CN109150836A - 区块链实体身份管理系统及方法 - Google Patents
区块链实体身份管理系统及方法 Download PDFInfo
- Publication number
- CN109150836A CN109150836A CN201810807413.9A CN201810807413A CN109150836A CN 109150836 A CN109150836 A CN 109150836A CN 201810807413 A CN201810807413 A CN 201810807413A CN 109150836 A CN109150836 A CN 109150836A
- Authority
- CN
- China
- Prior art keywords
- identity
- node
- block chain
- public key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种区块链实体身份管理系统,所述身份管理系统包括节点管理模块、身份管理模块以及身份鉴别模块,所述节点管理模块负责区块链上节点成员及其身份信息的管理、代理节点的指定或选举、节点信息在区块链网络中的通告;所述身份管理模块负责节点身份的注册、注销、更新,所述身份鉴别模块负责下载和同步区块链,查找节点身份信息,并验证公钥和身份信息的绑定关系是否可信。实体身份管理包括实体公钥和身份标识绑定关系的管理,以及身份鉴别即证明公钥属于正确的所有者。各个实体成员构成整个区块链系统中的节点,共同维护所有节点的身份信息。
Description
技术领域
本发明涉及一种管理系统,具体涉及一种区块链实体身份管理系统方法,属于实体身份管理技术领域。
背景技术
公钥基础设施(PKI,Public Key Infrastructure),基于公钥技术和数字证书建立的提供安全服务的基础设施,保证网络通信安全的技术和规范体系。PKI技术是信息安全技术的核心。
PKI是通过签发数字证书来绑定证书持有者的身份信息和公钥,为用户获取证书、访问证书和吊销证书提供了方便的途径。同时利用数字证书及相关的各种服务(证书发布、CRL发布等)实现通信过程中各实体的身份管理和认证,保证了通信数据的机密性、完整性和不可否认性。
一个典型的PKI系统包括证书机构(CA,Certificate Authority)、注册机构(RA,Register Authority)和PKI存储库。证书机构作为PKI系统的核心,负责管理证书和密钥,包括证书的颁发、更新、查询、吊销、密钥的生成、销毁等;RA可作为证书机构的一部分,也可以独立存在,负责证书申请者的身份信息审核等;PKI存储库用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理,并提供一定的查询功能。
基于PKI的身份管理方法,由证书机构集中为实体管理证书和密钥。当进行身份鉴别时,实体通过与证书机构或在线证书状态协议服务器(OCSP,Online CertificateStatus Protocol)进行交互通信来完成证书合法性验证。
现有基于PKI的实体身份管理技术存在单点失效、扩展性差、性能瓶颈、管理和应用复杂等问题。
单点失效,即单点故障引起的可靠性问题。PKI系统的核心为证书机构,证书机构负责证书的发放和管理,PKI系统的所有处理依赖证书机构进行,易于遭到黑客攻击,一旦证书机构失效或故障,将导致整个系统无法正常运作。
扩展性差,证书机构的集中管理导致系统扩展的不便,虽然通过扩展不同证书机构间的信任关系,可以扩展系统的应用范围,但跨系统、跨域间的管理带来极大的不便,并影响系统的安全和应用。
性能瓶颈,采用中心化机制的PKI体系,证书机构作为证书集中发放和管理的核心机构,成为系统性能的瓶颈。
安全隐患,数据集中不透明,不利于监督机构监管,存在数据伪造和篡改等风险。在私钥被证书机构代管的情况下,存在私钥恶意泄露等安全隐患。
管理和应用复杂,证书机构在颁发证书时如何确认陌生实体的身份,证书申请、证书认证、证书管理涉及到多种不同类型的服务器和协议,协议交互复杂,特别是涉及到交叉认证、不同域的证书机构时。另外信息高度集中,增加了维护成本,管理和应用都不方便。
基于PKI的身份管理和鉴别方法,是一种中心化的机制,其可靠性、安全性、可信性等依赖权威的第三方证书机构,存在单点故障、扩展性差、性能瓶颈、安全隐患、管理和应用复杂等问题。基于上述技术问题,提出一种可容错、抗攻击、抗共谋的“弱中心化”的实体身份自助管理系统和方法。
发明内容
本发明正是针对现有技术中存在的技术问题,提供一种区块链实体身份管理系统和方法,该技术方案是一种基于区块链和公钥技术、去中心化的实体身份管理机制,与PKI技术不同,它不存在类似PKI证书机构那样的中心化的第三方或权威机构,单一中心化的决策机制转换成一个相对对等的决策群体来进行,因此构造信任体系的方式不同。该技术方案建立的是一种去中心化、分布式的、共同维护的、基于技术的信任体系,不依赖于可信的第三方权威机构。
为了实现上述目的,本发明的技术方案如下:一种区块链实体身份管理系统,其特征在于,所述身份管理系统包括节点管理模块、身份管理模块以及身份鉴别模块,
所述节点管理模块负责区块链上节点成员及其身份信息的管理、代理节点的指定或选举、节点信息在区块链网络中的通告;
