发明内容
针对现有技术的不足,本发明提供一种基于区块链网络的对称加密溯源交易方法用以解决现有技术中的问题。
本发明解决技术问题采用如下技术方案:
一种基于区块链网络的对称加密溯源交易方法,包括以下步骤:
分别建立秘钥存储管理区块链网络和溯源交易区块链网络;
依次执行新电子标签的交易合约建立、秘钥生成和效力确认操作,具体包括:
建立该电子标签交易合约,生成合约地址;
秘钥存储管理区块链网络基于合约地址采用对称加密算法生成秘钥,并分别录入或下载到秘钥存储管理区块链网络的新录入节点和新电子标签中;
秘钥存储管理区块链网络中全部弱中心化节点对新录入节点信息进行同步,并对新生成的秘钥进行共识审核,审核通过后该秘钥有效;
执行电子标签初始化身份认证,具体包括:
秘钥存储管理区块链网络根据包括交易合约地址信息,采用对应的秘钥对电子标签进行身份信息对比验证;
验证一致,则在溯源交易区块链网络中保存该电子标签身份确认通过记录,生成交易信息并授权该电子标签标记的物品进行交易,同时在溯源交易区块链网络中记录交易信息。
优选地,所述电子标签为NFC电子标签,所述NFC电子标签中的秘钥不可被读取。
优选地,所述秘钥存储管理区块链网络采用弱中心化的联盟区块链技术在可信执行环境中进行配置组建;
所述溯源交易区块链网络采用去中心化的公有区块链技术进行配置组建。
优选地,所述共识审核具体包括:
秘钥存储管理区块链网络中其他弱中心化节点记录新录入节点身份信息,同时若干弱中心化节点充当审核节点并采用DPOS算法对新生成的秘钥进行审核,审核通过后秘钥有效,否则该秘钥被视为无效秘钥。
优选地,所述新录入节点在录入新生成的秘钥时,同步通过录入人录入物品信息,并由随机选定的审核人对录入的物品信息进行二次确认与物品审核,审核人确定物品信息无误后秘钥、录入人与审核人的签名信息共同存储在新录入节点。
优选地,所述录入人和审核人均匹配对应设置验证秘钥,用于在录入和审核过程中对秘钥存储管理区块链网络产生的随机数进行加密,并作为确认签名信息上传到秘钥存储管理区块链网络中。
优选地,若审核通过后的秘钥出现无效事由,则执行对该秘钥对应的录入账户和审核账户的惩罚措施,包括降低拥有此类账户节点的权重系数或者取消节点的记账权限。
优选地,所述采用对应的秘钥对电子标签进行身份信息对比验证,具体包括:
秘钥存储管理区块链采用秘钥将溯源交易区块链网络输入的数据与自身产生的随机数加密后回传至溯源交易区块链网络;
溯源交易区块链网络将获得的密文数据通过读写设备传输至对应的电子标签中,电子标签对密文数据进行解密,并将解密后得到的随机数与其身份明文信息一同采用秘钥加密后,通过读写设备回传至溯源交易区块链网络并转发至秘钥存储管理区块链网络进行解密;
秘钥存储管理区块链网络将解密后的随机数和身份明文信息与其自身生成的随机数以及存储的对应电子标签的身份明文信息进行对比验证。
本发明还提供一种基于区块链网络的对称加密溯源交易系统,包括云端区块链网络、电子标签模块和读写设备模块;
所述云端区块链网络包括秘钥存储管理区块链网络和溯源交易区块链网络;
所述秘钥存储管理区块链网络用于依次执行电子标签模块中新电子标签的交易合约建立、秘钥生成和效力确认操作,包括:建立该电子标签交易合约,生成合约地址;秘钥存储管理区块链网络基于合约地址采用对称加密算法生成秘钥,并分别录入或下载到秘钥存储管理区块链网络的新录入节点和新电子标签中;秘钥存储管理区块链网络中全部弱中心化节点对新录入节点信息进行同步,并对新生成的秘钥进行共识审核,审核通过后该秘钥有效;
所述溯源交易区块链网络用于记录电子标签模块中各电子标签标记的物品的交易信息,并配合秘钥存储管理区块链网络执行执行电子标签初始化身份认证,并包括:秘钥存储管理区块链网络根据包括交易合约地址信息,采用对应的秘钥对电子标签进行身份信息对比验证;验证一致,则在溯源交易区块链网络中保存该电子标签身份确认通过记录,生成交易信息并授权该电子标签标记的物品进行交易,同时在溯源交易区块链网络中记录交易信息;
所述电子标签模块用于存储对应的秘钥以及物品身份明文信息,并配合秘钥存储管理区块链网络和溯源交易区块链网络进行身份认证和数据交互;
所述读写设备配置为数据传输通道,用于读取电子标签模块中各电子标签的数据送入秘钥存储管理区块链网络或者溯源交易区块链网络,同时将秘钥存储管理区块链网络或者溯源交易区块链网络的传输数据写入电子标签。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有对称加密溯源交易程序,所述对称加密溯源交易程序可被一个或者多个处理器执行,以实现如前述的基于区块链网络的对称加密溯源交易方法的步骤。
与现有技术相比,本发明具有如下的有益效果:
本发明提供的基于区块链网络的对称加密溯源交易方法,采用溯源交易区块链网络与弱中心化秘钥存储管理区块链网络相结合,既可以充分发挥溯源交易公有区块链网络在分布式存储与链上信息公开透明防抵赖技术特性;又可以采用弱中心化的秘钥存储管理联盟区块链,规避秘钥存放在公有链上不安全,以及中心化网络中信息管理不透明且缺乏公信力的问题,其中溯源交易区块链网络负责对物品交易信息的记录,并实现物品全生命周期溯源管理跟踪的功能,秘钥存储管理区块链网络负责进行物品身份认证功能的实现,保证认证结果的高可靠性和秘钥存储管理的高安全性,具体的电子标签的对称秘钥保存在弱中心化隔离服务器中,秘钥的添加、删除与替换需要多节点的弱中心化区块链网络达成共识后才有效,解决传统中心化秘钥存储与管理存在系统管理员非法更改数据库的风险,进一步的采用隔离的弱中心化区块链网络生成、存储和管理秘钥,在隔离网络中进行加解密的计算工作,将返回的结果输出给溯源交易区块链网络,防止溯源交易区块链网络直接获取使用秘钥过程中,产生秘钥泄露的问题;
此外本发明采用的对称加密方案有效减少区块链网络的计算量,降低区块链网络运算负荷,使得整个溯源交易系统对硬件资源要求低,降低系统搭建所需整体成本与电子标签单体成本,特别的终端设备(读写设备与手机设备)仅作为数据传输的通道,不接触敏感信息,防止人员在终端设备中进行非法操作来欺瞒用户,配合采用弱中心化秘钥存储管理区块链网络对秘钥进行统一管理,以及在秘钥存储管理区块链网络中使用AES算法进行加解密运算与身份信息比对确认工作,替代传统物理Ukey的方式来进行身份确认验证的工作,增强用户使用灵活度。
关于本发明相对于现有技术,其他突出的实质性特点和显著的进步在实施例部分进一步详细介绍。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在说明书及权利要求书当中使用了某些名称来指称特定组件。应当理解,本领域普通技术人员可能会用不同名称来指称同一个组件。本申请说明书及权利要求书并不以名称的差异作为区分组件的方式,而是以组件在功能上的实质性差异作为区分组件的准则。如在本申请说明书和权利要求书中所使用的“包含”或“包括”为一开放式用语,其应解释为“包含但不限定于”或“包括但不限定于”。具体实施方式部分所描述的实施例为本发明的较佳实施例,并非用以限定本发明的范围。
此外,所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为软硬件结合的形式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个微控制器可读介质中的计算机程序产品的形式,该微控制器可读介质中包含微控制器可读的程序代码。
实施例1
如图1所示,本实施例提供的一种基于区块链网络的对称加密溯源交易方法,包括以下步骤:
分别建立秘钥存储管理区块链网络和溯源交易区块链网络,在本实施例中采用溯源交易与秘钥存储管理两条区块链网络相结合的方式,既可以充分发挥溯源交易公有区块链网络在分布式存储与链上信息公开透明防抵赖技术特性;又可以采用弱中心化的秘钥存储管理联盟区块链,规避秘钥存放在公有链上不安全,以及中心化网络中信息管理不透明且缺乏公信力的问题;
依次执行新电子标签的交易合约建立、秘钥生成和效力确认操作,具体包括:
建立该电子标签交易合约,生成合约地址;
秘钥存储管理区块链网络基于合约地址采用对称加密算法生成秘钥,并分别录入或下载到秘钥存储管理区块链网络的新录入节点和新电子标签中,本实施例中采用的对称加密安全方案采用AES加密算法,对称加密方案有效减少区块链网络的计算量,降低区块链网络运算负荷;
秘钥存储管理区块链网络中全部弱中心化节点对新录入节点信息进行同步,并对新生成的秘钥进行共识审核,审核通过后该秘钥有效;
执行电子标签初始化身份认证,具体包括:
秘钥存储管理区块链网络根据包括交易合约地址信息,采用对应的秘钥对电子标签进行身份信息对比验证;
验证一致,则在溯源交易区块链网络中保存该电子标签身份确认通过记录,生成交易合约并授权该电子标签标记的物品进行交易,同时在溯源交易区块链网络中记录交易信息。
在本实施例中电子标签为NFC电子标签,所述NFC电子标签中的秘钥不可被读取。
在本实施例中秘钥存储管理区块链网络负责进行物品身份认证功能的实现,保证认证结果的高可靠性和秘钥存储管理的高安全性,采用弱中心化的联盟区块链技术在可信执行环境中进行配置组建,NFC电子标签的对称秘钥保存在弱中心化隔离服务器中,秘钥的添加、删除与替换需要多节点的弱中心化秘钥存储管理区块链网络达成共识后才有效,解决传统中心化秘钥存储与管理存在系统管理员非法更改数据库的风险,同时采用隔离的弱中心化区块链网络生成、存储和管理秘钥,在隔离网络中进行加解密的计算工作,将返回的结果输出给溯源交易区块链网络,防止溯源交易区块链网络直接获取使用秘钥过程中,产生秘钥泄露的问题,在本实施例中秘钥存储管理区块链网络采用联盟链的加入激励机制,提供多单位多节点的加入设计架构,随着加入单位和节点数量的增加,可以有效提高秘钥存储管理区块链网络的公信力和安全性;
在本实施例中溯源交易区块链网络采用去中心化的公有区块链技术进行配置组建,溯源交易区块链网络负责对物品交易信息的记录,并实现物品全生命周期溯源管理跟踪的功能;
本实施例中共识审核具体包括:
秘钥存储管理区块链网络中其他弱中心化节点记录新录入节点身份信息,同时若干弱中心化节点充当审核节点并采用DPOS算法对新生成的秘钥进行审核,审核通过后秘钥有效,否则该秘钥被视为无效秘钥。
新录入节点在录入新生成的秘钥时,同步通过录入人录入物品信息,包括物品UID信息,并由系统随机选定物品信息审核人,被选中的审核人需要对录入的信息进行二次确认与物品审核,审核人确定物品信息无误后需要进行确定,物品秘钥、录入人与审核人的签名信息均会一同存储在秘钥存储管理区块链网络中的新录入节点用于权责追溯使用。
在本实施例中录入人和审核人均匹配对应设置验证秘钥,用于在录入和审核过程中对秘钥存储管理区块链网络产生的随机数进行加密,并作为确认签名信息上传到秘钥存储管理区块链网络中。
在本实施例中若审核通过后的秘钥出现无效事由,则执行对该秘钥对应的录账户点和审核账户的惩罚措施,包括降低拥有此类账户节点的权重系数或者取消节点的记账权限,当然也可以采用其他惩罚性措施,在这里不做赘述。
本实施例中采用对应的秘钥对电子标签进行身份信息对比验证,具体包括:
秘钥存储管理区块链采用秘钥将溯源交易区块链网络输入的数据与自身产生的随机数加密后回传至溯源交易区块链网络;
溯源交易区块链网络将获得的密文数据通过读写设备传输至对应的电子标签中,电子标签对密文数据进行解密,并将解密后得到的随机数与其身份明文信息(包括自身UID信息)一同采用秘钥加密后,通过读写设备回传至溯源交易区块链网络并转发至秘钥存储管理区块链网络进行解密;
秘钥存储管理区块链网络将解密后的随机数和身份明文信息与其自身生成的随机数以及存储的对应电子标签的身份明文信息进行对比验证。
在本实施例中对NFC电子标签进行身份信息的验证过程中加解密安全算法采用AES-128对称加密算法;
在本实施例提供的方案中针对身份认证这一功能,完全在秘钥存储管理区块链网络中进行加解密运算与身份信息对比验证确认工作,溯源交易区块链网络使用秘钥存储管理区块链处理返回后的结果,而不直接使用秘钥进行身份认证过程的确认,有效保证秘钥管理和使用的安全性,并有效解决了传统用户需要依赖Ukey,存在使用和保管不灵活的问题。
为了进一步说明本方法的工作流程,如图2所示,秘钥存储管理区块链网络和溯源交易区块链网络随着时间演化后,二者之间的区块链结构对应关系进行相应的改变,在秘钥存储初始区块A0时存储着初始的若干电子标签应的秘钥和身份信息,此时溯源交易初始区块B0记录的物品交易信息均以秘钥存储初始区块A0为基础进行电子标签身份对比认证,在其后随着新的电子标签对应的秘钥的加入等事件的发生,秘钥存储初始区块A0形成了新的秘钥存储区块A1,在此后触发的新的交易进而形成新的溯源交易初始区块B1、B2……均以秘钥存储初始区块A1为基础进行电子标签身份对比认证,继续在其后随着新的电子标签对应的秘钥的加入等事件的发生,秘钥存储区块A1形成了新的秘钥存储区块A2,在此后触发的新的交易进而形成新的溯源交易初始区块Bn、Bn+1均以秘钥存储初始区块A2为基础进行电子标签身份对比认证,依次类推,随着新的电子标签对应的秘钥的加入等事件的发生,形成了新的秘钥存储区块An,在此后触发的新的交易进而形成新的溯源交易初始区块Bn+m均以秘钥存储初始区块An为基础进行电子标签身份对比认证。
实施例2
如图3,本实施例提供一种基于区块链网络的对称加密溯源交易系统,包括云端区块链网络、电子标签模块和读写设备模块;
云端区块链网络包括秘钥存储管理区块链网络和溯源交易区块链网络;
秘钥存储管理区块链网络用于依次执行电子标签模块中新电子标签的交易合约建立、秘钥生成和效力确认操作,包括:建立该电子标签交易合约,生成合约地址;秘钥存储管理区块链网络基于合约地址采用对称加密算法生成秘钥,并分别录入或下载到秘钥存储管理区块链网络的新录入节点和新电子标签中;秘钥存储管理区块链网络中全部弱中心化节点对新录入节点信息进行同步,并对新生成的秘钥进行共识审核,审核通过后该秘钥有效;
溯源交易区块链网络用于记录电子标签模块中各电子标签标记的物品的交易信息,并配合秘钥存储管理区块链网络执行执行电子标签初始化身份认证,包括:秘钥存储管理区块链网络根据包括交易合约地址信息,采用对应的秘钥对电子标签进行身份信息对比验证;验证一致,则在溯源交易区块链网络中保存该电子标签身份确认通过记录,生成交易合约并授权该电子标签标记的物品进行交易,同时在溯源交易区块链网络中记录交易信息;
电子标签模块用于存储对应的秘钥以及物品身份明文信息,并配合秘钥存储管理区块链网络和溯源交易区块链网络进行身份认证和数据交互;
读写设备配置为数据传输通道,用于读取电子标签模块中各电子标签的数据送入秘钥存储管理区块链网络或者溯源交易区块链网络,同时将秘钥存储管理区块链网络或者溯源交易区块链网络的传输数据写入电子标签。
在本实施例中的系统整体实现方案采用对称AES加密算法实现物品身份唯一和合法性的验证;
溯源交易区块链网络负责对物品交易信息的记录,并实现物品全生命周期溯源管理跟踪的功能。
秘钥存储管理区块链网络负责进行物品身份认证功能的实现,保证认证结果的高可靠性和秘钥存储管理的高安全性;
在本实施例中电子标签、读写设备与区块链网络相结合,不同于传统实现方式,实现了从中心化服务器向去中心化区块链网络转变。
实施例3
一种计算机可读存储介质,所述计算机可读存储介质上存储有对称加密溯源交易程序,所述对称加密溯源交易程序可被一个或者多个处理器执行,以实现如实施例1所述的基于区块链网络的对称加密溯源交易方法的步骤。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显 示的部件可以是或者也可以不是物理单元,即可以位于一个地方。或者也可以分布到多个 网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)。随机存取存 储器(RAM,Random,Access,Memory)、磁碟或者光盘等各种可以存储程序校验码的介质。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。