TWI703852B - 用戶的身份內容資訊的認證、驗證方法和裝置 - Google Patents

用戶的身份內容資訊的認證、驗證方法和裝置 Download PDF

Info

Publication number
TWI703852B
TWI703852B TW108108214A TW108108214A TWI703852B TW I703852 B TWI703852 B TW I703852B TW 108108214 A TW108108214 A TW 108108214A TW 108108214 A TW108108214 A TW 108108214A TW I703852 B TWI703852 B TW I703852B
Authority
TW
Taiwan
Prior art keywords
user
content information
identity content
merkel
merkel tree
Prior art date
Application number
TW108108214A
Other languages
English (en)
Other versions
TW202009809A (zh
Inventor
王虎森
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW202009809A publication Critical patent/TW202009809A/zh
Application granted granted Critical
Publication of TWI703852B publication Critical patent/TWI703852B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/34Encoding or coding, e.g. Huffman coding or error correction

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本說明書的一個或多個實施例提供了用戶的身份內容資訊的認證、驗證方法和裝置,上述用戶的身份內容資訊的認證方法包括:獲取用戶的多個身份內容資訊;基於所述用戶的多個身份內容資訊構建默克爾樹,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的;向儲存終端發送所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。上述儲存終端可以包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。

Description

用戶的身份內容資訊的認證、驗證方法和裝置
本說明書涉及網路通信技術領域,尤其涉及用戶的身份內容資訊的認證、驗證方法和裝置。
CA認證機構在產生數位證書時,通常將用戶的全部身份資訊,包括名稱、身份號碼(機構用戶為社會統一信用代碼或機構驗證碼,個人用戶為身份證號碼)、地址等,以明文的格式、或可被反向解碼的編碼格式(如base 64)保存在數位證書中,在上述數位證書被驗證時,上述數位證書內包含的全部身份資訊均可被驗證機構獲得,而對上述全部身份資訊的披露多數情況下是不必要的。現在仍缺少一種經CA認證機構認證的、可選擇性地披露用戶的身份資訊的數位證書。
針對以上提出的問題,本說明書提供了一種用戶的身份內容資訊的認證方法,包括: 獲取用戶的多個身份內容資訊; 基於所述用戶的多個身份內容資訊構建默克爾樹,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 向儲存終端發送所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述方法還包括:向所述儲存終端發送所述其他資料資訊與所述葉節點的對應關係。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中; 其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 更優地,所述用戶的身份內容資訊包括用戶的公鑰、用戶的名稱、用戶的地址、用戶的識別號碼中的一種或多種。 更優地,所述編碼包括雜湊編碼。 本說明書還提供了一種用戶的身份內容資訊的驗證方法,包括: 反應於待驗證的身份內容資訊,根據所述待驗證的身份內容資訊與基於用戶的多個身份內容資訊構建的默克爾樹的葉節點的對應關係,從儲存終端獲取所述待驗證的身份內容資訊對應的葉節點的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 基於所述待驗證的身份內容資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值; 確定所述待驗證的身份內容資訊對應的默克爾樹的根值與所述基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述方法還包括:從所述儲存終端獲取所述其他資料資訊與所述葉節點的對應關係; 所述基於所述待驗證的身份內容資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值,包括: 基於所述待驗證的身份內容資訊、所述其他資料資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中,其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名; 所述從儲存終端獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,包括: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明; 所述從儲存終端獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,包括: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取待驗證的身份內容資訊與所述葉節點的對應關係,根據所述待驗證的身份內容資訊與所述葉節點的對應關係,獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 更優地,所述用戶的身份內容資訊包括用戶的公鑰、用戶的名稱、用戶的地址、用戶的識別號碼中的一種或多種。 更優地,所述編碼包括雜湊編碼。 本說明書還提供了一種用戶的身份內容資訊的認證裝置,包括: 獲取單元,獲取用戶的多個身份內容資訊; 默克爾樹構建單元,基於所述用戶的多個身份內容資訊構建默克爾樹,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 發送單元,向儲存終端發送所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述發送單元還用於:向所述儲存終端發送所述其他資料資訊與所述葉節點的對應關係。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中; 其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 本說明書還提供了一種用戶的身份內容資訊的驗證裝置,包括: 獲取單元,反應於待驗證的身份內容資訊,根據所述待驗證的身份內容資訊與基於用戶的多個身份內容資訊構建的默克爾樹的葉節點的對應關係,從儲存終端獲取所述待驗證的身份內容資訊對應的葉節點的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 計算單元,基於所述待驗證的身份內容資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值; 對比確定單元,確定所述待驗證的身份內容資訊對應的默克爾樹的根值與所述基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述獲取單元還用於:從所述儲存終端獲取所述其他資料資訊與所述葉節點的對應關係; 所述計算單元: 基於所述待驗證的身份內容資訊、所述其他資料資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中,其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名; 所述獲取單元: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明; 所述獲取單元: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取待驗證的身份內容資訊與所述葉節點的對應關係,根據所述待驗證的身份內容資訊與所述葉節點的對應關係,獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 相應地,本說明書還提供了一種計算機設備,包括:記憶體和處理器;所述記憶體上儲存有可由處理器運行的計算機程式;所述處理器運行所述計算機程式時,執行上述的用戶的身份內容資訊認證方法。 相應地,本說明書還提供了一種計算機設備,包括:記憶體和處理器;所述記憶體上儲存有可由處理器運行的計算機程式;所述處理器運行所述計算機程式時,執行上述的用戶的身份內容資訊驗證方法。 相應地,本說明書還提供了一種計算機可讀儲存媒體,其上儲存有計算機程式,所述計算機程式被處理器運行時,執行上述的用戶的身份內容資訊認證方法。 相應地,本說明書還提供了一種計算機可讀儲存媒體,其上儲存有計算機程式,所述計算機程式被處理器運行時,執行上述的用戶的身份內容資訊驗證方法。 現有的數位證書內包含用戶全部身份內容資訊的明文或編碼後的全部身份內容資訊,驗證機構在獲取用戶的數位證書後可以獲知或透過解碼獲知用戶的全部身份內容資訊,易引發不必要的身份內容資訊洩露。本說明書各實施例提供的用戶的身份內容資訊的認證、驗證方法和裝置,基於用戶的多個身份內容資訊構建默克爾樹,透過上述默克爾樹的根值保證經認證的任何一個身份內容資訊不被篡改;利用待驗證身份內容資訊的默克爾證明與待驗證身份內容資訊產生默克爾樹的根值的方式,來校驗待驗證身份資訊是否驗證通過;從而使驗證機構在對用戶的身份驗證時,僅獲知用戶待驗證的身份資訊或與待驗證的身份資訊相關的身份資訊,而不能獲取用戶全部的身份資訊,由此防止了以上提及的不必要的身份內容資訊洩露的問題,更加提高了用戶的身份內容資訊驗證過程的安全性。
數位證書是一個經身份認證機構數位簽名的、包含用戶身份內容資訊(通常為用戶的公鑰、名稱、身份代碼等)的文件。它是能提供在網際網路上進行身份驗證的一種權威性電子文檔,人們可以在網際網路交流中,例如,在發送安全電子郵件、存取安全站點、網上證券交易、網上招標採購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動中,用它來證明自己的身份和識別對方的身份。 身份認證機構,又稱CA機構,在頒發數位證書時,通常將用戶的多個身份內容資訊,包括公鑰、名稱、身份號碼(機構用戶為社會統一信用代碼或機構驗證碼,個人用戶為身份證號碼)、地址等,統一以明文的格式、或編碼後的格式保存在數位證書中,在上述數位證書被驗證時,上述數位證書內包含的全部身份資訊均可被驗證機構獲得,而對上述全部身份資訊的披露多數情況下是不必要的,例如,在利用電子商務購物時,買家用戶的身份證號碼、家庭住址、戶口情況等資訊一般無需披露給電商網站或賣家,但現在仍缺少一種可選擇性地披露用戶的身份內容資訊的驗證方法。 上述基於數位證書的身份驗證方式,通常用於網際網路上的身份驗證;對於線下的身份驗證方式,一般利用國家權威機構頒發的身份證、營業執照等實行,同樣,個人的身份證(或戶口本)、公司機構的營業執照(或組織機構證書)均包含很多身份內容資訊,而且多數身份內容資訊為隱私資訊不便隨意透露,現在也仍缺少一種可線下實行的、選擇性地披露用戶的身份內容資訊的驗證方法。 為解決如上所述的問題,圖1示意了本說明書一示意性實施例提供的用戶的身份內容資訊的認證、驗證方法流程示意圖。用於對用戶的身份內容資訊進行認證的機構,所執行的步驟包括: 步驟102,獲取用戶的多個身份內容資訊。 本說明書上述實施例所述的“用戶”可包括個人用戶及機構用戶,還可包括計算機設備及在網路通信中涉及到的其他終端設備或如網頁等個體等,在本說明書中不作限定,無論線上還是線下,任何需要驗證身份的個體均可為本說明書所述的用戶。 本說明書上述實施例所述的用戶的多個身份內容資訊,可包括用戶的姓名、身份證號碼、地址,或機構用戶的機構名稱、代碼、地址、法人資訊等,對於網頁個體,還可包括網頁的伺服器名稱、IP地址等。公鑰作用一項重要的身份內容資訊,在線上的各種應用場景中代表用戶身份被廣泛使用,因此上述實施例所述的用戶的多個身份內容資訊還可包括用戶的公鑰。公鑰(或稱“公開密鑰”)是與用戶的私鑰對應的,由私鑰按照預設的加密算法得出,加密算法可包括RSA、ECC等。 在向身份認證機構申請身份認證時,用戶將自身需認證的多個身份內容資訊發送給認證機構的伺服器。認證機構的後台資料庫在接收到上述多個身份內容資訊後,通常會對上述資訊的真實有效性進行核驗,在核驗完畢後即認證上述多個身份內容資訊為有效的資訊。 步驟104,基於所述用戶的多個身份內容資訊構建默克爾樹,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊而編碼產生的; 認證機構在收到上述用戶的多個身份內容資訊後,或驗明上述用戶的多個身份內容資訊的真實有效性後,會基於上述用戶的多個身份內容資訊構建默克爾樹(Merkle Tree)。默克爾樹是資料結構中的一種樹,可以是二叉樹,也可以是多叉樹,圖2為本說明書一示例性實施例提供的基於用戶的多個身份內容資訊構建的默克爾樹的示意圖。如圖2所示,用戶的多個身份內容資訊Data 001、Data 002、Data 003、Data 004經過編碼產生相應的多個數位摘要hash(Data 001)、hash(Data 002)、hash(Data 003)、hash(Data 004),並將該多個數位摘要作為該默克爾樹的葉節點C、D、E、F的值。對葉節點兩兩繼續進行編碼計算,以逐級產生各非葉節點A和B的值hash(C+D)、hash(E+F);經過對非葉節點的逐層計算,最終可得到該默克爾樹的根節點root的值(在本說明書中可簡稱“默克爾樹的根值”),如圖2所示,最終產生默克爾樹的根值hash(A+B)。 圖2中採用雜湊算法構建上述默克爾樹,本領域的技術人員應知,構建默克爾樹可採用的編碼算法可包括雜湊算法(如MD5,SHA256等)、或其他任意所需的編碼算法(如base 64等)。由於雜湊算法是單向映射算法,無法從雜湊摘要反推回原始資料內容,因此為保護用戶的多個身份內容資訊的隱私性,本說明書提供的上述實施例優選利用雜湊算法構建上述基於用戶的多個身份內容資訊的默克爾樹,以防止由默克爾樹的葉節點反推得到用戶的身份內容資訊的原始資料內容。另外值得注意的是,在上述默克爾樹的形成過程中,既可對各層級節點選用相同的數學編碼算法進行編碼計算,也可對不同的層級選用不同的編碼算法,在此不作限定。 在本說明書提供的實施例中,並不限定產生每個葉節點所依據的用戶的身份內容資訊的個數,每個葉節點可基於一條身份內容資訊編碼產生,也可基於多條身份內容資訊;而且,每個葉節點除包含用戶的身份內容資訊外,還可包含其他資料內容資訊,在此不做限定。 步驟106,向儲存終端發送所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 從默克爾樹中的任一節點出發,到達默克爾樹的根節點所經過的路徑節點上儲存的資料摘要,可以構造一個默克爾證明。一個節點的默克爾證明可能有多條,如圖2所示,葉節點E的默克爾證明可以是{F,A},或者也可是{F, (C+D)};葉節點E依次與默克爾證明所包含的節點上儲存的資料摘要進行編碼計算,最終應得到該默克爾樹的根值。因此,若要驗證葉節點E所對應的身份內容資訊Data 003是否被篡改,只需將待驗證的身份內容資訊作編碼計算,並將上述編碼計算的結果與葉節點E的默克爾證明{ F,A }或{F,(C+D)}對應的資料摘要值依次作編碼計算,即可得到待驗證的身份內容資訊對應的默克爾樹的根值,將待驗證的資料對應的默克爾樹的根值與上述基於身份內容資訊Data 001、Data 002、Data 003、Data 004構建的默克爾樹的根值作對比,如果兩值相等,則證明待驗證的身份內容資訊即為Data 003。在上述驗證Data003的過程中,並不需要其他葉節點所對應的身份內容資訊如Data 001,Data 002,Data 004的內容,因此很好地避免了對用戶其他身份內容資訊的披露。 由上可知,在本說明書提供的上述實施例中,為了利用基於用戶的多個身份內容資訊構建的默克爾樹來進行用戶的身份內容資訊驗證,認證機構需發送用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。其中,對用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值的發送方式,可以以發送如圖2所述的整個默克爾樹的形式來實現;當然,也可以將每個葉節點對應的默克爾證明、及上述默克爾樹的根值分別發送,在此不做限定。 值得注意的是,如果資料所對應的葉節點的位置發生改變,例如圖2所示的Data 001與Data 002的位置發生調換,則葉節點C與D的值發生互換,則節點A的值會發生改變,最終根節點Root的值也會發生改變,因此在說明書提供的實施例中,為方便利用上述默克爾樹對用戶的身份內容資訊進行驗證,用戶的多個身份內容資訊與默克爾樹的葉節點的對應關係也應被發送。 對上述用戶的多個身份內容資訊與默克爾樹的葉節點的對應關係的發送可以有多種實現方式。例如,可直接將用戶的身份內容資訊與默克爾樹的葉節點的對應關係以映射表格的形式發送;又如,為保護用戶的身份內容資訊的隱私性,可以將用戶的身份內容資訊按類別進行編號,將上述編號與默克爾樹的葉節點的對應關係以映射表格的形式發送;又或者,認證機構可產生身份內容資訊的認證模板,在上述模板上規定有上述默克爾樹的每個葉節點應對應的身份內容資訊的類別,則上述模板即是以一種公知的形式發送上述用戶的多個身份內容資訊與默克爾樹的葉節點的對應關係。 基於以上的一個或多個實施例,如圖1所示,透過認證機構對用戶的多個身份內容資訊的認證及基於上述用戶的多個身份內容資訊的默克爾樹的構建,用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被發送至儲存終端。 值得注意的是,在本說明書提供的上述實施例所描述的基於用戶的多個身份內容資訊構建的默克爾樹,通常可採用雜湊摘要算法來產生。由於雜湊摘要算法為單向映射算法,即使驗證機構獲取到上述默克爾樹的所有葉節點的值,驗證機構也無法獲知產生所述葉節點的用戶的身份內容資訊的原文,從而保證了用戶的身份內容資訊的安全性。 當然,上述默克爾樹的編碼算法並不限於雜湊算法,如果認證機構採用了非雜湊算法構建上述默克爾樹,尤其是採用了可反向解碼的編碼方法(如base 64等)構建上述默克爾樹,為了進一步保證默克爾樹所基於的用戶的全部身份內容資訊不被輕易獲取,上述默克爾樹的葉節點可基於用戶的身份內容資訊和隨機數共同產生。在該實施方式中,認證機構還應發送所述隨機數、與所述葉節點的對應關係,從而將與用戶的身份內容資訊及葉節點對應的隨機數儲存於儲存終端。 另外,如果上述默克爾樹的一個葉節點是由身份內容資訊與其他資料資訊經編碼產生時,認證機構還應發送所述其他資料資訊與所述葉節點的對應關係,從而將與用戶的身份內容資訊及葉節點對應的其他資料資訊儲存於儲存終端。類似地,上述其他資料資訊(如隨機數)與所述葉節點的對應關係也可以有多種實現方式。例如,可直接將其他資料資訊與默克爾樹的葉節點的對應關係以映射表格的形式發送;又如,將其他資料資訊按類別進行編號,將上述編號與默克爾樹的葉節點的對應關係以映射表格的形式發送;又或者,認證機構可產生身份內容資訊的認證模板,在上述模板上規定有上述默克爾樹的每個葉節點應對應的身份內容資訊的類別、及其他身份資訊及其類別,則上述模板的確立即是以一種公知的形式發送上述用戶的多個身份內容資訊與默克爾樹的葉節點的對應關係。 至此,所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被發送至儲存終端;可選的,所述其他資料資訊與所述葉節點的對應關係也被發送至儲存終端。上述本說明書上述一個或多個實施例中所述的儲存終端可以有多種實現方式,例如可以為認證機構發出的數位證書、認證機構的伺服器、用戶的客戶端、或公用的存證機構伺服器、或區塊鏈的分散式資料庫等等,在本說明書中不作限定。 例如,在一示出的實施例中,上述儲存終端為認證機構的伺服器。為進一步表示認證機構對用戶的多個身份內容資訊的認可,認證機構可向用戶頒發資料證書。數位證書通常包括內容部分和簽名部分,認證機構可將上述基於用戶的多個身份內容資訊構建的默克爾樹的根值儲存於數位證書的內容部分,並使用認證機構的私鑰對數位證書的內容部分進行電子簽名,已完成對上述默克爾樹的根植的存證。由上述實施例中描述的默克爾樹的根值的計算過程可知,默克爾樹的根值與任一葉節點的內容和位置都直接相關,任一葉節點的內容或位置的變更都會引起根值的改變。因此認證機構將上述默克爾樹的根值儲存於數位證書,並進一步透過數位簽名技術保證了該根值的有效性和安全性,防止該根值被惡意篡改。 在又一示出的實施例中,上述數位證書的內容部分還可包括以上實施例所述的用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明;當所述葉節點是由用戶的身份內容資訊與其他資料資訊(如隨機數)編碼產生時,上述數位證書的內容部分還可包括其他資料資訊與葉節點的對應關係。這樣用戶僅僅透過向驗證機構出示數位證書,即可完成對數位證書中所認證的任意的身份內容資訊的驗證,達到方便、安全、高效的目的。 在又一示出的實施例中,所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,被儲存於身份認證機構的伺服器;當所述葉節點是由用戶的身份內容資訊與其他資料資訊(如隨機數)編碼產生時,還應儲存其他資料資訊與葉節點的對應關係。由於身份認證機構通常是具備身份認證資質的公正權威機構,將上述經認證的用戶的多個身份內容資訊、及上述身份內容驗證過程所需的默克爾證明及默克爾樹的根值(可以表現為整課默克爾樹)儲存於身份認證機構,在驗證機構對用戶的任何身份內容資訊進行驗證時,從身份認證機構獲取驗證資訊,可保證上述獲取的驗證資訊的真實性。 在又一示出的實施例中,所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,被儲存於用戶的客戶端;當所述葉節點是由用戶的身份內容資訊與其他資料資訊(如隨機數)編碼產生時,還應儲存其他資料資訊與葉節點的對應關係。相比于將上述資訊儲存於認證機構的伺服器,本實施例所提供的實施方式極大地減輕了認證機構伺服器的儲存壓力,但缺點是用戶的客戶端提供的資料不具備安全性和權威性,容易被用戶篡改;因此本實施方式可以與將上述默克爾樹的根值儲存於數位證書中的實施方式配合使用,即驗證機構可從經認證機構數位簽名認可的數位證書中獲取上述默克爾樹的根值,從用戶的客戶端獲取待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,既保證了所獲資料的真實性,又緩解了認證機構伺服器的儲存壓力。 在又一示出的實施例中,所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,被儲存于區塊鏈的分散式資料庫;當所述葉節點是由用戶的身份內容資訊與其他資料資訊(如隨機數)編碼產生時,還應儲存其他資料資訊與葉節點的對應關係。 上述實施例所述的區塊鏈,具體可指一個各節點透過共識機制達成的、具有分散式資料儲存結構的P2P網路系統,該區塊鏈內的資料分佈在時間上相連的一個個“區塊(block)”之內,後一區塊包含前一區塊的資料摘要,且根據具體的共識機制(如POW、POS、DPOS或PBFT等)的不同,達成全部或部分節點的資料全備份。本領域的技術人員熟知,由於區塊鏈系統在相應共識機制下運行,已收錄至區塊鏈資料庫內的資料很難被任意的節點篡改,例如採用Pow共識的區塊鏈,至少需要全網51%運算力的攻擊才有可能篡改已有資料,因此區塊鏈系統有著其他中心化資料庫系統所法比擬的保證資料安全、防攻擊篡改的特性。由此可知,在本說明書所提供的實施例中,被收錄至區塊鏈的分散式資料庫中的資料不會被攻擊或篡改,從而保證了驗證機構在對用戶的任一身份內容資訊進行驗證時所獲資料的真實性。 類似的,上述區塊鏈的分散式資料庫與數位證書可以結合使用,將上述默克爾樹的根值存證於數位證書中,即驗證機構可從經認證機構數位簽名認可的數位證書中獲取上述默克爾樹的根值,從區塊鏈的分散式資料庫中獲取待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,既保證了所獲資料的真實性,又緩解了認證機構伺服器的儲存壓力。 任何對用戶的身份內容資訊具有驗證需求的機構(圖1所示的驗證機構),反應於待驗證的身份內容資訊,可執行以下步驟完成驗證: 步驟202,從儲存終端獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 對上述默克爾證明的獲取方式,可以包括:根據儲存終端儲存的待驗證的身份內容資訊(或其類別)與葉節點的對應關係,獲取待驗證的身份內容資訊所對應的葉節點,或者根據認證機構的身份內容資訊的認證模板規定的身份內容資訊類別與葉節點的對應關係、獲取待驗證的身份內容資訊所對應的葉節點; 再從儲存終端儲存的默克爾樹、或儲存終端儲存的每個葉節點的默克爾證明、及默克爾樹的根值,獲取待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 本領域的技術人員應知,當上述默克爾樹的一個葉節點是由多個身份內容資訊經編碼計算產生、或是由待驗證的身份內容資訊與其他資料資訊經編碼產生時,上述驗證機構還應獲取與所述待驗證的身份內容資訊一起產生上述葉節點的其他內容資訊。 值得注意的是,當上述儲存終端為認證機構的伺服器時,所述基於用戶的多個身份內容資訊構建的默克爾樹的根值可被所述認證機構存證於所述用戶的數位證書中;獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根的值,包括:獲取所述用戶的數位證書,其中所述數位證書包含內容部分和簽名部分,所述內容部分包括所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是所述數位證書的認證機構對所述內容部分的電子簽名;利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書;在所述驗簽通過後,獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 可選的,上述數位證書的內容部分還可包括有所述用戶的身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。上述資訊可以默克爾樹的形式整體存在於上述數位證書中。相應地,還可在上述數位證書驗簽通過後獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,包括:獲取待驗證的身份內容資訊與所述葉節點的對應關係,根據所述待驗證的身份內容資訊與所述葉節點的對應關係,獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 類似地,上述儲存終端還可以是認證機構的伺服器、用戶的客戶端或區塊鏈的分散式資料庫,以上的實施例中已詳細論證,在此不再贅述。 步驟204,基於所述待驗證的身份內容資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值。 上述步驟包括基於所述待驗證的身份內容資訊做編碼計算以得到待驗證的身份內容資訊對應的資料摘要,上述資料摘要作為待驗證的默克爾樹的葉節點的值,再將上述資料摘要與上述待驗證的身份內容資訊對應的葉節點的默克爾證明包含的節點的值、依次作編碼計算,最終得出待驗證的身份內容資訊對應的默克爾樹的根值。 本領域的技術人員應知,當上述默克爾樹的一個葉節點是由多個身份內容資訊經編碼計算產生、或是由待驗證的身份內容資訊與其他資料資訊(如隨機數)經編碼產生時,上述基於所述待驗證的身份內容資訊做編碼計算以得到待驗證的身份內容資訊對應的資料摘要,還應包括,將所述待驗證的身份內容資訊與其他內容資訊一起做編碼計算,以得到待驗證的身份內容資訊對應的資料摘要。 步驟206,確定所述待驗證的身份內容資訊對應的默克爾樹的根值與所述基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。 對比上述待驗證的身份內容資訊對應的默克爾樹的根值與儲存終端儲存的默克爾樹的根值是否相同;如果相同,則上述待驗證的身份內容資訊通過驗證,及上述待驗證的身份內容資訊為上述認證機構認可的身份內容資訊。 由此可知,透過圖1所示的用戶的身份內容資訊的認證、驗證方法,用戶可以在不披露其他身份內容資訊的前提下獲得待驗證資訊的驗證,從而提高了用戶的身份內容資訊驗證過程的安全性;而且,在上述驗證的過程中,僅傳輸待驗證的身份內容資訊的默克爾證明、及默克爾樹的根值,相比傳統的驗證方法,減小了資料的傳輸量,提高了驗證的效率。上述對用戶的身份內容資訊的認證、驗證方法,不僅限於線上的資料傳輸、支付等場景下的身份驗證時使用,用戶在線下的場景中仍可使用,例如用戶到賓館入住,賓館可透過從儲存終端獲取相應資訊的方式完成對用戶身份的驗證,因此上述方法具有廣泛的應用場景。 本說明書提供的上述實施例所描述的用戶的身份內容資訊通常可包括用戶的公鑰、用戶的名稱、用戶的地址、用戶的識別號碼等資訊中的一種或多種等,其中,用戶的公鑰作為常用的資訊在網際網路上被廣泛的使用,例如,作為用戶身份的代表、或在傳輸資訊解密、電子簽名驗簽等場景中被廣泛使用;且公鑰資訊作為一串字符編碼由於不揭露用戶的隱私而可被廣泛告知,因此,在本說明書提供的一種優選的實施方式中,可以將公鑰與基於用戶的多個身份內容資訊產生的默克爾樹的根值保存於本說明書所提供的數位證書的內容部分,這樣驗證機構可通過驗簽數位證書的簽名後直接獲取用戶的公鑰,用於資訊解密或用戶的電子簽名驗簽等場景中。 與上述流程實現對應,本說明書的實施例還提供了一種用戶的身份內容資訊的認證裝置、及用戶的身份內容資訊的驗證裝置。上述各裝置可以透過軟體實現,也可以透過硬體或者軟硬體結合的方式實現。以軟體實現為例,作為邏輯意義上的裝置,是透過所在設備的CPU(Central Process Unit,中央處理器)將對應的計算機程式指令讀取到內存記憶體中運行形成的。從硬體層面而言,除了圖5所示的CPU、內存記憶體以及記憶體之外,上述各裝置所在的設備通常還包括用於進行無線信號收發的晶片等其他硬體,及/或用於實現網路通信功能的板卡等其他硬體。 圖3所示為本說明書所提供的一種用戶的身份內容資訊的認證裝置30,包括: 獲取單元302,獲取用戶的多個身份內容資訊; 默克爾樹構建單元304,基於所述用戶的多個身份內容資訊構建默克爾樹,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 發送單元306,向儲存終端發送所述用戶的多個身份內容資訊與所述葉節點的對應關係、所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述發送單元306還用於:向所述儲存終端發送所述其他資料資訊與所述葉節點的對應關係。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中; 其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 相應的,如圖4所示,本說明書還提供了一種用戶的身份內容資訊的驗證裝置40,包括: 獲取單元402,反應於待驗證的身份內容資訊,根據所述待驗證的身份內容資訊與基於用戶的多個身份內容資訊構建的默克爾樹的葉節點的對應關係,從儲存終端獲取所述待驗證的身份內容資訊對應的葉節點的默克爾證明,及所述基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,所述默克爾樹的葉節點是基於所述用戶的身份內容資訊編碼產生的; 計算單元404,基於所述待驗證的身份內容資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值; 對比確定單元406,確定所述待驗證的身份內容資訊對應的默克爾樹的根值與所述基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。 更優地,所述默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的; 所述獲取單元402還用於:從所述儲存終端獲取所述其他資料資訊與所述葉節點的對應關係; 所述計算單元404: 基於所述待驗證的身份內容資訊、所述其他資料資訊和所述默克爾證明,計算所述待驗證的身份內容資訊對應的默克爾樹的根值。 更優地,所述其他資料資訊為隨機數。 更優地,所述儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。 更優地,所述儲存終端包括認證機構的伺服器; 所述基於用戶的多個身份內容資訊構建的默克爾樹的根值被所述認證機構存證於所述用戶的數位證書中,其中,所述數位證書包括內容部分與簽名部分,所述內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,所述簽名部分是對所述內容部分的電子簽名; 所述獲取單元402: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取所述基於用戶的多個身份內容資訊構建的默克爾樹的根值。 更優地,所述數位證書的內容部分還包括所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明; 所述獲取單元402: 獲取所述用戶的數位證書; 利用所述數位證書的認證機構對應的公鑰驗簽所述數位證書; 在所述驗簽通過後,獲取待驗證的身份內容資訊與所述葉節點的對應關係,根據所述待驗證的身份內容資訊與所述葉節點的對應關係,獲取所述待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。 更優地,所述儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,所述用戶的多個身份內容資訊與所述葉節點的對應關係、和所述用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於所述用戶的客戶端或所述區塊鏈的分散式資料庫。 更優地,所述用戶的數位證書的內容部分還包括所述用戶的公鑰。 上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,相關之處參見方法實施例的部分說明即可,在此不再贅述。 以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的部件可以是或者也可以不是物理模組,即可以位於一個地方,或者也可以分佈到多個網路模組上。可以根據實際的需要選擇其中的部分或者全部單元或模組來實現本說明書方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解並實施。 上述實施例闡明的裝置、單元、模組,具體可以由計算機晶片或實體實現,或者由具有某種功能的產品來實現。一種典型的實現設備為計算機,計算機的具體形式可以是個人計算機、膝上型計算機、蜂巢式電話、相機電話、智慧電話、個人數位助理、媒體播放器、導航設備、電子郵件收發設備、遊戲控制台、平板計算機、可穿戴設備或者這些設備中的任意幾種設備的組合。 與上述方法實施例相對應,本說明書的實施例還提供了一種計算機設備,該計算機設備包括記憶體和處理器。其中,記憶體上儲存有能夠由處理器運行的計算機程式;處理器在運行儲存的計算機程式時,執行本說明書實施例中用戶的身份內容資訊認證方法的各個步驟。對上述用戶的身份內容資訊認證方法的各個步驟的詳細描述請參見之前的內容,不再重複。 與上述方法實施例相對應,本說明書的實施例還提供了一種計算機設備,該計算機設備包括記憶體和處理器。其中,記憶體上儲存有能夠由處理器運行的計算機程式;處理器在運行儲存的計算機程式時,執行本說明書實施例中用戶的身份內容資訊驗證方法的各個步驟。對上述用戶的身份內容資訊驗證方法的各個步驟的詳細描述請參見之前的內容,不再重複。 與上述方法實施例相對應,本說明書的實施例還提供了一種計算機可讀儲存媒體,該儲存媒體上儲存有計算機程式,這些計算機程式在被處理器運行時,執行本說明書實施例中用戶的身份內容資訊認證方法的各個步驟。對用戶的身份內容資訊認證方法的各個步驟的詳細描述請參見之前的內容,不再重複。 與上述方法實施例相對應,本說明書的實施例還提供了一種計算機可讀儲存媒體,該儲存媒體上儲存有計算機程式,這些計算機程式在被處理器運行時,執行本說明書實施例中用戶的身份內容資訊驗證方法的各個步驟。對用戶的身份內容資訊驗證方法的各個步驟的詳細描述請參見之前的內容,不再重複。 以上所述僅為本說明書的較佳實施例而已,並不用以限制本說明書,凡在本說明書的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本說明書保護的範圍之內。 在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和內存記憶體。 內存記憶體可能包括計算機可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)及/或非揮發性內存記憶體等形式,如唯讀記憶體(ROM)或閃存(flash RAM)。內存記憶體是計算機可讀媒體的示例。 計算機可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是計算機可讀指令、資料結構、程式的模組或其他資料。 計算機的儲存媒體的例子包括,但不限於相變內存記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可擦除可編程唯讀記憶體(EEPROM)、快閃記憶體或其他內存記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁碟儲存或其他磁性儲存設備或任何其他非傳輸媒體,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,計算機可讀媒體不包括暫態電腦可讀媒體(transitory media),如調變的資料信號和載波。 還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。 本領域技術人員應明白,本說明書的實施例可提供為方法、系統或計算機程式產品。因此,本說明書的實施例可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本說明書的實施例可採用在一個或多個其中包含有計算機可用程式代碼的計算機可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的計算機程式產品的形式。
30‧‧‧認證裝置 302‧‧‧獲取單元 304‧‧‧默克爾樹構建單元 306‧‧‧發送單元 40‧‧‧驗證裝置 402‧‧‧獲取單元 404‧‧‧計算單元 406‧‧‧對比確定單元
圖1為本說明書一示例性實施例提供的用戶的身份內容資訊的認證、驗證方法流程示意圖; 圖2為本說明書一示例性實施例提供的基於用戶的多個身份內容資訊構建的默克爾樹的示意圖; 圖3為本說明書一示例性實施例提供的用戶的身份內容資訊的認證裝置的示意圖; 圖4為本說明書一示例性實施例提供的用戶的身份內容資訊的驗證裝置的示意圖; 圖5為運行本說明書所提供的用戶的身份內容資訊的認證或驗證裝置實施例的一種硬體結構圖。

Claims (38)

  1. 一種用戶的身份內容資訊的認證方法,包括:獲取用戶的多個身份內容資訊;基於該用戶的多個身份內容資訊構建默克爾樹,該默克爾樹的葉節點是基於該用戶的身份內容資訊編碼產生的;向儲存終端發送該用戶的多個身份內容資訊與該葉節點的對應關係,該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,及該基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,該儲存終端包括認證機構的伺服器;其中,該基於用戶的多個身份內容資訊構建的默克爾樹的根值被該認證機構存證於該用戶的數位證書中;及其中,該數位證書包括內容部分與簽名部分,該內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,該簽名部分是對該內容部分的電子簽名。
  2. 根據申請專利範圍第1項所述的方法,該默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的;該方法還包括:向該儲存終端發送該其他資料資訊與該葉節點的對應關係。
  3. 根據申請專利範圍第2項所述的方法,該其他資料資訊為隨機數。
  4. 根據申請專利範圍第1至3項中任一項所述的方法,該儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。
  5. 根據申請專利範圍第1項所述的方法,該數位證書的內容部分還包括該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。
  6. 根據申請專利範圍第1項所述的方法,該儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於該用戶的客戶端或該區塊鏈的分散式資料庫。
  7. 根據申請專利範圍第1項所述的方法,該用戶的數位證書的內容部分還包括該用戶的公鑰。
  8. 根據申請專利範圍第l項所述的方法,該用戶的身份內容資訊包括用戶的公鑰、用戶的名稱、用戶的地址、用戶的識別號碼中的一種或多種。
  9. 根據申請專利範圍第1至3項中任一項所述的方法,該編碼包括雜湊編碼。
  10. 一種用戶的身份內容資訊的驗證方法,包括:反應於待驗證的身份內容資訊,根據該待驗證的身份內容資訊與基於用戶的多個身份內容資訊構建的默克爾樹的葉節點的對應關係,從儲存終端獲取該待驗證的身份內容資訊對應的葉節點的默克爾證明,及該基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,該默克爾樹的葉節點是基於該用戶的身份內容資訊編碼產生的;基於該待驗證的身份內容資訊和該默克爾證明,計算該待驗證的身份內容資訊對應的默克爾樹的根值;確定該待驗證的身份內容資訊對應的默克爾樹的根值與該基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。
  11. 根據申請專利範圍第10項所述的方法,該默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的;該方法還包括:從該儲存終端獲取該其他資料資訊與 該葉節點的對應關係;該基於該待驗證的身份內容資訊和該默克爾證明,計算該待驗證的身份內容資訊對應的默克爾樹的根值,包括:基於該待驗證的身份內容資訊、該其他資料資訊和該默克爾證明,計算該待驗證的身份內容資訊對應的默克爾樹的根值。
  12. 根據申請專利範圍第11項所述的方法,該其他資料資訊為隨機數。
  13. 根據申請專利範圍第10至12項中任一項所述的方法,該儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。
  14. 根據申請專利範圍第10至12項中任一項所述的方法,該儲存終端包括認證機構的伺服器;該基於用戶的多個身份內容資訊構建的默克爾樹的根值被該認證機構存證於該用戶的數位證書中,其中,該數位證書包括內容部分與簽名部分,該內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,該簽名部分是對該內容部分的電子簽名;該從儲存終端獲取該基於用戶的多個身份內容資訊構建的默克爾樹的根值,包括: 獲取該用戶的數位證書;利用該數位證書的認證機構對應的公鑰驗簽該數位證書;在該驗簽通過後,獲取該基於用戶的多個身份內容資訊構建的默克爾樹的根值。
  15. 根據申請專利範圍第14項所述的方法,該數位證書的內容部分還包括該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明;該從儲存終端獲取該待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明,包括:獲取該用戶的數位證書;利用該數位證書的認證機構對應的公鑰驗簽該數位證書;在該驗簽通過後,獲取待驗證的身份內容資訊與該葉節點的對應關係,根據該待驗證的身份內容資訊與該葉節點的對應關係,獲取該待驗證的身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。
  16. 根據申請專利範圍第14項所述的方法,該儲存終端還 包括用戶的客戶端或區塊鏈的分散式資料庫,該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於該用戶的客戶端或該區塊鏈的分散式資料庫。
  17. 根據申請專利範圍第14項所述的方法,該用戶的數位證書的內容部分還包括該用戶的公鑰。
  18. 根據申請專利範圍第10項所述的方法,該用戶的身份內容資訊包括用戶的公鑰、用戶的名稱、用戶的地址、用戶的識別號碼中的一種或多種。
  19. 根據申請專利範圍第10至12項中任一項所述的方法,該編碼包括雜湊編碼。
  20. 一種用戶的身份內容資訊的認證裝置,包括:獲取單元,獲取用戶的多個身份內容資訊;默克爾樹構建單元,基於該用戶的多個身份內容資訊構建默克爾樹,該默克爾樹的葉節點是基於該用戶的身份內容資訊編碼產生的;發送單元,向儲存終端發送該用戶的多個身份內容資訊與該葉節點的對應關係、該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾 樹上的默克爾證明,及該基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,該儲存終端包括認證機構的伺服器;其中,該基於用戶的多個身份內容資訊構建的默克爾樹的根值被該認證機構存證於該用戶的數位證書中;及其中,該數位證書包括內容部分與簽名部分,該內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,該簽名部分是對該內容部分的電子簽名。
  21. 根據申請專利範圍第20項所述的裝置,該默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的;該發送單元還用於:向該儲存終端發送該其他資料資訊與該葉節點的對應關係。
  22. 根據申請專利範圍第21項所述的裝置,該其他資料資訊為隨機數。
  23. 根據申請專利範圍第20至22項中任一項所述的裝置,該儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。
  24. 根據申請專利範圍第20項所述的裝置,該數位證書的內容部分還包括該用戶的多個身份內容資訊與該葉節點的 對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。
  25. 根據申請專利範圍第20項所述的裝置,該儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於該用戶的客戶端或該區塊鏈的分散式資料庫。
  26. 根據申請專利範圍第20項所述的裝置,該用戶的數位證書的內容部分還包括該用戶的公鑰。
  27. 一種用戶的身份內容資訊的驗證裝置,包括:獲取單元,反應於待驗證的身份內容資訊,根據該待驗證的身份內容資訊與基於用戶的多個身份內容資訊構建的默克爾樹的葉節點的對應關係,從儲存終端獲取該待驗證的身份內容資訊對應的葉節點的默克爾證明,及該基於用戶的多個身份內容資訊構建的默克爾樹的根值,其中,該默克爾樹的葉節點是基於該用戶的身份內容資訊編碼產生的;計算單元,基於該待驗證的身份內容資訊和該默克爾證明,計算該待驗證的身份內容資訊對應的默克爾樹的根 值;對比確定單元,確定該待驗證的身份內容資訊對應的默克爾樹的根值與該基於用戶的多個身份內容資訊構建的默克爾樹的根值是否相同。
  28. 根據申請專利範圍第27項所述的裝置,該默克爾樹的葉節點是基於用戶的身份內容資訊與其他資料資訊而編碼產生的;該獲取單元還用於:從該儲存終端獲取該其他資料資訊與該葉節點的對應關係;該計算單元:基於該待驗證的身份內容資訊、該其他資料資訊和該默克爾證明,計算該待驗證的身份內容資訊對應的默克爾樹的根值。
  29. 根據申請專利範圍第28項所述的裝置,該其他資料資訊為隨機數。
  30. 根據申請專利範圍第27至29項中任一項所述的裝置,該儲存終端包括用戶的客戶端、認證機構的伺服器或區塊鏈的分散式資料庫中的一個或多個。
  31. 根據申請專利範圍第27至29項中任一項所述的裝置,該儲存終端包括認證機構的伺服器; 該基於用戶的多個身份內容資訊構建的默克爾樹的根值被該認證機構存證於該用戶的數位證書中,其中,該數位證書包括內容部分與簽名部分,該內容部分包括基於用戶的多個身份內容資訊構建的默克爾樹的根值,該簽名部分是對該內容部分的電子簽名;該獲取單元:獲取該用戶的數位證書;利用該數位證書的認證機構對應的公鑰驗簽該數位證書;在該驗簽通過後,獲取該基於用戶的多個身份內容資訊構建的默克爾樹的根值。
  32. 根據申請專利範圍第31項所述的裝置,該數位證書的內容部分還包括該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明;該獲取單元:獲取該用戶的數位證書;利用該數位證書的認證機構對應的公鑰驗簽該數位證書;在該驗簽通過後,獲取待驗證的身份內容資訊與該葉節點的對應關係,根據該待驗證的身份內容資訊與該葉節點的對應關係,獲取該待驗證的身份內容資訊對應的葉節 點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明。
  33. 根據申請專利範圍第31項所述的裝置,該儲存終端還包括用戶的客戶端或區塊鏈的分散式資料庫,該用戶的多個身份內容資訊與該葉節點的對應關係、和該用戶的多個身份內容資訊對應的葉節點在基於用戶的多個身份內容資訊構建的默克爾樹上的默克爾證明被儲存於該用戶的客戶端或該區塊鏈的分散式資料庫。
  34. 根據申請專利範圍第31項所述的裝置,該用戶的數位證書的內容部分還包括該用戶的公鑰。
  35. 一種計算機設備,包括:記憶體和處理器;該記憶體上儲存有可由處理器運行的計算機程式;該處理器運行該計算機程式時,執行如申請專利範圍第1到9項任意一項所述的方法。
  36. 一種計算機設備,包括:記憶體和處理器;該記憶體上儲存有可由處理器運行的計算機程式;該處理器運行該計算機程式時,執行如申請專利範圍第10到19項任意一項所述的方法。
  37. 一種計算機可讀儲存媒體,其上儲存有計算機程式, 該計算機程式被處理器運行時,執行如申請專利範圍第1到9項任意一項所述的方法。
  38. 一種計算機可讀儲存媒體,其上儲存有計算機程式,該計算機程式被處理器運行時,執行如申請專利範圍第10到19項任意一項所述的方法。
TW108108214A 2018-08-10 2019-03-12 用戶的身份內容資訊的認證、驗證方法和裝置 TWI703852B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810911526.3 2018-08-10
CN201810911526.3A CN109040082B (zh) 2018-08-10 2018-08-10 用户的身份内容信息的认证、验证方法和装置

Publications (2)

Publication Number Publication Date
TW202009809A TW202009809A (zh) 2020-03-01
TWI703852B true TWI703852B (zh) 2020-09-01

Family

ID=64633701

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108108214A TWI703852B (zh) 2018-08-10 2019-03-12 用戶的身份內容資訊的認證、驗證方法和裝置

Country Status (6)

Country Link
US (1) US20210051027A1 (zh)
EP (1) EP3779750A4 (zh)
CN (1) CN109040082B (zh)
SG (1) SG11202010637WA (zh)
TW (1) TWI703852B (zh)
WO (1) WO2020029660A1 (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040082B (zh) * 2018-08-10 2020-04-21 阿里巴巴集团控股有限公司 用户的身份内容信息的认证、验证方法和装置
CN111404859A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种客户端认证方法、装置和计算机可读存储介质
CN111489172B (zh) * 2019-01-25 2023-04-07 腾讯科技(深圳)有限公司 一种资质信息的认证方法和终端以及服务器
CN110119763B (zh) * 2019-04-16 2021-06-29 福建天晴数码有限公司 基于默克尔树思想的逻辑回归数据优化方法、存储介质
CN110311782B (zh) * 2019-04-29 2020-04-14 山东工商学院 个人信息的零知识证明方法、系统及存储介质
CN110351297B (zh) * 2019-07-23 2022-04-01 深圳前海微众银行股份有限公司 一种应用于区块链的验证方法及装置
CN111147477B (zh) * 2019-12-24 2023-04-18 深圳前海微众银行股份有限公司 一种基于区块链网络的验证方法及装置
US11489663B2 (en) * 2020-01-31 2022-11-01 International Business Machines Corporation Correlation-based hash tree verification
CN111835526B (zh) * 2020-06-30 2023-11-21 北京泰尔英福科技有限公司 一种生成匿名凭证的方法及系统
CN113507373B (zh) * 2021-06-30 2023-05-26 北京优品三悦科技发展有限公司 一种基于隐私保护的身份认证数据建模方法、设备和系统
CN114065171B (zh) * 2021-11-11 2022-07-08 北京海泰方圆科技股份有限公司 一种身份认证方法、装置、系统、设备及介质
CN116260583A (zh) * 2021-12-02 2023-06-13 中兴通讯股份有限公司 身份认证方法、电子设备和计算机可读存储介质
CN114710297B (zh) * 2022-05-25 2022-09-06 深圳天谷信息科技有限公司 基于聚合签名的区块链存证方法、装置、设备及存储介质
CN115150103B (zh) * 2022-08-29 2022-11-29 人民法院信息技术服务中心 基于区块链的数字凭证离线验证方法、装置及设备
US20240129126A1 (en) * 2022-10-12 2024-04-18 Khosla Ventures LLC Cryptographic systems and methods for providing services to authenticated users

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487658B1 (en) * 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US20050114666A1 (en) * 1999-08-06 2005-05-26 Sudia Frank W. Blocked tree authorization and status systems
US20110235799A1 (en) * 2010-03-24 2011-09-29 Nokia Corporation Method and apparatus for querying content protected by identity-based encryption
US20140298010A1 (en) * 2013-03-26 2014-10-02 Cloudtomo Limited Public-key certificate management system and method
CN104636672A (zh) * 2015-03-04 2015-05-20 浙江工商大学 一种基于哈希树及匿名技术的安全数据汇报方法及系统
CN104717070A (zh) * 2015-02-13 2015-06-17 中国科学院信息工程研究所 一种利用单向哈希函数关联数字证书的方法
US20150222619A1 (en) * 2012-08-30 2015-08-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
US20160269417A1 (en) * 2015-03-13 2016-09-15 Tata Consultancy Services Limited Dynamic data masking for mainframe application
CN106407795A (zh) * 2016-09-05 2017-02-15 北京众享比特科技有限公司 数据存在认证系统、认证方法及验证方法
CN106899412A (zh) * 2017-03-30 2017-06-27 北京链银博科技有限责任公司 一种区块链隐私保护方法、装置及系统
US20170295180A1 (en) * 2016-04-06 2017-10-12 Guardtime Ip Holdings Limited System and Method for Access Control Using Context-Based Proof
CN107342866A (zh) * 2017-06-30 2017-11-10 上海策赢网络科技有限公司 电子文书验证方法、设备及系统
CN107451281A (zh) * 2017-08-08 2017-12-08 东北大学 基于ads的外包数据库sql查询完整性验证系统及方法
US20180063709A1 (en) * 2016-08-26 2018-03-01 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
EP3313020A1 (en) * 2016-10-24 2018-04-25 Aliasnet S.R.L. Method of digital identity generation and authentication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001043344A1 (en) * 1999-12-13 2001-06-14 Rsa Security Inc. System and method for generating and managing attribute certificates
CN101651719B (zh) * 2009-09-11 2013-06-12 广东宇天科技有限公司 通信系统、均衡服务器及数据验证方法
KR20180005542A (ko) * 2016-07-06 2018-01-16 주식회사 케이티 데이터 무결성 검증을 위한 장치 및 방법
CN109040082B (zh) * 2018-08-10 2020-04-21 阿里巴巴集团控股有限公司 用户的身份内容信息的认证、验证方法和装置

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487658B1 (en) * 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US20050114666A1 (en) * 1999-08-06 2005-05-26 Sudia Frank W. Blocked tree authorization and status systems
US20110235799A1 (en) * 2010-03-24 2011-09-29 Nokia Corporation Method and apparatus for querying content protected by identity-based encryption
US20150222619A1 (en) * 2012-08-30 2015-08-06 Los Alamos National Security, Llc Multi-factor authentication using quantum communication
US20140298010A1 (en) * 2013-03-26 2014-10-02 Cloudtomo Limited Public-key certificate management system and method
CN104717070A (zh) * 2015-02-13 2015-06-17 中国科学院信息工程研究所 一种利用单向哈希函数关联数字证书的方法
CN104636672A (zh) * 2015-03-04 2015-05-20 浙江工商大学 一种基于哈希树及匿名技术的安全数据汇报方法及系统
US20160269417A1 (en) * 2015-03-13 2016-09-15 Tata Consultancy Services Limited Dynamic data masking for mainframe application
US20170295180A1 (en) * 2016-04-06 2017-10-12 Guardtime Ip Holdings Limited System and Method for Access Control Using Context-Based Proof
US20180063709A1 (en) * 2016-08-26 2018-03-01 Samsung Electronics Co., Ltd. Apparatus and method for two-way authentication
CN106407795A (zh) * 2016-09-05 2017-02-15 北京众享比特科技有限公司 数据存在认证系统、认证方法及验证方法
EP3313020A1 (en) * 2016-10-24 2018-04-25 Aliasnet S.R.L. Method of digital identity generation and authentication
CN106899412A (zh) * 2017-03-30 2017-06-27 北京链银博科技有限责任公司 一种区块链隐私保护方法、装置及系统
CN107342866A (zh) * 2017-06-30 2017-11-10 上海策赢网络科技有限公司 电子文书验证方法、设备及系统
CN107451281A (zh) * 2017-08-08 2017-12-08 东北大学 基于ads的外包数据库sql查询完整性验证系统及方法

Also Published As

Publication number Publication date
EP3779750A1 (en) 2021-02-17
CN109040082A (zh) 2018-12-18
EP3779750A4 (en) 2021-09-01
WO2020029660A1 (zh) 2020-02-13
TW202009809A (zh) 2020-03-01
CN109040082B (zh) 2020-04-21
SG11202010637WA (en) 2020-11-27
US20210051027A1 (en) 2021-02-18

Similar Documents

Publication Publication Date Title
TWI703852B (zh) 用戶的身份內容資訊的認證、驗證方法和裝置
US11743052B2 (en) Platform for generating authenticated data objects
Mishra et al. Privacy protected blockchain based architecture and implementation for sharing of students’ credentials
TWI703853B (zh) 網路中使用者身份認證方法和裝置
US10880089B2 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
US20200210594A1 (en) Method and System for secure Applications using Blockchain.
WO2020051710A1 (en) System and process for managing digitized security tokens
CN113302610B (zh) 基于区块链的可信平台
Li et al. A decentralized and secure blockchain platform for open fair data trading
Karamachoski et al. Blockchain-based application for certification management
Schär et al. Blockchain diplomas: Using smart contracts to secure academic credentials
Jain et al. A blockchain-based distributed network for secure credit scoring
Dongre et al. Education degree fraud detection and student certificate verification using blockchain
Garg Distributed ecosystem for identity management
Sermpinis et al. DeTRACT: a decentralized, transparent, immutable and open PKI certificate framework
Boontaetae et al. RDI: Real digital identity based on decentralized PKI
CA3050487A1 (en) System and method for storing and distributing consumer information
Buccafurri et al. Ethereum Transactions and Smart Contracts among Secure Identities.
Sawal et al. Necessity of blockchain for building trust in today’s applications: An useful explanation from user’s perspective
Shakila et al. Design and analysis of digital certificate verification and validation using blockchain-based technology
CN113491090B (zh) 基于区块链的可信平台
Karanikolas Digital signature legality in different jurisdictions: legally binding issues
Maram Bitcoin generation using Blockchain technology
Sayyad et al. Voting Using Blockchain Technology
Laxmaiah et al. A novel approach for digital online payment system