CN117675243A - 联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 - Google Patents
联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 Download PDFInfo
- Publication number
- CN117675243A CN117675243A CN202211044101.XA CN202211044101A CN117675243A CN 117675243 A CN117675243 A CN 117675243A CN 202211044101 A CN202211044101 A CN 202211044101A CN 117675243 A CN117675243 A CN 117675243A
- Authority
- CN
- China
- Prior art keywords
- initiator
- service
- authorized transaction
- transaction
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 239000003999 initiator Substances 0.000 claims abstract description 494
- 238000012795 verification Methods 0.000 claims abstract description 169
- 230000004044 response Effects 0.000 claims abstract description 144
- 238000013475 authorization Methods 0.000 claims abstract description 138
- 238000004590 computer program Methods 0.000 claims abstract description 35
- 230000000977 initiatory effect Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 26
- 239000000284 extract Substances 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 abstract description 13
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 18
- 230000007246 mechanism Effects 0.000 description 15
- 238000004422 calculation algorithm Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 9
- 238000003672 processing method Methods 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 6
- 238000013500 data storage Methods 0.000 description 6
- 230000008520 organization Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种联盟链鉴权方法、装置、计算机设备、计算机可读存储介质和计算机程序产品,可应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。该方法包括:获取业务发起方在创建发起方公私钥对后,使用发起方公私钥对中的发起方公钥发送的发起方标识请求;确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识;接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果;向业务响应节点反馈验签结果;该发起方标识用于生成用于使业务发起方向联盟链上的业务响应节点发起业务请求的第一授权交易凭证。采用上述方法能够提高安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种联盟链鉴权方法、装置、联盟链鉴权系统、计算机设备、计算机可读存储介质和计算机程序产品。
背景技术
联盟链是由多个私有链组成且由多个机构共同参与管理的区块链。其中,联盟链上进行共同分布式记账的机构被称为权威机构。在联盟链实际业务场景中,需要在响应业务请求之前进行鉴权,以保证业务的合法性和数据的不可篡改。
传统的联盟链鉴权方法,在联盟链中权威机构节点私有的中心化账户体系中实现鉴权业务,其本质为中心化的账户鉴权模式,存在安全性较差的缺点。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全性的联盟链鉴权方法、装置、计算机设备、联盟链鉴权系统、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种联盟链鉴权方法。所述方法包括:
获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
向所述业务响应节点反馈所述验签结果。
第二方面,本申请提供了一种联盟链鉴权方法。所述方法包括:
创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
第三方面,本申请提供了一种联盟链鉴权系统。所述系统包括身份服务节点和业务响应节点;
所述身份服务节点获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;
所述业务响应节点接收所述业务发起方基于所述第一授权交易凭证发起的业务请求,并从所述业务请求中提取第二授权交易凭证;所述业务请求与所述业务参数对应;
所述身份服务节点接收所述业务响应节点发送的所述第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,并向所述业务响应节点反馈所述验签结果。
第四方面,本申请提供了一种联盟链鉴权装置。所述装置包括:
标识请求获取模块,用于获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
标识确定模块,用于确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
验签模块,用于接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
验签结果反馈模块,用于向所述业务响应节点反馈所述验签结果。
第五方面,本申请提供了一种联盟链鉴权装置。所述装置包括:
标识请求发送模块,用于创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
第一签名信息确定模块,用于确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
业务请求发送模块,用于使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
第六方面,本申请提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
向所述业务响应节点反馈所述验签结果。
第七方面,本申请提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
第八方面,本申请提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
向所述业务响应节点反馈所述验签结果。
第九方面,本申请提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
第十方面,本申请提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
向所述业务响应节点反馈所述验签结果。
第十一方面,本申请提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
上述联盟链鉴权方法、装置、联盟链鉴权系统、计算机设备、计算机可读存储介质和计算机程序产品,获取业务发起方在创建发起方公私钥对后,使用发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与该发起方标识请求匹配且符合去中心化身份协议的发起方标识;该发起方标识用于生成携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息的第一授权交易凭证,该第一授权交易凭证用于使业务发起方向联盟链上的业务响应节点发起与业务参数对应的业务请求;然后,再接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点反馈验签结果。由于发起方标识为基于发起方公钥确定的去中心化身份标识、第一授权交易凭证中携带有发起方私钥对应的第一签名信息,且通过对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,相当于可以由去中心化身份标识所表征的业务发起方实现链下签名,并通过公私钥的签名验签技术实现联盟链鉴权,能够实现联盟链鉴权过程的去中心化,有利于提高安全性。
附图说明
图1为一个实施例中数据共享系统的结构示意图;
图2为一个实施例中区块链的结构示意图;
图3为一个实施例中新区块的产生过程示意图;
图4为一个实施例中联盟链鉴权方法的应用环境图;
图5为一个实施例中联盟链鉴权方法的流程示意图;
图6为一个实施例中去中心化对象标识的标识构成示意图;
图7为另一个实施例中联盟链鉴权方法的流程示意图;
图8为一个实施例中联盟链业务处理的交互过程示意图;
图9为另一个实施例中联盟链业务处理的交互过程示意图;
图10为再一个实施例中联盟链业务处理的交互过程示意图;
图11为又一个实施例中联盟链业务处理的交互过程示意图;
图12为一个实施例中联盟链鉴权装置的结构框图;
图13为另一个实施例中联盟链鉴权装置的结构框图;
图14为一个实施例中联盟链鉴权系统的结构框图;
图15为另一个实施例中联盟链鉴权系统的结构框图;
图16为一个实施例中计算机设备的内部结构图;
图17为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在进行具体说明之前,先对本申请涉及的一些术语进行说明。
联盟链系统:多个联盟节点共同参与的区块链网络。联盟链系统中每个节点的权限都完全对等,各节点可以在不需要完全信任的情况下就能够实现数据的可信交换。联盟链系统的各个节点通常有与之对应的实体机构组织,通过授权后才能加入或退出联盟链系统。在联盟链系统中,每个组织代表一个联盟成员,联盟成员可以是企业或部门。
智能合约(SmartContract):根据特定条件自动执行的合约程序。智能合约是区块链的重要特征,是利用区块链实现业务逻辑的重要途径。智能合约不仅限于执行用于交易的合约,还可以执行对接收的信息进行处理的合约。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
按照区块链中数据的读取和写入权限,区块链可以分为公链、私链和联盟链。其中,公链是指任何人都可读取的、任何人都能发送交易且交易能获得有效确认的、任何人都能参与共识过程的区块链。私链是指其写入权限仅在一个组织手里的区块链,换言之,私链中对读取权限或者对外开放,或者被任意程度进行了限制。联盟链的开放程度和去中心化程度是有所限制的,联盟链的参与者是被提前筛选出来或者直接指定的,数据库的读取权限可能是公开的,也可能像写入权限一样只限于系统的参与者。
本申请实施例提供的联盟链鉴权方法,可以应用于数据共享系统。参见图1所示的数据共享系统,数据共享系统100是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点101,多个节点101可以是指数据共享系统中各个客户端,本申请实施例中,可以包括业务响应节点、身份服务节点等。每个节点101在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息。
数据共享系统中的每个节点均存储一条相同的区块链(BlockChain))。区块链由多个区块组成,参见图2,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
在生成区块链中的各个区块时,参见图3,区块链所在的节点在接收到输入信息时,对输入信息进行校验,完成校验后,将输入信息存储至内存池中,并更新其用于记录输入信息的哈希树;之后,将更新时间戳更新为接收到输入信息的时间,并尝试不同的随机数,多次进行特征值计算,在完成计算时可将信息对应存储,生成区块头和区块主体,得到当前区块。随后,区块链所在节点根据数据共享系统中其他节点的节点标识,将新生成的区块分别发送给其所在的数据共享系统中的其他节点,由其他节点对新生成的区块进行校验,并在完成校验后将新生成的区块添加至其存储的区块链中。
本申请提供的联盟链鉴权方法,可以应用于如图4所示的应用环境中。该应用环境中包含业务发起方401、以及联盟链上的身份服务节点402和业务响应节点403,三者能够进行网络通信,且身份服务节点402和业务响应节点403能够基于智能合约实现区块链技术中的共识、数据记录和上链等功能。其中,业务发起方401可以创建发起方公私钥对,并使用发起方公私钥对中的发起方公钥向身份服务节点402发送发起方标识请求;身份服务节点402可以确定与该发起方标识请求匹配且符合去中心化身份协议的发起方标识,该发起方标识用于生成携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息的第一授权交易凭证。业务发起方401可以基于第一授权交易凭证向业务响应节点403发起该业务参数对应的业务请求。业务响应节点403可以从该业务请求中提取第二授权交易凭证,并将该第二授权交易凭证发送给身份服务节点402,由身份服务节点402将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点403反馈该验签结果。在验签结果为验签通过的情况下,业务响应节点403执行与该业务请求对应的业务处理;在验签结果为验签不通过的情况下,由身份服务节点402经由业务响应节点403向业务发起方401反馈验签不通过的提示信息。
进一步地,业务发起方401、身份服务节点402和业务响应节点403均可以通过终端或者服务器实现。其中,终端包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端、飞行器等,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本发明实施例可应用于各种场景,包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。
在一个实施例中,如图5所示,提供了一种联盟链鉴权方法,本实施例以该方法应用于图4中的身份服务节点402为例进行说明,包括以下步骤:
步骤S502,获取业务发起方在创建发起方公私钥对后,使用该发起方公私钥对中的发起方公钥发送的发起方标识请求。
其中,业务发起方是指在基于联盟链的业务处理过程中,发起业务请求的一方。该业务发起方可以是终端设备,例如,用户在使用的手机等能够接收用户操作信息的终端,也可以是应用程序、小程序等。另外,终端设备也可以是机构的使用终端,例如法院用于对起诉人提供的特征信息进行认证的电脑、用人单位对应聘者提供的证书进行认证的电脑等。
公私钥对包括成对存在的公钥和私钥,通常应用于非对称加密技术中。在公私钥对的应用过程中,需要使用不同的密钥完成加密和解密操作。例如,用公私钥对中的公钥加密的数据,需要用该公私钥对中的私钥进行解密;用公私钥对中的私钥加密的数据,需要用该公私钥对中的公钥进行解密。具体到本申请,发起方公私钥对包括发起方公钥和发起方私钥。该发起方私钥由业务发起方持有,不对外公布,用于在业务请求过程中对业务信息进行加密处理,得到第一签名信息;该发起方公钥可以由业务发起方公布给联盟链上的身份服务节点,一方面用于向身份服务节点发送发起方标识请求,另一方面便于身份服务节点后续基于该发起方公钥确定发起方私钥对应的第二授权交易声明的验签结果。其中,发起方标识请求中携带有发起方公钥,用于指示身份服务节点生成用以表征业务发起方的发起方标识。
具体地,业务发起方创建发起方公私钥对后,使用发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求,身份服务节点获取该发起方标识请求。该身份服务节点是联盟链中管理对象身份信息的节点,该身份服务节点例如可以是DID(Decentralized Identity,去中心化身份)服务节点,用于管理去中心化身份信息。
步骤S504,确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识。
其中,去中心化身份(Decentralized Identity,DID)协议是W3C(World Wide WebConsortium,国际网路联盟)发布的去中心化标识协议,旨在以去中心化的方式标示目标对象的身份。该目标对象例如可以是个人、组织、抽象实体或虚拟实体等。具体地,DID协议规定了对象标识的具体构成,如图6所示,去中心化对象标识包括三个组成部分,各部分之间通过“:”分隔。其中,第一部分的“did”表征该标识为遵循DID协议的DID标识。第二部分为DID方法标识符,一般为DID方法的名称,DID方法(DID Method)由W3C CCG工作组统一维护,不同的DID方法可以对应不同的操作标准。第三部分是与第二部分DID方法对应的标识符。
具体地,身份服务节点获取业务发起方发送的发起方标识请求后,确定与该发起方标识请求匹配且符合DID协议的发起方标识。该发起方标识用于生成第一授权交易凭证。该第一授权交易凭证携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息。且该第一授权交易凭证用于使业务发起方向联盟链上的业务响应节点发起与该业务参数对应的业务请求。在一个具体的应用中,发起方标识、业务参数和第一签名信息可以由第一授权交易凭证中的不同字段承载。其中,发起方标识由标识字段承载,业务参数由自定义参数字段承载,第一签名信息由签名字段承载。例如,该标识字段可以是“Holder”,该自定义参数字段可以是“CredentialSubject”,该签名字段可以是“proofValue”。
进一步地,第一授权交易凭证是指基于发起方标识、业务参数、以及第一签名信息生成的授权交易凭证。该第一授权交易凭证的具体形式,可以是授权交易声明(VerifiableClaim,VC)或授权交易表达(Verifiable Presentation,VP)。其中,发起方标识为表征该业务发起方的唯一标识。业务请求是指业务发起方基于自身业务需求向联盟链上的业务服务节点发起的请求。业务参数是指与业务请求对应的参数信息。例如,业务请求为数据存储请求的情况下,业务参数可以包括数据名称、数据大小、用途、原创说明等等;又如,业务请求为数据认证请求的情况下,业务参数可以包括待认证数据类型、数据编号、数据持有方信息等等。第一签名信息是指由业务发起方使用发起方公私钥对中的发起方私钥,对业务请求所对应的业务信息、或者该业务信息对应的信息摘要进行加密处理,所得到的加密信息。该业务信息是指业务处理过程中需要上链的数据信息,例如,业务请求为数据存储请求的情况下,业务信息可以是待存储数据或该待存储数据对应的信息摘要,又如,业务请求为数据认证请求的情况下,业务信息可以是待认证数据或该待认证数据对应的信息摘要。
此外,联盟链上的业务响应节点是指联盟链上可以响应业务请求的节点,该业务响应节点例如可以是联盟链中共同分布式记账的权威机构节点,也可以是联盟链上的非权威机构节点。该第一授权交易凭证可以存储在终端或联盟链上,以便在后续审计和监管的过程中提供可溯性凭证。
步骤S506,接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,将该第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果。
其中,验签结果可以包括通过和不通过。具体地,业务响应节点获取业务请求后,从业务请求中提取出第二授权交易凭证,并将该第二授权交易凭证发送给身份服务节点。由身份服务节点基于与第一签名信息匹配的发起方公钥,对第二授权交易凭证进行验签处理,得到第二授权交易凭证的验签结果:若第二授权交易凭证中的第二签名信息与发起方公钥匹配,则验签通过,否则验签不通过。
进一步地,将第二签名信息与发起方公钥进行匹配的具体方式并不唯一。
在一个具体的应用中,业务发起方在基于发起方私钥确定第一签名信息后,将第一签名信息发送给身份服务节点,以便后续身份服务节点将第二授权交易凭证中的第二签名信息与第一签名信息进行比对,确定第二签名信息与发起方公钥的匹配结果,进而得到第二授权交易凭证的验签结果。
在一个具体的应用中,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,包括:基于第一签名信息对应的发起方公钥,对第二授权交易凭证中的第二签名信息进行解密,得到第二解密信息,并确定与第一签名信息对应的第一解密信息;将该第二解密信息与该第一解密信息进行比对,确定第二签名信息与发起方公钥的匹配结果,进而得到第二授权交易凭证的验签结果。其中,第一解密信息可以通过对业务请求中携带的业务信息进行运算后得到,该运算的具体算法,与第一签名信息生成过程中确定业务信息对应的待加密信息的具体算法一致。
此外,业务响应节点在向身份服务节点发送第二授权交易凭证之前,可以先对该授权交易凭证进行合法性验证,若合法性验证通过,则向身份服务节点发送第二授权交易凭证,否则向业务发起方反馈凭证不合法的提示信息。该合法性验证的具体内容可以包括判断第二授权交易凭证的字段是否符合协议要求、判断第二授权交易凭证是否在凭证有效期内、或判断第二授权交易凭证是否已记录在联盟链上等内容中的至少一项。对应地,合法性验证通过可以包括第二授权交易凭证的字段符合协议要求、第二授权交易凭证在凭证有效期内、或判断第二授权交易凭证未记录在联盟链上等内容中的至少一项。其中,协议要求是指第一授权交易凭证所对应的协议的要求。
在一个实施例中,接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,包括:在第二授权交易凭证未记录在联盟链上的情况下,接收业务响应节点从业务请求中提取并发送的第二授权交易凭证。
其中,验签结果用于在验签通过的情况下指示业务响应节点执行与业务请求对应的业务处理。第二授权交易凭证在业务响应节点完成业务处理的情况下,被记录在联盟链上。进一步地,记录第二授权交易凭证的具体方式并不唯一,例如可以是记录用以表征第二授权交易凭证的凭证标识,也可以是记录第二授权交易凭证的具体内容。
具体地,可以由业务响应节点在从业务请求中提取出第二授权交易凭证之后,通过查找联盟链上已存储的授权交易凭证,判断第二授权交易凭证是否已被记录在联盟链上,若是,则向身份服务节点发送该第二授权交易凭证,若否,则向业务发起方反馈凭证不合法的提示信息。在业务响应节点完成业务处理的情况下,可以由业务响应节点将与该业务处理对应的第二授权交易凭证记录在区块链上,也可以由业务响应节点向身份服务节点反馈业务处理已完成的提示信息,以指示身份服务节点将该业务处理对应的第二授权交易凭证记录在区块链上。
需要说明的是,在一些实施例中,记录在联盟链上的第二授权交易凭证,还可以作为业务操作的存根,便于后续的监管和审计。
本实施例中,身份服务节点在第二授权交易凭证未记录在联盟链上的情况下,接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,可以避免业务发起方使用同样的授权交易凭证提交多个业务请求,相当于对业务请求的有效性进行了筛选,能够在确保安全性的同时降低无效业务请求的数量,有利于在确保安全性的同时提高联盟链场景下的业务响应效率。
在一个实施例中,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,包括:提取第二授权交易凭证中携带的凭证有效期;若第二授权交易凭证在凭证有效期内,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果。
其中,第二授权交易凭证中携带有凭证有效期。该凭证有效期可以用有效期截止时刻表征,也可以用包含有效期起始时刻和有效期截止时刻的时间区间表征。该凭证有效期,可以用有效期字段承载,该凭证字段例如可以是“ExpirationDate”。具体地,身份服务节点可以根据凭证有效期对应的有效期字段,提取第二授权交易凭证中携带的凭证有效期,并根据当前时刻判断该第二授权交易凭证是否在凭证有效期内,若是,则将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果;若否,则通过业务响应节点向业务发起方反馈凭证不合法的提示信息。
需要说明的是,在一些实施例中,也可以由业务响应节点提取第二授权交易凭证中携带的凭证有效期,并对第二授权交易凭证进行凭证有效期的验证,并将验证结果反馈至身份服务节点,若验证通过,则身份服务节点进行后续的验签处理工作;若验证不通过,则身份服务节点不进行后续的验签处理工作,由业务响应节点向业务发起方反馈凭证不合法的提示信息。
本实施例中,在将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果之前,还进行凭证有效期的验证,可以确保第二授权交易凭证的合法性,有利于进一步提高安全性。
步骤S508,向业务响应节点反馈验签结果。
具体地,得到第二授权交易凭证的验签结果后,身份服务节点向业务响应节点反馈验签结果。若验签结果为通过,则业务响应节点执行与业务请求对应的业务处理;若验签结果为不通过,则业务响应节点向业务发起方反馈验签不通过的提示信息。
上述联盟链鉴权方法,获取业务发起方在创建发起方公私钥对后使用发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与该发起方标识请求匹配且符合去中心化身份协议的发起方标识;该发起方标识用于生成携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息的第一授权交易凭证,该第一授权交易凭证用于使业务发起方向联盟链上的业务响应节点发起与业务参数对应的业务请求;然后,再接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点反馈验签结果。由于发起方标识为基于发起方公钥确定的去中心化身份标识、第一授权交易凭证中携带有发起方私钥对应的第一签名信息,且通过对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,相当于可以由去中心化身份标识所表征的业务发起方实现链下签名,并通过公私钥的签名验签技术实现联盟链鉴权,能够实现联盟链鉴权过程的去中心化,有利于提高安全性。并且业务发起方无需连接联盟链网络,可以满足业务发起方基于链下签名发起链上业务请求的需求,能够适用于业务发起方无法连接联盟链网络的场景,有利于扩展联盟链鉴权方法的应用场景。
在一个实施例中,生成第一授权交易凭证的过程,包括:创建符合去中心化身份协议且携带发起方标识和业务参数的可验证交易凭证;获取发起方私钥对可验证交易凭证的第一签名信息;基于该第一签名信息生成可验证交易凭证对应的第一授权交易凭证。
其中,可验证交易凭证是指不包含签名信息的交易凭证,也即未授权的交易凭证。具体到本申请,第一授权交易凭证对应的可验证交易凭证,是指不包含发起方私钥对应的第一签名信息的交易凭证。如前文所述的,授权交易凭证的具体形式,可以是授权交易声明或授权交易表达,对应地,可验证交易凭证的具体形式,可以是可验证交易声明或可验证交易表达。若第一授权交易凭证为第一授权交易声明,则该可验证交易凭证为可验证交易声明;若第一授权交易凭证为第一授权交易表达,则该可验证交易凭证为可验证交易表达。
具体地,可以由业务发起方或身份服务节点生成第一授权交易凭证,也可以由业务发起方和身份服务节点共同生成第一授权交易凭证。以身份服务节点生成第一授权交易凭证的情况为例。身份服务节点在获取业务发起方确定的业务参数,并确定与发起方标识请求匹配的发起方标识后,创建符合DID协议且携带有该发起方标识和该业务参数的可验证交易凭证,然后,获取业务发起方使用发起方私钥对该可验证交易凭证的第一签名信息,并基于DID协议,将该第一签名信息以签名字段的形式添加至可验证交易凭证,得到可验证交易凭证对应的第一授权交易凭证。
进一步地,业务发起方和身份服务节点共同生成第一授权交易凭证的情况下,可以是由身份服务节点生成可验证交易凭证,由业务发起方使用发起方私钥对该可验证交易凭证进行签名并生成第一授权交易凭证;也可以是由业务发起方生成可验证交易凭证,并将该可验证交易凭证、以及针对该可验证交易凭证的第一签名信息发送给身份服务节点,由身份服务节点基于该可验证交易凭证和第一签名信息,生成第一授权交易凭证。
上述实施例中,先创建符合DID协议且携带发起方标识和业务参数的可验证交易凭证,再基于第一签名信息生成可验证交易凭证对应的第一授权交易凭证,可以确保第一授权交易凭证也符合DID协议,相当于规范了联盟链鉴权过程中的鉴权协议,有助于实现联盟链中各业务响应节点的协议互通,能够在确保安全性的同时提高联盟链鉴权方法的兼容性和可扩展性。
如前文所述的,可验证交易凭证为可验证交易声明或可验证交易表达,不同类型可验证交易凭证的创建过程并不相同。在一个实施例中,可验证交易凭证为可验证交易声明。在该实施例的情形下,创建符合去中心化身份协议且携带发起方标识和业务参数的可验证交易凭证,包括:创建符合去中心化身份协议且携带有发起方标识的可验证声明;将业务参数添加至可验证声明,生成可验证声明对应的可验证交易声明。
其中,可验证声明是指不包含业务参数的未授权声明。同样的,可以由业务发起方或身份服务节点生成可验证交易声明。以身份服务节点生成可验证交易声明的情况为例。具体地,身份服务节点在确定与发起方标识请求匹配的发起方标识后,创建符合去中心化身份协议且携带有发起方标识的可验证声明,并获取业务发起方确定的业务参数,在可验证声明中增加用于承载业务参数的自定义参数字段,将该业务参数添加至可验证声明,生成可验证声明对应的可验证交易声明。该自定义参数字段例如可以是“CredentialSubject”。
上述实施例中,先创建符合DID协议且携带有发起方标识的可验证声明,再将业务参数添加至可验证声明得到对应的可验证交易声明,可以确保各种业务场景下的可验证交易声明均符合DID协议,有利于进一步扩展联盟链鉴权方法的应用场景。
在一个实施例中,第一授权交易凭证为第一授权交易声明,第二授权交易凭证为第二授权交易声明。在该实施例的情形下,步骤S506包括:接收业务响应节点从业务请求中提取并发送的第二授权交易声明,使用发起方公钥对第二授权交易声明中的第二签名信息进行解密,得到第二解密信息;将第二解密信息与发起方公钥进行匹配,得到第二授权交易声明的验签结果。
具体地,在加密场景下,业务发起方基于发起方私钥对业务信息对应的待加密信息进行加密处理,得到第一签名信息。在解密场景下,身份服务节点一方面接收业务响应节点从业务请求中提取并发送的第二授权交易声明,并从该第二授权交易声明中提取第二签名信息,使用发起方公钥对该第二签名信息进行解密,得到第二解密信息。身份服务节点另一方面获取与发起方公钥对应的第一解密信息。其中,第一解密信息可以通过对业务请求中携带的业务信息进行运算后得到,该运算的具体算法,与第一签名信息生成过程中确定业务信息对应的待加密信息的具体算法一致。该业务信息对应的待加密信息,可以是业务信息本身,也可以是基于信息摘要算法确定的业务信息的信息摘要。该信息摘要算法例如可以是CRC(Cyclic Redundancy Check,循环冗余校验)算法、MD(Message Digest,消息摘要)算法或SHA(Security Hash Algorithm,安全哈希)算法等等。
由于确定第一解密信息的具体运算与第一签名信息生成过程中确定业务信息对应的待加密信息的具体算法一致,因此,该第一解密信息与加密场景下的待加密信息一致。然后,身份服务节点再将第二解密信息与第一签名信息对应的第一解密信息进行比对:若第二解密信息与第一解密信息一致,则说明第二解密信息与发起方公钥匹配,第一授权交易声明未被篡改,得到验签通过的验签结果;否第二解密信息与第一解密信息不一致,则说明第二解密信息与发起方公钥不匹配,第一授权交易声明已被篡改,得到验签不通过的验签结果。
需要说明的是,可以由身份服务节点或业务响应节点通过对业务请求中携带的业务信息进行运算,得到第一解密信息。在一个具体的应用中,由业务响应节点通过对业务请求中携带的业务信息进行运算,得到第一解密信息并发送给身份服务节点,身份服务节点接收该第一解密信息以便进行后续的比对处理。在另一个具体地应用中,业务响应节点将业务请求中携带的业务信息发送给身份服务节点,由身份服务节点通过对业务请求中携带的业务信息进行运算后得到第一解密信息。
上述实施例中,通过对第二签名信息进行解密得到第二解密信息,并通过将第二解密信息与发起方公钥进行匹配,得到第二授权交易声明的验签结果,相当于使用非对称加密中的公私钥签名验签技术得到第二授权交易声明的验签结果,算法简单,有利于提高联盟链鉴权方法的鉴权效率。
在一个实施例中,可验证交易凭证为可验证交易表达,第一授权交易凭证为第一授权交易表达。在该实施例的情形下,创建符合去中心化身份协议且携带发起方标识和业务参数的可验证交易凭证,包括:获取符合去中心化身份协议且携带有第三签名信息、第三方标识、以及业务参数的第三授权交易声明;将发起方标识添加至第三授权交易声明,生成第三授权交易声明对应的可验证交易表达。
其中,第三授权交易声明是指由第三方授权的交易声明。第三授权交易声明中的第三方授权依据为第三方签名信息。该第三方签名信息由第三方标识所表征的第三方根据第三方私钥确定,该第三方标识与第三方标识请求匹配且符合去中心化身份协议。第三方私钥为第三方所创建的第三方公私钥对中的私钥。第三方标识请求由第三方在创建第三方公私钥对后,使用第三方公私钥对中的第三方公钥发送。
进一步地,第三方可以是第三方用户或第三方机构使用的终端设备或者应用程序、小程序等。第三方用户或第三方机构是指与业务请求关联,具备一定的权威性,能够对业务请求进行授权的主体。例如,业务请求为数据存储请求的情况下,需要得到待存储数据所对应的版权持有方的授权,那么该版权持有方可以作为该业务请求的第三方。又如,业务请求为信息认证请求的情况下,需要得到信息管理部门的授权,那么该信息管理部门可以作为该业务请求的第三方。可以理解,在不同的业务场景下,业务请求方和第三方的角色可以互换。也即,一个业务请求中的第三方可以是另一业务请求中的业务发起方,同样的,一个业务请求中的业务发起方可以是另一业务请求中的第三方。例如,上文中的版权持有方和信息管理部门均可以作为区块链业务场景下的业务请求方。
具体地,可以由第三方或身份服务节点生成第三授权交易声明,也可以由第三方和身份服务节点共同生成第三授权交易声明。以身份服务节点生成第三授权交易声明的情况为例。在业务请求涉及第三方,需要第三方授权的场景下,身份服务节点可以获取业务发起方确定的业务参数,并基于该业务参数确定业务中的第三方,进而确定第三方对应的第三方标识。该第三方标识由身份服务节点生成:身份服务节点获取第三方在创建第三方公私钥对后,使用第三方公私钥对中的第三方公钥发送的第三方标识请求,确定与该第三方标识请求匹配且符合DID协议的第三方标识。
然后,身份服务节点创建符合DID协议且携带第三方标识和业务参数的第三交易声明,并获取第三方使用第三方私钥对第三交易声明的第三签名信息,再将该第三签名信息以签名字段的形式添加至第三交易声明,得到第三交易声明对应的第三授权交易声明。其中,第三方标识可以由标识字段承载,该标识字段例如可以是“Issuer”。
可以理解,第三方和身份服务节点共同生成第三授权交易声明的情况下,可以是由身份服务节点生成第三交易声明,由第三方使用第三方私钥对该第三交易声明进行签名并生成第三授权交易声明;也可以是由第三方生成第三交易声明,并将该第三交易声明、以及针对该第三交易声明的第三签名信息发送给身份服务节点,由身份服务节点基于该第三交易声明和第三签名信息,生成第三授权交易声明。
进一步地,可验证交易表达是指未经业务发起方授权的交易表达,也即,可验证交易表达中未携带发起方私钥对应的第一签名信息。在生成了第三授权交易声明的基础上,可以由业务发起方或身份服务节点生成可验证交易表达。以身份服务节点生成可验证交易表达的情况为例。身份服务节点获取第三授权交易声明,将发起方标识添加至第三授权交易声明,生成第三授权交易声明对应的可验证交易表达。确定可验证交易表达后,可以由业务发起方或身份服务节点进一步生成第一授权交易表达。同样以身份服务节点生成第一授权交易表达的情况为例。身份服务节点获取业务发起方使用发起方私钥对该可验证交易表达的第一签名信息,并基于DID协议,将该第一签名信息以签名字段的形式添加至可验证交易表达,得到可验证交易表达对应的第一授权交易表达。
需要说明的是,在需要多个第三方授权的鉴权场景下,可以分别获取各第三方各自对应的第三授权交易声明,并生成承载发起方标识和每一第三授权交易声明的可验证交易表达。
上述实施例中,在需要第三方授权的场景下,先获取第三方授权交易声明,再进一步生成承载该第三方授权交易声明的可验证交易表达,由于VC和VP均为符合DID协议的标准数据文本,具有良好的协议互通性,可以适用于需要多个第三方授权的鉴权场景,能够在确保安全性的同时进一步扩展联盟链鉴权方法的应用场景。
可以理解,在需要第三方授权的场景下,第二授权交易凭证为第二授权交易表达,且该第二授权交易表达中承载有经第三方授权的交易声明。也即第二授权交易表达中同时包含了业务发起方和第三方的签名信息。那么,在后续对第二授权交易表达进行验签的过程中,可以仅对业务发起方的签名信息进行验签,也可以对业务发起方和第三方的签名信息均进行验签。
在一个实施例中,第二授权交易凭证为第二授权交易表达。在该实施例的情形下,步骤S506包括:接收业务响应节点从业务请求中提取并发送的第二授权交易表达、以及从第二授权交易表达中提取并发送的第四授权交易声明;将第二授权交易表达中的第二签名信息与发起方公钥进行匹配,得到第一匹配结果;将第四授权交易声明中的第四签名信息与第三方公钥进行匹配,得到第二匹配结果;根据第一匹配结果和第二匹配结果,确定第二授权交易表达的验签结果。
其中,将第二签名信息与发起方公钥进行匹配的具体方式参见上文,将第四签名信息与第三方公钥进行匹配的具体方式,参见上文中将第二签名信息与发起方公钥进行匹配的具体方式,此处不再赘述。
具体地,业务响应节点获取业务请求后,可以根据授权交易声明和授权交易表达各自对应的字段结构,从业务请求中提取出第二授权交易表达,并从第二授权交易表达中进一步提取出第四授权交易声明,且将该第二授权交易表达和第四授权交易声明发送给身份服务节点。
一方面,身份服务节点将第二授权交易表达中的第二签名信息与发起方公钥进行匹配,得到第一匹配结果。由于发起方公钥与确定第一签名信息的发起方私钥构成发起方公私钥对,因此,第二签名信息与发起方公钥的第一匹配结果,相当于第二签名信息与第一签名信息的匹配结果。也即,基于第一匹配结果可以确定第一授权交易表达是否被篡改:若第二签名信息与发起方公钥匹配,则第一授权交易表达未被篡改;否则第一授权交易表达已被篡改。
另一方面,身份服务节点将第四授权交易声明中的第四签名信息与第三方公钥进行匹配,得到第二匹配结果。由于第三方公钥与确定第三签名信息的第三方私钥构成第三方公私钥对,因此,第四签名信息与第三方公钥的第二匹配结果,相当于第四签名信息与第三签名信息的匹配结果。也即,基于第二匹配结果可以确定第三授权交易声明是否被篡改:若第四签名信息与第三方公钥匹配,则第三授权交易声明未被篡改;否则第三授权交易声明已被篡改。
最后,身份服务节点再根据第一匹配结果和第二匹配结果,确定第二授权交易表达的验签结果,也即,在第二签名信息与发起方公钥匹配,且第四签名信息与第三方公钥匹配的情况下,验签通过,否则验签不通过。
上述实施例中,在需要第三方授权的场景下,通过双重验签的方式得到第二授权交易表达的验签结果,可以确保验签结果的准确性,进一步提高安全性。
在一个实施例中,如图7所示,提供了一种联盟链鉴权方法,本实施例以该方法应用于图4中的业务发起方401为例进行说明,包括以下步骤:
步骤S702,创建发起方公私钥对,并使用该发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求。
其中,发起方标识请求用于指示身份服务节点确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识。
步骤S704,确定与发起方公私钥对中的发起方私钥对应的第一签名信息。
其中,第一签名信息用于生成第一授权交易凭证;第一授权交易凭证携带有发起方标识、业务参数以及第一签名信息。
步骤S706,使用第一授权交易凭证向联盟链上的业务响应节点发起与业务参数对应的业务请求。
其中,业务请求用于在第二授权交易凭证中的第二签名信息与发起方公钥匹配的情况下,指示业务响应节点执行与业务请求对应的业务处理;第二授权交易凭证由业务响应节点从业务请求中提取得到。
关于应用于图4中的业务发起方401的联盟链鉴权方法的具体限定,参见上文中对应用于图4中的身份服务节点402的联盟链鉴权方法的具体限定,此处不再赘述。
上述联盟链鉴权方法,创建发起方公私钥对,并使用发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送用于指示身份服务节点确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识的发起方标识请求,确定与发起方公私钥对中的发起方私钥对应的第一签名信息。该第一签名信息用于生成携带有发起方标识、业务参数以及第一签名信息的第一授权交易凭证。然后,再使用第一授权交易凭证向联盟链上的业务响应节点发起与业务参数对应的业务请求。由于发起方标识为基于发起方公钥确定的去中心化身份标识、第一授权交易凭证中携带有发起方私钥对应的第一签名信息,且通过对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,相当于可以由去中心化身份标识所表征的业务发起方实现链下签名,并通过公私钥的签名验签技术实现联盟链鉴权,能够实现联盟链鉴权过程的去中心化,有利于提高安全性。并且业务发起方无需连接联盟链网络,可以满足业务发起方基于链下签名发起链上业务请求的需求,能够适用于业务发起方无法连接联盟链网络的场景,有利于扩展联盟链鉴权方法的应用场景。
下面以业务发起方为用户终端、身份服务节点为DID服务节点、业务响应节点为权威机构节点、第三方为第三方终端的情况为例,结合图8至图11,对联盟链鉴权方法进行详细说明。其中,图8和图9为不需要第三方授权的场景,图10和图11为需要第三方授权的场景。
在一个实施例中,如图8所示,提供了一种联盟链业务处理方法,其中步骤S801至步骤S813涉及联盟链鉴权方法,该联盟链业务处理方法包括以下步骤:
步骤S801,用户终端创建用户公私钥对;用户公私钥对包括用户公钥和用户私钥;
步骤S802,用户终端基于用户公钥向DID服务节点申请用户DID;
步骤S803,DID服务节点生成用户DID;
步骤S804,DID服务节点生成携带用户DID的VC;
步骤S805,用户终端向DID服务节点发送业务参数;
步骤S806,DID服务节点生成交易VC;该交易VC携带有VC和交易参数;
步骤S807,DID服务节点向用户终端发送交易VC;
步骤S808,用户终端使用用户私钥对交易VC签名得到授权交易VC;
步骤S809,用户终端基于授权交易VC向权威机构节点发起业务请求;
步骤S810,权威机构节点从业务请求中提取授权交易VC并进行合法验证;若合法验证不通过,则权威机构节点向用户终端反馈凭证不合法的提示信息,鉴权流程终止;若合法验证通过,则执行步骤S811;
步骤S811,权威机构节点向DID服务节点发送合法验证通过的授权交易VC;
步骤S812,DID服务节点基于用户公钥对合法验证通过的授权交易VC进行VC验签;若验签不通过,则DID服务节点经由权威机构节点向用户终端反馈验签不通过的提示信息,鉴权流程终止;若验签通过,则执行步骤S813;
步骤S813,DID服务节点向权威机构发送验签通过的验签结果;
步骤S814,权威机构执行业务请求对应的业务处理;
步骤S815,权威机构向用户终端反馈业务处理结果。
在一个实施例中,如图9所示,提供了一种联盟链业务处理方法,其中步骤S901至步骤S911涉及联盟链鉴权方法,该联盟链业务处理方法包括以下步骤:
步骤S901,用户终端创建用户公私钥对;用户公私钥对包括用户公钥和用户私钥;
步骤S902,用户终端基于用户公钥向DID服务节点申请用户DID;
步骤S903,DID服务节点生成用户DID;
步骤S904,DID服务节点向用户终端发送用户DID;
步骤S905,用户终端生成携带用户DID和业务参数的交易VC;
步骤S906,用户终端使用用户私钥对交易VC签名得到授权交易VC;
步骤S907,用户终端基于授权交易VC向权威机构节点发起业务请求;
步骤S908,权威机构节点从业务请求中提取授权交易VC并进行合法验证;若合法验证不通过,则权威机构节点向用户终端反馈凭证不合法的提示信息,鉴权流程终止;若合法验证通过,则执行步骤S909;
步骤S909,权威机构节点向DID服务节点发送合法验证通过的授权交易VC;
步骤S910,DID服务节点基于用户公钥对合法验证通过的授权交易VC进行VC验签;若验签不通过,则DID服务节点经由权威机构节点向用户终端反馈验签不通过的提示信息,鉴权流程终止;若验签通过,则执行步骤S911;
步骤S911,DID服务节点向权威机构发送验签通过的验签结果;
步骤S912,权威机构执行业务请求对应的业务处理;
步骤S913,权威机构向用户终端反馈业务处理结果。
在一个实施例中,如图10所示,提供了一种联盟链业务处理方法,其中步骤S1001至步骤S1019涉及联盟链鉴权方法,该联盟链业务处理方法包括以下步骤:
步骤S1001,用户终端创建用户公私钥对;用户公私钥对包括用户公钥和用户私钥;
步骤S1002,用户终端基于用户公钥向DID服务节点申请用户DID;
步骤S1003,DID服务节点生成用户DID;
步骤S1004,第三方终端创建第三方公私钥对;第三方公私钥对包括第三方公钥和第三方私钥;
步骤S1005,第三方终端基于第三方公钥向DID服务节点申请第三方DID;
步骤S1006,DID服务节点生成第三方DID;
步骤S1007,用户终端向DID服务节点发送业务参数;
步骤S1008,DID服务节点生成交易VC;该交易VC携带有第三方DID和交易参数;
步骤S1009,DID服务节点向第三方终端发送交易VC;
步骤S1010,第三方终端使用第三方私钥对交易VC签名得到授权交易VC;
步骤S1011,第三方终端向DID服务节点发送授权交易VC;
步骤S1012,DID服务节点生成交易VP;交易VP中携带授权交易VC;
步骤S1013,DID服务节点向用户终端发送交易VP;
步骤S1014,用户终端使用用户私钥对交易VP签名得到授权交易VP;
步骤S1015,用户终端基于授权交易VP向权威机构节点发起业务请求;
步骤S1016,权威机构节点从业务请求中提取授权交易VP和授权交易VC,并对授权交易VP和授权交易VC进行合法验证;若授权交易VP和授权交易VC的合法验证均通过,则执行步骤S1017;否则权威机构节点向用户终端反馈凭证不合法的提示信息,鉴权流程终止;
步骤S1017,权威机构节点向DID服务节点发送合法验证通过的授权交易VC和授权交易VP;
步骤S1018,DID服务节点基于用户公钥对合法验证通过的授权交易VP进行VP验签,并基于第三方公钥对合法验证通过的授权交易VC进行VC验签;若VP验签和VC验签的结果均为验签通过,则执行步骤S1019;否则DID服务节点经由权威机构节点向用户终端反馈验签不通过的提示信息,鉴权流程终止;
步骤S1019,DID服务节点向权威机构发送验签通过的验签结果;
步骤S1020,权威机构执行业务请求对应的业务处理;
步骤S1021,权威机构向用户终端反馈业务处理结果。
在一个实施例中,如图11所示,提供了一种联盟链业务处理方法,其中步骤S1101至步骤S1120涉及联盟链鉴权方法,该联盟链业务处理方法包括以下步骤:
步骤S1101,用户终端创建用户公私钥对;用户公私钥对包括用户公钥和用户私钥;
步骤S1102,用户终端基于用户公钥向DID服务节点申请用户DID;
步骤S1103,DID服务节点生成用户DID;
步骤S1104,DID服务节点向用户终端发送用户DID;
步骤S1105,第三方终端创建第三方公私钥对;第三方公私钥对包括第三方公钥和第三方私钥;
步骤S1106,第三方终端基于第三方公钥向DID服务节点申请第三方DID;
步骤S1107,DID服务节点生成第三方DID;
步骤S1108,DID服务节点向第三方终端发送第三方DID;
步骤S1109,第三方终端向用户终端发送第三方DID;
步骤S1110,用户终端生成携带用户DID和业务参数的交易VC;
步骤S1111,用户终端向第三方终端发送交易VC;
步骤S1112,第三方终端使用第三方私钥对交易VC签名得到授权交易VC;
步骤S1113,第三方终端向用户终端发送授权交易VC;
步骤S1114,用户终端生成交易VP;交易VP中携带授权交易VC;
步骤S1115,用户终端使用用户私钥对交易VP签名得到授权交易VP;
步骤S1116,用户终端基于授权交易VP向权威机构节点发起业务请求;
步骤S1117,权威机构节点从业务请求中提取授权交易VP和授权交易VC,并对授权交易VP和授权交易VC进行合法验证;若授权交易VP和授权交易VC的合法验证均通过,则执行步骤S1118;否则权威机构节点向用户终端反馈凭证不合法的提示信息,鉴权流程终止;
步骤S1118,权威机构节点向DID服务节点发送合法验证通过的授权交易VC和授权交易VP;
步骤S1119,DID服务节点基于用户公钥对合法验证通过的授权交易VP进行VP验签,并基于第三方公钥对合法验证通过的授权交易VC进行VC验签;若VP验签和VC验签的结果均为验签通过,则执行步骤S1120;否则DID服务节点经由权威机构节点向用户终端反馈验签不通过的提示信息,鉴权流程终止;
步骤S1120,DID服务节点向权威机构发送验签通过的验签结果;
步骤S1121,权威机构执行业务请求对应的业务处理;
步骤S1122,权威机构向用户终端反馈业务处理结果。
上述联盟链鉴权方法,将符合DID协议的可验证凭证应用到联盟链的鉴权过程中,通过公私钥签名技术有效解决了传统联盟链鉴权方法的中心化和安全性问题,同时规范了权威机构用户鉴权协议,有助于提高联盟链权威机构的用户账本体系的协议互通,具有较高的权威性和发展前景。并且采用本申请中的联盟链鉴权方法,用户终端不需要连接区块链网络,能够通过链下签名实现链上交易,能够适用于用户终端无法连接区块链网络的场景。由于DID协议能够兼容一切与身份识别相关的方法,例如生物指纹和物质特征等,因此,本申请的联盟链鉴权方法在兼容性和可扩展性上具备较大的发展空间,能为应用场景提供更高的灵活性。同时,由于本申请在实现联盟链鉴权的同时,附带产生了未上链的授权VC和授权VP,这些凭证均为json文本且遵循DID规范,有较好的协议互通性,可作为用户交易操作存根,在有需要的业务场景可做为验证凭证,能够确保联盟链业务的可监管性、可追溯性和可审计性。
在一些实施例中,本申请提供的联盟链鉴权方法,可以应用于联盟链数据上链存储的应用场景下。具体地,用户终端在创建用户公私钥对后,使用用户公私钥对中的用户公钥向联盟链上的身份服务节点发送的用户标识请求。身份服务节点获取该用户标识请求,并确定与该用户标识请求匹配且符合去中心化身份协议的用户标识。该用户标识用于生成第一授权交易凭证。该第一授权交易凭证携带有用户标识、业务参数、以及与用户公私钥对中的用户私钥对应的第一签名信息;第一授权交易凭证用于使用户终端向联盟链上的业务响应节点发起与业务参数对应的数据存储请求。身份服务节点接收业务响应节点从数据存储请求中提取并发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与用户公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点反馈该验签结果。其中,业务参数可以包括数据名称、数据大小、用途、原创说明等等。第一签名信息是指用户终端使用发起方私钥,对待存储数据或者该待存储数据对应的信息摘要进行加密处理后,所得到的加密信息。
在一些实施例中,本申请提供的联盟链鉴权方法,可以应用于数据认证的应用场景下。具体地,用户终端在创建用户公私钥对后,使用用户公私钥对中的用户公钥向联盟链上的身份服务节点发送的用户标识请求。身份服务节点获取该用户标识请求,并确定与该用户标识请求匹配且符合去中心化身份协议的用户标识。该用户标识用于生成第一授权交易凭证。该第一授权交易凭证携带有用户标识、业务参数、以及与用户公私钥对中的用户私钥对应的第一签名信息;第一授权交易凭证用于使用户终端向联盟链上的业务响应节点发起与业务参数对应的数据认证请求。身份服务节点接收业务响应节点从数据认证请求中提取并发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与用户公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点反馈该验签结果。其中,业务参数可以包括待认证数据类型、数据编号、数据持有方信息等等。第一签名信息是指用户终端使用发起方私钥,对待认证数据或者待认证数据的信息摘要进行加密处理后,所得到的加密信息。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的联盟链鉴权方法的联盟链鉴权装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个联盟链鉴权装置实施例中的具体限定可以参见上文中对于联盟链鉴权方法的限定,在此不再赘述。
在一个实施例中,如图12所示,提供了一种联盟链鉴权装置1200,包括:标识请求获取模块1202、标识确定模块1204、验签模块1206和验签结果反馈模块1208,其中:
标识请求获取模块1202,用于获取业务发起方在创建发起方公私钥对后,使用发起方公私钥对中的发起方公钥发送的发起方标识请求;
标识确定模块1204,用于确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识;该发起方标识用于生成第一授权交易凭证;该第一授权交易凭证携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息;该第一授权交易凭证用于使业务发起方向联盟链上的业务响应节点发起与业务参数对应的业务请求;
验签模块1206,用于接收业务响应节点从业务请求中提取并发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果;
验签结果反馈模块1208,用于向业务响应节点反馈验签结果。
在一个实施例中,联盟链鉴权装置1200还包括:可验证交易凭证创建模块,用于创建符合去中心化身份协议且携带发起方标识和业务参数的可验证交易凭证;第一签名信息获取模块,用于获取发起方私钥对可验证交易凭证的第一签名信息;第一授权交易凭证生成模块,用于基于第一签名信息生成可验证交易凭证对应的第一授权交易凭证。
在一个实施例中,可验证交易凭证为可验证交易声明。在该实施例的情形下,可验证交易凭证创建模块具体用于:创建符合去中心化身份协议且携带有发起方标识的可验证声明;将业务参数添加至可验证声明,生成可验证声明对应的可验证交易声明。
在一个实施例中,第一授权交易凭证为第一授权交易声明;第二授权交易凭证为第二授权交易声明。在该实施例的情形下,验签模块1206具体用于:接收业务响应节点从业务请求中提取并发送的第二授权交易声明,使用发起方公钥对第二授权交易声明中的第二签名信息进行解密,得到第二解密信息;将第二解密信息与发起方公钥进行匹配,得到第二授权交易声明的验签结果。
在一个实施例中,可验证交易凭证为可验证交易表达,第一授权交易凭证为第一授权交易表达。在该实施例的情形下,可验证交易凭证创建模块具体用于:获取符合去中心化身份协议且携带有第三签名信息、第三方标识、以及业务参数的第三授权交易声明;将发起方标识添加至第三授权交易声明,生成第三授权交易声明对应的可验证交易表达;该第三方签名信息由第三方标识所表征的第三方根据第三方私钥确定;第三方标识与第三方标识请求匹配且符合去中心化身份协议;第三方标识请求由第三方使用第三方公钥发送;第三方公钥和第三方私钥构成第三方公私钥对;第三方公私钥对由第三方创建。
在一个实施例中,第二授权交易凭证为第二授权交易表达。在该实施例的情形下,验签模块1206具体用于:接收业务响应节点从业务请求中提取并发送的第二授权交易表达、以及从第二授权交易表达中提取并发送的第四授权交易声明;将第二授权交易表达中的第二签名信息与发起方公钥进行匹配,得到第一匹配结果;将第四授权交易声明中的第四签名信息与第三方公钥进行匹配,得到第二匹配结果;根据第一匹配结果和第二匹配结果,确定第二授权交易表达的验签结果。
在一个实施例中,验签模块1206包括第二授权交易凭证接收单元,用于:在第二授权交易凭证未记录在联盟链上的情况下,接收业务响应节点从业务请求中提取并发送的第二授权交易凭证;验签结果用于在验签通过的情况下指示业务响应节点执行与业务请求对应的业务处理;第二授权交易凭证在业务响应节点完成业务处理的情况下,被记录在联盟链上。
在一个实施例中,联盟链鉴权装置1200还包括记录模块,用于在业务响应节点完成业务处理的情况下,将第二授权交易凭证记录在联盟链上。
在一个实施例中,第二授权交易凭证为携带有第四授权交易声明的第二授权交易表达。在该实施例的情形下,记录模块具体用于在业务响应节点完成业务处理的情况下,将第二授权交易表达和第四授权交易声明记录在联盟链上。
在一个实施例中,验签模块1206包括验签单元,用于:提取第二授权交易凭证中携带的凭证有效期;若第二授权交易凭证在凭证有效期内,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果。
在一个实施例中,如图13所示,提供了另一种联盟链鉴权装置1300,包括:标识请求发送模块1302、第一签名信息确定模块1304和业务请求发送模块1306,其中:
标识请求发送模块1302,用于创建发起方公私钥对,并使用发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;该发起方标识请求用于指示身份服务节点确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识;
第一签名信息确定模块1304,用于确定与发起方公私钥对中的发起方私钥对应的第一签名信息;该第一签名信息用于生成第一授权交易凭证;该第一授权交易凭证携带有发起方标识、业务参数以及第一签名信息;
业务请求发送模块1306,用于使用第一授权交易凭证向联盟链上的业务响应节点发起与业务参数对应的业务请求;该业务请求用于在第二授权交易凭证中的第二签名信息与发起方公钥匹配的情况下,指示业务响应节点执行与业务请求对应的业务处理;该第二授权交易凭证由业务响应节点从业务请求中提取得到。
在一个实施例中,联盟链鉴权装置1300还包括:可验证交易凭证创建模块,用于创建符合去中心化身份协议且携带发起方标识和业务参数的可验证交易凭证;第一签名信息获取模块,用于获取发起方私钥对可验证交易凭证的第一签名信息;第一授权交易凭证生成模块,用于基于第一签名信息生成可验证交易凭证对应的第一授权交易凭证。
在一个实施例中,可验证交易凭证为可验证交易声明。在该实施例的情形下,可验证交易凭证创建模块具体用于:创建符合去中心化身份协议且携带有发起方标识的可验证声明;将业务参数添加至可验证声明,生成可验证声明对应的可验证交易声明。
在一个实施例中,可验证交易凭证为可验证交易表达,第一授权交易凭证为第一授权交易表达。在该实施例的情形下,可验证交易凭证创建模块具体用于:获取符合去中心化身份协议且携带有第三签名信息、第三方标识、以及业务参数的第三授权交易声明;将发起方标识添加至第三授权交易声明,生成第三授权交易声明对应的可验证交易表达;该第三方签名信息由第三方标识所表征的第三方根据第三方私钥确定;第三方标识与第三方标识请求匹配且符合去中心化身份协议;第三方标识请求由第三方使用第三方公钥发送;第三方公钥和第三方私钥构成第三方公私钥对;第三方公私钥对由第三方创建。
上述联盟链鉴权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的联盟链鉴权方法的联盟链鉴权系统。该系统所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个联盟链鉴权系统实施例中的具体限定可以参见上文中对于联盟链鉴权方法的限定,在此不再赘述。
在一个实施例中,如图14所示,提供了一种联盟链鉴权系统1400,包括身份服务节点1401和业务响应节点1402。身份服务节点1401获取业务发起方在创建发起方公私钥对后,使用发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与发起方标识请求匹配且符合去中心化身份协议的发起方标识。该发起方标识用于生成第一授权交易凭证;该第一授权交易凭证携带有发起方标识、业务参数、以及与发起方公私钥对中的发起方私钥对应的第一签名信息。业务响应节点1402接收业务发起方基于第一授权交易凭证发起的业务请求,并从业务请求中提取第二授权交易凭证;该业务请求与业务参数对应。身份服务节点1401接收业务响应节点1402发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,并向业务响应节点1402反馈验签结果。
其中,身份服务节点1401和业务响应节点1402能够基于智能合约实现区块链技术中的共识、数据记录和上链等功能。
上述联盟链鉴权系统,由于发起方标识为基于发起方公钥确定的去中心化身份标识、第一授权交易凭证中携带有发起方私钥对应的第一签名信息,且通过对第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,相当于可以由去中心化身份标识所表征的业务发起方实现链下签名,并通过公私钥的签名验签技术实现联盟链鉴权,能够实现联盟链鉴权过程的去中心化,有利于提高安全性。并且业务发起方无需连接联盟链网络,可以满足业务发起方基于链下签名发起链上业务请求的需求,能够适用于业务发起方无法连接联盟链网络的场景,有利于扩展联盟链鉴权方法的应用场景。
在一个实施例中,联盟链鉴权系统1400还包括业务发起方。该业务发起方创建发起方公私钥对,使用该发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与发起方公私钥对中的发起方私钥对应的第一签名信息,并使用第一授权交易凭证向业务响应节点1402发起业务请求。
在一个实施例中,联盟链鉴权系统1400还包括第三方。第三方创建第三方公私钥对,使用第三方公私钥对中的第三方公钥,向身份服务节点1401发送第三方标识请求,并确定与第三方公私钥对中的第三方私钥对应的第三签名信息。该第一授权交易凭证为第一授权交易表达,该第二授权交易凭证为第二授权交易表达。第一授权交易表达中携带有第三授权交易声明,第三授权交易声明中携带该第三方的第三方标识、业务参数和第三签名信息。该第三方标识与第三方标识请求匹配且符合去中心化身份协议。在该实施例的情形下,接收业务发起方基于第一授权交易凭证发起的业务请求,并从业务请求中提取第二授权交易凭证,包括:接收业务发起方基于第一授权交易表达发起的业务请求,并从业务请求中提取第二授权交易表达、以及从第二授权交易表达中提取第四授权交易声明。接收业务响应节点发送的第二授权交易凭证,将第二授权交易凭证中的第二签名信息与发起方公钥进行匹配,得到第二授权交易凭证的验签结果,包括:接收业务响应节点发送的第二授权交易表达和第四授权交易声明,将第二授权交易表达中的第二签名信息与发起方公钥进行匹配,得到第一匹配结果,将第四授权交易声明中的第四签名信息与第三方公钥进行匹配,得到第二匹配结果,并根据第一匹配结果和第二匹配结果,确定第二授权交易表达的验签结果。
在一个具体的应用中,如图15所示,联盟链鉴权系统包括用户端、以及与用户端连接的权威机构和DID平台。其中,权威机构和DID平台均可以配置为包括应用和智能合约两个部分,并通过各自的智能合约实现区块链上链功能。用户端具体可以包括用户终端和第三方机构终端,用户终端和第三方机构终端通过各自对应的区块链应用程序与权威机构和DID平台交互。
以业务请求的发起方为用户终端,且该业务请求不需要第三方机构授权的情况为例。具体地,用户终端创建用户公私钥对,并使用用户公私钥对中的用户公钥向DID平台发送用户标识请求,DID平台获取该用户标识请求,并确定与用户标识请求匹配且符合DID协议的用户DID标识。然后,用户终端再创建携带该用户DID标识和业务参数的未签名VC,并使用用户公私钥对中的用户私钥确定该未签名VC对应的用户签名,以便得到包含用户签名的第一授权VC。接着,用户终端使用该第一授权VC向权威机构发送交易请求,由权威机构调用区块链应用提取交易请求中携带的第二授权VC,对该第二授权VC进行字段合法性校验后,调用智能合约将第二授权VC发送给DID平台,由DID平台将该第二授权VC中的签名信息与用户公钥进行匹配,得到第二授权VC的验签结果,并向权威机构反馈该验签结果。验签通过的情况下,权威机构使用链上证书或账户调用智能合约响应业务请求,执行该业务请求对应的业务处理,并向用户终端反馈执行结果。
以业务请求的发起方为用户终端,且该业务请求需要第三方机构授权的情况为例。具体地,用户终端创建用户公私钥对,并使用用户公私钥对中的用户公钥向DID平台发送用户标识请求,DID平台获取该用户标识请求,并确定与用户标识请求匹配且符合DID协议的用户DID标识。第三方机构终端创建第三方公私钥对,并使用第三方公私钥对中的第三方公钥向DID平台发送第三方标识请求,DID平台获取该第三方标识请求,并确定与第三方标识请求匹配且符合DID协议的第三方DID标识。然后,第三方机构终端将第三方DID标识发送给用户终端,由用户终端创建携带该第三方DID标识和业务参数的未签名VC,并由第三方机构终端使用第三方公私钥对中的第三方私钥确定该未签名VC对应的机构签名,以便得到包含机构签名的第三授权VC。
得到第三授权VC后,用户终端在第三授权VC的基础上,创建携带有第三授权VC和用户DID标识的未签名VP,并基于用户公私钥对中的用户私钥确定该未签名VP对应的用户签名,以便得到包含用户签名的第一授权VP。然后,用户终端使用该第一授权VP向权威机构发送交易请求,由权威机构调用区块链应用提取交易请求中携带的第二授权VP、以及第二授权VP中携带的第四授权VC,对该第二授权VP和第四授权VC进行字段合法性校验后,调用智能合约将第二授权VP和第四授权VC发送给DID平台,由DID平台将该第二授权VP中的签名信息与第三方公钥进行匹配,得到第一匹配结果,将该第四授权VC中的签名信息与用户公钥进行匹配,得到第二匹配结果,并根据第一匹配结果和第二匹配结果,确定第二授权VP的验签结果,再向权威机构反馈该验签结果。验签通过的情况下,权威机构调用智能合约响应业务请求,执行该业务请求对应的业务处理,并向用户终端反馈执行结果。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图16所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储联盟链鉴权方法中涉及到的数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种联盟链鉴权方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图17所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种联盟链鉴权方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置,显示屏可以是液晶显示屏或电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图16和图17中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述联盟链鉴权方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述联盟链鉴权方法中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述联盟链鉴权方法中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (17)
1.一种联盟链鉴权方法,其特征在于,所述方法包括:
获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
向所述业务响应节点反馈所述验签结果。
2.根据权利要求1所述的方法,其特征在于,生成所述第一授权交易凭证的过程,包括:
创建符合去中心化身份协议且携带所述发起方标识和所述业务参数的可验证交易凭证;
获取发起方私钥对所述可验证交易凭证的第一签名信息;
基于所述第一签名信息生成所述可验证交易凭证对应的第一授权交易凭证。
3.根据权利要求2所述的方法,其特征在于,所述可验证交易凭证为可验证交易声明;
所述创建符合去中心化身份协议且携带所述发起方标识和所述业务参数的可验证交易凭证,包括:
创建符合去中心化身份协议且携带有所述发起方标识的可验证声明;
将所述业务参数添加至所述可验证声明,生成所述可验证声明对应的可验证交易声明。
4.根据权利要求3所述的方法,其特征在于,所述第一授权交易凭证为第一授权交易声明;所述第二授权交易凭证为第二授权交易声明;
所述接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,包括:
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易声明,使用所述发起方公钥对所述第二授权交易声明中的第二签名信息进行解密,得到第二解密信息;
将所述第二解密信息与所述发起方公钥进行匹配,得到所述第二授权交易声明的验签结果。
5.根据权利要求2所述的方法,其特征在于,所述可验证交易凭证为可验证交易表达,所述第一授权交易凭证为第一授权交易表达;
所述创建符合去中心化身份协议且携带所述发起方标识和所述业务参数的可验证交易凭证,包括:
获取符合去中心化身份协议且携带有第三签名信息、第三方标识、以及所述业务参数的第三授权交易声明;所述第三方签名信息由所述第三方标识所表征的第三方根据第三方私钥确定;所述第三方标识与第三方标识请求匹配且符合去中心化身份协议;所述第三方标识请求由所述第三方使用第三方公钥发送;所述第三方公钥和所述第三方私钥构成第三方公私钥对;所述第三方公私钥对由所述第三方创建;
将所述发起方标识添加至所述第三授权交易声明,生成所述第三授权交易声明对应的可验证交易表达。
6.根据权利要求5所述的方法,其特征在于,所述第二授权交易凭证为第二授权交易表达;
所述接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,包括:
接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易表达、以及从所述第二授权交易表达中提取并发送的第四授权交易声明;
将所述第二授权交易表达中的第二签名信息与所述发起方公钥进行匹配,得到第一匹配结果;
将所述第四授权交易声明中的第四签名信息与所述第三方公钥进行匹配,得到第二匹配结果;
根据所述第一匹配结果和所述第二匹配结果,确定所述第二授权交易表达的验签结果。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,所述接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,包括:
在所述第二授权交易凭证未记录在所述联盟链上的情况下,接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证;
所述验签结果用于在验签通过的情况下指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证在所述业务响应节点完成所述业务处理的情况下,被记录在所述联盟链上。
8.根据权利要求1至6中任意一项所述的方法,其特征在于,所述将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,包括:
提取所述第二授权交易凭证中携带的凭证有效期;
若所述第二授权交易凭证在所述凭证有效期内,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果。
9.一种联盟链鉴权方法,其特征在于,所述方法包括:
创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
10.一种联盟链鉴权系统,其特征在于,包括身份服务节点和业务响应节点;
所述身份服务节点获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;
所述业务响应节点接收所述业务发起方基于所述第一授权交易凭证发起的业务请求,并从所述业务请求中提取第二授权交易凭证;所述业务请求与所述业务参数对应;
所述身份服务节点接收所述业务响应节点发送的所述第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,并向所述业务响应节点反馈所述验签结果。
11.根据权利要求10所述的系统,其特征在于,所述系统还包括业务发起方;
所述业务发起方创建发起方公私钥对,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求,确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息,并使用所述第一授权交易凭证向所述业务响应节点发起所述业务请求。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括第三方;
所述第三方创建第三方公私钥对,使用所述第三方公私钥对中的第三方公钥,向所述身份服务节点发送第三方标识请求,并确定与所述第三方公私钥对中的第三方私钥对应的第三签名信息;所述第一授权交易凭证为第一授权交易表达,所述第二授权交易凭证为第二授权交易表达;所述第一授权交易表达中携带有第三授权交易声明,所述第三授权交易声明中携带所述第三方的第三方标识、所述业务参数和所述第三签名信息;所述第三方标识与所述第三方标识请求匹配且符合所述去中心化身份协议;
所述接收所述业务发起方基于所述第一授权交易凭证发起的业务请求,并从所述业务请求中提取第二授权交易凭证,包括:
接收所述业务发起方基于所述第一授权交易表达发起的业务请求,并从所述业务请求中提取第二授权交易表达、以及从所述第二授权交易表达中提取第四授权交易声明;
所述接收所述业务响应节点发送的所述第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果,包括:
接收所述业务响应节点发送的所述第二授权交易表达和所述第四授权交易声明,将所述第二授权交易表达中的第二签名信息与所述发起方公钥进行匹配,得到第一匹配结果,将所述第四授权交易声明中的第四签名信息与所述第三方公钥进行匹配,得到第二匹配结果,并根据所述第一匹配结果和所述第二匹配结果,确定所述第二授权交易表达的验签结果。
13.一种联盟链鉴权装置,其特征在于,所述装置包括:
标识请求获取模块,用于获取业务发起方在创建发起方公私钥对后,使用所述发起方公私钥对中的发起方公钥发送的发起方标识请求;
标识确定模块,用于确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;所述发起方标识用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数、以及与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一授权交易凭证用于使所述业务发起方向联盟链上的业务响应节点发起与所述业务参数对应的业务请求;
验签模块,用于接收所述业务响应节点从所述业务请求中提取并发送的第二授权交易凭证,将所述第二授权交易凭证中的第二签名信息与所述发起方公钥进行匹配,得到所述第二授权交易凭证的验签结果;
验签结果反馈模块,用于向所述业务响应节点反馈所述验签结果。
14.一种联盟链鉴权装置,其特征在于,所述装置包括:
标识请求发送模块,用于创建发起方公私钥对,并使用所述发起方公私钥对中的发起方公钥,向联盟链上的身份服务节点发送发起方标识请求;所述发起方标识请求用于指示所述身份服务节点确定与所述发起方标识请求匹配且符合去中心化身份协议的发起方标识;
第一签名信息确定模块,用于确定与所述发起方公私钥对中的发起方私钥对应的第一签名信息;所述第一签名信息用于生成第一授权交易凭证;所述第一授权交易凭证携带有所述发起方标识、业务参数以及所述第一签名信息;
业务请求发送模块,用于使用所述第一授权交易凭证向所述联盟链上的业务响应节点发起与所述业务参数对应的业务请求;所述业务请求用于在第二授权交易凭证中的第二签名信息与所述发起方公钥匹配的情况下,指示所述业务响应节点执行与所述业务请求对应的业务处理;所述第二授权交易凭证由所述业务响应节点从所述业务请求中提取得到。
15.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至9中任一项所述的方法的步骤。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至9中任一项所述的方法的步骤。
17.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至9中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211044101.XA CN117675243A (zh) | 2022-08-30 | 2022-08-30 | 联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211044101.XA CN117675243A (zh) | 2022-08-30 | 2022-08-30 | 联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117675243A true CN117675243A (zh) | 2024-03-08 |
Family
ID=90068665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211044101.XA Pending CN117675243A (zh) | 2022-08-30 | 2022-08-30 | 联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117675243A (zh) |
-
2022
- 2022-08-30 CN CN202211044101.XA patent/CN117675243A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11184394B1 (en) | Methods, systems, and devices for encrypted electronic storage and confidential network transfer of private data through a trustless distributed ledger technology system | |
CN110147994B (zh) | 一种基于同态加密的区块链的即时执行方法 | |
Li et al. | FADB: A fine-grained access control scheme for VANET data based on blockchain | |
US11245524B2 (en) | Binding of decentralized identifiers to verified claims | |
CN112073479A (zh) | 一种基于区块链的去中心数据访问控制方法及系统 | |
Gao et al. | BSSPD: A Blockchain‐Based Security Sharing Scheme for Personal Data with Fine‐Grained Access Control | |
CN106789080A (zh) | 数字签名生成方法和系统 | |
US11128457B2 (en) | Cryptographic key generation using external entropy generation | |
Zhou et al. | EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts | |
CN114205136A (zh) | 一种基于区块链技术的交通数据资源共享方法及系统 | |
CN108769010A (zh) | 节点受邀注册的方法和装置 | |
JP7462903B2 (ja) | 利用者端末、認証者端末、登録者端末、管理システムおよびプログラム | |
CN114710370B (zh) | 基于雾区块链和属性加密的细粒度访问控制方法及系统 | |
CN111586010B (zh) | 一种密钥分发方法及装置 | |
JP2024509666A (ja) | ブロックチェーンデータセグリゲーション | |
CN115906181A (zh) | 一种基于区块链属性的加密文件确权方法、装置及系统 | |
CN117561508A (zh) | 可验证凭证的跨会话颁发 | |
Huynh et al. | A reliability guaranteed solution for data storing and sharing | |
Qi et al. | Blockchain-aware rollbackable data access control for iot-enabled digital twin | |
JP2023543474A (ja) | 物理複製困難関数 | |
CN115086037B (zh) | 一种数据处理方法及装置、存储介质及电子设备 | |
CN116318784B (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
JP2006333164A (ja) | 情報処理装置 | |
CN117675243A (zh) | 联盟链鉴权方法、装置、联盟链鉴权系统和计算机设备 | |
JP2023543470A (ja) | 物理複製困難関数に基づくチャレンジ応答プロトコル |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |