(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210351647.3 (22)申请日 2022.04.02 (66)本国优先权数据 202220690604.3 202 2.03.28 CN (71)申请人 深圳市中悦科技有限公司 地址 518040 广东省深圳市龙岗区吉华 街 道甘坑社区甘李 二路11号中海信创新 产业城19栋13 07、 1308 (72)发明人 周文明　王志鹏　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于相互验证机制进行访问控制的IDaaS系 统 (57)摘要 本申请公开基于相互验证机制进行访问控 制的IDaaS系统， 包括： 服务请求设备、 身份管理 设备及服务提供设备； 服务请求设备， 将包括第 一虚拟身份的预设注册信息发给身份管理设备， 将包括由第一虚拟身份生成的第一签名结果的 预设服务访问请求发给服务提供设备； 服务提供 设备根据接收的第二虚拟身份从身份管理设备 获取第二公钥以对第一签名结果解密成功后， 将 包括第二公钥、 第二虚拟身份及第三公钥的预设 验证请求发给服务请求设备， 使服务请求设备从 接收的预设验证请求中确定出第一虚拟身份， 将 包括第三公钥、 第一虚拟身份预设验证 响应发给 服务提供设备解密， 以确定验证预设响应中虚拟 身份是否为第二虚拟身份； 综上， 通过相互验证， 可抵制身份伪造 。 权利要求书3页 说明书10页 附图2页 CN 114928469 A 2022.08.19 CN 114928469 A 1.一种基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 包括： 服务请求设备、 身份管理设备以及服务提供设备； 所述服务请求设备、 身份管理设备以 及服务提供设备之间通过网络进行 连接； 所述服务请求设备， 用于生成包括第一公钥和第一私钥的秘钥对， 基于所述第一公钥 生成第一虚拟身份， 并将包括所述第一 公钥和所述第一 公钥关联的所述第一虚拟身份的预 设注册信息发送 给所述身份管理设备， 以及通过所述第一私钥对所述第一虚拟身份进 行签 名， 生成第一签名结果， 将包括所述第一签名结果的预设服务访问请求发送给所述服务提 供设备； 所述身份管理设备， 用于对接收的注册信息进行数字签名， 将获得的第二数字签名结 果存储于所述身份管理设备的数据库中； 所述注 册信息包括： 所述预设注 册信息； 所述服务提供设备， 用于： 响应于接收到服务访问请求， 根据 所述服务访问请求中的第 二虚拟身份访问所述身份管理设备， 从所述数据库中获取所述第二虚拟身份关联的第二 公 钥， 以对所述服务访问请求中所述第一签名结果进行解密， 并生成包括第三公钥和第三私 钥的密钥对； 所述 服务访问请求包括： 所述预设服 务访问请求； 所述服务提供设备， 还用于： 如果所述第一签名结果解密成功， 通过所述第 二公钥将所 述第二虚拟身份与所述第三公钥进行加密， 获得第一加密结果， 并将包括所述第一加密结 果的预设验证请求发送给 所述服务请求设备； 所述服务请求设备， 还用于： 确定接收到的验证请求的加密结果中虚拟身份是否为所 述第一虚拟身份， 如果是， 则通过所述第三 公钥将所述第一虚拟身份加密， 获得第二加密结 果， 并将包括所述第二加密结果的预设验证响应发送给所述服务提供设备； 所述验证请求 的加密结果中虚拟身份包括： 所述预设验证请求的第二加密结果中第二虚拟身份； 所述服务提供设备， 还用于： 响应于接收到所述服务请求设备发送的验证响应， 通过所 述第三私钥对所述验证响应中的加密结果进 行解密， 确定所述验证响应中的虚拟身份是否 为所述第二虚拟身份； 所述验证响应中的虚拟身份包括： 所述预设验证响应中的所述第一 虚拟身份； 所述服务提供设备， 还用于： 如果确定出所述验证响应中的虚拟身份为所述第二虚拟 身份， 则发送确认指示给所述服务请求设备， 所述确认指示用于指示出所述服务请求设备 成功访问所述 服务提供设备。 2.如权利要求1所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述身份管理设备， 具体用于： 对接收的注册信 息通过所述身份管理设备生成的第四私钥进行数字签名， 获得第 二数 字签名结果； 其中， 第四公钥和所述第四私钥为所述身份管理设备生成的一个秘钥对； 将所述第二数字签名结果写入区块链中， 或者， 将所述第二数字签名结果存储于分布 式存储系统。 3.如权利要求2所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述身份管理设备， 还用于： 在所述服务提供设备根据所述服务访问请求中的第二虚拟身份访问所述身份管理设 备之后， 所述 服务提供设备从所述数据库中获取 所述第二虚拟身份关联的第二公钥之前， 响应于所述身份管理设备中接收的所述第 二虚拟身份， 通过所述第四公钥对所述区块权　利　要　求　书 1/3 页 2 CN 114928469 A 2链或所述分布式存储系统中所存储的数字签名结果进 行解密， 从所述数字签名结果中确定 出所述第二虚拟身份关联的第二公钥。 4.如权利要求3所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述服务请求设备， 具体还用于： 通过所述第一私钥将接收到的验证请求的加密结果进行解密， 如果解密成功， 则确定 出接收到的验证请求的加密结果中虚拟身份为所述第一虚拟身份， 以及所述第二 公钥为所 述第一公钥。 5.如权利要求1所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述服务请求设备， 具体用于： 生成包括第一公钥 和第一私钥 的秘钥对， 基于所述第一公钥 生成第一 虚拟身份 并将包括所述第一公钥 和所述第一公钥 关联的所述第一虚拟身 份 的预设注册信息 发送给所述身份管理设备， 以及通过所述第一私钥 对所述第一虚拟身份 进行签名， 生成第一签名结果 将包括所述 第一签名结果 的预设服务访问请求M1发送给所述服务提供设备， 其中， 所 述 所述r用于判断所述M1是否被篡改。 6.如权利要求5所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述身份管理设备， 具体用于： 对接收的预设注册信 息 通过所述身份管理设备生成的第四私钥 进行 数字签名， 获得第二数字签名结果 其中， 第四公钥 和所述第四私 钥 为所述身份管理设备生成的一个秘钥对； 将所述第二数字签名结果 写入区块链中， 或者， 将所述第二数字签 名结果存 储于分布式存 储系统。 7.如权利要求6所述基于相互验证机制进行访问控制的IDa aS系统， 其特 征在于， 所述服务提供设备， 具体还用于： 如果所述第一签名结果 解密成功， 通过所述第二公钥 将所述第二 虚拟身份 与第三公钥 行加密， 获得第一加密结果 并将包 括所述第一加密结果 的预设验证请求M2发送给所述服务请求设备， 其中， 所述(r+1)用于判断所述M2是否被篡 改；权　利　要　求　书 2/3 页 3 CN 114928469 A 3