CN113472777B - 一种联盟区块链节点准入的控制方法 - Google Patents

一种联盟区块链节点准入的控制方法 Download PDF

Info

Publication number
CN113472777B
CN113472777B CN202110735111.7A CN202110735111A CN113472777B CN 113472777 B CN113472777 B CN 113472777B CN 202110735111 A CN202110735111 A CN 202110735111A CN 113472777 B CN113472777 B CN 113472777B
Authority
CN
China
Prior art keywords
node
alliance
certificate
information
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110735111.7A
Other languages
English (en)
Other versions
CN113472777A (zh
Inventor
崔建军
许文波
刘力政
刘宁海
黄文林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Tegao Information Technology Co ltd
Original Assignee
Shanghai Tegao Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Tegao Information Technology Co ltd filed Critical Shanghai Tegao Information Technology Co ltd
Priority to CN202110735111.7A priority Critical patent/CN113472777B/zh
Publication of CN113472777A publication Critical patent/CN113472777A/zh
Application granted granted Critical
Publication of CN113472777B publication Critical patent/CN113472777B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明公开了一种联盟区块链节点准入的控制方法,其技术方案要点是包括联盟团体确定根证书,并在第一批联盟链节点的配置文件中配置根证书签发的CA证书文件;联盟团体在接收到联盟成员提交的节点信息后通过对节点信息进行签名并向联盟成员颁发成员子证书;联盟成员接收成员子证书并于联盟链节点配置根证书、成员子证书以及节点私钥;联盟成员的联盟链节点形成主动校验信息并发送给对端的联盟链节点;对端的联盟链节点对主动校验信息进行校验,若校验通过,对端的联盟链节点形成被动校验信息并发送给联盟成员的联盟链节点;联盟成员的联盟链节点对被动校验信息进行校验,若校验通过,则握手成功。该控制方法的安全性更高,不易通过伪造而准入。

Description

一种联盟区块链节点准入的控制方法
技术领域
本发明涉及区块链技术领域,更具体的说是涉及一种联盟区块链节点准入的控制方法。
背景技术
区块链的运行实体由一个个节点组成,区块链网络由节点间通过P2P网络拓扑结构连接构成。联盟区块链是多节点和用户限定在一定联盟范围的区块链形式。联盟区块链一般为了网络安全和数据隐私保护等原因会对节点的准入设置一定的门槛限制。但是,区块链天生的开放性给联盟链的节点准入带来了挑战。
传统联盟区块链采用节点IP白名单限制的方式来对节点的准入做限制。然而IP白名单方式容易伪造,攻击者可以伪造TCP/IP链路层的源IP,伪装成合法的IP白名单成员,接入到联盟链网络。
发明内容
针对现有技术存在的不足,本发明的目的在于提供一种联盟区块链节点准入的控制方法,该控制方法的安全性更高,不易通过伪造而准入。
为实现上述目的,本发明提供了如下技术方案:一种联盟区块链节点准入的控制方法,包括
S1,联盟团体确定根证书,并在第一批联盟链节点的配置文件中配置统一的所述根证书签发的CA证书文件;
S2,所述联盟团体在接收到联盟成员提交的节点信息后通过所述根证书的私钥对所述节点信息进行签名并向所述联盟成员颁发成员子证书,所述节点信息包括联盟成员的节点IP、有效期以及节点公钥,所述成员子证书中包括所述节点信息;
S3,所述联盟成员接收成员子证书并于联盟链节点配置所述根证书、所述成员子证书以及节点私钥;
S4,所述联盟成员的节点通过本节点的所述节点私钥对本节点的所述成员子证书、对端的联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成主动校验信息并发送给对端的联盟链节点,所述对端的联盟链节点为所述联盟团体的任意一个联盟链节点;
S5,对端的联盟链节点对接收到的所述主动校验信息进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S6;
S6,对端的联盟链节点通过本联盟链节点的所述节点私钥对本联盟链节点的所述成员子证书、本联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成被动校验信息并发送给所述联盟成员的联盟链节点;
S7,所述联盟成员的节点对接收到的所述被动校验信息进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S8;
S8,握手成功,所述联盟成员的节点接入联盟链网络。
作为本发明的进一步改进,所述S5中对端的联盟链节点对接收到的所述主动校验信息进行校验,具体为:对端的联盟链节点对所述联盟成员的节点IP、所述有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S6。
作为本发明的进一步改进,在进入所述S6之前对所述主动校验信息中所述成员子证书的签名是否有效以及所述成员子证书的根证书是否为所述联盟团体确定的根证书进行校验,若所述成员子证书的签名有效且所述成员子证书的根证书为所述联盟团体确定的根证书,则进入S6;反之断开网络连接。
作为本发明的进一步改进,所述S8中所述联盟成员的节点对接收到的所述被动校验信息进行校验,具体为:所述联盟成员的节点对所述对端的联盟链节点IP、所述有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S8。
作为本发明的进一步改进,在进入所述S8之前对所述被动校验信息中所述成员子证书的签名是否有效以及所述成员子证书的根证书是否为所述联盟团体确定的根证书进行校验,若所述成员子证书的签名有效且所述成员子证书的根证书为所述联盟团体确定的根证书,则进入S8;反之断开网络连接。
作为本发明的进一步改进,所述节点信息还包括有联盟成员单位名称、邮箱以及地址。
作为本发明的进一步改进,所述S2还包括所述联盟团体在接收到所述联盟成员提交的节点信息后,对联盟成员进行KYC认证,通过认证后再对所述节点信息进行签名。
本发明的有益效果:联盟成员的联盟链节点要接入联盟链网络,需要获得联盟团体的根证书的私钥的签名,且联盟成员的联盟链节点接入联盟链网络时,需要对双方的联盟链节点进行校验,提高了接入的准确性。在第一批联盟链节点的配置文件中配置统一的所述根证书签发的CA证书文件,通过CA控制联盟链节点准入,实现了由联盟主体颁发的证书来控制节点安全接入的目的,攻击者不易伪造,该控制方法不易通过伪造而准入,安全性更高。
附图说明
图1为本发明握手成功的流程示意图;
图2为对端的联盟链节点验证不成功,拒绝接入的流程示意图;
图3为联盟成员的节点验证不成功,拒绝接入的流程示意图。
具体实施方式
下面结合附图和实施例,对本发明进一步详细说明。
参照图1、图2、图3所示,本实施例的一种联盟区块链节点准入的控制方法,包括以下步骤:
S1,联盟团体确定根证书,并在第一批联盟链节点的配置文件中配置统一的根证书签发的CA证书文件。
具体的,联盟团体可为多个人或者多个公司组成的联盟治理委员会,联盟团体的成员协商确定共同使用的根证书。在联盟链创世部署的时候,第一批联盟链节点在部署文件中配置统一的根证书签发的CA证书文件。
S2,联盟团体在接收到联盟成员提交的节点信息后,对联盟成员进行KYC认证,通过认证后通过根证书的私钥对节点信息进行签名并向联盟成员颁发成员子证书,节点信息包括联盟成员单位名称、邮箱、地址、联盟成员的节点IP、有效期以及节点公钥,成员子证书中包括节点信息。
具体的,联盟成员为要加入联盟团体的成员,即要将节点接入联盟链网络的成员。联盟成员通过线下方式向联盟团体提交自己节点的节点信息,联盟团体对联盟成员进行KYC认证,认证通过后,通过线下方式对节点信息进行签名并给联盟成员颁发成员子证书。
S3,联盟成员接收成员子证书并于联盟链节点配置根证书、成员子证书以及节点私钥。
S4,联盟成员的节点通过节点的节点私钥对本节点的成员子证书、对端的联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成主动校验信息并发送给对端的联盟链节点,对端的联盟链节点为联盟团体的任意一个联盟链节点。
具体的,联盟成员的节点作为主动连接方节点,主动连接方节点用节点私钥对成员子证书的公开部分文件和对端的联盟链节点IP进行签名,通过后续对签名进行校验避免人们拿到成员子证书的公开部分文件后伪造对端的联盟链节点IP来接入联盟链网络。
S5,对端的联盟链节点对接收到的主动校验信息进行校验,具体校验过程为:对端的联盟链节点对联盟成员的节点IP、有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则对成员子证书的签名是否有效以及成员子证书的根证书是否为联盟团体确定的根证书进行校验,若成员子证书的签名有效且成员子证书的根证书为联盟团体确定的根证书,则进入S7;反之断开网络连接。
具体的,对端的联盟链节点作为被动连接方节点,被动连接方节点收到主动校验信息后,先对联盟成员的节点IP和有效期进行校验,联盟成员的节点IP和有效期均通过成员子证书获取。校验不通过,则断开网络连接,校验通过则进一步校验成员子证书的签名是否有效以及成员子证书的根证书是否为联盟团体确定的根证书,校验不通过,则断开网络连接;校验通过则进入S6。
S6,对端的联盟链节点通过本联盟链节点的节点私钥对本联盟链节点的成员子证书、本联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成被动校验信息并发送给联盟成员的联盟链节点。
具体的,作为被动连接方节点的对端的联盟链节点用节点私钥对本联盟链节点的成员子证书、本联盟链节点IP以及连接命令CONNECT进行打包后签名,通过后续对签名进行校验避免作为被动连接方节点的对端的联盟链节点被伪造而与联盟成员的节点连接。
S7,联盟成员的节点对接收到的被动校验信息进行校验,具体校验过程为:联盟成员的节点对对端的联盟链节点IP、有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则对成员子证书的签名是否有效以及成员子证书的根证书是否为联盟团体确定的根证书进行校验,若成员子证书的签名有效且成员子证书的根证书为联盟团体确定的根证书,则进入S8;反之断开网络连接。
具体的,作为主动连接方节点的联盟成员的节点收到被动校验信息后,先对对端的联盟链节点IP和有效期进行校验,校验不通过,则断开网络连接;校验通过则进一步校验成员子证书的签名是否有效以及成员子证书的根证书是否为联盟团体确定的根证书,校验不通过,则断开网络连接,校验通过则进入S8。
S8,握手成功,联盟成员的节点接入联盟链网络。联盟成员成为联盟团体的一员,联盟成员的节点成为联盟团体的一个联盟链节点。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种联盟区块链节点准入的控制方法,其特征在于:包括
S1,联盟团体确定根证书,并在第一批联盟链节点的配置文件中配置统一的所述根证书签发的CA证书文件;
S2,所述联盟团体在接收到联盟成员提交的节点信息后通过所述根证书的私钥对所述节点信息进行签名并向所述联盟成员颁发成员子证书,所述节点信息包括联盟成员的节点IP、有效期以及节点公钥,所述成员子证书中包括所述节点信息;
S3,所述联盟成员接收成员子证书并于联盟链节点配置所述根证书、所述成员子证书以及节点私钥;
S4,所述联盟成员的节点通过本节点的所述节点私钥对本节点的所述成员子证书、对端的联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成主动校验信息并发送给对端的联盟链节点,所述对端的联盟链节点为所述联盟团体的任意一个联盟链节点;
S5,对端的联盟链节点对接收到的所述主动校验信息进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S6;
S6,对端的联盟链节点通过本联盟链节点的所述节点私钥对本联盟链节点的所述成员子证书、本联盟链节点IP以及连接命令CONNECT进行打包后签名,并通过protobuf协议序列化后形成被动校验信息并发送给所述联盟成员的联盟链节点;
S7,所述联盟成员的节点对接收到的所述被动校验信息进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S8;
S8,握手成功,所述联盟成员的节点接入联盟链网络。
2.根据权利要求1所述的一种联盟区块链节点准入的控制方法,其特征在于:所述S5中对端的联盟链节点对接收到的所述主动校验信息进行校验,具体为:对端的联盟链节点对所述联盟成员的节点IP、所述有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S6。
3.根据权利要求2所述的一种联盟区块链节点准入的控制方法,其特征在于:在进入所述S6之前对所述主动校验信息中所述成员子证书的签名是否有效以及所述成员子证书的根证书是否为所述联盟团体确定的根证书进行校验,若所述成员子证书的签名有效且所述成员子证书的根证书为所述联盟团体确定的根证书,则进入S6;反之断开网络连接。
4.根据权利要求1所述的一种联盟区块链节点准入的控制方法,其特征在于:所述S8中所述联盟成员的节点对接收到的所述被动校验信息进行校验,具体为:所述联盟成员的节点对所述对端的联盟链节点IP、所述有效期进行校验,若校验不通过,则断开网络连接;若校验通过,则进入S8。
5.根据权利要求3所述的一种联盟区块链节点准入的控制方法,其特征在于:在进入所述S8之前对所述被动校验信息中所述成员子证书的签名是否有效以及所述成员子证书的根证书是否为所述联盟团体确定的根证书进行校验,若所述成员子证书的签名有效且所述成员子证书的根证书为所述联盟团体确定的根证书,则进入S8;反之断开网络连接。
6.根据权利要求1所述的一种联盟区块链节点准入的控制方法,其特征在于:所述节点信息还包括有联盟成员单位名称、邮箱以及地址。
7.根据权利要求6所述的一种联盟区块链节点准入的控制方法,其特征在于:所述S2还包括所述联盟团体在接收到所述联盟成员提交的节点信息后,对联盟成员进行KYC认证,通过认证后再对所述节点信息进行签名。
CN202110735111.7A 2021-06-30 2021-06-30 一种联盟区块链节点准入的控制方法 Active CN113472777B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110735111.7A CN113472777B (zh) 2021-06-30 2021-06-30 一种联盟区块链节点准入的控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110735111.7A CN113472777B (zh) 2021-06-30 2021-06-30 一种联盟区块链节点准入的控制方法

Publications (2)

Publication Number Publication Date
CN113472777A CN113472777A (zh) 2021-10-01
CN113472777B true CN113472777B (zh) 2022-08-30

Family

ID=77874366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110735111.7A Active CN113472777B (zh) 2021-06-30 2021-06-30 一种联盟区块链节点准入的控制方法

Country Status (1)

Country Link
CN (1) CN113472777B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426157A (zh) * 2017-04-21 2017-12-01 杭州趣链科技有限公司 一种基于数字证书以及ca认证体系的联盟链权限控制方法
CN109493063A (zh) * 2018-12-29 2019-03-19 杭州趣链科技有限公司 一种联盟区块链中进行权限控制的方法
CN109728954A (zh) * 2019-01-04 2019-05-07 深圳壹账通智能科技有限公司 联盟链节点管理系统以及方法
WO2020042933A1 (zh) * 2018-08-28 2020-03-05 白杰 一种区块链网络接入方法及系统
CN112073413A (zh) * 2020-09-08 2020-12-11 深圳市金蚁云供应链科技有限公司 在线化联盟链管理方法、装置、计算机设备及存储介质
CN112435024A (zh) * 2020-11-17 2021-03-02 浙江大学 基于群签名和ca多方认证的联盟链跨链隐私保护方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426157A (zh) * 2017-04-21 2017-12-01 杭州趣链科技有限公司 一种基于数字证书以及ca认证体系的联盟链权限控制方法
WO2020042933A1 (zh) * 2018-08-28 2020-03-05 白杰 一种区块链网络接入方法及系统
CN109493063A (zh) * 2018-12-29 2019-03-19 杭州趣链科技有限公司 一种联盟区块链中进行权限控制的方法
CN109728954A (zh) * 2019-01-04 2019-05-07 深圳壹账通智能科技有限公司 联盟链节点管理系统以及方法
CN112073413A (zh) * 2020-09-08 2020-12-11 深圳市金蚁云供应链科技有限公司 在线化联盟链管理方法、装置、计算机设备及存储介质
CN112435024A (zh) * 2020-11-17 2021-03-02 浙江大学 基于群签名和ca多方认证的联盟链跨链隐私保护方法

Also Published As

Publication number Publication date
CN113472777A (zh) 2021-10-01

Similar Documents

Publication Publication Date Title
CN105376239B (zh) 一种支持移动终端进行IPSec VPN报文传输方法及装置
CN107846447A (zh) 一种基于mqtt协议的家庭终端接入消息中间件的方法
CN107277061A (zh) 基于iot设备的端云安全通信方法
US20060130135A1 (en) Virtual private network connection methods and systems
CN113746858B (zh) 一种基于可验证随机函数的跨链通信方法
CN104811455A (zh) 一种云计算身份认证方法
US11177943B2 (en) Digital electronic device based on dual blockchain having virtual blockchain and operation method thereof
CN106027518B (zh) 一种基于准实时状态反馈的可信网络连接方法
CN110020524A (zh) 一种基于智能卡的双向认证方法
CN112436940A (zh) 一种基于零知识证明的物联网设备可信启动管理方法
US11678177B2 (en) Dual-link wireless ad hoc network and security defense method in emergency scene
CN111652617B (zh) 跨区块链平台的业务处理系统
CN107835193A (zh) 一种基于签名机制的安全通讯系统及方法
CN107634834A (zh) 一种基于多终端多场景的可信身份认证方法
CN108900306A (zh) 一种无线路由器数字证书的产生方法及系统
CN111541776A (zh) 一种基于物联网设备的安全通信装置及系统
CN101867588A (zh) 一种基于802.1x的接入控制系统
CN106603512B (zh) 一种基于sdn架构的is-is路由协议的可信认证方法
CN113472777B (zh) 一种联盟区块链节点准入的控制方法
CN101394395A (zh) 一种认证方法和系统、及装置
CN110213230A (zh) 一种用于分布式通信的网络安全验证方法及装置
CN101753438B (zh) 实现通道分离的路由器及其通道分离的传输方法
CN105577699A (zh) 一种双向动态无中心鉴权的安全接入认证方法
CN107835168A (zh) 一种基于端信息扩展序列矩阵转置相乘的认证方法
CN114157509B (zh) 基于国密算法具备SSL和IPsec的加密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant