TWI768403B - 基於區塊鏈系統之用於加密金鑰管理的方法和設備 - Google Patents

基於區塊鏈系統之用於加密金鑰管理的方法和設備 Download PDF

Info

Publication number
TWI768403B
TWI768403B TW109123720A TW109123720A TWI768403B TW I768403 B TWI768403 B TW I768403B TW 109123720 A TW109123720 A TW 109123720A TW 109123720 A TW109123720 A TW 109123720A TW I768403 B TWI768403 B TW I768403B
Authority
TW
Taiwan
Prior art keywords
key
signature
request
transaction
key manager
Prior art date
Application number
TW109123720A
Other languages
English (en)
Other versions
TW202129522A (zh
Inventor
邵佳翼
Original Assignee
大陸商支付寶(杭州)信息技術有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大陸商支付寶(杭州)信息技術有限公司 filed Critical 大陸商支付寶(杭州)信息技術有限公司
Publication of TW202129522A publication Critical patent/TW202129522A/zh
Application granted granted Critical
Publication of TWI768403B publication Critical patent/TWI768403B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q2220/00Business processing using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Development Economics (AREA)
  • Power Engineering (AREA)
  • Technology Law (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本文公開了用於管理加密金鑰的方法、裝置、包括儲存在電腦可讀媒體上的電腦程式。所述方法之一包括:接收針對交易資料的簽名的請求;分配與所述請求相對應的金鑰管理器;所述金鑰管理器獲得對所述交易資料的簽名和加密金鑰,其中,所述加密金鑰為公開金鑰,並且對所述交易資料的簽名是基於與所述公開金鑰相對應的私密金鑰獲得的。

Description

基於區塊鏈系統之用於加密金鑰管理的方法和設備
本文總體上關於電腦技術,更具體地,關於基於區塊鏈系統之用於加密金鑰管理的方法和設備。
區塊鏈系統,也稱為分散式帳本系統(DLS)或共識系統,可以使參與實體安全且不可篡改地儲存資料。在不參考任何特定用例的情況下,區塊鏈系統可以包括任何DLS並且可以用於公有區塊鏈網路、私有區塊鏈網路和聯盟區塊鏈網路。公有區塊鏈網路向所有實體開放使用系統,並開放參與共識處理。私有區塊鏈網路為特定實體提供,該特定實體集中控制讀寫許可權。聯盟區塊鏈網路針對選擇的實體組群提供,該實體組群控制共識處理,並且聯盟區塊鏈網路包括存取控制層。 區塊鏈系統維護一個或多個區塊鏈。區塊鏈是用於儲存諸如交易的資料的資料結構,其可以防止惡意方篡改和操縱資料。 基於區塊鏈的交易通常需要來自與交易相關的簽名機構的一個或多個數位簽章。可以使用加密金鑰來提供數位簽章。在常規的加密金鑰管理系統中,使用者可以使用使用者選擇的密碼在中央仲介(例如,中心化金鑰管理服務)中建立帳戶,並且中央仲介可以為使用者管理加密金鑰。
在一個實施例中,提供了一種電腦實現的用於管理加密金鑰的方法,該方法包括:接收針對交易資料的簽名的請求;分配與該請求相對應的金鑰管理器;所述金鑰管理器獲得對所述交易資料的簽名和加密金鑰,其中,所述加密金鑰為公開金鑰,並且對所述交易資料的簽名是基於與所述公開金鑰相對應的私密金鑰獲得的。 在另一實施例中,提供一種用於管理加密金鑰的設備,所述設備包括:一個或多個處理器;耦接到所述一個或多個處理器且其上儲存有指令的一個或多個電腦可讀記憶體,當所述指令由所述一個或多個處理器執行時,以接收針對交易資料的簽名的請求;分配與該請求相對應的金鑰管理器;獲得對所述交易資料的簽名和加密金鑰,其中,所述加密金鑰為公開金鑰,並且對所述交易資料的簽名是基於與所述公開金鑰對應的私密金鑰獲得的。 在另一實施例中,提供了一種其中儲存有指令的非暫態電腦可讀媒體,當所述指令由設備的處理器執行時,使得所述設備執行用於管理加密金鑰的方法,所述方法包括:接收針對交易資料的簽名請求;分配與該請求相對應的金鑰管理器;所述金鑰管理器獲得對所述交易資料的簽名和加密金鑰,其中,所述加密金鑰為公開金鑰,並且對所述交易資料的簽名是基於與所述公開金鑰相對應的私密金鑰獲得的。
本文的實施例提供了用於管理加密金鑰並獲得對交易資料的簽名的方法和設備。在這些方法中,電腦系統可以接收針對交易資料的簽名的請求,分析包括在請求中的參數,並基於該分析分配唯一的金鑰管理器。所分配的金鑰管理器可以從簽名機構獲得對交易資料的簽名和加密金鑰。該電腦系統可以進一步重新格式化所獲得的簽名,使得該簽名可以與任何類型的區塊鏈系統以及該區塊鏈系統中的任何格式的智慧合約相容。電腦系統可以將重新格式化的簽名上傳到區塊鏈系統,以便可以在區塊鏈系統中驗證該簽名。所述電腦系統可以進一步基於所述簽名和加密金鑰來更新使用者帳戶資料庫。 本文中公開的實施例具有一個或多個技術效果。在一些實施例中,所述方法和設備可以為使用者管理加密金鑰並獲得對交易資料的簽名。這允許使用者執行交易並使用使用者選擇的密碼訪問該使用者的帳戶,而無需維護加密金鑰,從而為使用者提供便利並促進交易。在一些實施例中,可以在區塊鏈系統中而不是通過中央實體來驗證所獲得的對交易資料的簽名。這允許交易的去中心化,從而增強了交易的安全性。在一些實施例中,所述方法和設備根據區塊鏈系統的類型和區塊鏈系統中的智慧合約的格式來重新格式化所獲得的對交易資料的簽名。這允許在任何類型的區塊鏈系統中或在該區塊鏈系統中的任何格式的智慧合約中執行簽名驗證,從而增強了交易的靈活性。在一些實施例中,所述方法和設備可以通過採用冪等控制協議(idempotent control protocol)來向交易分配唯一的金鑰管理器。這防止了多個金鑰管理器對簽名請求進行不必要的處理,從而進一步提高了交易的安全性和效率。 區塊鏈是以交易不可篡改並隨後可被驗證的方式儲存資料(例如,交易)的資料結構。區塊鏈包括一個或多個區塊。每個區塊通過包括緊鄰其之前的前一區塊的加密雜湊值(cryptographic hash)連結到該前一區塊。每個區塊還可以包括時間戳記、自身的加密雜湊值以及一個或多個交易。通常已經被區塊鏈系統中的節點驗證的交易可以被雜湊並編入諸如默克爾(Merkle)樹的資料結構中。在Merkle樹中,葉節點處的資料是經雜湊處理的,並且在該樹的每個分支中的所有雜湊值可以在該分支的根處被串接(concatenate)。此處理沿著樹持續一直到整個樹的根,在整個樹的根處儲存了代表樹中所有資料的雜湊值。可通過確定雜湊值是否與樹的結構一致而可快速驗證該雜湊值是否為儲存在該樹中的交易的雜湊值。 區塊鏈系統包括管理、更新和維護一個或多個區塊鏈的計算節點的網路。所述網路可以是公有區塊鏈網路、私有區塊鏈網路或聯盟區塊鏈網路。在公有區塊鏈網路中,共識處理由共識網路的節點控制。例如,許多實體,諸如數百、數千或甚至數百萬個實體可以在公有區塊鏈網路中操作,並且每個實體操作公有區塊鏈網路中的至少一個節點。因此,公有區塊鏈網路可被認為是關於參與的實體的公有網路。有時,大多數實體(節點)必須對每個區塊簽名才能使該區塊被驗證並被添加到區塊鏈網路的區塊鏈中。公有區塊鏈網路的示例包括利用被稱為區塊鏈的分散式帳本的特定點對點(peer-to-peer)支付網路。 通常,公有區塊鏈網路可以支援公開交易。公開交易為公有區塊鏈網路內的所有節點共用,並儲存在全域區塊鏈中。全域區塊鏈是跨所有節點複製的區塊鏈,並且所有節點都與全域區塊鏈達成共識。為了達成共識(例如,同意向區塊鏈添加區塊),在公有區塊鏈網路中實施共識協定。共識協議的示例包括工作量證明(POW)(例如,在一些加密貨幣網路中實現)、權益證明(POS)和權威證明(POA)。 通常,可以為特定實體提供私有區塊鏈網路,該特定實體集中控制讀寫許可權。該實體控制哪些節點能參與到該區塊鏈網路中。因此,私有區塊鏈網路通常被稱為許可權網路,其限制允許誰參與網路,以及它們的參與級別(例如,僅在某些交易中)。可以使用各種類型的存取控制機制(例如,現有參與者投票添加新實體,監管機構可以控制准入)。 通常,聯盟區塊鏈網路在參與的實體之間是私有的。在聯盟區塊鏈網路中,共識處理由一組被授權的節點控制,一個或多個節點由相應實體(例如,金融機構、保險公司)操作。例如,由十(10)個實體(例如,金融機構、保險公司)組成的聯盟可以操作聯盟區塊鏈網路,每個實體操作聯盟區塊鏈網路中的至少一個節點。因此,關於參與的實體,聯盟區塊鏈網路可以被認為是私有網路。在一些示例中,每個區塊必須經每個實體(節點)簽名才能有效並被添加到區塊鏈中。在一些示例中,每個區塊必須經至少實體(節點)的子集(例如,至少7個實體)簽名才能有效並被添加到區塊鏈中。 圖1示出了根據實施例的區塊鏈系統100的示意圖。參考圖1,區塊鏈系統100可以包括被配置為在區塊鏈120上操作的多個節點(例如節點102-110)。節點102-110可以形成網路112,例如點對點(P2P)網路。節點102-110中的每個可以是被配置為儲存區塊鏈120的副本的計算設備(例如,電腦或電腦系統),或者可以是在計算設備上運行的軟體(諸如進程或應用)。節點102-110中的每一個可以具有唯一標識。節點102-110可以通過有線或無線通訊彼此通信。這種通信可以採用可靠的協定,例如傳輸控制協定/網際協定(TCP/IP)。 區塊鏈120可以包括為例如圖1中的區塊B1-B5的資料區塊形式的記錄的增長清單。區塊B1-B5中的每個可以包括時間戳記、前一區塊的加密雜湊值,以及當前區塊的資料,該資料可以是諸如貨幣交易的交易。例如,如圖1所示,區塊B5可以包括時間戳記、區塊B4的加密雜湊值和區塊B5的交易資料。此外,例如,可以對前一區塊執行雜湊操作以生成前一區塊的加密雜湊值。雜湊操作可以通過諸如SHA-256的雜湊演算法將各種長度的輸入轉換為固定長度的加密輸出。 節點102-110可以被配置為對區塊鏈120執行操作。例如,當節點(例如,節點102)想要將新資料儲存到區塊鏈120上時,該節點可以生成要被添加到區塊鏈120的新區塊,並將該新區塊廣播到網路112中的例如節點104-110的其他節點。基於新區塊的合法性,例如,其簽名和交易的有效性,其他節點可以確定接受該新區塊,使得節點102和其他節點可以將該新區塊添加到它們各自的區塊鏈120的副本中。重複該處理,可以將越來越多的資料區塊添加到區塊鏈120。 在一實施例中,區塊鏈系統100可以根據一個或多個智慧合約操作。每個智慧合約可以是以電腦代碼形式的電腦協定,其被納入到區塊鏈120中,以促進、驗證或強制合約的協商或執行。例如,區塊鏈系統100的使用者可以使用諸如C++、Java、Solidity、Python等程式設計語言將商定的條款程式設計為智慧合約,並且當滿足條款時,可以由區塊鏈系統100自動執行智慧合約,例如執行交易。又例如,智慧合約可以包括多個子常式或函數,每個子常式或函數可以是執行指定任務的一系列程式指令。智慧合約可以是在完全或部分沒有人工交互的情況下執行的操作代碼。 圖2是示出根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的金鑰管理系統200的示意圖。參考圖2,金鑰管理系統200可以包括金鑰管理設備210、會員帳戶資料庫220、使用者介面系統230和簽名機構250。金鑰管理系統200可以與區塊鏈系統100通信(圖1)。在一些實施例中,金鑰管理系統200可以作為區塊鏈系統100的節點操作。在其他實施例中,金鑰管理系統200可以不作為區塊鏈系統100的節點操作。 在一些實施例中,使用者介面系統230可以被實現為使用者240的交易系統,並且金鑰管理設備210可以是管理包括使用者240的多個使用者的加密金鑰的第三方代理。在這些實施例中,使用者介面系統230還可包括獲得並記錄使用者240的交易資料的記帳系統。會員帳戶資料庫220可以在金鑰管理設備210中實現。 在其他實施例中,使用者介面系統230可以是管理包括使用者240的多個使用者的交易資料的第三方交易資料系統。使用者240可以使用使用者選擇的密碼在使用者介面系統230中建立帳戶。金鑰管理設備210可以在使用者介面系統230中實現,或者可以獨立於使用者介面系統230。會員帳戶資料庫220可以在金鑰管理設備210或使用者介面系統230中實現。 使用者240可以是任何實體,例如但不限於涉及交易的個人、公司、公司代表、金融機構、研究機構或政府實體。使用者介面系統230可以獲得、組合和維護使用者240的交易資料。 簽名機構250可以是被授權在交易資料上提供完整簽名或部分簽名的一方。簽名機構250可以是任何實體,例如但不限於涉及交易的個人、公司、公司代表、金融機構、研究機構或政府實體。簽名機構250可以與使用者240有關或無關。簽名機構250可以包括彼此獨立的多個簽名機構。 在一個實施例中,使用者240可以執行交易,並且交易資料需要由簽名機構250簽名。使用者介面系統230可以組合交易資料,並將交易資料和對簽名的請求發送給金鑰管理設備210。在一些實施例中,簽名請求可以包括與使用者240有關的參數。所述參數可以包括但不限於金鑰管理設備210中的使用者240的帳戶資訊、使用者240的銀行帳戶的資訊、使用者240的加密金鑰管理系統的資訊以及使用者240與金鑰管理服務的關聯等。在一個實施例中,金鑰管理服務可以是為例如使用者240的多個使用者管理加密金鑰的第三方代理。 在一個實施例中,在從使用者介面系統230接收到簽名請求時,金鑰管理設備210可以分析包括在簽名請求中的參數。金鑰管理設備210可以進一步確定使用者240是金鑰管理設備210的現有使用者還是新使用者。如果使用者240是新使用者,則金鑰管理設備210可以通過為使用者240開設會員帳戶來更新會員帳戶資料庫220。在一個實施例中,金鑰管理設備210可以使用使用者240提供的身份證明(identification)和密碼來為使用者240開設會員帳戶。另一方面,如果使用者240是金鑰管理設備210的現有使用者,則金鑰管理設備210可以從會員帳戶資料庫220中提取關於使用者240的資訊。 在一個實施例中,金鑰管理設備210可以包括能夠處理簽名請求的多個金鑰管理器(未示出)。例如,每個金鑰管理器可以包括子常式或函數,子常式或函數可以是執行特定任務的一系列程式指令。基於對包括在簽名請求中的參數的分析,金鑰管理設備210可以分配用於處理簽名請求的適當的金鑰管理器。在一些實施例中,分配的金鑰管理器可以是能夠從簽名機構250獲得簽名和加密金鑰的金鑰管理器。在其他實施例中,分配的金鑰管理器可以是能夠生成模擬加密金鑰(mock cryptographic key)並使用所生成的類比加密金鑰對交易資料進行簽名的金鑰管理器。在一個實施例中,金鑰管理設備210不是簽名機構,並且生成模擬加密金鑰及提供模擬簽名是出於測試金鑰管理設備210的目的。加密金鑰可以包括單個金鑰(例如,公開金鑰)或多個金鑰(例如,私密金鑰和公開金鑰)。 在一個實施例中,金鑰管理設備210可以通過採用冪等控制協定將向使用者的交易資料分配唯一的金鑰管理器。在該實施例中,當金鑰管理設備210對伴隨交易資料的簽名請求進行分析時,金鑰管理設備210可以總是向該交易資料或針對該使用者分配相同的金鑰管理器。這防止了多個金鑰管理器對交易資料的處理以及受到欺騙而獲得無效簽名,從而提高了交易的安全性和效率。 在一個實施例中,分配的金鑰管理器可以發起與簽名機構250的聯繫以獲得簽名和加密金鑰。在獲得簽名之後,金鑰管理設備210可以重新格式化簽名,使得簽名可以適應於使用者偏好的區塊鏈系統類型或區塊鏈系統中特定格式的智慧合約。在一些實施例中,金鑰管理設備210基於會員帳戶資料庫220中的使用者240的記錄來確定區塊鏈系統的類型或智慧合約的格式。在其他實施例中,區塊鏈系統的類型或智慧合約的格式被包括在從使用者介面系統230發送的簽名請求中。重新格式化簽名允許使用者240在驗證區塊鏈系統上的簽名時方便地選擇區塊鏈系統的類型或智慧合約的格式,從而為使用者提供便利並增強交易的靈活性。 在一個實施例中,金鑰管理設備210可以將重新格式化的簽名和加密金鑰發送到使用者介面系統230。在一些實施例中,金鑰管理設備210可以生成具有重新格式化的簽名、原始簽名和加密金鑰的有效載荷資料,並將該有效載荷資料發送給使用者介面系統230。 在一個實施例中,在接收到簽名和加密金鑰(或有效載荷資料)後,使用者介面系統230可以在區塊鏈系統100中建立帳戶並將簽名(或有效載荷資料)上傳到區塊鏈系統100,使得簽名可以在區塊鏈系統中被驗證。在一個實施例中,除了簽名之外,交易資料的準確性也可以在區塊鏈系統100中被驗證。在一個實施例中,可以基於區塊鏈系統100中的智慧合約執行對簽名的驗證。 在一個實施例中,基於提供包括私密金鑰和公開金鑰的金鑰對的加密演算法可以執行對簽名的驗證。私密金鑰可以與特定方相關聯並且可以對資料進加密以形成簽名。公開金鑰可以被提供給區塊鏈系統中的另一方以對該加密的資料進行解密,以驗證交易是否確實被該特定方授權。解密也可以被稱為簽名驗證。在一個實施例中,區塊鏈系統100可以支援多種加密演算法,例如RSA(Rivest-Shamir-Adleman)演算法、橢圓曲線數位簽章演算法(Elliptic Curve Digital Signature Algorithm,ECDSA)、SM2演算法等。 在一個實施例中,上傳到區塊鏈系統100的簽名可以由區塊鏈系統100中的其他方驗證,並且可以將由使用者介面系統230獲得的加密金鑰(例如,公開金鑰)提供給其他方以用於驗證。通過在區塊鏈系統中而不是由中央實體驗證獲得的簽名,實現了交易資料處理的去中心化,從而提高了交易的安全性和效率。 在一個實施例中,金鑰管理設備210可以通過將所獲得的簽名和加密金鑰記錄在會員帳戶資料庫220中來更新會員帳戶資料庫220中使用者240的帳戶。金鑰管理設備210還可以記錄發送到使用者介面系統230的重新格式化簽名的格式。以這種方式,金鑰管理設備210可以為使用者240建立和維護知識庫。 在一個實施例中,區塊鏈系統100可以通過廣播或通過向使用者介面系統230發送消息來通知驗證結果。使用者介面系統230可以進一步向使用者240通知簽名請求的處理結果。在一個實施例中,使用者介面系統230還可以向使用者240通知使用者介面系統230中的使用者帳戶的資訊,例如,在處理交易資料之後,使用者240的帳戶中的任意剩餘餘額。這允許使用者240僅使用密碼來方便地管理帳戶,而無需維護針對交易資料的加密金鑰。 在一個實施例中,金鑰管理設備210可以包括儲存在電腦系統中的指令。該電腦系統可以執行指令以執行金鑰管理設備210的功能。使用者介面系統230可以或可以不在該電腦系統中實現。在一個實施例中,分配金鑰管理設備210的金鑰管理器可以包括指定與該金鑰管理器相對應的指令的位址。 在一個實施例中,金鑰管理設備210可以是獨立的硬體,其包括可以與任何使用者介面系統相容的積體電路和存放裝置。例如,金鑰管理設備210可以與任何其他使用者介面系統對接。 圖3是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的設備300的示意圖。設備300可以採用任何形式,包括但不限於桌上型電腦、筆記型電腦、伺服器電腦、平板電腦、智慧手機或智慧手錶,或任何其他形式。設備300可以包括處理器310、記憶體320、使用者介面330以及通過匯流排350彼此通信的通信介面340。 處理器310可以包括一個或多個專用處理單元、專用積體電路(ASIC)、現場可程式化閘陣列(FPGA)或各種其他類型的處理器或處理單元。處理器310與記憶體320耦接,並且可以執行儲存在記憶體320中的指令。 通信介面340可以促進設備300與使用者介面系統和簽名機構(例如圖2所示使用者介面系統210和簽名機構250)之間的通信。在一個實施例中,通信介面340可以從使用者介面系統接收簽名請求和交易資料。通信介面340還可以向簽名機構發送對簽名的請求,從簽名機構接收加密金鑰和簽名,並且將所獲得的簽名和加密金鑰發送給使用者介面系統。 在一個實施例中,通信介面340可以支援一個或多個通信標準,諸如包括TCP/IP和TLS/SSL協議、整合式服務數位網路(ISDN)標準等的互聯網標準或協定。在一個實施例中,通信介面340可以包括以下中的一個或多個:局域網(LAN)卡、纜線數據機、衛星數據機、資料匯流排、電纜、無線通訊通道、無線電通信通道、蜂窩通信通道、基於互聯網協議(IP)的通信設備或用於有線和/或無線通訊的其他通訊設備。在一實施例中,通信介面340可以基於公有雲基礎設施、私有雲基礎設施和混合公有/私有雲基礎設施。 記憶體320可以包括儲存會員帳戶資料322的記憶體。記憶體320還可以儲存處理器可執行的指令和資料。電腦可執行的指令和資料可以包括金鑰管理器分配器324和多個金鑰管理器326。當金鑰管理器分配器324由處理器310執行時,允許設備300提取和分析包括在從使用者介面系統接收的簽名請求中的參數,並基於該分析分配適當的金鑰管理器。在一個實施例中,分配適當的金鑰管理器可以包括指定該金鑰管理器的位址。當所分配的金鑰管理器由處理器310執行時,允許設備300發起與簽名機構的聯繫以獲得加密金鑰和交易資料的簽名。 記憶體320可以是任何類型的揮發性或非揮發性記憶體設備或其組合,例如靜態隨機存取記憶體(SRAM)、電可擦除可程式化唯讀記憶體(EEPROM)、可擦除可程式化唯讀記憶體(EPROM)、可程式化唯讀記憶體(PROM)、唯讀記憶體(ROM)、磁記憶體、快閃記憶體、磁片或光碟。 使用者介面330可以包括顯示器和向處理器310發送使用者命令的輸入裝置等。顯示器可以顯示交易資料、上傳進度和區塊鏈系統的狀態等。顯示器可以包括但不限於用於向使用者顯示資訊的陰極射線管(CRT)、液晶顯示器(LCD)、發光二極體(LED)、氣體電漿、觸控式螢幕或其他圖像投影設備。輸入裝置可以是用於從使用者向處理器310提供資料和控制信號的任何類型的電腦硬體設備。輸入裝置可以包括但不限於鍵盤、滑鼠、掃描器、數位相機、搖桿、軌跡球、游標方向鍵、觸控式螢幕監控器或音訊/視頻指令器等。 在一個實施例中,設備300可以包括使用者介面系統,諸如圖2的使用者介面系統230,使得處理器310和使用者介面330是使用者介面系統的一部分。 圖4是示出了根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法400的示意圖。參照圖2至圖4,使用者240可以在使用者介面系統230中建立帳戶(步驟412)。例如,使用者240可以通過提供使用者選擇的密碼來建立帳戶。在另一實施例中,使用者介面系統230可以是使用者240的交易資料系統,並且不需要使用者240在使用者介面系統230中建立帳戶。使用者介面系統230可以獲得使用者240的交易資料、為使用者240組合交易資料以及維護交易資料。使用者介面系統230可以進一步向金鑰管理設備210發送針對加密金鑰和對交易資料的簽名的請求(步驟414)。在一個實施例中,該請求可以包括與使用者240有關的交易資料和參數。參數可以包括但不限於金鑰管理設備210中的使用者240的帳戶資訊、使用者240的銀行帳戶的資訊、使用者240的加密金鑰管理系統的資訊以及使用者240與金鑰管理服務的關聯等。在接收該到請求之後,金鑰管理設備210可以發送接受該請求的確認(步驟416)。 金鑰管理設備210可以進一步提取並分析包括在請求中的參數,並分配適當的金鑰管理器(步驟418)。在一個實施例中,金鑰管理設備210可以通過採用冪等控制協定來為交易資料分配唯一的金鑰管理器,使得當金鑰管理設備210分析參數時,金鑰管理設備210可以總是將相同的金鑰管理器分配給該交易資料。所分配的金鑰管理器可以將針對加密金鑰和簽名的請求轉發到簽名機構250(步驟420)。簽名機構250可以生成針對交易資料的簽名,並將所請求的加密金鑰和簽名返回給金鑰管理設備210(步驟422)。 在接收到加密金鑰和簽名之後,金鑰管理設備210可以廣播該加密金鑰和該簽名(步驟422)。在一個實施例中,在廣播加密金鑰和簽名之前,金鑰管理設備210可以重新格式化簽名以適應於特定類型的區塊鏈系統或區塊鏈系統中的特定格式的智慧合約。 在一個實施例中,使用者介面系統230可以接收廣播的加密金鑰和簽名(步驟424)。使用者介面系統230可以在區塊鏈系統100中建立帳戶並且將簽名上傳到區塊鏈系統100以進行驗證(步驟426)。在一個實施例中,使用者介面系統230還可以將具有簽名的交易資料(經簽名的交易資料)上傳到區塊鏈系統,以驗證準確性。在一個實施例中,使用者介面系統230可以接收由原始簽名和重新格式化的簽名形成的有效載荷資料,並將該有效載荷資料上傳到區塊鏈系統以進行驗證。區塊鏈系統100可以將對建立帳戶和所述上傳的確認發送到使用者介面系統230(步驟428)。使用者介面系統230可以將對建立帳戶和所述上傳的確認發送給使用者240(步驟430)。 在上述方法400中,金鑰管理設備210管理加密金鑰並獲得使用者240的交易資料的簽名。此外,使用者介面系統230處理獲得的簽名和加密金鑰,並通知使用者240。這允許使用者240僅使用密碼來執行交易和訪問使用者的帳戶,而無需維護加密金鑰,從而實現方便且有效的交易。金鑰管理設備210可以向給定的交易資料分配唯一的金鑰管理器。這防止了多個金鑰管理器對交易資料的處理以及欺騙性地獲得簽名,從而提高了交易的安全性和效率。金鑰管理設備210可以重新格式化所獲得的簽名,以使得可以在任何類型的區塊鏈系統中驗證簽名,而不管其原始格式如何,從而增強了交易的靈活性。此外,交易的去中心化是通過在區塊鏈系統中而不是通過任何中央仲介來驗證所獲得的簽名來實現的,從而進一步提高了交易的安全性和效率。 圖5是根據一個實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法500的流程圖。方法500可以由諸如金鑰管理設備210(圖2)的金鑰管理設備執行。金鑰管理設備可以包括可以處理簽名請求的多個金鑰管理器。金鑰管理設備還可以包括記錄金鑰管理設備的使用者的資訊的會員帳戶資料庫。 參照圖5,金鑰管理設備可以接收使用者的交易資料的輸入和針對該交易資料的簽名的請求(步驟502)。在一個實施例中,金鑰管理設備可以使用冪等控制協定來處理簽名請求,以確保將交易資料分配給唯一的金鑰管理器並由其進行處理(步驟504)。在一個實施例中,金鑰管理設備可以包括將一組參數映射到特定金鑰管理器的冪等控制表。利用該表,金鑰管理設備可以分析包括在簽名請求中的參數和會員帳戶資料庫中的使用者資訊(步驟506)。基於該分析,金鑰管理設備可以針對交易資料分配所述唯一金鑰管理器(例如,signOperator)(步驟508)。 在一個實施例中,所分配的唯一金鑰管理器可以為相應的簽名機構組合簽名請求參數(例如,signOperator.buildRequest())(步驟510),以從該簽名機構獲得簽名。可以將該參數組合為該簽名機構要求的格式。然後執行簽名請求(例如,signOperator.sign())並將其發送到相應的簽名機構(步驟512)。 在一個實施例中,金鑰管理設備可以確定簽名請求是否被成功處理(步驟514)。如果金鑰管理設備確定簽名請求被成功處理(步驟516),則金鑰管理設備可以進一步更新會員帳戶資料庫、登記超時任務、以及處理簽名之後的操作(例如signOperator.afterSign())(步驟518)。在一個實施例中,當簽名機構在預定時間段內未返回所請求的簽名時,發生超時任務。在這種情況下,可能需要手動干預。在一個實施例中,簽名之後的操作可以包括:對獲得的簽名進行重新格式化,以及利用原始簽名和重新格式化的簽名來生成有效載荷資料。 在一個實施例中,通過輸出所獲得的簽名和加密金鑰,將處理結果返回給使用者(步驟520)。例如,加密金鑰可以是公開金鑰,並且可以通過應用與該公開金鑰相對應的私有來獲得簽名。另一方面,如果金鑰管理設備確定簽名請求沒有被成功處理(步驟522),則金鑰管理設備可以更新會員帳戶資料庫(步驟524),並且將簽名請求處理失敗的消息發送給使用者(步驟520)。 通過採用冪等控制協定,當交易資料由金鑰管理設備處理時,交易資料可以總是分配給相同的金鑰管理器。這防止了多個金鑰管理器不必要地處理簽名請求,從而進一步防止了獲得無效簽名,從而提高了交易的安全性和效率。 圖6是根據實施例的用於回應於簽名請求分配金鑰管理器的方法600的流程圖。方法600可以由諸如金鑰管理設備210(圖2)的金鑰管理設備執行。參照圖6,金鑰管理設備可以接收包括針對交易資料的簽名請求的輸入資料(步驟602)。在一個實施例中,該簽名請求可以從使用者周邊設備(例如,與使用者相對應的使用者周邊設備230(圖2))發送。在接收到簽名請求時,金鑰管理設備可以分析包括在簽名請求中的參數並且確定該參數是否與內部測試帳戶匹配(步驟604)。在一個實施例中,內部測試帳戶被設置用於測試金鑰管理設備的功能性。如果金鑰管理設備確定參數與內部測試帳戶匹配,則金鑰管理設備確定該請求需要本地處理(步驟606),並分配類型1金鑰管理器(步驟608)。在一個實施例中,類型1金鑰管理器是模擬金鑰管理器,其可以在本地生成加密金鑰並在交易上提供類比簽名。 另一方面,在步驟604,如果金鑰管理設備確定所述參數與內部測試帳戶不匹配,則金鑰管理設備可以進一步確定所述參數是否包括使用者的銀行帳戶資訊(步驟610)。在一些實施例中,使用者的銀行帳戶資訊可以被包括在輸入資料中。在其他實施例中,如果使用者在金鑰管理設備中具有會員帳戶,則金鑰管理設備可以從其資料庫中提取銀行帳戶資訊。如果金鑰管理設備識別出使用者的銀行帳戶資訊,則金鑰管理設備確定需要使用使用者的USB金鑰(“Ukey”)將簽名請求發送到外部簽名機構(步驟612)並分配類型2金鑰管理器(步驟614)。在一個實施例中,金鑰管理設備可以基於使用者的角色類型和使用者的銀行ID資訊來分配類型2金鑰管理器。在一個實施例中,與類型2金鑰管理器相對應的簽名機構可以是通過網路與諸如企業的使用者連接的網路銀行。Ukey可以通過USB(通用序列匯流排)直接連接到電腦,並且Ukey可以發揮密碼驗證功能。類型2金鑰管理器可以使用使用者的Ukey通過網路從網路銀行獲得簽名和加密金鑰(例如,公開金鑰)。在一個實施例中,利用網路銀行服務的企業可以是中型或大型企業。 另一方面,在步驟610,如果金鑰管理設備識別使用者的銀行帳戶資訊失敗,則金鑰管理設備可以進一步確定使用者是否是具有自己的加密金鑰管理系統的獨立企業(步驟616)。在一個實施例中,獨立企業可以是在其系統中維護其加密金鑰的大型核心企業或金融機構。如果金鑰管理設備確定使用者是獨立企業,則金鑰管理設備可以理解需要通過應用程式編程介面(API)連接器向外部發送簽名請求(步驟618),並分配類型3金鑰管理器。(步驟620)。在一個實施例中,類型3金鑰管理器可以通過API連接器發起與獨立企業的連接,並獲得簽名和加密金鑰(例如,公開金鑰)。 另一方面,在步驟616,如果金鑰管理設備確定使用者不是獨立企業,則金鑰管理設備可以理解使用者可以利用金鑰管理服務(步驟622)並分配類型4金鑰管理器(步驟624)。在一個實施例中,類型4金鑰管理器可以代表使用者從金鑰管理服務請求加密金鑰。例如,類型4金鑰管理器可以請求一對私密金鑰/公開金鑰,並生成針對交易資料的簽名。 在一個實施例中,金鑰管理設備可以格式化從不同簽名機構獲得的簽名,以使簽名可以具有相同的格式,而不論它們來自不同源的原始格式。這樣,金鑰管理設備可以獲得並提供簽名,該簽名具有與任何類型的區塊鏈系統或區塊鏈系統中的任何格式的智慧合約相容的格式,從而提高了交易的靈活性和效率。 圖7是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法700的流程圖。例如,方法700可以由諸如圖2所示的金鑰管理設備210之類的金鑰管理設備執行。參照圖7,金鑰管理設備可以接收針對交易資料的簽名的請求(步驟702)。在一些實施例中,所述簽名請求可以包括交易資料和與交易使用者有關的參數。 金鑰管理設備可以提取並分析包括在簽名請求中的參數(步驟704)。基於該分析,金鑰管理設備可以針對交易資料識別並分配唯一的金鑰管理器(步驟706)。在一個實施例中,金鑰管理設備可以基於方法600(圖6)來分配金鑰管理器。所分配的金鑰管理器可以發起與相應簽名機構的聯繫,並從該簽名機構獲得簽名和加密金鑰(步驟708)。在接收到簽名和加密金鑰之後,金鑰管理設備可以廣播所獲得的簽名和加密金鑰(步驟710),使得發送簽名請求的使用者介面系統可以接收廣播的簽名和加密金鑰。金鑰管理設備可以進一步基於所獲得的簽名和加密金鑰來更新會員帳戶資料庫中的使用者資訊(步驟712)。 在一個實施例中,所分配的金鑰管理器對於交易或所分析的參數可以是唯一的,使得當金鑰管理設備對參數進行分析時,金鑰管理設備可以始終針對該交易資料分配相同的金鑰管理器。在一個實施例中,可以通過方法500(圖5)來確保該唯一的分配。通過唯一地分配金鑰管理器,可以防止多個金鑰管理器對簽名請求進行不必要的處理。 圖8是根據實施例的用於管理加密金鑰並獲得交易資料的簽名的裝置800的示意圖。例如,裝置800可以是軟體處理的實現,並且可以對應於方法700(圖7)。參照圖8,裝置800可以包括接收模組810、分配模組820、請求模組830、廣播模組840和更新模組850。 接收模組810接收針對交易資料的簽名請求。分配模組820分析簽名請求中的參數,並基於該分析針對交易資料分配金鑰管理器。在分配的金鑰管理器中實現的請求模組830從相應的簽名機構請求簽名和加密金鑰。廣播模組840在接收到簽名和加密金鑰之後,廣播所獲得的簽名和加密金鑰。更新模組850基於所獲得的簽名和加密金鑰來更新資料庫中的使用者資訊。 上述模組中的每一個可以實現為軟體或硬體、或軟體和硬體的組合。例如,可以使用執行儲存在記憶體中的指令的處理器來實施上述模組中的每一個。而且,例如,每個上述模組可以使用一個或多個專用積體電路(ASIC)、數位信號處理器(DSP)、數位信號處理設備(DSPD)、可程式化邏輯器件(PLD)、現場可程式化閘陣列(FPGA)、控制器、微控制器、微處理器或其他電子元件來實施以執行所描述的方法。進一步地,例如,上述模組中的每一個可以通過使用電腦晶片或實體來實施,或者通過使用具有特定功能的產品來實施。在一個實施例中,裝置800可以是電腦,並且電腦可以是個人電腦、筆記型電腦、行動電話、照相手機、智慧手機、個人數位助理、媒體播放機、導航設備、電子郵件接收和發送設備、遊戲台、平板電腦、可穿戴設備或這些設備的任何組合。 對於裝置800中每個模組的功能和角色的實施過程,可以參考上述方法中的相應步驟。為簡單起見,這裡省略了細節。 在實施例中,還提供了一種電腦程式產品。該電腦程式產品可以包括非暫態電腦可讀儲存媒體,其上具有電腦可讀程式指令,用於使處理器執行上述方法。 電腦可讀儲存媒體可以是有形設備,其可以儲存供指令執行設備使用的指令。電腦可讀儲存媒體可以是但不限於電子存放裝置、磁存放裝置、光存放裝置、電磁存放裝置、半導體存放裝置或上述任何適當的組合。電腦可讀儲存媒體的更具體示例的非詳盡清單包括以下內容:可攜式電腦磁片、硬碟、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可擦除可程式化唯讀記憶體(EPROM)、靜態隨機存取記憶體(SRAM)、可攜式光碟唯讀記憶體(CD-ROM)、多功能數位光碟(DVD)、記憶棒、軟碟、例如在其上記錄有指令的凹槽中的穿孔卡或凸起結構的機械編碼設備,以及前述的任何合適的組合。 用於執行上述方法的電腦可讀程式指令可以是彙編指令、指令集架構(ISA)指令、機器指令、機器相關指令、微代碼、韌體指令、狀態設置資料,或者以一種或多種程式設計語言的任意組合編寫的原始程式碼或目標代碼,該程式設計語言包括物件導向的程式設計語言和傳統的過程程式設計語言。電腦可讀程式指令可以完全在計算設備上作為獨立套裝軟體執行,或者部分在第一計算設備上執行、部分在遠離第一計算設備的第二計算設備上執行。在後一種情況下,第二遠端計算設備可以通過包括局域網(LAN)或廣域網路(WAN)的任何類型的網路連接到第一計算設備。 所述電腦可讀程式指令可以被提供給通用或專用電腦的處理器或其他可程式設計資料處理裝置以產生機器,使得這些指令經由電腦的處理器或其他可程式化資料處理裝置執行時,建立用於實現上述方法的裝置。 附圖中的流程圖和框圖示出了根據本文的各種實施例的設備、方法和電腦程式產品的可能實現的架構、功能和操作。在這方面,流程圖或框圖中的框可以表示軟體程式、代碼的段或部分,其包括用於實現特定功能的一個或多個可執行指令。還應注意,在一些可選實施例中,框中提到的功能可以不按圖中所示的順序發生。例如,連續示出的兩個框實際上可以基本上同時執行,或者這些框有時可以以相反的次序執行,這取決於所涉及的功能。還應注意,框圖和/或流程圖的每個框以及框圖和流程圖中的框的組合可以由執行特定功能或動作的專用基於硬體的系統或者專用硬體和電腦指令的組合來實現。 應當理解,為了清楚起見,在單個實施例的上下文中描述的說明書的某些特徵也可以在單個實施例中組合提供。相反,為了簡潔起見,在單個實施例的上下文中描述的本文的各種特徵也可以單獨提供或者以任何合適的子組合提供,或者在本文的任何其他描述的實施例中合適地提供。除非另有說明,否則在各種實施例的上下文中描述的某些特徵不是那些實施例的必要特徵。 儘管已經結合本文的具體實施例描述了本文,但顯然許多替代、修改和變化對於本領域技術人員來說是顯而易見的。因此,以下申請專利範圍包含落入申請專利範圍的用語內的所有這些替代、修改和變體。
100:區塊鏈系統 102:節點 104:節點 106:節點 108:節點 110:節點 112:網路 120:區塊鏈 B1-B5:區塊 210:金鑰管理設備 220:會員帳戶資料庫 230:使用者介面系統 240:使用者 250:簽名機構 260:智慧合約 300:設備 310:處理器 320:記憶體 322:會員帳戶資料 324:金鑰管理器分配器 326:金鑰管理器 330:使用者介面 340:通信介面 350:匯流排 400:方法 500:方法 600:方法 700:方法 800:裝置 810:接收模組 820:分配模組 830:請求模組 840:廣播模組 850:更新模組
包含在本文中並構成本文一部分的附圖示出了實施例。在下列參考了附圖的說明中,除非另有所示,不同附圖中的相同標號表示相同或類似的元素。 [圖1]是根據實施例的區塊鏈系統的示意圖。 [圖2]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的系統的示意圖。 [圖3]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的設備的示意圖。 [圖4]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法的示意圖。 [圖5]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法的流程圖。 [圖6]是根據實施例的用於回應於簽名請求分配金鑰管理器的方法的流程圖。 [圖7]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的方法的流程圖。 [圖8]是根據實施例的用於管理加密金鑰並獲得對交易資料的簽名的設備的示意圖。
100:區塊鏈系統
200:金鑰管理系統
210:金鑰管理設備
220:會員帳戶資料庫
230:使用者介面系統
240:使用者
250:簽名機構
260:智慧合約

Claims (10)

  1. 一種用於管理加密金鑰的電腦實施方法,該方法包括:接收對交易資料的簽名的請求;分析包括在該請求中的參數;基於該分析分配與該請求相對應的金鑰管理器,包括:確定該請求是否包括內部測試帳戶資訊;回應於確定該請求包括該內部測試帳戶資訊,分配生成該加密金鑰的第一金鑰管理器;回應於確定該請求不包括該內部測試帳戶資訊,確定該請求是否包括銀行帳戶資訊;以及回應於確定該請求包括該銀行帳戶資訊,分配從銀行獲得對該交易資料的該簽名和該加密金鑰的第二金鑰管理器;以及該分配的金鑰管理器獲得對該交易資料的該簽名和該加密金鑰,其中,該加密金鑰為公開金鑰,並且對該交易資料的該簽名是基於與該公開金鑰相對應的私密金鑰獲得的,其中,分配與該請求相對應的該金鑰管理器是基於冪等控制協議而執行,其中,該分配的金鑰管理器獲得對該交易資料的該簽名和該加密金鑰包括:當該分配的金鑰管理器為該第一金鑰管理器時,該分 配的金鑰管理器產生模擬加密金鑰(mock cryptographic key)作為該加密金鑰,並且該分配的金鑰管理器獲得對該交易資料的模擬簽名作為對該交易資料的該簽名,以及當該分配的金鑰管理器為該第二金鑰管理器時,該分配的金鑰管理器從該銀行獲得對該交易資料的該簽名和該加密金鑰。
  2. 根據請求項1所述的電腦實施方法,其中,分配與該請求相對應的該金鑰管理器還包括:回應於確定該請求不包括該銀行帳戶資訊,確定該請求是否包括擁有加密管理系統的獨立企業的資訊;以及回應於確定該請求包括該獨立企業的該資訊,分配從該獨立企業獲得對該交易資料的該簽名和該加密金鑰的第三金鑰管理器。
  3. 根據請求項2所述的電腦實施方法,其中,分配與該請求相對應的該金鑰管理器還包括:回應於確定該請求不包括該獨立企業的該資訊,分配從金鑰管理服務獲得該加密金鑰的第四金鑰管理器。
  4. 根據請求項1所述的電腦實施方法,還包括:重新格式化所獲得的對該交易資料的簽名。
  5. 根據請求項1所述的電腦實施方法,還包括:廣播所獲得的對該交易資料的簽名和所獲得的該加密金鑰;以及 更新會員帳戶資料庫。
  6. 根據請求項1所述的電腦實施方法,其中,該第二金鑰管理器使用使用者的USB金鑰從該銀行獲得對該交易資料的該簽名和該加密金鑰。
  7. 根據請求項2所述的電腦實施方法,其中,該第三金鑰管理器透過應用程式編程介面連接器從該獨立企業獲得對該交易資料的該簽名和該加密金鑰。
  8. 根據請求項1所述的電腦實施方法,還包括:在區塊鏈系統中建立帳戶;以及將所獲得的對該交易資料的簽名上傳至該區塊鏈系統以進行驗證。
  9. 一種用於管理加密金鑰的設備,包括:一或多個處理器;以及耦接到該一或多個處理器且其上儲存有指令的一或多個電腦可讀記憶體,該指令能夠由該一或多個處理器執行以執行請求項1至8中任一項所述的方法。
  10. 一種儲存有指令的非暫態電腦可讀媒體,該指令在由設備的處理器執行時,促使該設備執行請求項1至8中任一項所述的方法。
TW109123720A 2019-11-29 2020-07-14 基於區塊鏈系統之用於加密金鑰管理的方法和設備 TWI768403B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
WOPCT/CN2019/121942 2019-11-29
PCT/CN2019/121942 WO2020098815A2 (en) 2019-11-29 2019-11-29 Methods and devices for cryptographic key management based on blockchain system

Publications (2)

Publication Number Publication Date
TW202129522A TW202129522A (zh) 2021-08-01
TWI768403B true TWI768403B (zh) 2022-06-21

Family

ID=70733019

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109123720A TWI768403B (zh) 2019-11-29 2020-07-14 基於區塊鏈系統之用於加密金鑰管理的方法和設備

Country Status (6)

Country Link
US (1) US11477013B2 (zh)
EP (1) EP3777006B1 (zh)
CN (1) CN111386673A (zh)
SG (1) SG11202009924RA (zh)
TW (1) TWI768403B (zh)
WO (1) WO2020098815A2 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235278B (zh) * 2020-10-10 2022-03-25 杭州溪塔科技有限公司 一种监管交易者地址信息的方法、装置及电子设备
CN112712357A (zh) * 2020-12-30 2021-04-27 普华云创科技(北京)有限公司 一种多机构多链多币种多账户的私钥管理方法与系统
CN112819467B (zh) * 2021-02-23 2024-09-06 中国信息通信研究院 一种隐私交易方法、装置及系统
CN113259493B (zh) * 2021-07-07 2021-10-15 深圳高灯计算机科技有限公司 基于Ukey机柜的Ukey信息获取方法、装置、设备和存储介质
CN114614991B (zh) * 2022-03-11 2023-12-26 国网浙江省电力有限公司电力科学研究院 适用于小微负荷聚合响应的区块链自动结算方法及系统
CN115086041A (zh) * 2022-06-16 2022-09-20 北京天融信网络安全技术有限公司 账号管理方法、装置、电子设备和计算机可读存储介质

Citations (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US20020116619A1 (en) * 2000-11-02 2002-08-22 International Business Machines Corporation Digital signature verification and program transmission
US20040088646A1 (en) * 2002-10-31 2004-05-06 Yeager William J. Collaborative content coherence using mobile agents in peer-to-peer networks
US20060294378A1 (en) * 2005-06-23 2006-12-28 Lumsden Ian A Key loading systems and methods
CN1965280A (zh) * 2004-06-10 2007-05-16 西姆毕恩软件有限公司 具有基于进程的密钥库的计算装置和操作计算装置的方法
US20140254796A1 (en) * 2013-03-08 2014-09-11 The Chinese University Of Hong Kong Method and apparatus for generating and/or processing 2d barcode
US20150332256A1 (en) * 2014-05-15 2015-11-19 Bitreserve, LTD System and Method for Converting Cryptocurrency to Virtual Assets Whose Value is Substantiated by a Reserve of Assets
US20170070486A1 (en) * 2015-09-04 2017-03-09 Ca, Inc. Server public key pinning by url
US20170293912A1 (en) * 2016-04-12 2017-10-12 Digicash Pty Ltd. Secure transaction controller for value token exchange systems
US20180191503A1 (en) * 2015-07-14 2018-07-05 Fmr Llc Asynchronous Crypto Asset Transfer and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems
CN108369697A (zh) * 2015-10-16 2018-08-03 科因普拉格株式会社 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法
US20180262341A1 (en) * 2017-03-10 2018-09-13 Fmr Llc Secure Firmware Transaction Signing Platform Apparatuses, Methods and Systems
CN108647105A (zh) * 2018-05-22 2018-10-12 阿里巴巴集团控股有限公司 系统切换过程中的幂等控制方法、装置及系统
CN109063027A (zh) * 2018-07-16 2018-12-21 阿里巴巴集团控股有限公司 一种业务处理方法和装置
US20190026716A1 (en) * 2017-07-18 2019-01-24 Tata Consultancy Services Limited SYSTEMS AND METHODS FOR PROVIDING SERVICES TO SMART DEVICES CONNECTED IN AN IoT PLATFORM
TWM583081U (zh) * 2019-05-31 2019-09-01 叡廷股份有限公司 兼容金鑰管理系統
US20190280864A1 (en) * 2015-07-14 2019-09-12 Fmr Llc Seed Splitting and Firmware Extension for Secure Cryptocurrency Key Backup, Restore, and Transaction Signing Platform Apparatuses, Methods and Systems
US20190280882A1 (en) * 2018-03-07 2019-09-12 Kabushiki Kaisha Toshiba Information management device, authentication device, information management system, information management method, and non-transitory computer readable medium
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers
TWM584934U (zh) * 2019-05-02 2019-10-11 歐生全科技股份有限公司 智能錢包裝置
WO2019218055A1 (en) * 2018-05-15 2019-11-21 Kelvin Zero Inc. Systems, methods, and devices for secure blockchain transaction and subnetworks

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08297638A (ja) * 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
CN101552018A (zh) 2002-04-17 2009-10-07 松下电器产业株式会社 信息输入/输出以及密钥管理的系统和装置
US6886096B2 (en) * 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
CN1859086B (zh) * 2005-12-31 2010-06-09 华为技术有限公司 一种内容分级访问控制系统和方法
SG195079A1 (en) * 2011-06-03 2013-12-30 Visa Int Service Ass Virtual wallet card selection apparatuses, methods and systems
US9710807B2 (en) * 2011-08-18 2017-07-18 Visa International Service Association Third-party value added wallet features and interfaces apparatuses, methods and systems
CN104065477A (zh) * 2013-03-20 2014-09-24 东方斯泰克信息技术研究院(北京)有限公司 一种cpk用户id卡生成机的设计与实现方法
US20150120569A1 (en) * 2013-10-31 2015-04-30 Bitgo, Inc. Virtual currency address security
JP2015065495A (ja) 2013-09-24 2015-04-09 ルネサスエレクトロニクス株式会社 暗号鍵供給方法、半導体集積回路および暗号鍵管理装置
GB2531848B (en) * 2014-10-31 2017-12-13 Hewlett Packard Entpr Dev Lp Management of cryptographic keys
CN104850795B (zh) 2015-05-25 2018-08-21 上海柯力士信息安全技术有限公司 一种密钥管理系统及变更账户信息的方法
EP3348019A1 (en) * 2015-09-11 2018-07-18 Aware, Inc. Biometric verification of a blockchain database transaction contributor
JP6293716B2 (ja) * 2015-11-10 2018-03-14 株式会社アメニディ 匿名通信システムおよび該通信システムに加入するための方法
US10346618B1 (en) 2017-03-24 2019-07-09 Amazon Technologies, Inc. Data encryption for virtual workspaces
US11227284B2 (en) * 2017-12-13 2022-01-18 Mastercard International Incorporated Method and system for consumer-initiated transactions using encrypted tokens
CN110020857A (zh) * 2019-02-27 2019-07-16 阿里巴巴集团控股有限公司 一种存储、调用区块链账户私钥的方法及装置

Patent Citations (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US20020116619A1 (en) * 2000-11-02 2002-08-22 International Business Machines Corporation Digital signature verification and program transmission
US20040088646A1 (en) * 2002-10-31 2004-05-06 Yeager William J. Collaborative content coherence using mobile agents in peer-to-peer networks
CN1965280A (zh) * 2004-06-10 2007-05-16 西姆毕恩软件有限公司 具有基于进程的密钥库的计算装置和操作计算装置的方法
US20060294378A1 (en) * 2005-06-23 2006-12-28 Lumsden Ian A Key loading systems and methods
US20140254796A1 (en) * 2013-03-08 2014-09-11 The Chinese University Of Hong Kong Method and apparatus for generating and/or processing 2d barcode
US20150332256A1 (en) * 2014-05-15 2015-11-19 Bitreserve, LTD System and Method for Converting Cryptocurrency to Virtual Assets Whose Value is Substantiated by a Reserve of Assets
US20190280864A1 (en) * 2015-07-14 2019-09-12 Fmr Llc Seed Splitting and Firmware Extension for Secure Cryptocurrency Key Backup, Restore, and Transaction Signing Platform Apparatuses, Methods and Systems
US20180191503A1 (en) * 2015-07-14 2018-07-05 Fmr Llc Asynchronous Crypto Asset Transfer and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems
US20170070486A1 (en) * 2015-09-04 2017-03-09 Ca, Inc. Server public key pinning by url
CN108369697A (zh) * 2015-10-16 2018-08-03 科因普拉格株式会社 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法
US20170293912A1 (en) * 2016-04-12 2017-10-12 Digicash Pty Ltd. Secure transaction controller for value token exchange systems
US20180262341A1 (en) * 2017-03-10 2018-09-13 Fmr Llc Secure Firmware Transaction Signing Platform Apparatuses, Methods and Systems
US20190026716A1 (en) * 2017-07-18 2019-01-24 Tata Consultancy Services Limited SYSTEMS AND METHODS FOR PROVIDING SERVICES TO SMART DEVICES CONNECTED IN AN IoT PLATFORM
US20190280882A1 (en) * 2018-03-07 2019-09-12 Kabushiki Kaisha Toshiba Information management device, authentication device, information management system, information management method, and non-transitory computer readable medium
WO2019218055A1 (en) * 2018-05-15 2019-11-21 Kelvin Zero Inc. Systems, methods, and devices for secure blockchain transaction and subnetworks
CN108647105A (zh) * 2018-05-22 2018-10-12 阿里巴巴集团控股有限公司 系统切换过程中的幂等控制方法、装置及系统
CN109063027A (zh) * 2018-07-16 2018-12-21 阿里巴巴集团控股有限公司 一种业务处理方法和装置
TWM584934U (zh) * 2019-05-02 2019-10-11 歐生全科技股份有限公司 智能錢包裝置
TWM583081U (zh) * 2019-05-31 2019-09-01 叡廷股份有限公司 兼容金鑰管理系統
WO2019179534A2 (en) * 2019-07-02 2019-09-26 Alibaba Group Holding Limited System and method for creating decentralized identifiers

Also Published As

Publication number Publication date
WO2020098815A2 (en) 2020-05-22
US11477013B2 (en) 2022-10-18
CN111386673A (zh) 2020-07-07
US20210167952A1 (en) 2021-06-03
EP3777006B1 (en) 2022-08-24
TW202129522A (zh) 2021-08-01
WO2020098815A3 (en) 2020-10-08
SG11202009924RA (en) 2020-11-27
EP3777006A2 (en) 2021-02-17
EP3777006A4 (en) 2021-03-17

Similar Documents

Publication Publication Date Title
TWI768403B (zh) 基於區塊鏈系統之用於加密金鑰管理的方法和設備
TWI771634B (zh) 向區塊鏈系統提供交易資料以進行處理的方法和設備
EP3639182B1 (en) Methods and devices for validating transaction in blockchain system
JP6873270B2 (ja) ブロックチェーンにおけるスマートコントラクトに基づくトランザクション活動の取扱注意データを保護するための方法及びデバイス
US11410145B2 (en) Blockchain-implemented method for control and distribution of digital content
CN110785783B (zh) 对用于区块链系统的签名验证进行测试的方法和设备
WO2022042371A1 (zh) 用于管理营业执照的方法和装置
US11303459B2 (en) Smart television terminal and method for establishing a trust chain therefor
CN113193961B (zh) 一种数字证书管理方法和装置
KR20200096720A (ko) 블록체인 시스템에서 노드 사이의 통신 확립 방법 및 디바이스
CN113206746B (zh) 一种数字证书管理方法和装置
WO2020182234A2 (en) Methods and devices for transaction matching based on blockchain system
CN113179169B (zh) 一种数字证书管理方法和装置
CN111010283A (zh) 用于生成信息的方法和装置
CN113206745B (zh) 一种数字证书管理方法和装置
WO2021139605A1 (en) Methods and devices for providing decentralized identity verification