CN115118438A - 基于区块链的终端数字身份管理方法及系统 - Google Patents
基于区块链的终端数字身份管理方法及系统 Download PDFInfo
- Publication number
- CN115118438A CN115118438A CN202211037032.XA CN202211037032A CN115118438A CN 115118438 A CN115118438 A CN 115118438A CN 202211037032 A CN202211037032 A CN 202211037032A CN 115118438 A CN115118438 A CN 115118438A
- Authority
- CN
- China
- Prior art keywords
- digital identity
- terminal
- desensitization value
- ciphertext
- desensitization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于区块链的终端数字身份管理方法及系统,其中,方法包括:数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,其中,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;数字身份校验方将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,以便区块链根据第一脱敏值和数字身份密文对终端进行离线校验。由此,在终端交付使用时,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性。
Description
技术领域
本申请涉及数据安全技术领域,特别涉及一种基于区块链的终端数字身份管理方法及系统。
背景技术
随着智能电网的发展和网络通信的复杂化,各种终端在电网业务系统中的使用越来越多样化,电力规模总量大,发展变化速度快。但是由于各厂商技术水平、生产能力参差不齐导致各厂商的终端发展不平衡不充分,设施设备标准化程度不高,安全接入水平有待提高,量测覆盖率不足。并且终端设备管理权所属不同,现有监测、管理能力不足且管理方式不统一,无法满足电网精益化管理要求和快速变化的业务服务需求。
为了管理智能电网的各种终端,电网的主管部门给每一个接入智能电网的电力终端分发唯一的数字身份,电力终端需要安全记录并存储,以确保数字身份不被篡改和可追溯,从而提供更安全可信的电力终端数字身份存储、验证等服务。但是,数字身份在验证时,一般采用从电力终端侧读出明文数字身份,通过白名单明文进行比对,存在数字身份篡改和滥用的风险。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的第一个目的在于提出一种基于区块链的终端数字身份管理方法,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性,同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯。
本发明的第二个目的在于提出另一种基于区块链的终端数字身份管理方法。
本发明的第三个目的在于提出一种基于区块链的终端数字身份管理系统。
为达到上述目的,根据本发明第一方面实施例提出了一种基于区块链的终端数字身份管理方法,方法包括:数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,其中,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;数字身份校验方将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,以便区块链根据第一脱敏值和数字身份密文对终端进行离线校验。
根据本发明实施例的基于区块链的终端数字身份管理方法,数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,以及将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,以便区块链根据第一脱敏值和数字身份密文对终端进行离线校验。由此,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性,同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯。
根据本发明的一个实施例,区块链根据第一脱敏值和数字身份密文对终端进行离线校验,包括:将第一脱敏值与区块链中存储的第二脱敏值进行匹配;若匹配成功,则识别数字身份密文与第二脱敏值对应的数字身份密文是否一致,并在一致时,确定终端离线校验通过。
根据本发明的一个实施例,在终端离线校验通过后,方法还包括:主站接收终端入网时发送的数字身份明文,并对数字身份明文进行脱敏处理得到第三脱敏值;主站将第三脱敏值发送至区块链,并调用终端身份校验合约,以便区块链根据第三脱敏值对终端进行在线校验。
根据本发明的一个实施例,区块链根据第三脱敏值对终端进行在线校验,包括:将第三脱敏值与区块链中存储的第二脱敏值进行匹配;若匹配成功且第二脱敏值未处于吊销状态,则确定终端在线校验通过。
根据本发明的一个实施例,方法还包括:数字身份提供方生成数字身份明文和数字身份请求码,并对数字身份明文进行加密处理生成数字身份密文,以及对数字身份明文进行脱敏处理生成第二脱敏值,并对数字身份请求码进行脱敏处理生成第四脱敏值;数字身份提供方将数字身份密文、第二脱敏值和第四脱敏值发送至区块链,并调用数字身份存储合约,以便区块链将数字身份密文、第二脱敏值和第四脱敏值对应存储至区块链节点。
根据本发明的一个实施例,方法还包括:数字身份写入方接收数字身份提供方发送的数字身份请求码,并对数字身份请求码进行脱敏处理得到第五脱敏值;数字身份写入方将第五脱敏值发送至区块链,并调用查询数字身份密文合约,以便区块链根据第五脱敏值获取终端的数字身份密文。
根据本发明的一个实施例,区块链根据第五脱敏值获取终端的数字身份密文,包括:将第五脱敏值与区块链中存储的第四脱敏值进行匹配;若匹配成功,则获取与第四脱敏值对应的数字身份密文,并将数字身份密文发送至数字身份写入方。
根据本发明的一个实施例,方法还包括:数字身份写入方接收区块链发送的数字身份密文,并将数字身份密文发送至终端,以便终端根据数字身份密文进行数字身份写入。
根据本发明的一个实施例,终端根据数字身份密文进行数字身份写入,包括:安全芯片对数字身份密文进行解密得到数字身份明文,并将数字身份明文存储于安全芯片中。
为达到上述目的,根据本发明第二方面实施例提出了一种基于区块链的终端数字身份管理方法,应用于区块链,方法包括:接收数字身份校验方发送的第一脱敏值、数字身份密文和芯片身份校验合约调用指令,其中,数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;根据芯片身份校验合约调用指令执行芯片身份校验合约,以便根据第一脱敏值和数字身份密文对终端进行离线校验。
根据本发明实施例的基于区块链的终端数字身份管理方法,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性,同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯。
根据本发明的一个实施例,根据第一脱敏值和数字身份密文对终端进行离线校验,包括:将第一脱敏值与存储的第二脱敏值进行匹配;若匹配成功,则识别数字身份密文与第二脱敏值对应的数字身份密文是否一致,并在一致时,确定终端离线校验通过。
根据本发明的一个实施例,在终端离线校验通过后,方法还包括:接收主站发送的第三脱敏值和终端身份校验合约调用指令,其中,主站接收终端入网时发送的数字身份明文,并对数字身份明文进行脱敏处理得到第三脱敏值;根据终端身份校验合约调用指令执行终端身份校验合约,以便根据第三脱敏值对终端进行在线校验。
根据本发明的一个实施例,根据第三脱敏值对终端进行在线校验,包括:将第三脱敏值与存储的第二脱敏值进行匹配;若匹配成功且第二脱敏值未处于吊销状态,则确定终端在线校验通过。
根据本发明的一个实施例,方法还包括:接收数字身份提供方发送的数字身份密文、第二脱敏值、第四脱敏值和数字身份存储合约调用指令,其中,数字身份提供方生成数字身份明文和数字身份请求码,并对数字身份明文进行加密处理生成数字身份密文,以及对数字身份明文进行脱敏处理生成第二脱敏值,并对数字身份请求码进行脱敏处理生成第四脱敏值;根据数字身份存储合约调用指令执行数字身份存储合约,以便将数字身份密文、第二脱敏值和第四脱敏值对应存储。
根据本发明的一个实施例,方法还包括:接收数字身份写入方发送的第五脱敏值和查询数字身份密文合约调用指令,其中,数字身份写入方接收数字身份提供方发送的数字身份请求码,并对数字身份请求码进行脱敏处理得到第五脱敏值;根据查询数字身份密文合约调用指令执行查询数字身份密文合约,以便根据第五脱敏值获取终端的数字身份密文。
根据本发明的一个实施例,根据第五脱敏值获取终端的数字身份密文,包括:将第五脱敏值与存储的第四脱敏值进行匹配;若匹配成功,则获取与第四脱敏值对应的数字身份密文,并将数字身份密文发送至数字身份写入方,其中,数字身份写入方接收区块链发送的数字身份密文,并将数字身份密文发送至终端,以便终端中的安全芯片对数字身份密文进行解密得到数字身份明文,并将数字身份明文存储于安全芯片中。
为达到上述目的,根据本发明第三方面实施例提出了一种基于区块链的终端数字身份管理系统,系统包括:数字身份校验方,用于读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,以及将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,其中,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;区块链,用于根据第一脱敏值和数字身份密文对终端进行离线校验。
根据本发明实施例的基于区块链的终端数字身份管理系统,数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,以及将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,以便区块链根据第一脱敏值和数字身份密文对终端进行离线校验。由此,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性,同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是根据本发明第一个实施例的基于区块链的终端数字身份管理系统的示意图;
图2是根据本发明第一个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图3是根据本发明第二个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图4是根据本发明第三个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图5是根据本发明第四个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图6是根据本发明第五个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图7是根据本发明第六个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图8是根据本发明第七个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图9是根据本发明第八个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图10是根据本发明第九个实施例的基于区块链的终端数字身份管理方法的流程示意图;
图11是根据本发明第二个实施例的基于区块链的终端数字身份管理系统的系统示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
需要说明的是,在本发明的实施例中,终端可以为电力终端,用于电网,也可以用于其他网络中,在实际的应用中,终端并不限于电力终端,还可以为其他终端,例如移动终端,具体这里不做限制。为了便于描述,本申请的终端以电力终端为例。电力终端数字身份管理包括:数字身份生成、数字身份上传至区块链、获取区块链上的数字身份、数字身份写入、数字身份在区块链上入库校验以及数字身份在区块链上在线校验。
如图1所示,所涉及的参与方有:主管部门、电力终端厂商(电力终端的生产厂商)、网省(国家电网下设的省级电网公司)、电力终端、主站平台以及区块链。其中,电力终端包括安全芯片,区块链包括主管节点、网省节点以及服务节点。主管部门生成电力终端的数字身份,并将生成的数字身份脱敏后提交至区块链的主管节点;区块链调用数字身份存储合约存储脱敏后的数字身份;电力终端厂商向主管部门申请数字身份请求码,并将请求码发送到区块链的服务节点以获取数字身份密文;电力终端厂商将获取的数字身份密文写入电力终端的安全芯片;网省通过区块链对交付的电力终端进行入库校验;电力终端入网后通过主站平台进行区块链上的在线校验。
下面参考附图来详细说明基于区块链的终端数字身份管理方法。
图2是根据本发明一个实施例的基于区块链的终端数字身份管理方法的流程示意图。如图2所示,该基于区块链的终端数字身份管理方法包括以下步骤:
S101,数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,其中,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的。
具体地,数字身份校验方对应图1中的网省,在电力终端交付至网省后,网省可对电力终端进行入库校验,即离线校验。在离线校验时,网省(具体可以是位于网省的用户终端或服务器)发送读取指令至电力终端,电力终端中的控制器将其转发至内部的安全芯片,安全芯片根据读取指令读取数字身份明文,并通过安全芯片密钥对数字身份明文进行加密得到数字身份密文,以及将数字身份明文和数字身份密文发送至控制器,由控制器转发给网省。网省在获得电力终端的数字身份明文和数字身份密文后,对数字身份明文进行脱敏处理得到第一脱敏值。
需要说明的是,电力终端的数字身份明文存储于电力终端的安全芯片中,确保了电力终端侧数字身份不可篡改和可追溯。安全芯片加密数字身份明文的加密算法有多种,包括但不限于是SM2(一种椭圆曲线公钥密码算法)、SM4(一种分组密码标准)、ECC(误差校正码)、AES(一种高级加密标准),具体这里不做限制。对数字身份明文进行脱敏处理的方式有多种,例如采用HASH(哈希)算法对数字身份明文进行脱敏处理,HASH算法包括但不限于是SHA1(安全散列算法1)、SHA256(使用的哈希值长度是256位)、SM3(国产哈希算法),具体这里不做限制。
S102,数字身份校验方将第一脱敏值和数字身份密文发送至区块链,并调用芯片身份校验合约,以便区块链根据第一脱敏值和数字身份密文对终端进行离线校验。
具体地,网省将第一脱敏值和数字身份密文发送至区块链,并调用区块链的芯片身份校验合约,由于发送的是脱敏值和数字身份密文,相比数字身份明文更加安全,然后,区块链根据第一脱敏值和数字身份密文对电力终端进行离线校验,实现了电力终端的校验入库。
在一些实施例中,区块链根据第一脱敏值和数字身份密文对终端进行离线校验,包括:将第一脱敏值与区块链中存储的第二脱敏值进行匹配;若匹配成功,则识别数字身份密文与第二脱敏值对应的数字身份密文是否一致,并在一致时,确定终端离线校验通过。
具体来说,区块链中预先存储有电力终端的数字身份对应的脱敏值和数字身份密文,且脱敏值与数字身份密文对应存储。在区块链执行芯片身份校验合约时,先将第一脱敏值与区块链中存储的第二脱敏值进行匹配,以验证第一脱敏值是否存在,若匹配成功,则说明第一脱敏值存在,此时从区块链中获取第二脱敏值(也即第一脱敏值)对应的数字身份密文,并将其与接收到的网省发送的数字身份密文进行比较,以验证两者是否一致,若一致,则说明电力终端离线校验通过,否则,说明电力终端离线校验失败。若匹配不成功,则说明第一脱敏值不存在,电力终端离线校验失败。
在该实施例中,区块链先对第一脱敏值进行匹配,然后判断数字身份密文是否一致,一共进行了两次校验,相比只经过一次校验,提升了校验的准确性,避免未认证的电力终端误判后成功入库对智能电网的安全造成威胁。
上述实施例中,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性;同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯;同时,发送至区块链的数字身份为数字身份明文的脱敏值和加密后的数字身份密文,有效避免了数字身份校验过程中数字身份发生泄露的情况;同时,由于区块链的不可篡改特性,确保了数字身份在区块链侧不被篡改,提高了终端入库校验的安全性。
在一些实施例中,参考图3所示,在终端离线校验通过后,基于区块链的终端数字身份管理方法还包括:
S201,主站接收终端入网时发送的数字身份明文,并对数字身份明文进行脱敏处理得到第三脱敏值。
具体地,当终端为用于电网的电力终端时,主站为电网主站,对应图1中的主站平台,在电力终端需要入网使用时,先将电力终端挂载在智能电网上,并给电力终端上电。电力终端上电后,电力终端中的控制器从安全芯片中读取电力终端的数字身份明文,并将数字身份明文发送至主站平台(具体可以是位于主站平台的用户终端或服务器)。主站平台在接收到电力终端的数字身份明文后,对数字身份明文进行脱敏处理得到第三脱敏值。
S202,主站将第三脱敏值发送至区块链,并调用终端身份校验合约,以便区块链根据第三脱敏值对终端进行在线校验。
具体地,主站平台将第三脱敏值发送至区块链,并调用区块链的终端身份校验合约,由于发送的是脱敏值,相比数字身份明文更加安全,可以避免数字身份泄露,之后区块链根据第三脱敏值对电力终端进行在线校验,确保电力终端运行时的安全性。
在一些实施例中,区块链根据第三脱敏值对终端进行在线校验,包括:将第三脱敏值与区块链中存储的第二脱敏值进行匹配;若匹配成功且第二脱敏值未处于吊销状态,则确定终端在线校验通过。
具体地,在区块链执行终端身份校验合约时,先将第三脱敏值与区块链中存储的第二脱敏值进行匹配,以验证第三脱敏值是否存在,若匹配成功,则说明第三脱敏值存在,此时进一步判断匹配的第二脱敏值是否处于吊销状态,如果第二脱敏值未处于吊销状态,则说明电力终端在线校验成功,电力终端能够安全运行;如果第二脱敏值处于吊销状态,则电力终端在线校验失败。在该实施例中,如果第二脱敏值处于吊销状态,则第二脱敏值对应的电力终端的数字身份存在异常,因而不能使得该电力终端成功入网,从而进一步确保了电力终端运行时的安全性。
上述实施例中,通过区块链根据终端的数字身份明文对应的第三脱敏值对终端进行在线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性;同时发送至区块链的数字身份为数字身份明文的脱敏值,有效避免了数字身份校验过程中数字身份发生泄露的情况。
在一些实施例中,参考图4所示,基于区块链的终端数字身份管理方法还包括:
S301,数字身份提供方生成数字身份明文和数字身份请求码,并对数字身份明文进行加密处理生成数字身份密文,以及对数字身份明文进行脱敏处理生成第二脱敏值,并对数字身份请求码进行脱敏处理生成第四脱敏值。
具体地,数字身份提供方对应图1中的主管部门,在电力终端生产时,主管部门先生成电力终端的数字身份明文和数字身份请求码,而后利用安全芯片密钥对数字身份明文进行加密得到数字身份密文,并对数字身份明文进行脱敏处理得到第二脱敏值,以及对数字身份请求码进行脱敏处理生成第四脱敏值。
S302,数字身份提供方将数字身份密文、第二脱敏值和第四脱敏值发送至区块链,并调用数字身份存储合约,以便区块链将数字身份密文、第二脱敏值和第四脱敏值对应存储至区块链节点。
具体地,主管部门将数字身份密文、第二脱敏值和第四脱敏值提交至区块链,并调用数字身份存储合约,由于数字身份采用密文传输方式,有效保证了数字身份不被泄露。区块链执行数字身份存储合约,以将数字身份密文、第二脱敏值和第四脱敏值对应存储至区块链的主管节点,由于区块链的不可篡改等特性,因而可以保证存储在区块链上的数字身份密文、第二脱敏值和第四脱敏值不被篡改,能够有效保护电力终端数字身份的隐私性,并且主管部门将所有数字身份信息都发送至区块链,可以有效地管理每一个接入智能电网的电力终端。
上述实施例中,通过主管部门生成数字身份明文,并将数字身份明文进行加密和脱敏处理后存储至区块链中,以便在进行终端的数字身份校验时,基于区块链安全的实现数字身份的离线和在线校验,保证终端的安全性。
在一些实施例中,参考图5所示,基于区块链的终端数字身份管理方法还包括:
S401,数字身份写入方接收数字身份提供方发送的数字身份请求码,并对数字身份请求码进行脱敏处理得到第五脱敏值。
具体地,数字身份写入方对应图1中的电力终端厂商,在电力终端生产时,电力终端厂商需要给电力终端进行数字身份分发和写入,此时电力终端向主管部门申请数字身份请求码,主管部门将数字身份请求码发送至电力终端厂商。电力终端厂商对数字身份请求码进行脱敏处理得到第五脱敏值。
S402,数字身份写入方将第五脱敏值发送至区块链,并调用查询数字身份密文合约,以便区块链根据第五脱敏值获取终端的数字身份密文。
具体地,电力终端厂商将第五脱敏值发送至区块链,并调用区块链的查询数字身份密文合约,区块链根据第五脱敏值查询对应的电力终端的数字身份密文。
在一些实施例中,区块链根据第五脱敏值获取终端的数字身份密文,包括:将第五脱敏值与区块链中存储的第四脱敏值进行匹配;若匹配成功,则获取与第四脱敏值对应的数字身份密文,并将数字身份密文发送至数字身份写入方。
具体地,在区块链执行查询数字身份密文合约时,先将第五脱敏值与区块链中存储的第四脱敏值进行匹配,以验证第五脱敏值是否存在,若匹配成功,则说明第五脱敏值存在,此时从区块链中获取第四脱敏值(也即第五脱敏值)对应的数字身份密文,并将数字身份密文发送至电力终端厂商。由于数字身份密文存储在区块链中,可以避免数字身份泄露,在获取时,需要先验证第五脱敏值,在匹配成功的情况下,区块链才会发送数字身份密文至电力终端厂商,进一步避免数字身份泄露。
进一步地,在一些实施例中,基于区块链的终端数字身份管理方法还包括:数字身份写入方接收区块链发送的数字身份密文,并将数字身份密文发送至终端,以便终端根据数字身份密文进行数字身份写入。可选的,终端根据数字身份密文进行数字身份写入,包括:安全芯片对数字身份密文进行解密得到数字身份明文,并将数字身份明文存储于安全芯片中。
具体地,电力终端厂商在接收到区块链发送的电力终端的数字身份密文后,将其发送至电力终端,电力终端中的控制器将其转发至安全芯片,安全芯片利用安全芯片密钥对数字身份密文进行解密得到数字身份明文,并存储至安全芯片中,确保数字身份明文不被篡改和可追溯。在上述数字身份的写入过程中,采用数字身份密文传输,数字身份密文不易泄露和篡改,进一步提升了数字身份写入的安全性。
下面将结合具体的实施方式进一步详述本申请的技术方案:
如图6所示,基于区块链的终端数字身份管理方法包括:
S601,主管部门生成电力终端的数字身份明文ID,并对数字身份明文ID进行脱敏处理得到第二脱敏值HASH(ID),以及对数字身份明文ID使用安全芯片密钥加密得到数字身份密文Encrypt(ID);主管部门生成电力终端的数字身份请求码AC,并对数字身份请求码AC进行脱敏处理得到第四脱敏值HASH(AC)。主管部门将第二脱敏值HASH(ID)、数字身份密文Encrypt(ID)和第四脱敏值HASH(AC)发送至区块链。
S602,调用数字身份存储合约。根据数字身份存储合约,区块链的主管节点判断第二脱敏值HASH(ID)是否存在(可预先在区块链中注册并上传第二脱敏值HASH(ID)),若存在,则绑定存储第二脱敏值HASH(ID)、数字身份密文Encrypt(ID)和第四脱敏值HASH(AC)。
S603,通过数字身份请求码AC获取数字身份密文。电力终端厂商向主管部门申请数字身份请求码AC,并对数字身份请求码AC进行脱敏处理生成第五脱敏值HASH(AC)',发送第五脱敏值HASH(AC)'至区块链。
S604,调用查询数字身份密文合约。根据查询数字身份密文合约,区块链将第五脱敏值HASH(AC)'与第四脱敏值HASH(AC)进行匹配,若匹配成功,获取第四脱敏值HASH(AC)对应的数字身份密文Encrypt(ID),并将数字身份密文Encrypt(ID)发送至电力终端厂商,若未匹配成功,则不获取数字身份密文Encrypt(ID)。
S605,电力终端厂商写入数字身份。电力终端接收电力终端厂商发送的数字身份密文Encrypt(ID),并转发给安全芯片,安全芯片利用安全芯片密钥解密数字身份密文Encrypt(ID)得到数字身份明文ID,安全芯片存储数字身份明文ID。
S606,网省从电力终端中读取数字身份明文ID和数字身份密文Encrypt(ID)'。网省接收电力终端厂商交付的电力终端,并从电力终端中读取数字身份明文ID和数字身份密文Encrypt(ID)',其中,数字身份密文Encrypt(ID)'是安全芯片利用安全芯片密钥对数字身份明文ID进行加密生成的。网省对数字身份明文ID进行脱敏处理生成第一脱敏值HASH(ID)',并发送第一脱敏值HASH(ID)'和数字身份密文Encrypt(ID)'到区块链。
S607,调用芯片身份校验合约,根据芯片身份校验合约,区块链将第一脱敏值HASH(ID)'与第二脱敏值HASH(ID)进行匹配,若匹配成功,则识别数字身份密文Encrypt(ID)'与第二脱敏值HASH(ID)对应的数字身份密文Encrypt(ID)是否一致,若一致,则确定电力终端离线校验通过;若不一致或者第一脱敏值HASH(ID)'与第二脱敏值HASH(ID)不匹配,则确定电力终端离线校验未通过。
S608,网省校验通过后进行挂表上线,电力终端上电后读取数字身份明文ID,并上报主站平台。
S609,主站平台接收到电力终端的入网请求,入网请求包括电力终端的数字身份明文ID,主站平台对数字身份明文ID进行脱敏处理生成第三脱敏值HASH(ID)",并将第三脱敏值HASH(ID)"发送至区块链,并调用终端身份校验合约。根据终端身份校验合约,区块链将第三脱敏值HASH(ID)"与第二脱敏值HASH(ID)进行匹配,若匹配成功且第二脱敏值HASH(ID)未处于吊销状态,则确定电力终端在线校验通过,此时允许电力终端入网;若不匹配或者第二脱敏值HASH(ID)处于吊销状态,则确定电力终端在线校验未通过。
在该实施例中,电力终端的数字身份明文存储于安全芯片中,确保数字身份在电力终端侧不可篡改和可追溯;主管部门将数字身份密文和第二脱敏值发送至区块链,在避免数字身份被篡改的同时,可以有效地管理每一个接入智能电网的电力终端,由于数字身份明文脱敏后的第二脱敏值存储于区块链中,能保护电力终端的隐私,且整个数字身份管理过程中,未涉及数字身份明文的传输和比对,不会造成数字身份的泄露,具有较高的安全性,解决了主管部门、网省以及电力终端之间的数字身份信任问题;通过读取电力终端的数字身份明文,对数字身份明文进行脱敏处理得到第三脱敏值,与区块链中存储的第二脱敏值进行对比,从而进行电力终端系统的在线验证,确保了电力终端运行时的安全性;通过对电力终端进行数字身份的离线和在线的双重身份校验,增强了电力终端进入电网的安全性。
综上所述,根据本发明实施例的基于区块链的终端数字身份管理方法,以安全芯片应用作为数字身份的安全基础,结合区块链不可篡改、智能合约、去中心等特点,通过网省入库校验、终端线上实时校验,实现了对接入智能电网的终端的数字身份安全验证,同时通过主管部门实现了对接入智能电网终端的数字身份生命周期统一管理。
对应上述实施例,本发明的实施例还提出了一种基于区块链的终端数字身份管理方法,应用于如图1所示的区块链。
如图7所示,该基于区块链的终端数字身份管理方法包括:
S701,接收数字身份校验方发送的第一脱敏值、数字身份密文和芯片身份校验合约调用指令,其中,数字身份校验方读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;
具体地,数字身份校验方对应图1中的网省,区块链接收网省发送的第一脱敏值和数字身份密文和芯片身份校验合约调用指令,由于区块链接收的脱敏值和数字身份密文,相比数字身份明文更加安全。
S702,根据芯片身份校验合约调用指令执行芯片身份校验合约,以便根据第一脱敏值和数字身份密文对终端进行离线校验。
具体地,区块链执行芯片身份校验合约,根据第一脱敏值和数字身份密文对电力终端进行离线校验,实现了电力终端的校验入库。
在一些实施例中,根据第一脱敏值和数字身份密文对终端进行离线校验,包括:将第一脱敏值与存储的第二脱敏值进行匹配;若匹配成功,则识别数字身份密文与第二脱敏值对应的数字身份密文是否一致,并在一致时,确定终端离线校验通过。
具体来说,区块链中预先存储有电力终端的数字身份对应的脱敏值和数字身份密文,且脱敏值与数字身份密文对应存储。在区块链执行芯片身份校验合约时,先将第一脱敏值与区块链中存储的第二脱敏值进行匹配,以验证第一脱敏值是否存在,若匹配成功,则说明第一脱敏值存在,此时从区块链中获取第二脱敏值(也即第一脱敏值)对应的数字身份密文,并将其与接收到的网省发送的数字身份密文进行比较,以验证两者是否一致,若一致,则说明电力终端离线校验通过,否则,说明电力终端离线校验失败。若匹配不成功,则说明第一脱敏值不存在,电力终端离线校验失败。
在该实施例中,区块链先对第一脱敏值进行匹配,然后判断数字身份密文是否一致,一共进行了两次校验,相比只经过一次校验,提升了校验的准确性,避免未认证的终端误判后成功入库对智能电网的安全造成威胁。
上述实施例中,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性;同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯;同时,发送至区块链的数字身份为数字身份明文的脱敏值和加密后的数字身份密文,有效避免了数字身份校验过程中数字身份发生泄露的情况;同时,由于区块链的不可篡改特性,确保了数字身份在区块链侧不被篡改,提高了终端入库校验的安全性。
在一些实施例中,如图8所示,在终端离线校验通过后,基于区块链的终端数字身份管理方法还包括:
S801,接收主站发送的第三脱敏值和终端身份校验合约调用指令,其中,主站接收终端入网时发送的数字身份明文,并对数字身份明文进行脱敏处理得到第三脱敏值。
具体地,当终端为用于电网的电力终端时,主站为电网主站,主站对应图1中的主站平台,区块链接收主站平台发送的第三脱敏值和终端身份校验合约调用指令,由于区块链接收的是脱敏值,相比数字身份明文更加安全,可以避免数字身份泄露。
S802,根据终端身份校验合约调用指令执行终端身份校验合约,以便根据第三脱敏值对终端进行在线校验。
具体地,区块链执行终端身份校验合约,根据第三脱敏值对电力终端进行在线校验,确保电力终端运行时的安全性。
在一些实施例中,根据第三脱敏值对终端进行在线校验,包括:将第三脱敏值与存储的第二脱敏值进行匹配;若匹配成功且第二脱敏值未处于吊销状态,则确定终端在线校验通过。
具体地,在区块链执行终端身份校验合约时,先将第三脱敏值与区块链中存储的第二脱敏值进行匹配,以验证第三脱敏值是否存在,若匹配成功,则说明第三脱敏值存在,此时进一步判断匹配的第二脱敏值是否处于吊销状态,如果第二脱敏值未处于吊销状态,则说明电力终端在线校验成功,电力终端能够安全运行;如果第二脱敏值处于吊销状态,则电力终端在线校验失败。在该实施例中,如果第二脱敏值处于吊销状态,则第二脱敏值对应的电力终端的数字身份存在异常,因而不能使得该电力终端成功入网,从而进一步确保了电力终端运行时的安全性。
上述实施例中,通过区块链根据终端的数字身份明文对应的第三脱敏值对终端进行在线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性;同时发送至区块链的数字身份为数字身份明文的脱敏值,有效避免了数字身份校验过程中数字身份发生泄露的情况。
在一些实施例中,如图9所示,基于区块链的终端数字身份管理方法还包括:
S901,接收数字身份提供方发送的数字身份密文、第二脱敏值、第四脱敏值和数字身份存储合约调用指令,其中,数字身份提供方生成数字身份明文和数字身份请求码,并对数字身份明文进行加密处理生成数字身份密文,以及对数字身份明文进行脱敏处理生成第二脱敏值,并对数字身份请求码进行脱敏处理生成第四脱敏值。
具体地,数字身份提供方对应图1中的主管部门,在电力终端生产时,主管部门先生成电力终端的数字身份明文和数字身份请求码,而后利用安全芯片密钥对数字身份明文进行加密得到数字身份密文,并对数字身份明文进行脱敏处理得到第二脱敏值,以及对数字身份请求码进行脱敏处理生成第四脱敏值,然后区块链接收主管部门发送的数字身份密文、第二脱敏值、第四脱敏值和数字身份存储合约调用指令,由于数字身份采用密文传输方式,有效保证了数字身份不被泄露。
S902,根据数字身份存储合约调用指令执行数字身份存储合约,以便将数字身份密文、第二脱敏值和第四脱敏值对应存储。
具体地,区块链执行数字身份存储合约,以将数字身份密文、第二脱敏值和第四脱敏值对应存储至区块链的主管节点,由于区块链的不可篡改等特性,因而可以保证存储在区块链上的数字身份密文、第二脱敏值和第四脱敏值不被篡改,能够有效保护电力终端数字身份的隐私性,并且主管部门将所有数字身份信息都发送至区块链,可以有效地管理每一个接入智能电网的电力终端。
上述实施例中,主管部门将数字身份明文进行加密和脱敏处理后存储至区块链中,以便在进行终端的数字身份校验时,基于区块链安全地实现数字身份的离线和在线校验,保证终端的安全性。
在一些实施例中,如图10所示,基于区块链的终端数字身份管理方法还包括:
S1001,接收数字身份写入方发送的第五脱敏值和查询数字身份密文合约调用指令,其中,数字身份写入方接收数字身份提供方发送的数字身份请求码,并对数字身份请求码进行脱敏处理得到第五脱敏值。
具体地,数字身份写入方对应图1中的电力终端厂商,在电力终端生产时,电力终端厂商需要给电力终端进行数字身份分发和写入,此时电力终端向主管部门申请数字身份请求码,主管部门将数字身份请求码发送至电力终端厂商。电力终端厂商对数字身份请求码进行脱敏处理得到第五脱敏值。区块链接收电力终端厂商发送的第五脱敏值和查询数字身份密文合约调用指令。
S1002,根据查询数字身份密文合约调用指令执行查询数字身份密文合约,以便根据第五脱敏值获取终端的数字身份密文。
具体地,区块链执行根据查询数字身份密文合约,根据第五脱敏值查询对应的电力终端的数字身份密文。
在一些实施例中,根据第五脱敏值获取终端的数字身份密文,包括:将第五脱敏值与存储的第四脱敏值进行匹配;若匹配成功,则获取与第四脱敏值对应的数字身份密文,并将数字身份密文发送至数字身份写入方,其中,数字身份写入方接收区块链发送的数字身份密文,并将数字身份密文发送至终端,以便终端中的安全芯片对数字身份密文进行解密得到数字身份明文,并将数字身份明文存储于安全芯片中。
具体地,在区块链执行查询数字身份密文合约时,先将第五脱敏值与区块链中存储的第四脱敏值进行匹配,以验证第五脱敏值是否存在,若匹配成功,则说明第五脱敏值存在,此时从区块链中获取第四脱敏值(也即第五脱敏值)对应的数字身份密文,并将数字身份密文发送至电力终端厂商。由于数字身份密文存储在区块链中,可以避免数字身份泄露,在获取时,需要先验证第五脱敏值,在匹配成功的情况下,区块链才会发送数字身份密文至电力终端厂商,进一步避免数字身份泄露。
对应上述实施例,本发明的实施例还提出了一种基于区块链的终端数字身份管理系统。
如图11所示,该基于区块链的终端数字身份管理系统包括:数字身份校验方10和区块链20。
其中,数字身份校验方10用于读取终端的数字身份明文和数字身份密文,并对数字身份明文进行脱敏处理得到第一脱敏值,以及将第一脱敏值和数字身份密文发送至区块链20,并调用芯片身份校验合约,其中,数字身份明文存储于终端的安全芯片中,数字身份密文是安全芯片对数字身份明文进行加密获得的;区块链20用于根据第一脱敏值和数字身份密文对终端进行离线校验。
在一些实施例中,区块链20具体用于:将第一脱敏值与区块链20中存储的第二脱敏值进行匹配;若匹配成功,则识别数字身份密文与第二脱敏值对应的数字身份密文是否一致,并在一致时,确定终端离线校验通过。
在一些实施例中,系统还包括主站。其中,主站用于接收终端入网时发送的数字身份明文,并对数字身份明文进行脱敏处理得到第三脱敏值;将第三脱敏值发送至区块链20,并调用终端身份校验合约,以便区块链20根据第三脱敏值对终端进行在线校验。
在一些实施例中,区块链20具体用于:将第三脱敏值与区块链20中存储的第二脱敏值进行匹配;若匹配成功且第二脱敏值未处于吊销状态,则确定终端在线校验通过。
在一些实施例中,系统还包括数字身份提供方。其中,数字身份提供方用于生成数字身份明文,并对数字身份明文进行加密处理生成数字身份密文,以及对数字身份明文进行脱敏处理生成第二脱敏值;将数字身份密文和第二脱敏值发送至区块链20,并调用数字身份存储合约,以便区块链20将数字身份密文和第二脱敏值对应存储至区块链20节点。
在一些实施例中,系统还包括数字身份写入方。其中,数字身份写入方用于接收数字身份提供方发送的数字身份请求码,并对数字身份请求码进行脱敏处理得到第四脱敏值;将第四脱敏值发送至区块链20,并调用查询数字身份密文合约,以便区块链20根据第四脱敏值获取终端的数字身份密文。
在一些实施例中,区块链20具体用于:将第四脱敏值与区块链20中存储的第二脱敏值进行匹配;若匹配成功,则获取与第二脱敏值对应的数字身份密文,并将数字身份密文发送至数字身份写入方。
在一些实施例中,数字身份写入方具体用于:接收区块链20发送的数字身份密文,并将数字身份密文发送至终端,以便终端根据数字身份密文进行数字身份写入。
在一些实施例中,安全芯片具体用于:对数字身份密文进行解密得到数字身份明文,并将数字身份明文存储于安全芯片中。
根据本发明实施例的基于区块链的终端数字身份管理系统,通过区块链根据终端的数字身份明文对应的第一脱敏值和数字身份密文对终端进行离线校验,不仅可以安全验证终端的数字身份的真实性,而且可以避免数字身份被篡改和滥用,提高了终端的安全性,同时终端的数字身份明文存储于安全芯片中,确保了数字身份在终端侧不可篡改和可追溯。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,本发明实施例中所使用的“第一”、“第二”等术语,仅用于描述目的,而不可以理解为指示或者暗示相对重要性,或者隐含指明本实施例中所指示的技术特征数量。由此,本发明实施例中限定有“第一”、“第二”等术语的特征,可以明确或者隐含地表示该实施例中包括至少一个该特征。在本发明的描述中,词语“多个”的含义是至少两个或者两个及以上,例如两个、三个、四个等,除非实施例中另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (17)
1.一种基于区块链的终端数字身份管理方法,其特征在于,所述方法包括:
数字身份校验方读取终端的数字身份明文和数字身份密文,并对所述数字身份明文进行脱敏处理得到第一脱敏值,其中,所述数字身份明文存储于所述终端的安全芯片中,所述数字身份密文是所述安全芯片对所述数字身份明文进行加密获得的;
所述数字身份校验方将所述第一脱敏值和所述数字身份密文发送至区块链,并调用芯片身份校验合约,以便所述区块链根据所述第一脱敏值和所述数字身份密文对所述终端进行离线校验。
2.根据权利要求1所述的基于区块链的终端数字身份管理方法,其特征在于,所述区块链根据所述第一脱敏值和所述数字身份密文对所述终端进行离线校验,包括:
将所述第一脱敏值与所述区块链中存储的第二脱敏值进行匹配;
若匹配成功,则识别所述数字身份密文与所述第二脱敏值对应的数字身份密文是否一致,并在一致时,确定所述终端离线校验通过。
3.根据权利要求1所述的基于区块链的终端数字身份管理方法,其特征在于,在所述终端离线校验通过后,所述方法还包括:
主站接收所述终端入网时发送的数字身份明文,并对所述数字身份明文进行脱敏处理得到第三脱敏值;
所述主站将所述第三脱敏值发送至所述区块链,并调用终端身份校验合约,以便所述区块链根据所述第三脱敏值对所述终端进行在线校验。
4.根据权利要求3所述的基于区块链的终端数字身份管理方法,其特征在于,所述区块链根据所述第三脱敏值对所述终端进行在线校验,包括:
将所述第三脱敏值与所述区块链中存储的第二脱敏值进行匹配;
若匹配成功且所述第二脱敏值未处于吊销状态,则确定所述终端在线校验通过。
5.根据权利要求2所述的基于区块链的终端数字身份管理方法,其特征在于,所述方法还包括:
数字身份提供方生成所述数字身份明文和数字身份请求码,并对所述数字身份明文进行加密处理生成所述数字身份密文,以及对所述数字身份明文进行脱敏处理生成所述第二脱敏值,并对所述数字身份请求码进行脱敏处理生成第四脱敏值;
所述数字身份提供方将所述数字身份密文、所述第二脱敏值和所述第四脱敏值发送至所述区块链,并调用数字身份存储合约,以便所述区块链将所述数字身份密文、所述第二脱敏值和所述第四脱敏值对应存储至区块链节点。
6.根据权利要求5所述的基于区块链的终端数字身份管理方法,其特征在于,所述方法还包括:
数字身份写入方接收所述数字身份提供方发送的数字身份请求码,并对所述数字身份请求码进行脱敏处理得到第五脱敏值;
所述数字身份写入方将所述第五脱敏值发送至所述区块链,并调用查询数字身份密文合约,以便所述区块链根据所述第五脱敏值获取所述终端的数字身份密文。
7.根据权利要求6所述的基于区块链的终端数字身份管理方法,其特征在于,所述区块链根据所述第五脱敏值获取所述终端的数字身份密文,包括:
将所述第五脱敏值与所述区块链中存储的第四脱敏值进行匹配;
若匹配成功,则获取与所述第四脱敏值对应的数字身份密文,并将所述数字身份密文发送至所述数字身份写入方。
8.根据权利要求6所述的基于区块链的终端数字身份管理方法,其特征在于,所述方法还包括:
所述数字身份写入方接收所述区块链发送的数字身份密文,并将所述数字身份密文发送至所述终端,以便所述终端根据所述数字身份密文进行数字身份写入。
9.根据权利要求8所述的基于区块链的终端数字身份管理方法,其特征在于,所述终端根据所述数字身份密文进行数字身份写入,包括:
所述安全芯片对所述数字身份密文进行解密得到所述数字身份明文,并将所述数字身份明文存储于所述安全芯片中。
10.一种基于区块链的终端数字身份管理方法,其特征在于,应用于区块链,所述方法包括:
接收数字身份校验方发送的第一脱敏值、数字身份密文和芯片身份校验合约调用指令,其中,所述数字身份校验方读取终端的数字身份明文和数字身份密文,并对所述数字身份明文进行脱敏处理得到所述第一脱敏值,所述数字身份明文存储于所述终端的安全芯片中,所述数字身份密文是所述安全芯片对所述数字身份明文进行加密获得的;
根据所述芯片身份校验合约调用指令执行芯片身份校验合约,以便根据所述第一脱敏值和所述数字身份密文对所述终端进行离线校验。
11.根据权利要求10所述的基于区块链的终端数字身份管理方法,其特征在于,所述根据所述第一脱敏值和所述数字身份密文对所述终端进行离线校验,包括:
将所述第一脱敏值与存储的第二脱敏值进行匹配;
若匹配成功,则识别所述数字身份密文与所述第二脱敏值对应的数字身份密文是否一致,并在一致时,确定所述终端离线校验通过。
12.根据权利要求10所述的基于区块链的终端数字身份管理方法,其特征在于,在所述终端离线校验通过后,所述方法还包括:
接收主站发送的第三脱敏值和终端身份校验合约调用指令,其中,所述主站接收所述终端入网时发送的数字身份明文,并对所述数字身份明文进行脱敏处理得到所述第三脱敏值;
根据所述终端身份校验合约调用指令执行终端身份校验合约,以便根据所述第三脱敏值对所述终端进行在线校验。
13.根据权利要求12所述的基于区块链的终端数字身份管理方法,其特征在于,所述根据所述第三脱敏值对所述终端进行在线校验,包括:
将所述第三脱敏值与存储的第二脱敏值进行匹配;
若匹配成功且所述第二脱敏值未处于吊销状态,则确定所述终端在线校验通过。
14.根据权利要求11所述的基于区块链的终端数字身份管理方法,其特征在于,所述方法还包括:
接收数字身份提供方发送的所述数字身份密文、所述第二脱敏值、第四脱敏值和数字身份存储合约调用指令,其中,所述数字身份提供方生成所述数字身份明文和数字身份请求码,并对所述数字身份明文进行加密处理生成所述数字身份密文,以及对所述数字身份明文进行脱敏处理生成所述第二脱敏值,并对所述数字身份请求码进行脱敏处理生成所述第四脱敏值;
根据所述数字身份存储合约调用指令执行数字身份存储合约,以便将所述数字身份密文、所述第二脱敏值和所述第四脱敏值对应存储。
15.根据权利要求14所述的基于区块链的终端数字身份管理方法,其特征在于,所述方法还包括:
接收数字身份写入方发送的第五脱敏值和查询数字身份密文合约调用指令,其中,所述数字身份写入方接收所述数字身份提供方发送的数字身份请求码,并对所述数字身份请求码进行脱敏处理得到所述第五脱敏值;
根据所述查询数字身份密文合约调用指令执行查询数字身份密文合约,以便根据所述第五脱敏值获取所述终端的数字身份密文。
16.根据权利要求15所述的基于区块链的终端数字身份管理方法,其特征在于,所述根据所述第五脱敏值获取所述终端的数字身份密文,包括:
将所述第五脱敏值与存储的第四脱敏值进行匹配;
若匹配成功,则获取与所述第四脱敏值对应的数字身份密文,并将所述数字身份密文发送至所述数字身份写入方,其中,所述数字身份写入方接收所述区块链发送的数字身份密文,并将所述数字身份密文发送至所述终端,以便所述终端中的安全芯片对所述数字身份密文进行解密得到所述数字身份明文,并将所述数字身份明文存储于所述安全芯片中。
17.一种基于区块链的终端数字身份管理系统,其特征在于,所述系统包括:
数字身份校验方,用于读取终端的数字身份明文和数字身份密文,并对所述数字身份明文进行脱敏处理得到第一脱敏值,以及将所述第一脱敏值和所述数字身份密文发送至区块链,并调用芯片身份校验合约,其中,所述数字身份明文存储于所述终端的安全芯片中,所述数字身份密文是所述安全芯片对所述数字身份明文进行加密获得的;
区块链,用于根据所述第一脱敏值和所述数字身份密文对所述终端进行离线校验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211037032.XA CN115118438B (zh) | 2022-08-29 | 2022-08-29 | 基于区块链的终端数字身份管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211037032.XA CN115118438B (zh) | 2022-08-29 | 2022-08-29 | 基于区块链的终端数字身份管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115118438A true CN115118438A (zh) | 2022-09-27 |
| CN115118438B CN115118438B (zh) | 2023-01-20 |
Family
ID=83336450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211037032.XA Active CN115118438B (zh) | 2022-08-29 | 2022-08-29 | 基于区块链的终端数字身份管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118438B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108537067A (zh) * | 2018-02-28 | 2018-09-14 | 北京智芯微电子科技有限公司 | 芯片安全防护方法及系统 |
| CN110737453A (zh) * | 2019-10-17 | 2020-01-31 | 北京智芯微电子科技有限公司 | 安全芯片的升级方法、装置及安全芯片 |
| US10637665B1 (en) * | 2016-07-29 | 2020-04-28 | Workday, Inc. | Blockchain-based digital identity management (DIM) system |
| WO2020192007A1 (zh) * | 2019-03-28 | 2020-10-01 | 平安科技(深圳)有限公司 | 数据脱敏方法和相关装置 |
| WO2020191928A1 (zh) * | 2019-03-27 | 2020-10-01 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
| CN111770057A (zh) * | 2020-05-29 | 2020-10-13 | 北京奇艺世纪科技有限公司 | 身份验证系统及身份验证方法 |
| CN112115442A (zh) * | 2020-11-18 | 2020-12-22 | 北京智芯微电子科技有限公司 | 电力终端数字身份管理方法及系统 |
| CN112785202A (zh) * | 2021-02-20 | 2021-05-11 | 支付宝(杭州)信息技术有限公司 | 资产管理方法、装置及系统 |
| WO2022007889A1 (zh) * | 2020-07-08 | 2022-01-13 | 浙江工商大学 | 基于区块链与同态加密的可搜索加密数据共享方法及系统 |
| CN114338137A (zh) * | 2021-12-27 | 2022-04-12 | 深圳市数证通科技有限公司 | 一种可信数字身份安全传递方法、系统及存储介质 |
| CN114896635A (zh) * | 2022-04-29 | 2022-08-12 | 蚂蚁区块链科技(上海)有限公司 | 一种数据处理方法、装置、电子设备和存储介质 |
-
2022
- 2022-08-29 CN CN202211037032.XA patent/CN115118438B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10637665B1 (en) * | 2016-07-29 | 2020-04-28 | Workday, Inc. | Blockchain-based digital identity management (DIM) system |
| CN108537067A (zh) * | 2018-02-28 | 2018-09-14 | 北京智芯微电子科技有限公司 | 芯片安全防护方法及系统 |
| WO2020191928A1 (zh) * | 2019-03-27 | 2020-10-01 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
| WO2020192007A1 (zh) * | 2019-03-28 | 2020-10-01 | 平安科技(深圳)有限公司 | 数据脱敏方法和相关装置 |
| CN110737453A (zh) * | 2019-10-17 | 2020-01-31 | 北京智芯微电子科技有限公司 | 安全芯片的升级方法、装置及安全芯片 |
| CN111770057A (zh) * | 2020-05-29 | 2020-10-13 | 北京奇艺世纪科技有限公司 | 身份验证系统及身份验证方法 |
| WO2022007889A1 (zh) * | 2020-07-08 | 2022-01-13 | 浙江工商大学 | 基于区块链与同态加密的可搜索加密数据共享方法及系统 |
| CN112115442A (zh) * | 2020-11-18 | 2020-12-22 | 北京智芯微电子科技有限公司 | 电力终端数字身份管理方法及系统 |
| CN112785202A (zh) * | 2021-02-20 | 2021-05-11 | 支付宝(杭州)信息技术有限公司 | 资产管理方法、装置及系统 |
| CN114338137A (zh) * | 2021-12-27 | 2022-04-12 | 深圳市数证通科技有限公司 | 一种可信数字身份安全传递方法、系统及存储介质 |
| CN114896635A (zh) * | 2022-04-29 | 2022-08-12 | 蚂蚁区块链科技(上海)有限公司 | 一种数据处理方法、装置、电子设备和存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| YANYAN YU等: "Blockchain-Based PKI System and Its Application in Internet of Things", 《 2020 IEEE 4TH CONFERENCE ON ENERGY INTERNET AND ENERGY SYSTEM INTEGRATION (EI2)》 * |
| 张维忠等: "对用电信息保护的拜占庭容错联盟链共识算法", 《电气时代》 * |
| 徐平江等: "一种安全芯片通用中间件的模型及实现", 《信息技术与标准化》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115118438B (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
| US20070257813A1 (en) | Secure network bootstrap of devices in an automatic meter reading network | |
| CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
| CN107689870A (zh) | 客户端鉴权方法和系统 | |
| CN112887282B (zh) | 一种身份认证方法、装置、系统及电子设备 | |
| CN111294203B (zh) | 信息传输方法 | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
| CN111340483A (zh) | 一种基于区块链的数据管理方法及相关设备 | |
| KR102559101B1 (ko) | 전력 계량 장치, 전력 계량 서버 및 블록 체인 기반의 전력 계량 방법 | |
| CN115150109A (zh) | 认证方法、装置及相关设备 | |
| CN115118438B (zh) | 基于区块链的终端数字身份管理方法及系统 | |
| CN116720218A (zh) | 基于区块链的跨系统账户共享服务方法及系统 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN112132588B (zh) | 基于区块链的数据处理方法、装置、路由设备及存储介质 | |
| US11550932B2 (en) | Method for a terminal to acquire and access data | |
| US11934568B2 (en) | Cable security | |
| CN115118439B (zh) | 终端数字身份的校验方法及系统 | |
| CN115118440B (zh) | 终端数字身份的写入方法及系统 | |
| CN115955361B (zh) | 配电物联网端侧设备接入方法及私钥和许可证书生成方法 | |
| CN112073199B (zh) | 一种电池认证方法、装置、终端设备及介质 | |
| CN114944949B (zh) | 一种基于区块链的数据授权方法、系统、装置及存储介质 | |
| CN115412362B (zh) | 基于碳排放的数据采集方法、服务器和终端 | |
| CN116744298A (zh) | 物联网卡设备的身份识别方法、标识系统及相关设备 | |
| CN117650944A (zh) | 工业互联网标识解析方法、系统、电子设备及存储介质 | |
| CN117421770A (zh) | 基于区块链的资源处理方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |