申请/专利权人：芽米科技(广州)有限公司

申请日：2020-11-17

公开（公告）日：2024-04-30

公开（公告）号：CN112434281B

主分类号：G06F21/45

分类号：G06F21/45;G06F21/60

优先权：

专利状态码：有效-授权

法律状态：2024.04.30#授权;2024.01.19#专利申请权的转移;2021.03.19#实质审查的生效;2021.03.02#公开

摘要：本申请公开了一种面向联盟链的多因子身份认证方法，通过各授权中心节点生成系统的主公钥y和中间参数g2，根据公共参数、主公钥y、中间参数g2生成并公开系统验证参数Z，各授权中心节点根据用户终端的用户属性信息针对该用户的每一目标属性生成对应的属性部分密钥，将属性部分密钥发送给用户终端，用户终端根据属性部分密钥计算对应目标属性的属性私钥，当用户终端需要向系统中的其他验证者证明自己的身份时，用户终端和验证方利用用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证，用户终端每一属性的属性私钥由多个授权中心节点共同参与生成，密钥不容易泄露，且在认证过程中基于多属性进行认证，提升了认证的安全性。

主权项：1.一种面向联盟链的多因子身份认证方法，其特征在于，包括：S1：联盟链服务器生成并公开系统公共参数，系统公共参数包括p、g、e、G、GT、k、n、t，其中，p表示联盟链服务器根据安全参数生成的素数阶，G和GT表示两个阶为素数p的乘法循环群，g是群G的生成元，双线性映射e:G×G→GT，属性门限值k表示用户终端在指定验证策略属性集中需要满足的属性个数门限值，n表示授权中心的个数，系统门限值t表示生成属性密钥所需的授权中心的个数；S2：联盟链中的各授权中心节点根据系统公共参数进行初始化，生成系统的主公钥y和中间参数g2，并根据所述系统公共参数、主公钥y和中间参数g2生成并公开系统验证参数Z；生成系统主公钥y的步骤包括：S21：所述联盟链中的各授权中心节点Pi根据参数t生成第一多项式函数，根据所述第一多项式函数、参数g和p计算第一秘密值yij，并将第一秘密值yij发送给授权中心节点Pj，其中i,j＝1,…,n，j≠i；S22：授权中心节点Pj根据接收到的第一秘密值yij判断授权中心节点Pi是否是可信的授权中心，如是，转至S23，否则授权中心节点Pj要求授权中心节点Pi重新发送第一秘密值yij；S23：各授权中心节点Pi基于可信授权中心节点的第一秘密值进行计算得到系统主密钥，并根据系统主密钥进行计算得到系统主公钥y；步骤S21中授权中心节点Pi生成的第一多项式函数为fix＝ci0+ci1x+…+cit-1xt-1，且各个授权中心节点Pi根据公式针对第一多项式函数的每一系数计算并广播授权中心节点Pi的第一验证系数Ciλ，λ＝0,...,t-1，并根据公式yij＝fiPj计算第一秘密值yij,并将第一秘密值yij发送给授权中心节点Pj；步骤S22中授权中心节点Pj接收到第一秘密值yij后验证等式是否成立，如果成立，则确定授权中心节点Pi为可信的授权中心，否则，授权中心节点Pj要求授权中心节点Pi重新发送yij；步骤S23中各授权中心节点Pi通过公式计算系统的主密钥s，并通过公式y＝gs计算系统主公钥y，其中，S表示参与密钥生成的t个授权中心节点组成的集合，生成中间参数g2的步骤包括：S24：所述联盟链中的各授权中心节点Pi根据参数n生成第二多项式函数，根据所述第二多项式函数、参数g和p计算第二秘密值tij，并将第二秘密值tij发送给授权中心节点Pj，其中i,j＝1,…,n，j≠i；S25：授权中心节点Pj根据接收到的第二秘密值tij判断授权中心节点Pi是否是可信的授权中心，如是，转至S26，否则授权中心节点Pj要求授权中心节点Pi重新发送第二秘密值tij；S26：各授权中心节点Pi在互相验证可信后根据n个授权中心的第二多项式函数的系数计算中间参数g2；步骤S24中各授权中心节点Pi生成的第二多项式函数为hix＝bi0+bi1x+…+bin-1xn-1，且各个授权中心节点Pi根据公式针对第二多项式函数的每一系数计算并广播授权中心节点Pi的第二验证系数Biε，ε＝0,...,n-1，并根据公式tij＝hiPj计算第二秘密值tij,并将第二秘密值tij发送给授权中心节点Pj；步骤S25中各授权中心节点Pj接收到第二秘密值tij后验证等式是否成立，如果成立，则确定授权中心节点Pi为可信的授权中心，否则，授权中心节点Pj要求授权中心节点Pi重新发送tij；步骤S26中各授权中心节点Pi通过公式计算中间参数g2；通过公式Z＝ey,g2生成系统验证参数Z；S3：用户终端向联盟链服务器发送注册请求，所述注册请求中包含所述用户终端的用户属性信息，所述用户属性信息中包括所述用户终端的多个属性组成的用户属性集以及每一属性分别对应的特征信息；S4：所述联盟链服务器根据所述用户属性信息确定所述用户终端合法后，向授权中心节点发送指示信息；S5：各授权中心节点在接收到所述指示信息后根据所述用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥，并将所述属性部分密钥发送给所述用户终端；该用户终端的每一目标属性来自于所述用户终端的用户属性集和系统的默认属性集生成的所述用户终端的目标属性集；所述系统公共参数还包括属性全集U、属性全集中部分属性组成的默认属性集A、哈希函数H:{0,1}*→G、属性个数参数a，a-1表示默认属性集A中属性元素的个数；生成对应的属性部分密钥的步骤包括：各授权中心节点Pi通过生成所述用户终端的目标属性集，其中，I表示所述用户终端的用户属性集，所述用户属性集为属性全集U的子集，表示所述用户终端的目标属性集，各授权中心节点Pi针对目标属性集中的第q个目标属性生成随机数riq，所述随机数为整数，并通过公式和计算所述用户终端针对第q个目标属性的属性部分密钥和S6：所述用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥；所述用户终端接收到的属性部分密钥是t个授权中心节点针对每一目标属性发送的属性部分密钥；计算每一目标属性对应的属性私钥的步骤包括：用户终端根据公式和公式计算第q个目标属性的属性私钥Dq＝dq0,dq1，其中，S7：当所述用户终端需要向系统中的其他验证者证明自己的身份时，所述用户终端和所述验证者利用所述用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证；完成身份验证的步骤包括：S71：所述用户终端选择含有k个属性的属性子集I'，I*表示系统预先设置的验证策略属性集；S72：用户终端选择默认属性子集A'，|A′|＝a-k，并选择m+a-k个随机值r'q，随机值r'q为整数，其中q∈I*∪A′，m表示属性集I*中的属性个数，并选择随机数v，计算和σ′0＝gv，将σq,σ′0发送给验证者，W＝I'∪A'；S73：验证者随机选择参数θ作为随机验证参数，并发送给所述用户终端；S74：所述用户终端收到验证者发来的随机验证参数θ后，计算并将σ0发送给验证者；S75：验证者在接收到所述用户终端发来的值后，验证等式是否成立，如果等式成立，则通过认证，否则认证失败。

全文数据：

权利要求：

百度查询： 芽米科技(广州)有限公司 一种面向联盟链的多因子身份认证方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD