CN114430329B - 一种数据鉴权认证方法、鉴权侧链节点及系统 - Google Patents

一种数据鉴权认证方法、鉴权侧链节点及系统 Download PDF

Info

Publication number
CN114430329B
CN114430329B CN202011105381.1A CN202011105381A CN114430329B CN 114430329 B CN114430329 B CN 114430329B CN 202011105381 A CN202011105381 A CN 202011105381A CN 114430329 B CN114430329 B CN 114430329B
Authority
CN
China
Prior art keywords
chain node
authentication
client
data
data source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011105381.1A
Other languages
English (en)
Other versions
CN114430329A (zh
Inventor
吴轩
储晶星
岑伟迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Zhejiang Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011105381.1A priority Critical patent/CN114430329B/zh
Publication of CN114430329A publication Critical patent/CN114430329A/zh
Application granted granted Critical
Publication of CN114430329B publication Critical patent/CN114430329B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例涉及数据认证技术领域,公开了一种数据鉴权认证方法、鉴权侧链节点及系统,该方法包括:数据源客户端向鉴权侧链节点获取第一权限凭证;向数据主链节点获取第二权限凭证;将第一客户端消息、第一权限凭证和第二权限凭证发送给鉴权侧链节点;鉴权侧链节点根据第一客户端消息和第一权限凭证对数据源客户端进行验证,验证成功后根据第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将认证凭证发送给数据源客户端;数据源客户端将第二客户端消息和认证凭证发送给数据主链节点,以使数据主链节点根据第二客户端消息和认证凭证对数据源客户端进行认证。通过上述方式,本发明实施例保证了认证过程的客观公正,降低了认证时延。

Description

一种数据鉴权认证方法、鉴权侧链节点及系统
技术领域
本发明实施例涉及数据认证技术领域,具体涉及一种数据鉴权认证方法、鉴权侧链节点及系统。
背景技术
数据认证即确定数据的权利人,包括确定数据的所有权、使用权、受益权以及隐私保护权等权利人。一般而言,数据认证通常聚焦于数据的所有权,也就是对于数据所有者身份的认证。
目前,较具代表性的认证方案为一些大数据交易所提出的“提交权属证明+专家评审”模式。在此方案下,数据拥有者需先提交数据权属证明,然后由大数据交易所组织专家进行会审,最后,大数据交易所公布权属结果。
在实现本发明实施例的过程中,发明人发现:由人工进行的数据认证评审易掺杂个人主观意见,从而影响评审的公正性,另外评审周期往往较长,有较大延时性。
发明内容
鉴于上述问题,本发明实施例提供了一种数据鉴权认证方法、鉴权侧链节点及系统,用于解决现有技术中存在的人工数据认证评审造成的评审不公和时延较大的问题。
根据本发明实施例的一个方面,提供了一种数据鉴权认证方法,包括:
数据源客户端向基于区块链的鉴权侧链节点申请获取第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;
数据源客户端向数据主链节点申请获取第二权限凭证,所述第二权限凭证为鉴权侧链节点生成的所述数据主链节点的认证凭证授予权限凭证;
数据源客户端将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点;
所述鉴权侧链节点根据所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端;
所述数据源客户端将第二客户端消息和所述认证凭证发送给所述数据主链节点,以使所述数据主链节点根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证。
根据本发明实施例的另一方面,提供了一种鉴权侧链节点,包括:
第一权限凭证生成模块,用于接收数据源客户端的申请,生成第一权限凭证,发送给所述数据源客户端;所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;
第二权限凭证生成模块,用于接收数据主链节点的申请,生成第二权限凭证,发送给所述数据主链节点,使所述数据主链节点将所述第二权限凭证发送给所述数据源客户端;所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;
验证模块,用于根据从所述数据源客户端接收到的第一客户端消息和所述第一权限凭证对所述数据源客户端进行验证;
认证凭证生成模块,用于在对所述数据源客户端验证成功后,根据从数据源客户端接收到的所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端。
根据本发明实施例的另一方面,提供了一种数据鉴权认证系统,包括:
数据源客户端,用于向基于区块链的鉴权侧链节点申请获取第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;向数据主链节点申请获取第二权限凭证,所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点;将第二客户端消息和认证凭证发送给所述数据主链节点;
鉴权侧链节点,用于接收所述数据源客户端的申请,生成所述第一权限凭证,发送给所述数据源客户端;接收所述数据主链节点的申请,生成所述第二权限凭证,发送给所述数据主链节点;根据从所述数据源客户端接收到所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据从所述数据源客户端接收到所述第一客户端消息、第一权限凭证和第二权限凭证生成所述认证凭证,并将所述认证凭证发送给所述数据源客户端;
数据主链节点,用于向所述鉴权侧链节点申请获取所述第二权限凭证,并在所述数据源客户端申请时,将所述第二权限凭证发送给所述数据源客户端;从所述数据源客户端接收所述第二客户端消息和认证凭证,根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证。
本发明实施例中通过上述数据鉴权认证方法,由基于区块链的鉴权侧链节点为数据源客户端生成第一权限凭证,为数据主链节点生成第二权限凭证,数据源客户端在从数据主链节点获取第二权限凭证后,将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点,由鉴权侧链节点在对数据源客户端进行验证后生成认证凭证,以使数据源主链节点根据数据源客户端发送的第二客户端消息和认证凭证对数据源客户端进行认证,实现了对于数据源客户端的自动化鉴权认证,无需人工参与,从而保证了认证过程的客观公正,降低了认证时延,大大提升了认证效率。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的数据鉴权认证方法的流程图;
图2示出了本发明实施例提供的第一权限凭证获取交互示意图;
图3示出了本发明实施例提供的第二权限凭证获取交互示意图;
图4示出了本发明实施例提供的认证凭证获取交互示意图;
图5示出了本发明实施例提供的认证交互示意图;
图6示出了本发明实施例提供的鉴权侧链节点的结构示意图;
图7示出了本发明实施例提供的数据鉴权认证系统的结构示意图;
图8示出了本发明实施例提供的数据鉴权认证设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
本发明实施例主要应用于基于区块链的数据鉴权认证系统中,该系统主要由三部分组成:数据源供应商、鉴权侧链和数据主链。下面对上述三部分功能及一些参数的含义做如下介绍:
1、数据源供应商:为数据的所有者,也可能是数据的使用者、受益者等。其通过数据源客户端同鉴权侧链和数据主链进行信息交互,发起数据鉴权认证及提供上链数据。拥有鉴权认证的主动权。
2、鉴权侧链:为一条区块链,优选为小规模的联盟链,成员为各大数据服务机构,如大数据交易所等。其主要以智能合约方式为数据源供应商和数据主链的交互授予凭证。鉴权侧链作为数据源供应商和数据主链共同信任的第三方起着重要的认证服务作用。鉴权侧链包括若干个鉴权侧链节点,各节点基于区块链技术一致性地存储维护着鉴权相关信息,如账户列表(Account List),该列表中存储有所有鉴权侧链和数据主链各节点信息及在册的数据源客户端信息。这些信息包括IP地址、公钥等。
3、数据主链:为一条区块链,优选为大范围联盟链,成员为各个有数据交易需求的单位,如移动通信运营商等。数据主链包括若干个数据主链节点,某个节点在对数据源客户端进行认证后将数据源客户端提供的数据登记上链。
4、私钥(Private Key):鉴权侧链各节点、数据主链各节点或数据源客户端的私用密钥,不对外公开。由私钥加密公钥解密的数据无法被无私钥主体仿冒。
5、公钥(Public Key):鉴权侧链各节点、数据主链各节点或数据源客户端的对外公开且长期保持不变的密钥,由非对称加密算法对私钥派生而来。由公钥加密私钥解密的数据无法被无私钥主体获取。上述私钥和公钥可称为长期密钥,其使用较为便捷。
6、会话密钥(Session Key):仅在一段会话时间内生效的密钥,为一种短期密钥。相对于长期密钥而言,短期密钥拥有更高的通信安全性,即使被仿冒方截获也只能在较短的时间内使用,避免了某一个会话主体被长期仿冒的风险。在本实施例中,根据使用主体的不同会话密钥可分为以下三类:
6.1、第一会话密钥,标记为Ssidechain-client:在数据源客户端(client)和鉴权侧链节点(side chain)之间的会话通信中使用的会话密钥。
6.2、第二会话密钥,标记为Ssidechain-mainchain:在鉴权侧链节点和数据主链节点(mainchain)之间的会话通信中使用的会话密钥。
6.3、第三会话密钥,标记为Smainchain-client:在数据源客户端和主链节点之间的会话通信中使用的会话密钥。
图1示出了本发明实施例提供的数据鉴权认证方法的流程图。如图1所示,该方法包括以下步骤:
步骤110:数据源客户端向基于区块链的鉴权侧链节点申请获取第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证。
该步骤中数据源客户端发起认证流程,鉴权侧链对数据源供应商身份进行初步验证后,颁发给数据源供应商一个认证凭证授予权限凭证,即第一权限凭证。如图2所示,为本发明实施例提供的第一权限凭证获取交互示意图。具体的,步骤110可包括:
步骤111:数据源客户端向基于区块链的鉴权侧链节点发送包括验证码和第一客户端信息的凭证申请请求。
具体的,如图2所示,数据源供应商通过数据源客户端向鉴权侧链节点发送对第一权限凭证的申请请求,其中包括:1、验证码,即被数据源客户端私钥加密过的区块高度;2、第一客户端信息(Client Info),即数据源供应商身份信息,如数据源客户端IP地址、数据源供应商名称、数据源供应商编号等。由于鉴权侧链包括若干个节点,数据源客户端可向任意一个鉴权侧链节点发送请求,优选的,数据源客户端可向目前网络连接最优的鉴权侧链节点发送凭证申请请求。上述区块高度指的是区块链中区块的数量。区块链是一个链式结构,随着其中区块的不断增加,其区块高度会越来越高。鉴权侧链和数据主链作为区块链也都有各自的区块高度,本步骤中验证码是加密过的鉴权侧链的区块高度。
步骤112:所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据源客户端。
具体的,鉴权侧链节点在收到上述申请请求后,根据上述客户端信息从账户列表中获取数据源客户端相应的公钥对该验证码解密,得到区块高度,如果该区块高度值为一个合法值,即该区块高度小于等于鉴权侧链当前的区块高度,则通过对上述数据源客户端的初步验证。
步骤113:所述鉴权侧链节点生成第一会话密钥,所述第一会话密钥用于基于区块链的鉴权侧链节点和所述数据源客户端之间通信加密解密。
具体的,鉴权侧链节点生成一个用于该数据源客户端和鉴权侧链节点进行安全通信的第一会话密钥(Ssidechain-client)。需要说明的是,由于鉴权侧链包括若干个节点,该第一会话密钥可用于上述数据源客户端与任意一个鉴权侧链节点之间通信的加密解密。
步骤114:所述鉴权侧链节点使用自身的公钥对所述第一会话密钥和第一客户端信息加密后生成第一权限凭证。
具体的,为了保证该第一会话密钥仅供上述数据源供应商和鉴权侧链节点使用,鉴权侧链节点使用自身的公钥对生成的第一会话密钥进行加密,随第一会话密钥一起被加密的还包括第一客户端信息,该客户端信息用于以后鉴定数据源供应商的身份。可选的,随第一会话密钥和第一客户端信息一起被加密的还包括第一到期区块高度。这几部分信息一同构成了第一权限凭证,即该数据源客户端的认证凭证授予权限凭证。可选的,为了进一步增加会话密钥传递的安全性,所述鉴权侧链节点可使用所述数据源客户端的公钥对所述第一会话密钥进行加密生成加密的第一会话密钥。如图2所示,最后鉴权侧链节点将加密的第一会话密钥和第一权限凭证这两份数据一并发送给数据源客户端。
需要说明的是,上述第一到期区块高度是一个之后某一时间到期的鉴权侧链区块高度(Expiration Sidechain Block Height)。第一会话密钥作为一个短期密钥具备自己的生命周期,上述第一到期区块高度即为该第一会话密钥的到期时间。随着鉴权侧链区块高度的增加,当鉴权侧链区块高度大于该第一到期区块高度时,上述第一会话密钥随即失效,不能再在数据源客户端和鉴权侧链节点之间的通信中使用了。同时第一权限凭证和第一会话密钥是相互关联的,当第一会话密钥过期,第一权限凭证也就宣告失效。此后该数据源客户端不得不重新向鉴权侧链节点申请新的认证凭证授予权限凭证,鉴权侧链节点将会生成一个不同的第一会话密钥和与之关联的认证凭证授予权限凭证。另外,如果数据源客户端执行注销或退出登录操作时也会导致第一会话密钥的失效。
步骤115:所述数据源客户端收到所述鉴权侧链节点发送的所述第一会话密钥和第一权限凭证。
具体的,当数据源客户端收到鉴权侧链节点发送的第一会话密钥和第一权限凭证后,如果第一会话密钥是加密的第一会话密钥,数据源客户端使用自身的私钥对其进行解密,从而获得鉴权侧链节点和该数据源客户端的第一会话密钥,并把第一会话密钥和第一权限凭证进行缓存。此后该数据源客户端可以使用第一会话密钥向鉴权侧链节点申请用以访问某个数据主链节点的凭证。
步骤120:数据源客户端向数据主链节点申请获取第二权限凭证,所述第二权限凭证为鉴权侧链节点生成的所述数据主链节点的认证凭证授予权限凭证。
该步骤中数据源客户端向需要连接的数据主链节点申请获取该数据主链节点的认证凭证授予权限凭证,即第二权限凭证。如图3所示,为本发明实施例提供的第二权限凭证获取交互示意图。具体的,步骤120可包括:
步骤121:数据源客户端向数据主链节点发送第二权限凭证申请请求。
具体的,数据源客户端向需要连接的数据主链节点发送第二权限凭证申请请求。该数据主链节点收到申请请求后,查看其第二权限凭证是否处于生效期,如果处于生效期则数据主链节点将该第二权限凭证发送给该数据源客户端;如果已经失效,则数据主链节点通过如下步骤向鉴权侧链节点申请新的第二权限凭证。数据主链节点申请第二权限凭证的步骤与数据源客户端申请第一权限凭证的步骤111-115类似。
步骤122:所述数据主链节点向基于区块链的鉴权侧链节点发送包括验证码和数据主链节点信息的凭证申请请求。
具体的,如图3所示,该数据主链节点向鉴权侧链节点发送对第二权限凭证的申请请求,其中包括:1、验证码,即被数据主链节点私钥加密过的区块高度;2、数据主链节点信息(Mainchain Node Info),即数据主链节点身份信息,如数据主链节点IP地址、名称、编号等。由于鉴权侧链包括若干个节点,数据主链节点可向任意一个鉴权侧链节点发送请求,优选的,数据主链节点可向目前网络连接最优的鉴权侧链节点发送凭证申请请求,也就是说,本步骤中的鉴权侧链节点与数据源客户端申请获取第一权限凭证步骤中的鉴权侧链节点可能相同也可能不同。同样,本步骤中验证码是加密过的鉴权侧链的区块高度。
步骤123:所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据主链节点。
具体的,鉴权侧链节点在收到上述申请请求后,根据上述数据主链节点信息从账户列表中获取数据主链节点相应的公钥对该验证码解密,得到区块高度,如果该区块高度值为一个合法值,即该区块高度小于等于鉴权侧链当前的区块高度,则通过对上述数据主链节点的验证。
步骤124:所述鉴权侧链节点生成第二会话密钥,所述第二会话密钥用于基于区块链的鉴权侧链节点和所述数据主链节点之间通信加密解密;
具体的,鉴权侧链节点生成一个用于该数据主链节点和鉴权侧链节点进行安全通信的第二会话密钥(Ssidechain-mainchain)。需要说明的是,由于鉴权侧链包括若干个节点,该第二会话密钥可用于上述数据主链节点与任意一个鉴权侧链节点之间通信的加密解密。
步骤125:所述鉴权侧链节点使用自身的公钥对所述第二会话密钥加密后生成第二权限凭证;
具体的,为了保证该第二会话密钥仅供上述数据主链节点和鉴权侧链节点使用,鉴权侧链节点使用自身的公钥对生成的第二会话密钥进行加密。可选的,随第二会话密钥一起被加密的还包括数据主链节点信息。可选的,随第二会话密钥一起被加密的还包括第二到期区块高度。这几部分信息一同构成了第二权限凭证,即该数据主链节点的认证凭证授予权限凭证。也就是说,上述第二权限凭证中包括用鉴权侧链节点公钥加密的第二会话密钥,除此之外,可进一步包括用鉴权侧链节点公钥加密的第二到期区块高度和/或数据主链节点信息。可选的,为了进一步增加会话密钥传递的安全性,所述鉴权侧链节点可使用所述数据主链节点的公钥对所述第二会话密钥进行加密生成加密的第二会话密钥。如图3所示,鉴权侧链节点将加密的第二会话密钥和第二权限凭证这两份数据一并发送给数据主链节点。
同样,上述第二到期区块高度是一个之后某一时间到期的鉴权侧链区块高度(Expiration Sidechain Block Height)。第二会话密钥作为一个短期密钥具备自己的生命周期,上述第二到期区块高度即为该第二会话密钥的到期时间。随着鉴权侧链区块高度的增加,当鉴权侧链区块高度大于该第二到期区块高度时,上述第二会话密钥随即失效,不能再在数据主链节点和鉴权侧链节点之间的通信中使用了。同时第二权限凭证和第二会话密钥是相互关联的,当第二会话密钥过期,第二权限凭证也就宣告失效。此后该数据主链节点不得不重新向鉴权侧链节点申请新的认证凭证授予权限凭证,鉴权侧链节点将会生成一个不同的第二会话密钥和与之关联的认证凭证授予权限凭证。
步骤126:所述数据主链节点收到所述鉴权侧链节点发送的所述第二会话密钥和第二权限凭证;
具体的,当数据主链节点收到鉴权侧链节点发送的第二会话密钥和第二权限凭证后,如果第二会话密钥是加密的第二会话密钥,数据主链节点使用自身的私钥对其进行解密,从而获得鉴权侧链节点和该数据主链节点的第二会话密钥,并把第二会话密钥和第二权限凭证进行缓存。此后该数据主链节点可将第二权限凭证发送给对其有访问需求的数据源客户端。
步骤127:所述数据源客户端收到所述数据主链节点发送的所述第二权限凭证。
步骤130:数据源客户端将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点。
如图4所示,为本发明实施例提供的认证凭证获取交互示意图。步骤130即为其中数据源客户端向鉴权侧链节点发送包含三组数据的认证凭证申请请求步骤。具体的,该步骤可包括:
步骤131:数据源客户端使用所述第一会话密钥对第二客户端信息和上链数据进行加密生成第一客户端消息。
具体的,数据源客户端使用之前从鉴权侧链节点获取的第一会话密钥将自己的客户端信息(称之为第二客户端信息)和需要上链的数据(Data)使用第一会话密钥进行加密,生成第一客户端消息。需要说明的是,第一会话密钥可能被仿冒方截获,而仿冒方加密的客户端信息可能与第一客户端信息不同。也就是说,如果该步骤中的数据源客户端为真正的数据源客户端,则该第二客户端信息与上述第一客户端信息一致,如果为仿冒的数据源客户端,该步骤中第二客户端信息与上述第一客户端信息不一致。
步骤132:所述数据源客户端将所述第一客户端消息、第一权限凭证和第二权限凭证发送给基于区块链的鉴权侧链节点。
具体的,该数据源客户端将上述第一客户端消息连同第一权限凭证和第二权限凭证一并发送给鉴权侧链节点。需要说明的是,该数据源客户端可向目前网络连接最优的鉴权侧链节点发送认证凭证申请请求,本步骤中的鉴权侧链节点与之前步骤中的鉴权侧链节点可能相同也可能不同。
步骤140:所述鉴权侧链节点根据所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端。
其中,鉴权侧链节点根据第一客户端消息和第一权限凭证对数据源客户端进行验证具体包括:
步骤141:所述鉴权侧链节点使用自身的私钥对所述第一权限凭证进行解密,得到所述第一会话密钥和第一客户端信息。
具体的,鉴权侧链节点使用自身的私钥对第一权限凭证进行解密,提取第一会话密钥和第一客户端信息。如果第一权限凭证中包括第一到期区块高度,可选的,该鉴权侧链节点判断当前鉴权侧链区块高度是否大于该第一到期区块高度,如果大于,则该第一权限凭证及和其关联的第一会话密钥已失效,鉴权侧链节点向该数据源客户端通知该第一权限凭证失效,数据源客户端可重新获取新的第一权限凭证后再向鉴权侧链节点申请认证凭证;如果小于等于则继续后面流程。
步骤142:所述鉴权侧链节点使用所述第一会话密钥对所述第一客户端消息进行解密,得到所述第二客户端信息和上链数据。
步骤143:所述鉴权侧链节点比较所述第一客户端信息和所述第二客户端信息,如果一致则对所述数据源客户端验证成功。
具体的,该鉴权侧链节点对第一客户端信息和所述第二客户端信息进行比较以验证数据源客户端的真实身份。如前所述,如果是仿冒的数据源客户端,其向鉴权侧链节点发送的第二客户端信息与第一权限凭证中包含的第一客户端信息不一致,则鉴权侧链节点对该数据源客户端身份验证失败;反之,验证成功继续后面流程。该步骤通过对比不同时间数据源客户端发送的客户端信息来对数据源供应商身份进行验证,保证了数据源客户端身份的真实性和数据鉴权认证的安全性。
步骤140中,验证成功后根据所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端具体可包括:
步骤144:所述鉴权侧链节点使用自身的私钥对所述第二权限凭证进行解密得到所述第二会话密钥。
具体的,鉴权侧链节点使用自身的私钥对第二权限凭证进行解密,提取第二会话密钥。如果第二权限凭证中包括第二到期区块高度,可选的,该鉴权侧链节点判断当前鉴权侧链区块高度是否大于该第二到期区块高度,如果大于,则该第二权限凭证及和其关联的第二会话密钥已失效,鉴权侧链节点向该数据源客户端通知该第二权限凭证失效,数据源客户端可向数据主链节点发送申请,重新获取新的第二权限凭证后再向鉴权侧链节点申请认证凭证;如果小于等于则继续后面流程。需要说明的是,步骤144和步骤141之间没有先后执行顺序限制,可并列执行。
步骤145:所述鉴权侧链节点生成第三会话密钥,所述第三会话密钥用于所述数据源客户端和所述数据主链节点之间通信加密解密。
具体的,在对该数据源客户端验证成功后,鉴权侧链节点生成一个用于该数据源客户端和该数据主链节点之间进行安全通信的第三会话密钥(Smainchain-client)。
步骤146:所述鉴权侧链节点使用所述第二会话密钥对所述第三会话密钥、第二客户端信息及上链数据进行加密后生成认证凭证。
具体的,为了保证该第三会话密钥仅限于该数据源客户端和它所需要连接的上述数据主链节点使用,鉴权侧链节点用第二会话密钥对生成的第三会话密钥进行加密,随该第三会话密钥一起被加密的还包括第二客户端信息及上链数据。可选的,随第三会话密钥、第二客户端信息及上链数据一起被加密的还包括第三到期区块高度。可选的,如果上述第二权限凭证中包括该数据主链节点信息,随第三会话密钥、第二客户端信息及上链数据一起被加密的还可包括数据主链节点信息。这几部分信息一同构成了认证凭证,该认证凭证供上述数据主链节点使用。也就是说,上述认证中包括用第二会话密钥加密的第三会话密钥、第二客户端信息及上链数据,除此之外,可进一步包括用第二会话密钥加密的第三到期区块高度和/或数据主链节点信息。可选的,为了进一步增加会话密钥传递的安全性,所述鉴权侧链节点可使用第一会话密钥或数据源客户端公钥对所述第三会话密钥进行加密生成加密的第三会话密钥,由于会话密钥的安全性较高,优选的,鉴权侧链节点使用第一会话密钥对所述第三会话密钥进行加密。该加密的第三会话密钥供上述数据源客户端使用。如图4所示,鉴权侧链节点将加密的第三会话密钥和认证凭证这两份数据一并发送给数据源客户端。供数据主链节点使用的认证凭证随后将由数据源客户端发送给数据主链节点。
同样,上述第三到期区块高度用于标定该第三会话密钥及与其关联的认证凭证的到期时间。该第三到期区块高度是一个之后某一时间到期的数据主链区块高度(Expiration Mainchain Block Height)。第三会话密钥作为一个短期密钥具备自己的生命周期,上述第三到期区块高度即为该第三会话密钥的到期时间。随着数据主链区块高度的增加,当数据主链区块高度大于该第三到期区块高度时,上述第三会话密钥随即失效,不能再在数据主链节点和数据源客户端之间的通信中使用了。同时认证凭证和第三会话密钥是相互关联的,当第三会话密钥过期,认证凭证也就宣告失效。此后该数据源客户端不得不重新向鉴权侧链节点申请新的认证凭证,鉴权侧链节点将会生成一个不同的第三会话密钥和与之关联的认证凭证。
步骤147:所述数据源客户端收到所述鉴权侧链节点发送的所述第三会话密钥和认证凭证。
步骤150:所述数据源客户端将第二客户端消息和所述认证凭证发送给所述数据主链节点,以使所述数据主链节点根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证。
如图5所示,为本发明实施例提供的认证交互示意图。步骤150即为其中数据源客户端向数据主链节点发送认证凭证和第二客户端消息,以请求数据主链节点在认证后进行数据上链的步骤。具体的,该步骤可包括:
步骤151:所述数据源客户端使用第三会话密钥对第三客户端信息进行加密生成第二客户端消息。
具体的,如果该第三会话密钥是加密的第三会话密钥,数据源客户端使用第一会话密钥或自身的公钥对该第三会话密钥进行解密,从而获得该数据源客户端和该数据主链节点之间的第三会话密钥。随后数据源客户端将客户端信息(称之为第三客户端信息)使用该第三会话密钥对其加密,生成第二客户端消息。同样,第三会话密钥可能被仿冒方截获,而仿冒方加密的客户端信息可能与第一客户端信息不同。也就是说,如果该步骤中的数据源客户端为真正的数据源客户端,则该第三客户端信息与上述的第一及第二客户端信息一致,如果为仿冒的数据源客户端,该步骤中第三客户端信息与上述的第一及第二客户端信息不一致。
为了进一步增强数据认证的安全性和可靠性,防止数据源客户端向数据主链节点发送的数据包被某个恶意网络监听者截获,而仿冒该数据源客户端对数据主链节点进行访问,可选的,上述第二客户端消息中进一步包括主链验证区块高度(Mainchain BlockHeight),即当前的数据主链区块高度。
步骤152:所述数据源客户端将所述第二客户端消息和所述认证凭证发送给所述数据主链节点。
具体的,该数据源客户端将上述第二客户端消息连同从鉴权侧链节点获得的认证凭证一并发送给该数据主链节点。
步骤153:所述数据主链节点使用所述第二会话密钥对所述认证凭证进行解密得到所述第三会话密钥、第二客户端信息及上链数据。
具体的,当该数据主链节点接收到上述两组数据后,使用第二会话密钥对该认证凭证进行解密,从而获得第三会话密钥、第二客户端信息和上链数据。
步骤154:所述数据主链节点使用所述第三会话密钥对所述第二客户端消息进行解密得到所述第三客户端信息。
具体的,该数据主链节点使用上述第三会话密钥对该第二客户端消息进行解密得到第三客户端信息。如果该第二客户端消息还包括主链验证区块高度,则还可以得到该主链验证区块高度。
步骤155:所述数据主链节点比较所述第二客户端信息和所述第三客户端信息,如果一致则对所述数据源客户端认证成功。
具体的,该数据主链节点对第三客户端信息和认证凭证中的第二客户端信息进行比较以验证数据源客户端的真实身份。如前所述,如果是仿冒的数据源客户端,其向数据主链节点发送的第三客户端信息与认证凭证中包含的第二客户端信息不一致,则数据主链节点对该数据源客户端身份验证失败;反之,验证成功继续后面流程。该步骤通过对比不同时间数据源客户端发送的客户端信息来对数据源供应商身份进行验证,保证了数据源客户端身份的真实性和数据鉴权认证的安全性。
如果上述第二客户端消息还包括主链验证区块高度,可选的,在该数据主链节点比较第二客户端信息和第三客户端信息之前还包括:
步骤156:所述数据主链节点比较当前主链区块高度与所述主链验证区块高度之差是否超过预设值,如果超过则对所述数据源客户端认证失败。
具体的,该数据主链节点将当前的数据主链区块高度与该主链验证区块高度进行比较,如果比较之差超过一定范围,也就是大于一个预设值(比如5个区块),则对所述数据源客户端认证失败,该数据主链节点会直接拒绝该数据源客户端的数据上链请求。
该步骤判断的原理是,如果有仿冒者,其截获数据后进行仿冒的时间必定滞后于原始数据产生时间,时间不同则主链区块高度不同。也就是说仿冒者向数据主链节点发送请求的时间会晚于真正数据源客户端发送请求的时间,这时主链区块高度会有所增加,从而引起第二客户端消息中的主链验证区块高度与当前主链区块高度偏差超过预设范围。通过该步骤,可阻止某些仿冒者的攻击,进一步增强数据鉴权认证的安全性和可靠性。
如果上述第二客户端消息还包括主链验证区块高度,可选的,在该数据主链节点比较第二客户端信息和所第三客户端信息之前还包括:
步骤157:所述数据主链节点比较所述主链验证区块高度是否大于所述数据源客户端的历史认证区块高度,如果小于等于则对所述数据源客户端认证失败;所述历史认证区块高度为所述数据源客户端最近一次认证成功时的主链验证区块高度。
具体的,所有数据主链节点可一致性地存储维护一张记录所有认证过的数据源客户端和历史认证区块高度的列表(称为历史认证列表)。该历史认证区块高度为数据源客户端最近一次认证成功时的主链验证区块高度。该数据主链节点可从该列表中获得该数据源客户端的历史认证区块高度,只有当第二客户端消息中的主链验证区块高度高于该数据源客户端历史认证区块高度的情况下,数据主链节点才会进行后续的流程,否则,对该数据源客户端认证失败,该数据主链节点会直接拒绝该数据源客户端的数据上链请求。
需要说明的,步骤156和步骤157没有先后执行顺序的限制,两个步骤可以同时进行,也可单独进行。
为了进一步增强数据鉴权认证的安全性,数据源客户端可对该数据主链节点进行认证,可选的,在对所述数据源客户端认证成功之后还包括:
步骤158:所述数据主链节点使用第三会话密钥对所述主链验证区块高度进行加密得到加密后的主链验证区块高度,发送给所述数据源客户端。
可选的,若数据源客户端需要对它访问的数据主链节点进行认证,可在向数据主链节点发送的请求中设置一个是否需要对该数据主链节点进行认证的标识位,如果标识位显示需要认证,则可执行对于该数据主链节点进行认证的步骤。当然,数据鉴权认证系统也可默认数据源客户端需要对该数据主链节点进行认证。
具体的,如图5所示,该数据主链节点将从第二客户端消息中提取的主链验证区块高度,通过第三会话密钥进行加密得到加密后的主链验证区块高度,发送给所述数据源客户端。
步骤159:所述数据源客户端使用所述第三会话密钥对所述加密后的主链验证区块高度进行解密得到解密后的主链验证区块高度。
步骤1510:所述数据源客户端比较所述解密后的主链验证区块高度与所述第二客户端消息中的主链验证区块高度,如果一致则对所述数据主链节点认证成功。即该数据主链节点正是该数据源客户端希望访问的区块链网络中的数据主链节点。
上述步骤实现了双向认证功能,即不但数据主链节点可以对数据源供应商进行身份认证,数据源供应商也能对数据主链节点进行认证,确保数据源客户端和数据主链节点能够互相确认彼此身份,丰富了认证机制,进一步增强数据鉴权认证的安全性和可靠性。
如果上述认证凭证中包括第三到期区块高度,可选的,在对数据源客户端认证成功之后进一步包括:
步骤1511:所述数据主链节点比较所述第三到期区块高度与当前主链区块高度,如果当前主链区块高度小于等于所述第三到期区块高度则对所述上链数据进行上链操作。
具体的,数据主链节点将从上述认证凭证中解密出来的第三到期区块高度与当前数据主链区块高度进行比较,验证该认证凭证是否过期。即该数据节点判断当前数据主链区块高度是否大于该第三到期区块高度,如果大于,则该认证凭证及和其关联的第三会话密钥已失效,数据主链节点向该数据源客户端通知该认证凭证失效,数据源客户端可重新获取新的认证凭证后再向数据主链节点申请数据上链。在验证认证凭证通过后,即当前数据主链区块高度小于等于该第三到期区块高度,则数据主链节点对从上述认证凭证中解密出来的上链数据执行上链操作。即在所有数据主链节点中分布式存储上链数据。具体的上链操作可以为,将上链数据写入数据主链区块的同时,写入该数据的数据源供应商信息,以在数据主链中一致性存储该数据的权属信息。数据源供应商指的是数据的所有者、使用者或受益者等,其信息也就是数据源供应商的客户端信息。
综上,本发明实施例中通过上述数据鉴权认证方法,由基于区块链的鉴权侧链节点为数据源客户端生成第一权限凭证,为数据主链节点生成第二权限凭证,数据源客户端在从数据主链节点获取第二权限凭证后,将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点,由鉴权侧链节点在对数据源客户端进行验证后生成认证凭证,以使数据源主链节点根据数据源客户端发送的第二客户端消息和认证凭证对数据源客户端进行认证,实现了对于数据源客户端的自动化鉴权认证,无需人工参与,从而保证了认证过程的客观公正,降低了认证时延,大大提升了认证效率。另外,各个主体的交互均处于密钥加密的可靠环境中,确保数据鉴权认证流程中各操作步骤的安全性。在数据传输过程中,使用长期密钥和短期密钥相结合的方式,兼顾数据传输的便捷性和安全性。另外,本发明实施例利用区块链链上数据强一致性的特点,保障数据鉴权认证过程中涉及到的鉴权侧链及数据主链上数据的完整性和持久性。特别是在本实施例提供的数据鉴权认证方法中起到身份验证、会话密钥生成及各种凭证授予等第三方认证服务作用的鉴权侧链,其作为区块链,具有去中心化的认证服务功能,仿冒方需攻击区块链鉴权侧链网络中51%以上的节点才有可能仿冒成功,鉴权侧链被恶意冒用概率极低,大大增强了数据鉴权认证的安全性和可靠性。
图6示出了本发明实施例提供的鉴权侧链节点的结构示意图。该鉴权侧链节点为基于区块链技术的鉴权侧链中的某一个节点。如图6所示,该鉴权侧链节点600包括:
第一权限凭证生成模块610,用于接收数据源客户端的申请,生成第一权限凭证,发送给所述数据源客户端;所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;
第二权限凭证生成模块620,用于接收数据主链节点的申请,生成第二权限凭证,发送给所述数据主链节点,使所述数据主链节点将所述第二权限凭证发送给所述数据源客户端;所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;
验证模块630,用于根据从所述数据源客户端接收到的第一客户端消息和所述第一权限凭证对所述数据源客户端进行验证;
认证凭证生成模块640,用于在对所述数据源客户端验证成功后,根据从数据源客户端接收到的所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端。
优选的,所述第一权限凭证生成模块610包括:
第一权限凭证申请请求接收单元611,用于接收数据源客户端发送的包括验证码和第一客户端信息的凭证申请请求;
第一验证单元612,用于在收到所述请求后,根据所述验证码验证所述数据源客户端;
第一会话密钥生成单元613,用于生成第一会话密钥;所述第一会话密钥用于基于区块链的鉴权侧链节点和所述数据源客户端之间通信加密解密;
第一权限凭证生成单元614,用于使用所述鉴权侧链节点自身的公钥对所述第一会话密钥和第一客户端信息加密后生成第一权限凭证;
第一权限凭证发送单元615,用于将所述第一会话密钥和第一权限凭证发送给所述数据源客户端。
优选的,第二权限凭证生成模块620包括:
第二权限凭证申请请求接收单元621,用于接收所述数据主链节点发送的包括验证码和数据主链节点信息的凭证申请请求;
第二验证单元622,用于在收到所述请求后,根据所述验证码验证所述数据主链节点;
第二会话密钥生成单元623,用于生成第二会话密钥;所述第二会话密钥用于基于区块链的鉴权侧链节点和所述数据主链节点之间通信加密解密;
第二权限凭证生成单元624,用于使用所述鉴权侧链节点自身的公钥对所述第二会话密钥加密后生成第二权限凭证;
第二权限凭证发送单元625,用于将所述第二会话密钥和第二权限凭证发送给所述数据主链节点。
优选的,所述验证模块630包括:
认证凭证申请请求接收单元631,用于从所述数据源客户端接收包括所述第一客户端消息、第一权限凭证和第二权限凭证的认证凭证申请请求;
第一权限凭证解密单元632,用于使用所述鉴权侧链节点自身的私钥对所述第一权限凭证进行解密,得到所述第一会话密钥和第一客户端信息;
第一客户端消息解密单元633,用于使用所述第一会话密钥对所述第一客户端消息进行解密,得到所述第二客户端信息和上链数据;
客户端信息验证单元634,用于比较所述第一客户端信息和所述第二客户端信息,如果一致则对所述数据源客户端验证成功。
优选的,所述认证凭证生成模块640包括:
第二权限凭证解密单元641,用于使用所述鉴权侧链节点自身的私钥对所述第二权限凭证进行解密得到所述第二会话密钥;
第三会话密钥生成单元642,用于生成第三会话密钥;所述第三会话密钥用于所述数据源客户端和所述数据主链节点之间通信加密解密;
认证凭证生成单元643,用于使用所述第二会话密钥对所述第三会话密钥、第二客户端信息及上链数据进行加密后生成认证凭证;
认证凭证发送单元644,用于将所述第三会话密钥和认证凭证发送给所述数据源客户端。
需要说明的是,上述鉴权侧链节点与本发明实施例提供的数据鉴权认证方法基于同一构思,详细内容可参见上述数据鉴权认证方法实施例中的描述,此处不再赘述。
本发明实施例所提供的鉴权侧链节点,其作为第三方认证主体为数据源客户端生成第一权限凭证,为数据主链节点生成第二权限凭证,数据源客户端在从数据主链节点获取第二权限凭证后,将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点,由鉴权侧链节点在对数据源客户端进行验证后生成认证凭证,以使数据源主链节点根据数据源客户端发送的第二客户端消息和认证凭证对数据源客户端进行认证,实现了对于数据源客户端的自动化鉴权认证,无需人工参与,从而保证了认证过程的客观公正,降低了认证时延,大大提升了认证效率。另外,各个主体的交互均处于密钥加密的可靠环境中,确保数据鉴权认证流程中各操作步骤的安全性。在数据传输过程中,使用长期密钥和短期密钥相结合的方式,兼顾数据传输的便捷性和安全性。另外,本发明实施例利用区块链链上数据强一致性的特点,保障数据鉴权认证过程中涉及到的鉴权侧链及数据主链上数据的完整性和持久性。特别是本实施例提供的起到身份验证、会话密钥生成及各种凭证授予等第三方认证服务作用的鉴权侧链节点,其作为区块链鉴权侧链中的一个节点,具有去中心化的认证服务功能,仿冒方需攻击区块链鉴权侧链网络中51%以上的节点才有可能仿冒成功,鉴权侧链节点被恶意冒用概率极低,大大增强了数据鉴权认证的安全性和可靠性。
图7示出了本发明实施例提供的数据鉴权认证系统的结构示意图。如图7所示,该系统700包括:
数据源客户端710,用于向基于区块链的鉴权侧链节点申请获取第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;向数据主链节点申请获取第二权限凭证,所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点;将第二客户端消息和认证凭证发送给所述数据主链节点;
鉴权侧链节点600,用于接收所述数据源客户端的申请,生成所述第一权限凭证,发送给所述数据源客户端;接收所述数据主链节点的申请,生成所述第二权限凭证,发送给所述数据主链节点;根据从所述数据源客户端接收到所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据从所述数据源客户端接收到所述第一客户端消息、第一权限凭证和第二权限凭证生成所述认证凭证,并将所述认证凭证发送给所述数据源客户端;
数据主链节点730,用于向所述鉴权侧链节点申请获取所述第二权限凭证,并在所述数据源客户端申请时,将所述第二权限凭证发送给所述数据源客户端;从所述数据源客户端接收所述第二客户端消息和认证凭证,根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证。
所述鉴权侧链节点600具体结构与图6所示的鉴权侧链节点600的结构一致,此处不再赘述。
优选的,数据源客户端710包括:
第一权限凭证申请获取模块711,用于向基于区块链的鉴权侧链节点申请获取第一权限凭证;
第二权限凭证申请获取模块712,用于向数据主链节点申请获取第二权限凭证;
认证凭证申请请求发送模块713,用于将包括第一客户端消息、所述第一权限凭证和第二权限凭证的认证凭证申请请求发送给鉴权侧链节点;
认证凭证接收模块714,用于从所述鉴权侧链节点接收认证凭证;
数据上链请求发送模块715,用于将包括第二客户端消息和认证凭证的数据上链请求发送给所述数据主链节点。
优选的,所述第一权限凭证申请获取模块711包括:
第一权限凭证申请请求发送单元7111,用于向基于区块链的鉴权侧链节点发送包括验证码和第一客户端信息的凭证申请请求;
第一权限凭证接收单元7112,用于接收所述鉴权侧链节点发送的所述第一会话密钥和第一权限凭证。
优选的,所述第二权限凭证申请获取模块712包括:
第二权限凭证申请请求发送单元7121,用于向数据主链节点发送第二权限凭证申请请求;
第二权限凭证接收单元7122,用于接收所述数据主链节点发送的所述第二权限凭证。
优选的,所述认证凭证申请请求发送模块713包括:
第一客户端消息生成单元7131,用于使用所述第一会话密钥对第二客户端信息和上链数据进行加密生成第一客户端消息;
认证凭证申请请求发送单元7132,用于将包括所述第一客户端消息、第一权限凭证和第二权限凭证的认证凭证申请请求发送给鉴权侧链节点。
优选的,所述认证凭证接收模块714包括:
认证凭证接收单元7141,用于从所述鉴权侧链节点接收第三会话密钥和认证凭证。
优选的,所述数据上链请求发送模块715包括:
第二客户端消息生成单元7151,用于使用第三会话密钥对第三客户端信息进行加密生成第二客户端消息;
数据上链请求发送单元7152,用于将包括所述第二客户端消息和所述认证凭证的数据上链请求发送给所述数据主链节点。
可选的,上述第二客户端消息进一步包括主链验证区块高度。
可选的,数据源客户端710还包括:
主链验证区块高度接收模块716,用于接收所述数据主链节点发送的,使用第三会话密钥对所述第二客户端消息中的主链验证区块高度进行加密的主链验证区块高度;
主链验证区块高度解密模块717,用于使用所述第三会话密钥对所述加密后的主链验证区块高度进行解密得到解密后的主链验证区块高度;
数据主链节点认证模块718,用于比较所述解密后的主链验证区块高度与所述第二客户端消息中的主链验证区块高度,如果一致则对所述数据主链节点认证成功。
优选的,所述数据主链节点730包括:
第二权限凭证模块731,用于向所述鉴权侧链节点申请获取所述第二权限凭证,并在所述数据源客户端申请时,将所述第二权限凭证发送给所述数据源客户端;
认证模块732,用于从所述数据源客户端接收第二客户端消息和认证凭证,根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证。
优选的,所述第二权限凭证模块731包括:
第二权限凭证请求接收单元7311,用于接收所述数据源客户端发送的第二权限凭证申请请求;
第二权限凭证请求发送单元7312,用于向基于区块链的鉴权侧链节点发送包括验证码和数据主链节点信息的凭证申请请求;
第二会话密钥接收单元7313,用于接收所述鉴权侧链节点发送的第二会话密钥和第二权限凭证;
第二权限凭证返回单元7314,用于将所述第二权限凭证发送给所述数据源客户端。
优选的,所述认证模块732包括:
第一解密单元7321,用于使用所述第二会话密钥对认证凭证进行解密得到第三会话密钥、第二客户端信息及上链数据;
第二解密单元7322,用于使用所述第三会话密钥对第二客户端消息进行解密得到所述第三客户端信息;
认证单元7323,用于比较所述第二客户端信息和所述第三客户端信息,如果一致则对所述数据源客户端认证成功。
可选的,所述第二客户端消息进一步包括主链验证区块高度。
可选的,所述数据主链节点730还包括:
高度比较模块733,用于比较当前主链区块高度与所述主链验证区块高度之差是否超过预设值,如果超过则对所述数据源客户端认证失败。
可选的,所述数据主链节点730还包括:
历史认证高度比较模块734,用于比较所述主链验证区块高度是否大于所述数据源客户端的历史认证区块高度,如果小于等于则对所述数据源客户端认证失败;所述历史认证区块高度为所述数据源客户端最近一次认证成功时的主链验证区块高度。
可选的,所述数据主链节点730还包括:
主链节点认证数据发送模块735,用于使用第三会话密钥对所述主链验证区块高度进行加密得到加密后的主链验证区块高度,发送给所述数据源客户端。
可选的,所述认证凭证中进一步包括第三到期区块高度;所述数据主链节点730还包括:
数据上链模块736,用于比较所述第三到期区块高度与当前主链区块高度,如果当前主链区块高度小于等于所述第三到期区块高度则对所述上链数据进行上链操作。
需要说明的是,上述数据鉴权认证系统与本发明实施例提供的数据鉴权认证方法基于同一构思,详细内容可参见上述数据鉴权认证方法实施例中的描述,此处不再赘述。
本发明实施例中通过上述数据鉴权认证系统,由基于区块链的鉴权侧链节点为数据源客户端生成第一权限凭证,为数据主链节点生成第二权限凭证,数据源客户端在从数据主链节点获取第二权限凭证后,将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点,由鉴权侧链节点在对数据源客户端进行验证后生成认证凭证,以使数据源主链节点根据数据源客户端发送的第二客户端消息和认证凭证对数据源客户端进行认证,实现了对于数据源客户端的自动化鉴权认证,无需人工参与,从而保证了认证过程的客观公正,降低了认证时延,大大提升了认证效率。另外,各个主体的交互均处于密钥加密的可靠环境中,确保数据鉴权认证流程中各操作步骤的安全性。在数据传输过程中,使用长期密钥和短期密钥相结合的方式,兼顾数据传输的便捷性和安全性。另外,本发明实施例利用区块链链上数据强一致性的特点,保障数据鉴权认证过程中涉及到的鉴权侧链及数据主链上数据的完整性和持久性。特别是在本实施例提供的数据鉴权认证系统中起到身份验证、会话密钥生成及各种凭证授予等第三方认证服务作用的鉴权侧链节点,其作为区块链鉴权侧链中的一个节点,具有去中心化的认证服务功能,仿冒方需攻击区块链鉴权侧链网络中51%以上的节点才有可能仿冒成功,鉴权侧链节点被恶意冒用概率极低,大大增强了数据鉴权认证的安全性和可靠性。
图8示出了本发明实施例提供的数据鉴权认证设备的结构示意图,本发明具体实施例并不对数据鉴权认证设备的具体实现做限定。
如图8所示,该数据鉴权认证设备可以包括:处理器(processor)802、通信接口(Communications Interface)804、存储器(memory)806、以及通信总线808。
其中:处理器802、通信接口804、以及存储器806通过通信总线808完成相互间的通信。通信接口804,用于与其它设备比如客户端或其它服务器等的网元通信。处理器802,用于执行程序810,具体可以执行上述数据鉴权认证方法实施例中的相关步骤。
具体的,程序810可以包括程序代码,该程序代码包括计算机可执行指令。
处理器802可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。数据鉴权认证设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器806,用于存放程序810。存储器806可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序810具体可以被处理器802调用使数据鉴权认证设备执行以下操作:
接收数据源客户端的申请,生成所述第一权限凭证,发送给所述数据源客户端,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;
接收所述数据主链节点的申请,生成所述第二权限凭证,发送给所述数据主链节点,所述第二权限凭证为鉴权侧链节点生成的所述数据主链节点的认证凭证授予权限凭证;
根据从所述数据源客户端接收到第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据从所述数据源客户端接收到所述第一客户端消息、第一权限凭证和第二权限凭证生成所述认证凭证,并将所述认证凭证发送给所述数据源客户端。
上述数据鉴权认证设备可执行本发明实施例所提供的数据鉴权认证方法中鉴权侧链节点的动作,具备相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见上述数据鉴权认证方法实施例。
本发明实施例所提供的数据鉴权认证设备,对应于上述方法实施例中的鉴权侧链节点,其作为第三方认证主体为数据源客户端生成第一权限凭证,为数据主链节点生成第二权限凭证,数据源客户端在从数据主链节点获取第二权限凭证后,将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点,由鉴权侧链节点在对数据源客户端进行验证后生成认证凭证,以使数据源主链节点根据数据源客户端发送的第二客户端消息和认证凭证对数据源客户端进行认证,实现了对于数据源客户端的自动化鉴权认证,无需人工参与,从而保证了认证过程的客观公正,降低了认证时延,大大提升了认证效率。另外,该数据鉴权认证设备作为区块链鉴权侧链中的一个节点,具有去中心化的认证服务功能,仿冒方需攻击区块链鉴权侧链网络中51%以上的节点才有可能仿冒成功,鉴权侧链节点被恶意冒用概率极低,大大增强了数据鉴权认证的安全性和可靠性。
本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在数据鉴权认证设备上运行时,使得所述数据鉴权认证设备执行上述方法实施例中的数据鉴权认证方法。未在本实施例中详尽描述的技术细节,可参见本发明所提供的数据鉴权认证方法实施例。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

Claims (6)

1.一种数据鉴权认证方法,其特征在于,所述方法包括:
数据源客户端向基于区块链的鉴权侧链节点申请获取第一权限凭证,包括:数据源客户端向基于区块链的鉴权侧链节点发送包括验证码和第一客户端信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据源客户端;所述鉴权侧链节点生成第一会话密钥,所述第一会话密钥用于基于区块链的鉴权侧链节点和所述数据源客户端之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第一会话密钥和第一客户端信息加密后生成第一权限凭证;所述数据源客户端收到所述鉴权侧链节点发送的所述第一会话密钥和第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;
数据源客户端向数据主链节点申请获取第二权限凭证,包括:数据源客户端向数据主链节点发送第二权限凭证申请请求;所述数据主链节点向基于区块链的鉴权侧链节点发送包括验证码和数据主链节点信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据主链节点;所述鉴权侧链节点生成第二会话密钥,所述第二会话密钥用于基于区块链的鉴权侧链节点和所述数据主链节点之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第二会话密钥加密后生成第二权限凭证;所述数据主链节点收到所述鉴权侧链节点发送的所述第二会话密钥和第二权限凭证;所述数据源客户端收到所述数据主链节点发送的所述第二权限凭证,所述第二权限凭证为鉴权侧链节点生成的所述数据主链节点的认证凭证授予权限凭证;
数据源客户端将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点;
所述鉴权侧链节点根据所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端,包括:所述鉴权侧链节点使用自身的私钥对所述第一权限凭证进行解密,得到所述第一会话密钥和第一客户端信息;所述鉴权侧链节点使用所述第一会话密钥对所述第一客户端消息进行解密,得到第二客户端信息和上链数据;所述鉴权侧链节点比较所述第一客户端信息和所述第二客户端信息,如果一致则对所述数据源客户端验证成功;
所述数据源客户端将第二客户端消息和所述认证凭证发送给所述数据主链节点,以使所述数据主链节点根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证,包括:所述数据源客户端使用第三会话密钥对第三客户端信息进行加密生成第二客户端消息;所述数据源客户端将所述第二客户端消息和所述认证凭证发送给所述数据主链节点;所述数据主链节点使用所述第二会话密钥对所述认证凭证进行解密得到所述第三会话密钥、第二客户端信息及上链数据;所述数据主链节点使用所述第三会话密钥对所述第二客户端消息进行解密得到所述第三客户端信息;所述数据主链节点比较所述第二客户端信息和所述第三客户端信息,如果一致则对所述数据源客户端认证成功。
2.根据权利要求1所述的方法,其特征在于,所述数据源客户端将第一客户端消息、第一权限凭证和第二权限凭证发送给鉴权侧链节点包括:
数据源客户端使用所述第一会话密钥对第二客户端信息和上链数据进行加密生成第一客户端消息;
所述数据源客户端将所述第一客户端消息、第一权限凭证和第二权限凭证发送给基于区块链的鉴权侧链节点。
3.根据权利要求1所述的方法,其特征在于,所述验证成功后根据所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端包括:
所述鉴权侧链节点使用自身的私钥对所述第二权限凭证进行解密得到所述第二会话密钥;
所述鉴权侧链节点生成第三会话密钥,所述第三会话密钥用于所述数据源客户端和所述数据主链节点之间通信加密解密;
所述鉴权侧链节点使用所述第二会话密钥对所述第三会话密钥、第二客户端信息及上链数据进行加密后生成认证凭证;
所述数据源客户端收到所述鉴权侧链节点发送的所述第三会话密钥和认证凭证。
4.根据权利要求1所述的方法,其特征在于,所述第二客户端消息进一步包括主链验证区块高度;所述对所述数据源客户端认证成功之后包括:
所述数据主链节点使用第三会话密钥对所述主链验证区块高度进行加密得到加密后的主链验证区块高度,发送给所述数据源客户端;
所述数据源客户端使用所述第三会话密钥对所述加密后的主链验证区块高度进行解密得到解密后的主链验证区块高度;
所述数据源客户端比较所述解密后的主链验证区块高度与所述第二客户端消息中的主链验证区块高度,如果一致则对所述数据主链节点认证成功。
5.一种鉴权侧链节点,其特征在于,所述鉴权侧链节点包括:
第一权限凭证生成模块,用于接收数据源客户端的申请,生成第一权限凭证,发送给所述数据源客户端;所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;其中,数据源客户端向基于区块链的鉴权侧链节点发送包括验证码和第一客户端信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据源客户端;所述鉴权侧链节点生成第一会话密钥,所述第一会话密钥用于基于区块链的鉴权侧链节点和所述数据源客户端之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第一会话密钥和第一客户端信息加密后生成第一权限凭证;所述数据源客户端收到所述鉴权侧链节点发送的所述第一会话密钥和第一权限凭证;
第二权限凭证生成模块,用于接收数据主链节点的申请,生成第二权限凭证,发送给所述数据主链节点,使所述数据主链节点将所述第二权限凭证发送给所述数据源客户端;所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;其中,数据源客户端向数据主链节点发送第二权限凭证申请请求;所述数据主链节点向基于区块链的鉴权侧链节点发送包括验证码和数据主链节点信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据主链节点;所述鉴权侧链节点生成第二会话密钥,所述第二会话密钥用于基于区块链的鉴权侧链节点和所述数据主链节点之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第二会话密钥加密后生成第二权限凭证;所述数据主链节点收到所述鉴权侧链节点发送的所述第二会话密钥和第二权限凭证;所述数据源客户端收到所述数据主链节点发送的所述第二权限凭证;
验证模块,用于根据从所述数据源客户端接收到的第一客户端消息和所述第一权限凭证对所述数据源客户端进行验证;其中,所述鉴权侧链节点使用自身的私钥对所述第一权限凭证进行解密,得到所述第一会话密钥和第一客户端信息;所述鉴权侧链节点使用所述第一会话密钥对所述第一客户端消息进行解密,得到第二客户端信息和上链数据;所述鉴权侧链节点比较所述第一客户端信息和所述第二客户端信息,如果一致则对所述数据源客户端验证成功;
认证凭证生成模块,用于在对所述数据源客户端验证成功后,根据从数据源客户端接收到的所述第一客户端消息、第一权限凭证和第二权限凭证生成认证凭证,并将所述认证凭证发送给所述数据源客户端;其中,所述数据源客户端使用第三会话密钥对第三客户端信息进行加密生成第二客户端消息;所述数据源客户端将所述第二客户端消息和所述认证凭证发送给所述数据主链节点;所述数据主链节点使用所述第二会话密钥对所述认证凭证进行解密得到所述第三会话密钥、第二客户端信息及上链数据;所述数据主链节点使用所述第三会话密钥对所述第二客户端消息进行解密得到所述第三客户端信息;所述数据主链节点比较所述第二客户端信息和所述第三客户端信息,如果一致则对所述数据源客户端认证成功。
6.一种数据鉴权认证系统,其特征在于,所述系统包括:
数据源客户端,用于向基于区块链的鉴权侧链节点申请获取第一权限凭证,所述第一权限凭证为所述数据源客户端的认证凭证授予权限凭证;向数据主链节点申请获取第二权限凭证,所述第二权限凭证为所述数据主链节点的认证凭证授予权限凭证;将第一客户端消息、所述第一权限凭证和第二权限凭证发送给鉴权侧链节点;将第二客户端消息和认证凭证发送给所述数据主链节点;数据源客户端向基于区块链的鉴权侧链节点申请获取第一权限凭证,包括:数据源客户端向基于区块链的鉴权侧链节点发送包括验证码和第一客户端信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据源客户端;所述鉴权侧链节点生成第一会话密钥,所述第一会话密钥用于基于区块链的鉴权侧链节点和所述数据源客户端之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第一会话密钥和第一客户端信息加密后生成第一权限凭证;所述数据源客户端收到所述鉴权侧链节点发送的所述第一会话密钥和第一权限凭证;数据源客户端向数据主链节点申请获取第二权限凭证,包括:数据源客户端向数据主链节点发送第二权限凭证申请请求;所述数据主链节点向基于区块链的鉴权侧链节点发送包括验证码和数据主链节点信息的凭证申请请求;所述鉴权侧链节点收到所述请求后,根据所述验证码验证所述数据主链节点;所述鉴权侧链节点生成第二会话密钥,所述第二会话密钥用于基于区块链的鉴权侧链节点和所述数据主链节点之间通信加密解密;所述鉴权侧链节点使用自身的公钥对所述第二会话密钥加密后生成第二权限凭证;所述数据主链节点收到所述鉴权侧链节点发送的所述第二会话密钥和第二权限凭证;所述数据源客户端收到所述数据主链节点发送的所述第二权限凭证;
鉴权侧链节点,用于接收所述数据源客户端的申请,生成所述第一权限凭证,发送给所述数据源客户端;接收所述数据主链节点的申请,生成所述第二权限凭证,发送给所述数据主链节点;根据从所述数据源客户端接收到所述第一客户端消息和第一权限凭证对所述数据源客户端进行验证,验证成功后根据从所述数据源客户端接收到所述第一客户端消息、第一权限凭证和第二权限凭证生成所述认证凭证,并将所述认证凭证发送给所述数据源客户端;其中,所述鉴权侧链节点使用自身的私钥对所述第一权限凭证进行解密,得到所述第一会话密钥和第一客户端信息;所述鉴权侧链节点使用所述第一会话密钥对所述第一客户端消息进行解密,得到第二客户端信息和上链数据;所述鉴权侧链节点比较所述第一客户端信息和所述第二客户端信息,如果一致则对所述数据源客户端验证成功;
数据主链节点,用于向所述鉴权侧链节点申请获取所述第二权限凭证,并在所述数据源客户端申请时,将所述第二权限凭证发送给所述数据源客户端;从所述数据源客户端接收所述第二客户端消息和认证凭证,根据所述第二客户端消息和认证凭证对所述数据源客户端进行认证,包括:所述数据源客户端使用第三会话密钥对第三客户端信息进行加密生成第二客户端消息;所述数据源客户端将所述第二客户端消息和所述认证凭证发送给所述数据主链节点;所述数据主链节点使用所述第二会话密钥对所述认证凭证进行解密得到所述第三会话密钥、第二客户端信息及上链数据;所述数据主链节点使用所述第三会话密钥对所述第二客户端消息进行解密得到所述第三客户端信息;所述数据主链节点比较所述第二客户端信息和所述第三客户端信息,如果一致则对所述数据源客户端认证成功。
CN202011105381.1A 2020-10-15 2020-10-15 一种数据鉴权认证方法、鉴权侧链节点及系统 Active CN114430329B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011105381.1A CN114430329B (zh) 2020-10-15 2020-10-15 一种数据鉴权认证方法、鉴权侧链节点及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011105381.1A CN114430329B (zh) 2020-10-15 2020-10-15 一种数据鉴权认证方法、鉴权侧链节点及系统

Publications (2)

Publication Number Publication Date
CN114430329A CN114430329A (zh) 2022-05-03
CN114430329B true CN114430329B (zh) 2024-03-19

Family

ID=81310129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011105381.1A Active CN114430329B (zh) 2020-10-15 2020-10-15 一种数据鉴权认证方法、鉴权侧链节点及系统

Country Status (1)

Country Link
CN (1) CN114430329B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666388A (zh) * 2016-07-28 2018-02-06 郑珂威 基于完全同态加密方法的区块链信息加密方法
CN110493220A (zh) * 2019-08-16 2019-11-22 腾讯科技(深圳)有限公司 一种基于区块链的数据共享方法、设备及存储介质
CN111010372A (zh) * 2019-11-20 2020-04-14 国家信息中心 区块链网络身份认证系统、数据处理方法及网关设备
CN111339509A (zh) * 2020-03-03 2020-06-26 李斌 一种基于侧链的区块链跨链身份认证方法
CN111489143A (zh) * 2020-04-08 2020-08-04 中央财经大学 一种基于联盟侧链的可审计加密数字货币监管方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035815B (zh) * 2009-09-29 2013-04-24 华为技术有限公司 数据获取方法、接入节点和系统
CN108683630B (zh) * 2018-04-03 2020-05-29 阿里巴巴集团控股有限公司 跨区块链的认证方法及装置、电子设备
EP3605373B1 (en) * 2018-07-30 2023-06-07 Blink.ing doo Authentication method for a client over a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666388A (zh) * 2016-07-28 2018-02-06 郑珂威 基于完全同态加密方法的区块链信息加密方法
CN110493220A (zh) * 2019-08-16 2019-11-22 腾讯科技(深圳)有限公司 一种基于区块链的数据共享方法、设备及存储介质
CN111010372A (zh) * 2019-11-20 2020-04-14 国家信息中心 区块链网络身份认证系统、数据处理方法及网关设备
CN111339509A (zh) * 2020-03-03 2020-06-26 李斌 一种基于侧链的区块链跨链身份认证方法
CN111489143A (zh) * 2020-04-08 2020-08-04 中央财经大学 一种基于联盟侧链的可审计加密数字货币监管方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A Sidechain-Based Decentralized Authentication Scheme via Optimized Two-Way Peg Protocol for Smart Community;Min Li;《IEEE Open Journal of the Communications Society 》;全文 *
区块链中的隐私保护技术;翟社平;杨媛媛;张海燕;赵江明;;西安邮电大学学报(05);全文 *
基于区块链技术的身份认证与存储方法研究;王乃洲;金连文;高兵;金晓峰;;现代信息科技(08);全文 *

Also Published As

Publication number Publication date
CN114430329A (zh) 2022-05-03

Similar Documents

Publication Publication Date Title
US9900163B2 (en) Facilitating secure online transactions
US8615663B2 (en) System and method for secure remote biometric authentication
US5761309A (en) Authentication system
US7231526B2 (en) System and method for validating a network session
US7793340B2 (en) Cryptographic binding of authentication schemes
CN104767731B (zh) 一种Restful移动交易系统身份认证防护方法
CN109660485A (zh) 一种基于区块链交易的权限控制方法及系统
CN105743638B (zh) 基于b/s架构系统客户端授权认证的方法
CN1338841A (zh) 计算机安全认证智能密钥
CN111368340A (zh) 基于区块链的通证安全校验方法、装置及硬件设备
US20100235625A1 (en) Techniques and architectures for preventing sybil attacks
CN113595985A (zh) 一种基于国密算法安全芯片的物联网安全云平台实现方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
US20060053288A1 (en) Interface method and device for the on-line exchange of content data in a secure manner
CN114430329B (zh) 一种数据鉴权认证方法、鉴权侧链节点及系统
JP3634279B2 (ja) 複数icカード間及び同一icカード内のアプリケーション連携方法
CN114329426A (zh) 一种客户端认证方法、装置、设备以及存储介质
CN113794721A (zh) 一种政府机关及金融机构与企业安全直连方法
CN110086627B (zh) 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和系统
CN110113152B (zh) 基于非对称密钥池对和数字签名的量子通信服务站密钥协商方法和系统
CN110855444A (zh) 一种基于可信第三方的纯软件cava身份认证方法
KR20030001721A (ko) 개방형 네트워크 상에서 스마트 카드의 원격 온라인 인증시스템 및 그 인증방법
CN117749393B (zh) 基于协同签名的sslvpn用户身份验证方法及系统
WO2010070456A2 (en) Method and apparatus for authenticating online transactions using a browser
CN108243156B (zh) 一种基于指纹密钥进行网络认证的方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant