CN110268679B - 基于区块链的认证方法和系统 - Google Patents
基于区块链的认证方法和系统 Download PDFInfo
- Publication number
- CN110268679B CN110268679B CN201880011081.1A CN201880011081A CN110268679B CN 110268679 B CN110268679 B CN 110268679B CN 201880011081 A CN201880011081 A CN 201880011081A CN 110268679 B CN110268679 B CN 110268679B
- Authority
- CN
- China
- Prior art keywords
- pok
- chain
- authentication
- database
- blockchain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/30—Compression, e.g. Merkle-Damgard construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
一种在连接设备的网络内认证设备的方法和系统,所述连接设备以交换的区块链消息的形式下在它们之间共享交易分类帐,并且包括:基于增强的区块链计算PoK链(70),从应用或设备接收认证请求,该认证请求包括一个或多个PoK(71),从PoK数据库中检索与认证请求中标识的应用或设备相对应的PoK链(70);基于从PoK数据库检索的PoK链(70)计算PoK(71),将其与包括在认证请求中的PoK(71)进行比较,并且如果它们匹配,则证实认证请求。
Description
技术领域
本发明涉及在实现区块链技术的连接设备的网络内的安全技术领域。
背景技术
因特网中设备识别和认证的实际模型基于原子协议,其中证明者和验证者交换信息并尝试验证它们。但是,在识别协议期间交换的相同信息可以被修改/误用,并且不应该被信任。这主要归结于两个方面。首先,目前将设备与其身份物理地永久地绑定是困难的,其次,身份本身不应该被信任,因为它很容易被黑客入侵。
为了解决上述问题,通常采用认证协议。它们可以分为集中式和分散式。一方面,集中式协议基于受信任的第三方(例如认证机构),第三方负责将将数字身份与提供给设备的秘密数据配对。采用这种方法,由于证书颁发机构的可信赖性,一旦通过数字地签名消息来声明身份,发送消息的设备就会被识别和验证,因为它假定用于签署消息的秘密(例如非对称加密解决方案中的私钥,如基于RSA的签名一样)是保持私有的,并且永远不会被其他设备访问。
另一方面,分散式身份验证协议试图避免受信任的第三方。于是,计算和/或信息被分布在不同的设备之间,这些设备必须就给定身份的可信度达成一致。这种方法通过避免泄露敏感/私人信息来解决将信任外包给外部实体的问题。但是,很难建立可信网络,因为无法检测到是否所有设备都在按预期协作/工作。为了解决这个问题,在过去几年中,远程证明技术试图通过硬件或软件方法解决远程识别不可信设备的问题(例如WO2014141074或US8966249),这些技术基于强有力的假设,正因如此,它们不能解决问题,反而是使问题更难解决。
最近,区块链技术被设计和发布(最初在比特币的背景下),允许通过不可信对端的网络在多方之间安全地共享或处理数据。
发明内容
本发明通过构建自我实施和自我管理的网络来提供基于区块链的认证方法和系统,在该网络中,设备可以控制彼此的行为和可信度,而不需要中央权威机构或通过设计假定安全和可信赖的软件和硬件元件。
本发明的基本思想在于提供分散认证协议,该协议利用多个区块链分布式分类账来建立信任连续性因子。为此,本发明定义了知识证明(PoK)区块链。此PoK区块链包含过去区块链活动的历史记录,并且表示只能由同一网络中的其他对等方识别/验证的网络足迹。随着区块链的变化,随着时间的推移,PoK区块链在每一设备上本地构建和更新。可以通过发送PoK来认证应用或设备。
本发明提供了一种要连接到网络的设备,在所述网络中连接设备在它们之间以由区块组成的主区块链的形式共享交易分类账,每个区块包含时间戳和到先前区块的链接,这种设备包括:
链管理器,其被配置为将在所述设备处提取的分叉链(61)添加到主区块链,以便构建增强的区块链并将增强的区块链存储在链数据库中;
该设备还包括:
知识证明——即PoK——管理器,其包括:
PoK构建器,其被配置为至少基于增强的区块链计算至少一个PoK链,PoK链由PoK区块组成,每个PoK区块包含时间戳和到先前PoK块的链接,
存储PoK链的PoK数据库;
认证管理器,其被配置为
从应用或设备接收认证请求,该认证请求包括至少一个PoK,
从PoK数据库中检索与所述认证请求中标识的应用或设备相对应的至少一个PoK链;
将包括在所述认证请求中的至少一个PoK和从所述PoK数据库(55)检索的至少一个PoK链发送给认证验证器,
所述认证验证器被配置为基于从所述PoK数据库检索的至少一个PoK链来计算至少一个PoK,将其与所述认证请求中包括的至少一个PoK进行比较,如果它们匹配,则证实所述认证请求。
在实施例中,该装置还包括矿机和分叉广播,所述矿机被配置为分析接收到的区块链消息,根据接收到的区块链消息构建新区块,并将新区块发送给所述分叉广播和网络中的所有其它设备,所述分叉广播被配置为从所述矿机和所述网络中的其它设备接收区块,并从接收的区块中提取分叉链。
在实施例中,PoK构建器被配置为使用聚合函数将增强的区块链的每个分叉链头与它们所附连的主链的区块聚合,以便形成单个PoK块,所述PoK块形成所述PoK链。
在实施例中,所述聚合函数是哈希函数。
在实施例中,所述聚合函数是逐位异或。
在实施例中,该设备还包括为每个设备或者应用存储上次认证的时间的认证数据库,并且其中,认证管理器被配置为从所述认证数据库中检索应用或设备的上次认证的时间,并将其转发给认证验证器,并且其中,认证验证器通过聚合从PoK数据库检索的PoK链的区块来计算PoK,所检索的PoK链的区块具有包括在应用或设备的上次认证的时间与当前时间之间的时间戳。
在实施例中,认证请求包括PoK策略,该POK策略包括计算PoK和验证认证请求所需的PoK链列表,该设备还包括合作管理器,该合作管理器被配置为与网络内的其它设备交互以便检索附加PoK链,并且其中,认证管理器还被配置为如果设备的PoK数据库不包括PoK策略中所需的所有PoK链,则向所述合作管理器发送对附加PoK链的请求。
在实施例中,对附加PoK链的请求包括存储在设备的PoK数据库中的所有PoK链,包括在所述请求中的PoK链旨在由接收所述请求的设备用于认证所述请求的发送者。
本发明还提供了一种在连接设备的网络内验证设备的方法,该连接设备在它们之间以由区块组成的区块链的形式共享交易分类帐,每个区块包含时间戳和到先前区块的链接,该方法包括:
从接收的区块中提取分叉链;
将所有分叉链添加到主区块链,以构建增强的区块链;
将增强的区块链存储在链数据库中;
至少基于增强的区块链计算至少一个PoK链,PoK链由PoK区块组成,每个PoK区块包含时间戳和到先前PoK区块的链接,
从应用或设备接收认证请求,该认证请求包括至少一个PoK,
从PoK数据库中检索与认证请求中标识的应用或设备相对应的至少一个PoK链;
基于从PoK数据库检索到的至少一个PoK链,计算至少一个PoK,将其与包括在认证请求中的至少一个PoK进行比较,并且如果它们匹配,则证实所述认证请求。
在实施例中,该方法还包括分析所接收的区块链消息,根据所接收的区块链消息构建新区块,并将新区块发送给网络内的所有其它设备。
在实施例中,认证请求包括PoK策略,该PoK策略包括计算PoK和验证认证请求所需的PoK链列表,该方法还包括:如果PoK数据库不包含PoK策略中所需的所有PoK链,则从网络中的其他设备检索附加PoK链。
该方法还包括计算机程序,其包括可执行代码,当被执行时该可执行代码致使计算机执行如上所述的方法的所有步骤。
本发明通过持续地交换关于网络活动的信息,来使得能够创建保持活跃的信任关系。这允许建立自我实施和自我管理的网络,而不需要任何受信任的第三方,例如证书颁发机构。另一个特点是可以通过完全分布地和去中心化的方式验证该信任关系。两个设备之间的信任关系是在初始设置过程中定义的(可以由设备所有者或管理员完成),然后只要它们保持在相同的网络或背景中,就可以由它们无缝地保持活动(没有任何安全性假设)。一旦两个设备中的一个离开网络,它就会被取消身份认证,并且如果它返回,则需要再次通过初始设置过程。
为了避免中心信任点,例如证书颁发机构,所有其他解决方案都利用分布分类账方法,其中每个设备协作控制网络。但是,为了证明其可信赖性,每个设备都必须对自己进行身份验证,并证明所提供数据的完整性。为此,它们需要对硬件或软件单元进行强有力的安全假设,这些硬件或软件单元被利用来存储用于签署和/或加密所有通信的加密密钥。
本发明在所涉及的设备上建立没有任何安全假设的可信通信。实际上,设备不可能改变区块链或伪造假分叉。这也避免了对加密或签名原语的任何需要。
附图说明
参考附图,通过示例的方式参考下文描述的实施例,本发明的这些和其他方面将变得显而易见并得以阐明。
图1是具有实现区块链技术的连接设备的网络的描述;
图2示出了根据本发明的知识证明(PoK)构造;
图3a是实现根据本发明的基于区块链的认证方法的连接设备的功能描述;
图3b是根据本发明实施例的增强型区块链管理器的功能描述;
图4示出了根据本发明的PoK链计算;
图5说明了根据本发明的验证步骤;
图6说明了知识证明数据库。
具体实施方式
图1是具有实现区块链技术的连接设备11的网络10的表示。网络10可以是Wifi,3G,LTE,蓝牙,RFID/NFC,有线连接网络或支持通过连接13在连接的设备之间交换消息的协议的任何类型的网络。被交换的消息可以属于不同级别的一个或多个区块链应用程序,例如,基于HTTP/FTP的应用(跟踪网络流量)、基于SSH/Telnet/RDP/VNC/VPN的应用(跟踪远程访问)、基于RFID/NFC的应用(跟踪物理交互)、Wi-Fi应用、蓝牙应用等。要监视的每个应用或协议至少与一个区块链相关联。不同的区块链可以与相同的应用或协议相关联。
每个连接设备11维护它可以访问的并且在连接设备之间共享的所有分类账(即区块链)。
每个连接设备11取决于其资源和计算能力可以包含矿机20。在矿机20处接收的消息包含标准区块链交易,这些交易被收集用以构建在主流链中的下一个区块。每个区块包含时间戳和到先前区块的链接。一旦由矿机20建立了新区块,该新区块被广播发送给所有其他设备。由设备的矿机20构建或由另一矿工接收的每个新区块被添加到区块链并写入区块链数据库21。一旦一个设备接收到已由其他设备构建的一个或多个区块,它就会将新区块与本地存储的一个区块进行比较。如果它们不匹配,并且接收的链比本地链长,则本地链被标记为分叉。一旦检测到分叉,矿机就会丢弃它,并用新接收的区块链覆盖部分/全部区块链。分叉被丢弃,因为它们利用来自主链60的并行分支创建并发挖掘。这些并行分支可能导致交易相互冲突,这在基于区块链的情况中特别成问题。
由于网络中的延迟,属于同一组(与相同上下文相关联)的设备以相同方式看到区块链变化(以相同顺序接收区块链更新),而来自其他组(属于其他上下文)的设备以不同的方式看到区块链的变化(以不同的顺序接收区块链更新)。
提供一种基于区块链技术并利用上述观察的新型认证方法。
图3a示出了根据本发明的连接设备11。该设备包含矿机20和区块链数据库21。此外,它还包含增强型区块链管理器4和知识证明(PoK)管理器5。
参考图3b,增强型区块链管理器4包含:
-交易过滤器40,其拦截区块链消息(M11)并将它们转发给矿机(利用M12消息)和链管理器42(利用M13消息)。该并行处理允许矿机和区块链数据库通过M14消息对标准区块链协议进行不间断(即未修改或减慢)处理。事务过滤器收集M11元数据,例如消息发送方、接收方、时间戳、并丢弃重复的消息。
-添加到矿机的分叉广播41,其在分叉链被丢弃并被矿机覆盖之前提取任何分叉链(M15)。
-链管理器42,其从事务过滤器接收M13消息,并从分叉广播接收M15消息。链管理器从M13和M15计算出由标准区块链和分叉链组成的增强型区块链。由于M13和M15没有描述整个链而是在链顶上进行更新,链管理器通过M16从链数据库43检索主区块链60。然后,它将利用M13和/或M15获得的所有信息合并到主区块链60。一旦计算出增强型区块链,就通过M16将其发回以存储在链数据库43中。M13和M15不一定同时到达链管理器。因此,链管理器可以接收M13消息(每次接收到标准区块链消息时)或M15信息(每次M12强制矿机丢弃先前的分叉时)。
PoK管理器5包括:
PoK构建器54,其被配置为从链数据库21加载增强区块链的最新版本,并基于分叉链头(每个分叉链中的最新块)和主区块链计算PoK链70,并且响应于认证请求将PoK链70发送给认证管理器59;
PoK数据库55,其存储所有PoK链,正在由区块链监视的每个应用或/和协议一个PoK链;
认证管理器59,其被配置为接收包括知识证明值(PoK)71的认证请求,并从PoK数据库55加载PoK链;
认证验证器58,其被配置为比较从认证管理器59获得的信息,以控制所接收的PoK是否与PoK数据库55内部存储的PoK相同,并且如果它们匹配,则证实认证请求。
如图2所示,PoK构建器54为每个要监视的应用或协议加载(M1)一个增强的区块链。PoK构建器54首先通过利用聚合函数(例如,散列函数,按位异或等)聚合和合并分叉链来降低增强型区块链的复杂性/大小。所有设备都使用相同的聚合功能。然后它再次聚合剩余的分叉链头(FH)以获得PoK链70,PoK链70是与FH信息合并的原始区块链。
图4示出了由PoK构建器54构建的PoK链70。从增强的区块链开始,分叉链头FH被收集并利用,以与主区块链区块一起,构建知识证明(PoK)。存储在链数据库21中的增强型区块链62由以块头BH引导的主区块链60和其它分叉链61组成,每个分叉链61由其自己的分叉头块FH引导。使用聚合函数将增强块链62的每个分叉链61聚合成单个分叉块73。然后,将所有分叉块与在主链60中的它们的原始块聚合,从而形成单个PoK块,PoK块形成PoK链70。
如图6所示,所有PoK链70于是被存储(M2)在PoK数据库55中,用于正在由区块链监控的每个应用或协议一个PoK链70。
认证管理器59接收来自内部/外部应用程序的认证请求并验证它们。一旦接收到认证请求,认证管理器59首先从PoK数据库55加载(M4)PoK链,然后将它们(M6)发送到认证验证器58。
计算PoK所需的PoK链的数量嵌入在PoK策略中,该策略加载在认证请求中,如图4所示(标记为M3)。
该设备还包括存储用于每个设备或应用的PoK列表的认证数据库56。在认证验证期间,认证管理器59从认证数据库56检索(M7)PoK列表,以提供对应用的认证。具体而言,认证数据库56为每个设备或应用程序存储上次认证的时间。在认证验证期间,认证管理器59从认证数据库56检索应用或设备的上次认证的时间,并将其转发给认证验证器58。
如图5所示,认证验证器58将在认证请求中接收的PoK与从PoK数据库55中存储的PoK链计算的PoK进行比较。如果它们匹配,则证实认证请求。为此,认证验证器58通过聚合这样的PoK链70的区块,来为针对从PoK数据库55检索的PoK链70的PoK链计算预期PoK链71,所述这样的PoK链70的区块具有被包括在上次认证的时间和当前时间之间的时间戳。于是,认证验证器58比较认证请求中包括的PoK 71与从PoK数据库55检索的PoK链70计算的PoK71进行比较。如果它们相同,则认证验证器58证实认证请求。
如果请求认证的PoK链70中的一些没有存储在验证者的PoK数据库55中,则认证管理器59向合作管理器53发送请求(消息M5)。
合作管理器53与网络内的其他设备交互(M8),以便检索附加的PoK信息。对附加PoK信息的请求必须经过认证。因此,认证管理器59在M5内写入存储在PoK数据库55中的所有信息。于是,合作管理器53使用在M5消息中发送的信息来构建向其他设备发送的认证请求。一旦所有外部PoK信息被合作管理器53检索到,它们就被发送回认证管理器59。每次创建新区块时,新区块都会被发送给所有设备。然而,由于网络中的延迟,属于同一组(与相同上下文相关联)的设备将以相同的顺序接收新块,从而能够继续构建相同的增强区块链62,这将使它们能够识别为一个组,而来自其他组的设备将以不同的顺序接收新区块,并将构建不同的增强区块链62,这将使它们能够识别为另一个组。
例如,在对等网络中,由于网络延迟,消息收集的顺序不同。因此,设备可以以不同的顺序接收消息。因此,该信息可用于区分作为示例从远程连接的设备与连接到相同本地网络的设备。
另一个例子,两个设备最终会在区块链上达成一致,但在短期内,它们可能会产生分叉。分叉也可能被恶意用户利用。事实上,这些用户可能试图强迫受害者设备接受和使用虚假信息。在攻击期间,受害设备(现在由于攻击而与网络断开连接)将收集并共享一些信息,这些信息将使他们的增强区块链与另一组的增强区块链不同。因此,该信息可用于区分属于所述组的设备和其他设备。
属于(与特定上下文相关联的)同一组的所有设备共享相同的增强区块链,因此共享相同的PoK。因此,设备可以通过比较它们的PoK向其他设备证明它们属于同一组。设备能够通过将接收到的PoK与它根据从它的PoK数据库中检索到的PoK链计算的PoK进行比较,来检查另一个设备是否属于它自己的组。
诸如矿机、交易过滤器、分叉广播、链管理器、PoK管理器、PoK构建器、认证管理器、认证验证器或合作管理器之类的元件可以各自是例如硬件装置、例如专用集成电路、或者是硬件和软件的组合、例如专用集成电路和现成可编程门阵列,或者至少一个微处理器和至少一个存储器和至少一个具有位于其中的软件模块的存储器。
本发明不限于所描述的实施例。所附权利要求应被解释为体现本领域技术人员可以想到的所有修改和替代结构,并且这些修改和替代结构完全属于本文所述的基本教导之内。
动词“包括”、“包括”或“包含”及其变形的使用不排除权利要求中所述之外的元件或步骤的存在。此外,在元件或步骤之前使用冠词“一”或“一个”并不排除存在多个这样的元件或步骤。
在权利要求中,括号内的任何参考符号不应被解释为限制权利要求的范围。
Claims (12)
1.一种要连接到网络(10)的设备(11),在所述网络中连接设备在它们之间以由区块组成的主区块链(60)的形式共享交易分类账,每个区块包含时间戳和到先前区块的链接,所述设备包括:
链管理器(42),其被配置为将在所述设备处提取的分叉链(61)添加到主区块链(60),以便构建增强的区块链(62)并将所述增强的区块链存储在链数据库(43)中;
该设备还包括:
知识证明PoK管理器(5),其中,所述PoK管理器(5)包括PoK构建器(54),PoK数据库(55)认证管理器(59)和认证验证器(58);
所述PoK构建器(54)被配置为至少基于增强的区块链(62)计算至少一个PoK链(70),所述PoK链(70)由PoK区块组成,每个PoK区块包含时间戳和到先前PoK区块的链接;
所述PoK数据库(55)存储所述PoK链(70);
所述认证管理器(59)被配置为:
从应用或第二设备接收认证请求,所述认证请求包括至少一个第一PoK值(71),
从所述PoK数据库(55)中检索与在所述认证请求中标识的所述应用或所述第二设备相对应的所述至少一个PoK链(70),以及
将被包括在所述认证请求中的所述至少一个第一PoK值(71)和从所述PoK数据库(55)检索的所述至少一个PoK链(70)发送给认证验证器(58);以及
所述认证验证器(58)被配置为基于从所述PoK数据库(55)检索的所述至少一个PoK链(70)来计算至少一个第二PoK值(71),将其与在所述认证请求中包括的所述至少一个第一PoK值(71)进行比较,并且如果它们匹配,则证实所述认证请求。
2.根据权利要求1所述的设备,还包括矿机(20)和分叉广播(41),
所述矿机(20)被配置为分析所接收的区块链消息(13),根据所接收的区块链消息(13)构建新区块,并将所述新区块发送给所述分叉广播(41)和所述网络内的所有其它设备,
所述分叉广播(41)被配置为从所述矿机(20)和所述网络内的其它设备接收区块并从接收的区块中提取分叉链(61)。
3.根据权利要求1或2所述的设备,其中,所述PoK构建器(54)被配置为使用聚合函数将所述增强的区块链(62)的每个分叉链头与它们所附连的主区块链(60)的区块聚合,从而形成单个PoK区块,所述PoK区块形成所述PoK链(70)。
4.根据权利要求3所述的设备,其中,所述聚合函数是哈希函数。
5.根据权利要求3所述的设备,其中,所述聚合函数是逐位异或。
6.根据权利要求1所述的设备,还包括:认证数据库(56),其为每个设备或应用存储上次认证的时间,并且
其中,所述认证管理器(59)被配置为从所述认证数据库(56)检索所述应用或所述第二设备的上次认证的时间,并将其转发给所述认证验证器(58),
并且其中,所述认证验证器(58)通过聚合从所述PoK数据库(55)检索的所述PoK链(70)的区块来计算所述第二PoK值(71),所检索的PoK链(70)的区块具有被包括在所述应用或所述第二设备的上次认证的时间与当前时间之间的时间戳。
7.根据权利要求1所述的设备,其中,所述认证请求包括PoK策略,所述PoK策略包括计算所述第二PoK值(71)和验证认证请求所需的PoK链列表,
所述设备还包括合作管理器(53),其被配置为与所述网络内的其它设备交互以便检索附加PoK链(70),
并且其中,所述认证管理器(59)还被配置为如果所述设备的所述PoK数据库(55)不包括在所述PoK策略中所需的所有PoK链(70),则向所述合作管理器(53)发送对附加PoK链的请求。
8.根据权利要求7所述的设备,其中,对附加PoK链的请求包括被存储在所述设备的所述PoK数据库(55)中的所有PoK链(70),被包括在所述请求中的所述PoK链(70)旨在由接收所述请求的设备用于验证所述请求的发送者。
9.一种在连接设备(11)的网络(10)内验证设备的方法,所述连接设备(11)在它们之间以由区块组成的区块链(60)的形式共享交易分类账,每个区块包含时间戳和到先前区块的链接,该方法包括:
从接收的区块中提取分叉链(61);
将所有分叉链(61)添加到主区块链(60)以构建增强的区块链(62);
将所述增强的区块链存储在链数据库中;
至少基于所述增强的区块链(62)计算至少一个PoK链(70),所述PoK链(70)由PoK区块组成,每个PoK区块包含时间戳和到先前PoK区块的链接,
接收来自应用或第二设备的认证请求,所述认证请求包括至少一个第一PoK值(71),
从PoK数据库(55)检索与在所述认证请求中标识的所述应用或所述第二设备相对应的至少一个PoK链(70);
基于从所述PoK数据库(55)检索的所述至少一个PoK链(70)来计算至少一个第二PoK值(71),将其与在所述认证请求中包括的所述至少一个第一PoK值(71)进行比较,并且如果它们匹配,则证实所述认证请求。
10.根据权利要求9所述的方法,还包括:分析所接收的区块链消息(13),根据所接收的区块链消息(13)构建新区块,以及将所述新区块发送给所述网络内的所有其它设备。
11.根据权利要求9或10所述的方法,其中,所述认证请求包括PoK策略,所述PoK策略包括计算所述第二PoK值(71)和验证所述认证请求所需的PoK链列表,
所述方法还包括:
如果所述PoK数据库(55)不包括在所述PoK策略中所需的所有PoK链(70),则从所述网络内的其它设备检索附加PoK链(70)。
12.一种计算机存储器,存储计算机可执行程序代码,所述计算机可执行程序代码在被计算机执行时使得所述计算机执行根据权利要求9至11中任一项所述的方法的所有步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17305152.5 | 2017-02-10 | ||
| EP17305152.5A EP3361672B1 (en) | 2017-02-10 | 2017-02-10 | Blockchain-based authentication method and system |
| PCT/EP2018/052990 WO2018146113A1 (en) | 2017-02-10 | 2018-02-07 | Blockchain-based authentication method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110268679A CN110268679A (zh) | 2019-09-20 |
| CN110268679B true CN110268679B (zh) | 2022-09-30 |
Family
ID=58094356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880011081.1A Active CN110268679B (zh) | 2017-02-10 | 2018-02-07 | 基于区块链的认证方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11671414B2 (zh) |
| EP (1) | EP3361672B1 (zh) |
| CN (1) | CN110268679B (zh) |
| WO (1) | WO2018146113A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10630463B2 (en) * | 2018-02-26 | 2020-04-21 | Ca, Inc. | Meta block chain |
| EP3804279A4 (en) * | 2018-06-01 | 2022-01-19 | Nokia Technologies OY | METHOD AND DEVICE FOR DISTRIBUTED TRUST ASSESSMENT IN A DISTRIBUTED NETWORK |
| CN109639751B (zh) * | 2018-10-16 | 2021-12-21 | 平安科技(深圳)有限公司 | 区块链节点监控方法、装置、系统及计算机存储介质 |
| US11177964B2 (en) | 2019-01-25 | 2021-11-16 | International Business Machines Corporation | Blockchain based authentication |
| US11729175B2 (en) * | 2019-04-25 | 2023-08-15 | Comcast Cable Communications, Llc | Blockchain folding |
| CN111079136B (zh) * | 2019-11-07 | 2022-02-11 | 北京科技大学 | 一种基于区块链技术的雾计算入侵检测特征共享系统 |
| US11410167B2 (en) * | 2019-12-30 | 2022-08-09 | Paypal, Inc. | Efficient transaction reconciliation system |
| US11665159B2 (en) | 2020-04-22 | 2023-05-30 | Kyndryl, Inc. | Secure resource access by amalgamated identities and distributed ledger |
| CN114584332B (zh) * | 2020-11-18 | 2024-03-19 | 中移物联网有限公司 | 一种实名认证方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811450A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云计算中一种基于身份的数据存储方法及完整性验证方法 |
| CN105959307A (zh) * | 2016-06-30 | 2016-09-21 | 中国科学院计算技术研究所 | 基于区块链技术的存在证明及认证服务方法及系统 |
| WO2016191376A1 (en) * | 2015-05-22 | 2016-12-01 | Antique Books, Inc. | Initial provisioning through shared proofs of knowledge and crowdsourced identification |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9406063B2 (en) * | 2002-10-01 | 2016-08-02 | Dylan T X Zhou | Systems and methods for messaging, calling, digital multimedia capture, payment transactions, global digital ledger, and national currency world digital token |
| US8966249B2 (en) | 2012-01-29 | 2015-02-24 | Saife, Inc. | Data security and integrity by remote attestation |
| US20140281500A1 (en) | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Systems, methods and apparatuses for remote attestation |
| US11270263B2 (en) * | 2013-09-12 | 2022-03-08 | Netspective Communications Llc | Blockchain-based crowdsourced initiatives tracking system |
| US9608829B2 (en) * | 2014-07-25 | 2017-03-28 | Blockchain Technologies Corporation | System and method for creating a multi-branched blockchain with configurable protocol rules |
| US20160162897A1 (en) * | 2014-12-03 | 2016-06-09 | The Filing Cabinet, LLC | System and method for user authentication using crypto-currency transactions as access tokens |
| US9875510B1 (en) * | 2015-02-03 | 2018-01-23 | Lance Kasper | Consensus system for tracking peer-to-peer digital records |
| WO2016154001A1 (en) * | 2015-03-20 | 2016-09-29 | Rivetz Corp. | Automated attestation of device integrity using the block chain |
| US20160283920A1 (en) * | 2015-03-28 | 2016-09-29 | Justin Fisher | Authentication and verification of digital data utilizing blockchain technology |
| US10812274B2 (en) * | 2015-05-07 | 2020-10-20 | Blockstream Corporation | Transferring ledger assets between blockchains via pegged sidechains |
| US20170132619A1 (en) * | 2015-11-06 | 2017-05-11 | SWFL, Inc., d/b/a "Filament" | Systems and methods for autonomous device transacting |
| US10715531B2 (en) * | 2016-02-12 | 2020-07-14 | Visa International Service Association | Network topology |
| CN108701005B (zh) * | 2016-02-18 | 2021-02-23 | 华为技术有限公司 | 数据更新技术 |
| TWI770022B (zh) * | 2016-04-29 | 2022-07-11 | 安地卡及巴布達商區塊鏈控股有限公司 | 電腦實施之控制方法、系統及控制系統 |
| CN107438002B (zh) * | 2016-05-27 | 2022-02-11 | 索尼公司 | 基于区块链的系统以及系统中的电子设备和方法 |
| JP6663809B2 (ja) * | 2016-07-07 | 2020-03-13 | 株式会社日立製作所 | 監査装置、監査機能付匿名送金方法及びプログラム |
| US10185550B2 (en) * | 2016-09-28 | 2019-01-22 | Mcafee, Inc. | Device-driven auto-recovery using multiple recovery sources |
| US10326596B2 (en) * | 2016-10-01 | 2019-06-18 | Intel Corporation | Techniques for secure authentication |
| US10291627B2 (en) * | 2016-10-17 | 2019-05-14 | Arm Ltd. | Blockchain mining using trusted nodes |
| US20180114218A1 (en) * | 2016-10-26 | 2018-04-26 | International Business Machines Corporation | Blockchain: automatic fork protection |
| US10389518B2 (en) * | 2017-01-27 | 2019-08-20 | Entit Software Llc | Blockchain hash value recomputation |
-
2017
- 2017-02-10 EP EP17305152.5A patent/EP3361672B1/en active Active
-
2018
- 2018-02-07 US US16/484,889 patent/US11671414B2/en active Active
- 2018-02-07 WO PCT/EP2018/052990 patent/WO2018146113A1/en active Application Filing
- 2018-02-07 CN CN201880011081.1A patent/CN110268679B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104811450A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云计算中一种基于身份的数据存储方法及完整性验证方法 |
| WO2016191376A1 (en) * | 2015-05-22 | 2016-12-01 | Antique Books, Inc. | Initial provisioning through shared proofs of knowledge and crowdsourced identification |
| CN105959307A (zh) * | 2016-06-30 | 2016-09-21 | 中国科学院计算技术研究所 | 基于区块链技术的存在证明及认证服务方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3361672B1 (en) | 2020-06-17 |
| CN110268679A (zh) | 2019-09-20 |
| WO2018146113A1 (en) | 2018-08-16 |
| EP3361672A1 (en) | 2018-08-15 |
| US20190386970A1 (en) | 2019-12-19 |
| US11671414B2 (en) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110268679B (zh) | 基于区块链的认证方法和系统 | |
| EP4120114A1 (en) | Data processing method and apparatus, smart device and storage medium | |
| KR102467596B1 (ko) | 블록 체인 구현 방법 및 시스템 | |
| CN106503098B (zh) | 内置于Paas服务层的区块链云服务框架系统 | |
| CN106972931B (zh) | 一种pki中证书透明化的方法 | |
| CN111541551B (zh) | 门限签名消息的处理方法、系统、存储介质及服务器 | |
| CN109547407B (zh) | 一种环境监测数据的全过程追踪方法及区块链节点 | |
| CN112527912B (zh) | 基于区块链网络的数据处理方法、装置及计算机设备 | |
| CN109905877B (zh) | 通信网络系统的消息验证方法、通信方法和通信网络系统 | |
| CN110601844B (zh) | 使用区块链技术保障物联网设备安全与认证的系统和方法 | |
| CN112686668A (zh) | 联盟链跨链系统及方法 | |
| CN110362357A (zh) | 一种应用程序的配置文件管理方法及装置 | |
| CN113328997B (zh) | 联盟链跨链系统及方法 | |
| CN111435913A (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| CN111815321A (zh) | 交易提案的处理方法、装置、系统、存储介质和电子装置 | |
| CN112446039A (zh) | 区块链交易处理方法、装置、设备和存储介质 | |
| Li et al. | Bdra: Blockchain and decentralized identifiers assisted secure registration and authentication for vanets | |
| WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN113254972A (zh) | 一种基于区块链的信息安全管理方法 | |
| CN113259135A (zh) | 用于检测数据防篡改的轻量级区块链通信认证装置及其方法 | |
| CN112235301A (zh) | 访问权限的验证方法、装置和电子设备 | |
| CN111490874B (zh) | 一种配网安全防护方法、系统、装置及存储介质 | |
| CN114830572A (zh) | 一种数据传输方法、装置、设备、系统及存储介质 | |
| Kabir et al. | A blockchain-based approach to secure cloud connected IoT devices | |
| Kwon et al. | Certificate transparency with enhanced privacy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |