(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210092947.4 (22)申请日 2022.01.26 (71)申请人 南京邮电大 学 地址 224000 江苏省盐城市 盐南高新区大 数据产业园创新大厦南楼15层 (72)发明人 王志伟　王煊　 (74)专利代理 机构 南京正联知识产权代理有限 公司 32243 代理人 张玉红 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于SM9盲签名的Open ID协议设计方法 (57)摘要 本发明是一种基于SM9盲签名的OpenID协议 设计方法， 在OpenID协议三方交互流程设计中， 引入基于SM9算法的盲签名方案， Idp充当签名 者， 消息发送方先将消息盲化， 然后签名者在不 知道消息内容的情况下对消息进行签名， 消息拥 有者对签名除去盲化因子， 得到签名者关于原消 息的签名， 最后对盲签名的有效性进行验证。 一 方面可以有效避免身份提供者通过每次使用了 解依赖方及其用户登录， 提高了安全性， 另 一方 面， 基于SM9算法的盲签名不需要传统PKI体系中 的密钥库， 取消了公钥证书的使用， 减少了计算 和存储等资源的开销。 权利要求书2页 说明书6页 附图2页 CN 114389808 A 2022.04.22 CN 114389808 A 1.一种基于SM9盲签名的Open ID协议设计方法， 其特 征在于： 具体步骤如下： 步骤1， 发起协议阶段： 用户使用 用户代理， 通过请求登录RP来发起协议， 并指定IdP； 步骤2， RP和用户代理交互阶段： RP将用户代理重定向到IdP， 发送 RP的具体 网站的标识 符RPk和新生成的nonce作为查询参数， 将标识符RPk和新生 成的nonce连接并作为盲化流程 中的消息 M； 步骤3， 用户和IdP交互阶段： 用户代理被重定向到IdP， 用户代理在计算h＝H2(M||w,N) 后采用CL方案将盲化后的M ’发送给Idp； 步骤4， 显示对话框阶段： IdP打开一个在浏览器中显示的对话框， 要求用户确认其所希 望登录到的RP， 为此， IdP查找一个可读的client_name， 属于RPk， 然后用户单击对话框中的 确认按钮。 2.根据权利要求1所述一种基于SM9盲签名的Op enID协议设计方法， 其特征在于： 步骤3 用户和IdP交 互阶段具体包括以下步骤： 步骤3.1， 盲化操作： 使用密码杂凑函数计算盲因子k1、 k2， 计算 h＝H2(M||w, N),其中M是待盲化的消息， 之后计算 σ ＝f‑hPkw.， ε＝gw， 将盲化后的消息M ’＝ ( μ, σ, ε )发送给签名者； 步骤3.2， 签名操作： 签名者在接收到盲化后的消息M ’之后， 对消息进行签名， 并将签名 值发送给用户； 步骤3.3， 解盲操作： 用户代理收到签名值之后， 在G1中生成元素U， r， 最终得到消息M ’的 盲签名为(U， r)； 步骤3.4， 验证签名操作： 用户代理得到消息M ’的盲签名(U， r)后， 向RP发起登录请求， 随后RP进入验证签名阶段， 对签名进行验证， 如果验证成功， 则判定盲签名有效， 若验证不 成功， 则判定盲签名无效， RP通知 浏览器是否登录成功。 3.根据权利要求2所述一种基于SM9盲签名的OpenID协议设计方法， 其特征在于： 步骤 3.1具体操作为： 步骤S3.11、 用户采用随机数发生器随机生成两个整数p1、 p2， p1、 p2为大于2197的两个素 数； 步骤S3.12、 通过用户标识IDk和生成的用户识别符hid计算IDk||hid， 得到结果为一个 比特串； 步骤S3.13、 使用密码杂凑函数计算盲因子k1、 k2； 步骤S3.14、 计算 h＝H2(M||w,N),其中M是待 盲化的消息； 步骤S3.15、 计算 σ ＝f‑hPkw， ε＝gw； 步骤S3.16、 将盲化后的消息 M’＝( μ, σ, ε )发送给签名者。 4.根据权利要求2所述一种基于SM9盲签名的OpenID协议设计方法， 其特征在于： 步骤 3.2具体操作为： 步骤S3.21、 计算群GT中的元素g＝e(P,pk)； 步骤S3.22、 签名者在接收到M ’之后， 在群G1上分别计算 分别计算 权　利　要　求　书 1/2 页 2 CN 114389808 A 2步骤S3.23、 将计算之后的U ’,r’发送给用户代理。 5.根据权利要求2所述一种基于SM9盲签名的OpenID协议设计方法， 其特征在于： 步骤 3.3具体操作为： 步骤S3.31、 计算整数L ＝(k1k2‑h)modN； 步骤S3.32、 用户代理收到(U ’， r’)后， 将U’和r’的数据类型转换为字节串， 在群G1中生 成元素U＝[L]U ’， r＝[L]r ’， 消息M’的盲签名为(U， r)。 6.根据权利要求2所述一种基于SM9盲签名的OpenID协议设计方法， 其特征在于： 步骤 3.4中对签名进行验证具体为： 根据公开参数计算h＝H2(M||w,N)， 并验证等 式e(U， Pk+dAP) ＝r·gh是否成立， 如果 等式成立， 则判定盲签名有效； 若不成立， 则判定盲签名无效。权　利　要　求　书 2/2 页 3 CN 114389808 A 3