(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210354500.X (22)申请日 2022.04.06 (66)本国优先权数据 202220389936.8 2022.02.25 CN (71)申请人 深圳市中悦科技有限公司 地址 518040 广东省深圳市龙岗区吉华 街 道甘坑社区甘李 二路11号中海信创新 产业城19栋13 07、 1308 (72)发明人 周文明　王志鹏　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于用户的虚拟身份进行访问的IDaaS 系统 (57)摘要 本申请公开了一种基于用户的虚拟身份进 行访问的IDaaS系 统， 系统包括： 服务请求设备、 私钥生成器及服务提供设备； 服务请求设备， 用 于将用户的用户身份信息发送给私钥生成器； 私 钥生成器， 用于接收到用户身份信息之后， 生成 私钥； 服务请求设备， 用于根据用户身份信息获 得的虚拟身份和私钥， 获得虚拟身份签名； 服务 提供设备， 用于根据获得的公钥， 验证虚拟身份 签名； 如果虚拟身份签名被验证成功， 则服务提 供设备用于发送响应给服务请求 设备； 所述响应 用于指示出所述服务请求设备成功访问所述服 务提供设备。 采用本申请， 可提升IDaaS系统中进 行服务访问的安全性。 权利要求书3页 说明书10页 附图2页 CN 114679328 A 2022.06.28 CN 114679328 A 1.一种基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 包括： 服务请求设备、 私钥生成器以及服务提供设备； 其中， 所述服务请求设备、 所述私钥生 成器以及所述 服务提供设备之间通过通信网络进行 连接； 所述服务请求设备， 用于将用户的用户身份信息发送给所述私钥生成器； 所述用户包 括： 学生或 教育工作者； 所述私钥生成器， 用于在接收到所述用户身份信息之后， 生成私钥； 所述服务请求设备， 还用于基于所述用户身份信 息获得的所述用户的虚拟身份以及从 所述私钥生成器中获取到的私钥， 获得虚拟身份 签名； 所述服务提供设备， 用于根据所述虚拟身份获得的公钥， 验证从所述服务请求设备所 接收的所述虚拟身份 签名； 其中， 所述私钥和所述公钥为 一对秘钥； 如果所述虚拟身份签名被验证成功， 则所述服务提供设备用于发送响应给所述服务请 求设备； 所述响应用于指示出 所述服务请求设备成功访问所述 服务提供设备。 2.如权利要求1所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 所述用户的用户身份信息包括： 用户的用户ID和所述用户ID关联的服 务请求； 所述服务请求设备， 具体用于： 将用户的用户ID和所述用户ID关联的服务请求发送给所述私钥生成器； 所述用户ID关 联的服务请求为一个服务请求或多个服 务请求； 所述私钥生成器， 具体用于： 在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后， 生成 主密钥以及通过所述用户ID用于生 成所述用户ID关联的用户的虚拟身份； 所述用户ID关联 的虚拟身份用于所述私钥生成器生成所述用户ID关联的用户的公钥； 将所述用户的公钥结合所述主密钥生成所述用户ID关联的用户的私钥； 其中， 所述用 户ID关联的用户的公钥与所述用户ID关联的用户的私钥为 一对秘钥； 所述服务请求设备， 具体还用于： 根据从所述私钥生成器 中获取到的所述用户ID关联的用户的虚拟身份、 公钥、 私钥， 并 根据所述用户ID关联的虚拟身份以及私钥计算出虚拟身份签名， 并将所述虚拟身份以及所 述虚拟身份 签名发送给 所述服务提供设备； 所述服务提供设备， 具体用于： 从所述私钥生成器中获取所述用户ID关联的用户的公钥， 并通过所述公钥验证从所述 服务请求设备 所接收的所述虚拟身份 签名。 3.如权利要求1所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 所述用户的用户身份信息包括： 用户的用户ID、 所述用户ID关联的服务请求、 所述用户 的虚拟身份以及所述用户的公钥； 所述服务请求设备， 具体用于： 将用户的用户ID、 所述用户ID关联的服务请求、 所述用户的虚拟身份以及所述用户的 公钥发送给所述私钥生成器； 所述用户ID关联的服务请求为一个服务请求或多个服务请 求； 其中， 所述用户的虚拟身份和所述用户的公钥都分别基于所述用户ID所 得到； 所述私钥生成器， 具体用于： 在收到所述服务请求设备发送的所述用户ID、 所述用户ID关联的服务请求、 所述用户权　利　要　求　书 1/3 页 2 CN 114679328 A 2ID关联的所述用户的虚拟身份以及所述用户的公钥 之后， 生成主密钥， 根据所述主秘钥和 所述用户的公钥生成所述用户ID关联的所述用户的私钥； 其中， 所述用户ID关联的用户的 公钥与所述用户ID关联的用户的私钥为 一对秘钥； 所述服务请求设备， 具体还用于： 根据所述用户ID关联的所述用户的虚拟身份、 所述用户的公钥以及从所述私钥生成器 中获取的所述用户ID关联的用户的私钥计算出虚拟身份签名， 并将所述虚拟身份以及所述 虚拟身份 签名发送给 所述服务提供设备； 所述服务提供设备， 具体用于： 从所述私钥生成器中获取所述用户ID关联的用户的公钥， 并通过所述用户的公钥验证 从所述服务请求设备 所接收的所述虚拟身份 签名。 4.如权利要求2所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 所述私钥生成器， 具体用于： 选择定义在GF(n1)上的椭圆曲线E， 其中， n1是一个素 数； 在所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1))； 在收到所述服务请求设备发送的所述用户ID和所述用户ID关联的服务请求之后， 生成 主秘钥S以及确定出所述用户ID关联的所述用户的虚拟身份VID＝所述用户ID*P； 所述主秘 钥S用于所述私钥生成器生成所述用户ID关联的所述用户的私钥UD； 计算出所述用户ID关联的所述用户的公钥UP＝H *VID， 其中， 所述H为 安全哈希函数； 计算出所述用户ID关联的所述用户的私钥UD＝S*UP； 并将所述用户ID关联的所述用户的虚拟身份、 公钥以及私钥发送给所述服务请求设 备。 5.如权利要求3所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 所述私钥生成器， 具体用于： 在收到所述服务请求设备发送的所述用户ID、 所述用户ID关联的服务请求、 所述用户 的虚拟身份VID以及所述用户的公钥UP之后， 生成主密钥S； 其中， 所述用户ID关联的用户的 公钥UP＝K*P， 所述P为所述椭圆曲线E上选择一个随机生成点P∈E(GF(n1))； 计算出所述用户ID关联的用户的私钥UD＝S*UP； 并将所述用户ID关联的用户的私钥UD发送给 所述服务请求设备。 6.如权利要求 4或5所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于， 所述服务请求设备， 具体还用于： 生成一个素 数n2； 根据获得的所述用户ID关联的用户的私钥UD， 计算出d＝UDmod(n2‑2)； 根据所述d， 计算出Q ＝d*UP； 在区间[1,n2‑1]中选择一个统计上唯一且不可 预测的整数k； 计算所述椭圆曲线E上的点(x1,y1)＝k*UP， 且r＝x1modn2； 如果r＝0， 则计算出s＝(k ‑ 1)*(HH(VID)+d*r)modn2； 其中， 所述H H为密码散列算法； 获得所述用户ID关联的用户的虚拟身份 签名SVID＝(r,s)； 将所述虚拟身份 签名SVID和所述虚拟身份VID发送给所述服务提供设备。 7.如权利要求6所述基于用户的虚拟身份进行访问的IDa aS系统， 其特 征在于，权　利　要　求　书 2/3 页 3 CN 114679328 A 3