CN114726532B - 基于区块链分布式标识的可信环境认证方法及系统 - Google Patents

基于区块链分布式标识的可信环境认证方法及系统 Download PDF

Info

Publication number
CN114726532B
CN114726532B CN202210247782.3A CN202210247782A CN114726532B CN 114726532 B CN114726532 B CN 114726532B CN 202210247782 A CN202210247782 A CN 202210247782A CN 114726532 B CN114726532 B CN 114726532B
Authority
CN
China
Prior art keywords
identity
trusted
distributed
certificate
trusted service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210247782.3A
Other languages
English (en)
Other versions
CN114726532A (zh
Inventor
谭林
储超尘
姚昱旻
刘齐军
王云丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Tianhe Guoyun Technology Co Ltd
Original Assignee
Hunan Tianhe Guoyun Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Tianhe Guoyun Technology Co Ltd filed Critical Hunan Tianhe Guoyun Technology Co Ltd
Priority to CN202210247782.3A priority Critical patent/CN114726532B/zh
Publication of CN114726532A publication Critical patent/CN114726532A/zh
Application granted granted Critical
Publication of CN114726532B publication Critical patent/CN114726532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明公开了一种基于区块链分布式标识的可信环境认证方法及系统,该方法的步骤包括:为可信服务创建分布式身份标识;向分布式身份标识区块链节点申请可验证的身份证明,将分布式身份标识、可验证的身份证明存储在区块链节点;分布式身份标识、可验证证明和DCAP对报告引用的签名一起返给可信服务;可信服务将报告、分布式身份标识和可验证的身份证明写入证书;可信服务之间获取证书或者是第三方服务获取证书,从证书扩展中取出分布式身份标识和可验证的身份证明,进行可信服务的身份验证。该系统用来实施上述方法。本发明具有原理简单、操作简便、适用范围广、安全性更高等优点。

Description

基于区块链分布式标识的可信环境认证方法及系统
技术领域
本发明主要涉及到区块链技术领域,特指一种基于区块链分布式标识的可信环境认证方法及系统。
背景技术
信任是网络空间中安全交互的基础。但随着软件复杂度和攻击水平的提高,移动环境和云平台的安全对硬件和平台安全机制的需要更加迫切。基于硬件的可信计算从安全的起点、基础以及强度相比传统安全技术有本质区别。因此,目前和未来基于硬件的可信计算环境有广泛的应用需求。
其中,Intel推出的SGX(Software Guard Extensions)指令集扩展,就是旨在以硬件安全为强制性保障,不依赖于固件和软件的安全状态,提供用户空间的可信执行环境。它通过一组新的指令集扩展与访问控制机制,实现不同程序间的隔离运行,保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏。
在基于SGX的可信计算中,可以在处理器的可信环境中执行应用程序和存储应用的隐私数据,以保证程序代码和数据免受窃取和篡改,运行在可信环境中的应用服务被称为可信服务。
驻留在不同处理器的可信服务需要相互认证以建立安全的通信连接;非驻留处理器的第三方服务,如需参与可信环境下的计算任务,也需要对可信服务的身份进行认证以建立安全的通信连接。
当前的DCAP远程认证技术中,证明服务可以用于证明可信服务在启用了SGX的平台上被成功建立。然而,如果证明服务的根证书和私钥被泄露,则被泄露的根证书和私钥可被用于伪造服务证书,则虽然服务是运行在SGX当中、证书的身份和远程认证中的报告也能被验证,但这种情况下的服务已经不属于可信环境下的服务,参与计算任务的其他可信服务和第三方服务存在被蒙骗进而泄露隐私数据的可能。
发明内容
本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一种原理简单、操作简便、适用范围广、安全性更高的基于区块链分布式标识的可信环境认证方法及系统。
为解决上述技术问题,本发明采用以下技术方案:
一种基于区块链分布式标识的可信环境认证方法,其步骤包括:
为可信服务创建分布式身份标识;
向分布式身份标识区块链节点申请可验证的身份证明,将分布式身份标识、可验证的身份证明存储在区块链节点;
分布式身份标识、可验证证明和DCAP对报告引用的签名一起返给可信服务;
可信服务将报告、分布式身份标识和可验证的身份证明写入证书;
可信服务之间获取证书或者是第三方服务获取证书,从证书扩展中取出分布式身份标识和可验证的身份证明,进行可信服务的身份验证。
作为本发明方法的进一步改进:对可验证的身份证明进行哈希计算,分布式身份标识、可验证的身份证明的指纹信息存储在区块链节点。
作为本发明方法的进一步改进:可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展;可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
作为本发明方法的进一步改进:为可信环境注册可信服务可验证证明的发行方,并为发行方创建分发行方布式身份标识。
作为本发明方法的进一步改进:所述分布式身份标识和发行方布式身份标识存储在分布式身份标识区块链网络。
作为本发明方法的进一步改进:所述可验证证明的发行方为可信服务创建证明类型,在证明类型中确定可信服务证明的格式。
作为本发明方法的进一步改进:对所述证明类型进行哈希计算,并将哈希指纹存储在分布式身份标识区块链网络。
作为本发明方法的进一步改进:在可信服务进行DCAP远程认证阶段,所述可验证证明的发行方为可信服务创建分布式身份标识,并将标识存储在分布式身份标识区块链网络。
作为本发明方法的进一步改进:在可信服务进行DCAP远程认证阶段,可验证证明发行方根据证明类型中的证明格式,为可信服务颁发证明,并对证明进行哈希计算,将哈希指纹存储在分布式身份标识区块链网络。
作为本发明方法的进一步改进:所述可信服务可验证包括了声明类型代码、声明颁布者、声明创建时间、声明过期时间、可信服务分布式身份标识、可信服务开发者度量、可信服务完整性度量。
作为本发明方法的进一步改进:所述可信服务分布式标识包括前缀部分和后缀部分,所述前缀部分包括了可信环境标识和可信环境代码,所述后缀部分包括了可信服务标识和可信服务度量。
本发明进一步提供一种基于区块链分布式标识的可信环境认证系统,其包括:
可信服务认证中心,用来为可信服务创建分布式身份标识,并生成标识文档;
分布式身份标识区块链,用来存储可信服务的分布式身份标识、可验证的身份证明;
分布式身份标识验证模块,用来提取可信服务的分布式身份标识、可验证的身份证明,并验证可信服务的身份。
作为本发明系统的进一步改进:所述可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展。
作为本发明系统的进一步改进:所述可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
与现有技术相比,本发明的优点就在于:
1、本发明的基于区块链分布式标识的可信环境认证方法及系统,原理简单、操作简便、适用范围广;本发明针对SGX现有的DCAP远程认证方式中存在的安全隐患,提供一种基于区块链分布式标识的身份验证方法,本发明利用区块链提升了SGX现有的DCAP远程认证方式的安全性。
2、本发明的基于区块链分布式标识的可信环境认证方法及系统,可信服务由区块链网络通过共识后准入。因为在第三方服务对可信服务的身份进行验证时,需要对可信服务的分布式身份标识和可验证声明进行验证,所以在可信服务启动时,需要向区块链网络提交完整性证明和开发者证明,由区块链网络经过多方共识后才能一致同意,给可信服务分配分布式身份标识和颁发可验证声明。
3、本发明的基于区块链分布式标识的可信环境认证方法及系统,可信服务的准入和服务行为被区块链网络记录,可追溯不可篡改。与一般可信计算模型不同,本发明的模型中用区块链网络记录了可信服务的申请准入、批准加入和身份信息,对往后的可信服务追溯创造了基础。
4、本发明的基于区块链分布式标识的可信环境认证方法及系统,可信服务身份信息可验证。第三方服务在接收可信服务的任务时,必须对可信服务的分布式身份标识和可验证声明进行验证,而且此验证都是在区块链网络上进行,确保了可信服务所提供的服务本身是值得信任的。
附图说明
图1是本发明方法的流程示意图。
图2是本发明在具体应用实例中系统的结构原理是以图。
图3是本发明在具体应用实例中可信服务分布式标识示意图。
图4是本发明在具体应用实例中可信服务可验证证明示意图。
图5本发明在具体应用实例中基于区块链分布式身份标识的可信环境认证的逻辑示意图。
图6是本发明在具体应用实例中写入TLS证书扩展的示意图。
具体实施方式
以下将结合说明书附图和具体实施例对本发明做进一步详细说明。
如图1所示,本发明的基于区块链分布式标识的可信环境认证方法,其步骤包括:
为可信服务创建分布式身份标识,并生成标识文档;
向分布式身份标识区块链节点申请可验证的身份证明,并对可验证的身份证明进行哈希计算,分布式身份标识、可验证的身份证明的指纹信息存储在区块链节点;
分布式身份标识、可验证证明和DCAP对报告引用的签名一起返回给可信服务;
可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展;
可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
在具体应用实例中,本发明进一步为可信环境注册可信服务可验证证明的发行方,并为发行方创建分布式身份标识。
作为优选方案,进一步所述分布式身份标识和发行方身份存储在分布式身份标识区块链网络。
作为优选方案,进一步可验证证明的发行方为可信服务创建证明类型,在证明类型中确定可信服务证明的格式;进一步,对证明类型进行哈希计算,并将哈希指纹存储在分布式身份标识区块链网络。
参见图5,在可信服务进行DCAP远程认证阶段,所述可验证证明的发行方为可信服务创建分布式身份标识,并将标识存储在分布式身份标识区块链网络。
在可信服务进行DCAP远程认证阶段,可验证证明发行方根据证明类型中的证明格式,为可信服务颁发证明,并对证明进行哈希计算,将哈希指纹存储在分布式身份标识区块链网络。
在可信服务进行DCAP远程认证阶段,认证服务将身份标识和可信服务的可验证证明与报告引用签名一起返回给可信服务。
在应用时,可信服务在启动阶段,将身份标识和可验证证明添加至证书扩展中;第三方服务在与可信服务建立TLS连接后,从服务证书的扩展中获取可信服务的身份标识和身份证明,并通过身份验证模块验证可信服务的身份。
在实际应用时,其详细流程可以为:
步骤1:在飞地中生成数据、代码的完整性度量和开发者度量;
步骤2:在飞地中计算数据、完整性度量和开发者度量的哈希值,并生成报告;
步骤3:从SGX引用飞地生成报告的引用;
步骤4:带着报告引用、完整性度量和开发者度量向DCAP申请报告证明;
步骤5:DCAP带着可信服务的完整性度量和开发者度量向区块链网络申请该可信服务的分布式身份标识;
步骤6:区块链网络按照分布式身份标识的格式为可信服务生成分布式身份标识;
步骤7:DCAP带着可信服务的完整性度量、开发者度量和步骤6中申请到的分布式身份标识,向区块链网络申请可信服务的可验证身份证明;
步骤8:区块链网络按照可信服务可验证身份证明的格式,为可信服务颁发可验证身份证明,证明中包含颁发者的分布式身份标识;
步骤9:DCAP将可信服务报告引用的签名、可信服务的分布式身份标识和可信服务的可验证身份证明发送给可信服务;
步骤10:在可信服务与第三方服务建立TLS链接时,可信服务将分布式身份标识和可验证证明添加到证书扩展中;
步骤11:第三方服务从连接中获取可信服务的证书,在经过证书链的验证后,从证书扩张中提取可信服务的分布式身份标识和可验证证明;
步骤12:第三方服务带着可信服务的分布式身份标识向区块链网络验证标识的合法性;
步骤13:区块链网络对可信服务的分布式身份标识验证通过;
步骤14:第三方服务从可信服务的可验证证明中取出证明颁发者的分布式身份标识,并向区块链网络验证其合法性;
步骤15:区块链网络对可验证证明颁发者的分布式身份标识验证通过;
步骤16:第三方服务从可信服务证书中提取可信服务可验证证明,并计算其指纹;
步骤17:第三方服务带着可信服务可验证证明的指纹,向区块链网络验证其合法性;
步骤18:区块链网络验证可信服务可验证证明的指纹是合法的。
如图3所示,为本发明在具体应用实例中可信服务分布式标识示意图,其由前缀和后缀组成,所述前缀部分包括了可信环境标识和可信环境代码,所述后缀部分包括了可信服务标识和可信服务度量。
可信服务分布式身份标识包含可信环境标识、可信环境代码、可信服务标识和可信服务度量。可信环境标识,长度为13位字符的固定字符串“did:enclaveid”;可信环境代码,是每一组可信环境的唯一标识,为可信环境名称的哈希值,长度为64个字符;可信服务标识,即可信服务的分布式身份标识,长度42位字符串的公钥地址;可信服务度量,完整性度量和开发者度量拼接字符串。
如图4所示,为本发明在具体应用实例中可信服务可验证证明示意图,其包括了声明类型代码、声明颁布者、声明创建时间、声明过期时间、可信服务分布式身份标识、可信服务开发者度量、可信服务完整性度量。
可信服务可验证证明包含声明类型代码、声明颁发者、声明过期时间、可信服务分布式身份标识、可信服务开发者度量、可信服务完整性度量。其中声明证明类型是由颁发者先期生成的3位整数;声明颁发者,声明颁发者的分布式身份标识,在第三方服务对可信服务的验证阶段,也会在区块链网络中验证颁发者的分布式身份标识的合法性。在第三方服务对可信服务的验证阶段,整个声明将被生成指纹,区块链网络将验证声明指纹的合法性。
如图6所示,为本发明在一个具体应用实例中写入TLS证书扩展的示意图。
如图2所示,本发明进一步提供一种基于区块链分布式标识的可信环境认证系统,包括:
可信服务认证中心,用来为可信服务创建分布式身份标识,并生成标识文档;
分布式身份标识区块链,用来存储可信服务的分布式身份标识、可验证的身份证明;
分布式身份标识验证模块,用来提取可信服务的分布式身份标识、可验证的身份证明,并验证可信服务的身份。
在具体应用实例中,所述可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展。
在具体应用实例中,可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
在一个具体应用实例中,多家金融机构和金融风控机构成立隐私计算联盟,目的是基于各个机构内部数据通过数据不出本地、数据可用不可见的方式进行多方计算和联合分析。组织采用可信计算技术来实现隐私计算功能,并采购Intel芯片通过SGX技术来实现可信服务的建立。
如果数据的需求方需要基于其他多家金融机构的数据来做数据的联合分析,则由数据的需求方基于IntelSGX建立可信服务,多家金融机构作为数据的持有方,将数据通过SGX的ECALL函数提交给可信服务。数据需求方的程序在可信服务内启动,然后对各机构数据进行分析,最后得到结果并通过SGX的OCALL函数输出。数据从数据持有方传输到可信服务的过程是被加密的,只有到可信服务内部才能被解开;数据从可信服务传输到目的环境的过程也是被加密的;数据在可信服务中是存储在飞地锁定保护的物理内存区域,非SGX处理器和特权程序均无法从飞地外访问飞地内的程序和数据;在数据持有方为可信服务提供数据之前,可以通过DCAP认证服务来对可信服务的身份进行验证。所以整个流程中,在Primary Key、根证书和组织私钥没有泄露的情况下,隐私计算联盟的体系是安全的,数据隐私是可以得到保证的。
如果Primary Key、根证书和私钥被泄露给半诚实者(即对金融机构的数据有好奇心的人),他可以通过根证书和私钥生成可信服务的TLS证书,并用合法Primary Key通过DCAP认证,可信服务也能成功建立起来,但是因为他属于对金融机构的数据有好奇心的半诚实者,并可以通过OCALL函数将原始数据直接输出给自己,所以他创建的可信服务不属于被联盟共识认可的可信服务。例如:HalfHonest想要获得BankA和BankB的某年9月的开户数据,HalfHonest可以通过如下步骤:
采购IntelSGX芯片;
通过泄露的根证书和私钥生成TLS证书,创建可信服务,可信服务内运行的程序将ECALL的输入直接进行OCALL输出;
向BankA和BankB发起数据联合分析的任务,要求BankA和BankB提供9月开户数据,并对数据求开户账号的交集;
BankA和BankB在任务执行前,对HalfHonest的证书链和报告引用的签名进行验证。因为HalfHonest的证书是根据泄露的根证书和私钥生成的,HalfHonest也拿到了泄露的Primary Key,所以验证都能通过。在这种情况下,BankA和BankB会认为任务的执行服务是可信的,并提交开户数据;
HalfHonest的可信服务拿到数据后,直接通过OCALL将数据输出到自己可控的位置,完成对BankA和BankB的9月开户数据的窃取。
本发明通过引入了分布式身份标识区块链网络,在隐私计算联盟内对可信服务的身份进行共识确认,进一步保证了此场景下的数据隐私安全。除SGX官方远程认证步骤,本发明的步骤具体如下:
步骤1:隐私计算联盟为包含多个可信服务的可信环境创建可信环境代码,并为隐私计算联盟制定可信服务的可验证声明类型;
步骤2:隐私计算联盟的可信服务向DCAP请求报告引用的证明的过程中,区块链网络在达成共识后,将向DCAP返回可信服务的分布式身份标识和可验证声明,DCAP将可信服务的分布式身份标识和可验证声明返回给隐私计算联盟中的可信服务;
步骤3:BANKA和BANKB在执行隐私计算任务过程中,需要与可信服务建立TLS连接,并且将数据通过连接提交给可信服务处理。在此过程中,BANKA和BANKB共同执行如下步骤:从连接中获取可信服务的TLS证书;从证书扩展中获取可信服务的分布式身份标识和可验证声明;向区块链网络验证可信服务分布式身份标识的合法性;向区块链网络验证可验证声明颁发者的分布式身份标识的合法性;向区块链网络验证可验证声明;
步骤4:BANKA和BANKB完成了对可信服务分布式身份标识、声明颁发者分布式身份标识和可验证声明的验证。可信服务通过了SGX远程认证和区块链分布式身份的双重验证,不仅证明了可信服务在硬件安全模块支持下的安全性,还证明该可信服务是由隐私计算联盟达成共识后批准后启动加入的,不是半诚实者。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。

Claims (14)

1.一种基于区块链分布式标识的可信环境认证方法,其特征在于,步骤包括:
为可信服务创建分布式身份标识;
向分布式身份标识区块链节点申请可验证的身份证明,将分布式身份标识、可验证的身份证明存储在区块链节点;
分布式身份标识、可验证的身份证明和DCAP对报告引用的签名一起返给可信服务;
可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书;
可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从TLS证书扩展中取出分布式身份标识和可验证的身份证明,进行可信服务的身份验证。
2.根据权利要求1所述的基于区块链分布式标识的可信环境认证方法,其特征在于,对可验证的身份证明进行哈希计算,分布式身份标识、可验证的身份证明的指纹信息存储在区块链节点。
3.根据权利要求1所述的基于区块链分布式标识的可信环境认证方法,其特征在于,可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展;可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
4.根据权利要求1或2或3所述的基于区块链分布式标识的可信环境认证方法,其特征在于,为可信环境注册可信服务可验证证明的发行方,并为发行方创建发行方分布式身份标识。
5.根据权利要求4所述的基于区块链分布式标识的可信环境认证方法,其特征在于,所述分布式身份标识和发行方分布式身份标识存储在分布式身份标识区块链网络。
6.根据权利要求4所述的基于区块链分布式标识的可信环境认证方法,其特征在于,所述可验证的身份证明的发行方为可信服务创建证明类型,在证明类型中确定可信服务证明的格式。
7.根据权利要求6所述的基于区块链分布式标识的可信环境认证方法,其特征在于,对所述证明类型进行哈希计算,并将哈希指纹存储在分布式身份标识区块链网络。
8.根据权利要求4所述的基于区块链分布式标识的可信环境认证方法,其特征在于,在可信服务进行DCAP远程认证阶段,所述可验证的身份证明的发行方为可信服务创建分布式身份标识,并将标识存储在分布式身份标识区块链网络。
9.根据权利要求6所述的基于区块链分布式标识的可信环境认证方法,其特征在于,在可信服务进行DCAP远程认证阶段,可验证的身份证明发行方根据证明类型中的证明格式,为可信服务颁发证明,并对证明进行哈希计算,将哈希指纹存储在分布式身份标识区块链网络。
10.根据权利要求6所述的基于区块链分布式标识的可信环境认证方法,其特征在于,所述可信服务验证包括了声明类型代码、声明颁布者、声明创建时间、声明过期时间、可信服务分布式身份标识、可信服务开发者度量、可信服务完整性度量中的一个或多个。
11.根据权利要求1或2或3所述的基于区块链分布式标识的可信环境认证方法,其特征在于,所述可信服务分布式身份标识包括前缀部分和后缀部分,所述前缀部分包括了可信环境标识和可信环境代码,所述后缀部分包括了可信服务标识和可信服务度量。
12.一种基于区块链分布式标识的可信环境认证系统,其特征在于,包括:
可信服务认证中心,用来为可信服务创建分布式身份标识,并生成标识文档;
分布式身份标识区块链,用来存储可信服务的分布式身份标识和可验证的身份证明;
分布式身份标识验证模块,用来提取可信服务的分布式身份标识和可验证的身份证明,并验证可信服务的身份;
可信服务将报告、分布式身份标识、可验证的身份证明写入TLS证书的扩展;可信服务之间获取TLS证书或者第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,通过分布式身份标识验证模块验证可信服务的身份。
13.根据权利要求12所述的基于区块链分布式标识的可信环境认证系统,其特征在于,所述可信服务将报告、分布式身份标识和可验证的身份证明写入TLS证书的扩展。
14.根据权利要求12所述的基于区块链分布式标识的可信环境认证系统,其特征在于,所述可信服务之间获取TLS证书或者是第三方服务获取TLS证书,从证书扩展中取出分布式身份标识和可验证的身份证明,并通过分布式身份标识验证模块验证可信服务的身份。
CN202210247782.3A 2022-03-14 2022-03-14 基于区块链分布式标识的可信环境认证方法及系统 Active CN114726532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210247782.3A CN114726532B (zh) 2022-03-14 2022-03-14 基于区块链分布式标识的可信环境认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210247782.3A CN114726532B (zh) 2022-03-14 2022-03-14 基于区块链分布式标识的可信环境认证方法及系统

Publications (2)

Publication Number Publication Date
CN114726532A CN114726532A (zh) 2022-07-08
CN114726532B true CN114726532B (zh) 2023-02-14

Family

ID=82237186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210247782.3A Active CN114726532B (zh) 2022-03-14 2022-03-14 基于区块链分布式标识的可信环境认证方法及系统

Country Status (1)

Country Link
CN (1) CN114726532B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108462696A (zh) * 2018-02-05 2018-08-28 上海千加信息科技有限公司 一种去中心化的区块链智能身份认证系统
CN111478769A (zh) * 2020-03-18 2020-07-31 西安电子科技大学 一种分布式可信身份认证方法、系统、存储介质、终端
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210314293A1 (en) * 2020-04-02 2021-10-07 Hewlett Packard Enterprise Development Lp Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108462696A (zh) * 2018-02-05 2018-08-28 上海千加信息科技有限公司 一种去中心化的区块链智能身份认证系统
CN111478769A (zh) * 2020-03-18 2020-07-31 西安电子科技大学 一种分布式可信身份认证方法、系统、存储介质、终端
CN111835528A (zh) * 2020-07-16 2020-10-27 广州大学 一种去中心化的物联网跨域访问授权方法及系统

Also Published As

Publication number Publication date
CN114726532A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
CN109325331B (zh) 基于区块链和可信计算平台的大数据采集交易系统
Chen et al. XAuth: Efficient privacy-preserving cross-domain authentication
CN106452772B (zh) 终端认证方法和装置
CN113301022B (zh) 基于区块链和雾计算的物联网设备身份安全认证方法
CN108737391B (zh) 信息服务实体身份标识快速撤销方法
Patel et al. DAuth: A decentralized web authentication system using Ethereum based blockchain
CN105187405A (zh) 基于信誉的云计算身份管理方法
Alzuwaini et al. An Efficient Mechanism to Prevent the Phishing Attacks.
Wazid et al. BUAKA-CS: Blockchain-enabled user authentication and key agreement scheme for crowdsourcing system
CN114760071B (zh) 基于零知识证明的跨域数字证书管理方法、系统和介质
WO2021026980A1 (zh) 一种实现区块链交易实名制的方法
KR20210103615A (ko) 블록체인 기반 사용자 인증 방법
Riad et al. A blockchain-based key-revocation access control for open banking
CN112968779B (zh) 一种安全认证与授权控制方法、控制系统、程序存储介质
Meshram et al. An efficient remote user authentication with key agreement procedure based on convolution-Chebyshev chaotic maps using biometric
Buccafurri et al. Ethereum Transactions and Smart Contracts among Secure Identities.
Kizza Authentication
Boontaetae et al. RDI: Real digital identity based on decentralized PKI
Lim et al. AuthChain: a decentralized blockchain-based authentication system
CN114726532B (zh) 基于区块链分布式标识的可信环境认证方法及系统
Yousra et al. A novel secure and privacy-preserving model for OpenID connect based on blockchain
Fathalla et al. PT-SSIM: A Proactive, Trustworthy Self-Sovereign Identity Management System.
CN113326527A (zh) 一种基于区块链的可信数字签名系统及方法
Lyu et al. JRS: A joint regulating scheme for secretly shared content based on blockchain
Sadqi et al. A cryptographic mutual authentication scheme for web applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant