一秘密值进行计算得到系统主密钥,并根据系统主密钥进行计算得到系统主公钥y;
所述步骤S2中生成中间参数g2的步骤包括:
S24:所述联盟链中的各授权中心节点Pi根据参数n生成第二多项式函数,根据所述第二多项式函数、参数g和p计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i;
S25:授权中心节点Pj根据接收到的第二秘密值tij判断授权中心节点Pi是否是可信的授权中心,如是,转至S26,否则授权中心节点Pj要求授权中心节点Pi重新发送第二秘密值tij;
S26:各授权中心节点Pi在互相验证可信后根据n个授权中心的第二多项式函数的系数计算中间参数g2;
步骤S2中通过公式Z=e(y,g2)生成系统验证参数Z。
进一步地,步骤S21中授权中心节点Pi生成的第一多项式函数为fi(x)=ci0+ci1x+…+ci(t-1)xt-1,且各个授权中心节点Pi根据公式针对第一多项式函数的每一系数计算并广播授权中心节点Pi的第一验证系数Ciλ,λ=0,...,t-1,并根据公式yij=fi(Pj)计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj;
步骤S22中授权中心节点Pj接收到第一秘密值yij后验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送yij;
步骤S23中各授权中心节点Pi通过公式计算系统的主密钥s,并通过公式y=gs计算系统主公钥y,其中,S表示参与密钥生成的t个授权中心节点组成的集合,/>
进一步地,步骤S24中各授权中心节点Pi生成的第二多项式函数为hi(x)=bi0+bi1x+...+bi(n-1)xn-1,且各个授权中心节点Pi根据公式针对第二多项式函数的每一系数计算并广播授权中心节点Pi的第二验证系数Biε,ε=0,...,n-1,并根据公式tij=hi(Pj)计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj;
步骤S25中各授权中心节点Pj接收到第二秘密值tij后验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送tij;
步骤S26中各授权中心节点Pi通过公式计算中间参数g2。
进一步地,在步骤S5中,各个授权中心节点根据所述用户终端的用户属性集和系统的默认属性集生成所述用户终端的目标属性集,并针对目标属性集中的每一目标属性,计算其对应的属性部分密钥,并将其发送给所述用户终端;
步骤S6中,所述用户终端在收到t个授权中心节点针对每一目标属性发送的属性部分密钥后计算每一目标属性对应的属性私钥。
进一步地,所述系统公共参数还包括属性全集U、属性全集中部分属性组成的默认属性集A、哈希函数H:{0,1}*→G、属性个数参数a,a-1表示表示默认属性集A中属性元素的个数;
步骤S5中,各授权中心节点Pi通过生成所述用户终端的目标属性集,其中,I表示所述用户终端的用户属性集,/>表示所述用户终端的目标属性集,各授权中心节点Pi针对目标属性集/>中的第q个目标属性生成随机数riq,所述随机数为整数,并通过公式和/>计算所述用户终端针对第q个目标属性的属性部分密钥和/>
步骤S6中,用户终端根据公式和公式/>计算第q个目标属性的属性私钥Dq=(dq0,dq1),其中,/>
进一步地,步骤S7包括:
S71:所述用户终端选择含有k个属性的属性子集I′,I*表示系统预先设置的验证策略属性集;
S72:用户终端选择默认属性子集A′,|A′|=a-k,并选择m+a-k个随机值r′q,随机值r′q为整数,其中q∈I*∪A′,m表示属性集I*中的属性个数,并选择随机数v,计算和σ′0=gv,将(σq,σ′0)发送给验证者,/>
S73:验证者随机选择参数θ作为随机验证参数,并发送给所述用户终端;
S74:所述用户终端收到验证者发来的随机验证参数θ后,计算并将σ0发送给验证者;
S75:验证者在接收到所述用户终端发来的值后,验证等式是否成立,如果等式成立,则通过认证,否则认证失败。
进一步地,所述验证者为其他用户终端或授权中心节点。
本发明提供的面向联盟链的多因子身份认证方法通过系统中的各授权中心节点生成系统的主公钥y和中间参数g2,并根据系统公共参数、主公钥y和中间参数g2生成并公开系统验证参数Z,各授权中心节点根据用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥,并将属性部分密钥发送给用户终端,用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥,当用户终端需要向系统中的其他验证者证明自己的身份时,用户终端和验证方利用该用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证,用户终端每一属性的属性私钥由多个授权中心节点共同参与生成,密钥不容易泄露,且在认证过程中基于多属性进行认证,提升了认证的安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本实施例提供的面向联盟链的多因子身份认证方法的流程示意图;
图2为本实施例提供的一种联盟链系统的场景架构图。
具体实施方式
为了使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述,应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本实施例提供一种面向联盟链的多因子身份认证方法,请参见图1所示,包括以下步骤:
S1:联盟链服务器生成并公开系统公共参数。
可以理解的是,联盟链是区块链的一种类型,区块链(Blockchain)是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证数据不可篡改和不可伪造的分布式账本。区块链本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性和生成下一个区块。联盟链,只针对某个特定群体的成员和有限的第三方,其内部指定多个预选节点为记账人,每个块的生成由所有的预选节点共同决定。图2为本申请实施例提供的一种联盟链系统的场景架构图。如图2所示,联盟链系统中包括了服务器对应的第一节点101,授权中心对应的第二节点102及用户终端对应的第三节点103。图2所示的区块链系统中的各个节点数量仅为举例,例如:服务器节点101,授权中心节点102和用户终端节点103可以为多个,区块链系统中可能还存在第四节点,第五节点等,本实施例并不对各个节点的数量进行限定。其中,用户终端节点103可以为以下任一种:终端、独立的应用程序、API(Application Programming Interface,应用程序编程接口)或者SDK(Software Development Kit,软件开发工具包)。其中,终端可以包括但不限于:智能手机(如Android手机、iOS手机等)、平板电脑、便携式个人计算机、移动互联网设备(MobileInternetDevices,简称MID)等设备,本发明实施例不做限定。
本实施例中的系统公共参数params={p,g,e,G,GT,H,U,A,a,k,n,t},其中,p表示联盟链服务器根据安全参数生成的素数阶,G和GT表示两个阶为素数p的乘法循环群,g是群G的生成元,双线性映射e:G×G→GT,哈希函数H:{0,1}*→G,U表示属性全集,A表示属性全集中部分属性组成的默认属性集,a-1表示默认属性集A中属性元素的个数,属性门限值k表示用户终端在指定验证策略属性集中需要满足的属性个数门限值,n表示授权中心的个数,系统门限值t表示生成属性密钥所需的授权中心的个数。
应当说明的是,本申请实施例中联盟链中各授权中心节点的公钥和私钥可以由去中心化的密钥生成机制生成,该机制建立在双线性映射对的基础上,满足双线性映射的性质。下面给出双线性映射的定义:设G和GT是两个同素数阶p的乘法循环群,g是G的一个生成元。本实施例中,在G上定义的一个双线性映射e:G×G→GT,有以下三个属性:
双线性:并且g1,g2∈G,有e(g1 a,g2 b)=e(g1,g2)ab;
非退化:使/>
可计算:存在有效的算法对任意的g1,g2∈G,计算e(g1,g2)的值。
S2:联盟链中的各授权中心节点根据系统公共参数进行初始化,生成系统的主公钥y和中间参数g2,并根据所述系统公共参数、主公钥y和中间参数g2生成并公开系统验证参数Z。
应当说明的是,步骤S2中通过可以公式Z=e(y,g2)生成系统验证参数Z。
下面对步骤S2中生成主公钥y和中间参数g2的过程进行详细的阐述。
所述步骤S2中生成系统主公钥y的步骤包括:
S21:所述联盟链中的各授权中心节点Pi根据参数t生成第一多项式函数,根据所述第一多项式函数、参数g和p计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i。
步骤S21中授权中心节点Pi生成的第一多项式函数可以为fi(x)=ci0+ci1x+…+ci(t-1)xt-1,且各个授权中心节点Pi根据公式针对第一多项式函数的每一系数计算并广播授权中心节点Pi的验证系数Ciλ,λ=0,...,t-1,并根据公式yij=fi(Pj)计算第一秘密值yij,也即是将授权中心节点Pj的身份ID作为第一多项式函数fi(x)的函数输入值以计算第一秘密值,然后将第一秘密值yij发送给授权中心节点Pj。
S22:授权中心节点Pj根据接收到的第一秘密值yij判断授权中心节点Pi是否是可信的授权中心,如是,转至S23,否则授权中心节点Pj要求授权中心节点Pi重新发送第一秘密值yij。
步骤S22中授权中心节点Pj接收到第一秘密值yij后可以验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送yij。
S23:各授权中心节点Pi基于可信授权中心节点的第一秘密值进行计算得到系统主密钥,并根据系统主密钥进行计算得到系统主公钥y。
步骤S23中各授权中心节点Pi通过各第一秘密值和拉格朗日插值公式计算系统的主密钥s,具体而言,可以通过公式/>计算系统的主密钥s,并通过公式y=gs计算系统主公钥y,其中,S表示参与密钥生成的t个授权中心节点组成的集合。
所述步骤S2中生成中间参数g2的步骤包括:
S24:所述联盟链中的各授权中心节点Pi根据参数n生成第二多项式函数,根据所述第二多项式函数、参数g和p计算第二秘密值tij,并将秘密值tij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i。
步骤S24中各授权中心节点Pi生成的第二多项式函数可以为hi(x)=bi0+bi1x+...+bi(n-1)xn-1,且各个授权中心节点Pi根据公式针对第二多项式函数的每一系数计算并广播授权中心节点Pi的第二验证系数Biε,ε=0,...,n-1,并根据公式tij=hi(Pj)计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj。
S25:授权中心节点Pj根据接收到的第二秘密值tij判断授权中心节点Pi是否是可信的授权中心,如是,转至S26,否则授权中心节点Pj要求授权中心节点Pi重新发送第二秘密值tij。
具体的,步骤S25中各授权中心节点Pj接收到第二秘密值tij后验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送tij。
S26:各授权中心节点Pi在互相验证可信后根据n个授权中心节点的第二多项式函数的系数计算中间参数g2。
具体的,步骤S26中各授权中心节点Pi通过公式计算中间参数g2。
S3:用户终端向联盟链服务器发送注册请求,所述注册请求中包含所述用户终端的用户属性信息,所述用户属性信息中包括所述用户终端的多个属性组成的用户属性集以及每一属性分别对应的特征信息。
本实施例中的用户属性信息包括但不限于口令、邮箱、生物特征、年龄、性别等。用户终端发送的注册请求中可以携带该用户终端的多个属性信息。
S4:所述联盟链服务器根据所述用户属性信息确定所述用户终端合法后,向授权中心节点发送指示信息。
S5:各授权中心节点在接收到所述指示信息后根据所述用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥,并将所述属性部分密钥发送给所述用户终端。
在步骤S5中,各个授权中心节点根据所述用户终端的用户属性集和系统的默认属性集生成所述用户终端的目标属性集,并针对目标属性集中的每一目标属性,计算其对应的属性部分密钥,并将其发送给所述用户终端。
步骤S6中,所述用户终端在收到t个授权中心节点针对每一目标属性发送的属性部分密钥后计算每一目标属性对应的属性私钥。
应当说明的是用户终端在收到至少t个授权中心节点发送的属性部分密钥后就可以针对目标属性计算其对应的属性私钥,若收到更多的授权中心节点发送的属性部分密钥,可以基于所有的属性部分密钥计算对应目标属性的属性私钥。
S6:所述用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥。
具体来说,步骤S5中,各授权中心节点Pi通过生成所述用户终端的目标属性集,其中,I表示所述用户终端的用户属性集,/>表示所述用户终端的目标属性集,各授权中心节点Pi针对目标属性集/>中的第q个目标属性生成随机数riq,所述随机数为整数,并通过公式/>和/>计算所述用户终端针对第q个目标属性的属性部分密钥/>和/>
步骤S6中,用户终端根据公式和公式/>计算第q个目标属性的属性私钥Dq=(dq0,dq1),其中,/>表示授权中心节点Pi对于第q个属性的插值公式。
S7:当所述用户终端需要向系统中的其他验证者证明自己的身份时,所述用户终端和所述验证方利用所述用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证。
应当说明的是,本实施例中的验证者可以为其他用户终端,也可以是其他授权中心节点。
用户终端节点与其他节点进行身份认证的过程,可以通过判断用户属性集I中是否拥有验证策略属性集I*中的至少k个属性,如拥有至少k个属性则通过验证,否则表示未通过。
下面对步骤S7的具体认证过程进行说明。步骤S7包括以下步骤:
S71:所述用户终端选择含有k个属性的属性子集I′,I*表示系统预先设置的验证策略属性集。
S72:用户终端选择默认属性子集A′,|A′|=a-k,并选择m+a-k个随机值r′q,随机值r′q为整数,其中q∈I*∪A′,m表示属性集I*中的属性个数,并选择随机数v,计算和σ′0=gv,将(σq,σ′0)发送给验证者,/>为拉格朗日插值公式,,W=I′∪A′,η表示属性集W中的第η个属性;
S73:验证者随机选择参数θ作为随机验证参数,并发送给所述用户终端。
S74:所述用户终端收到验证者发来的随机验证参数θ后,计算并将σ0发送给验证者。
S75:验证者在接收到所述用户终端发来的值后,验证等式是否成立,如果等式成立,则通过认证,否则认证失败。
应当说明的是,σq、σ′0和σ0作为中间验证参数,可以供验证者对用户终端的身份进行验证。和/>中的属性元素q来自不同的属性集,在计算以及验证/>时应当根据属性元素q的来源选取相对应的公式计算σq。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (2)
1.一种面向联盟链的多因子身份认证方法,其特征在于,包括:
S1:联盟链服务器生成并公开系统公共参数,系统公共参数包括p、g、e、G、GT、k、n、t,其中,p表示联盟链服务器根据安全参数生成的素数阶,G和GT表示两个阶为素数p的乘法循环群,g是群G的生成元,双线性映射e:G×G→GT,属性门限值k表示用户终端在指定验证策略属性集中需要满足的属性个数门限值,n表示授权中心的个数,系统门限值t表示生成属性密钥所需的授权中心的个数;
S2:联盟链中的各授权中心节点根据系统公共参数进行初始化,生成系统的主公钥y和中间参数g2,并根据所述系统公共参数、主公钥y和中间参数g2生成并公开系统验证参数Z;
生成系统主公钥y的步骤包括:
S21:所述联盟链中的各授权中心节点Pi根据参数t生成第一多项式函数,根据所述第一多项式函数、参数g和p计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i;
S22:授权中心节点Pj根据接收到的第一秘密值yij判断授权中心节点Pi是否是可信的授权中心,如是,转至S23,否则授权中心节点Pj要求授权中心节点Pi重新发送第一秘密值yij;
S23:各授权中心节点Pi基于可信授权中心节点的第一秘密值进行计算得到系统主密钥,并根据系统主密钥进行计算得到系统主公钥y;
步骤S21中授权中心节点Pi生成的第一多项式函数为fi(x)=ci0+ci1x+…+ci(t-1)xt-1,且各个授权中心节点Pi根据公式针对第一多项式函数的每一系数计算并广播授权中心节点Pi的第一验证系数Ciλ,λ=0,...,t-1,并根据公式yij=fi(Pj)计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj;
步骤S22中授权中心节点Pj接收到第一秘密值yij后验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送yij;
步骤S23中各授权中心节点Pi通过公式计算系统的主密钥s,并通过公式y=gs计算系统主公钥y,其中,S表示参与密钥生成的t个授权中心节点组成的集合,/>
生成中间参数g2的步骤包括:
S24:所述联盟链中的各授权中心节点Pi根据参数n生成第二多项式函数,根据所述第二多项式函数、参数g和p计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj,其中i,j=1,…,n,j≠i;
S25:授权中心节点Pj根据接收到的第二秘密值tij判断授权中心节点Pi是否是可信的授权中心,如是,转至S26,否则授权中心节点Pj要求授权中心节点Pi重新发送第二秘密值tij;
S26:各授权中心节点Pi在互相验证可信后根据n个授权中心的第二多项式函数的系数计算中间参数g2;
步骤S24中各授权中心节点Pi生成的第二多项式函数为hi(x)=bi0+bi1x+…+bi(n-1)xn-1,且各个授权中心节点Pi根据公式针对第二多项式函数的每一系数计算并广播授权中心节点Pi的第二验证系数Biε,ε=0,...,n-1,并根据公式tij=hi(Pj)计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj;
步骤S25中各授权中心节点Pj接收到第二秘密值tij后验证等式是否成立,如果成立,则确定授权中心节点Pi为可信的授权中心,否则,授权中心节点Pj要求授权中心节点Pi重新发送tij;
步骤S26中各授权中心节点Pi通过公式计算中间参数g2;
通过公式Z=e(y,g2)生成系统验证参数Z;
S3:用户终端向联盟链服务器发送注册请求,所述注册请求中包含所述用户终端的用户属性信息,所述用户属性信息中包括所述用户终端的多个属性组成的用户属性集以及每一属性分别对应的特征信息;
S4:所述联盟链服务器根据所述用户属性信息确定所述用户终端合法后,向授权中心节点发送指示信息;
S5:各授权中心节点在接收到所述指示信息后根据所述用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥,并将所述属性部分密钥发送给所述用户终端;
该用户终端的每一目标属性来自于所述用户终端的用户属性集和系统的默认属性集生成的所述用户终端的目标属性集;
所述系统公共参数还包括属性全集U、属性全集中部分属性组成的默认属性集A、哈希函数H:{0,1}*→G、属性个数参数a,a-1表示默认属性集A中属性元素的个数;
生成对应的属性部分密钥的步骤包括:
各授权中心节点Pi通过生成所述用户终端的目标属性集,其中,I表示所述用户终端的用户属性集,所述用户属性集为属性全集U的子集,/>表示所述用户终端的目标属性集,各授权中心节点Pi针对目标属性集/>中的第q个目标属性生成随机数riq,所述随机数为整数,并通过公式/>和/>计算所述用户终端针对第q个目标属性的属性部分密钥/>和/>
S6:所述用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥;
所述用户终端接收到的属性部分密钥是t个授权中心节点针对每一目标属性发送的属性部分密钥;
计算每一目标属性对应的属性私钥的步骤包括:
用户终端根据公式和公式/>计算第q个目标属性的属性私钥Dq=(dq0,dq1),其中,/>
S7:当所述用户终端需要向系统中的其他验证者证明自己的身份时,所述用户终端和所述验证者利用所述用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证;
完成身份验证的步骤包括:
S71:所述用户终端选择含有k个属性的属性子集I',I*表示系统预先设置的验证策略属性集;
S72:用户终端选择默认属性子集A',|A′|=a-k,并选择m+a-k个随机值r'q,随机值r'q为整数,其中q∈I*∪A′,m表示属性集I*中的属性个数,并选择随机数v,计算和σ′0=gv,将(σq,σ′0)发送给验证者,/>W=I'∪A';
S73:验证者随机选择参数θ作为随机验证参数,并发送给所述用户终端;
S74:所述用户终端收到验证者发来的随机验证参数θ后,计算并将σ0发送给验证者;
S75:验证者在接收到所述用户终端发来的值后,验证等式是否成立,如果等式成立,则通过认证,否则认证失败。
2.如权利要求1所述的面向联盟链的多因子身份认证方法,其特征在于,所述验证者为其他用户终端或授权中心节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011283600.5A CN112434281B (zh) | 2020-11-17 | 2020-11-17 | 一种面向联盟链的多因子身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011283600.5A CN112434281B (zh) | 2020-11-17 | 2020-11-17 | 一种面向联盟链的多因子身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112434281A CN112434281A (zh) | 2021-03-02 |
CN112434281B true CN112434281B (zh) | 2024-04-30 |
Family
ID=74700269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011283600.5A Active CN112434281B (zh) | 2020-11-17 | 2020-11-17 | 一种面向联盟链的多因子身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112434281B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113626456A (zh) * | 2021-08-18 | 2021-11-09 | 安徽宝葫芦信息科技集团股份有限公司 | 一种基于区块链技术的档案数据一致性保持系统及方法 |
CN116881947A (zh) * | 2023-08-01 | 2023-10-13 | 江苏恒为信息科技有限公司 | 一种基于区块链的企业数据库安全访问控制方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015019104A2 (en) * | 2013-08-07 | 2015-02-12 | Eus Associates Ltd | Access and control authorisation system |
CN110941668A (zh) * | 2019-11-08 | 2020-03-31 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的统一身份管理和认证方法 |
CN111181718A (zh) * | 2019-12-30 | 2020-05-19 | 南京如般量子科技有限公司 | 一种基于联盟链的抗量子计算ike系统和协商通信方法 |
CN111294202A (zh) * | 2020-01-16 | 2020-06-16 | 重庆邮电大学 | 一种面向联盟链的身份认证方法 |
CN111428211A (zh) * | 2020-03-20 | 2020-07-17 | 浙江传媒学院 | 面向联盟区块链的视频作品多因子确权溯源的存证方法 |
-
2020
- 2020-11-17 CN CN202011283600.5A patent/CN112434281B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015019104A2 (en) * | 2013-08-07 | 2015-02-12 | Eus Associates Ltd | Access and control authorisation system |
CN110941668A (zh) * | 2019-11-08 | 2020-03-31 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的统一身份管理和认证方法 |
CN111181718A (zh) * | 2019-12-30 | 2020-05-19 | 南京如般量子科技有限公司 | 一种基于联盟链的抗量子计算ike系统和协商通信方法 |
CN111294202A (zh) * | 2020-01-16 | 2020-06-16 | 重庆邮电大学 | 一种面向联盟链的身份认证方法 |
CN111428211A (zh) * | 2020-03-20 | 2020-07-17 | 浙江传媒学院 | 面向联盟区块链的视频作品多因子确权溯源的存证方法 |
Non-Patent Citations (2)
Title |
---|
Identity-Based Identification Scheme without Trusted Party against Concurrent Attacks;Jason Chia;《Security and Communication Networks》;全文 * |
云环境下基于签密的异构跨域身份认证方案;江泽涛;《计算机应用》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112434281A (zh) | 2021-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
US8654975B2 (en) | Joint encryption of data | |
CN111294202B (zh) | 一种面向联盟链的身份认证方法 | |
WO2013031414A1 (ja) | 署名検証装置、署名検証方法、プログラム、及び記録媒体 | |
WO2013031533A1 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
CN107248909A (zh) | 一种基于sm2算法的无证书安全签名方法 | |
CN112434281B (zh) | 一种面向联盟链的多因子身份认证方法 | |
Hébant et al. | Traceable constant-size multi-authority credentials | |
CN110945831A (zh) | 抗Sybil攻击身份的生成 | |
CN115396115B (zh) | 区块链数据隐私保护方法、装置、设备及可读存储介质 | |
CN115442057A (zh) | 一种具有强不可链接性的可随机化盲签名方法及系统 | |
Basha et al. | Security enhancement of digital signatures for blockchain using EdDSA algorithm | |
Chi et al. | A privacy-preserving zero-knowledge proof for blockchain | |
Chain et al. | Enhancement authentication protocol using zero‐knowledge proofs and chaotic maps | |
Hu et al. | Short and provably secure designated verifier proxy signature scheme | |
Liu et al. | An efficient fine-grained data access control system with a bounded service number | |
CN111245615B (zh) | 一种基于身份的数字签名密码逆向防火墙方法 | |
CN116961917A (zh) | 一种基于ecdsa的多方协同门限签名方法、装置和系统 | |
Wang et al. | A novel blockchain identity authentication scheme implemented in fog computing | |
Tian et al. | A systematic method to design strong designated verifier signature without random oracles | |
Sarencheh et al. | An efficient cooperative message authentication scheme in vehicular ad-hoc networks | |
Wei et al. | Fast cut-and-choose bilateral oblivious transfer for malicious adversaries | |
Gong et al. | A threshold group signature scheme suitable for the Internet of Things | |
Kumaravelu et al. | Computationally efficient and secure anonymous authentication scheme for IoT‐based mobile pay‐TV systems | |
Byun | PDAKE: a provably secure PUF-based device authenticated key exchange in cloud setting |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20240103 Address after: Room 801, 85 Kefeng Road, Huangpu District, Guangzhou City, Guangdong Province Applicant after: Yami Technology (Guangzhou) Co.,Ltd. Address before: 400065 Chongwen Road, Nanshan Street, Nanan District, Chongqing Applicant before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS |
|
GR01 | Patent grant | ||
GR01 | Patent grant |