所述身份管理模块负责节点身份的注册、注销、更新,
所述身份鉴别模块负责下载和同步区块链,查找节点身份信息,并验证公钥和身份信息的绑定关系是否可信。
作为本发明的一种改进,所述身份注册指将节点的公钥和身份标识绑定关系登记并通告到区块链网络中,身份注销指将节点的公钥和身份标识绑定关系进行解绑定并通告到区块链网络中。身份更新指将节点的原公钥和身份标识绑定关系进行解绑定,并将节点新公钥和身份标识进行绑定,然后通告到区块链网络中。
作为本发明的一种改进,所述管理系统的管理方式如下:
如果网络实体存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,向区块链中注册和通告多个身份信息,同样该实体节点的每个身份信息也可以注销和更新;
在向区块链网络中通告节点公钥和身份标识绑定信息时,存在两种身份管理模式,即自主模式和代理模式;
自主模式下,区块链中任何成员节点都可以向区块链网络中通告本节点的公钥和身份标识绑定信息,实现实体身份的自主管理;
代理模式,为了提高区块链操作效率和数据安全性,只有区块链中的代理节点才有权限向区块链网络中通告本节点和其他节点的公钥和身份标识绑定信息;
代理节点属于特殊的成员节点,代理节点可以由系统管理员指定,也可以由区块链中所有成员节点通过一定的共识算法选举出来。
一种区块链实体身份管理方法,所述身份管理方法包括以下步骤:
1)身份注册;
2)身份更新;
3)身份查找:
4)身份鉴别;
5)身份注销。
作为本发明的一种改进,所述步骤1)身份注册,具体如下:当节点首次加入网络或系统、业务开通时,向区块链中注册自己合法的身份信息,自主模式下,成员节点向区块链网络广播通告本节点的身份注册信息;代理模式下,成员节点把本节点的身份注册信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注册信息;身份注册信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名。其中操作类型用字符register来标识;签名信息为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;如果成员节点存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,可以向区块链中注册多个身份信息。其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中已存在该身份信息,则忽略该通告。如果区块链中还不存在该身份信息,则验证身份注册信息的数字签名合法性,如果签名验证失败,则忽略该通告。如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
作为本发明的一种改进,所述步骤2)身份更新,具体如下,当节点的公钥信息发生变更时,可以更新区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份更新信息。代理模式下,成员节点把本节点的身份更新信息交给代理节点,由代理节点向区块链网络广播通告节点的身份更新信息;身份更新信息包括节点的身份标识、操作类型、公钥用途、更新前的公钥、更新后的公钥、数字签名1和数字签名2;其中操作类型用字符update来标识,数字签名1为本节点更新前的私钥对新公钥和身份标识进行签名,数字签名2为本节点更新后的私钥对新公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行节点身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份更新信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
作为本发明的一种改进,所述步骤1)身份查找具体如下,节点根据提供的节点身份标识和公钥用途信息,遍历区块链,查找节点的公钥信息,节点下载或更新区块链,遍历整个区块链,检查每个区块中的身份标识信息是否和待验证节点的身份标识和公钥用途匹配;如果身份标识信息不匹配,则继续检查下一个区块,如果匹配,则节点获取区块中内容的操作类型;如果操作类型为register,并且该区块是匹配身份信息的第一个区块,则设置该区块中的公钥信息为当前公钥;如果操作类型为register,并且该区块不是匹配身份信息的第一个区块,节点身份查找失败,结束处理;如果操作类型为update,则解析区块,提取区块中的新公钥,设置该公钥为当前公钥;如果操作类型为revoke,节点身份查找失败,结束处理;如果遍历区块链结束后,当前公钥为空,则节点身份查找失败,否则当前公钥即为待查找节点的可信公钥。
作为本发明的一种改进,所述步骤4)身份鉴别,具体如下,当节点需要验证其他节点身份是否可信时,通过身份查找来完成身份鉴别,如果查找到节点公钥,则节点身份合法,否则为非法节点身份。
