CN112087305B - 基于区块链的nidtga用户身份溯源系统 - Google Patents
基于区块链的nidtga用户身份溯源系统 Download PDFInfo
- Publication number
- CN112087305B CN112087305B CN202010987763.5A CN202010987763A CN112087305B CN 112087305 B CN112087305 B CN 112087305B CN 202010987763 A CN202010987763 A CN 202010987763A CN 112087305 B CN112087305 B CN 112087305B
- Authority
- CN
- China
- Prior art keywords
- key
- address
- management
- management domain
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于区块链的NIDTGA用户身份溯源系统,包括多个管理域,每一所述管理域包括至少一客户端和一节点计算机;每一所述管理域的客户端与所述节点计算机连接,各所述节点计算机连接;各所述节点计算机被配置为区块链的节点,所述节点计算机用于部署密钥存储合约,所述密钥存储合约记录了所述管理域中的密钥历史信息,所述密钥历史信息包括用于对NIDTGA地址的接口标识加密的密钥密文和所述密钥密文的更新时间。通过使用区块链网络替换全局追溯服务器,保护各管理域上传的密钥历史不受篡改,能够解决NIDTGA地址生成方案多管理域部署时的中心化风险,提供更可靠的溯源功能与更强大的审计能力。
Description
技术领域
本发明涉及NIDTGA地址技术领域,特别涉及一种基于区块链的NIDTGA用户身份溯源系统。
背景技术
NIDTGA(Network Identity and Time Generated Address)地址生成方案通过将用户身份信息IDEA(International Data Encryption Algorithm,国际数据加密算法)加密嵌入到IPv6地址的后64位接口标识中,实现只需要存储加密密钥历史即可对IPv6地址所对应的用户真实身份进行溯源的功能,避免了传统用户身份溯源方案中巨大的存储开销。
NIDTGA技术首先设计了结构化、可扩展的长度为40个bit的用户网络身份标识NID,能够适应不同用户数量的管理域进行NID分配。如图1所示,用户设备接入网络时,使用NID与密码完成认证后,将NID与接入网络的时间组成64个bit作为IDEA算法的明文,通过管理员设置的IDEA密钥,对其进行IDEA加密,生成该用户长度为64bit的IPv6地址接口标识并进行IPv6地址配置。
对IPv6地址对应的用户身份进行溯源时,首先根据IPv6地址的前缀确定用户所属的管理域,然后获取该管理域的IDEA密钥历史,从最新的密钥开始逐个向前,尝试对IPv6的接口标识进行解密,并将解密后的时间信息与IDEA密钥的有效时间进行比对,以确认该IPv6地址是否由当前密钥加密生成,比对成功时即获取得到标识用户身份的NID。
NIDTGA地址生成方案在多个管理域进行部署时,为了实现跨管理域的全局用户身份溯源,需要部署一台将各个管理域IDEA密钥历史集中存储的追溯服务器,如图2所示,各个管理域的管理员在更新本地的IDEA密钥时,需要首先向追溯服务器上传IDEA密钥,然后再将密钥更新至本管理域内的地址生成服务器。
但是,全局唯一的追溯服务器面临中心化的安全风险。攻击者可对其发动DDoS攻击,使得各个管理域的密钥更新和用户身份溯源功能不可用。并且它存储的各管理域密钥历史没有得到良好的保护,一旦受到恶意篡改,将导致用户身份溯源能力失效。
发明内容
基于此,有必要针对上述技术问题,提供一种基于区块链的NIDTGA用户身份溯源系统。
一种基于区块链的NIDTGA用户身份溯源系统,包括:多个管理域,每一所述管理域包括至少一客户端和一节点计算机;每一所述管理域的客户端与所述节点计算机连接,各所述节点计算机连接;
各所述节点计算机被配置为区块链的节点,所述节点计算机用于部署密钥存储合约,所述密钥存储合约记录了所述管理域中的密钥历史信息,所述密钥历史信息包括用于对NIDTGA地址的接口标识加密的密钥密文和所述密钥密文的更新时间。
在其中一个实施例中,所述客户端用于接收用户身份溯源请求,响应所述用户身份溯源请求,获取NIDTGA地址,向所述NIDTGA地址对应的管理域的节点计算机发送密钥历史请求,获取所述节点计算机响应于所述密钥历史请求反馈的密钥存储合约,解析所述密钥存储合约获得密钥历史信息,对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文,基于所述密钥明文对所述NIDTGA地址的接口标识进行解密,获得获取用户的网络识别标识;
所述节点计算机用于接收密钥历史请求,响应所述密钥历史请求,向所述客户端发送所述密钥存储合约。
在其中一个实施例中,所述客户端还用于基于追溯私钥对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文。
在其中一个实施例中,所述客户端用于获取NIDTGA地址,获取NIDTGA地址的地址前缀,获取各所述管理域中部署的地址前缀,确定与所述NIDTGA地址的地址前缀匹配的所述管理域,向与所述NIDTGA的地址前缀匹配的所述管理域的节点计算机发送密钥历史请求。
在其中一个实施例中,所述客户端用于获取系统管理合约,查询所述系统管理合约,获取各所述管理域中部署的地址前缀。
在其中一个实施例中,所述节点计算机还用于部署系统管理合约,当接收到向所述系统管理合约提交的新增管理域的申请信息时,将所述申请信息加入到所述系统管理合约的维护的申请队列中;
所述客户端用于获取新增管理域的申请信息,采用追溯私钥对交易进行签名,其中,所述交易为审核申请信息的交易,所述申请信息为新增管理域的申请信息。
在其中一个实施例中,所述节点计算机还用于通过所述系统管理合约在通过申请的新增管理域的节点计算机上部署新的密钥存储合约,用于记录所述新增管理域的密钥历史信息。
在其中一个实施例中,所述节点计算机还用于向所述系统管理合约提交的新增管理域的申请信息,使用所述节点计算机所在的管理域的追溯私钥对提交申请的交易进行签名,将所述申请信息提交至区块链网络。
在其中一个实施例中,所述系统客户端还用于获得对NIDTGA地址的接口标识加密的更新后的密钥明文,向区块链请求追溯公钥,获得所述追溯公钥后,采用所述追溯公钥和椭圆曲线加密算法对更新后的密钥明文进行加密,获得密钥密文和所述密钥密文当前的更新时间,根据所述密钥密文与所述密钥密文的更新时间生成更新的密钥历史信息,将所述密钥历史信息提交至所述节点计算机的密钥存储合约。
在其中一个实施例中,所述节点计算机还用于获取更新的所述密钥历史信息,通过所述密钥存储合约存储更新的所述密钥存储合约。
上述基于区块链的NIDTGA用户身份溯源系统,通过使用区块链网络替换全局追溯服务器,保护各管理域上传的密钥历史不受篡改,能够解决NIDTGA地址生成方案多管理域部署时的中心化风险,提供更可靠的溯源功能与更强大的审计能力。
附图说明
图1为传统的NIDTGA地址生成方案地址生成与身份溯源流程示意图;
图2为传统的NIDTGA地址生成系统中多管理域部署的系统架构示意图;
图3为一个实施例中的基于区块链的NIDTGA用户身份溯源系统的系统架构示意图;
图4为另一个实施例中的基于区块链的NIDTGA用户身份溯源系统的系统架构示意图;
图5为一个实施例中的NIDTGA地址生成密钥更新流程的示意图;
图6为一个实施例中的NIDTGA地址的用户NID追溯流程的示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
实施例一
本申请提供的基于区块链的NIDTGA用户身份溯源系统,可以应用于如图3所示的应用环境中。其中,客户端102通过网络与节点计算机104通过网络进行通信。其中,客户端102可以但不限于是各种个人计算机、服务器、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,节点计算机104也可称为节点服务器,该节点计算机104作为区块链的节点,可以用独立的服务器或者是多个服务器组成的服务器集群来实现。客户端102通过网络访问节点计算机104,进而访问区块链。各管理域的节点计算机104之间相互连接,实现通信。
实施例二
本实施例中,如图3所示,提供了一种基于区块链的NIDTGA用户身份溯源系统,其包括:多个管理域,每一所述管理域包括至少一客户端102和一节点计算机104;每一所述管理域的客户端102与所述节点计算机104连接,各所述节点计算机104连接;各所述节点计算机104被配置为区块链的节点,所述节点计算机104用于部署密钥存储合约,所述密钥存储合约记录了所述管理域中的密钥历史信息,所述密钥历史信息包括用于对NIDTGA地址的接口标识加密的密钥密文和所述密钥密文的更新时间。
具体地,各节点计算机之间连接,各节点计算机也可以称为节点服务器,各节点计算机用于作为区块链的节点,接入至区块链网络。该密钥密文用于在解密后得到的密钥明文,该密钥铭文用于对NIDTGA地址的接口标识加密。应该理解的是,已部署NIDTGA地址的管理域需要定期更新生成IPv6地址接口标识的密钥,以防止攻击者收集到足够多的信息破解IDEA密钥,因此,对于各管理域而言,需要定期更新密钥,因此,该更新时间即为密钥更新的时间节点。
该密钥历史信息也称为密钥历史记录或者密钥历史更新记录。本实施例中,各节点计算机上分别部署里密钥存储合约,通过该密钥存储合约记录密钥历史信息,该密钥历史信息包括密钥密文和密钥密文的更新时间,并且各节点计算机组成的区块链网络,实现里去中心化的存储,这样,各管理域上的密钥历史信息将难以篡改。
上述实施例中,通过使用区块链网络替换全局追溯服务器,保护各管理域上传的密钥历史不受篡改,能够解决NIDTGA地址生成方案多管理域部署时的中心化风险,提供更可靠的溯源功能与更强大的审计能力。
在其中一个实施例中,请结合图4和图6,所述客户端用于接收用户身份溯源请求,响应所述用户身份溯源请求,获取NIDTGA地址,向所述NIDTGA地址对应的管理域的节点计算机发送密钥历史请求,获取所述节点计算机响应于所述密钥历史请求反馈的密钥存储合约,解析所述密钥存储合约获得密钥历史信息,对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文,基于所述密钥明文对所述NIDTGA地址的接口标识进行解密,获得获取用户的网络识别标识;所述节点计算机用于接收密钥历史请求,响应所述密钥历史请求,向所述客户端发送所述密钥存储合约。
图4中区块链节点即为图3中的节点计算机104,图4中的区块链客户端即为图3中的客户端102。本实施例中,实现了在区块链网络中,实现用户身份的溯源。具体地,该用户身份溯源请求用于请求对NIDTGA地址的用户身份进行溯源,该客户端为审计方的客户端,客户端接收审计方用户输入的用户身份溯源请求,获取审计方用户输入的待溯源的NIDTGA地址,向所述NIDTGA地址对应的管理域的节点计算机发送密钥历史请求,该密钥历史请求用于请求获得密钥历史信息。这样,接收到该密钥历史请求的节点计算机将相应于密钥历史请求,向发送请求的客户端发送该节点计算机的管理域的密钥存储合约。客户端获得密钥存储合约后,解析该密钥存储合约获得密钥历史信息,从而得到密钥密文和密钥生效时间,该密钥生效时间根据密钥更新时间生成。
本实施例中,该密钥密文为采用IDEA算法的密钥密文,即该密钥密文为IDEA密钥密文,在客户端获得IDEA密钥密文后,客户端采用ECC(Elliptic curve cryptography,椭圆曲线密码学)解密算法对IDEA密钥密文进行解密,获得密钥明文,随后,利用密钥明文对待溯源的NIDTGA地址的接口标识进行解密,获得获取用户的网络识别标识(NID),该网络识别标识用于标识用户身份,这样,获得用户的网络识别标识(NID)即可识别用户的身份,从而实现里对NIDTGA地址的用户身份的溯源。
本实施例中,系统以多个区块链节点组成的区块链网络的形式组成,为部署NIDTGA地址的各个管理域提供IDEA密钥历史存储服务,并向审计方提供NIDTGA地址的用户身份溯源服务。区块链节点可以分布在各个管理域中,以提高系统的去中心化程度。各管理域的管理员通过客户端和钱包账号来与系统区块链节点进行交互。
在其中一个实施例中,所述客户端还用于基于追溯私钥对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文。
具体地,该追溯私钥为管理域的管理员所持有,本实施例中,该追溯私钥为审计方的钱包私钥,由于该追溯私钥为唯一的私钥,因此,使得仅有审计方才能够对密钥密文进行解密,从而得到密钥明文,从而使得只有审计方用户才能够进行用户身份的溯源。本实施例中,审计方管理员向客户端提交待溯源的NIDTGA地址时,一并将与部署区块链时设置的椭圆曲线加密公钥所对应的私钥输入至客户端,该椭圆曲线加密公钥所对应的私钥即为审计方的钱包私钥,客户端基于审计方的钱包私钥,采用ECC解密算法对IDEA密钥密文进行解密,得到IDEA的密钥明文。
在其中一个实施例中,所述客户端用于获取NIDTGA地址,获取NIDTGA地址的地址前缀,获取各所述管理域中部署的地址前缀,确定与所述NIDTGA地址的地址前缀匹配的所述管理域,向与所述NIDTGA的地址前缀匹配的所述管理域的节点计算机发送密钥历史请求。
本实施例中,用于根据待溯源的NIDTGA地址确定与待溯源的NIDTGA地址对应的管理域。具体的,每一管理域对应一NIDTGA地址的地址前缀,所述管理域中部署的地址的NIDTGA地址前缀与一NIDTGA地址的地址前缀相同。这样,在获得NIDTGA地址的地址前缀,通过查找与NIDTGA地址的地址前缀相同的管理域中部署的地址前缀,查找出与NIDTGA地址的地址前缀相同的管理域,从而向该管理域发送密钥历史请求。
在其中一个实施例中,所述客户端用于获取系统管理合约,查询所述系统管理合约,获取各所述管理域中部署的地址前缀。
具体地,系统管理合约中记录里各管理域的NIDTGA地址前缀,本实施例中,该系统管理合约部署在各节点计算机上。这样,客户端通过系统管理合约查询各个管理域所部署的NIDTGA地址前缀,即可快速查找到与待追溯的NIDTGA地址匹配的管理域。由于各管理域的地址前缀记录在系统管理合约,同样避免里中心化对地址前缀的记录,使得各管理域的地址管理更为安全。
在其中一个实施例中,所述节点计算机还用于部署系统管理合约,当接收到向所述系统管理合约提交的新增管理域的申请信息时,将所述申请信息加入到所述系统管理合约的维护的申请队列中;所述客户端用于获取新增管理域的申请信息,采用追溯私钥对交易进行签名,其中,所述交易为审核申请信息的交易,所述申请信息为新增管理域的申请信息。
本实施例中,适用于新增管理域。在新增管理域时,区块链网络中现存的节点计算机接收到新增管理域的申请信息,该申请信息包括管理域名称、管理员电话、邮箱、管理域部署的NIDTGA地址前缀。随后,将申请信息加入至系统管理合约的维护的申请队列中。
客户端获取新增管理域的申请信息,获取由审计方管理员输入的钱包私钥对审核申请信息的交易进行签名。具体地,审计方管理员通过客户端查看新增管理域的申请信息,使用审计方管理员的钱包私钥对审核申请的交易进行签名。
本实施例中,各区块链节点的系统管理合约将新增管理域的申请加入到合约维护的申请队列中,等待审计方管理员审核。
应该理解的是,在搭建区块链网络的初始阶段,系统由审计方管理员负责搭建最初的区块链节点,并部署系统管理合约。审计方完成系统管理合约部署后,设置椭圆曲线加密用的追溯公钥,供普通管理域上传IDEA密钥时加密使用。各管理域所维护的区块链节点通过节点发现功能接入系统的区块链网络。
在其中一个实施例中,所述节点计算机还用于通过所述系统管理合约在通过申请的新增管理域的节点计算机上部署新的密钥存储合约,用于记录所述新增管理域的密钥历史信息。
本实施例中,系统管理合约将为通过申请的管理域在区块链上部署一个新的密钥存储合约,密钥存储合约用于记录该管理域的密钥历史。
具体地,系统管理合约将为通过申请的管理域在区块链上部署一个新的密钥存储合约,用于记录该管理域的密钥历史,合约所有者是该管理域的钱包账号,仅有使用该钱包签发的交易可以调用密钥存储合约更新IDEA密钥。
在其中一个实施例中,所述节点计算机还用于向所述系统管理合约提交的新增管理域的申请信息,使用所述节点计算机所在的管理域的追溯私钥对提交申请的交易进行签名,将所述申请信息提交至区块链网络。
本实施例中,该节点计算机所在的管理域的追溯私钥为管理域的钱包私钥,用于对交易进行签名。具体地,每个部署NIDTGA地址生成方案的管理域在完成管理域内接入子网的配置后,需要向系统管理合约提交新增管理域的申请,申请中包含管理域名称、管理员电话、邮箱、管理域部署的NIDTGA地址前缀,使用管理域的钱包私钥对交易进行签名后,提交给区块链网络进行共识。
在其中一个实施例中,请结合图4和图5,所述系统客户端还用于获得对NIDTGA地址的接口标识加密的更新后的密钥明文,向区块链请求追溯公钥,获得所述追溯公钥后,采用所述追溯公钥和椭圆曲线加密算法对更新后的密钥明文进行加密,获得密钥密文和所述密钥密文当前的更新时间,根据所述密钥密文与所述密钥密文的更新时间生成更新的密钥历史信息,将所述密钥历史信息提交至所述节点计算机的密钥存储合约。本实施例中,所述节点计算机还用于获取更新的所述密钥历史信息,通过所述密钥存储合约存储更新的所述密钥存储合约。
本实施例中,该追溯公钥由审计方搭建最初的区块链节点,并部署系统管理合约后,设置在系统管理合约内。
应该理解的是,已部署NIDTGA地址生成方案的管理域需要定期更新生成IPv6地址接口标识的IDEA密钥,以防止攻击者收集到足够多的信息破解IDEA密钥。在更新本地地址生成服务器处的IDEA密钥前,需要首先将新的密钥提交给NIDTGA地址用户身份溯源系统。
管理域的管理员通过客户端填写新的IDEA密钥,客户端将向系统区块链请求审计方设置的追溯公钥,使用该追溯公钥和椭圆曲线加密算法对新的IDEA密钥进行加密,然后将密文与当前时间提交给该管理域的密钥存储合约,由密钥存储合约按提交顺序依次加入内部队列进行存储。从而实现里对密钥的存储以及对密钥的更新。
本申请中,针对NIDTGA地址生成方案在多个管理域部署时存在的中心化风险,本发明利用区块链建设NIDTGA地址的追溯服务,利用区块链来保护各组织密钥历史不受篡改与用户身份溯源功能的高可用。为了实现用户身份溯源权限的集中控制,避免用户隐私的泄漏,利用椭圆曲线加密算法,以审计方设置的公钥加密向区块链上传的IDEA密钥,确保只有持有私钥的审计方可以获取各个管理域IDEA密钥历史的明文。
实施例三
本申请中,针对NIDTGA地址生成方案在多个管理域部署时存在的中心化风险,本发明利用区块链建设NIDTGA地址的追溯服务,利用区块链来保护各组织密钥历史不受篡改与用户身份溯源功能的高可用。为了实现用户身份溯源权限的集中控制,避免用户隐私的泄漏,利用椭圆曲线加密算法,以审计方设置的公钥加密向区块链上传的IDEA密钥,确保只有持有私钥的审计方可以获取各个管理域IDEA密钥历史的明文。
本实施例中,将区块链技术与NIDTGA地址生成方案相结合,设计了基于区块链的去中心化NIDTGA用户身份溯源系统。通过使用区块链网络替换全局追溯服务器,保护各管理域上传的IDEA密钥历史不受篡改以及密钥更新、用户溯源功能的高可用,由智能合约自动控制各管理域的IDEA密钥更新权限,并采用椭圆曲线加密算法在密钥历史去中心化存储的情况下实现用户身份溯源权限的高度集中,能够解决NIDTGA地址生成方案多管理域部署时的中心化风险,提供更可靠的溯源功能与更强大的审计能力。
本实施例中,如图4所示,去中心化的NIDTGA用户身份溯源系统以多个区块链节点组成的区块链网络的形式存在,为部署NIDTGA地址生成方案的各个管理域提供IDEA密钥历史存储服务,并向审计方提供NIDTGA地址的用户身份溯源服务。区块链节点可以分布在各个管理域中,以提高系统的去中心化程度。各管理员通过系统客户端和钱包账号来与系统区块链节点进行交互。系统主要包括名为系统管理合约与密钥存储合约的两类合约,以支持三部分的功能:
一、接受并审核新增管理域部署NIDTGA地址生成方案的申请,为其部署新的密钥存储合约。在本发明中,管理域部署NIDTGA地址生成方案后需要向溯源管理合约提交新增管理域的请求,审计方管理员审批请求后由溯源管理合约为该管理域部署一个以管理域钱包地址为所有者的密钥存储合约。
二、为各管理员提供其管理域IDEA密钥的更新功能。IDEA密钥在写入密钥存储合约时需要由系统客户端使用审计方设置的追溯公钥进行椭圆曲线加密,将加密后的密文与当前时间一起写入该管理域的密钥存储合约。
三、NIDTGA地址的用户身份溯源。审计方管理员向系统客户端提交待溯源的NIDTGA地址与追溯私钥,由系统客户端向区块链请求NIDGA地址所属管理域的IDEA密钥历史,并使用追溯私钥在本地进行解密获得IDEA密钥明文,再使用密钥明文解密NIDTGA地址的接口标识,获得NID。
下面详细介绍本发明中管理域申请与审核、IDEA密钥更新与NIDTGA地址用户身份溯源的流程。
一、管理域申请与审核
本实施例中的去中心化NIDTGA地址用户身份溯源系统由审计方管理员负责搭建最初的区块链节点,并部署系统管理合约。审计方完成系统管理合约部署后,需要设置椭圆曲线加密用的追溯公钥,供普通管理域上传IDEA密钥时加密使用。各管理域所维护的区块链节点通过节点发现功能接入系统的区块链网络。
每个部署NIDTGA地址生成方案的管理域在完成管理域内接入子网的配置后,需要向系统管理合约提交新增管理域的申请,申请中包含管理域名称、管理员电话、邮箱、管理域部署的NIDTGA地址前缀,使用管理域的钱包私钥对交易进行签名后,提交给区块链网络进行共识。各区块链节点的系统管理合约将申请加入到合约维护的申请队列中,等待审计方管理员审核。
审计方管理员通过系统客户端查看管理域新增申请,使用审计方管理员的钱包私钥对审核申请的交易进行签名。系统管理合约将为通过申请的管理域在区块链上部署一个新的密钥存储合约,用于记录该管理域的密钥历史,合约所有者是该管理域的钱包账号,仅有使用该钱包签发的交易可以调用密钥存储合约更新IDEA密钥。
二、IDEA密钥更新
已部署NIDTGA地址生成方案的管理域需要定期更新生成IPv6地址接口标识的IDEA密钥,以防止攻击者收集到足够多的信息破解IDEA密钥。在更新本地地址生成服务器处的IDEA密钥前,需要首先将新的密钥提交给NIDTGA地址用户身份溯源系统。
如图5中,管理域的管理员通过系统客户端填写新的IDEA密钥,系统客户端将向系统区块链请求审计方设置的追溯公钥,使用该追溯公钥和椭圆曲线加密算法对新的IDEA密钥进行加密,然后将密文与当前时间提交给该管理域的密钥存储合约,由合约按提交顺序依次加入内部队列进行存储。
三、NIDTGA地址用户身份溯源
当审计方有用户身份溯源请求时,审计方管理员向系统客户端提交待溯源的NIDTGA地址与部署区块链时设置的椭圆曲线加密公钥所对应的私钥。系统客户端向系统管理合约查询各个管理域所部署的NIDTGA地址前缀,与待追溯的NIDTGA地址进行匹配后确定用户所属的管理域。然后,系统客户端向该管理域的密钥存储合约请求IDEA密钥历史的密文与各密钥的生效时间。如图6所示,客户端对密钥存储合约提供的IDEA密钥密文进行解密,使用IDEA密钥明文依次尝试解密NIDTGA地址的接口标识,与各个密钥的有效时间相比较后,获得用户的NID。
本申请中,审计方管理员需要部署第一个去中心化NIDTGA地址用户身份溯源系统的区块链节点,并部署系统管理合约。各管理员可根据需要在本地部署一个区块链节点,通过节点发现功能接入系统的区块链网络。审计方管理员和各个管理域管理员需要在本地安装区块链钱包与系统客户端,与系统区块链网络进行交互。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种基于区块链的NIDTGA用户身份溯源系统,其特征在于,包括:多个管理域,每一所述管理域包括至少一客户端和一节点计算机;每一所述管理域的客户端与所述节点计算机连接,各所述节点计算机连接;
各所述节点计算机被配置为区块链的节点,所述节点计算机用于部署密钥存储合约,所述密钥存储合约记录了所述管理域中的密钥历史信息,所述密钥历史信息包括用于对NIDTGA地址的接口标识加密的密钥密文和所述密钥密文的更新时间;
所述客户端用于接收用户身份溯源请求,响应所述用户身份溯源请求,获取NIDTGA地址,向所述NIDTGA地址对应的管理域的节点计算机发送密钥历史请求,获取所述节点计算机响应于所述密钥历史请求反馈的密钥存储合约,解析所述密钥存储合约获得密钥历史信息,对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文,基于所述密钥明文对所述NIDTGA地址的接口标识进行解密,获得获取用户的网络识别标识;
所述节点计算机用于接收密钥历史请求,响应所述密钥历史请求,向所述客户端发送所述密钥存储合约。
2.根据权利要求1所述的系统,其特征在于,所述客户端还用于基于追溯私钥对所述密钥历史信息中记录的密钥密文进行解密,获得密钥明文。
3.根据权利要求2所述的系统,其特征在于,所述客户端用于获取NIDTGA地址,获取NIDTGA地址的地址前缀,获取各所述管理域中部署的地址前缀,确定与所述NIDTGA地址的地址前缀匹配的所述管理域,向与所述NIDTGA的地址前缀匹配的所述管理域的节点计算机发送密钥历史请求。
4.根据权利要求3所述的系统,其特征在于,所述客户端用于获取系统管理合约,查询所述系统管理合约,获取各所述管理域中部署的地址前缀。
5.根据权利要求1-4任一项中所述的系统,其特征在于,所述节点计算机还用于部署系统管理合约,当接收到向所述系统管理合约提交的新增管理域的申请信息时,将所述申请信息加入到所述系统管理合约的维护的申请队列中;
所述客户端用于获取新增管理域的申请信息,采用追溯私钥对交易进行签名,其中,所述交易为审核申请信息的交易,所述申请信息为新增管理域的申请信息。
6.根据权利要求5所述的系统,其特征在于,所述节点计算机还用于通过所述系统管理合约在通过申请的新增管理域的节点计算机上部署新的密钥存储合约,用于记录所述新增管理域的密钥历史信息。
7.根据权利要求5所述的系统,其特征在于,所述节点计算机还用于向所述系统管理合约提交新增管理域的申请信息,使用所述节点计算机所在的管理域的追溯私钥对提交申请的交易进行签名,将所述申请信息提交至区块链网络。
8.根据权利要求1-4任一项中所述的系统,其特征在于,所述系统客户端还用于获得对NIDTGA地址的接口标识加密的更新后的密钥明文,向区块链请求追溯公钥,获得所述追溯公钥后,采用所述追溯公钥和椭圆曲线加密算法对更新后的密钥明文进行加密,获得密钥密文和所述密钥密文当前的更新时间,根据所述密钥密文与所述密钥密文的更新时间生成更新的密钥历史信息,将所述密钥历史信息提交至所述节点计算机的密钥存储合约。
9.根据权利要求8所述的系统,其特征在于,所述节点计算机还用于获取更新的所述密钥历史信息,通过所述密钥存储合约存储更新的所述密钥存储合约。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010987763.5A CN112087305B (zh) | 2020-09-18 | 2020-09-18 | 基于区块链的nidtga用户身份溯源系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010987763.5A CN112087305B (zh) | 2020-09-18 | 2020-09-18 | 基于区块链的nidtga用户身份溯源系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112087305A CN112087305A (zh) | 2020-12-15 |
| CN112087305B true CN112087305B (zh) | 2021-08-03 |
Family
ID=73738952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010987763.5A Active CN112087305B (zh) | 2020-09-18 | 2020-09-18 | 基于区块链的nidtga用户身份溯源系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112087305B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112884485B (zh) * | 2021-02-01 | 2024-01-26 | 合肥壹物易证科技有限公司 | 一种基于区块链网络的对称加密溯源交易方法、系统及存储介质 |
| CN114465778A (zh) * | 2022-01-07 | 2022-05-10 | 上海佰贝网络工程技术有限公司 | 基于历史数据默契的信息传输方法、装置、设备及介质 |
| CN116684869B (zh) * | 2023-07-20 | 2023-09-29 | 华中科技大学 | 一种基于IPv6的园区无线网可信接入方法、系统及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245625A (zh) * | 2015-06-30 | 2016-01-13 | 清华大学 | 跨多管理域的追溯系统 |
| CN106027697A (zh) * | 2016-08-01 | 2016-10-12 | 清华大学 | 一种IPv6地址生成方案管理系统 |
| CN107257341A (zh) * | 2017-06-21 | 2017-10-17 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的学籍追溯认证方法 |
| US10341105B2 (en) * | 2017-06-07 | 2019-07-02 | At&T Intellectual Property I, L.P. | Blockchain-based social media history maps |
| CN110430039A (zh) * | 2019-07-19 | 2019-11-08 | 瑞纳智能设备股份有限公司 | 一种基于区块链的生产管理系统及方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11277390B2 (en) * | 2015-01-26 | 2022-03-15 | Listat Ltd. | Decentralized cybersecure privacy network for cloud communication, computing and global e-commerce |
| US10878429B2 (en) * | 2018-03-28 | 2020-12-29 | Konstantinos Bakalis | Systems and methods for using codes and images within a blockchain |
| US10915552B2 (en) * | 2018-06-28 | 2021-02-09 | International Business Machines Corporation | Delegating credentials with a blockchain member service |
| WO2020113098A1 (en) * | 2018-11-29 | 2020-06-04 | Vineti Inc. | Centralized and decentralized individualized medicine platform |
-
2020
- 2020-09-18 CN CN202010987763.5A patent/CN112087305B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245625A (zh) * | 2015-06-30 | 2016-01-13 | 清华大学 | 跨多管理域的追溯系统 |
| CN106027697A (zh) * | 2016-08-01 | 2016-10-12 | 清华大学 | 一种IPv6地址生成方案管理系统 |
| US10341105B2 (en) * | 2017-06-07 | 2019-07-02 | At&T Intellectual Property I, L.P. | Blockchain-based social media history maps |
| CN107257341A (zh) * | 2017-06-21 | 2017-10-17 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的学籍追溯认证方法 |
| CN110430039A (zh) * | 2019-07-19 | 2019-11-08 | 瑞纳智能设备股份有限公司 | 一种基于区块链的生产管理系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| "Building an IPv6 address generation and traceback system with NIDTGA in Address Driven Network";Liu Ying et al;《Science China Information Sciences》;20151215;第58卷;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112087305A (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112087305B (zh) | 基于区块链的nidtga用户身份溯源系统 | |
| US6192130B1 (en) | Information security subscriber trust authority transfer system with private key history transfer | |
| US8724819B2 (en) | Credential provisioning | |
| US9852300B2 (en) | Secure audit logging | |
| US11968206B2 (en) | Non-custodial tool for building decentralized computer applications | |
| CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| CN112686668A (zh) | 联盟链跨链系统及方法 | |
| US11831753B2 (en) | Secure distributed key management system | |
| US11240008B2 (en) | Key management method, security chip, service server and information system | |
| WO2023109056A1 (zh) | 一种基于属性的加密方法及系统 | |
| US10887085B2 (en) | System and method for controlling usage of cryptographic keys | |
| US20160344725A1 (en) | Signal haystacks | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN103051641A (zh) | 多客户端密钥更新方法和系统及信息安全传输方法 | |
| US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
| US11646872B2 (en) | Management of access authorization using an immutable ledger | |
| JP2017112604A (ja) | 対称鍵暗号化と非対称鍵二重暗号化を複合的に適用した暗/復号化速度改善方法 | |
| CN112632574A (zh) | 基于联盟链的多机构数据处理方法、装置及相关设备 | |
| GB2587438A (en) | Key generation for use in secured communication | |
| CN112836206A (zh) | 登录方法、装置、存储介质和计算机设备 | |
| US20240048367A1 (en) | Distributed anonymized compliant encryption management system | |
| CN113992359A (zh) | 用户信息的加密控制方法、装置、计算机设备和存储介质 | |
| Malik et al. | Cloud computing security improvement using Diffie Hellman and AES | |
| CN114238912A (zh) | 数字证书的处理方法、装置、计算机设备和存储介质 | |
| CN113034140A (zh) | 实现智能合约加密的方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |