CN110855679B - 一种uPKI联合公钥认证方法及系统 - Google Patents

一种uPKI联合公钥认证方法及系统 Download PDF

Info

Publication number
CN110855679B
CN110855679B CN201911123945.1A CN201911123945A CN110855679B CN 110855679 B CN110855679 B CN 110855679B CN 201911123945 A CN201911123945 A CN 201911123945A CN 110855679 B CN110855679 B CN 110855679B
Authority
CN
China
Prior art keywords
witness
authentication
node
nodes
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911123945.1A
Other languages
English (en)
Other versions
CN110855679A (zh
Inventor
梁滢峰
李子阳
杨标
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weway Shenzhen Network Technology Co ltd
Original Assignee
Weway Shenzhen Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Weway Shenzhen Network Technology Co ltd filed Critical Weway Shenzhen Network Technology Co ltd
Priority to CN201911123945.1A priority Critical patent/CN110855679B/zh
Publication of CN110855679A publication Critical patent/CN110855679A/zh
Application granted granted Critical
Publication of CN110855679B publication Critical patent/CN110855679B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种uPKI联合公钥认证方法及系统,该认证方法包括以下步骤:分布式网络中群管理员发起投票,选出一定数量的见证节点;群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由一定数量的见证节点共同认证。本发明有如下功效:CA数字认证中心的层级扁平化,相互之间完全独立;CA证书的有效性与真实性由多个CA数字认证中心来共同保证;避免了现有PKI存在的信任中心化问题。

Description

一种uPKI联合公钥认证方法及系统
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种uPKI联合公钥认证方法及系统。
背景技术
PKI(Public Key Infrastructure)是一个利用实现并提供安全服务的具有通用性的技术规范和标准,是管理非对称加密算法的密钥和确认信息、整合数字证书、公钥加密技术和CA的系统。PKI结合了软件、加密技术和组织需要进行非对称加密算法的服务。
PKI是一种遵循既定标准的密钥管理平台,它通过“信息加密”和“数字签名”等密码服务及所必需的密钥和证书管理体系,为实现网络通信保密性、完整性和不可否认性的一套完整、成熟可靠的解决方案。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI主要有以下组成部分:
(1)、CA数字认证中心:PKI的重要内容,负责为用户发放包含身份认证的数字证书。数字证书是PKI用户身份信息以及用户密钥的集合,通过认证后用户能与相应的系统进行数据通信。
(2)、数字证书目录服务器:主要为用户提供发送数字证书以及对数字证书的查询服务,通过查询服务可以对证书的真实性进行确定,还可以查询被列为黑名单的数字证书信息。
(3)、具有高强度密码算法的安全服务器:主要用来识别数字证书拥有者的身份,以及作为在使用互联网服务时通信的必要通道。
(4)、安全通信平台:由服务端和客户端两部分组成,通过具有高强度密码算法的TLS协议保证客户端和服务器端数据的机密性、完整性、身份认证。
(5)、信息化系统:包括第三方CA认证中心、CA证书存储库、CA证书撤销系统、密钥恢复以及备份系统、应用PKI接口,形成一个完整的PKI应用体系。
现有PKI存在信任中心化的问题,CA证书的有效性与真实性完全由其直接颁发者(CA数字认证中心)来保证,而其他所有的CA数字认证中心都无法再对这一证书提供进一步保证。由于CA数字认证中心有层级之分,处于低层级的CA数字认证中心的可信任度更加难以保证。
uPKI就是为了解决现有PKI的信任中心化问题。uPKI的CA证书的有效性与真实性由多个CA数字认证中心来共同保证,避免了信任中心化问题的出现,本发明基于此而研发。
发明内容
本发明正是针对上述的技术问题,提供一种uPKI联合公钥认证方法及系统,避免了信任中心化问题的出现。
为实现上述目的,本发明的具体技术方案如下:
一种uPKI联合公钥认证方法,包括以下步骤:
分布式网络中群管理员发起投票,选出一定数量的见证节点;
群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由一定数量的见证节点共同认证。
可选地,群管理员认证见证节点时,用授权账号的公钥对见证节点授权签名进行认证。
可选地,当机构节点要加入分布式网络,具体认证方法如下:
该机构节点提交申请认证的资料;
随机从符合条件的见证节点中选出对该机构节点进行认证的见证节点,被选出的见证节点要在规定的时间内完成认证,超时视为放弃;
被选出的见证节点认证资料后,签发CA证书;
随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证;
参与认证的见证节点参与认证投票,独立决定是否让认证通过。
可选地,参与认证的见证节点参与认证投票,独立决定是否让认证通过,其通过机制遵循投票多数有效原则,如果见证节点对最后投票结果有异议,可以提请群管理员进行仲裁。
本发明还提供一种uPKI联合公钥认证系统,其由分布式网络组成,该分布式网络的节点由见证节点和已认证的机构节点组成;
所述见证节点由分布式网络中群管理员发起投票提前选出;群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由一定数量的见证节点共同认证。
可选地,群管理员认证见证节点时,用授权账号的公钥对见证节点授权签名进行认证。
可选地,当机构节点要加入分布式网络,具体认证方法如下:
该机构节点提交申请认证的资料;
随机从符合条件的见证节点中选出对该机构节点进行认证的见证节点,被选出的见证节点要在规定的时间内完成认证,超时视为放弃;
被选出的见证节点认证资料后,签发CA证书;
随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证;
参与认证的见证节点参与认证投票,独立决定是否让认证通过。
可选地,参与认证的见证节点参与认证投票,独立决定是否让认证通过,其通过机制遵循投票多数有效原则,如果见证节点对最后投票结果有异议,可以提请群管理员进行仲裁。
在互联网应用中,采用uPKI来替代PKI,有如下功效:
(1)、CA数字认证中心的层级扁平化,相互之间完全独立;
(2)、CA证书的有效性与真实性由多个CA数字认证中心来共同保证;
(3)、基于以上两点,避免了现有PKI存在的信任中心化问题。
附图说明
图1是本发明实施例见证节点的选举过程;
图2是本发明实施例机构节点的认证流程。
具体实施方式
为了便于本领域的普通技术人员能够理解并实施本发明,下面将结合附图对本发明实施例作进一步说明。
本发明提供的一种uPKI联合公钥认证方法,包括以下步骤:
分布式网络中群管理员发起投票,选出一定数量的见证节点;
群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由一定数量的见证节点共同认证。
以下实施例,分布式网络中群管理员为该网络社区成立的基金会,基于此具体描述uPKI在一个自治的分布式网络中的应用。
该分布式网络的节点由见证节点和机构节点组成。网络中的见证节点将完成互联网中的CA数字认证中心的类似职责,它们由该网络社区成立的基金会提前选出。机构节点为网络中的普通节点,它们各自代表着一个网络参与实体。在加入网络前,它们需要从见证节点处申请到CA证书。
分布式网络的统筹工作由社区成立的基金会来完成,其中最重要的工作是选举网络中的见证节点。见证节点选举完成后,网络中机构节点的认证和加入管理工作由见证节点来协同完成。机构节点可以是在现实世界登记存在的法定组织、企业、单位、社团、协会、基金会;可以是中心化世界中权威的机构,包括政府部门等;可以是跨越国界,仅存在于互联网内的数字化的组织。
结合图1,本发明的uPKI联合公钥认证方法如下:
(1)基金会发起投票,选出一定数量的见证节点;
(2)被选出的见证节点,基金会用授权账号的私钥对见证节点公钥签名作为授权签名保存;认证时,用授权账号的公钥对见证节点授权签名进行认证;
(3)、当有机构节点要加入网络时,有意向的见证节点将竞争对机构节点的认证权力,胜出的见证节点将对机构节点进行认证,并且向机构节点颁发CA证书;
(4)、机构节点通过CA证书提供身份证明加入网络,CA证书由一定数量的见证节点共同认证。
参考图2,本发明中机构节点的认证流程为:
(1)、机构部署节点,提交申请资料;
(2)、见证节点随机从由符合条件的见证节点中选出,见证节点要在一天内完成认证,超时视为放弃;
(3)、见证节点认证资料后,签发CA证书;
(4)、随机中见证节点中选出3个见证节点,对签发的进行认证;
(5)、参与认证的见证节点参与认证投票,独立决定是否让认证通过;
(6)、通过机制遵循投票多数有效原则。如果见证节点对最后开票结果有异议,可以提请基金会进行仲裁。
其中,机构节点的认证说明如下:
a)、机构节点向见证节点提供身份数据(公司名称、机构号码、姓名、身份证号等)以用于认证,见证节点有义务确保机构节点的身份数据真实有效。身份数据的有效性验证由见证节点通过本分布式网络之外的方式来进行,如线下认证等。具体的验证方式由见证节点自行选择;
b)、认证费用可以免费,由见证节点决定。例如:作为见证节点的高校节点,可以选择免费为本校学生进行身份认证;
c)、所有机构节点被认证后一年有效,每一年需要重新认证;
d)、机构节点认证成功后,其证书在使用时,由各节点独立验证有效性。
本发明中还提供上述uPKI联合公钥认证系统,其由分布式网络组成,该分布式网络的节点由见证节点和已认证的机构节点组成;
所述见证节点由分布式网络中基金会发起投票提前选出;基金会用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由一定数量的见证节点共同认证。
本发明中所应用的CA证书为标准CA证书格式;所涉及的公私钥加密、签名算法为公共通用算法。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种uPKI联合公钥认证方法,其特征在于,包括以下步骤:
分布式网络中群管理员发起投票,选出一定数量的见证节点;
群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书,其中,随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证;该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由随机在见证节点中选出大于1的奇数个见证节点共同认证。
2.根据权利要求1所述的uPKI联合公钥认证方法,其特征在于,群管理员认证见证节点时,用授权账号的公钥对见证节点授权签名进行认证。
3.根据权利要求1或2所述的uPKI联合公钥认证方法,其特征在于,当机构节点要加入分布式网络,具体认证方法如下:
该机构节点提交申请认证的资料;
随机从符合条件的见证节点中选出对该机构节点进行认证的见证节点,被选出的见证节点要在规定的时间内完成认证,超时视为放弃;
被选出的见证节点认证资料后,签发CA证书;
随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证;
参与认证的见证节点参与认证投票,独立决定是否让认证通过。
4.根据权利要求1或2所述的uPKI联合公钥认证方法,其特征在于,参与认证的见证节点参与认证投票,独立决定是否让认证通过,其通过机制遵循投票多数有效原则,如果见证节点对最后投票结果有异议,可以提请群管理员进行仲裁。
5.一种uPKI联合公钥认证系统,其特征在于,其包括分布式网络,该分布式网络的节点由见证节点和已认证的机构节点组成;
所述见证节点由分布式网络中群管理员发起投票提前选出;群管理员用授权账号的私钥,对被选出的见证节点公钥签名,作为授权签名保存;
当有机构节点要加入分布式网络,有意向的见证节点将竞争对该机构节点的认证权力,胜出的见证节点将对该机构节点进行认证,并且向该机构节点颁发CA证书;其中,随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证,该机构节点通过CA证书提供身份证明加入分布式网络,CA证书由随机在见证节点中选出大于1的奇数个见证节点共同认证。
6.根据权利要求5所述的uPKI联合公钥认证系统,其特征在于,群管理员认证见证节点时,用授权账号的公钥对见证节点授权签名进行认证。
7.根据权利要求5所述的uPKI联合公钥认证系统,其特征在于,当机构节点要加入分布式网络,具体认证方法如下:
该机构节点提交申请认证的资料;
随机从符合条件的见证节点中选出对该机构节点进行认证的见证节点,被选出的见证节点要在规定的时间内完成认证,超时视为放弃;
被选出的见证节点认证资料后,签发CA证书;
随机在见证节点中选出大于1的奇数个见证节点,对签发的CA证书进行认证;
参与认证的见证节点参与认证投票,独立决定是否让认证通过。
8.根据权利要求5所述的uPKI联合公钥认证系统,其特征在于,参与认证的见证节点参与认证投票,独立决定是否让认证通过,其通过机制遵循投票多数有效原则,如果见证节点对最后投票结果有异议,可以提请群管理员进行仲裁。
CN201911123945.1A 2019-11-15 2019-11-15 一种uPKI联合公钥认证方法及系统 Active CN110855679B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911123945.1A CN110855679B (zh) 2019-11-15 2019-11-15 一种uPKI联合公钥认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911123945.1A CN110855679B (zh) 2019-11-15 2019-11-15 一种uPKI联合公钥认证方法及系统

Publications (2)

Publication Number Publication Date
CN110855679A CN110855679A (zh) 2020-02-28
CN110855679B true CN110855679B (zh) 2021-11-30

Family

ID=69601498

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911123945.1A Active CN110855679B (zh) 2019-11-15 2019-11-15 一种uPKI联合公钥认证方法及系统

Country Status (1)

Country Link
CN (1) CN110855679B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106372941A (zh) * 2016-08-31 2017-02-01 江苏通付盾科技有限公司 基于区块链的ca认证管理方法、装置及系统
CN106789090A (zh) * 2017-02-24 2017-05-31 陈晶 基于区块链的公钥基础设施系统及半随机联合证书签名方法
CN107070644A (zh) * 2016-12-26 2017-08-18 北京科技大学 一种基于信任网络的去中心化公钥管理方法和管理系统
CN107360001A (zh) * 2017-07-26 2017-11-17 阿里巴巴集团控股有限公司 一种数字证书管理方法、装置和系统
CN107769925A (zh) * 2017-09-15 2018-03-06 山东大学 基于区块链的公钥基础设施系统及其证书管理方法
CN109992953A (zh) * 2019-02-18 2019-07-09 深圳壹账通智能科技有限公司 区块链上的数字证书签发、验证方法、设备、系统及介质
CN109995737A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 去中心化的数字证书管理方法及装置、节点、系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106372941A (zh) * 2016-08-31 2017-02-01 江苏通付盾科技有限公司 基于区块链的ca认证管理方法、装置及系统
CN107070644A (zh) * 2016-12-26 2017-08-18 北京科技大学 一种基于信任网络的去中心化公钥管理方法和管理系统
CN106789090A (zh) * 2017-02-24 2017-05-31 陈晶 基于区块链的公钥基础设施系统及半随机联合证书签名方法
CN107360001A (zh) * 2017-07-26 2017-11-17 阿里巴巴集团控股有限公司 一种数字证书管理方法、装置和系统
CN107769925A (zh) * 2017-09-15 2018-03-06 山东大学 基于区块链的公钥基础设施系统及其证书管理方法
CN109995737A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 去中心化的数字证书管理方法及装置、节点、系统
CN109992953A (zh) * 2019-02-18 2019-07-09 深圳壹账通智能科技有限公司 区块链上的数字证书签发、验证方法、设备、系统及介质

Also Published As

Publication number Publication date
CN110855679A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
US10284379B1 (en) Public key infrastructure based on the public certificates ledger
CN107196966B (zh) 基于区块链的多方信任的身份认证方法和系统
CN108599954B (zh) 基于分布式账本的身份验证方法
US10567370B2 (en) Certificate authority
US7937584B2 (en) Method and system for key certification
CN101521569B (zh) 实现服务访问的方法、设备及系统
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及系统
CN109450877B (zh) 基于区块链的分布式IDaaS身份统一认证系统
US10742426B2 (en) Public key infrastructure and method of distribution
EP3376708A1 (en) Anonymous communication system and method for subscribing to said communication system
CN108462696B (zh) 一种去中心化的区块链智能身份认证系统
CN101567780A (zh) 一种针对加密数字证书的密钥管理与恢复方法
KR20060049245A (ko) 보안성이 높은 네트워크를 통한 전자 투표 방법 및 시스템
CN110636051B (zh) 一种基于多用户ca数字证书的区块链交易方法
CN111163109B (zh) 区块链去中心式节点防仿冒方法
US20070186097A1 (en) Sending of public keys by mobile terminals
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
WO2014069985A1 (en) System and method for identity-based entity authentication for client-server communications
CN115688191A (zh) 一种基于区块链的电子签章系统及方法
CN107135081A (zh) 一种双证书ca系统及其实现方法
CN113468570A (zh) 基于智能合约的隐私数据共享方法
CN112529573A (zh) 一种组合式区块链门限签名方法及系统
CN114154125A (zh) 云计算环境下区块链无证书的身份认证方案
CN113536347A (zh) 一种基于数字签名的招投标方法及系统
JP7209518B2 (ja) 通信装置、通信方法、および通信プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A method and system of uPKI joint public key authentication

Effective date of registration: 20221216

Granted publication date: 20211130

Pledgee: GUANGDONG NANFANG TELECOMMUNICATION CONSTRUCTION CO.,LTD.

Pledgor: WEWAY (SHENZHEN) NETWORK TECHNOLOGY CO.,LTD.

Registration number: Y2022440000332

PE01 Entry into force of the registration of the contract for pledge of patent right