(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210595421.8 (22)申请日 2022.05.29 (71)申请人 北京理工大 学 地址 100081 北京市海淀区中关村南大街5 号 (72)发明人 盖珂珂　漆静　谢天庥　祝烈煌　 (74)专利代理 机构 北京正阳理工知识产权代理 事务所(普通 合伙) 11639 专利代理师 王松 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种面向分布式数字身份的同态加密隐私 保护方法 (57)摘要 本发明涉及一种基于分布式数字身份的同 态加密隐私保护方法， 属于区块链隐私保护技术 领域。 本发 明采用能够满足加法同态的半同态加 密算法Paillier， 将其应用在分布式数字身份 中， 攻击者在数据传输或区块链账本中获得密文 后， 无法通过对比得出两段密文是否是同一内 容， 有效地保护了持有者的身份数据。 本发明在 隐藏了持有者的身份属性以外， 验证方对数据进 行验证的时候， 将区块链智能合约的同态加密性 质， 将其能够访问并获得验证的身份属性保持在 授权且可控 范围内。 本发明在确保持有者隐私数 据安全的基础上， 最大限度地克服了现有分布式 数字身份系统在隐藏数字身份信息上存在的安 全性低、 容 易泄露等技术问题。 权利要求书2页 说明书6页 附图1页 CN 115174091 A 2022.10.11 CN 115174091 A 1.一种面向分布式数字身份的同态加密隐私保护方法， 其特 征在于， 包括以下步骤： 步骤1： 身份信息隐藏； 持有者向签发方提交凭证申请； 签发方接受请求， 并根据用户信息得到持有者的身份 属性， 将相应的身份属性 生成可验证凭证； 包括以下步骤： 步骤1.1： 身份链通过Paillier同态加密生成密钥对， 密钥对中的公钥将被公开用来进 行同态加密； 密钥对中的私钥 则由身份链自身保存， 在验证时使用； 步骤1.2： 持有者申请签发可验证凭证； 在签发方确认持有者身份信息准确后， 签发方 采用公钥对用户的数字身份属性加密并签名； 步骤1.3： 签发方将身份信息凭证上传至区块链账本中； 步骤2： 加密凭证传输； 持有者从身份链下载身份属性凭证， 将其与签名后的部分身份信息一同发送给验证 方， 包括以下步骤： 步骤2.1： 持有者从身份链上下载被签发方签名， 并通过Paillier同态加密进行加密的 身份属性凭证， 其中包括验证方需要知道的身份属性和持有者的其 他隐私信息； 步骤2.2： 持有者首先使用自己的私钥 对自己的部分身份信 息进行签名， 再使用验证方 的公钥进行加密； 这部分加密信息需要提供明文给验证方； 步骤3： 身份属性验证； 验证方将用户的部分身份属性进行加密， 并向身份链发起验证请求； 智能合约收到请 求， 调用账本中可验证凭证进行验证， 包括以下步骤： 步骤3.1验证方通过身份链的公钥， 将用户的部分身份属性进行加密， 同时向身份链发 起验证请求； 步骤3.2： 智能合约收到请求， 调用账本中持有者DID所属账本以及其存储的相 关加密 后的身份属性可验证凭证； 步骤3.3： 智能合约利用加法同态性， 通过对比验证方数据和账本数据进行验证， 并将 结果返回给验证方。 2.如权利要求1所述的一种面向分布式数字身份的同态加密隐私保护方法， 其特征在 于， 步骤1中， 基于Pai llier同态加密技 术计算价值的方法如下： 设身份链的公钥为pk0， 签发方的私钥为sk1， E(x,y)为加密算法， Sign(x,y)为签名算 法， x表示明文信息， y表示加密 密钥/签名方私钥； 验证方首先通过身份链公钥pk0对用户身份属性 m进行加密， 得到可验证凭证F， F＝E(m, pk0)； 之后， 通过哈希函数得到加密数据的摘要， 再对摘要进行签名得到Sign(h(E(m,pk0)), pk1)， 最终与可验证凭证F提交给身份链， h表示哈希函数， pk1表示身份链公钥。 3.如权利要求1所述的一种面向分布式数字身份的同态加密隐私保护方法， 其特征在 于， 步骤3中， 基于加法同态性验证的实现方法如下： 输入密文包括： 验证方加密的身份属性c1， 签发方加密的随机数r1， 验证方加密的随机 数r2， 用户的数字身份标识did； 输出为： 验证正确True， 或验证失败False；权　利　要　求　书 1/2 页 2 CN 115174091 A 2令验证方将用户发送的的身份属性加密记为c1， 向位于同一通道的身份链发起验证请 求， 使得拥有链码的记账节点调用智能合约， 对数据进行验证； 验证时， 首先， 将签发方加密所用随机数与验证方加密所用随机数进行相加， 得到用来 验证的随机数； 即， r3＝r1+r2； 之后， 从区块链的账本上获得用户相关身份属性信息的凭证； 即， c2＝getPing(did)； 然后， 获得属性相加应得到的结果； 即， c3＝En(De(2*c2， sk1),pk1， r3)； En()表示加密算 法， 需要输入明文和密钥； 最后， 对收到的身份属性进行加法同态性验证， 对比运算后的结果， 决定双方数据 是否 一致； 由于随机数r3＝r1+r2， 等式两边的明文 数据如果完全相同， 则加密后的数据也应该完 全相同； 如果二者结果相等， 即c1c2＝c3， 返回验证成功， 否则返回验证失败； 待处理完请求 后， 无论验证是否成功， 身份链都将返回结果给验证方。权　利　要　求　书 2/2 页 3 CN 115174091 A 3