一种身份认证方法以及凭证持有系统和验证系统技术方案

本发明专利技术公开了一种身份认证方法以及凭证持有系统和验证系统，涉及计算机技术领域。该方法的一具体实施方式包括：根据验证系统发送的认证请求确定身份凭证集合，身份凭证集合包括指定数量的身份凭证，身份凭证包括目标对象的声明、凭证颁发系统的分布式标识符以及凭证颁发系统的签名，基于身份凭证集合中的身份凭证生成可验证表述，可验证表述包括身份凭证集合中各身份凭证中的声明和分布式标识符，以及由各身份凭证中的签名聚合得到的聚合签名，将可验证表述发送至验证系统进行目标对象的身份认证。该实施方式能够减少需要传送的签名个数，降低用户进行身份凭证传递时的通信开销，并且可以阻止针对聚合签名的伪造攻击。并且可以阻止针对聚合签名的伪造攻击。并且可以阻止针对聚合签名的伪造攻击。

【技术实现步骤摘要】
一种身份认证方法以及凭证持有系统和验证系统


[0001]本专利技术涉及计算机
，尤其涉及一种身份认证方法以及凭证持有系统和验证系统。

技术介绍

[0002]现有的数字身份认证方案主要有：用户名加口令，此最常见的数字身份认证方式，通常以用户名加口令的模式来创建和验证，个人身份信息保存在各应用或网站的数据库中，该模式下最大的问题是单点泄露风险，任何一个小网站管理不善均会造成用户身份信息的泄露；单点登录(Single Sign On，以下简称SSO)，用户使用某个网站(如社交网站、社交聊天软件等)作为身份认证服务器，当应用服务器需要验证用户身份时不需要用户重复登录，只需要认证服务器提供认证并由用户授权应用服务器从认证服务器中读取相关信息，该模式下用户关键信息都存储在认证服务器上，认证服务器容易成为攻击的目标，同时商业性的认证服务器跟用户的利益并不完全一致，有可能会违背用户意愿滥用或出售用户信息。在越来越注重个人隐私的背景下，自主权身份认证应运而生，自主权身份(Self
‑
Sovereign Identity，简称SSI)强调将用户隐私信息还给用户，现有的分布式身份系统中身份凭证由各个不同的凭证颁发者通过数字签名签发，通过密码机制分别完成凭证的颁发和传递，验证时需要分别验证所有签名。
[0003]在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题：
[0004]验证者需要凭证持有者提供多份可验证凭证，同时凭证由各种不同的凭证颁发者通过数字签名签发，凭证持有者向验证者出示凭证时需要传送多份签名，通信代价较高。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供一种身份认证方法以及凭证持有系统和验证系统，能够减少需要传送的签名个数，降低用户进行身份凭证传递时的通信开销，并且可以阻止针对聚合签名的伪造攻击。
[0006]为实现上述目的，根据本专利技术实施例的一个方面，提供了一种身份认证方法。
[0007]一种身份认证方法，包括：根据验证系统发送的认证请求确定身份凭证集合，所述认证请求用于请求对目标对象进行身份认证，所述身份凭证集合包括指定数量的身份凭证，所述身份凭证包括所述目标对象的声明以及凭证颁发系统的签名；基于所述身份凭证集合中的身份凭证生成可验证表述，所述可验证表述包括所述身份凭证集合中各身份凭证中的所述声明，以及由所述各身份凭证中的签名聚合得到的聚合签名；将所述可验证表述发送至所述验证系统进行验证，以完成对所述目标对象的身份认证。
[0008]可选地，所述身份凭证还包括凭证颁发系统的分布式标识符所述根据验证系统发送的认证请求确定身份凭证集合之前，包括：根据凭证颁发系统的分布式标识符，得到所述凭证颁发系统的公钥；利用所述凭证颁发系统的公钥，对所述目标对象的声明加密，并将加密后的所述目标对象的声明发送至所述凭证颁发系统，以由所述凭证颁发系统生成并返回
所述身份凭证。
[0009]可选地，所述可验证表述还包括所述分布式标识符；所述基于所述身份凭证集合中的身份凭证生成可验证表述，包括：由所述各身份凭证中的签名聚合得到所述聚合签名；对所述身份凭证集合中各身份凭证中的所述声明、所述分布式标识符，以及所述聚合签名进行链接处理，并利用凭证持有系统的私钥对所述链接处理的结果添加凭证持有系统签名，所述凭证持有系统与所述目标对象相对应；根据所述身份凭证集合中各身份凭证中的所述声明和所述分布式标识符，所述聚合签名，以及所述凭证持有系统签名，生成所述可验证表述。
[0010]可选地，所述基于所述身份凭证集合中的身份凭证生成可验证表述，包括：由所述各身份凭证中的签名聚合得到所述聚合签名；对所述身份凭证集合中各身份凭证中的所述声明以及所述聚合签名进行链接处理，并利用凭证持有系统的私钥对所述链接处理的结果添加凭证持有系统签名，所述凭证持有系统与所述目标对象相对应；根据所述身份凭证集合中各身份凭证中的所述声明、所述聚合签名以及所述凭证持有系统签名，生成所述可验证表述。可选地，所述由所述各身份凭证中的签名聚合得到所述聚合签名，包括：将所述各身份凭证中的签名相乘，得到所述聚合签名。
[0011]根据本专利技术实施例的另一方面，提供了一种身份认证方法。
[0012]一种身份认证方法，包括：向凭证持有系统发送认证请求，所述认证请求用于请求对目标对象进行身份认证；接收所述凭证持有系统发送的可验证表述，所述可验证表述包括身份凭证集合中各身份凭证所含的所述目标对象的声明，以及由所述各身份凭证中的签名聚合得到的聚合签名，所述身份凭证集合是所述凭证持有系统根据所述认证请求确定的；通过验证所述可验证表述，完成对所述目标对象的身份认证。
[0013]可选地，所述聚合签名为第一乘法循环群中的一个元；所述可验证表述还包括所述身份凭证所含的凭证颁发系统的分布式标识符；所述通过验证所述可验证表述，完成对所述目标对象的身份认证，包括：将所述聚合签名与第二乘法循环群中的生成元做双线性映射，得到第一数值；对于每一所述身份凭证，将该身份凭证中的所述声明和所述分布式标识符链接后进行哈希处理，得到相应的哈希处理结果，将该哈希处理结果与颁发该身份凭证的凭证颁发系统的公钥做双线性映射，得到对应该身份凭证的第二数值，所述凭证颁发系统的公钥是根据该身份凭证中的所述分布式标识符得到的；在所述第一数值等于对应各身份凭证的所述第二数值的乘积的情况下，确定所述身份认证通过。
[0014]可选地，所述可验证表述还包括凭证持有系统签名，所述凭证持有系统签名是所述凭证持有系统对所述身份凭证集合中各身份凭证中的所述声明、所述分布式标识符，以及所述聚合签名进行链接处理并添加签名得到的；所述验证所述可验证表述之前，包括：对所述凭证持有系统签名进行验证，并确定所述凭证持有系统签名验证通过。
[0015]根据本专利技术实施例的又一方面，提供了一种凭证持有系统。
[0016]一种凭证持有系统，包括：身份凭证集合确定模块，用于根据验证系统发送的认证请求确定身份凭证集合，所述认证请求用于请求对目标对象进行身份认证，所述身份凭证集合包括指定数量的身份凭证，所述身份凭证包括所述目标对象的声明以及凭证颁发系统的签名；可验证表述生成模块，用于基于所述身份凭证集合中的身份凭证生成可验证表述，所述可验证表述包括所述身份凭证集合中各身份凭证中的所述声明，以及由所述各身份凭
证中的签名聚合得到的聚合签名；可验证表述发送模块，用于将所述可验证表述发送至所述验证系统进行验证，以完成对所述目标对象的身份认证。
[0017]可选地，所述身份凭证还包括凭证颁发系统的分布式标识符；还包括身份凭证获取模块，用于：根据凭证颁发系统的分布式标识符，得到所述凭证颁发系统的公钥；利用所述凭证颁发系统的公钥，对所述目标对象的声明加密，并将加密后的所述目标对象的声明发送至所述凭证颁发系统，以由所述凭证颁发系统生成并返回所述身份凭证。
[0018]可选地，所述可验证表述还包括所述分布式标识符；所述可验证表述生成模块还用于：由所述各身份凭证中的签本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份认证方法，其特征在于，包括：根据验证系统发送的认证请求确定身份凭证集合，所述认证请求用于请求对目标对象进行身份认证，所述身份凭证集合包括指定数量的身份凭证，所述身份凭证包括所述目标对象的声明以及凭证颁发系统的签名；基于所述身份凭证集合中的身份凭证生成可验证表述，所述可验证表述包括所述身份凭证集合中各身份凭证中的所述声明，以及由所述各身份凭证中的签名聚合得到的聚合签名；将所述可验证表述发送至所述验证系统进行验证，以完成对所述目标对象的身份认证。2.根据权利要求1所述的方法，其特征在于，所述身份凭证还包括凭证颁发系统的分布式标识符；所述根据验证系统发送的认证请求确定身份凭证集合之前，包括：根据凭证颁发系统的分布式标识符，得到所述凭证颁发系统的公钥；利用所述凭证颁发系统的公钥，对所述目标对象的声明加密，并将加密后的所述目标对象的声明发送至所述凭证颁发系统，以由所述凭证颁发系统生成并返回所述身份凭证。3.根据权利要求2所述的方法，其特征在于，所述可验证表述还包括所述分布式标识符；所述基于所述身份凭证集合中的身份凭证生成可验证表述，包括：由所述各身份凭证中的签名聚合得到所述聚合签名；对所述身份凭证集合中各身份凭证中的所述声明、所述分布式标识符，以及所述聚合签名进行链接处理，并利用凭证持有系统的私钥对所述链接处理的结果添加凭证持有系统签名，所述凭证持有系统与所述目标对象相对应；根据所述身份凭证集合中各身份凭证中的所述声明和所述分布式标识符，所述聚合签名，以及所述凭证持有系统签名，生成所述可验证表述。4.根据权利要求1所述的方法，其特征在于，所述基于所述身份凭证集合中的身份凭证生成可验证表述，包括：由所述各身份凭证中的签名聚合得到所述聚合签名；对所述身份凭证集合中各身份凭证中的所述声明以及所述聚合签名进行链接处理，并利用凭证持有系统的私钥对所述链接处理的结果添加凭证持有系统签名，所述凭证持有系统与所述目标对象相对应；根据所述身份凭证集合中各身份凭证中的所述声明、所述聚合签名以及所述凭证持有系统签名，生成所述可验证表述。5.根据权利要求3或4所述的方法，其特征在于，所述由所述各身份凭证中的签名聚合得到所述聚合签名，包括：将所述各身份凭证中的签名相乘，得到所述聚合签名。6.一种身份认证方法，其特征在于，包括：向凭证持有系统发送认证请求，所述认证请求用于请求对目标对象进行身份认证；接收所述凭证持有系统发送的可验证表述，所述可验证表述包括身份凭证集合中各身份凭证所含的所述目标对象的声明，以及由所述各身份凭证中的签名聚合得到的聚合签
名，所述身份凭证集合是所述凭证持有系统根据所述认证请求确定的；通过验证所述可验证表述，完成对所述目标对象的身份认证。7.根据权利要求6所述的方法，其特征在于，所述聚合签名为第一乘法循环群中的一个元；所述可验证表述还包括所述身份凭证所含的凭证颁发系统的分布式标识符；所述通过验证所述可验证表述，完成对所述目标对象的身份认证，包括：将所述聚合签名与第二乘法循环群中的生成元做双线性映射，得到第一数值；对于每一所述身份凭证，将该身份凭证中的所述声明和所述分布式标识符链接后进行哈希处理，得到相应的哈希处理结果，将该哈希处理结果与颁发该身份凭证的凭证颁发系统的公钥做双线性映射，得到对应该身份凭证的第二数值，所述凭证颁发系统的公钥是根据该身份凭证中的所述分布式标识符得到的；在所述第一数值等于对应各身份凭证的所述第二数值的乘积的情况下，确定所述身份认证通过。8.根据权利要求7所述的方法，其特征在于，所述可验证表述还包括凭证持有系统签名，所述凭证持有系统签名是所述凭证持有系统对所述身份凭证集合中各身份凭证中的所述声明、所述分布式标识符，以及所述聚合签名进行链接处理并添加签名得到的；所述验证所述可验证表述之前，包括：对所述凭证持有系统签名进行验证，并确定所述凭证持有系统签名验证通过。9.一种凭证持有系统，其特征在于，包括：身份凭证集合确定模块，用于根据验证系统发送的认证请求确定身份凭证集合，所述认证请求用于请求对目标对象进行身份认证，所述身份凭证集合包括指定数量的身份凭证，所述身份凭证包括所述...

【专利技术属性】
技术研发人员：张鹏程，赵新宇，张志勇，张红波，霍云，刘一鸣，狄刚，穆长春，
申请(专利权)人：中国人民银行数字货币研究所，
类型：发明
国别省市：