CN109196816B - 使用区块链的公钥基础结构 - Google Patents
使用区块链的公钥基础结构 Download PDFInfo
- Publication number
- CN109196816B CN109196816B CN201780033715.9A CN201780033715A CN109196816B CN 109196816 B CN109196816 B CN 109196816B CN 201780033715 A CN201780033715 A CN 201780033715A CN 109196816 B CN109196816 B CN 109196816B
- Authority
- CN
- China
- Prior art keywords
- participant
- ddl
- data packet
- revoked
- subject
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
描述了使用区块链实现公钥基础结构的技术。装置可以从被引入主体接收工作证明。该装置可以将工作证明与被引入主体的标识符组合。该装置可以生成被引入主体的引入。引入可以包括使用分配给装置的非对称私钥来对工作证明和被引入主体的标识符的组合进行签名。该装置可以将被引入主体的引入发布到区块链。
Description
优先权要求
该国际申请要求于2016年7月1日提交的美国专利申请序号15/201,219的优先权的权益,该申请通过引用整体并入本文。
技术领域
本公开一般涉及公钥基础结构,并且具体地涉及使用区块链来实现公钥基础结构。
背景技术
公钥基础结构(PKI)是指用于创建、管理、分发、使用、存储和撤销用于公钥加密的数字证书的一组角色、策略和过程。按照设计,PKI包括(1)全局证书权威机构(“CA”),其对数字证书进行颁发和签名,(2)全局目录权威机构(“DA”),其存储数字证书和已撤销数字证书列表、对数字证书索引并向请求者传送数字证书,以及(3)全局注册权威机构(“RA”),其验证请求将其数字证书存储在DA处的实体(例如,个人或组织)的身份。
PKI可扩展性基于单个全局“根”CA的假设,其公钥是众所周知且未泄露(compromise)的。通过在每个端点处存储根CA的公钥,每个端点将能够认证参与PKI的每个实体。通过遵循公共根密钥的证书路径,可以实现互操作性。
然而,PKI的这种愿景从未实现。目前,存在数千个“根”CA,包括基本上伪装成“根”证书的自签名证书。今天的PKI只是CA的代名词;DA功能通常由互联网搜索引擎或专注于企业内部信任的不同企业目录服务取代。
用于查找根证书的当前方法最好使用搜索查询字符串来命中。此外,计算机依赖于人来验证从证书到CA根的证书路径。用于确定数字证书的撤销状态的当前方法需要追踪由计算机紧急响应小组(CERT)产生的一系列报告和建议。
用于因特网的PKI的当前方法是笨重的并且不适合物联网(IoT)的扩展。预测表明到2020年可能会部署多达2000亿个非对称密钥对。当前的PKI实施似乎在建立数字证书的信任和在对撤销数字证书的验证方面具有显著的可扩展性挑战。
附图说明
在附图中,不一定按比例绘制,类似的附图标记可以描述不同视图中的类似组件。具有不同字母后缀的类似数字可表示类似组件的不同实例。附图通过示例的方式示例性地示出而不是限制本文中讨论的各种实施例或示例,
图1示出了根据示例实施例的引入事务,其中现有主体(principal)向区块链引入新主体。
图2示出了根据示例实施例的用于撤销已经引入到区块链的密钥的操作。
图3示出了根据示例实施例的具有嵌入式公钥分类账处理的公钥分类账设备。
图4是示出了根据示例实施例的公钥分类账上的事务的数据和控制流程图。
图5是示出了根据示例实施例的在公钥分类账上撤销主体密钥的数据和控制流程图。
图6是示出了根据示例实施例的加密原语X的撤销检查的数据和控制流程图。
图7是示出了机器的示例的框图,在该机器上可以实现任何一个或更多个示例实施例。
具体实施方式
本公开描述了使用区块链单独促进实现PKI的方法、系统和计算机程序产品。在以下详细描述中,出于解释的目的,阐述了许多具体细节以便提供对本公开主题的各个方面的透彻理解。然而,在阅读和理解本主题之后,对于本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下实践本发明公开的主题。在其他实例中,没有详细描述众所周知的方法、过程和组件,以免模糊本发明公开的主题。
区块链(或“分布式数字分类账”)是分布式数据库,其维护数据记录的不断增长的列表,这些数据记录被硬化以防止篡改和修改。区块链包括“块”,其保存数据或数据和程序。每个块在区块链参与者之间保存批量的单独“事务”。每个块包括时间戳和将当前块链接到先前块的链接信息(通常是散列值);链接信息允许遍历区块链(在任一方向上)。
使用分布式散列算法对区块链事务进行完整性保护,该分布式散列算法要求每个事务处理器同意区块链中的下一个块。通过多个事务处理器的共识实现完整性,每个事务处理器都可以访问分类账的其自己的副本。如果大多数事务处理器同意分类账的内容,则那些商定的内容就成了分类账的“真相”;不同意的事务处理器会接受多数人的真相(否则他们将无法运作)。完整性是可以证明的,因为攻击者必须使大多数事务处理器妥协并修改分类账的他们的副本;这非常困难(如果不是不可能的话),
所公开的实施例使用区块链作为可扩展基础结构来实现分布式PKI;这些实施例在本文中称为“公钥分类账”(PKL)。区块链可以用作用于需要完整性的任何公共信息的存储库;使用区块链作为用于CA证书/公钥的存储库可以解决上述PKI问题。发布(或“公开”)到区块链的事务是公开的和不可变的。此外,发布到区块链的事务的顺序也是不可变的;因此,区块链上任何两个事务之间的事务路径是可验证的。
PKI引入了用于可扩展性的信任层次结构;使用PKI,三到五个CA足以在全局范围内访问和验证证书。因此,PKI证书路径验证通常涉及验证三到五个签名;这比在本地存储参与PKI的数百万(或数十亿)数字证书更可取。相反,区块链在存储大量数据时没有问题,因此区块链可以存储所有公钥。因此,区块链实现信任链(例如,第一密钥签名第二密钥,第二密钥签名第三密钥,等等),其与PKI中的数字证书路径验证类似。但是,没有要求创建信任链,因为任何区块链参与者都可以通过搜索区块链来验证任何公钥。
区块链提供了对操纵具有弹性并保持高完整性的分布式基础结构。区块链的参与越多,主体就越难以改变区块链的真实状态。
图1示出了根据示例实施例的引入事务116,其中现有主体106将新主体106引入到区块链102。主体106是拥有公钥-私钥对的实体。主体106的示例包括IoT设备、个人计算机、服务器计算机、智能卡、SIM卡等。
如图1中所使用的,“K”是非对称公钥,而“K-1”是非对称私钥。如图1中所使用的,方括号“[x]”表示x的数字签名操作,而花括号“{x}”表示对x的加密。附加到操作的密钥是用于操作的密钥,因此,“[x]K-1”表示使用非对称私钥K-1进行签名,并且“{x}K”表示使用非对称公钥K加密。如图1中所使用的,密钥下标表示密钥所属的主体;因此,非对称密钥对“(Kp,Kp -1)”属于主体P。
术语“签名”或“数字签名”是主体106使用其非对称私钥来进行加密的简写。在实施例中,操作“[x]K-1”(内容“x”的数字签名)可以包括计算x的散列值,然后对散列值进行签名,这在内容“x”大时特别有用。
在PKI中,数字证书验证特定公钥是否属于特定主体106。PKL将传统PKI数字证书替换为将主体106与公钥相关联的区块链事务116;该区块链事务116由引入实体会签。
在PKI中,新主体向RA注册(或向在线CA提供商开设web账户),然后通过供应PKCS#10消息来购买证书。然后,CA将证书发布到DA。新注册的主体从DA获得新证书及其证书链,并将其提供给验证者。
在PKL中,通过引入人对新主体的自签名主体名称进行会签来由另一主体(“引入人”)引入新主体。在一个实施例中,可以仅在验证1)新主体拥有私钥并且2)新主体的私钥先前未在区块链中使用之后应用会签。引入人在区块链事务处理器的帮助下发布引入,区块链事务处理器可能会收取对新主体贷记的事务费。区块链处理对引入序列化,因此不存在Sybil攻击者(例如,通过伪造主体的身份来泄露主体的身份)。
PKL用作用于参与PKL的主体106的信誉系统。如果主体106引入了被证明是恶意或疏忽的实体,则PKL可靠地维护过去行为的历史,该历史可以在将信任归于主体的密钥之前被查阅。
公钥本身是不可信的,直到通过可信公钥将其引入区块链。可信公钥在引入另一个公钥时基本上成为CA。如果拥有可信密钥K1的主体106想要引入拥有不可信公钥K2的主体106,则K1用K1的私钥对K2进行签名。因此,X.509证书可以被认为是区块链事务,其中事务的内容包括第二公钥(以及可选地,一些其他识别信息,例如用户名)。
“PoW”112表示工作证明,其证明主体106拥有与公钥相对应的私钥。PoW 112也可以是已知的或称为“PoP”(占有证明)。希望将其公钥(KP1)引入区块链102的主体P1 110可以通过用其自己的私钥(K-1 P1)对其自己的名称(“P1”)进行签名来创建PoW 112;该PoW 112([P1]K-1 P1)等同于自签名证书。然后,主体P1 110将PoW 112提供给愿意将P1的公钥引入区块链102的主体I1 114。引入主体I1的公钥(KI1)是可信的,因为它已经在区块链102上;因此,KI1对于能够访问区块链102的每个人都是已知的。然后,I1 114可以通过将P1的PoW 112([Pl]K-1 P1)与P1的公钥(KP1)和P1的名称(“P1”)组合,然后对组合(例如,[KP1,P1,[P1]K-1 P1]k-1 i1)进行签名来生成针对P1 110的引入。然后,I1 114可以通过将引入116发布到区块链102来将P1 110引入区块链102。只要大多数事务处理器104同意工作证明,则块内容被合法化。
可选地,PoW 112可以包括一个或多个属性(例如,元数据)。属性可以是给出密钥所代表的上下文的任何信息。属性可以是区块链应用特有的。例如,IoT应用的焦点可以是确定设备标识符,因此属性可以是设备标识符(或与设备相关联的其他属性,例如制造商、电源、允许的使用国家、质量度量、安全性标准等)。PKL事务处理器发布引入和PoW;任何区块链订户都可以验证PoW和引入人签名。
在实施例中,针对P1的引入可以包括有效性信息,例如过期日期或引入有效的时间段。通过在发布公钥时包括有效性信息,PKL订户可以推断存在预期的生命周期,之后需要第二次引入以刷新有效性。过期的有效性并不一定意味着密钥泄露,而是断言密钥持有者不打算在有效期之外执行签名操作。因此,在有效期之后涉及密钥的事务可能指示不正当或未经授权的使用。
将要引入的主体(“被引入主体”或“被引入人”)可能希望保持匿名;在实施例中,这样的被引入人可以通过使用其私钥来对除了被引入人的名字或识别属性之外的其他东西进行签名来创建PoW。
在引入P1之后,可以由区块链订户检查使用P1的私钥签名的所有事务。由主体的私钥签名的事务可用于构建针对主体的“声誉档案”。主体可以通过对事务内容进行加密来保护其隐私,但至少一些事务元数据可能有助于主体的声誉档案。由于主体也可以订阅PKL,所以主体可以针对隐私泄露推断来监控自己声誉,并且如果主体认为隐私风险已经变得不可接受,可以选择不参与后续事务。
在引入P1之后,P1可以引入其他主体,其他主体可以引入其他主体,等等。因此,PKL中的信任链形成具有一个“根”主体的树;所有PKL参与者都信任此根主体。任何区块链实现都将具有第一(或“根”)密钥。
PKL还可以支持组非对称密钥,例如直接匿名证明(“DAA”)、增强型隐私标识(“EPID”)等。DAA是加密原语,其在保留主体隐私的同时实现对主体进行认证。与其中每个实体具有唯一的非对称公钥和唯一的非对称私钥的传统的数字签名算法不同,DAA提供与一个或多个唯一的非对称私钥相关联的公共组非对称公钥。使用DAA,设备可以向外部方证明它是什么类型的设备(以及可选地在设备上运行什么软件),而无需提供设备的身份;因此,DAA使主体能够证明它是组的真实的成员,而不会泄露是哪个成员。
对组ID和EPID密钥进行签名的主体可以将该组引入区块链。可以使用会签的事务来发布EPID组ID和公共EPID密钥,从而证明所选择的组ID被保留给该主体。第二主体之间的用于保留相同组ID的竞争条件将通过区块链事务序列化来解决。
在实施例中,组密钥也可以是PKL中的“根”密钥。例如,设备制造商可以在许多设备中嵌入EPID密钥。该组的成员可以使用EPID密钥将另一个密钥引入PKL。由于该组包括许多私有EPID密钥,因此引入该密钥的设备的身份是未知的。但是,任何PKL参与者都可以验证引入人是否为组成员。
图2示出了根据示例实施例的用于撤销已经引入到区块链的密钥的操作。撤销是对已建立公钥的断言信任的逆转。如果将撤销(或撤销列表)发布到区块链,则信任的逆转变得公知且不可变。任何受信任的主体都可以撤销另一个主体的私钥。
在PKI中,密钥撤销需要证书撤销列表(CRL)。在发现泄露密钥后,主体请求CA验证该泄露并在CRL中创建条目。然后,CA必须更新现有CRL的所有副本。任何验证者都必须具有当前CRL以验证公钥证书的有效性。
在PKL中,泄露密钥的发现者可以向区块链发布泄露事务;没有单独的撤销列表,并且所有区块链订户都可以访问密钥泄露的断言。区块链成为撤销和未来撤销检查之间的通信机制,因此使用区块链作为存储以及转发通信信道。
PKL事务处理器确保验证者可以容易地获得最新的密钥状态信息。由于事务处理器确保引入和撤销的顺序,所以验证者可能没有必要实施安全时间。PKI要求验证者实现安全时间以验证CRL时间戳和证书有效期。
对验证者的挑战是是否信任Y的断言,即X的私钥已被泄露。因此,存在滥用(以无根据撤销的形式)的可能性。处理无根据撤销是每个验证者可能做出的一项政策决定(非常类似于关于作为引入人信任哪些密钥的政策决定)。例如,P1可能具有仅信任P0和P0信任的任何密钥的策略。P0可以对包含P3和P5但不包含P4的事务进行签名,并且表示P0信任P3和P5以撤销密钥。当P1看到来自P3或P5的撤销消息时,P1将信任撤销。但是,P1不会信任来自P4的撤销消息。
如果主体P1的私钥(例如,K-1 P1)被泄露,则拥有P1的私钥的另一个主体Px可以证明该泄露在以下几种方式中的一种中是合法的:(1)主体Px可以撤销P1的公钥,(2)主体Px可以撤销P1的私钥,或者(3)主体Px可以撤销由P1私钥产生的签名。
主体Px可以通过将P1的公钥(KP1)发布到区块链来撤销P1的私钥(K-1 P1)。在图2中,操作202的选项1示出了主体P2撤销主体P1的非对称公钥(KP1)。主体P2可以通过将P1的名称与P1的公钥组合,然后使用P2的私钥对该组合进行签名从而导致[P1,KP1]K-1 P2来执行此撤销。可以使用事务处理器(例如,M1)将此撤销发布到区块链。
主体Px还可以通过将P1的私钥(K-1 P1)发布到区块链来撤销P1的私钥(K-1 P1)。将P1的私钥(K-1 P1)发布到区块链都使得所有区块链订户能够冒充已泄露的主体P1,但也使所有区块链订户能够检测到泄露主体P1的冒充;因此,冒充已泄露的主体P1没有任何好处。因此,不需要策略来撤销私钥,因为所有区块链订户都将忽略已发布的私钥。
在图2中,操作202的选项2示出了主体P2撤销主体P1的非对称私钥(K-1 P1)。主体P2可以通过将P1的名称与P1的私钥组合,然后使用P2的私钥对该组合进行签名从而产生[P1,K-1 P1]K-1 P2,来执行此撤销。然后,P2可以使用事务处理器(例如,M1)将该撤销发布到区块链。
主体Px还可以通过撤销由P1的私钥(K-1 P1)签名的消息(M)来撤销P1的私钥(K-1 P1)。撤销签名消息([Μ]K-1 P1)基本上撤销由私钥(K-1 P1)产生的签名。验证者可以将撤销的签名与验证者接收的未来消息的签名进行比较;如果未来消息的签名与撤销的签名匹配,则验证者将知道签名者的私钥已被撤销。
验证者(也是区块链订户)可以搜索区块链以查找引入要验证的主体的事务,涉及主体的其他事务以及密钥撤销事务。区块链可以获得用于验证主体签名和建立主体信任所需的所有必要信息。
在图2中,操作202的选项3示出了主体P2撤销由主体P1的非对称私钥(K-1 P1)签名的消息(M)。主体P2可以通过将P1的名称与由P1签名的消息([Μ]K-1 P1)组合,然后,使用P2的私钥对该组合进行签名,导致[P1,[Μ]K-1 P1]K-1 P2来执行该撤销。然后可以使用事务处理器(例如,M1)将该撤销发布到区块链。
PKL还可以允许撤销组密钥。可以撤销组成员的私钥而不撤销该组的其他成员的私钥并且不撤销该组的公钥。可以通过类似于传统非对称密钥的撤销操作来实现组密钥的撤销。与DAA不同,EPID支持签名撤销,这可以通过主体发布泄露组成员的签名来实现,该签名由主体断言密钥泄露进行会签。EPID还实现在给定由该私钥创建的签名的情况下撤销私钥,即使私钥本身仍然是未知的。当执行签名撤销检查时,执行签名撤销检查的主体必须能够访问相关组中的所有撤销的签名;该信息可以容易地用于区块链,并且因此可以由主体直接获得,或者可以由验证者供应给主体。
如果主体(例如,P3)怀疑或知道组的某个成员(例如,主体G1M99,其是组1的成员99)已被泄露,则主体P3可以证明该泄露在以下几个方式中的一个中是合法的:(1)主体P3撤销GlM99的私有组密钥,或(2)主体P3可撤销GlM99的私有组密钥产生的签名。在图2中,操作204示出了用于撤销组密钥的两个选项。
在图2中,操作204的选项1示出了主体P3撤销组1的第99个成员(G1M99)的私有组密钥(K-1 G1M99)。主体P3可以通过将GlM99的名称与GlM99的私有组密钥组合,然后用P3的私钥对该组合进行签名,得到[G1M99,K-1 GIM99]K-1 P3来执行该撤销。然后P3可以使用事务处理器(例如,M2)将该撤销发布到区块链。
在图2中,操作204的选项2示出了主体P3撤销由组1的第99个成员(G1M99)签名的消息(M)。主体P3可以通过将GlM99的名称与由G1M99签名的消息组合(例如,([M]K-1 P1),然后使用P3的私钥对此组合进行签名,得到[G1M99,[M]K-1 G1M99]K-1 P3来执行此撤销。然后,P3可以使用事务处理器(例如,M2)将该撤销发布到区块链。
出于隐私原因,主体或组成员可以选择从事务中省略其名称(或其组名)。因此,撤销主体可能无法获得或产生被被撤销的姓名(或被被撤销的组名称)。然而,被撤销仍然可以仅使用被被撤销的密钥或签名来撤销被被撤销。
图3示出了根据示例实施例的具有嵌入式公钥分类账处理的公钥分类账设备300。PKL设备300可以是物联网设备、片上系统设备等中的一个或多个。PKL设备300可以包括处理单元302、网络适配器304、传感器组306和存储器/存储装置308。存储器/存储装置308可以包括用于存储PKL块的伴随PKL高速缓存310。
可以在计算上约束IoT设备;因此,有效的PKL设备300可以具有处理单元302,处理单元302包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)或由中央处理单元(CPU)执行的嵌入式软件中的至少一个。
PKL设备300可以以“仅订户”模式或“订户-事务处理器”模式操作。可以优化仅订户模式以搜索PKL并支持引入和验证操作。订户-事务处理器模式可以向仅订户模式添加用于将事务发布到PKL并用于执行工作证明计算的能力。
PKL可以隐式地作为现有区块链的一部分操作,或显式地作为私有(例如,单独的)区块链来操作,该私有区块链将主体供应给另一个区块链(例如,被许可的区块链可以使用PKL系统作为用于被许可区块链的主体的来源)
如果PKL系统在与公共可访问区块链分开的私有区块链上实现,则PKL系统可能没有足够数量的节点来确保私有区块链的完整性。在实施例中,该问题的解决方案是计算提交给私有区块链的每个第N个事务的哈希值,然后将该哈希值发布到公共区块链,从而向公众提交私有区块链的已知事实。在这样的实施例中,攻击者可能能够泄露私有区块链中的N-1个最近的事务,但是不能泄露第N个(或后续事务)。
图4是示出了根据示例实施例的公钥分类账上的事务的数据和控制流程图400。主体P1可以开始涉及主体P2的事务(操作401)。
主体P1对涉及另一主体P2的事务进行签名(操作404)。事务的类型取决于在其上构建公钥分类账的底层区块链的目的。例如,如果基础区块链是土地所有权登记处,则事务可以是土地所有权的登记,等等。
主体P2获得主体P1的公钥(操作402)。可选地,主体P2获得与主体P1的公钥相关联的属性。
主体P2针对主体P1的引入搜索区块链(操作406)。由于各种原因中的一个或多个原因,主体P1可能会有多个引入。例如,如果主体P1的先前引入包括截止日期,则可能必须将主体P1重新引入区块链以进行信托。作为另一示例,主体P1可能希望多个实体担保主体P1,从而增加主体P1在PKL中的声誉。
针对P1的引入人I,主体P2确定引入人I是否已知并且是可信的(操作408)。如果引入人I和主体P2在他们的信任链中有共同的引入人,那么引入人I就是已知的并且受到主体P2的信任。因为每个主体都在其信任链的根处有区块链的根主体,则除非沿着信托链上的引入人被撤销,否则这将永远是真的;因此,主体P2可能必须确定主体P1的信任链上的每个引入人I的撤销状态。如果主体P1的引入人不知道也不可信,则事务失败(结果420)。
如果主体P1的引入人是已知且可信的,则P2确定是否已撤销主体P1(操作410,其在图6中示出并在随后的段落中解释)。在实施例中,可以对主体P1的信任链中的每个引入人重复操作410。如果主体P1已被撤销,则事务失败(结果420)。如果主体P1未被撤销,则P2完成事务(操作412),并且事务成功(结果414)。
可以定义区块链事务块,使得在事务数据的末尾存在空白空间;该空白空间可以用于任意数据(例如,一些其他事务的散列可以放置在空白空间中)。例如,发布到区块链的交易可能具有另一个分布式分类账系统上的事务的哈希值;这导致了更大的节点社区,事务处理器需要该节点社区多数人达成共识。
图5是示出了根据示例实施例的公钥分类账上的主体密钥的撤销的数据和控制流程图500。任何未撤销的主体Y可以通过断言X的私钥已被泄露来撤销主体X;主体Y如何撤销主体X取决于要撤销的密钥类型。密钥类型可以以各种方式确定,例如,密钥类型可以通过检查或分析密钥内(或与密钥相关联)的元数据来确定。
撤销主体可以发起撤销(操作502)。确定与要撤销的主体相关联的密钥(K)是否是EPID密钥(操作504)。如果K是EPID密钥,则针对与K相对应的主体(即,组成员)的签名搜索区块链(操作506)。在找到签名时,执行签名的撤销检查(操作508)以确定签名是否已被撤销。如果签名已被撤销,则撤销结束(操作550)。如果签名尚未被撤销,则确定该成员的私钥是否被泄露或撤销(操作510)。如果成员私钥被泄露或撤销,则签名作为已被撤销而发布到区块链(操作512),并且撤销结束(操作550)。如果成员私钥未被泄露或撤销,则撤销继续检查私钥是否是DAA密钥(操作520)。
如果不是EPID密钥,则确定要撤销的私钥是否是DAA密钥(操作520)。如果K是DAA密钥(并且因此是私钥),则确定是否已将K引入区块链(操作522)。如果尚未将K引入区块链,则没有任何要撤销的内容,并且撤销结束(操作550)。如果K已被引入区块链,则K作为已被撤销而发布到区块链(操作524),并且撤销结束(操作550)。
如果K不是DAA密钥,则确定K是否是非对称的(操作530)。如果K是非对称的,则K作为已被撤销而发布到区块链(操作532),并且撤销结束(操作550)。如果K不是非对称的(即,密钥是对称的),则对称密钥K作为已被撤销而发布到区块链(操作540),并且撤销结束(操作550)。
可以在计算上约束IoT设备,因此,它们可以缓慢地执行非对称密码术。相反,对于所有操作使用非对称密码术,IoT框架可以使用非对称密码术来建立对称密钥(例如,Diffie-Hellman Exchange),然后多次重用对称密钥。可以通过简单地将对称密钥发布到区块链来撤销对称密钥。
图6是示出了根据示例实施例的加密原语X的撤销检查的数据和控制流程图600。可以出于若干原因启动撤销检查(操作602),例如作为PKL事务的一部分(例如,操作410)或作为撤销的一部分(例如,操作508)等。
确定X是否是签名(操作610)。如果X是签名,则执行签名撤销检查(操作612),这可以像搜索区块链一样简单,以确定可信主体是否已经将X作为已被撤销发布到区块链。在签名撤销检查(操作612)完成之后,撤销检查结束(操作650)。
如果X不是签名,则确定X是否是非对称私钥(操作620)。如果X是非对称私钥,则执行私钥撤销检查(操作622),这可以像搜索区块链一样简单,以确定X是否已经发布到区块链。在撤销的主体的签名被发布到区块链的实施例中,验证者可以使用所谓的撤销的私钥来确定所谓的撤销的私钥是否产生与针对撤销事务产生的签名匹配的签名。如果验证者使用与用于撤销事务的签名匹配的所谓的撤销的私钥来计算签名,则验证者可以确定所谓的撤销的私钥实际上已被撤销。在私钥撤销检查(操作622)完成之后,撤销检查结束(操作650)。
如果X不是非对称私钥,则确定X是否是非对称公钥(操作630)。如果X是非对称公钥,则执行公钥撤销检查(操作632),这可以像搜索区块链一样简单,以确定可信主体是否已经将X作为已被撤销的发布到区块链。在公钥撤销检查(操作632)完成之后,撤销检查结束(操作650)。
如果X不是非对称公钥,则确定X是否是对称密钥(操作640)。如果X是对称密钥,则执行对称密钥撤销检查(操作642),这可以像搜索区块链一样简单以确定X是否已经发布到区块链。在对称密钥撤销检查(操作642)完成之后,撤销检查结束(操作650)。
图7是示出了机器700的示例的框图,在机器700上可以实现任何一个或多个示例实施例。在备选实施例中,机器700可以作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器700可以在客户端-服务器网络环境中以服务器机器、客户端机器或两者的能力操作。在示例中,机器700可以充当对等(P2P)(或其他分布式)网络环境中的对等机器。机器700可以实现或包括图1-6中所示的系统、设备或方法的任何部分,并且可以是计算机、服务器或能够执行指定该机器要采取的动作的指令(顺序或其他)的任何机器。此外,尽管仅示出了一台机器,但术语“机器”也应被视为包括单独或联合执行一组(或多组)指令以执行这里讨论的任何方法中的一个或多个的任何机器集合,例如云计算、软件即服务(SaaS)、其他计算机集群配置等。
如本文所述,示例可以包括逻辑或多个组件、模块或机制,或者可以由逻辑或多个组件、模块或机制操作。模块是能够执行指定操作并且可以以某种方式配置或布置的有形实体(例如,硬件)。在示例中,可以以指定的方式将电路布置(例如,在内部或相对于诸如其他电路的外部实体)作为模块。在示例中,一个或多个计算机系统(例如,独立的、客户端或服务器计算机系统)或一个或多个硬件处理器的全部或一部分可以由固件或软件(例如,指令、应用部分或应用)配置为操作以执行指定操作的模块。在示例中,软件可以驻留在机器可读介质上。在示例中,软件在由模块的底层硬件执行时使硬件执行指定的操作。
因此,术语“模块”被理解为包含有形实体,是物理构造的、特别配置(例如,硬连线)或临时(例如,暂时地)配置(例如,编程)以便以指定的方式操作或执行本文所述的任何操作的部分或全部操作的实体。考虑模块是临时配置的示例,不需要在任何一个时刻实例化每个模块。例如,在模块包括使用软件配置的通用硬件处理器的情况下,通用硬件处理器可以在不同时间被配置为相应的不同模块。因此,软件可以配置硬件处理器,例如,在一个时刻构成特定模块,并在不同时刻构成不同模块。
机器(例如,计算机系统)700可包括硬件处理器702(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核心或其任何组合)、主存储器704和静态存储器706,其中的一些或全部可以经由互连链路(例如,总线)708彼此通信。机器700还可以包括显示单元710、字母数字输入设备712(例如,键盘)和用户界面(UI)导航设备714(例如,鼠标)。在示例中,显示单元710、输入设备712和UI导航设备714可以是触摸屏显示器。机器700可以另外包括存储设备(例如,驱动单元)716、信号生成设备718(例如,扬声器)、网络接口设备720以及一个或多个传感器721,诸如全球定位系统(GPS)传感器、指南针、加速度计或其他传感器。机器700可以包括输出控制器728,例如串行(例如,USB、并行或其他有线或无线(例如,红外(IR)、近场通信(NFC)等)连接以通信或控制一个或更多外围设备(例如,打印机、读卡器等)。
存储设备716可以包括机器可读介质722,其上存储有一组或多组数据结构或指令724(例如,软件),其体现本文描述的技术或功能中的任何一个或多个或由本文描述的技术或功能中的任何一个或多个使用。指令724还可以在机器700执行期间完全或至少部分地驻留在主存储器704内,静态存储器706内,或硬件处理器702内。在示例中,硬件处理器702、主存储器704、静态存储器706或存储设备716的一个或任意组合可以构成机器可读介质。
尽管机器可读介质722被示为单个介质,但是术语“机器可读介质”可以包括被配置为存储一个或多个指令724的单个介质或多个介质(例如,集中式或分布式数据库,和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可以包括能够存储、编码或携带用于由机器700执行的并且使机器700执行本公开的技术中的任何一种或多种的指令或者能够存储、编码或携带由这些指令使用或与之相关的数据结构的任何介质。非限制性机器可读介质示例可以包括固态存储器,以及光学和磁性介质。因此,机器可读介质不是暂时性传播信号。机器可读介质的具体示例可以包括非易失性存储器,诸如半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))和闪存设备;磁盘,如内部硬盘和可移动磁盘;磁光盘;随机存取存储器(RAM);固态硬盘(SSD)和CD-ROM;以及DVD-ROM磁盘。
指令724还可以经由网络接口设备720使用传输介质在通信网络726上利用多种传输协议中的任何一种(例如,帧中继、因特网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)来发送或接收。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,因特网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络和无线数据网络(例如,电气和电子工程师协会(IEEE)802.11标准系列,称为IEEE 802.16标准系列称为)、IEEE 802.15,4系列标准、低能耗技术、对等(P2P)网络等。在示例中,网络接口设备720可以包括一个或多个物理插孔(例如,以太网、同轴或电话插孔)或一个或多个天线以连接到通信网络726。在示例中,网络接口设备720可以包括多个天线,以使用单输入多输出(SIMO)、多输入多输出(MEMO)或多输入单输出(MISO)技术中的至少一种进行无线通信。术语“传输介质”应被视为包括能够存储、编码或携带由机器700执行的指令的任何无形介质,并且包括数字或模拟通信信号或其他无形介质以促进这种软件的通信。
附加说明和示例实施例
示例1是一种用于使用分布式数字分类账(DDL)执行公钥基础结构操作的装置,该装置包括:处理器,其在运行时,耦合到网络适配器和存储器;其中该装置用于:经由所述网络适配器接收与DDL的参与者相对应的数据包;确定数据包的类型;并且基于数据包的所确定的类型,执行DDL参与者的撤销检查以确定所述数据包是否已被撤销。
在示例2中,示例1的主题可选地包括,其中,当所确定的类型是数字签名时,所述撤销检查包括所述装置用于:针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL,所述撤销事务将数据包断言为已被撤销;确定所述撤销人参与者是否被所述装置信任;以及响应于该装置信任所述撤销人参与者,指示该数据包被撤销。
在示例3中,示例2的主题可选地包括,其中,确定所述撤销人参与者是否被所述装置信任包括所述装置用于:针对引入人参与者来搜索DDL,该引入人参与者对装置和撤销人参与者中的每个的信任链是共同的;以及响应于该装置和撤销人参与者具有对该装置和撤销人参与者中的每个的信任链是共同的引入人参与者,指示该撤销人参与者是可信的。
在示例4中,示例1-3中的任何一个或多个的主题可选地包括,其中,当所确定的类型是非对称私钥时,所述撤销检查包括所述装置用于:针对包括数据包作为公开可读的事务来搜索DDL;以及响应于DDL包括数据包作为公开可读,指示所述数据包已被撤销。
在示例5中,示例1-4中的任何一个或多个的主题可选地包括,其中,当所确定的类型是非对称公钥时,所述撤销检查包括所述装置用于:针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL,所述撤销事务将数据包断言为已被撤销;确定所述撤销人参与者是否被所述装置信任;以及响应于撤销人参与者被该装置信任,指示该数据包被撤销。
在示例6中,示例5的主题可选地包括,其中,确定所述撤销人参与者是否被所述装置信任包括所述装置用于:针对对装置和撤销人参与者中的每个的信任链是共同的引入人参与者来搜索DDL;以及响应于该装置和撤销人参与者具有对装置和撤销人参与者中的每一个的信任链是共同的引入人参与者,指示该撤销人参与者为可信的。
在示例7中,示例1-6中的任何一个或多个的主题可选地包括,其中,确定所述数据包的类型包括所述装置分析所述数据包内的元数据。
在示例8中,示例1-7中的任何一个或多个的主题可选地包括,其中,当所确定的类型是对称密钥时,所述撤销检查包括所述装置用于:针对包括数据包作为公开可读的事务来搜索DDL;以及响应于所述DDL包括数据包作为公开可读的,指示所述数据包被撤销。
示例9是一种用于使用分布式数字分类账(DDL)执行公钥基础结构操作的装置,该装置包括:处理器,其在运行时,耦合到网络适配器和存储器,其中所述装置用于:从被引入主体接收工作证明;将所述工作证明与被引入主体的标识符组合;生成被引入主体的引入,其中生成引入包括所述装置用于使用分配给该装置的非对称私钥来对工作证明和被引入主体的标识符的组合进行签名;以及将被引入主体的引入发布到DDL。
在示例10中,示例9的主题可选地包括,其中,所述装置用于通过所述装置执行以下操作来撤销被撤销主体:将被撤销主体的非对称公钥与被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括所述装置用于使用分配给该装置的非对称密钥来对被撤销主体的非对称公钥和被撤销主体的标识符的组合进行签名;以及将被撤销主体的撤销发布到所述DDL。
在示例11中,示例9-10中的任何一个或多个的主题可选地包括,其中,所述装置用于通过所述装置执行以下操作来撤销被撤销主体:将所述被撤销主体的非对称私钥与所述被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括该装置用于使用分配给该装置的非对称密钥来对被撤销主体的非对称私钥和被撤销主体的标识符的组合进行签名;并将被撤销主体的撤销发布到DDL。
在示例12中,示例11的主题可选地包括,其中,被撤销主体的非对称私钥是非对称组密钥。
在示例13中,示例9-12中的任何一个或多个的主题可选地包括,其中,所述装置用于通过所述装置执行以下操作来撤销被撤销主体:将所述被撤销主体的数字签名与所述被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括所述装置用于使用分配给该装置的非对称密钥来对被撤销主体的数字签名和被撤销主体的标识符的组合进行签名;并将被撤销主体的撤销发布到DDL。
在示例14中,示例13的主题可选地包括其中,被撤销主体的数字签名由非对称组密钥生成。
示例15是一种使用分布式数字分类账(DDL)执行公钥基础结构操作的方法,该方法由设备执行,该方法包括:经由设备的网络适配器接收与DDL的参与者相对应的数据包;确定数据包的类型,以及基于数据包的所确定的类型,执行对DDL参与者的撤销检查以确定所述数据包是否已被撤销。
在示例16中,示例15的主题可选地包括,其中,当所确定的类型是数字签名时,所述撤销检查包括:针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL,所述撤销事务将数据包断言为已被撤销;确定所述撤销人参与者是否被所述设备信任;以及响应于所述撤销人参与者被该设备信任,指示该数据包被撤销。
在示例17中,示例16的主题可选地包括,其中确定所述撤销人参与者是否可信包括:针对对设备和撤销人参与者中的每个的信任链是共同的引入人参与者来搜索DDL;以及响应于该设备和撤销人参与者具有对该设备和撤销人参与者中的每个的信任链是共同的引入人参与者,指示该撤销人参与者是可信的。
在示例18中,示例15-17中的任何一个或多个的主题可选地包括,其中,在所确定的类型是非对称私钥时,所述撤销检查包括:针对包括数据包作为公开可读的事务来搜索DDL;以及响应于DDL包括数据包作为公开可读,指示所述数据包已被撤销。
在示例19中,示例15-18中的任何一个或多个的主题可选地包括,其中,在所确定的类型是非对称公钥时,所述撤销检查包括:针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL,所述撤销事务将数据包断言为已被撤销;确定所述撤销人参与者是否被所述设备信任;以及响应于撤销人参与者被该设备信任,指示该数据包被撤销。
在示例20中,示例19的主题可选地包括,其中,确定所述撤销人参与者是否被所述设备信任包括:针对对设备和撤销人参与者中的每个的信任链是共同的引入人参与者来搜索DDL;以及响应于该设备和撤销人参与者具有对设备和撤销人参与者中的每一个的信任链是共同的引入人参与者,指示该撤销人参与者为可信的。
在示例21中,示例15-20中的任何一个或多个的主题可选地包括,其中确定所述数据包的类型包括分析所述数据包内的元数据。
在示例22中,示例15-21中的任何一个或多个的主题可选地包括,其中,在所确定的类型是对称密钥时,撤销检查包括:针对包括数据包作为公开可读的事务来搜索DDL;并且响应于包括数据包作为公开可读的DDL,指示数据包被撤销,
示例23是一种用于使用分布式数字账本(DDL)来执行公钥基础结构操作的方法,该方法由设备执行,该方法包括:从被引入主体接收工作证明;将所述工作证明与所述被引入主体的标识符组合;生成所述被引入主体的引入,其中生成引入包括所述设备使用分配给设备的非对称私钥来对工作证明和被引入主体的标识符的组合进行签名;以及将所述被引入主体的引入发布到DDL。
在示例24中,示例23的主题可选地包括通过以下方式撤销被撤销主体:将被撤销主体的非对称公钥与被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括所述设备使用分配给设备的非对称密钥来对被撤销主体的非对称公钥和被撤销主体的标识符的组合进行签名:以及将被撤销主体的撤销发布到DDL。
在示例25中,示例23-24中的任何一个或多个的主题可选地包括:通过以下方式撤销被撤销主体:将被撤销主体的非对称私钥与被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括所述设备使用分配给设备的非对称密钥来对被撤销主体的非对称私钥和被撤销主体的标识符的组合进行签名;以及将被撤销主体的撤销发布到DDL。
在示例26中,示例25的主题可选地包括其中,被撤销主体的非对称私钥是非对称组密钥。
在示例27中,示例23-26中的任何一个或多个的主题可选地包括:通过以下方式撤销被撤销主体:将被撤销主体的数字签名与被撤销主体的标识符组合;生成被撤销主体的撤销,其中生成撤销包括所述设备使用分配给设备的非对称密钥来对被撤销主体的数字签名和被撤销主体的标识符的组合进行签名;以及将被撤销主体的撤销发布到DDL。
在示例28中,示例27的主题可选地包括其中,被撤销主体的数字签名由非对称组密钥生成。
示例29是包括指令的至少一种机器可读介质,所述指令在由机器执行时使机器执行示例15-28的方法中的任何一项所述的操作。
示例30是一种装置,包括用于执行示例15-28的任何方法所述的单元。
示例31是一种用于使用机器学习来优化可穿戴设备的设置的装置,该装置包括:用于接收与DDL的参与者相对应的数据包的单元;用于确定数据包类型的单元;以及用于基于所确定的数据包的类型执行DDL参与者的撤销检查以确定数据包是否已被撤销的单元。
在示例32中,示例31的主题可选地包括,其中,在所确定的类型是数字签名时,撤销检查包括:用于针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL的单元,所述撤销事务将数据包断言为已被撤销;用于确定所述撤销人参与者是否被所述装置信任的单元;以及用于响应于所述撤销人参与者被该装置信任而指示该数据包被撤销的单元。
在示例33中,示例32的主题可选地包括,用于确定所述撤销人参与者是否被所述装置信任的单元包括:用于针对对装置和撤销人参与者中的每个的信任链是共同的引入人参与者来搜索DDL的单元;以及用于响应于该装置和撤销人参与者具有对该装置和撤销人参与者中的每个的信任链是共同的引入人参与者而指示该撤销人参与者是可信的单元。
在示例34中,示例31-33中的任何一个或多个的主题可选地包括,其中,在所确定的类型是非对称私钥时,撤销检查包括:用于针对包括数据包作为公开可读的事务来搜索DDL的单元;以及用于响应于DDL包括数据包作为公开可读而指示所述数据包已被撤销的单元。
在示例35中,示例31-34中的任何一个或多个的主题可选地包括,其中,在所确定的类型是非对称公钥时,撤销检查包括:用于针对由DDL的撤销人参与者发布到DDL的撤销事务来搜索DDL,所述撤销事务将数据包断言为已被撤销的单元;确定所述撤销人参与者是否被所述装置信任;以及响应于撤销人参与者被该装置信任,指示该数据包被撤销。
在示例36中,示例35的主题可选地包括,用于确定所述撤销人参与者是否被所述装置信任的单元包括:针对对装置和撤销人参与者中的每个的信任链是共同的引入人参与者来搜索DDL的单元;以及用于响应于该装置和撤销人参与者具有对装置和撤销人参与者中的每一个的信任链是共同的引入人参与者而指示该撤销人参与者为可信的单元。
在示例37中,示例31-36中的任何一个或多个的主题可选地包括,其中用于确定数据包的类型的单元包括分析数据包内的元数据。
在示例38中,示例31-37中的任何一个或多个的主题可选地包括,其中,在所确定的类型是对称密钥时,撤销检查包括:用于针对包括数据包作为公开可读的事务来搜索DDL的单元;以及用于响应于所述DDL包括数据包作为公开可读的而指示所述数据包被撤销的单元。
示例39是一种用于使用分布式数字分类账(DDL)来执行公钥基础结构操作的装置,该装置包括:用于从被引入主体接收工作证明的单元;用于将所述工作证明与被引入主体的标识符组合的单元;用于生成被引入主体的引入的单元,其中生成引入包括所述装置用于使用分配给该装置的非对称私钥来对工作证明和被引入主体的标识符的组合进行签名;以及用于将被引入主体的引入发布到DDL的单元。
在示例40中,示例39的主题可选地包括用于通过以下方式撤销被撤销主体的单元:用于将被撤销主体的非对称公钥与被撤销主体的标识符组合的单元;用于生成被撤销主体的撤销的单元,其中生成撤销包括所述装置使用分配给该装置的非对称密钥来对被撤销主体的非对称公钥和被撤销主体的标识符的组合进行签名;以及用于将被撤销主体的撤销发布到所述DDL的单元。
在示例41中,示例39-40中的任何一个或多个的主题可选地包括用于通过以下方式撤销被撤销主体的单元:用于将被撤销主体的非对称私钥与被撤销主体的标识符组合的单元;用于生成被撤销主体的撤销的单元,其中生成撤销包括所述装置使用分配给该装置的非对称密钥来对被撤销主体的非对称私钥和被撤销主体的标识符的组合进行签名的单元;以及用于将被撤销主体的撤销公布到DDL的单元。
在示例42中,示例41的主题可选地包括其中,被撤销主体的非对称私钥是非对称组密钥。
在示例43中,示例39-42中的任何一个或多个的主题可选地包括用于通过以下方式撤销被撤销主体的单元:用于将被撤销主体的数字签名与被撤销主体的标识符组合的单元;用于生成被撤销主体的撤销的单元,其中生成撤销包括所述装置使用分配给该装置的非对称密钥来对被撤销主体的数字签名和被撤销主体的标识符的组合进行签名的单元;以及用于将被撤销主体的撤销公布到DDL的单元。
在示例44中,示例43的主题可选地包括其中,被撤销主体的数字签名由非对称组密钥生成。
这些非限制性实例中的每一个可以独立存在,或者可以以各种排列组合或与一个或多个其他实例组合。
本文使用计算机系统和密码学领域中的常规术语。这些术语在本领域中是已知的,并且仅出于方便目的而仅作为非限制性示例提供。因此,除非另有说明,否则权利要求中对应术语的解释不限于任何特定定义。
尽管本文已示出和描述了特定实施例,但所属领域的技术人员将意识到,经计算以实现相同目的的任何布置可替代所展示的特定实施例。许多改编对于本领域普通技术人员来说是显而易见的。因此,本申请旨在涵盖任何改编或变化。
以上详细描述包括对附图的参考,附图形成详细描述的一部分。附图通过示例示出了可以实践的具体实施例。这些实施方案在本文中也称为“示例”。这些示例可以包括除了示出或描述的元件之外的元件。然而,本发明人还考虑了仅提供所示出或描述的那些元件的示例。此外,本发明人还考虑使用关于特定示例(或其一个或多个方面)或关于在此示出或描述的其他示例(或其一个或多个方面)使用所示或所描述的那些元件(或其一个或多个方面)的任何组合或置换的示例。
在本文件中,术语“一”或“一个”在专利文献中是常见的,包括一个或多于一个,独立于“至少一个”或“一个或多个”的任何其他实例或用法。在本文件中,术语“或”用于表示非排他性的或者,这样“A或B”包括“A但不是B”、“B但不是A”和“A和B”,除非另有说明。此外,在以下权利要求中,术语“第一”、“第二”和“第三”等仅用作标记,并不旨在对其对象施加数字要求。在该文献中,传感器组可以包括一个或多个传感器,其可以是不同类型的。此外,两个不同的传感器组可以包括属于两个传感器组的一个或多个传感器。
在该具体实施方式中,可以将各种特征组合在一起以简化本公开。这不应被解释为意图未在权利要求中要求保护的公开特征对于任何权利要求是必不可少的。相反,发明主题可能在于少于特定公开实施例的所有特征。因此,以下权利要求在此并入具体实施方式中,其中每个权利要求自身作为单独的实施例,并且可以预期这些实施例可以以各种组合或置换彼此组合。应该参考所附权利要求以及这些权利要求所赋予的等同物的全部范围来确定实施例的范围。
以上描述旨在是说明性的而非限制性的。例如,上述示例(或其一个或多个方面)可以彼此组合使用。在阅读以上描述之后,例如本领域普通技术人员可以使用其他实施例。
Claims (15)
1.一种用于使用分布式数字分类账(DDL)来执行公钥基础结构操作的装置,所述装置包括:
处理器,其在运行时耦合到网络适配器和存储器;
其中,所述装置用于:
经由所述网络适配器接收与DDL的参与者相对应的数据包;
确定所述数据包的类型;并且
基于所述数据包的确定的类型,执行对所述DDL参与者的撤销检查以确定所述数据包是否已被撤销
其中,当所述确定的类型是非对称私钥时,所述撤销检查包括所述装置用于:
针对包括所述数据包作为公开可读的事务来搜索所述DDL;以及
响应于所述DDL包括所述数据包作为公开可读的,指示所述数据包已被撤销。
2.如权利要求1所述的装置,其中,当所述确定的类型是数字签名时,所述撤销检查包括所述装置用于:
针对由所述DDL的撤销人参与者发布到所述DDL的撤销事务来搜索所述DDL,所述撤销事务将所述数据包断言为已撤销;
确定所述撤销人参与者是否被所述装置信任;以及
响应于所述撤销人参与者被所述装置信任,指示所述数据包被撤销。
3.如权利要求2所述的装置,其中,确定所述撤销人参与者是否被所述装置信任包括所述装置用于:
针对对所述装置和所述撤销人参与者中的每个的信任链是共同的引入人参与者来搜索所述DDL;以及
响应于所述装置和所述撤销人参与者具有对所述装置和所述撤销人参与者中的每个的信任链是共同的引入人参与者,指示所述撤销人参与者是可信的。
4.如权利要求1所述的装置,其中,当所述确定的类型是非对称公钥时,所述撤销检查包括所述装置用于:
针对由所述DDL的撤销人参与者发布到所述DDL的撤销事务来搜索所述DDL,所述撤销事务将所述数据包断言为已撤销;
确定所述撤销人参与者是否被所述装置信任;以及
响应于所述撤销人参与者被所述装置信任,指示所述数据包被撤销。
5.如权利要求4所述的装置,其中,确定所述撤销人参与者是否被所述装置信任包括所述装置用于:
针对对所述装置和所述撤销人参与者中的每个的信任链是共同的引入人参与者来搜索所述DDL;以及
响应于所述装置和所述撤销人参与者具有对所述装置和所述撤销人参与者中的每一个的信任链是共同的引入人参与者,指示所述撤销人参与者为可信的。
6.如权利要求1所述的装置,其中,确定所述数据包的类型包括所述装置用于分析所述数据包内的元数据。
7.如权利要求1所述的装置,其中,当所述确定的类型是对称密钥时,所述撤销检查包括所述装置用于:
针对包括数据包作为公开可读的事务来搜索所述DDL;以及
响应于所述DDL包括所述数据包作为公开可读的,指示所述数据包被撤销。
8.一种用于使用分布式数字分类账(DDL)来执行公钥基础结构操作的方法,所述方法由设备执行,所述方法包括:
经由设备的网络适配器来接收与DDL的参与者相对应的数据包;
确定所述数据包的类型;以及
基于所述数据包的确定的类型,执行对所述DDL参与者的撤销检查以确定所述数据包是否已被撤销,
其中,当所述确定的类型是非对称私钥时,所述撤销检查包括:
针对包括所述数据包作为公开可读的事务来搜索所述DDL;以及
响应于所述DDL包括所述数据包作为公开可读的,指示所述数据包已被撤销。
9.如权利要求8所述的方法,其中,当所述确定的类型是数字签名时,所述撤销检查包括:
针对由所述DDL的撤销人参与者发布到所述DDL的撤销事务来搜索所述DDL,所述撤销事务将所述数据包断言为已撤销;
确定所述撤销人参与者是否被所述设备信任;以及
响应于所述撤销人参与者被所述设备信任,指示所述数据包被撤销。
10.如权利要求9所述的方法,其中,确定所述撤销人参与者是否可信包括:
针对对所述设备和所述撤销人参与者中的每个的信任链是共同的引入人参与者来搜索所述DDL;以及
响应于所述设备和所述撤销人参与者具有对所述设备和所述撤销人参与者中的每个的信任链是共同的引入人参与者,指示所述撤销人参与者是可信的。
11.如权利要求8所述的方法,其中,当所述确定的类型是非对称公钥时,所述撤销检查包括:
针对由所述DDL的撤销人参与者发布到所述DDL的撤销事务来搜索所述DDL,所述撤销事务将所述数据包断言为已撤销;
确定所述撤销人参与者是否被所述设备信任;以及
响应于所述撤销人参与者被所述设备信任,指示所述数据包被撤销。
12.如权利要求11所述的方法,其中,确定所述撤销人参与者是否被所述设备信任包括:
针对对所述设备和所述撤销人参与者中的每个的信任链是共同的引入人参与者来搜索所述DDL;以及
响应于所述设备和所述撤销人参与者具有对所述设备和所述撤销人参与者中的每一个的信任链是共同的引入人参与者,指示所述撤销人参与者为可信的。
13.如权利要求8所述的方法,其中,确定所述数据包的类型包括分析所述数据包内的元数据。
14.至少一种包括指令的机器可读介质,所述指令当由机器执行时,使所述机器用于执行如权利要求8-13中的任一项所述的方法的操作。
15.一种用于使用机器学习来优化可穿戴设备的设置的装置,所述装置包括:
用于接收与DDL的参与者相对应的数据包的单元;
用于确定所述数据包的类型的单元;以及
用于基于所述数据包的确定的类型,执行对所述DDL参与者的撤销检查以确定所述数据包是否已被撤销的单元,
其中,当所述确定的类型是非对称私钥时,所述撤销检查包括:
针对包括所述数据包作为公开可读的事务来搜索所述DDL;以及
响应于所述DDL包括所述数据包作为公开可读的,指示所述数据包已被撤销。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/201,219 US10411905B2 (en) | 2016-07-01 | 2016-07-01 | Public key infrastructure using blockchains |
US15/201,219 | 2016-07-01 | ||
PCT/US2017/027564 WO2018004783A1 (en) | 2016-07-01 | 2017-04-14 | Public key infrastructure using blockchains |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109196816A CN109196816A (zh) | 2019-01-11 |
CN109196816B true CN109196816B (zh) | 2023-04-07 |
Family
ID=60787415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780033715.9A Active CN109196816B (zh) | 2016-07-01 | 2017-04-14 | 使用区块链的公钥基础结构 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10411905B2 (zh) |
CN (1) | CN109196816B (zh) |
DE (1) | DE112017002263T5 (zh) |
WO (1) | WO2018004783A1 (zh) |
Families Citing this family (73)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10262164B2 (en) | 2016-01-15 | 2019-04-16 | Blockchain Asics Llc | Cryptographic ASIC including circuitry-encoded transformation function |
US10135616B2 (en) * | 2016-05-07 | 2018-11-20 | Keir Finlow-Bates | Revocation of cryptographic keys in the absence of a trusted central authority |
US10764067B2 (en) * | 2016-05-23 | 2020-09-01 | Pomian & Corella, Llc | Operation of a certificate authority on a distributed ledger |
US10411905B2 (en) | 2016-07-01 | 2019-09-10 | Intel Corporation | Public key infrastructure using blockchains |
US10715311B2 (en) | 2017-07-28 | 2020-07-14 | Workday, Inc. | System and method for blockchain-based user authentication based on a cryptographic challenge |
US10637665B1 (en) | 2016-07-29 | 2020-04-28 | Workday, Inc. | Blockchain-based digital identity management (DIM) system |
US10700861B2 (en) | 2016-07-29 | 2020-06-30 | Workday, Inc. | System and method for generating a recovery key and managing credentials using a smart blockchain contract |
US10715312B2 (en) | 2016-07-29 | 2020-07-14 | Workday, Inc. | System and method for blockchain-based device authentication based on a cryptographic challenge |
US11336432B2 (en) | 2016-07-29 | 2022-05-17 | Workday, Inc. | System and method for blockchain-based device authentication based on a cryptographic challenge |
JP7047760B2 (ja) * | 2016-07-29 | 2022-04-05 | 日本電気株式会社 | システム、データ管理方法及びプログラム |
US10735197B2 (en) | 2016-07-29 | 2020-08-04 | Workday, Inc. | Blockchain-based secure credential and token management across multiple devices |
US11088855B2 (en) | 2016-07-29 | 2021-08-10 | Workday, Inc. | System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation |
US10832247B2 (en) * | 2016-09-15 | 2020-11-10 | American Express Travel Related Services Company, Inc. | Systems and methods for blockchain based payment networks |
US10339014B2 (en) | 2016-09-28 | 2019-07-02 | Mcafee, Llc | Query optimized distributed ledger system |
US10547457B1 (en) * | 2016-10-21 | 2020-01-28 | Wells Fargo Bank N.A. | Systems and methods for notary agent for public key infrastructure names |
US20180157700A1 (en) * | 2016-12-06 | 2018-06-07 | International Business Machines Corporation | Storing and verifying event logs in a blockchain |
KR101862861B1 (ko) * | 2017-01-11 | 2018-07-04 | 주식회사 코인플러그 | Utxo 기반 프로토콜을 사용하여 페이먼트 게이트웨이 서비스를 제공하는 방법 및 이를 이용한 서버 |
US10355869B2 (en) * | 2017-01-12 | 2019-07-16 | International Business Machines Corporation | Private blockchain transaction management and termination |
US11468439B2 (en) | 2017-01-12 | 2022-10-11 | American Express Travel Related Services Company, Inc. | Systems and methods for blockchain based proof of payment |
US10824759B1 (en) | 2017-01-25 | 2020-11-03 | State Farm Mutual Automobile Insurance Company | Systems and methods for verifying agent sales data via blockchain |
US10102526B1 (en) * | 2017-03-31 | 2018-10-16 | Vijay K. Madisetti | Method and system for blockchain-based combined identity, ownership, integrity and custody management |
WO2018201147A2 (en) * | 2017-04-28 | 2018-11-01 | Neuromesh Inc. | Methods, apparatus, and systems for controlling internet-connected devices having embedded systems with dedicated functions |
US11362834B2 (en) * | 2017-07-24 | 2022-06-14 | Comcast Cable Communications, Llc | Systems and methods for managing digital rights |
CN107592292B (zh) | 2017-07-26 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种区块链节点间通信方法及装置 |
EP3462667A1 (en) * | 2017-09-27 | 2019-04-03 | Banco Bilbao Vizcaya Argentaria, S.A. | Blockchain based joint blind key escrow |
US20190164157A1 (en) | 2017-11-28 | 2019-05-30 | American Express Travel Related Services Company, Inc. | Transaction authorization process using blockchain |
US11900339B1 (en) * | 2017-11-30 | 2024-02-13 | Worldpay, Llc | Systems and methods for hyperledger-based payment transactions, alerts, and dispute settlement, using smart contracts |
US11288740B2 (en) * | 2017-12-29 | 2022-03-29 | Intel Corporation | Securing distributed electronic wallet shares |
US11386420B2 (en) | 2017-12-29 | 2022-07-12 | Intel Corporation | Contextual authentication of an electronic wallet |
US11251937B2 (en) * | 2018-01-21 | 2022-02-15 | CipherTrace, Inc. | Distributed security mechanism for blockchains and distributed ledgers |
CN110084068B (zh) | 2018-01-26 | 2023-09-29 | 阿里巴巴集团控股有限公司 | 区块链系统及用于区块链系统的数据处理方法 |
US10372943B1 (en) | 2018-03-20 | 2019-08-06 | Blockchain Asics Llc | Cryptographic ASIC with combined transformation and one-way functions |
GB2583686B (en) * | 2018-04-09 | 2022-03-30 | Mitsubishi Electric Corp | Authentication federation system and authentication program |
CN111937348B (zh) * | 2018-04-09 | 2024-02-09 | 三菱电机株式会社 | 认证系统及计算机可读取的记录介质 |
US11121876B2 (en) | 2018-04-11 | 2021-09-14 | Microsoft Technology Licensing, Llc | Distributed access control |
US10404454B1 (en) | 2018-04-25 | 2019-09-03 | Blockchain Asics Llc | Cryptographic ASIC for derivative key hierarchy |
US11038676B2 (en) | 2018-05-25 | 2021-06-15 | Incertrust Technologies Corporation | Cryptographic systems and methods using distributed ledgers |
US10693716B2 (en) | 2018-05-29 | 2020-06-23 | At&T Mobility Ii Llc | Blockchain based device management |
US11836718B2 (en) | 2018-05-31 | 2023-12-05 | CipherTrace, Inc. | Systems and methods for crypto currency automated transaction flow detection |
WO2020025128A1 (en) * | 2018-08-01 | 2020-02-06 | Nokia Technologies Oy | Certificate management |
US11410136B2 (en) | 2018-08-01 | 2022-08-09 | American Express Travel Related Services Company, Inc. | Procurement system using blockchain |
CN109194493B (zh) * | 2018-08-13 | 2020-11-13 | 北京邮电大学 | 一种信息管理系统、方法及装置 |
EP3841486A4 (en) | 2018-08-23 | 2022-06-15 | Providentia Worldwide, LLC | SYSTEMS AND METHODS OF INTERCONNECTIONS AND BLOCKCHAIN RELATIONSHIPS |
US11368446B2 (en) * | 2018-10-02 | 2022-06-21 | International Business Machines Corporation | Trusted account revocation in federated identity management |
US11250411B2 (en) | 2018-10-16 | 2022-02-15 | American Express Travel Related Services Company, Inc. | Secure mobile checkout system |
US11546373B2 (en) | 2018-11-20 | 2023-01-03 | CipherTrace, Inc. | Cryptocurrency based malware and ransomware detection systems and methods |
JP7209518B2 (ja) * | 2018-12-03 | 2023-01-20 | 富士通株式会社 | 通信装置、通信方法、および通信プログラム |
CN109615474B (zh) * | 2018-12-11 | 2022-04-22 | 南京大学 | 基于区块链的中小企业竞争情报共享平台构建方法 |
US11151558B2 (en) | 2018-12-12 | 2021-10-19 | American Express Travel Related Services Company, Inc | Zero-knowledge proof payments using blockchain |
US11282076B2 (en) * | 2018-12-14 | 2022-03-22 | American Express Travel Related Services Company, Inc. | Transaction account data maintenance using blockchain |
US11170128B2 (en) * | 2019-02-27 | 2021-11-09 | Bank Of America Corporation | Information security using blockchains |
US11416548B2 (en) * | 2019-05-02 | 2022-08-16 | International Business Machines Corporation | Index management for a database |
WO2019179533A2 (en) | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for issuing verifiable claims |
CN111164594B (zh) | 2019-07-02 | 2023-08-25 | 创新先进技术有限公司 | 用于将去中心化标识映射到真实实体的系统和方法 |
WO2019179534A2 (en) * | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for creating decentralized identifiers |
WO2019179535A2 (en) | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for verifying verifiable claims |
CN111213147B (zh) | 2019-07-02 | 2023-10-13 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
CN111316303B (zh) | 2019-07-02 | 2023-11-10 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
US10944578B2 (en) * | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
CN110601851B (zh) * | 2019-09-12 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 在区块链网络中更换身份证书的方法、装置、介质和设备 |
CN111106940B (zh) * | 2019-11-25 | 2022-11-04 | 广州大学 | 一种基于区块链的资源公钥基础设施的证书交易验证方法 |
CN111130766B (zh) * | 2019-11-25 | 2022-11-04 | 广州大学 | 一种基于区块链的资源公钥基础设施双向授权的方法 |
KR20210072321A (ko) | 2019-12-09 | 2021-06-17 | 삼성전자주식회사 | 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법 |
US11611442B1 (en) | 2019-12-18 | 2023-03-21 | Wells Fargo Bank, N.A. | Systems and applications for semi-anonymous communication tagging |
US11483162B1 (en) | 2019-12-18 | 2022-10-25 | Wells Fargo Bank, N.A. | Security settlement using group signatures |
US11398916B1 (en) | 2019-12-18 | 2022-07-26 | Wells Fargo Bank, N.A. | Systems and methods of group signature management with consensus |
JPWO2021153421A1 (zh) * | 2020-01-31 | 2021-08-05 | ||
CN111934884B (zh) * | 2020-07-22 | 2023-03-14 | 中国联合网络通信集团有限公司 | 一种证书管理方法及装置 |
US11620272B2 (en) * | 2020-10-14 | 2023-04-04 | Intertrust Technologies Corporation | Trusted ledger management systems and methods |
US11621858B2 (en) * | 2020-12-12 | 2023-04-04 | International Business Machines Corporation | Anonymity mechanisms in permissioned blockchain networks |
AU2021418733A1 (en) | 2020-12-29 | 2023-06-22 | CipherTrace, Inc. | Systems and methods for correlating cryptographic addresses between blockchain networks |
US11075747B1 (en) * | 2021-02-16 | 2021-07-27 | block.one | Storing time-sensitive secrets in a blockchain network |
WO2022221883A1 (en) * | 2021-04-16 | 2022-10-20 | Noodle Technology Inc. | Secure supply chain and provisioning of devices and methods |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003019334A2 (en) * | 2001-08-27 | 2003-03-06 | Dataplay, Inc. | A secure access method and system |
CN1980123A (zh) * | 2005-11-30 | 2007-06-13 | 中国科学院研究生院 | 基于ibe的pki系统的实现方法及其密钥管理装置 |
US7310821B2 (en) * | 2001-08-27 | 2007-12-18 | Dphi Acquisitions, Inc. | Host certification method and system |
CN100550009C (zh) * | 2002-08-01 | 2009-10-14 | 甲骨文国际公司 | 异步信息共享系统 |
CN102075930A (zh) * | 2009-11-03 | 2011-05-25 | 英特尔公司 | 为无线网络的管理帧设立优先级的装置、系统和方法 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU6097000A (en) | 1999-07-15 | 2001-02-05 | Frank W Sudia | Certificate revocation notification systems |
US7672903B2 (en) * | 2001-08-27 | 2010-03-02 | Dphi Acquisitions, Inc. | Revocation method and apparatus for secure content |
EP1870814B1 (en) * | 2006-06-19 | 2014-08-13 | Texas Instruments France | Method and apparatus for secure demand paging for processor devices |
CN101490689B (zh) * | 2006-07-07 | 2012-05-16 | 桑迪士克股份有限公司 | 用于由存储装置验证实体的方法及使用该方法的存储装置 |
US8799656B2 (en) * | 2010-07-26 | 2014-08-05 | Intel Corporation | Methods for anonymous authentication and key agreement |
US9595034B2 (en) | 2013-10-25 | 2017-03-14 | Stellenbosch University | System and method for monitoring third party access to a restricted item |
US9258120B1 (en) | 2013-12-18 | 2016-02-09 | Amazon Technologies, Inc. | Distributed public key revocation |
US9836908B2 (en) * | 2014-07-25 | 2017-12-05 | Blockchain Technologies Corporation | System and method for securely receiving and counting votes in an election |
US9749297B2 (en) * | 2014-11-12 | 2017-08-29 | Yaron Gvili | Manicoding for communication verification |
EP3024168A1 (en) * | 2014-11-19 | 2016-05-25 | Motorola Solutions, Inc. | Method and apparatus for managing certificates |
US9967333B2 (en) | 2015-03-02 | 2018-05-08 | Dell Products Lp | Deferred configuration or instruction execution using a secure distributed transaction ledger |
EP3292484B1 (en) * | 2015-05-05 | 2021-07-07 | Ping Identity Corporation | Identity management service using a block chain |
US9876646B2 (en) * | 2015-05-05 | 2018-01-23 | ShoCard, Inc. | User identification management system and method |
US10304143B2 (en) * | 2016-05-05 | 2019-05-28 | Lance Timothy Kasper | Consensus system for manipulation resistant digital record keeping |
EP3304431B1 (en) * | 2015-06-04 | 2021-09-08 | Chronicled, Inc. | Open registry for identity of things |
US10402792B2 (en) * | 2015-08-13 | 2019-09-03 | The Toronto-Dominion Bank | Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers |
US9948467B2 (en) * | 2015-12-21 | 2018-04-17 | Mastercard International Incorporated | Method and system for blockchain variant using digital signatures |
CN105592098B (zh) * | 2016-01-16 | 2018-09-14 | 杭州复杂美科技有限公司 | 区块链上的投票及ca证书的管理方法 |
WO2017136579A1 (en) * | 2016-02-02 | 2017-08-10 | Live Nation Entertainment, Inc. | Decentralized virtual trustless ledger for ticketing control |
US20170243193A1 (en) * | 2016-02-18 | 2017-08-24 | Skuchain, Inc. | Hybrid blockchain |
US10693866B2 (en) * | 2016-04-01 | 2020-06-23 | Intel Corporation | System, apparatus and method for first hop security |
US10333705B2 (en) * | 2016-04-30 | 2019-06-25 | Civic Technologies, Inc. | Methods and apparatus for providing attestation of information using a centralized or distributed ledger |
US10135616B2 (en) | 2016-05-07 | 2018-11-20 | Keir Finlow-Bates | Revocation of cryptographic keys in the absence of a trusted central authority |
US20170346639A1 (en) * | 2016-05-24 | 2017-11-30 | Business Information Exchange System Corp. | Public Key Infrastructure based on the Public Certificates Ledger |
US11107088B2 (en) * | 2016-05-27 | 2021-08-31 | Chronicled, Inc. | Open registry for internet of things |
EP3472968A4 (en) * | 2016-06-16 | 2019-11-27 | The Bank Of New York Mellon | DISTRIBUTED, CENTRALLY CREATED BLOCKCHAIN NETWORK |
US10411905B2 (en) | 2016-07-01 | 2019-09-10 | Intel Corporation | Public key infrastructure using blockchains |
US10067810B2 (en) * | 2016-07-28 | 2018-09-04 | Cisco Technology, Inc. | Performing transactions between application containers |
US10810321B2 (en) * | 2016-08-11 | 2020-10-20 | Intel Corporation | Secure public cloud |
-
2016
- 2016-07-01 US US15/201,219 patent/US10411905B2/en active Active
-
2017
- 2017-04-14 WO PCT/US2017/027564 patent/WO2018004783A1/en active Application Filing
- 2017-04-14 DE DE112017002263.0T patent/DE112017002263T5/de active Pending
- 2017-04-14 CN CN201780033715.9A patent/CN109196816B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003019334A2 (en) * | 2001-08-27 | 2003-03-06 | Dataplay, Inc. | A secure access method and system |
US7310821B2 (en) * | 2001-08-27 | 2007-12-18 | Dphi Acquisitions, Inc. | Host certification method and system |
CN100550009C (zh) * | 2002-08-01 | 2009-10-14 | 甲骨文国际公司 | 异步信息共享系统 |
CN1980123A (zh) * | 2005-11-30 | 2007-06-13 | 中国科学院研究生院 | 基于ibe的pki系统的实现方法及其密钥管理装置 |
CN102075930A (zh) * | 2009-11-03 | 2011-05-25 | 英特尔公司 | 为无线网络的管理帧设立优先级的装置、系统和方法 |
Non-Patent Citations (2)
Title |
---|
Developing Hazard Ontology for Supporting HACCP Systems in Food Supply Chains;Ioan Alfred Letia and Adrian Groza;《 IEEE 8th International Symposium on Intelligent Systems and Informatics》;20101129;全文 * |
基于属性RBAC及委托性质的使用控制模型;蔡伟鸿等;《汕头大学学报(自然科学版)》;20101115(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109196816A (zh) | 2019-01-11 |
WO2018004783A1 (en) | 2018-01-04 |
DE112017002263T5 (de) | 2019-01-10 |
US10411905B2 (en) | 2019-09-10 |
US20180006826A1 (en) | 2018-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109196816B (zh) | 使用区块链的公钥基础结构 | |
JP6811339B2 (ja) | 高可用な高信頼実行環境を使用したブロックチェーンネットワークのためのパブリックデータの読み出し | |
CN108292402B (zh) | 用于信息的安全交换的公共秘密的确定和层级确定性密钥 | |
Patwary et al. | FogAuthChain: A secure location-based authentication scheme in fog computing environments using Blockchain | |
US20200284579A9 (en) | Certificate authority master key tracking on distributed ledger | |
JP6285454B2 (ja) | エンティティ・ネットワーク・トランスレーション(ent) | |
EP2882156B1 (en) | Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof | |
Feng et al. | An efficient privacy-preserving authentication model based on blockchain for VANETs | |
Abraham et al. | Revocable and offline-verifiable self-sovereign identities | |
Albalawi et al. | A survey on authentication techniques for the internet of things | |
Siddiqui et al. | BlockTrack-L: A lightweight blockchain-based provenance message tracking in IoT | |
CN114503508A (zh) | 用于在区块链上存储经认证的数据的计算机实施的方法和系统 | |
JP2023543456A (ja) | 認証システムおよび方法 | |
CN112396421A (zh) | 一种基于区块链通证的身份认证系统及方法 | |
US11416821B1 (en) | Apparatuses and methods for determining and processing dormant user data in a job resume immutable sequential listing | |
CN115277010A (zh) | 身份认证方法、系统、计算机设备和存储介质 | |
CN108390866A (zh) | 基于双代理双向匿名认证的可信远程证明方法 | |
Addobea et al. | Secure multi-factor access control mechanism for pairing blockchains | |
Ghaffar et al. | A lightweight and efficient remote data authentication protocol over cloud storage environment | |
Dwivedi et al. | Design of secured blockchain based decentralized authentication protocol for sensor networks with auditing and accountability | |
Itoo et al. | RKMIS: robust key management protocol for industrial sensor network system | |
Wang et al. | Lightweight zero-knowledge authentication scheme for IoT embedded devices | |
JP2023543457A (ja) | 物理的複製不能関数 | |
Duan et al. | Design of anonymous authentication scheme for vehicle fog services using blockchain | |
KR20200016506A (ko) | 익명 디지털 아이덴티티 수립 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |