WO2020237751A1

WO2020237751A1 - 利用智能合约实现基于身份的密钥管理方法及装置

Info

Publication number: WO2020237751A1
Application number: PCT/CN2019/091788
Authority: WO
Inventors: 杨东伟; 王栋; 蒋炜; 甄平; 玄佳兴; 李国民; 石欣; 马万里; 马军伟; 汪洋; 周磊
Original assignee: 国家电网有限公司; 国网电子商务有限公司; 国网雄安金融科技集团有限公司
Priority date: 2019-05-27
Filing date: 2019-06-18
Publication date: 2020-12-03
Also published as: EP3843326A1; KR102663060B1; AU2019448286B2; AU2019448286A1; KR20220012867A; CN110166254B; US20220158834A1; EP3843326A4; BR112021023517A8; JP2022528765A; EP3843326B1; JP7426402B2; BR112021023517A2; CN110166254A

Abstract

本申请提供了一种利用智能合约实现基于身份的密钥管理方法及装置，方法包括：运行智能合约，执行密钥管理过程，密钥管理过程，包括：在目标用户的密钥需要更新的情况下，若目标用户为非受监管用户，则生成属于目标用户的主公钥和主私钥；从区块链中获取目标用户的身份信息；基于属于目标用户的主公钥和主私钥及目标用户的身份信息，生成第一目标私钥；将目标用户的当前私钥替换为第一目标私钥。

Description

利用智能合约实现基于身份的密钥管理方法及装置

相关申请的交叉引用

本申请基于申请号为201910445653.3、申请日为2019年05月27日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及计算机技术领域，特别涉及一种利用智能合约实现基于身份的密钥管理方法及装置。

背景技术

目前，基于身份的加密(Identity Base Cryptography,IBC)方案中由密钥生成中心(Key Generation Center，KGC)生成主公钥和主私钥，KGC再利用主公钥、主私钥以及用户的身份信息(如名称、e-mail、身份证号等)为用户生成私钥，用户的身份信息即为公钥，无需数字证书绑定，可以避免公钥基础设施(PKI)方案中数字证书管理复杂的难题。

但是，在IBC方案中若某个用户私钥泄露，需要更新私钥时，必须通过更改该用户的身份信息来更新其私钥，一旦用户的身份信息更改，该用户的身份自证性会降低，会影响IBC方案中密钥更新的性能。

发明内容

为解决相关技术问题，本申请实施例提供一种利用智能合约实现基于身份的密钥管理方法及装置。

本申请实施例的技术方案如下：

一种利用智能合约实现基于身份的密钥管理方法，包括：

运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：

在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

从区块链中获取所述目标用户的身份信息；

基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

将所述目标用户的当前私钥替换为所述第一目标私钥。

上述方案中，所述密钥管理过程，还包括：

若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则从所述区块链中获取所述目标用户的身份信息；

对所述目标用户的身份信息进行更新，更新后的身份信息作为目标身份信息；

利用所述目标身份信息，生成第二目标私钥；

将所述目标用户的当前私钥替换为所述第二目标私钥。

上述方案中，对所述目标用户的身份信息进行更新，包括：

对所述目标用户的身份信息中的可变部分进行更新。

上述方案中，所述密钥管理过程，还包括：

在所述区块链中查询第一目标身份信息的状态信息，所述第一目标身份信息为所述区块链中存储的任意一个用户的身份信息。

上述方案中，所述密钥管理过程，还包括：

利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行签名。

一种利用智能合约实现的基于身份的密钥管理装置，包括：

运行模块，配置为运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：

从区块链中获取所述目标用户的身份信息；

将所述目标用户的当前私钥替换为所述第一目标私钥。

上述方案中，所述运行模块运行所述智能合约，执行的密钥管理过程，还包括：

利用所述目标身份信息，生成第二目标私钥；

将所述目标用户的当前私钥替换为所述第二目标私钥。

上述方案中，所述运行模块运行所述智能合约，执行的密钥管理过程中对所述目标用户的身份信息进行更新的过程，包括：

对所述目标用户的身份信息中的可变部分进行更新。

与相关技术相比，本申请实施例的有益效果为：

在本申请实施例中，在运行智能合约，执行的密钥管理过程中，在目标用户的密钥需要更新的情况下，若目标用户为非受监管用户，则通过生成属于目标用户的主公钥和主私钥，不采用KGC已生成的主公钥和主私钥，并从区块链中获取目标用户的身份信息，不改变目标用户的身份信息，基于不同于KGC已生成的主公钥和主私钥的属于目标用户的主公钥和主私钥及未改变的目标用户的身份信息，生成第一目标私钥，将目标用户的当前私钥替换为第一目标私钥，实现用户私钥的更新。在用户私钥的更新过程中，由于未改变目标用户的身份信息，因此不会降低目标用户的身份自证性，从而改善IBC方案中密钥更新的性能。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1是本申请实施例提供的一种区块链网络的架构示意图；

图2是本申请实施例提供的一种密钥管理过程的流程示意图；

图3是本申请实施例提供的另一种密钥管理过程的流程示意图；

图4是本申请实施例提供的再一种密钥管理过程的流程示意图；

图5是本申请实施例提供的再一种密钥管理过程的流程示意图；

图6是本申请实施例提供的再一种密钥管理过程的流程示意图；

图7是本申请实施例提供的一种利用智能合约实现的基于身份的密钥管理装置的逻辑结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

本申请实施例公开了一种利用智能合约实现基于身份的密钥管理方案，包括：运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；从区块链中获取所述目标用户的身份信息，基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；将所述目标用户的当前私钥替换为所述第一目标私钥。在本申请实施例中，可以改善IBC方案中密钥更新的性能。

接下来对本申请实施例公开的利用智能合约实现基于身份的密钥管理方法进行介绍，该方法应用于一计算机设备，该方法包括以下步骤：

S11、运行智能合约，执行密钥管理过程。

本实施例中，提供一种区块链网络，如图1所示，区块链网络由多个全节点构成，每个全节点存储有相同的数据，如用户的公钥及KGC生成的主公钥等信息。

区块链网络可以理解为：公链网络或联盟连网络。

需要说明的是，用户的私钥及KGC生成的主私钥由用户保管，不存储在区块链中，避免私钥及主私钥泄露。

在区块链网络中可以运行智能合约，执行密钥管理过程，其中，密钥管理过程可以包括：

对用户的身份信息进行注册，并将注册的身份信息存储至区块链中。

可以理解的是，对用户的身份信息进行注册，实现了对用户身份的初始认证。

运行智能合约，对用户的身份信息进行注册可以理解为：调用RegisterID(f_ID,v_ID,b_supervise,b_valid)函数，对用户的身份信息(ID)进行注册，其中f_ID和v_ID是注册的ID，即ID＝(f_ID||v_ID),f_ID为ID的固定不变的标识部分，如名称等；v_ID为ID的可变部分，可以是日期或者其它的随机数，主要用于密钥更新，初次注册状态为空值。b_supervis可以理解为：布尔变量(bool)，主要表示该注册的ID是否为受监管用户，若为受监管用户，智能合约管理员能够得到用户的私钥，并且后续需由智能合约管理员对其密钥进行更新；若为非受监管用户，智能合约管理员在用户注册后无法得到用户的私钥，后续由用户自己对密钥进行更新；b_valid表示用户ID目前是否有效。

本实施例中，请参见图2，密钥管理过程还可以包括以下步骤：

步骤S21、在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

属于所述目标用户的主公钥和主私钥可以理解为：与KGC生成的主公钥和主私钥不同的值。

属于所述目标用户的主公钥和主私钥主要用于生成目标用户的私钥。

步骤S22、从区块链中获取所述目标用户的身份信息；

可以理解的是，区块链中存储有多个用户的身份信息，因此可以从区块链中获取所述目标用户的身份信息。具体可以根据目标用户的标识从区块链中获取所述目标用户的身份信息。

目标用户的身份信息可以理解为：目标用户的公钥。

步骤S23、基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

步骤S24、将所述目标用户的当前私钥替换为所述第一目标私钥。

目标用户的当前私钥可以理解为：目标用户当前可使用的私钥。

将所述目标用户的当前私钥替换为所述第一目标私钥，实现了目标用户的私钥的更新。

若所述目标用户为非受监管用户，则不需要更新目标用户的身份信息即目标用户的公钥，利用不同于KGC生成的主公钥和主私钥的属于目标用户的主公钥和主私钥及未发生更新的目标用户的公钥，实现目标用户私钥的更新。

本申请实施例中，在运行智能合约，执行的密钥管理过程中，在目标用户的密钥需要更新的情况下，若目标用户为非受监管用户，则通过生成属于目标用户的主公钥和主私钥，不采用KGC已生成的主公钥和主私钥，并从区块链中获取目标用户的身份信息，不改变目标用户的身份信息，基于不同于KGC已生成的主公钥和主私钥的属于目标用户的主公钥和主私钥及未改变的目标用户的身份信息，生成第一目标私钥，将目标用户的当前私钥替换为第一目标私钥，实现用户私钥的更新。在用户私钥的更新过程中，由于未改变目标用户的身份信息，因此不会降低目标用户的身份自证性，从而改善IBC方案中密钥更新的性能。

并且，非受监管用户可以自身更新密钥，可以避免在KGC更换主私钥和主公钥时，所有用户的私钥均需要重新更新，实现了一种完全去中心化的密钥管理方式，并提高了实用性。

作为本申请另一实施例2，参照图3，为本申请提供的另一种密钥管理过程的流程示意图，本实施例主要是对上述实施例1描述的密钥管理过程的扩充方法，如图3所示，该方法可以包括但并不局限于以下步骤：

步骤S31、在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

步骤S32、从区块链中获取所述目标用户的身份信息；

步骤S33、基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

步骤S34、将所述目标用户的当前私钥替换为所述第一目标私钥；

步骤S31-步骤S34的详细过程可以参见实施例1中步骤S21-S24的相关介绍，在此不再赘述。

步骤S35、若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则从所述区块链中获取所述目标用户的身份信息；

这里，若目标用户的私钥泄露，则可以将b_valid置为无效状态。然后开始执行密钥更新过程，首先从所述区块链中获取所述目标用户的身份信息。

步骤S36、对所述目标用户的身份信息进行更新，更新后的身份信息作为目标身份信息；

步骤S37、利用所述目标身份信息，生成第二目标私钥；

这里，利用所述目标身份信息，生成第二目标私钥可以理解为：

利用所述目标身份信息及KGC生成的主公钥和主私钥，生成新的私钥，作为第二目标私钥。

步骤S38、将所述目标用户的当前私钥替换为所述第二目标私钥。

这里，目标用户的当前私钥可以理解为：目标用户当前可使用的私钥。

将所述目标用户的当前私钥替换为所述第二目标私钥，实现目标用户的私钥的更新。

本实施例中，若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则通过更新目标用户的身份信息即更新目标用户的公钥，并基于更新后的公钥更新目标用户的私钥。

作为本申请另一实施例3，参照图4，为本申请提供的另一种密钥管理过程的流程示意图，本实施例主要是对上述实施例2描述的密钥管理过程的细化方法，如图4所示，该方法可以包括但并不局限于以下步骤：

步骤S41、在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

步骤S42、从区块链中获取所述目标用户的身份信息；

步骤S43、基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

步骤S44、将所述目标用户的当前私钥替换为所述第一目标私钥；

步骤S45、若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则从所述区块链中获取所述目标用户的身份信息；

步骤S41-步骤S45的详细过程可以参见实施例2中步骤S31-S35的相关介绍，在此不再赘述。

步骤S46、对所述目标用户的身份信息中的可变部分进行更新，更新后的身份信息作为目标身份信息；

这里，目标用户的身份信息可以由固定不变的部分和可变部分组成。

其中，可变部分可以理解为：可以变化的部分，如日期或其它的随机数。

对所述目标用户的身份信息中的可变部分进行更新，不更新目标用户的身份信息中的固定不变的部分，可以保证目标用户的身份信息的有效性及可靠性。

步骤S47、利用所述目标身份信息，生成第二目标私钥；

步骤S48、将所述目标用户的当前私钥替换为所述第二目标私钥。

步骤S47-步骤S48的详细过程可以参见实施例2中步骤S37-S38的相关介绍，在此不再赘述。

作为本申请另一实施例4，参照图5，为本申请提供的另一种密钥管理过程的流程示意图，本实施例主要是对上述实施例1描述的密钥管理过程的扩充方法，如图5所示，该方法可以包括但并不局限于以下步骤：

步骤S51、在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

步骤S52、从区块链中获取所述目标用户的身份信息；

步骤S53、基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

步骤S54、将所述目标用户的当前私钥替换为所述第一目标私钥；

步骤S51-步骤S54的详细过程可以参见实施例1中步骤S21-S24的相关介绍，在此不再赘述。

步骤S55、在所述区块链中查询第一目标身份信息的状态信息，所述第一目标身份信息为所述区块链中存储的任意一个用户的身份信息。

其中，第一目标身份信息的状态信息可以包括但不局限于：是否已注册、是否为受监管用户的身份信息以及身份信息目前是否有效。

可以理解的是，在区块链中存储身份信息的状态信息，可以防止身份信息的状态信息被篡改，保证查询到的第一目标身份信息的状态信息的可靠性。

作为本申请另一实施例5，参照图6，为本申请提供的另一种密钥管理过程的流程示意图，本实施例主要是对上述实施例1描述的密钥管理过程的扩充方法，如图6所示，该方法可以包括但并不局限于以下步骤：

步骤S61、在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

步骤S62、从区块链中获取所述目标用户的身份信息；

步骤S63、基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

步骤S64、将所述目标用户的当前私钥替换为所述第一目标私钥；

步骤S61-步骤S64的详细过程可以参见实施例1中步骤S21-S24的相关介绍，在此不再赘述。

步骤S65、利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行签名。

其中，所述目标用户使用过的历史私钥可以理解为：在将所述目标用户的私钥更新为第一目标私钥之前，最近一次所使用的私钥。

第一目标私钥关联的状态信息可以包括但不局限于：第一目标私钥对应的目标用户的身份信息是否已注册、第一目标私钥对应的目标用户的身份信息是否为受监管用户的身份信息以及第一目标私钥对应的目标用户的身份信息目前是否有效。

利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行签名，可以理解为：利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行合法性签名。

利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行合法性签名，可以保证第一目标私钥关联的状态信息的有效性。

在前述各个实施例介绍的密钥管理过程中，若需要对某一个用户的身份信息注销，则可以对该用户的身份信息注销，并从区块链中删除该用户的身份信息。

接下来对本申请提供的利用智能合约实现的基于身份的密钥管理装置进行介绍，下文介绍的利用智能合约实现的基于身份的密钥管理装置与上文介绍的利用智能合约实现基于身份的密钥管理方法可相互对应参照。

请参见图7，利用智能合约实现的基于身份的密钥管理装置包括：运行模块11。

运行模块11，配置为运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：

从区块链中获取所述目标用户的身份信息；

将所述目标用户的当前私钥替换为所述第一目标私钥。

本实施例中，所述运行模块11运行所述智能合约，执行的密钥管理过程，还可以包括：

利用所述目标身份信息，生成第二目标私钥；

将所述目标用户的当前私钥替换为所述第二目标私钥。

本实施例中，所述运行模块11运行所述智能合约，执行的密钥管理过程中对所述目标用户的身份信息进行更新的过程，可以包括：

对所述目标用户的身份信息中的可变部分进行更新。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排它性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

以上对本申请所提供的一种利用智能合约实现基于身份的密钥管理方法及装置进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种利用智能合约实现基于身份的密钥管理方法，包括：

运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：

在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

从区块链中获取所述目标用户的身份信息；

基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

将所述目标用户的当前私钥替换为所述第一目标私钥。
根据权利要求1所述的方法，其中，所述密钥管理过程，还包括：

若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则从所述区块链中获取所述目标用户的身份信息；

对所述目标用户的身份信息进行更新，更新后的身份信息作为目标身份信息；

利用所述目标身份信息，生成第二目标私钥；

将所述目标用户的当前私钥替换为所述第二目标私钥。
根据权利要求2所述的方法，其中，对所述目标用户的身份信息进行更新，包括：

对所述目标用户的身份信息中的可变部分进行更新。
根据权利要求1所述的方法，其中，所述密钥管理过程，还包括：

在所述区块链中查询第一目标身份信息的状态信息，所述第一目标身份信息为所述区块链中存储的任意一个用户的身份信息。
根据权利要求1所述的方法，其中，所述密钥管理过程，还包括：

利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行签名。
一种利用智能合约实现的基于身份的密钥管理装置，包括：

运行模块，配置为运行智能合约，执行密钥管理过程，所述密钥管理过程，包括：

在目标用户的密钥需要更新的情况下，若所述目标用户为非受监管用户，则生成属于所述目标用户的主公钥和主私钥；

从区块链中获取所述目标用户的身份信息；

基于属于所述目标用户的主公钥和主私钥及所述目标用户的身份信息，生成第一目标私钥；

将所述目标用户的当前私钥替换为所述第一目标私钥。
根据权利要求6所述的装置，其中，所述运行模块运行所述智能合约，执行的密钥管理过程，还包括：

若所述目标用户为非受监管用户且所述目标用户的私钥泄露，或，所述目标用户为受监管用户，则从所述区块链中获取所述目标用户的身份信息；

对所述目标用户的身份信息进行更新，更新后的身份信息作为目标身份信息；

利用所述目标身份信息，生成第二目标私钥；

将所述目标用户的当前私钥替换为所述第二目标私钥。
根据权利要求7所述的装置，其中，所述运行模块运行所述智能合约，执行的密钥管理过程中对所述目标用户的身份信息进行更新的过程，包括：

对所述目标用户的身份信息中的可变部分进行更新。
根据权利要求6所述的装置，其中，所述运行模块运行所述智能合约，执行的密钥管理过程，还包括：

在所述区块链中查询第一目标身份信息的状态信息，所述第一目标身份信息为所述区块链中存储的任意一个用户的身份信息。
根据权利要求6所述的装置，其中，所述运行模块运行所述智能合约，执行的密钥管理过程，还包括：

利用所述目标用户使用过的历史私钥对所述第一目标私钥关联的状态信息进行签名。