(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210468887.1 (22)申请日 2022.04.28 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 姜奇　刘怡静　杨雪　赵贵川　 (74)专利代理 机构 陕西电子 工业专利中心 61205 专利代理师 田文英　王品华 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 以用户为中心面向多IDP聚合的多因素认证 方法 (57)摘要 一种以用户为中心面向多IDP聚合的多因素 认证方法， 用于解决用户身份隐私和无法实现多 IDP可扩展 性的问题， 具体步骤包括： 数据注册中 心生成公共参数和每个身份提供商IDP的签名密 钥和验证密钥； 每个身份提供商IDP为用户不同 认证因素颁发身份凭证并存储在数据注册中心； 根据服务提供商SP的授权策略用户从数据注册 中心获取凭证； 用户将多个凭证聚合为一个凭 证； 服务提供商SP利用零知识 证明和双线性映射 技术验证凭证中的认证因素。 本发 明具有用户不 可链接性和不可跟踪性， 降低了多IDP场景认证 的计算开销， 可广泛应用于高安全级别的身份认 证类应用系统。 权利要求书2页 说明书6页 附图2页 CN 114866255 A 2022.08.05 CN 114866255 A 1.一种以用户为中心面向多IDP聚合的多因素认证方法， 其特征在于， 采用以用户为中 心的认证架构， 使用基于标签的签名聚合由多个身份提供商IDP颁 发的不同凭证， 利用零知 识证明验证聚合凭证中的认证因素； 该 方法的步骤 包括如下： 步骤1， 数据注 册中心生成公共参数和每 个身份提供商的签名密钥和验证密钥： 步骤1.1， 数据注册中心分别生成并公开七个公共参数q,p,G1,G2,g, GT， 数数据注册中 心为每个用户生成各自的用户身份标识并传输给该用户； 其中， p和q表 示长度为 160位的素 数， p和q的关系满足q|(p ‑1)， |表示整除符号， G1和G2表示以q为阶的循环群， g和 分别表示 G1和G2的生成元， 循环群G1,G2,GT之间存在双线性映射G1×G2→GT， 由群G1和G2中的所有元素 能够生成群GT中的所有元 素； 步骤1.2， 数据注册中心通过随机数发生器， 在整数1到q ‑1之间产生随机数(tj,uj, vjrj,i,sj,i)∈[1,q‑1]， 作为每个身份提供商的签名密钥； 根据公钥基础设施标准， 数据注 册中心计算签名密钥对应的验证密钥： 其中， j表示身 份提供商的序号， i表示用户认证因素的序号； 步骤2， 每 个身份提供商为每 个用户的不同认证因素颁发身份凭证： 步骤2.1， 用户利用Map ‑to‑point函数， 计算群元素h＝HG(ID)∈G2； 用户利用随机数发 生器， 在整数1到q ‑1之间产生随机数 作为该用户的临时秘密； 用户利用群元素h 和临时秘密 构造标签 发送给每个身份提供商请求为该用 户颁发凭证； 其中， ID表示用户的身份标识， 每 个用户的身份标识均不同； 步骤2.2， 用户与每个身份提供商执行关于用户认证因素(xj,1,xj,2,…,xj,n)的零知识 证明， 其中， xj,1表示用户在第j个身份提供商处证明的第1个认证因素， n表示用户在第j个 身份提供商处证明的认证因素的总数； 步骤2.3， 每个身份提供商利用基于标签 的签名技术对用户的认证因素(xj,1,xj,2,…, xj,n)进行签名， 得到下述基于标签 τ 的多因素凭证后发送给用户： 其中， σj表示第j个身份提供商颁发的凭证； 步骤2.4， 用户将每 个身份提供商的凭证存 储于数据注 册中心； 步骤3， 每 个用户根据授权策略从数据注 册中心获取凭证： 用户向服务提供商请求认证， 服务提供商发送包含服务提供商认证该用户所需的认证 因素的授权策略， 用户根据授权策略从数据注 册中心获取认证因素对应的凭证； 步骤4， 每 个用户利用聚合方式构建聚合凭证： 用户计算σ ＝Πσj， 得到该用户的聚合凭证； 用户将标签τ和聚合凭证σ 随机化后， 将随机 化标签 τ′以及随机化聚合凭证σ ′发送给服 务提供商； 其中， ∏表示连乘符号； 步骤5， 服务提供商收到随机化聚合凭证σ ′后， 使用每个身份提供商的验证密钥vkj,i与 每个用户执行关于认证因素(xj,1,xj,2,…,xj,n)的零知识 证明， 并通过双线性映射技术验证 凭证中的认证因素， 如果验证成功， 则执 行步骤6， 否则， 执 行步骤7； 步骤6， 每 个用户身份验证成功， 服 务提供商提供 给该用户服 务；权　利　要　求　书 1/2 页 2 CN 114866255 A 2步骤7， 每个用户身份验证失败， 服务提供商发送验证失败给该用户， 拒绝为该用户提 供服务。 2.根据权利要求1所述的以用户为中心面向多IDP聚合的多因素认证方法， 其特征在 于： 步骤2.2、 步骤2.3和步骤5中所述的认证因素(xj,1,xj,2,…,xj,n)指的是用户口令、 生物 特征、 设备密钥、 智能手机 。 3.根据权利要求1所述的以用户为中心面向多IDP聚合的多因素认证方法， 其特征在 于： 步骤2.2中所述的零知识证明指的是， 由证明方和验证方之间达成的认证协议， 协议的 目标是在证明方 未向验证方提供秘密的明文值的情况 下， 使验证方确信证明方拥有秘密。 4.根据权利要求1所述的以用户为中心面向多IDP聚合的多因素认证方法， 其特征在 于： 步骤2.3中所述的基于标签的签名技术指的是， 标签可以看作用户的假名， 用户利用标 签聚合来自多个 签名方的签名， 验证方对聚合签名进行验证。 5.根据权利要求1所述的以用户为中心面向多IDP聚合的多因素认证方法， 其特征在 于： 步骤5中所述的双线性映射技术是由两个向量空间上的元素， 生成第三个向量空间上一 个元素的函数， 并且该函数对每 个参数都是线性的。权　利　要　求　书 2/2 页 3 CN 114866255 A 3