[发明专利]一种面向联盟链的多因子身份认证方法

说明书

本申请公开了一种面向联盟链的多因子身份认证方法，通过各授权中心节点生成系统的主公钥y和中间参数g₂，根据公共参数、主公钥y、中间参数g₂生成并公开系统验证参数Z，各授权中心节点根据用户终端的用户属性信息针对该用户的每一目标属性生成对应的属性部分密钥，将属性部分密钥发送给用户终端，用户终端根据属性部分密钥计算对应目标属性的属性私钥，当用户终端需要向系统中的其他验证者证明自己的身份时，用户终端和验证方利用用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证，用户终端每一属性的属性私钥由多个授权中心节点共同参与生成，密钥不容易泄露，且在认证过程中基于多属性进行认证，提升了认证的安全性。

技术领域

本发明涉及身份认证技术领域，尤其涉及一种面向联盟链的多因子身份认证方法。

背景技术

随着互联网技术的高速发展，网络空间安全受到广泛关注，身份认证技术作为网络空间安全的第一关口，更是重中之重。传统身份认证技术通常存在一个可信中心进行用户密钥的生成，存在密钥托管问题，容易造成密钥泄露。另外，传统的认证方法通常是基于单因子进行认证，安全性较低。

发明内容

为解决上述技术问题，本发明提供一种面向联盟链的多因子身份认证方法。

本发明采用的技术方案是：

一种面向联盟链的多因子身份认证方法，包括：

S1：联盟链服务器生成并公开系统公共参数；

S2：联盟链中的各授权中心节点根据系统公共参数进行初始化，生成系统的主公钥y和中间参数g₂，并根据所述系统公共参数、主公钥y和中间参数g₂生成并公开系统验证参数Z；

S3：用户终端向联盟链服务器发送注册请求，所述注册请求中包含所述用户终端的用户属性信息，所述用户属性信息中包括所述用户终端的多个属性组成的用户属性集以及每一属性分别对应的特征信息；

S4：所述联盟链服务器根据所述用户属性信息确定所述用户终端合法后，向授权中心节点发送指示信息；

S5：各授权中心节点在接收到所述指示信息后根据所述用户终端的用户属性信息针对该用户终端的每一目标属性生成对应的属性部分密钥，并将所述属性部分密钥发送给所述用户终端；

S6：所述用户终端根据接收到的属性部分密钥计算对应目标属性的属性私钥；

S7：当所述用户终端需要向系统中的其他验证者证明自己的身份时，所述用户终端和所述验证方利用所述用户终端的属性私钥以及系统验证参数Z通过身份交互协议完成身份验证。

进一步地，所述系统公共参数包括p、g、e、G、G_T、k、n、t，其中，p表示联盟链服务器根据安全参数生成的素数阶，G和G_T表示两个阶为素数p的乘法循环群，g是群G的生成元，双线性映射e：G×G→G_T，属性门限值k表示用户终端在指定验证策略属性集中需要满足的属性个数门限值，n表示授权中心的个数，系统门限值t表示生成属性密钥所需的授权中心的个数；

所述步骤S2中生成系统主公钥y的步骤包括：

S21：所述联盟链中的各授权中心节点P_i根据参数t生成第一多项式函数，根据所述第一多项式函数、参数g和p计算第一秘密值y_ij，并将第一秘密值y_ij发送给授权中心节点P_j，其中i，j＝1，…，n，j≠i；