CN111262860A - 跨链模式下的身份认证方法及装置 - Google Patents

跨链模式下的身份认证方法及装置 Download PDF

Info

Publication number
CN111262860A
CN111262860A CN202010047728.5A CN202010047728A CN111262860A CN 111262860 A CN111262860 A CN 111262860A CN 202010047728 A CN202010047728 A CN 202010047728A CN 111262860 A CN111262860 A CN 111262860A
Authority
CN
China
Prior art keywords
chain
cross
initiating
link
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010047728.5A
Other languages
English (en)
Other versions
CN111262860B (zh
Inventor
伍前红
刘一欣
王申
张盼
何丽
牛俊翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Aisino Corp
Original Assignee
Beihang University
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University, Aisino Corp filed Critical Beihang University
Priority to CN202010047728.5A priority Critical patent/CN111262860B/zh
Publication of CN111262860A publication Critical patent/CN111262860A/zh
Application granted granted Critical
Publication of CN111262860B publication Critical patent/CN111262860B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明公开了一种跨链模式下的身份认证方法及装置,应用于跨链系统中,跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,方法包括:判断跨链发起链A链的认证方式;在跨链发起链A链申请加入跨链系统时,超级链验证跨链发起链A链的证书,并在达成共识后,允许跨链发起链A链加入跨链系统;在跨链发起链A链向跨链接受链B链发起跨链请求时,跨链接受链B链向超级链申请,以获取跨链发起链A链的证书,并验证跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。该方法有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性。

Description

跨链模式下的身份认证方法及装置
技术领域
本发明涉及通信系统中的信息安全技术领域,特别涉及一种跨链模式下的身份认证方法及装置。
背景技术
区块链是一种去中心化、无需信任的分布式数据账本技术,它通过密码学技术让网络中的所有节点共同拥有、管理和监督数据,系统的运转不接受任何单一节点的控制,从而具有不可伪造、不可篡改、可追溯等特点。随着区块链项目的蓬勃发展,出现了越来越多的链,但大多数都是以一条独立链的形态存在,每一条链都有自己的用户群体,链与链之间缺乏价值传递的通道,造成了信息的价值孤岛现象。区块链技术正在被多个主链所形成的独立生态割裂开来,分割的生态无法让区块链的用户连成一个整体,不利于网络效应的发挥。如何实现链与链之间数据的互联互通、如何通过跨链技术提升区块链可扩展性是学术界和工业界关注的重点问题。
跨链技术是打通链与链之间价值传递的障碍、实现区块链性能拓展、功能丰富、生态链接的重要手段,是将链联网构建成继互联网、物联网的下一个基础架构网络关键技术。身份认证往往是安全系统的第一道门,所以对系统安全性有着极为重要的影响。但在实际应用中,不同机构和服务间需要进行交互,存在跨越多个安全域进行访问的需求,每个安全域内可能都存在一套本域身份管理机制,在这种情况下,需要进行交叉认证,实现跨域互联,难以采取统一方式实现身份联合和单点登录,存在跨域访问时用户身份隐私泄露的风险,并且带来了重复认证的额外运行开销。
因此,设计不同链间合理高效的用户身份管理和认证机制是解决跨链读写权限问题的关键技术。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种跨链模式下的身份认证方法,该方法有效解决跨链过程中的读写权限问题,保证身份的真实性。
本发明的另一个目的在于提出一种跨链模式下的身份认证装置。
为达到上述目的,本发明一方面实施例提出了一种跨链模式下的身份认证方法,应用于跨链系统中,所述跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,方法包括:判断所述跨链发起链A链的认证方式;在所述跨链发起链A链申请加入所述跨链系统时,所述超级链验证所述跨链发起链A链的证书,并在达成共识后,允许所述跨链发起链A链加入所述跨链系统;在所述跨链发起链A链向所述跨链接受链B链发起跨链请求时,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。
本发明实施例的跨链模式下的身份认证方法,通过引入超级链,为下层业务链之间提供证书存证,在业务链间建立身份认证通道,让链外的身份能以合理可用的方式通过链内的验证,保证每次成功的跨链读写只由具有合法身份的节点发起和进行,跨链读写操作不会对原有的联盟链系统造成任何恶意破坏;从而有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性。
另外,根据本发明上述实施例的跨链模式下的身份认证方法还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,在所述跨链发起链A链申请加入所述跨链系统时,还包括:在所述跨链发起链A将注册请求信息发送到所述超级链后,所述超级链接收到所述跨链发起链A的加入请求,将所述跨链发起链A的证书和签名信息发送给共识节点。
进一步地,在本发明的一个实施例中,还包括:接收到所述共识节点的验证消息,所述超级链将标识发送给所述跨链发起链A,使得所述跨链发起链A获得在跨链系统中的所述标识。
进一步地,在本发明的一个实施例中,还包括:在所述跨链发起链A对所述超级链发出更新证书请求之后,所述超级链所述跨链发起链A原有的签名与新的签名是否一致;在所述跨链发起链A接受所述超级链发送的确认信息后,证书更新成功。
进一步地,在本发明的一个实施例中,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,包括:在所述跨链发起链A对所述跨链接受链B链发起查询请求后,向所述超级链发起关于所述跨链发起链A链证书信息的查询请求;在所述超级链接收到所述跨链接受链B的查询请求,并向所述跨链接受链B答复关于所述跨链发起链A的证书信息后,验证所述跨链发起链A的身份信息,并对状态查询请求做出答复。
为达到上述目的,本发明另一方面实施例提出了一种跨链模式下的身份认证装置,应用于跨链系统中,所述跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,装置包括:判断模块,用于判断所述跨链发起链A链的认证方式;第一认证模块,用于在所述跨链发起链A链申请加入所述跨链系统时,所述超级链验证所述跨链发起链A链的证书,并在达成共识后,允许所述跨链发起链A链加入所述跨链系统;第二认证模块,用于在所述跨链发起链A链向所述跨链接受链B链发起跨链请求时,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。
本发明实施例的跨链模式下的身份认证装置,通过引入超级链,为下层业务链之间提供证书存证,在业务链间建立身份认证通道,让链外的身份能以合理可用的方式通过链内的验证,保证每次成功的跨链读写只由具有合法身份的节点发起和进行,跨链读写操作不会对原有的联盟链系统造成任何恶意破坏;从而有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性。
另外,根据本发明上述实施例的跨链模式下的身份认证装置还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,还包括:发送模块,用于在所述跨链发起链A链申请加入所述跨链系统时,且在所述跨链发起链A将注册请求信息发送到所述超级链后,所述超级链接收到所述跨链发起链A的加入请求,将所述跨链发起链A的证书和签名信息发送给共识节点。
进一步地,在本发明的一个实施例中,还包括:接收模块,用于接收到所述共识节点的验证消息,所述超级链将标识发送给所述跨链发起链A,使得所述跨链发起链A获得在跨链系统中的所述标识。
进一步地,在本发明的一个实施例中,还包括:更新模块,用于在所述跨链发起链A对所述超级链发出更新证书请求之后,所述超级链验证所述跨链发起链A原有的签名与新的签名是否一致;在所述跨链发起链A接受所述超级链发送的确认信息后,证书更新成功。
进一步地,在本发明的一个实施例中,所述第二认证模块进一步用于在所述跨链发起链A对所述跨链接受链B链发起查询请求后,向所述超级链发起关于所述跨链发起链A链证书信息的查询请求;在所述超级链接收到所述跨链接受链B的查询请求,并向所述跨链接受链B答复关于所述跨链发起链A的证书信息后,验证所述跨链发起链A的身份信息,并对状态查询请求做出答复。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的跨链模式下的身份认证方法的流程图;
图2为根据本发明一个实施例的跨链模式下的身份认证方法的流程图;
图3为根据本发明一个实施例的业务链请求加入跨链系统的流程图;
图4为根据本发明一个实施例的证书更新的流程图;
图5为根据本发明一个实施例的业务链间跨链读写请求及更改数据的流程图;
图6为根据本发明实施例的跨链模式下的身份认证装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的跨链模式下的身份认证方法及装置,首先将参照附图描述根据本发明实施例提出的跨链模式下的身份认证方法。
图1是本发明一个实施例的跨链模式下的身份认证方法的流程图。
如图1所示,该跨链模式下的身份认证方法,应用于跨链系统中,跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,方法包括以下步骤:
在步骤S101中,判断跨链发起链A链的认证方式。
需要说明的是,本发明实施例涉及跨链发起链A链,超级链和跨链接受链B链。跨链发起链A链和跨链接受链B链均为业务链,业务链是系统内底层设施,是实现业务功能的联盟链,存有所有业务所需数据,可单独运行。超级链是系统内上层设施,存有全体业务链节点证书,以保证跨链通信过程中的身份验证合法有效。每条业务链均需从超级链申请证书并在超级链上登记后才可加入系统,以确保其他业务链能够从超级链上获取到正确的节点证书来进行身份验证。跨链特指两条不同业务链之间共同完成对某一数据的状态更新,必要时可在超级链的协助下完成业务链之间的跨链。跨链请求仅在系统中的业务链间进行,同时系统中的任何跨链请求数据均需本链对其签名后才可发送。
可以理解的是,由于任何一条业务链请求加入跨链系统和两条业务链间进行跨链读写请求时需要进行身份认证,且由于跨链与跨链请求在进行身份认证时认证方式不同,因此,本发明实施例需要首先确定跨链发起链A链的认证方式,然后根据A链的认证方式执行不同的认证流程。
其中,本发明实施例涉及如下两种身份认证情况:(1)业务链请求加入跨链系统需要身份认证;(2)业务链间跨链读写请求及更改数据需要身份认证。下面将分别进行详细阐述。
在步骤S102中,在跨链发起链A链申请加入跨链系统时,超级链验证跨链发起链A链的证书,并在达成共识后,允许跨链发起链A链加入跨链系统。
可以理解是,在业务链请求加入跨链系统时,超级链验证业务链身份的真实性,判断是否允许加入系统。A链向超级链发出申请,并将证书上传到超级链上,超级链节点验证证书信息,通过Fabric的共识机制,验证证书的真实性。当超级链中三个节点达成共识并对证书签名,将允许A链加入系统,保证A链中的所有节点都是合法节点。
例如,如图2所示,业务链请求加入跨链系统需要身份认证包括:(1)业务链A申请加入跨链系统;(2)超级链对业务链A进行身份认证,验证业务链A提供的证书;若超级链的节点达成共识,认定业务链A提供的证书真实,允许业务链A加入跨链系统。
进一步地,在本发明的一个实施例中,在跨链发起链A链申请加入跨链系统时,还包括:在跨链发起链A将注册请求信息发送到超级链后,超级链接收到跨链发起链A的加入请求,将跨链发起链A的证书和签名信息发送给共识节点;接收到共识节点的验证消息,超级链将标识发送给跨链发起链A,使得跨链发起链A获得在跨链系统中的标识。
可以理解的是,业务链A链申请加入跨链系统,将注册请求信息发送到超级链;超级链接收到业务链A的加入请求,将业务链A的证书和签名信息发送给共识节点;超级链中共识节点验证业务链A的证书和签名,并对证书签名,达成共识,允许业务链A加入系统;超级链接收到共识节点的验证消息,超级链将标识发送给业务链A;业务链A获得自己在跨链系统中的标识,业务链A成功加入跨链系统。
具体而言,如图3所示,业务链注册申请进入跨链系统,超级链验证业务链证书,超级链中的共识节点间需要到成共识,允许业务链加入跨链系统,具体包括以下步骤:
步骤1:业务链A链申请加入跨链系统,将注册请求信息(CertA,SigA)发送到超级链。
在提交的注册元组中,CertA表示业务链A的证书;SigA表示业务链A关于注册请求的签名。
步骤2:超级链接收到业务链A的加入请求,对业务链A的注册元组进行签名,并将(CertA,SigA,SigS)发送给各共识节点。
步骤3:各共识节点收到背书请求,先用确认超级链的身份信息,并使用超级链的公钥PKS对SigS进行验证,确认SigS是超级链使用自己的身份生成的。
根据制定的背书策略,需要至少三个用于背书的共识节点同意。各节点首先验证业务链A的签名SigA是否合法,检查业务链A的证书是否真实可信,确认是否具有权限加入跨链系统,同时,共识节点需要进行格式检查等其他信息。若有三个共识节点对证书进行签名SigP1,SigP2,SigP3,达成一致,则验证消息(CertA,SigP1,SigP2,SigP3)发送至超级链。
