CN114448639B - 具有唯一性和密钥安全的去中心化身份系统及实现方法 - Google Patents

具有唯一性和密钥安全的去中心化身份系统及实现方法 Download PDF

Info

Publication number
CN114448639B
CN114448639B CN202111530911.1A CN202111530911A CN114448639B CN 114448639 B CN114448639 B CN 114448639B CN 202111530911 A CN202111530911 A CN 202111530911A CN 114448639 B CN114448639 B CN 114448639B
Authority
CN
China
Prior art keywords
user
certificate
committee
private key
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111530911.1A
Other languages
English (en)
Other versions
CN114448639A (zh
Inventor
吴晓华
冯雪琪
吴丰恒
常锦鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kulian Hainan Network Technology Co ltd
University of Electronic Science and Technology of China
Original Assignee
Kulian Hainan Network Technology Co ltd
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kulian Hainan Network Technology Co ltd, University of Electronic Science and Technology of China filed Critical Kulian Hainan Network Technology Co ltd
Priority to CN202111530911.1A priority Critical patent/CN114448639B/zh
Publication of CN114448639A publication Critical patent/CN114448639A/zh
Application granted granted Critical
Publication of CN114448639B publication Critical patent/CN114448639B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实现了一种具有唯一性以及密钥安全的去中心化身份系统,属于区块链应用技术领域。不同于早期的去中心化数字身份系统仅由凭证颁发机构发布凭证,该系统实现了利用现有Web服务器的遗留数据颁发凭证,并利用委员会节点保证凭证颁发的唯一性。同时该系统具有用户密钥恢复功能,用户的私钥在丢失后可以找回,使系统具有密钥安全性。对比现有的去中心化身份系统,本系统具有良好的安全性和适应性。

Description

具有唯一性和密钥安全的去中心化身份系统及实现方法
技术领域
本发明属于区块链技术领域,尤其涉及一种具有唯一性和密钥安全的去中心化身份系统及实现方法。
背景技术
与传统的中心化治理不同,区块链是分布式的社区治理,在这种分布式的社区治理中,去中心化的身份显得十分重要。去中心化身份在区块链以及新经济中都有着极为的重要作用。去中心化身份虽然可以使用户更好地控制其私有数据,但也会给用户带来私钥管理的负担,从而造成密钥丢失的巨大风险。现有的去中心化身份系统无法消除重复凭证,无法抵抗女巫攻击。
发明内容
针对现有技术中的上述不足,本发明提出了一种具有唯一性以及密钥安全的去中心化身份系统及其实现方法,该系统解决了现有系统所存在的凭证不唯一性和密钥安全性较低问题。
为了达到上述发明目的,本发明采用的技术方案为:
一种具有唯一性以及密钥安全的去中心化身份系统,包括web服务器,委员会节点以及用户标识符以及用户私钥,其中,
所述web服务器用于进行用户凭证的颁发,根据web服务器的现有数据进行身份移植,生成用户所需预凭证;
所述委员会节点为区块链上的诚实节点,用于对新产生凭证进行验证签名,以及利用用户标识符对凭证进行唯一性检查,从而生成用户所需的主凭证以及上下文凭证;
所述用户标识符具有唯一性特征,用于识别用户的重复凭证;
所述用户私钥用于在去中心化的身份系统中,用户使用私钥自主管理自己的身份凭,同时可将私钥备份于委员会节点中,使系统具有密钥恢复功能,以提高密钥安全性。
进一步的,所述委员会节点参与系统中预凭证的验证,实现系统的凭证唯一性,委员会节点通过备份用户私钥的方式以实现对丢失密钥用户的私钥恢复。
一种具有唯一性以及密钥安全的去中心化身份系统的实现方法,包括如下步骤:
S1、从现有web服务器中进行身份移植,生成用户的预凭证;
S2、将预凭证以及用户的唯一标识符发送到委员会节点进行注册,由委员会成员共同处理,以得到主凭证;
S3、根据主凭证以及预凭证,委员会节点共同生成上下文凭证;
S4、用户注册系统中的密钥恢复服务,若私钥丢失,用户可通过该服务重新恢复私钥。
进一步的,所述S1包括以下步骤:
S101、从现有web服务器导入数据,生成可验声明,该声明中包含属性,数值或对某一内容的承诺,以及源提供者即具体的web服务器;
S102、用户选择至少t个委员会节点对声明进行验证,以确保声明的准确性;
S103、每个委员会节点拥有自己的签名密钥ski,验证成功后,委员会节点生成部分签名;
S104、系统将t个委员会节点生成的部分签名组合成完整性签名,将可验声明与完整性签名组合,生成用户预凭证。
进一步的,所述S2包括以下步骤:
S201、委员会节点将已注册的用户属性以及唯一标识符存储在一张凭证表中;
S202、用户将预凭证以及唯一标识符发送到委员会节点进行注册,若在表中未找到与之匹配的标识符,则委员会节点为用户颁发主凭证;
S203、若找到匹配的标识符字段,则说明该用户已拥有主凭证,无需重复颁发。
进一步的,所述S3包括以下步骤:
S301、将主凭证以及预凭证发送到委员会节点,与表中内容进行匹配,若匹配失败,则委员会节点根据预凭证以及主凭证生成上下文凭证;
S302、若匹配成功,则该预凭证不具有唯一性,不颁发上下文凭证。
进一步的,所述S4包括以下步骤:
S401、用户指定t个委员会节点;
S402、用户向委员会节点提供私钥,并规定具体的密钥恢复策略;
S403、委员会节点以秘密共享的方式存储密钥;
S404、用户丢失密钥后,在指定的web服务器上完成密钥恢复策略,生成身份验证证明;
S405、该服务器将身份验证证明发送到委员会节点,委员会节点恢复用户私钥。
本发明具有以下有益效果:
(1)本发明详细描述了具有唯一性以及密钥安全的去中心化身份系统的实现方案,解决了现有去中心化身份系统所存在的问题。从现有web服务器中提取预凭证,这种遗留兼容性使得用户可以利用现有的在线账户在恢复丢失的密钥。同时使用了区块链上的诚实节点作为系统中的委员会节点,检查凭证是否重复,从而使得系统具有了凭证唯一性,该性质保证了系统可抵抗女巫攻击。在用户所选委员会节点中以秘密共享的方式备份用户私钥,使用户的隐私得到了有力保证,同时使得系统具有密钥恢复功能,提高系统中的密钥安全。
(2)在整个系统的安全层面上,本发明通过密钥恢复功能保证了用户的信息和财产安全。去中心化身份系统让用户更好地控制他们的私人数据,但它给用户管理私钥带来了负担,从而产生了重大的密钥丢失风险。在现有的去中心化身份系统中,用户私钥一旦丢失,则无法找回。本发明利用区块链中的诚实节点以密钥共享的方式备份用户私钥,不仅保证了用户的隐私安全,同时减少了用户管理私钥的负担,保证用户的信息财产安全。
(3)在整个系统的运行效率层面,本发明利用现有web服务器对用户凭证进行提取,保证了凭证颁发的高效性。选择区块链上一定数量的诚实节点作为委员会成员,对凭证进行验证,尽可能提高了凭证的验证效率。使得系统中具有唯一性的凭证以最高效的方式颁发给用户使用。
针对具有唯一性以及密钥安全的去中心化身份系统方案处理现实层面的应用来讲,该发明为去中心化身份系统提供了凭证唯一性保证以及密钥安全保证。通过利用现有web服务器颁发凭证的方法,委员会节点验证凭证,使用户可以通过现有web服务器验证身份从而重新获取丢失密钥,极大提升了系统的安全性,改进了现存去中心化身份系统的缺陷。这种系统方案在面对现实情境下的动态,复杂,且对安全性和隐私性高的场景有着强适应性,高兼容性,可复用性也可以很好的适应现实情境下的去中心化身份系统。
附图说明
图1为本发明的系统结构示意图。
图2为本发明的方法流程图。
图3为本实施例中唯一性凭证颁发流程图。
图4为本实施例中用户密钥恢复流程图。
图5为本实施例中用户身份验证流程图。
图6为秘密共享方案结构示意图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
实施例1:
如图1所示,本发明提供了一种具有唯一性以及密钥安全的去中心化身份系统,包括现有的web服务器,委员会节点以及用户标识符以及用户私钥。现有web服务器,用于进行用户凭证的颁发。根据web服务器的现有数据进行身份移植,生成用户所需预凭证;委员会节点,为区块链上的诚实节点,用于对新产生凭证进行验证签名,以及利用用户标识符对凭证进行唯一性检查,从而生成用户所需的主凭证以及上下文凭证;用户标识符,具有唯一性特征,用于识别用户的重复凭证;用户私钥,用于在去中心化的身份系统中,用户使用私钥自主管理自己的身份凭,同时可将私钥备份于委员会节点中,以实现密钥恢复功能。现有web服务器,在系统的凭证颁发阶段,将web服务器中的遗留数据导入系统,由此生成预凭证。委员会节点参与系统中预凭证的验证,实现系统的凭证唯一性。委员会节点通过备份用户私钥的方式以实现对丢失密钥用户的私钥恢复。
本发明详细描述了具有唯一性以及密钥安全的去中心化身份系统,利用现有web服务器颁发凭证并可提供密钥验证以及恢复功能,大大提高了用户管理私钥的安全性。在区块链中选取诚实节点作为系统的委员会节点,用于保证用户凭证的唯一性,这一功能使得去中心化的身份系统能够抵抗女巫攻击,增强系统安全性。在委员会节点中以密钥共享的方法备份用户私钥,既保证了用户的隐私性,同时使去中心化身份系统拥有密钥恢复功能。
实施例2:
如图2所示,本发明提供了具有唯一性以及密钥安全的去中心化身份系统的实现方案,其实现方法如下:
S1、从现有web服务器中进行身份移植,生成用户的预凭证。其实现方法如下:
S101、从现有web服务器导入数据,生成可验声明,该声明中包含属性,数值或对某一内容的承诺,以及源提供者即具体的web服务器。
S102、用户选择至少t个委员会节点对声明进行验证,以确保声明的准确性。
S103、每个委员会节点拥有自己的签名密钥ski,验证成功后,委员会节点生成部分签名。
S104、系统将t个委员会节点生成的部分签名组合成完整性签名,将可验声明与完整性签名组合,生成用户预凭证。
S2、将预凭证以及用户的唯一标识符发送到委员会节点进行注册,由委员会成员共同处理,以得到主凭证。其实现方法如下:
S201、委员会节点将已注册的用户属性以及唯一标识符存储在一张凭证表中。
S202、用户将预凭证以及唯一标识符发送到委员会节点进行注册,若在表中未找到与之匹配的标识符,则委员会节点为用户颁发主凭证。
S203、若找到匹配的标识符字段,则说明该用户已拥有主凭证,不必重复颁发。
S3、根据主凭证以及预凭证,委员会节点共同生成上下文凭证。其实现方法如下:
S301、将主凭证以及预凭证发送到委员会节点,与表中内容进行匹配,若匹配失败,则委员会节点根据预凭证以及主凭证生成上下文凭证。
S302、若匹配成功,则说明该预凭证不具有唯一性,不颁发上下文凭证。
在实施例中,如图3所示,系统由预凭证生成具有唯一性的主凭证及上下文凭证方法,包括以下步骤:
A1、用户将预凭证以及唯一标识符发送到委员会节点进行注册,若在凭证表中未找到与之匹配的标识符,则委员会节点为用户颁发主凭证。若找到匹配的标识符字段,则说明该用户已拥有主凭证,不必重复颁发。
A2、将主凭证以及预凭证连接后生成上下文凭证,将其发送到委员会节点,与凭证表中内容进行匹配,若匹配失败,则委员会节点根据预凭证以及主凭证生成上下文凭证。
A3、若匹配成功,则发送裁撤请求,进行裁撤操作,取消上下文凭证的颁发。
A4、更新委员会节点所维护的凭证列表。
本实施例中,去中心化身份系统中每个用户只能获得一个主凭证,使得系统具有女巫抗性。主凭证一般不包含用户与应用程序交互时所使用的属性。主凭证与预凭证结合生成上下文凭证,该凭证中一般包含用户与应用程序交互时所需的属性。每个上下文凭证包含一个上下文,用于指示其使用情况。在该系统中,上下文凭证的数据结构包括用户标识、上下文、声明以及凭证主体上的签名。用户标识符为用户的公钥pk;上下文为表示凭证使用情况的字符串;声明包含三个字段,分别为属性a,值v以及提供者P。属性字段为表示声明内容的字符串,值字段为文本字符串或者对该属性的承诺,提供者P为一个字符串,表示用于提供声明的传统网络提供商,该字段是可选的。上下文凭证中的签名σ为发行人在用户标识符,上下文以及声明上的签名。
本实施例中委员会节点所维护的凭证列表的数据结构为用户标识符,主凭证中的属性和值,以及上下文凭证中的属性字段。
S4、用户注册系统中的密钥恢复服务,若私钥丢失,用户可通过该服务重新恢复私钥。其实现方法如下:
S401、用户指定t个委员会节点。
S402、用户向委员会节点提供私钥,并规定具体的密钥恢复策略。
S403、委员会节点以秘密共享的方式存储密钥。
S404、用户丢失密钥后,在指定的web服务器上完成密钥恢复策略,生成身份验证证明。
S405、该服务器将身份验证证明发送到委员会节点,委员会节点恢复用户私钥,在实施例中,如图4所示,系统恢复用户丢失的私钥方法,包括以下步骤:
B1、用户向委员会节点提供私钥,并规定具体的验证策略。
B2、委员会节点以秘密共享的方式备份用户密钥。
B3、用户丢失密钥后,在指定的web服务器上完成验证策略。
B4、服务器将身份验证证明发送到委员会节点,委员会验证成功后,恢复用户私钥。
本实施例中,用户可选择的验证策略为传统的web身份验证方案,系统允许用户选择任意灵活的身份验证策略进行恢复。注册后,用户可以指定一组身份验证提供商及其访问结构,例如,用户的验证策略可能是需要证明成功登录到多个社交网站上任何三分之二的指定帐户。
本实施例中,如图5所示,用户完成身份验证方案,包括步骤:
C1、用户使用手机电脑等轻量级设备登陆指定的多个网站。
C2、若用户登陆成功,则web服务器生成可验声明,该声明证明用户在该网站上成功登陆。
C3、web服务器将生成的可验声明发送到委员会节点。
C4、委员会节点验证声明的正确性,验证成功后进行签名,将签名以p2p的传播方式发送到其他委员会节点。
C5、当委员会节点收到至少三分之二的签名后,说明用户以完成身份验证。委员会节点将用户丢失的密钥进行恢复。
本实施例中,如图6所示,用户将自己的私钥sk以秘密共享的方式备份到委员会节点中。秘密共享通过把秘密进行分割,并把用户的私钥在n个委员会节点中分享,使得只有多于特定t个委员会节点合作才可以计算出或是恢复秘密,而少于t个委员会节点则不可以得到有关秘密。在图5中,用户私钥的值x,分割成x1,x2,……,xn,分发给委员会节点S1,S2,……Sn。当某些密钥碎片丢失或被毁时,使用剩余的密钥份额仍可以重新获得完整密钥,从而提高了系统的可靠性。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。

Claims (4)

1.一种具有唯一性以及密钥安全的去中心化身份系统,其特征在于,包括web服务器、委员会节点,其中,
所述web服务器用于进行用户凭证的颁发,根据web服务器的现有数据进行身份移植,生成用户预凭证,其中,身份移植的具体方式为:
S101、web服务器根据现有数据生成可验声明,该声明中包含用户属性,数值或对某一内容的承诺;
S102、用户选择至少t个委员会节点对声明进行验证,以确保声明的准确性;
S103、每个委员会节点拥有自己的签名密钥ski,验证成功后,委员会节点生成部分签名;
S104、web服务器将t个委员会节点生成的部分签名组合成完整性签名,将可验声明与完整性签名组合,生成用户预凭证;
所述委员会节点为区块链上的诚实节点,用于对用户预凭证进行验证签名,以及利用用户唯一标识符对用户预凭证进行唯一性检查,从而生成用户所需的主凭证并根据主凭证与用户预凭证结合生成上下文凭证,其中,主凭证的生成方式为:
S201、委员会节点将已注册的用户属性以及唯一标识符存储在一张凭证表中;
S202、用户将用户预凭证以及唯一标识符发送到委员会节点进行注册,若在表中未找到与之匹配的唯一标识符,则委员会节点为用户颁发主凭证;
S203、若找到匹配的唯一标识符字段,则说明该用户已拥有主凭证,无需重复颁发;
所述主凭证与用户预凭证结合生成上下文凭证的具体方式为:
S301、将主凭证以及用户预凭证发送到委员会节点,与凭证表中内容进行匹配,若匹配失败,则委员会节点根据用户预凭证以及主凭证生成上下文凭证;
S302、若匹配成功,则该用户预凭证不具有唯一性,不颁发上下文凭证;
所述上下文凭证包括用户唯一标识符、上下文、声明以及凭证主体上的签名;
所述用户唯一标识符具有唯一性特征,用于识别用户的重复凭证;
用户私钥用于在去中心化的身份系统中,使用用户私钥自主管理自己的身份凭证,同时可将用户私钥备份于委员会节点中,以实现密钥恢复功能,使系统中的用户具有密钥安全。
2.根据权利要求1所述的具有唯一性以及密钥安全的去中心化身份系统,其特征在于,所述委员会节点参与系统中用户预凭证的验证,实现系统的凭证唯一性,委员会节点通过备份用户私钥的方式以实现对丢失用户私钥的用户进行私钥恢复。
3.一种基于权利里要求1-2任一项所述系统的实现方法,其特征在于,包括如下步骤:
S1、从现有web服务器中进行身份移植,生成用户的用户预凭证;
S2、将用户预凭证以及用户的唯一标识符发送到委员会节点进行注册,由委员会节点共同处理,以得到主凭证;
S3、根据主凭证以及用户预凭证,委员会节点共同生成上下文凭证;
S4、用户注册系统中的密钥恢复服务,若用户私钥丢失,用户可通过该服务重新恢复用户私钥。
4.根据权利要求3所述的实现方法,其特征在于,所述S4包括以下步骤:
S401、用户指定t个委员会节点;
S402、用户向委员会节点提供用户私钥,并规定具体的用户私钥恢复策略;
S403、委员会节点以秘密共享的方式存储用户私钥;
S404、用户丢失用户私钥后,在指定的web服务器上完成用户私钥恢复策略,生成身份验证证明;
S405、web服务器将身份验证证明发送到委员会节点,委员会节点恢复用户私钥。
CN202111530911.1A 2021-12-15 2021-12-15 具有唯一性和密钥安全的去中心化身份系统及实现方法 Active CN114448639B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111530911.1A CN114448639B (zh) 2021-12-15 2021-12-15 具有唯一性和密钥安全的去中心化身份系统及实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111530911.1A CN114448639B (zh) 2021-12-15 2021-12-15 具有唯一性和密钥安全的去中心化身份系统及实现方法

Publications (2)

Publication Number Publication Date
CN114448639A CN114448639A (zh) 2022-05-06
CN114448639B true CN114448639B (zh) 2022-12-06

Family

ID=81363715

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111530911.1A Active CN114448639B (zh) 2021-12-15 2021-12-15 具有唯一性和密钥安全的去中心化身份系统及实现方法

Country Status (1)

Country Link
CN (1) CN114448639B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115664649B (zh) * 2022-10-19 2023-08-01 电子科技大学 基于动态委员会的高安全性区块链身份管理方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073479A (zh) * 2020-08-26 2020-12-11 重庆邮电大学 一种基于区块链的去中心数据访问控制方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110692214B (zh) * 2017-06-02 2023-10-31 维萨国际服务协会 用于使用区块链的所有权验证的方法和系统
US10805085B1 (en) * 2017-08-24 2020-10-13 United Services Automobile Association (Usaa) PKI-based user authentication for web services using blockchain
CN109257336B (zh) * 2018-08-24 2021-03-16 维沃移动通信有限公司 一种基于区块链的密码信息处理方法、终端设备
CN111680324B (zh) * 2020-05-28 2023-09-22 中国工商银行股份有限公司 用于区块链的凭证验证方法、管理方法以及签发方法
CN113271211B (zh) * 2021-05-18 2023-03-24 网易(杭州)网络有限公司 一种数字身份验证系统、方法、电子设备及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073479A (zh) * 2020-08-26 2020-12-11 重庆邮电大学 一种基于区块链的去中心数据访问控制方法及系统

Also Published As

Publication number Publication date
CN114448639A (zh) 2022-05-06

Similar Documents

Publication Publication Date Title
JP7320092B2 (ja) ブロックチェーンを使用した安全なデータレコード配信のための方法及びシステム
CN111414210B (zh) 基于主链生成侧链的方法、装置及计算机可读存储介质
Ruffing et al. Liar, liar, coins on fire! Penalizing equivocation by loss of bitcoins
CN113098907B (zh) 一种区块链的群组划分方法与装置
US9635000B1 (en) Blockchain identity management system based on public identities ledger
CN111159288A (zh) 链式结构数据存储、验证、实现方法、系统、装置及介质
CN113328997B (zh) 联盟链跨链系统及方法
CN113256297B (zh) 基于区块链的数据处理方法、装置、设备及可读存储介质
CN112422341B (zh) 区块链网络的故障检测方法及相关设备
CN113141259A (zh) 在区块链网络中更换身份证书的方法和装置
CN109598615A (zh) 一种以实体身份参与区块链交易的方法
CN113824563A (zh) 一种基于区块链证书的跨域身份认证方法
CN106886722A (zh) 大数据信息处理方法及装置
CN109816386A (zh) 一种基于区块链的统一身份认证的链上数据打通方法
CN113255014B (zh) 一种基于区块链的数据处理方法以及相关设备
Muftic Bix certificates: Cryptographic tokens for anonymous transactions based on certificates public ledger
CN114448639B (zh) 具有唯一性和密钥安全的去中心化身份系统及实现方法
CN111131318B (zh) 一种去中心化的密钥管理分发方法、系统及存储介质
KR102294569B1 (ko) 블록체인 네트워크를 구축할 수 있는 블록체인 관리시스템
CN112150158B (zh) 一种区块链交易交付验证方法及装置
CN110071966B (zh) 基于云平台的区块链组网及数据处理方法
CN115412253B (zh) 基于区块链技术的数字证书制备方法
CN106850555A (zh) 一种微信公众账号的管理方法和装置
EP4254234A1 (de) Ausstellen eines digitalen credentials für eine entität
CN111770101A (zh) 接入区块链网络的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant