CN107426157A

CN107426157A - 一种基于数字证书以及ca认证体系的联盟链权限控制方法

Info

Publication number: CN107426157A
Application number: CN201710265307.8A
Authority: CN
Inventors: 尹可挺; 梁秀波; 邱炜伟; 李启雷; 李伟
Original assignee: Hangzhou Qulian Technology Co Ltd
Current assignee: Hangzhou Qulian Technology Co Ltd
Priority date: 2017-04-21
Filing date: 2017-04-21
Publication date: 2017-12-01
Anticipated expiration: 2037-04-21
Also published as: CN107426157B

Abstract

本发明公开了一种基于数字证书以及CA认证体系的联盟链权限控制方法。在联盟链中，通过分层的数字证书签发体系，实现联盟链的准入控制和自动权限认证。本发明预先定义了三种权限机制，分别用于控制联盟链节点之间的准入权限，联盟链节点的角色权限以及区块链用户的访问权限。利用三种数字证书：准入证书、角色证书以及交易证书分别控制节点准入，角色鉴别以及客户端准入三种权限。采用国际通用的椭圆曲线数字签名算法或是国密数字签名算法实现数字证书的生成及安全消息的签名及验证，解决了传统区块链的权限粒度大甚至没有准入功能等缺陷，并为区块链用户提供了匿名交易特性，提高了区块链交易的安全性并满足了用户的隐私需求。

Description

一种基于数字证书以及CA认证体系的联盟链权限控制方法

技术领域

本发明涉及去中心化的区块链账本技术和权限控制方法，尤其涉及一种基于数字证书以及CA认证体系的联盟链权限控制方法。

背景技术

区块链技术，区块链是一种新型去中心化协议，能安全地存储数字货币交易或其他数据，信息不可伪造和篡改，区块链上的交易确认由区块链上的所有节点共同完成，由共识算法保证其一致性，区块链上维护一个公共的账本，用于存储区块链网络上所有用户的余额，公共账本位于存储区块上任何节点可见，从而保证其不可伪造和篡改。

传统区块链上，所有的用户都是匿名且没有准入权限控制，任何人都可以加入或者退出，在联盟链的特殊场景当中，需要对加入联盟链的节点进行准入权限控制。但是传统的区块链技术并不涉及该功能。在传统的区块链中，节点的加入和退出是非常随意的，节点之间的角色也可以随意变换，验证节点和非验证节点之间可以随意切换，任意用户都可以随意访问区块链，并取得区块链上的数据，在实际应用当中，很多机密信息是不能公开，并限定在一定权限范围之内的。

在处理较高加密级别的数据或者较为关键的信息的区块链上，对区块链的访问需要进行权限控制，因此，我们利用数字证书和CA认证机制实现联盟链的权限控制。

数字签名是广泛应用在互联网上用于鉴别身份的一种加密技术，数字证书在数字签名的基础上实现了身份的可信鉴别，在信任一个第三方可信机构的前提下，实现双方的可信身份鉴别，并在此基础上实现消息的安全传输。

发明内容

本发明的目的是针对现有技术的不足，提供一种基于数字证书以及CA认证体系的联盟链权限控制方法，在联盟链中，通过分层的数字证书签发体系，实现联盟链的准入控制和自动权限认证。本发明预先定义了三种权限机制，分别用于控制联盟链节点之间的准入权限，联盟链节点的角色权限以及区块链用户的访问权限。利用三种数字证书：准入证书、角色证书以及交易证书分别控制节点准入，角色鉴别以及客户端准入三种权限。采用国际通用的椭圆曲线数字签名算法或是国密数字签名算法实现数字证书的生成及安全消息的签名及验证，解决了传统区块链的权限粒度大甚至没有准入功能等缺陷，并为区块链用户提供了匿名交易特性，提高了区块链交易的安全性并满足了用户的隐私需求。

本发明的目的是通过以下技术方案来实现的：一种基于数字证书以及CA认证体系的联盟链权限控制方法，包括如下步骤：

1)根证书生成：由一个联盟链各方信任的第三方机构RTCA生成全联盟链全网根数字证书RTCERT,由该机构向下签发相应的代理证书签发机构子根证书，代理数字证书签发机构包括准入代理签发机构EACA和角色代理签发机构RACA，EACA和RACA持有代理签发根证书，代理签发根证书包括准入代理签发根证书EARTCERT和角色代理签发根证书RARTCERT。

2)准入证书签发：需要加入联盟链的节点或者客户端，向EACA提供公钥和身份信息，EACA利用EARTCERT与其相对应的私钥，对需要加入联盟链的节点颁发准入证书ECERT，所有的节点和客户端都需要申请ECERT。

3)角色证书签发：需要加入联盟链的验证节点VP将自己的公钥和身份信息线下提供给RACA，RACA利用RARTCERT与其对应的私钥，结合对需要加入的联盟链的验证节点VP颁发角色证书，非验证节点NVP不需要申请。

4)节点准入鉴权：在联盟链节点完成节点之间的相互连接的过程中，记连接发起节点为B,被动连接节点记为A，在联盟链建立之时或新节点加入时，节点A需要验证所有向自己连接的节点的权限。节点B在发起连接的同时将ECERT发送到被动连接节点A处，节点A验证节点B的证书的合法性以及附带信息的来源，验证A的身份信息，若通过则允许节点B连接到节点A。

5)节点角色鉴权：联盟链节点相互连接之时需要对节点角色进行鉴别，如果是验证节点，则该节点连接之时会附带RCERT，在被动连接节点A验证通过之后，节点A会将连接发起节点B标记为验证节点，并将验证消息转发至B。

6)客户端准入鉴权：联盟链权限体系在逻辑上是一个整体，所有需要访问联盟链的SDK及客户端应用都需要持有由EACA颁发的ECERT，客户端访问联盟链应用接口之前，被访问的节点需要对该客户端进行鉴权；节点对所有访问自己的客户端进行身份验证，并对该客户端身份信息进行记录，所有客户端的行为都将由该节点A进行代理；客户端通过访问节点A发起的交易将在节点端用节点证书及其对应私钥替换交易签名，并进行转发。

7)交易证书签发：交易证书TCERT，为了满足客户端的消息的权限控制以及一定程度上的匿名性，交易证书将会作为客户端的临时身份凭据进行签发。客户端在利用ECERT在节点A通过准入鉴权之后，节点A将为该客户端在线签发短期交易证书TCERT,客户端在下次访问的时候利用该TCERT对交易信息进行签名；而TCERT中将不会包含详细的客户端身份信息，仅包含身份指纹，该TCERT以节点A的ECERT作为根证书进行签发。

8)伪匿名交易：客户端可以利用TCERT实现相对匿名交易，客户端利用ECERT通过身份认证之后，取得节点在线签发的短期TCERT，利用该短期TCERT，客户端可以获取更多的TCERT,而TCERT中的身份标识将会动态变化，客户端在每次发起交易请求时利用不同的TCERT所对应的私钥进行消息签名。

进一步的，所述第三方机构RTCA最终可以通过联盟链全网节点进行共识实现。

进一步的，EACA,RACA以及RTCA都作为一家或者多家实体机构存在。

进一步的，所述ECERT分为可向下签发子证书ECERT(A)和不可签发子证书ECERT(B)两类，ECERT(A)由联盟链节点持有，ECERT(B)由SDK、用户自行开发应用和第三方开发工具包客户端持有。

进一步的，节点将利用ECERT(A)作为根证书签发TCERT，客户端指纹信息将包含在TCERT中，节点利用该信息对客户端进行识别。节点在转发客户端信息的时候将原TCERT签名信息剥离，用自己的ECERT对应的私钥对该消息重新签名。

进一步的，非验证节点NVP不持有RCERT，或者持有未激活的RCERT。

进一步的，所有的节点在准入鉴权时采用统一的EACA进行验证。

进一步的，所有的节点在角色鉴权时将采用统一的RACA进行验证。

进一步的，客户端在申请TCERT的时候，需要提供自己的身份信息，被请求节点记录信息，并签发TCERT,在再次申请TCERT之时，需要提供身份指纹。

本发明的有益效果是：本发明在联盟链上对节点的准入和角色进行控制，在保有区块链技术特性的前提下，对区块链的数据访问权限进行相应的管理，满足了机密信息或是关键信息的安全保障，所有要求访问联盟链的客户端或节点都需要进行鉴权，最终能够实现所有访问行为的控制并能够进行审计。在客户端的访问层级又提供了一定程度的匿名性，在满足安全性的前提下，又能够满足用户对隐私的需求。本发明有效地解决了传统区块链的权限控制和联盟链消息匿名等问题。

附图说明

图1是联盟链数字证书权限认证体系架构图；

图2是ECERT请求流程示意图；

图3是RCERT请求流程示意图；

图4是联盟链节点间权限认证流程示意图；

图5是节点间角色认证流程示意图；

图6是客户端交易证书请求示意图。

具体实施方式

下面根据附图和具体实施例详细描述本发明，本发明的目的和效果将变得更加明显。

本发明基于加法同态加密的区块链隐私保护方法，包括如下步骤：

1)根证书生成：由一个联盟链各方信任的第三方机构(Root CertificateAuthority,RTCA)生成全联盟链全网根数字证书(记为Root Certificate，简称RTCERT),由该机构向下签发相应的代理证书签发机构子根证书，代理数字证书签发机构包括准入代理签发机构(Enrollment Agent Certificate Authority,简称EACA)和角色代理签发机构(Role Agent Certificate Authority,简称RACA)，EACA和RACA持有代理签发根证书，代理签发根证书包括准入代理签发根证书(Enrollment Agent Root Certificate,简称EARTCERT)和角色代理签发根证书(Role Agent Root Certificate,简称RARTCERT),完整证书体系如图1所示。

2)准入证书(Enrollment Certificate,简称ECERT)签发：需要加入联盟链的节点或者客户端，向EACA提供公钥和身份信息，EACA利用EARTCERT与其相对应的私钥，对需要加入联盟链的节点颁发准入证书ECERT，所有的节点和客户端都需要申请ECERT，如图2所示，。

3)角色证书(Role Certificate,简称RCERT)签发：需要加入联盟链的验证节点(Validate Peer，简称VP)将自己的公钥和身份信息线下提供给RACA，RACA利用RARTCERT与其对应的私钥，结合对需要加入的联盟链的验证节点VP颁发角色证书，非验证节点(NoneValidate Peer，简称NVP)不需要申请，如图3所示。

4)节点准入鉴权：在联盟链节点完成节点之间的相互连接的过程中，记连接发起节点为B，被动连接节点记为A，在联盟链建立之时或新节点加入时，节点A需要验证所有向自己连接的节点的权限。节点B在发起连接的同时将ECERT发送到被动连接节点A处，节点A验证节点B的证书的合法性以及附带信息的来源，验证A的身份信息，若通过则允许节点B连接到节点A，如图4所示。

7)交易证书(Transaction Certificate，简称TCERT)签发：交易证书TCERT，为了满足客户端的消息的权限控制以及一定程度上的匿名性，交易证书将会作为客户端的临时身份凭据进行签发。客户端在利用ECERT在节点A通过准入鉴权之后，节点A将为该客户端在线签发短期交易证书TCERT,客户端在下次访问的时候利用该TCERT对交易信息进行签名；而TCERT中将不会包含详细的客户端身份信息，仅包含身份指纹，该TCERT以节点A的ECERT作为根证书进行签发。

8)伪匿名交易：客户端可以利用TCERT实现相对匿名交易，客户端利用ECERT通过身份认证之后，取得节点在线签发的短期TCERT，利用该短期TCERT，客户端可以获取更多的TCERT,而TCERT中的身份标识将会动态变化，客户端在每次发起交易请求时利用不同的TCERT所对应的私钥进行消息签名，这样就无法通过证书信息获知客户端真实身份，提高了通过交易上下文推测客户端身份的难度。

进一步的，所述第三方机构RTCA并不限于实体机构，RTCA最终可以通过联盟链全网节点进行共识实现。

进一步的，EACA和RACA是为了便于各个节点进行证书申请，EACA,RACA以及RTCA都作为一家或者多家实体机构存在。

进一步的,步骤7)中，节点将利用ECERT(A)作为根证书签发TCERT，客户端指纹信息将包含在TCERT中，节点利用该信息对客户端进行识别。节点在转发客户端信息的时候将原TCERT签名信息剥离，用自己的ECERT对应的私钥对该消息重新签名。

进一步的,步骤3)中，非验证节点NVP不持有RCERT，或者持有未激活的RCERT。

进一步的,步骤4)中，所有的节点在准入鉴权时采用统一的EACA进行验证。

进一步的,步骤5)中，所有的节点在角色鉴权时将采用统一的RACA进行验证。

进一步的,步骤8)中，客户端在申请TCERT的时候，需要提供自己的身份信息，被请求节点记录信息，并签发TCERT,在再次申请TCERT之时，需要提供身份指纹。

下面用一个联盟链交易实例来说明具体实施方式：

联盟链验证节点通过线下书面请求向EACA申请相应的ECERT,如图2所示，取得该ECERT之后，再通过线下书面请求向RACA申请相应的RCERT，如图3所示。假设联盟链有四个节点ABCD,它们各自通过线下渠道取得相应的ECERT和RCERT,然后ABCD相互建立P2P连接，同时相互验证发送过来的ECERT和RCERT的合法性，如图4所示。

此时如果有新的非验证节点E需要加入的话，节点E会向VP节点提供ECERT证明自己有权限访问联盟链，但是无法提供RCERT，与此同时，验证节点A会向非验证节点E提供ECERT和RCERT来证明自己的验证节点的身份,如图5所示。

客户端如果需要访问联盟链引用应用口，则需要向节点提供相应的ECERT，该ECERT是由用户线下通过书面请求向EACA请求得到的，如图2所示。客户端先利用ECERT向联盟链节点请求相应一个TCERT，然后再利用该TCERT进行新的交易请求。当然，客户端也可以利用TCERT请求一个新的TCERT’这个取决于用户的需求，如图6所示。

客户端可以利用多个短期有效的TCERT发起交易请求，完成业务需求，同时由于TCERT中包含的信息仅仅是会动态变化的客户端身份指纹，第三方无法通过证书信息猜测客户端身份，实现匿名交易。在审计方面，节点拥有由自己签发证书的客户端的信息，能够追溯所有交易请求来源，完成审计需求。

Claims

1.一种基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，包括如下步骤：

7)交易证书签发：客户端在利用ECERT在节点A通过准入鉴权之后，节点A将为该客户端在线签发短期交易证书TCERT,客户端在下次访问的时候利用该TCERT对交易信息进行签名；而TCERT中将不会包含详细的客户端身份信息，仅包含身份指纹，该TCERT以节点A的ECERT作为根证书进行签发。

2.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，所述第三方机构RTCA最终可以通过联盟链全网节点进行共识实现。

3.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，EACA,RACA以及RTCA都作为一家或者多家实体机构存在。

4.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，所述ECERT分为可向下签发子证书ECERT(A)和不可签发子证书ECERT(B)两类，ECERT(A)由联盟链节点持有，ECERT(B)由SDK、用户自行开发应用和第三方开发工具包客户端持有。

5.如权利要求4所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，节点将利用ECERT(A)作为根证书签发TCERT，客户端指纹信息将包含在TCERT中，节点利用该信息对客户端进行识别。节点在转发客户端信息的时候将原TCERT签名信息剥离，用自己的ECERT对应的私钥对该消息重新签名。

6.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，非验证节点NVP不持有RCERT，或者持有未激活的RCERT。

7.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，所有的节点在准入鉴权时采用统一的EACA进行验证。

8.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，所有的节点在角色鉴权时将采用统一的RACA进行验证。

9.如权利要求1所述的基于数字证书以及CA认证体系的联盟链权限控制方法，其特征在于，客户端在申请TCERT的时候，需要提供自己的身份信息，被请求节点记录信息，并签发TCERT,在再次申请TCERT之时，需要提供身份指纹。