其中,SigP1,SigP2,SigP3为任意三个共识节点对业务链A提供的证书及签名认可而生成的签名。
步骤4:超级链接收到共识节点的验证消息,根据共识节点的公钥PKP1,PKP2,PKP3对SigP1,SigP2,SigP3进行验证,确认SigP1,SigP2,SigP3是各共识节点使用自己的身份生成的。则同意业务链A加入跨链系统,并分发给业务链A相应的标识IDA。超级链将(IDA,
Figure BDA0002370025480000061
)发送给业务链A。
步骤5:业务链A确认超级链的身份信息,使用超级链的公钥
Figure BDA0002370025480000062
Figure BDA0002370025480000063
进行验证,确认
Figure BDA0002370025480000064
是超级链使用自己的身份生成的。业务链A获得自己在跨链系统中的标识,业务链A成功加入跨链系统。
进一步地,在本发明的一个实施例中,还包括:在跨链发起链A对超级链发出更新证书请求之后,超级链跨链发起链A原有的签名与新的签名是否一致;在跨链发起链A接受超级链发送的确认信息后,证书更新成功。
可以理解的是,业务链A对超级链发出更新证书请求,并发送给超级链;超级链接收到业务链A的证书更新请求,验证业务链A原有的签名与新的签名是否一致;业务链A接受超级链发送的确认信息,业务链A证书更新成功。
需要说明的是,在保证A链中的所有节点都是合法节点的同时,要对超级链中存储的证书进行更新,A链上所有节点对证书进行签名,超级链使用原有签名对新签名进行验证,若签名一致,则更新证书。
具体而言,如图4所示,业务链根据其节点变化情况,更新存储在超级链中的证书,保证证书的有效性,具体包括以下步骤:(以业务链A为例)
步骤1:业务链A对超级链发出更新证书请求,将(
Figure BDA0002370025480000065
SigA1,SigA2,...SigAn)发送给超级链。在提交的证书更新元组中,
Figure BDA0002370025480000066
表示业务链A准备更新的证书;SigA1,SigA2,...SigAn表示业务链A中所有节点的签名。
步骤2:超级链接收到业务链A的证书更新请求,用业务链A的公钥PKA1,PKA2,...PKA3对SigA1,SigA2,...SigAn进行验证,确认SigA1,SigA2,...SigAn是业务链A使用自己的身份生成的。超级链验证业务链A原有的签名与新的签名是否一致,若签名一致则更新业务链A存在超级链上的证书。并发送(ConA,SigS),告知业务链A证书更新成功。
在确认元组中,ConA表示更新成功;SigS表示超级链的签名。
步骤3:业务链A确认超级链的身份信息,使用超级链的公钥PKS对SigS进行验证,确认SigS是超级链使用自己的身份生成的,接受确认信息,业务链A证书更新成功。
在步骤S103中,在跨链发起链A链向跨链接受链B链发起跨链请求时,跨链接受链B链向超级链申请,以获取跨链发起链A链的证书,并验证跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。
可以理解的是,一条业务链跨链请求或更改数据时,跨链接受链需要向超级链验证,判断是否允许进行跨链操作。A链向B链进行跨链请求,A链对请求进行签名发送至B链,B链向超级链发送请求,查询A链证书来对消息签名进行验证,是否符合A链上共识,以此来确认消息是否来自于A链。若确认消息来自A链,则允许A链对B链的请求。
例如,如图2所示,业务链间跨链读写请求及更改数据需要身份认证包括:(1)在跨链系统中的业务链A向同系统中的业务链B发起跨链请求;(2)业务链B对发起请求的业务链A进行身份认证,即:业务链B验证发起请求的业务链A的身份信息是否为真,业务链B向超级链申请,获取业务链A存储在超级链上的证书,验证业务链A的签名;(3)若业务链A的签名为真,业务链B允许业务链A的跨链请求,并将查询结果返回给业务链A。
进一步地,在本发明的一个实施例中,跨链接受链B链向超级链申请,以获取跨链发起链A链的证书,并验证跨链发起链A链的签名信息,包括:在跨链发起链A对跨链接受链B链发起查询请求后,向超级链发起关于跨链发起链A链证书信息的查询请求;在超级链接收到跨链接受链B的查询请求,并向跨链接受链B答复关于跨链发起链A的证书信息后,验证跨链发起链A的身份信息,并对状态查询请求做出答复。
可以理解的是,业务链A对业务链B发起查询请求;业务链B接收到业务链A的查询请求,向超级链发起关于业务链A链证书信息的查询请求;超级链接收到业务链B的查询请求,向业务链B答复关于业务链A的证书信息;业务链B验证业务链A的身份信息,通过相关程序,对状态查询请求做出答复;业务链A接受查询结果,跨链请求成功。
具体而言,如图5所示。业务链A为跨链发起链,业务链B为跨链接受链,业务链A和业务链B均已加入跨链系统。业务链A向业务链B发起查询请求,业务链B向超级链申请查看业务链A的证书,验证业务链A签名,并对业务链A进行答复。具体包括以下步骤:
步骤1:业务链A对业务链B发起查询请求:(G,IDB,Q,SigA)。
在提交的查询元组中,G表示待查询的数字资产的标识;IDB表示跨链目标链B链的标识;Q表示关于待查询的数字资产状态的询问,包括目标问题和谓词条件约束等;SigA表示跨链发起链A关于此次查询请求的签名。
步骤2:业务链B接收到业务链A的查询请求,向超级链发起关于业务链A链证书信息的查询请求:(IDA,SigB)。
在提交的查询元组中,IDA示跨链发起链A链的标识;SigB表示业务链B关于此次查询请求的签名。
步骤3:超级链接收到业务链B的查询请求,确认B链的证书存在超级链上,使用业务链B的公钥PKB对SigB进行验证,确认SigB是业务链B使用自己的身份生成的。超级链验证上述信息通过后,向业务链B答复关于业务链A的证书信息的查询请求:(CertA,SigS)。若未查到B链证书或未确认SigB是B链生成的,则拒绝B链查询请求。
在答复的查询元组中,CertA表示超级链中存储最新的A链证书信息,包括A链节点的路由信息和公钥信息等;SigB表示业务链B关于此次查询请求的签名。
步骤4:业务链B接收到超级链的答复信息,确认超级链的身份信息,并使用超级链的公钥PKS对SigS进行验证,确认SigS是超级链使用自己的身份生成的。然后确认A链的身份信息,并使用业务链A的公钥PKA对SigA进行验证,确认SigA是跨链发起链A使用其自己的身份生成的。
业务链B验证上述信息通过后,通过相关程序,对状态查询请求(G,IDB,Q,SigA)做出答复:(AnsQ,
Figure BDA0002370025480000081
)。
在答复的查询元组中,AnsQ表示业务链B对G状态询问Q的答复;
Figure BDA0002370025480000082
表示业务链B关于此次查询答复的签名。
步骤5:业务链A确认业务链B的身份信息,使用业务链B的公钥PKB对SigB进行验证,确认SigB是业务链B使用自己的身份生成的,接受查询结果AnsQ,跨链请求成功。
综上,本发明实施例提出的跨链模式下的身份认证方法,通过引入超级链,为下层业务链之间提供证书存证,在业务链间建立身份认证通道,让链外的身份能以合理可用的方式通过链内的验证,保证每次成功的跨链读写只由具有合法身份的节点发起和进行,跨链读写操作不会对原有的联盟链系统造成任何恶意破坏;从而有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性;同时,可以保证每一个加入系统的业务链在超级链中存储的证书是不断更新的,保证每一个注册的节点都具有在链上的合法的身份,以及每一个注销的节点身份都会被取消,有效地防止了恶意攻击。
其次参照附图描述根据本发明实施例提出的跨链模式下的身份认证装置。
图6是本发明一个实施例的跨链模式下的身份认证装置的结构示意图。
如图6所示,该跨链模式下的身份认证装置应用于跨链系统中,跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,装置10包括:包括:判断模块100、第一认证模块200和第二认证模块300。
其中,判断模块100用于判断跨链发起链A链的认证方式;第一认证模块200用于在跨链发起链A链申请加入跨链系统时,超级链验证跨链发起链A链的证书,并在达成共识后,允许跨链发起链A链加入跨链系统;第二认证模块300用于在跨链发起链A链向跨链接受链B链发起跨链请求时,跨链接受链B链向超级链申请,以获取跨链发起链A链的证书,并验证跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。本发明实施例的装置10有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性。
进一步地,在本发明的一个实施例中,本发明实施例的装置10还包括:发送模块。其中,发送模块用于在跨链发起链A链申请加入跨链系统时,且在跨链发起链A将注册请求信息发送到超级链后,超级链接收到跨链发起链A的加入请求,将跨链发起链A的证书和签名信息发送给共识节点。
进一步地,在本发明的一个实施例中,本发明实施例的装置10还包括:接收模块。其中,接收模块用于接收到共识节点的验证消息,超级链将标识发送给跨链发起链A,使得跨链发起链A获得在跨链系统中的标识。
进一步地,在本发明的一个实施例中,本发明实施例的装置10还包括:更新模块。其中,更新模块用于在跨链发起链A对超级链发出更新证书请求之后,超级链验证跨链发起链A原有的签名与新的签名是否一致;在跨链发起链A接受超级链发送的确认信息后,证书更新成功。
进一步地,在本发明的一个实施例中,第二认证模块300进一步用于在跨链发起链A对跨链接受链B链发起查询请求后,向超级链发起关于跨链发起链A链证书信息的查询请求;在超级链接收到跨链接受链B的查询请求,并向跨链接受链B答复关于跨链发起链A的证书信息后,验证跨链发起链A的身份信息,并对状态查询请求做出答复。
需要说明的是,前述对跨链模式下的身份认证方法实施例的解释说明也适用于该实施例的跨链模式下的身份认证装置,此处不再赘述。
根据本发明实施例提出的跨链模式下的身份认证装置,通过引入超级链,为下层业务链之间提供证书存证,在业务链间建立身份认证通道,让链外的身份能以合理可用的方式通过链内的验证,保证每次成功的跨链读写只由具有合法身份的节点发起和进行,跨链读写操作不会对原有的联盟链系统造成任何恶意破坏;从而有效解决了跨链过程中的读写权限问题,保证了业务链内和业务链间跨链时的身份真实性;同时,可以保证每一个加入系统的业务链在超级链中存储的证书是不断更新的,保证每一个注册的节点都具有在链上的合法的身份,以及每一个注销的节点身份都会被取消,有效地防止了恶意攻击。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种跨链模式下的身份认证方法,其特征在于,应用于跨链系统中,所述跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,方法包括:
判断所述跨链发起链A链的认证方式;
在所述跨链发起链A链申请加入所述跨链系统时,所述超级链验证所述跨链发起链A链的证书,并在达成共识后,允许所述跨链发起链A链加入所述跨链系统;
在所述跨链发起链A链向所述跨链接受链B链发起跨链请求时,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。
2.根据权利要求1所述的方法,其特征在于,在所述跨链发起链A链申请加入所述跨链系统时,还包括:
在所述跨链发起链A将注册请求信息发送到所述超级链后,所述超级链接收到所述跨链发起链A的加入请求,将所述跨链发起链A的证书和签名信息发送给共识节点。
3.根据权利要求2所述的方法,其特征在于,还包括:
接收到所述共识节点的验证消息,所述超级链将标识发送给所述跨链发起链A,使得所述跨链发起链A获得在跨链系统中的所述标识。
4.根据权利要求1所述的方法,其特征在于,还包括:
在所述跨链发起链A对所述超级链发出更新证书请求之后,所述超级链所述跨链发起链A原有的签名与新的签名是否一致;
在所述跨链发起链A接受所述超级链发送的确认信息后,证书更新成功。
5.根据权利要求1所述的方法,其特征在于,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,包括:
在所述跨链发起链A对所述跨链接受链B链发起查询请求后,向所述超级链发起关于所述跨链发起链A链证书信息的查询请求;
在所述超级链接收到所述跨链接受链B的查询请求,并向所述跨链接受链B答复关于所述跨链发起链A的证书信息后,验证所述跨链发起链A的身份信息,并对状态查询请求做出答复。
6.一种跨链模式下的身份认证装置,其特征在于,应用于跨链系统中,所述跨链系统包括:跨链发起链A链、超级链和跨链接受链B链,其中,装置包括:
判断模块,用于判断所述跨链发起链A链的认证方式;
第一认证模块,用于在所述跨链发起链A链申请加入所述跨链系统时,所述超级链验证所述跨链发起链A链的证书,并在达成共识后,允许所述跨链发起链A链加入所述跨链系统;
第二认证模块,用于在所述跨链发起链A链向所述跨链接受链B链发起跨链请求时,所述跨链接受链B链向所述超级链申请,以获取所述跨链发起链A链的证书,并验证所述跨链发起链A链的签名信息,以在验证通过后,允许跨链发起链A链的跨链请求。
7.根据权利要求6所述的装置,其特征在于,还包括:
发送模块,用于在所述跨链发起链A链申请加入所述跨链系统时,且在所述跨链发起链A将注册请求信息发送到所述超级链后,所述超级链接收到所述跨链发起链A的加入请求,将所述跨链发起链A的证书和签名信息发送给共识节点。
8.根据权利要求7所述的方法,其特征在于,还包括:
接收模块,用于接收到所述共识节点的验证消息,所述超级链将标识发送给所述跨链发起链A,使得所述跨链发起链A获得在跨链系统中的所述标识。
9.根据权利要求6所述的装置,其特征在于,还包括:
更新模块,用于在所述跨链发起链A对所述超级链发出更新证书请求之后,所述超级链验证所述跨链发起链A原有的签名与新的签名是否一致;在所述跨链发起链A接受所述超级链发送的确认信息后,证书更新成功。
10.根据权利要求6所述的装置,其特征在于,所述第二认证模块进一步用于在所述跨链发起链A对所述跨链接受链B链发起查询请求后,向所述超级链发起关于所述跨链发起链A链证书信息的查询请求;在所述超级链接收到所述跨链接受链B的查询请求,并向所述跨链接受链B答复关于所述跨链发起链A的证书信息后,验证所述跨链发起链A的身份信息,并对状态查询请求做出答复。
CN202010047728.5A 2020-01-16 2020-01-16 跨链模式下的身份认证方法及装置 Active CN111262860B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010047728.5A CN111262860B (zh) 2020-01-16 2020-01-16 跨链模式下的身份认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010047728.5A CN111262860B (zh) 2020-01-16 2020-01-16 跨链模式下的身份认证方法及装置

Publications (2)

Publication Number Publication Date
CN111262860A true CN111262860A (zh) 2020-06-09
CN111262860B CN111262860B (zh) 2022-10-11

Family

ID=70948826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010047728.5A Active CN111262860B (zh) 2020-01-16 2020-01-16 跨链模式下的身份认证方法及装置

Country Status (1)

Country Link
CN (1) CN111262860B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112398853A (zh) * 2020-11-16 2021-02-23 东软集团股份有限公司 一种实现联盟链跨链通信的方法、装置及系统
CN112508560A (zh) * 2020-12-01 2021-03-16 浙商银行股份有限公司 区块链跨链身份认证和权限管控方法、装置及计算机设备
CN112636920A (zh) * 2020-12-10 2021-04-09 浙商银行股份有限公司 一种基于权限管控的同构许可链互联方法
CN112633878A (zh) * 2020-08-31 2021-04-09 上海添玑网络服务有限公司 一种不动产联盟链终端应用平台及应用方法
CN112733100A (zh) * 2021-01-07 2021-04-30 浙江大学 一种面向联盟链的跨链访问可信权限管理系统及方法
CN112804354A (zh) * 2021-03-19 2021-05-14 腾讯科技(深圳)有限公司 跨链进行数据传输的方法、装置、计算机设备和存储介质
CN112861186A (zh) * 2021-01-28 2021-05-28 上海分布信息科技有限公司 身份一致性证明方法及身份一致性证明系统
CN113452701A (zh) * 2021-06-28 2021-09-28 上海计算机软件技术开发中心 跨链系统、面向跨链系统的分布式用户身份认证模型
CN114448646A (zh) * 2022-03-22 2022-05-06 深圳壹账通智能科技有限公司 一种跨链交易的权限管理方法、系统、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
CN110008686A (zh) * 2018-11-16 2019-07-12 阿里巴巴集团控股有限公司 跨区块链的数据处理方法、装置、客户端、区块链系统
CN110061851A (zh) * 2019-04-28 2019-07-26 广州大学 一种去中心化的跨信任域认证方法及系统
CN110321720A (zh) * 2019-05-17 2019-10-11 杭州亦笔科技有限公司 一种区块链的异构跨链交互与认证方法
CN110443704A (zh) * 2019-06-28 2019-11-12 阿里巴巴集团控股有限公司 一种跨链发送资源的方法和装置
CN110505223A (zh) * 2019-08-15 2019-11-26 腾讯科技(深圳)有限公司 区块链多链管理方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008686A (zh) * 2018-11-16 2019-07-12 阿里巴巴集团控股有限公司 跨区块链的数据处理方法、装置、客户端、区块链系统
CN109743172A (zh) * 2018-12-06 2019-05-10 国网山东省电力公司电力科学研究院 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端
CN110061851A (zh) * 2019-04-28 2019-07-26 广州大学 一种去中心化的跨信任域认证方法及系统
CN110321720A (zh) * 2019-05-17 2019-10-11 杭州亦笔科技有限公司 一种区块链的异构跨链交互与认证方法
CN110443704A (zh) * 2019-06-28 2019-11-12 阿里巴巴集团控股有限公司 一种跨链发送资源的方法和装置
CN110505223A (zh) * 2019-08-15 2019-11-26 腾讯科技(深圳)有限公司 区块链多链管理方法和装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112633878A (zh) * 2020-08-31 2021-04-09 上海添玑网络服务有限公司 一种不动产联盟链终端应用平台及应用方法
CN112398853A (zh) * 2020-11-16 2021-02-23 东软集团股份有限公司 一种实现联盟链跨链通信的方法、装置及系统
CN112508560A (zh) * 2020-12-01 2021-03-16 浙商银行股份有限公司 区块链跨链身份认证和权限管控方法、装置及计算机设备
CN112636920A (zh) * 2020-12-10 2021-04-09 浙商银行股份有限公司 一种基于权限管控的同构许可链互联方法
CN112733100A (zh) * 2021-01-07 2021-04-30 浙江大学 一种面向联盟链的跨链访问可信权限管理系统及方法
CN112861186A (zh) * 2021-01-28 2021-05-28 上海分布信息科技有限公司 身份一致性证明方法及身份一致性证明系统
CN112804354A (zh) * 2021-03-19 2021-05-14 腾讯科技(深圳)有限公司 跨链进行数据传输的方法、装置、计算机设备和存储介质
CN113452701A (zh) * 2021-06-28 2021-09-28 上海计算机软件技术开发中心 跨链系统、面向跨链系统的分布式用户身份认证模型
CN114448646A (zh) * 2022-03-22 2022-05-06 深圳壹账通智能科技有限公司 一种跨链交易的权限管理方法、系统、设备及介质
CN114448646B (zh) * 2022-03-22 2024-07-16 深圳壹账通智能科技有限公司 一种跨链交易的权限管理方法、系统、设备及介质

Also Published As

Publication number Publication date
CN111262860B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
CN111262860B (zh) 跨链模式下的身份认证方法及装置
CN110288480B (zh) 一种区块链的私密交易方法及装置
CN111683101B (zh) 一种基于区块链的自主跨域访问控制方法
CN111294339B (zh) 基于Fabric架构的同构联盟链跨链方法及装置
CN111191283B (zh) 基于联盟区块链的北斗定位信息安全加密方法及装置
CN111106940B (zh) 一种基于区块链的资源公钥基础设施的证书交易验证方法
CN113328997B (zh) 联盟链跨链系统及方法
US20230006840A1 (en) Methods and devices for automated digital certificate verification
Terzi et al. Securing emission data of smart vehicles with blockchain and self-sovereign identities
WO2019142428A1 (ja) 情報処理装置およびその処理方法
US20080052388A1 (en) Substitutable domain management system and method for substituting the system
CN113850599B (zh) 一种应用于联盟链的跨链交易方法及系统
CN111031010B (zh) 一种基于区块链的资源公钥基础设施的证书交易告警方法
CN113672942B (zh) 一种基于区块链的pki证书跨域认证方法
CN111222174A (zh) 区块链节点的加入方法、验证方法、设备和存储介质
CN116137006A (zh) 区块链跨链方法、设备及可读存储介质
CN114338242A (zh) 一种基于区块链技术的跨域单点登录访问方法及系统
CN114401091B (zh) 基于区块链的设备跨域认证管理方法及装置
CN111683060A (zh) 通信消息验证方法、装置及计算机存储介质
CN115292684A (zh) 基于区块链的询证函数据处理的方法和区块链系统
CN112950180A (zh) 一种基于联盟链的通证方法、系统、电子设备及存储介质
CN113326535A (zh) 一种信息验证方法及装置
CN113328854A (zh) 基于区块链的业务处理方法及系统
CN117375797A (zh) 基于区块链与零知识证明的匿名认证与车载信息共享方法
CN116761148A (zh) 一种基于区块链的v2x身份管理系统及认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant