CN108737419B - 基于区块链的可信标识生命周期管理装置及方法 - Google Patents
基于区块链的可信标识生命周期管理装置及方法 Download PDFInfo
- Publication number
- CN108737419B CN108737419B CN201810495417.8A CN201810495417A CN108737419B CN 108737419 B CN108737419 B CN 108737419B CN 201810495417 A CN201810495417 A CN 201810495417A CN 108737419 B CN108737419 B CN 108737419B
- Authority
- CN
- China
- Prior art keywords
- identification
- pointer
- identifier
- commitment
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于区块链的可信标识生命周期管理装置及方法,其中,装置包括:标识签发模块,用于对信息服务实体的服务能力签发可信标识;标识及其指针承诺模块,用于对标识和标识指针进行承诺并存储到区块链;标识验证模块,用于验证标识的有效性;指针验证模块,用于验证标识指针的有效性;标识撤销模块,用于宣布标识无效;标识更新模块,用于再次签发和承诺标识的更新标识;标识和指针提取模块,用于从所述区块链中提取所述标识和所述标识指针。该装置使得可信标识以承诺方式存储在区块链上,普通用户仅能进行标识有效性验证而高级用户还能够进行指针有效性验证,从而保护信息服务实体的隐私。
Description
技术领域
本发明涉及通信装置中的认证与管理技术领域,特别涉及一种基于区块链的可信标识生命周期管理装置及方法。
背景技术
随着网络经济的快速发展,实现对信息服务的良序管理,对社会的发展至关重要。当前,针对信息服务可信管理的实践主要集中于云服务,如2014年推出《信息安全技术--云计算服务安全能力要求》与《信息安全技术--云计算服务安全指南》。这两项标准构成云计算服务安全管理的基础,其中,《信息安全技术--云计算服务安全能力要求》面向云服务商,提出了云服务商在为政府部门提供服务时应该具备的信息安全能力要求;而《信息安全技术--云计算服务安全指南》分析了云计算服务可能面临的主要安全风险,提出了政府部门和重点行业采用云计算服务的安全管理基本要求,以及云计算服务的生命周期各阶段的安全管理和技术要求。
虽然,在信息服务安全可信治理方面取得了一定进展,但是当前信息服务实体越来越多,服务内容多样化,仅从政策、标准方面对信息服务实体进行管理远远不能满足实际管理需求,还需要从技术角度对信息服务实体进行严格监管,以实现信息服务实体服务能力与可信度的权威认证,最终达到监管机构能够准确监管而用户能够根据可信标识合理使用信息服务实体提供的服务的目的。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种基于区块链的可信标识生命周期管理装置,该装置可以实现信息服务实体的隐私保护。
本发明的另一个目的在于提出一种基于区块链的可信标识生命周期管理方法。
为达到上述目的,本发明一方面实施例提出了一种基于区块链的可信标识生命周期管理装置,包括:标识签发模块,用于对信息服务实体的服务能力签发可信标识;标识及其指针承诺模块,用于对所述标识和标识指针进行承诺并存储到区块链;标识验证模块,用于验证所述标识的有效性;指针验证模块,用于验证所述标识指针的有效性;标识撤销模块,用于宣布所述标识无效;标识更新模块,用于再次签发和承诺所述标识的更新标识;标识和指针提取模块,用于从所述区块链中提取所述标识和所述标识指针。
本发明实施例的基于区块链的可信标识生命周期管理装置,根据定义的基于区块链的可信标识生命周期管理系统框架,普通用户仅能验证可信标识的有效性而高级用户还能够验证标识指针的有效性,区块链具有不可篡改性使得可信标识不可篡改,且可信标识分布式存储与管理具有更高的安全性,从而实现信息服务实体的隐私保护。
另外,根据本发明上述实施例的基于区块链的可信标识生命周期管理装置还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述标识签发模块具体用于根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。
进一步地,在本发明的一个实施例中,其中,所述标识及其指针承诺模块具体用于根据所述标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息;所述标识验证模块具体用于根据所述标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断;所述指针验证模块具体用于根据所述标识签发机构公钥、所述标识指针、所述标识指针承诺及其验证信息生成有效性判断;所述标识撤销模块具体用于根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成所述数字签名;所述标识更新模块具体用于重新运行标识签发模块和标识及其指针承诺模块;所述标识和指针提取模块具体根据所述标识签发机构私钥和标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针;所述标识和指针提取模块具体根据所述标识签发机构私钥和标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。
为达到上述目的,本发明另一方面实施例提出了一种基于区块链的可信标识生命周期管理方法,包括以下步骤:对信息服务实体的服务能力签发可信标识;对所述标识和标识指针进行承诺并存储到区块链;验证所述标识的有效性;验证所述标识指针的有效性;宣布所述标识无效;再次签发和承诺所述标识的更新标识;从所述区块链中提取所述标识和所述标识指针。
本发明实施例的基于区块链的可信标识生命周期管理方法,根据定义的基于区块链的可信标识生命周期管理系统框架,普通用户仅能验证可信标识的有效性而高级用户还能够验证标识指针的有效性,区块链具有不可篡改性使得可信标识不可篡改,且可信标识分布式存储与管理具有更高的安全性,从而实现信息服务实体的隐私保护。
另外,根据本发明上述实施例的基于区块链的可信标识生命周期管理方法还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述对信息服务实体的服务能力签发可信标识,具体包括:根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。
进一步地,在本发明的一个实施例中,其中,根据所述标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息;根据所述标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断;根据所述标识签发机构公钥、所述标识指针、所述标识指针承诺及其验证信息生成有效性判断;根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成所述数字签名;重新运行标识签发模块和标识及其指针承诺模块;根据所述标识签发机构私钥和标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明一个实施例的基于区块链的可信标识生命周期管理装置的结构示意图;
图2为根据本发明一个具体实施例的基于区块链的可信标识生命周期管理装置的结构示意图;
图3为根据本发明另一个具体实施例的基于区块链的可信标识生命周期管理装置的结构示意图;
图4为根据本发明一个实施例的基于区块链的可信标识生命周期管理装置与基础密码学工具示意图;
图5为根据本发明一个实施例的基于区块链的可信标识生命周期管理装置的原理示意图;
图6为根据本发明一个实施例的基于区块链的可信标识生命周期管理方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的基于区块链的可信标识生命周期管理装置及方法,首先将参照附图描述根据本发明实施例提出的基于区块链的可信标识生命周期管理装置。
图1是本发明一个实施例的基于区块链的可信标识生命周期管理装置的结构示意图。
如图1所示,该基于区块链的可信标识生命周期管理装置100包括:标识签发模块110、标识及其指针承诺模块120、标识验证模块130、指针验证模块140、标识撤销模块150、标识更新模块160、标识和指针提取模块170。
其中,标识签发模块110用于对信息服务实体的服务能力签发可信标识。标识及其指针承诺模块120用于对标识和标识指针进行承诺并存储到区块链。标识验证模块130用于验证标识的有效性。指针验证模块140用于验证标识指针的有效性。标识撤销模块150用于宣布标识无效。标识更新模块160用于再次签发和承诺标识的更新标识。标识和指针提取模块170用于从所述区块链中提取所述标识和所述标识指针。本发明实施例的装置10可信标识以承诺方式存储在区块链上,普通用户仅能进行标识有效性验证而高级用户还能够进行指针有效性验证,从而保护信息服务实体的隐私。
具体而言,标识签发模块110用于标识签发机构对信息服务实体的服务能力签发可信标识。标识及其指针承诺模块120用于标识签发机构对标识和标识指针进行承诺并存储到区块链。标识验证模块130用于任意用户或标识签发机构验证标识的有效性。指针验证模块140用于任意用户或标识签发机构验证标识是否为更新标识。标识撤销模块150用于对于某个标识,其对应的标识签发机构宣布该标识无效。标识更新模块160用于对于某个标识,其对应的标识签发机构再次签发和承诺该标识的更新标识。
需要说明的是,可信标识由标识签发机构签发,主要对信息服务实体所提供的各项服务能力进行标注,对信息服务实体的监管提供了可靠的技术路径。可信标识,类似于X.509证书,向用户提供认证,但是其不同之处在于标识签发机构通过签发可信标识对信息服务实体的各项服务能力,如信息类型、安全级别、安全属性、安全等级、测评机构、测评标识、服务可信度等进行明确标注,使得监管更加全面而用户能够更好地使用信息服务实体提供的服务。
进一步地,在本发明的一个实施例中,本发明实施例的装置100还包括:标识和指针提取模块170。标识和指针提取模块170用于从区块链中提取标识和标识指针。
可以理解的是,标识和指针提取模块170用于对于某个标识,其对应的标识签发机构从区块链中提取该标识签发机构承诺的标识和指针。
进一步地,在本发明的一个实施例中,标识签发模块110具体用于根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和摘要值生成数字签名。
可以理解的是,标识签发模块110用于标识签发机构输入信息服务安全分类分级数值,输出摘要值,输入标识签发机构私钥和摘要值,输出数字签名。
具体而言,标识签发模块110用于标识签发机构对信息服务实体的服务能力签发可信标识,具体来说,调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L);并调用数字签名算法Π1中的签名算法Sig,输入摘要值H(L)和标识签发机构私钥SKCA,输出数字签名对(H(L),σL),如
令标识Label=(L,H(L),σL)。
进一步地,在本发明的一个实施例中,其中,标识及其指针承诺模块120具体用于根据标识签发机构私钥和标识生成标识承诺及其验证信息,并根据标识签发机构私钥和标识指针生成指针承诺及其验证信息。标识验证模块130具体用于根据标识签发机构公钥、标识、标识承诺及其验证信息生成有效性判断。指针验证模块140具体用于根据标识签发机构公钥、标识指针、标识指针承诺及其验证信息生成有效性判断。标识撤销模块150具体用于根据标识承诺及其验证信息、指针承诺及其验证信息生成摘要值,并根据标识签发机构私钥和摘要值生成数字签名。标识更新模块160具体用于重新运行标识签发模块110和标识及其指针承诺模块120。标识和指针提取模块170具体根据标识签发机构私钥和标识承诺生成标识,并根据标识签发机构私钥和指针承诺生成标识指针。
可以理解的是,标识及其指针承诺模块120用于标识签发机构输入标识签发机构私钥和标识,输出标识承诺及其验证信息,输入标识签发机构私钥和标识指针,输出指针承诺及其验证信息。标识验证模块130用于任意用户或任意机构输入标识签发机构公钥、标识、标识承诺及其验证信息,输出有效性判断。指针验证模块140用于任意用户或任意机构输入标识签发机构公钥、标识指针、标识指针承诺及其验证信息,输出有效性判断。标识撤销模块150用于对于某个标识,其对应的标识签发机构输入标识承诺及其验证信息、指针承诺及其验证信息,输出摘要值,输入标识签发机构私钥和摘要值,输出数字签名。标识更新模块160用于对于某个标识,其对应的标识签发机构重新运行标识签发模块110和标识及其指针承诺模块120。标识和指针提取模块170用于对于某个标识,其对应的标识签发机构输入标识签发机构私钥和标识承诺,输出标识,输入标识签发机构私钥和指针承诺,输出指针。
具体而言,1、标识及其指针承诺模块120用于标识签发机构对标识和标识指针进行承诺并存储到区块链,具体来说,(1)调用可提取承诺算法Π2中的承诺算法Com,输入标识Label和标识签发机构公钥PKCA,输出标识承诺及其验证信息(ψL,ρL),如
(2)如果该标识为新标识,则令标识指针P=CurrentNonce,如果该标识为更新标识,则令标识指针P=PreviousNonce。调用可提取承诺算法Π2中的承诺算法Com,输入标识指针P和标识签发机构公钥PKCA,输出指针承诺及其验证信息(ψP,ρP),如
(3)把标识承诺及其验证信息(ψL,ρL)、指针承诺及其验证信息(ψP,ρP)存储到区块链。
2、标识验证模块130用于任意用户或标识签发机构验证标识的有效性,具体来说,(1)查询标识及其指针承诺数字签名(H(ψL,ρL,ψP,ρP),σ)在区块链上是否存在,如果存在,则输出无效,否则输出有效。(2)调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L)。(3)调用数字签名算法Π1中的验证算法Ver,输入摘要值H(L)、标识签发机构公钥PKCA、数字签名对(H(L),σL),输出有效性判断Valid/Invalid,如果
则输出有效,否则输出无效。(4)调用可提取承诺算法Π2中的验证算法Ver,输入标识Label、标识签发机构公钥PKCA、标识承诺及其验证信息(ψL,ρL),输出有效性判断Valic/Invalid,如果
则输出有效,否则拒绝。(5)如果一、二、四项均输出有效,则该标识有效,否则该标识无效。
3、指针验证模块140用于任意用户或标识签发机构验证标识是否为更新标识,具体来说,调用可提取承诺算法Π2中的验证算法Ver,输入标识指针P、标识签发机构公钥PKCA、标识承诺及其验证信息(ψP,ρP),输出有效性判断Valic/Invalid,如果
则输出有效,否则拒绝。
4、标识撤销模块150用于对于某个标识,其对应的标识签发机构宣布该标识无效,具体来说,(1)调用摘要函数H,输入标识承诺及其验证信息(ψL,ρL),指针承诺及其验证信息(ψP,ρP),输出标识及其指针承诺的摘要值,如H(ψL,ρL,ψP,ρP);(2)调用数字签名算法Π1中的签名算法Sig,输入标识及其指针承诺的摘要值H(ψL,ρL,ψP,ρP),输出摘要值签名对(H(ψL,ρL,ψP,ρP),σ),如
5、标识更新模块160用于对于某个标识,其对应的标识签发机构再次签发和承诺该标识的更新标识,具体来说,对于某个标识,其对应的CA机构重新运行标识签发模块和标识及其指针承诺模块,则完成标识更新。
6、标识和指针提取模块170用于对于某个标识,其对应的标识签发机构从区块链中提取该标识签发机构承诺的标识和指针,具体来说,(1)调用可提取承诺算法Π2中的提取算法Extract,输入标识承诺ψL和标识签发机构私钥SKCA,输出标识Label,如
(2)调用可提取承诺算法Π2中的提取算法Extract,输入指针承诺ψP和标识签发机构私钥SKCA,输出指针P,如
进一步地,在本发明的一个实施例中,本发明实施例包含3个算法和5项参数,3个算法分别为:摘要函数、数字签名、可提取承诺算法。5项参数分别为:运行POW(Proof OfWork,工作量证明)机制生成的随机数、可信标识承诺及其验证信息、可信标识指针承诺及其验证信息、标识撤销签名、标识签发机构公钥。
具体而言,(1)可信标识承诺及其验证信息是指标识签发机构对可信标识承诺,输出的承诺及其验证信息。
(2)标识指针:如果该标识为新标识,则标识指针P等于当前区块运行POW机制生成的随机值,即P=CurrentNonce;如果该标识为某一标识的更新标识,则标识指针P等于上一标识所在区块的POW随机值,即P=PreviousNonce。
(3)可信标识指针承诺及其验证信息是指标识签发机构对指针P进行承诺。
(4)标识撤销签名是指某一标识被宣布无效,则对该标识承诺及其验证信息、指针承诺及其验证信息的摘要值进行数字签名。
(5)标识签发机构公钥是指该区块是由某个标识签发机构贡献的。
进一步地,如图2所示,本发明实施例包含两类实体:标识签发机构和信息服务实体。其中,标识签发机构的公钥和私钥可以表示为(PKCA,SKCA)。
需要说明的是,本发明的装置的各个模块均涉及密码学工具,本发明实施例结合密码学基础工具得到发明实施例的装置100,并定义Ω=(标识签发,标识及其指针承诺,标识验证,指针验证,标识撤销,标识更新,标识和指针提取)为基本构造,密码学基础工具包括摘要函数、数字签名、可提取承诺密码学工具。具体包括:
定义摘要函数、数字签名、可提取承诺:
令H代表摘要函数。
令Π1=(KGen,Sig,Ver)代表数字签名方案,其中KGen,Sig,Ver分别为秘钥生成算法、签名算法和验证算法。
令Π2=(KGen,Com,Ver,Extract)代表可提取承诺算法,其中KGen,Com,Ver,Extract分别为秘钥生成算法、承诺算法、验证算法和提取算法。
摘要函数(One Function)
定义1(摘要函数):令摘要函数H:{0,1}*→{0,1}λ,其中λ为安全参数的固定长度,如果满足以下两个条件:
(1)可计算性:给定任意长度不固定的字符串x,可在多项式时间内计算出函数值H(x);
(2)不可求逆性:给定函数值H(x),不可在多项式时间内找到y,使H(y)=H(x);
则称函数H为摘要函数。
数字签名(DigitalSignature)
数字签名方案应满足以下两个基本要求:①正确性:输入真实有效的消息/签名对,在概率多项式时间范围内输出验证为真的结果;②不可伪造性:不存在概率多项式时间算法,该算法利用其它用户的公开信息以及已有的消息/签名对,生成一个有效的消息/签名对。
定义2(数字签名):定义Π=(KGen,Sig,Ver)为数字签名方案,其中KGen、Sig和Ver分别为秘钥生成、签名和验证算法,其具体结构算法如下:
(1)秘钥生成算法KGen:输入安全参数1λ和公共参数Param,输出公钥和私钥(pk,sk),即(pk,sk)←KGen(1λ,Param);
(2)签名算法Sig:输入私钥sk和消息m,输出消息签名对(m,σ),即(m,σ)←Sigsk(m);
(3)验证算法Ver:输入消息签名对(m,σ)和公钥pk,输出有效性判断Valid/Invalid,如果Verpk(m,σ)=1,则输出有效,否则输出无效。
可提取承诺(Extractable Commitment)
可提取承诺要求满足以下四个基本要求:①正确性:输入真实有效的承诺及其验证信息,在概率多项式时间范围内输出验证结果为真;②绑定性:不存在概率多项式时间算法,该算法利用已有的公开信息和承诺,伪造出一个新的消息及验证信息,使得验证结果为真;③隐藏性:不存在概率多项式时间算法,该算法利用已有的公开信息和已有的承诺消息,猜测出目标承诺是对某一个消息的承诺值;④可提取性:存在概率多项式时间算法,该算法能够提取出消息。
定义3(可提取承诺):定义Π2=(KGen,Com,Ver,Extract)为可提取承诺算法,其中KGen,Com,Ver,Extract分别为秘钥生成算法、承诺算法、验证算法和提取算法,其具体结构算法如下:
(1)秘钥生成算法KGen:输入安全参数1λ和公共参数Param,输出公钥和私钥(pk,sk),即(pk,sk)←KGen(1λ,Param);
(2)承诺算法Com:输入公钥PK和消息m,输出承诺和验证信息(ψ,ρ),即(ψ,ρ)←ComPK(m);
(3)验证算法Ver:输入公钥PK、消息m、承诺和验证信息(ψ,ρ),输出有效性判断Valid/Invalid,如果Verpk(m,σ)=1,则输出有效,否则输出无效;提取算法Extract:输入承诺ψ和私钥sk,输出消息m,即m←ExtractSK(ψ)。
在本发明的一个具体实施例中,如图4所示,标识签发模块110对应涉及国产密码摘要算法SM3、国产密码数字签名算法SM2,标识及其指针承诺模块120对应涉及基于国产密码算法SM2的可提取承诺算法SM2-COM,标识验证模块130对应涉及国产密码数字签名算法SM2、基于国产密码算法SM2的可提取承诺算法SM2-COM,指针验证模块140对应涉及基于国产密码算法SM2的可提取承诺算法SM2-COM,标识撤销模块150摘要算法SM3、国产密码数字签名算法SM2,标识更新模块160对应涉及摘要算法SM3、国产密码数字签名算法SM2和基于国产密码算法SM2的可提取承诺算法SM2-COM,标识和指针提取模块170对应涉及基于国产密码算法SM2的可提取承诺算法SM2-COM。
一个摘要函数示例:国产密码摘要算法SM3,输入任意长度消息{0,1}*,输出固定长度256的函数值{0,1}256,即
一个数字签名方案示例:国产密码算法SM2=(KGen,Sig,Ver),有限域为Fq,规模为q,椭圆曲线E(Fq)方程两个元素为a,b∈Fq,基点G=(xG,yG),其中G≠O,基点G的介为n。则系统公共参数Param=(E(Fq),q,a,b,G,SM3)。
(1)秘钥生成算法KGen:选择随机数dCA,计算PCA=dCAG=(dxG,dyG)=(xCA,yCA),则私钥为SKCA=dCA,公钥为PKCA=PCA=dCAG。令Z256=SM3(ENTLCA||IDCA||a||b||xG||yG||xCA||yCA),其中ENTLCA为标识签发机构可辨别标识IDCA的长度标识。
(2)签名算法Sig:选择随机数k∈[1,n-1]和消息M,计算(r,s)←((SM3(Z256||M)+kxG)mod n,((1+dCA)-1·(k-rdCA))mod n),如果r=0或r+k=n或s=0,则重新选择随机数k进行计算,则签名为σ=(r,s)。
(3)验证算法Ver:输入签名σ'和公钥PKCA,如果r',s'∈[1,n-1]且r'+s'≠0,则计算(x1',y1')←s'G+(r'+s')PKCA和R←SM3(Z256||M)+x1'。如果R=r',则签名有效,否则签名无效。
一个可提取承诺方案示例:基于国产密码算法SM2的可提取承诺算法SM2-COM=(KGen,Com,Ver,Extract),有限域为Fq,规模为q,椭圆曲线E(Fq)方程两个元素为a,b∈Fq,基点G=(xG,yG),其中G≠O,基点G的介为n,h为余因子h=#E(Fq)/n,KDF为秘钥派生函数,则系统公共参数Param=(E(Fq),h,q,a,b,G,KDF,SM3)。
(1)秘钥生成算法KGen:标识签发机构选择随机数dCA,计算PCA=dCAG=(dxG,dyG)=(xCA,yCA),则私钥为SKCA=dCA,公钥为PKCA=PCA=dCAG。
(2)承诺算法Com:选择随机数k∈[1,n-1]和消息M,计算(x1,y1)←kG=(kxG,kyG),(x2,y2)←kPCA=(kxCA,kyCA),t←KDF(x2||y2,klen),如果hPCA为无穷远点或t为全0比特串,则重新选择随机数k进行计算。令C1=(x1,y1),
C3=SM3(x2||M||y2),则消息承诺及其验证信息为(ψ,ρ)←(C1||C3||C2,k)。
(3)验证算法Ver:输入标识签发机构公钥PCA、消息M'、承诺及其验证信息(ψ',ρ'),计算(x1',y1')←ρ'G,(x2',y2')←ρ'PCA,t'←KDF(x2'||y2',klen),令C1'=(x1',y1'),
C3=SM3(x2'||M'||y2'),如果①(x2',y2')为不是无穷远点,且②t'不全为0比特串,且③(ψ',ρ')=(C1'||C3'||C2',k),则输出有效,否则输出无效。
(4)提取算法Extract:输入标识签发机构私钥dCA、消息承诺ψ',计算(x2',y2')←dCA·(x1,y1),t'=KDF(x2'||y2',klen),C3'←SM3(x2'||M'||y2')。如果①h(x1,x2)为不是无穷远点,且②t'不全0比特串,且③C3'=C3,则输出
否则拒绝。
进一步地,如图5所示,本发明实施例装置100的原理包括:
步骤S210包括:标识签发机构输入信息服务安全分类分级数值,输出摘要值,输入标识签发机构私钥和摘要值,输出数字签名;
步骤S220包括:标识签发机构输入标识签发机构私钥和标识,输出标识承诺及其验证信息,输入标识签发机构私钥和标识指针,输出指针承诺及其验证信息;
步骤S230包括:任意用户或任意机构输入标识签发机构公钥、标识、标识承诺及其验证信息,输出有效性判断;
步骤S240包括:任意用户或任意机构输入标识签发机构公钥、标识指针、标识指针承诺及其验证信息,输出有效性判断;
步骤S250包括:对于某个标识,其对应的标识签发机构输入标识承诺及其验证信息、指针承诺及其验证信息,输出摘要值,输入标识签发机构私钥和摘要值,输出数字签名;
步骤S260包括:对于某个标识,其对应的标识签发机构重新运行标识签发模块和标识及其指针承诺模块;
步骤S270包括:对于某个标识,其对应的标识签发机构输入标识签发机构私钥和标识承诺,输出标识,输入标识签发机构私钥和指针承诺,输出指针。
根据本发明实施例提出的基于区块链的可信标识生命周期管理装置,根据定义的基于区块链的可信标识生命周期管理系统框架,普通用户仅能验证可信标识的有效性而高级用户还能够验证标识指针的有效性,区块链具有不可篡改性使得可信标识不可篡改,且可信标识分布式存储与管理具有更高的安全性,从而实现信息服务实体的隐私保护。
其次参照附图描述根据本发明实施例提出的基于区块链的可信标识生命周期管理方法。
图6是本发明一个实施例的基于区块链的可信标识生命周期管理方法的流程图。
如图6所示,该基于区块链的可信标识生命周期管理方法包括以下步骤:
在步骤S601中,对信息服务实体的服务能力签发可信标识。
在步骤S602中,对标识和标识指针进行承诺并存储到区块链。
在步骤S603中,验证标识的有效性。
在步骤S604中,验证标识指针的有效性。
在步骤S605中,宣布标识无效。
在步骤S606中,再次签发和承诺标识的更新标识。
在步骤S607中,提取标识和标识指针。
进一步地,在本发明的一个实施例中,还包括:从区块链中提取标识和标识指针。
进一步地,在本发明的一个实施例中,对信息服务实体的服务能力签发可信标识,具体包括:根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和摘要值生成数字签名。
进一步地,在本发明的一个实施例中,其中,根据标识签发机构私钥和标识生成标识承诺及其验证信息,并根据标识签发机构私钥和标识指针生成指针承诺及其验证信息;根据标识签发机构公钥、标识、标识承诺及其验证信息生成有效性判断;根据标识签发机构公钥、标识指针、标识指针承诺及其验证信息生成有效性判断;根据标识承诺及其验证信息、指针承诺及其验证信息生成摘要值,并根据标识签发机构私钥和摘要值生成数字签名;重新运行标识签发模块和标识及其指针承诺模块;根据标识签发机构私钥和标识承诺生成标识,并根据标识签发机构私钥和指针承诺生成标识指针。
需要说明的是,前述对基于区块链的可信标识生命周期管理装置实施例的解释说明也适用于该实施例的基于区块链的可信标识生命周期管理方法,此处不再赘述。
根据本发明实施例提出的基于区块链的可信标识生命周期管理方法,根据定义的基于区块链的可信标识生命周期管理系统框架,普通用户仅能验证可信标识的有效性而高级用户还能够验证标识指针的有效性,区块链具有不可篡改性使得可信标识不可篡改,且可信标识分布式存储与管理具有更高的安全性,从而实现信息服务实体的隐私保护。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种基于区块链的可信标识生命周期管理装置,其特征在于,包括:
标识签发模块,用于对信息服务实体的服务能力签发可信标识;
标识及其指针承诺模块,用于对所述标识和标识指针进行承诺并存储到区块链,其中,如果所述标识为新标识,则所述标识指针为当前区块运行POW机制生成的随机值;如果所述标识为某一标识的更新标识,则所述标识指针为上一标识所在区块的POW随机值;
标识验证模块,用于验证所述标识的有效性;
指针验证模块,用于验证所述标识指针的有效性;
标识撤销模块,用于宣布所述标识无效;
标识更新模块,用于再次签发和承诺所述标识的更新标识;
标识和指针提取模块,用于从所述区块链中提取所述标识和所述标识指针。
2.根据权利要求1所述的基于区块链的可信标识生命周期管理装置,其特征在于,所述标识签发模块具体用于根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。
3.根据权利要求1所述的基于区块链的可信标识生命周期管理装置,其特征在于,所述标识及其指针承诺模块具体用于根据标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息。
4.根据权利要求3所述的基于区块链的可信标识生命周期管理装置,其特征在于,其中,
所述标识验证模块具体用于根据标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断;
所述指针验证模块具体用于根据所述标识签发机构公钥、所述标识指针、所述指针承诺及其验证信息生成有效性判断;
所述标识撤销模块具体用于根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成数字签名;
所述标识更新模块具体用于重新运行所述标识签发模块和所述标识及其指针承诺模块;
所述标识和指针提取模块具体用于根据所述标识签发机构私钥和所述标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。
5.一种基于区块链的可信标识生命周期管理方法,其特征在于,包括以下步骤:
对信息服务实体的服务能力签发可信标识;
对所述标识和标识指针进行承诺并存储到区块链,其中,如果所述标识为新标识,则所述标识指针为当前区块运行POW机制生成的随机值;如果所述标识为某一标识的更新标识,则所述标识指针为上一标识所在区块的POW随机值;
验证所述标识的有效性;
验证所述标识指针的有效性;
宣布所述标识无效;
再次签发和承诺所述标识的更新标识;
从所述区块链中提取所述标识和所述标识指针。
6.根据权利要求5所述的基于区块链的可信标识生命周期管理方法,其特征在于,根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。
7.根据权利要求5所述的基于区块链的可信标识生命周期管理方法,其特征在于,所述对所述标识和标识指针进行承诺,具体包括:根据标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息。
8.根据权利要求7所述的基于区块链的可信标识生命周期管理方法,其特征在于,其中,
根据标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断;
根据所述标识签发机构公钥、所述标识指针、所述指针承诺及其验证信息生成有效性判断;
根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成数字签名;
再次签发和承诺所述标识的更新标识;
根据所述标识签发机构私钥和所述标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810495417.8A CN108737419B (zh) | 2018-05-22 | 2018-05-22 | 基于区块链的可信标识生命周期管理装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810495417.8A CN108737419B (zh) | 2018-05-22 | 2018-05-22 | 基于区块链的可信标识生命周期管理装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108737419A CN108737419A (zh) | 2018-11-02 |
| CN108737419B true CN108737419B (zh) | 2020-05-22 |
Family
ID=63937900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810495417.8A Active CN108737419B (zh) | 2018-05-22 | 2018-05-22 | 基于区块链的可信标识生命周期管理装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108737419B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746957A (zh) * | 2013-10-10 | 2014-04-23 | 安徽师范大学 | 一种基于隐私保护的信任评估系统及其构建方法 |
| CN105162602A (zh) * | 2015-09-01 | 2015-12-16 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
| CN106453636A (zh) * | 2016-11-22 | 2017-02-22 | 深圳银链科技有限公司 | 可信区块生成方法及系统 |
| CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
| CN107967557A (zh) * | 2017-11-17 | 2018-04-27 | 西安电子科技大学 | 基于区块链的可修改信誉评价系统及方法、电子支付系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10079682B2 (en) * | 2015-12-22 | 2018-09-18 | Gemalto Sa | Method for managing a trusted identity |
| CN107895111B (zh) * | 2017-10-11 | 2021-06-11 | 西安电子科技大学 | 物联网设备供应链信任体系管理方法、计算机程序、计算机 |
| CN107832624A (zh) * | 2017-10-25 | 2018-03-23 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的可视化签名系统和方法 |
-
2018
- 2018-05-22 CN CN201810495417.8A patent/CN108737419B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746957A (zh) * | 2013-10-10 | 2014-04-23 | 安徽师范大学 | 一种基于隐私保护的信任评估系统及其构建方法 |
| CN105162602A (zh) * | 2015-09-01 | 2015-12-16 | 中国互联网络信息中心 | 一种可信网络身份管理和验证系统和方法 |
| CN106453636A (zh) * | 2016-11-22 | 2017-02-22 | 深圳银链科技有限公司 | 可信区块生成方法及系统 |
| CN107181765A (zh) * | 2017-07-25 | 2017-09-19 | 光载无限(北京)科技有限公司 | 基于区块链技术的网络数字身份认证方法 |
| CN107967557A (zh) * | 2017-11-17 | 2018-04-27 | 西安电子科技大学 | 基于区块链的可修改信誉评价系统及方法、电子支付系统 |
Non-Patent Citations (4)
| Title |
|---|
| 可信互联网中服务提供者身份的可信问题;卢文哲等;《计算机系统应用》;20141015(第10期);正文第11-15页 * |
| 异构无线网络中基于实体可信度的信任模型;张鹏等;《计算机工程》;20100120(第02期);正文第161-163、166页 * |
| 网站可信评价指标体系研究;陈月华;《信息网络安全》;20130510(第05期);正文第79-82页 * |
| 网站可信身份与系统安全评估;许东阳等;《信息技术与标准化》;20170510(第05期);正文第19-22页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108737419A (zh) | 2018-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108647964B (zh) | 一种区块链数据处理方法、装置及计算机可读存储介质 | |
| Li et al. | A searchable symmetric encryption scheme using blockchain | |
| US8122245B2 (en) | Anonymity revocation | |
| US8661251B2 (en) | Method and device for creating a group signature and related method and device for verifying a group signature | |
| US20220321360A1 (en) | Hash function attacks | |
| CN108833103A (zh) | 射频识别标签和读取设备之间进行安全通信的方法和系统 | |
| CN112132577B (zh) | 一种基于区块链的多重监管的交易处理方法及装置 | |
| CN114756895B (zh) | 基于同态加密的匿踪数据核验方法及系统 | |
| US20220263664A1 (en) | Blockchain transaction comprising runnable code for hash-based verification | |
| CN114840867B (zh) | 基于可交换加密数据混淆的数据查询方法、装置和系统 | |
| KR100745436B1 (ko) | 비밀 암호화 키와 공개 암호화 키의 제공 방법, 서명값 제공 방법, 서명값 검증 방법, 서명값 타당성 통신 방법, 컴퓨터 판독 가능 기록 매체 및 네트워크 디바이스 | |
| KR102250430B1 (ko) | Pki 기반의 일회성 아이디를 사용하여 서비스를 사용하는 방법, 및 이를 사용한 사용자 단말 | |
| US20100199090A1 (en) | Secure Communication Between An Electronic Label And A Reader | |
| Ren et al. | Cryptographic accumulator and its application: A survey | |
| Shen et al. | Verifiable and redactable blockchains with fully editing operations | |
| US20230134619A1 (en) | Method of generating a hash-based message authentication code | |
| CN112132578B (zh) | 一种基于区块链的高效交易处理方法、追踪方法及装置 | |
| CN108737419B (zh) | 基于区块链的可信标识生命周期管理装置及方法 | |
| CN105812144B (zh) | 一种无可信中心的可追踪属性签名方法 | |
| KR101162707B1 (ko) | 일반 전자서명 알고리즘만으로 구현이 가능한 트랩도어 기반 편집 가능 전자서명 방법 | |
| CN116827670A (zh) | 一种基于国密算法的智能医疗数据安全共享方法 | |
| CN110661816A (zh) | 一种基于区块链的跨域认证方法与电子设备 | |
| Konashevych | Data insertion in blockchain for legal purposes. How to sign contracts using blockchain | |
| Meng et al. | An enhanced long-term blockchain scheme against compromise of cryptography | |
| Lee et al. | Forward-secure multi-user aggregate signatures based on zk-SNARKs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |