CN115134163A - 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质 - Google Patents

跨域密钥管理系统、跨域密钥建立方法、设备及存储介质 Download PDF

Info

Publication number
CN115134163A
CN115134163A CN202210841795.3A CN202210841795A CN115134163A CN 115134163 A CN115134163 A CN 115134163A CN 202210841795 A CN202210841795 A CN 202210841795A CN 115134163 A CN115134163 A CN 115134163A
Authority
CN
China
Prior art keywords
terminal
public key
node
key
transaction data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210841795.3A
Other languages
English (en)
Other versions
CN115134163B (zh
Inventor
张�杰
董彧佶
卫子龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong Liverpool University
Original Assignee
Xian Jiaotong Liverpool University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong Liverpool University filed Critical Xian Jiaotong Liverpool University
Priority to CN202210841795.3A priority Critical patent/CN115134163B/zh
Publication of CN115134163A publication Critical patent/CN115134163A/zh
Application granted granted Critical
Publication of CN115134163B publication Critical patent/CN115134163B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信技术领域,尤其涉及一种跨域密钥管理系统、跨域密钥建立方法、设备及存储介质,包括:区块链网络子系统和至少两个目标域子系统;云服务器用于初始化云服务器的公钥、云服务器的私钥和系统参数,以及生成所属目标域子系统中的至少一个节点的私钥和至少一个节点的公钥信息,并将云服务器和至少一个节点的注册交易数据发送至区块链网络子系统;区块链网络子系统,用于在接收到注册交易数据后,验证注册交易数据,并在验证通过的情况下保存注册交易数据。可以解决两个来自不同领域的设备间的认证与密钥建立的速度较慢的问题。可以提高跨域密钥的建立速度。

Description

跨域密钥管理系统、跨域密钥建立方法、设备及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及跨域密钥管理系统、跨域密钥建立方法、设备及存储介质。
背景技术
认证密钥建立是保障网络上通信安全的基础。它为通信双方实现认证、并建立一个共享的会话密钥,用来加密会话。学术界和工业界对认证密钥建立的研究已经有多年历史,到目前为止,已取得大量研究成果,针对不同场景的限制和安全要求,具备不同特征、适用不同场景的多种认证密钥建立方案也已被提出。针对跨域或跨场景的通信安全,目前的研究还比较少。
现有的一些方案是通过第三方服务器来实现来自两个不同场景中的终端之间的安全通信,甚至还包括一些手动的步骤,例如,在医疗急救场景中,假设病人佩戴了可穿戴医疗设备(如智能手环),医生持有医疗数据智能分析设备,由于病人的设备和医生的设备可能属于不同的机构(或厂商),两者之间的密钥建立是通过各自的第三方服务器实现的。
然而,现有的方案过程较慢且较为复杂,存在两个来自不同领域(或场景、机构等)的设备间的认证与密钥建立的速度较慢的问题。
发明内容
本申请提供了跨域密钥管理系统、跨域密钥建立方法、设备及存储介质,可以解决两个来自不同领域的设备间的认证与密钥建立的速度较慢的问题。本申请提供如下技术方案:
第一方面,本申请提供了一种跨域密钥管理系统,包括:区块链网络子系统和至少两个目标域子系统;所述区块链网络子系统包括至少一个区块链节点,所述至少一个区块链节点以分布式网络连接方式构成所述区块链网络子系统;每个目标域子系统包括云服务器和至少一个节点,所述至少一个节点包括边缘节点和终端节点;所述云服务器,用于初始化所述云服务器的公钥、所述云服务器的私钥和系统参数,并将包含有所述云服务器的公钥、所述云服务器的身份信息的第一注册交易数据发送至所述区块链网络子系统;所述区块链网络子系统,用于在接收到所述第一注册交易数据后,验证所述第一注册交易数据,并在验证通过的情况下保存所述第一注册交易数据;所述云服务器,还用于生成所属目标域子系统中的所述至少一个节点的私钥和所述至少一个节点的公钥信息,并将包含有所述至少一个节点的公钥信息、所述至少一个节点的身份信息的第二注册交易数据发送至所述区块链网络子系统;所述区块链网络子系统,还用于在接收到所述第二注册交易数据后,验证所述第二注册交易数据,并在验证通过的情况下保存所述第二注册交易数据。
可选地,所述系统参数包括{Fp,E,G,q,P,H1,H2,k},其中,Fp为素数阶有限域,素数p为所述Fp的阶,E为定义在所述Fp上的椭圆曲线,G为由所述E上的点和一个无穷远点构成的椭圆曲线群,q为素数,P为所述G的一个生成元,H1:{0,1}*×G×G→Zq和H2:{0,1}*×{0,1}*×G×G×G×G→{0,1}k为两个独立的哈希函数,k为正整数。
可选地,所述初始化所述云服务器的公钥、所述云服务器的私钥和系统参数,包括:初始化所述系统参数{Fp,E,G,q,P,H1,H2,k};在所述Zq中确定第一随机元素作为所述云服务器的私钥;基于所述Zq和所述生成元P,生成所述云服务器的公钥。
可选地,所述生成所属目标域子系统中的所述至少一个节点的私钥和所述至少一个节点的公钥信息,包括:所述云服务器在所述Zq中确定第二随机元素;基于所述第二随机元素、所述生成元P、所述至少一个节点的身份信息、所述哈希函数H1和所述云服务的私钥,生成至少一个节点的私钥;基于所述至少一个节点的私钥、所述第二随机元素和所述生成元P,生成所述至少一个节点的公钥信息。
可选地,所述云服务器,还用于修改所述云服务的公钥和所述云服务的私钥,并将包含所述云服务器的身份信息和修改后的所述云服务器的公钥的第三注册交易数据发送至所述区块链网络子系统;所述区块链网络子系统,还用于在接收到所述第三注册交易数据后,验证所述第三注册交易数据,并在验证通过的情况下保存所述第三注册交易数据;所述云服务器,还用于修改所属目标域子系统中的所述至少一个节点的公钥信息和所述至少一个节点的私钥,并将包含所述至少一个节点的身份信息、修改后的所述至少一个节点的公钥信息的第四注册交易数据发送至所述区块链网络子系统;所述区块链网络子系统,还用于在接收到所述第四注册交易数据后,验证所述第四注册交易数据,并在验证通过的情况下保存所述第四注册交易数据。
可选地,所述云服务器,还用于所述在至少一个节点离开所述所属目标域子系统的情况下,将所述至少一个节点对应的注销交易数据发送至所述区块链网络子系统,以使所述区块链网络子系统在收到所述注销交易数据后,验证所述注销交易数据,并在所述注销交易数据验证通过的情况下,注销所述至少一个节点的公钥信息。
可选地,所述第一注册交易数据包括第一交易标识、所述云服务器的身份信息,所述云服务器的公钥和所述公钥有效期;所述第二注册交易数据包括第二交易标识、所述至少一个节点的身份信息,所述至少一个节点的公钥信息和所述至少一个节点的公钥信息的有效期。
第二方面,本申请提供了一种跨域密钥建立方法,用于第一终端,所述方法包括:向区域链网路子系统发送第二终端的公钥查询指令,以使所述区域链网路子系统在接收到所述第二终端的公钥查询指令后,在所述第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息,所述第二终端的公钥信息包括所述第二终端的公钥;所述第二终端是指与所述第一终端建立跨域密钥的终端;生成所述第一终端的临时私钥;基于所述第一终端的临时私钥生成所述第一终端的临时公钥;将所述第一终端的临时公钥发送至所述第二终端,以使所述第二终端在接收到所述第一终端的临时公钥后,基于所述第一终端的临时公钥、所述第一终端的公钥、所述第二终端的私钥和所述第二终端的临时私钥,生成所述跨域密钥;接收所述第二终端的临时公钥;基于所述第一终端的私钥、所述第一终端的临时私钥、所述第一终端的身份信息、所述第二终端的公钥、所述第二终端的临时公钥和所述第二终端的身份信息,生成所述跨域密钥。
第三方面,本申请提供了一种跨域密钥建立方法,用于第二终端,所述方法包括:向区域链网路子系统发送第一终端的公钥查询指令,以使所述区域链网路子系统在接收到所述第一终端的公钥查询指令后,在所述第一终端的公钥信息未过期的情况下,返回第一终端的公钥信息,所述第一终端的公钥信息包括所述第一终端的公钥;所述第一终端是指与所述第二终端建立跨域密钥的终端;生成所述第二终端的临时私钥;基于所述第二终端的临时私钥生成所述第二终端的临时公钥;将所述第二终端的临时公钥发送至所述第一终端,以使所述第一终端在接收到所述第二终端的临时公钥后,基于所述第二终端的临时公钥、所述第二终端的公钥、所述第一终端的私钥和所述第一终端的临时私钥,生成所述跨域密钥;接收所述第一终端的临时公钥;基于所述第二终端的私钥、所述第二终端的临时私钥、所述第二终端的身份信息、所述第一终端的公钥、所述第一终端的临时公钥和所述第一终端的身份信息,生成所述跨域密钥。
第三方面,提供一种电子设备,包括存储器、控制器以及存储在存储器上并可在控制器上运行的计算机程序,所述控制器执行所述计算机程序时实现上述跨域密钥建立方法的步骤。
第四方面,提供一种计算机可读存储介质,所述存储介质中存储有程序,所述程序被处理器执行时用于实现第一方面提供的跨域密钥建立方法。
本申请的有益效果在于:通过第一终端向区域链网路子系统发送第二终端的公钥查询指令,以使区域链网路子系统在接收到第二终端的公钥查询指令后,在第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息;生成第一终端的临时私钥;基于第一终端的临时私钥生成第一终端的临时公钥;将第一终端的临时公钥发送至第二终端,以使第二终端在接收到第一终端的临时公钥后,基于第一终端的临时公钥、第一终端的公钥、第二终端的私钥和第二终端的临时私钥,生成跨域密钥;接收第二终端的临时公钥;基于第一终端的私钥、第一终端的临时私钥、第一终端的身份信息、第二终端的公钥、第二终端的临时公钥和第二终端的身份信息,生成跨域密钥。可以解决两个来自不同领域的设备间的认证与密钥建立的速度较慢的问题。通过区块链网络子系统查询公钥信息,在公钥信息未过期的情况下,快速建立跨域密钥,实现第一终端与第二终端的通信,无需通过第三方服务器建立并分发跨域密钥,因此,可以提高跨域密钥的建立速度。
另外,在云服务器或者节点的私钥泄露的情况下,由云服务器重新生成云服务器和各节点的私钥和公钥,可以提高不同目标域子系统中的各节点之间建立跨域密钥的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一个实施例提供的跨域密钥管理系统的结构示意图;
图2是本申请的一个实施例提供的注册交易数据的示意图;
图3是本申请的一个实施例提供的跨域密钥建立方法的流程图;
图4是本申请的一个实施例提供的跨域密钥建立装置的框图;
图5是本申请的一个实施例提供的另一个跨域密钥建立装置的框图;
图6是本申请的一个实施例提供的电子设备的框图。
具体实施方式
下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在申请中,在未作相反说明的情况下,使用的方位词如“上、下、顶、底”通常是针对附图所示的方向而言的,或者是针对部件本身在竖直、垂直或重力方向上而言的;同样地,为便于理解和描述,“内、外”是指相对于各部件本身的轮廓的内、外,但上述方位词并不用于限制本申请。
如图1所示,本申请的实施例提供的跨域密钥管理系统的结构示意图,根据图1可知,该系统包括区块链网络子系统110和至少两个目标域子系统;
本实施例中,以两个目标域子系统为例进行说明,包括目标域子系统120和目标域子系统130。
在实际实现时,目标域子系统的数量可以为两个或者至少两个,本实施例不对目标域子系统的数量作限定。
如图1所示,区块链网络子系统110包括至少一个区块链节点1110,至少一个区块链节点1110以分布式网络连接方式构成区块链网络子系统110。
本实施例中,每个目标域子系统包括云服务器和至少一个节点,至少一个节点包括边缘节点和终端节点。
可选地,云服务器可以是一个服务器,也可以是至少两个服务器组成的服务器集群,本实施例不对云服务器的实现方式作限定。
本实施例中,至少一个节点为与云服务器建立有通信连接的电子设备,其中,该电子设备可以是手机、计算机或者平板电脑等电子设备,本实施例不对至少一个节点的类型作限定。
本实施例中,云服务器用于初始化云服务器的公钥、云服务器的私钥和系统参数。
其中,系统参数包括{Fp,E,G,q,P,H1,H2,k},其中,Fp为素数阶有限域,素数p为Fp的阶,E为定义在Fp上的椭圆曲线,G为由E上的点和一个无穷远点构成的椭圆曲线群,q为素数,P为G的一个生成元,H1:{0,1}*×G×G→Zq和H2:{0,1}*×{0,1}*×G×G×G×G→{0,1}k为两个独立的哈希函数,k为正整数。
相应地,初始化云服务器的公钥、云服务器的私钥和系统参数,包括:初始化系统参数{Fp,E,G,q,P,H1,H2,k};在Zq中确定第一随机元素作为云服务器的私钥;基于Zq和生成元P,生成云服务器的公钥。
其中,云服务器的公钥,通过下式表示:
PK1=s1·P
式中,PK1为云服务器的公钥,s1为第一随机元素,P为生成元。
在生成云服务器的公钥后,云服务器将包含有云服务器的公钥、云服务器的身份信息的第一注册交易数据发送至区块链网络子系统110。
具体地,云服务器将第一注册交易数据发送至区块链网络子系统110中的区块链节点1110。
其中,第一注册交易数据包括第一交易标识、云服务器的身份信息,云服务器的公钥和公钥有效期。
本实施例中,参考图2,注册交易数据包括交易标识Flag,身份信息ID,公钥信息PK和有效期V。
其中,交易标识Flag可以为0或者1,当Flag为1时,该交易为注册交易;当Flag为0时,该交易为注销交易。
比如:第一注册交易数据可以表示为(Flag,Cloud1,PK1,V),其中,Flag为第一注册交易数据的第一交易标识,为1;Cloud1为云服务器的身份信息;PK1为云服务器的公钥;V为云服务器的公钥PK1的有效期。
本实施例中,区块链网络子系统110,用于在接收到第一注册交易数据后,验证第一注册交易数据,并在验证通过的情况下保存第一注册交易数据。
本实施例中,云服务器还用于生成所属目标域子系统中的至少一个节点的私钥和至少一个节点的公钥信息。
具体地,生成所属目标域子系统中的至少一个节点的私钥和至少一个节点的公钥信息,包括:云服务器在Zq中确定第二随机元素;基于第二随机元素、生成元P、至少一个节点的身份信息、哈希函数H1和云服务的私钥,生成至少一个节点的私钥;基于至少一个节点的私钥、第二随机元素和生成元P,生成至少一个节点的公钥信息。
参考图1,本实例以目标域子系统120中的节点Node1和云服务器Cloud1为例进行说明,节点Node1的私钥为x1,公钥信息为(P1,R1),其中,P1为节点Node1的公钥,R1可以通过下式表示:
R1=r1·P
式中,r1为云服务器Cloud1在Zq中确定第二随机元素,P为云服务器Cloud1初始化的系统参数中的生成元。
节点Node1的私钥x1可以通过下式表示:
x1=r1+h1·s1
式中,r1为云服务器Cloud1在Zq中确定的第二随机元素,s1为云服务器Cloud1在Zq中确定的第一随机元素,h1则可以通过下式表示:
h1=H1(Node1,R1)
式中,H1为云服务器Cloud1初始化的系统参数中的一个哈希函数,Node1为节点Node1的身份信息,R1为节点Node1的公钥信息(P1,R1)中的信息。
节点Node1的公钥P1可以通过下式表示:
P1=x1·P
式中,x1为节点Node1的私钥,P为云服务器Cloud1初始化的系统参数中的生成元。
本实施例中,在云服务生成所属目标域子系统中的至少一个节点的私钥和至少一个节点的公钥信息,云服务器还用于将包含有至少一个节点的公钥信息、至少一个节点的身份信息的第二注册交易数据发送至区块链网络子系统110。
其中,第二注册交易数据包括第二交易标识、至少一个节点的身份信息,至少一个节点的公钥信息和至少一个节点的公钥信息的有效期。
比如:以节点Node1为例,第二注册交易数据可以表示为(Flag,Node1,(P1,R1),V),其中,Flag为第二注册交易数据的第二交易标识,为1;Node1为节点Node1的身份信息;(P1,R1)为节点Node1的公钥信息;V为节点Node1的公钥信息(P1,R1)的有效期。
区块链网络子系统110,还用于在接收到第二注册交易数据后,验证第二注册交易数据,并在验证通过的情况下保存第二注册交易数据。
云服务器或节点的密钥到期或发生私钥泄漏时,为了保证不同目标域子系统中节点之间的通信安全,此时,还需要修改云服务器和云服务所属目标域子系统中全部节点的私钥和公钥,具体包括以下几个方面:
第一方面,修改云服务的公钥和云服务的私钥。
本实施例中,云服务器还用于修改云服务的公钥和云服务的私钥,并将包含云服务器的身份信息和修改后的云服务器的公钥的第三注册交易数据发送至区块链网络子系统110。
相应地,区块链网络子系统110,还用于在接收到第三注册交易数据后,验证第三注册交易数据,并在验证通过的情况下保存第三注册交易数据。
第二方面,修改云服务器所属目标域子系统中的全部节点的公钥信息和的私钥。
云服务器,还用于修改所属目标域子系统中的至少一个节点的公钥信息和至少一个节点的私钥,并将包含至少一个节点的身份信息、修改后的至少一个节点的公钥信息的第四注册交易数据发送至区块链网络子系统110。
相应地,区块链网络子系统110,还用于在接收到第四注册交易数据后,验证第四注册交易数据,并在验证通过的情况下保存第四注册交易数据。
本实施例中,修改云服务器和云服务所属目标域子系统中全部节点的私钥和公钥的方法,与生成云服务器和云服务所属目标域子系统中全部节点的私钥和公钥的方法相同,此处不再赘述。
另外,本实施例中,云服务器还用于在至少一个节点离开所属目标域子系统的情况下,将至少一个节点的注销交易数据发送至区块链网络子系统,以使区块链网络子系统在收到注销交易数据后,验证注销交易数据,并在注销交易数据验证通过的情况下,注销至少一个节点的公钥信息。
比如:以节点Node1离开目标域子系统为例,注销交易数据可以为(Flag,Node1,(0,0),0),其中,Flag为0,Node1为及节点Node1的身份信息。
本实施例中,通过不同目标域子系统中的云服务器生成云服务器的私钥和公钥,以及云服务器目标子区域中的节点的私钥和公钥信息,并由云服务器将云服务器的私钥和公钥,以及云服务器目标子区域中的节点的私钥和公钥信息在区块链网络子系统中注册,以使不同目标域子系统中的节点能够通过区块链网络子系统快速建立跨域密钥。
另外,在云服务器或者节点的私钥泄露的情况下,由云服务器重新生成云服务器和各节点的私钥和公钥,可以提高不同目标域子系统中的各节点之间建立跨域密钥的安全性。
下面对本申请提供的跨域密钥建立方法进行详细介绍。
如图3所示,本申请的实施例提供的一个跨域密钥建立方法,本实施例以该方法用于第一终端为例进行说明,其中,第一终端可以是上述实施例中目标域子系统120或者目标域子系统130中的任意一个节点,也可以是其它目标子系统中的任意一个节点。至少包括以下几个步骤:
步骤301,第一终端向区域链网路子系统发送第二终端的公钥查询指令,以使区域链网路子系统在接收到第二终端的公钥查询指令后,在第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息。
其中,第二终端的公钥信息包括第二终端的公钥;第二终端是指与第一终端建立跨域密钥的终端,第二终端与第一终端处于不同的目标域子系统中。
本实施例中,以第一终端为身份信息为Node1的终端、第二终端为身份信息为Node2的终端为例进行说明,与第一终端Node1通信相连的云服务器基于初始化的系统参数生成第一终端的私钥x1和公钥信息(P1,R1),与第二终端Node2通信相连的云服务器基于初始化的系统参数生成第二终端的私钥x2和公钥信息(P2,R2)。
其中,系统参数包括{Fp,E,G,q,P,H1,H2,k},其中,Fp为素数阶有限域,素数p为Fp的阶,E为定义在Fp上的椭圆曲线,G为由E上的点和一个无穷远点构成的椭圆曲线群,q为素数,P为G的一个生成元,H1:{0,1}*×G×G→Zq和H2:{0,1}*×{0,1}*×G×G×G×G→{0,1}k为两个独立的哈希函数,k为正整数。
本实施例中,不同云服务器初始化的系统参数可以相同或不同。
第一终端向区块链网络子系统查询第二终端的公钥信息(P2,R2),并在确定公钥信息(P2,R2)的有效期未过期的情况下,第一终端会存储第二终端的公钥信息(P2,R2)。
步骤302,第一终端生成第一终端的临时私钥。
在确定第二终端的公钥信息(P2,R2)的有效期未过期,并将公钥信息(P2,R2)存储后,第一终端会生成临时私钥a,其中,a∈Zq
步骤303,第一终端基于第一终端的临时私钥生成第一终端的临时公钥。
本实施例中,第一终端的临时公钥可以通过下式表示:
T1=a·P
式中,T1为第一终端的临时公钥,a为第一终端的临时私钥,P为系统参数中的生成元。
步骤304,第一终端将第一终端的临时公钥发送至第二终端,以使第二终端在接收到第一终端的临时公钥后,基于第一终端的临时公钥、第一终端的公钥、第二终端的私钥和第二终端的临时私钥,生成跨域密钥。
步骤305,第一终端接收第二终端的临时公钥。
步骤306,第一终端基于第一终端的私钥、第一终端的临时私钥、第一终端的身份信息、第二终端的公钥、第二终端的临时公钥和第二终端的身份信息,生成跨域密钥。
其中,跨域密钥可以通过下式表示:
K=H2(Node1,Node2,K1,K2,K3,K4)
式中,K为跨域密钥,H2为系统参数中的一个哈希函数,Node1为第一终端的身份信息,Node2为第二终端的身份信息,K1=x1·P2,K2=a·P2,K3=x1·T2,K4=a·T2,x1为第一终端的私钥,P2第二终端的公钥,a为第一终端的临时私钥,T2为第二终端的临时公钥。
步骤307,第二终端向区域链网路子系统发送第一终端的公钥查询指令,以使区域链网路子系统在接收到第一终端的公钥查询指令后,在第一终端的公钥信息未过期的情况下,返回第一终端的公钥信息。
其中,第二终端的公钥信息包括第二终端的公钥;第二终端是指与第一终端建立跨域密钥的终端,第二终端与第一终端处于不同的目标域子系统中。
第二终端向区块链网络子系统查询第一终端的公钥信息(P1,R1),并在确定公钥信息(P1,R1)的有效期未过期的情况下,第二终端会存储第一终端的公钥信息(P1,R1)。
步骤308,第二终端生成第二终端的临时私钥。
在确定第一终端的公钥信息(P1,R1)的有效期未过期,并将公钥信息(P1,R1)存储后,第二终端会生成临时私钥b,其中,b∈Zq
步骤309,第二终端基于第二终端的临时私钥生成第二终端的临时公钥。
本实施例中,第二终端的临时公钥可以通过下式表示:
T2=b·P
式中,T2为第二终端的临时公钥,b为第一终端的临时私钥,P为系统参数中的生成元。
步骤310,第二终端将第二终端的临时公钥发送至第一终端,以使第一终端在接收到第二终端的临时公钥后,基于第二终端的临时公钥、第二终端的公钥、第一终端的私钥和第一终端的临时私钥,生成跨域密钥。
步骤311,第二终端接收第一终端的临时公钥。
步骤312,第二终端基于第二终端的私钥、第二终端的临时私钥、第二终端的身份信息、第一终端的公钥、第一终端的临时公钥和第一终端的身份信息,生成跨域密钥。
其中,跨域密钥可以通过下式表示:
K=H2(Node1,Node2,K1,K2,K3,K4)
式中,K为跨域密钥,H2为系统参数中的一个哈希函数,Node1为第一终端的身份信息,Node2为第二终端的身份信息,K1=x2·P1,K2=x2·T1,K3=b·P1,K4=b·T1,x2为第二终端的私钥,P1为第一终端的公钥,T1为第一终端的临时公钥,b为第二终端的临时私钥。
步骤307-311与在步骤301至305同时执行,步骤312可以在步骤306之后执行,也可以在步骤306之前执行,或者还可以与步骤306同时执行。
综上所述,本实施例提供的跨域密钥建立方法,通过第一终端向区域链网路子系统发送第二终端的公钥查询指令,以使区域链网路子系统在接收到第二终端的公钥查询指令后,在第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息;生成第一终端的临时私钥;基于第一终端的临时私钥生成第一终端的临时公钥;将第一终端的临时公钥发送至第二终端,以使第二终端在接收到第一终端的临时公钥后,基于第一终端的临时公钥、第一终端的公钥、第二终端的私钥和第二终端的临时私钥,生成跨域密钥;接收第二终端的临时公钥;基于第一终端的私钥、第一终端的临时私钥、第一终端的身份信息、第二终端的公钥、第二终端的临时公钥和第二终端的身份信息,生成跨域密钥。可以解决两个来自不同领域的设备间的认证与密钥建立的速度较慢的问题。通过区块链网络子系统查询公钥信息,在公钥信息未过期的情况下,快速建立跨域密钥,实现第一终端与第二终端的通信,无需通过第三方服务器建立并分发跨域密钥,因此,可以提高跨域密钥的建立速度。
本实施例提供一种跨域密钥建立装置,如图4所示。本实施例以该装置应用于图3所示的第一终端中,该装置包括至少以下几个模块:指令发送模块410、私钥生成模块420、公钥生成模块430、公钥发送模块440、公钥接收模块450和密钥生成模块460。
指令发送模块410,用于向区域链网路子系统发送第二终端的公钥查询指令,以使区域链网路子系统在接收到第二终端的公钥查询指令后,在第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息,第二终端的公钥信息包括第二终端的公钥;第二终端是指与第一终端建立跨域密钥的终端;
私钥生成模块420,用于生成第一终端的临时私钥;
公钥生成模块430,用于基于第一终端的临时私钥生成第一终端的临时公钥;
公钥发送模块440,用于将第一终端的临时公钥发送至第二终端,以使第二终端在接收到第一终端的临时公钥后,基于第一终端的临时公钥、第一终端的公钥、第二终端的私钥和第二终端的临时私钥,生成跨域密钥;
公钥接收模块450,用于接收第二终端的临时公钥;
密钥生成模块460,用于基于第一终端的私钥、第一终端的临时私钥、第一终端的身份信息、第二终端的公钥、第二终端的临时公钥和第二终端的身份信息,生成跨域密钥。
相关细节参考上述方法和系统实施例。
本实施例提供一种跨域密钥建立装置,如图5所示。本实施例以该装置应用于图3所示的第二终端中,该装置包括至少以下几个模块:指令发送模块510、私钥生成模块520、公钥生成模块530、公钥发送模块540、公钥接收模块450和密钥生成模块560。
指令发送模块510,用于向区域链网路子系统发送第一终端的公钥查询指令,以使区域链网路子系统在接收到第一终端的公钥查询指令后,在第一终端的公钥信息未过期的情况下,返回第一终端的公钥信息,第一终端的公钥信息包括第一终端的公钥;第一终端是指与第二终端建立跨域密钥的终端;
私钥生成模块520,用于生成第二终端的临时私钥;
公钥生成模块530,用于基于第二终端的临时私钥生成第二终端的临时公钥;
公钥发送模块540,用于将第二终端的临时公钥发送至第一终端,以使第一终端在接收到第二终端的临时公钥后,基于第二终端的临时公钥、第二终端的公钥、第一终端的私钥和第一终端的临时私钥,生成跨域密钥;
公钥接收模块550,用于接收第一终端的临时公钥;
密钥生成模块560,用于基于第二终端的私钥、第二终端的临时私钥、第二终端的身份信息、第一终端的公钥、第一终端的临时公钥和第一终端的身份信息,生成跨域密钥。
相关细节参考上述方法和系统实施例。
需要说明的是:上述实施例中提供的跨域密钥建立装置在进行跨域密钥建立时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将跨域密钥建立装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的跨域密钥建立装置与跨域密钥建立方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本实施例提供一种电子设备,如图6所示。该电子设备至少包括处理器601和存储器602。
处理器601可以包括一个或至少一个处理核心,比如:4核心处理器、8核心处理器等。处理器601可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器601也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器601可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器601还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器602可以包括一个或至少一个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器602还可包括高速随机存取存储器,以及非易失性存储器,比如一个或至少一个磁盘存储设备、闪存存储设备。在一些实施例中,存储器602中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器601所执行以实现本申请中方法实施例提供的跨域密钥建立方法。
在一些实施例中,电子设备还可选包括有:外围设备接口和至少一个外围设备。处理器601、存储器602和外围设备接口之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口相连。示意性地,外围设备包括但不限于:射频电路、触摸显示屏、音频电路、和电源等。
当然,电子设备还可以包括更少或更多的组件,本实施例对此不作限定。
可选地,本申请还提供有一种计算机可读存储介质,计算机可读存储介质中存储有程序,程序由处理器加载并执行以实现上述方法实施例的跨域密钥建立方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
显然,上述所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,可以做出其它不同形式的变化或变动,都应当属于本申请保护的范围。

Claims (11)

1.一种跨域密钥管理系统,其特征在于,所述系统包括:区块链网络子系统和至少两个目标域子系统;
所述区块链网络子系统包括至少一个区块链节点,所述至少一个区块链节点以分布式网络连接方式构成所述区块链网络子系统;
每个目标域子系统包括云服务器和至少一个节点,所述至少一个节点包括边缘节点和终端节点;
所述云服务器,用于初始化所述云服务器的公钥、所述云服务器的私钥和系统参数,并将包含有所述云服务器的公钥、所述云服务器的身份信息的第一注册交易数据发送至所述区块链网络子系统;
所述区块链网络子系统,用于在接收到所述第一注册交易数据后,验证所述第一注册交易数据,并在验证通过的情况下保存所述第一注册交易数据;
所述云服务器,还用于生成所属目标域子系统中的所述至少一个节点的私钥和所述至少一个节点的公钥信息,并将包含有所述至少一个节点的公钥信息、所述至少一个节点的身份信息的第二注册交易数据发送至所述区块链网络子系统;
所述区块链网络子系统,还用于在接收到所述第二注册交易数据后,验证所述第二注册交易数据,并在验证通过的情况下保存所述第二注册交易数据。
2.根据权利要求1所述的系统,其特征在于,所述系统参数包括{Fp,E,G,q,P,H1,H2,k},其中,Fp为素数阶有限域,素数p为所述Fp的阶,E为定义在所述Fp上的椭圆曲线,G为由所述E上的点和一个无穷远点构成的椭圆曲线群,q为素数,P为所述G的一个生成元,H1:{0,1}*×G×G→Zq和H2:{0,1}*×{0,1}*×G×G×G×G→{0,1}k为两个独立的哈希函数,k为正整数。
3.根据权利要求2所述的系统,其特征在于,所述初始化所述云服务器的公钥、所述云服务器的私钥和系统参数,包括:
初始化所述系统参数{Fp,E,G,q,P,H1,H2,k};
在所述Zq中确定第一随机元素作为所述云服务器的私钥;
基于所述Zq和所述生成元P,生成所述云服务器的公钥。
4.根据权利要求2所述的系统,其特征在于,所述生成所属目标域子系统中的所述至少一个节点的私钥和所述至少一个节点的公钥信息,包括:
所述云服务器在所述Zq中确定第二随机元素;
基于所述第二随机元素、所述生成元P、所述至少一个节点的身份信息、所述哈希函数H1和所述云服务的私钥,生成至少一个节点的私钥;
基于所述至少一个节点的私钥、所述第二随机元素和所述生成元P,生成所述至少一个节点的公钥信息。
5.根据权利要求1所述的系统,其特征在于,所述云服务器,还用于修改所述云服务的公钥和所述云服务的私钥,并将包含所述云服务器的身份信息和修改后的所述云服务器的公钥的第三注册交易数据发送至所述区块链网络子系统;
所述区块链网络子系统,还用于在接收到所述第三注册交易数据后,验证所述第三注册交易数据,并在验证通过的情况下保存所述第三注册交易数据;
所述云服务器,还用于修改所属目标域子系统中的所述至少一个节点的公钥信息和所述至少一个节点的私钥,并将包含所述至少一个节点的身份信息、修改后的所述至少一个节点的公钥信息的第四注册交易数据发送至所述区块链网络子系统;
所述区块链网络子系统,还用于在接收到所述第四注册交易数据后,验证所述第四注册交易数据,并在验证通过的情况下保存所述第四注册交易数据。
6.根据权利要求1所述的方法,其特征在于,所述云服务器,还用于所述在至少一个节点离开所述所属目标域子系统的情况下,将所述至少一个节点对应的注销交易数据发送至所述区块链网络子系统,以使所述区块链网络子系统在收到所述注销交易数据后,验证所述注销交易数据,并在所述注销交易数据验证通过的情况下,注销所述至少一个节点的公钥信息。
7.根据权利要求1所述的系统,其特征在于,所述第一注册交易数据包括第一交易标识、所述云服务器的身份信息,所述云服务器的公钥和所述公钥有效期;所述第二注册交易数据包括第二交易标识、所述至少一个节点的身份信息,所述至少一个节点的公钥信息和所述至少一个节点的公钥信息的有效期。
8.一种跨域密钥建立方法,其特征在于,用于第一终端,所述方法包括:
向区域链网路子系统发送第二终端的公钥查询指令,以使所述区域链网路子系统在接收到所述第二终端的公钥查询指令后,在所述第二终端的公钥信息未过期的情况下,返回第二终端的公钥信息,所述第二终端的公钥信息包括所述第二终端的公钥;所述第二终端是指与所述第一终端建立跨域密钥的终端;
生成所述第一终端的临时私钥;
基于所述第一终端的临时私钥生成所述第一终端的临时公钥;
将所述第一终端的临时公钥发送至所述第二终端,以使所述第二终端在接收到所述第一终端的临时公钥后,基于所述第一终端的临时公钥、所述第一终端的公钥、所述第二终端的私钥和所述第二终端的临时私钥,生成所述跨域密钥;
接收所述第二终端的临时公钥;
基于所述第一终端的私钥、所述第一终端的临时私钥、所述第一终端的身份信息、所述第二终端的公钥、所述第二终端的临时公钥和所述第二终端的身份信息,生成所述跨域密钥。
9.一种跨域密钥建立方法,其特征在于,用于第二终端,所述方法包括:
向区域链网路子系统发送第一终端的公钥查询指令,以使所述区域链网路子系统在接收到所述第一终端的公钥查询指令后,在所述第一终端的公钥信息未过期的情况下,返回第一终端的公钥信息,所述第一终端的公钥信息包括所述第一终端的公钥;所述第一终端是指与所述第二终端建立跨域密钥的终端;
生成所述第二终端的临时私钥;
基于所述第二终端的临时私钥生成所述第二终端的临时公钥;
将所述第二终端的临时公钥发送至所述第一终端,以使所述第一终端在接收到所述第二终端的临时公钥后,基于所述第二终端的临时公钥、所述第二终端的公钥、所述第一终端的私钥和所述第一终端的临时私钥,生成所述跨域密钥;
接收所述第一终端的临时公钥;
基于所述第二终端的私钥、所述第二终端的临时私钥、所述第二终端的身份信息、所述第一终端的公钥、所述第一终端的临时公钥和所述第一终端的身份信息,生成所述跨域密钥。
10.一种电子设备,其特征在于,所述设备包括处理器和存储器;所述存储器中存储有程序,所述程序由所述处理器加载并执行以实现如权利要求8至9任一所述的跨域密钥建立方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质中存储有程序,所述程序被处理器执行时用于实现如权利要求8至9任一所述的跨域密钥建立方法。
CN202210841795.3A 2022-07-18 2022-07-18 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质 Active CN115134163B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210841795.3A CN115134163B (zh) 2022-07-18 2022-07-18 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210841795.3A CN115134163B (zh) 2022-07-18 2022-07-18 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN115134163A true CN115134163A (zh) 2022-09-30
CN115134163B CN115134163B (zh) 2023-08-25

Family

ID=83384445

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210841795.3A Active CN115134163B (zh) 2022-07-18 2022-07-18 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115134163B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667616A (zh) * 2018-05-03 2018-10-16 西安电子科技大学 基于标识的跨云安全认证系统和方法
CN109102294A (zh) * 2018-08-24 2018-12-28 北京京东尚科信息技术有限公司 信息传输方法和装置
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统
CN113162949A (zh) * 2021-05-13 2021-07-23 北京工业大学 一种基于区块链的工业物联网设备跨域身份认证方案
WO2022089518A1 (zh) * 2020-10-31 2022-05-05 华为技术有限公司 地址的生成方法、区块链信息的处理方法以及相关设备
CN114710275A (zh) * 2022-03-28 2022-07-05 湖南科技大学 物联网环境下基于区块链的跨域认证和密钥协商方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667616A (zh) * 2018-05-03 2018-10-16 西安电子科技大学 基于标识的跨云安全认证系统和方法
CN109102294A (zh) * 2018-08-24 2018-12-28 北京京东尚科信息技术有限公司 信息传输方法和装置
WO2022089518A1 (zh) * 2020-10-31 2022-05-05 华为技术有限公司 地址的生成方法、区块链信息的处理方法以及相关设备
CN112637211A (zh) * 2020-12-24 2021-04-09 国网河北省电力有限公司信息通信分公司 一种基于区块链的跨域访问的认证方法及系统
CN113162949A (zh) * 2021-05-13 2021-07-23 北京工业大学 一种基于区块链的工业物联网设备跨域身份认证方案
CN114710275A (zh) * 2022-03-28 2022-07-05 湖南科技大学 物联网环境下基于区块链的跨域认证和密钥协商方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DONG SHUAI等: "Blockchain-based cross-domain authentication strategy for trusted access to mobile devices in the IoT", IEEE *
张昊迪等: "基于区块链技术的跨域身份认证机制研究", 广东通信技术 *

Also Published As

Publication number Publication date
CN115134163B (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
CN107257340B (zh) 一种认证方法、基于区块链的认证数据处理方法及设备
TWI703470B (zh) 區塊鏈資料處理方法、裝置、處理設備及系統
TWI701933B (zh) 一種區塊鏈資料處理方法、裝置、處理設備及系統
CN112686668A (zh) 联盟链跨链系统及方法
CN110177124A (zh) 基于区块链的身份认证方法及相关设备
CN109660534B (zh) 基于多商户的安全认证方法、装置、电子设备及存储介质
CN112311543B (zh) Gba的密钥生成方法、终端和naf网元
CN103152732B (zh) 一种云密码系统及其运行方法
CN110430167B (zh) 临时账户的管理方法、电子设备、管理终端及存储介质
CN113378148A (zh) 一种基于区块链的物联网设备身份认证系统及方法
CN114760071B (zh) 基于零知识证明的跨域数字证书管理方法、系统和介质
Zhao et al. Fuzzy identity-based dynamic auditing of big data on cloud storage
CN112468497B (zh) 区块链的终端设备授权认证方法、装置、设备及存储介质
CN114553440A (zh) 基于区块链和属性签名的跨数据中心身份认证方法及系统
CN112751878B (zh) 一种页面请求处理方法及装置
CN113779536A (zh) 一种用户访问方法、系统、电子设备及介质
CN117478302A (zh) 基于区块链隐私节点身份验证方法及装置
CN109818753B (zh) 择一客户端为多客户端多服务器生成密钥的方法和设备
CN109981591B (zh) 单一客户端生成私钥的密钥管理方法、电子设备
CN115134163B (zh) 跨域密钥管理系统、跨域密钥建立方法、设备及存储介质
CN115150086A (zh) 云服务基于生物特征的公钥的身份认证方法及设备
US11171953B2 (en) Secret sharing-based onboarding authentication
CN113868713A (zh) 一种数据验证方法、装置、电子设备及存储介质
CN114024692A (zh) 签约方法、装置及系统
CN113704723B (zh) 基于区块链的数字身份核验方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant