CN113343201A - 注册请求处理方法、用户身份信息管理方法及设备 - Google Patents
注册请求处理方法、用户身份信息管理方法及设备 Download PDFInfo
- Publication number
- CN113343201A CN113343201A CN202110608680.5A CN202110608680A CN113343201A CN 113343201 A CN113343201 A CN 113343201A CN 202110608680 A CN202110608680 A CN 202110608680A CN 113343201 A CN113343201 A CN 113343201A
- Authority
- CN
- China
- Prior art keywords
- registration
- user
- certificate
- public key
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种注册请求处理方法、用户身份信息管理方法及设备,注册请求处理方法包括:获取用户发送的注册为安全多方计算SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,第一匿名证书包括签名公钥;利用签名公钥对签名私钥进行验证;根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求;接收ACA发送的第一匿名证书对应的第一实名证书,第一实名证书包括第一注册公钥;根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点。通过实施本发明,可以实现计算节点身份匿名。
Description
技术领域
本申请涉及安全多方计算技术领域,尤其涉及一种注册请求处理方法、用户身份信息管理方法及设备。
背景技术
目前的安全多方计算(Secure Multi-Party Computation,SMPC)框架,当用户在SPMC系统中注册为计算节点时,会向SMPC系统中的协调者发送包含用户真实身份信息在内的注册请求,从而SMPC系统中的协调者会掌握所有计算节点的真实身份信息,从而目前的安全多方计算框架中存在协调者中心化的问题。
发明内容
本发明实施例通过提供一种注册请求处理方法、用户身份信息管理方法及设备,用以解决目前的安全多方计算框架中存在协调者中心化的问题。
为了解决上述问题,第一方面,本发明实施例提供了一种注册请求处理方法,用于协调者端,协调者与ACA连接,包括:获取用户发送的注册为SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,第一匿名证书包括签名公钥;利用签名公钥对签名私钥进行验证;根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求;接收ACA发送的第一匿名证书对应的第一实名证书,第一实名证书包括第一注册公钥;根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点。
可选地,根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求,包括:在验证结果为验证成功且需要确认用户是否重复注册的情况下,向ACA发送查询第一匿名证书对应的第一实名证书的请求;在验证结果为验证成功且不需要确认用户是否重复注册的情况下,根据注册信息将用户注册为SMPC系统中的计算节点。
可选地,第一匿名证书包括扩展项,扩展项包括派生密钥加密后的派生信息;在向ACA发送查询第一匿名证书对应的第一实名证书的请求之后,在根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点之前,注册请求处理方法还包括:接收ACA发送的第一匿名证书对应的派生密钥;采用派生密钥对加密后的派生信息进行解密;采用解密后的派生信息及签名公钥计算第二注册公钥;确认第一注册公钥和第二注册公钥相同时,确认ACA可信。
可选地,注册请求的处理方法还包括:确认第一注册公钥和第二注册公钥不相同,且根据第二注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点。
可选地,根据第一注册公钥/第二注册公钥确认用户未重复注册,包括:获取注册列表,注册列表包括已注册的多个第二匿名证书;向ACA发送查询多个第二匿名证书对应的第二实名证书的请求;接收ACA发送的多个第二匿名证书对应的第二实名证书,第二实名证书包括第三注册公钥;确认第一注册公钥/第二注册公钥与第三注册公钥不相同时,确用户未重复注册。
第二方面,本发明实施例提供了一种用户身份信息管理方法,用于ACA,包括:接收协调者发送的查询第一匿名证书对应的第一实名证书的请求;从关系列表中查询到第一匿名证书对应的第一实名证书;将第一实名证书发送给协调者,第一实名证书包括第一注册公钥。
可选地,在接收协调者发送的查询第一匿名证书对应的第一实名证书的请求之前,用户身份信息管理方法还包括:获取用户发送的申请第一匿名证书请求,响应于申请第一匿名证书请求,生成一个随机数,申请第一匿名证书请求包括第一实名证书,第一实名证书包括第一注册公钥;利用第一注册公钥生成派生密钥,利用派生密钥和随机数生成派生信息,根据派生信息及第一注册公钥生成签名公钥;采用派生密钥对派生信息进行加密,得到扩展项;根据签名公钥和扩展项生成用户的第一匿名证书;向用户发送第一匿名证书和派生密钥,以使用户根据与第一注册公钥对应的第一注册私钥、派生密钥及加密后的派生信息计算签名私钥。
可选地,在接收协调者发送的查询第一匿名证书对应的第一实名证书的请求之后,用户身份信息管理方法还包括:从关系列表中查询到第一匿名证书对应的派生密钥;向协调者发送第一匿名证书对应的派生密钥。
第三方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器执行如第一方面或第一方面任意实施方式中的注册请求处理方法或如第二方面或第二方面任意实施方式中的用户身份信息管理方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行如第一方面或第一方面任意实施方式中的注册请求处理方法或如第二方面或第二方面任意实施方式中的用户身份信息管理方法。
本发明实施例提供的注册请求处理方法、用户身份信息管理方法及设备,通过获取用户发送的注册为安全多方计算SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,第一匿名证书包括签名公钥;利用签名公钥对签名私钥进行验证;根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求;接收ACA发送的第一匿名证书对应的第一实名证书,第一实名证书包括第一注册公钥;根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点;从而用户在向协调者发送注册为SMPC系统中的计算节点请求时,可以不携带用户真实身份信息,而是携带根据真实身份信息派生的匿名身份信息,从而用户的真实身份信息不会直接暴露给协调者,即协调者就不会掌握所有计算节点的真实身份信息,实现计算节点身份匿名,实现ACA对所有计算节点全部的真实身份可见,对交易记录不可见,协调者对交易记录可见,对所有计算节点的身份信息不可见,既保护了隐私又实现了ACA和协调者之间的分权监管。并且,如果协调者需要确认用户是否重复注册时,可以向ACA查询匿名用户的真实身份信息,并根据真实身份信息确认用户是否重复注册,减少了SMPC系统中作恶节点的概率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本发明实施例中一种注册请求处理方法的流程示意图;
图2为本发明实施例中协调者、ACA及用户的交互流程图;
图3为本发明实施例中一种用户身份信息管理方法的流程示意图;
图4为本发明实施例中一种电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种注册请求处理方法,用于协调者端,协调者与ACA通信连接,如图1所示,注册请求处理方法包括:
S101.获取用户发送的注册为SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,第一匿名证书包括签名公钥。
具体地,本发明实施例涉及的协调者、ACA及用户的交互流程图如图2所示,具体地交互步骤如下:
当用户需要注册为SMPC系统中的计算节点时,首先需要生成第一注册私钥,然后向实名证书颁发机构(RCA)申请第一实名证书,RCA接收到用户的申请第一实名证书请求后,根据第一注册私钥生成第一注册公钥,根据第一注册公钥生成第一实名证书,并将第一实名证书发送给用户。
用户根据申请到的第一实名证书向ACA申请第一匿名证书,ACA会获取用户发送的申请第一匿名证书请求,响应于申请第一匿名证书请求,生成一个随机数(第一匿名证书序列号),申请第一匿名证书请求包括第一实名证书,第一实名证书包括第一注册公钥;利用第一注册公钥生成派生密钥,利用派生密钥和随机数生成派生信息,根据派生信息及第一注册公钥生成签名公钥;采用派生密钥对派生信息进行加密,得到扩展项;根据签名公钥和扩展项生成用户的第一匿名证书;向用户发送第一匿名证书和派生密钥。ACA还会生成第一实名证书、第一匿名证书与派生密钥的对应关系,得到关系列表。
用户在接收到ACA传送过来的第一匿名证书以及派生密钥后,利用派生密钥对所述匿名证书的扩展项中的加密后的所述派生信息进行解密,得到解密后的派生信息,然后利用解密后的派生信息和第一注册私钥生成签名私钥。
需要说明的是,第一匿名证书的生成依赖基于证书的公钥体系密钥派生算法,密钥派生算法的生成过程中利用了椭圆曲线公钥密码以及单向散列函数。第一匿名证书的签名公钥和签名私钥的生成依赖于椭圆曲线公私钥的叠加特性,即多个对应的公私钥相加后得到的新的公私钥仍然具有对应关系。用户根据申请到的第一实名证书向ACA申请第一匿名证书时,可以申请一个第一匿名证书,也可以申请多个第一匿名证书。当申请多个第一匿名证书时,ACA会生成对应的多个随机数,从而使得每个第一匿名证书对应的派生信息、签名公钥和签名私钥均不相同。在交易过程中,如果用户选择使用第一实名证书的第一注册私钥进行签名,那么此时的交易就是实名的;如果用户需要匿名交易时,对于不同的交易,可以选择采用不同的第一匿名证书对应的签名私钥进行签名,可以阻止任意两个交易之间的关联性,且实现交易的匿名性。
然后用户向协调者发送注册为SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息。协调者可以获取到用户发送的注册为SMPC系统中的计算节点请求。
S102.利用签名公钥对签名私钥进行验证;具体地,由于签名公钥与签名私钥是一一对应的,因此,利用签名公钥可以对签名私钥进行验证,可以防止用户对签名私钥进行造假,并且,协调者从签名公钥中得不到签名人的真实身份信息。验证时,可以得到两种验证结果,一种是验证成功,一种是验证不成功。
S103.根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求;具体地,由于用户申请注册为SMPC系统中的计算节点请求时,是采用签名私钥对注册信息签名,并向用户发送的是第一匿名证书,而每个用户可以申请多个匿名证书,得到多个签名私钥,因此,通过签名公钥不能确认用户是否重复注册。而对于同一个用户,申请的不同的第一匿名证书都对应同一个第一实名证书,因为,根据用户的第一实名证书可以确定用户是否重复注册。因此,为了防止用户重复注册为SMPC系统的计算节点,也即减少SMPC系统中的作恶节点的概率,可以在验证结果为验证通过的情况下,向ACA发送查询第一匿名证书对应的第一实名证书的请求。
S104.接收ACA发送的第一匿名证书对应的第一实名证书,第一实名证书包括第一注册公钥;具体地,ACA接收到查询第一匿名证书对应的第一实名证书的请求,向协调者发送第一匿名证书对应的第一实名证书。
S105.根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点。具体地,若第一注册公钥与已注册的其他计算节点的注册公钥不相同时,可以确认用户未重复注册,从而可以根据注册信息将用户注册为SMPC系统中的计算节点。用户在注册为SMPC系统中的计算节点后,在交易时,可以基于匿名证书对应的签名公钥对交易签名,实现交易的匿名性,且对于不同的交易,可以采用不同的签名公钥对交易进行签名,实现交易的无关联性。
本发明实施例提供的注册请求处理方法,通过获取用户发送的注册为安全多方计算SMPC系统中的计算节点请求,注册为SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,第一匿名证书包括签名公钥;利用签名公钥对签名私钥进行验证;根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求;接收ACA发送的第一匿名证书对应的第一实名证书,第一实名证书包括第一注册公钥;根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点;从而用户在向协调者发送注册为SMPC系统中的计算节点请求时,可以不携带用户真实身份信息,而是携带根据真实身份信息派生的匿名身份信息,从而用户的真实身份信息不会直接暴露给协调者,即协调者就不会掌握所有计算节点的真实身份信息,实现计算节点身份匿名,实现ACA对所有计算节点全部的真实身份可见,对交易记录不可见,协调者对交易记录可见,对所有计算节点的身份信息不可见,既保护了隐私又实现了ACA和协调者之间的分权监管。并且,如果协调者需要确认用户是否重复注册时,可以向ACA查询匿名用户的真实身份信息,并根据真实身份信息确认用户是否重复注册,减少了SMPC系统中作恶节点的概率。
在一个可选的实施例中,步骤S103,根据验证结果及确认用户是否重复注册的需求向ACA发送查询第一匿名证书对应的第一实名证书的请求,包括:在验证结果为验证成功且需要确认用户是否重复注册的情况下,向ACA发送查询第一匿名证书对应的第一实名证书的请求;在验证结果为验证成功且不需要确认用户是否重复注册的情况下,根据注册信息将用户注册为SMPC系统中的计算节点。
具体地,在验证结果为验证不成功的情况下,说明签名公钥与签名私钥不匹配,用户对签名私钥进行了造假,则可以忽略用户的注册为SMPC系统中的计算节点请求。在验证结果为验证成功的情况下,说明签名公钥与签名私钥匹配,而如果此时不需要对用户是否重复注册进行确认,则可以直接根据注册信息将用户注册为SMPC系统中的计算节点;而如果此时需要对用户是否重复注册进行确认时,则可以向ACA发送查询第一匿名证书对应的第一实名证书的请求。
在本发明实施例中,在验证结果为验证成功且需要确认用户是否重复注册的情况下,向ACA发送查询第一匿名证书对应的第一实名证书的请求,从而协调者可以根据实际需要向ACA查询匿名用户的真实身份信息,并根据真实身份信息确认用户是否重复注册,减少了SMPC系统中作恶节点的概率。在验证结果为验证成功且不需要确认用户是否重复注册的情况下,根据注册信息将用户注册为SMPC系统中的计算节点,从而用户的真实身份信息不会直接暴露给协调者,即协调者就不会掌握所有计算节点的真实身份信息,实现计算节点身份匿名,实现ACA对所有计算节点全部的真实身份可见,对交易记录不可见,协调者对交易记录可见,对所有计算节点的身份信息不可见,既保护了隐私又实现了ACA和协调者之间的分权监管。
在一个可选的实施例中,第一匿名证书包括扩展项,扩展项包括派生密钥加密后的派生信息;在向ACA发送查询第一匿名证书对应的第一实名证书的请求之后,在根据第一注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点之前,注册请求处理方法还包括:接收ACA发送的第一匿名证书对应的派生密钥;采用派生密钥对加密后的派生信息进行解密;采用解密后的派生信息及签名公钥计算第二注册公钥;确认第一注册公钥和第二注册公钥相同时,确认ACA可信。
具体地,在本发明实施例中,由于第一匿名证书中包括扩展项,扩展项包括派生密钥加密后的派生信息,因此,协调者可以利用解密后的派生信息及签名公钥计算第二注册公钥。派生密钥可以从ACA获取。协调者计算第二注册公钥RegisterPub_Key的计算式如下:
RegisterPub_Key=ACertPub_Key-DerivationID*G;ACertPub_Key为签名公钥,DerivationID为派生信息,G为常数。
若计算到的第二注册公钥与第一注册公钥相同时,说明从ACA返回的第一实名证书正确,ACA可信。若计算到的第二注册公钥与第一注册公钥不相同时,说明从ACA返回的第一实名证书不正确,ACA对关系列表进行了造假,ACA不可信。
在本发明实施例中,通过计算第二注册公钥,将第二注册公钥与第一注册公钥进行对比,可以防止由于ACA对第一实名证书造假,从而不能得到用户的真实身份信息。
在一个可选的实施例中,注册请求的处理方法还包括:确认第一注册公钥和第二注册公钥不相同,且根据第二注册公钥确认用户未重复注册时,根据注册信息将用户注册为SMPC系统中的计算节点。
具体地,若计算到的第二注册公钥与第一注册公钥不相同时,由于计算到的第二注册公钥为用户的真实身份信息,因此,可以采用第二注册公钥去确认用户是否重复注册,根据第二注册公钥确认用户未重复注册时,可以根据注册信息将用户注册为SMPC系统中的计算节点,从而仍然可以实现确定用户的真实身份,及将用户注册为SMPC系统中的计算节点。
在一个可选的实施例中,由于协调者不会掌握所有计算节点的真实身份信息,因此,在执行根据第一注册公钥/第二注册公钥确认用户未重复注册的步骤时,可以具体包括如下步骤:获取注册列表,注册列表包括已注册的多个第二匿名证书;向ACA发送查询多个第二匿名证书对应的第二实名证书的请求;接收ACA发送的多个第二匿名证书对应的第二实名证书,第二实名证书包括第三注册公钥;确认第一注册公钥/第二注册公钥与第三注册公钥不相同时,确认用户未重复注册。
在本发明实施例中,由于ACA存储了所有计算节点的关系列表,因此,通过第二匿名证书可以从ACA中查询到第二实名证书,通过将第一注册公钥/第二注册公钥和第二实名证书中的第三注册公钥对比,就能确定用户是否重复注册,从而可以简单、快捷、准确地确定用户是否重复注册。
本发明实施例还提供了一种用户身份信息管理方法,用于ACA,如图3所示,用户身份信息管理方法包括:
S201.接收协调者发送的查询第一匿名证书对应的第一实名证书的请求;具体地,协调者为了确定用户的真实身份信息,可以向ACA发送查询第一匿名证书对应的第一实名证书的请求。
S202.从关系列表中查询到第一匿名证书对应的第一实名证书;具体地,ACA在生成第一匿名证书后,还会生成第一实名证书、第一匿名证书与派生密钥的关系列表,因此,根据第一匿名证书,可以查询到第一实名证书。
S203.将第一实名证书发送给协调者,第一实名证书包括第一注册公钥。具体地,将第一实名证书发送给协调者,从而协调者可以得到用户的真实身份信息。
本发明实施例提供的用户身份信息管理方法,用户在向协调者发送注册为SMPC系统中的计算节点请求时,可以不携带用户真实身份信息,而是携带根据真实身份信息派生的匿名身份信息,从而用户的真实身份信息不会直接暴露给协调者,即协调者就不会掌握所有计算节点的真实身份信息,实现计算节点身份匿名,实现ACA对所有计算节点全部的真实身份可见,对交易记录不可见,协调者对交易记录可见,对所有计算节点的身份信息不可见,既保护了隐私又实现了ACA和协调者之间的分权监管。并且,如果协调者需要确认用户是否重复注册时,可以向ACA查询匿名用户的真实身份信息,并根据真实身份信息确认用户是否重复注册,减少了SMPC系统中作恶节点的概率。
在一个可选的实施例中,在步骤S201,接收协调者发送的查询第一匿名证书对应的第一实名证书的请求之前,用户身份信息管理方法还包括:获取用户发送的申请第一匿名证书请求,响应于申请第一匿名证书请求,生成一个随机数,申请第一匿名证书请求包括第一实名证书,第一实名证书包括第一注册公钥;利用第一注册公钥生成派生密钥,利用派生密钥和随机数生成派生信息,根据派生信息及第一注册公钥生成签名公钥;采用派生密钥对派生信息进行加密,得到扩展项;根据签名公钥和扩展项生成用户的第一匿名证书;向用户发送第一匿名证书和派生密钥,以使用户根据与第一注册公钥对应的第一注册私钥、派生密钥及加密后的派生信息计算签名私钥。
其中,利用第一注册公钥生成派生密钥,利用派生密钥和随机数生成派生信息,根据派生信息及第一注册公钥生成签名公钥的步骤如下:
1)ACA利用密钥分发函数生成根密钥ACA_KDF_Key,并利用用户第一实名证书中的第一注册公钥RegisterPub_Key产生派生密钥KeyDF_Key:
KeyDF_Key=HMAC(ACA_KDF_Key,RegisterPub_Key);HMAC是密钥相关的哈希运算。
2)ACA计算派生信息DerivationID:
DerivationID=HMAC(KeyDF_Key,ACertIndex);
3)ACA利用DerivationID和第一注册公钥RegisterPub_Key生成签名公钥ACertPub_Key:ACertPub_Key=RegisterPub_Key+DerivationID*G;G为常数。
用户根据与第一注册公钥对应的第一注册私钥、派生密钥及加密后的派生信息计算签名私钥的步骤包括:利用派生密钥对所述匿名证书的扩展项中的加密后的所述派生信息进行解密,得到解密后的派生信息,然后利用解密后的派生信息和第一注册私钥生成签名私钥。
其中,利用解密后的派生信息和第一注册私钥生成签名私钥的步骤包括:
用户利用DerivationID和第一实名证书对应的第一注册私钥RegisterPrivateKey生成签名私钥ACertPriv_Key:
ACertPriv_Key=(RegisterPrivateKey+DerivationID)mod n;n为常数。
在一个可选的实施例中,在接收协调者发送的查询第一匿名证书对应的第一实名证书的请求之后,用户身份信息管理方法还包括:从关系列表中查询到第一匿名证书对应的派生密钥;向协调者发送第一匿名证书对应的派生密钥。
具体地,ACA在生成第一匿名证书后,还会生成第一实名证书、第一匿名证书与派生密钥的关系列表,因此,根据第一匿名证书,可以查询到派生密钥。因此,ACA还可以在接收到协调者发送的查询第一匿名证书对应的第一实名证书的请求时,还向协调者发送第一匿名证书对应的派生密钥,以使协调者根据派生密钥计算第二注册公钥,得到用户的真实身份信息。
基于与前述实施例中一种注册请求处理方法和一种用户身份信息管理方法同样的发明构思,本发明实施例还提供一种电子设备,如图4所示,包括:处理器31和存储器32,其中处理器31和存储器32可以通过总线或者其他方式连接,图4中以通过总线连接为例进行说明。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器32作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的注册请求处理方法或用户身份信息管理方法对应的程序指令/模块。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的注册请求处理方法或用户身份信息管理方法。
存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器31所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至处理器31。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的一个或者多个模块存储在存储器32中,当被处理器31执行时,执行如图1所示实施例中的注册请求处理方法或如图2所示的用户身份信息管理方法。
上述电子设备具体细节可以对应参阅图1或图2所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程信息处理设备的处理器以产生一个机器,使得通过计算机或其他可编程信息处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程信息处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程信息处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种注册请求处理方法,用于协调者端,所述协调者与匿名证书颁发机构ACA连接,包括:
获取用户发送的注册为安全多方计算SMPC系统中的计算节点请求,注册为所述SMPC系统中的计算节点请求包括第一匿名证书及采用签名私钥进行签名的注册信息,所述第一匿名证书包括签名公钥;
利用所述签名公钥对所述签名私钥进行验证;
根据验证结果及确认所述用户是否重复注册的需求向所述ACA发送查询所述第一匿名证书对应的第一实名证书的请求;
接收所述ACA发送的所述第一匿名证书对应的第一实名证书,所述第一实名证书包括第一注册公钥;
根据所述第一注册公钥确认所述用户未重复注册时,根据所述注册信息将所述用户注册为所述SMPC系统中的计算节点。
2.根据权利要求1所述的注册请求处理方法,所述根据验证结果及确认所述用户是否重复注册的需求向所述ACA发送查询所述第一匿名证书对应的第一实名证书的请求,包括:
在验证结果为验证成功且需要确认所述用户是否重复注册的情况下,向所述ACA发送查询所述第一匿名证书对应的第一实名证书的请求;
在验证结果为验证成功且不需要确认所述用户是否重复注册的情况下,根据所述注册信息将所述用户注册为所述SMPC系统中的计算节点。
3.根据权利要求1所述的注册请求处理方法,所述第一匿名证书包括扩展项,所述扩展项包括派生密钥加密后的派生信息;
在向所述ACA发送查询所述第一匿名证书对应的第一实名证书的请求之后,在根据所述第一注册公钥确认所述用户未重复注册时,根据所述注册信息将所述用户注册为所述SMPC系统中的计算节点之前,还包括:
接收所述ACA发送的所述第一匿名证书对应的派生密钥;
采用所述派生密钥对所述加密后的派生信息进行解密;
采用解密后的派生信息及所述签名公钥计算第二注册公钥;
确认所述第一注册公钥和所述第二注册公钥相同时,确认所述ACA可信。
4.根据权利要求3所述的注册请求处理方法,还包括:
确认所述第一注册公钥和所述第二注册公钥不相同,且根据所述第二注册公钥确认所述用户未重复注册时,根据所述注册信息将所述用户注册为所述SMPC系统中的计算节点。
5.根据权利要求1-4任一项所述的注册请求处理方法,根据第一注册公钥/第二注册公钥确认所述用户未重复注册,包括:
获取注册列表,所述注册列表包括已注册的多个第二匿名证书;
向所述ACA发送查询所述多个第二匿名证书对应的第二实名证书的请求;
接收所述ACA发送的所述多个第二匿名证书对应的第二实名证书,所述第二实名证书包括第三注册公钥;
确认所述第一注册公钥/第二注册公钥与所述第三注册公钥不相同时,确所述用户未重复注册。
6.一种用户身份信息管理方法,用于匿名证书颁发机构ACA,包括:
接收协调者发送的查询所述第一匿名证书对应的第一实名证书的请求;
从关系列表中查询到所述第一匿名证书对应的第一实名证书;
将所述第一实名证书发送给所述协调者,所述第一实名证书包括第一注册公钥。
7.根据权利要求6所述的用户身份信息管理方法,在接收协调者发送的查询所述第一匿名证书对应的第一实名证书的请求之前,还包括:
获取用户发送的申请第一匿名证书请求,响应于申请第一匿名证书请求,生成一个随机数,所述申请第一匿名证书请求包括第一实名证书,所述第一实名证书包括第一注册公钥;
利用所述第一注册公钥生成派生密钥,利用所述派生密钥和所述随机数生成派生信息,
根据所述派生信息及所述第一注册公钥生成签名公钥;
采用所述派生密钥对所述派生信息进行加密,得到扩展项;
根据所述签名公钥和所述扩展项生成所述用户的第一匿名证书;
向所述用户发送所述第一匿名证书和所述派生密钥,以使所述用户根据与所述第一注册公钥对应的第一注册私钥、所述派生密钥及所述加密后的派生信息计算签名私钥。
8.根据权利要求6所述的用户身份信息管理方法,在接收协调者发送的查询所述第一匿名证书对应的第一实名证书的请求之后,还包括:
从关系列表中查询到所述第一匿名证书对应的派生密钥;
向所述协调者发送所述第一匿名证书对应的派生密钥。
9.一种电子设备,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-5任意一项所述的注册请求处理方法或如权利要求6-8任意一项所述的用户身份信息管理方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行如权利要求1-5任意一项所述的注册请求处理方法或如权利要求6-8任意一项所述的用户身份信息管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110608680.5A CN113343201A (zh) | 2021-06-01 | 2021-06-01 | 注册请求处理方法、用户身份信息管理方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110608680.5A CN113343201A (zh) | 2021-06-01 | 2021-06-01 | 注册请求处理方法、用户身份信息管理方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113343201A true CN113343201A (zh) | 2021-09-03 |
Family
ID=77474135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110608680.5A Pending CN113343201A (zh) | 2021-06-01 | 2021-06-01 | 注册请求处理方法、用户身份信息管理方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113343201A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114065253A (zh) * | 2021-11-22 | 2022-02-18 | 上海旺链信息科技有限公司 | 一种证书及成果可匿名共享和验证的方法 |
| CN114679261A (zh) * | 2021-12-22 | 2022-06-28 | 北京邮电大学 | 基于密钥派生算法的链上匿名通信方法和系统 |
| CN114900313A (zh) * | 2022-04-18 | 2022-08-12 | 中国科学院大学 | 一种保护隐私的匿名工作证书生成和验证方法 |
| CN114679261B (zh) * | 2021-12-22 | 2024-05-31 | 北京邮电大学 | 基于密钥派生算法的链上匿名通信方法和系统 |
-
2021
- 2021-06-01 CN CN202110608680.5A patent/CN113343201A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114065253A (zh) * | 2021-11-22 | 2022-02-18 | 上海旺链信息科技有限公司 | 一种证书及成果可匿名共享和验证的方法 |
| CN114679261A (zh) * | 2021-12-22 | 2022-06-28 | 北京邮电大学 | 基于密钥派生算法的链上匿名通信方法和系统 |
| CN114679261B (zh) * | 2021-12-22 | 2024-05-31 | 北京邮电大学 | 基于密钥派生算法的链上匿名通信方法和系统 |
| CN114900313A (zh) * | 2022-04-18 | 2022-08-12 | 中国科学院大学 | 一种保护隐私的匿名工作证书生成和验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10979231B2 (en) | Cross-chain authentication method, system, server, and computer-readable storage medium | |
| US11139951B2 (en) | Blockchain system and data processing method for blockchain system | |
| CN110086608B (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
| JP6547079B1 (ja) | 登録・認可方法、装置及びシステム | |
| EP3297244B1 (en) | Method and apparatus for acquiring an electronic file | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| CN110264200B (zh) | 区块链数据处理方法及装置 | |
| KR101985179B1 (ko) | 블록체인 기반의 ID as a Service | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| GB2623015A (en) | Internet-of-vehicles communication security authentication method, system and device based on national cryptographic algorithm | |
| WO2022199290A1 (zh) | 多方安全计算 | |
| US10880100B2 (en) | Apparatus and method for certificate enrollment | |
| CN107832632B (zh) | 资产证明授权查询方法、系统、电子装置及计算机可读存储介质 | |
| WO2021120871A1 (zh) | 认证密钥协商方法、装置、存储介质及设备 | |
| CN109767218B (zh) | 区块链证书处理方法及系统 | |
| JP7105308B2 (ja) | デジタル署名方法、装置及びシステム | |
| JP6950745B2 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム | |
| WO2020186822A1 (zh) | 基于区块链的数据查询方法、装置、设备及可读存储介质 | |
| CN108471403B (zh) | 一种账户迁移的方法、装置、终端设备及存储介质 | |
| CN113343201A (zh) | 注册请求处理方法、用户身份信息管理方法及设备 | |
| WO2023184858A1 (zh) | 一种时间戳生成方法、装置、电子设备及存储介质 | |
| WO2023124958A1 (zh) | 密钥更新方法、服务器、客户端及存储介质 | |
| CN110808953A (zh) | 一种具备位置感知的云数据可验证备份方法 | |
| CN114697038A (zh) | 一种抗量子攻击的电子签章方法和系统 | |
| CN116709312A (zh) | 一种安全防护方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |