JP6873235B2 - コンソーシアムブロックチェーンネットワーク内の非対称鍵管理 - Google Patents

コンソーシアムブロックチェーンネットワーク内の非対称鍵管理 Download PDF

Info

Publication number
JP6873235B2
JP6873235B2 JP2019521480A JP2019521480A JP6873235B2 JP 6873235 B2 JP6873235 B2 JP 6873235B2 JP 2019521480 A JP2019521480 A JP 2019521480A JP 2019521480 A JP2019521480 A JP 2019521480A JP 6873235 B2 JP6873235 B2 JP 6873235B2
Authority
JP
Japan
Prior art keywords
key
participant
service
blockchain network
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019521480A
Other languages
English (en)
Other versions
JP2020502861A (ja
Inventor
イシャン・ジャン
シュボ・リ
Original Assignee
アドバンスド ニュー テクノロジーズ カンパニー リミテッド
アドバンスド ニュー テクノロジーズ カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アドバンスド ニュー テクノロジーズ カンパニー リミテッド, アドバンスド ニュー テクノロジーズ カンパニー リミテッド filed Critical アドバンスド ニュー テクノロジーズ カンパニー リミテッド
Publication of JP2020502861A publication Critical patent/JP2020502861A/ja
Application granted granted Critical
Publication of JP6873235B2 publication Critical patent/JP6873235B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、コンソーシアムブロックチェーンネットワーク内の非対称鍵管理に関する。
コンセンサスネットワークおよび/またはブロックチェーンネットワークと呼ばれることもある分散元帳システム(DLS:Distributed ledger system)は、参加エンティティがデータをセキュアに不変に記録することを可能にする。DLSは、一般に、いずれの特定のユーザ事例(たとえば、暗号通貨)とも無関係に、ブロックチェーンネットワークと呼ばれる。ブロックチェーンネットワークの例示的なタイプは、パブリックブロックチェーンネットワーク、プライベートブロックチェーンネットワーク、およびコンソーシアムブロックチェーンネットワークを含み得る。パブリックブロックチェーンネットワークは、すべてのエンティティがDLSを使用し、コンセンサスプロセスに参加するために開かれる。プライベートブロックチェーンネットワークは、読取り許可および書込み許可を中央で制御する特定のエンティティに提供される。コンソーシアムブロックチェーンネットワークは、コンセンサスプロセスを制御するエンティティのえり抜きのグループに提供され、アクセス制御レイヤを含む。
コンソーシアムブロックチェーンネットワークは、軽集中型(lightly centralized)または多中心型(multi-centered)であると説明することができ、コンソーシアムブロックチェーンネットワークの各ノードはコンソーシアム内の参加者によって動作させられる。すなわち、参加者は、ブロックチェーンネットワークに参加してコンソーシアムを形成し、コンソーシアムは、同じサービス要求を有し、すべてのノードがブロックチェーン動作を維持する。コンソーシアムブロックチェーンネットワークでは、コンソーシアムブロックチェーンは、許可されたコンソーシアム参加者に対して信頼の基礎を構築する。すべてのトランザクション情報がパブリックブロックチェーン内に平文として記録されるパブリックブロックチェーンネットワークと異なり、コンソーシアムブロックチェーンネットワーク内のデータは、暗号化され、コンソーシアムブロックチェーン上に暗号文として記録される。したがって、コンソーシアムブロックチェーンネットワークは、プライバシー隔離およびコンソーシアムブロックチェーンネットワーク内での共有を可能にするために鍵管理機能を必要とする。
本明細書の実装形態は、ブロックチェーンネットワーク内の暗号鍵の管理のためのコンピュータで実装される方法を含む。より詳細には、本明細書の実装形態は、コンソーシアムブロックチェーンネットワーク内の非対称暗号鍵の管理を対象とする。
本明細書の実装形態は、ブロックチェーンアズアサービス(BaaS:blockchain-as-a-service)プラットフォーム内のコンソーシアムブロックチェーンネットワークに対するサービス鍵の管理を提供する。いくつかの実装形態では、動作は、BaaSプラットフォーム内でプロビジョニングされたコンソーシアムブロックチェーンネットワーク内の参加者からサービス鍵に対する要求を受信するステップと、コンソーシアムブロックチェーンネットワーク内の参加者権限を記録するサービス許可表に基づいて、参加者にサービス鍵が許可されると判定するステップと、サービス鍵の暗号化秘密鍵およびサービス鍵の公開鍵を含む鍵パッケージを提供するステップと、鍵パッケージを参加者に送るステップであって、参加者が、その参加者に関連する公開鍵を使用して、サービス鍵の秘密鍵を暗号解読する、ステップとを含む。他の実装形態は、コンピュータ記録デバイス上で符号化された、これらの方法の動作を実行するように構成された、対応するシステム、装置、およびコンピュータプログラムを含む。
これらのおよび他の実装形態は、各々、随意に、以下の特徴のうちの1つまたは複数を含み得る:動作は、参加者からサービス鍵に対する要求を受信するのに先立って、参加者から識別証明を受信するステップをさらに含む;識別証明は暗号化された識別証明として受信され、BaaSプラットフォームは参加者の公開鍵を使用して識別証明を暗号解読する;動作は、参加者に関連する公開鍵を使用して、サービス鍵の秘密鍵を暗号化するステップをさらに含む;参加者にサービス鍵が許可されるとの判定に応じて、サービス鍵が鍵導出関数(KDF)キーツリーを使用して生成される;鍵パッケージを参加者に送った後、サービス鍵はBaaSプラットフォームに不在である;参加者は、コンソーシアムブロックチェーンネットワーク内の1つまたは複数の他の参加者とのトランザクションを暗号化するために、サービス鍵の秘密鍵を使用する。
本明細書はまた、1つまたは複数のプロセッサに結合され、1つまたは複数のプロセッサによって実行されると、1つまたは複数のプロセッサに、本明細書で提供される方法の実装形態による動作を実行させる命令を記録した、1つまたは複数の非一時的コンピュータ可読記録媒体を提供する。
本明細書は、本明細書で提供される方法を実装するためのシステムをさらに提供する。システムは、1つまたは複数のプロセッサと、1つまたは複数のプロセッサに結合され、1つまたは複数のプロセッサによって実行されると、1つまたは複数のプロセッサに本明細書で提供する方法の実装形態による動作を実行させる命令を記録したコンピュータ可読記録媒体とを含む。
本明細書によるこれらの方法は、本明細書で説明する態様および特徴の任意の組合せを含み得ることが諒解される。すなわち、本明細書による方法は、本明細書で詳細に説明する態様および特徴の組合せに限定されず、提供される態様および特徴の任意の組合せをやはり含む。
本明細書の1つまたは複数の実装形態の詳細が、添付の図面および下記の説明に記載される。本明細書の他の特徴および利点は、説明および図面から、また特許請求の範囲から明らかになるであろう。
本明細書の実装形態を実行するために使用され得る例示的な環境を示す図である。 本明細書の実装形態による例示的な概念アーキテクチャを示す図である。 本明細書の実装形態による例示的なモジュールアーキテクチャを示す図である。 本明細書の実装形態による例示的な流れ図である。 本明細書の実装形態に従って実行され得る例示的なプロセスを示す図である。
様々な図面における同様の参照番号は、同様の要素を示す。
本明細書の実装形態は、ブロックチェーンネットワーク内の暗号鍵の管理のためのコンピュータで実装される方法を含む。より詳細には、本明細書の実装形態は、コンソーシアムブロックチェーンネットワーク内の非対称暗号鍵として提供されるサービス鍵の管理を対象とする。
本明細書の実装形態は、ブロックチェーンアズアサービス(BaaS)プラットフォーム内のコンソーシアムブロックチェーンネットワークに対するサービス鍵の管理を提供する。いくつかの実装形態では、動作は、BaaSプラットフォーム内でプロビジョニングされたコンソーシアムブロックチェーンネットワーク内の参加者からサービス鍵に対する要求を受信するステップと、コンソーシアムブロックチェーンネットワーク内の参加者権限を記録するサービス許可表に基づいて、参加者にサービス鍵が許可されると判定するステップと、サービス鍵の暗号化秘密鍵およびサービス鍵の公開鍵を含む鍵パッケージを提供するステップと、鍵パッケージを参加者に送るステップであって、参加者が、その参加者に関連する公開鍵を使用して、サービス鍵の秘密鍵を暗号解読する、ステップとを含む。
本明細書の実装形態に関してさらなる文脈を提供するために、上記で紹介したように、(たとえば、ピアツーピアノードで構成された)コンセンサスネットワークおよびブロックチェーンネットワークと呼ばれることもある分散元帳システム(DLS)は、参加エンティティが、トランザクションをセキュアに不変に行い、データを記録することを可能にする。ブロックチェーンという用語は、概して、ビットコイン暗号通貨ネットワークに関連付けられるが、ブロックチェーンは、本明細書において、任意の特定の使用事例とは無関係に、概してDLSを指すために使用される。上記で紹介したように、ブロックチェーンネットワークは、パブリックブロックチェーンネットワーク、プライベートブロックチェーンネットワーク、またはコンソーシアムブロックチェーンネットワークとして提供され得る。
パブリックブロックチェーンネットワークでは、コンセンサスプロセスはコンセンサスネットワークのノードによって制御される。たとえば、数百のエンティティ、数千のエンティティ、数百万のエンティティですら、パブリックブロックチェーンネットワークと協働することができ、エンティティは、各々、パブリックブロックチェーンネットワーク内の少なくとも1つのノードを動作させる。したがって、パブリックブロックチェーンネットワークは、参加エンティティに対してパブリックネットワークと見なされ得る。いくつかの例では、大部分のエンティティ(ノード)は、ブロックを有効化させ、ブロックチェーンネットワークのブロックチェーン(分散元帳)に追加するために、すべてのブロックに署名しなければならない。例示的なパブリックブロックチェーンネットワークは、ピアツーピア支払いネットワークであるビットコインネットワークを含む。ビットコインネットワークは、ブロックチェーンと呼ばれる分散元帳を活用する。上記のように、ブロックチェーンという用語は、しかしながら、概して、ビットコインネットワークとは特に無関係に分散元帳を指すために使用される。
概して、パブリックブロックチェーンネットワークは、公開トランザクションをサポートする。公開トランザクションは、パブリックブロックチェーンネットワーク内のノードのすべてと共有され、グローバルブロックチェーン内に記録される。グローバルブロックチェーンは、すべてのノードにわたって複製されるブロックチェーンである。すなわち、すべてのノードは、グローバルブロックチェーンに関して完全な状態コンセンサスである。コンセンサス(たとえば、ブロックチェーンに対してブロックを追加する合意)を達成するために、パブリックブロックチェーンネットワーク内でコンセンサスプロトコルが実装される。例示的なコンセンサスプロトコルは、限定はしないが、ビットコインネットワーク内で実装されるプルーフオブワーク(POW:proof-of-work)を含む。
概して、プライベートブロックチェーンネットワークは、読取り許可および書込み許可を中央で制御する特定のエンティティに提供される。エンティティは、どのノードがブロックチェーンネットワークに参加することが可能であるかを制御する。したがって、プライベートブロックチェーンネットワークは、概して、誰がネットワークに参加することが可能にされるか、およびそれらの参加レベル(たとえば、一定のトランザクションのみ)に制限を設ける、許可されたネットワークを指す。様々なタイプのアクセス制御機構が使用され得る(たとえば、既存の参加者は、新しいエンティティの追加に投票する、規制当局は、承認を制御し得る)。
概して、コンソーシアムブロックチェーンネットワークは、参加エンティティ間でプライベートである。コンソーシアムブロックチェーンネットワークでは、コンセンサスプロセスは、許可されたノードのセットによって制御され、1つまたは複数のノードは、それぞれのエンティティ(たとえば、金融機関、保険会社)によって動作させられる。たとえば、10個のエンティティのコンソーシアム(たとえば、金融機関、保険会社)は、コンソーシアムブロックチェーンネットワークを動作させることができ、エンティティの各々は、コンソーシアムブロックチェーンネットワーク内で少なくとも1つのノードを動作させる。したがって、コンソーシアムブロックチェーンネットワークは、参加エンティティに対してプライベートネットワークと見なされ得る。いくつかの例では、各エンティティ(ノード)は、ブロックを有効化させ、ブロックチェーンに追加するために、すべてのブロックに署名しなければならない。いくつかの例では、エンティティ(ノード)の少なくともサブセット(たとえば、少なくとも7個のエンティティ)は、ブロックを有効化させ、ブロックチェーンに追加するために、すべてのブロックに署名しなければならない。
本明細書の実装形態は、参加するエンティティの間で部分的に公開されているコンソーシアムブロックチェーンネットワークを参照して、本明細書でさらに詳細に説明される。しかしながら、本明細書の実装形態は、任意の適したタイプのブロックチェーンネットワーク内で実現され得ることが企図される。
本明細書の実装形態に関する文脈を提供するために、上で紹介したように、コンソーシアムブロックチェーンネットワークは、軽集中型または多中心型と見なされる場合があるが、これは、コンソーシアムブロックチェーンネットワークの各ノードがコンソーシアムの参加者によって動作させられるためである。たとえば、参加者(たとえば、企業)はコンソーシアムブロックチェーンネットワークに参加するコンソーシアムを形成し、その場合、同じタイプのサービス要求が使用され、すべてのノードはブロックチェーンの動作を維持する。コンソーシアムブロックチェーンネットワークでは、ブロックチェーンは、許可されたコンソーシアム参加者に対して信頼の基礎を構築する。これは、たとえば、すべてのトランザクション情報がパブリックブロックチェーン内に平文で記録され、すべての参加者に透過的であるパブリックブロックチェーンネットワークとは対照的である。コンソーシアムブロックチェーンネットワークでは、データは、暗号文として暗号化され、ブロックチェーン上に記録される。
したがって、コンソーシアムブロックチェーンネットワークは、鍵管理機能を利用して、プライバシー隔離(たとえば、コンソーシアムブロックチェーンネットワーク内の他の参加者からデータを隔離すること)および参加者同士の間で共有することを可能にする。すなわち、コンソーシアムブロックチェーンネットワーク内の暗号化を可能にするために、参加者によって暗号鍵が使用される。たとえば、各参加者は、データを暗号化/暗号解読するため、かつトランザクションを検証するために使用される、秘密鍵と公開鍵との対(秘密鍵-公開鍵対)を有する。たとえば、参加者の公開鍵を使用して、参加者に起因するトランザクションのそのデータを検証することができる。これに鑑みて、プライバシー隔離およびコンソーシアムブロックチェーンネットワーク内の共有を確実にするために、コンソーシアムブロックチェーンネットワーク内で鍵管理機能が実装される。
いくつかの実装形態では、コンソーシアムブロックチェーンネットワーク内でトランザクションを暗号化するために使用される暗号鍵の対は、サービス鍵(すなわち、秘密鍵-公開鍵対)と呼ばれることがある。いくつかの例では、サービス鍵はサービスタイプ単位で導出される。各サービス鍵は異なる参加者を有し、参加者は、コンソーシアムブロックチェーンネットワーク内に複数のサービス鍵を有し得る。たとえば、サービス鍵は、コンソーシアムブロックチェーンネットワーク内の参加者間のトランザクションに対応し得る。非限定的な例として、第1の参加者および第2の参加者は、コンソーシアムブロックチェーンネットワーク内の第1の参加者と第2の参加者との間で非公開トランザクションが行われることを可能にするそれぞれのサービス鍵を有し得る。第1の参加者および第3の参加者は、コンソーシアムブロックチェーンネットワーク内の第1の参加者と第3の参加者との間で非公開トランザクションが行われることを可能にするそれぞれのサービス鍵を有し得る。この例では、第1の参加者はサービス鍵のセットを有し、その1つは第2の参加者とのトランザクションに関し、もう1つは第3の参加者とのトランザクションに関する。
さらなる文脈を提供するために、企業はユーザに変わってブロックチェーンネットワークを提供し得る。たとえば、企業はブロックチェーンアズアサービス(BaaS)モデルを提供することができ、BaaSモデルを通じて、複数の異なるブロックチェーンネットワークが確立され得る。非限定的な例として、企業はBaaSプラットフォームを提供することができ、参加者の第1のコンソーシアムは、BaaSプラットフォーム内の第1のコンソーシアムブロックチェーンネットワークに参加することができ、参加者の第2のコンソーシアムは、BaaSプラットフォーム内の第2のコンソーシアムブロックチェーンネットワークに参加することができる。概して、BaaSプラットフォームを動作させる企業は、数あるサービスの中でも、インフラストラクチャサービスおよび管理サービスを提供する。
BaaSプラットフォーム上でホストされるコンソーシアムブロックチェーンネットワーク内の各参加者は、識別の証明をBaaSプラットフォームに提供する。たとえば、各参加者は識別証明をBaaSプラットフォームに提供する。いくつかの例では、識別証明は、セキュリティプロトコルを使用した通信を可能にする。例示的なセキュリティプロトコルは、限定はしないが、トランスポートレイヤセキュリティ(TLS)およびセキュアソケットレイヤ(SSL)を含む。たとえば、OpenSSLを使用して、参加者とBaaSプラットフォーム(たとえば、BaaSサーバ)との間のセキュアな通信に対して識別証明(SSL証明)を生成することができる。BaaSプラットフォームは、識別証明を使用して、通信の発信源の識別を確認することができる。
コンソーシアムブロックチェーンネットワークをプロビジョニングする際に、BaaSプラットフォームは、各コンソーシアムブロックチェーンネットワークの管理者および参加者が、サービス鍵を簡単かつセキュアに構成および取得することができることを確実にする必要がある。管理者が鍵を参加者に伝えるために、複数の鍵配信技法が使用され得る。例示的な鍵配信技法は、限定はしないが、Diffie-Hellman鍵交換およびオフライン鍵配信を含み得る。Diffie-Hellman鍵交換は、信頼できないチャネル環境における鍵交換を実装する暗号技法である。オフライン鍵配信は、鍵をメールによって指定された受取人にまたは他のチャネルに送ることによって、コンソーシアムブロックチェーンネットワークを切り離す。
旧来の鍵配信技法は単一鍵の送信のためには効果的であるが、コンソーシアムブロックチェーンネットワークにおける複数のサービス鍵の場合、そのような技法は望ましくない。各サービス鍵は異なる参加者の組合せを有するため、これは特に当てはまる。さらに、旧来の技法では、サービス鍵は中央データベース内に記録される必要があり、これはシステムリスク全体を高める。また、旧来の鍵配信技法は、チャネルセキュリティに大きく依存している。たとえば、鍵配信が公的環境で実行される場合、鍵を漏洩し、システムをリスクにさらすことは容易である。
上記の文脈に照らして、本明細書の実装形態は、コンソーシアムブロックチェーンネットワーク内の非対称暗号鍵(サービス鍵)の管理を対象とする。いくつかの実装形態では、本明細書でさらに詳細に説明するように、BaaSプラットフォームは、非対称鍵導出技術を使用してサービス鍵を導出する。しかしながら、BaaSプラットフォームはサービス鍵を保存しない。本明細書の実装形態によれば、コンソーシアムブロックチェーンネットワークの管理者は、BaaSプラットフォームを通じて異なるサービス鍵に従って参加者を許可することができる。いくつかの実装形態では、サービス鍵は、それぞれの参加者の識別証明(たとえば、BaaSプラットフォームにアップロードされたコンソーシアムブロックチェーンネットワーク内の参加者の識別証明)内に含まれた公開鍵を使用して暗号化される。このようにして、指定された参加者のみがサービス鍵の秘密鍵を暗号解読し得ることが確実にされる(上述のように、サービス鍵は秘密鍵-公開鍵対として提供される)。
図1は、本明細書の実装形態を実行するために使用され得る例示的な環境100を示す。いくつかの例では、例示的な環境100は、エンティティがコンソーシアムブロックチェーンネットワーク102に参加することを可能にする。例示的な環境100は、コンピューティングシステム106、108と、ネットワーク110とを含む。いくつかの例では、ネットワーク110は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、インターネット、またはこれらの組合せを含み、ウェブサイト、ユーザデバイス(たとえば、コンピューティングデバイス)、およびバックエンドシステムを接続する。いくつかの例では、ネットワーク110は、有線および/またはワイヤレス通信リンクを介してアクセスされ得る。
示した例では、コンピューティングシステム106、108は、各々、コンソーシアムブロックチェーンネットワーク102内のノードとして参加を可能にする任意の適切なコンピューティングシステムを含み得る。例示的なコンピューティングデバイスは、限定はしないが、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピューティングデバイス、およびスマートフォンを含む。いくつかの例では、コンピューティングシステム106、108は、コンソーシアムブロックチェーンネットワーク102と対話するための1つまたは複数のコンピュータ実装サービスをホストする。たとえば、コンピューティングシステム106は、第1のエンティティ(たとえば、ユーザA)が1つまたは複数の他のエンティティ(たとえば、他のユーザ)とのそのトランザクションを管理するために使用するトランザクション管理システムなど、第1のエンティティのコンピュータ実装サービスをホストし得る。コンピューティングシステム108は、第2のエンティティ(たとえば、ユーザB)が1つまたは複数の他のエンティティ(たとえば、他のユーザ)とのそのトランザクションを管理するために使用するトランザクション管理システムなど、第2のエンティティのコンピュータ実装サービスをホストし得る。図1の例では、コンソーシアムブロックチェーンネットワーク102は、ノードのピアツーピアネットワークとして表され、コンピューティングシステム106、108は、コンソーシアムブロックチェーンネットワーク102に参加する第1のエンティティおよび第2のエンティティのノードをそれぞれ提供する。
図2は、本明細書の実装形態による例示的な概念アーキテクチャ200を示す。例示的な概念アーキテクチャ200は、エンティティレイヤ202と、ホストサービスレイヤ204と、ブロックチェーンネットワークレイヤ206とを含む。示した例では、エンティティレイヤ202は、3つのエンティティ、Entity_1(E1)、Entity_2(E2)、およびEntity_3(E3)を含み、各エンティティは、それぞれのトランザクション管理システム208を有する。
示した例では、ホストされるサービスレイヤ204は、各トランザクション管理システム208に対するインターフェース210を含む。いくつかの例では、それぞれのトランザクション管理システム208は、プロトコル(たとえば、ハイパーテキストトランスファープロトコルセキュア(HTTPS))を使用してネットワーク(たとえば、図1のネットワーク110)を介してそれぞれのインターフェース210と通信する。いくつかの例では、各インターフェース210は、それぞれのトランザクション管理システム208とブロックチェーンネットワークレイヤ206との間の通信接続を提供する。より詳細には、インターフェース210は、ブロックチェーンネットワークレイヤ206のブロックチェーンネットワーク212と通信する。いくつかの例では、インターフェース210とブロックチェーンネットワークレイヤ206との間の通信は、リモートプロシージャコール(RPC:remote procedure call)を使用して行われる。いくつかの例では、インターフェース210は、それぞれのトランザクション管理システム208に対してブロックチェーンネットワークノードを「ホストする」。たとえば、インターフェース210は、ブロックチェーンネットワーク212にアクセスするためのアプリケーションプログラミングインターフェース(API)を提供する。
本明細書で説明するように、ブロックチェーンネットワーク212は、ブロックチェーン216内に情報を不変に記録する複数のノード214を含む、ピアツーピアネットワークとして提供される。単一のブロックチェーン216が概略的に示されているが、ブロックチェーン216の複数のコピーが提供され、ブロックチェーンネットワーク212にわたって維持される。たとえば、各ノード214は、ブロックチェーンのコピーを記録する。いくつかの実装形態では、ブロックチェーン216は、コンソーシアムブロックチェーンネットワークに参加する2つ以上のエンティティ間で実行されるトランザクションに関連する情報を記録する。
上で紹介したように、本明細書の実装形態は、コンソーシアムブロックチェーンネットワーク内の非対称暗号鍵の管理を対象と関する。いくつかの実装形態では、コンソーシアムブロックチェーンネットワーク内の参加者に対してサービス鍵を生成するために管理者によって鍵導出関数(KDF)キーツリーが使用される。本明細書で説明するように、管理者はサービス鍵を保存しない。代わりに、管理者は、それぞれのサービス鍵に対する各参加者のアクセスを定義するデータ表を維持する。上記の例を続けると、コンソーシアムブロックチェーンネットワークは、第1の参加者と第2の参加者との間で、かつ第1の参加者と第3の参加者との間で非公開トランザクションが行われることを可能にし得る。それに応じて、この例では、データ表は、第1の参加者が第2の参加者および第3の参加者とのトランザクションに対してアクセス権限を有すること、第2の参加者が第1の参加者とのトランザクションに対してアクセス権限を有すること、および第3の参加者が第1の参加者とのトランザクションに対してアクセス権限を有することを指示する。
参加者がサービス鍵に対する要求を(たとえば、BaaSプラットフォーム)に送るとき、データ表に基づいて参加者のアクセス権が検証され、BaaSプラットフォームによってサービス鍵が作成され、参加者に提供される。上記の例を続けると、第1の参加者は、第2の参加者とのセキュアなトランザクションのためのサービス鍵を要求することができる。BaaSプラットフォームは、データ表を参照して、第1の参加者が第2の参加者とのセキュアなトランザクションに対するアクセス権を有することを判定することができ、それに応じて、サービス鍵(秘密鍵-公開鍵対)を生成し、サービス鍵の少なくとも一部分を暗号化し(たとえば、秘密鍵を暗号化し)、サービス鍵を第1の参加者に送ることができる。しかしながら、サービス鍵はBaaSプラットフォーム上に記録されない。
本明細書で説明するように、本明細書の実装形態は、サービス鍵の暗号化をBaaSプラットフォーム上のコンソーシアムブロックチェーンネットワーク参加者の識別証明と組み合わせる。このようにして、識別証明に関連する公開鍵を使用してサービス鍵が暗号化され、その参加者のみが(識別証明のために使用される秘密鍵を使用して)暗号解読し、非暗号化サービス鍵を取得することができる。
さらに詳細には、参加者iの識別証明が秘密(シークレット)鍵(SKID_i)および公開鍵(PKID_i)と関連付けられる。参加者は秘密鍵(SKID_i)を記録し、その秘密鍵は共有されない。公開鍵(PKID_i)はBaaSプラットフォームと共有される。参加者iに対してBaaSプラットフォームによって生成されたサービス鍵は、秘密鍵(SKSK_i)と公開鍵(PKSK_i)とを含む。本明細書の実装形態によれば、BaaSプラットフォームは、参加者に送られるサービス鍵パッケージ(データの束)を作成する。いくつかの例では、BaaSプラットフォームは、参加者の公開鍵(たとえば、PKID_i(SKSK_i))を使用してサービス鍵の秘密鍵を暗号化し、サービス鍵の公開鍵およびサービス鍵の暗号化秘密鍵として鍵パッケージ(たとえば、[PKSK_i,PKID_i(SKSK_i)])を提供する。参加者は、鍵パッケージを受信し、秘密鍵(SKID_i)を使用して秘密鍵(SKSK_i)を暗号解読する。このようにして、参加者は、コンソーシアムブロックチェーンネットワーク内でトランザクションを行うためのサービス鍵を取得する。
図3Aは、本明細書の実装形態による例示的なアーキテクチャ300を示す。例示的なアーキテクチャ300は、BaaSサーバ302と、クライアント304とを含む。クライアント304は各々、BaaSプラットフォーム内で提供されるコンソーシアムブロックチェーンネットワークのそれぞれの参加者と関連付けられる。
いくつかの実装形態では、BaaSサーバ302は、参加者管理モジュール306と、鍵許可モジュール308と、鍵計算モジュール310とを含む。
いくつかの例では、参加者管理モジュール306は、BaaSプラットフォーム内でプロビジョニングされた各コンソーシアムブロックチェーンネットワーク内の参加者を管理する。たとえば、参加者管理モジュール306は、コンソーシアムブロックチェーンネットワーク内の各参加者に関する識別証明および対応する公開鍵を記録する。いくつかの例では、鍵許可モジュール308は、参加者からのサービス鍵に対する要求を処理して、参加者に要求されたサービス鍵が許可されるかどうかを判定する。いくつかの例では、鍵計算モジュール310は、それぞれの参加者に対するKDFキーツリーを使用してサービス鍵を生成する。
例示のために、クライアント304(クライアントA)からの例示的なサービス鍵要求は、図3Aおよび図3Bを参照して説明されることになる。
図3Bは、本明細書の実装形態による例示的な流れ図320を示す。例示的な流れ図320は、クライアント304(第1の参加者(参加者1))とBaaSサーバ302とを含む。クライアント304は、BaaSプラットフォームによって提供されるコンソーシアムブロックチェーンネットワーク内の第1の参加者によって、またはその代わりに、動作させられる。BaaSサーバ302は、本明細書で説明するように、BaaSプラットフォーム内に管理機能を提供する。
いくつかの実装形態では、本明細書で説明するように、クライアント304に関連する参加者を含めて、複数の参加者がBaaSプラットフォームに関与してBaaSプラットフォーム内のコンソーシアムブロックチェーンネットワークを確立する。コンソーシアムブロックチェーンネットワークを確立する一環として、参加者は、それぞれの識別証明をBaaSプラットフォームにアップロードするための招待を管理者から(たとえば、BaaSサーバ302から)受信する。
図3Aおよび図3Bの例では、クライアント304は、その公開鍵を使用して識別証明を暗号化し、暗号化識別証明(たとえば、[SKIC_1(IC1)])をBaaSサーバ302にアップロードする。BaaSサーバ302は、それぞれの公開鍵(PKIC_1)を使用して識別証明を暗号解読し、参加者の識別を確認する。BaaSサーバ302は、コンソーシアムブロックチェーンネットワーク内でサービス鍵許可(アクセス権限)を構成する。たとえば、上記の例を続けると、BaaSプラットフォーム302は、第1の参加者が第2の参加者および第3の参加者の各々との非公開トランザクションをそれぞれ行うことが許可されることをデータ表内に記録することができる。
クライアント304は、サービス鍵要求をBaaSサーバ302に送る。示した例では、クライアント304は、第1の参加者と第2の参加者との間のトランザクションを暗号化するためのサービス鍵に対するサービス鍵要求(たとえば、REQ1-2)を送る。要求に応じて、BaaSサーバ302は、(たとえば、データ表を使用して)第1の参加者のアクセス権を検査し、第1の参加者が第2の参加者との非公開トランザクションを許可されることを確認する。それに応じて、BaaSサーバ302は、KDFキーツリーを使用して、対応するサービス鍵を算出する。
BaaSサーバ302は、サービス鍵をクライアント304に送信するための鍵パッケージを提供する。本明細書で説明するように、BaaSサーバ302は、識別証明に関連する第1の参加者の公開鍵(たとえば、PKIC_1)を使用して、サービス鍵の秘密鍵(たとえば、PKIC_1(SKSK_1))を暗号化する。鍵パッケージは、サービス鍵の公開鍵およびサービス鍵の暗号化秘密鍵(たとえば、[PKSK_1,PKIC_1(SKSK_1)])を含む。BaaSサーバ302は、データパッケージをクライアント304に送る。クライアント304は、第1の参加者の識別証明に関連する秘密鍵(たとえば、SKIC_1)を使用して、サービス鍵の暗号化秘密鍵を暗号解読する。
第1の参加者が新しいサービス鍵を要求するたびに、例示的な流れ図320の少なくとも一部分が繰り返される。たとえば、第3の参加者とのトランザクションを行うために、第1の参加者は、第1の参加者と第3の参加者との間のトランザクションを暗号化するためのサービス鍵に対する別のサービス鍵要求(たとえば、REQ1-3)を送る。それに応じて、BaaSサービス302は、第1の参加者がコンソーシアムブロックチェーンネットワーク内で第3の参加者とセキュアに通信することを可能にするために、別のサービス鍵を第1の参加者に提供することができる。したがって、第1の参加者は、サービス鍵の少なくとも2つのセット(たとえば、第2の参加者とのトランザクションのためのサービス鍵および第3の参加者とのトランザクションのためのサービス鍵)を維持するが、BaaSプラットフォームはサービス鍵を記録しない。
図4は、本明細書の実装形態に従って実行され得る例示的なプロセス400を示す。いくつかの実装形態では、例示的なプロセス400は、1つまたは複数のコンピューティングデバイスを使用して実行される1つまたは複数のコンピュータ実行可能プログラムを使用して実行され得る。
参加者識別証明を要求する(402)。たとえば、BaaSプラットフォーム内でコンソーシアムブロックチェーンネットワークを確立する一環として、BaaSサーバは識別証明要求をコンソーシアムブロックチェーンネットワークの各参加者に送る。参加者識別証明を受信する(404)。たとえば、識別証明要求に応じて、各参加者は、(たとえば、参加者の秘密鍵を使用して暗号化された)識別証明をBaaSサーバに送り、BaaSサーバは参加者の公開鍵を使用して識別証明を暗号解読する。
それぞれの参加者のアクセス権限を記録する(406)。たとえば、各参加者に関して、BaaSサーバによって1つまたは複数のサービスタイプがサービス許可表(データ表)内に記録される。上記の第1、第2、第3の参加者の例を続けると、サービス許可表は、第1の参加者が、第2の参加者および第3の参加者とセキュアなトランザクションを別々に行うことが可能であること、第2の参加者が第1の参加者とセキュアなトランザクションを行うことができること、および第3の参加者が第1の参加者とセキュアなトランザクションを行うことができることを記録することができる。
サービス鍵要求を受信する(408)。たとえば、コンソーシアムブロックチェーンネットワーク内でセキュアなトランザクションを行うことが可能であるためには、参加者はまず適切なサービス鍵を要求する必要がある。たとえば、第1の参加者が第2の参加者(または、第3の参加者)とセキュアなトランザクションを行うために、第1の参加者はそれぞれのサービス鍵要求をBaaSプラットフォームに送る。参加者に要求されたサービス鍵が許可されるかどうかが判定される(410)。たとえば、BaaSサーバはサービス許可表を参照して、その要求を送った参加者にそのサービスが許可されるかどうかを判定する。参加者に要求されたサービス鍵が許可されない場合、エラーを送る(412)。
参加者に要求されたサービス鍵が許可される場合、サービス鍵を生成する(414)。たとえば、BaaSサーバは、KDFキーツリーを使用してサービス鍵(秘密鍵-公開鍵対)を生成する。鍵パッケージを提供する(416)。たとえば、BaaSサーバは、参加者の公開鍵を使用して、サービス鍵の秘密鍵を暗号化し、サービス鍵の公開鍵および暗号化秘密鍵を含むサービス鍵パッケージを作成する。サービス鍵パッケージを送る(418)。BaaSサーバはサービス鍵パッケージを参加者に送る。本明細書で説明したように、参加者は、参加者の秘密鍵を使用して、サービス鍵の暗号化秘密鍵を暗号解読する。
説明した特徴は、デジタル電子回路の形で、またはコンピュータハードウェア、ファームウェア、ソフトウェアの形で、またはそれらの組合せの形で実装され得る。この装置は、プログラマブルプロセッサによって実行するために情報キャリア内で(たとえば、機械可読記録デバイス内で)有形に実施されるコンピュータプログラム製品の形で実装され得、方法ステップは、入力データを操作し、出力を生成することによって、説明した実装形態の機能を実行するための命令のプログラムを実行するプログラマブルプロセッサによって実行され得る。説明した特徴は、データ記録システムからデータおよび命令を受信し、データ記録システムにデータおよび命令を送信するために結合された、少なくとも1つのプログラマブルプロセッサと、少なくとも1つの入力デバイスと、少なくとも1つの出力デバイスとを含む、プログラマブルシステム上で実行可能な1つまたは複数のコンピュータプログラム内で有利に実装され得る。コンピュータプログラムは、一定の動作を実行するため、または一定の結果をもたらすためにコンピュータ内で直接的または間接的に使用され得る命令のセットである。コンピュータプログラムは、コンパイル型言語またはインタープリタ型言語を含めて、任意の形態のプログラミング言語で書き込まれてよく、コンピュータプログラムは、スタンドアロン型プログラムとして、またはモジュール、構成要素、サブルーチン、またはコンピューティング環境で使用するのに適した他のユニットを含めて、任意の形態で展開され得る。
命令のプログラムを実行するのに適したプロセッサは、例として、汎用マイクロプロセッサと専用マイクロプロセッサの両方、および任意の種類のコンピュータの唯一のプロセッサまたは複数のプロセッサのうちの1つを含む。概して、プロセッサは、読取り専用メモリもしくはランダムアクセスメモリまたは両方から命令およびデータを受信することになる。コンピュータの要素は、命令を実行するためのプロセッサと、命令およびデータを記録するための1つまたは複数のメモリとを含み得る。概して、コンピュータは、データファイルを記録するための1つまたは複数の大容量記録デバイスを含んでもよいか、あるいはそれと通信するように動作可能に結合されてもよく、そのようなデバイスは、内部ハードディスクおよびリムーバブルディスクなどの磁気ディスク、磁気光学ディスク、および光ディスクを含む。コンピュータプログラム命令およびデータを有形に実施するのに適した記録デバイスは、例として、EPROM、EEPROM、およびフラッシュメモリデバイスなどの半導体メモリデバイス、内部ハードディスクおよびリムーバブルディスクなどの磁気ディスク、磁気光学ディスク、およびCD-ROMディスクおよびDVD-ROMディスクを含めて、すべての形態の非揮発性メモリを含む。プロセッサおよびメモリは、特定用途向け集積回路(ASIC)によって補完され得るか、またはその中に組み込まれ得る。
ユーザとの対話を提供するために、これらの特徴は、情報をユーザに表示するための、陰極線管(CRT)モニタまたは液晶ディスプレイ(LCD)モニタなどのディスプレイデバイスと、キーボードと、それによりユーザがコンピュータに入力を提供することができる、マウスまたはトラックボールなどのポインティングデバイスとを有するコンピュータ上で実装され得る。
これらの特徴は、データサーバなどのバックエンド構成要素を含むか、もしくはアプリケーションサーバまたはインターネットサーバなどのミドルウェア構成要素を含むか、またはグラフィカルユーザインターフェースまたはインターネットブラウザを有するクライアントコンピュータなどのフロントエンド構成要素を含むか、あるいはそれらの任意の組合せを含む、コンピュータシステム内で実装され得る。このシステムの構成要素は、通信ネットワークなど、任意の形態または媒体のデジタルデータ通信によって接続され得る。通信ネットワークの例は、たとえば、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、ならびにコンピュータおよびインターネット形成するネットワークを含む。
コンピュータシステムは、クライアントとサーバとを含み得る。クライアントおよびサーバは、概して、互いから離れており、一般に、説明したネットワークなど、ネットワークを介して対話する。クライアントおよびサーバの関係は、それぞれのコンピュータ上で実行し、互いに対してクライアント-サーバ関係を有するコンピュータプログラムにより生じる。
加えて、図に示した論理フローは、所望の結果を達成するために、示した特定の順序、または連続的順序を必要としない。加えて、他のステップを提供することができ、または説明したフローからステップをなくすことができ、説明したシステムに他の構成要素を追加すること、または説明したシステムから他の要素を除去することができる。したがって、他の実装形態が以下の特許請求の範囲内に入る。
本明細書のいくつかの実装形態について説明してきた。それでもなお、本明細書の趣旨および範囲から逸脱せずに、様々な修正を行うことが可能であることを理解されよう。したがって、他の実装形態が以下の特許請求の範囲内に入る。
100 環境
102 コンソーシアムブロックチェーンネットワーク
106 コンピューティングシステム
108 コンピューティングシステム
110 ネットワーク
200 概念アーキテクチャ
202 エンティティレイヤ
204 ホストサービスレイヤ
206 ブロックチェーンネットワークレイヤ
208 トランザクション管理システム
210 インターフェース
212 ブロックチェーンネットワーク
214 ノード
216 ブロックチェーン
300 アーキテクチャ
302 BaaSサーバ
304 クライアント
306 参加者管理モジュール
308 鍵許可モジュール
310 鍵計算モジュール
320 流れ図
400 プロセス

Claims (18)

  1. ブロックチェーンアズアサービス(BaaS)プラットフォーム内のコンソーシアムブロックチェーンネットワークに対するサービス鍵の管理のためのコンピュータで実装される方法であって、
    BaaSプラットフォーム内でプロビジョニングされたコンソーシアムブロックチェーンネットワークに参加するコンピュータである参加者からサービス鍵に対する要求を受信するステップと、
    前記コンソーシアムブロックチェーンネットワーク内の参加者権限を記録するサービス許可表に基づいて、前記参加者にサービスが許可されると判定するステップと、
    秘密鍵と公開鍵のペアである前記サービス鍵の暗号化秘密鍵および前記サービス鍵の前記公開鍵を含む鍵パッケージを作成するステップと、
    前記鍵パッケージを前記参加者に送るステップであって、前記参加者が、前記参加者に関連する秘密鍵を使用して、前記サービス鍵の前記暗号化秘密鍵を暗号解読する、ステップとを含み、
    前記鍵パッケージを前記参加者に送った後、前記サービス鍵が前記BaaSプラットフォームに不在である
    方法。
  2. 前記参加者から前記サービス鍵に対する前記要求を受信するのに先立って、前記参加者から識別証明を受信するステップをさらに含む、
    請求項1に記載の方法。
  3. 前記識別証明が暗号化識別証明として受信され、前記BaaSプラットフォームが前記参加者の公開鍵を使用して前記識別証明を暗号解読する、
    請求項2に記載の方法。
  4. 前記参加者に関連する前記公開鍵を使用して、前記サービス鍵の前記秘密鍵を暗号化するステップをさらに含む、
    請求項1に記載の方法。
  5. 前記参加者に前記サービス鍵が許可されるとの判定に応じて、前記サービス鍵が鍵導出関数(KDF)キーツリーを使用して生成される、
    請求項1に記載の方法。
  6. 前記参加者が、前記コンソーシアムブロックチェーンネットワーク内の1つまたは複数の他の参加者とのトランザクションを暗号化するために、前記サービス鍵の前記秘密鍵を使用する、
    請求項1に記載の方法。
  7. 1つまたは複数のコンピュータによって実行されると、ブロックチェーンアズアサービス(BaaS)プラットフォーム内のコンソーシアムブロックチェーンネットワークに対するサービス鍵の管理のための動作を、前記1つまたは複数のコンピュータに実行させる命令が符号化された、1つまたは複数のコンピュータ可読記録媒体であって、前記動作が、
    BaaSプラットフォーム内でプロビジョニングされたコンソーシアムブロックチェーンネットワークに参加するコンピュータである参加者からサービス鍵に対する要求を受信することと、
    前記コンソーシアムブロックチェーンネットワーク内の参加者権限を記録するサービス許可表に基づいて、前記参加者にサービスが許可されると判定することと、
    秘密鍵および公開鍵のペアである前記サービス鍵の暗号化秘密鍵および前記サービス鍵の前記公開鍵を含む鍵パッケージを作成することと、
    前記鍵パッケージを前記参加者に送ることであって、前記参加者が、前記参加者に関連する秘密鍵を使用して前記サービス鍵の前記暗号化秘密鍵を暗号解読する、こととを含
    前記鍵パッケージを前記参加者に送った後、前記サービス鍵が前記BaaSプラットフォームに不在である、
    コンピュータ可読記録媒体。
  8. 前記動作が、前記参加者から前記サービス鍵に対する前記要求を受信するのに先立って、前記参加者から識別証明を受信することをさらに含む、
    請求項に記載のコンピュータ可読記録媒体。
  9. 前記識別証明が暗号化識別証明として受信され、前記BaaSプラットフォームが前記参加者の前記公開鍵を使用して前記識別証明を暗号解読する、
    請求項に記載のコンピュータ可読記録媒体。
  10. 前記動作が、前記参加者に関連する公開鍵を使用して、前記サービス鍵の前記秘密鍵を暗号化することをさらに含む、
    請求項に記載のコンピュータ可読記録媒体。
  11. 前記参加者に前記サービス鍵が許可されるとの判定に応じて、前記サービス鍵が鍵導出関数(KDF)キーツリーを使用して生成される、
    請求項に記載のコンピュータ可読記録媒体。
  12. 前記参加者が、前記コンソーシアムブロックチェーンネットワーク内の1つまたは複数の他の参加者とのトランザクションを暗号化するために、前記サービス鍵の前記秘密鍵を使用する、
    請求項に記載のコンピュータ可読記録媒体。
  13. 1つまたは複数のコンピュータと、
    前記1つまたは複数のコンピュータに結合され、かつ以下の動作を行うために前記1つまたは複数のコンピュータによって実行可能な命令を備えた1つまたは複数のコンピュータ可読メモリとを備えたシステムであって、前記動作が、
    BaaSプラットフォーム内でプロビジョニングされたコンソーシアムブロックチェーンネットワークに参加するコンピュータである参加者からサービス鍵に対する要求を受信することと、
    前記コンソーシアムブロックチェーンネットワーク内の参加者権限を記録するサービス許可表に基づいて、前記参加者にサービスが許可されると判定することと、
    秘密鍵および公開鍵のペアである前記サービス鍵の暗号化秘密鍵および前記サービス鍵の前記公開鍵を含む鍵パッケージを作成することと、
    前記鍵パッケージを前記参加者に送ることであって、前記参加者が、前記参加者に関連する秘密鍵を使用して、前記サービス鍵の前記暗号化秘密鍵を暗号解読する、こととを含み、
    前記鍵パッケージを前記参加者に送った後、前記サービス鍵が前記BaaSプラットフォームに不在である
    システム。
  14. 前記1つまたは複数のコンピュータ可読メモリが、前記参加者から前記サービス鍵に対する前記要求を受信するのに先立って、前記参加者から識別証明を受信するように前記1つまたは複数のコンピュータによって実行可能なさらなる命令で構成される、
    請求項13に記載のシステム。
  15. 前記識別証明が暗号化識別証明として受信され、前記BaaSプラットフォームが前記参加者の公開鍵を使用して前記識別証明を暗号解読する、
    請求項14に記載のシステム。
  16. 前記1つまたは複数のコンピュータ可読メモリが、前記参加者に関連する前記公開鍵を使用して、前記サービス鍵の前記秘密鍵を暗号化するように前記1つまたは複数のコンピュータによって実行可能なさらなる命令で構成される、
    請求項13に記載のシステム。
  17. 前記参加者に前記サービス鍵が許可されるとの判定に応じて、前記サービス鍵が鍵導出関数(KDF)キーツリーを使用して生成される、
    請求項13に記載のシステム。
  18. 前記参加者が、前記コンソーシアムブロックチェーンネットワーク内の1つまたは複数の他の参加者とのトランザクションを暗号化するために、前記サービス鍵の前記秘密鍵を使用する、
    請求項13に記載のシステム。
JP2019521480A 2018-11-27 2018-11-27 コンソーシアムブロックチェーンネットワーク内の非対称鍵管理 Active JP6873235B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/117576 WO2019072281A2 (en) 2018-11-27 2018-11-27 ASYMMETRICAL KEY MANAGEMENT IN CONSORTIUM BLOCK CHAIN NETWORKS

Publications (2)

Publication Number Publication Date
JP2020502861A JP2020502861A (ja) 2020-01-23
JP6873235B2 true JP6873235B2 (ja) 2021-05-19

Family

ID=66100016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019521480A Active JP6873235B2 (ja) 2018-11-27 2018-11-27 コンソーシアムブロックチェーンネットワーク内の非対称鍵管理

Country Status (15)

Country Link
US (1) US10819509B2 (ja)
EP (1) EP3652884B1 (ja)
JP (1) JP6873235B2 (ja)
KR (1) KR102286301B1 (ja)
CN (1) CN110622464B (ja)
AU (1) AU2018348322C1 (ja)
BR (1) BR112019007984A2 (ja)
CA (1) CA3041220C (ja)
MX (1) MX2019004671A (ja)
PH (1) PH12019500863A1 (ja)
RU (1) RU2733097C1 (ja)
SG (1) SG11201903541YA (ja)
TW (1) TWI706661B (ja)
WO (1) WO2019072281A2 (ja)
ZA (1) ZA201902482B (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210185091A1 (en) * 2018-12-28 2021-06-17 Mox-SpeedChain, LLC Advanced Security System for Implementation in an Internet of Things (IOT) Blockchain Network
US11263333B2 (en) * 2019-04-25 2022-03-01 International Business Machines Corporation Multi-subject device access authorization
JP6869374B2 (ja) 2019-04-26 2021-05-12 アドバンスド ニュー テクノロジーズ カンパニー リミテッド トラステッド実行環境のための分散型鍵管理
CN110474884B (zh) * 2019-07-24 2024-04-23 北京百度网讯科技有限公司 以太坊网络系统及通信方法、设备及计算机可读存储介质
CN110545189A (zh) * 2019-08-29 2019-12-06 北京艾摩瑞策科技有限公司 社区平台用户的区块链私钥的代签方法及其装置
CN110380871A (zh) * 2019-08-29 2019-10-25 北京艾摩瑞策科技有限公司 搜索平台的用户区块链私钥的代签方法及其装置
US10903989B2 (en) * 2019-08-30 2021-01-26 Advanced New Technologies Co., Ltd. Blockchain transaction processing method and apparatus
CN111181718A (zh) * 2019-12-30 2020-05-19 南京如般量子科技有限公司 一种基于联盟链的抗量子计算ike系统和协商通信方法
CN111181730A (zh) * 2019-12-31 2020-05-19 航天信息股份有限公司 用户身份生成及更新方法和装置、存储介质和节点设备
CN111294356B (zh) * 2020-02-11 2022-09-06 深圳壹账通智能科技有限公司 基于区块链的组织节点上链方法和系统
CN111292014B (zh) * 2020-03-10 2023-06-16 江苏大学 一种基于联盟链的智能农机调度系统及其调度方法
US20210314172A1 (en) * 2020-04-06 2021-10-07 Wivity Inc. Validating integrity of private keys for on a data communications network using blockchain key registry
CN111614739B (zh) * 2020-05-08 2023-06-23 中国信息通信研究院 网络测量数据存储方法、装置和系统
US11184395B1 (en) 2020-05-13 2021-11-23 International Business Machines Corporation Cross-network identity provisioning
CN111813864A (zh) * 2020-07-23 2020-10-23 润联软件系统(深圳)有限公司 一种联盟链搭建方法、装置、计算机设备及存储介质
CN112134867B (zh) * 2020-09-15 2023-04-07 重庆鸿荣源智能科技有限公司 一种基于区块链的用户行为存证系统及其上链确权方法
JP2022055060A (ja) * 2020-09-28 2022-04-07 富士通株式会社 通信プログラム、通信装置、及び通信方法
US11736456B2 (en) 2020-09-29 2023-08-22 International Business Machines Corporation Consensus service for blockchain networks
CN112202612B (zh) * 2020-09-29 2023-06-20 东软集团股份有限公司 区块链节点管理方法、存储介质、节点以及区块链系统
CN113326533B (zh) * 2021-05-21 2023-07-28 南威软件股份有限公司 基于区块链及分布式文件存储的电子证照服务系统及方法
CN113489733B (zh) * 2021-07-13 2022-07-29 郑州轻工业大学 基于区块链的内容中心网络隐私保护方法
CN113364589B (zh) * 2021-08-10 2021-11-02 深圳致星科技有限公司 用于联邦学习安全审计的密钥管理系统、方法及存储介质
CN113923233A (zh) * 2021-09-30 2022-01-11 广联达科技股份有限公司 一种联盟链管理方法
CN114139203B (zh) * 2021-12-03 2022-10-14 成都信息工程大学 基于区块链的异构身份联盟风险评估系统、方法及终端
KR102500458B1 (ko) 2022-03-18 2023-02-16 주식회사 빅스터 컨소시엄 블록체인 네트워크 기반의 nft 기술을 활용한 디지털 자산 마켓 서비스 제공방법
CN115967583B (zh) * 2023-03-16 2023-06-06 安羚科技(杭州)有限公司 基于联盟链的密钥管理系统及方法

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020164036A1 (en) * 2000-12-12 2002-11-07 Philippe Stransky Certification of transactions
US8572408B2 (en) 2002-11-05 2013-10-29 Sony Corporation Digital rights management of a digital device
GB2423221A (en) * 2005-02-14 2006-08-16 Ericsson Telefon Ab L M Key delivery method involving double acknowledgement
US10628578B2 (en) * 2013-03-15 2020-04-21 Imagine Communications Corp. Systems and methods for determining trust levels for computing components using blockchain
EP3317775B1 (en) * 2015-07-02 2022-02-16 Nasdaq, Inc. Systems and methods of secure provenance for distributed transaction databases
US11941588B2 (en) * 2015-11-06 2024-03-26 Cable Television Laboratories, Inc. Systems and methods for blockchain virtualization and scalability
US10103885B2 (en) * 2016-01-20 2018-10-16 Mastercard International Incorporated Method and system for distributed cryptographic key provisioning and storage via elliptic curve cryptography
US10447478B2 (en) * 2016-06-06 2019-10-15 Microsoft Technology Licensing, Llc Cryptographic applications for a blockchain system
EP3491572B1 (en) * 2016-07-26 2021-09-01 NEC Corporation Method for controlling access to a shared resource
US10067810B2 (en) * 2016-07-28 2018-09-04 Cisco Technology, Inc. Performing transactions between application containers
US10735182B2 (en) * 2016-08-10 2020-08-04 Peer Ledger Inc. Apparatus, system, and methods for a blockchain identity translator
US10361853B2 (en) * 2016-10-12 2019-07-23 Bank Of America Corporation Automated data authentication and service authorization via cryptographic keys in a private blockchain
US20180130034A1 (en) * 2016-11-07 2018-05-10 LedgerDomain, LLC Extended blockchains for event tracking and management
CN106991334B (zh) * 2016-11-24 2021-03-02 创新先进技术有限公司 一种数据存取的方法、系统及装置
US10257206B2 (en) * 2016-12-21 2019-04-09 International Business Machines Corporation Monitoring actions performed by a network of peer devices using a blockchain
CN110800004A (zh) * 2016-12-30 2020-02-14 斯洛克It有限公司 区块链启用的服务提供商系统
US10764259B2 (en) * 2017-02-07 2020-09-01 Microsoft Technology Licensing, Llc Transaction processing for consortium blockchain network
US10452998B2 (en) * 2017-03-19 2019-10-22 International Business Machines Corporation Cognitive blockchain automation and management
US10489597B2 (en) * 2017-03-28 2019-11-26 General Electric Company Blockchain verification of network security service
US10944546B2 (en) * 2017-07-07 2021-03-09 Microsoft Technology Licensing, Llc Blockchain object interface
US10924466B2 (en) * 2017-07-28 2021-02-16 SmartAxiom, Inc. System and method for IOT security
US10565192B2 (en) * 2017-08-01 2020-02-18 International Business Machines Corporation Optimizing queries and other retrieve operations in a blockchain
CN107395349A (zh) * 2017-08-16 2017-11-24 深圳国微技术有限公司 一种基于自认证公钥体制的区块链网络密钥分发方法
US10469248B2 (en) * 2017-10-17 2019-11-05 Amrican Express Travel Related Services Company, Inc. API request and response balancing and control on blockchain
CN108305072B (zh) 2018-01-04 2021-02-26 上海点融信息科技有限责任公司 部署区块链网络的方法、设备和计算机存储介质
CN108600182B (zh) * 2018-03-29 2021-03-19 深圳前海微众银行股份有限公司 区块链密钥管理方法、系统及密钥管理设备、存储介质
RU182969U1 (ru) * 2018-05-29 2018-09-06 Сергей Александрович Мосиенко Считыватель криптографических меток
CN108737435B (zh) * 2018-05-30 2020-09-18 阿里巴巴集团控股有限公司 一种账户初始化方法和装置
US10673618B2 (en) * 2018-06-08 2020-06-02 Cisco Technology, Inc. Provisioning network resources in a wireless network using a native blockchain platform
US11336430B2 (en) * 2018-09-07 2022-05-17 Sap Se Blockchain-incorporating distributed authentication system

Also Published As

Publication number Publication date
ZA201902482B (en) 2021-10-27
EP3652884A2 (en) 2020-05-20
WO2019072281A3 (en) 2019-09-26
CN110622464B (zh) 2022-07-26
KR20200066262A (ko) 2020-06-09
RU2733097C1 (ru) 2020-09-29
MX2019004671A (es) 2019-08-21
US20190253245A1 (en) 2019-08-15
AU2018348322B2 (en) 2020-02-20
AU2018348322C1 (en) 2020-06-25
TWI706661B (zh) 2020-10-01
TW202021304A (zh) 2020-06-01
PH12019500863A1 (en) 2019-12-02
BR112019007984A2 (pt) 2019-11-12
CA3041220A1 (en) 2019-04-18
SG11201903541YA (en) 2019-05-30
CN110622464A (zh) 2019-12-27
KR102286301B1 (ko) 2021-08-09
JP2020502861A (ja) 2020-01-23
WO2019072281A2 (en) 2019-04-18
CA3041220C (en) 2022-07-19
EP3652884A4 (en) 2020-09-09
US10819509B2 (en) 2020-10-27
EP3652884B1 (en) 2022-01-19

Similar Documents

Publication Publication Date Title
JP6873235B2 (ja) コンソーシアムブロックチェーンネットワーク内の非対称鍵管理
US11316668B2 (en) Methods and systems for cryptographic private key management for secure multiparty storage and transfer of information
JP6811317B2 (ja) ブロックチェーン機密トランザクション内の暗号化されたトランザクション情報の復元
US10735202B2 (en) Anonymous consent and data sharing on a blockchain
CN108418680B (zh) 一种基于安全多方计算技术的区块链密钥恢复方法、介质
US11159307B2 (en) Ad-hoc trusted groups on a blockchain
US20170185998A1 (en) Method and device for protecting access to wallets in which crypto currencies are stored
Egorov et al. NuCypher KMS: Decentralized key management system
US20130212388A1 (en) Providing trustworthy workflow across trust boundaries
US11386217B2 (en) Hybrid centralized and decentralized enterprise system
US11949773B2 (en) Systems and methods for secure key management using distributed ledger technology
CN115296838B (zh) 基于区块链的数据共享方法、系统及存储介质
US20220164790A1 (en) Systems and Methods for Improved Hot Wallet Security
US11327946B2 (en) Hybrid centralized and decentralized enterprise system
Egorov et al. Nucypher: A proxy re-encryption network to empower privacy in decentralized systems
Zhang et al. Revocable data sharing methodology based on SGX and blockchain
Wen et al. Enhancing secure multi-group data sharing through integration of IPFS and hyperledger fabric
PRIYA et al. Third Party System for Security in Cloud Computing Environment
Zeidler et al. Privacy-preserving Data Sharing in Portable Clouds.
Parvathi et al. Trust Your Cloud Service Provider: User Based Crypto Model.
Latha et al. A New Security Business Frame Work for Resource Attestation in Cloud Environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190617

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210420

R150 Certificate of patent or registration of utility model

Ref document number: 6873235

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150