CN111478769A - 一种分布式可信身份认证方法、系统、存储介质、终端 - Google Patents

一种分布式可信身份认证方法、系统、存储介质、终端 Download PDF

Info

Publication number
CN111478769A
CN111478769A CN202010192787.1A CN202010192787A CN111478769A CN 111478769 A CN111478769 A CN 111478769A CN 202010192787 A CN202010192787 A CN 202010192787A CN 111478769 A CN111478769 A CN 111478769A
Authority
CN
China
Prior art keywords
certificate
identity authentication
distributed
digital certificate
block chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010192787.1A
Other languages
English (en)
Inventor
沈玉龙
何昶辉
王博
赵迪
张志为
何嘉洪
康晓宇
刘家继
许王哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202010192787.1A priority Critical patent/CN111478769A/zh
Publication of CN111478769A publication Critical patent/CN111478769A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于云计算可信身份认证技术领域,公开了一种分布式可信身份认证方法、系统、存储介质、终端,将身份认证系统中的证书管理系统与证书发布系统解耦,使用区块链账本替代证书颁发和吊销列表,分布式的证书有效性查询服务,避免中心化认证服务器单点故障;设计适用于分布式可信身份认证系统区块链结构,在区块中存放数字证书与操作类型,防止恶意节点篡改证书内容及有效性;针对区块链证书有效性快速查询方法,通过采用双重布谷鸟过滤器动态维护过滤器桶,提升证书查询速度,避免区块链逐块查询效率低。本发明将分布式可信身份认证系统的证书发布功能下放至系统每一个参与节点,分布式存储数字证书及有效性,保证了身份认证系统高可用性。

Description

一种分布式可信身份认证方法、系统、存储介质、终端
技术领域
本发明属于云计算可信身份认证技术领域,尤其涉及一种分布式可信身份认证方法、系统、存储介质、终端。
背景技术
目前,云计算作为智慧城市、金融军事、医疗教育等国家重点行业的基础支撑,云计算身份认证是云计算服务提供商验证服务使用者身份的过程,在互联网的数字世界中用户拥有的是一组特定数据表达的数字身份,服务商也对这一数字身份进行认证和授权如何在网络中安全可信的认证授权用户身份成为制约其大规模发展的重要瓶颈。
目前,业内常用的现有技术包括:(1)基于秘密信息的身份认证:用户在注册时设定好一个静态的字符串交给云计算服务商作为自己的认证密码。在服务商认证用户身份时,用户提交这个字符串作为认证依据,当提交的密码与预设的密码匹配时,就认为该用户是合法用户。(2)基于信任物体的身份认证:用户在注册时与云计算服务商协商采用某个智能手机号码、数字证书USBKey等物体作为信任凭证。在服务商认证用户身份时,用户提供手机验证码、USBKey中存储的私钥等作为认证,若与服务商当前验证码匹配,就认为该用户是合法用户。(3)基于生物特征的身份认证:用户在注册时提供自己的指纹、虹膜等身体特征信息或语音、步态等行为特征信息作为信任凭证。在用户登录时,云计算服务商认证这些信息与注册提交的是否一致,若一致就认为该用户是合法用户。
通过上述分析,现有技术存在的问题及缺陷为:
(1)用户经常采用电话、生日等弱口令作为自己的静态密码,容易被攻击者所破解,并且静态密码还将面临泄漏、截获、中间人攻击与暴力破解等威胁,安全性较低。
(2)手机验证码以来运营商提供服务,有被黑客盗取的危险;数字证书USBKey依赖于中心化的第三方CA服务器提供服务,若其发生单点故障会导致身份认证服务失效。
(3)生物特征识别方法技术未能完全成熟,且一旦生物特征信息在数据库存储或网络传输中被盗取,攻击者就可以执行某种身份欺骗攻击,并且攻击对象会涉及到所有使用生物特征信息的设备。
解决以上问题及缺陷的难度为:现有的身份认证都是中心化的服务服务提供模式,通过废止列表颁发和吊销数字证书,但此类中心化的证书发布系统容易遭受到攻击导致单点失效的问题,使整个身份认证系统无法正确地验证证书有效性,并且通过互联网查询证书有效性也将带来额外的时间开销和中间人攻击等安全问题。
解决以上问题及缺陷的意义为:将中心化的身份认证扩展为分布式的身份认证服务,中心服务器故障后,系统种任意节点在线均可提供完整的可信身份认证,满足数字证书分散式存储与高效查询验证的需求,避免由系统单点故障导致服务验证服务无法正常使用的问题,保证系统的高可用性。
发明内容
针对现有技术存在的问题,本发明提供了一种分布式可信身份认证方法、系统、存储介质、终端。
本发明是这样实现的,一种分布式可信身份认证方法,所述分布式可信身份认证方法包括:
第一步,终端向分布式可信身份认证系统注册并提供个人信息;
第二步,分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
第三步,分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
第四步,各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
第五步,在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
进一步,所述分布式可信身份认证方法申请数字证书包括:在云桌面系统注册,向云桌面系统提供包括国家、省份、城市、组织名称、部门名称、申请人和电子邮件地址在内的基础个人信息。
进一步,所述分布式可信身份认证方法的云桌面系统接收到数字证书申请请求,生成非对称密钥对,并将私钥写入加密设备,根据个人信息和公钥生成证书申请请求CSR发送给自建认证机构。
进一步,所述自建认证机构根据申请请求中的个人信息和公钥生成数字证书,并将数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成。
进一步,所述分布式可信身份认证方法的云终端接收到认证机构节点的通知后,向同步最新区块链信息,并按照新区块中证书操作类型码,将证书加入双重布谷鸟过滤器的有效证书过滤器中;
云终端同步区块链后,认证机构节点将生成的数字证书发送给云桌面系统,云桌面系统将数字证书和加密设备交给终端。
进一步,所述分布式可信身份认证方法的使用数字证书包括:
(1)凭借加密设备和数字证书在云终端请求登录云桌面系统,云终端使用认证机构公钥验证数字证书签名,校验证书真实性;
(2)使用本地存储的双重布谷鸟过滤器查询数字证书是否被吊销,双重布谷鸟过滤器不能给出肯定结果时则向区块链查询数字证书是否被吊销,校验证书的有效性;
(3)使用挑战/应答机制验证物理身份是否是其证书所代表的数字身份,校验个人信息与数字证书的匹配性。
进一步,所述分布式可信身份认证方法的认证机构吊销数字证书包括:
(1)私钥泄露或授权提前到期需要吊销数字证书,云桌面系统向认证机构节点发送吊销请求;
(2)认证机构根据吊销数字证书请求中的内容,将被吊销的数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成;
(3)云终端接收到认证机构节点的通知后,向其同步最新区块链信息,并按照新区块中证书操作类型码,将证书从有效证书布谷鸟过滤器中移除,并加入吊销证书过滤器中。
本发明的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求任意一项所述包括下列步骤:
第一步,终端向分布式可信身份认证系统注册并提供个人信息;
第二步,分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
第三步,分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
第四步,各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
第五步,在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
本发明的另一目的在于提供一种实施所述分布式可信身份认证方法的分布式可信身份认证系统,所述分布式可信身份认证系统包括:
信息注册模块,用于实现向分布式可信身份认证系统注册并提供个人信息;
数字证书生成模块,用于实现分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
数字证书及状态信息存储模块,用于实现分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
双重布谷鸟过滤器构造模块,用于实现各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
证书认证模块,用于实现在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
本发明的另一目的在于提供一种终端,所述终端搭载所述的分布式可信身份认证系统。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:现有技术采用中心化的认证机构为身份认证流程提供证书有效性验证服务,但中心化的认证服务器一旦出现单点故障等问题将导致证书验证服务失效,使得整个身份认证服务无法正常使用,陷入瘫痪。本发明能够将数字证书及其状态存储在每一个终端认证节点,高效的在终端节点完成用户实体身份认证,避免中心化认证服务器单点故障导致的身份认证服务失效。本发明通过将证书发布系统存放在认证节点本地,提高证书认证效率并避免中心化服务器单点故障导致身份认证服务失效。
本发明采用区块链技术存储数字证书及有效性状态,保障每个节点所存信息的安全性和一致性,区块链中任一节点在线时均可提供完整的证书有效性验证服务,不再依赖于中心化的服务器提供证书有效性状态信息,提升了系统的鲁棒性。
本发明采用私有链模式运行区块链,避免未授权节点对区块链写入虚假数字证书,减少公有链为了达成一致性共识消耗大量能源计算无意义的哈希值,减少区块生成的时间开销。本发明使用双重布谷鸟过滤器动态维护过滤桶,大幅提升本地节点查询数字证书有效性的效率,避免节点逐块查询区块链带来额外的时间开销。
附图说明
图1是本发明实施例提供的分布式可信身份认证方法流程图。
图2是本发明实施例提供的分布式可信身份认证系统的结构示意图;
图中:1、信息注册模块;2、数字证书生成模块;3、数字证书及状态信息存储模块;4、双重布谷鸟过滤器构造模块;5、证书认证模块。
图3是本发明实施例提供的具体模块关系图。
图4是本发明实施例提供的分布式可信身份认证体系架构图。
图5是本发明实施例提供的用户申请数字证书流程图。
图6是本发明实施例提供的证书申请请求CSR结构图。
图7是本发明实施例提供的区块结构图。
图8是本发明实施例提供的操作类型码说明图。
图9是本发明实施例提供的双重布谷鸟过滤器结构图。
图10是本发明实施例提供的用户使用数字证书流程图。
图11是本发明实施例提供的挑战/应答机制流程图。
图12是本发明实施例提供的CA吊销数字证书流程图。
图13是本发明实施例提供的云计算平台示意图。
图14是本发明实施例提供的云桌面平台示意图。
图15是本发明实施例提供的测试结果示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种分布式可信身份认证方法、系统、存储介质、终端,下面结合附图对本发明作详细的描述。
如图1所示,本发明提供的分布式可信身份认证方法包括以下步骤:
S101:用户向分布式可信身份认证系统注册并提供个人信息;
S102:分布式可信身份认证系统为用户生成非对称密钥对,将公钥和用户信息生成数字证书,将私钥写入加密设备;
S103:分布式可信身份认证系统将数字证书和对应加密设备交给用户,并将数字证书及其状态信息存储至区块链中;
S104:各认证节点向分布式可信身份认证系统同步区块链信息,获取所有用户证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
S105:用户在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证用户证书当前有效性,并根据挑战/应答机制认证用户与证书的匹配性,认证通过则允许登录。
如图2所示,本发明提供的分布式可信身份认证系统包括:
信息注册模块1,用于实现用户向分布式可信身份认证系统注册并提供个人信息。
数字证书生成模块2,用于实现分布式可信身份认证系统为用户生成非对称密钥对,将公钥和用户信息生成数字证书,将私钥写入加密设备。
数字证书及状态信息存储模块3,用于实现分布式可信身份认证系统将数字证书和对应加密设备交给用户,并将数字证书及其状态信息存储至区块链中。
双重布谷鸟过滤器构造模块4,用于实现各认证节点向分布式可信身份认证系统同步区块链信息,获取所有用户证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态。
证书认证模块5,用于实现用户在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证用户证书当前有效性,并根据挑战/应答机制认证用户与证书的匹配性,认证通过则允许登录。
下面结合附图对本发明的技术方案作进一步的描述。
如图3所示,本发明提供的本发明提供的分布式可信身份认证系统的具体模块关系包含以下步骤:
第一步,用户向云桌面系统注册并提供个人信息;
第二步,云桌面系统为用户生成非对称密钥对,将公钥和用户信息生成证书去申请请求CSR并发送给认证机构CA节点,将私钥写入加密设备;
第三步,认证机构CA节点根据CSR生成数字证书,并打包成区块写入区块链,通知所有云终端同步区块链;
第四步,云终端同步区块链并构建双重布谷鸟过滤器后,认证机构CA节点将证书发送给云桌面系统,由其连同加密设备一并交给用户;
第五步,用户在云终端使用加密设备和数字证书申请登录云桌面系统,云终端负责认证用户证书的真实性、有效性和用户与证书的匹配性,认证通过则允许登录。
本发明的分布式可信身份认证体系架构如图4所示,用户申请数字证书流程如图5所示,具体工作原理如下:
用户在云桌面系统注册,向云桌面系统提供包括国家、省份、城市、组织名称、部门名称、申请人和电子邮件地址在内的基础个人信息。
云桌面系统接收到用户的数字证书申请请求,为用户生成非对称密钥对,并将私钥写入加密设备,根据用户个人信息和公钥生成证书申请请求CSR发送给自建CA,CSR结构如图6所示。
自建CA根据CSR中的个人信息和公钥生成数字证书,并将数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成,区块结构如图7所示,操作类型码如图8所示。
云终端接收到CA节点的通知后,向其同步最新区块链信息,并按照新区块中证书操作类型码,将证书加入双重布谷鸟过滤器的有效证书过滤器中,双重布谷鸟过滤器结构如图9所示。
云终端同步区块链后,CA节点将生成的数字证书发送给云桌面系统,云桌面系统将数字证书和加密设备交给用户。
用户使用数字证书流程如图10所示,具体工作原理如下:
用户凭借加密设备和数字证书在云终端请求登录云桌面系统,云终端使用CA公钥验证数字证书签名,校验证书真实性。
使用本地存储的双重布谷鸟过滤器查询数字证书是否被吊销,双重布谷鸟过滤器不能给出肯定结果时则向区块链查询数字证书是否被吊销,校验证书的有效性。
使用挑战/应答机制验证用户物理身份是否是其证书所代表的数字身份,校验用户与数字证书的匹配性,挑战/应答机制如图11所示。
CA吊销数字证书流程如图12所示,具体工作原理如下:
用户私钥泄露或授权提前到期需要吊销数字证书,云桌面系统向CA节点发送吊销请求。
CA根据吊销数字证书请求中的内容,将被吊销的数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成。
云终端接收到CA节点的通知后,向其同步最新区块链信息,并按照新区块中证书操作类型码,将证书从有效证书布谷鸟过滤器中移除,并加入吊销证书过滤器中。
下面结合实验对本发明的技术效果作详细的描述。
本发明的实验平台选择如图13所示的云计算平台,如图14所示的云桌面系统,使用两台物理机作为虚拟机的宿主机,均安装Ubuntu18.04LTS系统,128G内存和2T硬盘,CA节点虚拟机为4G内存和50G硬盘,实验结果如图15所示,一次性生成1000数字证书并写入区块链时,单张证书平均生成时间为6.431ms,单张证书空间占用为1.438KB,通过遍历区块链查询证书有效性的平均时间开销为0.928ms,双重布谷鸟过滤器的查询平均时间开销为0.363ms,查询时间开销比逐块查询减少了60.9%。本发明兼顾提供分布式可信身份认证的同时,具有较小的时间和空间开销,可以有效的避免中心化CA故障导致身份认证服务失效。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法包括:
第一步,终端向分布式可信身份认证系统注册并提供个人信息;
第二步,分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
第三步,分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
第四步,各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
第五步,在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
2.如权利要求1所述的分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法申请数字证书包括:在云桌面系统注册,向云桌面系统提供包括国家、省份、城市、组织名称、部门名称、申请人和电子邮件地址在内的基础个人信息。
3.如权利要求1所述的分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法的云桌面系统接收到数字证书申请请求,生成非对称密钥对,并将私钥写入加密设备,根据个人信息和公钥生成证书申请请求CSR发送给自建认证机构。
4.如权利要求3所述的分布式可信身份认证方法,其特征在于,所述自建认证机构根据申请请求中的个人信息和公钥生成数字证书,并将数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成。
5.如权利要求1所述的分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法的云终端接收到认证机构节点的通知后,向同步最新区块链信息,并按照新区块中证书操作类型码,将证书加入双重布谷鸟过滤器的有效证书过滤器中;
云终端同步区块链后,认证机构节点将生成的数字证书发送给云桌面系统,云桌面系统将数字证书和加密设备交给终端。
6.如权利要求1所述的分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法的使用数字证书包括:
(1)凭借加密设备和数字证书在云终端请求登录云桌面系统,云终端使用认证机构公钥验证数字证书签名,校验证书真实性;
(2)使用本地存储的双重布谷鸟过滤器查询数字证书是否被吊销,双重布谷鸟过滤器不能给出肯定结果时则向区块链查询数字证书是否被吊销,校验证书的有效性;
(3)使用挑战/应答机制验证物理身份是否是其证书所代表的数字身份,校验个人信息与数字证书的匹配性。
7.如权利要求1所述的分布式可信身份认证方法,其特征在于,所述分布式可信身份认证方法的认证机构吊销数字证书包括:
(1)私钥泄露或授权提前到期需要吊销数字证书,云桌面系统向认证机构节点发送吊销请求;
(2)认证机构根据吊销数字证书请求中的内容,将被吊销的数字证书和操作类型码打包生成新区块,写入区块链后向所有云终端广播新区块的生成;
(3)云终端接收到认证机构节点的通知后,向其同步最新区块链信息,并按照新区块中证书操作类型码,将证书从有效证书布谷鸟过滤器中移除,并加入吊销证书过滤器中。
8.一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行权利要求任意一项所述包括下列步骤:
第一步,终端向分布式可信身份认证系统注册并提供个人信息;
第二步,分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
第三步,分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
第四步,各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
第五步,在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
9.一种实施权利要求1~7任意一项所述分布式可信身份认证方法的分布式可信身份认证系统,其特征在于,所述分布式可信身份认证系统包括:
信息注册模块,用于实现向分布式可信身份认证系统注册并提供个人信息;
数字证书生成模块,用于实现分布式可信身份认证系统为生成非对称密钥对,将公钥和个人信息生成数字证书,将私钥写入加密设备;
数字证书及状态信息存储模块,用于实现分布式可信身份认证系统将数字证书和对应加密设备交给终端,并将数字证书及其状态信息存储至区块链中;
双重布谷鸟过滤器构造模块,用于实现各认证节点向分布式可信身份认证系统同步区块链信息,获取所有证书及其有效状态,并构造双重布谷鸟过滤器以快速查询证书状态;
证书认证模块,用于实现在认证节点登录时提供存有私钥加密设备,节点根据本地存储的双重布谷鸟过滤器和证书区块链验证证书当前有效性,并根据挑战/应答机制认证个人信息与证书的匹配性,认证通过则允许登录。
10.一种终端,其特征在于,所述终端搭载权利要求9所述的分布式可信身份认证系统。
CN202010192787.1A 2020-03-18 2020-03-18 一种分布式可信身份认证方法、系统、存储介质、终端 Pending CN111478769A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010192787.1A CN111478769A (zh) 2020-03-18 2020-03-18 一种分布式可信身份认证方法、系统、存储介质、终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010192787.1A CN111478769A (zh) 2020-03-18 2020-03-18 一种分布式可信身份认证方法、系统、存储介质、终端

Publications (1)

Publication Number Publication Date
CN111478769A true CN111478769A (zh) 2020-07-31

Family

ID=71747618

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010192787.1A Pending CN111478769A (zh) 2020-03-18 2020-03-18 一种分布式可信身份认证方法、系统、存储介质、终端

Country Status (1)

Country Link
CN (1) CN111478769A (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111884815A (zh) * 2020-08-07 2020-11-03 上海格尔安全科技有限公司 一种基于区块链的分布式数字证书认证系统
CN112347188A (zh) * 2020-10-16 2021-02-09 零氪科技(北京)有限公司 一种基于私有链的授权及访问审计系统及方法
CN112528324A (zh) * 2020-12-09 2021-03-19 深圳市快付通金融网络科技服务有限公司 应用系统的上线方法、装置及计算机存储介质
CN112565294A (zh) * 2020-12-23 2021-03-26 杭州天谷信息科技有限公司 一种基于区块链电子签名的身份认证方法
CN112565264A (zh) * 2020-12-04 2021-03-26 湖南大学 一种基于区块链的云存储数据完整性检测方法及系统
CN112632519A (zh) * 2020-12-29 2021-04-09 山西特信环宇信息技术有限公司 一种锥体区块链资格认证系统
CN113239382A (zh) * 2021-02-09 2021-08-10 南京邮电大学 一种基于区块链智能合约的可信身份模型
CN113761492A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种可信数据存储方法、系统、计算机设备、终端
CN114095166A (zh) * 2021-11-23 2022-02-25 北京京东方技术开发有限公司 生成节点临时身份标识的方法、节点及系统
CN114205086A (zh) * 2020-08-31 2022-03-18 华为技术有限公司 基于区块链的数字证书处理方法以及装置
CN114465797A (zh) * 2022-02-08 2022-05-10 南京第三极区块链科技有限公司 一种基于区块链的分布式设备证书分发系统及其使用方法
CN114599036A (zh) * 2022-05-09 2022-06-07 北京乐开科技有限责任公司 一种多用户参与的nas文件安全操作方法及系统
CN114726532A (zh) * 2022-03-14 2022-07-08 湖南天河国云科技有限公司 基于区块链分布式标识的可信环境认证方法及系统
CN114844700A (zh) * 2022-04-28 2022-08-02 三峡星未来数据科技(宜昌)有限公司 一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质
CN115208669A (zh) * 2022-07-16 2022-10-18 中软航科数据科技(珠海横琴)有限公司 一种基于区块链技术的分布式身份认证方法及系统
CN117527268A (zh) * 2024-01-08 2024-02-06 布比(北京)网络技术有限公司 一种基于区块链的多方数字证书验证方法与系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109787987A (zh) * 2019-01-29 2019-05-21 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网终端身份认证方法
CN109815234A (zh) * 2018-12-29 2019-05-28 杭州中科先进技术研究院有限公司 一种流式计算模型下的多重布谷鸟过滤器
WO2019127278A1 (zh) * 2017-12-28 2019-07-04 深圳达闼科技控股有限公司 安全访问区块链的方法、装置、系统、存储介质及电子设备
WO2019154736A1 (en) * 2018-02-09 2019-08-15 Airbus (S.A.S.) Systems and methods of verifying credentials of aircraft personnel using a blockchain computer system
CN110598482A (zh) * 2019-09-30 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的数字证书管理方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019127278A1 (zh) * 2017-12-28 2019-07-04 深圳达闼科技控股有限公司 安全访问区块链的方法、装置、系统、存储介质及电子设备
WO2019154736A1 (en) * 2018-02-09 2019-08-15 Airbus (S.A.S.) Systems and methods of verifying credentials of aircraft personnel using a blockchain computer system
CN109815234A (zh) * 2018-12-29 2019-05-28 杭州中科先进技术研究院有限公司 一种流式计算模型下的多重布谷鸟过滤器
CN109787987A (zh) * 2019-01-29 2019-05-21 国网江苏省电力有限公司无锡供电分公司 基于区块链的电力物联网终端身份认证方法
CN110598482A (zh) * 2019-09-30 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的数字证书管理方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
阎军智等: "基于区块链的PKI数字证书系统", 《电信工程技术与标准化》 *

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111884815A (zh) * 2020-08-07 2020-11-03 上海格尔安全科技有限公司 一种基于区块链的分布式数字证书认证系统
CN114205086A (zh) * 2020-08-31 2022-03-18 华为技术有限公司 基于区块链的数字证书处理方法以及装置
CN112347188A (zh) * 2020-10-16 2021-02-09 零氪科技(北京)有限公司 一种基于私有链的授权及访问审计系统及方法
CN112565264A (zh) * 2020-12-04 2021-03-26 湖南大学 一种基于区块链的云存储数据完整性检测方法及系统
CN112528324A (zh) * 2020-12-09 2021-03-19 深圳市快付通金融网络科技服务有限公司 应用系统的上线方法、装置及计算机存储介质
CN112565294B (zh) * 2020-12-23 2023-04-07 杭州天谷信息科技有限公司 一种基于区块链电子签名的身份认证方法
CN112565294A (zh) * 2020-12-23 2021-03-26 杭州天谷信息科技有限公司 一种基于区块链电子签名的身份认证方法
CN112632519A (zh) * 2020-12-29 2021-04-09 山西特信环宇信息技术有限公司 一种锥体区块链资格认证系统
CN113239382A (zh) * 2021-02-09 2021-08-10 南京邮电大学 一种基于区块链智能合约的可信身份模型
CN113761492A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种可信数据存储方法、系统、计算机设备、终端
CN114095166A (zh) * 2021-11-23 2022-02-25 北京京东方技术开发有限公司 生成节点临时身份标识的方法、节点及系统
CN114465797A (zh) * 2022-02-08 2022-05-10 南京第三极区块链科技有限公司 一种基于区块链的分布式设备证书分发系统及其使用方法
CN114465797B (zh) * 2022-02-08 2023-09-05 南京第三极区块链科技有限公司 一种基于区块链的分布式设备证书分发系统及其使用方法
CN114726532A (zh) * 2022-03-14 2022-07-08 湖南天河国云科技有限公司 基于区块链分布式标识的可信环境认证方法及系统
CN114726532B (zh) * 2022-03-14 2023-02-14 湖南天河国云科技有限公司 基于区块链分布式标识的可信环境认证方法及系统
CN114844700A (zh) * 2022-04-28 2022-08-02 三峡星未来数据科技(宜昌)有限公司 一种分布式环境中基于可信存储的身份认证方法、系统、设备及存储介质
CN114599036A (zh) * 2022-05-09 2022-06-07 北京乐开科技有限责任公司 一种多用户参与的nas文件安全操作方法及系统
CN115208669A (zh) * 2022-07-16 2022-10-18 中软航科数据科技(珠海横琴)有限公司 一种基于区块链技术的分布式身份认证方法及系统
CN115208669B (zh) * 2022-07-16 2023-11-07 中软航科数据科技(珠海横琴)有限公司 一种基于区块链技术的分布式身份认证方法及系统
CN117527268A (zh) * 2024-01-08 2024-02-06 布比(北京)网络技术有限公司 一种基于区块链的多方数字证书验证方法与系统
CN117527268B (zh) * 2024-01-08 2024-03-22 布比(北京)网络技术有限公司 一种基于区块链的多方数字证书验证方法与系统

Similar Documents

Publication Publication Date Title
CN111478769A (zh) 一种分布式可信身份认证方法、系统、存储介质、终端
US11055802B2 (en) Methods and apparatus for implementing identity and asset sharing management
CN106878318B (zh) 一种区块链实时轮询云端系统
US20190305955A1 (en) Push notification authentication
JP2022545627A (ja) 分散化されたデータ認証
US10642664B2 (en) System and method for securing an inter-process communication via a named pipe
US10516653B2 (en) Public key pinning for private networks
TW201426383A (zh) 身份驗證系統及方法
US11546159B2 (en) Long-lasting refresh tokens in self-contained format
TWM595792U (zh) 跨平台授權存取資源的授權存取系統
Alqubaisi et al. Should we rush to implement password-less single factor FIDO2 based authentication?
CN113612770A (zh) 一种跨域安全交互方法、系统、终端以及存储介质
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
Larsen et al. Direct anonymous attestation on the road: Efficient and privacy-preserving revocation in c-its
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN112968779B (zh) 一种安全认证与授权控制方法、控制系统、程序存储介质
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
JP6162260B2 (ja) Scep証明書登録要求の正当性を確認するためのシステムおよび方法
CN117196618A (zh) 一种基于区块链的分布式交易用户跨域认证方法及系统
CN111682941B (zh) 基于密码学的集中式身份管理、分布式认证与授权的方法
WO2022212396A1 (en) Systems and methods of protecting secrets in use with containerized applications
Aciobanitei et al. Using cryptography in the cloud for lightweight authentication protocols based on QR codes
Arya et al. An authentication approach for data sharing in cloud environment for dynamic group
Sudha et al. A survey on different authentication schemes in cloud computing environment
CN114117553B (zh) 基于区块链的物联网终端的控制方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200731

RJ01 Rejection of invention patent application after publication