CN107769922B - 区块链安全管理***及方法 - Google Patents
区块链安全管理***及方法 Download PDFInfo
- Publication number
- CN107769922B CN107769922B CN201711054192.4A CN201711054192A CN107769922B CN 107769922 B CN107769922 B CN 107769922B CN 201711054192 A CN201711054192 A CN 201711054192A CN 107769922 B CN107769922 B CN 107769922B
- Authority
- CN
- China
- Prior art keywords
- biller
- billing
- public key
- qualification
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种区块链安全管理***和方法,其中权威方负责管理各个记账者的记账资格;每个记账者将其公钥与待记录至区块链中的信息打包到新区块中,以与其私钥对该信息进行签名后发布出去。参与区块链的各节点仅将来自具备记账资格且其数字签名有效的记账者的区块记录在链中。该***利用权威方有效监管用户和记账者身份,对于记账者的记账资格的限定防止了不良记账者干扰区块链***的正常运行,提高了稳定性和安全性。
Description
技术领域
本发明涉及区块链技术,尤其涉及用于区块链的安全管理***及方法。
背景技术
区块链是按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,并以密码学方式保证的不可篡改和不可伪造的分布式记账***。区块在结构上通常包括块头(header)和块体(body)两部分。块头用于链接到前面的块,块体记录的交易信息是上一个区块形成之后、该区块被创建前发生的所有价值交换活动,这个特点保证了数据库的完整性。区块链采用分布式记账方式,每次交易只有被记账者计入区块链中(下文简称为上链)才算是生效。交易记账由分布在不同地方的多个节点共同完成,而且每一个节点都记录的是完整的账目,每一个节点在参与记录的同时也来验证其他节点记录结果的正确性。只有当全网大部分节点(或甚至所有节点)都同时认为这个记录正确时,或者所有参与记录的节点都比对结果一致通过后,记录的真实性才能得到全网认可,记录数据才允许上链。
区块链通常采用完全匿名的方式,用户可匿名地通过具有记账权的节点(例如记账者)将交易计入区块链,任一节点可通过区块链设定的竞争机制或规则来争取记账的权利。而无论是用户还是记账者,其身份隐蔽性都非常强,因此在区块链中难以及时发现和追踪用户或记账者的不法行为,也难以有效阻止不法记账者恶意干扰区块链***的运行。
发明内容
因此,本发明的目的在于克服上述现有技术的缺陷,提供一种安全的区块链管理***和方法。
本发明的目的是通过以下技术方案实现的:
一方面,本发明提供了一种区块链安全管理***,该***包括权威方和记账者,所述权威方用于管理各个记账者的记账资格;每个记账者用于响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;其中,仅来自具备记账资格且其数字签名有效的记账者的区块被允许记录至区块链中。
上述***中,所述记账者的公钥和私钥可以是由权威方生成的,与记账者的记账资格相关的信息包含在记账者公钥中。
上述***中,权威方可以响应于记账者的请求,对记账者的身份标识加密,并在加密后的密文数据中填充与该记账者的记账资格相关的信息以得到该记账者的公钥;以及利用基于身份的密码学算法来产生与该公钥对应的私钥。
上述***中,与记账者的记账资格相关的信息可包括记账资格的起止时间或到期时间。
上述***中,所述记账者的公钥和私钥可以是由记账者本地生成的,所述记账者将其公钥和/或身份标识发送给权威方以请求记账资格。
上述***中,权威方可以发布与记账者的记账资格相关的信息至区块链中,所述与记账者的记账资格相关的信息包括下列中的一个或多个:被授予记账资格的记账者公钥、记账资格的生效时间、被撤销记账资格的记账者公钥、记账资格撤销时间。
又一方面,本发明提供了一种区块链安全管理方法,该方法包括:
由记账者响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;
响应于收到新的区块,判断该区块中包含的数字签名是否有效并验证该区块中公钥对应的记账者是否具有记账资格;
将来自具有记账资格且其数字签名有效的记账者的区块记录至区块链中。
上述方法中,还可包括由权威方为每个记账者生成其对应的公钥和私钥,与记账者的记账资格相关的信息包含在记账者公钥中。
上述方法中,与记账者的记账资格相关的信息可包括记账资格的起止时间或到期时间。
上述方法中,还可包括由所述记账者将其公钥和/或身份标识发送给权威方以请求记账资格;
由权威方响应于记账者的请求发布与记账者的记账资格相关的信息至区块链中,所述与记账者的记账资格相关的信息包括下列中的一个或多个:被授予记账资格的记账者公钥、记账资格的生效时间、被撤销记账资格的记账者公钥、记账资格撤销时间。
与现有技术相比,本发明的优点在于:
利用权威方有效监管用户和记账者身份,对于记账者的记账资格的限定防止了不良记账者干扰区块链***的正常运行,提高了稳定性和安全性;并且在有效避免了由于区块链完全匿名性导致的各种非法行为的同时保持了现有去中心化管理、交易成本低且灵活等特点
附图说明
以下参照附图对本发明实施例作进一步说明,其中:
图1为根据本发明实施例的区块链安全管理***的结构示意图;
图2为根据本发明实施例的区块链安全管理方法的流程示意图。
具体实施方式
为了使本发明的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1给出了根据本发明一个实施例的区块链安全管理***的结构示意图。该***主要包括权威方和记账者。其中权威方是受到记账者和用户信任的公信力角色,其可以是政府机构、行业组织、公司甚至是个人。在本文中权威方并不限定于某个特定的组织或个人,可以有多个权威方,负责不同的业务,例如用于进行账户管理的权威方,用于进行货币管理的权威方等。记账者为区块链中负责将各种数据和信息打包存入区块链的节点(可以简称为上链)。权威方可以通过记账者将其各种相关信息保存到区块链中,用户可使用账户通过区块链进行诸如支付等各种交易操作。每个用户可以拥有一个或多个账户,账户是用户在区块链中进行交易的实体,每个账户都具有一个与其绑定或天然相关的公私钥对,私钥由该账户的所有者保管,不得泄露。在本文中不对记账者的数量和用户账户数量进行限制,也不对所使用的区块链的具体形态作出限制。
在该实施例中,权威方是受到记账者和用户信任的公信力角色,每个记账者和用户在收到来自权威方的信息时,执行与权威方的信息相关的操作而不需要***中其他用户或记账者的确认或验证。权威方可以根据实际需求执行不同的业务或操作,例如用户管理、账户管理、记账者管理、交易管理等等。通常,权威方对于其要执行的操作或业务选择、生成或设置用于进行数字签名的公钥和私钥。在一个实施例中,权威方可以在其执行的所有的操作或业务中使用同一对公钥和私钥进行签名。优选地,权威方可以在不同的操作或业务中使用不同的非对称密钥对来进行签名,并且还可以采用不同的非对称加密算法,例如RSA、Elgamal、SM2、椭圆曲线加密算法(ECC)等。这些公钥和私钥可以分别统称为***公钥(System_Public_Key)和***私钥(System_Private_Key)。表1给出了权威方的业务及其对应签名算法和公私钥对的对应关系示意。
表1
其中不同业务的System_Public_Key和System_Private_Key可以相同或不同,所使用的具体算法也可以相同或不同。因为权威方可由多个相对独立的实体构成,例如可允许不同实体分别负责账户建立、账户管理、货币发行、货币回收、清算等业务或操作;也可以允许两个以上的不同的实体执行相同的业务,例如,由两个不同的银行或其他金融组织执行货币发行操作,不同实体在进行货币发行时可采用不同的算法和非对称密钥进行签名。
在***初始建立时或区块链建立时,权威方可以设置并发布权威方参数。该权威方参数可包括权威方的业务及每个业务对应的***公钥及签名算法,例如表1中的“业务”、“算法”和“System_Public_Key”行对应的内容。而***私钥由权威方严密保管,不可泄露。通常,可以将权威方发布的权威方参数保存在区块链的第一区块中,记账者和用户可以在权威方发布其参数之后,将其载入自己的设备中供后续使用。
在一个实施例中,可以通过权威方对用户身份进行管理。权威方可以根据用户的开户请求,基于用户的身份标识给该用户建立一个或多个账户,这些账户可以包括实名账户和/或匿名账户。其中用户身份标识是指用户真实身份的标识,通过该标识可以唯一地确定用户身份,例如,可以是身份证号、护照号、公司注册号等等。在一个示例中,可以按照预定的填充规则对用户身份标识进行填充,以得到一个或多个实名账户,填充的内容可以包括但不限于随机数、编号、字符等等。如果用户还要建立匿名账户,则可以对填充后得到的实名账户进行加密,以加密后的密文数据作为匿名账户。权威方可以利用对称加密或非对称加密方法对实名账户进行加密。例如,可采用公钥对填充后的实名账户进行加密以得到匿名账户,利用私钥对匿名账户进行解密,从而用户身份标识仅对权威方可见。又例如,权威方还可以采用对称密钥对填充后得到的实名账户进行加密,例如采用DES、3DES、IDEA等算法,以及通过该对称密钥对匿名账户进行解密。权威方负责严密保管用于对匿名账户进行解密的密钥。这种实名账户和匿名账户相结合的开户机制,可以满足用户的不同需求。
对于所生成的每个账户,权威方为其派发或生成相应的公私钥对。优选地,权威方以该账户本身作为公钥,利用基于身份的密码学中私钥生成算法来产生与该账户对应的私钥。基于身份的加密(Identity-Base Cryptography,IBC)也是非对称加密机制,其中公钥可以是任意的字符串或比特串,通过私钥生成器(PKG,private key generations)来生成与公钥对应的私钥。***在初始化期间会自动生成主密钥和***参数,然后私钥生成器基于主密钥,***参数和用户账户生成与该用户账户对应的私钥。其中主密钥由权威方严格保密,***参数可由权威方公布,而所生成的私钥经由安全保密渠道提供给用户。权威方可以将用于基于身份加密的***参数以权威方参数的形式发布,并通过记账者保存在区块链中。
同时,权威方将与用户账户相关的信息发送给区块链上的记账者,由记账者将与用户账户相关的信息记录在区块链中。例如,权威方生成账户开户报文,其中包括诸如该开户报文的标识符、各用户账户列表、开户时间等之类信息,以及通过网络将账户开户报文发送给区块链上的记账者。在发送这些信息之前,权威方可以利用与账户管理业务对应的***私钥对该账户开户报文进行签名后再发送给区块链上的记账者,这样记账者在收到报文时,可以使用权威方参数中与账户管理业务对应的***公钥对报文中的数字签名进行验证,从而验证该信息的可靠性和有效性。在验证通过之后,记账者将账户开户报文上链(即将有效的报文记录入区块链中的操作),从而账户开户完成。
用户在收到与其各个账户对应的私钥以及权威方发布的***参数之后,就可以采用各个账户基于区块链进行各种交易,相关的交易信息均通过记账者记录在区块链中。例如,用户可以使用其账户私钥和***参数对发出的信息进行签名,而收到信息的一方可以使用该用户的账户本身及***参数对所收到的信息的签名进行验证。在该实施例中,以用户的账户本身作为公钥,利用IBC算法生成对应的私钥,不需要PKI体系的支持,不需要CA、数字证书等的参与,降低了***建立、管理和维护成本。另外,当可信的第三方需要获知某个账户对应的用户真实身份时,可向权威方进行请求查询。当权威方认可该可信第三方的请求时,如果是匿名账户,则可通过权威方保管的用于对匿名账户进行解密的密钥对该账户进行解密,然后根据预定的填充法则从解密后的明文数据中去除填充信息,就能获得与该账户对应的用户身份标识。可见,在本发明的实施例中,权威方并不需要维护和保存任何数据库,例如关于用户账户和用户身份之间对应关系的数据库,从而既减少了运营成本,又降低了用户信息泄露的风险。而且与完全匿名的数字货币账户模式相比,更有利于打击洗钱、腐败等违法犯罪行为。
从上述实施例可以看出,如果采用匿名账户,则用户身份对于数字货币交易中其他用户以及记账者都是匿名的,只有权威方才能根据用户账户获知用户的真实身份,从而既保证了基于区块链交易的透明性和灵活性,又能通过权威方对交易各方进行有效监管,以防止不法行为的发生。而且在上述方案中尽管引入了权威方,但并未增加额外的***建立、运营、维护、管理及监管成本,权威方只需要保护好自己的用于进行数字签名的私钥和用于基于身份加密的主密钥即可,与用户账户相关的各种信息也是通过区块链来进行保存,由此保持了区块链本身去中心管理、交易成本低等优点。
在一个实施例中,权威方还包括管理记账者及其记账资格的业务。与上述管理用户身份的方式类似,权威方可以对记账者的身份及其记账资格进行管理。只有经权威方授权的记账者才能有资格参与记账权的竞争,以对区块链进行操作。每个记账者具备用于记账的公私钥对,在生成区块时需要将自己的公钥一同打包进区块中,并在区块生成完毕后用对应的私钥对整个区块和区块关键信息进行数字签名。相应地,参与该区块链***的各个节点收到该区块时,需要使用区块中的公钥验证数字签名的有效性,从而验证该区块的来源;同时验证区块中的公钥的持有者是否获得了记账资格。如果这两个验证不是全部通过,则认定该区块无效,并抛弃之。
在一个实施例中,上述每个记账者对应的用于记账的公私钥对可以是由权威方生成或派发的。权威方可以响应于记账者的请求,基于记账者的身份标识来生成记账者标识符。其中记账者身份标识是指记账者真实身份的标识,通过该标识可以唯一地确定记账者身份,例如,可以是身份证号、护照号、公司注册号等等。为了更好的匿名性,可以对记账者身份标识进行加密以得到记账者标识符。优选地,可以在记账标识符中填充记账资格起止日期或到期日,这样通过读取记账者标识符就可以直接获取记账资格的到期时间。这样,各节点在收到新的区块时,可以通过生成该区块的记账者的标识符就能判断该记账者是否有记账资格。
对于每个记账者,权威方可以分配或生成对应的用于记账的公私钥对。在优选的实施例中,权威方以为该记账者的记账者标识符作为公钥,如上文结合用户身份管理所介绍的,利用基于身份的密码学中私钥生成算法来产生与该记账者对应的私钥,所生成的私钥经由安全保密渠道提供给记账者。在记账者与普通用户身份重叠的情况下,记账者公钥也可以是由用户的某个账户填充与记账资格有关的信息而得到的。各节点在收到新区块时,可将当前时间与该区块的记账者公钥中包含的涉及记账资格的时间进行比较以确定该记账者是否有记账资格;例如查看当前时间是否在该区块的记账者公钥中标注的记账资格起止日期之间或是否还没有到该记账者公钥中标注的到期日。在该实施例中,如果记账者公钥中包含的记账资格有效时间到期,而权威方又没有为该记账者派发或生成新的公私钥,则说明该记账者的记账资格已经被撤销。在又一个实施例中,权威方为各记账者生成其相应公私钥的过程与记账资格的授予过程可以分开进行的,权威方为每个记账者分配或生成的公钥中可以不包含与记账资格有关的信息,而是将其包含在权威方生成的报文中发送至区块链中。例如对于每个记账者,权威方对记账者身份标识进行加密得到记账者标识符,并以该记账者标识符作为公钥,利用基于身份的密码学方法得到与该公钥对应的私钥。而对于记账者记账资格的授予,权威方可通过将各个记账者公钥及其记账资格信息包含在如下文表2所示的报文发布至区块链中来完成。
在又一个实施例中,上述每个记账者对应的用于记账的公私钥对是在其本地生成的。在该实施例中,记账者将其身份标识和用于记账的公钥一起发送给权威方以申请记账资格。权威方对于身份合法的记账者授予记账资格。权威方可以响应于记账者请求或定期地将与记账资格相关的信息发布至区块链上。例如,权威方可以将与记账资格相关的信息包含在记账资格授予报文中,并将该记账资格授予报文发布至区块链中。表2给出了记账资格授予报文的一个示例,该记账资格授予报文包括正文和对正文的签名。正文可以包含但不限于记账资格授予报文标识符、如上文表1中权威方用于进行记账资格授予业务的***公钥、被授予记账资格的记账者公钥列表、记账资格生效时间等信息。权威方使用与记账资格授予业务对应的***私钥和相应的密码算法中的签名算法对该记账资格授予报文的正文进行签名,得到对正文的数字签名。
表2
***中已被授权的记账者收到由权威方发布的记账资格授予报文后,验证记账资格授予报文的有效性,验证内容包括但不限于:(1)验证记账资格授予报文中的***公钥有无权限,例如核实该***公钥是否存在于记账者先前保存的权威方参数中且对应于权威方参数中的记账资格授予业务;(2)验证该记账资格授予报文中数字签名的有效性,例如使用权威方参数中记账资格授予业务对应的***公钥及密码算法对数字签名进行验证等。验证通过后,记账者将记账资格授予报文打包上链。每个节点在收到新的区块时,可根据在区块链中保存的记账资格授予报文中的这些信息,判定生成该新区块的记账者是否具备记账资格。
在又一个实施例中,还可以通过权威方来撤销某些记账者的记账资格。例如当需要撤销某些记账者的记账资格时,权威方可以将与这些记账者相关的信息包含在记账资格撤销报文发布至区块链中。表3给出了记账资格撤销报文的一个示例,该记账资格撤销报文包括正文和对正文的签名。正文可以包含但不限于记账资格撤销报文标识符、权威方与撤销记账资格业务对应的***公钥、待撤销的记账者的公钥列表、记账资格撤销时间等信息。权威方使用与撤销记账资格业务对应的***私钥和对应的密码算法中的签名算法对该记账资格撤销报文的正文进行签名,从而得到对正文的数字签名。
表3
记账者收到由权威方发布的记账资格撤销报文后,验证该记账资格撤销报文的有效性,验证内容包括但不限于:(1)验证记账资格撤销报文中的***公钥有无权限,例如核实该***公钥是否存在于记账者先前保存的权威方参数中且对应于权威方参数中的记账资格撤销业务;(2)验证该记账资格撤销报文中数字签名的有效性,例如使用权威方参数中记账资格撤销业务对应的***公钥及密码算法对数字签名进行验证等。验证通过后,记账者将记账资格撤销报文打包上链。每个节点在收到新的区块时,还可根据在区块链中保存的记账资格撤销报文中的这些信息,判定生成该新区块的记账者的记账资格是否已被撤销。
应理解在上述实施例中介绍的记账资格管理方式可以同时使用和互相结合,一部分记账者可以通过由权威方生成公私钥并将与记账资格相关的信息包含在其对应的公钥中的方式来获取记账资格;而一部分记账者可以通过经权威方发布在区块链中的记账资格相关信息来获取记账资格;对于其公钥中包含记账资格时间信息的记账者,也可以经由权威方发布的记账资格撤销报文来快速撤销其记账资格。
图2给出了根据本发明一个实施例的区块链安全管理方法的流程示意图。该方法主要包括:(1)由记账者响应于收到待保存至区块链的信息,生成并发布新的区块,该区块中包括所收到的信息、利用记账者私钥对所述信息生成的数字签名和与该私钥对应的记账者公钥;(2)响应于收到新的区块,该区块链的各个参与节点基于该区块中包含的记账者公钥来验证该区块中包含的数字签名是否有效并验证该公钥的持有者是否具有记账资格。如果这两个验证不是全部通过,则认定该区块无效,并抛弃之。如果这两个验证全部通过,则在本地记录该区块。
如上文所介绍的,各个记账者的记账资格是由权威方管理的。在一个实施例中,权威方可以将与记账资格相关的信息包含在为记账者生成或派发的公钥中。例如权威方可以响应于记账者的请求,基于记账者的身份标识来生成记账者标识符,并将诸如记账资格起止日期或到期日之类的与记账资格相关的信息填充到记账者标识符中,这样通过读取记账者标识符就可以直接获取记账资格的到期时间。优选地,权威方以为该记账者的记账者标识符作为公钥,如上文结合用户身份管理所介绍的,利用基于身份的密码学中私钥生成算法来产生与该记账者对应的私钥,所生成的私钥经由安全保密渠道提供给记账者。在记账者与普通用户身份重叠的情况下,记账者公钥也可以是由用户的某个账户填充与记账资格有关的信息而得到的。各节点在收到新区块时,可将当前时间与该区块的记账者公钥中包含的涉及记账资格的时间进行比较以确定该记账者是否有记账资格;例如查看当前时间是否在该区块的记账者公钥中标注的记账资格起止日期之间或是否还没有到该记账者公钥中标注的到期日。在该实施例中,如果记账者公钥中包含的记账资格有效时间到期,而权威方又没有为该记账者派发或生成新的公私钥,则意味着该记账者的记账资格已经被撤销,各节点将来自该记账者的区块视为无效区块。
在又一个实施例中,权威方可以响应于记账者请求或定期地将与记账资格相关的信息发布至区块链上。每个记账者对应的用于记账的公私钥对可以是在其本地生成的。在该实施例中,记账者将其身份标识和用于记账的公钥一起发送给权威方以申请记账资格。权威方对于身份合法的记账者授予记账资格。例如,权威方可以将与记账资格相关的信息包含在上文结合表2介绍的记账资格授予报文中,并将该记账资格授予报文发布至区块链中。***中已被授权的记账者收到由权威方发布的记账资格授予报文后,验证记账资格授予报文的有效性并将其打包上链。每个节点在收到新的区块时,可根据在区块链中保存的记账资格授予报文中的这些信息,判定生成该新区块的记账者是否具备记账资格。
在又一个实施例中,该方法还可以包括通过权威方来快速撤销某些记账者的记账资格。例如当需要撤销某些记账者的记账资格时,权威方可以将与这些记账者相关的信息包含在如上文结合表3所介绍的记账资格撤销报文发布至区块链中。记账者收到由权威方发布的记账资格撤销报文后,验证该记账资格撤销报文的有效性并将其打包上链。参与该区块链的各节点在收到新的区块时,还可根据在区块链中保存的记账资格撤销报文中的这些信息,判定生成该新区块的记账者的记账资格是否已被撤销。
虽然本发明已经通过优选实施例进行了描述,然而本发明并非局限于这里所描述的实施例,在不脱离本发明范围的情况下还包括所作出的各种改变以及变化。
Claims (5)
1.一种区块链安全管理***,该***包括权威方和记账者,所述权威方用于管理各个记账者的记账资格;每个记账者用于响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;
其中,仅来自具备记账资格且其数字签名有效的记账者的区块被允许记录至区块链中;其中所述记账者的公钥和私钥是由权威方生成的,与记账者的记账资格相关的信息包含在记账者公钥中,与记账者的记账资格相关的信息包括记账资格的起止时间或到期时间。
2.根据权利要求1所述的***,其中权威方响应于记账者的请求,对记账者的身份标识加密,并在加密后的密文数据中填充与该记账者的记账资格相关的信息以得到该记账者的公钥;以及利用基于身份的密码学算法来产生与该公钥对应的私钥。
3.一种区块链安全管理***,该***包括权威方和记账者,所述权威方用于管理各个记账者的记账资格;每个记账者用于响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;
其中,仅来自具备记账资格且其数字签名有效的记账者的区块被允许记录至区块链中;其中所述记账者的公钥和私钥是由记账者本地生成的或由权威方生成;以及其中权威方发布与记账者的记账资格相关的信息至区块链中,所述与记账者的记账资格相关的信息包括下列中的一个或多个:被授予记账资格的记账者公钥、记账资格的生效时间、被撤销记账资格的记账者公钥、记账资格撤销时间。
4.一种区块链安全管理方法,该方法包括:
由记账者响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;
响应于收到新的区块,判断该区块中包含的数字签名是否有效并验证该区块中公钥对应的记账者是否具有记账资格;
将来自具有记账资格且其数字签名有效的记账者的区块记录至区块链中;以及
所述方法还包括由权威方为每个记账者生成其对应的公钥和私钥,与记账者的记账资格相关的信息包含在记账者公钥中;其中与记账者的记账资格相关的信息包括记账资格的起止时间或到期时间。
5.一种区块链安全管理方法,该方法包括:
由记账者响应于收到待记录至区块链中的信息生成并发布新的区块,该区块包括该记账者的公钥、所述信息和以与所述公钥对应的私钥对所述信息生成的数字签名;
响应于收到新的区块,判断该区块中包含的数字签名是否有效并验证该区块中公钥对应的记账者是否具有记账资格;
将来自具有记账资格且其数字签名有效的记账者的区块记录至区块链中;以及
所述方法还包括由所述记账者将其公钥和/或身份标识发送给权威方以请求记账资格;
由权威方响应于记账者的请求发布与记账者的记账资格相关的信息至区块链中,所述与记账者的记账资格相关的信息包括下列中的一个或多个:被授予记账资格的记账者公钥、记账资格的生效时间、被撤销记账资格的记账者公钥、记账资格撤销时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711054192.4A CN107769922B (zh) | 2017-10-31 | 2017-10-31 | 区块链安全管理***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711054192.4A CN107769922B (zh) | 2017-10-31 | 2017-10-31 | 区块链安全管理***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107769922A CN107769922A (zh) | 2018-03-06 |
| CN107769922B true CN107769922B (zh) | 2020-02-18 |
Family
ID=61270996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711054192.4A Active CN107769922B (zh) | 2017-10-31 | 2017-10-31 | 区块链安全管理***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107769922B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110380857B (zh) * | 2018-04-12 | 2020-09-11 | ***通信有限公司研究院 | 数字证书处理方法及装置、区块链节点、存储介质 |
| CN109104287A (zh) * | 2018-07-27 | 2018-12-28 | 众安信息技术服务有限公司 | 在区块链中进行通信的方法和装置 |
| CN109033776A (zh) * | 2018-09-07 | 2018-12-18 | 广东工业大学 | 一种人员管理方法、***、设备及计算机可读存储介质 |
| CN110245522B (zh) * | 2019-01-16 | 2022-07-12 | 腾讯科技(深圳)有限公司 | 区块链资金结算***中的数据处理方法、终端和介质 |
| CN110298180B (zh) * | 2019-04-01 | 2021-03-26 | 北京深安未来科技有限公司 | 一种基于区块链的公证书管理*** |
| CN110535848B (zh) * | 2019-08-22 | 2022-07-26 | 腾讯科技(深圳)有限公司 | 一种信息存储方法及装置 |
| CN110929872B (zh) * | 2019-10-18 | 2022-10-18 | 如般量子科技有限公司 | 抗量子计算私钥备份、挂失及恢复方法及*** |
| CN110992029A (zh) * | 2019-12-02 | 2020-04-10 | 中国科学院计算技术研究所 | 一种区块链管理***及方法 |
| CN111343292B (zh) * | 2020-02-10 | 2022-09-27 | 广州根链国际网络研究院有限公司 | 权威dns服务器信息更新方法及*** |
| CN111371556B (zh) * | 2020-02-21 | 2022-06-17 | 运易通科技有限公司 | 一种区块链节点记账方法、装置、设备及存储介质 |
| CN114301612A (zh) * | 2020-09-22 | 2022-04-08 | ***通信有限公司研究院 | 信息处理方法、通信设备和加密设备 |
| CN112801648A (zh) * | 2021-01-28 | 2021-05-14 | 杉德银卡通信息服务有限公司 | 基于支付场景的账户配置管理方法及*** |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11055707B2 (en) * | 2014-06-24 | 2021-07-06 | Visa International Service Association | Cryptocurrency infrastructure system |
| CN106485168A (zh) * | 2016-10-17 | 2017-03-08 | 成都知道创宇信息技术有限公司 | 一种采用md5值验证合同文件是否被修改的方法 |
| CN106530072A (zh) * | 2016-11-22 | 2017-03-22 | 天津米游科技有限公司 | 一种区块链共识机制 |
| CN107124403A (zh) * | 2017-04-14 | 2017-09-01 | 朱清明 | 区块链中共识区块的生成方法与计算设备 |
-
2017
- 2017-10-31 CN CN201711054192.4A patent/CN107769922B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107769922A (zh) | 2018-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107769922B (zh) | 区块链安全管理***及方法 | |
| CN107240017B (zh) | 区块链交易管理***及方法 | |
| US10666428B2 (en) | Efficient methods for protecting identity in authenticated transmissions | |
| CN107819753B (zh) | 不完全匿名的区块链交易***及方法 | |
| CN105635049B (zh) | 基于客户端标识密码的防伪税控方法和装置 | |
| CN106934605B (zh) | 数字货币中用户身份管理方法和*** | |
| CN109660485A (zh) | 一种基于区块链交易的权限控制方法及*** | |
| CN110059494A (zh) | 一种区块链交易数据的隐私保护方法及区块链*** | |
| KR102621116B1 (ko) | Id 기반 공개 키 암호화를 이용한 전자 지불 방법 및 전자 디바이스 | |
| CN109672537A (zh) | 基于公钥池的抗量子证书获取***及获取方法 | |
| CN107852404A (zh) | 保密通信的相互认证 | |
| CN107483212A (zh) | 一种双方协作生成数字签名的方法 | |
| CN108768652A (zh) | 一种可抗量子攻击的联盟区块链底层加密方法 | |
| CN103490881A (zh) | 认证服务***、用户认证方法、认证信息处理方法及*** | |
| CN107682364A (zh) | 一种许可链隐私交易方法 | |
| CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和*** | |
| CN103414559A (zh) | 一种云计算环境下的基于类ibe***的身份认证方法 | |
| CN107135081A (zh) | 一种双证书ca***及其实现方法 | |
| CN112368974A (zh) | 用于在分布式基础架构中确保数据交换安全的方法 | |
| CN105119719B (zh) | 一种安全存储***的密钥管理方法 | |
| CN104253692B (zh) | 基于se的密钥管理方法和装置 | |
| CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、***及电子设备 | |
| CN116703593A (zh) | 基于区块链的电子保函业务监管审批方法及*** | |
| CN112950356B (zh) | 基于数字身份的个人贷款处理方法及***、设备、介质 | |
| CN114448636B (zh) | 基于数字证书的抗量子计算数字货币***及匿名通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 330096 399 Huoju street, Qingshanhu District, Nanchang City, Jiangxi Province Patentee after: Jiede (China) Technology Co.,Ltd. Address before: 330096 399 Huoju street, Qingshanhu District, Nanchang City, Jiangxi Province Patentee before: Jiede (China) Information Technology Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |