CN111818074A - 一种基于芯片的分布式网络节点认证方法 - Google Patents
一种基于芯片的分布式网络节点认证方法 Download PDFInfo
- Publication number
- CN111818074A CN111818074A CN202010692796.7A CN202010692796A CN111818074A CN 111818074 A CN111818074 A CN 111818074A CN 202010692796 A CN202010692796 A CN 202010692796A CN 111818074 A CN111818074 A CN 111818074A
- Authority
- CN
- China
- Prior art keywords
- node
- information
- encryption
- hardware
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明技术方案公开了一种基于加密芯片的分布式网络节点认证方法,包括如下步骤:第一节点、第二节点分别生成公私秘钥对和随机数;第一节点和第二节点交换彼此的随机数和公钥信息;第一节点接受第二随机数并利用第一私钥、第二公钥对其进行处理获得第一加密签名并传递给第二节点;第一节点利用第一私钥、第二公钥接受第二加密签名解密获取验证信息;若第一节点和第二节点的验证结果一致,则将所述当前节点的加密硬件编号与当前节点进行绑定,以完成节点验证。本发明提出了一种基于芯片的分布式网络节点认证方法及系统,其采用了硬件随机数与信息加密相结合的方法,大大提高了分布式网络中不同节点之间身份认证信息的安全性。
Description
技术领域
本发明涉及分布式网络节点安全认证技术领域,尤其涉及一种基于芯片的分布式网络节点认证方法。
背景技术
分布式技术是结合分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的技术,被广泛应用在金融、电子商务等各行各业中。分布式网络体系中,在数据区块上链和查询的过程经常需要在分布式网络体系中传递一些数据,如上链信息、查询请求等。由于区块链是去中心化的分布式数据库,它不依托于哪一个中心化的服务器,而是由千千万万个“小服务器”、“节点”组成。节点分布越多、越广泛,分布式网络就更加的去中心化,网络运行也就越安全、越稳定。在这种情况下,节点构成了分布式网络的主干,各个节点之间通过点对点传输进行双向连接通信点对点的传输就是节点对节点的传输。数据信息以分布式和分散的方式在节点进行存储,用户可以通过节点完全控制这些信息。该方式取代了集中的服务器的管理模式,通过冗余备份的方法使数据信息的鲁棒性和安全性得到提升。
节点认证是分布式节点网络至关重要的环节。该环节是一项用于确保管理服务器与数据收集器以安全的方式进行通信的技术。双方通过一定形式,比如使用软件加密算法生成的公私密钥来对信息交互节点的身份信息进行确认。在进行信息交互的时候,为了确认交互信息的有效性,交互必须通过“节点”向网络广播。根据节点认证的合法性(签名和事务的有效性),节点可以接受或拒绝相应的信息交互过程。当一个节点接受时,该节点保存相应的信息并将其再次存储后与区块链同步到其他节点,以保证交易的有效性。因此,就整个信息交互过程来说,节点与节点之间的安全性验证,对整个区块链信息交互过程来说至关重要。
为了增加安全性,现有技术中一般采用通过软件加密算法生成公私钥对的方式来进行节点合法性认证,例如CN107872421A中公开了一种节点认证方法和系统,其通过采用认证管理中心统一向待相互认证的采集控制器节点和采集代理节点发送对称密钥,以完成相互之间的身份认证。CN110071807A则公开了一种区块链点对点节点认证方法,其采用的方法是,由区块链节点向区块链提出申请,区块链进行审核后生成加密证书给提出申请的节点,然后节点A与节点B基于随机码、证书进行互相认证。但是,分布式网络中的随机数大多数是通过计算机软件程序模拟而来的,一则不能实现真正的随机,二则容易遭到破解。而在对称密钥的认证方式中,对称密钥是认证管理中心统一发出的,参与环节众多,也容易导致密钥信息被破解。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提出了一种基于芯片的分布式网络节点认证方法及系统,其采用了硬件随机数与信息加密相结合的方法,大大提高了分布式网络中不同节点之间身份认证信息的安全性。
根据本发明的一个方面,本发明提供了一种基于加密芯片的分布式网络节点认证方法,其特征在于,待认证的第一节点和第二节点均设有加密硬件编号,所述认证方法包括如下步骤:
S1第一节点、第二节点分别生成第一公私秘钥对、第一随机数和第二公私秘钥对、第二随机数;第一公私秘钥对包括第一公钥、第一私钥,第二公私秘钥对包括第二公钥、第二私钥;
S2第一节点和第二节点交换彼此的随机数和公钥信息;
S3第一节点接受第二随机数并利用第一私钥对其进行处理获取第一签名,然后通过第二公钥对第一签名进行加密,并将获得的第一加密签名传递给第二节点;第二节点接受第一随机数并利用第二私钥对其进行处理获取第二签名,然后通过第一公钥对第二签名进行加密,并将获得的第二加密签名传递给第一节点;
S4第一节点利用第一私钥对接受到的第二加密签名进行解密获得第二签名,然后利用第二公钥对第二签名进行处理,获取第一验证信息,将第一验证信息与第一随机数进行比较验证;第二节点利用第二私钥对接受到的第一加密签名进行解密获得第一签名,然后利用第一公钥对第一签名进行处理,获取第二验证信息,将第二验证信息与第二随机数进行比较验证;
S5若第一节点和第二节点的验证结果均一致,则确认第一节点和第二节点的加密硬件类型,并将所述当前节点的加密硬件编号与当前节点进行绑定,以完成节点验证。
作为本发明技术方案的一个优选,所述加密硬件为加密芯片,所述加密硬件编号即为加密芯片的编号,每个加密芯片与编号之间有唯一对应关系。
作为本发明技术方案的一个优选,所述加密硬件为BOE硬件。
作为本发明技术方案的一个优选,公钥信息可以被其他节点获取,私钥信息存储在加密硬件中仅供自身节点使用。
作为本发明技术方案的一个优选,步骤S5中,当前节点所绑定的信息包括:当前节点的加密硬件编号信息、当前节点账户信息、主机服务器信息。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,其具有以下有益效果:
1)本发明技术方案,采用了随机数和信息加密相结合的方式,先通过交换随机数,然后彼此对对方的随机数进行签名加密,而后将加密结果返回给对方节点,对方节点可以通过公钥和自身的加密信息,对对方节点的身份进行双重认证,在认证通过的基础上再进行进一步的节点认证,保证了认证信息的安全性;
2)本发明技术方案,为了保证接入分布式网络的节点身份具有唯一性,同时为了保证节点自身的安全,分别给每个节点设置有一个具有唯一编号的加密硬件,加密硬件一方面可以为节点信息进行加密,另一方面将加密硬件与节点进行绑定,也提高了节点的安全性和唯一性;
3)本发明技术方案,需要认证的节点将公钥对外开放,使得其他节点可以获取该信息以发起认证请求,同时私钥保存在自身的加密硬件中不对外开放,可以对其他节点利用公钥设置而成的加密信息进行解密,从而使得只有需要认证的双方相互匹配的公私密钥(例如第一私钥、第二公钥加密,对应的只有第一公钥和第二私钥才能还原信息),来准确获得加密后的信息进行认证。
附图说明
图1是本发明实施例提供的带BOE硬件的区块节点的架构示意图;
图2是本发明实施例提供的其他类型节点与启动节点连接的交互示意图;
图3是本发明实施例提供的一种基于加密芯片的分布式网络节点认证交互示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
下面先描述本发明实施例中分布式网络节点认证方法的应用对象,该对象优选为分布式网络架构。进一步地,本实施例的分布式网络由分布在不同地点的计算机系统互连而成,网中无中心节点,每个终端即为一个节点。整个通信子网呈封闭式结构,通信控制功能分布在各节点。在本实施例的网络中,节点类型包括高性能节点、候选节点、同步节点以及启动节点。其中,高性能节点用于形成共识,产生区块数据;启动节点用于发现其他网络节点,本身不保存区块数据;同步节点用于接收和转发交易数据,也可对节点数据进行监控、查询等;候选节点汇聚同步节点的交易数据,并将其转发给高性能节点以便将交易数据写入分布式网络。此外,候选节点同时会同步高性能节点的区块数据,并将其广播至其他候选节点或者是同步节点。上述节点中,候选节点可以通过选举成为高性能节点。
本实施例中,区块数据的流向是从高性能节点,扩散到候选节点,再到同步节点。当前出块的高性能节点,首先转发新出区块至所有连接的高性能节点,之后再同步至其他类型节点。高性能节点具有最高优先级。交易数据的产生大部分于同步节点发生。同步节点的交易首先同步至高性能节点,然后同步到候选节点。候选节点同时也会转发交易至高性能节点。该过程目的是将交易数据汇总至高性能节点,由高性能节点打包交易到区块。
根据共识算法,高性能节点和候选节点会产生区块信息,该类型节点在整个网络中具有较高的信息同步优先级。同步节点的数据信息首先同步至高性能节点,然后再同步至候选节点,汇总至高性能节点的数据信息最终被写入区块链中。因此,为了保证数据信息的合法性和安全性,需要对高性能节点和候选节点(候选节点可以通过选举成为高性能节点)进行认证。
在分布式网络中,区块链卸载引擎BOE是一套提升区块链吞吐量和辅助分布式网络安全的特有软硬件组合,其包括了BOE硬件,BOE固件,以及与之匹配的体系软件。 BOE通过结合CPU串行能力和FPGA/ASIC芯片的并行处理能力,实现高性能和高并发计算加速,也就是将本来占用CPU资源的各种与网络通信及计算相关的功能在服务器内进行卸载,并加载到BOE独立去内置运算,以降低CPU负担,实现分布式网络单个节点整体加速的功能。同时BOE也提供了丰富的密码学组件,以支持加速验签,安全随机数生成等。
本实施例的高性能节点和候选节点优选为附带加密芯片的节点,其中加密芯片优选为BOE(Blockchain Offload Engine,区块链卸载引擎)硬件。
下面以HPB分布式网络和BOE硬件为例,其中HPB为一种类似于Bitcoin,Ethereum的区块链产品,对本申请的分布式网络中基于加密芯片的节点认证方法进行具体说明。
本实施例中,由于带有BOE硬件的高性能节点和候选节点承担或可能承担分布式网络中信息汇总并将其写入区块链的作用,因此要求此类型节点绑定节点存储的虚拟货币账户、运行节点的服务器信息以及BOE硬件信息。当该三类信息均与节点进行绑定后,才允许该节点进入HPB网络和建立Peer关系。同时带有加密芯片的区块节点之间也需要对彼此进行身份信息验证识别。
如图1所示是本发明一实施例的区块节点的架构示意图。本实施例中,每个区块节点优选包括一个BOE硬件,BOE硬件通过网络端口与区块节点服务器进行数据交换。优选地,本实施例中带BOE硬件的区块节点具有三类绑定识别信息,即节点账户信息 (ADR)、BOE硬件识别号(CID)、主机服务器识别号(HID)。其具体含义如下:
ADR:节点的虚拟货币账户(节点账户),需要通过分布式网络中各个节点竞选产生;
CID:BOE硬件识别号,每个BOE硬件对应于唯一硬件识别号;
HID:主机服务器识别号,每个主机服务器对应的识别号是唯一的,即主机服务器的身份识别码,本实施例中,每个节点有一个主机服务器,对应一个唯一的识别号。
BOE硬件上包括加密芯片,利用硬件加密芯片签名的安全性,可以为整个节点的认证流程提供安全保证,提高CID的安全性。本实施例中,可以采用非对称加密方式防止 CID伪造。具体来说,非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥) 和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。由此实现CID信息的安全性。
优选地,可以采用Ateml的ATECC508A芯片作为加密芯片。本实施的ATECC508A 芯片可存储最多16个私钥,且产生的公私钥对中,私钥可在芯片内部存储,外部不可直接读取。这也就意味着,信息交互方通过公钥设置而来的加密信息,外部无法在不知道私钥的情况下对其进行破解,因此该芯片可极大增强其安全可靠性。在具体的认证过程中,也可以采用其他具有类似功能的芯片对私钥进行存储,本实施例对此不作具体的限制。
本发明实施例的一种基于芯片的分布式网络节点认证方法,用于两个带BOE硬件的区块节点间的认证,每个BOE硬件中包括加密芯片。
具体来说,本实施例中的节点需要通过申请成为附带BOE硬件的区块节点。节点申请人提交申请流程并获得授权后,即可配置BOE硬件成为附带BOE硬件的区块节点。其包括如下过程:1)节点通过信息注册,提交个人虚拟货币账户信息,即ADR信息。2)节点需要获取其准备作为该申请节点的服务器相关信息,包括服务器CPU,主板,网卡等信息,以及生成当前节点的HID(主机服务器识别号)信息。3)申请节点通过竞选获得授权后,即可配置BOE硬件成为带BOE硬件的区块节点。
在启动认证前,需要认证的节点可以通过加密芯片产生公私钥对,其中私钥存储在芯片内,无法读取。优选地,公钥即为本申请中的CID,可以用于识别当前节点的BOE 硬件。将公钥返回给申请节点,结合当前节点的ADR和HID信息,共同组成当前申请节点的绑定信息(ADR,HID,CID),用来进行后续的认证。
本发明实施例的一种基于加密芯片的分布式网络节点认证方法,该方法用于第一节点和第二节点的认证,本实施例中,第一节点、第二节点优选具有加密的芯片,更优选的是设有加密芯片的BOE硬件。具体来说,本实施例中的方法包括以下步骤:
第一步,第一节点与第二节点建立连接。
本实施例中,第一节点和第二节点优选通过启动节点(boot node)建立连接。启动节点是用于网络节点发现其他节点的中介节点,其他类型节点启动时需要首先连接启动节点,才可以被接入整个网络中。启动节点中存储有当前连接至该启动节点的所有节点的IP连接信息表。本实施例中连接有第一节点和第二节点的启动节点中就包括第一节点和第二节点的IP连接信息表。
其他类型节点与启动节点连接的交互如图2所示,每个节点进入网络之前,需先通过启动节点进行申请,即其他类型节点向启动节点注册自身信息,将提出申请的节点IP 连接信息注册给启动节点。启动节点则将提出申请的节点信息更新到连接该启动节点的所有节点的IP连接信息表里。
提出申请的节点(例如本实施例的第一节点、第二节点)与启动节点之间建立连接后,节点之间可以进行信息交互。本实施例中,通过启动节点,第一节点可以与第二节点进行认证。具体来说,认证即为第一节点和第二节点握手请求阶段的多次消息交互的过程。在此过程中,启动节点中保存了所有申请节点的信息,因此启动节点扮演了公钥基础设施PKI(Public Key Infrastructure)的作用。
第二步,第一节点和第二节点互相交换为本次peer连接准备的随机数R,现有技术中随机数的生成方式有很多,优选地,以上节点的随机数由节点内部的BOE进行生成,本实施例中对此不予赘述。本实施例中,假设第一节点生成随机数为R1,第二节点生成随机数为R2;两者通过信息交互,互相交换所生成的随机数。
第三步,第一节点、第二节点分别利用加密芯片对对方节点生成的随机数进行加密操作,并对获取加密的结果进行交换。为了进一步提高节点认证的安全性,本实施例中对第一节点、第二节点进行了进一步的加密。具体来说,可以在认证前第一节点和第二节点分别利用所述加密芯片生成一对公钥和私钥,用对方的公钥对对本地的随机数R进行加密,得到对应的加密结果S。然后需要进行信息认证的双方对对方的随机数进行加密后,再次交换得到的加密结果,并对其进行验证,以获取对应的身份信息完成节点之间的认证。
具体来说,本实施例中第一节点用存储在该节点对应的BOE硬件的私钥对随机数R2进行签名,获得签名S1。第二节点用存储在该节点对应的BOE硬件的加密芯片中的私钥,对随机数R1进行签名,获得签名S2。随后第一节点、第二节点交换上述BOE 签名。此时第一节点利用自己的私钥对第二节点的随机数R2进行了加密,获得对应的签名S1并将其反馈给第二节点,第二节点收到第一节点传递过来的签名S1以及第一节点的公钥,利用第一节点的公钥对签名S1进行解密。反之亦然,第一节点也需要对第二节点传递过来的签名S2进行解密。如果双方解密出来的结果与自己所发出的随机数一致,则验证成功,可以进一步获取上述第一节点、第二节点的BOE硬件识别号。然后分别根据第一节点、第二节点的BOE硬件识别号、节点账户信息、主机服务器识别号的绑定信息进行节点合法性验证。
由于本实施例中BOE硬件识别号是通过随机数R和加密签名获得的,也可以认为最后是根据随机数R,签名结果S,以及从列表中得到CID,HID信息,实现节点之间的认证的。
第五步,对验证通过的节点,确认该节点的身份。
如图3所示,本实施例中以节点A(第一节点)和节点B(第二节点)为例,来说明本发明上述认证方法的过程。具体来说,节点A(第一节点)和节点B(第二节点) 均为带BOE硬件的区块节点,在启动认证前,分别通过各自的BOE硬件的加密芯片生成各自的公私钥对。假设认证由节点A发起,具体流程包括:
步骤1:节点A与节点B通过启动节点接入分布式网络;
步骤2:节点A与节点B之间建立起加密通道,在加密通道中交换彼此随机产生的随机数。
步骤3:随后,节点A和节点B分别利用自身的私钥对对方的随机数进行加密签名,然后交换彼此对随机数的签名结果,并利用对方提供的公钥对收到的随机数签名结果进行解密验证;
步骤4:若节点A和B的身份验证成功,则可以在接下来的过程中进一步确认节点 A和B的类型。
进一步地,上述步骤2可以具体采用以下方法实现:
1、首先节点A构建握手消息。具体体现为,启动节点根据节点ID获取远端公钥,即节点B的公钥,同时,节点A生成随机私钥。随后节点A使用自己的随机私钥和对端公钥生成共享密钥。节点A进一步生成随机数Nonce,并采用共享秘密来对其进行加密。然后填写本端公钥,使远端(例如本实施例的节点B)能够生成共享密钥。由此形成初步的握手信息。
2、将该握手信息打包发送给节点B。本实施例中采用如下方式:
先对上面生成的握手数据包进行rlp编码,通过rlp编码将握手信息序列化成无结构二进制字节码;填充必要的数据,加密数据的长度要求。然后用远端公钥进行数据加密,形成只有对方私钥才能解密的握手信息包并发送给节点B。
3、节点B读取节点A发送的握手数据包。本实施例中采用如下方式:
节点B先用私钥解密数据包,获取远端的随机公钥,然后结合自身的私钥,生成共享秘钥。由于远端的节点A也可以读取节点B的公钥,结合自身的私钥生成共享秘钥。该对共享秘钥的信息,可以利用对方的公钥和自身的私钥进行信息解密,并由此在节点 A和节点B处形成排他性的加密信息交互,实现节点A和节点B之间的信息加密和交互。具体到本实施例中,该方式使得节点A和节点B之间可以通过随机数和签名,实现对方身份信息的确认,然后把节点A的随机数R1送至节点B的加密芯片进行签名。
4、节点B构建数据包并发送。本实施例中采用如下方式:
首先,生成随机数Nonce,确定本端随机公钥;将B节点的加密签名(即节点B对节点A的随机数R1加密后的签名S2)取出。对上述信息进行rlp编码,获取序列化无结构二进制字节码,填充必要的数据,使其加密数据的长度要求。然后,用远端公钥(本实施例中,即为节点A)进行数据加密,此时的加密信息只有节点A的私钥可以进行解密。完成上述过程后,节点B发送握手相应数据包至节点A。
5、节点A读取握手相应数据包。本实施例中采用如下方式:
用节点A的私钥解密数据包;获取远端(节点B)的加密签名(S2),利用远端公钥验证签名,并将解密结果和本端生成的随机数进行比较,若一致则节点A和节点B 握手成功,否则握手失败。握手成功后,节点A和节点B获取远端的随机公钥,生成加密通道的共享秘密secret,节点A和节点B随即根据共享秘密创建加密链路中的信息传输对象。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于加密芯片的分布式网络节点认证方法,其特征在于,待认证的第一节点和第二节点均设有加密硬件,所述认证方法包括如下步骤:
S1第一节点、第二节点分别生成第一公私秘钥对、第一随机数和第二公私秘钥对、第二随机数;第一公私秘钥对包括第一公钥、第一私钥,第二公私秘钥对包括第二公钥、第二私钥;
S2第一节点和第二节点交换彼此的随机数和公钥信息;
S3第一节点接受第二随机数并利用第一私钥对其进行处理获取第一签名,然后通过第二公钥对第一签名进行加密,并将获得的第一加密签名传递给第二节点;第二节点接受第一随机数并利用第二私钥对其进行处理获取第二签名,然后通过第一公钥对第二签名进行加密,并将获得的第二加密签名传递给第一节点;
S4第一节点利用第一私钥对接受到的第二加密签名进行解密获得第二签名,然后利用第二公钥对第二签名进行处理,获取第一验证信息,将第一验证信息与第一随机数进行比较验证;第二节点利用第二私钥对接受到的第一加密签名进行解密获得第一签名,然后利用第一公钥对第一签名进行处理,获取第二验证信息,将第二验证信息与第二随机数进行比较验证;
S5若第一节点和第二节点的验证结果均一致,则确认第一节点和第二节点的加密硬件类型,并将所述当前节点的加密硬件的编号与当前节点进行绑定,以完成节点验证。
2.根据权利要求1所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,所述第一私钥、第二私钥分别存储于第一节点、第二节点的加密硬件中。
3.根据权利要求2所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,所述加密硬件为加密芯片,所述加密硬件编号即为加密芯片的编号,每个加密芯片与编号之间有唯一对应关系。
4.根据权利要求1至3任一项所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,所述加密硬件为BOE硬件。
5.根据权利要求1至3任一所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,公钥信息可以被其他节点获取,私钥信息存储在加密硬件中仅供自身节点使用。
6.根据权利要求1至3任一所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,步骤S5中,当前节点所绑定的信息包括:当前节点的加密硬件编号信息、当前节点账户信息、主机服务器信息。
7.根据权利要求1至3任一所述的一种基于加密芯片的分布式网络节点认证方法,其特征在于,所述随机数通过加密硬件生成,所述加密硬件为BOE硬件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010692796.7A CN111818074B (zh) | 2020-07-17 | 2020-07-17 | 一种基于芯片的分布式网络节点认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010692796.7A CN111818074B (zh) | 2020-07-17 | 2020-07-17 | 一种基于芯片的分布式网络节点认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818074A true CN111818074A (zh) | 2020-10-23 |
| CN111818074B CN111818074B (zh) | 2022-08-05 |
Family
ID=72866543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010692796.7A Active CN111818074B (zh) | 2020-07-17 | 2020-07-17 | 一种基于芯片的分布式网络节点认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818074B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910933A (zh) * | 2021-05-07 | 2021-06-04 | 鹏城实验室 | 认证方法、认证设备以及验证设备 |
| CN113301432A (zh) * | 2021-05-14 | 2021-08-24 | 海信视像科技股份有限公司 | 显示设备、终端设备及通信连接方法 |
| CN113422683A (zh) * | 2021-03-04 | 2021-09-21 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
| CN115580484A (zh) * | 2022-11-15 | 2023-01-06 | 国网智能电网研究院有限公司 | 适用能耗数据的安全联合计算方法、系统及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103138923A (zh) * | 2011-11-24 | 2013-06-05 | 中国移动通信集团公司 | 一种节点间认证方法、装置及系统 |
| US20140245020A1 (en) * | 2013-02-22 | 2014-08-28 | Guardtime Ip Holdings Limited | Verification System and Method with Extra Security for Lower-Entropy Input Records |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN109359691A (zh) * | 2018-10-24 | 2019-02-19 | 全链通有限公司 | 基于区块链的身份验证方法和系统 |
| CN110071807A (zh) * | 2019-03-22 | 2019-07-30 | 湖南天河国云科技有限公司 | 区块链点对点节点认证方法、系统及计算机可读存储介质 |
| CN110581854A (zh) * | 2019-09-12 | 2019-12-17 | 北京笔新互联网科技有限公司 | 基于区块链的智能终端安全通信方法 |
| CN110825349A (zh) * | 2019-11-14 | 2020-02-21 | 深圳市网心科技有限公司 | 随机数生成方法、区块链节点、系统及介质 |
| US20200228504A1 (en) * | 2019-01-10 | 2020-07-16 | Pango Inc. | Private Exchange of Encrypted Data Over A Computer Network |
-
2020
- 2020-07-17 CN CN202010692796.7A patent/CN111818074B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103138923A (zh) * | 2011-11-24 | 2013-06-05 | 中国移动通信集团公司 | 一种节点间认证方法、装置及系统 |
| US20140245020A1 (en) * | 2013-02-22 | 2014-08-28 | Guardtime Ip Holdings Limited | Verification System and Method with Extra Security for Lower-Entropy Input Records |
| CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
| CN109359691A (zh) * | 2018-10-24 | 2019-02-19 | 全链通有限公司 | 基于区块链的身份验证方法和系统 |
| US20200228504A1 (en) * | 2019-01-10 | 2020-07-16 | Pango Inc. | Private Exchange of Encrypted Data Over A Computer Network |
| CN110071807A (zh) * | 2019-03-22 | 2019-07-30 | 湖南天河国云科技有限公司 | 区块链点对点节点认证方法、系统及计算机可读存储介质 |
| CN110581854A (zh) * | 2019-09-12 | 2019-12-17 | 北京笔新互联网科技有限公司 | 基于区块链的智能终端安全通信方法 |
| CN110825349A (zh) * | 2019-11-14 | 2020-02-21 | 深圳市网心科技有限公司 | 随机数生成方法、区块链节点、系统及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王乃洲等: "基于区块链技术的身份认证与存储方法研究", 《现代信息科技》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422683A (zh) * | 2021-03-04 | 2021-09-21 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
| CN112910933A (zh) * | 2021-05-07 | 2021-06-04 | 鹏城实验室 | 认证方法、认证设备以及验证设备 |
| CN113301432A (zh) * | 2021-05-14 | 2021-08-24 | 海信视像科技股份有限公司 | 显示设备、终端设备及通信连接方法 |
| CN115580484A (zh) * | 2022-11-15 | 2023-01-06 | 国网智能电网研究院有限公司 | 适用能耗数据的安全联合计算方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818074B (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818074B (zh) | 一种基于芯片的分布式网络节点认证方法 | |
| CN109347809B (zh) | 一种面向自主可控环境下的应用虚拟化安全通信方法 | |
| CN110708170B (zh) | 一种数据处理方法、装置以及计算机可读存储介质 | |
| CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
| US8086847B2 (en) | Computer program product and computer system for peer-to-peer communications | |
| CN110677240B (zh) | 通过证书签发提供高可用计算服务的方法、装置及介质 | |
| CN110932870B (zh) | 一种量子通信服务站密钥协商系统和方法 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| US10686595B2 (en) | Configuring connectivity association key and connectivity association name in a media access control security capable device | |
| CN108880821B (zh) | 一种数字证书的认证方法及设备 | |
| KR20210072321A (ko) | 블록체인에 기반하는 암호화 통신 시스템 및 암호화 통신 방법 | |
| US20080046740A1 (en) | Authentication of a peer in a peer-to-peer network | |
| JP2002514024A (ja) | メッセージ交換ネットワーク内でスマートカードを認証するための方法 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN111935712A (zh) | 一种基于NB-IoT通信的数据传输方法、系统及介质 | |
| CN110071807B (zh) | 区块链点对点节点认证方法、系统及计算机可读存储介质 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN103546289A (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| TWI746229B (zh) | 基於區塊鏈的多節點認證方法及裝置 | |
| CN111314066B (zh) | 基于区块链的数据转移方法、终端及计算机可读存储介质 | |
| CN113536329A (zh) | 用于密码通信的电子设备及密码通信系统 | |
| CN110620776B (zh) | 一种数据转移信息传输方法及其装置 | |
| CN110690969A (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |