【技术实现步骤摘要】
一种基于TA的VC验证方法
[0001]本专利技术涉及一种信息安全技术,尤其涉及一种基于TA的VC验证方法。
技术介绍
[0002]目前,去中心化的数字身份应用场景越来越多。其中,去中心化身份(Decentralized Identity,DID)和可验证凭证(verifiable credential,VC)被提出,以实现去中心化的、轻量级的认证。VC是一个DID给另一个DID的某些属性做背书而发出的一组描述性声明,例如,姓名、出生日期、等级、ID或创建方希望赋予的其他信息,并附加自己的数字签名,用以证明这些属性的真实性,可以被认为是一种数字证书。
[0003]然而,在权威机构给用户颁发VC后,用户使用VC时,存在很多不想把VC中的所有信息暴露给验证方的场景。比如公安机关在给用户颁发了电子身份证的VC,电子身份中包括了用户的出身日期,住址等信息,但在通常的场景下,如果身份验证方要验证VC需要拿到所有的VC中的信息,使用颁发方的公钥才可以验证通过,不能选择性披露部分信息,比如只提供“年龄大于18岁”,或“生日为2月份”等信息。
[0004]目前,为了选择性披露部分信息,现有技术提出了一种基于默克尔树进行选择性披露的方案,这种方案通过提供其中一项原始隐私数据、要验证的数据所在的位置索引、验证路径值、以及默克尔根述这4类参数确认默克尔树是否包含上述原始隐私数据,从而避免其他隐私数据的暴露。但是,这种基于默克尔树进行选择性披露的方案的缺点在于:
[0005]1)有限的不灵活的选择披露,只能固定披露一...
【技术保护点】
【技术特征摘要】
1.一种基于TA的VC验证方法,所述验证方法应用于客户端,所述客户端所在的电子设备上具有运行在TEE中的TA,所述验证方法包括:响应于用户的操作,向网络侧设备发出业务操作请求;通过所述TA对预先存储在所述TEE中的所述用户的VC信息进行验证,在验证通过时将身份验证结果发送给所述网络侧设备,以使所述网络侧设备基于所述身份验证结果执行与所述业务操作请求对应的业务操作。2.根据权利要求1所述的基于TA的VC验证方法,所述身份验证结果是经过设备私钥签名的,所述设备私钥仅仅存储于所述TEE中。3.根据权利要求1所述的基于TA的VC验证方法,所述身份验证结果至少包括VC信息中需披露的隐私信息,所述需披露的隐私信息包括VC信息中的一个或多个属性和/或一个或多个属性的计算结果;身份验证方在执行与所述业务操作请求对应的业务操作的同时,获取身份验证结果中需披露的隐私信息。4.根据权利要求1所述的基于TA的VC验证方法,所述验证方法包括:在发出业务操作请求之后,等待来自网络侧设备的接收挑战码,在收到挑战码后,在TA中使用IFAA公钥验证所述挑战码的签名;对所述用户的VC信息进行验证,在所述挑战码的签名的验证通过后执行。5.根据权利要求4所述的基于TA的VC验证方法,所述验证方法包括:在所述挑战码的签名的验证通过之后,发起用户的信息认证,以验证用户是否为VC信息的最初的持有方;对所述用户的VC信息进行验证,在用户是否为VC信息的最初的持有方的验证通过后执行。6.根据权利要求5所述的基于TA的VC验证方法,发起用户的信息认证,包括:调用认证界面,以采集用户的认证信息;对用户的认证信息进行验证,如果验证通过则继续后续步骤,否则结束流程。7.根据权利要求1所述的基于TA的VC验证方法,所述验证方法包括:响应于用户的操作,向VC颁发方发起VC申请,得到VC信息;和将VC信息保存到TEE中;所述的发出业务操作请求,在VC信息保存到TEE中之后进行。8.根据权利要求7所述的基于TA的VC验证方法,所述的将VC信息保存到TEE中,是在调用TA来验证VC信息并且验证通过之后进行的;和/或在向VC颁发方发起VC申请之前,先发起用户的信息认证。9.根据权利要求1所述的基于TA的VC验证方法,所述网络侧设备包括身份验证方和IFAA服务器,所述网络侧设备基于所述身份验证结果执行与所述业务操作请求对应的业务操作,包括:身份验证方在收到身份验证结果时,利用IFAA服务器来判断身份验证结果是否来自于客户端所在的电子设备的TA,在判断结果为来自于时,身份验证方执行与所述业务操作请求对应的业务操作。10.一种基于TA的VC验证方法,其应用于网络侧设备的身份验证方,所述网络侧设备还包括IFAA服务器,所述验证方法包括:接收来自客户端的业务操作请求;所述客户端所在的电子设备上具有运行在TEE中的
TA,通过所述TA对预先存储在所述TEE中的所述用户的VC信息进行验证以得到身份验证结果;等待接收所述客户端发送的身份验证结果,...
【专利技术属性】
技术研发人员:王振亚,王永涛,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。