CN109962890B - 一种区块链的认证服务装置及节点准入、用户认证方法 - Google Patents

一种区块链的认证服务装置及节点准入、用户认证方法 Download PDF

Info

Publication number
CN109962890B
CN109962890B CN201711421915.XA CN201711421915A CN109962890B CN 109962890 B CN109962890 B CN 109962890B CN 201711421915 A CN201711421915 A CN 201711421915A CN 109962890 B CN109962890 B CN 109962890B
Authority
CN
China
Prior art keywords
node
user
sub
authentication service
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711421915.XA
Other languages
English (en)
Other versions
CN109962890A (zh
Inventor
张锐
王加贝
王提
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201711421915.XA priority Critical patent/CN109962890B/zh
Publication of CN109962890A publication Critical patent/CN109962890A/zh
Application granted granted Critical
Publication of CN109962890B publication Critical patent/CN109962890B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Power Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种区块链的认证服务装置及节点准入、用户认证方法。其中,装置包括一个根认证服务模块和多个子认证服务模块;所有子认证服务模块,用于共同维护用于保存第一区块链的节点和用户的注册信息的第二区块链。节点准入方法包括:生成节点的准入凭证及其数字签名,将准入凭证的数字签名写入第二区块链;根据第二区块链查证节点的身份和权限。用户认证方法包括:生成用户的数字身份证及其数字签名,将数字身份证的数字签名写入第二区块链;查证第一用户的身份,当第一用户的身份通过查证时,允许第一用户根据第二区块链查证第二用户的身份。本发明提供的一种认证服务装置及节点准入方法、用户认证方法,能有效地保护用户的隐私。

Description

一种区块链的认证服务装置及节点准入、用户认证方法
技术领域
本发明涉及计算机应用技术领域,更具体地,涉及一种区块链的认证服务装置及节点准入、用户认证方法。
背景技术
区块链作为一种集成了分布式数据存储、点对点传输、共识机制、加密算法等技术的新型应用系统,具有去中心化、不可篡改、不可伪造等显著特性。在无中心信任机构存在的场景下,使用区块链可为彼此互不信任的实体建立信任联系,可打破传统互联网需要依赖中心信任模式的禁锢,降低信任成本,在一定程度上打破地域的局限。利用区块链解决企业管理、数字经济、互联网治理等领域的各类问题具有光明的前景。
根据区块链参与者的权限,可将其分为以下两种:
公有链,参与交易的用户身份是匿名的,交易记录仅暴露用户公钥信息,不存在记账节点的准入机制,任何节点都可参与共识、读写区块链;
联盟链和私有链,用户需要身份注册后方可参与交易,同时存在记账节点的准入机制,节点的读取权限或者完全对外开放,或者被任意程度地进行了限制。
目前,主流的联盟链平台HyperLedger对用户和节点采用同一算法实现注册和准入,存在以下缺点:
缺乏匿名性,不能实现对用户身份的隐私保护;
不可审计,注册机构的行为缺乏有效监管;
缺少查证算法,第三方无法主动验证用户和节点身份是否有效。
一些结合区块链的性质提供身份认证服务的系统,如ShoCard借助区块链存储实体身份证件的数据指纹,也无法实现匿名认证,无法保证用户身份信息的隐私性。而在联盟链和私有链的实际应用中,节点和用户需要保护的信息存在差异,分别设计节点准入机制和用户认证算法,保证特定用户信息的隐私性有十分重要的意义和应用场景。
发明内容
为克服现有区块链的用户认证技术存在的难以保护用户的隐私性的不足,本发明提供一种区块链的认证服务装置及节点准入、用户认证方法。
根据本发明的第一方面,提供一种区块链的认证服务装置,包括一个根认证服务模块和多个子认证服务模块;
每一所述子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务;
每一所述子认证服务模块的管辖范围均不相同,且全部所述子认证服务模块的管辖范围构成所述认证服务装置的管辖范围;所述认证服务装置的管辖范围为第一区块链的全部节点和全部用户,及请求加入所述第一区块链的全部节点和全部用户;
所有子认证服务模块,用于共同维护第二区块链;所述第二区块链用于存储所述第一区块链的全部节点和全部用户的注册信息;
所述根认证服务模块用于为子认证服务模块进行授权,授权子认证服务模块提供节点准入服务和用户认证服务;
其中,节点的注册信息至少包括节点的权限;用户的注册信息至少包括用户的身份信息。
根据本发明的第二方面,提供一种基于上述区块链的认证服务装置的节点准入方法,包括:
S11、接收节点加入第一区块链的请求,管辖所述节点的子认证服务模块对所述请求进行审核,生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名,将所述准入凭证的数字签名写入所述第二区块链,并将所述节点的准入凭证和所述准入凭证的数字签名发送给所述节点;
S12、当第一节点生成区块,将所述区块和所述第一节点的准入凭证广播至其他节点后,任一子认证服务模块根据任一所述其他节点发送的所述第一节点的准入凭证,和所述第二区块链中的所述第一节点的准入凭证,查证所述第一节点的权限,当所述第一节点具有将区块写入所述第一区块链的权限时,允许将所述区块写入所述第一区块链;
其中,所述请求由所述节点根据所述节点的归属信息和公钥生成;所述准入凭证,包含所述节点的公钥、归属信息和权限;所述节点的权限根据所述节点的归属信息确定。
优选地,所述生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名,将所述准入凭证的数字签名写入所述第二区块链的具体步骤包括:
当所述请求通过审核时,管辖所述节点的子认证服务模块从所述请求中获取所述节点的归属信息,根据所述节点的归属信息赋予所述节点相应的权限;
管辖所述节点的子认证服务模块根据所述请求和所述节点的权限,生成所述节点的准入凭证,并使用管辖所述节点的子认证服务模块的私钥生成所述准入凭证的数字签名;
管辖所述节点的子认证服务模块将所述准入凭证的数字签名写入所述第二区块链,使所述节点的准入凭证存储在所述第二区块链中,并获取所述第二区块链中所述节点的准入凭证的寻址地址,将所述寻址地址加入节点注册信息列表;
其中,所述节点注册信息列表,用于保存节点的准入凭证在所述第二区块链中的寻址地址,所述节点的准入凭证在所述第二区块链中的寻址地址与所述节点的公钥对应。
优选地,所述步骤S12具体包括:
任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证,从所述第一节点的准入凭证中获取所述第一节点的公钥、归属信息和权限;
所述任一子认证服务模块根据所述第一节点的公钥,获取所述节点注册信息列表中所述第二区块链中所述第一节点的寻址地址;根据所述第二区块链中所述第一节点的寻址地址,获取所述第二区块链中的所述第一节点的准入凭证,并根据所述第二区块链中的所述第一节点的准入凭证获取所述第一节点的归属信息和权限;
所述任一子认证服务模块将根据所述其他节点发送的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限,与从根据所述第二区块链中的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限,进行对比,当所述第一节点具有将区块写入所述第一区块链的权限时,允许将所述区块写入所述第一区块链;
其中,所述第一节点的准入凭证由所述其他节点根据所述区块的数字签名获取,当所述第二节点验证所述区块的数字签名为合法时,所述其他节点将所述第一节点的准入凭证发送给所述任一子认证服务模块;所述区块的数字签名为所述区块的最后一个字段,所述区块的数字签名为所述区块中除签名外的其他字段的内容的数字签名。
优选地,所述任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证具体包括:
当任一所述其他节点接收所述区块后,对所述区块的数字签名进行验证,若所述区块的数字签名合法,任一所述其他节点向所述任一子认证服务模块发送所述第一节点的准入凭证时,所述任一子认证服务模块获取所述第一节点的准入凭证。
根据本发明的第三方面,提供一种基于上述区块链的认证服务装置的用户认证方法,包括:
S21、接收用户的注册请求,管辖所述用户的子认证服务模块对所述请求进行审核,生成通过审核的所述用户的数字身份证及所述数字身份证的数字签名,将所述数字身份证的数字签名写入所述第二区块链,并将所述用户的数字身份证和所述数字身份证的数字签名发送给所述用户;
S22、接收第一用户查证所述第二用户的身份的第一查证请求,任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份;当所述第一用户的身份通过查证时,所述任一子认证服务模块根据第二查证请求包含的所述第二用户的数字身份证的数字签名,和所述第二区块链中的所述第二用户的数字身份证的数字签名,查证所述第二用户的身份,生成所述第二用户的查证结果;
其中,所述请求由所述用户使用的节点,根据所述用户的身份信息和公钥生成;所述数字身份证,包含所述用户的公钥和身份信息;所述第一查证请求根据所述第一用户的公钥和第一时间戳生成;所述第二查证请求由所述第一用户使用的节点根据所述第一查证请求和第一查证响应生成;所述第一查证响应由所述第二用户使用的节点根据所述第一查证请求、所述第二用户的公钥和第二时间戳生成;所述第一时间戳为生成所述第一查证请求的时间;所述第二时间戳为生成所述第一查证响应的时间。
优选地,所述生成通过审核的所述用户的数字身份证及所述数字身份证的数字签名,将所述数字身份证的数字签名写入所述第二区块链的具体步骤包括:
当所述请求通过审核时,管辖所述用户的子认证服务模块根据所述请求,生成所述用户的数字身份证,使用所述管辖所述用户的子认证服务模块的私钥生成所述数字身份证的数字签名;
管辖所述用户的子认证服务模块将所述用户的数字身份证的数字签名写入所述第二区块链,使所述用户的数字身份证存储在所述第二区块链中,并从所述第二区块链获取所述第二区块链中所述用户的数字身份证的寻址地址,将所述寻址地址加入用户信息注册列表;
其中,所述用户信息注册列表,用于保存用户的数字身份证在所述第二区块链中的寻址地址,所述节点的准入凭证在所述第二区块链中的寻址地址与所述用户的公钥对应。
优选地,所述任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份的具体步骤包括:
所述任一子认证服务模块根据自己的私钥,获取所述第一查证请求中所述第一用户的公钥;
根据所述第一用户的公钥,从所述用户注册信息列表中获取所述第一用户的数字身份证的寻址地址;根据所述第一用户的数字身份证的寻址地址,获取所述第二区块链中存储的所述第一用户的数字身份证中的所述第一用户的公钥;
将从所述第一查证请求中获取的所述第一用户的公钥,与所述第二区块链中存储的所述第一用户的公钥,进行对比,获取所述第一用户的身份的查证结果。
优选地,所述任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份的具体步骤还包括:
所述任一子认证服务模块,根据自己的私钥,获取所述第一查证请求中的第一时间戳。
优选地,所述当所述第一用户的身份通过查证时,所述任一子认证服务模块根据第二查证请求包含的所述第二用户的数字身份证的数字签名,和所述第二区块链中的所述第二用户的数字身份证的数字签名,查证所述第二用户的身份,生成所述第二用户的查证结果的具体步骤包括:
当所述第一用户的身份通过查证时,所述任一子认证服务模块,根据管辖所述第一用户的子认证服务模块的私钥,获取所述第二查证请求中的所述第二时间戳和所述第二用户的公钥;
获取所述第二时间戳与所述第一时间戳的时间差,当所述时间差小于预设的时间阈值时,根据所述第二用户的公钥,获取所述第二区块链中存储的所述第二用户的数字身份证中的身份信息;
将从所述第二查证请求中获取的所述第二用户的公钥,与所述第二区块链中存储的所述第二用户的公钥,进行对比,获取所述第二用户的身份的查证结果。
本发明提供的一种认证服务装置及节点准入方法、用户认证方法,通过设置认证服务机构,能对新加入节点读写权限的控制,在保护用户身份隐私的条件下,实现对用户身份合法性的验证,能有效地保护用户的隐私,有效防止恶意攻击者篡改、伪造用户信息。
附图说明
图1为本发明实施例一种区块链的认证服务装置的结构示意图;
图2为本发明实施例一种节点准入方法中节点注册的流程图;
图3为本发明实施例一种节点准入方法中节点认证的流程图;
图4为本发明实施例一种用户认证方法中用户注册的流程图;
图5为本发明实施例一种用户认证方法中用户认证的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本发明的描述中,需要说明的是,除非另有说明,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
需要说明的是,由于公有链不需要进行节点准入和用户认证,本发明提供的装置和方法,适用于进行联盟链和私有链的节点准入和用户认证。
需要说明的是,除非另有说明,签名均指数字签名。
图1为本发明实施例一种区块链的认证服务装置的结构示意图。如图1所示,一种区块链的认证服务装置包括:一个根认证服务模块和多个子认证服务模块;每一子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务;每一子认证服务模块的管辖范围均不相同,且全部子认证服务模块的管辖范围构成认证服务装置的管辖范围;认证服务装置的管辖范围为第一区块链的全部节点和全部用户,及请求加入第一区块链的全部节点和全部用户;所有子认证服务模块,用于共同维护第二区块链;第二区块链用于存储第一区块链的全部节点和全部用户的注册信息;根认证服务模块用于为子认证服务模块进行授权,授权子认证服务模块提供节点准入服务和用户认证服务;其中,节点的注册信息至少包括节点的权限;用户的注册信息至少包括用户的身份信息。
需要说明的是,系统运行在由P2P网络连接的多个节点上,由用户生成数据并向全网广播,由节点共同协作以操纵区块链,完成对区块链数据的读写。
区块链由创世区块及一系列数据结构相同的区块以哈希值链接组成,创世区块含有特殊字段,该特殊字段包括区块链类型标识、区块链ID、认证服务装置、共识机制、读取规则及数据读取合约,该数据读取合约作为所有节点读取数据的依据,通过对以上字段的设置可完成对区块链的配置;除创世区块外,其他区块具有相同数据结构,主要包括区块大小、区块头、数据总量、数据及签名,区块头包括父区块哈希、Merkle根及时间戳,数据包括从前一区块到该区块之间产生的所有数据记录,签名是对区块中除签名之外的所有内容的数字签名。特别地,区块链类型包括联盟链及私有链;共识机制包括工作量证明机制、权益证明机制、拜占庭容错机制等。
区块链的认证服务装置主要通过调用区块链的以下模块以实现准入机制和认证算法:
P2P通信模块,用于通过P2P网络传输节点间需要共享的具有规定格式的数据;
数据存储模块,用于存储数据,并支持对本地数据的访问;
身份管理模块,用于对所有节点和用户的身份信息进行管理,以及根据要加入的区块链类型对所有节点的读写权限进行管理;
密码工具模块,用于提供哈希算法、签名算法及加密算法。
进一步地,节点在本地运行有虚拟机,并含有数据访问接口,虚拟机用于支持代码运行,用户可据以开发新的智能合约,该数据访问接口基于数据读取合约。
区块链的认证服务装置(Authentication Service Provider,简称ASP),它是区块链的认证服务系统预先选定的可信锚,为节点提供节点准入服务和用户提供用户认证服务。其中,ASP分为根认证服务模块(也称为根ASP)和其下的子认证服务模块(也称为子ASP),根ASP只负责为子ASP颁发可唯一标识的ASPID,授予可信凭证。只有被根ASP授予可信凭证的子ASP,才能提供节点准入服务和用户认证服务。
子ASP包含注册模块和认证模块,负责为自己职责区域内的节点提供节点准入服务和为自己职责区域内的用户提供用户认证服务。
根据区块链参与实体的规模和区域划分,根认证服务模块设置多个下属的子认证服务模块,多个子认证服务模块分别为某片区域内的节点和用户提供注册和认证功能。
所有子认证服务模块共同维护一条不同于上述区块链的第二区块链,完成整个区块链中的节点准入服务和用户认证服务。该第二区块链称为身份链,身份链中存储节点和用户的注册信息。
节点的注册信息至少包括节点的权限,还可以包括节点属于的联盟或企业、节点的属性等信息,但不限于此。
用户的注册信息至少包括用户的身份信息,还可以包括用户的个人资料等信息,但不限于此。
本发明实施例通过一个根认证服务模块加多个子认证服务模块分区域协同提供身份认证服务的方式,共同维护身份链,而不是像一般的认证中心将身份信息存储到数据库,可有效防止恶意攻击者篡改、伪造用户信息,实现对认证机构行为的有效监管。
基于上述认证服务装置的认证服务系统,包含三个主要参与角色,分别是认证服务装置(Authentication Service Provider,简称ASP),它是系统预先选定的可信锚,为节点提供节点准入服务和用户提供用户认证服务,其中ASP分为根APS和其下的子ASP,根ASP只负责为子ASP颁发可唯一标识的ASPID,授予可信凭证,子ASP包含注册模块和认证模块,负责为自己职责区域内的节点和用户提供身份认证服务,若干子ASP共同维护一条存储用户和节点身份数据的身份链,完成整个区块链中的身份认证服务;用户,它是加入区块链的个人实体,是数据的产生者和访问者,在加入区块链前,需要递交个人身份信息(如身份证、指纹等)给子ASP审核完成注册,并可接收查证人的匿名认证,即查证人只能查证该用户是否合法,而无法获取用户的隐私信息;节点,是区块链中参与记账或具有读写权限的节点,在加入区块链前,节点需递交归属信息(如归属于联盟链中的某个组织)给子ASP审核进行注册并接收授权,在产生新区块时,接收其他节点的准入验证。
在联盟链和私有链中,节点和对象仅限于联盟成员或私有链所属对象。区块链上节点的读写权限、参与记账权限按联盟规则或私有链内部制度来制定。同时,在特定应用如银行系统中,在对用户身份进行认证的同时需要对用户的隐私信息进行保护,而对于节点,作为公开的服务器,需通过认证来申请读写权限,但其身份信息无需保密。
下面对本发明实施例涉及的符号进行说明。
(PKxxx,SKxxx),表示xxx生成的合法公私钥对,xxx指用户(user)、节点(node)、ASP、查证人(verifier),为区块链的认证服务系统中涉及的实体。
xxxID,表示xxx注册后由ASP颁发的合法凭证,xxx指用户或节点。
Figure BDA0001523247550000101
表示某个实体(xxx)使用其私钥对某条消息(msg)进行签名。
Figure BDA0001523247550000102
表示某个实体(xxx)使用其公钥对某条消息(msg)进行加密。
Timexxx,表示某个实体(xxx)发送消息时的时间戳。
基于以上需求,在设计区块链身份认证机制时,应因地制宜,分别设计区块链的节点准入机制和用户认证算法。在整个系统中,由认证服务装置协助完成注册和身份认证功能。在节点准入机制中,节点需预先注册,获取身份凭证和读写权限,在新区块写入前,节点需要对新区块的产生节点的身份以及权限进行认证。在用户认证算法中,着重利用密码学的安全算法来避免注册、验证这两个阶段中用户隐私信息的泄露。
基于上述实施例,一种基于上述区块链的认证服务装置的节点准入方法包括:步骤S11、接收节点加入第一区块链的请求,管辖节点的子认证服务模块对请求进行审核,生成通过审核的节点的准入凭证及准入凭证的数字签名,将准入凭证的数字签名写入第二区块链,并将节点的准入凭证和准入凭证的数字签名发送给节点;步骤S12、当第一节点生成区块,将区块和第一节点的准入凭证广播至其他节点后,任一子认证服务模块根据任一其他节点发送的第一节点的准入凭证,和第二区块链中的第一节点的准入凭证,查证第一节点的权限,当第一节点具有将区块写入第一区块链的权限时,允许将区块写入第一区块链;其中,请求由节点根据节点的归属信息和公钥生成;准入凭证,包含节点的公钥、归属信息和权限;节点的权限根据节点的归属信息确定。
需要说明的是,节点准入方法的参与方包括节点、子ASP,每个节点和子ASP首先都会产生自己的公私钥对,其中节点的公私钥对记为(PKnode,SKnode),子ASP公私钥对记为(PKASP,SKASP)。节点准入方法包含注册、认证两个阶段,子ASP作为可信锚为节点提供准入验证服务。
步骤S11为节点准入方法中的节点注册阶段。
具体地,每个节点加入区块链之前,首先需要生成节点注册请求Node_register(含节点公钥PKnode和归属信息),并将Node_register发送给子ASP进行审核;子ASP审核通过后生成该节点的准入凭证NodeID,其中NodeID包含节点的公钥、归属信息以及区块链读写权限,子ASP使用自己的私钥SKnode生成NodeID的数字签名,将其写入身份链中,同时身份链返回该准入凭证对应的寻址地址。
归属信息,指节点所属的对象。
对于联盟链,归属信息,指节点是否属于拥有联盟链的联盟及在该联盟中的所述组织。当节点属于该联盟时,允许节点加入该联盟链。根据节点属于该联盟链的联盟中的组织的情况,该节点可被赋予相应的权限。
对于私有链,归属信息,指节点是否属于拥有该私有链的对象。当节点属于该私有链的对象时,允许节点加入该私有链,并赋予该节点相应的权限。拥有该私有链的对象,指用于该私有链的企业、个人或组织。
步骤S12为节点准入方法中的节点认证阶段。
具体地,在节点记账过程中,当有新区块产生时,在正式写入区块链前,节点需要对新区块的产生节点的身份和权限进行认证,验证节点发送待验证节点的准入凭证NodeID给任意的子ASP,由子ASP从身份链中提取相应信息进行比对,返回查证结果。随后各节点方可将新区块写入区块链中。
本发明实施例通过节点注册了一个合法的、可认证的公钥,并获得了准入凭证,能有效防止非法节点读取区块数据或将其不合法区块写入区跨链,扰乱联盟链和私有链的秩序。
基于上述实施例,生成通过审核的节点的准入凭证及准入凭证的数字签名,将准入凭证的数字签名写入第二区块链的具体步骤包括:当请求通过审核时,管辖节点的子认证服务模块从请求中获取接待的归属信息,根据节点的归属信息赋予节点相应的权限;管辖节点的子认证服务模块根据请求和节点的权限,生成节点的准入凭证,并使用管辖节点的子认证服务模块的私钥生成准入凭证的数字签名;管辖节点的子认证服务模块将准入凭证的数字签名写入第二区块链,使节点的准入凭证存储在第二区块链中,并获取第二区块链中节点的准入凭证的寻址地址,将寻址地址加入节点注册信息列表;其中,节点注册信息列表,用于保存节点的准入凭证在第二区块链中的寻址地址,节点的准入凭证在第二区块链中的寻址地址与节点的公钥对应。
步骤S12具体包括:任一子认证服务模块获取任一其他节点发送的第一节点的准入凭证,从第一节点的准入凭证中获取第一节点的公钥、归属信息和权限;任一子认证服务模块根据第一节点的公钥,获取节点注册信息列表中第二区块链中第一节点的寻址地址;根据第二区块链中第一节点的寻址地址,获取第二区块链中的第一节点的准入凭证,并根据第二区块链中的第一节点的准入凭证获取第一节点的归属信息和权限;任一子认证服务模块将根据其他节点发送的第一节点的准入凭证获得的第一节点的归属信息和权限,与从根据第二区块链中的第一节点的准入凭证获得的第一节点的归属信息和权限,进行对比,当第一节点具有将区块写入第一区块链的权限时,允许将区块写入第一区块链;其中,第一节点的准入凭证由其他节点根据区块的数字签名获取,当第二节点验证区块的数字签名为合法时,其他节点将第一节点的准入凭证发送给任一子认证服务模块;区块的数字签名为区块的最后一个字段,区块的数字签名为区块中除签名外的其他字段的内容的数字签名。
任一子认证服务模块获取任一其他节点发送的第一节点的准入凭证具体包括:当任一其他节点接收区块后,对区块的数字签名进行验证,若区块的数字签名合法,任一其他节点向任一子认证服务模块发送第一节点的准入凭证时,任一子认证服务模块获取第一节点的准入凭证。
图2为本发明实施例一种节点准入方法中节点注册的流程图。如图2所示,节点注册的具体过程如下。
下面以联盟链为例,说明节点注册的具体过程
节点初始化,本地生成公私钥对(PKnode,SKnode)。
本地生成公私钥对后,使用公钥和节点的归属信息生成注册请求Node_register=(PKnode,归属信息),并将Node_register发送给子ASP申请注册。
子ASP作为可信锚审核节点注册请求,若该节点的归属信息和归属信息正确,即该节点属于请求加入的联盟链中的该联盟,则审核通过,则生成节点准入凭证NodeID,NodeID包含节点公钥PKnode、归属信息以及权限。节点的权限为读写权限,包括只读、可写可读两种权限;其中,读权限指节点可以访问区块链数据、写权限指节点可以参与区块链挖矿过程,写入合法区块。
若审核不通过,则直接结束,节点可检查信息后再次申请。
若审核通过,子ASP随后使用自己的私钥SKASP生成签名
Figure BDA0001523247550000141
并写入身份链中,身份链返回对应的寻址地址给子ASP,子ASP在本地维护一个节点公钥和对应节点准入凭证寻址地址的节点注册信息列表,以便验证时快速查证。
子ASP将节点准入凭证及其签名
Figure BDA0001523247550000142
返回给节点,完成注册。
本发明实施例通过节点注册了一个合法的、可认证的公钥,并获得了准入凭证。子ASP返回给节点的信息中包含有子ASP的数字签名,那么节点可以通过ASP的公钥验签,确认其确实由可信锚ASP产生;子ASP将注册节点的信息写入区块链中,可保证节点信息不被篡改、不可伪造,为验证提供基础,子ASP共同维护身份链、支持不同区域的任意子ASP进行验证。
图3为本发明实施例一种节点准入方法中节点认证的流程图。如图3所示,节点认证的具体过程如下。
待验证节点(即第一节点、节点2)产生新区块及其数字签名
Figure BDA0001523247550000143
并全网广播,等待验证。
接收到新区块的其他节点(节点1),收到后发起验证,从Node2ID中获取节点2的公钥PKnode2,验证新区块的数字签名。若新区块的签名合法,则发送节点2的准入凭证Node2ID给任一子ASP,请求查证节点2的权限;若新区块的签名不合法,则结束节点认证过程,拒绝将该新区块写入第一区块链。
该子ASP从Node2ID中获取节点2的公钥PKnode2及节点读写权限,同时根据节点注册信息列表,获取寻址地址,从身份链中读取节点归属信息,两者比对,验证节点身份,核实节点权限。
最终,该子ASP返回查证结果给节点1。
在上述节点认证算法流程中,验证者节点1,可以通过验证节点2的数字签名确保新区块确实由节点2生成,进一步通过子ASP查证结果决定是否写入新区块。
若查证结果为节点2是具有写权限的节点,允许将节点2生成的新区块写入第一区块链;若查证结果为节点2不是具有写权限的节点,拒绝将节点2生成的新区块写入第一区块链。
基于上述实施例,一种基于上述区块链的认证服务装置的用户认证方法包括:步骤S21、接收用户的注册请求,管辖用户的子认证服务模块对请求进行审核,生成通过审核的用户的数字身份证及数字身份证的数字签名,将数字身份证的数字签名写入第二区块链,并将用户的数字身份证和数字身份证的数字签名发送给用户;步骤S22、接收第一用户查证第二用户的身份的第一查证请求,任一子认证服务模块根据第一查证请求查证第一用户的身份;当第一用户的身份通过查证时,任一子认证服务模块根据第二查证请求包含的第二用户的数字身份证的数字签名,和第二区块链中的第二用户的数字身份证的数字签名,查证第二用户的身份,生成第二用户的查证结果;其中,请求由用户使用的节点,根据用户的身份信息和公钥生成;数字身份证,包含用户的公钥和身份信息;第一查证请求根据第一用户的公钥和第一时间戳生成;第二查证请求由第一用户使用的节点根据第一查证请求和第一查证响应生成;第一查证响应由第二用户使用的节点根据第一查证请求、第二用户的公钥和第二时间戳生成;第一时间戳为生成第一查证请求的时间;第二时间戳为生成第一查证响应的时间。
需要说明的是,用户认证方法的参与方包括被查证的用户、查证人及子ASP,每个参与方首先在本地产生自己的公私钥对,其中,被查证的用户的公私钥对记为(PKuser,SKuser),查证人公私钥对记为(PKver,SKver),子ASP公私钥对记为(PKASP,SKASP)。查证人和被查证的用户,均为区块链中的用户。第一用户指查证人,第二用户指被查证的用户。
用户认证方法同样包括注册、认证两个阶段,子ASP作为可信锚为用户提供注册服务,为查证人提供查证服务。
步骤S21为用户认证方法中的用户注册阶段。
注册阶段,用户在访问区块链之前,首先需要生成用户的注册请求User_register(含用户公钥PKuser和唯一标识的身份信息),交由子ASP审核后生成用户的数字身份证UserID,其中UserID包含用户的公钥和身份信息,子ASP使用自己的私钥SKnode生成UserID的数字签名,将其写入身份链中,同时身份链返回该数字身份证对应的寻址地址。
用户的注册请求,指用户申请成为该区块链的使用者的请求。
步骤S22为用户认证方法中的用户认证阶段。
查证人为第一用户。由查证人发起查证申请apply_for_verification,该请求是一个包含验证信息的字符串,在具体流程中将形式化的说明,用户将apply_for_verification发送给子ASP,子ASP首先验证查证人(发起验证的一方)的身份,并将验证结果返回给用户,若身份合法,则根据密码算法计算并返回第一查证响应verify_response,查证人进一步处理第一查证响应,生成第二查证请求verify_request,交由子ASP结合身份链的存储的信息进行比对,返回最终查证结果。
本发明实施例通过先对查证人的身份进行查证,查证人的身份合法时才对被查证的用户的身份进行查证,一方面能验证查证人的合法性,充分保证用户的权益,避免恶意查证人的频繁查证;另一方面通过密码机制实现了匿名认证,在实现认证功能的同时,保护了用户身份信息的隐私性。
基于上述实施例,生成通过审核的用户的数字身份证及数字身份证的数字签名,将数字身份证的数字签名写入第二区块链的具体步骤包括:当请求通过审核时,管辖用户的子认证服务模块根据请求,生成用户的数字身份证,使用管辖用户的子认证服务模块的私钥生成数字身份证的数字签名;管辖用户的子认证服务模块将用户的数字身份证的数字签名写入第二区块链,使用户的数字身份证存储在第二区块链中,并从第二区块链获取第二区块链中用户的数字身份证的寻址地址,将寻址地址加入用户信息注册列表;其中,用户信息注册列表,用于保存用户的数字身份证在第二区块链中的寻址地址,节点的准入凭证在第二区块链中的寻址地址与用户的公钥对应。
任一子认证服务模块根据第一查证请求查证第一用户的身份的具体步骤包括:任一子认证服务模块根据自己的私钥,获取第一查证请求中第一用户的公钥;根据第一用户的公钥,从用户注册信息列表中获取第一用户的数字身份证的寻址地址;根据第一用户的数字身份证的寻址地址,获取第二区块链中存储的第一用户的数字身份证中的第一用户的公钥;将从第一查证请求中获取的第一用户的公钥,与第二区块链中存储的第一用户的公钥,进行对比,获取第一用户的身份的查证结果。
任一子认证服务模块根据第一查证请求查证第一用户的身份的具体步骤还包括:任一子认证服务模块,根据自己的私钥,获取第一查证请求中的第一时间戳。
当第一用户的身份通过查证时,任一子认证服务模块根据第二查证请求包含的第二用户的数字身份证的数字签名,和第二区块链中的第二用户的数字身份证的数字签名,查证第二用户的身份,生成第二用户的查证结果的具体步骤包括:当第一用户的身份通过查证时,任一子认证服务模块,根据管辖第一用户的子认证服务模块的私钥,获取第二查证请求中的第二时间戳和第二用户的公钥;获取第二时间戳与第一时间戳的时间差,当时间差小于预设的时间阈值时,根据第二用户的公钥,获取第二区块链中存储的第二用户的数字身份证中的身份信息;将从第二查证请求中获取的第二用户的公钥,与第二区块链中存储的第二用户的公钥,进行对比,获取第二用户的身份的查证结果。
图4为本发明实施例一种用户认证方法中用户注册的流程图。如图4所示,用户注册的具体过程如下。
用户初始化,本地生成公私钥对(PKuser,SKuser)。
使用公钥和可唯一标识用户身份信息生成注册请求User_register=(PKnode,身份信息),并将User_register发送给子ASP申请注册。
子ASP作为可信锚审核用户注册请求,若审核通过,则生成用户数字身份证UserID,UserID包含用户公钥PKnode、身份信息。
若审核不通过,则直接结束,用户可检查信息后再次申请。
若审核通过,子ASP随后使用自己的私钥SKASP生成签名
Figure BDA0001523247550000181
并写入身份链中,身份链返回对应的寻址地址给子ASP,子ASP在本地维护一个用户公钥和对应用户数字身份证寻址地址的用户注册信息列表,以便验证时快速查证。
并且,子ASP将数字身份证及其签名
Figure BDA0001523247550000182
返回给用户,完成注册。
图5为本发明实施例一种用户认证方法中用户认证的流程图。如图5所示,用户认证的具体过程如下。
第一用户(指查证人)使用子ASP的公钥PKASP对自己的公钥PKver和第一时间戳Timever进行加密,生成第一查证请求
Figure BDA0001523247550000183
将其发送给第二用户(被查证的用户)。
第二用户(指被查证的用户)查证请求apply_for_verification转发给任一子ASP,申请验证第一用户(查证人)身份。
该子ASP用自己的私钥SKASP解密apply_for_verificarion,获取第一用户(查证人)公钥PKver和第一时间戳Timever,并与身份链中对应信息比对,验证第一用户(查证人)身份,返回查证结果给第二用户(被查证的用户)。
若查证通过,第二用户(被查证的用户)计算第一查证响应
Figure BDA0001523247550000191
,即使用 该子ASP的公钥PKASP对第二用户的公钥PKuser和第二时间戳Timeuser进行加密,同时并上对查 证请求的第二用户(被查证的用户)签名,返回第一查证响应给第一用户(查证人);否则,直 接退出,拒绝查证。
第一用户(查证人)生成根据第一查证请求和第一查证响应生成第二查证请求,verify_request=verify_response||apply_for_verification,将第二查证请求verify_request发送给该子ASP。
该子ASP随后使用自己的私钥SKASP获取第二用户(被查证的用户)公钥PKuser以及第二时间戳Timeuser,计算Timeuser和Timever之差。
若差值返回合理,即|Timeuser-Timever|≤Threshold,则该子ASP根据第二用户(被查证的用户)注册信息列表,获取寻址地址,从身份链中读取第二用户(被查证的用户)身份信息,两者比对,验证第二用户(被查证的用户)身份。Threshold为预设的时间阈值,需根据具体应用场景进行设定。若第二时间戳与第一时间戳之差大于预设的时间阈值,则结束用户认证过程,拒绝查证人查证被查证的用户。
最终,该子ASP返回查证结果给第一用户(查证人)。
本发明实施例,通过首先对查证人身份进行了验证,限定只有合法用户方可作为查证人申请查证;在整个算法中用户没有给查证人发送任何有关身份信息的消息,保证了用户身份信息的隐私性;时间戳的设置,能保证恶意查证人无法使用过期的查证响应查证用户身份,更进一步保护了用户隐私。
最后,本发明的上述实施例仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种区块链的认证服务装置,其特征在于,包括一个根认证服务模块和多个子认证服务模块;
每一所述子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务;
每一所述子认证服务模块的管辖范围均不相同,且全部所述子认证服务模块的管辖范围构成所述认证服务装置的管辖范围;所述认证服务装置的管辖范围为第一区块链的全部节点和全部用户,及请求加入所述第一区块链的全部节点和全部用户;
所有子认证服务模块,用于共同维护第二区块链;所述第二区块链用于存储所述第一区块链的全部节点和全部用户的注册信息;
所述根认证服务模块用于为子认证服务模块进行授权,授权子认证服务模块提供节点准入服务和用户认证服务;
其中,节点的注册信息至少包括节点的权限;用户的注册信息至少包括用户的身份信息;
所述子认证服务模块对该子认证服务模块管辖范围内的任一节点提供节点准入服务的具体步骤包括:
该节点加入区块链之前,生成携带该节点的公钥和归属信息的节点注册请求,并将所述节点注册请求发送给子ASP进行审核;
所述子ASP审核通过后生成该节点的准入凭证;其中,所述准入凭证携带该节点的公钥、归属信息以及区块链读写权限;
所述子ASP使用自己的私钥生成所述准入凭证的数字签名,将所述数字签名写入身份链中,所述身份链返回所述准入凭证对应的寻址地址;
所述子认证服务模块对该子认证服务模块管辖范围内的用户提供用户认证服务的具体步骤包括:
在节点记账过程中,当有新区块产生时,在正式写入区块链前,每一验证节点对所述新区块的产生节点的身份和权限进行认证,所述验证节点发送待验证节点的准入凭证给任一子ASP,由所述任一子ASP从身份链中提取相应信息进行比对,返回查证结果;所述待验证节点为所述新区块的产生节点;
各节点方将新区块写入区块链中。
2.一种基于权利要求1所述的区块链的认证服务装置的节点准入方法,其特征在于,包括:
S11、接收节点加入第一区块链的请求,管辖所述节点的子认证服务模块对所述请求进行审核,生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名,将所述准入凭证的数字签名写入所述第二区块链,并将所述节点的准入凭证和所述准入凭证的数字签名发送给所述节点;
S12、当第一节点生成区块,将所述区块广播和所述第一节点的准入凭证至其他节点后,任一子认证服务模块根据任一所述其他节点发送的所述第一节点的准入凭证,和所述第二区块链中的所述第一节点的准入凭证,查证所述第一节点的权限,当所述第一节点具有将区块写入所述第一区块链的权限时,允许将所述区块写入所述第一区块链;
其中,所述请求由所述节点根据所述节点的归属信息和公钥生成;所述准入凭证,包含所述节点的公钥、归属信息和权限;所述节点的权限根据所述节点的归属信息确定。
3.根据权利要求2所述的节点准入方法,其特征在于,所述生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名,将所述准入凭证的数字签名写入所述第二区块链的具体步骤包括:
当所述请求通过审核时,管辖所述节点的子认证服务模块从所述请求中获取所述节点的归属信息,根据所述节点的归属信息赋予所述节点相应的权限;
管辖所述节点的子认证服务模块根据所述请求和所述节点的权限,生成所述节点的准入凭证,并使用管辖所述节点的子认证服务模块的私钥生成所述准入凭证的数字签名;
管辖所述节点的子认证服务模块将所述准入凭证的数字签名写入所述第二区块链,使所述节点的准入凭证存储在所述第二区块链中,并获取所述第二区块链中所述节点的准入凭证的寻址地址,将所述寻址地址加入节点注册信息列表;
其中,所述节点注册信息列表,用于保存节点的准入凭证在所述第二区块链中的寻址地址,所述节点的准入凭证在所述第二区块链中的寻址地址与所述节点的公钥对应。
4.根据权利要求3所述的节点准入方法,其特征在于,所述步骤S12具体包括:
任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证,从所述第一节点的准入凭证中获取所述第一节点的公钥、归属信息和权限;
所述任一子认证服务模块根据所述第一节点的公钥,获取所述节点注册信息列表中所述第二区块链中所述第一节点的寻址地址;根据所述第二区块链中所述第一节点的寻址地址,获取所述第二区块链中的所述第一节点的准入凭证,并根据所述第二区块链中的所述第一节点的准入凭证获取所述第一节点的归属信息和权限;
所述任一子认证服务模块将根据所述其他节点发送的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限,与从根据所述第二区块链中的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限,进行对比,当所述第一节点具有将区块写入所述第一区块链的权限时,允许将所述区块写入所述第一区块链;
其中,所述第一节点的准入凭证由所述其他节点根据所述区块的数字签名获取,当第二节点验证所述区块的数字签名为合法时,所述其他节点将所述第一节点的准入凭证发送给所述任一子认证服务模块;所述区块的数字签名为所述区块的最后一个字段,所述区块的数字签名为所述区块中除签名外的其他字段的内容的数字签名。
5.根据权利要求4所述的节点准入方法,其特征在于,所述任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证具体包括:
当任一所述其他节点接收所述区块后,对所述区块的数字签名进行验证,若所述区块的数字签名合法,任一所述其他节点向所述任一子认证服务模块发送所述第一节点的准入凭证时,所述任一子认证服务模块获取所述第一节点的准入凭证。
6.一种基于权利要求1所述的认证服务装置的用户认证方法,其特征在于,包括:
S21、接收用户的注册请求,管辖所述用户的子认证服务模块对所述请求进行审核,生成通过审核的所述用户的数字身份证及所述数字身份证的数字签名,将所述数字身份证的数字签名写入所述第二区块链,并将所述用户的数字身份证和所述数字身份证的数字签名发送给所述用户;
S22、接收第一用户查证第二用户的身份的第一查证请求,任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份;当所述第一用户的身份通过查证时,所述任一子认证服务模块根据第二查证请求包含的所述第二用户的数字身份证的数字签名,和所述第二区块链中的所述第二用户的数字身份证的数字签名,查证所述第二用户的身份,生成所述第二用户的查证结果;
其中,所述请求由所述用户使用的节点,根据所述用户的身份信息和公钥生成;所述数字身份证,包含所述用户的公钥和身份信息;所述第一查证请求根据所述第一用户的公钥和第一时间戳生成;所述第二查证请求由所述第一用户使用的节点根据所述第一查证请求和第一查证响应生成;所述第一查证响应由所述第二用户使用的节点根据所述第一查证请求、所述第二用户的公钥和第二时间戳生成;所述第一时间戳为生成所述第一查证请求的时间;所述第二时间戳为生成所述第一查证响应的时间。
7.根据权利要求6所述的用户认证方法,其特征在于,所述生成通过审核的所述用户的数字身份证及所述数字身份证的数字签名,将所述数字身份证的数字签名写入所述第二区块链的具体步骤包括:
当所述请求通过审核时,管辖所述用户的子认证服务模块根据所述请求,生成所述用户的数字身份证,使用所述管辖所述用户的子认证服务模块的私钥生成所述数字身份证的数字签名;
管辖所述用户的子认证服务模块将所述用户的数字身份证的数字签名写入所述第二区块链,使所述用户的数字身份证存储在所述第二区块链中,并从所述第二区块链获取所述第二区块链中所述用户的数字身份证的寻址地址,将所述寻址地址加入用户信息注册列表;
其中,所述用户信息注册列表,用于保存用户的数字身份证在所述第二区块链中的寻址地址,所述节点的准入凭证在所述第二区块链中的寻址地址与所述用户的公钥对应。
8.根据权利要求7所述的用户认证方法,其特征在于,所述任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份的具体步骤包括:
所述任一子认证服务模块根据自己的私钥,获取所述第一查证请求中所述第一用户的公钥;
根据所述第一用户的公钥,从所述用户注册信息列表中获取所述第一用户的数字身份证的寻址地址;根据所述第一用户的数字身份证的寻址地址,获取所述第二区块链中存储的所述第一用户的数字身份证中的所述第一用户的公钥;
将从所述第一查证请求中获取的所述第一用户的公钥,与所述第二区块链中存储的所述第一用户的公钥,进行对比,获取所述第一用户的身份的查证结果。
9.根据权利要求8所述的用户认证方法,其特征在于,所述任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份的具体步骤还包括:
所述任一子认证服务模块,根据自己的私钥,获取所述第一查证请求中的第一时间戳。
10.根据权利要求9所述的用户认证方法,其特征在于,所述当所述第一用户的身份通过查证时,所述任一子认证服务模块根据第二查证请求包含的所述第二用户的数字身份证的数字签名,和所述第二区块链中的所述第二用户的数字身份证的数字签名,查证所述第二用户的身份,生成所述第二用户的查证结果的具体步骤包括:
当所述第一用户的身份通过查证时,所述任一子认证服务模块,根据管辖所述第一用户的子认证服务模块的私钥,获取所述第二查证请求中的所述第二时间戳和所述第二用户的公钥;
获取所述第二时间戳与所述第一时间戳的时间差,当所述时间差小于预设的时间阈值时,根据所述第二用户的公钥,获取所述第二区块链中存储的所述第二用户的数字身份证中的身份信息;
将从所述第二查证请求中获取的所述第二用户的公钥,与所述第二区块链中存储的所述第二用户的公钥,进行对比,获取所述第二用户的身份的查证结果。
CN201711421915.XA 2017-12-25 2017-12-25 一种区块链的认证服务装置及节点准入、用户认证方法 Active CN109962890B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711421915.XA CN109962890B (zh) 2017-12-25 2017-12-25 一种区块链的认证服务装置及节点准入、用户认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711421915.XA CN109962890B (zh) 2017-12-25 2017-12-25 一种区块链的认证服务装置及节点准入、用户认证方法

Publications (2)

Publication Number Publication Date
CN109962890A CN109962890A (zh) 2019-07-02
CN109962890B true CN109962890B (zh) 2020-07-03

Family

ID=67021074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711421915.XA Active CN109962890B (zh) 2017-12-25 2017-12-25 一种区块链的认证服务装置及节点准入、用户认证方法

Country Status (1)

Country Link
CN (1) CN109962890B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021107195A1 (ko) * 2019-11-28 2021-06-03 서울외국어대학원대학교 산학협력단 가상 자산 서비스를 위한 분산원장기술 보안 플랫폼을 활용한 이용자 신원 공유 시스템
CN111654377B (zh) * 2020-05-19 2022-09-30 鼎链数字科技(深圳)有限公司 基于sm9的区块链节点准入验证方法及系统
CN111818167B (zh) * 2020-07-09 2021-09-07 广州知弘科技有限公司 基于区块链的高安全性资源转移方法
CN112134892B (zh) * 2020-09-24 2023-04-18 南京邮电大学 一种移动边缘计算环境下的服务迁移方法
CN112491845B (zh) * 2020-11-18 2023-04-25 北京数码视讯科技股份有限公司 普通节点准入方法、装置、电子设备及可读存储介质
CN112712372B (zh) * 2020-12-30 2024-03-01 东软集团股份有限公司 联盟链跨链系统和信息调用方法
CN113660632B (zh) * 2021-06-29 2023-10-27 国家计算机网络与信息安全管理中心 一种基于区块链的v2x身份管理方法及管理系统
EP4443364A1 (en) * 2021-12-31 2024-10-09 Huawei Technologies Co., Ltd. Identity authentication method, device, and system
CN114844700A (zh) * 2022-04-28 2022-08-02 三峡星未来数据科技(宜昌)有限公司 一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质
CN114827150B (zh) * 2022-04-29 2023-11-21 国网安徽省电力有限公司电力科学研究院 一种物联网终端数据上链适配方法、系统及存储介质
WO2024000430A1 (zh) * 2022-06-30 2024-01-04 Oppo广东移动通信有限公司 安全实现方法及装置、系统、通信设备、芯片、存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107171806A (zh) * 2017-05-18 2017-09-15 北京航空航天大学 基于区块链的移动终端网络密钥协商方法
CN107257341A (zh) * 2017-06-21 2017-10-17 济南浪潮高新科技投资发展有限公司 一种基于区块链的学籍追溯认证方法
CN107508681A (zh) * 2017-08-15 2017-12-22 中国联合网络通信集团有限公司 区块链密钥保护方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018536957A (ja) * 2015-11-30 2018-12-13 シェイプシフト・アーゲーShapeShift AG ブロックチェーン資産取引におけるセキュリティを向上させるためのシステム及び方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107171806A (zh) * 2017-05-18 2017-09-15 北京航空航天大学 基于区块链的移动终端网络密钥协商方法
CN107257341A (zh) * 2017-06-21 2017-10-17 济南浪潮高新科技投资发展有限公司 一种基于区块链的学籍追溯认证方法
CN107508681A (zh) * 2017-08-15 2017-12-22 中国联合网络通信集团有限公司 区块链密钥保护方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CFL认证体制及其在区块链中的应用;杜春玲等;《信息安全研究》;20170305;第3卷(第3期);全文 *
On the security of the blockchain BIX protocol and certificates;Riccardo Longo等;《2017 9th International Conference on Cyber Conflict(CyCon)》;20170602;全文 *

Also Published As

Publication number Publication date
CN109962890A (zh) 2019-07-02

Similar Documents

Publication Publication Date Title
CN109962890B (zh) 一种区块链的认证服务装置及节点准入、用户认证方法
JP7121459B2 (ja) ハード/ソフトトークン検証を介したブロックチェーン認証
US20210409221A1 (en) Portable Biometric Identity on a Distributed Data Storage Layer
CN109067801B (zh) 一种身份认证方法、身份认证装置及计算机可读介质
US10829088B2 (en) Identity management for implementing vehicle access and operation management
CN112580102A (zh) 基于区块链的多维度数字身份鉴别系统
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
CN101107611B (zh) 私有的和受控的所有权共享的方法、设备和系统
KR102307574B1 (ko) 블록체인을 기반으로 한 클라우드 데이터 저장 시스템 및 데이터 저장 방법
WO2018170341A1 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
KR20190075771A (ko) 블록체인을 이용한 개인정보 분리 후 분산저장을 통한 인증 시스템
CN107181765A (zh) 基于区块链技术的网络数字身份认证方法
US20090271635A1 (en) Methods and systems for authentication
EP3376708A1 (en) Anonymous communication system and method for subscribing to said communication system
CN108243182B (zh) 区块链的管理授权方法、子管理端、根管理端及存储介质
JP7114078B2 (ja) 電子認証方法及びプログラム
CN103220141B (zh) 一种基于组密钥策略的敏感数据保护方法和系统
KR102410006B1 (ko) 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
KR20060032888A (ko) 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법
CN115688191A (zh) 一种基于区块链的电子签章系统及方法
US20240187259A1 (en) Method and apparatus for generating, providing and distributing a trusted electronic record or certificate based on an electronic document relating to a user
KR20170019308A (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
CN113781689A (zh) 一种基于区块链的门禁系统
CN114154125A (zh) 云计算环境下区块链无证书的身份认证方案

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant