CN112765684A - 区块链节点终端管理方法、装置、设备及存储介质 - Google Patents
区块链节点终端管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112765684A CN112765684A CN202110389584.6A CN202110389584A CN112765684A CN 112765684 A CN112765684 A CN 112765684A CN 202110389584 A CN202110389584 A CN 202110389584A CN 112765684 A CN112765684 A CN 112765684A
- Authority
- CN
- China
- Prior art keywords
- signature
- block chain
- chain node
- key
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例涉及区块链技术领域,具体涉及一种区块链节点终端管理方法、装置、设备及存储介质。该方法包括:获取区块链节点终端发送的签名字段及公钥,签名字段由区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,公钥为非对称秘钥中的公钥;基于公钥对签名字段进行验签;若签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端对准入凭证进行签名得到签名结果;获取由区块链节点终端返回的签名结果,对签名结果进行核验;若核验通过,允许区块链节点终端接入。通过采用上述方法,实现利用密码学机制构建信任链,从而有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
Description
技术领域
本申请涉及区块链技术领域,更具体地,涉及一种区块链节点终端管理方法、装置、设备及存储介质。
背景技术
目前,对于区块链接节点终端的准入机制及业务运算,主要是在区块链节点单点存储准入配置文件,包含接入的授权token,核心对称密钥、公私钥对等证明措施,以使平台服务端在进行准入验证时,基于上述的配置文件进行验证以根据验证结果确认是否允许区块链节点终端加入。但是,目前的验证方式中区块链节点中存储的准入配置文件存在被盗用、篡改及中间人攻击的风险,且在遭受盗用、篡改或攻击入侵后,整个区块链共识及业务流程面临较大的安全事故风险。
发明内容
有鉴于此,本申请实施例提出了一种区块链节点终端管理方法、装置、设备及存储介质,能够有效避免区块链节点终端加入平台服务端的过程中准入配置文件被盗用或被篡改。
第一方面,本申请实施例提供了一种区块链节点终端管理方法,应用于平台服务端,所述方法包括:获取区块链节点终端发送的签名字段及公钥,所述签名字段由所述区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,所述公钥为非对称秘钥中的公钥;基于所述公钥对所述签名字段进行验签;若所述签名字段验签通过,向所述区块链节点终端发送准入凭证,以使所述区块链节点终端基于所述准入凭证进行签名得到签名结果;获取由所述区块链节点终端返回的签名结果,对所述签名结果进行核验;若核验通过,允许所述区块链节点终端接入。
第二方面,本申请实施例提供了一种区块链节点终端管理方法,应用于区块链节点终端,所述区块链节点终端包括可信密码模块,所述方法包括:所述可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段;将所述非对称密钥对中的公钥和所述签名字段发送至平台服务端,以使所述平台服务端基于所述公钥对所述签名字段进行数据验签,并在验签结果为通过时,向所述区块链节点终端发送准入凭证;接收所述平台服务端发送的准入凭证,基于所述准入凭证进行签名得到签名结果;向所述平台服务端发送所述签名结果,以使所述平台服务端对所述签名结果进行核验,并在核验通过时,允许所述区块链节点终端接入。
第三方面,本申请实施例提供了一种区块链节点终端管理装置,应用于区块链节点终端,所述区块链节点终端管理装置包括:第一获取模块、字段验签模块、凭证发送模块、结果核验模块以及终端接入模块。第一获取模块,用于获取区块链节点终端发送的签名字段及公钥,所述签名字段由所述区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,所述公钥为所述非对称秘钥中的公钥;字段验签模块,用于基于所述公钥对所述签名字段进行验签;凭证发送模块,用于若所述签名字段验签通过,向所述区块链节点终端发送准入凭证,以使所述区块链节点终端基于所述准入凭证进行签名得到签名结果;结果核验模块,用于获取由所述区块链节点终端返回的签名结果,对所述签名结果进行核验;终端接入模块,用于在核验通过时,允许所述区块链节点终端接入。
在一种可能的实施方式中,所述区块链节点终端管理装置还包括:第三获取模块、标识验证模块以及数据发送模块。第三获取模块,用于获取所述区块链节点终端的可信密码模块的身份标识;标识验证模块,用于对所述可信密码模块的身份标识进行验证;数据发送模块,用于在验证成功时,向所述区块链节点终端发送随机串及业务根密钥,以使所述区块链节点终端通过所述可信密码模块基于非对称密钥中的私钥对所述随机串和业务根密钥进行签名计算得到所述签名字段。
在一种可能的实施方式中,若身份标识由厂商私钥对可信密码模块的身份信息进行加密得到,则标识验证模块还用于利用预设厂商公钥对所述可信密码模块的身份标识进行解密,若解密成功则对所述身份标识的验证通过。
在一种可能的实施方式中,区块链节点终端管理装置还包括第一数据接收模块以及第一白名单获得模块。第一数据接收模块,用于接收所述区块链节点终端发送的进程名单,以及接收与所述进程名单对应的审核结果;第一白名单获得模块,用于根据所述进程名单和审核结果得到审核通过的进程,根据所述审核通过的进程得到进程白名单,向所述区块链节点终端反馈所述进程白名单,以使所述区块链节点终端根据进程白名单控制进程的运行。
在一种可能的实施方式中,区块链节点终端管理装置还包括进程名单接收模块以及第二白名单获得模块。进程名单接收模块,用于接收所述区块链节点终端发送的进程名单,所述进程名单中包括至少一个进程;第二白名单获得模块,用于从所述进程名单中选取属于预设名单的目标进程,根据所述目标进程获得进程白名单。
在一种可能的实施方式中,所述字段验签模块,还用于利用所述公钥对所述签名字段进行解密,若解密成功则所述签名字段验签通过;结果核验模块,还用于利用公钥对签名结果进行解密,若解密成功则签名结果核验通过。
第四方面,本申请实施例提供了一种区块链节点终端管理装置,应用于区块链节点终端,所述区块链节点终端包括可信密码模块,所述装置包括:可信密码模块、数据发送模块、凭证接收模块以及结果发送模块。所述可信密码模块用于利用非对称密钥中的私钥对目标数据进行签名得到签名字段;数据发送模块,用于将所述非对称密钥对中的公钥和所述签名字段发送至平台服务端,以使所述平台服务端基于所述公钥对所述签名字段进行数据验签,并在验签结果为通过时,向所述区块链节点终端发送准入凭证;凭证接收模块,用于接收所述平台服务端发送的准入凭证,基于所述准入凭证进行签名得到签名结果;结果发送模块,用于向所述平台服务端发送所述签名结果,以使所述平台服务端对所述签名结果进行核验,并在核验通过时,允许所述区块链节点终端接入。
在一种可能的实施方式中,区块链节点终端管理装置还包括数据获取模块、密钥获取模块以及数据加密模块。数据获取模块,用于在接收到业务处理请求时,获取该业务处理请求中的业务应用,以及获取与所述业务处理请求对应的业务数据;密钥获取模块,用于调用与该业务应用对应的密钥分散算法获取与该业务应用对应的业务对称密钥;数据加密模块,用于利用所述业务对称密钥对所述业务处理请求对应的业务数据进行加密得到加密数据,并将所述加密数据通过所述区块链节点终端所在的区块链传输至其他区块链节点终端。
在一种可能的实施方式中,所述区块链节点终端管理装置还包括:名单获取模块及名单接收模块。名单获取模块,用于获取进程名单,并向所述平台服务端发送所述进程名单,以使所述平台服务端基于与进程名单对应的审核结果和所述进程名单得到进程白名单,或者使所述平台服务端根据预设名单和所述进程名单得到进程白名单,并向所述区块链节点终端反馈所述进程白名单;名单接收模块,用于接收所述平台服务端反馈的进程白名单并保存。
在一种可能的实施方式中,所述区块链节点终端管理装置还包括进程获取模块及运行控制模块。进程获取模块,用于获取启动的应用程序进程;运行控制模块,用于在所述启动的应用程序进程不属于所述进程白名单时,阻止该应用程序进程运行,并向所述平台服务端发送报警日志。
在一种可能的实施方式中,名单获取模块,还用于对所述区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各所述程序进程的可信度量值;根据各所述程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,得到进程名单。
在一种可能的实施方式中,区块链节点终端管理装置还包括:第二数据接收模块和密钥生成模块。第二数据接收模块,用于接收到所述平台服务端发送的目标数据,所述目标数据包括随机串和业务根密钥;密钥生成模块,用于基于所述业务根密钥生成非对称密钥。
第五方面,本申请实施例提供了一种电子设备,包括处理器以及存储器;一个或多个程序被存储在所述存储器中并被配置为由所述处理器执行以实现上述的方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有程序代码,其中,在所述程序代码被处理器运行时执行上述的方法。
第七方面,本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质获取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述的方法。
本申请实施例提供的一种区块链节点终端管理方法、装置、设备及存储介质,通过获取区块链节点终端发送的签名字段及公钥,签名字段由区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,公钥为非对称秘钥中的公钥;基于公钥对签名字段进行验签;若签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果;获取由区块链节点终端返回的签名结果,对签名结果进行核验;若核验通过,允许区块链节点终端接入。以实现利用密码学机制构建信任链,避免区块链节点终端加入平台服务端的过程中准入配置文件被盗用或被篡改,从而有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例提供的一种区块链节点终端管理方法的应用场景图;
图2示出了本申请实施例提出的一种区块链节点终端管理方法的流程示意图;
图3示出了本申请实施例提出的一种区块链节点终端管理方法的时序图;
图4示出了本申请实施例提出的一种区块链节点终端管理方法的另一流程示意图;
图5示出了本申请实施例提出的一种区块链节点终端管理方法的另一流程示意图;
图6示出了本申请实施例提供的一种区块链节点终端管理方法的另一流程示意图;
图7示出了本申请实施例提供的一种区块链节点终端管理方法的又一流程示意图;
图8示出了本申请实施例提出的一种区块链节点终端管理方法的另一时序图;
图9示出了本申请实施例提出的一种区块链节点终端管理方法的又一时序图;
图10示出了本申请实施例提供的一种区块链节点终端管理装置的连接框图;
图11示出了本申请实施例提供的一种区块链节点终端管理装置的另一连接框图;
图12示出了用于执行本申请实施例的方法的电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下,对本申请涉及的术语进行解释。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。例如,各个数据块之间通过随机散列(也称哈希算法)实现链接,后一个区块包含前一个区块的哈希值。且区块链技术在数字资产,智能合约,物流追踪,产品保护等场景有着广泛应用。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
平台服务端,可以是在服务器上运行的区块链可信管控平台,该服务器用于为至少一个区块链平台提供接入服务,并为用户提供基于网页的区块链管理以及查看功能。该服务器上运行的区块链可信管控平台具有权限分配管理、设备可信验证管理、区块链节点管理、稿件日志、白名单维护及对接第三方监管平台的能力。应当理解,本申请实施例中的区块链可信管控平台还可以具有上述的区块链底层平台的所有处理模块,并具有各处理模块相应的功能。
区块链节点终端,可以是网络中的任意形式的计算设备,如服务器、主机、用户终端等。区块链节点终端可以具有可信安全应用、可信终端安全服务套件以及具有可信密码功能的设备,上述的各功能可以集成于设备的处理器。区块链节点终端还可以由集成有可信安全应用和可信终端安全服务套件的处理器和可信密码模块(TCM安全信任芯片)构成。可信安全应用主要包含节点接入响应服务及可信节点安全启动及运行服务。可信终端安全套件包含日志管理、白名单、报警处理,系统进程/应用管控监测。可信密码模块提供安全计算服务,以及负责整体区块链节点的核心业务密钥及身份凭据。
可信密码模块在提供安全计算服务时,会进行可信计算,其中,可信计算是一种主动防御技术,它利用硬件属性作为信任根,系统启动时逐层度量建立一种隔离执行的运行环境,从而保障计算平台敏感操作的安全性,实现对可信代码的保护。可信计算可以实现对于攻击的主动免疫,且基于芯片中的硬件安全机制可以主动检测和抵御可能的攻击。可信计算相对于传统的杀毒软件、防火墙等被动防御方式,可信计算不仅可以在攻击发生后进行报警和响应, 还可以在攻击发生之前就进行主动防御,能够更系统更全面地抵御恶意攻击。
非对称密钥对中的公钥(public key)与私钥(private key):是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密数据、验证数字签名等。通过这种算法能够确保得到的密钥对是唯一的,使用这种密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密,例如,用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。
准入凭证,用于表示需要加入平台服务端的区块链节点终端获得了平台服务端的授权。该区块链节点终端在获取到授权后,该区块链节点终端可以配置相关的服务程序,然后关联到该区块链节点终端对应的平台服务端。该区块链节点终端可以在启用后,接入区块链系统中,在该区块链系统中提供服务。上述区块链系统可以为联盟链系统,上述平台服务端可以为联盟链系统中的中心节点,该区块链节点终端为待加入的节点设备,在加入平台服务端后可以成为联盟链系统中的联盟节点。
随着区块链技术的发展,区块链技术应用到越来越多的技术领域,例如,在金融领域、信息安全、计算资源共享、娱乐、社交、供应链管理或医疗等领域均得到了广泛应用,相应的,区块链技术的安全性也受到越来越多的关注。
发明人经研究发现,目前区块链节点作为基础的分布式接入终端,但区块链节点终端的准入机制及执行环境系统和应用软件的完整性没有统一的安全配置机制,一旦遭受病毒或未知程序的攻击入侵后,整个区块链的共识及业务流程将面临极大的安全事故风险。
基于此,发明人提供了一种区块链节点终端管理方法,该区块链节点终端管理方法的可以应用在平台服务端,平台服务端设置有可信密码模块的区块链节点终端关联,平台服务端通过获取非对称秘钥中的公钥和由可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到的签名字段,基于公钥对签名字段进行验签,以实现在区块链节点终端中集成专用硬件模块建立信任锚点,以及利用密码学机制建立区块链节点终端与平台服务端之间的信任链。在签名字段验签通过后,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果;在接收到签名结果时对签名结果进行核验;以及在核验通过时,允许区块链节点终端接入。实现通过利用签名和验签的方式进行认证以保证接入平台服务端的区块链节点终端可信且安全,同时有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
下面结合图1说明本发明实施例所涉及的应用环境的示意图。其中,应用环境包括区块链节点终端10和用于运行平台服务端的服务器20。
其中,服务器20可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
区块链节点终端10可以是服务器、智能手机、智能电视、平板电脑、笔记本电脑、台式计算机等(图1仅示出了区块链节点终端10为智能手机时的示意图)。
区块链节点终端10中设置有可信密码模块。可信密码模块可以是用于实现可信计算功能的软件程序模块,也可以是内置于区块链节点终端10,并与区块链节点终端10中的处理器连接的TCM安全信任芯片(TCM,Trusted Cryptography Module,可信密码模块)。
若区块链节点终端10需要加入服务器20中的平台服务端(区块链可信管控平台),则区块链节点终端10中的可信密码模块可以利用非对称秘钥中的私钥对目标数据进行签名计算得到签名字段并发送给平台服务端,以实现在区块链节点终端中集成专用硬件模块建立信任锚点, 以及利用密码学机制建立区块链节点之间与平台服务端之间的信任链。
平台服务端在接收到签名字段后,利用公钥对签名字段进行验签,在验签通过后向区块链节点终端10发送准入凭证,以及接收区块链节点终端10基于准入凭证反馈的签名结果,对签名结果进行核验,并在核验通过时,允许区块链节点终端10接入。由于可信计算模块主要采用可信计算的主动防御技术,在将包括可信计算模块的区块链节点终端10安接入到平台服务端后,利用主动防御技术可以实现对于攻击的主动免疫,即可以主动检测和抵御可能的攻击,从而可以有效保证接入平台服务端的区块链节点终端10可信且安全,同时有效提高区块链节点终端10加入至平台服务端后形成的计算环境的可靠性。
下面将结合附图具体描述本申请的各实施例。
请参阅图2和图3,图2所示为本申请实施例提供的一种区块链节点终端管理方法,该方法可以应用于如图1所示的实时场景中的服务器20上运行的平台服务端22,该平台服务端22关联有如图1所示的场景中的区块链节点终端10,且该区块链节点终端10包括可信密码模块和区块链节点,且可信密码模块内置于区块链节点,区块链节点终端管理方法包括步骤S110至步骤S150:
步骤S110:获取区块链节点终端发送的签名字段及公钥。
签名字段由区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,公钥为非对称秘钥中的公钥。
目标数据可以是数字、文字或字符等中的一种或多种构成的字符串,也可以由业务根密钥和随机串构成。该目标数据可以是由可信密码模块生成,也可以是由区块链节点终端的处理器生成,还可以是由平台服务端生成后下发至该区块链节点终端。若目标数据由业务根密钥和随机串构成时,随机串可以是由平台服务端随机生成,且该随机串可以由字母、数字以及符号等中的一种或多种构成,业务根密钥可以是由运行平台服务端的服务器中的加密芯片的自建节点生成。
业务根密钥是指用于派生出其他密钥的密钥,如派生出本申请的非对称密钥,即,区块链节点终端可以在接收到平台服务端发送的业务根密钥及随机数之后,该区块链节点终端中的可信密码模块可以基于业务根密钥生成非对称密钥。
可信密码模块为TCM安全信任芯片,该TCM安全信任芯片是可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。可信计算平台(trustedcomputing platform)概念由国家密码管理局提出,其是构建在计算系统中,用于实现可信计算功能的支撑系统。可信计算密码支撑平台(cryptographic support platform fortrusted computing)是可信计算平台的重要组成部分,包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。
区块链节点终端对签名字段和公钥可以采用同时发送的方式发送至平台服务端,也可以采用分时发送的方式发送至平台服务端。在采用分时发送时,区块链节点终端可以是在初始化完成并获取到非对称秘钥时向平台服务端发送非对称秘钥中的公钥,以及在利用非对称秘钥对目标字段进行签名计算得到签名字段后向平台服务端发送签名字段。其中,可信密码模块利用非对称密钥中的私钥对目标数据进行签名计算的方式具体可以是,可信密码模块利用非对称密钥中的私钥对目标数据进行加密。
由于区块链节点对签名字段和公钥可以采用同时或者分时方式等至少方式发送,相应的,获取区块链节点终端发送的签名字段及公钥的方式也可以有多种。
作为一种实施方式,若区块链节点终端对公钥和签名字段是采用分时发送的方式向平台服务端发送,则上述步骤S110可以是:获取预先存储于平台服务端的公钥以及获取区块链节点终端发送的签名字段。
作为另一种实施方式,若区块链节点终端对公钥和签名字段是采用同时发送的方式向平台服务端发送,则上述步骤S110可以是:接收区块链节点终端发送的签名字段及公钥。
步骤S120:基于公钥对签名字段进行验签。
其中,验签可以包括对签名字段利用公钥进行解密。
上述对签名字段进行验签后,判断是否验签通过的方式可以有多种。
作为一种实施方式,可以是利用公钥对签名字段进行解密,若解密成功,则表示验签通过。
作为另一种方式,还可以是利用公钥对签名字段进行解密,并在利用公钥对签名字段成功解密后,检测解密后的结果是否正确,当解密成功后且解密后的结果正确时,表示验签通过。
在该种方式下,若目标数据包括业务根密钥和随机串,则检测解密后的结果是否正确的方式可以是,检测解密后的结果是否由两部分构成,即是否由密钥和随机串构成,若是,则表示验签通过。若目标数据中包括平台服务端与区块链节点终端之间约定的标识时,在完成解密后,检测解密后的结果中是否包括约定的标识,若包括约定的标识,则标识验签通过。
步骤S130:若签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果。
若签名字段验签通过,则表征区块链节点之间与平台服务端之间利用密码学机制建立了信任链,即平台服务端对区块链节点终端中的可信密码模块之间互为安全可信。
准入凭证具体可以是接入token(令牌)或者授权信息等用于表征区块链节点终端可以接入平台服务端的信息或区块链节点终端获得平台服务端授权的信息。
通过向区块链节点终端发送准入凭证,即向区块链节点终端发送该区块链节点终端获得了平台服务端的授权的信息或允许区块链节点终端接入到平台服务端的信息,以使区块链节点终端可以基于该准入凭证加入平台服务端。
具体的,区块链节点终端对准入凭证进行签名的方式可以是利用上述的非对称密钥中的私钥对准入凭证进行签名,得到签名结果。也可以是利用区别于上述非对称密钥的其他非对称密钥中的私钥对准入凭证进行签名,得到签名结果。还可以是区块链节点终端在接收到准入凭证时,执行区块链联盟节点的准入配置以获取与准入凭证对应的配置信息,该配置信息可以包括区块链节点终端的节点属性、其他P2P接入节点的IP地址以及端口信息等,区块链节点终端在获取到上述的配置信息后可以对该配置信息利用私钥进行签名得到签名结果,并向平台服务端反馈签名结果。
在该种方式下,区块链节点终端在向平台服务端反馈签名结果时,该签名结果中还可以包括业务信息,业务信息可以包括进行签名的时间、日志等或者需要接入的时间等信息中的一种或多种。
步骤S140:获取由区块链节点终端返回的签名结果,对签名结果进行核验。
作为一种实施方式,对签名结果进行核验的方式可以是,利用公钥对签名结果进行解密,若解密成功则签名中字段核验通过。
作为另一种方式,对签名结果进行核验的方式还可以是,利用公钥对签名结果进行解密,并在解密通过后验证解密结果是否正确,并在解密通过,且解密结果为正确时,则对签名结果的核验通过。
在该种方式下,若签名结果为对配置信息利用私钥进行加密获得,则验证解密结果是否正确的方式可以是,检测解密结果中是否包括区块链节点终端的节点属性、其他P2P接入节点的IP地址以及端口信息等配置信息中的至少一种。
步骤S150:若核验通过,允许区块链节点终端接入。
其中,允许区块链节点终端接入到平台服务端,使得平台服务端与区块链节点终端之间可以进行通信以及数据传输。以及使平台服务端可以对加入的区块链节点终端进行统一的管控,即对区块链节点终端中运行的进程或产生的数据进行统一的管控。
在平台服务端对签名结果核验通过后,可以有效确保接入平台服务端的区块链节点终端可信且安全,同时有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
本申请提供的一种区块链节点终端管理方法,通过获取非对称秘钥中的公钥和签名字段,且签名字段由可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,基于公钥对签名字段进行验签,以实现在区块链节点终端中集成专用硬件模块建立信任锚点, 以及利用密码学机制建立区块链节点终端与平台服务端之间的信任链。在签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果;获取由区块链节点终端返回的签名结果,对签名结果进行核验;以及在核验通过时,允许区块链节点终端接入。实现通过验证保证接入平台服务端的区块链节点终端可信且安全,同时有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
请结合参阅图4,在区块链节点终端接入平台服务端之后,为实现对通过平台服务端对区块链节点终端中可运行的进程进行统一的管控,在本实施例中,在执行步骤S150之后,方法还可以包括:
步骤S160:接收区块链节点终端发送的进程名单,以及接收与进程名单对应的审核结果。
其中,区块链节点终端发送的进程名单可以包括多个进程。该进程名单可以是基于区块链节点终端运行过程中启动过得进程获得。
具体的,区块链节点终端中的各进程对应的应用程序被加载或者执行时,通过该区块链节点终端中的操作系统内核层的度量模块能够通过操作系统钩子函数立刻捕获到该应用程序进程,获取其文件名,并使用哈希算法对程序加载的代码进行可信度量,获得可以标识其特征的哈希值(可信度量值),并通过可信密码模块将各进程对应的可信度量值加密后存储,在区块链节点终端加入到平台服务端后,区块链节点终端根据各进程对应的哈希值选取多个进程得到进程名单。
区块链节点终端根据进程对应的哈希值选取多个进程名单的方式可以是,选取哈希值大于设定值的目标哈希值对应的进程得到进程名单。也可以是哈希值由大到小的顺序选取排序为前设定数量的进程,得到进程名单。
接收与进程名单内对应的审核结果的方式可以是,接收用户或管理人员基于进程名向平台服务端或与单向平台服务端关联的设备输入的审核结果。其中,进程名单对应的审核结果中包括进程名单中的每个进程的审核结果,该审核结果为通过或不通过,在进程的审核结果为通过时表示允许进程运行,在进程的审核结果为不通过时标识不允许进程运行。
步骤S170:根据进程名单和审核结果得到审核通过的进程,根据审核通过的进程得到进程白名单,向区块链节点终端反馈进程白名单,以使区块链节点终端根据进程白名单控制进程的运行。
其中,进程白名单是指其包括的各个进程都是可以信任的进程,表示该进程是安全的。
上述步骤S170可以是,将进程名单中审核结果为通过的进程作为进程白名单中的进程。通过向区块链节点终端反馈进程白名单,使得区块链节点终端在接收到进程白名单后,将该进程白名单应用到进程管控功能中,以基于可信环境验证计算技术实施程序进程的白名单管控,阻止白名单外的其他进程的运行。例如,在应用程序在启动时,操作系统内核层的度量模块能够通过操作系统钩子函数立刻捕获到该应用程序对应的进程,并检测进程是否在白名单中,如果不在则禁止该应用程序加载启动。从而达到实时监控、检测区块链节点终端的运行情况的目的,区块链节点终端在遇到非法进程试图启动则会将其阻止,还可以向平台服务端发送报警日志。
作为另一种可选实施方式,在区块链节点终端接入平台服务端之后,为实现对通过平台服务端对区块链节点终端中可运行的进程进行统一的管控,在本实施例中,在执行步骤S150之后,方法还可以包括:
步骤S180:接收区块链节点终端发送的进程名单,进程名单中包括至少一个进程。
关于区块链节点终端获得进程名单的过程以及进程名单的具体描述可以参阅前文对步骤S160的描述,此处不再作一一赘述。
步骤S190:从进程名单中选取属于预设名单的目标进程,根据目标进程获得进程白名单。
其中,预设名单可以是指允许区块链节点终端运行的进程的名单,即该预设名单中可以包括多个允许区块链节点终端运行的进程。通过采用上述步骤S180获得的目标进程既属于区块链节点终端中的进程名单,又属于预设名单,并通过目标进程获得进程白名单,使得进程白名单包括目标进程,进而使区块链节点终端根据进程白名单控制进程的运行时,阻止白名单外的其他进程的运行,从而有效提高区块链节点终端运行的可靠性。
请结合图5所示,图5所示为本申请实施例提供的一种区块链节点终端管理方法,该方法可以应用于如图1所示的实时场景中的平台服务端。
步骤S210:获取区块链节点终端的可信密码模块的身份标识。
其中,可信密码模块的身份标识是用于指示可信密码模块的身份凭证,其通常是在出厂时,由厂商为其设置。不同的可信密码模块可以分别对应不同的身份标识。
步骤S220:对可信密码模块的身份标识进行验证。
考虑到可信密码模块可能会来源于不同的厂商,因此,为保障可信密码模块的来源可靠,可信密码模块在出厂前,厂商通常会对可信密码模块的身份信息进行加密得到身份标志,或者为不同的可信密码模块分配一段统一的标识字段。
作为一种方式,若可信密码模块的身份标识由厂商私钥对可信密码模块的身份信息进行加密得到。因此,在对可信密码模块的身份进行验证时,具体可以是利用预设厂商公钥对可信密码模块的身份标识进行解密,若解密成功,则完成对身份标识的验证。
在该种方式下,若可信密码模块为TCM芯片时,厂商私钥是指可信密码模块的生产厂商或供货厂商的厂商私钥,若可信密码模块为处理器所具有的软件程序模块时,则厂商私钥是指该处理器的生产厂商或供货厂商的厂商私钥。
以可信密码模块为TCM芯片为例,在可信密码模块出厂前,生产厂商或供货厂商通常会利用其自身的厂商私钥对可信密码模块的身份信息进行加密,得到一身份标识,应当理解,不同的可信密码模块的身份信息通常不同,即每个可信密码模块对应有一唯一身份信息,相应的,利用厂商私钥对身份信息进行加密后得到的身份标识也各不相同。
应当理解,每个厂商私钥应当对应有厂商公钥,该厂商私钥与对应的厂商私钥共同组成一个密钥对。
考虑到可信密码模块可以一个厂商提供,也可以由多个不同的厂商提供,因此,预设厂商公钥的数量也可以是多个,上述步骤S220可以是,利用多个预设厂商公钥分别对可信密码模块的身份标识进行解密。应该理解,若存在一个预设厂商公钥能够对可信密码模块的身份标识完成解密,则可以确认该可信密码模块为可信的,即该可信密码模块是来自于可信任的厂商提供的。
作为另一种方式,区块链节点终端中还可以存储有多个预设标识字段,上述对可信密码模块的身份标识进行验证的方式可以是,将可信密码模块的身份标识与各预设标识字段进行匹配,若存在以目标预设标识字段与身份标识匹配时,对可信密码模块的身份标识验证通过。
应当理解,将可信密码模块的身份标识与预设标识字段进行匹配具体可以是,将可信密码模块的身份标识中用于标识厂商的字段与预设字段进行匹配。
若验证成功,则执行步骤S230:向区块链节点终端发送随机串及业务根密钥。
通过向区块链节点终端发送随机串及业务根密钥,以使区块链节点终端通过可信密码模块基于非对称密钥中的私钥对随机串和业务根密钥进行签名计算得到签名字段。
平台服务端在完成对可信密码模块的身份标识的解密后,可以利用随机算法生成随机串,以及基于根密钥种子利用加密算法生成业务根密钥。需要说明的是,上述的业务根密钥是指用于派生出其他密钥的密钥。
区块链节点终端在接收到平台服务端发送的随机串及根密钥后,区块链节点终端可以基于业务根密钥生成非对称密钥对,并利用非对称密钥对中的私钥对随机串和业务根密钥进行加密得到签名字段。
步骤S240:获取区块链节点终端发送的签名字段及公钥。
步骤S250:基于公钥对签名字段进行验签。
若签名字段验签通过,则执行步骤S260:向区块链节点终端发送准入凭证。
通过向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果。
步骤S270:获取由区块链节点终端返回的签名结果,对签名结果进行核验。
若核验通过,则步骤S280:允许区块链节点终端接入。
应当理解,若上概述步骤S220中对身份标识解密失败、或者基于公钥对签名字段进行验签失败、又或者对签名结果进行核验未通过,则均不会执行后续的步骤,即不会允许区块链节点终端接入到平台服务端。
本申请提供的一种区块链节点终端管理方法,通过获取区块链节点终端的可信密码模块的身份标识,利用预设厂商公钥对可信密码模块的身份标识进行解密,若解密成功,则可以确认可信密码模块的来源是可信的,向区块链节点终端发送随机串及业务根密钥,以使区块链节点终端通过可信密码模块基于非对称密钥中的私钥对随机串和业务根密钥进行签名计算得到签名字段,获取非对称秘钥中的公钥和签名字段,基于公钥对签名字段进行验签,以实现在区块链节点终端中集成专用硬件模块建立信任锚点, 以及利用密码学机制建立区块链节点终端与平台服务端之间的信任链。在签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果;获取由区块链节点终端返回的签名结果,对签名结果进行核验;以及在核验通过时,允许区块链节点终端接入。实现通过验证保证接入平台服务端的区块链节点终端可信且安全,同时有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
请参阅图6,图6所示为本申请一实施例提出的区块链节点终端管理方法,该方法可以应用于如图1所示的实施场景中的区块链节点终端。且该实施场景中的区块链节点终端包括可信密码模块及区块链节点,方法包括:
步骤S310:可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段。
关于目标数据和可信密码模块的具体描述可以参阅前文对步骤S110中的具体描述,在此不作一一赘述。
若目标数据包括业务根密钥和随机数,且业务根密钥和随机数均来源于平台服务端,则,在执行步骤S310之前,方法还可以包括:接收平台服务端发送的目标数据,基于业务根密钥生成非对称密钥。
由于业务根密钥是用于派生出其他密钥的密钥,因此区块链节点终端在接收到平台服务端发送的随机串及根密钥后,区块链节点终端可以基于业务根密钥生成非对称密钥对,并执行上述步骤S310:可信密码模块利用非对称密钥对中的私钥对目标数据(随机串和业务根密钥)进行加密得到签名字段。
步骤S320:将非对称密钥对中的公钥和签名字段发送至平台服务端,以使平台服务端基于公钥对签名字段进行数据验签,并在验签结果为通过时,向区块链节点终端发送准入凭证。
上述步骤S320可以是区块链节点将非对称密钥中的公钥和签名字段发送至平台服务端。即,可信密码模块可以与区块链节点中的处理器连接,区块链节点中的处理器可以通过数据传输接口向平台服务端发送公钥及签名字段。
步骤S330:接收平台服务端发送的准入凭证,基于准入凭证进行签名得到签名结果。
对准入凭证进行签名得到签名结果的过程可以由可信密码模块执行,其中,可信密码模块可以在接收到准入凭证时,执行可以利用上述的非对称密钥中的私钥对准入凭证进行签名,得到签名结果。也可以是利用区别于上述非对称密钥的其他非对称密钥中的私钥对准入凭证进行签名,得到签名结果。还可以是区块链节点终端在接收到准入凭证时,利用可信密码模块执行区块链联盟节点的准入配置以获取与准入凭证对应的配置信息,该配置信息可以包括区块链节点终端的节点属性、其他P2P接入节点的IP地址以及端口信息等,区块链节点终端中的可信密码模块在获取到上述的配置信息后可以对该配置信息利用私钥进行签名得到签名结果。
步骤S340:向平台服务端发送签名结果,以使平台服务端对签名结果进行核验,并在核验通过时,允许区块链节点终端接入。
其中,向平台服务端发送签名结果的方式具体可以是,通过区块链节点的接口向区块链节点终端发送签名结果。
关于平台服务端端对签名结果进行核验,并在核验通过时允许区块链节点终端接入的具体过程可以参阅前文对步骤S150的具体描述,在不作一一赘述。
本申请实施例提供应用于区块链节点终端的一种区块链节点终端管理方法,可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段;将非对称密钥对中的公钥和签名字段发送至平台服务端,以使平台服务端基于公钥对签名字段进行数据验签,并在验签结果为通过时,向区块链节点终端发送准入凭证;以实现在区块链节点终端中集成专用硬件模块建立信任锚点, 以及利用密码学机制建立区块链节点终端与平台服务端之间的信任链。接收平台服务端发送的准入凭证,基于准入凭证进行签名得到签名结果;向平台服务端发送签名结果,以使平台服务端对签名结果进行核验,并在核验通过时,允许区块链节点终端接入。实现使区块链节点终端在接入平台服务端时可信且安全,从而有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
请结合参阅图7,由于区块链节点终端在接入平台服务端之后,可以处理区块中的业务请求。因此,在本实施例中,区块链节点终端在接入平台服务端之后,方法还包括:
步骤S350:在接收到业务处理请求时,获取该业务处理请求中的业务应用,以及获取与业务处理请求对应的业务数据。
其中,业务处理请求可以是对单节点上的业务敏感信息的处理请求,区块链节点终端中可以相应于业务处理请求的处理。该业务请求中可以包括业务应用,其中,业务应用是指需要进行加密或解密等处理方式的信息。与业务请求对应的业务数据是指需要执行业务应用(加密或解密等处理方式)的数据,如身份信息、交易信息等。
步骤S360:调用与该业务应用对应的密钥分散算法获取与该业务应用对应的业务对称密钥。
密钥分散算法指将一个双长度(一个长度密钥为8个字节)的主密钥(MK),对数据进行分散处理,推导出一个双长度的数据加密算法(DES)的加密密钥(DK)。该算法广泛应用于现在的金融IC卡和其他对于安全要求高的行业。
其中,不同的业务应用对应有不同的密钥分散算法,通过调用与业务应用对应的密钥分散算法可以对应获取到该业务应用的业务对称密钥。
步骤S370:利用业务对称密钥对业务处理请求对应的业务数据进行加密得到加密数据,并将加密数据通过区块链节点终端所在的区块链传输至其他区块链节点终端。
其中,上述步骤S350至步骤S370具体可以是在可信密码模块中执行,进而可以实现密钥不出可信密码模块,即非对称密钥不会发生泄漏,从而达到极高的数据安全防护等级。
为使得区块链节点终端在加入至平台服务端之后,其上运行的应用程序安全可靠,在本实施例中,方法还包括:
步骤S380:获取进程名单,并向平台服务端发送进程名单,以使平台服务端基于与进程名单对应的审核结果和进程名单得到进程白名单,或者使平台服务端根据预设名单和进程名单得到进程白名单,并向区块链节点终端反馈进程白名单。
进程名单中包括多个应用程序的进程。进程名单可以是基于区块链节点终端运行过程中启动过得进程获得。
作为一种实施方式,可以是获取预设时长内启动次数达到设定次数的应用程序的进程得到进程名单。
作为另一种实施方式,也可以是:对区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各程序进程的可信度量值;根据各程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,作为进程名单。
在该种方式下,区块链节点终端中的各进程对应的应用程序被加载或者执行时,通过该区块链节点终端中的操作系统内核层的度量模块能够通过操作系统钩子函数立刻捕获到该应用程序进程,获取其文件名,并使用哈希算法对程序加载的代码进行可信度量,获得可以标识其特征的哈希值(可信度量值),并通过可信密码模块将各进程对应的可信度量值加密后存储,在区块链节点终端加入到平台服务端后,区块链节点终端根据各进程对应的哈希值选取多个进程得到进程名单。区块链节点终端根据进程对应的哈希值选取多个进程名单的方式可以是,哈希值由大到小的顺序选取排序为前设定数量的进程,得到进程名单。
应当理解,在该种方式下,作为一种可替代方式,区块链节点终端根据进程对应的哈希值选取多个进程名单的方式,还可以是选取哈希值大于设定值的目标哈希值对应的进程得到进程名单。
关于平台服务端基于与进程名单对应的审核结果和进程名单得到进程白名单,或者使平台服务端根据预设名单和进程名单得到进程白名单,并向区块链节点终端反馈进程白名单的具体描述可以参阅前文对步骤S170的具体描述,在此不作一一赘述。
步骤S390:接收平台服务端反馈的进程白名单并保存。
通过将进程白名单保存在区块链节点终端中,可以在后续存在进程启动后,实现依据进程白名单对启动的进程进行管控。
作为一种实施方式,在依据进程白名单对启动的进程进行管控时,方法还包括:
步骤S400:获取启动的应用程序进程,若启动的应用程序进程不属于进程白名单,则阻止该应用程序进程运行,并向平台服务端发送报警日志。
其中,启动的应用程序可以是指正在启动的应用程序,也可以是指启动完成的应用程序。
上述获取启动的应用程序进程的方式可以是,调用钩子函数捕获应用程序进程。钩子函数消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。
应当理解,在获取到启动的应用程序进程之后,可以在检测该启动的应用程序属于进程白名单中的进程时,即该应用程序可以继续运行,区块链节点终端可以采集该应用程序运行过程中产生的数据,并向平台服务端反馈该数据,以便于平台服务端对区块链节点终端中的数据进行统一的管控。
请参阅图8,本申请又一实施例提供了一种区块链节点终端管理方法,该方法可以用于与如图1所示的应用环境中,该应用环境中包括区块链节点终端和平台服务端,区块链节点终端包括区块链节点和可信密码模块。由于每个可信密码模块都具备一个身份信息,且可信密码模块在出厂前,厂商会利用其自生的厂商私钥对该可信密码模块的身份信息进行加密得到可信密码的身份标识。本申请实施例提供的区块链节点终端管理方法具体包括以下步骤:
步骤S410:平台服务端获取区块链节点终端的可信密码模块的身份标识,利用预设厂商公钥对可信密码模块的身份标识进行解密。
若解密成功,则执行步骤S420:平台服务端向区块链节点终端发送随机串及业务根密钥。
步骤S430:区块链节点在接收到随机串和根密钥时,将随机串和根密钥发送至可信密码模块。
步骤S440:可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段。
步骤S450:可信密码模块通过区块链节点将非对称密钥对中的公钥和签名字段通过区块链节点发送至平台服务端。
其中,非对称密钥可以是可信密码模块基于业务根密钥生成。
平台服务端在获取区块链节点终端发送的签名字段及公钥时,执行步骤S450:基于公钥对签名字段进行验签。
若验签通过,则执行步骤S460:平台服务端通过区块链节点向可信密码模块发送准入凭证。
可信密码模块在接收平台服务端发送的准入凭证时,执行步骤S470:基于准入凭证进行签名得到签名结果,并向区块链节点发送签名结果。
步骤S480:区块链节点在接收到签名结果时,向平台服务端发送签名结果。
需要说明的是,上述对准入凭证进行签名得到签名结果的过程可以是区块链节点终端在接收到准入凭证时,利用可信密码模块执行区块链联盟节点的准入配置以获取与准入凭证对应的配置信息,该配置信息可以包括区块链节点终端的节点属性、其他P2P接入节点的IP地址以及端口信息等,区块链节点终端中的可信密码模块在获取到上述的配置信息后可以对该配置信息利用私钥进行签名得到签名结果。
平台服务端在获取由区块链节点返回的签名结果时,执行步骤S490:对签名结果进行核验,并在核验通过后,允许区块链节点接入。
需要说明的是,在区块链节点接入平台服务端后,为保障区块链节点终端中应用程序进程的可靠运行,方法还可以包括:
步骤S510:区块链节点获取进程名单,并向平台服务端发送进程名单。
其中,区块链节点获取进程名单的方式可以是,对区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各程序进程的可信度量值;根据各程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,得到进程名单。
步骤S520:平台服务端接收进程名单并获取与进程名单对应的审核结果,根据进程名单和审核结果得到进程白名单。
步骤S530:向区块链节点反馈进程白名单。
区块链节点在接收到进程白名单后,执行步骤S540:将进程白名单发送至可信密码模块。
步骤S550:可信密码模块保存进程白名单,以及在获取到启动的应用程序进程,且该启动的应用程序进程不属于进程白名单时,阻止该应用程序进程运行。
步骤S560:可信密码模块通过区块链节点向平台服务端发送报警日志。
应当理解,在区块链节点终端加入平台服务端之后,区块链节点终端还可以在接收到业务处理请求时,获取该业务处理请求中的业务应用,以及获取与业务处理请求对应的业务数据;调用与该业务应用对应的密钥分散算法获取与该业务应用对应的业务对称密钥;利用业务对称密钥对业务处理请求对应的业务数据进行加密得到加密数据,并将加密数据通过区块链节点终端所在的区块链传输至其他区块链节点终端。以实现在区块链节点终端上处理其对应区块中的业务请求。
请参阅图10,本申请提供了一种可应用于如图1中所示应用环境中的平台服务端的区块链节点终端管理装置,包括第一获取模块610、字段验签模块620、凭证发送模块630、核验模块640以及接入模块650。
第一获取模块610,用于获取区块链节点终端发送的签名字段及公钥,签名字段由区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,公钥为非对称秘钥中的公钥。
字段验签模块620,用于基于公钥对签名字段进行验签。
作为一种实施方式,字段验签模块620还用于利用公钥对签名字段进行解密,若解密成功则签名字段验签通过。
凭证发送模块630,用于若签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果。
结果核验模块640,用于获取由区块链节点终端返回的签名结果,对签名结果进行核验。
作为一种实施方式,结果核验模块640还用于利用公钥对签名结果进行解密,若解密成功则签名结果核验通过。
终端接入模块650,用于在核验通过时,允许区块链节点终端接入。
作为一种实施方式,区块链节点终端管理装置还包括:第三获取模块、标识验证模块以及数据发送模块。
第三获取模块,用于获取区块链节点终端的可信密码模块的身份标识。
标识验证模块,用于对可信密码模块的身份标识进行验证。
数据发送模块,用于在验证成功时,向区块链节点终端发送随机串及业务根密钥,以使区块链节点终端通过可信密码模块基于非对称密钥中的私钥对随机串和业务根密钥进行签名计算得到签名字段。
在该种实施方式下,若身份标识由厂商私钥对可信密码模块的身份信息进行加密得到,则标识验证模块还用于利用预设厂商公钥对所述可信密码模块的身份标识进行解密,若解密成功则对所述身份标识的验证通过。
作为另一种实施方式,区块链节点终端管理装置还包括第一数据接收模块以及第一白名单获得模块。
第一数据接收模块,用于接收区块链节点终端发送的进程名单,以及接收与进程名单对应的审核结果。
第一白名单获得模块,用于根据进程名单和审核结果得到审核通过的进程,根据审核通过的进程得到进程白名单,向区块链节点终端反馈进程白名单,以使区块链节点终端根据进程白名单控制进程的运行。
作为又一种实施方式,区块链节点终端管理装置还包括:进程名单接收模块以及第二白名单获得模块。
进程名单接收模块,用于接收区块链节点终端发送的进程名单,进程名单中包括至少一个进程。
第二白名单获得模块,用于从所述进程名单中选取属于预设名单的目标进程,根据所述目标进程获得进程白名单。
请参阅图11,本申请另一实施例提供一种可应用于如图1中所示应用环境中的区块链节点终端的区块链节点终端管理装置700,包括可信密码模块710、数据发送模块720、凭证接收模块730以及结果发送模块740。
可信密码模块710用于利用非对称密钥中的私钥对目标数据进行签名得到签名字段。
数据发送模块720,用于将非对称密钥对中的公钥和签名字段发送至平台服务端,以使平台服务端基于公钥对签名字段进行数据验签,并在验签结果为通过时,向区块链节点终端发送准入凭证。
凭证接收模块730,用于接收平台服务端发送的准入凭证,基于准入凭证进行签名得到签名结果。
结果发送模块740,用于向平台服务端发送签名结果,以使平台服务端对签名结果进行核验,并在核验通过时,允许区块链节点终端接入。
作为一种可实施方式,区块链节点终端管理装置700还包括:第二数据接收模块和密钥生成模块。
第二数据接收模块,用于接收到平台服务端发送的目标数据,目标数据包括随机串和业务根密钥。
密钥生成模块,用于基于业务根密钥生成非对称密钥。
作为一种可实施方式,区块链节点终端管理装置700还包括:数据获取模块、密钥获取模块以及数据加密模块。
数据获取模块,用于在接收到业务处理请求时,获取该业务处理请求中的业务应用,以及获取与业务处理请求对应的业务数据。
密钥获取模块,用于调用与该业务应用对应的密钥分散算法获取与该业务应用对应的业务对称密钥。
数据加密模块,用于利用业务对称密钥对业务处理请求对应的业务数据进行加密得到加密数据,并将加密数据通过区块链节点终端所在的区块链传输至其他区块链节点终端。
作为一种实施方式,区块链节点终端管理装置700还包括:名单获取模块及名单接收模块。
名单获取模块,用于获取进程名单,并向平台服务端发送进程名单,以使平台服务端基于与进程名单对应的审核结果和进程名单得到进程白名单,或者使平台服务端根据预设名单和进程名单得到进程白名单,并向区块链节点终端反馈进程白名单。
名单接收模块,用于接收平台服务端反馈的进程白名单并保存。
在该种方式下,名单获取模块具体用于对所述区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各所述程序进程的可信度量值;根据各所述程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,得到进程名单。
作为一种实施方式,区块链节点终端管理装置700还包括:进程获取模块及运行控制模块。
进程获取模块,用于获取启动的应用程序进程。
其中,进程获取模块可以用于对区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各程序进程的可信度量值;根据各程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,得到进程名单。
运行控制模块,用于在启动的应用程序进程不属于进程白名单时,阻止该应用程序进程运行,并向平台服务端发送报警日志。
需要说明的是,本申请中装置实施例与前述方法实施例是相互对应的,装置实施例中具体的原理可以参见前述方法实施例中的内容,此处不再赘述。
下面将结合图12对本申请提供的一种电子设备进行说明。
请参阅图12,基于上述实施例提供的对象核验方法,本申请实施例还提供的另一种包括可以执行前述方法的处理器102的电子设备100,该电子设备100可以为服务器或终端设备,终端设备可以是智能手机、平板电脑、计算机或者便携式计算机等设备。
电子设备100还包括存储器104。其中,该存储器104中存储有可以执行前述实施例中内容的程序,而处理器102可以执行该存储器104中存储的程序。
其中,处理器102可以包括一个或者多个用于处理数据的核以及消息矩阵单元。处理器102利用各种接口和线路连接整个电子设备100内的各个部分,通过运行或执行存储在存储器104内的指令、程序、代码集或指令集,以及调用存储在存储器104内的数据,执行电子设备100的各种功能和处理数据。可选地,处理器102可以采用数字信号处理(DigitalSignal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。处理器102可集成中央处理器(Central Processing Unit,CPU)、图像处理器(GraphicsProcessing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器102中,单独通过一块通信芯片进行实现。
存储器104可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。存储器104可用于存储指令、程序、代码、代码集或指令集。存储器104可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令、用于实现下述各个方法实施例的指令等。存储数据区还可以存储电子设备100在使用中所获取的数据(如,签名字段及非对称密钥)等。
电子设备100还可以包括网络模块以及屏幕,网络模块用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯,例如和音频播放设备进行通讯。网络模块可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。网络模块可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。屏幕可以进行界面内容的显示以及进行数据交互。
在一些实施例中,电子设备100还可以包括有:外设接口和至少一个外围设备。处理器102、存储器104和外设接口106之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外设接口连接。具体地,外围设备包括:射频组件108、定位组件112、摄像头114、音频组件116、显示屏118以及电源122等中的至少一种
外设接口106可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器102和存储器104。在一些实施例中,处理器102、存储器104和外设接口106被集成在同一芯片或电路板上;在一些其他实施例中,处理器102、存储器104和外设接口106中的任意一个或两个可以在单独的芯片或电路板上实现,本申请实施例对此不加以限定。
射频组件108用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频组件108通过电磁信号与通信网络以及其他通信设备进行通信。射频组件108将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频组件108包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频组件108可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:万维网、城域网、内联网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频组件108还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
定位组件112用于定位电子设备的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件112可以是基于美国的GPS(GlobalPositioning System,全球定位系统)、中国的北斗系统或俄罗斯的伽利略系统的定位组件。
摄像头114用于采集图像或视频。可选地,摄像头114包括前置摄像头和后置摄像头。通常,前置摄像头设置在电子设备100的前面板,后置摄像头设置在电子设备100的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头114还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频组件116可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器102进行处理,或者输入至射频组件108以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在电子设备100的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器102或射频组件108的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频组件114还可以包括耳机插孔。
显示屏118用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏118是触摸显示屏时,显示屏118还具有采集在显示屏118的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器102进行处理。此时,显示屏118还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏118可以为一个,设置电子设备100的前面板;在另一些实施例中,显示屏118可以为至少两个,分别设置在电子设备100的不同表面或呈折叠设计;在又一些实施例中,显示屏118可以是柔性显示屏,设置在电子设备100的弯曲表面上或折叠面上。甚至,显示屏118还可以设置成非矩形的不规则图形,也即异形屏。显示屏118可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,机发光二极管)等材质制备。
电源122用于为电子设备100中的各个组件进行供电。电源122可以是交流电、直流电、一次性电池或可充电电池。当电源122包括可充电电池时,该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池,无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
本申请实施例提供一种计算机可读存储介质。该计算机可读介质中存储有程序代码,程序代码可被处理器调用执行上述方法实施例中所描述的方法。
计算机可读存储介质可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。可选地,计算机可读存储介质包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质具有执行上述方法中的任何方法步骤的程序代码的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码可以例如以适当形式进行压缩。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中描述的方法。
综上,本申请提供的一种区块链节点终端管理方法、装置、设备及存储介质,该方案通过获取非对称秘钥中的公钥和签名字段,且签名字段由可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,基于公钥对签名字段进行验签,以实现在区块链节点终端中集成专用硬件模块建立信任锚点, 以及利用密码学机制建立区块链节点终端与平台服务端之间的信任链。在签名字段验签通过,向区块链节点终端发送准入凭证,以使区块链节点终端基于准入凭证进行签名得到签名结果;获取由区块链节点终端返回的签名结果,对签名结果进行核验;以及在核验通过时,允许区块链节点终端接入。实现通过验证保证接入平台服务端的区块链节点终端可信且安全,同时有效提高区块链节点终端加入至平台服务端后形成的计算环境的可靠性。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (16)
1.一种区块链节点终端管理方法,其特征在于,应用于平台服务端,所述方法包括:
获取区块链节点终端发送的签名字段及公钥,所述签名字段由所述区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,所述公钥为非对称秘钥中的公钥;
基于所述公钥对所述签名字段进行验签;
若所述签名字段验签通过,向所述区块链节点终端发送准入凭证,以使所述区块链节点终端基于所述准入凭证进行签名得到签名结果;
获取由所述区块链节点终端返回的签名结果,对所述签名结果进行核验;
若核验通过,允许所述区块链节点终端接入。
2.根据权利要求1所述的区块链节点终端管理方法,其特征在于,所述目标数据包括业务根密钥及随机串,获取区块链节点终端的签名字段及公钥之前,所述方法还包括:
获取所述区块链节点终端的可信密码模块的身份标识;
对所述可信密码模块的身份标识进行验证;
若验证成功,则向所述区块链节点终端发送随机串及业务根密钥,以使所述区块链节点终端通过所述可信密码模块基于非对称密钥中的私钥对所述随机串和业务根密钥进行签名计算得到所述签名字段。
3.根据权利要求2所述的区块链节点终端管理方法,其特征在于,所述身份标识由厂商私钥对可信密码模块的身份信息进行加密得到,对所述可信密码模块的身份标识进行验证,包括:
利用预设厂商公钥对所述可信密码模块的身份标识进行解密,若解密成功则对所述身份标识的验证通过。
4.根据权利要求1所述的区块链节点终端管理方法,其特征在于,所述允许所述区块链节点终端接入所述平台服务端之后,所述方法还包括:
接收所述区块链节点终端发送的进程名单,以及接收与所述进程名单对应的审核结果;
根据所述进程名单和审核结果得到审核通过的进程,根据所述审核通过的进程得到进程白名单,向所述区块链节点终端反馈所述进程白名单,以使所述区块链节点终端根据进程白名单控制进程的运行。
5.根据权利要求1所述的区块链节点终端管理方法,其特征在于,所述允许所述区块链节点终端接入所述平台服务端之后,所述方法还包括:
接收所述区块链节点终端发送的进程名单,所述进程名单中包括至少一个进程;
从所述进程名单中选取属于预设名单的目标进程,根据所述目标进程获得进程白名单。
6.根据权利要求1所述的区块链节点终端管理方法,其特征在于,所述基于所述公钥对所述签名字段进行验签,包括:
利用所述公钥对所述签名字段进行解密,若解密成功则所述签名字段验签通过;
所述对所述签名结果进行核验包括:
利用所述公钥对所述签名结果进行解密,若解密成功则所述签名结果核验通过。
7.一种区块链节点终端管理方法,其特征在于,应用于区块链节点终端,所述区块链节点终端包括可信密码模块,所述方法包括:
所述可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段;
将所述非对称密钥对中的公钥和所述签名字段发送至平台服务端,以使所述平台服务端基于所述公钥对所述签名字段进行数据验签,并在验签结果为通过时,向所述区块链节点终端发送准入凭证;
接收所述平台服务端发送的准入凭证,基于所述准入凭证进行签名得到签名结果;
向所述平台服务端发送所述签名结果,以使所述平台服务端对所述签名结果进行核验,并在核验通过时,允许所述区块链节点终端接入。
8.根据权利要求7所述的区块链节点终端管理方法,其特征在于,所述向所述平台服务端发送所述签名结果之后,所述方法还包括:
在接收到业务处理请求时,获取该业务处理请求中的业务应用,以及获取与所述业务处理请求对应的业务数据;
调用与该业务应用对应的密钥分散算法获取与该业务应用对应的业务对称密钥;
利用所述业务对称密钥对所述业务处理请求对应的业务数据进行加密得到加密数据,并将所述加密数据通过所述区块链节点终端所在的区块链传输至其他区块链节点终端。
9.根据权利要求7所述的区块链节点终端管理方法,其特征在于,所述方法还包括:
获取进程名单,并向所述平台服务端发送所述进程名单,以使所述平台服务端基于与进程名单对应的审核结果和所述进程名单得到进程白名单,或者使所述平台服务端根据预设名单和所述进程名单得到进程白名单,并向所述区块链节点终端反馈所述进程白名单;
接收所述平台服务端反馈的进程白名单并保存。
10.根据权利要求9所述的区块链节点终端管理方法,其特征在于,所述方法还包括:
获取启动的应用程序进程;
若所述启动的应用程序进程不属于所述进程白名单,则阻止该应用程序进程运行,并向所述平台服务端发送报警日志。
11.根据权利要求9所述的区块链节点终端管理方法,其特征在于,所述获取进程名单,包括:
对所述区块链节点终端中的各程序进程加载的代码,利用哈希算法进行可信度量,得到各所述程序进程的可信度量值;
根据各所述程序进程的可信度量值,获取可信度量值排序为前预设数量的程序进程,得到进程名单。
12.根据权利要求7所述的区块链节点终端管理方法,其特征在于,所述可信密码模块利用非对称密钥中的私钥对目标数据进行签名得到签名字段之前,所述方法还包括:
接收到所述平台服务端发送的目标数据,所述目标数据包括随机串和业务根密钥;
基于所述业务根密钥生成非对称密钥。
13.一种区块链节点终端管理装置,其特征在于,应用于平台服务端,所述装置包括:
第一获取模块,用于获取区块链节点终端发送的签名字段及公钥,所述签名字段由所述区块链节点终端中的可信密码模块利用非对称密钥中的私钥,对目标数据进行签名计算得到,所述公钥为所述非对称秘钥中的公钥;
字段验签模块,用于基于所述公钥对所述签名字段进行验签;
凭证发送模块,用于若所述签名字段验签通过,向所述区块链节点终端发送准入凭证,以使所述区块链节点终端基于所述准入凭证进行签名得到签名结果;
结果核验模块,用于获取由所述区块链节点终端返回的签名结果,对所述签名结果进行核验;
终端接入模块,用于在核验通过时,允许所述区块链节点终端接入。
14.一种区块链节点终端管理装置,其特征在于,应用于区块链节点终端,所述区块链节点终端包括可信密码模块,所述装置包括:
所述可信密码模块用于利用非对称密钥中的私钥对目标数据进行签名得到签名字段;
数据发送模块,用于将所述非对称密钥对中的公钥和所述签名字段发送至平台服务端,以使所述平台服务端基于所述公钥对所述签名字段进行数据验签,并在验签结果为通过时,向所述区块链节点终端发送准入凭证;
凭证接收模块,用于接收所述平台服务端发送的准入凭证,基于所述准入凭证进行签名得到签名结果;
结果发送模块,用于向所述平台服务端发送所述签名结果,以使所述平台服务端对所述签名结果进行核验,并在核验通过时,允许所述区块链节点终端接入。
15.一种电子设备,其特征在于,包括处理器以及存储器;一个或多个程序被存储在所述存储器中并被配置为由所述处理器执行以实现权利要求1-6或权利要求7-12中任意一项所述的方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序代码,其中,在所述程序代码被处理器运行时执行权利要求1-6或权利要求7-12中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110389584.6A CN112765684B (zh) | 2021-04-12 | 2021-04-12 | 区块链节点终端管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110389584.6A CN112765684B (zh) | 2021-04-12 | 2021-04-12 | 区块链节点终端管理方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112765684A true CN112765684A (zh) | 2021-05-07 |
CN112765684B CN112765684B (zh) | 2021-07-30 |
Family
ID=75691437
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110389584.6A Active CN112765684B (zh) | 2021-04-12 | 2021-04-12 | 区块链节点终端管理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112765684B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124494A (zh) * | 2021-11-12 | 2022-03-01 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、设备及存储介质 |
CN114363162A (zh) * | 2021-12-31 | 2022-04-15 | 支付宝(杭州)信息技术有限公司 | 区块链日志的生成方法及装置、电子设备、存储介质 |
CN114465731A (zh) * | 2022-03-01 | 2022-05-10 | 上海万向区块链股份公司 | 基于区块链的电池可信加密管理系统和方法 |
CN114500580A (zh) * | 2022-01-10 | 2022-05-13 | 北京北控在线科技股份公司 | 一种基于区块链的分布式存储系统及方法 |
US11797655B1 (en) | 2019-07-18 | 2023-10-24 | Verisign, Inc. | Transferring a domain name on a secondary blockchain market and in the DNS |
US11924161B1 (en) | 2021-05-20 | 2024-03-05 | Verisign, Inc. | Authorization and refusal of modification, and partial modification ability, of a network identifier |
US12003615B2 (en) | 2021-05-20 | 2024-06-04 | Verisign, Inc. | Lifecycle administration of domain name blockchain addresses |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140245026A1 (en) * | 2010-01-28 | 2014-08-28 | Twinstrata, Inc | System and method for resource sharing across multi-cloud arrays |
WO2017011601A1 (en) * | 2015-07-14 | 2017-01-19 | Fmr Llc | Computationally efficient transfer processing, auditing, and search apparatuses, methods and systems |
CN106598773A (zh) * | 2015-10-20 | 2017-04-26 | 深圳市中电智慧信息安全技术有限公司 | 可信系统还原装置 |
US20180167200A1 (en) * | 2016-12-14 | 2018-06-14 | Wal-Mart Stores, Inc. | Obtaining a medical record stored on a blockchain from a wearable device |
CN108416589A (zh) * | 2018-03-08 | 2018-08-17 | 深圳前海微众银行股份有限公司 | 区块链节点的连接方法、系统及计算机可读存储介质 |
CN109274502A (zh) * | 2018-11-02 | 2019-01-25 | 克洛斯比尔有限公司 | 公钥加密及密钥签名的创建方法、设备及可读存储介质 |
CN109286496A (zh) * | 2018-08-27 | 2019-01-29 | 杭州云岛科技有限公司 | 一种基于边缘可信密码学技术的芯片计算方法 |
US20190058595A1 (en) * | 2017-08-16 | 2019-02-21 | Royal Bank Of Canada | Platform for generating authenticated data objects |
CN110601816A (zh) * | 2019-09-18 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种区块链系统中轻量级节点控制方法及装置 |
CN110611647A (zh) * | 2019-03-06 | 2019-12-24 | 张超 | 一种区块链系统上的节点加入方法和装置 |
CN110677250A (zh) * | 2018-07-02 | 2020-01-10 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
CN110929300A (zh) * | 2019-12-11 | 2020-03-27 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
CN111654377A (zh) * | 2020-05-19 | 2020-09-11 | 鼎链数字科技(深圳)有限公司 | 基于sm9的区块链节点准入验证方法及系统 |
CN112417494A (zh) * | 2020-10-26 | 2021-02-26 | 国网浙江省电力有限公司电力科学研究院 | 基于可信计算的电力区块链系统 |
CN112464271A (zh) * | 2021-01-27 | 2021-03-09 | 信联科技(南京)有限公司 | 一种电力物联网边缘物联代理高可信执行环境构建方法及系统 |
-
2021
- 2021-04-12 CN CN202110389584.6A patent/CN112765684B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140245026A1 (en) * | 2010-01-28 | 2014-08-28 | Twinstrata, Inc | System and method for resource sharing across multi-cloud arrays |
WO2017011601A1 (en) * | 2015-07-14 | 2017-01-19 | Fmr Llc | Computationally efficient transfer processing, auditing, and search apparatuses, methods and systems |
CN106598773A (zh) * | 2015-10-20 | 2017-04-26 | 深圳市中电智慧信息安全技术有限公司 | 可信系统还原装置 |
US20180167200A1 (en) * | 2016-12-14 | 2018-06-14 | Wal-Mart Stores, Inc. | Obtaining a medical record stored on a blockchain from a wearable device |
US20190058595A1 (en) * | 2017-08-16 | 2019-02-21 | Royal Bank Of Canada | Platform for generating authenticated data objects |
CN108416589A (zh) * | 2018-03-08 | 2018-08-17 | 深圳前海微众银行股份有限公司 | 区块链节点的连接方法、系统及计算机可读存储介质 |
CN110677250A (zh) * | 2018-07-02 | 2020-01-10 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
CN109286496A (zh) * | 2018-08-27 | 2019-01-29 | 杭州云岛科技有限公司 | 一种基于边缘可信密码学技术的芯片计算方法 |
CN109274502A (zh) * | 2018-11-02 | 2019-01-25 | 克洛斯比尔有限公司 | 公钥加密及密钥签名的创建方法、设备及可读存储介质 |
CN110611647A (zh) * | 2019-03-06 | 2019-12-24 | 张超 | 一种区块链系统上的节点加入方法和装置 |
CN110601816A (zh) * | 2019-09-18 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种区块链系统中轻量级节点控制方法及装置 |
CN110929259A (zh) * | 2019-11-14 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 进程安全验证白名单生成方法、装置 |
CN110929300A (zh) * | 2019-12-11 | 2020-03-27 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
CN111654377A (zh) * | 2020-05-19 | 2020-09-11 | 鼎链数字科技(深圳)有限公司 | 基于sm9的区块链节点准入验证方法及系统 |
CN112417494A (zh) * | 2020-10-26 | 2021-02-26 | 国网浙江省电力有限公司电力科学研究院 | 基于可信计算的电力区块链系统 |
CN112464271A (zh) * | 2021-01-27 | 2021-03-09 | 信联科技(南京)有限公司 | 一种电力物联网边缘物联代理高可信执行环境构建方法及系统 |
Non-Patent Citations (2)
Title |
---|
Y SUN ET AL: "Trust Degree Calculation Method Based on Trust Blockchain Node", 《2019 IEEE INTERNATIONAL CONFERENCE ON SERVICE OPERATIONS AND LOGISTICS, AND INFORMATICS (SOLI)》 * |
王占兵: "基于区块链的云数据库完整性验证机制研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11797655B1 (en) | 2019-07-18 | 2023-10-24 | Verisign, Inc. | Transferring a domain name on a secondary blockchain market and in the DNS |
US11924161B1 (en) | 2021-05-20 | 2024-03-05 | Verisign, Inc. | Authorization and refusal of modification, and partial modification ability, of a network identifier |
US12003615B2 (en) | 2021-05-20 | 2024-06-04 | Verisign, Inc. | Lifecycle administration of domain name blockchain addresses |
CN114124494A (zh) * | 2021-11-12 | 2022-03-01 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、设备及存储介质 |
CN114124494B (zh) * | 2021-11-12 | 2023-06-30 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、设备及存储介质 |
CN114363162A (zh) * | 2021-12-31 | 2022-04-15 | 支付宝(杭州)信息技术有限公司 | 区块链日志的生成方法及装置、电子设备、存储介质 |
CN114363162B (zh) * | 2021-12-31 | 2024-05-03 | 支付宝(杭州)信息技术有限公司 | 区块链日志的生成方法及装置、电子设备、存储介质 |
CN114500580A (zh) * | 2022-01-10 | 2022-05-13 | 北京北控在线科技股份公司 | 一种基于区块链的分布式存储系统及方法 |
CN114500580B (zh) * | 2022-01-10 | 2023-12-22 | 北京北控在线科技股份公司 | 一种基于区块链的分布式存储系统及方法 |
CN114465731A (zh) * | 2022-03-01 | 2022-05-10 | 上海万向区块链股份公司 | 基于区块链的电池可信加密管理系统和方法 |
CN114465731B (zh) * | 2022-03-01 | 2023-12-29 | 上海万向区块链股份公司 | 基于区块链的电池可信加密管理系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112765684B (zh) | 2021-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
US10742626B2 (en) | Method for key rotation | |
US9659160B2 (en) | System and methods for authentication using multiple devices | |
US20160080157A1 (en) | Network authentication method for secure electronic transactions | |
CN111737366B (zh) | 区块链的隐私数据处理方法、装置、设备以及存储介质 | |
CN114556865A (zh) | 电子装置和使用该电子装置管理区块链地址的方法 | |
US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
US20140066015A1 (en) | Secure device service enrollment | |
CN110492990A (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
US11233647B1 (en) | Digital identity authentication system | |
Mannan et al. | Leveraging personal devices for stronger password authentication from untrusted computers | |
CN110113355B (zh) | 物联网云端的接入方法及装置 | |
US20220224720A1 (en) | Link detection method and apparatus, electronic device, and storage medium | |
CN108335105B (zh) | 数据处理方法及相关设备 | |
US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
CN112565205B (zh) | 可信认证和度量方法、服务器、终端及可读存储介质 | |
WO2018112482A1 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
JP2015194879A (ja) | 認証システム、方法、及び提供装置 | |
TW201539239A (zh) | 伺服器、用戶設備以及用戶設備與伺服器的交互方法 | |
CN112632573A (zh) | 智能合约执行方法、装置、系统、存储介质及电子设备 | |
CN111245600B (zh) | 基于区块链技术的鉴权认证方法和系统 | |
CN115706993A (zh) | 认证方法、可读介质和电子设备 | |
KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40044606 Country of ref document: HK |