CN114205162A - 一种基于区块链pki互信认证的方法和系统 - Google Patents
一种基于区块链pki互信认证的方法和系统 Download PDFInfo
- Publication number
- CN114205162A CN114205162A CN202111542067.4A CN202111542067A CN114205162A CN 114205162 A CN114205162 A CN 114205162A CN 202111542067 A CN202111542067 A CN 202111542067A CN 114205162 A CN114205162 A CN 114205162A
- Authority
- CN
- China
- Prior art keywords
- certificate
- terminal
- information data
- block chain
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims description 100
- 230000007246 mechanism Effects 0.000 claims description 18
- 238000012550 audit Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 230000008878 coupling Effects 0.000 abstract description 5
- 238000010168 coupling process Methods 0.000 abstract description 5
- 238000005859 coupling reaction Methods 0.000 abstract description 5
- 230000006854 communication Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 7
- 230000006855 networking Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种基于区块链PKI互信认证的方法和系统,通过将各认证域各自管理的区块链节点组成特定区块链网络,并通过特定区块链网络的账本中记录的由各认证域的根证书构成的根证书集以及特定区块链网络的账本中记录的由各认证域的证书吊销列表实时更新得到的证书吊销总列表,对终端的证书进行跨域验证,实现了降低各认证域耦合度的基础上的跨域认证。
Description
技术领域
本发明涉及计算机信息技术领域,尤其涉及一种基于区块链PKI互信认证的方法和系统。
背景技术
在车联网系统中,可能会有多个独立的PKI系统为车联网设备提供证书服务,每个PKI的服务范围称为一个认证域。认证域是指由一个PKI系统全部证书构成的可信域。跨认证域认证是指位于一个认证域中的车联网设备能够认证由其他认证域签发给该域车联网设备的证书。现有技术中,为实现跨域认证,一个认证域中的设备需要获取另一个认证域签发证书的CA证书或证书链,认证域之间需要交叉认证,增加了认证域之间的耦合度,并且在认证域较多时,会进一步增加交叉认证的复杂度;此外,现有技术通常基于业务和认证融合在一起上链共识,受到区块链共识机制计算效率的影响,很容易造成性能问题。
在实现本发明过程中,申请人发现现有技术中至少存在如下问题:
为实现跨域认证,导致认证域之间需要交叉认证增加了复杂度以及认证域之间的耦合度以及业务和认证融合在一起上链共识造成性能低。
发明内容
本发明实施例提供一种基于区块链PKI互信认证的方法和系统,具体的提供了一种基于区块链的跨域认证的方法和系统,解决了为实现跨域认证,导致认证域之间需要交叉认证增加了复杂度以及认证域之间的耦合度以及业务和认证融合在一起上链共识造成性能低的问题。
为达上述目的,一方面,本发明实施例提供一种基于区块链PKI互信认证的方法,基于一种基于区块链PKI互信认证的系统,所述系统包括:至少一个认证域和特定区块链网络;其中,每个认证域包括该认证域对应的认证中心、该认证域管理的区块链节点和该认证域管理的终端;各认证域的所有区块链节点属于特定区块链网络中的节点;
所述方法包括:
发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端;
如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;
如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端。
进一步地,所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端,包括:
所述接收信息数据的终端对应的区块链节点检查所述特定区块链网络的账本中记录的证书吊销总列表;其中,所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书;
若所述证书吊销总列表中有所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果;否则,进一步使用所述账本中记录的根证书集中的每个根证书验证所述发出信息数据的终端的终端证书;其中,所述根证书集被预先保存在所述特定区块链网络的账本中;所述根证书集由各认证域对应的认证中心的根证书构成;
若所述发出信息数据的终端的终端证书被所述根证书集中的某个根证书验证通过,则将验证结果设置为验证通过,并向所述接收信息数据的终端发送所述证书验证结果;若所述根证书集中的所有根证书都无法验证所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果。
进一步地,所述签名信息包括明文信息和数字签名;所述数字签名由所述明文信息的信息摘要经签名信息中的发出信息数据的终端的私钥加密得到;所述信息摘要是明文信息的哈希值;其中,所述发出信息数据的终端的私钥与所述发出信息数据的终端的终端证书中的公钥构成非对称秘钥对;
所述接收信息数据的终端验证所述发出信息数据的终端的签名信息,包括:
所述接收信息数据的终端从所述发出信息数据的终端的终端证书中获取所述发出信息数据的终端的公钥;
所述接收信息数据的终端使用所述发出信息数据的终端的公钥解密所述发出信息数据的终端的签名信息中的数字签名,得到解密后的信息摘要;
所述接收信息数据的终端重新计算所述发出信息数据的终端的签名信息中的明文信息的哈希值,将得到的哈希值作为重新计算后的信息摘要;
所述接收信息数据的终端比较所述重新计算后的信息摘要和所述解密后的信息摘要,若比较结果为相同,则所述签名信息有效,否则所述签名信息无效。
进一步地,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤添加认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的根证书集中;
进一步地,其特征在于,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤删除认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识将待删除的认证域对应的根证书从所述特定区块链网络的账本中的根证书集中删除。
进一步地,所述方法还包括:
按以下步骤添加区块链节点:
通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;
使用所述根证书集中的所述待添加的区块链节点所在的认证域对应的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
进一步地,还包括:按以下步骤为终端申请证书:
待申请证书的终端向所述待申请证书的终端要加入的认证域对应的认证中心提交申请证书的请求;
所述待申请证书的终端要加入的认证域对应的认证中心审核所述申请证书的请求,并且审核通过后,向所述待申请证书的终端签发终端证书。
进一步地,还包括:按以下步骤为终端吊销证书:
所述待吊销证书的终端向所述待吊销证书的终端所在的认证域对应的认证中心提交吊销证书申请;
所述待吊销证书的终端所在的认证域对应的认证中心将所述待吊销证书的终端的终端证书列入所述待吊销证书的终端所在的认证域的证书吊销列表;
通过所述特定区块链网络的智能合约按指定时间间隔周期性地将所述待吊销证书的终端所在的认证域的证书吊销列表更新到所述特定区块链网络中的账本中的证书吊销总列表。
另一方面,本发明实施例提供一种基于区块链PKI互信认证的系统,包括:至少一个认证域和特定区块链网络;其中,每个认证域包括该认证域对应的认证中心、该认证域管理的区块链节点和该认证域管理的终端;各认证域的所有区块链节点属于特定区块链网络中的节点;
终端用于发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
终端还用于所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
终端还用于如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端;
区块链节点用于接收来自该区块链节点所在认证域中的所述接收信息数据的终端的证书验证请求,并从收到的所述证书验证请求中获取所述发出信息数据的终端的终端证书,并根据所述特定区块链网络的账本中的根证书集和证书吊销总列表对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给发出所述证书验证请求的所述接收信息数据的终端;
认证域用于通过该认证域对应的认证中心管理该认证域内的区块链节点的节点证书的申请和吊销,以及管理该认证域内的终端的终端证书的申请和吊销;
所述特定区块链网络用于在其账本中保存所述根证书集和所述证书吊销总列表;
所述根证书集由各认证域对应的认证中心的根证书构成;
所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书。
进一步地,所述特定区块链网络还包括指定共识节点集群;
所述特定区块链网络还用于通过所述特定区块链网络中的所述指定共识节点集群经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的所述根证书集中;
所述特定区块链网络还用于通过所述特定区块链网络中的所述指定共识节点集群经区块链共识机制将待删除的认证域对应的根证书从所述特定区块链网络的账本中的所述根证书集中删除;
所述特定区块链网络还用于通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;并通过所述特定区块链网络的账本中记录的所述根证书集中的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
上述技术方案具有如下有益效果:通过将各认证域各自管理的区块链节点组成特定区块链网络,并通过特定区块链网络的账本中记录的由各认证域的根证书构成的根证书集以及特定区块链网络的账本中记录的由各认证域的证书吊销列表实时更新得到的证书吊销总列表,对终端的证书进行跨域验证,即可以实现各认证域内各终端的认证也可以实现各认证域之间的各终端的跨域认证,避免了在跨域认证时各认证域之间的交叉认证,显著降低了各认证域之间的耦合度,降低了跨域认证的实现复杂性。进一步地,本发明技术方案仅需要在认证域和区块链节点上链时进行区块链共识机制的计算,在通信中的证书认证过程不涉及上链操作也不涉及区块链共识机制的计算,从而使认证过程更高效。进一步地,本发明技术方案中,终端仅在认证时需要通过区块链节点访问特定区块链网络完成认证,在其他业务通信时不需要经过区块链网络,不会因区块链网络的效率问题拖慢整体通信性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例之一的一种基于区块链PKI互信认证的方法的流程图;
图2是本发明实施例之一的基于区块链PKI互信认证的系统的一种架构图;
图3是本发明实施例之一的基于区块链PKI互信认证的系统的另一种架构图;
图4是本发明实施例之一的基于区块链PKI互信认证的系统的又一种架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一方面,本发明实施例提供一种基于区块链PKI互信认证的方法,基于一种基于区块链PKI互信认证的系统,所述系统包括:所述系统包括:至少一个认证域和特定区块链网络;其中,每个认证域包括该认证域对应的认证中心、该认证域管理的区块链节点和该认证域管理的终端;各认证域的所有区块链节点属于特定区块链网络中的节点;
如图1所示,所述方法包括:
步骤S100,发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
步骤S101,所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
步骤S102,所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端;
步骤S103,如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;
步骤S104,如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端。
在一些实施例中,在基于区块链PKI互信认证的系统中,可以有一个或多个认证域,在一个认证域中可以有一个或多个区块链节点,以及一个或多个终端;每个认证域对应有认证中心,认证中心用于分配和管理加入该认证域的区块链节点的节点证书,还用于分配和管理加入该认证域的终端的终端证书,认证中心即数字证书认证中心是一个负责发放和管理数字证书的权威机构,认证中心的主要功能包括证书的颁发、证书的更新、证书的查询、证书的作废和证书的归档;认证中心颁发的数字证书中的内容主要包括:持有该证书的主体的身份信息、持有该证书的主体的公钥、颁发该证书的机构即认证中心的信息和颁发该证书的机构的数字签名。可以通过多种现有工具包括但不限于openssl或HSM模块(即hardware security module,硬件安全模块)为持有该证书的主体(例如本系统中的区块链节点和终端)生成非对称秘钥对,并认证中心使用该非对称秘钥对中的公钥为持有该证书的主体签发数字证书。在系统中的所有区块链节点都属于一个特定区块链网络;各区块链节点具有节点证书,只有节点证书验证通过的区块链节点才能接入特定区块链网络;终端可以是具有计算能力的设备、车辆等硬件,也可以是运行于具有计算能力的设备上的进程、线程等;在实际应用中,例如在车联网应用中,认证域可以对应不同的汽车企业,区块链节点可对应汽车企业内部的部门或者销售区域等,终端可对应为车辆。
在实施例的说明中,发出信息数据的终端和接收信息数据的终端用于在描述本发明技术方案时区分在一次通信过程中的两个终端,不作为对本发明技术方案中的终端的功能的限制,例如在本次通信中作为发出信息数据的终端,在另一次通信中可以作为接收信息数据的终端,在本次通信中作为接收信息数据的终端,在另一次通信中可以作为发出信息数据的终端。在本实施例以及其他实施例的后续的描述中为了简化,使用发送端代替发出信息数据的终端,并且使用接收端代替接收信息数据的终端;签名信息包括明文信息和数字签名;数字签名由明文信息的信息摘要经签名信息的发送端的私钥加密得到;信息摘要是明文信息的哈希值;发送端的终端证书由发送端所在的认证域的认证中心颁发;接收端的终端证书由接收端所在的认证域的认证中心颁发;发送端和接收端可以在同一个认证域内,也可以在不同的认证域内。发送端和接收端在同一认证域时的认证方法与发送端和接收端在不同认证域时的认证方法相同。
下面以图2为例说明认证过程,如图2所示,认证域A对应的认证中心是CA认证中心A,CA(即Certification Authority)认证中心A负责为认证域A中的区块链接点和终端分配证书,每个认证域中可以有一个或多个区块链节点;认证域A中有区块链节点A1、区块链节点A2、终端V2X-A1和终端V2X-A2;在认证域B中有区块链节点B1、区块链节点B2、终端V2X-B1和终端V2X-B2;当终端V2X-A1向终端V2X-B1发送信息数据时,在本次通信中,终端V2X-A1作为发送端,终端V2X-B1作为接收端;发送端V2X-A1向接收端V2X-B1发送信息数据;信息数据中包括:发送端V2X-A1的签名信息和发送端V2X-A1的终端证书;接收端V2X-B1将收到的发送端V2X-A1的终端证书封装为证书验证请求,并将该证书验证请求发送给接收端V2X-B1对应的区块链节点B1,区块链节点B1从收到的证书验证请求中获取发送端V2X-A1的终端证书并通过特定区块链网络对发送端V2X-A1的终端证书进行验证,例如通过特定区块链网络对认证域A和认证域B进行交叉认证,或者,通过通过特定区块链网络中的账本中记录各认证域的根证书作为根证书集,并且使用该根证书集中的根证书尝试验证发送端V2X-A1的终端证书;区块链节点B1将证书验证结果发送给接收端V2X-B1;如果接收端V2X-B1收到的证书验证结果为验证通过,则接收端进一步验证发送端V2X-A1的签名信息;如果发送端V2X-A1的签名信息有效,则接收端V2X-B1信任发送端V2X-A1;
本发明实施例具有如下技术效果:通过将不同认证域中的区块链节点构成同一个特定区块链网络,并且通过该特定区块链网络作为中介,使信息数据的接收端可在本地的认证域内完成对另一个认证域的发送端的终端证书的验证,从而解除了认证域之间的耦合,降低了跨域认证的复杂性。终端仅在认证时需要通过区块链节点访问特定区块链网络完成认证,在其他业务通信时不需要经过区块链网络,不会因区块链网络的效率问题拖慢整体通信性能。
进一步地,所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端,包括:
所述接收信息数据的终端对应的区块链节点检查所述特定区块链网络的账本中记录的证书吊销总列表;其中,所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书;
若所述证书吊销总列表中有所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果;否则,进一步使用所述账本中记录的根证书集中的每个根证书验证所述发出信息数据的终端的终端证书;其中,所述根证书集被预先保存在所述特定区块链网络的账本中;所述根证书集由各认证域对应的认证中心的根证书构成;
若所述发出信息数据的终端的终端证书被所述根证书集中的某个根证书验证通过,则将验证结果设置为验证通过,并向所述接收信息数据的终端发送所述证书验证结果;若所述根证书集中的所有根证书都无法验证所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果。
在一些实施例中,将基于区块链PKI互信认证的系统中的各认证域对应的认证中心的根证书统一保存在特定区块链网络的账本中的根证书集中,同时也将各认证域各自的证书吊销列表中的证书记录也同步更新到该特定区块链网络的账本中的证书吊销总列表中。如图2所示,接收端V2X-B1将收到的发送端V2X-A1的终端证书封装为证书验证请求,并将该证书验证请求发送给接收端V2X-B1对应的区块链节点B1;接收端V2X-B1对应的区块链节点B1检查特定区块链网络的账本中记录的证书吊销总列表;若证书吊销总列表中有发送端V2X-A1的终端证书,则向接收端V2X-B1发送的证书验证结果为验证未通过;否则,进一步使用账本中记录的根证书集中的每个根证书验证发送端V2X-A1的终端证书;若发送端V2X-A1的终端证书被根证书集中的某个根证书验证通过,则向接收端V2X-B1发送的证书验证结果为验证通过,如果根证书集中的所有根证书都无法验证发送端V2X-A1的终端证书,则向接收端发送端V2X-B1发送的证书验证结果为验证未通过。在进一步使用账本记录的根证书集中的根证书验证发送端的终端证书时,还可以根据发送端的终端证书中携带的标识信息,例如可以使用发送端的终端证书中的颁发该证书的机构即认证中心的信息作为该标识信息或间接确定该标识信息,从根证书集中选择该标识信息对应的根正书用于验证发送端的终端证书,该标识信息作为认证域的唯一标识,从而避免了逐一遍历根证书集,可以加快验证的效率,同时进一步保证使用发送端所在的认证域的根证书去验证发送端的终端证书。在上述验证发送端的终端证书过程中,当接收端对应的区块链节点需要访问特定区块链网络时,需要使用根证书集中的根证书验证该区块链节点的节点证书,若该区块链节点的节点证书被根证书集中的某个根证书验证通过,该区块链节点才能够访问特定区块链网络,对于无法验证其节点证书的区块链节点,向该特定区块链网络发送的任何网络请求都会被拒绝。
如图3所示,在认证域A和认证域B是两个不同的PKI认证域,其中PKI(即PublicKey Infrastructure,公钥基础设施)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。在认证域A对应的认证中心为认证域ACA server,认证域A中还包括区块链节点A和v2x设备;认证域A CA server为认证域A内的v2x设备(即终端)分配数字证书作为认证域A中的v2x设备的终端证书,认证域A CA server还为区块链节点A分配节点证书A。区块链节点A提供SDK证书验证接口,v2x设备通过区块链节点A提供的SDK证书验证接口向区块链节点A发出证书验证请求。认证域A的根证书、认证域B的根证书以及其他认证域的根证书都保存在区块链网络中,并且可以通过智能合约经共识节点集群根据区块链共识机制进行更新。各认证域也将各自的证书吊销列表定时更新到区块链网络中记录的所有域证书吊销列表(即证书吊销总列表)中。
本发明实施例具有如下技术效果:利用特定区块链网络的账本中记录的根证书集无法被伪造和篡改的特点,保证了根证书集的安全可靠;同时,各认证域都可以通过各认证域内的区块链节点访问到特定区块链网络中的根证书集和证书吊销总列表,从而使各认证域内的终端可以在各自的认证域内验证其他认证域内的终端发送来的证书,实现安全可靠的跨域认证。
进一步地,所述签名信息包括明文信息和数字签名;所述数字签名由所述明文信息的信息摘要经签名信息中的发出信息数据的终端的私钥加密得到;所述信息摘要是明文信息的哈希值;其中,所述发出信息数据的终端的私钥与所述发出信息数据的终端的终端证书中的公钥构成非对称秘钥对;
所述接收信息数据的终端验证所述发出信息数据的终端的签名信息,包括:
所述接收信息数据的终端从所述发出信息数据的终端的终端证书中获取所述发出信息数据的终端的公钥;
所述接收信息数据的终端使用所述发出信息数据的终端的公钥解密所述发出信息数据的终端的签名信息中的数字签名,得到解密后的信息摘要;
所述接收信息数据的终端重新计算所述发出信息数据的终端的签名信息中的明文信息的哈希值,将得到的哈希值作为重新计算后的信息摘要;
所述接收信息数据的终端比较所述重新计算后的信息摘要和所述解密后的信息摘要,若比较结果为相同,则所述签名信息有效,否则所述签名信息无效。
在一些实施例中,基于特定区块链网络的账本中记载的根证书集具有不可伪造和不可篡改的特点,所以根证书集中记录的各认证域的根证书被认为是安全可信的,接收端通过特定区块链网络对发送端的终端证书进行了验证,确定发送端的终端证书可信,基于此,发送端的终端证书中的公钥可确信是发送端的公钥,使用发送端的公钥进一步对发送端发送的信息数据中的签名信息进行验证,若能验证通过,则可确信签名信息是由发送端发出,且信息没有被篡改。
进一步地,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤添加认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的根证书集中;
进一步地,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤删除认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识将待删除的认证域对应的根证书从所述特定区块链网络的账本中的根证书集中删除。
在一些实施例中,在最初创建区块链时,可通过特定初始化程序通过指定共识节点集群根据区块链共识机制将待添加的认证域对应的认证中心的根证书添加到账本的创世区块中的根证书集中。也可以通过特定区块链网络中指定的区块链节点或特定区块链网络提供的网络接口通过指定共识节点集群根据区块链共识机制添加或删除账本中记载的根证书集中的根证书;通过将待删除的认证域对应的根证书从根证书集中删除,将导致该待删除的认证域管理的区块链节点的节点证书无法被特定区块链网络验证,从而无法接入该特定区块链网络,同时,该待删除认证域管理的终端也因终端证书无法通过特定区块链网络验证,其他终端也无法验证该待删除认证域管理的终端,其他终端也无法信任该待删除的认证域管理的终端,从而该待删除的认证域管理的终端将无法与其他终端通信。本发明实施例充分利用了特定区块链网络的账本数据的不可伪造和不可篡改的特点,保证了根证书集的安全可信,同时,由于通过定共识节点集群完成区块链共识机制,共识机制进行的计算消耗不随特定区块链网络的规模增大而增大,基本保持不变,可以保持特定区块链网络的数据更新效率。
进一步地,所述特定区块链包括指定共识节点集群;
所述方法还包括:
按以下步骤添加区块链节点:
通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;
使用所述根证书集中的所述待添加的区块链节点所在的认证域对应的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
在一些实施例中,该区块链节点需要向其所在的认证域对应的认证中心申请节点证书,该节点证书至少可用于验证该区块链接点是否是合法的区块链节点、是否可以加入特定区块链网络、以及是否可以与该特定区块链网络中的其他区块链节点通信。在将区块链加入特定区块链网络时,需要使用根证书集中的证书验证该区块链节点的节点证书,若节点证书验证通过,可通过调用该特定区块链网络的上链接口将该区块链节点加入到特定区块链网络中。对节点证书进行验证可以确保加入的是合法的区块链节点。当两个区块链节点需要通信时,两个区块链节点都需要使用根证书集中的根证书验证各自的节点证书,只有两个节点证书被根证书集中的根证书验证通过后,两个区块链节点之间才能进行通信。
进一步地,还包括:
按以下步骤为终端申请证书:
待申请证书的终端向所述待申请证书的终端要加入的认证域对应的认证中心提交申请证书的请求;
所述待申请证书的终端要加入的认证域对应的认证中心审核所述申请证书的请求,并且审核通过后,向所述待申请证书的终端签发终端证书。
进一步地,还包括:
按以下步骤为终端吊销证书:
所述待吊销证书的终端向所述待吊销证书的终端所在的认证域对应的认证中心提交吊销证书申请;
所述待吊销证书的终端所在的认证域对应的认证中心将所述待吊销证书的终端的终端证书列入所述待吊销证书的终端所在的认证域的证书吊销列表;
通过所述特定区块链网络的智能合约按指定时间间隔周期性地将所述待吊销证书的终端所在的认证域的证书吊销列表更新到所述特定区块链网络中的账本中的证书吊销总列表。
在一些实施例中,每个认证域具有自己的证书吊销列表,当某个认证域中的终端证书或节点证书发生吊销时,相关被吊销的证书被记录在该认证域的证书吊销列表中,并且会通过智能合约按指定时间间隔周期性的将各认证域的证书吊销列表更新到特定区块链网络的账本中的证书吊销总列表中。指定时间间隔可根据系统中证书发生吊销的频率设置,若频率高,则将指定时间间隔设置的短些,反之,可以设置的长些。
另一方面,如图4所示,本发明实施例提供一种基于区块链PKI互信认证的系统,包括:所述系统包括:至少一个认证域400和特定区块链网络401;其中,每个认证域400包括该认证域400对应的认证中心402、该认证域400管理的区块链节点403和该认证域管理的终端404;各认证域400的所有区块链节点403属于特定区块链网络401中的节点;
终端404用于发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
终端404还用于所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
终端404还用于如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端;
区块链节点403用于接收来自该区块链节点所在认证域中的所述接收信息数据的终端的证书验证请求,并从收到的所述证书验证请求中获取所述发出信息数据的终端的终端证书,并根据所述特定区块链网络的账本中的根证书集和证书吊销总列表对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给发出所述证书验证请求的所述接收信息数据的终端;
认证域400用于通过该认证域对应的认证中心管理该认证域内的区块链节点的节点证书的申请和吊销,以及管理该认证域内的终端的终端证书的申请和吊销;
所述特定区块链网络401用于在其账本中保存所述根证书集和所述证书吊销总列表;
所述根证书集由各认证域400对应的认证中心402的根证书构成;
所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书。
在一些实施例中,在基于区块链PKI互信认证的系统中,可以有一个或多个认证域,在一个认证域中可以有一个或多个区块链节点,以及一个或多个终端;每个认证域对应有认证中心,认证中心用于分配和管理加入该认证域的区块链节点的节点证书,还用于分配和管理加入该认证域的终端的终端证书,认证中心是一个负责发放和管理数字证书的权威机构,认证中心的主要功能包括证书的颁发、证书的更新、证书的查询、证书的作废和证书的归档。在系统中的所有区块链节点都属于一个特定区块链网络;终端可以是具有计算能力的设备、车辆等硬件,也可以是运行于具有计算能力的设备上的进程、线程等;在实际应用中,例如在车联网应用中,认证域可以对应不同的汽车企业,区块链节点可对应汽车企业内部的部门或者销售区域等,终端可对应为车辆。
在实施例的说明中,发出信息数据的终端和接收信息数据的终端用于在描述本发明技术方案时区分在一次通信过程中的两个终端,不作为对本发明技术方案中的终端的功能的限制,例如在本次通信中作为发出信息数据的终端,在另一次通信中可以作为接收信息数据的终端,在本次通信中作为接收信息数据的终端,在另一次通信中可以作为发出信息数据的终端。在本实施例以及其他实施例的后续的描述中为了简化,使用发送端代替发出信息数据的终端,并且使用接收端代替接收信息数据的终端。
进一步地,如图4所示,所述特定区块链网络401还包括指定共识节点集群405;
所述特定区块链网络401还用于通过所述特定区块链网络中的所述指定共识节点集群405经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的所述根证书集中;
所述特定区块链网络401还用于通过所述特定区块链网络中的所述指定共识节点集群405经区块链共识机制将待删除的认证域对应的根证书从所述特定区块链网络的账本中的所述根证书集中删除;
所述特定区块链网络401还用于通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;并通过所述特定区块链网络的账本中记录的所述根证书集中的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
本领域技术人员可以依据前述的基于区块链PKI互信认证的方法的实施例理解本发明实施例提供的基于区块链PKI互信认证的系统的实施例,在此不再赘述。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
如图3所示,认证域A和认证域B还有共识节点构建成一个区块链网络(即特定区块链网络)。
区块链账本数据(即特定区块链网络的账本)由所有区块组成,即创世区块+其他交易数据区块组成。
账本数据共享于所有区块链节点,组建成可信数据系统。
创世区块是特定区块链网络中第一个被最早构建的区块,拥有一个唯一的ID标识号.一般存储特定区块链网络的配置信息和重要参数。
初始化区块链:
在区块链创世区块中,创建不同认证域的CA(即认证中心)的根证书集(区块链根证书集)。
CA认证中心(CA server)(即认证中心)向不同认证域的区块链节点分配相应的节点证书。
不同认证域节点的加入和退出:通过特定区块链网络的智能合约添加或删除根证书集中的该认证域的根证书达成,并通过区块链共识上链,通过节点证书与根证书集验证节点的合法性。
整个过程通过特定区块链网络的交易记录可追溯,从而导致区块链根证书集是所有参与的认证域所信任的。
申请证书和撤销证书:
不同认证域的车辆(相当于终端)首次进行认证时,车辆向CA数字证书认证中心(CA server)提出首次申请数字证书请求,CA数字证书认证中心(CA server)审核提交请求的用户信息,签发数字证书。
CA数字证书认证中心(CA server)(即认证中心)发布CRL证书吊销列表(即相应认证域的证书吊销列表),车辆通过向所述CA数字证书认证中心(CA server)提出注销证书申请,该证书被列入吊销列表。
区块链通过智能合约定时更新所有域CRL证书吊销列表(即证书吊销总列表)。
验证过程:
车辆(v2x设备)(相当于终端)携带签名消息并携带自己证书与其他域车辆(v2x设备)通信时,通过智能合约在该其他车辆所在的认证域域内的区块链节点与区块链创世区块中根证书集通信,发送签名消息和自己证书的车辆的证书与根证书集中的根证书逐个验证,并与区块链证书吊销列表CRL(即证书吊销总列表)比对为非吊销证书,直到被某个根证书验证成功,,发送签名消息和自己证书的车辆即为可信域的车辆(v2x设备),从而完成可信安全的跨域通信认证。
本发明实施例具有如下技术效果:
车联网中不同认证域中的车辆,例如不同品牌的车辆,通过不同的CA认证中心签发的证书,都可以安全认证,通过短距离通信协议进行安全可信的通信。区块链系统(即特定区块链网络)只参与认证过程,不参与其他业务,不会因为区块链性能导致出现整体系统慢的问题。该发明技术方案不局限于特定的区块链框架,可以在多种区块链技术架构中实现。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括:”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于区块链PKI互信认证的方法,其特征在于,基于一种基于区块链PKI互信认证的系统,所述系统包括:至少一个认证域和特定区块链网络;其中,每个认证域包括该认证域对应的认证中心、该认证域管理的区块链节点和该认证域管理的终端;各认证域的所有区块链节点属于特定区块链网络中的节点;
所述方法包括:
发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端;
如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;
如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端。
2.如权利要求1所述的基于区块链PKI互信认证的方法,其特征在于,所述接收信息数据的终端对应的区块链节点从收到的证书验证请求中获取所述发出信息数据的终端的终端证书,并通过所述特定区块链网络对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给所述接收信息数据的终端,包括:
所述接收信息数据的终端对应的区块链节点检查所述特定区块链网络的账本中记录的证书吊销总列表;其中,所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书;
若所述证书吊销总列表中有所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果;否则,进一步使用所述账本中记录的根证书集中的每个根证书验证所述发出信息数据的终端的终端证书;其中,所述根证书集被预先保存在所述特定区块链网络的账本中;所述根证书集由各认证域对应的认证中心的根证书构成;
若所述发出信息数据的终端的终端证书被所述根证书集中的某个根证书验证通过,则将验证结果设置为验证通过,并向所述接收信息数据的终端发送所述证书验证结果;若所述根证书集中的所有根证书都无法验证所述发出信息数据的终端的终端证书,则将验证结果设置为验证未通过,并向所述接收信息数据的终端发送所述证书验证结果。
3.如权利要求1所述的基于区块链PKI互信认证的方法,其特征在于,所述签名信息包括明文信息和数字签名;所述数字签名由所述明文信息的信息摘要经签名信息中的发出信息数据的终端的私钥加密得到;所述信息摘要是明文信息的哈希值;其中,所述发出信息数据的终端的私钥与所述发出信息数据的终端的终端证书中的公钥构成非对称秘钥对;
所述接收信息数据的终端验证所述发出信息数据的终端的签名信息,包括:
所述接收信息数据的终端从所述发出信息数据的终端的终端证书中获取所述发出信息数据的终端的公钥;
所述接收信息数据的终端使用所述发出信息数据的终端的公钥解密所述发出信息数据的终端的签名信息中的数字签名,得到解密后的信息摘要;
所述接收信息数据的终端重新计算所述发出信息数据的终端的签名信息中的明文信息的哈希值,将得到的哈希值作为重新计算后的信息摘要;
所述接收信息数据的终端比较所述重新计算后的信息摘要和所述解密后的信息摘要,若比较结果为相同,则所述签名信息有效,否则所述签名信息无效。
4.如权利要求2所述的基于区块链PKI互信认证的方法,其特征在于,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤添加认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的根证书集中。
5.如权利要求2所述的基于区块链PKI互信认证的方法,其特征在于,所述特定区块链网络包括指定共识节点集群;所述方法还包括:
按以下步骤删除认证域:
通过所述特定区块链网络中的指定共识节点集群经区块链共识将待删除的认证域对应的根证书从所述特定区块链网络的账本中的根证书集中删除。
6.如权利要求2所述的基于区块链PKI互信认证的方法,其特征在于,
所述方法还包括:
按以下步骤添加区块链节点:
通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;
使用所述根证书集中的所述待添加的区块链节点所在的认证域对应的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
7.如权利要求2所述的基于区块链PKI互信认证的方法,其特征在于,还包括:
按以下步骤为终端申请证书:
待申请证书的终端向所述待申请证书的终端要加入的认证域对应的认证中心提交申请证书的请求;
所述待申请证书的终端要加入的认证域对应的认证中心审核所述申请证书的请求,并且审核通过后,向所述待申请证书的终端签发终端证书。
8.如权利要求2所述的基于区块链PKI互信认证的方法,其特征在于,还包括:
按以下步骤为终端吊销证书:
所述待吊销证书的终端向所述待吊销证书的终端所在的认证域对应的认证中心提交吊销证书申请;
所述待吊销证书的终端所在的认证域对应的认证中心将所述待吊销证书的终端的终端证书列入所述待吊销证书的终端所在的认证域的证书吊销列表;
通过所述特定区块链网络的智能合约按指定时间间隔周期性地将所述待吊销证书的终端所在的认证域的证书吊销列表更新到所述特定区块链网络中的账本中的证书吊销总列表。
9.一种基于区块链PKI互信认证的系统,其特征在于,包括:至少一个认证域和特定区块链网络;其中,每个认证域包括该认证域对应的认证中心、该认证域管理的区块链节点和该认证域管理的终端;各认证域的所有区块链节点属于特定区块链网络中的节点;
终端用于发出信息数据的终端向接收信息数据的终端发送信息数据;所述信息数据包括:所述发出信息数据的终端的签名信息和所述发出信息数据的终端的终端证书;
终端还用于所述接收信息数据的终端将收到的所述发出信息数据的终端的终端证书封装为证书验证请求,并将所述证书验证请求发送给所述接收信息数据的终端对应的区块链节点;其中,所述接收信息数据的终端对应的区块链节点位于所述接收信息数据的终端所在的认证域内;
终端还用于如果所述接收信息数据的终端收到的所述证书验证结果为验证通过,则进一步地,所述接收信息数据的终端验证所述发出信息数据的终端的签名信息;如果所述发出信息数据的终端的签名信息有效,则所述接收信息数据的终端信任所述发出信息数据的终端;
区块链节点用于接收来自该区块链节点所在认证域中的所述接收信息数据的终端的证书验证请求,并从收到的所述证书验证请求中获取所述发出信息数据的终端的终端证书,并根据所述特定区块链网络的账本中的根证书集和证书吊销总列表对所述发出信息数据的终端的终端证书进行验证,并将证书验证结果发送给发出所述证书验证请求的所述接收信息数据的终端;
认证域用于通过该认证域对应的认证中心管理该认证域内的区块链节点的节点证书的申请和吊销,以及管理该认证域内的终端的终端证书的申请和吊销;
所述特定区块链网络用于在其账本中保存所述根证书集和所述证书吊销总列表;
所述根证书集由各认证域对应的认证中心的根证书构成;
所述证书吊销总列表包括所有认证域各自的证书吊销列表中的证书。
10.如权利要求9所述的基于区块链PKI互信认证的系统,其特征在于,所述特定区块链网络还包括指定共识节点集群;
所述特定区块链网络还用于通过所述特定区块链网络中的所述指定共识节点集群经区块链共识机制将待添加的认证域对应的认证中心的根证书添加到所述特定区块链网络的账本中的所述根证书集中;
所述特定区块链网络还用于通过所述特定区块链网络中的所述指定共识节点集群经区块链共识机制将待删除的认证域对应的根证书从所述特定区块链网络的账本中的所述根证书集中删除;
所述特定区块链网络还用于通过待添加的区块链节点所在的认证域对应的认证中心为所述待添加的区块链节点分配节点证书;并通过所述特定区块链网络的账本中记录的所述根证书集中的根证书验证所述待添加的区块链节点的节点证书,若验证通过,则将所述待添加的区块链节点加入到所述特定区块链网络中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111542067.4A CN114205162B (zh) | 2021-12-16 | 2021-12-16 | 一种基于区块链pki互信认证的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111542067.4A CN114205162B (zh) | 2021-12-16 | 2021-12-16 | 一种基于区块链pki互信认证的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114205162A true CN114205162A (zh) | 2022-03-18 |
CN114205162B CN114205162B (zh) | 2024-07-26 |
Family
ID=80654491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111542067.4A Active CN114205162B (zh) | 2021-12-16 | 2021-12-16 | 一种基于区块链pki互信认证的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114205162B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117156440A (zh) * | 2023-10-27 | 2023-12-01 | 中电科网络安全科技股份有限公司 | 一种证书认证方法、系统、存储介质和电子设备 |
CN117676580A (zh) * | 2023-12-14 | 2024-03-08 | 上海博汽智能科技有限公司 | 一种基于车载网关的安全认证方法 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130268755A1 (en) * | 2012-04-06 | 2013-10-10 | Microsoft Corporation | Cross-provider cross-certification content protection |
CN109743172A (zh) * | 2018-12-06 | 2019-05-10 | 国网山东省电力公司电力科学研究院 | 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端 |
CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
CN110661816A (zh) * | 2019-10-22 | 2020-01-07 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
US20200177572A1 (en) * | 2019-06-28 | 2020-06-04 | Alibaba Group Holding Limited | Sending cross-chain authenticatable messages |
CN112000976A (zh) * | 2020-10-29 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 区块链系统的认证管理方法、装置、介质及电子设备 |
US20210051023A1 (en) * | 2018-09-04 | 2021-02-18 | Advanced New Technologies Co., Ltd. | Cross-chain authentication method, system, server, and computer-readable storage medium |
CN112468441A (zh) * | 2020-10-28 | 2021-03-09 | 北京工业大学 | 基于区块链的跨异构域认证系统 |
CN112883406A (zh) * | 2021-03-24 | 2021-06-01 | 南京邮电大学 | 一种基于联盟链的远程医疗跨域认证方法 |
CN112884476A (zh) * | 2021-01-29 | 2021-06-01 | 西南林业大学 | 基于区块链的ca跨域认证方法及系统 |
CN113343213A (zh) * | 2021-07-01 | 2021-09-03 | 北京邮电大学 | 一种分散自主网络中基于区块链的多ca跨域认证方法 |
US20210306135A1 (en) * | 2020-03-31 | 2021-09-30 | Samsung Electronics Co., Ltd. | Electronic device within blockchain based pki domain, electronic device within certification authority based pki domain, and cryptographic communication system including these electronic devices |
CN113507458A (zh) * | 2021-06-28 | 2021-10-15 | 电子科技大学 | 一种基于区块链的跨域身份认证方法 |
CN113676447A (zh) * | 2021-07-12 | 2021-11-19 | 海南大学 | 基于区块链的科技服务平台跨域身份认证方案 |
CN113672942A (zh) * | 2021-04-29 | 2021-11-19 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的pki证书跨域认证方法 |
-
2021
- 2021-12-16 CN CN202111542067.4A patent/CN114205162B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130268755A1 (en) * | 2012-04-06 | 2013-10-10 | Microsoft Corporation | Cross-provider cross-certification content protection |
US20210051023A1 (en) * | 2018-09-04 | 2021-02-18 | Advanced New Technologies Co., Ltd. | Cross-chain authentication method, system, server, and computer-readable storage medium |
CN109743172A (zh) * | 2018-12-06 | 2019-05-10 | 国网山东省电力公司电力科学研究院 | 基于联盟区块链v2g网络跨域认证方法、信息数据处理终端 |
CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
US20200177572A1 (en) * | 2019-06-28 | 2020-06-04 | Alibaba Group Holding Limited | Sending cross-chain authenticatable messages |
CN110661816A (zh) * | 2019-10-22 | 2020-01-07 | 北京印刷学院 | 一种基于区块链的跨域认证方法与电子设备 |
US20210306135A1 (en) * | 2020-03-31 | 2021-09-30 | Samsung Electronics Co., Ltd. | Electronic device within blockchain based pki domain, electronic device within certification authority based pki domain, and cryptographic communication system including these electronic devices |
CN112468441A (zh) * | 2020-10-28 | 2021-03-09 | 北京工业大学 | 基于区块链的跨异构域认证系统 |
CN112000976A (zh) * | 2020-10-29 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 区块链系统的认证管理方法、装置、介质及电子设备 |
CN112884476A (zh) * | 2021-01-29 | 2021-06-01 | 西南林业大学 | 基于区块链的ca跨域认证方法及系统 |
CN112883406A (zh) * | 2021-03-24 | 2021-06-01 | 南京邮电大学 | 一种基于联盟链的远程医疗跨域认证方法 |
CN113672942A (zh) * | 2021-04-29 | 2021-11-19 | 中国电子科技集团公司第三十研究所 | 一种基于区块链的pki证书跨域认证方法 |
CN113507458A (zh) * | 2021-06-28 | 2021-10-15 | 电子科技大学 | 一种基于区块链的跨域身份认证方法 |
CN113343213A (zh) * | 2021-07-01 | 2021-09-03 | 北京邮电大学 | 一种分散自主网络中基于区块链的多ca跨域认证方法 |
CN113676447A (zh) * | 2021-07-12 | 2021-11-19 | 海南大学 | 基于区块链的科技服务平台跨域身份认证方案 |
Non-Patent Citations (3)
Title |
---|
DONGLAN LIU; DONG LI; XIN LIU; LEI MA; HAO YU; HAO ZHANG: "Research on a Cross-Domain Authentication Scheme Based on Consortium Blockchain in V2G Networks of Smart Grid", 2018 2ND IEEE CONFERENCE ON ENERGY INTERNET AND ENERGY SYSTEM INTEGRATION (EI2), 20 December 2018 (2018-12-20) * |
周致成;李立新;李作辉;: "基于区块链技术的高效跨域认证方案", 计算机应用, no. 02, 10 February 2018 (2018-02-10) * |
黄逸翔,王亚威,陈文轩,张子蛟: "基于联盟链的PKI跨域认证模型", 计算机工程与设计, 16 November 2021 (2021-11-16) * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117156440A (zh) * | 2023-10-27 | 2023-12-01 | 中电科网络安全科技股份有限公司 | 一种证书认证方法、系统、存储介质和电子设备 |
CN117156440B (zh) * | 2023-10-27 | 2024-01-30 | 中电科网络安全科技股份有限公司 | 一种证书认证方法、系统、存储介质和电子设备 |
CN117676580A (zh) * | 2023-12-14 | 2024-03-08 | 上海博汽智能科技有限公司 | 一种基于车载网关的安全认证方法 |
CN117676580B (zh) * | 2023-12-14 | 2024-05-17 | 上海博汽智能科技有限公司 | 一种基于车载网关的安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114205162B (zh) | 2024-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109617698B (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
Lasla et al. | Efficient distributed admission and revocation using blockchain for cooperative ITS | |
CN109104415B (zh) | 构建可信节点网络的系统及方法 | |
CN111107136A (zh) | 一种基于ipfs的区块链跨链中继方法 | |
US20220094542A1 (en) | Methods and devices for public key management using a blockchain | |
US20030014629A1 (en) | Root certificate management system and method | |
WO2018177143A1 (zh) | 一种身份认证的方法、系统及服务器和终端 | |
AU2009320268B2 (en) | Method and device for enabling a trust relationship using an unexpired public key infrastructure (PKI) certificate | |
US20100154040A1 (en) | Method, apparatus and system for distributed delegation and verification | |
CN114205162B (zh) | 一种基于区块链pki互信认证的方法和系统 | |
US20140068251A1 (en) | Method and device for dynamically updating and maintaining certificate path data across remote trust domains | |
CN113824563B (zh) | 一种基于区块链证书的跨域身份认证方法 | |
KR20080001574A (ko) | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 | |
EP3961442B1 (en) | Digital certificate invalidation and verification method and device | |
US20230006840A1 (en) | Methods and devices for automated digital certificate verification | |
WO2019033822A1 (zh) | 数字证书的生成、认证方法、通信设备及存储介质 | |
US20080052388A1 (en) | Substitutable domain management system and method for substituting the system | |
CN112866236B (zh) | 一种基于简化数字证书的物联网身份认证系统 | |
KR102263202B1 (ko) | 분산 ID 를 이용한 IoT 디바이스의 인증 방법 및 시스템 | |
CN114338242A (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
TWI818209B (zh) | 基於分散式分類帳之憑證鑑別及憑證發布之方法及系統 | |
CN112511553B (zh) | 层次化的互联网信任度分享方法 | |
CN116828451A (zh) | 基于区块链的网联车队身份认证方法、装置和介质 | |
JP2024513521A (ja) | 組み込みデバイスの安全な信頼の起点登録及び識別管理 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |