(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210903671.3 (22)申请日 2022.07.29 (71)申请人 北京北科融智云计算科技有限公司 地址 100094 北京市海淀区丰贤中路7号3 号楼303室 申请人 广西壮族自治区药用植物园 　 北京圣德 泰科技文化有限公司 (72)发明人 赵琉涛　钟林　黄天述　孙冬冬　 孟凡银　 (74)专利代理 机构 北京万思博知识产权代理有 限公司 1 1694 专利代理师 王惠 (51)Int.Cl. H04L 9/06(2006.01) H04L 9/08(2006.01)H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 一种接收方身份隐私保护与追踪方法和系 统 (57)摘要 本发明公开了一种接收方身份隐私保护与 追踪方法和系统， 涉及隐私保护技术领域， 包括： 发送方获取接收方长期公钥； 发送方或接收方使 用接收方长期公钥计算一次性公钥； 发送方采用 加密算法， 使用一次性公钥对待发送数据进行加 密， 生成密文； 发送方将一次性公钥和密文发送 至公共系统； 接收方从公共系统中获取一次性公 钥和密文， 根据一次性公钥计算对应的一次性私 钥， 并校验生成的一次性私钥是否正确； 接收方 采用解密算法， 使用一次性私钥对密文进行解 密， 生成解密数据； 监管方采用监管方长期私钥 和一次性公钥计算接收方长期公钥， 追踪接收方 身份信息。 本发 明能够基于一次性公钥计算出接 收方的长期公钥， 并基于此追踪出接收方的身 份， 实现监管功能。 权利要求书4页 说明书10页 附图1页 CN 115225257 A 2022.10.21 CN 115225257 A 1.一种接收方身份隐私保护与追踪方法， 包括： 发送方获取接收方长期公钥； 发送方或接收方使用接收方长期公钥计算 一次性公钥； 发送方采用加密算法， 使用所述 一次性公钥对待发送数据进行加密， 生成密文； 发送方将所述 一次性公钥和所述密文发送至公共系统； 接收方从所述公共系统中获取 所述一次性公钥和所述密文； 接收方根据所述一 次性公钥计算对应的一 次性私钥， 并校验生成的一 次性私钥是否正 确； 接收方采用解密算法， 使用所述 一次性私钥对接收的密文 进行解密， 生成解密数据； 监管方采用监管方长期私钥和所述一 次性公钥计算出接收方长期公钥， 根据 所述接收 方长期公钥与身份信息的绑定关系， 追踪接收方身份信息 。 2.根据权利要求1所述的方法， 获取接收方长期公钥包括： 设置椭圆曲线 y2=x3+ax+b， 其中，O为椭圆曲线的原点， G为椭圆曲线群上的基点， n为椭 圆曲线基点 G的阶，n为素数；a和b为椭圆曲线的系数； 利用 表示椭圆曲线群， 其中， 环Z/ nZ中的元素是乘法可逆的， Z/ nZ构成一个域； 其 中，Z是自然数， Z/ nZ表示一个集合， 所述集合的元素包括： 属于 Z且除以n余0的所有数、 属于 Z且除以n余1的所有数、 属于 Z且除以n余2的所有数、 ……、 属于Z且除以n余n‑1的所有数； 利用两个哈希函数 Hash1、Hash2分别将任意长的0或1bit数据或群 中的元素映射为0 到n‑1范围内的自然数， 即 Hash1:{1,0}*→Zn，Hash2:  →Zn； 其中， 哈希函数 Hash1的输入是任意长的0或1， 输出范围是0到n ‑1之间的自然数； 哈希函 数Hash2的输入是群 中的元素， 输出范围是0到n ‑1之间的自然数； *号代表任意长的0/ 1bit； {0,1}*代表任意长的0 /1bit数据； Zn是0到n‑1之间的自然数； →表示映射； 系统参数表示 为： SP=(a, b,  , G, n, Hash1, Hash2)， 发送方选择2个随机数 a1, b1∈Zn*并如下计算： A1←a1 •  G B1←b 1 •  G ； 发送方长期 私钥为sk1=(a1, b1)， 发送方长期公钥为 PK1=( A1, B1)； 接收方选择2个随机数 a2, b2∈Zn*并如下计算： A2←a2 •  G B2←b2 •  G ； 接收方长期 私钥为sk2=(a2, b2)， 接收方长期公钥为 PK2=( A2, B2)； 监管方选择2个随机数 a3, b3∈Zn*并如下计算： A3←a3 •  G B3←b3 •  G ；权　利　要　求　书 1/4 页 2 CN 115225257 A 2监管方长期私钥为sk3=(a3, b3)， 监管方长期公钥为 PK3=( A3, B3)； 其中，Zn*为1到n‑1范围内的自然数； 其中←表示将符号右边的函数值计算出来赋值给符号左边的参数。 3.根据权利要求2所述的方法， 使用接收方长期公钥计算 一次性公钥包括： 发送方选 择一个随机数 r1∈Zn*， 输入发送方局部私钥 a1、 接收方长期公钥 PK2=( A2, B2) 和监管方局部公钥 A3， 进行如下计算： r2←Hash1(r1, a1 • A2) ， r3←Hash2 (r2•A3) ， R←r2• G ， PK2OneTime←r3• G+ R+ B2 ， 一次性公钥表示 为：Addr=(PK2OneTime, R, r1) ； 或者， 接收方选择一个随机数 r1′∈Zn*， 输入接收方长期私钥 sk2=(a2, b2)， 发送方局部公钥 A1， 监管方局部公钥 A3， 进行如下计算： r2′ ←Hash1(r1′, a2 • A1) ， r3′ ←Hash2 (r2′ • A3) ， R′ ←r2′ • G ， PK2OneTime′ ←r3′ • G+ R′+ B2 ， 一次性公钥表示 为：Addr′=( PK2OneTime′, R′, r1′)； 其中←表示将符号右边的函数值计算出来赋值给符号左边的参数。 4.根据权利要求3所述的方法， 接收方根据所述一次性公钥计算对应的一次性私钥包 括： 接收方输入接收方长期私钥 sk2=(a2, b2)、 从公共系统中获得的一次性公钥 Addr= (PK2OneTime, R, r1)、 发送方局部公钥 A1和监管方局部公钥 A3， 进行如下计算： r2←Hash1(r1, a2• A1) ， r3←Hash2 (r2•A3) ， sk2 OneTime←r3+ r2+ b2 ， 如果以下 校验等式成立： R= r2• G PK2OneTime= sk2 OneTime• G； 则所述一次性私钥计算 正确。 5.根据权利要求4所述的方法， 监管方利用监管方私钥和所述一次性公钥确定接收方 长期公钥包括： 监管方输入监管方局部私钥 a3和从公共系统中获得的一次性公钥 Addr=(PK2OneTime, R,  r1)， 进行如下计算： r3←Hash2 (a3• R) ， B2←PK2OneTime – R –r3• G 监管方计算出接收方长期公钥 B2， 根据所述接收方长期公钥 与身份信息的绑 定关系， 追 踪接收方身份信息， 实现监管。权　利　要　求　书 2/4 页 3 CN 115225257 A 3