CN109547218B - 一种改进bip协议的联盟链节点秘钥分配及备份系统 - Google Patents
一种改进bip协议的联盟链节点秘钥分配及备份系统 Download PDFInfo
- Publication number
- CN109547218B CN109547218B CN201910046868.8A CN201910046868A CN109547218B CN 109547218 B CN109547218 B CN 109547218B CN 201910046868 A CN201910046868 A CN 201910046868A CN 109547218 B CN109547218 B CN 109547218B
- Authority
- CN
- China
- Prior art keywords
- key
- node
- seed
- nvp
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种改进BIP协议的联盟链节点秘钥分配及备份系统,该方法包括种子构建模块、秘钥衍生模块、秘钥备份模块、秘钥恢复模块四部分,其中,种子构建模块用于生成联盟链网络中组织的秘钥种子;秘钥衍生模块用于使用秘钥种子计算NVP节点秘钥对,包括NVP节点私钥衍生、NVP公钥计算两部分;秘钥备份模块用于备份秘钥种子及秘钥衍生模块中NVP节点输入的索引序列,包括种子备份模块和衍生索引备份模块;秘钥恢复模块用于在NVP节点秘钥丢失后,对NVP节点秘钥进行恢复,包含种子恢复子模块、索引恢复子模块、和秘钥恢复子模块三部分。本发明创建一种安全可靠的秘钥关系系统,能够安全的产生种子并存储备份,支持多秘钥扩展。
Description
技术领域
本发明涉及区块链技术领域,特别涉及一种改进BIP协议的联盟链节点秘钥分配及备份系统。
背景技术
区块链的自信任主要体现于分布于区块链中的用户无须信任交易的另一方,也无须信任一个中心化的机构,只需要信任区块链协议下的软件系统即可实现交易。这种自信任的前提是区块链的共识机制(consensus),即在一个互不信任的市场中,要想使各节点达成一致的充分必要条件是每个节点出于对自身利益最大化的考虑,都会自发、诚实地遵守协议中预先设定的规则,判断每一笔记录的真实性,最终将判断为真的记录记入区块链之中。
联盟链做为区块链的一种发展趋势,本质上仍然是一种私有链,只不过它比单个小组织开发的私有链更大,却又没有公有链这么大的规模,可以理解为它是介于私有链和公有链之间的一种区块链。联盟链已经应用于银行、保险、证券、商业协会、集团企业及上下游企业。联盟链在处理性能、隐私保护、合规性等都更能满足特定的业务需求。以联盟链为主的分布式账本和分布式共识为诸多企业解决了主要核心问题,即联盟中多个参与方交互的信任问题。
目前主流联盟链中,联盟链网络由若干个组织组成,组织是联盟组成机构的抽象化,可以是公司、商会、企业联盟等形式;节点根据是否参与共识情况,分为VP节点、NVP节点。VP节点参与共识;NVP节点不参与共识,只发起交易。一个联盟链网络由少数VP节点与若干NVP节点组成,单个组织中有一个VP节点及若干NVP节点。NVP节点一般为VP节点附属节点,是多对1的关系。
在区块链网络中,私钥即代表了个人对数字资产、代币的拥有权,同时私钥也可解密所有私人数据,可以看出私钥在区块链网络中至关重要,安全、有效的分配、管理、备份秘钥在区块链信息管理中尤为突出。在目前的应用场景中,多方参与的联盟链,所有节点都需要整个联盟链进行身份认证及管理,在秘钥分配、备份及恢复过程消耗过多系统资源,也不方便企业内部管理。所以,为解决联盟链组织内部节点管理及秘钥备份问题,学术界和工业界都在积极探索合适的解决方案。目前,公有链HD钱包(Hierarchical deterministicwallet)采用BIP32/BIP39协议进行秘钥分发及备份,联盟链主要采用CA认证方式认证秘钥,并没有有效的备份方式。BIP32及44协议可以有效进行秘钥分配并提供了一种便捷方式备份秘钥。
发明内容
为了解决联盟链网络内单个组织中,一个VP节点多个NVP节点场景下,NVP节点秘钥分配及备份复杂且不便于管理的问题,本发明提出了基于改进BIP协议的联盟链NVP节点秘钥分配及备份方法。通过将联盟链内VP节点、NVP节点信息关联至BIP32协议,并结合密码学算法,构建出种子构建、秘钥衍生、秘钥备份、秘钥恢复方法。其能有效的应对秘钥管理及备份需求,实时性较强。
为了达到本发明的目的,本发明提出了一个秘钥管理系统,该系统由种子构建模块、秘钥衍生模块、秘钥备份模块、秘钥恢复模块共四部分构成。
种子构建模块,种子构建模块用于生成联盟链网络中组织的秘钥种子。主要功能为秘钥种子生成。
所述的秘钥种子生成方法如下:
①识别码输入。VP节点输入组织识别码,该识别码是组织内的唯一标识。
②计算校验位。对步骤①中VP节点输入的组织识别码进行两次SHA256哈希运算,运算结果即为秘钥种子,计算过程中取第三次哈希运算结果前64bit作为校验位。
秘钥衍生模块,
秘钥衍生模块用于使用种子构建模块生成的秘钥种子计算NVP节点秘钥对,即公钥与私钥,具体包括NVP节点私钥衍生、NVP公钥计算两部分;
其中,所述的NVP节点私钥衍生方法如下:
①计算主秘钥及秘钥链码;
从VP节点获取种子构建模块生成的秘钥种子,输入秘钥种子,使用HMAC-SHA512算法对秘钥种子进行加盐哈希计算,该算法加盐字符串由VP节点输入且不可更改,计算输出512bit结果,左侧256bit为主秘钥,右侧256bit为秘钥链码,由于加盐字符串不可更改,一个秘钥种子对应唯一的主秘钥及秘钥链码。将主秘钥及秘钥链码存储至VP节点,主秘钥及秘钥链码用于衍生NVP节点私钥。
②秘钥衍生。输入步骤①中生成的主秘钥、秘钥链码及NVP节点提供的索引序列,每个NVP节点都有一个身份识别的索引序列,使用CKD(child key derivation)算法输出512bit的计算结果,左侧256bit为该NVP节点私钥,索引序列是32bit,代表NVP节点序列编码。
其中,所述的NVP节点公钥生成方法如下:
输入上一步骤秘钥衍生生成的NVP节点私钥,使用椭圆曲线算法,使用椭圆曲线算法计算生成对应NVP节点公钥;
秘钥备份模块
秘钥备份模块用于备份种子构建模块中的生成的秘钥种子及秘钥衍生模块中NVP节点输入的索引序列,具体包括两个子模块:种子备份模块、衍生索引备份模块;
其中,种子备份子模块;该子模块用于将种子进行加密后上传至VP节点服务器保存备份,具体实现步骤如下:
①输入秘钥种子及VP节点密码,该VP节点密码由VP节点设定,只用于加密;调用AES算法,用VP节点密码加密秘钥种子,输出种子密文A;
②输入上一步输出的种子密文A及NVP节点密码,该NVP节点密码由NVP节点设定,只用于加密;调用AES算法,用NVP节点密码加密种子密文A,输出种子密文B;
③输入种子密文B与种子构建模块得到的64bit种子校验位,将校验位附加至种子密文B末尾,输出完整备份种子密文C,将该备份存储至VP节点;
其中,所述的衍生索引备份子模块用于在秘钥衍生模块中的NVP节点秘钥衍生过程中,在NVP节点输出索引序列参与秘钥衍生后,将该索引序列与NVP节点名称,以“Key-Value”键值对形式存储至NVP节点;
秘钥恢复模块
秘钥恢复模块用于在NVP节点秘钥丢失后,对NVP节点秘钥进行恢复,包含种子恢复子模块、索引恢复子模块两部分;
其中,所述的种子恢复子模块具体实现如下:
①向VP节点发送请求下载备份种子密文C,输入种子备份密文C,将种子备份密文C分解为前256bit种子密文B及后64bit校验位,输出种子密文B及校验位。
②输入NVP节点密码及种子密文B,以NVP节点密码为秘钥,使用AES算法解密种子密文B,输出种子密文A。
③输入VP节点密码及种子密文A,以VP节点密码为秘钥,使用AES算法解密种子密文A,输出秘钥种子。
④输入秘钥种子,对种子进行SHA256哈希运算后,取前64bit与校验位对比,如若一致则保证种子真实未被篡改;如若不一致则说明种子密文错误,重新下载备份种子密文C,返回过程①。
其中,所述的索引恢复子模块具体实现如下:向NVP节点发送NVP节点名称,根据衍生索引备份模块中生成的NVP节点名称-索引序列键值对,下载索引序列;输入秘钥种子及索引序列,调用秘钥衍生模块,重新生成NVP节点秘钥。
有益效果
本发明提出了一种改进BIP协议的联盟链节点秘钥分配及备份系统。在该方式下生成的NVP节点秘钥,更便于组织内部秘钥管理及备份恢复,符合VP节点及NVP节点“一对多”的组织结构关系,同时提供了一种安全便捷的私钥生成、备份及恢复的解决方案。本方法中,私钥衍生由VP节点、NVP节点协作完成,VP节点掌握种子、加盐、主秘钥,NVP节点掌握索引序列,有效保护了NVP节点隐私,达到权益制衡,同时保证第三方在窃取一方信息时不可单独完成秘钥衍生过程,并且结合多次校验,保证了私钥的安全。能以较低的成本提高联盟链管理及运行效率。
附图说明
图1是本发明的总体结构示意图。
图2是本发明种子构建模块流程示意图。
