CN116094724A - 一种用于电子身份的注册及认证方法及装置 - Google Patents
一种用于电子身份的注册及认证方法及装置 Download PDFInfo
- Publication number
- CN116094724A CN116094724A CN202211719462.XA CN202211719462A CN116094724A CN 116094724 A CN116094724 A CN 116094724A CN 202211719462 A CN202211719462 A CN 202211719462A CN 116094724 A CN116094724 A CN 116094724A
- Authority
- CN
- China
- Prior art keywords
- information
- hash value
- user
- authentication
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012795 verification Methods 0.000 claims abstract description 40
- 239000000284 extract Substances 0.000 claims abstract description 10
- 210000000554 iris Anatomy 0.000 claims description 7
- 210000003128 head Anatomy 0.000 claims description 6
- 230000015572 biosynthetic process Effects 0.000 claims description 4
- 238000003786 synthesis reaction Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 14
- 239000013598 vector Substances 0.000 description 8
- 238000007781 pre-processing Methods 0.000 description 6
- 238000010276 construction Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3033—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Tourism & Hospitality (AREA)
- Educational Administration (AREA)
- Primary Health Care (AREA)
- Mathematical Physics (AREA)
- Development Economics (AREA)
- Biodiversity & Conservation Biology (AREA)
- Mathematical Optimization (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Pure & Applied Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Mathematical Analysis (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Algebra (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种用于电子身份的注册及认证方法及装置,包括:接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;将签名数据上传到区块链,并广播到区块链中的各个节点;将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。提高政务系统的安全性。
Description
技术领域
本发明涉及系统安全技术领域,具体涉及一种用于电子身份的注册及认证方法及装置。
背景技术
随着电子政务的发展,系统安全凸显出了不少亟待解决的问题。而“区块链”与政务的结合成为我国电子政务发展的新方向。一方面,“区块链”为我国电子政务建设创造了良好的机遇;另一方面,也为我国电子政务建设带来了巨大的挑战,值得关注并进行研究。由于政务数据本身的敏感性、重要性和高价值的特性,对数据的真实性和防篡改性要求非常高,这刚好与区块链技术真实、防篡改的特性很好的结合起来。如何将电子政务建设与区块链进行结合,提高系统的安全性,是目前亟需解决的问题。
发明内容
针对上述技术问题,本发明提供一种用于电子身份的注册及认证方法,包括:
接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;
将签名数据上传到区块链,并广播到区块链中的各个节点;
各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条;
将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
进一步的,用户的身份信息包括:身份证号、姓名、生日和性别;
用户的生物信息包括:人像照片、指纹、虹膜。
进一步的,将用户的身份信息和生物信息使用散列哈希算法进行加密,包括:
将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
进一步的,对所述身份信息和生物信息的哈希值进行签名,包括:
根据用户的身份证号,使用SM9密钥生成算法生成用户的密钥对,公钥为KeyPC,私钥为KeyPV;
对身份信息散列值H(IDInfo)和生物信息散列值Hlsh(BioFeature)合成,并使用私钥KeyPV加密,结果为ID的签名SID=SKEYpv(H(IDInfo)||Hlsh(BioFeature))。
进一步的,在将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点之前,包括:
将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature);
使用私钥对身份信息散列值H(IDInfo)、生物信息散列值Hlsh(BioFeature)和随机口令进行加密生成认证信息二维码,所述认证信息二维码QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令);
将所述认证信息二维码作为认证请求。
进一步的,验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,包括;
使用公钥解密认证信息QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令),提取出H(IDInfo)||Hlsh(BioFeature)||随机口令。
进一步的,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,包括:
验证所述随机口令是否在有效期限内,若在有效期限内,将认证信息中的身份信息作为索引,在区块链上获取对应的记录;
若随机口令不在有效期限内或不正确,则提示重新验证。
进一步的,还包括,包括:
若认证请求中的生物特征信息的散列值和区块链上对应记录的生物特征信息的相似度小于预设阈值,则认证失败。
本发明同时提供一种用于电子身份的注册及认证装置,包括:
加密单元,用于接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;
广播单元,用于将签名数据上传到区块链,并广播到区块链中的各个节点;
链条形成单元,用于各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条;
认证单元,用于将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
进一步的,加密单元,包括:
第一加密子单元,用于将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
第二加密子单元,用于生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
本发明提供一种用于电子身份的注册及认证方法及装置,提出了一种去中心化的身份注册和验证系统,使用区块链技术存储用户加密后的信息,更好的保护用户的隐私。使用多因子身份注册和验证的方式,使用个人信息加生物识别信息,避免了记住密码等繁琐的方式。针对电子证件使用二维码包含经过算法加密后的个人信息,提高用户个人信息安全性。使用共识机制,确保身份核验服务器节点的安全可靠。整体上,将电子政务建设与区块链进行结合,提高政务系统的安全性。
附图说明
图1是本发明提供的一种用于电子身份的注册及认证方法的流程示意图;
图2是本发明涉及的身份注册实序图;
图3是本发明涉及的身份验证实序图;
图4是本发明提供的一种用于电子身份的注册及认证装置的结构示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施的限制。
本发明的技术方案针对电子身份证照可信颁发、安全管理、授权示证、信息查验等应用需求,利用区块链技术构建电子证照共享“联盟链”,实现电子证照和共享信息总归集的统一入口,与一体化政务服务平台对接,通过数据共享优化业务流程。下面结合图1提供的一种用于电子身份的注册及认证方法的流程示意图对本发明的技术方案进行详细说明。
步骤S101,接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名。
用户的身份信息包括:身份证号、姓名、生日和性别;用户的生物信息包括:人像照片、指纹、虹膜。
将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
然后,根据用户的身份证号,使用SM9密钥生成算法生成用户的密钥对,公钥为KeyPC,私钥为KeyPV;对身份信息散列值H(IDInfo)和生物信息散列值Hlsh(BioFeature)合成,并使用私钥KeyPV加密,结果为ID的签名SID=SKEYpv(H(IDInfo)||Hlsh(BioFeature))。
步骤S102,将签名数据上传到区块链,并广播到区块链中的各个节点。
数据处理和签名完成后会将个人信息发送到区块链节点,形成一笔区块链交易信息,即进入链上处理阶段。链上处理阶段是将数据写入区块的过程,这一过程是去中心化的。用户对个人身份信息进行电子签名实现上传区块链前处理,然后将签名关键信息上传到区块链实现链上处理。区块链交易信息形成后会广播到区块链中的各个节点,各个节点会基于区块共识对该数据进行处理。
步骤S103,各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条。
区块链交易信息形成后会广播到区块链中的各个节点,各个节点会基于区块共识对该数据进行处理。每完成一次签署即生成新的哈希值,利用新哈希值形成一个区块。区块主要包含区块哈希、区块头等信息,其中区块头一般都会包含共识信息、时间戳、前一区块的哈希等,在确认区块头和哈希之后,就能计算区块哈希。这样通过前一区块哈希和自身哈希相连形成链条,在修改时只有修改该区块和往后所有区块的内容,且每个节点上都以相同方式修改才能完成修改。共识阶段完成后各节点的区块保持一致。此时的业务数据获得每个节点承认且可被追溯。
步骤S104,将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
认证请求中包含用户的身份信息和生物信息,在认证请求发送之前,将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature);使用私钥对身份信息散列值H(IDInfo)、生物信息散列值Hlsh(BioFeature)和随机口令进行加密生成认证信息二维码,所述认证信息二维码QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令);将所述认证信息二维码作为认证请求。然后,将认证请求发送至区块的验证节点。
验证节点使用公钥解密认证信息QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令),提取出H(IDInfo)||Hlsh(BioFeature)||随机口令。然后,验证所述随机口令是否在有效期限内,若在有效期限内,将认证信息中的身份信息作为索引,在区块链上获取对应的记录;若随机口令不在有效期限内或不正确,则提示重新验证。若认证请求中的生物特征信息的散列值和区块链上对应记录的生物特征信息的相似度小于预设阈值,则认证失败。
具体应用实施例:
实例1系统组成模块
本发明设计方案里面的模块包括客户端、身份验证节点、身份验证节点和区块链服务。
系统由客户端、身份注册系统、身份验证系统、区块链等模块和相关身份服务组件构成。
客户端:用于注册和验证用户的身份,可以采集用户的生物识别信息,并提取特征,可以展示加密后用户信息的二维码,用于提供验证信息。
身份注册系统:一般为身份发行者,户籍管理、公安等政府管理部门,用于检验用户的注册信息,并发行数字身份。
身份验证系统:一般为身份验证者,机场、边检、火车站、学校、医院、公安等政府管理部门,用于查验验证用户的身份。
区块链:提供区块链服务,由注册节点和验证节点构成,可以注册和验证用户身份信息,并存储用户个人数据。
一条个人身份信息签名数据在区块链处理的流程大致分为两个阶段:上传区块链前处理阶段和链上处理阶段。
上传区块链前处理阶段包括数据处理和对信息进行签名,该过程可通过对应的数据处理或加密签名工具完成。数据预处理一般指的是对数据进行拼接和序列化处理以及对生物信息的特征向量提取。数据预处理完成后,需要对该数据进行哈希处理,并对哈希值进行签名。签名一般采用非对称加密的方法,通过私钥和签名信息确认发送者持有对应的密钥,因而可以不泄露发送者本身的密钥。签名处理可以绑定发送者的身份和信息,防止他人冒充发送者,因而,签名处理既可以防止数据遭到篡改,还可以确认数据发送者的身份信息,提高了数据安全性。
数据处理和签名完成后会将个人信息发送到区块链节点,形成一笔区块链交易信息,即进入链上处理阶段。链上处理阶段是将数据写入区块的过程,这一过程是去中心化的。用户对个人身份信息进行电子签名实现上传区块链前处理,然后将签名关键信息上传到区块链实现链上处理。区块链交易信息形成后会广播到区块链中的各个节点,各个节点会基于区块共识对该数据进行处理。每完成一次签署即生成新的哈希值,利用新哈希值形成一个区块。区块主要包含区块哈希、区块头等信息,其中区块头一般都会包含共识信息、时间戳、前一区块的哈希等,在确认区块头和哈希之后,就能计算区块哈希。这样通过前一区块哈希和自身哈希相连形成链条,在修改时只有修改该区块和往后所有区块的内容,且每个节点上都以相同方式修改才能完成修改。共识阶段完成后各节点的区块保持一致。此时的业务数据获得每个节点承认且可被追溯。
实施例2用户信息注册流程
如图2所示,包括如下步骤:
步骤一:客户端用户向身份认证管理系统发送身份注册请求;
步骤二:身份认证管理系统向客户端用户发送相应的注册要求;
步骤三:客户端用户向身份认证管理系统上传自己的身份证号,姓名,生日,性别(生日和姓名可以从身份证号码中解析出来),住址和生物信息如人像照片、指纹、虹膜;身份信息IDInfo=身份证号||姓名||生日||性别。个人信息可以对身份证件进行拍照通过OCR识别出个人信息,也可以使用NFC功能读取证件芯片中的个人信息并上传。
步骤四:将生物信息根据对应的人像、指纹、虹膜算法提取特征向量,对生物特征向量使用对于位置敏感的散列算法LSH的simhash算法(现有技术,可以使用类似的LSH算法),因每次采集的生物图像提取的特征向量都有微小的区别,使用simhash算法,可以使得特征向量相差较小的情况下输出的hash散列区别也较小。生物特征BioFeature,散列为Hlsh(BioFeature)对用户信息即:身份证号||姓名||生日||性别生成散列,可用SHA-256或MD5算法即H(IDInfo)。
在区块链中存储了身份信息的散列H(IDInfo)作为索引以及生物特征散列Hlsh(BioFeature),加密后的用户信息,住址信息和生物特征向量。在查询用户身份的时候使用H(IDInfo)作为条件查询,查到数据表目后,比对生物特征散列Hlsh(BioFeature),查看生物特征相似度,若相似度高于阈值,则判定为同一用户;若查询到身份信息散列H(IDInfo),而生物特征散列Hlsh(BioFeature)相似度低,则判定为用户身份相同但生物信息不同,需要用户到身份受理点或在客户端重新采集身份信息,并将生物特征更新到区块链中。若H(IDInfo)一致且Hlsh(BioFeature)相似度高,则判断为同一人,提示用户信息存在;若未找到H(IDInfo),则用户信息不存在,则提示用户需要注册身份信息。
步骤五:根据用户的身份证号,使用SM9密钥生成算法(可以为其他非对称算法),生成用户的密钥对,公钥为KeyPC,私钥为KeyPV。对用户身份信息散列H(IDInfo)和生物特征散列Hlsh(BioFeature)合成,并使用私钥KeyPV加密,结果为ID的签名SID=SKEYpv(H(IDInfo)||Hlsh(BioFeature)),将SID存入区块链。将身份信息的散列H(IDInfo)作为索引以及生物特征散列Hlsh(BioFeature),加密后的用户信息,住址信息和生物特征向量存储在以身份信息的散列H(IDInfo)为索引的区块链中,并以交易的形式追加到对应申请人的区块中,因住址信息经常发生变化,则将新住址经私钥加密后以交易的形式追加到申请人对应的区块。
使用私钥KeyPV对用户身份信息和生物识别信息进行加密,以及生物特征散列Hlsh(BioFeature)并存储到区块链中,以身份信息的散列H(IDInfo)作为索引。
步骤六:将生成用户的密钥对,公钥为KeyPC,私钥为KeyPV,发送给客户端。
实施例3验证流程
如图3所示,包括如下步骤:
步骤1:客户端用户向身份验证系统发送认证请求;
步骤2:身份验证系统向客户端发送相应的认证要求(包括一个随机口令);
步骤3:客户端用户向身份验证系统通过实时拍摄自己的人脸、指纹、虹膜照片进行上传,在客户端提取生物特征向量,使用位置敏感的散列算法LSH的simhash算法计算散列Hlsh(BioFeature),同时发送自己的个人信息二维码,二维码包含以下信息QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令),使用私钥对个人信息身份证号、姓名、生日、性别进行散列和随机口令进行加密生成二维码;
步骤4:服务端收到用户的认证信息后,将认证信息二维码(包括身份证号、随机口令和生物识别特征)发送给的验证节点;
步骤5:验证节点和身份验证系统对用户的认证请求进行验证并达成共识;
步骤6:使用用户的公钥解密认证信息QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令),提取出H(IDInfo)||Hlsh(BioFeature)||随机口令;检验随机口令是否正确以及是否在有效期限内,如果随机口令不正确则验证失败,如果随机口令的时限不在有效期限内,则提示重新验证;
步骤7:根据H(IDInfo)作为索引在区块链中查找到对应的记录,查找是否能找到对应的记录;比对生物特征值相似度是否大于阈值;如果未找到对应的记录或生物特征值相似度小于阈值则验证失败,否则验证成功,并将验证结果返回给客户端用户;
步骤8:如果用户收到所有验证节点相同的验证结果,则共识过程结束,用户身份验证成功;如果用户收到验证结果不完全相同或者没有收到全部验证节点的验证结果,则验证失败,重新返回步骤5,再次进行共识过程。
基于同一发明构思,本发明同时提供一种用于电子身份的注册及认证装置,如图4所示,包括:
加密单元410,用于接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;
广播单元420,用于将签名数据上传到区块链,并广播到区块链中的各个节点;
链条形成单元,用于各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条;
认证单元,用于将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
进一步的,加密单元,包括:
第一加密子单元,用于将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
第二加密子单元,用于生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
本发明提供一种用于电子身份的注册及认证方法及装置,提出了一种去中心化的身份注册和验证系统,使用区块链技术存储用户加密后的信息,更好的保护用户的隐私。使用多因子身份注册和验证的方式,使用个人信息加生物识别信息,避免了记住密码等繁琐的方式。针对电子证件使用二维码包含经过算法加密后的个人信息,提高用户个人信息安全性。使用共识机制,确保身份核验服务器节点的安全可靠。整体上,将电子政务建设与区块链进行结合,提高政务系统的安全性。
最后应该说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种用于电子身份的注册及认证方法,其特征在于,包括:
接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;
将签名数据上传到区块链,并广播到区块链中的各个节点;
各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条;
将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
2.根据权利要求1所述的方法,其特征在于,用户的身份信息包括:身份证号、姓名、生日和性别;
用户的生物信息包括:人像照片、指纹、虹膜。
3.根据权利要求1所述的方法,其特征在于,将用户的身份信息和生物信息使用散列哈希算法进行加密,包括:
将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
4.根据权利要求1所述的方法,其特征在于,对所述身份信息和生物信息的哈希值进行签名,包括:
根据用户的身份证号,使用SM9密钥生成算法生成用户的密钥对,公钥为KeyPC,私钥为KeyPV;
对身份信息散列值H(IDInfo)和生物信息散列值Hlsh(BioFeature)合成,并使用私钥KeyPV加密,结果为ID的签名SID=SKEYpv(H(IDInfo)||Hlsh(BioFeature))。
5.根据权利要求1所述的方法,其特征在于,在将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点之前,包括:
将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature);
使用私钥对身份信息散列值H(IDInfo)、生物信息散列值Hlsh(BioFeature)和随机口令进行加密生成认证信息二维码,所述认证信息二维码QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令);
将所述认证信息二维码作为认证请求。
6.根据权利要求1所述的方法,其特征在于,验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,包括;
使用公钥解密认证信息QR=SKEYpv(H(IDInfo)||Hlsh(BioFeature)||随机口令),提取出H(IDInfo)||Hlsh(BioFeature)||随机口令。
7.根据权利要求1所述的方法,其特征在于,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,包括:
验证所述随机口令是否在有效期限内,若在有效期限内,将认证信息中的身份信息作为索引,在区块链上获取对应的记录;
若随机口令不在有效期限内或不正确,则提示重新验证。
8.根据权利要求1所述的方法,其特征在于,还包括,包括:
若认证请求中的生物特征信息的散列值和区块链上对应记录的生物特征信息的相似度小于预设阈值,则认证失败。
9.一种用于电子身份的注册及认证装置,其特征在于,包括:
加密单元,用于接收用户的注册请求,将用户的身份信息和生物信息使用散列哈希算法进行加密,对所述身份信息和生物信息的哈希值进行签名;
广播单元,用于将签名数据上传到区块链,并广播到区块链中的各个节点;
链条形成单元,用于各个节点基于区块共识对所述签名数据进行签署,每完成一次签署生成一个新的哈希值,利用新哈希值形成一个区块;所述区块根据区块头和前一个区块哈希值,计算该区块哈希值;由当前区块哈希值和前一区块哈希值形成链条;
认证单元,用于将包含用户的身份信息和生物信息的认证请求发送至区块的验证节点;验证节点使用公钥解密认证请求,提取用户的身份信息、生物特征信息的散列值和随机口令,在确定所述随机口令有效时,将所述身份信息作为索引,在区块链上获取对应的记录,将生物特征信息的散列值和区块链上对应记录的生物特征信息的散列值进行比对,若相似度大于预设阈值,则认证成功。
10.根据权利要求9所述的装置,其特征在于,加密单元,包括:
第一加密子单元,用于将用户的身份信息使用SHA-256或MD5算法加密,生成身份信息散列值H(IDInfo);
第二加密子单元,用于生物信息使用simhash算法加密,生成生物信息散列值Hlsh(BioFeature)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211719462.XA CN116094724A (zh) | 2022-12-30 | 2022-12-30 | 一种用于电子身份的注册及认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211719462.XA CN116094724A (zh) | 2022-12-30 | 2022-12-30 | 一种用于电子身份的注册及认证方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116094724A true CN116094724A (zh) | 2023-05-09 |
Family
ID=86198576
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211719462.XA Pending CN116094724A (zh) | 2022-12-30 | 2022-12-30 | 一种用于电子身份的注册及认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116094724A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776386A (zh) * | 2023-07-05 | 2023-09-19 | 深圳钰丰信息技术有限公司 | 一种云服务数据信息安全管理方法及系统 |
-
2022
- 2022-12-30 CN CN202211719462.XA patent/CN116094724A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776386A (zh) * | 2023-07-05 | 2023-09-19 | 深圳钰丰信息技术有限公司 | 一种云服务数据信息安全管理方法及系统 |
CN116776386B (zh) * | 2023-07-05 | 2023-11-17 | 深圳钰丰信息技术有限公司 | 一种云服务数据信息安全管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210192166A1 (en) | Transferring data files using a series of visual codes | |
US8670562B2 (en) | Generation and use of a biometric key | |
US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
US7024562B1 (en) | Method for carrying out secure digital signature and a system therefor | |
US6553494B1 (en) | Method and apparatus for applying and verifying a biometric-based digital signature to an electronic document | |
US6167518A (en) | Digital signature providing non-repudiation based on biological indicia | |
US20190013931A1 (en) | Biometric verification of a blockchain database transaction contributor | |
US20030012374A1 (en) | Electronic signing of documents | |
CN103679436A (zh) | 一种基于生物信息识别的电子合同保全系统和方法 | |
US7454624B2 (en) | Match template protection within biometric security systems | |
US20030115475A1 (en) | Biometrically enhanced digital certificates and system and method for making and using | |
WO2003007527A2 (en) | Biometrically enhanced digital certificates and system and method for making and using | |
JP2008512760A (ja) | 自動的な耳の再構成のための特徴抽出アルゴリズム | |
US20190280862A1 (en) | System and method for managing id | |
CN111541713A (zh) | 基于区块链和用户签名的身份认证方法及装置 | |
US9735969B2 (en) | Electronic signature method with ephemeral signature | |
US20080250245A1 (en) | Biometric-based document security | |
JP4426030B2 (ja) | 生体情報を用いた認証装置及びその方法 | |
CN116094724A (zh) | 一种用于电子身份的注册及认证方法及装置 | |
CN104835039A (zh) | 一种数据标签生成方法 | |
CN104715537A (zh) | 一种基于数字标签的加密和解密方法 | |
EP1280098A1 (en) | Electronic signing of documents | |
WO2003009217A1 (en) | Electronic signing of documents | |
Chand et al. | Biometric Authentication using SaaS in Cloud Computing | |
JP2015095877A (ja) | 生体認証システム、生体認証方法およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |