CN110061851A - 一种去中心化的跨信任域认证方法及系统 - Google Patents
一种去中心化的跨信任域认证方法及系统 Download PDFInfo
- Publication number
- CN110061851A CN110061851A CN201910351272.9A CN201910351272A CN110061851A CN 110061851 A CN110061851 A CN 110061851A CN 201910351272 A CN201910351272 A CN 201910351272A CN 110061851 A CN110061851 A CN 110061851A
- Authority
- CN
- China
- Prior art keywords
- certificate
- domain
- user
- block chain
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种去中心化的跨信任域认证方法及系统,该方法包括如下步骤:步骤S1,在联盟链的基础上构建区块链网络,将各个信任域的根CA设为区块链的验证节点,联盟链中存储着所有根CA共识的数字证书的哈希值;步骤S2,所述区块链网络中的各用户向信任域内的根CA申请、更新或注销区块链证书;步骤S3,当用户进行跨信任域认证时,将区块链中存储的用户哈希值和认证时用户提供的证书哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求,通过本发明,可解决传统跨信任域认证模型的管理、去中心化和维护方面的问题。
Description
技术领域
本发明涉及身份认证技术领域,特别是涉及一种去中心化的跨信任域认证方法及系统。
背景技术
身份认证是实现可信任网络的基础支撑技术,其基本思想是基于特定密码算法,为用户产生唯一的、防伪造、防篡改的数字标识信息,当用户需要表明身份时,向认证方出示该标识信息,由认证方对标识信息进行真实性和完整性判定,该过程即身份认证过程。
PKI身份认证技术是目前互联网环境下普遍使用的身份认证技术,用户通过数字证书来标识自己的身份。然而,在不同的互联网应用领域,需要建设各自独立的PKI体系,不同PKI体系的CA根证书各不相同,分别负责本信任域的用户身份认证。当不属于本信任域的用户需要访问本域资源时,需要重新申请新的身份,否则无法通过身份认证。这种认证管理模式严重阻碍了不同应用之间的跨域访问,现有解决方案主要包括:交叉认证和CA白名单的方式。
基于交叉认证的互信技术是通过CA之间互相签发交叉证书的方式来实现的,为交叉认证而签发的证书成为交叉证书。交叉认证的优点是适用于少数CA间的互信交互认,并且证书的不能太复杂。因此基于交叉认证的局限性是不适用于数量多的CA证书间的互信互人,如果通过交叉认证的方式实现交叉认证,则需要签发的证书的数量将会指数增长。CA白名单方式则是将能够互信任的CA加入彼此的白名单列表,只有被白名单包含的CA才能相互信任,这种方式对白名单缺乏保护机制,存在安全隐患。
此外,上述方式都是一种中心化认证方式,而在实际应用过程中,往往缺乏一个具有公信力的可信任第三方。因此,迫切需要一种去中心化的跨域认证方法。
发明内容
为克服上述现有技术存在的不足,本发明之目的在于提供一种去中心化的跨信任域认证方法及系统,以解决传统跨域认证模型在管理、去中心化、维护方面的问题。
为达上述目的,本发明基于区块链技术提出一种去中心化的跨信任域认证方法,包括如下步骤:
步骤S1,在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,联盟链中存储着所有根CA共识的数字证书的哈希值;
步骤S2,所述区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书;
步骤S3,当用户进行跨域认证时,将区块链中存储的用户哈希值和认证时用户提供的证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
优选地,于步骤S1中,所述区块链网络中的每个区块包含区块头和区块体,所述区块头包括但不限于父区块哈希,时间戳,Merkle树根和其他信息,所述区块体存储的信息包括但不限于数字证书的证书哈希值、证书状态信息、证书所有者信息以及证书签名,所述证书所有者信息包括但不限于公钥信息、身份备注信息。
优选地,于步骤S2中,该区块链的证书申请步骤进一步包括:
步骤S200,用户在本地生成区块链证书,并向域内的根CA发送区块链证书申请消息,其中申请消息中包括但不限于消息类型,证书哈希,证书拥有者证明信息,证书拥有者对证书的私钥签名;
步骤S201,所述根CA于收到域内用户的区块链证书申请后,检测申请消息的真实性和完整性,于验证通过后对证书进行签发。
优选地,于步骤S201中,所述根CA首先判断该申请消息的类型,若该消息为证书申请,则根据申请消息中的证书哈希值在区块链网络中查询该证书是否被注册过,如果该哈希值已经在区块链中存在,则丢弃用户的请求;若该证书在区块链中不存在,则验证用户提交的证书身份信息的合法性,在根据证书中的公钥验证证书的签名信息,验证证书是否被篡改;于验证用户证书的真实性和完整性后,根CA将所有当前未纳入区块链中的合法证书的哈希值及状态信息,利用共识算法生成一个新的区块,并向区块链网络中发布该区块,由区块链网络中的其他节点验证该区块的正确性,如果正确,则记录到本地区块链记录中,否则将该区块丢弃。
优选地,于步骤S2中,所述区块链的证书更新步骤进一步包括:首先,用户在本地生成一个新的证书,新证书对应一对新的秘钥;然后用户向根CA提交证书更新请求,向根CA发送旧的证书哈希值、新的证书信息、旧的公钥对新的证书的签名和新的公钥对新证书的签名;根CA对证书更新请求验证检查无误后,将新的证书记录发布到区块链网络中。
优选地,所述证书更新步骤如下:
用户在本地生成新的证书;
用户向根CA发送更新证书记录请求;
根CA进行如下检查和验证:
a.根据消息中的证书哈希值在区块链中查找该证书是否存在记录;
b.验证证书的格式是否正确,验证用户的证明信息是否正确;
c.验证ver(pkold,σ1)是否为1,其中ver是验证函数,pkold是旧公钥,σ1是用旧私钥对新证书的签名;
d.验证ver(pknew,σ2)是否为1,其中ver是验证函数,pknew是新公钥,σ2是用新私钥对新证书的签名;
如果上述任何一项验证失败,则返回验证失败结果给用户,否则,根CA执行如下操作:
生成两条记录,其中一条记录中包含旧的证书哈希值θold和状态信息revocation,另一条记录包含新的证书哈希值θnew和状态信息Issuance;
根CA将所有未处理的合法证书信息用共识算法生成一个区块,并发布到区块链网络中;
网络中的其他节点收到新的区块后对每条记录进行验证,如果每条记录都正确,则将其加入到本地的区块链中,否则丢弃该区块。
优选地,所述区块链的证书注销步骤进一步包括:
用户向根CA发送注销请求,将消息类型改为revocation;
根CA检测用户请求的数据无误后,生成证书哈希和状态信息revocation记录,并与其他为纳入区块中的合法证书信息用共识算法生成区块后,发布到区块链网络;
其他节点检测无误后加入到本地区块链记录中,否则丢弃该区块。
优选地,步骤S3进一步包括:
步骤S300,A域用户向B域认证服务器发起跨域认请求;
步骤S301,B域认证服务器向A域用户发送用于挑战验证的随机数N;
步骤S302,A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
步骤S303,B域认证服务器用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,如果证书记录存在并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
为达到上述目的,上述方法在实现过程中,还实现了包括如下功能单元的系统,包括:
区域链网络构建单元,用于在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,于联盟链中存储所有根CA共识的数字证书的哈希值;
区块链证书生成单元,用于提供区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书;
跨域认证单元,用于于用户进行跨域认证时,于跨域认证服务器将区块链中存储的用户的哈希值和认证时用户提供的证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
优选地,所述跨域认证单元具体用于:
由A域用户向B域认证服务器发起跨域认请求;
B域认证服务器向A域用户发送用于挑战验证的随机数N;
A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
B域认证服务器利用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,若证书记录存在并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
与现有技术相比,本发明提出一种去中心化的跨信任域认证方法及系统通过采用联盟链设计构建区块链网络,将各个域的根CA设为区块链的验证节点,只有经过授权的根CA才能加入这个区块链网络,联盟链中存储着所有根CA共识的数字证书的哈希值,当用户进行跨域认证时,只需将区块链中存储的用户的哈希值和认证时用户提供证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求,实现了一种去中心化的多域跨域认证模型,解决了传统跨域认证模型的管理、去中心化、维护方面的问题。
附图说明
图1为本发明提出的去中心化的跨信任域认证方法的步骤流程图;
图2为本发明提出的去中心化的跨域认证系统的系统架构图;
图3为本发明具体实施例中跨域认证过程的示意图。
具体实施方式
以下通过特定的具体实例并结合附图说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离本发明的精神下进行各种修饰与变更。
在介绍本发明之前,先简单介绍一下区块链的相关技术:
区块链是由包含交易信息的区块按照时间顺序有序链接起来的数据结构,区块被从后向前有序地链接在这个链条里,每个区块都指向前一个区块。
(1)区块结构
区块是一种被包含在区块链里的聚合交易信息的数据结构。它由一个包含元数据结构的区块头和区块体组成。在本发明具体实施例中,区块头是80字节,而平均每个交易至少是250字节,而且平均每个区块至少包含超过500个交易。
区块头由三组区块元数据组成,首先是一组用父区块哈希值的数据,这组数据用于将该区块与区块链中前一区块相连接;第二组数据,即难度、时间戳和nonce,与挖矿竞争相关;第三组元数据是Merkle树根,用来有效地总结区块中所有交易的数据结构。区块体包含自区块创建以来的生存区块期间所有的交易数据。
(2)区块链技术特点
1、去中心化:去中心化区块链数据的存储、传输、验证等过程均基于分布式的系统结构,整个网络中不依赖一个没有中心化的硬件或管理机构。作为区块链一种部署模式,公共链网络中所有参与的节点都可以具有同等的权利和义务。
2、分布式存储:可靠数据库区块链系统的数据库采用分布式存储,任一参与节点都可以拥有一份完整的数据库拷贝。除非能控制系统中超过一半以上的算力,否则在节点上对数据库的修改都将是无效的。参与系统的节点越多,数据库的安全性就越高。并且区块链数据的存储还带有时间戳,从而为数据添加了时间维度,具有极高的可追溯性。
3、集体维护:集体维护系统中的数据块由整个系统中所有具有记账功能的节点来共同维护,任一节点的损坏或失去都不会影响整个系统的运作。
4、不易篡改:安全可信区块链技术采用非对称密码学原理对交易进行签名,使得交易不能被伪造;同时利用哈希算法保证交易数据不能被轻易篡改,最后借助分布式系统各节点的工作量证明等共识算法形成强大的算力来抵御破坏者的攻击,保证区块链中的区块以及区块内的交易数据不可篡改和不可伪造,因此具有极高的安全性。
为了描述方便,对本发明涉及的如下的符号先进行如下描述:
sig(sk,μ)→σ:用私钥sk对消息μ进行签名得到σ,
Hash(μ)→θ:将消息μ进行哈希运算得到θ,
A→B:m:实体A向实体B发送消息m,
Func_Gen()→Bcert:函数Func_Gen()生成区块链证书Bcert,
ver(pk,σ,μ)→b∈{0,1}:函数ver()用公钥pk验证消息μ的签名σ是否正确,如果正确则为0,否则为1。
图1为本发明一种去中心化的跨信任域认证方法的步骤流程图。如图1所示,本发明一种去中心化的跨信任域认证方法,包括如下步骤:
步骤S1,在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,联盟链中存储着所有根CA共识的数字证书的哈希值。
数字证书是一种由权威机构颁发的、用于在网络上证明用户身份的证明文件,颁发数字证书的过程也可以称为认证授权(Certification Authority,简称CA)过程。传统的证书颁发体系包括根CA以及根CA下属的多级CA,其中,根CA是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书,根CA通过自签名生成证书,不需要由其它CA机构为其颁发证书。
在本发明具体实施例中,区块链网络构建在联盟链的基础上构建,经过授权后的各个域的根CA作为验证节点加入到联盟链中,如果该域不在需要跨域认证或者该域不在被信任,则撤销该域的跨域认证授权。每个区块包含区块头和区块体组成:
区块头:区块头包含父区块哈希,时间戳,Merkle树根和其他信息(其中其他信息因共识算法而不同),这和其他的区块链结构相似。
区块体:因为区块链的存储空间和带宽有限,网络中的每个节点都存储着区块链网中数据的副本。如果将整个数字证书存储在区块链中,则区块链的空间和长度将会迅速增长,不利于存储和使用。因此,在本发明中,仅将证书哈希值、证书状态信息存储在区块链中,证书哈希值为了验证证书的完整性和标识符,证书的状态信息记录证书的现在状态包括签发,注销。
步骤S2,区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书。
在本发明中,区块链证书的格式和传统数字证书的格式相同,符合X.509标准,只是将证书的扩张字段中添加一个区块链标识,与传统的数字证书相区分。
具体地,于步骤S2中,区块链的证书申请步骤进一步包括:
步骤S200,用户在本地生成区块链证书,并向域内的根CA发送区块链证书申请消息,其中申请消息中包括但不限于消息类型,证书哈希,证书拥有者信息(公钥信息、身份备注信息),证书拥有者对证书的私钥签名。具体地:
用户在本地生成区块链证书:Func_Gen()→Bcert
用户向根CA发送区块链证书申请:User→CA:(application,Bcert,θ,info,σ)
其中,application是消息的类型,Bcert是区块链证书,θ是区块链证书的哈希值,info是用户身份的证明信息,σ=sig(sk,Hash(info||Bcert)),是用户私钥sk对证明信息info和证书Bcert的哈希值的签名,σ确保info和Bcert的真实性和完整性。
步骤S201,根CA于收到域内用户的区块链证书申请后,检测申请消息的真实性和完整性,于验证通过后对证书进行签发。
具体地,根CA首先判断该申请消息的类型,若该消息为证书申请,则根据申请消息中的证书哈希值在区块链网络中查询该证书是否被注册过,如果该哈希值已经在区块链中存在,则丢弃用户的请求;若该证书在区块链中不存在,则验证用户提交的证书身份信息的合法性,在根据证书中的公钥验证证书的签名信息,验证证书是否被篡改;于验证用户证书的真实性和完整性后,根CA将所有当前未纳入区块链中的合法证书的哈希值及状态信息,利用共识算法生成一个新的区块,并向区块链网络中发布该区块,由区块链网络中的其他节点验证该区块的正确性,如果正确,则记录到本地区块链记录中,否则将该区块丢弃。具体过程如下:
根CA执行如下的验证过程:
a.根据消息中的证书哈希值在区块链中查找该证书是否存在记录;
b.验证证书的格式是否正确,验证用户的证明信息是否正确;
c.验证ver(pk,σ)是否为1;
如果上述任一项验证失败,则根CA返回“ERROR”和错误的原因给用户;否则根CA则执行如下操作:
将所有正确的未纳入区块的合法证书信息用共识算法生成一个新的区块,其中区块的每条记录存储着证书哈希值,状态信息;
将该区块发布到区块链网络中
其他CA节点收到新的区块后,验证区块中每条记录的正确性,如果所有的记录都正确,则将该区块添加到本地区块链中。否则,将该区块丢弃。
于步骤S2中,区块链的证书更新步骤进一步包括:首先,用户在本地生成一个新的证书,新证书对应一对新的秘钥;然后用户向根CA提交证书更新请求,向根CA发送旧的证书哈希值、新的证书信息、旧的公钥对新的证书的签名和新的公钥对新证书的签名;根CA对证书更新请求验证检查无误后,将新的证书记录发布到区块链网络中,具体的验证过程与步骤S201相同。具体地,证书更新过程如下:
首先用户在本地生成新的证书:Func_Gen()→Bcertnew;
用户向根CA发送更新证书记录请求:User→CA:(update,θold,Bcertnew,θnew,info,pkold,pknew,σ1,σ2),其中,update是消息类型,θold是旧的证书的哈希值,Bcertnew是新的证书,θnew是新证书的哈希值,info是用户对新证书的身份证明信息,pkold是旧的公钥,pknew是新的公钥,σ1=sig(skold,Hash(Bcertnew||pknew)),用旧的sk对进行签名,证明用户知道旧的证书的私钥,即是旧的证书的拥有者,签名σ1确保新的证书Bcertnew和公钥pknew的真实性和完整性,σ2=sig(sknew,Hash(Bcertnew)),用新的私钥对新证书的哈希值进行签名,确保信息证书真的被用户拥有
根CA进行如下检查和验证:
a.根据消息中的证书哈希值在区块链中查找该证书是否存在记录;
b.验证证书的格式是否正确,验证用户的证明信息是否正确;
c.验证ver(pkold,σ1)是否为1,其中ver是验证函数,pkold是旧公钥,σ1是用旧私钥对新证书的签名;
d.验证ver(pknew,σ2)是否为1,其中ver是验证函数,pknew是新公钥,σ2是用新私钥对新证书的签名;
如果上述任何一项验证失败,则返回“ERROR”和相应原因给用户,否则,根CA执行如下操作:
生成两条记录,其中一条记录中包含旧的证书哈希值θold和状态信息revocation,另一条记录包含新的证书哈希值θnew和状态信息Issuance;
根CA将所有未处理的合法证书信息用共识算法生成一个区块,并发布到区块链网络中;
网络中的其他节点收到新的区块后对每条记录进行验证,如果每条记录都正确,则将其加入到本地的区块链中,否则丢弃该区块。
于步骤S2中,区块链的证书注销步骤进一步包括:
用户向根CA发送注销请求,用户发送的信息内容和申请内容相同,只是把消息类型改为revocation;
根CA检测用户请求的数据无误后,生成证书哈希和状态信息revocation记录,并与其他为纳入区块中的合法证书信息用共识算法生成区块后,发布到区块链网络;
其他节点检测无误后加入到本地区块链记录中,否则丢弃该区块。
需说明的是,证书的注册、更新、注销过程实际上是将证书的哈希值和状态信息记录到区块链中的过程。结合证书的状态信息和时间戳判断证书的有效性,若最新时间戳下的状态信息为注销,则区块链证书不能执行验证过程。
步骤S3,当用户进行跨域认证时,将区块链中存储的用户的哈希值和认证时用户提供的证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
具体地,步骤S3进一步包括:
步骤S300,A域用户向B域认证服务器发起跨域认请求;
步骤S301,B域认证服务器向A域用户发送用于挑战验证的随机数N;
步骤S302,A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
步骤S303,B域认证服务器用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,如果证书记录存在并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
图2为本发明一种去中心化的跨域认证系统的系统架构图。如图2所示,本发明一种去中心化的跨信任域认证系统,包括:
区域链网络构建单元20,用于在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,于联盟链中存储所有根CA共识的数字证书的哈希值。
也就是说,在本发明具体实施例中,区块链网络构建在联盟链的基础上构建,经过授权后的各个域的根CA作为验证节点加入到联盟链中,如果该域不在需要跨域认证或者该域不在被信任,则撤销该域的跨域认证授权。每个区块包含区块头和区块体组成:
区块头:区块头包含父区块哈希,时间戳,Merkle树根和其他信息(其中其他信息因共识算法而不同),这和其他的区块链结构相似。
区块体:因为区块链的存储空间和带宽有限,网络中的每个节点都存储着区块链网中数据的副本。如果将整个数字证书存储在区块链中,则区块链的空间和长度将会迅速增长,不利于存储和使用。因此,在本发明中,仅将证书哈希值、证书状态信息存储在区块链中,证书哈希值为了验证证书的完整性和标识符,证书的状态信息记录证书的现在状态包括签发,注销。
区块链证书生成单元21,用于提供区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书。
在本发明中,区块链证书的格式和传统数字证书的格式相同,符合X.509标准,只是将证书的扩张字段中添加一个区块链标识,与传统的数字证书相区分。
具体地,区块链证书生成单元21进一步包括:
证书申请处理单元210,用于在用户本地生成区块链证书,并向域内的根CA发送区块链证书申请消息,于根CA端,于收到域内用户的区块链证书申请后,检测申请消息的真实性和完整性,于验证通过后对证书进行签发。其中申请消息中包括但不限于消息类型,证书哈希,证书拥有者证明信息,证书拥有者对证书的私钥签名。
于根CA端,根CA首先判断该申请消息的类型,若该消息为证书申请,则根据申请消息中的证书哈希值在区块链网络中查询该证书是否被注册过,如果该哈希值已经在区块链中存在,则丢弃用户的请求;若该证书在区块链中不存在,则验证用户提交的证书身份信息的合法性,在根据证书中的公钥验证证书的签名信息,验证证书是否被篡改;于验证用户证书的真实性和完整性后,根CA将所有当前未纳入区块链中的合法证书的哈希值及状态信息,利用共识算法生成一个新的区块,并向区块链网络中发布该区块,由区块链网络中的其他节点验证该区块的正确性,如果正确,则记录到本地区块链记录中,否则将该区块丢弃。
证书更新处理单元211,用于用户本地生成新的证书时,通过向根CA提交证书更新请求,于根CA端,对证书更新请求验证检查无误后,将新的证书记录发布到区块链网络中。具体地,用户在本地生成一新的证书,新证书对应一对新的秘钥;然后用户向根CA提交证书更新请求,向根CA发送旧的证书哈希值、新的证书信息、旧的公钥对新的证书的签名和新的公钥对新证书的签名;根CA对证书更新请求验证检查无误后,将新的证书记录发布到区块链网络中,具体的验证过程与证书申请处理单元210相同,在此不予赘述。
证书注销单元212,用于用户本地向根CA发送注销请求,于根CA端对证书注销请求验证后,进行注销处理。具体地,用户向根CA发送注销请求,用户发送的信息内容和申请内容相同,只是把消息类型改为revocation;根CA检测用户请求的数据无误后,生成证书哈希和状态信息revocation记录,并与其他为纳入区块中的合法证书信息用共识算法生成区块后,发布到区块链网络;其他节点检测无误后加入到本地区块链记录中,否则丢弃该区块。
需说明的是,证书的注册、更新、注销过程实际上是将证书的哈希值和状态信息记录到区块链中的过程。
跨域认证单元22,用于用户进行跨域认证时,于跨域认证服务器将区块链中存储的用户的哈希值和认证时用户提供的证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
跨域认证单元22具体用于:
由A域用户向B域认证服务器发起跨域认请求;
B域认证服务器向A域用户发送用于挑战验证的随机数N;
A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
B域认证服务器用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,如果证书记录存在,并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
图3为本发明具体实施例中跨域认证过程的示意图。具体地,该跨域认证过程如下:
(1)UA→ASB:A域用户向B域认证服务器发起跨域认请求;
(2)ASB→UA:{N}:B域认证服务器向A域用户发送用于挑战验证的随机数N;
(3)UA→ASB:{Bcert,sig(sk,N),N}:A域用户向B域认证服务器发送区块链证书,随机数N的签名,和随机数N;
(4)ASB用证书中的公钥验证随机数N,和本地的随机数进行比较是否有效,计算区块链证书的哈希值;
(5)(6)(7)(8)(9)(10)、根据哈希值在区块链中查找该证书记录是否存在并在有效期内,如果证书记录存在,并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则用户提供的证书合法,发送授权通过信息。
(11)(12)(13)(14)(15)、ASB→UA:{Bcert,sig(sk,Hash(Bcert))}:UA验证B域认证服务器的合法性,验证区块链证书签名记录是否正确,然后计算ASB证书的哈希值,根据哈希值在区块链网络中的验证节点进行查找,如果该记录存在并且在有效期内,则证明B域验证服务器的身份合法。
因为每个域的根CA作为区块链的验证节点,每个域内的用户证书经过域内根CA验证后存储在区块链中,区块链中的每条记录都是经过共识算法计算得到的,因此其他域的根CA也同样信任区块链中的证书记录。
综上所述,本发明基于区块链技术提出一种去中心化的跨信任域认证方法,通过采用联盟链设计构建区块链网络,将各个域的根CA设为区块链的验证节点,只有经过授权的根CA才能加入这个区块链网络,联盟链中存储着所有根CA共识的数字证书的哈希值,当用户进行跨域认证时,只需将区块链中存储的用户的哈希值和认证时用户提供证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求,实现了一种去中心化的多域跨域认证模型,解决了传统跨域认证模型的管理、去中心化、维护方面的问题。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下,对上述实施例进行修饰与改变。因此,本发明的权利保护范围,应如权利要求书所列。
Claims (10)
1.一种去中心化的跨信任域认证方法,包括如下步骤:
步骤S1,在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,联盟链中存储着所有根CA共识的数字证书的哈希值;
步骤S2,所述区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书;
步骤S3,当用户进行跨域认证时,将区块链中存储的用户哈希值和认证时用户提供的证书哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
2.如权利要求1所述的一种去中心化的跨域认证方法,其特征在于:于步骤S1中,所述区块链网络中的每个区块包含区块头和区块体,所述区块头包括但不限于父区块哈希,时间戳,Merkle树根和其他信息,所述区块体存储的信息包括但不限于数字证书的证书哈希值、证书状态信息、证书所有者信息以及证书签名,所述证书所有者信息包括但不限于公钥信息、身份备注信息。
3.如权利要求1所述的一种去中心化的跨域认证方法,其特征在于,于步骤S2中,该区块链的证书申请步骤进一步包括:
步骤S200,用户在本地生成区块链证书,并向域内的根CA发送区块链证书申请消息,其中申请消息中包括但不限于消息类型,证书哈希,证书拥有者证明信息,证书拥有者对证书的私钥签名;
步骤S201,所述根CA于收到域内用户的区块链证书申请后,检测申请消息的真实性和完整性,于验证通过后对证书进行签发。
4.如权利要求3所述的一种去中心化的跨域认证方法,其特征在于:于步骤S201中,所述根CA首先判断该申请消息的类型,若该消息为证书申请,则根据申请消息中的证书哈希值在区块链网络中查询该证书是否被注册过,如果该哈希值已经在区块链中存在,则丢弃用户的请求;若该证书在区块链中不存在,则验证用户提交的证书身份信息的合法性,在根据证书中的公钥验证证书的签名信息,验证证书是否被篡改;于验证用户证书的真实性和完整性后,根CA将所有当前未纳入区块链中的合法证书的哈希值及状态信息,利用共识算法生成一个新的区块,并向区块链网络中发布该区块,由区块链网络中的其他节点验证该区块的正确性,如果正确,则记录到本地区块链记录中,否则将该区块丢弃。
5.如权利要求1所述的一种去中心化的跨域认证方法,其特征在于,于步骤S2中,所述区块链的证书更新步骤进一步包括:首先,用户在本地生成一个新的证书,新证书对应一对新的秘钥;然后用户向根CA提交证书更新请求,向根CA发送旧的证书哈希值、新的证书信息、旧的公钥对新的证书的签名和新的公钥对新证书的签名;根CA对证书更新请求验证检查无误后,将新的证书记录发布到区块链网络中。
6.如权利要求5所述的一种去中心化的跨域认证方法,其特征在于,所述证书更新步骤如下:
用户在本地生成新的证书;
用户向根CA发送更新证书记录请求;
根CA进行如下检查和验证:
a.根据消息中的证书哈希值在区块链中查找该证书是否存在记录;
b.验证证书的格式是否正确,验证用户的证明信息是否正确;
c.验证ver(pkold,σ1)是否为1,其中ver是验证函数,pkold是旧公钥,σ1是用旧私钥对新证书的签名;
d.验证ver(pknew,σ2)是否为1,其中ver是验证函数,pknew是新公钥,σ2是用新私钥对新证书的签名;
如果上述任何一项验证失败,则返回验证失败结果给用户,否则,根CA执行如下操作:
生成两条记录,其中一条记录中包含旧的证书哈希值θold和状态信息revocation,另一条记录包含新的证书哈希值θnew和状态信息Issuance;
根CA将所有未处理的合法证书信息用共识算法生成一个区块,并发布到区块链网络中;
网络中的其他节点收到新的区块后对每条记录进行验证,如果每条记录都正确,则将其加入到本地的区块链中,否则丢弃该区块。
7.如权利要求1所述的一种去中心化的跨域认证方法,其特征在于,所述区块链的证书注销步骤进一步包括:
用户向根CA发送注销请求,将消息类型改为revocation;
根CA检测用户请求的数据无误后,生成证书哈希和状态信息revocation记录,并与其他为纳入区块中的合法证书信息用共识算法生成区块后,发布到区块链网络;
其他节点检测无误后加入到本地区块链记录中,否则丢弃该区块。
8.如权利要求1所述的一种去中心化的跨域认证方法,其特征在于,步骤S3进一步包括:
步骤S300,A域用户向B域认证服务器发起跨域认请求;
步骤S301,B域认证服务器向A域用户发送用于挑战验证的随机数N;
步骤S302,A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
步骤S303,B域认证服务器用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,如果证书记录存在并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
9.一种去中心化的跨域认证系统,包括:
区域链网络构建单元,用于在联盟链的基础上构建区块链网络,将各个域的根CA设为区块链的验证节点,于联盟链中存储所有根CA共识的数字证书的哈希值;
区块链证书生成单元,用于提供区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书;
跨域认证单元,用于于用户进行跨域认证时,于跨域认证服务器将区块链中存储的用户的哈希值和认证时用户提供的证书的哈希值相比较,如果两者相同说明该用户提供的证书合法,否则丢弃用户的跨域请求。
10.如权利要求9所述的一种去中心化的跨域认证系统,其特征在于,所述跨域认证单元具体用于:
由A域用户向B域认证服务器发起跨域认请求;
B域认证服务器向A域用户发送用于挑战验证的随机数N;
A域用户向B域认证服务器发送区块链证书,随机数N的签名,以及随机数N;
B域认证服务器利用证书中的公钥验证随机数N,并将其与本地的随机数进行比较是否有效,计算区块链证书的哈希值,根据哈希值在区块链中查找该证书记录是否存在并在有效期内,若证书记录存在并在有效期内,则比较区块链存储的哈希值和用户证书的哈希值,如果两者相同,则说明用户提供的证书合法,发送授权通过信息,否则丢弃A域用户的跨域请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910351272.9A CN110061851A (zh) | 2019-04-28 | 2019-04-28 | 一种去中心化的跨信任域认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910351272.9A CN110061851A (zh) | 2019-04-28 | 2019-04-28 | 一种去中心化的跨信任域认证方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110061851A true CN110061851A (zh) | 2019-07-26 |
Family
ID=67321393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910351272.9A Pending CN110061851A (zh) | 2019-04-28 | 2019-04-28 | 一种去中心化的跨信任域认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110061851A (zh) |
Cited By (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430207A (zh) * | 2019-08-13 | 2019-11-08 | 广东电网有限责任公司 | 一种智能电网多点远程跨网交互协同认证方法 |
CN110572824A (zh) * | 2019-07-27 | 2019-12-13 | 中国人民解放军战略支援部队信息工程大学 | 基于区块链的异构无线网络切换认证方法及系统 |
CN110598375A (zh) * | 2019-09-20 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置及存储介质 |
CN110601851A (zh) * | 2019-09-12 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 在区块链网络中更换身份证书的方法和装置 |
CN110636051A (zh) * | 2019-08-29 | 2019-12-31 | 中芯昊月(深圳)科技控股有限公司 | 一种基于多用户ca数字证书的区块链交易方法 |
CN110661816A (zh) * | 2019-10-22 | 2020-01-07 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
CN110674532A (zh) * | 2019-09-12 | 2020-01-10 | 北京优炫软件股份有限公司 | 证据文件防篡改方法及装置 |
CN110706102A (zh) * | 2019-09-03 | 2020-01-17 | 杭州趣链科技有限公司 | 一种用于联盟区块链的具有匿名性的多级签名方法 |
CN110958118A (zh) * | 2019-10-12 | 2020-04-03 | 平安国际智慧城市科技股份有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
CN111131171A (zh) * | 2019-12-03 | 2020-05-08 | 深圳前海微众银行股份有限公司 | 一种基于区块链网络的节点认证方法及装置 |
CN111160997A (zh) * | 2020-04-02 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 基于区块链的广告监管方法、装置及广告投放系统 |
CN111262860A (zh) * | 2020-01-16 | 2020-06-09 | 航天信息股份有限公司 | 跨链模式下的身份认证方法及装置 |
CN111343177A (zh) * | 2020-02-25 | 2020-06-26 | 百度在线网络技术(北京)有限公司 | 轻量级节点的监管方法、装置、设备和介质 |
CN111445247A (zh) * | 2020-04-09 | 2020-07-24 | 堡垒科技有限公司 | 用于防止区块链分叉的方法和设备 |
CN111464535A (zh) * | 2020-03-31 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的跨域信任传递方法 |
CN111555885A (zh) * | 2020-03-18 | 2020-08-18 | 西安电子科技大学 | 一种可信身份认证方法、系统、存储介质、云计算终端 |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN111683060A (zh) * | 2020-05-20 | 2020-09-18 | 国汽(北京)智能网联汽车研究院有限公司 | 通信消息验证方法、装置及计算机存储介质 |
CN111741012A (zh) * | 2020-07-17 | 2020-10-02 | 百度在线网络技术(北京)有限公司 | 授权签名生成方法、节点管理方法、装置、设备和介质 |
CN111835528A (zh) * | 2020-07-16 | 2020-10-27 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
CN111901119A (zh) * | 2020-06-21 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
CN112202558A (zh) * | 2020-12-02 | 2021-01-08 | 江苏通付盾区块链科技有限公司 | 一种基于区块链的可信数字签名方法及装置 |
CN112270603A (zh) * | 2020-12-23 | 2021-01-26 | 南京可信区块链与算法经济研究院有限公司 | 一种去中心化的节点证书管理方法及系统 |
CN112311772A (zh) * | 2020-10-12 | 2021-02-02 | 华中师范大学 | 基于Hyperledger的跨域证书管理系统及方法 |
CN112437089A (zh) * | 2020-11-26 | 2021-03-02 | 交控科技股份有限公司 | 基于区块链的列控系统密钥管理方法及装置 |
CN112446701A (zh) * | 2019-09-03 | 2021-03-05 | 上海唯链信息科技有限公司 | 一种基于区块链的身份认证方法、设备和存储装置 |
CN112468441A (zh) * | 2020-10-28 | 2021-03-09 | 北京工业大学 | 基于区块链的跨异构域认证系统 |
CN112583917A (zh) * | 2020-12-10 | 2021-03-30 | 浙商银行股份有限公司 | 一种基于cscp的混合链构建方法 |
CN112583596A (zh) * | 2020-06-08 | 2021-03-30 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
CN112597547A (zh) * | 2020-12-29 | 2021-04-02 | 广东国腾量子科技有限公司 | 一种基于区块链的去中心化可信认证系统 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN112702346A (zh) * | 2020-12-24 | 2021-04-23 | 国网浙江省电力有限公司电力科学研究院 | 基于联盟链的分布式身份认证方法及系统 |
CN112883406A (zh) * | 2021-03-24 | 2021-06-01 | 南京邮电大学 | 一种基于联盟链的远程医疗跨域认证方法 |
CN113051594A (zh) * | 2021-04-08 | 2021-06-29 | 南京数字星球科技有限公司 | 一种基于Ca认证和数字签名技术的区块链可信网络构建方法 |
CN113114728A (zh) * | 2021-03-22 | 2021-07-13 | 南京航空航天大学 | 一种基于可编辑区块链的体域网身份认证方法及系统 |
CN113132319A (zh) * | 2019-12-31 | 2021-07-16 | 鄢华中 | 基于区块链的数字证书、身份认证及区块链证书发放系统 |
CN113194469A (zh) * | 2021-04-28 | 2021-07-30 | 四川师范大学 | 基于区块链的5g无人机跨域身份认证方法、系统及终端 |
CN113271565A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置、存储介质及程序产品 |
CN113507458A (zh) * | 2021-06-28 | 2021-10-15 | 电子科技大学 | 一种基于区块链的跨域身份认证方法 |
CN113556312A (zh) * | 2020-08-24 | 2021-10-26 | 鄢华中 | 基于联盟链的加权共识ca管理系统 |
CN113748657A (zh) * | 2020-03-31 | 2021-12-03 | 京东方科技集团股份有限公司 | 用于许可认证的方法、节点、系统和计算机可读存储介质 |
CN113824563A (zh) * | 2021-09-07 | 2021-12-21 | 电子科技大学 | 一种基于区块链证书的跨域身份认证方法 |
CN113839905A (zh) * | 2020-06-08 | 2021-12-24 | 中国移动通信有限公司研究院 | 一种证书写入、证书反馈方法、记账节点及身份认证系统 |
CN113972991A (zh) * | 2020-07-23 | 2022-01-25 | 南京理工大学 | 一种基于多级联盟链的跨域身份认证方法 |
CN114157428A (zh) * | 2020-09-04 | 2022-03-08 | 中国移动通信集团重庆有限公司 | 一种基于区块链的数字证书管理方法和系统 |
CN114205162A (zh) * | 2021-12-16 | 2022-03-18 | 北京国富安电子商务安全认证有限公司 | 一种基于区块链pki互信认证的方法和系统 |
CN114553440A (zh) * | 2022-04-22 | 2022-05-27 | 山东省计算中心(国家超级计算济南中心) | 基于区块链和属性签名的跨数据中心身份认证方法及系统 |
CN115686778A (zh) * | 2022-10-11 | 2023-02-03 | 暨南大学 | 一种基于区块链的去中心化群体机器人系统框架 |
CN115776389A (zh) * | 2022-11-01 | 2023-03-10 | 龙应斌 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170116693A1 (en) * | 2015-10-27 | 2017-04-27 | Verimatrix, Inc. | Systems and Methods for Decentralizing Commerce and Rights Management for Digital Assets Using a Blockchain Rights Ledger |
CN107070644A (zh) * | 2016-12-26 | 2017-08-18 | 北京科技大学 | 一种基于信任网络的去中心化公钥管理方法和管理系统 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
CN108737370A (zh) * | 2018-04-05 | 2018-11-02 | 西安电子科技大学 | 一种基于区块链的物联网跨域认证系统及方法 |
CN108810073A (zh) * | 2018-04-05 | 2018-11-13 | 西安电子科技大学 | 一种基于区块链的物联网多域访问控制系统及方法 |
CN108933667A (zh) * | 2018-05-03 | 2018-12-04 | 深圳市京兰健康医疗大数据有限公司 | 一种基于区块链的公钥证书的管理方法及管理系统 |
-
2019
- 2019-04-28 CN CN201910351272.9A patent/CN110061851A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170116693A1 (en) * | 2015-10-27 | 2017-04-27 | Verimatrix, Inc. | Systems and Methods for Decentralizing Commerce and Rights Management for Digital Assets Using a Blockchain Rights Ledger |
CN107070644A (zh) * | 2016-12-26 | 2017-08-18 | 北京科技大学 | 一种基于信任网络的去中心化公钥管理方法和管理系统 |
CN108737370A (zh) * | 2018-04-05 | 2018-11-02 | 西安电子科技大学 | 一种基于区块链的物联网跨域认证系统及方法 |
CN108810073A (zh) * | 2018-04-05 | 2018-11-13 | 西安电子科技大学 | 一种基于区块链的物联网多域访问控制系统及方法 |
CN108933667A (zh) * | 2018-05-03 | 2018-12-04 | 深圳市京兰健康医疗大数据有限公司 | 一种基于区块链的公钥证书的管理方法及管理系统 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
Non-Patent Citations (1)
Title |
---|
WANG WENGTONG ET AL: "BlockCAM: A Blockchain-based Cross-domain Authentication Model", 《2018 IEEE THIRD INTERNATIONAL CONFERENCE ON DATA SCIENCE IN CYBERSPACE》 * |
Cited By (77)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110572824A (zh) * | 2019-07-27 | 2019-12-13 | 中国人民解放军战略支援部队信息工程大学 | 基于区块链的异构无线网络切换认证方法及系统 |
CN110430207A (zh) * | 2019-08-13 | 2019-11-08 | 广东电网有限责任公司 | 一种智能电网多点远程跨网交互协同认证方法 |
CN110636051B (zh) * | 2019-08-29 | 2022-04-15 | 中芯昊月(深圳)科技控股有限公司 | 一种基于多用户ca数字证书的区块链交易方法 |
CN110636051A (zh) * | 2019-08-29 | 2019-12-31 | 中芯昊月(深圳)科技控股有限公司 | 一种基于多用户ca数字证书的区块链交易方法 |
CN110706102A (zh) * | 2019-09-03 | 2020-01-17 | 杭州趣链科技有限公司 | 一种用于联盟区块链的具有匿名性的多级签名方法 |
CN112446701A (zh) * | 2019-09-03 | 2021-03-05 | 上海唯链信息科技有限公司 | 一种基于区块链的身份认证方法、设备和存储装置 |
CN112446701B (zh) * | 2019-09-03 | 2024-04-05 | 上海唯链信息科技有限公司 | 一种基于区块链的身份认证方法、设备和存储装置 |
US11849052B2 (en) | 2019-09-12 | 2023-12-19 | Tencent Technology (Shenzhen) Company Limited | Certificate in blockchain network, storage medium, and computer device |
WO2021047446A1 (zh) * | 2019-09-12 | 2021-03-18 | 腾讯科技(深圳)有限公司 | 在区块链网络中更换身份证书的方法、装置、存储介质和计算机设备 |
CN110601851A (zh) * | 2019-09-12 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 在区块链网络中更换身份证书的方法和装置 |
CN110674532A (zh) * | 2019-09-12 | 2020-01-10 | 北京优炫软件股份有限公司 | 证据文件防篡改方法及装置 |
CN110598375A (zh) * | 2019-09-20 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置及存储介质 |
WO2021068619A1 (zh) * | 2019-10-12 | 2021-04-15 | 平安国际智慧城市科技股份有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
CN110958118A (zh) * | 2019-10-12 | 2020-04-03 | 平安国际智慧城市科技股份有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
CN110958118B (zh) * | 2019-10-12 | 2021-09-28 | 深圳赛安特技术服务有限公司 | 证书认证管理方法、装置、设备及计算机可读存储介质 |
CN110661816B (zh) * | 2019-10-22 | 2021-11-05 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
CN110661816A (zh) * | 2019-10-22 | 2020-01-07 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
CN111131171B (zh) * | 2019-12-03 | 2021-05-11 | 深圳前海微众银行股份有限公司 | 一种基于区块链网络的节点认证方法及装置 |
CN111131171A (zh) * | 2019-12-03 | 2020-05-08 | 深圳前海微众银行股份有限公司 | 一种基于区块链网络的节点认证方法及装置 |
CN113132319A (zh) * | 2019-12-31 | 2021-07-16 | 鄢华中 | 基于区块链的数字证书、身份认证及区块链证书发放系统 |
CN111262860A (zh) * | 2020-01-16 | 2020-06-09 | 航天信息股份有限公司 | 跨链模式下的身份认证方法及装置 |
CN111262860B (zh) * | 2020-01-16 | 2022-10-11 | 航天信息股份有限公司 | 跨链模式下的身份认证方法及装置 |
CN111343177A (zh) * | 2020-02-25 | 2020-06-26 | 百度在线网络技术(北京)有限公司 | 轻量级节点的监管方法、装置、设备和介质 |
CN111555885A (zh) * | 2020-03-18 | 2020-08-18 | 西安电子科技大学 | 一种可信身份认证方法、系统、存储介质、云计算终端 |
CN111555885B (zh) * | 2020-03-18 | 2021-11-30 | 西安电子科技大学 | 一种可信身份认证方法、系统、存储介质、云计算终端 |
CN111464535A (zh) * | 2020-03-31 | 2020-07-28 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的跨域信任传递方法 |
US11790054B2 (en) | 2020-03-31 | 2023-10-17 | Boe Technology Group Co., Ltd. | Method for license authentication, and node, system and computer-readable storage medium for the same |
CN113748657A (zh) * | 2020-03-31 | 2021-12-03 | 京东方科技集团股份有限公司 | 用于许可认证的方法、节点、系统和计算机可读存储介质 |
CN111160997A (zh) * | 2020-04-02 | 2020-05-15 | 支付宝(杭州)信息技术有限公司 | 基于区块链的广告监管方法、装置及广告投放系统 |
CN111445247A (zh) * | 2020-04-09 | 2020-07-24 | 堡垒科技有限公司 | 用于防止区块链分叉的方法和设备 |
CN111445247B (zh) * | 2020-04-09 | 2021-05-28 | 堡垒科技有限公司 | 用于防止区块链分叉的方法和设备 |
CN111683060B (zh) * | 2020-05-20 | 2023-01-20 | 国汽(北京)智能网联汽车研究院有限公司 | 通信消息验证方法、装置及计算机存储介质 |
CN111683060A (zh) * | 2020-05-20 | 2020-09-18 | 国汽(北京)智能网联汽车研究院有限公司 | 通信消息验证方法、装置及计算机存储介质 |
CN113839905A (zh) * | 2020-06-08 | 2021-12-24 | 中国移动通信有限公司研究院 | 一种证书写入、证书反馈方法、记账节点及身份认证系统 |
CN112583596A (zh) * | 2020-06-08 | 2021-03-30 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
CN113839905B (zh) * | 2020-06-08 | 2023-05-09 | 中国移动通信有限公司研究院 | 一种证书写入、证书反馈方法、记账节点及身份认证系统 |
CN112583596B (zh) * | 2020-06-08 | 2021-09-28 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
CN111683101B (zh) * | 2020-06-16 | 2021-01-22 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN111683101A (zh) * | 2020-06-16 | 2020-09-18 | 铭数科技(青岛)有限公司 | 一种基于区块链的自主跨域访问控制方法 |
CN111901119B (zh) * | 2020-06-21 | 2022-08-16 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
CN111901119A (zh) * | 2020-06-21 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
CN111835528A (zh) * | 2020-07-16 | 2020-10-27 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
CN111835528B (zh) * | 2020-07-16 | 2023-04-07 | 广州大学 | 一种去中心化的物联网跨域访问授权方法及系统 |
CN111741012A (zh) * | 2020-07-17 | 2020-10-02 | 百度在线网络技术(北京)有限公司 | 授权签名生成方法、节点管理方法、装置、设备和介质 |
CN113972991A (zh) * | 2020-07-23 | 2022-01-25 | 南京理工大学 | 一种基于多级联盟链的跨域身份认证方法 |
CN113556312A (zh) * | 2020-08-24 | 2021-10-26 | 鄢华中 | 基于联盟链的加权共识ca管理系统 |
CN114157428A (zh) * | 2020-09-04 | 2022-03-08 | 中国移动通信集团重庆有限公司 | 一种基于区块链的数字证书管理方法和系统 |
CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
CN111934870B (zh) * | 2020-09-22 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
CN112311772B (zh) * | 2020-10-12 | 2022-06-14 | 华中师范大学 | 基于Hyperledger的跨域证书管理系统及方法 |
CN112311772A (zh) * | 2020-10-12 | 2021-02-02 | 华中师范大学 | 基于Hyperledger的跨域证书管理系统及方法 |
CN112468441B (zh) * | 2020-10-28 | 2023-01-31 | 北京工业大学 | 基于区块链的跨异构域认证系统 |
CN112468441A (zh) * | 2020-10-28 | 2021-03-09 | 北京工业大学 | 基于区块链的跨异构域认证系统 |
CN112437089A (zh) * | 2020-11-26 | 2021-03-02 | 交控科技股份有限公司 | 基于区块链的列控系统密钥管理方法及装置 |
CN112202558A (zh) * | 2020-12-02 | 2021-01-08 | 江苏通付盾区块链科技有限公司 | 一种基于区块链的可信数字签名方法及装置 |
CN112583917B (zh) * | 2020-12-10 | 2022-09-06 | 浙商银行股份有限公司 | 一种基于cscp的混合链构建方法 |
CN112583917A (zh) * | 2020-12-10 | 2021-03-30 | 浙商银行股份有限公司 | 一种基于cscp的混合链构建方法 |
CN112637189A (zh) * | 2020-12-18 | 2021-04-09 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN112637189B (zh) * | 2020-12-18 | 2022-06-24 | 重庆大学 | 物联网应用场景下的多层区块链跨域认证方法 |
CN112270603A (zh) * | 2020-12-23 | 2021-01-26 | 南京可信区块链与算法经济研究院有限公司 | 一种去中心化的节点证书管理方法及系统 |
CN112270603B (zh) * | 2020-12-23 | 2021-04-06 | 南京可信区块链与算法经济研究院有限公司 | 一种去中心化的节点证书管理方法及系统 |
CN112702346A (zh) * | 2020-12-24 | 2021-04-23 | 国网浙江省电力有限公司电力科学研究院 | 基于联盟链的分布式身份认证方法及系统 |
CN112702346B (zh) * | 2020-12-24 | 2024-05-10 | 国网浙江省电力有限公司电力科学研究院 | 基于联盟链的分布式身份认证方法及系统 |
CN112597547A (zh) * | 2020-12-29 | 2021-04-02 | 广东国腾量子科技有限公司 | 一种基于区块链的去中心化可信认证系统 |
CN113114728A (zh) * | 2021-03-22 | 2021-07-13 | 南京航空航天大学 | 一种基于可编辑区块链的体域网身份认证方法及系统 |
CN112883406A (zh) * | 2021-03-24 | 2021-06-01 | 南京邮电大学 | 一种基于联盟链的远程医疗跨域认证方法 |
CN112883406B (zh) * | 2021-03-24 | 2022-10-21 | 南京邮电大学 | 一种基于联盟链的远程医疗跨域认证方法 |
CN113051594A (zh) * | 2021-04-08 | 2021-06-29 | 南京数字星球科技有限公司 | 一种基于Ca认证和数字签名技术的区块链可信网络构建方法 |
CN113194469A (zh) * | 2021-04-28 | 2021-07-30 | 四川师范大学 | 基于区块链的5g无人机跨域身份认证方法、系统及终端 |
CN113271565A (zh) * | 2021-05-14 | 2021-08-17 | 阿波罗智联(北京)科技有限公司 | 车辆的通信方法、装置、存储介质及程序产品 |
CN113507458A (zh) * | 2021-06-28 | 2021-10-15 | 电子科技大学 | 一种基于区块链的跨域身份认证方法 |
CN113824563A (zh) * | 2021-09-07 | 2021-12-21 | 电子科技大学 | 一种基于区块链证书的跨域身份认证方法 |
CN114205162A (zh) * | 2021-12-16 | 2022-03-18 | 北京国富安电子商务安全认证有限公司 | 一种基于区块链pki互信认证的方法和系统 |
CN114553440A (zh) * | 2022-04-22 | 2022-05-27 | 山东省计算中心(国家超级计算济南中心) | 基于区块链和属性签名的跨数据中心身份认证方法及系统 |
CN115686778A (zh) * | 2022-10-11 | 2023-02-03 | 暨南大学 | 一种基于区块链的去中心化群体机器人系统框架 |
CN115776389A (zh) * | 2022-11-01 | 2023-03-10 | 龙应斌 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
CN115776389B (zh) * | 2022-11-01 | 2023-11-07 | 龙应斌 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110061851A (zh) | 一种去中心化的跨信任域认证方法及系统 | |
WO2021120253A1 (zh) | 链式结构数据存储、验证、实现方法、系统、装置及介质 | |
US6097811A (en) | Tree-based certificate revocation system | |
CN110288480B (zh) | 一种区块链的私密交易方法及装置 | |
CN108768652B (zh) | 一种可抗量子攻击的联盟区块链底层加密方法 | |
JP3899808B2 (ja) | ディジタル署名生成方法およびディジタル署名検証方法 | |
CN112153608A (zh) | 一种基于侧链技术信任模型的车联网跨域认证方法 | |
CN111884815A (zh) | 一种基于区块链的分布式数字证书认证系统 | |
Reyzin et al. | Efficient asynchronous accumulators for distributed PKI | |
CN106910051A (zh) | 一种基于联盟链的dns资源记录公证方法及系统 | |
JP2020537860A (ja) | 本人認証方法とシステム及び計算装置と記憶媒体 | |
CN108810007B (zh) | 一种物联网安全架构 | |
CN113672942B (zh) | 一种基于区块链的pki证书跨域认证方法 | |
CN113824563A (zh) | 一种基于区块链证书的跨域身份认证方法 | |
CN114125773A (zh) | 基于区块链和标识密码的车联网身份管理系统及管理方法 | |
CN115345618B (zh) | 基于混合后量子数字签名的区块链交易验证方法及系统 | |
CN112396421A (zh) | 一种基于区块链通证的身份认证系统及方法 | |
CN116684103A (zh) | 一种基于区块链的跨域身份认证方法 | |
CN114866259B (zh) | 一种基于秘密分享的区块链受控可追溯身份隐私方法 | |
Gulati et al. | Self-sovereign dynamic digital identities based on blockchain technology | |
CN109918451A (zh) | 基于区块链的数据库管理方法及系统 | |
Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
CN114866260B (zh) | 一种变色龙哈希分布式身份使用方法和系统 | |
CN115189884A (zh) | 一种用于联盟区块链的具有匿名性的多级签名方法 | |
Zou et al. | Dynamic provable data possession based on ranked Merkle hash tree |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190726 |
|
RJ01 | Rejection of invention patent application after publication |