图3是本发明秘钥衍生模块的流程示意图。
图4是本发明秘钥备份模块的流程示意图。
图5是本发明秘钥恢复模块的流程示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
图1是本发明一种改进BIP协议的联盟链节点秘钥分配及备份系统的结构示意图,如图1所示,包括:
种子构建模块与秘钥衍生、秘钥备份模块中的种子备份子模块相连。秘钥种子是秘钥衍生及秘钥恢复的核心,同时种子生成也是本方法的初始步骤。通过VP节点输入当前组织识别码,在种子构建模块中经过三次哈希散列运算,得到种子。在加密过程中,提取第三次哈希结果前64bit作为种子校验位,用于在秘钥恢复时对种子正确性、完整性进行验证。双哈希散列运算保证加密过程绝对不可逆,做到组织识别码的隐私保护。
秘钥衍生模块与种子构建模块、秘钥备份模块中的衍生索引备份子模块相连。秘钥种子生成后,通过调用秘钥衍生模块,进行NVP节点秘钥衍生。NVP节点秘钥为密钥对:分为公钥与私钥,首先生成私钥,私钥生成有两个步骤:主秘钥计算与NVP私钥衍生:
①计算主秘钥以及秘钥链码,使用HMAC-SHA512算法对种子进行计算,算法加盐由VP节点输入,加盐字符串固定且不可改变,计算结果为512bit,取计算结果左边256bit作为主秘钥,右256bit为主秘钥链码。
②秘钥衍生,输入步骤①中生成的主秘钥、秘钥链码及NVP节点提供的索引序列,使用CKD(child key derivation)算法输出512bit的计算结果,左侧256bit为该NVP节点私钥,索引序列是32bit,代表NVP节点序列编码。
计算得到NVP节点私钥后,根据椭圆曲线算法,计算得到NVP节点公钥。
秘钥恢复模块与秘钥衍生模块、秘钥备份模块相连。包括种子恢复子模块以及索引恢复子模块。
种子恢复子模块与秘钥备份模块中的种子备份子模块相连,从VP节点获得备份的种子密文C并验证种子真实性及完整性,首先取密文后64bit校验位,获得种子密文B与校验位,由NVP节点使用节点密码解密种子密文B,得到种子密文A,再由VP节点使用节点密码解密种子密文A,得到秘钥种子,再使用SHA256算法对种子进行哈希计算,取加密结果前64bit与校验位对比,如果对比结果一致,则进行秘钥恢复,如果结果不一致则说明种子错误,重新导入备份种子。
索引恢复子模块与秘钥备份模块中的衍生索引备份子模块相连。获得NVP节点名称,从NVP节点处获得备份的索引序列。
得到种子与索引序列之后,重新进行秘钥衍生,即可恢复秘钥。
秘钥备份模块与种子构建模块、秘钥备份模块、秘钥衍生模块相连。包括衍生索引备份子模块以及种子备份子模块。
衍生索引备份子模块与秘钥衍生模块、秘钥恢复模块中的索引恢复子模块相连。在秘钥衍生过程中,NVP节点在输入32bit索引序列后将索引存储备份。
种子备份子模块与种子构建模块、秘钥恢复模块中的种子恢复模块相连。种子构建模块生成秘钥种子及校验位后,秘钥种子经过VP节点密码与NVP节点密码加密后,与校验位拼接为种子密文C,存储至VP节点。
图2是本发明种子构建模块的执行流程示意图,如图2所示,包括:
步骤21,启动种子构建模块。
步骤22,VP节点输入本组织识别码,用于创建种子。组织识别码是固定字符串,用于识别该组织
步骤23,检查识别码是否符合规则,有无特殊符号,如果符合规则,执行步骤25,如果不符合规则,执行步骤24。
步骤24,组织识别码不符合命名规则,重新输入。
步骤25,调用SHA-256算法对组织识别码进行哈希运算,得到256bit运算结果。
步骤26,取运算结果前64bit补位至组织识别码后。
步骤27,调用SHA-256算法对补位后的组织识别码进行哈希运算,得到256bit秘钥种子。
步骤28,调用SHA-256算法对种子进行哈希散列加密。
步骤39,取计算结果前64bit作为校验位。
图3是本发明NVP节点秘钥衍生模块的执行流程示意图,如图3所示,包括:
步骤31,启动NVP节点秘钥衍生模块。
步骤32,从VP节点获得用于生成秘钥的种子,种子由VP节点存储,格式为256bit。
步骤33,生成秘钥的密码学算法为HMAC-SHA512算法,该算法有“盐”,VP节点输入“加盐”字符串,该字符串为固定值。
步骤34,根据VP节点输入的加盐内容,使用HMAC-SHA512算法对种子进行加密计算。
步骤35,计算结果为512bit,主秘钥为左256bit,后续步骤中,由主秘钥、秘钥链码、索引序列计算NVP节点私钥。
步骤36,秘钥链码为计算结果右256bit,后续步骤中,参与NVP节点私钥计算。
步骤37,NVP节点输入索引序列,同时备份索引序列,索引序列格式为32bit。
步骤38,输入主秘钥、秘钥链码、索引序列进行CKD算法运算,计算得到NVP节点私钥,私钥格式为256bit。
步骤39,由NVP节点私钥,通过椭圆曲线运算,计算得到NVP节点公钥,公钥格式512bit。秘钥衍生结束。
图4是本发明秘钥备份模块的执行流程示意图,如图4所示,包括:
种子备份子模块:
步骤41,获取种子构建模块生成的秘钥种子。
步骤42,获取种子构建模块生成的校验位。
步骤43,VP节点输入VP节点密码,使用该密码AES加密秘钥种子,得到种子密文A。
步骤44,NVP节点输入NVP节点密码,使用该密码AES加密种子密文A,得到种子密文B。
步骤45,将校验位添加至种子密文B后,得到种子密文C。
步骤46,VP服务器存储备份种子。该模块结束。
衍生索引备份子模块:
步骤47,获取秘钥衍生模块NVP节点输入的索引序列。
步骤48,获取该NVP节点名称。
步骤49,将NVP节点名称与索引序列以“Key-Value”格式存储于NVP节点。
图5是本发明秘钥恢复模块的执行流程示意图,如图5所示,包括:
步骤51,启动秘钥恢复模块。
种子恢复子模块:
步骤52,从VP节点服务器下载种子密文C。
步骤53,判断种子密文C是否为320bit,如果是,执行步骤54,如果不是,执行步骤52重新获取种子备份。
步骤54,截取种子备份后64bit,取出校验位并获得种子密文B。
步骤55,获得64bit校验位。
步骤56,使用NVP节点密码解密种子密文B,得到种子密文A。
步骤57,使用VP节点密码解密种子密文A,得到秘钥种子。
步骤58,使用SHA-256算法对种子进行哈希散列运算,取前64bit。
步骤59,判断步骤58计算得到了64bit是否与校验位一致。如果是,执行步骤511,如果不是,执行步骤510。
步骤510,校验位与种子不匹配,种子出现错误,重新获取种子密文C,执行步骤52。
索引恢复子模块:
步骤511,获取NVP节点名称。
步骤512,从NVP节点获取索引序列备份。
步骤513,执行秘钥生成模块,重新生成秘钥。
应当理解,虽然本说明书根据实施方式加以描述,但是并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域的技术人员应当将说明书作为一个整体,各个实施方式中的技术方案也可以适当组合,按照本领域技术人员的理解来实施。
上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用于限制本发明的保护范围,凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (1)
1.一种改进BIP协议的联盟链节点秘钥分配及备份系统,其特征在于:包括种子构建模块、秘钥衍生模块、秘钥备份模块、以及秘钥恢复模块;
种子构建模块,用于生成联盟链网络中组织的秘钥种子,具体实现如下:
①识别码输入
VP节点输入组织识别码,该识别码是组织内的唯一标识;节点根据是否参与共识情况,分为VP节点、NVP节点;VP节点参与共识,NVP节点不参与共识,只发起交易,NVP节点公钥格式512bit;
②计算校验位
对步骤①中VP节点输入的组织识别码进行三次SHA256哈希运算,第二次哈希运算结果即为秘钥种子,计算过程中取第三次哈希运算结果前64bit作为校验位;
三次SHA256哈希运算具体指:
调用SHA-256算法对组织识别码进行哈希运算,得到256bit运算结果,取运算结果前64bit补位至组织识别码后;
调用SHA-256算法对补位后的组织识别码进行哈希运算,得到256bit秘钥种子;
调用SHA-256算法对种子进行哈希散列加密,取计算结果前64bit作为校验位;
秘钥衍生模块,用于使用种子构建模块生成的秘钥种子计算NVP节点秘钥对,即公钥与私钥,具体包括NVP节点私钥衍生、NVP公钥计算两部分;
其中,所述的NVP节点私钥衍生方法如下:
①计算主秘钥及秘钥链码;
从VP节点获取种子构建模块生成的秘钥种子,输入秘钥种子,使用HMAC-SHA512算法对秘钥种子进行加盐哈希计算,该算法加盐字符串由VP节点输入且不可更改,计算输出512bit结果,左侧256bit为主秘钥,右侧256bit为秘钥链码,由于加盐字符串不可更改,一个秘钥种子对应唯一的主秘钥及秘钥链码;将主秘钥及秘钥链码存储至VP节点,主秘钥及秘钥链码用于衍生NVP节点私钥;
②秘钥衍生
输入步骤①中生成的主秘钥、秘钥链码及NVP节点提供的索引序列,每个NVP节点都有一个身份识别的索引序列,使用CKD算法输出512bit的计算结果,左侧256bit为该NVP节点私钥,索引序列是32bit,代表NVP节点序列编码;
其中,所述的NVP节点公钥生成方法如下:
输入上一步骤秘钥衍生生成的NVP节点私钥,使用椭圆曲线算法,使用椭圆曲线算法计算生成对应NVP节点公钥;
秘钥备份模块,用于备份种子构建模块中的生成的秘钥种子及秘钥衍生模块中NVP节点输入的索引序列,具体包括两个子模块:种子备份模块、衍生索引备份模块;
其中,种子备份子模块,用于将种子进行加密后上传至VP节点服务器保存备份,具体实现步骤如下:
①输入秘钥种子及VP节点密码,该VP节点密码由VP节点设定,只用于加密;调用AES算法,用VP节点密码加密秘钥种子,输出种子密文A;
②输入上一步输出的种子密文A及NVP节点密码,该NVP节点密码由NVP节点设定,只用于加密;调用AES算法,用NVP节点密码加密种子密文A,输出种子密文B;
③输入种子密文B与种子构建模块得到的64bit种子校验位,将校验位附加至种子密文B末尾,输出完整备份种子密文C,将该备份存储至VP节点;
其中,衍生索引备份子模块用于在秘钥衍生模块中的NVP节点秘钥衍生过程中,在NVP节点输出索引参与秘钥衍生后,将该索引与NVP节点名称,以“Key-Value”键值对形式存储至NVP节点;
秘钥恢复模块,用于在NVP节点秘钥丢失后,对NVP节点秘钥进行恢复,包含种子恢复子模块、索引恢复子模块两部分;
其中,所述的种子恢复子模块具体实现如下:
①向VP节点发送请求下载备份种子密文C,输入种子备份密文C,将种子备份密文C分解为前256bit种子密文B及后64bit校验位,输出种子密文B及校验位;
②输入NVP节点密码及种子密文B,以NVP节点密码为秘钥,使用AES算法解密种子密文B,输出种子密文A;
③输入VP节点密码及种子密文A,以VP节点密码为秘钥,使用AES算法解密种子密文A,输出秘钥种子;
④输入秘钥种子,对种子进行SHA256哈希运算后,取前64bit与校验位对比,如若一致则保证种子真实未被篡改;如若不一致则说明种子密文错误,重新下载备份种子密文C,返回过程①;
其中,所述的索引恢复子模块具体实现如下:向NVP节点发送NVP节点名称,根据衍生索引备份模块中生成的NVP节点名称-索引序列键值对,下载索引序列;输入秘钥种子及索引序列,调用秘钥衍生模块,重新生成NVP节点秘钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910046868.8A CN109547218B (zh) | 2019-01-18 | 2019-01-18 | 一种改进bip协议的联盟链节点秘钥分配及备份系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910046868.8A CN109547218B (zh) | 2019-01-18 | 2019-01-18 | 一种改进bip协议的联盟链节点秘钥分配及备份系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547218A CN109547218A (zh) | 2019-03-29 |
| CN109547218B true CN109547218B (zh) | 2021-10-15 |
Family
ID=65835660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910046868.8A Active CN109547218B (zh) | 2019-01-18 | 2019-01-18 | 一种改进bip协议的联盟链节点秘钥分配及备份系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547218B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110351077B (zh) * | 2019-05-30 | 2023-05-02 | 平安科技(深圳)有限公司 | 数据加密的方法、装置、计算机设备和存储介质 |
| US11711203B2 (en) | 2019-10-10 | 2023-07-25 | SheerID, Inc. | Systems and methods for gated offer eligibility verification |
| CN111459672B (zh) * | 2020-03-30 | 2023-09-29 | 百度国际科技(深圳)有限公司 | 基于区块链网络的事务处理方法、装置、设备及介质 |
| CN112187757A (zh) * | 2020-09-21 | 2021-01-05 | 上海同态信息科技有限责任公司 | 多链路隐私数据流转系统及方法 |
| CN112001717A (zh) * | 2020-10-27 | 2020-11-27 | 四川泰立科技股份有限公司 | 一种数字电视的加密货币计算方法、系统及存储介质 |
| CN112769567B (zh) * | 2021-01-19 | 2023-04-07 | 北京枫玉科技有限公司 | 一种区块链hd私钥找回方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682308A (zh) * | 2017-08-16 | 2018-02-09 | 北京航空航天大学 | 基于区块链潜信道技术的电子证据保存系统 |
| CN107944255A (zh) * | 2016-10-13 | 2018-04-20 | 深圳市图灵奇点智能科技有限公司 | 一种面向区块链的密钥管理方法 |
| CN108023893A (zh) * | 2017-12-18 | 2018-05-11 | 王松山 | 一种区块链数据认证系统的方法 |
| CN108768631A (zh) * | 2018-05-28 | 2018-11-06 | 夸克链科技(深圳)有限公司 | 一种区块链私钥恢复助记词体系设计 |
| CN108898475A (zh) * | 2018-05-08 | 2018-11-27 | 众安信息技术服务有限公司 | 基于属性加密的联盟区块链实现信贷方法及系统 |
| KR20180129028A (ko) * | 2017-05-24 | 2018-12-05 | 라온시큐어(주) | 프로그래밍이 가능한 블록체인과 통합 아이디 기반의 사용자정보 관리 방법 및 시스템 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015142765A1 (en) * | 2014-03-17 | 2015-09-24 | Coinbase, Inc | Bitcoin host computer system |
-
2019
- 2019-01-18 CN CN201910046868.8A patent/CN109547218B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107944255A (zh) * | 2016-10-13 | 2018-04-20 | 深圳市图灵奇点智能科技有限公司 | 一种面向区块链的密钥管理方法 |
| KR20180129028A (ko) * | 2017-05-24 | 2018-12-05 | 라온시큐어(주) | 프로그래밍이 가능한 블록체인과 통합 아이디 기반의 사용자정보 관리 방법 및 시스템 |
| CN107682308A (zh) * | 2017-08-16 | 2018-02-09 | 北京航空航天大学 | 基于区块链潜信道技术的电子证据保存系统 |
| CN108023893A (zh) * | 2017-12-18 | 2018-05-11 | 王松山 | 一种区块链数据认证系统的方法 |
| CN108898475A (zh) * | 2018-05-08 | 2018-11-27 | 众安信息技术服务有限公司 | 基于属性加密的联盟区块链实现信贷方法及系统 |
| CN108768631A (zh) * | 2018-05-28 | 2018-11-06 | 夸克链科技(深圳)有限公司 | 一种区块链私钥恢复助记词体系设计 |
Non-Patent Citations (4)
| Title |
|---|
| "Efficient key management scheme for health blockchain";Zhao, H. , et al;《CAAI Transactions on Intelligence Technology 》;20180601;全文 * |
| "Lightweight Backup and Efficient Recovery Scheme for Health Blockchain Keys";Zhao, H. , et al;《IEEE International Symposium on Autonomous Decentralized System IEEE》;20170608;全文 * |
| "分布式网络环境下基于区块链的密钥管理方案";戴千一; 徐开勇;《网络与信息安全学报》;20190915;全文 * |
| "火币区块链产业专题报告 钱包篇";袁煜明;李慧;《http://research.huobi.cn/detail/36》;20180731;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547218A (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109547218B (zh) | 一种改进bip协议的联盟链节点秘钥分配及备份系统 | |
| US11936774B2 (en) | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys | |
| CN111130757B (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
| CN108418680B (zh) | 一种基于安全多方计算技术的区块链密钥恢复方法、介质 | |
| US20190305938A1 (en) | Threshold secret share authentication proof and secure blockchain voting with hardware security modules | |
| CN110289968B (zh) | 私钥恢复、协同地址的创建、签名方法及装置、存储介质 | |
| CN114362971B (zh) | 一种基于哈希算法的数字资产确权和溯源方法 | |
| CN111368318B (zh) | 一种面向多模态区块链交易的客体追踪方法 | |
| CN110601830B (zh) | 基于区块链的密钥管理方法、装置、设备及存储介质 | |
| CN111737715A (zh) | 一种去中心化的电子合同在线签署的方法及系统 | |
| CN115001715B (zh) | 基于区块链的加密智能合约检测方法及终端 | |
| CN112039883A (zh) | 一种区块链的数据分享方法及装置 | |
| CN114996762A (zh) | 一种基于联邦学习的医疗数据共享与隐私保护方法和系统 | |
| CN117294484A (zh) | 数据交互的方法、装置、设备、介质和产品 | |
| Abo-Alian et al. | Auditing-as-a-service for cloud storage | |
| CN113691373B (zh) | 一种基于联盟区块链的抗量子密钥托管系统及方法 | |
| CN114169888B (zh) | 一种通用型支持多重签名的加密货币保管方法 | |
| Jiang | Timed encryption with application to deniable key exchange | |
| KR20220142254A (ko) | 블룸 필터를 이용한 블록체인에서의 다중 서명 지갑 시스템 | |
| Khudaier et al. | A Review of Assured Data Deletion Security Techniques in Cloud Storage | |
| Anbazhagan et al. | Cloud Computing Security Through Symmetric Cipher Model | |
| CN113746829B (zh) | 多源数据的关联方法、装置、设备及存储介质 | |
| Wang et al. | Ensuring Cross-Chain Transmission Technique Utilizing TPM and Establishing Cross-Trusted Root Security via SM Algorithm | |
| CN116911851A (zh) | 一种基于联盟链的棉花交易隐私保护方法及系统 | |
| CN113986845A (zh) | 一种颁发无条件可信时间戳的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |