一种身份验证方法及系统技术方案

本申请提供一种身份验证方法及系统。所述方法应用于身份验证系统，所述系统包括：计算节点端、用户端、终端设备端；所述终端设备端安装有至少一个应用程序；所述方法包括：所述用户端发送目标身份凭证及开放权限请求至所述终端设备端；所述终端设备端发送所述目标身份凭证及验证请求至所述计算节点端；所述计算节点端响应于确定根据所述验证请求所述目标身份凭证验证通过，发送正反馈信息至所述终端设备端；所述终端设备端根据所述正反馈信息向所述用户端开放所述目标应用程序的权限。通过所述身份验证方法、系统、电子设备及存储介质，可以降低用户信息泄露的风险，从而提高数据安全性。性。性。

【技术实现步骤摘要】
一种身份验证方法及系统


[0001]本申请涉及信息安全
，尤其涉及一种身份验证方法及系统。

技术介绍

[0002]在金融业务领域，一些交易平台会通过终端设备的应用程序支持用户进行财务支付等金融交易。相关技术中，通过终端设备或第三方对用户的身份信息进行认证，以便确认用户使用数据的合法性。但是当第三方不可信，终端设备或第三方被攻击等情况发生时，相关技术的方法无法保证用户信息的安全。
[0003]由此可见，相关技术存在用户信息数据安全性低的问题。

技术实现思路

[0004]有鉴于此，本申请的目的在于解决
技术介绍
所述的用户信息数据安全性低的问题，提出一种身份验证方法及系统。
[0005]基于上述目的，本申请提供了一种身份验证方法，应用于身份验证系统，所述系统包括：计算节点端、用户端、终端设备端；所述终端设备端安装有至少一个应用程序；
[0006]所述方法，包括：
[0007]所述用户端发送目标身份凭证及开放权限请求至所述终端设备端；
[0008]所述终端设备端发送所述目标身份凭证及验证请求至所述计算节点端；
[0009]所述计算节点端响应于确定根据所述验证请求所述目标身份凭证验证通过，发送正反馈信息至所述终端设备端；
[0010]所述终端设备端根据所述正反馈信息向所述用户端开放所述目标应用程序的权限。
[0011]可选地，所述目标身份凭证的获取方法包括：
[0012]所述用户端发送用户身份信息及主凭证请求至所述计算节点端；
[0013]所述计算节点端响应于根据所述主凭证请求所述用户信息验证通过，对所述主凭证加密并发送至所述用户端；
[0014]所述用户端通过解密，得到所述主凭证；
[0015]所述用户端发送用户属性信息、所述主凭证及系统分凭证请求至所述计算节点端；
[0016]所述计算节点端响应于根据所述系统分凭证请求对所述用户属性信息、主凭证验证通过，对所述系统分凭证加密并至发送至所述用户端；
[0017]所述用户端通过解密，得到所述系统分凭证；
[0018]所述用户端发送所述主凭证、所述系统分凭证及应用分凭证请求至所述计算节点端；
[0019]所述计算节点端响应于根据所述应用分凭证请求对所述主凭证、所述系统分凭证验证通过，对所述应用分凭证加密并发送至所述用户端；每个所述应用分凭证唯一对应一
个应用程序；
[0020]所述用户端通过解密，得到所述应用分凭证；
[0021]所述用户端将所述主凭证、所述系统分凭证、所述目标应用程序对应的应用分凭证作为分凭证集合，得到目标身份凭证。
[0022]可选地，所述计算节点端的加密方法包括：
[0023]获取随机数并生成一个生成元为P的循环群；
[0024]计算Y
i
＝λ
i
·
P，δ
i
＝H3(PID
i
,cred
i
,pk
i
,Y
i
)，
[0025]其中，P为循环群的生成元，PID
i
为所述计算节点端假名，cred
i
为所述计算节点端发送的分凭证，pk
i
为所述计算节点端的公钥，sk
i
为所述计算节点端的私钥；
[0026]设置加密签名为σ
i
＝(Y
i
,Φ
i
)；
[0027]将(PID
i
,cred
i
,pk
i
,σ
i
,T
i
)作为加密信息，其中T
i
为所述加密信息的时间戳。
[0028]可选地，所述用户端的解密方法包括：
[0029]计算δ
i
＝H3(PID
i
,cred
i
,pk
i
,Y
i
)；
[0030]根据所述δ
i
，计算验证等式
[0031]其中，U
i
为所述计算节点端的公钥生成过程的中间值，θ
i
为所述计算节点端的私钥生成过程的中间值；
[0032]响应于确定所述验证等式能够正确证明，确定解密完成。
[0033]可选地，所述用户属性信息的获取方法，包括：
[0034]所述用户端获取所述目标应用程序的属性结构信息，并根据所述属性结构信息确定属性名称；
[0035]所述用户端根据所述属性名称调取对应的属性值；
[0036]所述用户端根据所述属性名称、所述属性值确定所述用户属性信息。
[0037]可选地，所述用户端发送目标身份凭证及开放权限请求至所述终端设备端，包括：
[0038]获取预定的系统主密钥Msk和系统公共参数获取预定的系统主密钥Msk和系统公共参数
[0039]指定所有所述目标身份凭证的分凭证的访问结构；
[0040]对于任一分凭证f
u
，随机选取一个秘密数k
u
∈G
T
作为其对称加密密钥，并随机选取一个随机数
[0041]根据所述秘密数k
u
和所述随机数s
u
，计算得到该分凭证f
u
的密文C
u
＝{C
u,
‑1,C
u,0
,C
u,1
,C
u,2
}；其中，}；其中，}；其中，表示对f
u
进行以k
u
为密钥的对称加密算法；响应于确定该分凭证的每一属性att
i
的属性值确定确定所述每一属性att
i
为用户身份信息或用户属性信息；
[0042]响应于确定该分凭证的每一属性att
i
的属性值确定C
i,2,t
为数据集合G的一个随机数；
[0043]集合所有所述分凭证的密文，得到目标密文C＝{C1,C2,
···
,C
u
,
···
,C
N
}；
[0044]所述用户端发送所述目标身份凭证、所述目标密文以及开放权限请求至所述终端
设备端。
[0045]可选地，所述所述终端设备端发送所述目标身份凭证及验证请求至所述计算节点端，包括：
[0046]所述终端设备端根据所述开放权限请求，发送所述目标身份凭证、目标密文及验证请求至所述计算节点端。
[0047]可选地，所述终端设备端发送所述目标身份凭证、目标密文及验证请求至所述计算节点端后，所述方法还包括：
[0048]所述计算节点端，响应于确定所述目标身份凭证的分凭证的访问结构符合验证条件，通过本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份验证方法，应用于身份验证系统，所述系统包括：计算节点端、用户端、终端设备端；所述终端设备端安装有至少一个应用程序；所述方法，包括：所述用户端发送目标身份凭证及开放权限请求至所述终端设备端；所述终端设备端发送所述目标身份凭证及验证请求至所述计算节点端；所述计算节点端响应于确定根据所述验证请求所述目标身份凭证验证通过，发送正反馈信息至所述终端设备端；所述终端设备端根据所述正反馈信息向所述用户端开放所述目标应用程序的权限。2.根据权利要求1所述的身份验证方法，其特征在于，所述目标身份凭证的获取方法包括：所述用户端发送用户身份信息及主凭证请求至所述计算节点端；所述计算节点端响应于根据所述主凭证请求所述用户信息验证通过，对所述主凭证加密并发送至所述用户端；所述用户端通过解密，得到所述主凭证；所述用户端发送用户属性信息、所述主凭证及系统分凭证请求至所述计算节点端；所述计算节点端响应于根据所述系统分凭证请求对所述用户属性信息、主凭证验证通过，对所述系统分凭证加密并至发送至所述用户端；所述用户端通过解密，得到所述系统分凭证；所述用户端发送所述主凭证、所述系统分凭证及应用分凭证请求至所述计算节点端；所述计算节点端响应于根据所述应用分凭证请求对所述主凭证、所述系统分凭证验证通过，对所述应用分凭证加密并发送至所述用户端；每个所述应用分凭证唯一对应一个应用程序；所述用户端通过解密，得到所述应用分凭证；所述用户端将所述主凭证、所述系统分凭证、所述目标应用程序对应的应用分凭证作为分凭证集合，得到目标身份凭证。3.根据权利要求2所述的身份验证方法，其特征在于，所述计算节点端的加密方法包括：获取随机数并生成一个生成元为P的循环群；计算Y
i
＝λ
i
·
P，δ
i
＝H3(PID
i
,cred
i
,pk
i
,Y
i
)，其中，P为循环群的生成元，PID
i
为所述计算节点端假名，cred
i
为所述计算节点端发送的分凭证，pk
i
为所述计算节点端的公钥，sk
i
为所述计算节点端的私钥；设置加密签名为σ
i
＝(Y
i
,Φ
i
)；将(PID
i
,cred
i
,pk
i
,σ
i
,T
i
)作为加密信息，其中T
i
为所述加密信息的时间戳。4.根据权利要求3所述的身份验证方法，其特征在于，所述用户端的解密方法包括：计算δ
i
＝H3(PID
i
,cred
i
,pk
i
,Y
i
)；根据所述δ
i
，计算验证等式其中，U
i
为所述计算节点端的公钥生成过程的中间值，θ
i
为所述计算节点端的私钥生成过程的中间值；
响应于确定所述验证等式能够正确证明，确定解密完成。5.根据权利要求2
‑
4中任一所述的身份验证方法，其特征在于，所述用户属性信息的获取方法，包括：所述用户端获取所述目标应用程序的属性结构信息，并根据所述属性结构信息确定属性名称；所述用户端根据所述属性名称调取对...

【专利技术属性】
技术研发人员：王晨宇，徐国胜，徐国爱，鹿瑞超，曹强，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：