CN110061846B - 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 - Google Patents
对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110061846B CN110061846B CN201910195292.1A CN201910195292A CN110061846B CN 110061846 B CN110061846 B CN 110061846B CN 201910195292 A CN201910195292 A CN 201910195292A CN 110061846 B CN110061846 B CN 110061846B
- Authority
- CN
- China
- Prior art keywords
- user node
- group
- public key
- certificate
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对区块链中用户节点进行身份认证的方法及相关设备,涉及交易验证领域,该方法包括:获取由CA群管理员分配的群证书;当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;将所述数字证书及CA的公钥发送给所述用户节点。该方法实现了对证书授权机构CA身份信息的隐藏,增强了对交易隐私的保护。
Description
技术领域
本发明涉及交易验证领域,特别是涉及对区块链中用户节点进行身份认证和确认的方法及装置。
背景技术
在区块链中,用户节点之间进行交易时,会使用由CA颁发的数字证书来证明自己的身份。在这个过程中,即使用户节点的身份信息是被保护的,但由于所有交易在整个区块链上都是公开的,因此,任何人都可以通过交易中的数字证书来确定一特定CA为哪些用户颁发了数字证书,由此可以进一步推测出:所述CA的客户数量的规模大小;由同一CA颁发数字证书的用户节点间存在着一定联系,可以进一步获取隐藏的信息.....在这种情况下,敏感信息遭到泄露,对于用户节点、CA都存在着不小的威胁。
发明内容
基于此,为解决相关技术中如何从技术层面上实现对区块链中用户节点的证书授权机构身份进行隐藏所面临的技术问题,本发明提供了一种对区块链中用户节点进行身份认证和确认的方法及装置。
第一方面,提供了一种对区块链中用户节点进行身份认证的方法,包括:
获取由CA群管理员分配的群证书;
当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
将所述数字证书及CA的公钥发送给所述用户节点。
在本公开的一示例性实施例中,所述获取由CA群管理员分配的群证书之前,包括:将CA的公钥、拥有对应的私钥的证明信息以及CA的具体身份信息发送给所述CA群管理员,注册为CA群的合法成员。
在本公开的一示例性实施例中,所述当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥后,还包括:如果CA数据库中不存在有效的所述用户节点的身份标识信息,则拒绝所述用户节点的认证请求,并向所述用户节点返回要求其向所述CA进行注册的信息。
根据本公开的第二方面,提供了一种对区块链中用户节点进行身份确认的方法,包括:
获取由CA群管理员公开的群公钥;
当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书;
使用所述群公钥,确认所述CA的群证书的合法性;
确认所述用户节点的身份信息。
在本公开的一示例性实施例中,所述使用所述群公钥,确认所述CA的群证书的合法性,包括:如果使用所述群公钥能够正确解密所述CA群证书,则确定所述CA群证书是合法的。
在本公开的一示例性实施例中,所述确认所述用户节点的身份信息,包括:将解密后得到的所述数字证书中包含的身份标识信息及公钥,确认为所述用户节点的身份标识信息及所述用户节点的公钥。
根据本公开的第三方面,提供了一种对区块链中用户节点进行身份认证的装置,包括:
第一获取模块,用于获取由CA群管理员分配的群证书;
第二获取模块,用于当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
数字证书生成模块,用于基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
发送模块,将所述数字证书及CA的公钥发送给所述用户节点。
根据本公开的第四方面,提供了一种对区块链中用户节点进行身份确认的装置,包括:
第一获取模块,用于获取由CA群管理员公开的群公钥;
第二获取模块,用于当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
解密模块,用于基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书;
第一确认模块,用于使用所述群公钥,确认所述CA的群证书的合法性;
第二确认模块,用于确认所述用户节点的身份信息。
根据本公开的第五方面,提供了一种对区块链中用户节点进行身份认证或者对区块链中用户节点进行身份确认的电子设备,包括:
存储器,配置为存储可执行指令;
处理器,配置为执行存储器中存储的可执行指令,以实现所述对区块链中用户节点进行身份认证或者所述对区块链中用户节点进行身份确认的方法。
根据本公开的第六方面,提供了一种计算机可读存储介质,其存储有计算机程序指令,当所述计算机指令被计算机执行时,使计算机执行所述对区块链中用户节点进行身份认证或者所述对区块链中用户节点进行身份确认的方法。
与传统技术中可通过用户节点的数字证书、确认为用户节点颁发数字证书的CA的身份信息相比,本公开的实施例通过引入群证书,使得CA在对用户节点进行身份认证的同时,实现了对CA身份信息的隐藏。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
图1示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证的流程图。
图2示出根据本公开一示例实施方式的对区块链中用户节点进行身份确认的流程图。
图3示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证的装置的方框图。
图4示出根据本公开一示例实施方式的对区块链中用户节点进行身份确认的装置的方框图。
图5示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证的系统架构图。
图6示出根据本公开一示例实施方式的对区块链中用户节点进行身份确认的系统架构图。
图7示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证或者对区块链中用户节点进行身份确认的电子设备图。
图8示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证或者对区块链中用户节点进行身份确认的计算机可读存储介质图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本公开的目的在于从技术方面实现对区块链中用户节点的证书授权机构身份进行隐藏。根据本公开一个实施例的对区块链中用户节点进行身份认证的方法,包括:获取由CA群管理员分配的群证书;当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;将所述数字证书及CA的公钥发送给所述用户节点。与传统技术中可通过用户节点的数字证书、确认为用户节点颁发数字证书的CA的身份信息相比,本公开的实施例通过引入群证书,使得CA在对用户节点进行身份认证的同时,实现了对CA身份信息的隐藏。
图1示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证的流程图:
步骤S100:获取由CA群管理员分配的群证书;
步骤S110:当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
步骤S120:基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
步骤S130:将所述数字证书及CA的公钥发送给所述用户节点。
下面,将结合附图对本示例实施方式中上述对区块链中用户节点进行身份认证的各步骤进行详细的解释以及说明。
在步骤S100中,获取由CA群管理员分配的群证书。
CA群管理员是指由多个CA组成的群的管理员,所述CA群管理员的作用在于认证CA群中每个CA的合法身份,并向CA群中的每个CA分配对应的、用于证明所述CA属于可信CA群的群证书。
通过这种方法,使得CA能够根据群证书证明自身属于一可信组织,同时不暴露自身的具体身份信息。
在一实施例中,所述获取由CA群管理员分配的群证书之前,包括:将CA 的公钥、拥有对应私钥的证明以及CA的具体身份信息发送给所述CA群管理员,注册为CA群的合法成员。即,相当于CA向CA群管理员说:“我是一证书授权机构,我的具体身份信息是xxx,我的公钥是xxx,同时我能证明我确实拥有对应的私钥。”这样,CA群管理员就能确认所述CA是合法的、有资质向用户颁发数字证书的机构。
然后,所述CA群管理员使用群私钥,对已经注册为CA群成员的各所述 CA的公钥以及所述CA拥有对应的私钥的证明信息进行加密,生成对应的群证书,并发送给所述CA。其中,群私钥只对CA群管理员公开,CA群管理员使用群私钥生成对应CA的群证书;同时,群公钥向所有人公开,其他人可以通过群公钥对CA群中一CA的群证书进行验证,从而能够确认所述CA是可信的,但却无法得知所述CA的具体身份信息。
例如:一CA成功注册为CA群成员,并获取由CA群管理员分配给它的群证书。所述群证书的作用相当于在说:“这是一个属于本CA群的可信CA,所述CA的公钥是xxx。”这样,其他用户就能根据所述群证书验证所述CA的合法性。
在步骤S110中,当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥。
通过这种方法,使得CA能够对所述用户节点进行数字证书的生成。
在一实施例中,所述当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥后,还包括:如果所述CA数据库中不存在有效的所述用户节点的身份标识信息,则拒绝所述用户节点的认证请求,并向所述用户节点返回要求其向所述CA进行注册的信息。如果用户节点请求CA对其进行认证的话,CA一定要确认用户节点的身份信息才能进行认证。因此,如果CA数据库中没有所述用户节点的身份信息、或者所述用户节点的身份信息已失效,CA就会拒绝所述用户节点的认证请求,并要求所述用户节点向 CA完成注册后才能对其进行认证。
在步骤S120中,基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书。
预定的加密算法是指预先于区块链协议中确定的、对密钥管理的加密算法。
通过这种方法,使得CA生成了对用户节点的数字证书,即实现了对用户节点的身份认证。
在步骤S130中,将所述数字证书及CA的公钥发送给所述用户节点。
通过这种方法,使得其他用户节点能够根据所述CA的公钥对所述用户节点的数字证书进行解密,从而能够进一步实现对所述用户节点的身份认证。
在一实施例中,CA将数字证书与CA的公钥一起发送给所述用户节点。这样,所述用户节点就能通过将数字证书与CA的公钥一起公开,来证明自己的合法身份。
图2示出根据本公开一示例实施方式的对区块链中用户节点进行身份确认的流程图:
步骤S200:获取由CA群管理员公开的群公钥;
步骤S210:当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
步骤S220:基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书;
步骤S230:使用所述群公钥,确认所述CA的群证书的合法性;
步骤S240:确认所述用户节点的身份信息。
下面,将结合附图对本示例实施方式中上述对区块链中用户节点进行身份确认的各步骤进行详细的解释以及说明。
在步骤S200中,获取由CA群管理员公开的群公钥。
群公钥由CA群管理员在区块链上进行公开。
在一实施例中,用户节点间进行信息传递时,需要确认彼此身份的合法与否,这时就需要对对方的数字证书进行验证。而用来验证数字证书是通过对数字证书中的群证书进行确认来完成的,而对群证书进行确认需要使用群公钥、对所述群证书进行解密,从而完成验证。因此,用户节点为了实现彼此间的身份确认,首先要确保群公钥的获取。
在步骤S210中,当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥。
通过这种方法,使得能够基于所述数字证书以及对应的CA的公钥,对所述用户节点进行身份确认。
在一实施例中,用户节点B向用户节点D发送了交易请求,为了向用户节点D说明自己的身份、并使用户节点B相信自己是可信的,用户节点B将自己的数字证书、以及为自己颁发数字证书的CA的公钥发送给用户节点D,从而希望能够根据这些信息证明自己的身份是可信的。
在步骤S220中,基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书。
通过这种方法,使得能够基于所述CA的群证书,对为所述用户节点进行身份认证的CA的合法性进行确认。
在一实施例中,用户节点D接收到用户节点B发来的数字证书以及对应的 CA的公钥,这时,数字证书是密文状态。因此,用户节点D使用所述CA的公钥对数字证书进行解密,从而能够确认数字证书的明文内容:“本数字证书的所有人的身份信息为xxx;本数字证书的所有人的公钥是xxx;颁发本数字证书的是:‘群证书’。”其中,群证书用于证明颁发所述数字证书的CA属于所述群证书对应的CA群,是一个可信的CA,但具体是哪一个CA无从得知。在这时,群证书是密文状态,需要使用群公钥对其解密,才能确认所述群证书是否合法。
在步骤S230中,使用所述群公钥,确认所述CA的群证书的合法性。
通过确认CA的群证书的合法性,才能对用户节点进行身份确认。
在一实施例中,所述使用所述群公钥,确认所述CA的群证书的合法性,包括:如果使用所述群公钥能够正确解密所述CA群证书,则证明所述CA群证书是合法的。能够使用群公钥正确解密所述CA群证书,则说明所述CA群证书一定是使用群私钥进行加密的。而群私钥只对CA群管理员公开,因此,说明了所述CA群证书是由CA群管理员对对应的CA颁发的,即,所述CA是合法、可信的。
在一实施例中,使用所述群公钥对所述CA群证书正确解密后,从而能够确认所述CA群证书的明文内容:“本群证书的所有者是一合法可信的CA,属于本CA群;本群证书的所有者的公钥是xxx。”这样,使得验证所述群证书的用户无法得知所述CA的具体信息,却能够确认所述CA是合法可信的。同时,由于所述CA向CA群管理员进行注册时,提供了自己的身份标识信息及公钥,因此,如果有必要的话,CA群管理员可以根据群证书中的公钥信息,确认对应 CA的身份标识信息。即,所述CA的身份信息只有CA群管理员能够进行追踪。
在步骤S240中,确认所述用户节点的身份信息。
通过此步骤,完成了对所述用户节点的身份信息的确认。
在一实施例中,确认所述用户节点的身份信息,包括:将解密后得到的所述数字证书中、包含的身份标识信息及公钥,确认为所述用户节点的身份标识信息及所述用户节点的公钥。
在一实施例中,经确认,群证书是合法的,即说明对应的所述数字证书是由一可信CA版发的,因此,所述数字证书也是合法可信的,说明所述数字证书对所述用户节点的身份信息证明也是可信的。因此,将将解密后得到的所述数字证书中、包含的身份标识信息及公钥,确认为所述用户节点的身份标识信息及所述用户节点的公钥。
本公开还提供了一种对区块链中用户节点进行身份认证的装置。如图3所示,所述对区块链中用户节点进行身份认证的装置包括:
第一获取模块310,用于获取由CA群管理员分配的群证书;
第二获取模块320,用于当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
数字证书生成模块330,用于基于预定的加密算法,使用CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
发送模块340,将所述数字证书及CA的公钥发送给所述用户节点。
上述对区块链中用户节点进行身份认证的装置中各模块的具体细节已经在对应的方法中进行了详细的描述,因此此处不再赘述。
本公开还提供了一种对区块链中用户节点进行身份确认的装置。如图4所示,所示对区块链中用户节点进行身份确认的装置包括:
第一获取模块410,用于获取由CA群管理员公开的群公钥;
第二获取模块620,用于当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
解密模块630,用于基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书;
第一确认模块440,用于使用所述群公钥,确认所述CA的群证书的合法性;
第二确认模块450,用于确认所述用户节点的身份信息。
上述对区块链中用户节点进行身份确认的装置中各模块的具体细节已经在对应的方法中进行了详细的描述,因此此次不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照所述特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,所述软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
图5示出根据本公开一示例实施方式的对区块链中用户节点进行身份认证的系统架构图。所述系统架构包括:CA群管理员510、CA520、用户530。
在一实施例中,CA520向CA群管理员530进行注册,CA群管理员530发送给CA520为其分配的群证书。当接收到一用户530发送的认证请求,CA520 在对用户530的身份验证通过后,基于群证书生成对所述用户530的数字证书,并将所述数字证书发送给所述用户530。
通过以上对系统架构的描述,本领域的技术人员易于理解,这里描述的系统架构能够实现图3所示的对区块链中用户节点进行身份认证的装置中各个模块的功能。
图6示出根据本公开一示例实施方式的对区块链中用户节点进行身份确认的系统架构图。所述系统架构包括:CA群管理员510、用户530。
在一实施例中,CA群管理员510向所有用户530公开CA群的群公钥。一用户当接收到另一用户的交易请求,接收了另一用户的数字证书及对应CA的公钥。用户基于所述CA的公钥,对数字证书进行解密,再基于所述群公钥,对解密后的数字证书中的群证书进行解密,从而验证群证书的合法与否,再确定出数字证书是否合法,从而最终确定另一用户的身份信息。
通过以上对系统架构的描述,本领域的技术人员易于理解,这里描述的系统架构能够实现图4所示的对区块链中用户节点进行身份确认的装置中各个模块的功能。
在本公开的示例性实施例中,还提供了一种能够实现对区块链中用户节点进行身份认证方法或者对区块链中用户节点进行身份确认方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图7来描述根据本发明的这种实施方式的电子设备600。图7显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元 620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元 610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示步骤S100:获取由CA群管理员分配的群证书;步骤S110:当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;步骤S120:基于预定的加密算法,使用所述CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;步骤S130:将所述数字证书及所述CA的公钥发送给所述用户节点。或者,所述处理单元610可以执行如图2中所示步骤 S200:获取由CA群管理员公开的群公钥;步骤S210:当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;步骤S220:基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书;步骤S230:使用所述群公钥,确认所述CA的群证书的合法性;步骤S240:确认所述用户节点的身份信息。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出 (I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
参考图8所示,描述了根据本发明的实施方式的用于实现对区块链中用户节点进行身份认证的方法或者对区块链中用户节点进行身份确认的方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++ 等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (10)
1.一种对区块链中用户节点进行身份认证的方法,其特征在于,包括:
获取由CA群管理员分配的群证书,其中,所述群证书是由所述CA群管理员使用群私钥,对CA的公钥以及拥有对应的私钥的证明信息进行加密生成的;
当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
基于预定的加密算法,使用所述CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
将所述数字证书及所述CA的公钥发送给所述用户节点。
2.根据权利要求1所述的方法,其特征在于,所述获取由CA群管理员分配的群证书之前,包括:
将所述CA的公钥、所述拥有对应的私钥的证明信息以及所述CA的具体身份信息发送给所述CA群管理员,注册为CA群的合法成员。
3.根据权利要求1所述的方法,其特征在于,所述当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥后,所述方法还包括:
如果CA数据库中不存在有效的所述用户节点的身份标识信息,则拒绝所述用户节点的认证请求,并向所述用户节点返回要求其向所述CA进行注册的信息。
4.一种对区块链中用户节点进行身份确认的方法,其特征在于,包括:
获取由CA群管理员公开的群公钥;
当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书,其中,所述群证书是由所述CA群管理员使用群私钥,对所述CA的公钥以及拥有对应的私钥的证明信息进行加密生成的;
使用所述群公钥,确认所述CA的群证书的合法性;
确认所述用户节点的身份信息。
5.根据权利要求4所述的方法,其特征在于,所述使用所述群公钥,确认所述CA的群证书的合法性,包括:
如果使用所述群公钥能够正确解密所述CA群证书,则确定所述CA群证书是合法的。
6.根据权利要求4所述的方法,其特征在于,所述确认所述用户节点的身份信息,包括:
将解密后得到的所述数字证书中包含的身份标识信息及公钥,确认为所述用户节点的身份标识信息及所述用户节点的公钥。
7.一种对区块链中用户节点进行身份认证的装置,其特征在于,包括:
第一获取模块,用于获取由CA群管理员分配的群证书,其中,所述群证书是由所述CA群管理员使用群私钥,对CA的公钥以及拥有对应的私钥的证明信息进行加密生成的;
第二获取模块,用于当接收到区块链中一用户节点的认证请求,获取所述用户节点的身份标识信息及所述用户节点的公钥;
数字证书生成模块,用于基于预定的加密算法,使用所述CA的私钥,对所述群证书、所述用户节点的身份标识信息及所述用户节点的公钥进行加密,生成对所述用户节点的数字证书;
发送模块,将所述数字证书及所述CA的公钥发送给所述用户节点。
8.一种对区块链中用户节点进行身份确认的装置,其特征在于,包括:
第一获取模块,用于获取由CA群管理员公开的群公钥;
第二获取模块,用于当接收到一用户节点的交易请求,获取所述用户节点的数字证书以及对应的CA的公钥;
解密模块,用于基于预定的解密算法,使用所述CA的公钥,对所述数字证书进行解密,获取所述CA的群证书,其中,所述群证书是由所述CA群管理员使用群私钥,对所述CA的公钥以及拥有对应的私钥的证明信息进行加密生成的;
第一确认模块,用于使用所述群公钥,确认所述CA的群证书的合法性;
第二确认模块,用于确认所述用户节点的身份信息。
9.一种对区块链中用户节点进行身份认证或者对区块链中用户节点进行身份确认的电子设备,其特征在于,包括:
存储器,配置为存储可执行指令;
处理器,配置为执行存储器中存储的可执行指令,以实现根据权利要求1-3中任一个所述的方法或权利要求4-6中任一个所述的方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行根据权利要求1-3中任一个所述的方法或权利要求4-6中任一个所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910195292.1A CN110061846B (zh) | 2019-03-14 | 2019-03-14 | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910195292.1A CN110061846B (zh) | 2019-03-14 | 2019-03-14 | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110061846A CN110061846A (zh) | 2019-07-26 |
CN110061846B true CN110061846B (zh) | 2022-08-23 |
Family
ID=67316954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910195292.1A Active CN110061846B (zh) | 2019-03-14 | 2019-03-14 | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110061846B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110636051B (zh) * | 2019-08-29 | 2022-04-15 | 中芯昊月(深圳)科技控股有限公司 | 一种基于多用户ca数字证书的区块链交易方法 |
CN110611569B (zh) * | 2019-09-24 | 2022-06-14 | 腾讯科技(深圳)有限公司 | 一种认证方法及相关设备 |
CN110705985B (zh) * | 2019-10-21 | 2020-09-29 | 北京海益同展信息科技有限公司 | 用于存储信息的方法和装置 |
CN110752934B (zh) * | 2019-10-28 | 2022-09-06 | 江苏大周基业智能科技有限公司 | 拓扑结构下网络身份交互认证的方法 |
CN110912892B (zh) * | 2019-11-22 | 2021-05-11 | 腾讯科技(深圳)有限公司 | 一种证书管理方法、装置、电子设备及存储介质 |
CN111131318B (zh) * | 2019-12-31 | 2023-03-28 | 南京金宁汇科技有限公司 | 一种去中心化的密钥管理分发方法、系统及存储介质 |
CN111985923A (zh) * | 2020-09-03 | 2020-11-24 | 深圳壹账通智能科技有限公司 | 一种数据处理方法、装置、设备以及存储介质 |
CN112328686A (zh) * | 2020-11-05 | 2021-02-05 | 深圳壹账通智能科技有限公司 | 一种基于数字证书的区块链节点共享方法及其相关产品 |
CN112668053B (zh) * | 2021-01-05 | 2024-05-03 | 上海零数众合信息科技有限公司 | 一种区块链基于伪随机公钥的加密方法 |
CN113240418B (zh) * | 2021-04-23 | 2024-01-12 | 上海和数软件有限公司 | 基于区块链的隐私数据智能访问控制方法和设备 |
CN113221136B (zh) * | 2021-04-25 | 2024-04-12 | 亿海蓝(北京)数据技术股份公司 | Ais数据传输方法、装置、电子设备和存储介质 |
CN113704732A (zh) * | 2021-06-02 | 2021-11-26 | 吉林无罔生物识别科技有限公司 | 一种用户身份的验证方法、装置以及电子设备 |
CN113572616B (zh) * | 2021-06-25 | 2024-06-28 | 华能招标有限公司 | 基于分布式的招投标平台认证方法、装置及相关设备 |
CN114168924B (zh) * | 2022-02-10 | 2022-07-12 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群成员相互认证的方法和系统 |
CN114172747B (zh) * | 2022-02-10 | 2022-07-12 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群成员获得认证证书的方法和系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA3008705C (en) * | 2015-12-14 | 2020-03-10 | Coinplug, Inc. | System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same |
CN106789090B (zh) * | 2017-02-24 | 2019-12-24 | 陈晶 | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 |
CN109150539A (zh) * | 2018-07-24 | 2019-01-04 | 深圳前海益链网络科技有限公司 | 一种基于区块链的分布式ca认证系统、方法及装置 |
CN109003083A (zh) * | 2018-07-27 | 2018-12-14 | 山东渔翁信息技术股份有限公司 | 一种基于区块链的ca认证方法、装置及电子设备 |
-
2019
- 2019-03-14 CN CN201910195292.1A patent/CN110061846B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN110061846A (zh) | 2019-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110061846B (zh) | 对区块链中用户节点进行身份认证和确认的方法、装置及计算机可读存储介质 | |
US11924358B2 (en) | Method for issuing digital certificate, digital certificate issuing center, and medium | |
US10484172B2 (en) | Secure circuit for encryption key generation | |
CN111708991B (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
US7526649B2 (en) | Session key exchange | |
WO2011056321A2 (en) | Key certification in one round trip | |
US11546159B2 (en) | Long-lasting refresh tokens in self-contained format | |
CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN110708162B (zh) | 资源的获取方法、装置、计算机可读介质及电子设备 | |
CN103560887A (zh) | 智能终端远程证明方法和系统 | |
KR20120080283A (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN116633522A (zh) | 一种基于区块链的两方隐私求交方法及系统 | |
CN117807567A (zh) | 一种软件功能授权方法及装置 | |
CN116561820B (zh) | 可信数据处理方法及相关装置 | |
CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
CN116015900B (zh) | 数据自存储自验证方法、装置、设备及存储介质 | |
CN115766294B (zh) | 云服务器资源认证处理方法、装置、设备及存储介质 | |
KR102056612B1 (ko) | 임시 익명 인증서 생성 방법 | |
JP2009212625A (ja) | 会員認証システム及び携帯端末装置 | |
CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 | |
CN110719174A (zh) | 基于Ukey的证书签发方法、相关装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 201, room 518000, building A, No. 1, front Bay Road, Qianhai Shenzhen Guangdong Shenzhen Hong Kong cooperation zone (Qianhai business secretary) Applicant after: ONECONNECT FINANCIAL TECHNOLOGY Co.,Ltd. (SHANGHAI) Address before: 518000 Guangdong city of Shenzhen province Qianhai Shenzhen Hong Kong cooperation zone before Bay Road No. 1 building 201 room A Applicant before: ONECONNECT FINANCIAL TECHNOLOGY Co.,Ltd. (SHANGHAI) |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |