CN114760071A - 基于零知识证明的跨域数字证书管理方法、系统和介质 - Google Patents
基于零知识证明的跨域数字证书管理方法、系统和介质 Download PDFInfo
- Publication number
- CN114760071A CN114760071A CN202210660189.1A CN202210660189A CN114760071A CN 114760071 A CN114760071 A CN 114760071A CN 202210660189 A CN202210660189 A CN 202210660189A CN 114760071 A CN114760071 A CN 114760071A
- Authority
- CN
- China
- Prior art keywords
- verification
- transaction
- zero
- certificate
- proof
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于零知识证明的跨域数字证书管理方法、系统、设备和存储介质,该方法包括建立跨域数字证书验证的区块链网络;接收验证请求,验证请求包括交易双方提交的零知识证明,零知识证明可以对证书注册、发放、验证、更新和撤销等交易具体信息进行同态隐藏。通过验证密钥在区块链网络中对所述零知识证明进行全网验证,若验证通过则存储交易双方的交易数据,完成交易。本发明引入非交互零知识证明的方式,形成一个无人为操控的去信任成本的证书管理方式。证书的使用方和提供方可以在不泄露任何证书操作细节的情况下全网验证并将数据存储在新的区块中,从而在保证不同机构间彼此内部信息不被泄露的基础上实现跨平台证书管理操作的不可篡改。
Description
技术领域
本发明涉及计算机领域,具体涉及信息处理技术领域,特别是涉及一种基于零知识证明的跨域数字证书管理方法、系统、计算机设备和可读存储介质。
背景技术
公钥基础设施(PKI,Public Key Infrastructure)是流行的公钥加密技术,可以保护邮件、通信软件、网络等所有类型的通讯应用。然而由于大多数PKI部署依赖于中心化、受信任的第三方认证中心(CA,Certificate Authorities)生成、撤销、存储密钥对,黑客可以攻击这些为参与方颁发证书的机构,伪造用户身份,攻击加密的通信。
目前,基于数字证书的认证是一项重要的身份认证技术。但是,目前实现数字证书管理的集中式PKI在分布式环境中面临的最大问题是CA不可信的问题,从而导致实体身份的不可信。CA被攻击或恶意的CA签发证书将为信息系统带来重大的安全隐患,黑客可以通过攻击用户所信任的CA来执行恶意操作签发包含虚假信息的用户证书,从而实现中问人攻击。用户无法对CA签发证书的过程进行验证,从而存在证书透明度问题。另外,由于中心式的CA管理架构,如果CA发生故障,将影响所有用户证书的使用,存在单点故障问题。
对于使用上述传统数字证书的企业和组织机构来说,证书的可信度和可靠度完全依赖于第三方认证中心,自身缺乏对证书的有效管控。但若简单的将证书管理中心直接放入企业或组织机构内部,则难以实现传统第三方CA中心提供的跨企业、跨组织机构的交互认证功能。
区块链技术可以很好的解决上述问题,区块链是一种集成了P2P技术、密码学、共识制以及分布式存储技术的可信分布式数据库,并且具有可审计、去中心化、不可篡改等特点。相比于传统中心化的存储平台,基于区块链构建的分布式真实存储可以稳定运行,并且有效避免中心服务器宕机、恶意篡改、隐瞒数据,或者对不同用户提供不一致的访问结果等问题。
目前在现有的基于区块链的证书管理中,提出多种了不依赖于第三方CA机构,无中心节点的数字证书系统,系统由所有参与验证的节点共同确保数字证书的正确性。此类系统关注于对单个CA系统进行基于区块链的去中心化改造,用以避免传统CA系统单点故障的问题,但对于如何利用区块链实现多个CA系统间的交互认证还比较欠缺,特别是是如何在交互认证过程中,保障各机构组织内部证书属性信息的机密性,目前的相关研究还很少涉及。
发明内容
为了解决上述问题,本发明的目的是提供一种基于零知识证明的跨域数字证书管理方法、系统、计算机设备及可读存储介质,本申请引入非交互式零知识证明机制和非交互式,零知识证明机制包括证明者和验证者,证明者提交新的证书服务交易请求,一般为证书服务交易双方,其在新的证书服务交易生成时提交验证请求给区块链中的验证者进行验证。并且非交互式零知识证明方式,可以简化验证过程,证明者和验证者只需分别提供证明信息和验证信息,无需再进行交互,在保证证书服务交易顺利被验证的情况下,也降低整个区块链网络的负荷。
基于此,本发明提供了一种基于零知识证明的跨域数字证书管理方法,所述基于零知识验证的数字管理方法包括:
建立跨域数字证书验证区块链网络;
接收验证请求,所述验证请求包括交易双方提交的零知识证明;
在所述区块链网络中通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据到新区块中,完成交易。
在本发明实施例中,所述建立跨域数字证书验证的区块链网络的步骤包括:
设立内置CA中心,所述内置CA中心独立控制证书服务的操作;
设置所述内置CA中心的代理节点;
所述代理节点通过区块链形成形成跨域的所述区块链网络。
在本发明实施例中,所述零知识证明包括承诺和证据,其生成步骤包括:
通过公钥对交易数据进行加密;
基于交易数据执行证明算法生成承诺和/或证据。
在本发明实施例中,在所述基于交易数据执行证明算法生成承诺和/或证据的步骤之后,还包括:
创建智能合约,并将所述零知识证明结合到智能合约中;
对所述智能合约进行数字签名;
将签名后的智能合约发送到所述区块链网络中进行验证。
在本发明实施例中,所述在所述区块链网络中通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据,完成交易的步骤包括:
通过验证密钥获取加密数据;
对加密数据进行零知识证明验证,所述验证包括相等证明和范围证明,当所述相等证明和范围证明均通过,所述零知识证明才验证通过。
在本发明实施例中,在所述零知识证明验证通过后,所述方法还包括:
在所述区块链网络中全网广播所述交易双方的交易,通过共识算法验证通过后存储所述交易数据,完成双方交易,否则验证失败,拒绝此次交易并返回交易失败信息。
在本发明实施例中,在进行零知识证明验证之前,所述方法还包括:
建立交易双方的信任,生成交易双方的公共参数,所述公共参数包括交易双方加密交易数据使用的公钥。
本发明还提供了一种基于零知识证明的跨域数字证书管理系统,包括:
网络建立模块,用于建立跨域数字证书验证区块链网络;
接收模块,用于接收验证请求,所述验证请求包括交易双方提交的零知识证明;
验证模块,用于通过验证密钥在所述区块链网络中利用验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据到新区块中,完成交易。
本发明还提供了一种计算机设备,包括存储器、处理器和网络接口,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现工作流识别方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现工作流识别方法的步骤。
在本发明中,提供一种基于零知识证明的跨域数字证书管理方法、系统、计算机设备和可读存储介质,该方法包括建立区块链网络;接收验证请求,所述验证请求包括交易双方提交的零知识证明;通过验证密钥在所述区块链网络中利用验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据,完成交易。本发明实施例在区块链网络上进行跨域交互证明和管理时引入非交互零知识证明的方式,零知识证明对证书注册、发放、验证、更新和撤销等交易具体信息进行同态隐藏,形成一个无人为操控的去信任成本的证书管理方式。这样,证书的使用方和提供方可以在不泄露任何证书操作细节的情况下证明完成了交易(证书操作),一旦验证通过,本次交易(证书操作)便进行了全网验证而可存储在新的区块中,从而在保证不同机构间彼此内部信息不被泄露的基础上实现跨平台证书管理操作的不可篡改。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例可以应用于其中的示例性系统架构图;
图2是本发明实施例提供的基于零知识证明的跨域数字证书管理方法的示意图;
图3是本发明实施例提供的区块链跨域证书管理网络组成示意图;
图4是本发明实施例提供的区块链跨域证书管理网络另一种组成示意图;
图5是本发明实施例提供的区块链跨域证书管理网络的验证过程示意图;
图6是本发明提供的基于零知识证明的跨域数字证书管理系统的一个实施例的结构示意图;
图7是本发明提供的一种区块链存储结构示意图;
图8是本发明提供的数字证书验证过程的又一示意图;
图9根据本申请提供的计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和 服务器105之间提供通信链路的介质。网络104可以包括各种连接类型 ,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103可以为具有数字证书操作管理的通过网络104与服务器105交互,完成数字证书管理服务及操作。终端设备101、102、103通过网络104向服务器105发送证书申请请求、认证请求等。服务器105认证终端设备101、102、103的用户身份,在通过认证时响应数字证书的服务请求,并反馈交易结果。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于用户设备、网络设备或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、平板电脑等,所述移动电子产品可以采用任意操作系统,如android操作系统、IOS操作系统等。其中,所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络设备其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云;在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络 (Ad Hoc网络)等。当然,本领域技术人员应能理解上述终端设备仅为举例,其他现有的或今后可能出现的终端设备如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
服务器105是工作流识别应用的服务端,可以通过所述网络104和终端设备101、102、103进行通信,终端设备101、102、103之间可以双方甚至多方连接通信。服务器105可以是一台服务器,或者由若干台服务器组成的服务器集群,或者是一个云计算服务中心。其也可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
零知识证明是一种证明方法,通过这种方法,一方(证明者)在不透露任何实际信息的情况下,可以向另一方(验证者)证明它知道一个秘密或一个声明是真实的。
没有透露任何信息,但第二方(验证者)理所当然地相信第一方(证明者)知道这个秘密或他们的声明是真实的
承诺方案是许多加密协议的基本组成部分。它允许承诺人公布一个值(称为承诺),并将这个值与一个消息绑定(binding),而不透露它(hiding)。
本发明提供一种基于零知识证明的跨域数字证书管理方法,图2是本发明实施例提供的基于零知识证明的跨域数字证书管理方法的示意图,所述方法包括:
201:建立跨域数字证书验证的区块链网络。
202:接收验证请求 ,验证请求包括交易双方提交的零知识证明。
203:在区块链网络中通过验证密钥对零知识证明进行全网验证,若验证通过,存储交易双方的交易数据到新的区块链中,完成交易。
在本发明实施例中,所述区块链网络实现跨域数字证书交互验证,并且所述区块链网络引入零知识证明,通过构造一个基于零知识的知识证明,对证书注册、发放、验证、更新和撤销等交易具体信息进行同态隐藏,使得证书服务交易在被全网进行验证时不会透露交易细节信息,避免了自身证书属性内容的外泄,为实现跨域证书管理系统中证书需求方和证书提供方之间的证书交互安全和隐私保护提供了技术支持。
另外,所述零知识证明是基于非交互式方式的,可以简化验证过程,降低区块链网络负荷,同时提高验证效率。
进一步地,通过验证的交易数据存储在新开辟的区块链中,保证不同机构间彼此内部信息不被泄露的基础上实现跨平台证书管理操作的不可篡改。
如图3所示,所述区块链跨域证书管理网络是所述区块链网络的一种具体实施方式表现认证网络,其是由多个机构内部的数字证书系统组成的,作为认证网络,其中每个数字证书系统都是所述区块链网络的代理节点,用以实现机构内部证书需求方跨组织的交互认证请求、接收其它外部机构代理节点对本机构进行认证的需求和验证功能。
需要说明的是,所述代理节点所在数字证书系统是不同的企业或组织机构内部建立各自可自主管控的内部CA中心,该中心负责其机构内部的数字证书管理功能,包括证书的注册、发布、验证、更新和撤销等操作。具体地,构建区块链跨域证书管理网络包括设立在企业或组织机构的内置CA中心,所述内置CA中心独立控制证书服务的操作。所述内置CA中心设有代理节点,用以实现机构内部证书需求方跨组织的交互认证请求、接收其它外部机构代理节点对本机构进行认证的需求和验证功能。所述代理节点通过区块链形成所述区块链跨域证书管理网络。基于区块链的数字证书验证网络赋予了本方案去中心化、防篡改等特性的技术。
具体地,所述验证节点验证用户证书交易的合法性,各验证节点利用验证秘钥(verification key,vk)对新证书交易(申请、签发、吊销和更新)进行全网零知识验证,保证了分布式事务的一致性。
需要说明的是,所述代理节点具备3重不同身份属性:验证者以及交易双方的任何一方,所述交易双方包括证书需求方和证书提供方。其中所述证书需求方是对外部机构申请跨组织认证申请的代理节点,所述证书提供方接收所述证书需求方的代理节点对本机构进行认证的需求,所述验证者可以为所述区块链跨域证书管理网络中所述交易双方所在代理节点外的任何一个代理节点,用于对所述证书需求方和所述证书提供方的交易进行零知识验证。
进一步地,在所述区块链跨域证书交互管理网络中,所述代理节点的身份根据其在网络中实际运行的作用来确认。如图4所示,所述区块链证书跨域管理网络包括至少一个验证节点、证书需求方和证书提供方。其中所述验证节点接收由证书需求方和证书提供方提出的验证请求,所述验证请求包括交易双方提交的零知识证明。具体地,在所述区块链证书跨域管理网络中,为保护各自机构内部证书信息的机密性,所述验证过程是非交互式进行验证的,即所述验证者、证书需求方、证书提供方之间没有交互,所述验证者的信息需求度可以为零,也即是说所述证书需求方和证书提供方可以不泄露交易隐私,不提供验证者交易数据而向验证者证明加密转态下的数据是真实可信的。验证者所在验证节点通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据,完成交易。
需要说明的是,所述零知识证明包括证书需求方和证书提供方提供的承诺和证据,所述承诺和证据是利用公钥对证书需求方和证书提供方的交易数据加密,并基于交易数据执行证明算法生成承诺和/或证据。
进一步地,使用验证私钥获取交易双方的承诺和证据进,验证交易双方的承诺信息是否相等和/或验证所述证据是否属于交易值的范围,若承诺信息相等和/或所述证据是否属于交易值的范围,验证通过所述零知识证明。当在证书服务交易金额相等性证明和证书服务范围证明都通过时,所述零知识证明验证成功。所述区块链跨域证书管理网络中全网广播所述交易双方的交易,通过共识算法验证通过后存储所述交易数据,当大多数(如超过半数)验证节点都验证通过,完成双方交易,否则验证失败,拒绝此次交易并返回交易失败信息。
在本发明提供的另一个实施例中,如图5所示,提供一种所述基于零知识证明的跨域数字证书管理方法的流程图,证书服务的验证过程包括3个阶段:交易阶段、加密阶段和证明阶段。其中,在交易阶段中,证书需求方和证书提供方提出证书服务需求,证书交易双方在区块链网络中端对端进行证书服务交易(证书管理操作),交易完成后,为不泄露交易隐私,双方将交易数据打包并加密。具体地,交易双方通过各自的公钥对证书交易数据进行加密,并执行预设的证明算法生成可信任的零知识证明,包括承诺和/或证据,作为验证证据,用于在验证阶段给验证节点进行相等证明或范围证明。
需要说明的是,所述承诺和/或证据发送到区块链中结与交易双方创建的智能合约结合,经由交易双方对所述智能合约进行数字签名后申请证书服务交易零知识证明,签名后的智能合约发送到所述区块链网络中由验证节点对所述智能合约进行非交互式零知识证明,所述验证节点通过验证密钥获取加密数据;对加密数据进行零知识证明,所述验证包括相等证明和范围证明,当所述相等证明和范围证明均通过,所述零知识证明才验证通过,该证书服务交易即可存入到新的区块中(即系统也完成对应的证书管理操作),否则,会驳回证书服务交易数据存储请求,即此次证书管理操作被驳回。在本发明实施例中,验证阶段将证明内容转化为二次算术程序(quadratic arithmetic program,QAP)问题,以实现在证书服务交易领域基于算术电路的 NP 问题(一般指非确定性多项式难题)的证明和验证,并生成约束,限制公开/隐私输入个数、约束等。
本实施例的验证过程包括:
验证1:为证书服务交易双方的两个承诺数相等(相等证明)的智能合约验证。
验证2:为证书服务交易需求方在交易前的交易账户余额属于一个不小于交易值的范围(范围证明)的智能合约验证。
具体地,当证书服务交易双方进行交易后,交易金额由证书服务需求方账户转到证书服务提供方账户。零知识证明过程包括验证1和验证2两部分,验证1部分证明证书服务交易双方的输入输出相等,证明由证书服务交易双方提供;验证2部分为证明交易前证书需求方的余额不低于交易额,证据由证书服务需求方提供。
证明1:证书服务交易双方的两个承诺数相等(相等证明)。证书服务交易双方分别对证书服务交易金额M同态加密:证书服务需求方ri对交易金额进行承诺加密Ei,证书服务提供方pj对交易金额进行承诺加密Ej。双方把承诺和证据发送到区块链网络中所创建的智能合约上,供验证节点进行非交互式验证。验证节点对接收的密文和证据进行验证处理,在验证过程中会相信承诺Ei和Ej中分别存在一个加密值,且二者相等,但证书服务交易实际金额始终保持保密状态。
证明2:证书服务交易需求方在进行交易前的交易账户余额属于不小于交易值的范围(范围证明)。范围证明只需证书服务需求方对进行证书服务交易前其账户余额进行同态加密,并提供承诺和证据。将验证证据作为证据发送到区块链网络中所创建的智能合约上,供其他节点进行非交互式验证。
本实施例通过构造一个基于零知识的简洁非交互式知识证明,对证书注册、发放、验证、更新和撤销等交易具体信息进行同态隐藏,并将其与智能合约结合,形成一个无人为操控的去信任成本的证书管理方式。这样,证书的使用方和提供方可以在不泄露任何证书操作细节的情况下证明完成了交易(证书操作),一旦验证通过,本次交易(证书操作)便进行了全网验证而可存储在新的区块中。
需要说明的是,在证明生成和验证之前,需要进行信任建立,生成交易双方的公共参数,所述公共参数包括交易双方加密交易数据使用的公钥和验证者验证使用的私钥。
图6是本发明实施例提供的基于零知识证明的数字证书管理系统600的示意图,所述系统包括:
网络建立模块601,用于建立区块链跨域证书管理网络;
接收模块602,用于接收验证请求,所述验证请求包括交易双方提交的零知识证明;
验证模块603,用于通过验证密钥在所述区块链跨域证书管理网络中利用验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据到新区块中,完成交易。
在本发明的一个具体实施例中,基于零知识证明的数字证书管理系统600是通过区块链不可篡改的属性来保障跨域数字证书跨域交互验证和管理的正常运行,区块链通过数据区块和链式结构来存储数据。如图7所示,每个数据区块包括区块头和区块体两部分,区块头中封装了前一区块链的哈希值、时间戳、Merkle 树根值等信息;区块体存储交易信息,即由区块链记录的数据信息,每笔交易都由交易方对其进行数字签名,从而确保数据未被伪造且不可篡改,每一笔已完成的交易都将被永久性地记录在区块体中,供全体代理节点查询。全部交易数据基于Merkle树的哈希过程生成唯一的Merkle树根值存储在该区块的区块头。同时,每个区块生成时,都由区块的记账者为区块加盖时间戳,标明区块产生的时间。随着时间戳的增强,区块不断延长从而形成了一个拥有时间维度的链条,使得数据能够按时间进行追溯,从而保证数据的可追溯性话。
进一步地,网络建立模块601将传统的第三方CA中心移植到企业内部,每一个企业或组织机构拥有自身独立控制的CA证书管理系统,对内部的发证操作进行自主控制,具有自主可控和高效性的优点。每个企业或组织机构的自主CA中心设计了代理节点,不同代理节点之间则通过区块链的方式组成区块链跨域证书管理网络,其可以屏蔽不同的机构和企业分别采用各自的数字证书系统导致的异构性问题,即不同组织机构间证书可以互通验证,实现了跨企业、组织机构的交互认证功能。
根据网络建立模块601组建的区块链跨域证书管理网络,接收模块602中除去交易双方所在的代理节点,其他节点都可以作为验证节点接收验证请求,验证模块603实现跨域区块链网络中各代理节点的实体提供匿名但可验证的身份认证服务,代理节点可根据所在机构内部证书跨域申请的具体请求,保留多个有效身份并且在交易过程中可有选择性地进行身份暴露。
具体地,基于零知识证明的数字证书管理系统600包括证书需求方、证书提供方和验证者3个角色,其中接收模块602接收由证书需求方和证书提供方提出的验证请求,证书需求方和证书提供方是交易双方,验证模块603充当验证角色,将区块链网络中其他节点作为验证节点,对交易双方申请的证书服务进行验证。
需要说明的是,所述基于零知识证明的数字证书管理系统600是融合了区块链、证书服务提供方、证书服务需求方、智能合约、零知识证明模块等构建区块链PKI体系的零知识证明模型,用以实现跨域证书管理系统中代理证书需求方和代理证书提供机构之间的证书交互安全和隐私保护。
如图8所示,基于零知识证明的数字证书管理系统600包括 5 个实体对象,分别为:证书服务需求方、证书服务提供方、智能合约、区块链网络和密钥服务器。其中,证书服务需求方是一笔证书服务交易中证书服务需求的发布者,即证书的使用者。证书服务提供方是提供证书服务的乙方,是证书的提供者。智能合约中预先设置了触发条件,其包括在没有第三方参与的情况下自动判断零知识证明有效性的计算机协议。区块链网络中包括多个验证节点,利用区块链的去中心化、防篡改等特性,保证了分布式事务的一致性。验证节点用于验证用户证书交易的合法性。密钥服务器负责生成证明密钥与验证密钥。
需要说明的是,所述密钥生成器为所述证书需求者和证书提供者之间的证书服务生成公共参数,所述公共参数包括供证明者(证书服务交易双方)使用的证明密钥,所述证明密钥包括交易双方加密交易数据的公钥,所述公共参数表还包括供验证者(验证节点)使用的验证密钥。
所述证明密钥包括对交易双方加密交易数据用的公钥,所述验证节点利用密钥服务器生成的验证秘钥对新证书交易(申请、签发、吊销和更新)进行全网零知识证明。
具体地,证书服务需求方与证书服务提供方进行证书服务交易后,双方都通过各自公钥密钥对证书服务交易数据进行加密,基于他们的证书交易数据执行证明算法来生成可信任的零知识证据,证书服务交易双方提交零知识证据到智能合约中并发送到区块链区块链网络中等待处理,由验证节点对零知识证明进行验证。验证内容包括相等证明和范围证明,例如所述相等验证可以对交易金额相等性证据、输入金额与输出金额相等性证据进行验证,范围验证可以对交易金额大于0证据和交易余额大于0证据进行验证。
当所述智能合约校验通过时,所述证书提供方和证书需求方双方的交易就在所述区块链网络中广播全网,由其他验证节点通过共识算法进行验证;当多数验证节点验证通过,双方的交易结果写入新的区块链中,完成交易过程(即完成对应证书管理操作),否则拒绝这次交易,向应用端返回交易失败信息。
为了减少区块链上计算的开销,提高证书管理的效率,针对PKI中体系中证书管理同质化的特性(例如:证书的验证工作,针对同一证书,所有用户对其验证流程都是一致的),本专利采用预先计算的模式,即提前将要计算的任务交由区块链执行,并将执行结果保存在区块链中,用户则可以按需直接对计算结果进行访问。在预先计算场景下,由于用户在查询计算结果时只需要进行哈希计算即可验证该结果的完整性,因此当证书签发与验证等计算任务繁重时,预先计算的方式能显著减小用户获取计算结果的时间开销。
需要说明的是,所述工作流识别装置600还包括显示模块(图未示),所述显示模块用于显示所述工作流识别中心600的交互过程、响应结果显示或业务请求处理界面。
所述工作流识别装置600还可以包括输入模块(图未示),所述输入模块与所述显示模块相连,所述输入模块可包括按键,可用于输入用户id的账号、密码、名称等信息,所述软件开发过程操作页面可以在所述软件开发装置中的显示模块中显示,并且所述显示模块还可以显示所述用户的其他信息,并将此信息存储起来,方便用户随时进行查看。
需要说明的是,本实施例的基于零知识证明数字证书管理系统600,与方法实施例的属于同一构思,其具体实现过程详细见方法实施例,且方法实施例中的技术特征在本实施例中均对应适用,此处不再赘述。
为解决上述技术问题,本申请实施例还提供一种数字颁发中心。具体请参阅图9,图9为本实施例数字颁发中心基本结构框图。
所述数字颁发中心9包括通过系统总线相互通信连接存储器91、处理器92、网络接口93。需要指出的是,图中仅示出了具有组件91-93的计算机设备9,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器 (Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器91至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器91可以是所述数字颁发中心备9的内部存储单元,例如该数字颁发中心9的硬盘或内存。在另一些实施例中,所述存储器91也可以是所述数字颁发中心9的外部存储设备,例如该数字颁发中心9上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。当然,所述存储器91还可以既包括所述计算机设备9的内部存储单元也包括其外部存储设备。本实施例中,所述存储器91通常用于存储安装于所述计算机设备9的操作系统和各类应用软件,例如工作流识别方法的程序代码等。此外,所述存储器91还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器92在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器92通常用于控制所述计算机设备9的总体操作。本实施例中,所述处理器92用于运行所述存储器91中存储的程序代码或者处理数据,例如运行所述工作流识别方法的程序代码。
所述网络接口93可包括无线网络接口或有线网络接口,该网络接口93通常用于在所述数字颁发中心9与其他电子设备之间建立通信连接。
本发明的实施例还提出一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现工作流识别方法的步骤。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (10)
1.一种基于零知识证明的跨域数字证书管理方法,其特征在于,包括以下步骤:
建立跨域数字证书验证的区块链网络;
接收验证请求,所述验证请求包括交易双方提交的零知识证明;
在所述区块链网络中通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据到新区块中,完成交易。
2.根据权利要求1所述的基于零知识证明的跨域数字证书管理方法,其特征在于,所述建立跨域数字证书验证的区块链网络的步骤包括:
设立内置CA中心,所述内置CA中心独立控制证书服务的操作;
设置所述内置CA中心的代理节点;
所述代理节点通过区块链形成跨域的所述区块链网络。
3.根据权利要求2所述的基于零知识证明的跨域数字证书管理方法,其特征在于,所述零知识证明包括承诺和证据,其生成步骤包括:
通过公钥对交易数据进行加密;
基于交易数据执行证明算法生成承诺和/或证据。
4.根据权利要求3所述的基于零知识证明的跨域数字证书管理方法,其特征在于,在所述基于交易数据执行证明算法生成承诺和/或证据的步骤之后,还包括:
创建智能合约,并将所述零知识证明结合到智能合约中;
对所述智能合约进行数字签名;
将签名后的智能合约发送到所述区块链网络中进行验证。
5.根据权利要求3所述的基于零知识证明的跨域数字证书管理方法,其特征在于,所述在所述区块链网络中通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据,完成交易的步骤包括:
通过验证密钥获取加密数据;
对加密数据进行零知识验证,所述验证包括相等证明和范围证明,当所述相等证明和范围证明均通过,所述零知识证明才验证通过。
6.根据权利要求5所述的基于零知识证明的跨域数字证书管理方法,其特征在于,在所述零知识证明验证通过后,所述方法还包括:
在所述区块链网络中全网广播所述交易双方的交易,通过共识算法验证通过后存储所述交易数据,完成双方交易,否则验证失败,拒绝此次交易并返回交易失败信息。
7.根据权利要求1-6任一项所述的基于零知识证明的跨域数字证书管理方法,其特征在于,在进行零知识证明验证之前,所述方法还包括:
建立交易双方的信任,生成交易双方的公共参数,所述公共参数包括交易双方加密交易数据使用的公钥。
8.一种基于零知识证明的跨域数字证书管理系统,其特征在于,包括:
网络建立模块,用于建立跨域数字证书验证的区块链网络;
接收模块,用于接收验证请求,所述验证请求包括交易双方提交的零知识证明;
验证模块,用于在所述区块链网络中通过验证密钥对所述零知识证明进行全网验证,若所述验证通过,存储所述交易双方的交易数据到新区块中,完成交易。
9.一种计算机设备,包括存储器、处理器和网络接口,所述存储器存储有计算机程序,其征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述基于零知识证明的跨域数字证书管理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述基于零知识证明的跨域数字证书管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210660189.1A CN114760071B (zh) | 2022-06-13 | 2022-06-13 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210660189.1A CN114760071B (zh) | 2022-06-13 | 2022-06-13 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114760071A true CN114760071A (zh) | 2022-07-15 |
| CN114760071B CN114760071B (zh) | 2022-10-28 |
Family
ID=82336146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210660189.1A Active CN114760071B (zh) | 2022-06-13 | 2022-06-13 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114760071B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115730338A (zh) * | 2023-01-09 | 2023-03-03 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
| CN115801285A (zh) * | 2022-12-02 | 2023-03-14 | 北京国脉互联信息科技有限公司 | 基于零知识证明的政策申请方法、系统及计算机存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190163912A1 (en) * | 2017-11-30 | 2019-05-30 | Mocana Corporation | System and method for recording device lifecycle transactions as versioned blocks in a blockchain network using a transaction connector and broker service |
| CN110138560A (zh) * | 2019-06-04 | 2019-08-16 | 北京理工大学 | 一种基于标识密码和联盟链的双代理跨域认证方法 |
| US20190327078A1 (en) * | 2018-12-21 | 2019-10-24 | Alibaba Group Holding Limited | Blockchain data protection based on generic account model and homomorphic encryption |
| WO2020042929A1 (zh) * | 2018-08-28 | 2020-03-05 | 白杰 | 一种区块链系统 |
| CN112016923A (zh) * | 2020-08-28 | 2020-12-01 | 北京大学深圳研究生院 | 基于区块链的网内跨域身份管理方法、系统以及算力网络 |
| CN112257102A (zh) * | 2020-09-28 | 2021-01-22 | 铭数科技(青岛)有限公司 | 基于区块链的能源交易隐私保护方法 |
| CN112398658A (zh) * | 2020-11-13 | 2021-02-23 | 浙江数秦科技有限公司 | 一种分布式数字证书管理方法和系统、设备及存储介质 |
| CN114154993A (zh) * | 2022-02-09 | 2022-03-08 | 国网天津市电力公司营销服务中心 | 一种基于区块链的v2g网络跨域交易安全方法 |
| CN114186248A (zh) * | 2021-11-13 | 2022-03-15 | 云南财经大学 | 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法 |
| CN114358782A (zh) * | 2021-12-06 | 2022-04-15 | 北京众享比特科技有限公司 | 区块链交易审计方法、装置、设备及存储介质 |
-
2022
- 2022-06-13 CN CN202210660189.1A patent/CN114760071B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190163912A1 (en) * | 2017-11-30 | 2019-05-30 | Mocana Corporation | System and method for recording device lifecycle transactions as versioned blocks in a blockchain network using a transaction connector and broker service |
| WO2020042929A1 (zh) * | 2018-08-28 | 2020-03-05 | 白杰 | 一种区块链系统 |
| US20190327078A1 (en) * | 2018-12-21 | 2019-10-24 | Alibaba Group Holding Limited | Blockchain data protection based on generic account model and homomorphic encryption |
| CN110138560A (zh) * | 2019-06-04 | 2019-08-16 | 北京理工大学 | 一种基于标识密码和联盟链的双代理跨域认证方法 |
| CN112016923A (zh) * | 2020-08-28 | 2020-12-01 | 北京大学深圳研究生院 | 基于区块链的网内跨域身份管理方法、系统以及算力网络 |
| CN112257102A (zh) * | 2020-09-28 | 2021-01-22 | 铭数科技(青岛)有限公司 | 基于区块链的能源交易隐私保护方法 |
| CN112398658A (zh) * | 2020-11-13 | 2021-02-23 | 浙江数秦科技有限公司 | 一种分布式数字证书管理方法和系统、设备及存储介质 |
| CN114186248A (zh) * | 2021-11-13 | 2022-03-15 | 云南财经大学 | 基于区块链智能合约的零知识证明可验证凭证数字身份管理系统及方法 |
| CN114358782A (zh) * | 2021-12-06 | 2022-04-15 | 北京众享比特科技有限公司 | 区块链交易审计方法、装置、设备及存储介质 |
| CN114154993A (zh) * | 2022-02-09 | 2022-03-08 | 国网天津市电力公司营销服务中心 | 一种基于区块链的v2g网络跨域交易安全方法 |
Non-Patent Citations (2)
| Title |
|---|
| LIQUAN CHEN ET AL: "Blockchain-based Supervised Anonymous Cross-domain Authentication Scheme", 《2021 7TH INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATIONS (ICCC)》 * |
| 周云: "基于区块链的信息网络信任支撑环境构建研究", 《信息安全与通信保密》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115801285A (zh) * | 2022-12-02 | 2023-03-14 | 北京国脉互联信息科技有限公司 | 基于零知识证明的政策申请方法、系统及计算机存储介质 |
| CN115730338A (zh) * | 2023-01-09 | 2023-03-03 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
| CN115730338B (zh) * | 2023-01-09 | 2023-05-05 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114760071B (zh) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4120114A1 (en) | Data processing method and apparatus, smart device and storage medium | |
| CN110602138B (zh) | 区块链网络的数据处理方法、装置、电子设备及存储介质 | |
| US11038670B2 (en) | System and method for blockchain-based cross-entity authentication | |
| Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
| CN110569674B (zh) | 基于区块链网络的认证方法及装置 | |
| CN110288480B (zh) | 一种区块链的私密交易方法及装置 | |
| EP1872502B1 (en) | Peer-to-peer authentication and authorization | |
| Chai et al. | CyberChain: Cybertwin empowered blockchain for lightweight and privacy-preserving authentication in Internet of Vehicles | |
| US7167985B2 (en) | System and method for providing trusted browser verification | |
| CN114760071B (zh) | 基于零知识证明的跨域数字证书管理方法、系统和介质 | |
| CN113438088A (zh) | 基于区块链分布式身份的社交网络信用监测方法及装置 | |
| CN109687965A (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| Abraham et al. | Revocable and offline-verifiable self-sovereign identities | |
| CN111049806B (zh) | 一种联合权限控制方法、装置、电子设备和存储介质 | |
| Abraham et al. | Qualified eID derivation into a distributed ledger based IdM system | |
| JP6742558B2 (ja) | 認証システムおよび認証プログラム | |
| TW201909013A (zh) | 在公開匿名環境驗證身份及保護隱私的系統與方法 | |
| CN112839041A (zh) | 基于区块链的电网身份认证方法、装置、介质和设备 | |
| CN113328854B (zh) | 基于区块链的业务处理方法及系统 | |
| CN115147224A (zh) | 基于联盟链的交易数据共享方法及装置 | |
| Liu et al. | A blockchain-based cross-domain authentication management system for IoT devices | |
| Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
| Durán et al. | An architecture for easy onboarding and key life-cycle management in blockchain applications | |
| CN116975901A (zh) | 基于区块链的身份验证方法、装置、设备、介质及产品 | |
| CN113869901B (zh) | 密钥生成方法、装置、计算机可读存储介质及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |