(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210804128.8 (22)申请日 2022.07.07 (71)申请人 润联软件系统 （深圳） 有限公司 地址 518000 广东省深圳市福田区梅林街 道梅都社区中康路136号深圳新一代 产业园2栋801 (72)发明人 钟焰涛　 (74)专利代理 机构 深圳市世联合知识产权代理 有限公司 4 4385 专利代理师 刘畅 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 基于隐私保护的身份认证方法、 装置、 计算 机设备及 介质 (57)摘要 本申请实施例属于网络安全和隐私保护技 术领域， 涉及一种基于隐私保护的身份认证方 法， 包括获取客户端发送的用户的待认证信息， 其中， 待认证信息包括待认证特征及对应的哈希 列表、 特征树根值、 身份认证凭据以及基于哈希 列表生成的叶子节点证明； 从身份凭据颁发端获 取凭据撤销列表， 验证身份认证凭据是否在凭据 撤销列表中； 不在凭据撤销列表中， 验证身份认 证凭据是否正确； 验证正确时， 则验证叶子节点 证明是否正确； 若验证正确， 验证用户是否持有 密钥； 若用户持有密钥， 则用户的身份认 证通过。 本申请还提供一种基于隐私保护的身份认证装 置、 计算机设备及存储介质。 本申请保证用户仅 向身份验证端暴露最少的特征项进行身份认证， 更好地保护用户隐私。 权利要求书2页 说明书12页 附图5页 CN 115134090 A 2022.09.30 CN 115134090 A 1.一种基于隐私保护的身份认证方法， 应用于身份验证端， 其特征在于， 包括下述步 骤： 获取客户端发送的用户的待认证信 息， 其中， 所述待认证信 息包括待认证特征、 所述待 认证特征对应的哈希列表、 基于所述用户特征生成的特征树的特征树根值、 身份认证凭据 以及基于所述哈希列表生成的叶子节点证明； 从身份凭据颁发端获取凭据撤销列表， 验证所述身份认证凭据是否在凭据撤销列表 中； 确定所述身份认证凭据不在凭据撤销列表中， 验证所述身份认证凭据是否正确； 当所述身份认证凭据验证正确时， 则验证所述叶子节点证明是否正确； 若所述叶子节点证明验证正确， 验证所述用户是否持有密钥， 若所述用户持有密钥， 则 所述用户的身份认证通过。 2.根据权利要求1所述的基于隐私保护的身份认证方法， 其特征在于， 所述验证所述身 份认证凭据是否正确的步骤 包括： 对所述身份认证凭据进行解密， 得到待验证树 根值； 比较所述待验证树 根值与所述特 征树根值是否一 致； 如果一致， 则所述身份认证凭据正确。 3.根据权利要求1所述的基于隐私保护的身份认证方法， 其特征在于， 所述验证所述叶 子节点证明是否正确的步骤 包括： 根据所述叶子节点证明得到待认证特 征树； 根据所述待认证特 征树确定每 个叶子节点， 将每 个所述叶子节点组成验证特 征； 将所述验证特 征和所述哈希列表进行一 致性比对； 若比对结果 一致， 则验证所述叶子节点证明正确。 4.根据权利要求1所述的基于隐私保护的身份认证方法， 其特征在于， 所述验证所述用 户是否持有密钥的步骤 包括： 获取随机值， 将所述随机值发送至所述 客户端； 接收所述 客户端基于所述随机值和待验证密钥计算得到的第一同态哈希值； 计算所述第一同态哈希值和所述哈希列表中每 个哈希值的和值， 得到验证值； 基于所述随机值计算每 个所述待认证特 征的哈希值， 得到第二同态哈希值； 比较所述验证值和所述第二同态哈希值是否相等， 若相等， 则所述用户持有密钥。 5.一种基于隐私保护的身份认证方法， 应用于身份凭据颁发端， 其特征在于， 包括下述 步骤： 接收客户端发送的用户特征、 所述用户特征对应的特征哈希列表以及颁发身份认证凭 据请求； 接收用户身份信息验证通过指令， 基于所述特 征哈希列表建立特 征树； 获取所述特征树的特征树根值， 使用第一私钥对所述特征树根值进行数字签名， 得到 签名值； 将所述签名值作为身份认证凭据发送至所述 客户端。 6.根据权利要求5所述的基于隐私保护的身份认证方法， 其特 征在于， 还 包括： 接收客户端发送 的所述用户特征、 所述特征哈希列表、 第二私钥以及撤销身份凭据请权　利　要　求　书 1/2 页 2 CN 115134090 A 2求； 基于所述用户特 征和所述第二私钥计算得到待验证哈希列表； 比较所述待验证哈希列表和所述特 征哈希列表是否一 致； 若一致， 则确认用户身份正确； 将所述用户对应的身份认证凭据添加至凭据撤销列表， 并将撤销通知 返回至所述客户 端。 7.一种基于隐私保护的身份认证装置， 应用于身份验证端， 其特 征在于， 包括： 获取模块， 用于获取客户端发送的用户的待认证信息， 其中， 所述待认证信息包括待认 证特征、 所述待认证特征对应的哈希列表、 基于所述用户特征生成的特征树的特征树根值、 身份认证凭据以及基于所述哈希列表生成的叶子节点证明； 撤销验证模块， 用于从身份凭据颁发端获取凭据撤销列表， 验证所述身份认证凭据是 否在凭据撤销列表中； 凭据认证模块， 用于确定所述身份认证凭据不在凭据撤销列表中， 验证所述身份认证 凭据是否正确； 证明认证模块， 用于当所述身份认证凭据验证正确时， 则验证所述叶子节点证明是否 正确； 密钥认证模块， 用于若所述叶子节点证明验证正确， 验证所述用户是否持有密钥， 若所 述用户持有密钥， 则所述用户的身份认证通过。 8.一种基于隐私保护的身份认证装置， 应用于身份凭据颁发端， 其特 征在于， 包括： 接收模块， 用于接收客户端发送的用户特征、 所述用户特征对应的特征哈希列表以及 颁发身份认证凭据请求； 建立模块， 用于 接收用户身份信息验证通过指令， 基于所述特 征哈希列表建立特 征树； 签名模块， 用于获取所述特征树的特征树根值， 使用第一私钥对所述特征树根值进行 数字签名， 得到签名值； 发送模块， 用于将所述签名值作为身份认证凭据发送至所述 客户端。 9.一种计算机设备， 包括身份验证端以及与所述身份验证端连接的身份凭据颁发端， 所述身份验证端包括第一存储器和第一处理器， 所述第一存储器中存储有计算机可读指 令， 所述第一处理器执行所述计算机可读指 令时实现如权利要求 1至4中任一项 所述的基于 隐私保护的身份认证方法的步骤； 所述身份凭据颁发端包括第二存储器和第二处理器， 所 述第二存储器中存储有计算机可读指 令， 所述第二处理器执行所述计算机可读指 令时实现 如权利要求5 至6中任一项所述的基于隐私保护的身份认证方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 可读指令， 所述计算机可读指 令被处理器执行时实现如权利要求 1至6中任一项 所述的基于 隐私保护的身份认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 115134090 A 3