作为本发明的一种改进,所述步骤5)身份注销,具体如下,当业务终止、私钥泄露等情况下,注销区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份注销信息;代理模式下,成员节点把本节点的身份注销信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注销信息;身份注销信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名;其中操作类型用字符revoke来标识;数字签名为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份注销信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
相对于现有技术,本发明的优点如下:该方案通过提供代理模式和自主模式两种身份管理模式,在实现实体身份自主管理的情况下,还能兼顾身份系统的高效管理和信息安全。该系统能够在不依赖第三方权威机构和中心的基础上,独立自主实现网络实体身份的自主管理和鉴别;本方案具有高可靠性,采用去中心化机制,所有实体共同维护整个系统和数据,有很强的容错性和高可靠性。高可信性,区块链多中心机制、密码学原理和数据的全量分布式存储保证了链上数据无法篡改。可追溯性,实体身份信息在其全生命周期内的变迁均记录在区块链上,其生命轨迹可追溯。高性能,实体可以随时自由加入和退出区块链网络,系统具备很强的伸缩性和弹性。管理成本低,整个实体身份管理系统和区块链网络由所有实体共同维护,不存在权威中心,管理和应用成本较低。
附图说明
图1为区块链实体身份管理系统示意图;
图2身份注册时,请求节点处理流程图;
图3为身份注册时,成员节点和代理节点处理流程图;
图4为身份更新时,请求节点处理流程图;
图5为身份更新时,成员节点和代理节点处理流程图;
图6为身份注销时,请求节点处理流程图;
图7为身份注销时,成员节点和代理节点处理流程图。
具体实施方式
为了加强对本发明的理解和认识,下面结合附图和具体实施方式对本发明做出进一步的说明和介绍。
实施例1:参见图1,一种区块链实体身份管理系统,所述身份管理系统包括节点管理模块、身份管理模块以及身份鉴别模块,所述节点管理模块负责区块链上节点成员及其身份信息的管理、代理节点的指定或选举、节点信息在区块链网络中的通告;所述身份管理模块负责节点身份的注册、注销、更新;所述身份鉴别模块负责下载和同步区块链,查找节点身份信息,并验证公钥和身份信息的绑定关系是否可信,所述身份注册指将节点的公钥和身份标识绑定关系登记并通告到区块链网络中,身份注销指将节点的公钥和身份标识绑定关系进行解绑定并通告到区块链网络中。身份更新指将节点的原公钥和身份标识绑定关系进行解绑定,并将节点新公钥和身份标识进行绑定,然后通告到区块链网络中,当一个网络实体注册、更新或注销身份信息时,该请求节点的身份管理模块构造身份注册、更新、注销请求消息,并发送消息给代理节点(代理模式)或本实体节点(自主模式)的节点管理模块。节点管理模块根据收到的请求信息包后,根据请求消息创建对应的区块,并进行区块的读、写、查操作。对应操作结束后,节点管理模块构造对应的请求回应消息,并发送给请求节点的身份管理模块。
当一个网络实体需要鉴别其他节点是否可信时,身份管理模块构造身份鉴别请求消息并发送给身份鉴别模块。身份鉴别模块通过节点管理模块提供的接口进行身份查找,节点管理模块的接口返回身份查找结果,身份鉴别模块根据身份查找结果构造身份鉴别回应消息并发送给身份管理模块,从而完成网络实体鉴别过程。
所述管理系统的管理方式如下:
如果网络实体存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,向区块链中注册和通告多个身份信息,同样该实体节点的每个身份信息也可以注销和更新;
在向区块链网络中通告节点公钥和身份标识绑定信息时,存在两种身份管理模式,即自主模式和代理模式;
自主模式下,区块链中任何成员节点都可以向区块链网络中通告本节点的公钥和身份标识绑定信息,实现实体身份的自主管理;
代理模式,为了提高区块链操作效率和数据安全性,只有区块链中的代理节点才有权限向区块链网络中通告本节点和其他节点的公钥和身份标识绑定信息;
代理节点属于特殊的成员节点,代理节点可以由系统管理员指定,也可以由区块链中所有成员节点通过一定的共识算法选举出来。
参见图2-图7,一种区块链实体身份管理方法,所述身份管理方法包括以下步骤:
1)身份注册;
2)身份更新;
3)身份查找:
4)身份鉴别;
5)身份注销。
参图2、图3所述步骤1)身份注册,具体如下:当节点首次加入网络或系统、业务开通时,可以向区块链中注册自己合法的身份信息,自主模式下,成员节点向区块链网络广播通告本节点的身份注册信息;代理模式下,成员节点把本节点的身份注册信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注册信息;身份注册信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名。其中操作类型用字符register来标识;签名信息为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;如果成员节点存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,可以向区块链中注册多个身份信息。其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中已存在该身份信息,则忽略该通告。如果区块链中还不存在该身份信息,则验证身份注册信息的数字签名合法性,如果签名验证失败,则忽略该通告。如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
参见图4、图5,所述步骤2)身份更新,具体如下,当节点的公钥信息发生变更时,可以更新区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份更新信息。代理模式下,成员节点把本节点的身份更新信息交给代理节点,由代理节点向区块链网络广播通告节点的身份更新信息;身份更新信息包括节点的身份标识、操作类型、公钥用途、更新前的公钥、更新后的公钥、数字签名1和数字签名2;其中操作类型用字符update来标识,数字签名1为本节点更新前的私钥对新公钥和身份标识进行签名,数字签名2为本节点更新后的私钥对新公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行节点身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份更新信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
所述步骤3)身份查找具体如下,节点根据提供的节点身份标识和公钥用途信息,遍历区块链,查找节点的公钥信息,节点下载或更新区块链,遍历整个区块链,检查每个区块中的身份标识信息是否和待验证节点的身份标识和公钥用途匹配;如果身份标识信息不匹配,则继续检查下一个区块,如果匹配,则节点获取区块中内容的操作类型;如果操作类型为register,并且该区块是匹配身份信息的第一个区块,则设置该区块中的公钥信息为当前公钥;如果操作类型为register,并且该区块不是匹配身份信息的第一个区块,节点身份查找失败,结束处理;如果操作类型为update,则解析区块,提取区块中的新公钥,设置该公钥为当前公钥;如果操作类型为revoke,节点身份查找失败,结束处理;如果遍历区块链结束后,当前公钥为空,则节点身份查找失败,否则当前公钥即为待查找节点的可信公钥。
所述步骤4)身份鉴别,具体如下,当节点需要验证其他节点身份是否可信时,通过身份查找来完成身份鉴别,如果查找到节点公钥,则节点身份合法,否则为非法节点身份。参见图6、图7,所述步骤5)身份注销,具体如下,当业务终止、私钥泄露等情况下,注销区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份注销信息;代理模式下,成员节点把本节点的身份注销信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注销信息;身份注销信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名;其中操作类型用字符revoke来标识;数字签名为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份注销信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
需要说明的是上述实施例,并没有用来限定本发明的保护范围,在上述基础上所作出的等同替换或者替代均属于本发明权利要求的保护范围。
Claims (9)
1.一种区块链实体身份管理系统,其特征在于,所述身份管理系统包括节点管理模块、身份管理模块以及身份鉴别模块,
所述节点管理模块负责区块链上节点成员及其身份信息的管理、代理节点的指定或选举、节点信息在区块链网络中的通告;
所述身份管理模块负责节点身份的注册、注销、更新,
所述身份鉴别模块负责下载和同步区块链,查找节点身份信息,并验证公钥和身份信息的绑定关系是否可信。
2.根据权利要求1所述的区块链实体身份管理系统,其特征在于,所述身份注册指将节点的公钥和身份标识绑定关系登记并通告到区块链网络中,身份注销指将节点的公钥和身份标识绑定关系进行解绑定并通告到区块链网络中。身份更新指将节点的原公钥和身份标识绑定关系进行解绑定,并将节点新公钥和身份标识进行绑定,然后通告到区块链网络中。
3.根据权利要求1所述的区块链实体身份管理系统,其特征在于,所述管理系统的管理方式如下:
如果网络实体存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,向区块链中注册和通告多个身份信息,同样该实体节点的每个身份信息也可以注销和更新;
在向区块链网络中通告节点公钥和身份标识绑定信息时,存在两种身份管理模式,即自主模式和代理模式;
自主模式下,区块链中任何成员节点都可以向区块链网络中通告本节点的公钥和身份标识绑定信息,实现实体身份的自主管理;
代理模式,为了提高区块链操作效率和数据安全性,只有区块链中的代理节点才有权限向区块链网络中通告本节点和其他节点的公钥和身份标识绑定信息;
代理节点属于特殊的成员节点,代理节点可以由系统管理员指定,也可以由区块链中所有成员节点通过一定的共识算法选举出来。
4.一种区块链实体身份管理方法,其特征在于,所述身份管理方法包括以下步骤:
1)身份注册;
2)身份更新;
3)身份查找:
4)身份鉴别;
5)身份注销。
5.根据权利要求4所述的区块链实体身份管理方法,其特征在于,所述步骤1)身份注册,具体如下:当节点首次加入网络或系统、业务开通时,向区块链中注册自己合法的身份信息,自主模式下,成员节点向区块链网络广播通告本节点的身份注册信息;代理模式下,成员节点把本节点的身份注册信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注册信息;身份注册信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名;其中操作类型用字符register来标识;签名信息为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;如果成员节点存在多个身份信息,即有多个身份标识或多个不同用途的公钥时,可以向区块链中注册多个身份信息。其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中已存在该身份信息,则忽略该通告;如果区块链中还不存在该身份信息,则验证身份注册信息的数字签名合法性,如果签名验证失败,则忽略该通告。如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
6.根据权利要求5所述的区块链实体身份管理方法,其特征在于,所述步骤2)身份更新,具体如下,当节点的公钥信息发生变更时,更新区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份更新信息;代理模式下,成员节点把本节点的身份更新信息交给代理节点,由代理节点向区块链网络广播通告节点的身份更新信息;身份更新信息包括节点的身份标识、操作类型、公钥用途、更新前的公钥、更新后的公钥、数字签名1和数字签名2;其中操作类型用字符update来标识,数字签名1为本节点更新前的私钥对新公钥和身份标识进行签名,数字签名2为本节点更新后的私钥对新公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行节点身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份更新信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
7.根据权利要求6所述的区块链实体身份管理方法,其特征在于,所述步骤3)身份查找具体如下,节点根据提供的节点身份标识和公钥用途信息,遍历区块链,查找节点的公钥信息,节点下载或更新区块链,遍历整个区块链,检查每个区块中的身份标识信息是否和待验证节点的身份标识和公钥用途匹配;如果身份标识信息不匹配,则继续检查下一个区块,如果匹配,则节点获取区块中内容的操作类型;如果操作类型为register,并且该区块是匹配身份信息的第一个区块,则设置该区块中的公钥信息为当前公钥;如果操作类型为register,并且该区块不是匹配身份信息的第一个区块,节点身份查找失败,结束处理;如果操作类型为update,则解析区块,提取区块中的新公钥,设置该公钥为当前公钥;如果操作类型为revoke,节点身份查找失败,结束处理;如果遍历区块链结束后,当前公钥为空,则节点身份查找失败,否则当前公钥即为待查找节点的可信公钥。
8.根据权利要求7所述的区块链实体身份管理方法,其特征在于,所述步骤4)身份鉴别,具体如下,当节点需要验证其他节点身份是否可信时,通过身份查找来完成身份鉴别,如果查找到节点公钥,则节点身份合法,否则为非法节点身份。
9.根据权利要求8所述的区块链实体身份管理方法,其特征在于,所述步骤5)身份注销,具体如下,当业务终止、私钥泄露等情况下,注销区块链中身份信息;自主模式下,成员节点向区块链网络广播通告本节点的身份注销信息;代理模式下,成员节点把本节点的身份注销信息交给代理节点,由代理节点向区块链网络广播通告节点的身份注销信息;身份注销信息包括节点的身份标识、操作类型、公钥用途、公钥、数字签名;其中操作类型用字符revoke来标识;数字签名为本节点的私钥对公钥和身份标识进行签名,数字签名用于证明该节点的身份;其他成员节点收到该广播通告后,在区块链中进行身份查找,如果区块链中不存在该节点身份,则忽略该通告;如果区块链中存在该节点身份,则验证身份注销信息的数字签名合法性,如果签名验证失败,则忽略该通告;如果签名验证成功,则成员节点接受通告,即将该通告信息封装在区块中,然后附加在区块链末尾,后续继续增加新区块以延长该区块链条。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810807413.9A CN109150836A (zh) | 2018-07-21 | 2018-07-21 | 区块链实体身份管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810807413.9A CN109150836A (zh) | 2018-07-21 | 2018-07-21 | 区块链实体身份管理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109150836A true CN109150836A (zh) | 2019-01-04 |
Family
ID=64801195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810807413.9A Pending CN109150836A (zh) | 2018-07-21 | 2018-07-21 | 区块链实体身份管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109150836A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039821A (zh) * | 2019-06-03 | 2020-12-04 | 厦门本能管家科技有限公司 | 一种基于区块链的群组内私密消息交换方法及系统 |
CN112115442A (zh) * | 2020-11-18 | 2020-12-22 | 北京智芯微电子科技有限公司 | 电力终端数字身份管理方法及系统 |
CN112307445A (zh) * | 2020-09-30 | 2021-02-02 | 深圳百纳维科技有限公司 | 一种基于区块链的身份管理方法及装置 |
CN112437089A (zh) * | 2020-11-26 | 2021-03-02 | 交控科技股份有限公司 | 基于区块链的列控系统密钥管理方法及装置 |
CN112866241A (zh) * | 2021-01-15 | 2021-05-28 | 迅鳐成都科技有限公司 | 一种基于区块链的数字身份更新方法、设备及存储介质 |
CN113468594A (zh) * | 2021-06-25 | 2021-10-01 | 江苏大学 | 一种基于比特币或其分支区块链的身份管理方法 |
CN114025355A (zh) * | 2021-08-05 | 2022-02-08 | 成都西加云杉科技有限公司 | 一种伪ap识别方法、装置、设备及存储介质 |
CN117692151A (zh) * | 2024-02-02 | 2024-03-12 | 杭州天谷信息科技有限公司 | 基于服务网络的通证撤销方法和通信方法 |
CN117692151B (zh) * | 2024-02-02 | 2024-05-31 | 杭州天谷信息科技有限公司 | 基于服务网络的通证撤销方法和通信方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150332395A1 (en) * | 2014-05-16 | 2015-11-19 | Goldman, Sachs & Co. | Cryptographic Currency For Securities Settlement |
CN106411901A (zh) * | 2016-10-08 | 2017-02-15 | 北京三未信安科技发展有限公司 | 一种数字身份标识管理方法及系统 |
CN107079037A (zh) * | 2016-09-18 | 2017-08-18 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的身份认证方法、装置、节点及系统 |
US20180097635A1 (en) * | 2016-09-30 | 2018-04-05 | Entrust, Inc. | Methods and apparatus for providing blockchain participant identity binding |
-
2018
- 2018-07-21 CN CN201810807413.9A patent/CN109150836A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150332395A1 (en) * | 2014-05-16 | 2015-11-19 | Goldman, Sachs & Co. | Cryptographic Currency For Securities Settlement |
CN107079037A (zh) * | 2016-09-18 | 2017-08-18 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的身份认证方法、装置、节点及系统 |
US20180097635A1 (en) * | 2016-09-30 | 2018-04-05 | Entrust, Inc. | Methods and apparatus for providing blockchain participant identity binding |
CN106411901A (zh) * | 2016-10-08 | 2017-02-15 | 北京三未信安科技发展有限公司 | 一种数字身份标识管理方法及系统 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039821A (zh) * | 2019-06-03 | 2020-12-04 | 厦门本能管家科技有限公司 | 一种基于区块链的群组内私密消息交换方法及系统 |
CN112307445A (zh) * | 2020-09-30 | 2021-02-02 | 深圳百纳维科技有限公司 | 一种基于区块链的身份管理方法及装置 |
CN112115442A (zh) * | 2020-11-18 | 2020-12-22 | 北京智芯微电子科技有限公司 | 电力终端数字身份管理方法及系统 |
CN112437089A (zh) * | 2020-11-26 | 2021-03-02 | 交控科技股份有限公司 | 基于区块链的列控系统密钥管理方法及装置 |
CN112866241A (zh) * | 2021-01-15 | 2021-05-28 | 迅鳐成都科技有限公司 | 一种基于区块链的数字身份更新方法、设备及存储介质 |
CN113468594A (zh) * | 2021-06-25 | 2021-10-01 | 江苏大学 | 一种基于比特币或其分支区块链的身份管理方法 |
CN113468594B (zh) * | 2021-06-25 | 2024-03-19 | 江苏大学 | 一种基于区块链的身份管理方法 |
CN114025355A (zh) * | 2021-08-05 | 2022-02-08 | 成都西加云杉科技有限公司 | 一种伪ap识别方法、装置、设备及存储介质 |
CN117692151A (zh) * | 2024-02-02 | 2024-03-12 | 杭州天谷信息科技有限公司 | 基于服务网络的通证撤销方法和通信方法 |
CN117692151B (zh) * | 2024-02-02 | 2024-05-31 | 杭州天谷信息科技有限公司 | 基于服务网络的通证撤销方法和通信方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109150836A (zh) | 区块链实体身份管理系统及方法 | |
CN112311530B (zh) | 一种基于区块链的联盟信任分布式身份凭证管理认证方法 | |
Bozic et al. | A tutorial on blockchain and applications to secure network control-planes | |
CN109104415B (zh) | 构建可信节点网络的系统及方法 | |
Saad et al. | RouteChain: Towards blockchain-based secure and efficient BGP routing | |
CN113194469B (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
Aiello et al. | Origin authentication in interdomain routing | |
CN110061838A (zh) | 一种dns资源记录的去中心化存储系统及其实现、信息检索方法 | |
CN110086821A (zh) | 基于区块链的电力物联网网关和电力物联网终端接入的认证方法 | |
CN112199726A (zh) | 一种基于区块链的联盟信任分布式身份认证方法及系统 | |
CN102647394B (zh) | 路由设备身份认证方法及装置 | |
CN110138560A (zh) | 一种基于标识密码和联盟链的双代理跨域认证方法 | |
CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
CN101895535B (zh) | 用于标识分离映射网络的网络认证方法、装置以及系统 | |
CN111262692A (zh) | 基于区块链的密钥分发系统和方法 | |
CN113672942B (zh) | 一种基于区块链的pki证书跨域认证方法 | |
CN109327309A (zh) | 一种基于ibc与pki混合体系的跨域密钥管理方法 | |
CN112351019B (zh) | 一种身份认证系统及方法 | |
Yang et al. | An efficient blockchain‐based batch verification scheme for vehicular ad hoc networks | |
Yang et al. | Blockchain-based decentralized public key management for named data networking | |
Monfared et al. | DARVAN: A fully decentralized anonymous and reliable routing for VANets | |
CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
CN112132581B (zh) | 基于iota的pki身份认证系统及方法 | |
Masdari et al. | Distributed certificate management in mobile ad hoc networks | |
Kubilay et al. | KORGAN: An efficient PKI architecture based on PBFT through dynamic threshold signatures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |