CN110365488A - 基于非可信环境下的认证方法、装置及系统 - Google Patents
基于非可信环境下的认证方法、装置及系统 Download PDFInfo
- Publication number
- CN110365488A CN110365488A CN201910663924.2A CN201910663924A CN110365488A CN 110365488 A CN110365488 A CN 110365488A CN 201910663924 A CN201910663924 A CN 201910663924A CN 110365488 A CN110365488 A CN 110365488A
- Authority
- CN
- China
- Prior art keywords
- authenticating party
- signature
- request data
- certificate request
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种基于非可信环境下的认证方法、装置及系统。该申请的方法包括智能合约接口获取任一参与认证方提交的证书申请数据;智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对所述证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。本申请解决小微用户构建PKI体系难度大的问题。
Description
技术领域
本申请涉及密码学技术领域,具体而言,涉及一种基于非可信环境下的认证方法、装置及系统。
背景技术
现有的证书体系公钥基础设施(Public Key Infrastructure,PKI)体系基于权威的第三方认证机构,安全性和防抵赖性依赖于权威机构背书,涉及行业较多较广,技术体系较重,对行业标准证书格式支持较好,对于自定义证书格式成本较高,适合行业企业客户。对于小微用户,构建自己的PKI体系,难度较大,而且也缺乏可信机构背书。
发明内容
本申请的主要目的在于提供一种基于非可信环境下的认证方法、装置及系统,以解决小微用户构建PKI体系难度大的问题。
为了实现上述目的,根据本申请的第一方面,提供了一种基于非可信环境下的认证方法。
根据本申请的基于非可信环境下的认证方法包括:
智能合约接口获取任一参与认证方提交的证书申请数据;
智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;
根据每一个参与认证方对所述证书申请数据的签名生成组签名;
根据组签名对应的组公钥对组签名进行合法性的认证;
如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
进一步的,所述方法还包括:
接收每一个参与认证方提交的与其对应的公钥以及公钥的签名;
对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
进一步的,所述根据每一个参与认证方对所述证书申请数据的签名生成组签名包括:
将所有参与认证方的基于私钥的签名基于BLS签名算法生成组签名。
进一步的,在根据每一个参与认证方对所述证书申请数据的签名生成组签名之前,所述方法还包括:
根据每一个参与认证方的公钥对其提供的签名进行合法性认证;
如果认证通过,则执行根据每一个参与认证方对所述证书申请数据的签名生成组签名。
进一步的,所述智能合约接口获取任一参与认证方提交的证书申请数据包括:
对每一个参与认证方进行事件监听;
若接收到提交证书申请数据的事件,则生成提示信息;
接收到提示信息后,根据提示信息获取对应的证书申请数据。
进一步的,所述数字证书中至少包括组公钥、组签名以及证书申请数据。
为了实现上述目的,根据本申请的第二方面,提供了一种基于非可信环境下的认证装置。
根据本申请的基于非可信环境下的认证装置包括:
获取单元,用于智能合约接口获取任一参与认证方提交的证书申请数据;
下发单元,用于智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;
组签名生成单元,用于根据每一个参与认证方对所述证书申请数据的签名生成组签名;
组签名认证单元,用于根据组签名对应的组公钥对组签名进行合法性的认证;
证书生成单元,用于如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
进一步的,所述装置还包括:
接收单元,用于接收每一个参与认证方提交的与其对应的公钥以及公钥的签名;
组公钥生成单元,用于对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
进一步的,所述组签名生成单元,用于:
将所有参与认证方的基于私钥的签名基于BLS签名算法生成组签名。
进一步的,所述装置还包括:
签名认证单元,在根据每一个参与认证方对所述证书申请数据的签名生成组签名之前,根据每一个参与认证方的公钥对其提供的签名进行合法性认证;
执行单元,用于如果认证通过,则执行根据每一个参与认证方对所述证书申请数据的签名生成组签名。
进一步的,所述获取单元包括:
监听模块,用于对每一个参与认证方进行事件监听;
提示信息生成模块,用于若接收到提交证书申请数据的事件,则生成提示信息;
获取模块,用于接收到提示信息后,根据提示信息获取对应的证书申请数据。
进一步的,所述数字证书中至少包括组公钥、组签名以及证书申请数据。
为了实现上述目的,根据本申请的第三方面,提供了一种基于非可信环境下的认证系统,所述系统包括智能合约接口、参与认证方:
所述智能合约接口,用于获取任一参与认证方提交的证书申请数据;智能合约接口向每一个参与认证方下发所述证书申请数据;根据每一个参与认证方对所述证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书;
所述参与认证方,用于向智能合约接口提交证书申请数据;接收智能合约下发的证书申请数据;对证书申请数据基于私钥进行签名;将签名后的证书申请数据返回给智能合约接口;接收智能合约接口生成的数字证书。
为了实现上述目的,根据本申请的第四方面,提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述第一方面中任一项所述的基于非可信环境下的认证方法。
在本申请实施例中,基于非可信环境下的认证方法、装置及系统通过智能合约接口获取任一参与认证方提交的证书申请数据;然后向每一个参与认证方下发证书申请数据,以使每一个参与认证方对证书申请数据基于私钥进行签名;根据每一个参与认证方对证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。可以看到,本申请中证书签发方案,可以运行在区块链上让多个参与认证方在非可信环境下共同签发证书,不再依赖第三方权威机构背书。参与认证方既可以是企业也可以是普通用户,通过智能合约可以灵活的设计证书字段,同时也保证了安全多方计算公开透明无法篡改。因此,本申请方案技术体系不重,而且成本较低,降低了小微企业实施的困难度。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种基于非可信环境下的认证方法流程图;
图2是根据本申请实施例提供的另一种基于非可信环境下的认证方法流程图;
图3是根据本申请实施例提供的一种基于非可信环境下的认证装置的组成框图;
图4是根据本申请实施例提供的另一种基于非可信环境下的认证装置的组成框图;
图5是根据本申请实施例提供的一种基于非可信环境下的认证系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
根据本申请实施例,提供了一种基于非可信环境下的认证方法,如图1所示,该方法包括如下的步骤S101至步骤S105:
S101.智能合约接口获取任一参与认证方提交的证书申请数据。
首先需要说明的是,本实施例是在区块链上实现的。智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。区块链上的所有用户都可以看到基于区块链的智能合约。智能合约接口是遵循智能合约的接口程序。每一个参与认证方都是区块链上的用户,当任一个参与认证方需要获取数字证书时,可以通过向智能合约接口提交证书申请数据,因此智能合约接口能够获取到任一参与认证方提交的证书申请数据。
S102.智能合约接口向每一个参与认证方下发证书申请数据。
本发明实施例是多方签发的方式,因此智能合约获取到任一参与认证方提交的证书申请数据后,需要将证书申请数据下发给每一个参与认证方,以使每一个参与认证方对证书申请数据进行签名。具体的签名是基于自身的私钥进行的签名。每一个参与认证方在对证书申请数据签名后,会将其返回给智能合约接口。
S103.接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对证书申请数据的签名生成组签名。
智能合约接口接收到每一个参与认证方对所述证书申请数据的签名后,会根据所有的签名生成组签名。组签名是根据所有的签名信息按照预设签名算法生成的。而且每一个签名信息相同的情况下,只能得到唯一的组签名,这样也是保证了组签名的可靠性。
S104.根据组签名对应的组公钥对组签名进行合法性的认证。
在生成组签名后还需要对组签名进行合法性的认证,本实施例中组签名的认证是通过组公钥进行认证的。组公钥是由每个参与认证方的公钥按照生成组签名的签名算法生成的。因此可以根据组公钥对组签名进行合法性的认证。
S105.如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
如果组签名通过了认证,则为提交证书申请数据的参与认证方生成数字证书,并下发给提交证书申请数据的参与认证方。数字证书中包含组公钥、组签名以及对应的证书申请数据。
从以上的描述中,可以看出,本申请实施例中基于非可信环境下的认证方法能够通过智能合约接口获取任一参与认证方提交的证书申请数据;然后向每一个参与认证方下发证书申请数据,以使每一个参与认证方对证书申请数据基于私钥进行签名;根据每一个参与认证方对证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。可以看到,本申请中证书签发方案,可以运行在区块链上让多个参与认证方在非可信环境下共同签发证书,不再依赖第三方权威机构背书。参与认证方既可以是企业也可以是普通用户,通过智能合约可以灵活的设计证书字段,同时也保证了安全多方计算公开透明无法篡改。因此,本申请方案技术体系不重,而且成本较低,降低了小微企业实施的困难度。
作为上述实施例的补充和细化,本申请实施例提供了另一种基于非可信环境下的认证方法,如图2所示,该方法包括:
S201.智能合约接口接收每一个参与认证方提交的与其对应的公钥以及公钥的签名,并对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
在本实施例中智能合约是所有的合法的参与认证方可以看到的,为了安全,在实际的应用中,智能合约接口提前设置有参与认证方的白名单,白名单里包括每一个合法的参与认证方的公钥、公钥的签名、公钥地址,白名单里的信息通常可以由其中一个参与认证方将其统一提供给智能合约接口。白名单作为验证参考认证方的合法性,对于验证不通过的非法的参与认证方无法访问智能合约接口以及进行证书的签发。具体的白名单作为验证参考认证方的合法性,即对公钥进行合法认证。
BLS签名算法是双线性映射的签名算法,双线性映射是由两个向量空间上的元素,生成第三个向量空间上一个元素的函数,并且该函数对每个元素都是线性的。给出具体的示例对生成组公钥的方式进行说明:假设有四个参与认证方,每个参与认证方提交的基于BLS签名算法的公钥分别为p1、p2、p3、p4,对应的组公钥为p,
组公钥p=p1+p2+p3+p4
组公钥是p1、p2、p3、p4通过双线性配对曲线上点坐标相加得到的。
S202.智能合约接口获取任一参与认证方提交的证书申请数据。
智能合约接口通过监听程序对每一个参与认证方进行事件监听;监听是否有参与认证方提交证书申请数据事件;若监听到提交证书申请数据的事件,则生成提示信息;接收到提示信息后,根据提示信息获取对应的证书申请数据。
S203.智能合约接口向每一个参与认证方下发证书申请数据。
本步骤的实现方式与图1中步骤102的实现方式相同,此处不再赘述。
S204.接收每一个参与认证方对证书申请数据的签名,并根据每一个参与认证方的公钥对其提供的签名进行合法性认证。
智能合约接口接收每一个参与认证方对证书申请数据基于私钥的签名后,对每一个签名进行合法性的认证,具体的认证方式是通过与每一个签名对应的参与认证的公钥进行认证的。
S205.如果认证通过,则根据每一个参与认证方对证书申请数据的签名生成组签名。
对于步骤S204的认证结果,如果通过认证,证明签名是合法的,然后再将所有参与认证方的基于私钥的签名基于BLS签名算法生成组签名。生成组签名的方式与生成组公钥的方式是相同的。给出具体的示例进行说明:
假设有4个参与认证方,他们对应的私钥为k1、k2、k3、k4,基于私钥的签名分别为sig1、sig2、sig3、sig4,则生成的组签名为sig,
sig=sig1+sig2+sig3+sig4
组签名是sig1、sig2、sig3、sig4通过双线性配对曲线上点坐标相加得到的。
S206.根据组签名对应的组公钥对组签名进行合法性的认证。
根据组签名对应的组公钥对组签名进行合法性的认证,相当于组私钥直接签名,组私钥是每一个参与认证方的私钥基于BLS算法生成的,组私钥相当于可信环境中的根私钥,本实施例中证书多方签发的方案隐藏了根私钥。
S207.如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
本步骤的实现方式与图1中步骤105的实现方式相同,此处不再赘述。
另外需要说明的是,本实施例利用了BLS算法私钥签名及公钥是曲线上一个坐标的特性,通过曲线上的坐标相加形成了组公钥和组签名,逻辑上多方的签名集合模拟出了组私钥的签名结果(组签名)。由于每一方都无法虚构各自签名,虚构的签名公钥验证无法通过,所以能够支持异步提交签名。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本申请实施例,还提供了一种用于实施上述图1和图2所述方法的基于非可信环境下的认证装置,如图3所示,该装置包括:
获取单元31,用于智能合约接口获取任一参与认证方提交的证书申请数据;
下发单元32,用于智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;
组签名生成单元33,用于接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对所述证书申请数据的签名生成组签名;
组签名认证单元34,用于根据组签名对应的组公钥对组签名进行合法性的认证;
证书生成单元35,用于如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
从以上的描述中,可以看出,本申请实施例中基于非可信环境下的认证装置能够通过智能合约接口获取任一参与认证方提交的证书申请数据;然后向每一个参与认证方下发证书申请数据,以使每一个参与认证方对证书申请数据基于私钥进行签名;根据每一个参与认证方对证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。可以看到,本申请中证书签发方案,可以运行在区块链上让多个参与认证方在非可信环境下共同签发证书,不再依赖第三方权威机构背书。参与认证方既可以是企业也可以是普通用户,通过智能合约可以灵活的设计证书字段,同时也保证了安全多方计算公开透明无法篡改。因此,本申请方案技术体系不重,而且成本较低,降低了小微企业实施的困难度。
进一步的,如图4所示,所述装置还包括:
接收单元36,用于接收每一个参与认证方提交的与其对应的公钥以及公钥的签名;
组公钥生成单元37,用于对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
进一步的,所述组签名生成单元,用于:
将所有参与认证方的基于私钥的签名基于BLS签名算法生成组签名。
进一步的,如图4所示,所述装置还包括:
签名认证单元38,在根据每一个参与认证方对所述证书申请数据的签名生成组签名之前,根据每一个参与认证方的公钥对其提供的签名进行合法性认证;
执行单元39,用于如果认证通过,则执行根据每一个参与认证方对所述证书申请数据的签名生成组签名。
进一步的,如图4所示,所述获取单元31包括:
监听模块311,用于对每一个参与认证方进行事件监听;
提示信息生成模块312,用于若接收到提交证书申请数据的事件,则生成提示信息;
获取模块313,用于接收到提示信息后,根据提示信息获取对应的证书申请数据。
进一步的,所述证书生成单元35中的数字证书中至少包括组公钥、组签名以及证书申请数据。
具体的,本申请实施例的装置中各模块实现其功能的具体过程可参见方法实施例中的相关描述,此处不再赘述。
根据本申请实施例,还提供了一种基于非可信环境下的认证系统,如图5所示,该系统包括智能合约接口、参与认证方(Client1、Client2、Client3、Client4):
智能合约接口,用于获取任一参与认证方提交的证书申请数据;智能合约接口向每一个参与认证方下发证书申请数据;根据每一个参与认证方对证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书;
参与认证方,用于向智能合约接口提交证书申请数据;接收智能合约下发的证书申请数据;对证书申请数据基于私钥进行签名;将签名后的证书申请数据返回给智能合约接口;接收智能合约接口生成的数字证书。
进一步的,如图5所示,智能合约接口在获取任一参与认证方提交的证书申请数据时,是通过监听事件的方式实现的,具体的过程可以参见上述图2实施例中的相关描述。在生成组签名之前还需要对每个签名进行合法性认证,合法性认证是通过对应的公钥进行认证的,因此参与认证方还需要向智能合约接口提交公钥;智能合约还需要根据每一个参与认证方提供的公钥生成组公钥,为组签名的合法性认证提供基础。最后生成的数字证书中包含了组公钥、组签名等。
具体的,本申请实施例的中各功能实现的具体过程可参见方法实施例中的相关描述,此处不再赘述。
从以上的描述中,可以看出,本申请实施例中基于非可信环境下的认证系统能够通过智能合约接口获取任一参与认证方提交的证书申请数据;然后向每一个参与认证方下发证书申请数据,以使每一个参与认证方对证书申请数据基于私钥进行签名;根据每一个参与认证方对证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。可以看到,本申请中证书签发方案,可以运行在区块链上让多个参与认证方在非可信环境下共同签发证书,不再依赖第三方权威机构背书。参与认证方既可以是企业也可以是普通用户,通过智能合约可以灵活的设计证书字段,同时也保证了安全多方计算公开透明无法篡改。因此,本申请方案技术体系不重,而且成本较低,降低了小微企业实施的困难度。
根据本申请实施例,还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行图1或图2所述的基于非可信环境下的认证方法。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于非可信环境下的认证方法,其特征在于,所述方法包括:
智能合约接口获取任一参与认证方提交的证书申请数据;
智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;
接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对所述证书申请数据的签名生成组签名;
根据组签名对应的组公钥对组签名进行合法性的认证;
如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
2.根据权利要求1所述的基于非可信环境下的认证方法,其特征在于,所述方法还包括:
接收每一个参与认证方提交的与其对应的公钥以及公钥的签名;
对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
3.根据权利要求1或2所述的基于非可信环境下的认证方法,其特征在于,所述根据每一个参与认证方对所述证书申请数据的签名生成组签名包括:
将所有参与认证方的基于私钥的签名基于BLS签名算法生成组签名。
4.根据权利要求2所述的基于非可信环境下的认证方法,其特征在于,在根据每一个参与认证方对所述证书申请数据的签名生成组签名之前,所述方法还包括:
根据每一个参与认证方的公钥对其提供的签名进行合法性认证;
如果认证通过,则执行根据每一个参与认证方对所述证书申请数据的签名生成组签名。
5.根据权利要求1所述的基于非可信环境下的认证方法,其特征在于,所述智能合约接口获取任一参与认证方提交的证书申请数据包括:
对每一个参与认证方进行事件监听;
若接收到提交证书申请数据的事件,则生成提示信息;
接收到提示信息后,根据提示信息获取对应的证书申请数据。
6.根据权利要求1所述的基于非可信环境下的认证方法,其特征在于,所述数字证书中至少包括组公钥、组签名以及证书申请数据。
7.一种基于非可信环境下的认证装置,其特征在于,所述装置包括:
获取单元,用于智能合约接口获取任一参与认证方提交的证书申请数据;
下发单元,用于智能合约接口向每一个参与认证方下发所述证书申请数据,以使每一个参与认证方对所述证书申请数据基于私钥进行签名;
组签名生成单元,用于接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对所述证书申请数据的签名生成组签名;
组签名认证单元,用于根据组签名对应的组公钥对组签名进行合法性的认证;
证书生成单元,用于如果通过认证,则为提交证书申请数据的参与认证方生成数字证书。
8.根据权利要求7所述的基于非可信环境下的认证装置,其特征在于,所述装置还包括:
接收单元,用于接收每一个参与认证方提交的与其对应的公钥以及公钥的签名;
组公钥生成单元,用于对公钥进行合法性认证后,将所有参与认证方的公钥基于BLS签名算法生成组公钥。
9.一种基于非可信环境下的认证系统,所述系统包括智能合约接口、参与认证方:
所述智能合约接口,用于获取任一参与认证方提交的证书申请数据;智能合约接口向每一个参与认证方下发所述证书申请数据;接收每一个参与认证方对所述证书申请数据的签名,并根据每一个参与认证方对所述证书申请数据的签名生成组签名;根据组签名对应的组公钥对组签名进行合法性的认证;如果通过认证,则为提交证书申请数据的参与认证方生成数字证书;
所述参与认证方,用于向智能合约接口提交证书申请数据;接收智能合约下发的证书申请数据;对证书申请数据基于私钥进行签名;将签名后的证书申请数据返回给智能合约接口;接收智能合约接口生成的数字证书。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行权利要求1至权利要求6中任一项所述的基于非可信环境下的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910663924.2A CN110365488B (zh) | 2019-07-23 | 2019-07-23 | 基于非可信环境下的认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910663924.2A CN110365488B (zh) | 2019-07-23 | 2019-07-23 | 基于非可信环境下的认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365488A true CN110365488A (zh) | 2019-10-22 |
| CN110365488B CN110365488B (zh) | 2020-05-15 |
Family
ID=68220581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910663924.2A Active CN110365488B (zh) | 2019-07-23 | 2019-07-23 | 基于非可信环境下的认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365488B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851813A (zh) * | 2019-11-11 | 2020-02-28 | 北京海益同展信息科技有限公司 | 身份验证方法、区块链系统的节点装置和区块链系统 |
| CN111245600A (zh) * | 2019-12-03 | 2020-06-05 | 江苏艾佳家居用品有限公司 | 基于区块链技术的鉴权认证方法和系统 |
| WO2021143178A1 (zh) * | 2020-01-14 | 2021-07-22 | 华为技术有限公司 | 一种车载传感器的认证方法、装置及系统 |
| CN114422138A (zh) * | 2021-12-06 | 2022-04-29 | 中国科学院信息工程研究所 | 一种域名所有者自定义验证策略的证书透明化方法和系统 |
| WO2022228423A1 (zh) * | 2021-04-29 | 2022-11-03 | 中国人民银行数字货币研究所 | 一种数字证书管理方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030237004A1 (en) * | 2002-06-25 | 2003-12-25 | Nec Corporation | Certificate validation method and apparatus thereof |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| WO2016208068A1 (ja) * | 2015-06-26 | 2016-12-29 | 三菱電機ビルテクノサービス株式会社 | 認証システム |
| CN109547205A (zh) * | 2017-09-22 | 2019-03-29 | 中国电信股份有限公司 | 认证方法和装置、物联网终端 |
| CN109560933A (zh) * | 2018-10-12 | 2019-04-02 | 阿里巴巴集团控股有限公司 | 基于数字证书的认证方法及系统、存储介质、电子设备 |
-
2019
- 2019-07-23 CN CN201910663924.2A patent/CN110365488B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030237004A1 (en) * | 2002-06-25 | 2003-12-25 | Nec Corporation | Certificate validation method and apparatus thereof |
| CN102404347A (zh) * | 2011-12-28 | 2012-04-04 | 南京邮电大学 | 一种基于公钥基础设施的移动互联网接入认证方法 |
| WO2016208068A1 (ja) * | 2015-06-26 | 2016-12-29 | 三菱電機ビルテクノサービス株式会社 | 認証システム |
| CN109547205A (zh) * | 2017-09-22 | 2019-03-29 | 中国电信股份有限公司 | 认证方法和装置、物联网终端 |
| CN109560933A (zh) * | 2018-10-12 | 2019-04-02 | 阿里巴巴集团控股有限公司 | 基于数字证书的认证方法及系统、存储介质、电子设备 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851813A (zh) * | 2019-11-11 | 2020-02-28 | 北京海益同展信息科技有限公司 | 身份验证方法、区块链系统的节点装置和区块链系统 |
| CN111245600A (zh) * | 2019-12-03 | 2020-06-05 | 江苏艾佳家居用品有限公司 | 基于区块链技术的鉴权认证方法和系统 |
| CN111245600B (zh) * | 2019-12-03 | 2022-12-16 | 江苏艾佳家居用品有限公司 | 基于区块链技术的鉴权认证方法和系统 |
| WO2021143178A1 (zh) * | 2020-01-14 | 2021-07-22 | 华为技术有限公司 | 一种车载传感器的认证方法、装置及系统 |
| CN113193959A (zh) * | 2020-01-14 | 2021-07-30 | 华为技术有限公司 | 一种车载传感器的认证方法、装置及系统 |
| CN113193959B (zh) * | 2020-01-14 | 2023-07-18 | 华为技术有限公司 | 一种车载传感器的认证方法、装置及系统 |
| WO2022228423A1 (zh) * | 2021-04-29 | 2022-11-03 | 中国人民银行数字货币研究所 | 一种数字证书管理方法和装置 |
| CN114422138A (zh) * | 2021-12-06 | 2022-04-29 | 中国科学院信息工程研究所 | 一种域名所有者自定义验证策略的证书透明化方法和系统 |
| CN114422138B (zh) * | 2021-12-06 | 2024-03-01 | 中国科学院信息工程研究所 | 一种域名所有者自定义验证策略的证书透明化方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365488B (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365488A (zh) | 基于非可信环境下的认证方法、装置及系统 | |
| CN109672539A (zh) | Sm2算法协同签名及解密方法、装置及系统 | |
| CN107733648B (zh) | 一种基于身份的rsa数字签名生成方法及系统 | |
| CN101951388B (zh) | 一种可信计算环境中的远程证明方法 | |
| JP4932168B2 (ja) | 新しいフェア・ブラインド署名プロセス | |
| CN109672537A (zh) | 基于公钥池的抗量子证书获取系统及获取方法 | |
| CN109005035A (zh) | 一种网联汽车远程匿名签发验证通信系统及方法 | |
| CN102546173B (zh) | 基于证书的数字签名系统及签名方法 | |
| CN101821987A (zh) | 有效认证电子邮件协议 | |
| CN110278082A (zh) | 一种群组数字签名的群组成员发布方法和设备 | |
| Huang et al. | Certificateless designated verifier signature schemes | |
| CN103220146B (zh) | 基于多变量公钥密码体制的零知识数字签名方法 | |
| CN113095827A (zh) | 匿名多重签名方法、计算机设备和存储介质 | |
| CN110378151A (zh) | 一种支持国密算法的教育区块链的成绩管理方法 | |
| CN111010265A (zh) | 基于分层密钥和bls数字签名的区块链组织密钥管理方法 | |
| CN110113334A (zh) | 基于区块链的合同处理方法、设备及存储介质 | |
| CN112149156B (zh) | 用于公开记录的属性和数据条目的系统和选择器及其方法 | |
| CN109918888A (zh) | 基于公钥池的抗量子证书颁发方法及颁发系统 | |
| CN108494559A (zh) | 一种基于半可信第三方的电子合同签订方法 | |
| CN111654366A (zh) | 一种安全的pki与ibc之间的双向异构强指定验证者签名方法 | |
| CN114944937B (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
| CN108259180B (zh) | 一种量子指定验证者签名的方法 | |
| CN109766716A (zh) | 一种基于可信计算的匿名双向认证方法 | |
| CN109617700A (zh) | 基于无证书的单向多跳代理重签名方法 | |
| CN113541960A (zh) | 一种基于联邦学习的网络认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |