CN116389111A - 基于标识的强权限控制模式下联盟链身份认证方式 - Google Patents

基于标识的强权限控制模式下联盟链身份认证方式 Download PDF

Info

Publication number
CN116389111A
CN116389111A CN202310350070.9A CN202310350070A CN116389111A CN 116389111 A CN116389111 A CN 116389111A CN 202310350070 A CN202310350070 A CN 202310350070A CN 116389111 A CN116389111 A CN 116389111A
Authority
CN
China
Prior art keywords
user
key
public key
identity authentication
chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310350070.9A
Other languages
English (en)
Inventor
邱望洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202310350070.9A priority Critical patent/CN116389111A/zh
Publication of CN116389111A publication Critical patent/CN116389111A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开了基于标识的强权限控制模式下联盟链身份认证方式,利用椭圆曲线双线性对理论,由用户标识和一组公开的数学参数计算出用户公钥,用户公钥包括用户在联盟链上的用户标识和版本号,其中用户标识用于身份认证,版本号用于密钥更新;和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内的秘密值计算得出,并由密钥生成中心统一产生下载给用户。本发明采用上述身份认证方式,不需要可信第三方的参与,有效抵御中间人的攻击;无需数字证书将身份信息和公钥绑定,减小了身份认证过程中传输证书占据的带宽,提高了身份认证效率;还解决了IBC密钥更新的难题。

Description

基于标识的强权限控制模式下联盟链身份认证方式
技术领域
本发明涉及身份认证技术领域,尤其是涉及基于标识的强权限控制模式下联盟链身份认证方式。
背景技术
联盟链是一种将区块链技术应用于企业的相对较新的方式。强权限控制场景下的联盟区块链的群体主要是银行、保险、证券、商业协会、集团企业及上下游企业,这些企业普遍己经IT化和互联网化,区块链对于进一步提升这些产业链条中的公证、结算清算业务和价值交换网络的效率很有帮助。
联盟链是一种需要身份认证的区块链,只有通过认证的节点或组织才能参与联盟链网络中的交易。现有的身份认证通常采用传统的公钥基础设施(Public KeyInfrastructure,PKI)认证机制,引入一个可信第三方证书中心(Certificate Authority,CA),负责管理PKI结构下所有用户的数字证书,通过存储各个用户的身份,以及其所对应的公钥信息,将用户的公钥和身份信息进行绑定,但是数字证书的使用增大了用户使用的复杂度,且资源开销较大。
在海量终端设备认证信任场景下,PKI认证机制并不适用,一旦网络收到终端请求超过了资源处理能力,容易导致网络服务出现问题,这时第三方服务对用户公钥和身份关系的维护就变得很困难。频繁的公钥检索可能会使得可信第三方服务能力下降,甚至遭受拒绝服务攻击(Deny of Service,DoS)。另外可信第三方本身需要极佳的计算和网络通信能力,才有可能负担得起如此大规模用户的服务请求。
Shamir首次提出的基于身份标识的密码系统(Identity-Based Cryptograph,IBC),其中每个实体具有一个有意义的、唯一的标识作为公钥,无需数字证书将身份信息与公钥绑定,能够避免PKI中复杂的证书管理难题,具有几个显著的优点:无证书、基于身份的密码机制、密钥使用和管理的便捷性,既保证了强签名的安全特性,又满足了各种应用更灵活的安全需求。然而IBC密码技术中公钥与身份之间的维护过程较为复杂,身份认证过程中传输证书占据的带宽较大,导致身份认证效率较慢,此外IBC密钥更新难题也未得到解决。
发明内容
本发明的目的是提供基于标识的强权限控制模式下联盟链身份认证方式,不需要可信第三方的参与,有效抵御中间人的攻击;无需数字证书将身份信息和公钥绑定,减小了身份认证过程中传输证书占据的带宽,提高了身份认证效率;还解决了IBC密钥更新的难题。
为实现上述目的,本发明提供了基于标识的强权限控制模式下联盟链身份认证方式,利用椭圆曲线双线性对理论,由用户标识和一组公开的数学参数计算出用户公钥,用户公钥包括用户在联盟链上的用户标识和版本号,其中用户标识用于身份认证,版本号用于密钥更新;和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内的秘密值计算得出,并由密钥生成中心统一产生下载给用户。
优选的,所述一个域范围内的秘密值为用于生成用户私钥的随机数。
优选的,所述密钥的生成步骤如下:
a、密钥生成中心初始化;
b、接收密钥注册请求;
c、解析请求参数;
d、用户身份校验;
e、用户公钥及私钥生成;
f、将主公钥封装到用户公钥中;
g、返回用户公钥及私钥。
优选的,所述密钥更新包括如下步骤:
(1)用户因密钥泄露而主动申请密钥更新,密钥更新仅更新版本号,更新后的版本号为原版本号+1,其具体步骤为:密钥生成中心收到节点的密钥更新请求后,对请求方进行身份校验,查询撤销map中是否存在,若不存在,则将用户标识存入撤销map中,value值置为1;若存在,则将用户标识对应的value值+1,并将生成的新用户标识对应的密钥下发给用户;
(2)当节点进行通信时,发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,若不存在,则返回初始版本号1。
优选的,所述身份认证包括如下步骤:
S1、生成链配置文件:配置文件中定义了链上资源名称及访问该资源所需权限;
S2、密钥生成中心初始化:生成主密钥对,并将主公钥写入链配置文件中;
S3、用户注册:用户向密钥生成中心发起注册请求,密钥生成中心返回用户密钥对;
S4、链服务初始化:通过配置文件解析主公钥和资源权限并进行链服务初始化;
S5、生成交易:发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链;
S6、对用户公钥进行验证:联盟链共识节点取出交易中的用户公钥,并校验用户公钥封装的主公钥是否与链上主公钥一致,若不一致证明该用户公钥不被信任拒绝该交易,若一致则进行签名校验;
S7、签名校验:联盟链共识节点使用用户签名公钥验证签名是否正确,如果错误则拒绝该交易;
S8、权限定位:联盟链共识节点取出交易中访问的资源名称,查找链上对应的权限定义;
S9、权限校验:联盟链共识节点根据交易中的用户标识,取出用户对应的身份权限,判断用户所属权限是否与访问资源对应权限一致;
S10、共识:共识节点根据对应共识算法对交易进行共识,若达成共识则将交易上链。
本发明所述的基于标识的强权限控制模式下联盟链身份认证方式的优点和积极效果是:
1、本发明中公钥由身份标识唯一确定,不需要可信第三方(CA)将用户的身份和用户的公钥绑定,简化了维护公钥与身份之间关系的过程,另外由于用户在链上的身份信息就是公钥,攻击者对目标受害者接收到的公钥进行替换后,受害者可以直观的观察到接收的公钥是否被替换,避免了中间人攻击导致的消息泄露。
2、本发明中无需数字证书将身份信息与公钥绑定,在身份认证过程中可以只传输公钥,用户所需的身份信息可在公钥中提取,减小了身份认证过程中传输证书占据的带宽,提高了身份认证效率。
3、本发明中通过密钥生成中心这个可信第三方用于分发和管理私钥,在用户标识后面附加版本号,并在密钥生成中心中维护一个撤销map,key值为用户标识,value值为版本号,当节点间进行通信时,校验接收方的用户标识是否在撤销map中,若存在,则该密钥已被更新,并将更新后的版本号返回给消息发送方,发送方可通过返回的版本号,拼接接收方新公钥,解决了IBC密钥更新难题。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的整体结构图;
图2为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的用户密钥生成流程图;
图3为本发明基于标识的强权限控制模式下联盟链身份认证方式实施例的密钥更新流程图。
具体实施方式
以下通过附图和实施例对本发明的技术方案作进一步说明。
除非另外定义,本发明使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。
实施例
基于标识的强权限控制模式下联盟链身份认证方式,是基于IBC密码技术的一种公钥密码技术。利用椭圆曲线双线性对理论,由用户标识和一组公开的数学参数计算出用户公钥,用户公钥包括用户在联盟链上的用户标识和版本号,其中用户标识用于身份认证,版本号用于密钥更新;和用户公钥相应的用户私钥由用户标识、一组公开的数学参数和一个域范围内的秘密值计算得出,并由密钥生成中心统一产生下载给用户,其中一个域范围内的秘密值包括系统私钥等参数。本发明申请的整体结构图如图1所示。
用户密钥生成的流程图如图2所示,具体的,用户密钥的生成步骤如下:
a、密钥生成中心初始化;
b、接收密钥注册请求;
c、解析请求参数;
d、用户身份校验;
e、用户公钥及私钥生成;
f、将主公钥封装到用户公钥中;
g、返回用户公钥及私钥。
用户密钥更新流程图如图3所示,具体的,密钥更新包括如下步骤:
(1)用户因密钥泄露而主动申请密钥更新,密钥更新仅更新版本号,更新后的版本号为原版本号+1,其具体步骤为:密钥生成中心收到节点的密钥更新请求后,对请求方进行身份校验,查询撤销map中是否存在,若不存在,则将用户标识存入撤销map中,value值置为1;若存在,则将用户标识对应的value值+1,并将生成的新用户标识对应的密钥下发给用户。
(2)当节点进行通信时,发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,若不存在,则返回初始版本号1。
身份认证包括如下步骤:
S1、生成链配置文件:配置文件中定义了链上资源名称及访问该资源所需权限;
S2、密钥生成中心初始化:生成主密钥对,并将主公钥写入链配置文件中;
S3、用户注册:用户向密钥生成中心发起注册请求,密钥生成中心返回用户密钥对;
S4、链服务初始化:通过配置文件解析主公钥和资源权限并进行链服务初始化;
S5、生成交易:发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链;
S6、对用户公钥进行验证:联盟链共识节点取出交易中的用户公钥,并校验用户公钥封装的主公钥是否与链上主公钥一致,若不一致证明该用户公钥不被信任拒绝该交易,若一致则进行签名校验;
S7、签名校验:联盟链共识节点使用用户签名公钥验证签名是否正确,如果错误则拒绝该交易;
S8、权限定位:联盟链共识节点取出交易中访问的资源名称,查找链上对应的权限定义;
S9、权限校验:联盟链共识节点根据交易中的用户标识,取出用户对应的身份权限,判断用户所属权限是否与访问资源对应权限一致;
S10、共识:共识节点根据对应共识算法对交易进行共识,若达成共识则将交易上链。
因此,本发明采用上述的基于标识的强权限控制模式下联盟链身份认证方式,不需要可信第三方的参与,在交易过程中联盟链共识节点取出交易中的用户公钥,并校验用户公钥封装的主公钥是否与链上主公钥一致,若不一致证明该用户公钥不被信任拒绝该交易,若一致则进行签名校验;联盟链共识节点使用用户签名公钥验证签名是否正确,如果错误则拒绝该交易;故接收方能够验证消息的来源和正确性,从而可以有效抵御中间人的攻击;无需数字证书将身份信息和公钥绑定,减小了身份认证过程中传输证书占据的带宽,提高了身份认证效率;还解决了IBC密钥更新的难题。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

Claims (5)

1.基于标识的强权限控制模式下联盟链身份认证方式,其特征在于:利用椭圆曲线双线性对理论,由用户标识和数学参数计算出用户公钥,用户公钥包括用户在联盟链上的用户标识和版本号,其中用户标识用于身份认证,版本号用于密钥更新;和用户公钥相应的用户私钥由用户标识、数学参数和秘密值计算得出,并由密钥生成中心统一产生下载给用户。
2.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式,其特征在于:所述秘密值为用于生成用户私钥的随机数。
3.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式,其特征在于,所述密钥的生成步骤如下:
a、密钥生成中心初始化;
b、接收密钥注册请求;
c、解析请求参数;
d、用户身份校验;
e、用户公钥及私钥生成;
f、将主公钥封装到用户公钥中;
g、返回用户公钥及私钥。
4.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式,其特征在于,所述密钥更新包括如下步骤:
(1)用户因密钥泄露而主动申请密钥更新,密钥更新仅更新版本号,更新后的版本号为原版本号+1,其具体步骤为:密钥生成中心收到节点的密钥更新请求后,对请求方进行身份校验,查询撤销map中是否存在,若不存在,则将用户标识存入撤销map中,value值置为1;若存在,则将用户标识对应的value值+1,并将生成的新用户标识对应的密钥下发给用户;
(2)当节点进行通信时,发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,若不存在,则返回初始版本号1。
5.根据权利要求1所述的基于标识的强权限控制模式下联盟链身份认证方式,其特征在于,所述身份认证包括如下步骤:
S1、生成链配置文件:配置文件中定义了链上资源名称及访问该资源所需权限;
S2、密钥生成中心初始化:生成主密钥对,并将主公钥写入链配置文件中;
S3、用户注册:用户向密钥生成中心发起注册请求,密钥生成中心返回用户密钥对;
S4、链服务初始化:通过配置文件解析主公钥和资源权限并进行链服务初始化;
S5、生成交易:发送方向密钥生成中心发起查询接收方用户标识请求,密钥生成中心查询接收方用户标识是否在撤销map中,若存在,则密钥生成中心返回给发送方最近版本号,发送方将最新版本号与接收方用户标识进行拼接,得出接收方当前最新公钥,发送方使用接收方的公钥对消息进行加密并使用自己的签名私钥进行签名生成一笔交易发送至联盟链;
S6、对用户公钥进行验证:联盟链共识节点取出交易中的用户公钥,并校验用户公钥封装的主公钥是否与链上主公钥一致,若不一致证明该用户公钥不被信任拒绝该交易,若一致则进行签名校验;
S7、签名校验:联盟链共识节点使用用户签名公钥验证签名是否正确,如果错误则拒绝该交易;
S8、权限定位:联盟链共识节点取出交易中访问的资源名称,查找链上对应的权限定义;
S9、权限校验:联盟链共识节点根据交易中的用户标识,取出用户对应的身份权限,判断用户所属权限是否与访问资源对应权限一致;
S10、共识:共识节点根据对应共识算法对交易进行共识,若达成共识则将交易上链。
CN202310350070.9A 2023-04-04 2023-04-04 基于标识的强权限控制模式下联盟链身份认证方式 Pending CN116389111A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310350070.9A CN116389111A (zh) 2023-04-04 2023-04-04 基于标识的强权限控制模式下联盟链身份认证方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310350070.9A CN116389111A (zh) 2023-04-04 2023-04-04 基于标识的强权限控制模式下联盟链身份认证方式

Publications (1)

Publication Number Publication Date
CN116389111A true CN116389111A (zh) 2023-07-04

Family

ID=86967053

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310350070.9A Pending CN116389111A (zh) 2023-04-04 2023-04-04 基于标识的强权限控制模式下联盟链身份认证方式

Country Status (1)

Country Link
CN (1) CN116389111A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116633692A (zh) * 2023-07-24 2023-08-22 天津大学合肥创新发展研究院 一种服务器、数据安全系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116633692A (zh) * 2023-07-24 2023-08-22 天津大学合肥创新发展研究院 一种服务器、数据安全系统及方法
CN116633692B (zh) * 2023-07-24 2023-10-13 天津大学合肥创新发展研究院 一种服务器、数据安全系统及方法

Similar Documents

Publication Publication Date Title
CN112039872B (zh) 基于区块链的跨域匿名认证方法及系统
Wang et al. Blockchain-based anonymous authentication with key management for smart grid edge computing infrastructure
CN113194469B (zh) 基于区块链的5g无人机跨域身份认证方法、系统及终端
Liu et al. Bua: A blockchain-based unlinkable authentication in vanets
CN112583596B (zh) 一种基于区块链技术的完全跨域身份认证方法
US11223486B2 (en) Digital signature method, device, and system
Memon et al. Design and implementation to authentication over a GSM system using certificate-less public key cryptography (CL-PKC)
CA2512645A1 (en) System, apparatus and method for replacing a cryptographic key
CN109687965A (zh) 一种保护网络中用户身份信息的实名认证方法
Xue et al. A distributed authentication scheme based on smart contract for roaming service in mobile vehicular networks
CN111934884B (zh) 一种证书管理方法及装置
CN113612610B (zh) 一种会话密钥协商方法
CN112398658A (zh) 一种分布式数字证书管理方法和系统、设备及存储介质
Pang et al. Efficient and secure certificateless signature scheme in the standard model
CN110635899B (zh) 一种ibc用户密钥更新方法及装置
CN116389111A (zh) 基于标识的强权限控制模式下联盟链身份认证方式
CN111049649A (zh) 一种基于标识密码的零交互密钥协商安全增强协议
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN116684093B (zh) 身份认证与密钥交换方法及系统
Zhang et al. Ndn-mps: Supporting multiparty authentication over named data networking
WO2023010688A1 (zh) 一种密钥管理方法及装置
CN107395364B (zh) 一种基于标识的组合密钥跨域认证方法
CN114374700B (zh) 基于主从多链的支持广域协同的可信身份管理方法
CN101588240A (zh) 一种报文处理方法
CN110943846B (zh) 基于环签名技术的异构身份联盟用户信誉值传递方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination