CN113098838B - 一种可信分布式身份认证方法、系统、存储介质及应用 - Google Patents

一种可信分布式身份认证方法、系统、存储介质及应用 Download PDF

Info

Publication number
CN113098838B
CN113098838B CN202110195478.4A CN202110195478A CN113098838B CN 113098838 B CN113098838 B CN 113098838B CN 202110195478 A CN202110195478 A CN 202110195478A CN 113098838 B CN113098838 B CN 113098838B
Authority
CN
China
Prior art keywords
user
certificate
attribute
identity
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110195478.4A
Other languages
English (en)
Other versions
CN113098838A (zh
Inventor
刘雪峰
王春云
裴庆祺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Lianrong Technology Co ltd
Xidian University
Original Assignee
Xi'an Lianrong Technology Co ltd
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Lianrong Technology Co ltd, Xidian University filed Critical Xi'an Lianrong Technology Co ltd
Priority to CN202110195478.4A priority Critical patent/CN113098838B/zh
Publication of CN113098838A publication Critical patent/CN113098838A/zh
Application granted granted Critical
Publication of CN113098838B publication Critical patent/CN113098838B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于信息安全认证技术领域,公开了一种可信分布式身份认证方法、系统、存储介质及应用,调用数字身份申请模块在区块链上创建自己的数字身份;调用请求身份凭证模块向凭证颁发方请求凭证;凭证颁发方调用凭证颁发模块为用户颁发身份凭证;用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件。在保护用户身份隐私的同时,提高了数字身份认证的实用性,扩大了数字身份认证的使用范围。

Description

一种可信分布式身份认证方法、系统、存储介质及应用
技术领域
本发明属于信息安全认证技术领域,尤其涉及一种可信分布式身份认证方法、系统、存储介质及应用。
背景技术
目前:随着互联网的出现和普及,传统的身份有了另外一种表现形式,即基于密码算法生成的数字身份。数字身份的演进经历了三个阶段,分别是:中心化身份、联盟身份、分布式去中心化身份。传统的基于PKI(公钥基础设施)的身份体系,用户身份数据被单一的中心化权威机构所控制,存在身份信息泄露、数据权属界定不清、数据主体失去控制等问题。同时,一方面因为用户数据场景化、碎片化,造成数据源是多而零散的。用户数据类型复杂、标准不一,数据交换缺乏信任源、安全难保障等诸多原因造成数据交换难、共享难。另一方面,个人作为数据主体的角色缺失,用户授权机制不完善,隐私保护的法律法规、事后追责机制等相关体系仍需不断发展完善,这些原因都造成了数据滥用问题的普遍存在。为了满足使用者对安全与隐私、数字身份关联和数字身份统一整合的需求,提出了DID(Decentralized ID,分布式身份系统)。分布式身份系统是基于区块链的去中心化可信存储特征,避免了身份数据被单一的中心化权威机构所控制。用户身份相关数据锚定在区块链上,认证的过程不需要依赖于提供身份的应用方,实现用户对自己身份的控制和管理。但区块链上数据公开,用户上链的身份信息隐私得不到有效的保护。在DID应用中,用户身份认证时只支持捆绑认证,需要对用户所有数据明文进行验证,不能支持用户任意属性集合子集的披露,也不支持对用户属性范围的验证。
通过上述分析,现有技术存在的问题及缺陷为:现有的分布式身份系统存在无法很好保护用户信息隐私、不能实现多条件认证、验证时不支持属性选择性披露。
解决以上问题及缺陷的难度为:基于区块链的分布式数字身份,它将数据所有权归还用户从根本上解决去中心化问题。它通过定义身份层协议提供跨应用的互操作性,促进应用间的互联互通,创造了一种扁平化、弹性化的数字身份模式。但同时,因为链上数据使所有节点都公开可见,链上用户信息隐私成为了新的问题,这也限制分布式身份的进一步发展。目前我国的分布式数字身份才刚刚起步,很多研究和应用都还在分布式身份认证的初期。普通加密等密码学技术并不能解决用户隐私问题,寻找新的密码学技术,建立可信的分布式身份认证,在保护用户信息的前提下实现认证是新的挑战。
解决以上问题及缺陷的意义为:互联网时代的数据安全问题其实非常突出。相比传统数字身份系统,分布式数字身份具有隐私保护、可控安全、持久可用等特点,基于属性的授权访问方式能够更好的支持开放环境下灵活的访问策略。在可信分布式身份认证中,采用基于承诺、哈希、零知识证明、范围证明等密码学技术,可以有效解决隐私保护问题,实现凭证属性的最小披露和基于逻辑范式的结果证明。在未来,随着越来越多的应用可方便、安全的切换到可信分布式数字身份基础设施上来,会形成安全可靠互联互通的互联网身份网络。
发明内容
针对现有技术存在的问题,本发明提供了一种可信分布式身份认证方法、系统、存储介质及应用。
本发明是这样实现的,一种可信分布式身份认证方法,所述可信分布式身份认证方法包括:
用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;
应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件。
进一步,所述可信分布式身份认证方法申请数字身份的用户、凭证颁发方、应用方调用Java中KeyPairGenerator类,将参数设置为secp256k1,生成ECDSA椭圆曲线公私钥对,完成创建密钥对,其中公钥保存在数字身份文档中,在链上公开,私钥存储在本地;
在创建的密钥对基础上,去掉公钥第一个字节,使用keccak256哈希函数计算后64字节公钥的32字节哈希;最后取该哈希的后20字节表示用户在区块链上地址。
进一步,所述可信分布式身份认证方法的用户请求身份凭证,选择阶为大素数q的乘法群G、生成元,G=<g>=<h>,公开元祖(g,h,q),用户将需要请求身份凭证的信息m通过承诺加密,用户选择随机数r作为盲因子,计算承诺值comm=gmhr(mod q),用户将承诺值发送给凭证颁发方,用户发送(v,r)给凭证颁发方,凭证颁发方验证comm是否等于gmhr(modq),验证成功则接受承诺;
凭证颁发方颁发身份凭证,并对身份凭证中所有用户属性字段进行Hash,将Hash值拼接在一起,存储在身份凭证中,凭证颁发方使用secp256k1对拼接后的hash值进行签名,将签名值也存储在身份凭证中,把签名后的身份凭证发送给用户。
进一步,所述可信分布式身份认证方法的用户待验证属性都无隐私需求,对用户身份凭证中属性信息求哈希值,使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数发送给应用方进行验证;
用户待验证属性在链上有隐私需求,将用户身份凭证中属性信息加上一个随机值再求哈希值,使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数和随机数发送给应用方进行验证;
用户待验证属性在链上和验证时都有隐私需求,即用户信息不能泄漏。用户使用零知识证明技术,构造证明,将证明签名后放在链上;如果需要证明用户多个属性相与运算的属性集满足应用方条件,使用零知识证明的AND Proof构造证明;
构造证明的步骤如下:
1)计算承诺值,t1=g1 v1 and t2=g2 v2,v1、v2是随机取的q阶循环群中的生成元;
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希;
3)计算响应值,r1=v1-cx1(mod q)and r2=v2-cx2(mod q)用户使用secp256k1对c,r1,r2进行签名,通过调用智能合约把签名后的值放在区块链上。
进一步,如果需要证明用户多个属性相或运算的属性集满足应用方条件,使用零知识证明的OR Proof构造证明;
构造证明的步骤如下:
1)计算承诺值,t1=y1 wg1 v1 and t2=g2 v2,w、v1、v2是随机取的q阶循环群中的生成元;因为用户只拥有x2,所以y1是生成的随机数;
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希,c1=w,c2=c-c1(mod q);
3)计算响应值,r1=v1(mod q)and r2=v2-cx2(mod q)用户使用secp256k1对c,c1,c2,r1,r2签名后,通过调用智能合约把签名后的值放在区块链上;
如果需要证明用户的属性值在一个特定范围内,使用Bulletproofs中的rangproof完成;
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证等多条件组合,则使用上述方法组合对属性加密或构造证明。
进一步,所述可信分布式身份认证方法的应用方通过调用智能合约,从链上获取用户加密后属性或者构造的证明,验证签名后,对加密后属性或者构造的证明进行验证;
用户待验证属性都无隐私需求,用户是使用哈希对属性进行加密,通过用户发送的哈希函数,对用户待验证属性进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功;
用户待验证属性在链上有隐私需求,用户是对属性信息加上一个随机值再求哈希值,通过用户发送的随机数加哈希函数,对用户待验证属性加上随机数进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功,返回true;
用户待验证属性在链上和验证时都有隐私需求,用户使用零知识证明技术,构造证明上链,根据构造的证明进行验证。
进一步,如果用户使用零知识证明的AND Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c
2)验证等式。验证c=?H(g1,y1,g2,y2,t1’,t2’),H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希;
如果用户使用零知识证明的OR Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c
2)验证等式,验证c=?H(g1,y1,g2,y2,t1’,t2’),c1+c2=?H(g1,y1,g2,y2,t1’,t2’),H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希;
如果用户使用条件验证,调用Bulletproofs中的rang proof进行验证;
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证等多条件组合,则使用上述方法组合进行验证。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;
应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件。
本发明的另一目的在于提供一种实施所述可信分布式身份认证方法的可信分布式身份认证系统,所述可信分布式身份认证系统包括:
数字身份申请模块,用于实现用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;数字身份申请模块还包括注册数字身份模块和设置数字身份属性模块,有生成公私钥对、生成数字身份唯一链上地址、生成对应的数字身份文档功能;
请求身份凭证模块,用于实现用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;请求身份凭证模块还包括对用户想要请求身份凭证中属性信息加密发送给凭证颁发方、凭证颁发方对加密信息解密、凭证颁发方验证用户属性信息、验证通过后凭证颁发方对要颁发的身份凭证签名、凭证颁发方为用户颁发对应属性的身份凭证功能;
凭证颁发模块,用于实现凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
隐私保护模块,用于实现用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;隐私保护模块还包括选择应用方需要验证凭证中属性、根据用户凭证中不同属性的隐私需求对凭证中属性信息进行加密或构造属性证明、构造实现多条件验证或用户属性的范围验证、将处理后的凭证放到区块链上功能;用户属性的隐私需求主要有属性都无隐私需求、属性在链上有隐私需求、属性值不能泄露三种情况;模块中多条件验证是指在应用方对用户属性进行验证时,待验证属性间除了与运算之外,还能够实现与、或、与或组合运算以及属性的范围验证。
验证模块,用于实现应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件;验证模块包括从区块链上获取待验证凭证或证明信息、解密加密属性信息进行验证、构造证明进行验证功能。
本发明的另一目的在于提供一种分布式身份系统,所述分布式身份系统用于实现所述的可信分布式身份认证方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明利用区块链的去中心化可信存储特征,建立了去中心化的密钥基础设施,使得用户的数字身份认证系统不再依赖一个权威中心,构建用户自主可控的分布式身份认证系统,实现了用户身份由自己控制,用户能自主管理自己的身份,用户身份相关数据锚定在区块链上,认证的过程不需要依赖于提供身份的应用方,实现用户对自己身份的控制和管理。在用户身份凭证上链前根据用户不同的隐私需求对用户属性信息进行处理,保护了链上以及用户身份验证过程的用户信息的隐私。相比传统身份认证中仅仅只能对属性进行与运算的属性集进行验证,本发明实现了与、或及与或组合的属性集多条件验证、选择性披露验证、属性范围验证等多情况验证。在保护用户身份隐私的同时,提高了数字身份认证的实用性,扩大了数字身份认证的使用范围。下面表格是本发明和其他现有技术的对比。
Figure BDA0002946121400000071
Figure BDA0002946121400000081
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的可信分布式身份认证方法流程图。
图2是本发明实施例提供的可信分布式身份认证系统的结构示意图;
图2中:1、数字身份申请模块;2、请求身份凭证模块;3、凭证颁发模块;4、隐私保护模块;5、验证模块。
图3是本发明实施例提供的可信分布式身份认证系统的结构示意图。
图4是本发明实施例提供的功能模块结构图。
图5是本发明实施例提供的隐私保护模块结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种可信分布式身份认证方法、系统、存储介质及应用,下面结合附图对本发明作详细的描述。
如图1所示,本发明提供的可信分布式身份认证方法包括以下步骤:
S101:用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
S102:用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
S103:凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
S104:用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;
S105:应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件。
本发明提供的可信分布式身份认证方法业内的普通技术人员还可以采用其他的步骤实施,图1的本发明提供的可信分布式身份认证方法仅仅是一个具体实施例而已。
如图2所示,本发明提供的可信分布式身份认证系统包括:
数字身份申请模块1,用于实现用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
请求身份凭证模块2,用于实现用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
凭证颁发模块3,用于实现凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
隐私保护模块4,用于实现用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;
验证模块5,用于实现应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件。
数字身份申请模块1中,还包括注册数字身份模块和设置数字身份属性模块。主要有生成公私钥对、生成数字身份唯一链上地址、生成对应的数字身份文档等功能。
请求身份凭证模块2中,还包括对用户想要请求身份凭证中属性信息加密发送给凭证颁发方、凭证颁发方对加密信息解密、凭证颁发方验证用户属性信息、验证通过后凭证颁发方对要颁发的身份凭证签名、凭证颁发方为用户颁发对应属性的身份凭证等功能。
隐私保护模块3中,还包括选择应用方需要验证凭证中属性、根据用户凭证中不同属性的隐私需求对凭证中属性信息进行加密或构造属性证明、构造实现多条件验证或用户属性的范围验证、将处理后的凭证放到区块链上等功能。模块中用户属性的隐私需求主要有属性都无隐私需求、属性在链上有隐私需求、属性值不能泄露三种情况。模块中多条件验证是指在应用方对用户属性进行验证时,待验证属性间除了与运算之外,还能够实现与、或、与或组合运算以及属性的范围验证。例如,验证属性集为学历是硕士且毕业于西安电子科技大学或者北京邮电大学,年龄大于18,语文或数学成绩大于90分等。
验证模块5中,包括从区块链上获取待验证凭证或证明信息、解密加密属性信息进行验证、构造证明进行验证等功能。
下面结合附图对本发明的技术方案作进一步的描述。
如图1和图2所示为本发明的结构示意图,一种属性加密和选择性披露的保护信息的可信分布式身份认证方法。包括用户、凭证颁发方、应用方三个角色。分为数字身份申请模块、请求身份凭证模块、凭证颁发模块、隐私保护模块、验证模块。
1)用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
2)用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
3)凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
4)用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐
私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上。
5)应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性
或属性证明进行验证,验证用户是否属性是否满足条件。
数字身份申请模块中包括如下功能:
申请数字身份的用户、凭证颁发方、应用方调用Java中KeyPairGenerator类,将参数设置为secp256k1,生成ECDSA椭圆曲线公私钥对,完成创建密钥对,其中公钥保存在数字身份文档中,在链上公开,私钥存储在本地。
在创建的密钥对基础上,去掉公钥第一个字节,使用keccak256哈希函数计算后64字节公钥的32字节哈希;最后取该哈希的后20字节表示用户在区块链上地址。
生成对应的数字身份文档,存储此用户数字身份的认证方式、公钥等信息,包含表1的内容。
表1
id did:区块链上地址
publicKey 公钥
authentication 认证方式,默认为secp256k1
请求身份凭证模块中包括如下功能:
用户请求身份凭证。选择阶为大素数q的乘法群G、生成元,G=<g>=<h>,公开元祖(g,h,q),用户将需要请求身份凭证的信息m通过承诺加密,用户选择随机数r作为盲因子,计算承诺值comm=gmhr(mod q),用户将承诺值发送给凭证颁发方。最后,用户发送(v,r)给凭证颁发方,凭证颁发方验证comm是否等于gmhr(mod q),验证成功则接受承诺。
凭证颁发方颁发身份凭证,并对身份凭证中所有用户属性字段进行Hash,将Hash值拼接在一起,存储在身份凭证中,凭证颁发方使用secp256k1对拼接后的hash值进行签名,将签名值也存储在身份凭证中。最后,把签名后的身份凭证发送给用户。身份凭证中包含的内容表2。
表2
id 身份凭证的ID,按UUID生成
issuer 凭证颁发方的id
attribute 用户属性名称和对应属性信息
hash 属性字段进行Hash后拼接的值
signature_type 签名类型,默认为secp256k1
signature_value 签名的值
隐私保护模块中包括如下功能:
用户待验证属性都无隐私需求,对用户身份凭证中属性信息求哈希值,然后使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数发送给应用方进行验证。
用户待验证属性在链上有隐私需求,将用户身份凭证中属性信息加上一个随机值再求哈希值,然后使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数和随机数发送给应用方进行验证。
用户待验证属性在链上和验证时都有隐私需求,即用户信息不能泄漏。用户使用零知识证明技术,构造证明,将证明签名后放在链上。如果需要证明用户多个属性相与运算的属性集满足应用方条件,使用零知识证明的AND Proof构造证明,例如本发明现在要构造用户拥有属性x1,x2的证明,本发明可以转化为证明y1是x1以g1为底的离散对数,y2是x2以g2为底的离散对数值,即证明y1=g1 x1 and y2=g2 x2,g1,g2是q阶循环群中的生成元。构造证明的步骤如下:
1)计算承诺值,t1=g1 v1 and t2=g2 v2,v1、v2是随机取的q阶循环群中的生成元。
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希。
3)计算响应值,r1=v1-cx1(mod q)and r2=v2-cx2(mod q)用户使用secp256k1对c,r1,r2进行签名,通过调用智能合约把签名后的值放在区块链上。
如果需要证明用户多个属性相或运算的属性集满足应用方条件,使用零知识证明的OR Proof构造证明,例如本发明现在要构造用户拥有属性x1或x2的证明,本发明可以转化为证明y1是x1以g1为底的离散对数,或者y2是x2以g2为底的离散对数值,即证明y1=g1 x1ory2=g2 x2,g1,g2是q阶循环群中的生成元。这里本发明假设用户拥有属性x2。构造证明的步骤如下:
1)计算承诺值,t1=y1 wg1 v1 and t2=g2 v2,w、v1、v2是随机取的q阶循环群中的生成元。因为用户只拥有x2,所以y1是生成的随机数。
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希。c1=w,c2=c-c1(mod q)。
3)计算响应值,r1=v1(mod q)and r2=v2-cx2(mod q)用户使用secp256k1对c,c1,c2,r1,r2签名后,通过调用智能合约把签名后的值放在区块链上。
如果需要证明用户的属性值在一个特定范围内,使用Bulletproofs中的rangproof完成。
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证等多条件组合,则使用上述方法组合对属性加密或构造证明。
验证模块中包括如下功能:
应用方通过调用智能合约,从链上获取用户加密后属性或者构造的证明,验证签名后,对加密后属性或者构造的证明进行验证。
用户待验证属性都无隐私需求,用户是使用哈希对属性进行加密,通过用户发送的哈希函数,对用户待验证属性进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功。
用户待验证属性在链上有隐私需求,用户是对属性信息加上一个随机值再求哈希值,通过用户发送的随机数加哈希函数,对用户待验证属性加上随机数进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功,返回true。
用户待验证属性在链上和验证时都有隐私需求,用户使用零知识证明技术,构造证明上链,根据构造的证明进行验证。
如果用户使用零知识证明的AND Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c
2)验证等式。验证c=?H(g1,y1,g2,y2,t1’,t2’),H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希。
如果用户使用零知识证明的OR Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c
2)验证等式。验证c=?H(g1,y1,g2,y2,t1’,t2’),c1+c2=?H(g1,y1,g2,y2,t1’,t2’),H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希。
如果用户使用条件验证,调用Bulletproofs中的rang proof进行验证
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证等多条件组合,则使用上述方法组合进行验证。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种可信分布式身份认证方法,其特征在于,所述可信分布式身份认证方法包括:
用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;
用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;
凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;
应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户属性是否满足条件;
所述可信分布式身份认证方法的用户待验证属性都无隐私需求,对用户身份凭证中属性信息求哈希值,使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数发送给应用方进行验证;
用户待验证属性在链上有隐私需求,将用户身份凭证中属性信息加上一个随机值再求哈希值,使用secp256k1对身份凭证进行签名,将签名后的身份凭证上链,并把哈希函数和随机数发送给应用方进行验证;
用户待验证属性在链上和验证时都有隐私需求,即用户信息不能泄漏,用户使用零知识证明技术,构造证明,将证明签名后放在链上;如果需要证明用户多个属性相与运算的属性集满足应用方条件,使用零知识证明的AND Proof构造证明;
构造证明的步骤如下:
1)计算承诺值,t1=g1 v1 and t2=g2 v2,v1、v2是随机取的q阶循环群中的生成元,其中q为大素数,G为q阶循环群,g1、g2为G的生成元;
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希,x1、x2为用户待验证属性值,y1=g1 x1、y2=g2 x2
3)计算响应值,r1=v1-cx1(mod q)and r2=v2-cx2(mod q),用户使用secp256k1对c,r1,r2进行签名,通过调用智能合约把签名后的值放在区块链上。
2.如权利要求1所述的可信分布式身份认证方法,其特征在于,申请数字身份的用户、凭证颁发方、应用方调用Java中KeyPairGenerator类,将参数设置为secp256k1,生成ECDSA椭圆曲线公私钥对,完成创建密钥对,其中公钥保存在数字身份文档中,在链上公开,私钥存储在本地;
在创建的密钥对基础上,去掉公钥第一个字节,使用keccak256哈希函数计算后64字节公钥的32字节哈希;最后取该哈希的后20字节表示用户在区块链上地址。
3.如权利要求1所述的可信分布式身份认证方法,其特征在于,所述可信分布式身份认证方法的用户请求身份凭证,选择阶为大素数q的乘法群G、生成元,G=<g>=<h>,公开元祖(g,h,q),用户将需要请求身份凭证的信息m通过承诺加密,用户选择随机数r作为盲因子,计算承诺值comm=gmhr(mod q),其中g、h为G的生成元,<g>、<h>为G的子群,用户将承诺值发送给凭证颁发方,用户发送(v,r)给凭证颁发方,凭证颁发方验证comm是否等于gmhr(modq),验证成功则接受承诺;
凭证颁发方颁发身份凭证,并对身份凭证中所有用户属性字段进行Hash,将Hash值拼接在一起,存储在身份凭证中,凭证颁发方使用secp256k1对拼接后的hash值进行签名,将签名值也存储在身份凭证中,把签名后的身份凭证发送给用户。
4.如权利要求1所述的可信分布式身份认证方法,其特征在于,如果需要证明用户多个属性相或运算的属性集满足应用方条件,使用零知识证明的OR Proof构造证明;
构造证明的步骤如下:
1)计算承诺值,t1=y1 wg1 v1 and t2=g2 v2,w、v1、v2是随机取的q阶循环群中的生成元,q为大素数,G为q阶循环群,g1、g2为G的生成元,x1、x2为用户待验证属性值,y1=g1 x1、y2=g2 x2
2)计算挑战值,c=H(g1,y1,g2,y2,t1,t2),H表示对g1,y1,g2,y2,t1,t2拼接的值求哈希,c1=w,c2=c-c1(mod q),c1,c2分别是用户待验证属性值x1、x2对应的挑战值;
3)计算响应值,r1=v1(mod q)and r2=v2-cx2(mod q),用户使用secp256k1对c,c1,c2,r1,r2签名后,通过调用智能合约把签名后的值放在区块链上;
如果需要证明用户的属性值在一个范围内,使用Bulletproofs中的rang proof完成;
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证多条件组合,则使用上述方法组合对属性加密或构造证明。
5.如权利要求1所述的可信分布式身份认证方法,其特征在于,所述可信分布式身份认证方法的应用方通过调用智能合约,从链上获取用户加密后属性或者构造的证明,验证签名后,对加密后属性或者构造的证明进行验证;
用户待验证属性都无隐私需求,用户是使用哈希对属性进行加密,通过用户发送的哈希函数,对用户待验证属性进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功;
用户待验证属性在链上有隐私需求,用户是对属性信息加上一个随机值再求哈希值,通过用户发送的随机数加哈希函数,对用户待验证属性加上随机数进行哈希,对比从链上获取用户加密属性值,若两者值相等,则验证成功,返回true;
用户待验证属性在链上和验证时都有隐私需求,用户使用零知识证明技术,构造证明上链,根据构造的证明进行验证。
6.如权利要求5所述的可信分布式身份认证方法,其特征在于,如果用户使用零知识证明的AND Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c’q为大素数,G为q阶循环群,g1、g2为G的生成元,x1、x2为用户待验证属性值,y1=g1 x1、y2=g2 x2,c为挑战值,r1、r2为响应值;
2)验证等式,验证c=?H(g1,y1,g2,y2,t1’,t2’),H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希;
如果用户使用零知识证明的OR Proof构造证明,验证步骤如下:
1)重构承诺,t1’=g1 r1y1 c,t2’=g2 r2y2 c
2)验证等式,验证c=?H(g1,y1,g2,y2,t1’,t2’),c1+c2=?H(g1,y1,g2,y2,t1’,t2’),c1,c2分别是用户待验证属性值x1、x2对应的挑战值,H表示对g1,y1,g2,y2,t1’,t2’拼接的值求哈希;
如果用户使用条件验证,调用Bulletproofs中的rang proof进行验证;
如果凭证中属性的隐私需求不同,或者待证明属性集中包括与、或、范围验证多条件组合,则使用上述方法组合进行验证。
7.一种实施权利要求1~6任意一项所述可信分布式身份认证方法的可信分布式身份认证系统,其特征在于,所述可信分布式身份认证系统包括:
数字身份申请模块,用于实现用户、凭证颁发方、应用方调用数字身份申请模块在区块链上创建自己的数字身份;数字身份申请模块还包括注册数字身份模块和设置数字身份属性模块,有生成公私钥对、生成数字身份唯一链上地址、生成对应的数字身份文档功能;
请求身份凭证模块,用于实现用户根据应用方的验证需求,调用请求身份凭证模块向凭证颁发方请求凭证;请求身份凭证模块还包括对用户想要请求身份凭证中属性信息加密发送给凭证颁发方、凭证颁发方对加密信息解密、凭证颁发方验证用户属性信息、验证通过后凭证颁发方对要颁发的身份凭证签名、凭证颁发方为用户颁发对应属性的身份凭证功能;
凭证颁发模块,用于实现凭证颁发方调用凭证颁发模块为用户颁发身份凭证;
隐私保护模块,用于实现用户调用隐私保护模块选择应用方需要验证的属性,根据自己属性不同的隐私需求,使用不同密码学技术对身份凭证中属性进行加密或构造属性证明,并将处理后的凭证放在区块链上;隐私保护模块还包括选择应用方需要验证凭证中属性、根据用户凭证中不同属性的隐私需求对凭证中属性信息进行加密或构造属性证明、构造实现多条件验证或用户属性的范围验证、将处理后的凭证放到区块链上功能;用户属性的隐私需求主要有属性都无隐私需求、属性在链上有隐私需求、属性值不能泄露三种情况;模块中多条件验证是指在应用方对用户属性进行验证时,待验证属性间除了与运算之外,还能够实现与、或、与或组合运算以及属性的范围验证;
验证模块,用于实现应用方从区块链上获取用户处理后的凭证,调用验证模块,对用户凭证中属性或属性证明进行验证,验证用户是否属性是否满足条件;验证模块包括从区块链上获取待验证凭证或证明信息、解密加密属性信息进行验证、构造证明进行验证功能。
8.一种分布式身份系统,其特征在于,所述分布式身份系统用于实现权利要求1~6任意一项所述的可信分布式身份认证方法。
CN202110195478.4A 2021-02-21 2021-02-21 一种可信分布式身份认证方法、系统、存储介质及应用 Active CN113098838B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110195478.4A CN113098838B (zh) 2021-02-21 2021-02-21 一种可信分布式身份认证方法、系统、存储介质及应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110195478.4A CN113098838B (zh) 2021-02-21 2021-02-21 一种可信分布式身份认证方法、系统、存储介质及应用

Publications (2)

Publication Number Publication Date
CN113098838A CN113098838A (zh) 2021-07-09
CN113098838B true CN113098838B (zh) 2022-08-26

Family

ID=76666216

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110195478.4A Active CN113098838B (zh) 2021-02-21 2021-02-21 一种可信分布式身份认证方法、系统、存储介质及应用

Country Status (1)

Country Link
CN (1) CN113098838B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113704775B (zh) * 2021-07-14 2024-02-27 杭州溪塔科技有限公司 一种基于分布式数字身份的业务处理方法及相关装置
CN113761497A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种分布式电力交易可信身份管理方法、系统、计算机设备
CN113704733B (zh) * 2021-08-31 2024-03-08 上海万向区块链股份公司 隐私可验证的动态did认证方法及系统
CN113922962A (zh) * 2021-09-10 2022-01-11 杭州溪塔科技有限公司 一种数字身份属性的选择性披露方法和装置
CN114172655B (zh) * 2021-11-07 2024-03-08 西安链融科技有限公司 一种安全多方计算数据系统、方法、设备及数据处理终端
CN114186248B (zh) * 2021-11-13 2022-08-05 云南财经大学 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法
CN114928447B (zh) * 2022-02-10 2024-04-30 北京轻信科技有限公司 基于分布式身份的数据管理方法和系统
CN114710273B (zh) * 2022-03-24 2024-02-20 融智通科技(北京)股份有限公司 一种通信系统的密钥产生方法
CN115664649B (zh) * 2022-10-19 2023-08-01 电子科技大学 基于动态委员会的高安全性区块链身份管理方法及系统
CN115499247B (zh) * 2022-11-16 2023-03-28 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 基于零知识证明的属性凭证的验证方法及装置
CN116188007B (zh) * 2023-01-13 2024-06-14 北京邮电大学 一种身份验证方法及系统
CN115860750B (zh) * 2023-02-27 2023-05-30 国网江西省电力有限公司信息通信分公司 一种电动汽车电力交易身份认证隐私保护方法
CN116827555A (zh) * 2023-07-21 2023-09-29 安徽省大数据中心 基于密文密钥关系验证的区块链数据加解密方法及系统
CN117176361B (zh) * 2023-09-26 2024-05-07 云南财经大学 一种区块链数字身份认证控制系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110958110A (zh) * 2019-12-09 2020-04-03 趣派(海南)信息科技有限公司 一种基于零知识证明的区块链隐私数据管理方法和系统
CN112311530A (zh) * 2020-10-29 2021-02-02 中国科学院信息工程研究所 一种基于区块链的联盟信任分布式身份凭证管理认证方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9356916B2 (en) * 2010-04-30 2016-05-31 T-Central, Inc. System and method to use a cloud-based platform supported by an API to authenticate remote users and to provide PKI- and PMI-based distributed locking of content and distributed unlocking of protected content
CN110190969B (zh) * 2019-06-06 2021-12-14 浙江大学宁波理工学院 一种匿名信息系统中用户身份克隆检测方法及系统
CN112104665B (zh) * 2020-11-02 2021-02-12 腾讯科技(深圳)有限公司 基于区块链的身份验证方法、装置、计算机以及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110958110A (zh) * 2019-12-09 2020-04-03 趣派(海南)信息科技有限公司 一种基于零知识证明的区块链隐私数据管理方法和系统
CN112311530A (zh) * 2020-10-29 2021-02-02 中国科学院信息工程研究所 一种基于区块链的联盟信任分布式身份凭证管理认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于零知识证明的区块链隐私保护算法";李龚亮等;《华中科技大学学报(自然科学报)》;20200421;第48卷(第7期);第112-116页 *
"密码学承诺之Pedersen commitment原理及应用";区块链之美;《https://zhuanlan.zhihu.com/p/108659500》;20200311;第1-2页 *

Also Published As

Publication number Publication date
CN113098838A (zh) 2021-07-09

Similar Documents

Publication Publication Date Title
CN113098838B (zh) 一种可信分布式身份认证方法、系统、存储介质及应用
US11620387B2 (en) Host attestation
US11563567B2 (en) Secure shared key establishment for peer to peer communications
US10129034B2 (en) Signature delegation
US10243939B2 (en) Key distribution in a distributed computing environment
CN110677240B (zh) 通过证书签发提供高可用计算服务的方法、装置及介质
CN110535628B (zh) 通过证书签发进行多方安全计算的方法及装置
US10972272B2 (en) Providing high availability computing service by issuing a certificate
CN106341232B (zh) 一种基于口令的匿名实体鉴别方法
WO2009065356A1 (fr) Procédé, système et dispositif de réseau pour une authentification mutuelle
WO2022121461A1 (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
Toorani et al. LPKI-a lightweight public key infrastructure for the mobile environments
CN110958209B (zh) 基于共享密钥的双向认证方法及系统、终端
US10237249B2 (en) Key revocation
CN110709874A (zh) 用于区块链网络的凭证生成与分发方法和系统
US11038699B2 (en) Method and apparatus for performing multi-party secure computing based-on issuing certificate
CN109691010B (zh) 用于数据传输的系统和方法
CN111130777B (zh) 一种用于短效证书的签发管理方法和系统
CN109981292B (zh) 一种基于sm9算法的认证方法、装置及系统
WO2014114080A1 (zh) 数据加密保护方法及系统
US20220006654A1 (en) Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy
CN109347857A (zh) 一种基于标识的通用跨网认证方法
Anand et al. EECDH to prevent MITM attack in cloud computing
CN115622812A (zh) 基于区块链智能合约的数字身份验证方法及系统
EP4252384B1 (en) Methods, devices and system related to a distributed ledger and user identity attribute

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 710071 Xi'an Electronic and Science University, 2 Taibai South Road, Shaanxi, Xi'an

Applicant after: XIDIAN University

Applicant after: Xi'an Lianrong Technology Co.,Ltd.

Address before: 710071 Xi'an Electronic and Science University, 2 Taibai South Road, Shaanxi, Xi'an

Applicant before: XIDIAN University

Applicant before: XI'AN XIDIAN LIANRONG TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant