本發明公開了身份認證方法和系統以及計算設備和存儲介質。身份認證方法用于向證書機構證明密鑰為用戶所有，在所述用戶處，該方法可以包括從所述用戶的密鑰集中選擇一定數目密鑰；分別對所述一定數目密鑰中的每一個密鑰與所述用戶的用戶標識的對應關系求哈希并將所得哈希值發送給所述證書機構；以及在從所述證書機構接收到關于第一哈希值子集的通知之后，將所述第一哈希值子集所對應的密鑰作為第一密鑰子集發送給所述證書機構，其中所述第一哈希值子集是所述證書機構從所述所得哈希值中選取的。采用本公開內容的技術方案能夠實現零知識證明。

技術領域

本發明涉及密碼學技術領域，尤其涉及身份認證方法和系統以及計算設備和存儲介質。

背景技術

公鑰基礎設施(PKI，Public Key Infrastructure)是一種支持公開密鑰管理并且能夠支持認證、加密、完整性和可追究性服務的基礎設施。一個簡單的PKI系統包括證書機構(CA，Certificate Authority)、注冊機構(RA，Register Authority)和相應的PKI存儲庫，其中CA用于簽發并管理證書；RA可作為CA的一部分，也可以獨立存在，其主要功能包括個人身份審核、證書吊銷列表(CRL，Certificate Revocation List)管理、密鑰產生和密鑰對備份等；并且PKI存儲庫可以包括LDAP(Lightweight Directory Access Protocol，輕量目錄訪問協議)目錄服務器和普通數據庫，用于對用戶申請、證書、密鑰、CRL和日志等信息進行存儲和管理，并提供一定的查詢功能。

對于附有時間的密鑰基礎設施(TKI,Timed Key Infrastructure)，其與PKI相比核心原理中更多地構建有時間，并且同樣支持公開密鑰管理而且還能夠支持認證、加密、完整性和可追究性服務。在TKI中，諸如區塊鏈等公共媒體可以起到PKI中的CA的作用，其中所述公共媒體能夠確保公布在其上的信息不可篡改。

無論是PKI還是TKI，當用戶需要申請數字證書的時候，都需要向CA等證明其真實性，即身份認證。

發明內容

鑒于上述技術問題，本公開內容提供了能夠實現零知識證明的身份認證方法和系統以及計算設備和存儲介質。

在本公開內容的一個方面，提供了一種身份認證方法，其用于向證書機構證明密鑰為用戶所有，在所述用戶處，該方法包括從所述用戶的密鑰集中選擇一定數目密鑰；分別對所述一定數目密鑰中的每一個密鑰與所述用戶的用戶標識的對應關系求哈希并將所得哈希值發送給所述證書機構；以及在從所述證書機構接收到關于第一哈希值子集的通知之后，將所述第一哈希值子集所對應的密鑰作為第一密鑰子集發送給所述證書機構，其中所述第一哈希值子集是所述證書機構從所述所得哈希值中選取的。

在一些實施方式中，該身份認證方法還可以包括在所述證書機構對從所述用戶接收的除所述第一哈希值子集之外的所有哈希值進行簽名之后，使用經所述證書機構簽名的哈希值所對應的密鑰對文件進行簽名。

在一些實施方式中，對所述一定數目密鑰中的每一個密鑰與所述用戶的用戶標識的對應關系求哈希可以進一步包括對所述一定數目密鑰中的每一個密鑰與所述用戶的用戶標識的組合求哈希。

在一些實施方式中，對所述一定數目密鑰中的每一個密鑰與所述用戶的用戶標識的對應關系求哈希可以進一步包括對所述一定數目密鑰中的每一個密鑰、所述用戶的用戶標識和所述每一個密鑰的公布時間的組合求哈希。