CN112597547A

CN112597547A - 一种基于区块链的去中心化可信认证系统

Info

Publication number: CN112597547A
Application number: CN202011596016.5A
Authority: CN
Inventors: 郭邦红; 华希铭; 胡敏
Original assignee: Guangdong National Quantum Technology Co ltd
Current assignee: Guangdong National Quantum Technology Co ltd
Priority date: 2020-12-29
Filing date: 2020-12-29
Publication date: 2021-04-02
Anticipated expiration: 2040-12-29
Also published as: CN112597547B

Abstract

本发明公开了一种基于区块链的去中心化可信认证系统，包括用户端、区块链模块、查询模块、比较模块和启动模块，其中：所述用户端通过OS单元对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送认证节点；认证节点对区块链中的区块进行依次查询，根据名称信息找到任意存有该加载程序启动信息的区块；启动模块一方面从存储模块中获取待加载程序对应的标准HASH值，另一方面将标准HASH值与认证节点接收到的HASH值T_3(HASH)进行比对，并判断如下：若两个HASH值相同，则认证通过。运用区块链解决了可信认证过程中中心化的问题，大大提高了进行大量可信认证的效率。

Description

一种基于区块链的去中心化可信认证系统

技术领域

本发明涉及可信认证领域，具体涉及一种基于区块链的去中心化可信认证系统。

背景技术

可信计算技术是通过在传统计算机硬件结构中添加一个独立的可信模块(Trusted Platform Module,TPM)，通过可信模块可以构建一个安全且可靠的可信启动基，通过可信链，将可信基的可信逐步扩散至整个系统的可信。

可信计算主要包含：可信存储、可信度量、可信远程报告三个部分。其中可信度量是可信计算技术的核心，其作用是验证某程序系统是否可信，通过可信度量就能确定某接入节点是否可信。可信度量根据度量的对象可分为：完整性度量、基于属性的度量及基于语义的度量等。

由于目前的可信认证是由可信认证中心所完成，即每一次的可信度量都需经过可信认证中心去完成。从信息接收、遍历、比对到认证，这一系列的过程都需在可信认证中心中去完成，这对可信认证中心的承载性能要求非常高。如今处于信息大爆炸时代，大量的程序可信启动过程势必将给可信认证中心带来极大的负载。另一方面，当用户端与可信认证中心距离较远时，认证的过程还会出现延迟等情况，严重的延迟可能会直接导致无法进行可信认证。

因此，需要进一步地改进现有的可信认证，以提高认证的效率。

发明内容

为了解决上述技术问题，提出了一种可减轻可信认证中心运行压力的基于区块链的去中心化可信认证方法。

为实现上述目的，本发明采取的技术方案如下：一种基于区块链的去中心化可信认证系统，用于加载程序启动时进行可信度认证，包括用户端、区块链模块、查询模块、比较模块和启动模块，其中：

所述区块链上连接有多个认证节点，所述区块存储有可信启动的信息；

所述用户端位于任意一个认证中心所覆盖的区域中，所述用户端通过OS单元对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送给用户端所在区域对应的认证节点进行认证请求；

认证节点接收认证请求后，通过所述查询模块对区块链中的区块进行依次查询，根据加载程序的名称信息找到任意存有该加载程序启动信息的区块；

所述比较模块用于比较所述加载程序的版本号与该查询模块查找到的区块中记录的该加载程序启动信息对应存储的程序版本号并判断如下：

若二者版本号相同，则在该区块中找到对应的启动数据；如不相同，根据该区块中所记录的版本号指针到其他相应的区块中找到对应的启动数据；

所述启动模块一方面从存储模块中获取待加载程序对应的标准HASH值，另一方面将标准HASH值与认证节点接收到的HASH值T_3(HASH)进行比对，并作出判断如下：

若两个HASH值相同，则认证通过，该加载程序的启动确认为可信启动。

优选地，各个区块之间通过HASH指针互相连接。

优选地，所述用户端通过可信计算技术发出认证请求，所述可信计算技术内容包括CRTM单元，BIOS单元,OS单元和APP单元，其中：

所述CRTM单元用于加载初始程序；所述BIOS单元用于对用户端硬件软件进行自检；所述OS单元用于对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送给用户端所述区块对应的认证节点。

优选地，所述认证节点为轻节点，所述轻节点具有搜索、比较和认证功能。

优选地，所述轻节点不能对区块链上的区块进行修改、增加和删除操作。

优选地，所述加载程序的启动数据在区块中以MERKLE TREE的数据结构形式保存。

优选地，所述加载程序的启动数据包含程序的名称、版本号、标准HASH值和版本号指针。

优选地，所述版本号指针用于记录除该加载程序的启动软件版本以外的其余软件版本所在区块的具体位置。

优选地，CRTM单元是平台执行可信度量根的执行代码。

本发明有益的技术效果：

本发明运用区块链解决了可信认证过程中中心化的问题，大大提高了进行大量可信认证的效率；

本发明可覆盖范围广，能同时对不同区域用户进行可信启动认证。

附图说明

图1为本发明的整体结构图；

图2为本发明空间布局示意图；

图3为本发明的整体流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明，但本发明要求保护的范围并不局限于下述具体实施例。

2008年，Satoshi Nakamoto提出了比特币并提出了支持比特币的技术——区块链。区块链实际上是一个分布式账本，其本质是去中心化的分布式结构数据存储、认证方法。它通过哈希指针将一个一个区块串联起来，防止篡改，一旦发生篡改，能立即追踪篡改发生的位置。

本申请就是基于区块链出色的去中心化能力及防篡改能力，将其与可信认证结合，用于减小可信认证中心负载，提高可信认证效率。

参见图1-图3，本实施例的具体方案如下：

一种基于区块链的去中心化可信认证系统，用于加载程序启动时进行可信度认证，包括用户端、区块链、查询模块、比较模块和启动模块，其中：

所述区块链是不断增加的区块通过HASH指针(HASH指针即一个可以指向存储数据位置即所存储数据的HASH值)依次连接的链状结构，区块链上连接有多个认证节点，所述区块存储有可信启动的信息。

所述存储模块存储有对加载程序进行启动操作的标准HASH值(HASH值又叫哈希值，是一种数据内容和数据存放地址之间的映射关系，是把任意长度的输入通过散列算法变换成固定长度的输出，该输出就是HASH值)，每个区块内均设置对应的认证节点。

其中，待启动的加载程序启动数据在区块中以MERKLE TREE(就是存储HASH值的一棵树，MERKLE树的叶子是数据块，例如文件或者文件的集合的HASH值，非叶节点是其对应子节点串联字符串的hash)的数据结构形式保存。

具体如图1所示，存储在区块中的数据以MERKLE TREE的数据结构形式保存，图中的L1、L2、L3、L4......L2n-1、L2n即为原始数据。原始数据包含系统可信启动程序的名称、版本号、标准HASH值。在MERKLE TREE中，L1与L2、L3与L4......L2n-1与L2n分别通过HASH算法生成其特有的HASH值存储在第二层“树枝”上，即图1中的B1、B2......Bn。同理B1与B2......Bn-1与Bn分别通过算法生成其特有的HASH值存储在第三层“树枝”上，即1图中的T1、T2......以此类推，最终产生一个最高层的HASH值，存储在区块中。

具体地，所述加载程序的启动数据包含程序的名称、版本号、标准HASH值和版本号指针。其中版本号指针用于记录除该加载程序的启动软件版本以外的其余软件版本所在区块的具体位置。

本实施例中的认证节点为轻节点，轻节点具有搜索、比较和认证功能，但是轻节点不能对区块链上的区块进行修改、增加和删除等操作，具有防篡改能力以及追溯功能。

所述用户端位于任意一个认证节点所覆盖的区域中，具体地，用户端通过可信计算技术发出认证请求，所述可信计算包括CRTM(Core Root of Trust for Measurement，可信度量根核心)单元，CRTM单元是平台执行可信度量根的执行代码；BIOS(Basic InputOutput System，基本输入输出系统)单元,OS(Operation System操作系统)单元和APP(Application，应用)单元，其中：

所述CRTM单元用于加载初始程序；所述BIOS单元用于对用户端硬件软件进行自检获得度量HASH值T_1(HASH)；操作系统启动器(OS LOADER)对操作系统(OS)进行度量获得HASH值T_2(HASH)；所述OS单元用于对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送给用户端所在区域对应的认证节点。

若两个HASH值相同，则认证通过，该加载程序的启动确认为可信启动，整个可信认证过程完成。

具体地，采用本实施例的基于区块链的去中心化可信认证系统的进行可信认证的方法包括以下步骤：

步骤S1:加载程序的可信链执行：通过用户端操作系统对加载的程序进行度量，度量过程得到HASH值，记为T_1(HASH)；

详细步骤为：

步骤S1-1：用户端从可信度量根核心加载初始程序；

步骤S1-2：启动BIOS，BIOS自检，检验设备完整性，进行度量；

步骤S1-3：系统初始化，操作系统启动器，对操作系统(OS)进行度量；

步骤S1-4：程序启动,操作系统对加载的程序进行度量。

步骤S2：可信认证请求：用户端操作系统向区块链的认证节点提出认证申请，认证批准后，用户端操作系统向区块链的认证节点发送度量得到的HASH值T_3(HASH)；

步骤S3：查询可信启动信息：

步骤S3-1：认证节点对区块链中的区块进行依次查询，根据用户操作系统提供的程序名称信息找到任意存有该程序启动信息的区块；

步骤S3-2：比较加载程序的版本号，与该区块所记录的信息对应的程序版本号，若相同，则在该区块找到对应的启动数据；若不相同，根据该区块中所记录的版本号指针到其他的区块中找到对应的启动数据；

步骤S4：确认启动可信性：

步骤S4-1：所述认证节点从区块中获取到加载程序对应的标准HASH值；

步骤S4-1：所述认证节点将标准HASH值与加载程序的HASH值T_3(HASH)进行比对，若两个HASH值相同，则认证通过，确定该加载程序启动为可信启动。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对发明构成任何限制。

Claims

1.一种基于区块链的去中心化可信认证系统，用于加载程序启动时进行可信度认证，其特征在于，包括用户端、区块链、查询模块、比较模块和启动模块，其中：

所述用户端通过OS单元对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送给用户端所在区域对应的认证节点进行认证请求；

所述认证节点接收到认证请求后，通过所述查询模块对区块链中的区块进行依次查询，根据加载程序的名称信息找到任意存有该加载程序启动信息的区块；

2.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，各个区块之间通过HASH指针互相连接。

3.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述用户端通过可信计算技术发出认证请求，所述可信计算技术内容包括CRTM单元，BIOS单元,OS单元和APP单元，其中：

所述CRTM单元用于加载初始程序；所述BIOS单元用于对用户端硬件软件进行自检；所述OS单元用于对所述加载程序进行度量获得加载程序的HASH值T_3(HASH)并将T_3(HASH)发送给用户端所在区域对应的认证节点。

4.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述认证节点为轻节点，所述轻节点具有搜索、比较和认证功能。

5.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述轻节点不能对区块链上的区块进行修改、增加和删除操作。

6.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述加载程序的启动数据在区块中以MERKLE TREE的数据结构形式保存。

7.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述加载程序的启动数据包含加载程序的名称、版本号、标准HASH值和版本号指针。

8.如权利要求7所述的一种基于区块链的去中心化可信认证系统，其特征在于，所述版本号指针用于记录除该加载程序的启动软件版本以外的其余软件版本所在区块的具体位置。

9.如权利要求1所述的一种基于区块链的去中心化可信认证系统，其特征在于，CRTM单元是平台执行可信度量根的执行代码。