CN112132581B - 基于iota的pki身份认证系统及方法 - Google Patents

基于iota的pki身份认证系统及方法 Download PDF

Info

Publication number
CN112132581B
CN112132581B CN202011316522.4A CN202011316522A CN112132581B CN 112132581 B CN112132581 B CN 112132581B CN 202011316522 A CN202011316522 A CN 202011316522A CN 112132581 B CN112132581 B CN 112132581B
Authority
CN
China
Prior art keywords
iota
digital certificate
iotaca
user
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011316522.4A
Other languages
English (en)
Other versions
CN112132581A (zh
Inventor
付绍静
刘开放
张富成
范书珲
冯丹
徐�明
赵文涛
王勇军
罗玉川
柳林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202011316522.4A priority Critical patent/CN112132581B/zh
Publication of CN112132581A publication Critical patent/CN112132581A/zh
Application granted granted Critical
Publication of CN112132581B publication Critical patent/CN112132581B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/389Keeping log of transactions for guaranteeing non-repudiation of a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Technology Law (AREA)
  • Development Economics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于IOTA的PKI身份认证系统及方法。本发明基于IOTA网络的分片技术形成跨域身份认证系统的基础模型,跨域划分、识别方便,以及基于IOTA网络进行PKI数字证书的交易化处理,可以减轻因服务器被攻破而导致数字证书失效的问题,交易化处理可以保证数字证书最新状态的实时更新。因此,本发明利用IOTA网络的去中心化和数据不可篡改的良好安全特性,结合PKI系统产生标准通用数字证书的优势,可为海量数字证书服务器以及使用数字证书的用户身份认证,所述身份认证系统在速度、功能、安全性方面都有良好的提升。

Description

基于IOTA的PKI身份认证系统及方法
技术领域
本发明属身份认证技术领域,具体是涉及到一种基于IOTA的PKI身份认证系统及方法。
背景技术
身份认证是信息时代构建信任的最基本方式,基于证书的公钥基础设施(PublicKey Infrastructure ,PKI)生成的数字证书实现身份认证是目前比较常用的一种方法。通过PKI技术,我们可以在不可信的互联网上使用公钥密码技术实现对用户及其公钥的绑定,从而达到对用户的身份认证,以及对发送信息的加密、完整性和不可否认等服务。在实际应用过程中,PKI技术对于web安全、安全电子邮件、虚拟专用网络等领域的支持是不可替代的,随着5G时代的来临,PKI技术将发挥其更大的作用。
传统的PKI系统的构成如图1所示,其所有的信任起点来源于CA中心(CertificateAuthority,证书认证机构),各个PKI系统有各自的CA中心,这导致了两个问题的发生。一是单点失效问题,过分依赖于对CA中心(Certificate Authority,证书认证机构)的信任,一旦CA中心受到攻击,整个PKI系统将面临崩溃;二是多CA互信难的问题,即用户的数字证书由其所属的CA系统颁发,多个CA系统之间用户和认证服务器无法相互认证。
在区块链技术发展后,使用区块链技术和PKI技术融合的方案被用于互联网的身份认证,因为区块链技术具有分布式验证存储、交易数据不可篡改、去中心化等特性可以解决传统的PKI系统存在的上述两个问题。
然而传统区块链必须要对交易进行定时打包处理的限制且需要昂贵的交易手续费用,这会使得基于传统的区块链技术的PKI身份认证体系统的应用受限。
以DAG(有向无环图)数据结构为基础的IOTA(新型大数据架构)是区块链3.0的典型代表,其技术优势包括:采用DAG共识协议,交易越多交易确认速度越快,理论上速度无限制;交易无手续费,由于节点摆脱了矿工“挖矿”的束缚,不需要给矿工交交易手续费,所以IOTA用户可以非常方便的发送零价值交易;其使用L一次性签名方案和三进制哈希函数,可以有效的抵抗量子攻击。但是,现有技术中,将IOTA与PKI进行融合实现身份认证的方法鲜有人做。
发明内容
有鉴于此,本发明提供了一种基于IOTA的PKI身份认证系统及方法,以解决现有技术的身份认证系统及方法须要对交易进行定时打包处理的限制且需要昂贵的交易手续费用的问题。
一种基于IOTA的PKI身份认证系统,包括:IOTACA系统服务器、认证服务器和IOTA节点,所述IOTACA服务器中集成有PKI系统的服务模块和IOTA客户端模块,
所述IOTACA系统服务器用于根据用户发送的数字证书申请信息,生成的数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点,
所述认证服务器用于根据所述用户获得的数字证书提供所述用户的身份认证服务,
在所述认证服务器接收到所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求,以通过所述IOTA节点查询所述数字证书签名及状态后接收所述IOTA节点返回的查询结果,并根据所述查询结果向所述用户返回身份认证结果。
优选地,还包括数据库,所述IOTACA系统服务器获得所述用户及所述数字证书的信息通过所述数据库存储。
优选地,所述IOTACA系统服务器还用于注销所述数字证书,并在注销所述数字证书注销时,向所述IOTA节点发送包含所述数字证书签名值和注销状态,以更新所述数字证书的签名值的最新状态,并将所述数字证书在IOTA节点中标记注销,
在所述数字证书注销后,所述数据库中与所述数字证书对应的所述用户的所有信息被删除。
优选地,所述IOTACA系统服务器生成的所述数字证书的数据结构在X.509 V3证书标准的基础上增加的构成部分包括:“使用者的域”、“跨域签发者”、“跨域签发者的域”以及“跨域CA签名”。
优选地,PKI身份认证系统包括多个所述IOTACA系统服务器,各个所述IOTACA系统服务器分别通过所述IOTA客户端模块与IOTA网络中的不同的IOTA子网络中的IOTA节点进行耦合绑定。
一种根据上述所述的基于IOTA的PKI身份认证系统的认证方法,包括:
步骤11:用户向所述IOTACA系统服务器发送数字证书申请信息,
步骤12:所述IOTACA系统服务器根据所述用户发送的数字证书申请信息,生成的数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点,
步骤13:所述用户将获得的所述数字证书发送给所述认证服务器,以请求认证服务,
步骤14:所述认证服务器根据所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求,
步骤15:所述IOTA节点查询所述数字证书签名及状态,并将查询的结果发送给所述认证服务器,
步骤16:所述认证服务器根据所述查询的结果向所述用户返回身份认证结果。
一种上述所述的基于IOTA的PKI身份认证系统的跨域认证方法,包括:
步骤21:所述第一用户通过多个所述IOTACA系统服务器中的第一IOTACA系统服务器和与所述第一IOTACA系统服务器对应的第一IOTA子网络获得自己的第一数字证书后,向多个所述IOTACA系统服务器中的第二IOTACA系统服务器发送所述第一数字证书,
步骤22:所述第二IOTACA系统服务器把所述第一数字证书的签名和状态信息发送至所述第一IOTACA系统服务器,以审查所述第一数字证书的合法性和所述第一用户提出的所述操作的权限,以在所述审查结果指示通过后生成跨域数字证书,并将所述跨域数字证书的签名和状态发送至与第二IOTACA系统服务器耦合绑定的第二IOTA子网络中,以及将所述跨域数字证书发送给依次通过所述第二IOTA子网络、与所述第一IOTA子网络、所述IOTA客户端以及所述第一IOTACA系统服务器发送给所述第一用户,
步骤23:所述第一用户通过所述跨域数字证书向所述第二用户发送操作请求,
步骤24:所述第二用户向所述第二IOTACA系统服务器发出审查所述跨域数字证书的签名和状态的请求,以检查所述跨域数字证书的合法性,并根据所述第二IOTA子网络中的IOTA节点返回的审查结果实现对所述第一用户的跨域身份认证,并根据认证的结果确定对所述操作请求的执行动作。
一种上述任意一项所述的基于IOTA的PKI身份认证系统的构建方法,包括:
构建IOTA网络,所述IOTA网络包括多个不同域的IOTA子网络,所述IOTA子网络包括多个IOTA节点,
将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器,
将所述IOTA节点与所述IOTACA系统服务器进行耦合绑定。
优选地,构建IOTA网络的步骤包括:
步骤31:采用IOTA系统官方网站释放出的IRI jar包以及私链搭建工具构建IOTA私链,并获取构建网络的标识、IP地址、端口号以及配置信息,
步骤32:修改构建私链时的IRI同版本源代码,以更改所述源代码中对于交易验证部分的验证规则,以根据所述验证规则划分构建的所述IOTA网络,以获得各个所述IOTA子网络的,所述验证规则为产生交易的Tag字段相同的IOTA节点属于统一所述IOTA子网络的,
步骤33:根据不同的所述Tag字段划分出不同的IOTA子网络,并在不同的电脑终端运行执行不同验证策略的节点软件,以构建IOTA节点,
步骤34:将构建好的TOTA节点运行后,将所有的IOTA节点根据所述IP地址、端口号进行链接,以形成组成包含各个所述IOTA子网络的所述IOTA网络,
步骤35:将各个所述IOTA子网络和所述Tag字段的所述匹配策略存储于在数据库中。
优选地,将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器的步骤包括:
步骤41:构建PKI系统,基于生成的数字证书的版本为X.509 V3格式标准进行PKI系统的构建,构建的所述PKI系统具有包括关于数字证书生成、查询、验证的第一操作接口,
步骤42:在所述PKI系统中加入IOTA客户端模块,所述IOTA客户端模块包括对所述IOTA网络中的IOTA节点的交易生成、查询、验证的第二操作接口,
步骤43:连通各个所述第一操作接口与对应的所述第二操作接口,使在所述PKI系统中进行的操作能够与在IOTA网络中进行的操作相融合,以形成所述IOTACA系统服务器。
本发明的有益效果是:本发明基于IOTA网络的分片技术形成跨域身份认证系统的基础模型,跨域划分、识别方便,应用可根据不同的实际场景设置不同的IOTA子网络划分策略,以及IOTACA系统服务器和IOTA子网络的对接规则。基于IOTA网络进行PKI数字证书的交易化处理,可以减轻因服务器被攻破而导致数字证书失效的问题,交易化处理可以保证数字证书最新状态的实时更新。将数字证书交易化后,用户之间在点对点进行通信验证时优先通过对IOTA网络中用户用于产生数字证书交易的地址进行解析,进而查询、验证用户数字证书。跨域证书的生成基于原始数字证书生成,在安全性上保证信任链的完整。基于IOTA网络的身份认证系统,在交易确认和网络查询中相比比特币、以太坊等区块链网络效率有了极大的提升,可以达到数字证书立即确认和撤销,而不需要等待若干时间再进行确认。
附图说明
图1 为传统的PKI系统的结构框图;
图2为依据本发明实施例提供的基于IOTA的PKI身份认证系统的结构示意图;
图3为传统的PKI系统生成的证书数据结构图;
图4为本发明实施例中生成的数字证书的结构示意图;
图5为依据本发明实施例提供的跨域身份认证流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所产生的所有其他实施例,都属于本发明保护的范围。此外需要说明的是,在具体实施方式这一项内容中“所述…”是仅指本发明的中的技术属于或特征。
图2为依据本发明提供了一种基于IOTA的PKI身份认证系统,其主要包括:IOTACA系统服务器、认证服务器和IOTA节点,所述IOTACA服务器中集成有PKI系统的服务模块和IOTA客户端模块。所述IOTACA系统服务器用于根据用户发送的数字证书申请信息,生成的数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点,所述认证服务器用于根据所述用户获得的数字证书提供所述用户的身份认证服务,在所述认证服务器接收到所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求,以通过所述IOTA节点查询所述数字证书签名及状态后接收所述IOTA节点返回的查询结果,并根据所述查询结果向所述用户返回身份认证结果此外,所述基于IOTA的PKI身份认证系统还包括数据库,所述IOTACA系统服务器获得所述用户及所述数字证书的信息通过所述数据库存储,所述数据库如MySQL数据库。
此外,在本发明实施例中,所述PKI身份认证系统包括多个所述IOTACA系统服务器,各个所述IOTACA系统服务器分别通过所述IOTA客户端模块与IOTA网络中的不同的IOTA子网络中的IOTA节点进行耦合绑定。此外,每一个所述IOTACA系统服务器具有对应的认证服务器。具有多个述IOTACA系统服务器PKI身份认证系统可以实现跨域认证,不同的域对应不同的所述IOTACA系统服务器以及所述IOTACA系统服务器对应的IOTA子网络。
IOTA网络是价值互联网的内核,其摆脱了传统区块链必须要对交易进行定时打包处理的限制,所有用户发送的交易可以在单一节点的验证后直接上链,通过后向交易验证的方式对前面节点生成的交易进行确认,增加其交易权重,从而达到交易的确认。IOTA网络相对于常规区块链技术而言,技术优势明显,主要表现在:一、IOTA网络采用DAG共识协议,交易越多交易确认速度越快,理论上速度无限制;二、交易无手续费,因为IOTA节点摆脱了矿工“挖矿”的束缚,不需要给矿工交交易手续费,所以IOTA网络用户可以非常方便的发送零价值交易;三、其使用L一次性签名方案和三进制哈希函数,可以有效的抵抗量子攻击;四、具有面向物联网的功能设计模式,因为IOTA官方致力于实现智能城市、智慧交通、基础设施建设等方面实现。
在IOTA网络进行交易的结构中,当发送一笔零值交易时,需要用户进行定义的有五个:
Seed:用于产生签名,通常钱包内置,不需要手动填入;
Address:指定交易的接收方;
Value:指定交易的数量;
Tag:交易标志字段,用户自定义;
Message(SignatureMessage Fragment):交易包含的附加信息,在价值交易中承载交易签名,在零价值交易中用于承载用户自定义信息。
在本发明中,用户拥有标识IOTA网络中独一无二身份的Seed,为构建一笔交易的必要字段,在客户端内置即可;Address字段用于标识交易的接收方的地址,此处应为能够产生数字证书的服务提供方所控制的交易地址,所有的交易信息均记录在该地址的历史交易中;Value字段此处统一为0,不需要发送价值交易;Tag字段用于标识IOTA网络中的各个IOTA子网络所在的子域,根据用户和数字证书的服务提供方所在的域进行确定,为证书信息中的必要信息;SignatureMessageFragment字段在产生零值交易的过程中缺省值为三进制的9,此处应填入用户产生的数字证书中CA中心的签名值以及证书的状态信息,所有证书的生成、激活、验证、销毁等操作均针对SignatureMessageFragment中承载的签名值以及证书的状态信息为对象实现。
本发明所提供的所述身份认证系统中处使用用户(人和设备)外,还包括所述的IOTACA系统服务器、IOTA节点、认证服务器这三各部分。用户在生成数字证书之前,需要在IOTACA系统服务器的PKI系统的RA(证书注册审批)服务模块上进行用户的注册,成为可以拥有数字证书的用户。在本发明实施例中,IOTACA系统服务器集成运行PKI数字证书服务所有的服务模块以及IOTA客户端模块。在其它发明实施例中,所述IOTA 节点也可以集成在所述 IOTACA系统服务器中,以方便维护、管理和排除系统故障。IOTA节点负责将数字证书的签名值和状态信息以交易字段的形式发送至其所在的IOTA网络,并且提供查询、验证交易的服务。认证服务器作为服务的提供方,提供给用户不同的服务 ,以满足用户需求。
在某一个域内的用户或设备将基本信息上传给所述IOTACA系统服务器后,交给与该某一域对应的PKI系统中进行审核,并产生相应用户的数字证书。所述数字证书激活认证通过后,对应的PKI系统将发送一笔交易至IOTA网络对应的IOTA子网络,该笔交易记录了批准证书的状态以及PKI系统对其的签名信息,作为不可篡改的数字证书凭证,供认证服务器或者用户认证使用。
在依据本发明提供的所述身份认证系统中,IOTACA系统服务器中的所有的PKI系统同属于一个IOTA网络中,每个PKI系统运行不同规则的IOTA节点,形成不同域的IOTA子网络。在进行不同IOTA子网络的跨域认证时,用户子域签名信息在IOTA子网络有着不可篡改的记录,以此作为信任传递的凭证。
通过一个IOTA网络代替现有技术中的原有的代理CA,将代理CA的设置由众多中心化的服务器转变成一个去中心化的、不可篡改的IOTA网络,数字证书作为交易信息存储在IOTA网络中。IOTA网络与IOTACA系统服务器中的PKI系统的融合,为每个用户在该网络中有着明确而不可抵赖的身份信息,跨域交易得以实现。
用户提交的数字证书申请信息是信任传递模型展开的起点,用户在PKI系统的RA服务模块通过注册后获得获取数字证书的权利,以成为证书用户。所述证书用户通过IOTACA系统服务器申请自己的数字证书。在申请数字证书的过程中,用户通过申请到的用户名密码登录PKI系统的CA服务模块页面,提交自己诸如姓名、籍贯、出生年月、用户自身所在域标识等个人身份信息,选择合适的加密算法(支持DSA,ECDSA,RSA,SM9算法),生成用户的数字证书,并保存至本地存储。在生成数字证书的时间点,IOTACA系统服务器将数字证书所包含的签名值以及一个激活的状态位发送至IOTA网络中。此时用户的证书已经生成,且已经在后端激活,可以通过IOTA子网络的IOTA节点查询数字证书的签名和状态信息。
IOTACA系统服务器生成数字证书交易时,用户需要定义的主要标志位如下:
Figure DEST_PATH_IMAGE001
:用户的Seed;
Figure DEST_PATH_IMAGE002
:IOTACA系统服务器控制的Address;
Figure DEST_PATH_IMAGE003
:0;
Figure DEST_PATH_IMAGE004
:用户和IOTACA系统服务器所在的子域标识;
Figure DEST_PATH_IMAGE005
Figure DEST_PATH_IMAGE006
):用户生成的证书签名值+未激活状态标识。
所述IOTACA系统服务器除了可以根据所述用户的请求生成数字证书并对所述数字证书进行激活操作外,还可以自行或者根据用户的申请,对所述数字证书进行注销操作,并在注销所述数字证书注销时,向所述IOTA节点发送包含所述数字证书签名值和注销状态,以更新所述数字证书的签名值的最新状态,并将所述数字证书在IOTA节点中标记注销,在所述数字证书注销后,所述数据库中与所述数字证书对应的所述用户的所有信息被删除。
IOTACA系统服务器和用户都可以对证书做出注销操作。当用户申请注销自己的区块链证书时,用户无需IOTACA系统服务器的审批即可完成注销证书的操作。证书注销时,在IOTA子网络上,IOTACA系统服务器将向IOTA节点发送一笔包含用户证书签名值和注销状态标志的IOTA交易,以更新该签名值的最新状态,进而将该证书在区块链中标记注销。在MySQL数据库端,证书注销操作会删除系统服务器中关于该用户的所有信息,一旦用户进行了注销操作,该证书将永久不可用。
IOTACA系统服务器对数字证书进行注销时,用户需要定义的主要标志位如下:
Figure DEST_PATH_IMAGE007
:用户的Seed;
Figure 305767DEST_PATH_IMAGE002
:IOTACA系统服务器控制的Address;
Figure 488487DEST_PATH_IMAGE003
:0;
Figure 799383DEST_PATH_IMAGE004
:用户和IOTACA系统服务器所在的子域标识;
Figure 460171DEST_PATH_IMAGE005
Figure 805702DEST_PATH_IMAGE006
):用户生成的证书签名值+注销状态标识。
在本发明实施例中,所述IOTACA系统服务器中的PKI系统为基于生成证书如图3所示的X.509 V3证书构建的PKI系统,而所述IOTACA系统服务器(融合了PKI和IOTA)生成的数字证书的数据结构如图4所示。在X.509 V3证书标准的基础上, IOTACA系统服务器在生成数字证书后将数字证书的签名值以及证书状态存入IOTA网络中,使得生成的所述数字证书在的数据结构与原有的X.509证书相比,有以下几点不同:一是在区块链证书中将IOTACA系统服务器的签名标记到某个域中,保证区块链证书的子域合法性;二是加入跨域签发者模块,提供在需要跨域认证时的身份认证操作时确定签发者的域;三是CA签名项提供跨域签名操作,提供在需要跨域认证时的身份认证操作时提供跨域签名服务。即所述IOTACA系统服务器生成的所述数字证书的数据结构在X.509 V3证书标准的基础上增加的构成部分包括:“使用者的域”、“跨域签发者”、“跨域签发者的域”以及“跨域CA签名”。
所述数字证书的意义在于提供了一种信任链的传递模型。在用户的生成数字证书的过程中,数字证书保留了可以进行信任链传递的接口。使得用户在进行跨域访问过程中能够轻易的进行跨域数字证书的生成操作。通过数字证书的原始信任证书,得到基于原始数字证书的跨域数字证书,跨域数字证书的有效期依据原始数字证书的有效期来确定,也可以自定义跨域证书的有效期策略。
用户的数字证书的验证操作需要获取所述数字证书是否存在激活和注销状态。假设用户和认证服务器之间进行一次单向认证。用户发送自己的数字证书给认证服务器,认证服务器收到用户发来的数字证书后,首先提取证书的签名值,而后使用提取的签名值向IOTA节点申请查询服务。IOTA节点首先查看有无符合该签名值的交易,有则返回包含该文本信息的最新交易的状态值,无则返回null给认证服务器。认证服务器通过IOTA节点返回的状态信息决定是否和用户进行下一步的通信操作。、在上述过程中,认证服务器或者用户查询证书的方式是通过IOTA地址作为查询证书签名值的索引。因此,所述认证服务器在本发明实施例中需要的实现下列三个功能:
一是需要用户指定绑定用户数字证书与对应域的IOTA子网络的具体地址;
二是需要对数字证书进行解析,通过解析后的内容获取用户的域名信息和地址信息;
三是需要根据解析出的地址信息查询改地址上最新的交易信息,以获取绑定的用户证书的最新签名值和状态信息。
所述IOTACA系统服务器通过用户发送的证书文件,可以从中提取到该用户的域名信息、地址信息,进而得到该用户证书的签名信息和状态信息。在验证用户数字证书的过程中,首先对该数字证书的域名信息进行查询,判定是否为一项跨域操作;而后解析用户发出数字证书中的签名值信息,与通过地址在IOTA子网络中拉取的签名值信息做比对,验证签名值的真伪;最后对交易中的状态信息进行查询,获取该签名值所对应的数字证书的最新状态,作为是否可用的判断依据。只有以上步骤皆通过验证,才能证明该数字证书的有效性。
因此,本发明利用IOTA网络的去中心化和数据不可篡改的良好安全特性,结合PKI系统产生标准通用数字证书的优势,可为海量数字证书服务器以及使用数字证书的用户身份认证系统,且所述身份认证系统在速度、功能、安全性方面都有良好的提升。
因此,依据本发明所述的基于IOTA的PKI身份认证系统的身份认证方法,主要包括步骤11至步骤16。
步骤11:用户向所述IOTACA系统服务器发送数字证书申请信息。
步骤12:所述IOTACA系统服务器根据所述用户发送的数字证书申请信息,生成的数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点。
步骤13:所述用户将获得的所述数字证书发送给所述认证服务器,以请求认证服务。
步骤14:所述认证服务器根据所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求。
步骤15:所述IOTA节点查询所述数字证书签名及状态,并将查询的结果发送给所述认证服务器。
步骤16:所述认证服务器根据所述查询的结果向所述用户返回身份认证结果。
此外,所述基于IOTA的PKI身份认证系统包括多个所述IOTACA系统服务器,各个所述IOTACA系统服务器分别通过所述IOTA客户端模块与IOTA网络中的不同的IOTA子网络中的IOTA节点进行耦合绑定,因此这种包括多个所述IOTACA系统服务器的基于IOTA的PKI身份认证系统还能实现跨域身份认证,所述跨域身份认证方法主要包括步骤21至步骤24。
步骤21:所述第一用户通过多个所述IOTACA系统服务器中的第一IOTACA系统服务器和与所述第一IOTACA系统服务器对应的第一IOTA子网络获得自己的第一数字证书后,向多个所述IOTACA系统服务器中的第二IOTACA系统服务器发送所述第一数字证书。
步骤22:所述第二IOTACA系统服务器把所述第一数字证书的签名和状态信息发送至所述第一IOTACA系统服务器,以审查所述第一数字证书的合法性和所述第一用户提出的所述操作的权限,以在所述审查结果指示通过后生成跨域数字证书,并将所述跨域数字证书的签名和状态发送至与第二IOTACA系统服务器耦合绑定的第二IOTA子网络中,以及将所述跨域数字证书发送给依次通过所述第二IOTA子网络、与所述第一IOTA子网络、所述IOTA客户端以及所述第一IOTACA系统服务器发送给所述第一用户。
步骤23:所述第一用户通过所述跨域数字证书向所述第二用户发送操作请求。
步骤24:所述第二用户向所述第二IOTACA系统服务器发出审查所述跨域数字证书的签名和状态的请求,以检查所述跨域数字证书的合法性,并根据所述第二IOTA子网络中的IOTA节点返回的审查结果实现对所述第一用户的跨域身份认证,并根据认证的结果确定对所述操作请求的执行动作。
下面我们结合图5所示的依据本发明实施例提供的跨域身份认证流程示意图结合具体的实施例进一步详细阐述依据本发明所述的基于IOTA的PKI身份认证系统的跨域身份认证方法。
例如,处于A域的用户
Figure DEST_PATH_IMAGE008
希望得到处于B域的用户
Figure DEST_PATH_IMAGE009
的响应,即用户
Figure 441213DEST_PATH_IMAGE008
需要向用户
Figure 973826DEST_PATH_IMAGE009
进行操作请求,则所述A域与B域之间的跨域认证包括以下流程步骤:
步骤a:
Figure 703885DEST_PATH_IMAGE008
向B域的认证中心
Figure DEST_PATH_IMAGE010
(第二IOTACA系统服务器)发送跨域认证的证书请求,并将自己的数字证书
Figure DEST_PATH_IMAGE011
发送给
Figure 182883DEST_PATH_IMAGE010
步骤b:
Figure 441826DEST_PATH_IMAGE010
向A域的认证中心S A (第二IOTACA系统服务器)发送用户
Figure 727314DEST_PATH_IMAGE008
的数字正式的签名信息和状态信息,以向所述A域的认证中心S A 审查所述数字证书
Figure 729905DEST_PATH_IMAGE011
的合法性,一是对证书内容的审查,二是通过
Figure DEST_PATH_IMAGE012
检查对应域内该证书的hash值是否存在该证书。均验证通则对
Figure 800760DEST_PATH_IMAGE008
提出的操作权限进行审查,审查通过后生成跨域证书
Figure DEST_PATH_IMAGE013
的hash值和签名发送至IOTA网络中;
步骤c:
Figure 27342DEST_PATH_IMAGE010
Figure 534547DEST_PATH_IMAGE008
发送生成的跨域证书
Figure DEST_PATH_IMAGE014
Figure 622720DEST_PATH_IMAGE008
将跨域证书
Figure 594087DEST_PATH_IMAGE014
保存至本地存储中;
步骤d:
Figure 194832DEST_PATH_IMAGE008
向B域发送对
Figure 205645DEST_PATH_IMAGE009
的操作请求,生成一笔跨域交易,交易内容包括生成的跨域证书、请求操作的设备和权限;
Figure 550039DEST_PATH_IMAGE009
将根据审核结果决定下一步的执行动作。此步骤中,
Figure 579174DEST_PATH_IMAGE008
向B域的认证中心
Figure 616401DEST_PATH_IMAGE010
(第二IOTACA系统服务器)发送所述跨域数字证书。
步骤e:
Figure 98198DEST_PATH_IMAGE009
向所在域的IOTA网络发出审查请求,检查
Figure 246282DEST_PATH_IMAGE008
跨域证书的合法性。
Figure 883587DEST_PATH_IMAGE008
向B域的认证中心
Figure 91714DEST_PATH_IMAGE010
(第二IOTACA系统服务器)发送所述跨域数字证书后,通过B域的认证中心
Figure 60807DEST_PATH_IMAGE010
(第二IOTACA系统服务器)认证所述跨域数字证书的合法性后,便可与用户
Figure 747003DEST_PATH_IMAGE009
进行相应的操作。
由上可见,本发明利用IOTA网络去中心化和数据不可篡改的良好安全特性,结合PKI系统产生标准通用数字证书的优势,可为海量数字证书服务器以及使用数字证书的用户提供一种新的产生、使用、销毁数字证书的方法,并且在数字证书全生命周期的实施管理和维护,同时保证用户跨域访问的顺利进行。跨域认证采取IOTA子网络提供跨域的基础,并在传统PKI服务器和用户端集成IOTA客户端的功能,实现PKI服务器和用户端对于IOTA网络的访问,以支持数字证书全生命周期的管理和维护。因此,本发明提供的基于IOTA的PKI身份认证系统及认证方法,在速度、功能、安全性方面都有良好的提升。
此外,本发明还提供了一种本发明所述的基于IOTA的PKI身份认证系统的构建方法,其主要包括:构建IOTA网络,所述IOTA网络包括多个不同域的IOTA子网络,所述IOTA子网络包括多个IOTA节点;将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器;将所述IOTA节点与所述IOTACA系统服务器进行耦合绑定。
其中,构建IOTA网络的步骤包括:
步骤31:采用IOTA系统官方网站释放出的IRI jar包以及私链搭建工具构建IOTA私链,并获取构建网络的标识、IP地址、端口号以及配置信息。
步骤32:修改构建私链时的IRI同版本源代码,以更改所述源代码中对于交易验证部分的验证规则,以根据所述验证规则划分构建的所述IOTA网络,以获得各个所述IOTA子网络的,所述验证规则为产生交易的Tag字段相同的IOTA节点属于统一所述IOTA子网络的。
步骤33:根据不同的所述Tag字段划分出不同的IOTA子网络,并在不同的电脑终端运行执行不同验证策略的节点软件,以构建IOTA节点。
步骤34:将构建好的TOTA节点运行后,将所有的IOTA节点根据所述IP地址、端口号进行链接,以形成组成包含各个所述IOTA子网络的所述IOTA网络。
步骤35:将各个所述IOTA子网络和所述Tag字段的所述匹配策略存储于在数据库中。
进一步的,将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器的以下步骤包括:
步骤41:构建PKI系统,基于生成的数字证书的版本为X.509 V3格式标准进行PKI系统的构建,构建的所述PKI系统具有包括关于数字证书生成、查询、验证的第一操作接口。
步骤42:在所述PKI系统中加入IOTA客户端模块,所述IOTA客户端模块包括对所述IOTA网络中的IOTA节点的交易生成、查询、验证的第二操作接口。
步骤43:连通各个所述第一操作接口与对应的所述第二操作接口,使在所述PKI系统中进行的操作能够与在IOTA网络中进行的操作相融合,以形成所述IOTACA系统服务器。
在完整的IOTACA系统服务器运行的过程中,需要MySQL数据库服务器以及各个IOTA子网络的运行支持。而IOTACA服务器与各个IOTA子网络的IOTA节点处于松耦合的状态进行绑定。其耦合性在于特定业务的IOTACA服务器集群应连接一个IOTA子网络的IOTA节点群作为产生所述数字证书的系统支撑。其松耦合性在于IOTACA系统服务器可以同时承担各个IOTA子网络的IOTA节点的角色,以便于IOTACA系统服务器更稳定的运行以及更高的安全性支撑。并且多个不同业务的IOTACA系统服务器可以绑定同一个IOTA子网络的IOTA节点群。如果多个不同业务的IOTACA系统服务器绑定同IOTA子网络的IOTA节点群的,则这些不同业务的IOTACA系统服务器都将处于同一个信任域下。
处于绑定状态的IOTACA系统服务器拥有在特定IOTA子网络中进行发送交易的能力。并且,在用于和IOTACA系统服务器和绑定的IOTA节点只接收由IOTACA系统服务器提供的特定的交易内容,即交易的签名值和状态值信息,用户可以发送除特定内容以外的信息。除此之外,可以选择让IOTACA系统服务器拥有该IOTA子网络的所有权功能,用户无法进行发送交易的操作,只能进行查询交易的操作。以此保证在IOTA子网络中出自于IOTACA系统服务器发送交易的绝对权威性。
本发明基于IOTA网络的分片技术形成跨域身份认证系统的基础模型,跨域划分、识别方便,应用可根据不同的实际场景设置不同的IOTA子网络划分策略,以及IOTACA系统服务器和IOTA子网络的对接规则。基于IOTA网络进行PKI数字证书的交易化处理,可以减轻因服务器被攻破而导致数字证书失效的问题,交易化处理可以保证数字证书最新状态的实时更新。将数字证书交易化后,用户之间在点对点进行通信验证时优先通过对IOTA网络中用户用于产生数字证书交易的地址进行解析,进而查询、验证用户数字证书。跨域证书的生成基于原始数字证书生成,在安全性上保证信任链的完整。基于IOTA网络的身份认证系统,在交易确认和网络查询中相比比特币、以太坊等区块链网络效率有了极大的提升,可以达到数字证书立即确认和撤销,而不需要等待若干时间再进行确认。
依照本发明的实施例如上文所述,这些实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施例。根据以上描述,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (10)

1.一种基于IOTA的PKI身份认证系统,其特征在于,包括:至少一个IOTACA系统服务器、至少一个认证服务器和至少一个IOTA节点,所述IOTACA服务器中集成有PKI系统的服务模块和IOTA客户端模块,
所述IOTACA系统服务器用于根据用户发送的数字证书申请信息,生成数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点,
所述认证服务器用于根据所述用户获得的数字证书提供所述用户的身份认证服务,
在所述认证服务器接收到所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求,以通过所述IOTA节点查询所述数字证书签名及状态后接收所述IOTA节点返回的查询结果,并根据所述查询结果向所述用户返回身份认证结果。
2.根据权利要求1所述的基于IOTA的PKI身份认证系统,其特征在于,还包括数据库,所述IOTACA系统服务器获得所述用户及所述数字证书的信息,并将所述信息通过所述数据库存储。
3.根据权利要求2所述的基于IOTA的PKI身份认证系统,其特征在于,所述IOTACA系统服务器还用于注销所述数字证书,并在注销所述数字证书注销时,向所述IOTA节点发送包含所述数字证书签名值和注销状态,以更新所述数字证书的签名值的最新状态,并将所述数字证书在IOTA节点中标记注销,
在所述数字证书注销后,所述数据库中与所述数字证书对应的所述用户的所有信息被删除。
4.根据权利要求1所述的基于IOTA的PKI身份认证系统,其特征在于,所述IOTACA系统服务器生成的所述数字证书的数据结构在X.509 V3证书标准的基础上增加的构成部分包括:“使用者的域”、“跨域签发者”、“跨域签发者的域”以及“跨域CA签名”。
5.根据权利要求2所述的基于IOTA的PKI身份认证系统,其特征在于,包括多个所述IOTACA系统服务器,各个所述IOTACA系统服务器分别通过所述IOTA客户端模块与IOTA网络中的不同的IOTA子网络中的IOTA节点进行耦合绑定。
6.一种基于IOTA的PKI身份认证系统的认证方法,其特征在于,包括:
步骤11:用户向所述IOTACA系统服务器发送数字证书申请信息,
步骤12:所述IOTACA系统服务器根据所述用户发送的数字证书申请信息,生成数字证书,并将所述数字证书返回发送给所述用户,且在生成所述数字证书的时间点,所述IOTACA系统服务将所述数字证书所包含的签名值及激活状态发送至IOTA网络中的所述IOTA节点,
步骤13:所述用户将获得的所述数字证书发送给所述认证服务器,以请求认证服务,
步骤14:所述认证服务器根据所述用户发送的所述数字证书后,向所述IOTA节点发送查询所述数字证书的签名以及状态的请求,
步骤15:所述IOTA节点查询所述数字证书签名及状态,并将查询的结果发送给所述认证服务器,
步骤16:所述认证服务器根据所述查询的结果向所述用户返回身份认证结果。
7.一种根据权利要求5所述的基于IOTA的PKI身份认证系统的跨域认证方法,其特征在于,包括:
步骤21:第一用户通过多个所述IOTACA系统服务器中的第一IOTACA系统服务器和与所述第一IOTACA系统服务器对应的第一IOTA子网络获得自己的第一数字证书后,向多个所述IOTACA系统服务器中的第二IOTACA系统服务器发送所述第一数字证书,
步骤22:所述第二IOTACA系统服务器把所述第一数字证书的签名和状态信息发送至所述第一IOTACA系统服务器,以审查所述第一数字证书的合法性和所述第一用户提出的操作的权限,以在所述审查结果指示通过后生成跨域数字证书,并将所述跨域数字证书的签名和状态发送至与第二IOTACA系统服务器耦合绑定的第二IOTA子网络中,以及将所述跨域数字证书依次通过所述第二IOTA子网络、所述第一IOTA子网络、所述IOTA客户端以及所述第一IOTACA系统服务器发送给所述第一用户,
步骤23:所述第一用户通过所述跨域数字证书向第二用户发送操作请求,
步骤24:所述第二用户向所述第二IOTACA系统服务器发出审查所述跨域数字证书的签名和状态的请求,以检查所述跨域数字证书的合法性,并根据所述第二IOTA子网络中的IOTA节点返回的审查结果实现对所述第一用户的跨域身份认证,并根据认证的结果确定对所述操作请求的执行动作。
8.一种根据权利要求1至5中任意一项所述的基于IOTA的PKI身份认证系统的构建方法,其特征在于,包括:
构建IOTA网络,所述IOTA网络包括多个不同域的IOTA子网络,所述IOTA子网络包括多个IOTA节点,
将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器,
将所述IOTA节点与所述IOTACA系统服务器进行耦合绑定。
9.根据权利要求8所述的构建方法,其特征在于,构建IOTA网络的步骤包括:
步骤31:采用IOTA系统官方网站释放出的IRI jar包以及私链搭建工具构建IOTA私链,并获取构建的IOTA网络的网络标识、IP地址、端口号以及配置信息,
步骤32:修改构建私链时的IRI同版本源代码,以更改所述源代码中对于交易验证部分的验证规则,以根据所述验证规则划分构建的所述IOTA网络,以获得各个所述IOTA子网络的,所述验证规则为产生交易的Tag字段相同的IOTA节点属于统一所述IOTA子网络的,
步骤33:根据不同的所述Tag字段划分出不同的IOTA子网络,并在不同的电脑终端运行执行不同验证策略的节点软件,以构建IOTA节点,
步骤34:将构建好的IOTA节点运行后,将所有的IOTA节点根据所述IP地址、端口号进行链接,以形成组成包含各个所述IOTA子网络的所述IOTA网络,
步骤35:将各个所述IOTA子网络和所述Tag字段的匹配策略存储于在数据库中。
10.根据权利要求8所述的构建方法,其特征在于,将PKI系统的服务模块与所述IOTA网络对应的IOTA客户端集成为IOTACA系统服务器的步骤包括:
步骤41:构建PKI系统,基于生成的数字证书的版本为X.509 V3格式标准进行PKI系统的构建,构建的所述PKI系统具有包括关于数字证书生成、查询、验证的第一操作接口,
步骤42:在所述PKI系统中加入IOTA客户端模块,所述IOTA客户端模块包括对所述IOTA网络中的IOTA节点的交易生成、查询、验证的第二操作接口,
步骤43:连通各个所述第一操作接口与对应的所述第二操作接口,使在所述PKI系统中进行的操作能够与在IOTA网络中进行的操作相融合,以形成所述IOTACA系统服务器。
CN202011316522.4A 2020-11-23 2020-11-23 基于iota的pki身份认证系统及方法 Active CN112132581B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011316522.4A CN112132581B (zh) 2020-11-23 2020-11-23 基于iota的pki身份认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011316522.4A CN112132581B (zh) 2020-11-23 2020-11-23 基于iota的pki身份认证系统及方法

Publications (2)

Publication Number Publication Date
CN112132581A CN112132581A (zh) 2020-12-25
CN112132581B true CN112132581B (zh) 2021-02-19

Family

ID=73852446

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011316522.4A Active CN112132581B (zh) 2020-11-23 2020-11-23 基于iota的pki身份认证系统及方法

Country Status (1)

Country Link
CN (1) CN112132581B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112989317B (zh) * 2021-03-24 2022-03-18 中国电子科技集团公司第三十研究所 一种统一的分布式pki证书身份管理系统
CN115001816A (zh) * 2022-05-31 2022-09-02 杭州万林数链科技服务有限公司 一种多区块链平台的区块链节点服务系统
CN117729040B (zh) * 2023-12-22 2024-06-21 中国人民解放军国防科技大学 一种可验证的天际线安全查询方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10193695B1 (en) * 2018-04-30 2019-01-29 Merck Patent Gmbh Methods and systems for automatic object recognition and authentication
CN111835520A (zh) * 2019-04-19 2020-10-27 株式会社理光 设备认证的方法、服务接入控制的方法、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100347986C (zh) * 2003-11-24 2007-11-07 华中科技大学 一种身份认证的方法和系统
US7292855B2 (en) * 2003-11-25 2007-11-06 Nokia Corporation Apparatus, and associated method, for facilitating formation of multiple mobile IP data sessions at a mobile node
US20190354962A1 (en) * 2018-05-18 2019-11-21 Qredo Ltd. Distributed Ledger Payments Platform for Telecoms
US11488160B2 (en) * 2018-07-30 2022-11-01 Hewlett Packard Enterprise Development Lp Systems and methods for using captured time series of secured representations of distributed ledger addresses and smart contract deployed on distributed ledger network to prove compliance

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10193695B1 (en) * 2018-04-30 2019-01-29 Merck Patent Gmbh Methods and systems for automatic object recognition and authentication
CN111835520A (zh) * 2019-04-19 2020-10-27 株式会社理光 设备认证的方法、服务接入控制的方法、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
区块链共识机制研究综述;刘懿中等;《密码学报》;20190815;全文 *
区块链安全研究综述;斯雪明等;《密码学报》;20181015;全文 *

Also Published As

Publication number Publication date
CN112132581A (zh) 2020-12-25

Similar Documents

Publication Publication Date Title
Cui et al. A hybrid blockchain-based identity authentication scheme for multi-WSN
EP3788523B1 (en) System and method for blockchain-based cross-entity authentication
US11038670B2 (en) System and method for blockchain-based cross-entity authentication
US10917246B2 (en) System and method for blockchain-based cross-entity authentication
CN108696358B (zh) 数字证书的管理方法、装置、可读存储介质及服务终端
WO2021000419A1 (en) System and method for blockchain-based cross-entity authentication
CN112132581B (zh) 基于iota的pki身份认证系统及方法
CN109327481B (zh) 一种基于区块链的全网统一在线认证方法及系统
US7844816B2 (en) Relying party trust anchor based public key technology framework
AU2003259136B2 (en) A remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
JP2022504420A (ja) デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム
US20100122082A1 (en) User identity validation system and method
CN112311530A (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN113824563B (zh) 一种基于区块链证书的跨域身份认证方法
CN110401637B (zh) 一种命名数据网络中基于名字的信任方法
JP2003067326A (ja) ネットワーク上の資源流通システム、及び相互認証システム
JP2000349747A (ja) 公開鍵管理方法
Yang et al. Blockchain-based decentralized public key management for named data networking
CN113255014A (zh) 一种基于区块链的数据处理方法以及相关设备
US20020035686A1 (en) Systems and methods for secured electronic transactions
Li et al. An advanced hierarchical identity-based security mechanism by blockchain in named data networking
CN114127764A (zh) 与分布式账本关联的目的地寻址
EP4203377A1 (en) Service registration method and device
WO2017210914A1 (zh) 传输信息的方法和装置
CN110945833A (zh) 一种用于多模标识网络隐私保护与身份管理的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant