本发明专利技术涉及一种基于分布式数字身份的同态加密隐私保护方法,属于区块链隐私保护技术领域。本发明专利技术采用能够满足加法同态的半同态加密算法Paillier,将其应用在分布式数字身份中,攻击者在数据传输或区块链账本中获得密文后,无法通过对比得出两段密文是否是同一内容,有效地保护了持有者的身份数据。本发明专利技术在隐藏了持有者的身份属性以外,验证方对数据进行验证的时候,将区块链智能合约的同态加密性质,将其能够访问并获得验证的身份属性保持在授权且可控范围内。本发明专利技术在确保持有者隐私数据安全的基础上,最大限度地克服了现有分布式数字身份系统在隐藏数字身份信息上存在的安全性低、容易泄露等技术问题。容易泄露等技术问题。容易泄露等技术问题。
【技术实现步骤摘要】
一种面向分布式数字身份的同态加密隐私保护方法
[0001]本专利技术涉及一种基于分布式数字身份的同态加密隐私保护方法,属于区块链隐私保护
技术介绍
[0002]随着的区块链的普及应用,其良好的发展前景迅速引起了各国学者的广泛关注。作为一种完全去中心化系统,区块链不仅可以用于数字交易,其对可信任的价值传递的潜力几乎是无限的。目前,区块链作为很多行业的基础技术支撑,为金融、法律、物联网等各行各业带来了深远的影响,具有重大的应用价值和研究意义。
[0003]区块链在不同中心之间构建的稳固信任源于第三方背书,比如共识机制、节点共治、账本共享等。作为一个自治系统,区块链采用智能合约的形式部署节点,通过强大的逻辑关系和统一的规范保证了节点的可证实诚实,满足了交易的安全要求,所有节点都能在去信任的环境下安全进行数据交换,即使用户在匿名的情况下也能与交易方建立信任。此外,区块链不可篡改的性质让链上的数据会被永久地保存起来,其上的信息具有高度稳定性。
[0004]随着网络技术成熟,越来越多的数字化服务逐渐兴起。数字身份作为用户在网络中的身份标识,受到了广泛的关注。数字身份共经历过三个阶段,首先是中心化数字身份,其次是联邦化数字身份,最后是将区块链技术与数字身份融合为分布式数字身份,这也让其成为了一个新兴热点。
[0005]分布式数字身份不仅拥有区块链技术去中心化的优势,并且将账本的交易数据扩展到可验证凭证。相比较于其它数字身份形式,分布式数字身份除了拥有自行注册、更新、撤销等基本功能,同一个用户还可以根据用途不同拥有不同的分布式数字身份标识(DID),多个DID之间互不关联,从而有效地避免隐私信息归集。
[0006]然而,区块链技术并非绝对安全,它最大的特点——公开化的账本,仍然会带来安全隐患。用户对区块链上身份属性的验证是否会影响到其他未授权的身份属性,从而过度暴露用户的身份信息,仍然是需要解决的技术缺陷。
[0007]目前,大部分的研究停留在对分布式数字身份在不同领域的应用模型和身份认证,对其凭证中的隐私信息保护则关注较少。例如,何昶辉等人提出了多PKI融合证书服务系统,解决了多域间分布式证书验证,但其缺少与信任模型的结合。王佳贺等人提出了协同身份认证方案,以解决认证中密钥泄露问题,但其难以应付复杂化场景,仍需要在效率和安全中找到平衡点。毕丹阳等人提出了分布式数字身份在工业互联网的应用模型,但仍存在安全问题。对分布式身份进行隐私保护,成为了分布式数字身份发展的一个重要瓶颈问题。
[0008]2009年,Gentry创造了第一个全同态加密方案,引起了广泛的关注和蓬勃的发展。同态加密技术能够在不泄露数据内容的前提下完成对密文的处理,可以很好的解决用户身份信息被上传至区块链网络后面临的隐私泄露风险问题,同时又能够对账本上加密状态下的数据进行适当的操作。可以说,同态加密技术为数据提供了很好的安全性,极大地保护了
用户的隐私。因此,同态加密技术被广泛应用在云计算安全、多方计算等领域中,其在云平台的成功实践,将对私密数据的保护提升到了一个新的高度。
[0009]目前,全同态加密技术虽然同时支持加法和乘法同态,但是其运算复杂、效率不高的问题也导致实用性不高。相较之下,半同态加密技术因其算法性能高,反而拥有更广阔的应用场景。
技术实现思路
[0010]本专利技术的目的是针对现有的分布式数字身份系统存在安全性低、效率低等技术缺陷,创造性地提出一种面向分布式数字身份的同态加密隐私保护方法。
[0011]本专利技术的创新点在于:采用了能够满足加法同态的半同态加密算法Paillier,应用在分布式数字身份中,实现面向分布式数字身份的同态加密隐私保护。建立在超级账本上,旨在通过Paillier同态加密技术对区块链上的身份信息的进行隐私保护。
[0012]为了达到上述目的,本专利技术采取如下技术方案。
[0013]首先对本专利技术涉及的概念内容进行说明。
[0014]1.持有者。是指数字身份的拥有者,通过向身份链注册去中心化身份(DID),成为分布式数字身份系统的成员之一。持有者可以向签发凭证的机构申请相关可验证凭证,凭证将会与持有者的DID绑定。
[0015]2.签发方。签发方掌握一定的用户数据。在持有者需要相应数据的凭证时,签发方通过相应服务提供持有者需要的信息可验证凭证。针对不同的业务,同一个签发方能够提供多项服务。针对持有者不同领域的信息,可以由多个签发方向同一个DID颁发不同的可验证凭证。
[0016]3.验证方。验证方接收持有者提供的数据及可验证凭证,并向身份链申请凭证验证,从而对持有者的身份信息等进行确定。期间,验证方只能向身份链申请持有者向验证方提供的身份属性凭证的验证,而不能试图非法获取持有者其他信息;
[0017]4.区块链网络节点,指在分布式数字身份系统的网络中处理相关事物的节点,包括凭证上传、凭证下载、凭证验证等。
[0018]5.智能合约。一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约通过接受用户的请求,按照不同的参数,通过合约中不同的算法提供相应的服务。
[0019]一种面向分布式数字身份的同态加密隐私保护方法,包括以下步骤:
[0020]步骤1:身份信息隐藏。
[0021]持有者向签发方提交凭证申请;签发方接受请求,并根据用户信息得到持有者的身份属性,将相应的身份属性生成可验证凭证。
[0022]具体地,步骤1包括以下步骤:
[0023]步骤1.1:身份链通过Paillier同态加密生成密钥对。密钥对中的公钥将被公开用来进行同态加密。密钥对中的私钥则由身份链自身保存,在验证时使用。
[0024]步骤1.2:持有者申请签发可验证凭证。在签发方确认持有者身份信息准确后,签发方采用公钥对用户的数字身份属性加密并签名。
[0025]步骤1.1至1.2中,基于Paillier同态加密技术计算价值的具体实现方法如下:
[0026]设身份链的公钥为pk0,签发方的私钥为sk1,E(x,y)为加密算法,Sign(x,y)为签名
算法,x表示明文信息,y表示加密密钥/签名方私钥。
[0027]验证方首先通过身份链公钥pk0对用户身份属性m进行加密,得到可验证凭证F,F=E(m,pk0)。之后,通过哈希函数得到加密数据的摘要,再对摘要进行签名得到Sign(h(E(m,pk0)),pk1),最终与可验证凭证F提交给身份链,h表示哈希函数,pk1表示身份链公钥。
[0028]步骤1.3:签发方将身份信息凭证上传至区块链账本中。
[0029]步骤2:加密凭证传输。
[0030]持有者从身份链下载身份属性凭证,将其与签名后的部分身份信息一同发送给验证方。
[0031]具体地,步骤2包括以下步骤:
[0032]步骤2.1:持有者从身份链上下载被签发方签名,并通过Paillier同态加密进行加密的身份属性凭证,其中包括验证方需本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向分布式数字身份的同态加密隐私保护方法,其特征在于,包括以下步骤:步骤1:身份信息隐藏;持有者向签发方提交凭证申请;签发方接受请求,并根据用户信息得到持有者的身份属性,将相应的身份属性生成可验证凭证;包括以下步骤:步骤1.1:身份链通过Paillier同态加密生成密钥对,密钥对中的公钥将被公开用来进行同态加密;密钥对中的私钥则由身份链自身保存,在验证时使用;步骤1.2:持有者申请签发可验证凭证;在签发方确认持有者身份信息准确后,签发方采用公钥对用户的数字身份属性加密并签名;步骤1.3:签发方将身份信息凭证上传至区块链账本中;步骤2:加密凭证传输;持有者从身份链下载身份属性凭证,将其与签名后的部分身份信息一同发送给验证方,包括以下步骤:步骤2.1:持有者从身份链上下载被签发方签名,并通过Paillier同态加密进行加密的身份属性凭证,其中包括验证方需要知道的身份属性和持有者的其他隐私信息;步骤2.2:持有者首先使用自己的私钥对自己的部分身份信息进行签名,再使用验证方的公钥进行加密;这部分加密信息需要提供明文给验证方;步骤3:身份属性验证;验证方将用户的部分身份属性进行加密,并向身份链发起验证请求;智能合约收到请求,调用账本中可验证凭证进行验证,包括以下步骤:步骤3.1验证方通过身份链的公钥,将用户的部分身份属性进行加密,同时向身份链发起验证请求;步骤3.2:智能合约收到请求,调用账本中持有者DID所属账本以及其存储的相关加密后的身份属性可验证凭证;步骤3.3:智能合约利用加法同态性,通过对比验证方数据和账本数据进行验证,并将结果返回给验证方。2.如权利要求1所述的一种面向分布式数字身份的同态加密隐私保护方法,其特征在于,步骤1中,基于Paillier同态加密技术计算价值的...
【专利技术属性】
技术研发人员:盖珂珂,漆静,谢天庥,祝烈煌,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。