CN114679328A - 一种基于用户的虚拟身份进行访问的IDaaS系统 - Google Patents

一种基于用户的虚拟身份进行访问的IDaaS系统 Download PDF

Info

Publication number
CN114679328A
CN114679328A CN202210354500.XA CN202210354500A CN114679328A CN 114679328 A CN114679328 A CN 114679328A CN 202210354500 A CN202210354500 A CN 202210354500A CN 114679328 A CN114679328 A CN 114679328A
Authority
CN
China
Prior art keywords
user
service request
virtual identity
private key
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210354500.XA
Other languages
English (en)
Inventor
周文明
王志鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhongyue Technology Co ltd
Original Assignee
Shenzhen Zhongyue Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhongyue Technology Co ltd filed Critical Shenzhen Zhongyue Technology Co ltd
Publication of CN114679328A publication Critical patent/CN114679328A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种基于用户的虚拟身份进行访问的IDaaS系统,系统包括:服务请求设备、私钥生成器及服务提供设备;服务请求设备,用于将用户的用户身份信息发送给私钥生成器;私钥生成器,用于接收到用户身份信息之后,生成私钥;服务请求设备,用于根据用户身份信息获得的虚拟身份和私钥,获得虚拟身份签名;服务提供设备,用于根据获得的公钥,验证虚拟身份签名;如果虚拟身份签名被验证成功,则服务提供设备用于发送响应给服务请求设备;所述响应用于指示出所述服务请求设备成功访问所述服务提供设备。采用本申请,可提升IDaaS系统中进行服务访问的安全性。

Description

一种基于用户的虚拟身份进行访问的IDaaS系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于用户的虚拟身份进行访问的IDaaS系统。
背景技术
根据对未来身份管理的预测,数字化转型时代对于大多数学校来说都将依赖于身份访问。身份管理是学校通过互联网进行服务访问的一大挑战。随着云计算革命,IDaaS解决方案中涌现了一种针对云通信系统中的单点登录(SSO)解决方案。然而,通过用一个单一用户身份代替多个身份的想法并不新鲜,目前实现也较为复杂,用户的身份的安全性也较低。
发明内容
基于以上存在的问题以及现有技术的缺陷,本申请提供一种基于用户的虚拟身份进行访问的IDaaS系统,采用本申请,服务请求设备基于获得的用户的虚拟身份之后,基于虚拟身份信息登录到服务提供设备,可提升IDaaS系统中进行服务访问的安全性。
第一方面,本申请提供了一种基于用户的虚拟身份进行访问的IDaaS系统,该系统包括:
服务请求设备、私钥生成器以及服务提供设备;其中,所述服务请求设备、所述私钥生成器以及所述服务提供设备之间通过通信网络进行连接;
所述服务请求设备,用于将用户的用户身份信息发送给所述私钥生成器;所述用户包括:学生或教育工作者;
所述私钥生成器,用于在接收到所述用户身份信息之后,生成私钥;
所述服务请求设备,还用于基于所述用户身份信息获得的所述用户的虚拟身份以及从所述私钥生成器中获取到的私钥,获得虚拟身份签名;
所述服务提供设备,用于根据所述虚拟身份获得的公钥,验证从所述服务请求设备所接收的所述虚拟身份签名;其中,所述私钥和所述公钥为一对秘钥;
如果所述虚拟身份签名被验证成功,则所述服务提供设备用于发送响应给所述服务请求设备;所述响应用于指示出所述服务请求设备成功访问所述服务提供设备。
结合第一方面,在一些可选的实施例中,
所述用户的用户身份信息包括:用户的用户ID和所述用户ID关联的服务请求;
所述服务请求设备,具体用于:
将用户的用户ID和所述用户ID关联的服务请求发送给所述私钥生成器;所述用户ID关联的服务请求为一个服务请求或多个服务请求;
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后,生成主密钥以及通过所述用户ID用于生成所述用户ID关联的用户的虚拟身份;所述用户ID关联的虚拟身份用于所述私钥生成器生成所述用户ID关联的用户的公钥;
将所述用户的公钥结合所述主密钥生成所述用户ID关联的用户的私钥;其中,所述用户ID关联的用户的公钥与所述用户ID关联的用户的私钥为一对秘钥;
所述服务请求设备,具体还用于:
根据从所述私钥生成器中获取到的所述用户ID关联的用户的虚拟身份、公钥、私钥,并根据所述用户ID关联的虚拟身份以及私钥计算出虚拟身份签名,并将所述虚拟身份以及所述虚拟身份签名发送给所述服务提供设备;
所述服务提供设备,具体用于:
从所述私钥生成器中获取所述用户ID关联的用户的公钥,并通过所述公钥验证从所述服务请求设备所接收的所述虚拟身份签名。
结合第一方面,在一些可选的实施例中,
所述用户的用户身份信息包括:用户的用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份以及所述用户的公钥;
所述服务请求设备,具体用于:
将用户的用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份以及所述用户的公钥发送给所述私钥生成器;所述用户ID关联的服务请求为一个服务请求或多个服务请求;其中,所述用户的虚拟身份和所述用户的公钥都分别基于所述用户ID所得到;
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID、所述用户ID关联的服务请求、所述用户ID关联的所述用户的虚拟身份以及所述用户的公钥之后,生成主密钥,根据所述主秘钥和所述用户的公钥生成所述用户ID关联的所述用户的私钥;其中,所述用户ID关联的用户的公钥与所述用户ID关联的用户的私钥为一对秘钥;
所述服务请求设备,具体还用于:
根据所述用户ID关联的所述用户的虚拟身份、所述用户的公钥以及从所述私钥生成器中获取的所述用户ID关联的用户的私钥计算出虚拟身份签名,并将所述虚拟身份以及所述虚拟身份签名发送给所述服务提供设备;
所述服务提供设备,具体用于:
从所述私钥生成器中获取所述用户ID关联的用户的公钥,并通过所述用户的公钥验证从所述服务请求设备所接收的所述虚拟身份签名。
结合第一方面,在一些可选的实施例中,
所述私钥生成器,具体用于:
选择定义在GF(n1)上的椭圆曲线E,其中,n1是一个素数;
在所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1));
在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后,生成主秘钥S以及确定出所述用户ID关联的所述用户的虚拟身份VID=所述用户ID*P;所述主秘钥S用于所述私钥生成器生成所述用户ID关联的所述用户的私钥UD;
计算出所述用户ID关联的所述用户的公钥UP=H*VID,其中,所述H为安全哈希函数;
计算出所述用户ID关联的所述用户的私钥UD=S*UP;
并将所述用户ID关联的所述用户的虚拟身份、公钥以及私钥发送给所述服务请求设备。
结合第一方面,在一些可选的实施例中,
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份VID以及所述用户的公钥UP之后,生成主密钥S;其中,所述用户ID关联的用户的公钥UP=K*P,所述P为所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1));
计算出所述用户ID关联的用户的私钥UD=S*UP;
并将所述用户ID关联的用户的私钥UD发送给所述服务请求设备。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,具体还用于:
生成一个素数n2
根据获得的所述用户ID关联的用户的私钥UD,计算出d=UDmod(n2-2);
根据所述d,计算出Q=d*UP;
在区间[1,n2-1]中选择一个统计上唯一且不可预测的整数k;
计算所述椭圆曲线E上的点(x1,y1)=k*UP,且r=x1modn2;如果r=0,则计算出s=(k-1)*(HH(VID)+d*r)modn2;其中,所述HH为密码散列算法;
获得所述用户ID关联的用户的虚拟身份签名SVID=(r,s);
将所述虚拟身份签名SVID和所述虚拟身份VID发送给所述服务提供设备。
结合第一方面,在一些可选的实施例中,
所述服务提供设备,具体用于:
接收所述服务请求设备发送的所述虚拟身份签名SVID
验证所述虚拟身份签名SVID中所述r和所述s是否为区间[1,n-1]之间的整数,如果不是,则验证出所述虚拟身份签名SVID无效;
计算w=(s-1)modn2
计算HH(VID);
计算u1=HH(VID)*wmodn2,u2=(r*w)modn2
将所述用户ID关联的用户的虚拟身份VID发送给所述私钥生成器之后,从所述私钥生成器接收所述用户ID关联的用户的公钥UP,计算出曲线点(x0,y0)=u1*UP+u2*Q;
判断所述r与(x0modn)是否相等;
如果所述r=(x0modn),则验证出所述虚拟身份签名SVID有效。
结合第一方面,在一些可选的实施例中,
所述服务提供设备,还用于:
在验证出所述虚拟身份签名SVID有效之后,
生成一个随机数a∈GF(P1);所述P1为所述椭圆曲线E上选择一个随机生成点;
基于获得的所述用户ID关联的所述用户的公钥UP,计算出multi_a=a.UP,将所述multi_a用于发送给所述服务请求设备;
所述服务请求设备,还用于:
接收所述multi_a,生成一个随机数b∈GF(P2),计算multi_b=b.UP,并获得所述服务请求设备与所述服务提供设备之间的公共秘钥Ks=b.multi_a,将所述multi_b发送给所述服务提供设备;所述P2为所述椭圆曲线E上选择一个随机生成点;
所述服务提供设备,还用于:
接收所述请求设备发送的所述multi_b,计算出所述服务提供设备与所述服务请求设备之间的所述公共秘钥Ks=a*multi_b。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,还用于:
在获得所述服务请求设备与所述服务提供设备之间的公共秘钥Ks=b.multi_a之后,通过所述公共秘钥Ks将目标信息{m}加密,获得目标密文{m}Ks,并将所述密文发送给所述服务提供设备。
结合第一方面,在一些可选的实施例中,
所述服务提供设备,还用于:
在接收到所述目标密文{m}Ks之后,根据计算出的公共秘钥Ks将所述目标密文{m}Ks进行解析,恢复出所述目标信息{m}。
本申请提供了一种基于用户的虚拟身份进行访问的IDaaS系统。其中,该系统包括:服务请求设备、私钥生成器以及服务提供设备;其中,服务请求设备、私钥生成器以及服务提供设备之间通过通信网络进行连接;其中,服务请求设备,用于将用户的用户身份信息发送给所述私钥生成器;上述用户包括:学生。教师或教育工作者;私钥生成器,用于在接收到用户身份信息之后,生成私钥;服务请求设备,还用于根据基于用户的身份信息获得的用户的虚拟身份以及从私钥生成器中获取到的私钥(也即,通过私钥将虚拟身份进行加密,获得虚拟身份签名),获得虚拟身份签名;服务提供设备,用于根据用户的虚拟身份获取的公钥,验证从服务请求设备所接收的所述虚拟身份签名;其中,上述私钥和上述公钥为一对秘钥;如果上述虚拟身份签名被验证成功,则上述服务提供设备发送响应给服务请求设备;响应用于指示出服务请求设备成功访问服务提供设备,同时,服务请求设备与服务提供设备之间还可通过交互以协商出公共秘钥,服务请求设备通过公共秘钥将目标信息进行加密,获得目标密文,并将该目标密文发送给服务提供设备,服务提供设备接收到该目标密文之后,通过协商的公共秘钥将目标密文进行解析获得目标信息。采用本申请,服务请求设备基于获得的用户的虚拟身份之后,基于虚拟身份信息登录到服务提供设备,可提升IDaaS系统中进行服务访问的安全性,以及服务请求设备与服务提供设备之间信息传输的安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种基于用户的虚拟身份进行访问的IDaaS系统的示意图;
图2是本申请提供的另一种基于用户的虚拟身份进行访问的IDaaS系统的示意图;
图3是本申请提供的又一种基于用户的虚拟身份进行访问的IDaaS系统的示意图;
图4是本申请提供的又一种基于用户的虚拟身份进行访问的IDaaS系统的示意图。
具体实施方式
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为实现IDaaS系统中进行服务安全访问,本申请提供了一种基于用户的虚拟身份进行访问的IDaaS系统。具体的,
参见图1,是本申请提供的一种基于用户的虚拟身份进行访问的IDaaS系统的示意图,如图1所示,该基于用户的虚拟身份进行访问的IDaaS系统,可包括但不限于:
服务请求设备、私钥生成器(Private key Generator,PKG)及服务提供设备;服务请求设备、私钥生成器以及服务提供设备之间通过通信网络进行连接,也即是说,服务请求设备、私钥生成器以及服务提供设备本申请所述的IDaaS系统中的相互独立的三个模块。
本申请中的服务请求设备可包括但不限于:可用于用户的身份信息采集的课堂专用摄像头、可用于用户的身份信息采集的AI智能盒子、可用于用户的身份信息采集的摄像机、或者其他可用于用户的身份信息采集的设备。更具体的,
上述服务请求设备可用于接收用户输入的用户的身份信息。
上述服务提供设备,可包括但不限于:可用于提供服务(如:数据查询请求服务或数据管理请求服务)给服务器请求设备的服务器。
具体的,上述通信网络可包括但不限于下述方式:
方式1:有线方式(如:网线或光纤)的通信网络;
方式2:无线方式(如:WIFI6或5G)的通信网络;
方式3:上述有线方式和无线方式相结合的通信网络。
服务请求设备,可用于将用户的用户身份信息发送给私钥生成器;
私钥生成器,用于在接收到用户身份信息之后,生成私钥;所述用户包括:学生或教育工作者(如:教师、教育局工作人员);
用户的身份信息包括:学生的身份信息,或者教师的身份信息,或者教育局工作人员的身份信息,或者宿管工作人员的身份信息。
服务请求设备,还用于基于所述用户身份信息获得的用户的虚拟身份以及从私钥生成器中获取到的用户的私钥,获得用户的虚拟身份签名;
服务提供设备,用于根据上述用户的虚拟身份获得的用户的公钥,验证从服务请求设备所接收的用户的虚拟身份签名;其中,上述用户的私钥和上述用户的公钥为一对秘钥;
如果上述虚拟身份签名被验证成功,则上述服务提供设备用于发送响应给所述服务请求设备;所述响应用于指示出所述服务请求设备成功访问所述服务提供设备。
应当说明的,上述虚拟身份签名被验证成功之后,服务请求设备与服务提供设备之间还可通过交互以协商出公共秘钥,服务请求设备通过公共秘钥将目标信息进行加密,获得目标密文,并将该目标密文发送给服务提供设备,服务提供设备接收到该目标密文之后,通过协商的公共秘钥将目标密文进行解析获得目标信息。
应当说明的,上述基于用户的虚拟身份进行访问的IDaaS系统,可包括但不限于下述实现方案1和实现方案2。
本申请中,应当说明的,图2示例性示出了一种基于用户的虚拟身份进行访问的IDaaS系统的示意图,为详细阐述实现方案1,下面结合图2对实现方案1中服务请求设备、私钥生成器以及服务提供设备之间的交互过程进行简要描述。如图2所示,
用户的用户身份信息包括:用户的用户ID(Identity,身份标识号)和用户ID关联的服务请求;其中,用户ID,可包括但不限于:用户的身份证号码、用户的学籍号码。
当用户为学生时,学生的学生身份信息包括:学生的学生ID(学号或身份证号码)、学生ID关联的服务请求;
当用户为教师时,教师的教师身份信息包括:教师的教师ID(工号或身份证号码)、教师ID关联的服务请求;
当用户为教育局工作人员时,教育局工作人员的身份信息包括:教育局工作人员的ID(工号)、教育局工作人员ID关联的服务请求。
服务请求设备,具体用于:
将用户的用户ID和用户ID关联的服务请求发送给私钥生成器;所述用户ID关联的服务请求为一个服务请求或多个不同的服务请求。
服务请求可包括:请求查询学生的期末考试成绩、请求查询学生的家庭背景或请求查询学生的上课出勤情况);
服务请求还可包括:请求查询教师的每周的上课时间表、教师的出勤情况或教师的教授课程的教学评分。
私钥生成器,具体用于:
在收到上述服务请求设备发送的用户ID和用户ID关联的服务请求之后,生成主密钥,其中,上述用户ID用于生成所述用户ID关联的用户的虚拟身份;所述用户ID关联的用户的虚拟身份用于生成用户ID关联的用户的公钥;所述用户的公钥结合上述主密钥生成用户ID关联的用户的私钥;其中,用户ID关联的用户的公钥与用户ID关联的用户的私钥为一对秘钥;
服务请求设备,具体还用于:
根据从私钥生成器中获取到的用户ID关联的用户的虚拟身份、公钥、私钥,并根据用户ID关联的用户的虚拟身份以及用户的私钥计算出用户的虚拟身份签名,并将所述虚拟身份以及所述虚拟身份签名发送给所述服务提供设备;
服务提供设备,具体用于:
从私钥生成器中获取用户ID关联的用户的公钥,并通过该公钥验证从服务请求设备所接收的虚拟身份签名。
私钥生成器,具体可用于:
选择定义在GF(n1)上的椭圆曲线E,其中,n1是一个素数;
在椭圆曲线E上选择一个随机生成点P∈E(GF(n1)),q为P的阶数;
在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后,生成主秘钥S,以及确定出用户ID关联的用户的虚拟身份VID=所述用户ID*P;所述主秘钥S用于私钥生成器结合用户ID关联的用户的公钥生成用户ID关联的用户的私钥UD;
计算出用户ID关联的用户的公钥UP=H*VID,其中,上述H为安全哈希函数;
计算出用户ID关联的用户的私钥UD=S*UP;
并将用户ID关联的用户的虚拟身份、公钥以及私钥发送给所述服务请求设备。
应当说明的,私钥生成器,具体还可用于:
生成私钥生成器的公钥Ppub=S.P。服务请求设备,具体还可用于:
生成一个素数n2
根据获得的用户ID关联的用户的私钥UD,计算出d=UDmod(n2-2);
根据计算出的d,计算出Q=d*UP;
在区间[1,n2-1]中选择一个统计上唯一且不可预测的整数k;
计算上述椭圆曲线E上的点(x1,y1)=k*UP,且r=x1modn2;如果r=0,则计算出s=(k-1)*(HH(VID)+d*r)modn2;其中,上述HH为密码散列算法;
获得用户ID关联的用户的虚拟身份签名SVID=(r,s);
将虚拟身份签名SVID和虚拟身份VID发送给服务提供设备。
服务提供设备,具体可用于:
接收服务请求设备发送的虚拟身份签名SVID
验证虚拟身份签名SVID中r和s是否为区间[1,n-1]之间的整数,如果不是,则验证出虚拟身份签名SVID无效;
计算w=(s-1)modn2
计算HH(VID);
计算u1=HH(VID)*wmodn2,u2=(r*w)modn2
将用户ID关联的用户的虚拟身份VID发送给私钥生成器之后,从私钥生成器接收用户ID关联的用户的公钥UP,计算出曲线点(x0,y0)=u1*UP+u2*Q;
判断r与(x0modn)是否相等;
如果r=x0modn,则验证出虚拟身份签名SVID有效。
下面简要阐述服务请求设备与服务提供设备之间还可通过交互以协商出公共秘钥的过程。
服务提供设备,还用于:
在验证出虚拟身份签名SVID有效之后,
生成一个随机数a∈GF(P1);P1为椭圆曲线E上选择一个随机生成点;
基于获得的用户ID关联的用户的公钥UP,计算出multi_a=a.UP,将multi_a用于发送给服务请求设备;
服务请求设备,还用于:
接收multi_a,生成一个随机数b∈GF(P2),计算multi_b=b.UP,并获得服务请求设备与服务提供设备之间的公共秘钥Ks=b.multi_a,将multi_b发送给服务提供设备;P2为椭圆曲线E上选择一个随机生成点;
服务提供设备,还用于:
接收请求设备发送的multi_b,计算出服务提供设备与服务请求设备之间的公共秘钥Ks=a*multi_b。
应当说明的,服务请求设备与服务提供设备之间通过交互以协商出公共秘钥之后,服务请求设备通过公共秘钥对目标信息进行加密,服务提供设备对目标密文进行解密的详细过程,在下文进行详细描述。
应当说明的,服务请求设备,还用于:
在获得服务请求设备与服务提供设备之间的公共秘钥Ks=b.multi_a之后,通过公共秘钥Ks将目标信息{m}加密,获得目标密文{m}Ks,并将密文发送给服务提供设备。
服务提供设备,还用于:
在接收到目标密文{m}Ks之后,根据计算出的公共秘钥Ks将目标密文{m}Ks进行解析,恢复出目标信息{m}。
应当说明的,图3示例性示出了一种基于用户的虚拟身份进行访问的IDaaS系统的示意图,下面还可结合图3对IDaaS平台下基于用户的虚拟身份的服务请求控制系统进行简要阐述。如图3所示,
服务请求设备可将用户的用户ID以及将该用户ID关联的服务请求1发送给私钥生成器,私钥生成器用于:在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求1之后,生成用户ID关联的用户的虚拟身份1,服务请求设备用于通过虚拟身份1用向服务提供设备申请服务1;
私钥生成器用于:在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求2之后,生成用户ID关联的用户的虚拟身份2,服务请求设备用于通过虚拟身份2用向服务提供设备申请服务2;
私钥生成器用于:在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求N N之后,生成用户ID关联的用户的虚拟身份N,服务请求设备用于通过虚拟身份N用向服务提供设备申请服务N。
应当说明的,图4示例性示出了又一种基于用户的虚拟身份进行访问的IDaaS系统的示意图,为阐述实现方案2,下面结合图4对实现方案2中服务请求设备、私钥生成器以及服务提供设备之间的交互过程进行简要描述。如图4所示,
也即,当用户的用户身份信息包括:用户的用户ID、用户ID关联的服务请求、用户的虚拟身份以及用户ID关联的用户的公钥时;其中,用户的虚拟身份为基于用户的用户ID所生成。
当用户为学生时,学生的学生身份信息包括:学生的学生ID(学号或身份证号码)、学生ID关联的服务请求、学生的虚拟身份以及学生ID关联的学生的公钥;
当用户为教师时,教师的教师身份信息包括:教师的教师ID(工号或身份证号码)、教师ID关联的服务请求、教师的虚拟身份以及教师ID关联的教师的公钥;
当用户为教育局工作人员时,教育局工作人员的身份信息包括:教育局工作人员的ID(工号)、教育局工作人员ID关联的服务请求、教育局工作人员的虚拟身份以及教育局工作人员ID关联的学生的公钥。
服务请求设备,具体用于:
将用户的用户ID、用户ID关联的服务请求、用户的虚拟身份以及用户的公钥发送给私钥生成器;用户ID关联的服务请求为一个服务请求或多个服务请求;其中,所述用户的虚拟身份和所述用户的公钥都分别基于所述用户ID所得到;
私钥生成器,具体用于:
在收到服务请求设备发送的用户ID、用户ID关联的服务请求、用户ID关联的用户的虚拟身份以及用户的公钥之后,生成主密钥,其中,主秘钥用于生成用户ID关联的用户的私钥;其中,用户ID关联的用户的公钥与用户ID关联的用户的私钥为一对秘钥;
服务请求设备,具体还可用于:
根据用户ID关联的用户的虚拟身份、用户的公钥以及从私钥生成器中获取的用户ID关联的用户的私钥计算出虚拟身份签名,并将虚拟身份以及虚拟身份签名发送给服务提供设备;
服务提供设备,具体可用于:
从私钥生成器中获取用户ID关联的用户的公钥,并通过用户的公钥验证从服务请求设备所接收的虚拟身份签名。
私钥生成器,具体用于:
在收到服务请求设备发送的用户ID、用户ID关联的服务请求、用户的虚拟身份VID以及用户的公钥UP之后,生成主密钥S;其中,用户ID关联的用户的公钥UP=K*P,P为椭圆曲线E上选择一个随机生成点P∈E(GF(n1));
计算出用户ID关联的用户的私钥UD=S*UP;
并将用户ID关联的用户的私钥UD发送给服务请求设备。
所述服务请求设备,具体还用于:获得所述用户ID关联的用户的虚拟身份签名SVID=(r,s);
将所述虚拟身份签名SVID和所述虚拟身份VID发送给所述服务提供设备。
上述用户ID关联的用户的虚拟身份签名SVID=(r,s)的具体实现过程,可参考实现方案1,此处不再赘述。
所述服务提供设备,具体可用于:
接收所述服务请求设备发送的所述虚拟身份签名SVID,并验证出所述虚拟身份签名SVID是否有效。
上述虚拟身份签名SVID的具体验证过程,可参考实现方案1,此处不再赘述。
应当说明的,在验证出虚拟身份签名SVID有效之后,服务请求设备与服务提供设备之间还可通过交互以协商出公共秘钥,公共秘钥的协商过程可参考前述实现方案1中公共秘钥Ks的协商过程,此处不再赘述。综上所述,服务请求设备将包括用户的请求的用户信息发送给私钥生成器之后,私钥生成器生成用户的私钥,并将该用户的私钥反馈给服务请求设备,服务请求设备将基于用户的身份信息获得的虚拟身份通过上述私钥进行加密处理,获得虚拟身份签名,并将虚拟身份签名发送给服务提供设备,服务提供设备通过获取的用户的公钥将上述虚拟身份签名进行验证,如果验证成功,服务提供设备用于发送响应给服务请求设备,同时,服务请求设备与服务提供设备之间还可通过交互以协商出公共秘钥,服务请求设备通过公共秘钥将目标信息进行加密,获得目标密文,并将该目标密文发送给服务提供设备,服务提供设备接收到该目标密文之后,通过协商的公共秘钥将目标密文进行解析获得目标信息。也即是说,本申请方案中,服务请求设备基于获得的用户的虚拟身份之后,基于虚拟身份信息登录到服务提供设备,可提升IDaaS平台下用户身份信息在服务请求过程中安全性保障,以及服务请求设备与服务提供设备之间信息传输的安全性。
图1-图4仅仅用于解释本申请,不应对本申请作出限制。
本领域普通技术人员可以意识到,结合本申请中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
上述描述的装置、设备的实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、设备、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,包括:
服务请求设备、私钥生成器以及服务提供设备;其中,所述服务请求设备、所述私钥生成器以及所述服务提供设备之间通过通信网络进行连接;
所述服务请求设备,用于将用户的用户身份信息发送给所述私钥生成器;所述用户包括:学生或教育工作者;
所述私钥生成器,用于在接收到所述用户身份信息之后,生成私钥;
所述服务请求设备,还用于基于所述用户身份信息获得的所述用户的虚拟身份以及从所述私钥生成器中获取到的私钥,获得虚拟身份签名;
所述服务提供设备,用于根据所述虚拟身份获得的公钥,验证从所述服务请求设备所接收的所述虚拟身份签名;其中,所述私钥和所述公钥为一对秘钥;
如果所述虚拟身份签名被验证成功,则所述服务提供设备用于发送响应给所述服务请求设备;所述响应用于指示出所述服务请求设备成功访问所述服务提供设备。
2.如权利要求1所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述用户的用户身份信息包括:用户的用户ID和所述用户ID关联的服务请求;
所述服务请求设备,具体用于:
将用户的用户ID和所述用户ID关联的服务请求发送给所述私钥生成器;所述用户ID关联的服务请求为一个服务请求或多个服务请求;
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后,生成主密钥以及通过所述用户ID用于生成所述用户ID关联的用户的虚拟身份;所述用户ID关联的虚拟身份用于所述私钥生成器生成所述用户ID关联的用户的公钥;
将所述用户的公钥结合所述主密钥生成所述用户ID关联的用户的私钥;其中,所述用户ID关联的用户的公钥与所述用户ID关联的用户的私钥为一对秘钥;
所述服务请求设备,具体还用于:
根据从所述私钥生成器中获取到的所述用户ID关联的用户的虚拟身份、公钥、私钥,并根据所述用户ID关联的虚拟身份以及私钥计算出虚拟身份签名,并将所述虚拟身份以及所述虚拟身份签名发送给所述服务提供设备;
所述服务提供设备,具体用于:
从所述私钥生成器中获取所述用户ID关联的用户的公钥,并通过所述公钥验证从所述服务请求设备所接收的所述虚拟身份签名。
3.如权利要求1所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述用户的用户身份信息包括:用户的用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份以及所述用户的公钥;
所述服务请求设备,具体用于:
将用户的用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份以及所述用户的公钥发送给所述私钥生成器;所述用户ID关联的服务请求为一个服务请求或多个服务请求;其中,所述用户的虚拟身份和所述用户的公钥都分别基于所述用户ID所得到;
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID、所述用户ID关联的服务请求、所述用户ID关联的所述用户的虚拟身份以及所述用户的公钥之后,生成主密钥,根据所述主秘钥和所述用户的公钥生成所述用户ID关联的所述用户的私钥;其中,所述用户ID关联的用户的公钥与所述用户ID关联的用户的私钥为一对秘钥;
所述服务请求设备,具体还用于:
根据所述用户ID关联的所述用户的虚拟身份、所述用户的公钥以及从所述私钥生成器中获取的所述用户ID关联的用户的私钥计算出虚拟身份签名,并将所述虚拟身份以及所述虚拟身份签名发送给所述服务提供设备;
所述服务提供设备,具体用于:
从所述私钥生成器中获取所述用户ID关联的用户的公钥,并通过所述用户的公钥验证从所述服务请求设备所接收的所述虚拟身份签名。
4.如权利要求2所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述私钥生成器,具体用于:
选择定义在GF(n1)上的椭圆曲线E,其中,n1是一个素数;
在所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1));
在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后,生成主秘钥S以及确定出所述用户ID关联的所述用户的虚拟身份VID=所述用户ID*P;所述主秘钥S用于所述私钥生成器生成所述用户ID关联的所述用户的私钥UD;
计算出所述用户ID关联的所述用户的公钥UP=H*VID,其中,所述H为安全哈希函数;
计算出所述用户ID关联的所述用户的私钥UD=S*UP;
并将所述用户ID关联的所述用户的虚拟身份、公钥以及私钥发送给所述服务请求设备。
5.如权利要求3所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述私钥生成器,具体用于:
在收到所述服务请求设备发送的所述用户ID、所述用户ID关联的服务请求、所述用户的虚拟身份VID以及所述用户的公钥UP之后,生成主密钥S;其中,所述用户ID关联的用户的公钥UP=K*P,所述P为所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1));
计算出所述用户ID关联的用户的私钥UD=S*UP;
并将所述用户ID关联的用户的私钥UD发送给所述服务请求设备。
6.如权利要求4或5所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述服务请求设备,具体还用于:
生成一个素数n2
根据获得的所述用户ID关联的用户的私钥UD,计算出d=UDmod(n2-2);
根据所述d,计算出Q=d*UP;
在区间[1,n2-1]中选择一个统计上唯一且不可预测的整数k;
计算所述椭圆曲线E上的点(x1,y1)=k*UP,且r=x1modn2;如果r=0,则计算出s=(k-1)*(HH(VID)+d*r)modn2;其中,所述HH为密码散列算法;
获得所述用户ID关联的用户的虚拟身份签名SVID=(r,s);
将所述虚拟身份签名SVID和所述虚拟身份VID发送给所述服务提供设备。
7.如权利要求6所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述服务提供设备,具体用于:
接收所述服务请求设备发送的所述虚拟身份签名SVID
验证所述虚拟身份签名SVID中所述r和所述s是否为区间[1,n-1]之间的整数,如果不是,则验证出所述虚拟身份签名SVID无效;
计算w=(s-1)modn2
计算HH(VID);
计算u1=HH(VID)*wmodn2,u2=(r*w)modn2
将所述用户ID关联的用户的虚拟身份VID发送给所述私钥生成器之后,从所述私钥生成器接收所述用户ID关联的用户的公钥UP,计算出曲线点(x0,y0)=u1*UP+u2*Q;
判断所述r与(x0modn)是否相等;
如果所述r=(x0modn),则验证出所述虚拟身份签名SVID有效。
8.如权利要求7所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述服务提供设备,还用于:
在验证出所述虚拟身份签名SVID有效之后,
生成一个随机数a∈GF(P1);所述P1为所述椭圆曲线E上选择一个随机生成点;
基于获得的所述用户ID关联的所述用户的公钥UP,计算出multi_a=a.UP,将所述multi_a用于发送给所述服务请求设备;
所述服务请求设备,还用于:
接收所述multi_a,生成一个随机数b∈GF(P2),计算multi_b=b.UP,并获得所述服务请求设备与所述服务提供设备之间的公共秘钥Ks=b.multi_a,将所述multi_b发送给所述服务提供设备;所述P2为所述椭圆曲线E上选择一个随机生成点;
所述服务提供设备,还用于:
接收所述请求设备发送的所述multi_b,计算出所述服务提供设备与所述服务请求设备之间的所述公共秘钥Ks=a*multi_b。
9.如权利要求8所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述服务请求设备,还用于:
在获得所述服务请求设备与所述服务提供设备之间的公共秘钥Ks=b.multi_a之后,通过所述公共秘钥Ks将目标信息{m}加密,获得目标密文{m}Ks,并将所述密文发送给所述服务提供设备。
10.如权利要求9所述基于用户的虚拟身份进行访问的IDaaS系统,其特征在于,
所述服务提供设备,还用于:
在接收到所述目标密文{m}Ks之后,根据计算出的公共秘钥Ks将所述目标密文{m}Ks进行解析,恢复出所述目标信息{m}。
CN202210354500.XA 2022-02-25 2022-04-06 一种基于用户的虚拟身份进行访问的IDaaS系统 Pending CN114679328A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2022203899368 2022-02-25
CN202220389936 2022-02-25

Publications (1)

Publication Number Publication Date
CN114679328A true CN114679328A (zh) 2022-06-28

Family

ID=82077851

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210354500.XA Pending CN114679328A (zh) 2022-02-25 2022-04-06 一种基于用户的虚拟身份进行访问的IDaaS系统

Country Status (1)

Country Link
CN (1) CN114679328A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200412554A1 (en) * 2017-12-26 2020-12-31 Sangmyung University Cheonan Council For Industry-Academic Cooperation Foundation Id as service based on blockchain
CN113836506A (zh) * 2021-09-30 2021-12-24 奇安信科技集团股份有限公司 身份认证方法、装置、系统、电子设备、存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200412554A1 (en) * 2017-12-26 2020-12-31 Sangmyung University Cheonan Council For Industry-Academic Cooperation Foundation Id as service based on blockchain
CN113836506A (zh) * 2021-09-30 2021-12-24 奇安信科技集团股份有限公司 身份认证方法、装置、系统、电子设备、存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IBRAHIM GOMAA等: "Virtual Identity Performance Evaluations of Anonymous Authentication in IDaaS Framework", IEEE ACCESS, vol. 7, pages 34541, XP011716537, DOI: 10.1109/ACCESS.2019.2904854 *

Similar Documents

Publication Publication Date Title
CN106961336B (zh) 一种基于sm2算法的密钥分量托管方法和系统
CN105678182B (zh) 一种数据操作控制的方法及装置
CN109409472B (zh) 二维码生成方法、数据处理方法、装置及服务器
US9021572B2 (en) Anonymous access to a service by means of aggregated certificates
CN109672537A (zh) 基于公钥池的抗量子证书获取系统及获取方法
CN110011793A (zh) 防伪溯源数据处理方法、装置、设备及介质
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
CN109727044A (zh) 基于区块链的品牌事务处理方法、装置、设备及介质
Karthika et al. Secure online examination system for e-learning
CN109361508A (zh) 数据传输方法、电子设备及计算机可读存储介质
Qureshi et al. SeVEP: Secure and verifiable electronic polling system
CN110635912B (zh) 数据处理方法及装置
CN109413116A (zh) 一种可信的云端身份认证方法及系统
US20200349566A1 (en) Device control method and related device
CN107248997B (zh) 多服务器环境下基于智能卡的认证方法
CN103281180B (zh) 一种网络服务中保护用户访问隐私的票据生成方法
CN115150072A (zh) 云网签发认证方法、设备、装置及存储介质
JP2006155547A (ja) 本人認証システム、端末装置、およびサーバ
CN108259180B (zh) 一种量子指定验证者签名的方法
CN109446793A (zh) 一种基于Windows agent的账户改密方法及装置
CN106533681A (zh) 一种支持部分出示的属性证明方法与系统
CN106027254A (zh) 一种身份证认证系统中身份证读卡终端使用密钥的方法
CN116996215A (zh) 一种医疗数字孪生环境下的密钥协商系统和方法
CN114679328A (zh) 一种基于用户的虚拟身份进行访问的IDaaS系统
CN108141367A (zh) 代码签署服务

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination