CN112311530B - 一种基于区块链的联盟信任分布式身份凭证管理认证方法 - Google Patents

一种基于区块链的联盟信任分布式身份凭证管理认证方法 Download PDF

Info

Publication number
CN112311530B
CN112311530B CN202011183457.2A CN202011183457A CN112311530B CN 112311530 B CN112311530 B CN 112311530B CN 202011183457 A CN202011183457 A CN 202011183457A CN 112311530 B CN112311530 B CN 112311530B
Authority
CN
China
Prior art keywords
alliance
certificate
identity
distributed
digital identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN202011183457.2A
Other languages
English (en)
Other versions
CN112311530A (zh
Inventor
王瑜
吕朋辉
陈亚
田琛
王雅哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202011183457.2A priority Critical patent/CN112311530B/zh
Publication of CN112311530A publication Critical patent/CN112311530A/zh
Application granted granted Critical
Publication of CN112311530B publication Critical patent/CN112311530B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种基于区块链的联盟信任分布式身份凭证管理认证方法,包括如下步骤:(1)将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者,将联盟内验证数字身份凭证真实性的网络实体作为凭证验证者,将联盟内拥有数字身份凭证的网络实体作为凭证持有者;其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合,使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证;依据联盟数字身份凭证定义,通过属性赋值进而生成联盟数字身份凭证;(2)对联盟数字身份凭证进行颁发、验证、更新、撤消全生命周期进行管理,为联盟内分布式异构网络实体提供在联盟内不同应用场景下统一、安全的跨域身份认证。

Description

一种基于区块链的联盟信任分布式身份凭证管理认证方法
技术领域
本发明属于信息安全领域的身份认证安全领域,具体涉及到一种基于区块链的联盟信任分布式身份凭证管理认证方法。
背景技术
近年来,随着物联网、互联网+、5G、大数据等技术的快速发展,联盟组织中人员、设备等分布式异构网络实体之间信息交互日益增强,各分布式业务应用信息***之间多方协作、数据融合需求增大。身份认证作为保护分布式应用信息***安全的第一道关口,通过对各分布式网络实体身份信息的可靠识别实现网络实体间的互信,也变得越来越重要。然而,联盟组织中各分布式业务应用***由于缺乏身份信息互通,不仅使得跨***的分布式网络实体需要在各***频繁注册身份,而且存在多方协作效率低、“数据孤岛”加大、身份被冒用等难题,难满足各业务***多方协作和身份数据融合的跨域身份认证需求,亟需建立针对分布式异构网络实体的统一、安全、适应新业务发展的跨域身份认证方案。针对上述跨域认证身份需求,传统“中心化、以用户为中心”的身份认证方案有以下的弊端:(1)中心化身份认证方案中,用户的身份数据管理中心化,不为用户所控制,用户隐私数据散落在互联网上难以保护,如果中心认证服务器被攻击成功,整个身份认证***会崩溃;(2)以用户为中心的身份认证方案中,用户自己完全掌控身份数据,但因双方认证过程缺乏信任,用户无法有效识别身份提供者的欺诈身份,很难防范“网络钓鱼”攻击。因此,利用区块链去中心化、不可篡改等特性,提出了基于区块链的去中心的身份认证方案。
现有的基于区块链技术的身份认证方案,无法针对联盟组织中人员、设备、企业、组织机构等分布式异构网络实体,实现用户的身份信息自主控制、易扩展的跨域统一联盟信任分布式身份认证。专利《基于区块链技术的身份认证***及其实现方法》(CN202010372661.2)提出基于区块链身份认证***架构,及实名注册、身份认证和级联认证等过程实现,但是不同应用场景下的身份认证采用同一数字身份,不能满足不同场景下数字身份的应用需求,同时身份信息容易被归集,造成身份信息的泄露;该专利仅实现了数字身份注册、认证过程,缺少针对联盟内分布式异构网络实体的数字身份全生命周期的管理,分布式异构网络实体无法灵活自主的控制身份信息,防止身份隐私的泄露。专利《一种面向联盟链的身份认证方法》(CN202010046737.2)给出了用户在互不信任的情况下共同参与密钥生成并实现身份认证的方案,但用户不能自主的控制完成身份的生成、注册、更新、撤销;不同应用场景下采用同一私钥表示身份,身份信息也容易被归集,造成用户自身整个身份信息泄露,使其面临安全隐患。
发明内容
为了解决上述技术问题,本发明技术解决方案实现,一种基于区块链的联盟信任分布式身份凭证管理认证方法,具体包括:
对联盟数字身份凭证进行颁发、验证、更新、撤消全生命周期管理,将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者、联盟内验证数字身份凭证真实性的网络实体作为凭证验证者和联盟内拥有数字身份凭证的网络实体作为凭证持有者三类角色。
其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合,使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证。依据联盟数字身份凭证定义,通过属性赋值进而生成联盟数字身份凭证,其中联盟数字身份凭证定义的数据结构是由元数据Credential Metadata、属性集合Claims及凭证颁发者签名信息Proofs三部分组成,如:{CredentialMetadata:{credentialName,issuanceDate,expireDate,Issuer},Claims:{claim1,...,claimN},Proofs:{signatureValue,signatureAlgorithm,createdTime}},其中元数据包含凭证名称credentialName、颁发日期issuanceDate及有效期expireDate、凭证颁发者Issuer等信息;凭证颁发者签名信息包括签名信息signatureValue、签名算法signatureAlgorithm、签名创建时间createdTime等。各凭证颁发者、持有者与验证者分布式身份客户端在进行交互之前,根据(1)完成各自联盟分布式身份标识符生成、注册过程。
(a)联盟数字身份凭证颁发:分布式网络实体通过分布式身份客户端向联盟分布式身份服务节点发送查询凭证颁发者账本上身份信息的请求,以获取凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义。联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义,则将查询到的凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义发送回发送查询请求的分布式身份客户端。分布式网络实体分布式身份客户端收到凭证颁发者在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义后,向凭证颁发者分布式身份客户端发送申请颁发凭证的请求,凭证颁发者接收到该申请颁发凭证的请求,对发起该请求的分布式网络实体的联盟分布式身份标识符进行验证,若验证通过,凭证颁发者则基于自身存储的联盟数字身份凭证定义,为该分布式网络实体创建联盟数字身份凭证,并发送给该分布式网络实体分布式身份客户端。申请颁发凭证分布式网络实体分布式身份客户端收到联盟数字身份凭证,通过账本上已获取的联盟数字身份凭证定义对收到联盟数字身份凭证的真实性进行验证,若验证通过,则将其保存在自己的身份钱包中。
(b)联盟数字身份凭证验证:凭证持有者通过分布式身份客户端首先向联盟分布式身份服务节点发送查询凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记请求。联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记,则将该查询结果发送给凭证持有者分布式身份客户端。凭证持有者分布式身份客户端如果收到的查询结果显示凭证验证者的联盟分布式身份标识符验证结果是通过且未被撤销,则从内置身份钱包中取出相应联盟数字身份凭证,然后依据联盟数字身份凭证创建联盟数字身份凭证证明,接着向凭证验证者分布式身份客户端发送携带该凭证证明的验证请求。凭证验证者分布式身份客户端接收到该验证请求,首先对该凭证持有者的联盟分布式身份标识符进行验证,如果验证通过,则提取出该验证请求中联盟数字身份凭证证明,同时查询在联盟分布式身份账本中的联盟数字身份凭证的定义;然后依据查询到的联盟数字身份凭证定义对联盟数字身份凭证证明的真实性进行验证,如果验证也通过,则发送验证请求的凭证持有者为合法用户,给予该发送验证请求的凭证持有者相应访问权限;否则,该发送验证请求的凭证持有者为不合法用户,拒绝提供访问服务。
(c)联盟数字身份凭证更新:凭证颁发者通过分布式身份客户端首先生成新的联盟数字身份凭证定义,将该新的联盟数字身份凭证定义存储在自己身份钱包中,同时取出旧的联盟数字身份凭证定义;然后对新的联盟数字身份凭证定义进行哈希运算hash,生成新的联盟数字身份凭证定义信息摘要,并附加时间戳;接着利用(1)分布式网络实体联盟分布式身份标识符的生成过程中自身的私钥对该新的联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成新的联盟数字身份凭证定义相关签名;将携带新的联盟数字身份凭证定义相关签名、新的联盟数字身份凭证定义信息摘要、新的联盟数字身份凭证定义和旧的联盟数字身份凭证定义的更新请求发送给联盟分布式身份服务节点。联盟分布式身份服务节点收到该更新请求,获取凭证颁发者存储在联盟分布式身份账本中联盟分布式身份标识符里的公钥,对更新请求中的签名信息进行验签,如果验签通过,则联盟分布式身份服务节点通过共识机制将该新联盟数字身份凭证定义保存在了联盟分布式身份账本,完成联盟数字身份凭证定义的更新,并向待更新凭证持有者分布式身份客户端发送凭证更新通知。待更新凭证持有者分布式身份客户端收到更新通知,通过联盟分布式身份服务节点查询在联盟分布式身份账本上更新后的联盟数字身份凭证的定义,并给凭证颁发者分布式身份客户端发送更新凭证的请求。凭证颁发者分布式身份客户端收到该更新凭证更新请求,首先对待更新凭证持有者的联盟分布式身份标识符进行验证,若验证通过,则凭证颁发者基于更新后的联盟数字身份凭证的定义创建新的联盟数字身份凭证,然后凭证颁发者分布式身份客户端将新的联盟数字身份凭证发送给待更新凭证持有者分布式身份客户端;接着待更新凭证持有者分布式身份客户端收到新联盟数字身份凭证,通过已查询到的新联盟数字身份凭证定义对该新联盟数字身份凭证的真实性进行验证,若验证通过,则将收到新联盟数字身份凭证保存在自己的身份钱包中;若验证不通过,则凭证更新失败。
(d)联盟数字身份凭证的撤消:联盟数字身份凭证的撤消包含两方面:联盟数字身份凭证本身的撤销和联盟数字身份凭证定义的撤消。其中联盟数字身份凭证本身的撤销是在联盟数字身份凭证中设置了有效期的属性,当超过有效期,则自动作废,而在凭证持有者分布式身份客户端将内置身份钱包中联盟数字身份凭证自行删除;联盟数字身份凭证定义的撤消是通过以下过程来实现:凭证颁发者通过分布式身份客户端向联盟分布式身份服务节点发送携带待被撤销联盟数字身份凭证定义的撤销请求。联盟分布式身份服务节点收到该撤销请求,对凭证颁发者的联盟分布式身份标识符进行验证,如果验证通过,则通过共识机制将联盟分布式身份账本上的待被撤销的联盟数字身份凭证定义标记为已撤销,同时将撤销的结果发送给凭证颁发者分布式身份客户端,凭证颁发者在分布式身份客户端自行删除联盟数字身份凭证定义。
根据本发明的另一方面,还提出一种联盟内分布式异构网络实体提供在联盟内不同应用场景下跨域身份认证方法,其特征在于,包括如下步骤:
(a)分布式数字身份标识生成:分布式网络实体通过分布式身份客户端首先生成自身联盟分布式身份标识符,该联盟分布式身份标识符主要包含:固定头部ConsortiumID、随机字符串RandomString、以及与之关联的公私钥对(pk,sk)其中pk代表公钥,sk代表私钥;对联盟分布式身份标识符进行哈希运算hash,生成联盟分布式身份标识符信息摘要,并附加时间戳;然后利用自己的私钥对该联盟分布式身份标识符信息摘要和附加时间戳进行签名,生成联盟分布式身份标识符相关签名,接着将生成的联盟分布式身份标识符相关签名和联盟分布式身份标识符发送到联盟分布式身份服务节点。
(b)联盟数字身份凭证生成:分布式网络实体作为凭证颁发者,通过分布式身份客户端对联盟数字身份凭证定义进行哈希运算hash,生成联盟数字身份凭证定义信息摘要,并附加时间戳;然后利用(a)分布式数字身份标识生成过程中自身的私钥对该联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成联盟数字身份凭证定义相关签名;接着将生成联盟数字身份凭证定义相关签名和联盟数字身份凭证定义发送到联盟分布式身份服务节点。凭证颁发者将基于该数字身份凭证定义为分布式网络实体颁发联盟数字身份凭证。
(c)联盟数字身份区块的生成:联盟分布式身份服务节点接收到各分布式网络实体的联盟分布式身份标识符相关签名和联盟数字身份凭证定义相关签名后,对收到的签名进行验证,若验证通过,则根据接收到的联盟分布式身份标识符和联盟数字身份凭证定义生成新的区块,并广播至全网,接收到的联盟分布式身份标识符和联盟数字身份凭证定义通过共识机制存储到联盟分布式身份账本。
(d)联盟数字身份验证:某分布式网络实体作为联盟数字身份凭证持有者,申请访问一个应用***。该***的联盟数字身份凭证验证者,首先对该申请访问分布式网络实体联盟数字身份标识符进行验证,然后查询并获取该申请访问分布式网络实体在联盟分布式身份账本上的数字身份凭证定义,对该申请访问分布式网络实体所出示的联盟数字身份凭证信息进行验证,从而完成对用户身份的验证,获得对该应用***的访问。
本发明与现有技术相比有优点在于:
(1)传统的身份认证技术多采用中心化身份认证方案,在分布式基础架构上采用中心化认证方案存在一定的安全风险,易受DDOS攻击、单点故障攻击等影响。本发明多个联盟组织提供内部一个或多个独立对等的节点,构建可信分布式身份认证联盟网络,其节点分散、去中心,能够有效防御DDoS攻击。并且当攻击者对某个单一节点攻击时,即便该节点失效,也不会影响整个联盟分布式认证服务。
(2)传统中心化的身份认证方案中,用户身份信息散落在各异构分布式***上,用户不能控制相关私有数据,这将造成个人的身份隐私泄露;而以用户为中心的身份认证方案中,用户完全自主的控制身份信息,但双方认证过程缺乏信任,用户无法有效识别身份提供者的欺诈身份,很难防范“网络钓鱼”攻击。本发明通过区块链共识机制和身份隐私保护机制保证联盟网络环境中身份数据的安全、可信、共享,用户自主的控制自身身份信息,并只向联盟内特定组织或个人暴漏身份数据,防止身份隐私泄露。
(3)传统的身份是在中心化身份的基础上增加了可移植性。与之不同的是,本发明的身份信息可移植性在于用户根据自身的需要对相应联盟分布式数字身份进行移植。即一个分布式网络实体基于去中心化的身份移植,可获得不同身份认证场景下的多个联盟分布式身份标识符及相关联盟数字身份凭证,完成分布式网络实体用户身份的移植。
附图说明
图1本发明的整体架构示意图;
图2本发明的联盟分布式身份标识符管理模型示意图;
图3本发明的联盟数字身份凭证管理模型示意图;
图4本发明的联盟分布式身份认证运行机制模型示意图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,通过以下具体措施,并结合附图1-4,对本发明作进一步详细说明。
根据本发明的一个实施例,提出一种基于区块链的联盟信任分布式身份凭证管理认证***,如图1所示,主要包括联盟分布式身份账本、联盟分布式身份服务节点、分布式身份客户端。联盟分布式身份账本用来存储联盟内人员、设备、企业、组织机构等分布式网络实体的联盟数字身份信息,并通过共识机制和隐私保护机制保证联盟内分布式异构网络实体的联盟数字身份安全存储和安全共享,为上层联盟分布式身份服务节点提供联盟数字身份信息支撑。联盟分布式身份服务节点是连接联盟分布式身份账本和分布式身份客户端的桥梁,接收分布式网络实体的分布式身份客户身份管理或认证请求,借助联盟分布式身份账本对联盟分布式数字身份进行写入、查询、标记操作;分布式身份客户端为分布式异构网络实体提供本地的联盟分布式数字身份管理,并通过该客户端内置的身份钱包存储实体的联盟分布式数字身份。该***实现对联盟数字身份凭证进行颁发、验证、更新、撤消的全生命周期管理,进一步为联盟内分布式异构网络实体提供跨域联盟信任分布式身份认证。分布式异构网络实体通过该***可自主的控制联盟内联盟分布式数字身份,主动防止身份隐私泄露,同时实现在联盟内不同应用场景下统一、安全的跨域身份认证。
根据本发的一个实施例,如图2所示,联盟分布式身份标识符是针对联盟内人员、设备、企业、组织机构等分布式异构网络实体而设计,具有联盟内全局唯一、易扩展、可信度高等优点。联盟分布式身份标识符管理模型实现了对联盟分布式身份标识符注册、验证、更新、注销全生命周期管理,分布式异构网络实体通过分布式身份客户端生成联盟分布式身份标识符,并向联盟分布式身份服务节点请求联盟分布式身份标识符注册、验证、更新、注销服务,自主的控制联盟分布式身份标识符的全生命周期管理,主动防止身份隐私泄露。
(1.1)分布式网络实体联盟分布式身份标识符的生成。分布式网络实体通过分布式身份客户端首先根据自身类型选择联盟身份的type;然后基于选择的联盟身份type生成固定头部ConsortiumID、随机字符串RandomString、以及与之关联的公私钥对(pk,sk),其中pk代表公钥,sk代表私钥,进而组合得到联盟分布式身份标识符{<ConsortiumID:type:RandomString>,pk};最后将生成的联盟分布式身份标识符存储的内置身份钱包中。
(1.2)分布式网络实体联盟分布式身份标识符的注册。
(1.2.1)分布式网络实体通过分布式身份客户端首先从自身身份钱包取出联盟分布式身份标识符,对取出的联盟分布式身份标识符进行哈希运算hash,生成联盟分布式身份标识符信息摘要,并附加时间戳;然后利用自己的私钥对该联盟分布式身份标识符信息摘要和附加时间戳进行签名,生成联盟分布式身份标识符相关的签名信息;接着将生成的联盟分布式身份标识符相关的签名信息和钱包已取出的联盟分布式身份标识符作为注册请求参数发送到联盟分布式身份服务节点。
(1.2.2)联盟分布式身份服务节点收到这个注册请求以后,通过提取注册请求中联盟分布式身份标识符里的公钥对收到的注册请求中的签名信息进行验签;如果验签通过,则联盟分布式身份服务节点将收到的联盟分布式身份标识符通过共识机制存储在联盟分布式身份账本中;否则,注册失败。
(1.3)分布式网络实体联盟分布式身份标识符的验证。
(1.3.1)分布式网络实体首先通过分布式身份客户端对自身联盟分布式身份标识符进行哈希运算hash,生成联盟分布式身份标识符信息摘要H,并附加时间戳;然后利用自己的私钥对该联盟分布式身份标识符信息摘要H和附加时间戳进行签名,生成联盟分布式身份标识符相关的签名信息;接着将携带生成的联盟分布式身份标识符相关的签名和联盟分布式身份标识符的验证请求发送联盟分布式身份服务节点。
(1.3.2)联盟分布式身份服务节点接收到这个验证请求后,首先查询发送验证请求的分布式网络实体在联盟分布式身份账本上的联盟分布式身份标识符信息,并提取出联盟分布式身份标识符里的公钥pk;然后利用提取到公钥pk对收到请求里的联盟分布式身份标识符相关的签名信息进行验签,则联盟分布式身份服务节点将验证结果通过共识机制存储在联盟分布式身份账本中,以备其他分布式网络实体查询,同时将验证结果返回给发送验证请求的分布式网络实体。
(1.4)分布式网络实体联盟分布式身份标识符的更新。
(1.4.1)分布式网络实体通过分布式身份客户端首先生成新联盟分布式身份标识符,然后对新联盟分布式身份标识符进行哈希运算hash,生成新联盟分布式身份标识符信息摘要,并附加时间戳,然后利用旧联盟分布式身份标识符对应私钥对新联盟分布式身份标识符信息摘要和附加时间戳进行签名,得到签名信息S,接着将携带旧联盟分布式身份标识符、新联盟分布式身份标识符和签名信息S的更新请求发送给联盟分布式身份服务节点。
(1.4.2)联盟分布式身份服务节点收到该更新请求,首先查询在联盟分布式身份账本上旧联盟分布式身份标识符信息,并在联盟分布式身份账本上提取出旧联盟分布式身份标识符里对应的公钥pk;然后利用该提取出的公钥pk对收到签名信息S进行验签,如果验证通过,联盟分布式身份服务节点通过共识机制在联盟分布式身份账本中存储新联盟分布式身份标识符,标记旧联盟分布式身份标识符不可用,同时通知发送更新请求的分布式网络实体在自己分布式身份客户端的身份钱包中存储新联盟分布式身份标识符及删除旧联盟分布式身份标识符;否则,更新失败。
(1.5)分布式网络实体联盟分布式身份标识符的撤销。
(1.5.1)分布式网络实体通过分布式身份客户端首先从自身身份钱包中取出待被撤销的联盟分布式身份标识符,对待被撤销的联盟分布式身份标识符进行哈希运算hash,生成待被撤销的联盟分布式身份标识符信息摘要,并附加时间戳;然后利用自己的私钥对该待被撤销的联盟分布式身份标识符信息摘要和附加时间戳进行签名,生成待被撤销的联盟分布式身份标识符相关的签名信息;接着将携带待被撤销的联盟分布式身份标识符相关的签名信息和被撤销的联盟分布式身份标识符的撤销请求发送到联盟分布式身份服务节点。
(1.5.2)联盟分布式身份服务节点收到该撤销请求,首先查询在联盟分布式身份账本上待被撤销的联盟分布式身份标识符,并在联盟分布式身份账本上提取出待被撤销的联盟分布式身份标识符的公钥;然后利用该提取出公钥对被待撤销的联盟分布式身份标识符相关的签名信息进行验签,若验签通过,则将在联盟分布式身份账本上的待被撤销的联盟分布式身份标识符信息标记为已撤销。同时通知发送撤销请求的分布式网络实体将在自己分布式身份客户端的身份钱包中的待被撤销的联盟分布式身份标识符删除。
根据本发的一个实施例,本发明提出的一种基于区块链的联盟信任分布式身份凭证管理认证方法,对联盟数字身份凭证进行颁发、验证、更新、撤消全生命周期管理,将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者、联盟内验证数字身份凭证真实性的网络实体作为凭证验证者和联盟内拥有数字身份凭证的网络实体作为凭证持有者三类角色。其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合,使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证。依据联盟数字身份凭证定义,通过属性赋值进而生成联盟数字身份凭证,其中联盟数字身份凭证定义的数据结构是由元数据Credential Metadata、属性集合Claims及凭证颁发者签名信息Proofs三部分组成,如:{CredentialMetadata:{credentialName,issuanceDate,expireDate,Issuer},Claims:{claim1,...,claimN},Proofs:{signatureValue,signatureAlgorithm,createdTime}},其中元数据包含凭证名称credentialName、颁发日期issuanceDate及有效期expireDate、凭证颁发者Issuer等信息;凭证颁发者签名信息包括签名信息signatureValue、签名算法signatureAlgorithm、签名创建时间createdTime等。各凭证颁发者、持有者与验证者分布式身份客户端在进行交互之前,根据(1)完成各自联盟分布式身份标识符生成、注册过程。具体包括如下步骤:
(2.1)联盟数字身份凭证颁发
(2.1.1)分布式网络实体通过分布式身份客户端向联盟分布式身份服务节点发送查询凭证颁发者账本上身份信息的请求,以获取凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义。
(2.1.2)联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义,则将查询到的凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义发送回发送查询请求的分布式身份客户端。
(2.1.3)分布式网络实体分布式身份客户端收到凭证颁发者在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义后,向凭证颁发者分布式身份客户端发送申请颁发凭证的请求,凭证颁发者接收到该申请颁发凭证的请求,对发起该请求的分布式网络实体的联盟分布式身份标识符进行验证,若验证通过,凭证颁发者则基于自身存储的联盟数字身份凭证定义,为该分布式网络实体创建联盟数字身份凭证,并发送给该分布式网络实体分布式身份客户端。
(2.1.4)申请颁发凭证分布式网络实体分布式身份客户端收到联盟数字身份凭证,通过账本上已获取的联盟数字身份凭证定义对收到联盟数字身份凭证的真实性进行验证,若验证通过,则将其保存在自己的身份钱包中。
(2.2)联盟数字身份凭证验证:
(2.2.1)凭证持有者通过分布式身份客户端首先向联盟分布式身份服务节点发送查询凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记请求。联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记,则将该查询结果发送给凭证持有者分布式身份客户端。
(2.2.2)凭证持有者分布式身份客户端如果收到的查询结果显示凭证验证者的联盟分布式身份标识符验证结果是通过且未被撤销,则从内置身份钱包中取出相应联盟数字身份凭证,然后依据联盟数字身份凭证创建联盟数字身份凭证证明,接着向凭证验证者分布式身份客户端发送携带该凭证证明的验证请求。
(2.2.3)凭证验证者分布式身份客户端接收到该验证请求,首先对该凭证持有者的联盟分布式身份标识符进行验证,如果验证通过,则提取出该验证请求中联盟数字身份凭证证明,同时查询在联盟分布式身份账本中的联盟数字身份凭证的定义;然后依据查询到的联盟数字身份凭证定义对联盟数字身份凭证证明的真实性进行验证,如果验证也通过,凭证验证者认定发送验证请求的凭证持有者为合法,则给予该发送验证请求的凭证持有者相应访问权限;否则,不合法,拒绝提供访问服务。
(2.3)联盟数字身份凭证更新
(2.3.1)凭证颁发者通过分布式身份客户端首先生成新的联盟数字身份凭证定义,将该新的联盟数字身份凭证定义存储在自己身份钱包中,同时取出旧的联盟数字身份凭证定义;然后对新的联盟数字身份凭证定义进行哈希运算hash,生成新的联盟数字身份凭证定义信息摘要,并附加时间戳;接着利用(1.1)分布式网络实体联盟分布式身份标识符的生成过程中自身的私钥对该新的联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成新的联盟数字身份凭证定义相关签名;将携带新的联盟数字身份凭证定义相关签名、新的联盟数字身份凭证定义信息摘要、新的联盟数字身份凭证定义和旧的联盟数字身份凭证定义的更新请求发送给联盟分布式身份服务节点。
(2.3.2)联盟分布式身份服务节点收到该更新请求,获取凭证颁发者存储在联盟分布式身份账本中联盟分布式身份标识符里的公钥,对更新请求中的签名信息进行验签,如果验签通过,则联盟分布式身份服务节点通过共识机制将该新联盟数字身份凭证定义保存在了联盟分布式身份账本,完成联盟数字身份凭证定义的更新,并向待更新凭证持有者分布式身份客户端发送凭证更新通知。
(2.3.3)待更新凭证持有者分布式身份客户端收到更新通知,通过联盟分布式身份服务节点查询在联盟分布式身份账本上更新后的联盟数字身份凭证的定义,并给凭证颁发者分布式身份客户端发送更新凭证的请求。
(2.3.4)凭证颁发者分布式身份客户端收到该更新凭证更新请求,首先对待更新凭证持有者的联盟分布式身份标识符进行验证,若验证通过,则凭证颁发者基于更新后的联盟数字身份凭证的定义创建新的联盟数字身份凭证,然后凭证颁发者分布式身份客户端将新的联盟数字身份凭证发送给待更新凭证持有者分布式身份客户端;接着待更新凭证持有者分布式身份客户端收到新联盟数字身份凭证,通过已查询到的新联盟数字身份凭证定义对该新联盟数字身份凭证的真实性进行验证,若验证通过,则将收到新联盟数字身份凭证保存在自己的身份钱包中;若验证不通过,则凭证更新失败。
(2.4)联盟数字身份凭证撤消
(2.4.1)联盟数字身份凭证本身的撤销是在联盟数字身份凭证中设置了有效期的属性,当超过有效期,则自动作废,而在凭证持有者分布式身份客户端将内置身份钱包中联盟数字身份凭证自行删除;
(2.4.2)凭证颁发者通过分布式身份客户端向联盟分布式身份服务节点发送携带待被撤销联盟数字身份凭证定义的撤销请求。联盟分布式身份服务节点收到该撤销请求,对凭证颁发者的联盟分布式身份标识符进行验证,如果验证通过,则通过共识机制将联盟分布式身份账本上的待被撤销的联盟数字身份凭证定义标记为已撤销,同时将撤销的结果发送给凭证颁发者分布式身份客户端,凭证颁发者在分布式身份客户端自行删除联盟数字身份凭证定义。
根据本发明的另一个实施例,还提出一种联盟内分布式异构网络实体提供在联盟内不同应用场景下跨域身份认证方法,具体包括如下步骤:
(3.1)分布式数字身份标识生成:分布式网络实体通过分布式身份客户端首先生成自身联盟分布式身份标识符,该联盟分布式身份标识符主要包含:固定头部ConsortiumID、随机字符串RandomString、以及与之关联的公私钥对(pk,sk)其中pk代表公钥,sk代表私钥;对联盟分布式身份标识符进行哈希运算hash,生成联盟分布式身份标识符信息摘要,并附加时间戳;然后利用自己的私钥对该联盟分布式身份标识符信息摘要和附加时间戳进行签名,生成联盟分布式身份标识符相关签名,接着将生成的联盟分布式身份标识符相关签名和联盟分布式身份标识符发送到联盟分布式身份服务节点。
(3.2)联盟数字身份凭证生成:分布式网络实体作为凭证颁发者,通过分布式身份客户端对联盟数字身份凭证定义进行哈希运算hash,生成联盟数字身份凭证定义信息摘要,并附加时间戳;然后利用(a)分布式数字身份标识生成过程中自身的私钥对该联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成联盟数字身份凭证定义相关签名;接着将生成联盟数字身份凭证定义相关签名和联盟数字身份凭证定义发送到联盟分布式身份服务节点。凭证颁发者将基于该数字身份凭证定义为分布式网络实体颁发联盟数字身份凭证。
(3.3)联盟数字身份区块的生成:联盟分布式身份服务节点接收到各分布式网络实体的联盟分布式身份标识符相关签名和联盟数字身份凭证定义相关签名后,对收到的签名进行验证,若验证通过,则根据接收到的联盟分布式身份标识符和联盟数字身份凭证定义生成新的区块,并广播至全网,接收到的联盟分布式身份标识符和联盟数字身份凭证定义通过共识机制存储到联盟分布式身份账本。
(3.4)联盟数字身份验证:某分布式网络实体作为联盟数字身份凭证持有者,申请访问一个应用***。该***的联盟数字身份凭证验证者,首先对该申请访问分布式网络实体联盟数字身份标识符进行验证,然后查询并获取该申请访问分布式网络实体在联盟分布式身份账本上的数字身份凭证定义,对该申请访问分布式网络实体所出示的联盟数字身份凭证信息进行验证,从而完成对用户身份的验证,获得对该应用***的访问。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,且应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。

Claims (6)

1.一种基于区块链的联盟信任分布式身份凭证管理认证方法,其特征在于:具体包括如下步骤:
(1)将联盟内能够开具数字身份凭证的网络实体作为凭证颁发者,将联盟内验证数字身份凭证真实性的网络实体作为凭证验证者,将联盟内拥有数字身份凭证的网络实体作为凭证持有者;其中联盟数字身份凭证是与联盟分布式身份标识符关联的分布式网络实体身份属性集合,使分布式网络实体适应联盟内不同应用场景下分布式跨域身份认证;依据联盟数字身份凭证定义,通过属性赋值进而生成联盟数字身份凭证;
(2)对联盟数字身份凭证进行全生命周期进行管理,具体包括:
(2.1)对联盟数字身份凭证进行颁发;
(2.2)对联盟数字身份凭证进行验证;
(2.3)对联盟数字身份凭证进行更新;
(2.4)对联盟数字身份凭证进行撤消;
所述的步骤(2.1)对联盟数字身份凭证进行颁发具体包括:
(2.1.1)分布式网络实体通过分布式身份客户端向联盟分布式身份服务节点发送查询凭证颁发者账本上身份信息的请求,以获取凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义;
(2.1.2)联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义,则将查询到的凭证颁发者存储在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义发送回发送查询请求的分布式身份客户端;
(2.1.3)分布式网络实体分布式身份客户端收到凭证颁发者在联盟分布式身份账本上的联盟分布式身份标识符和联盟数字身份凭证定义后,向凭证颁发者分布式身份客户端发送申请颁发凭证的请求,凭证颁发者接收到该申请颁发凭证的请求,对发起该请求的分布式网络实体的联盟分布式身份标识符进行验证,若验证通过,凭证颁发者则基于自身存储的联盟数字身份凭证定义,为该分布式网络实体创建联盟数字身份凭证,并发送给该分布式网络实体分布式身份客户端;
(2.1.4)申请颁发凭证分布式网络实体分布式身份客户端收到联盟数字身份凭证,通过账本上已获取的联盟数字身份凭证定义对收到联盟数字身份凭证的真实性进行验证,若验证通过,则将其保存在自己的身份钱包中。
2.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法,其特征在于:
其中联盟数字身份凭证定义的数据结构包括元数据Credential Metadata、属性集合Claims及凭证颁发者签名信息Proofs三部分:{Credential Metadata:{credentialName,issuanceDate,expireDate,Issuer},Claims:{claim1,...,claimN},Proofs:{signatureValue,signatureAlgorithm,createdTime}},
其中元数据包含凭证名称credentialName、颁发日期issuanceDate及有效期expireDate、凭证颁发者Issuer等信息;凭证颁发者签名信息包括签名信息signatureValue、签名算法signatureAlgorithm、签名创建时间createdTime等;各凭证颁发者、持有者与验证者分布式身份客户端在进行交互之前,首先根据上述身份凭证定义完成各自联盟分布式身份标识符生成、注册过程。
3.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法,其特征在于:所述的步骤(2.2)对联盟数字身份凭证验证具体包括:
(2.2.1)凭证持有者通过分布式身份客户端首先向联盟分布式身份服务节点发送查询凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记请求;联盟分布式身份服务节点收到该查询请求,查询联盟分布式身份账本,如果查询到凭证验证者在联盟分布式身份账本上的联盟分布式身份标识符验证结果及是否撤销标记,则将该查询结果发送给凭证持有者分布式身份客户端;
(2.2.2)凭证持有者分布式身份客户端如果收到的查询结果显示凭证验证者的联盟分布式身份标识符验证结果是通过且未被撤销,则从内置身份钱包中取出相应联盟数字身份凭证,然后依据联盟数字身份凭证创建联盟数字身份凭证证明,接着向凭证验证者分布式身份客户端发送携带该凭证证明的验证请求;
(2.2.3)凭证验证者分布式身份客户端接收到该验证请求,首先对该凭证持有者的联盟分布式身份标识符进行验证,如果验证通过,则提取出该验证请求中联盟数字身份凭证证明,同时查询在联盟分布式身份账本中的联盟数字身份凭证的定义;然后依据查询到的联盟数字身份凭证定义对联盟数字身份凭证证明的真实性进行验证,如果验证也通过,凭证验证者认定发送验证请求的凭证持有者为合法,则给予该发送验证请求的凭证持有者相应访问权限;否则,不合法,拒绝提供访问服务。
4.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法,其特征在于:所述步骤(2.3)对联盟数字身份凭证更新具体包括:
(2.3.1)凭证颁发者通过分布式身份客户端首先生成新的联盟数字身份凭证定义,将该新的联盟数字身份凭证定义存储在自己身份钱包中,同时取出旧的联盟数字身份凭证定义;然后对新的联盟数字身份凭证定义进行哈希运算hash,生成新的联盟数字身份凭证定义信息摘要,并附加时间戳;接着利用(1.1)分布式网络实体联盟分布式身份标识符的生成过程中自身的私钥对该新的联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成新的联盟数字身份凭证定义相关签名;将携带新的联盟数字身份凭证定义相关签名、新的联盟数字身份凭证定义信息摘要、新的联盟数字身份凭证定义和旧的联盟数字身份凭证定义的更新请求发送给联盟分布式身份服务节点;
(2.3.2)联盟分布式身份服务节点收到该更新请求,获取凭证颁发者存储在联盟分布式身份账本中联盟分布式身份标识符里的公钥,对更新请求中的签名信息进行验签,如果验签通过,则联盟分布式身份服务节点通过共识机制将该新联盟数字身份凭证定义保存在了联盟分布式身份账本,完成联盟数字身份凭证定义的更新,并向待更新凭证持有者分布式身份客户端发送凭证更新通知;
(2.3.3)待更新凭证持有者分布式身份客户端收到更新通知,通过联盟分布式身份服务节点查询在联盟分布式身份账本上更新后的联盟数字身份凭证的定义,并给凭证颁发者分布式身份客户端发送更新凭证的请求;
(2.3.4)凭证颁发者分布式身份客户端收到该更新凭证更新请求,首先对待更新凭证持有者的联盟分布式身份标识符进行验证,若验证通过,则凭证颁发者基于更新后的联盟数字身份凭证的定义创建新的联盟数字身份凭证,然后凭证颁发者分布式身份客户端将新的联盟数字身份凭证发送给待更新凭证持有者分布式身份客户端;接着待更新凭证持有者分布式身份客户端收到新联盟数字身份凭证,通过已查询到的新联盟数字身份凭证定义对该新联盟数字身份凭证的真实性进行验证,若验证通过,则将收到新联盟数字身份凭证保存在自己的身份钱包中;若验证不通过,则凭证更新失败。
5.根据权利要求1所述的一种基于区块链的联盟信任分布式身份凭证管理认证方法,其特征在于:所述步骤(2.4)对联盟数字身份凭证撤消具体包括:
(2.4.1)联盟数字身份凭证本身的撤销是在联盟数字身份凭证中设置了有效期的属性,当超过有效期,则自动作废,而在凭证持有者分布式身份客户端将内置身份钱包中联盟数字身份凭证自行删除;
(2.4.2)凭证颁发者通过分布式身份客户端向联盟分布式身份服务节点发送携带待被撤销联盟数字身份凭证定义的撤销请求;联盟分布式身份服务节点收到该撤销请求,对凭证颁发者的联盟分布式身份标识符进行验证,如果验证通过,则通过共识机制将联盟分布式身份账本上的待被撤销的联盟数字身份凭证定义标记为已撤销,同时将撤销的结果发送给凭证颁发者分布式身份客户端,凭证颁发者在分布式身份客户端自行删除联盟数字身份凭证定义。
6.一种联盟内分布式异构网络实体提供在联盟内不同应用场景下跨域身份认证方法,其特征在于,包括如下步骤:
(1)分布式数字身份标识生成:分布式网络实体通过分布式身份客户端首先生成自身联盟分布式身份标识符,该联盟分布式身份标识符主要包含:固定头部ConsortiumID、随机字符串RandomString、以及与之关联的公私钥对(pk,sk)其中pk代表公钥,sk代表私钥;对联盟分布式身份标识符进行哈希运算hash,生成联盟分布式身份标识符信息摘要,并附加时间戳;然后利用自己的私钥对该联盟分布式身份标识符信息摘要和附加时间戳进行签名,生成联盟分布式身份标识符相关签名,接着将生成的联盟分布式身份标识符相关签名和联盟分布式身份标识符发送到联盟分布式身份服务节点;
(2)联盟数字身份凭证生成:分布式网络实体作为凭证颁发者,通过分布式身份客户端对联盟数字身份凭证定义进行哈希运算hash,生成联盟数字身份凭证定义信息摘要,并附加时间戳;然后利用分布式数字身份标识生成过程中自身的私钥对该联盟数字身份凭证定义信息摘要和附加时间戳进行签名,生成联盟数字身份凭证定义相关签名;接着将生成联盟数字身份凭证定义相关签名和联盟数字身份凭证定义发送到联盟分布式身份服务节点;凭证颁发者将基于该数字身份凭证定义为分布式网络实体颁发联盟数字身份凭证;
(3)联盟数字身份区块的生成:联盟分布式身份服务节点接收到各分布式网络实体的联盟分布式身份标识符相关签名和联盟数字身份凭证定义相关签名后,对收到的签名进行验证,若验证通过,则根据接收到的联盟分布式身份标识符和联盟数字身份凭证定义生成新的区块,并广播至全网,接收到的联盟分布式身份标识符和联盟数字身份凭证定义通过共识机制存储到联盟分布式身份账本;
(4)联盟数字身份验证:某分布式网络实体作为联盟数字身份凭证持有者,申请访问一个应用***,该***的联盟数字身份凭证验证者,首先对该申请访问分布式网络实体联盟数字身份标识符进行验证,然后查询并获取该申请访问分布式网络实体在联盟分布式身份账本上的数字身份凭证定义,对该申请访问分布式网络实体所出示的联盟数字身份凭证信息进行验证,从而完成对用户身份的验证,获得对该应用***的访问。
CN202011183457.2A 2020-10-29 2020-10-29 一种基于区块链的联盟信任分布式身份凭证管理认证方法 Expired - Fee Related CN112311530B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011183457.2A CN112311530B (zh) 2020-10-29 2020-10-29 一种基于区块链的联盟信任分布式身份凭证管理认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011183457.2A CN112311530B (zh) 2020-10-29 2020-10-29 一种基于区块链的联盟信任分布式身份凭证管理认证方法

Publications (2)

Publication Number Publication Date
CN112311530A CN112311530A (zh) 2021-02-02
CN112311530B true CN112311530B (zh) 2022-05-10

Family

ID=74332048

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011183457.2A Expired - Fee Related CN112311530B (zh) 2020-10-29 2020-10-29 一种基于区块链的联盟信任分布式身份凭证管理认证方法

Country Status (1)

Country Link
CN (1) CN112311530B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098838B (zh) * 2021-02-21 2022-08-26 西安电子科技大学 一种可信分布式身份认证方法、***、存储介质及应用
CN113037493B (zh) * 2021-02-27 2023-06-20 上海泰砥科技有限公司 基于did身份的区块链零知识证明匿名凭证验证方法及***
CN113204744B (zh) * 2021-04-07 2024-04-23 西安链融科技有限公司 一种基于分布式身份的软件授权***及方法
CN113194469B (zh) * 2021-04-28 2022-05-13 四川师范大学 基于区块链的5g无人机跨域身份认证方法、***及终端
CN113486367B (zh) * 2021-06-09 2022-05-03 湖南大学 高性能可拓展的分布式账本的自主动态数字身份管理架构
CN113132117B (zh) * 2021-06-18 2021-08-24 国网电子商务有限公司 一种基于区块链的跨域分布式身份认证方法及***
CN113761497A (zh) * 2021-08-17 2021-12-07 国网山东省电力公司信息通信公司 一种分布式电力交易可信身份管理方法、***、计算机设备
CN113794716B (zh) * 2021-09-14 2023-06-06 中钞***产业发展有限公司杭州区块链技术研究院 一种终端设备入网认证方法、装置、设备及可读存储介质
CN113641975A (zh) * 2021-10-18 2021-11-12 国网电子商务有限公司 身份标识注册方法、身份标识验证方法、装置及***
CN114266662A (zh) * 2021-12-30 2022-04-01 广发证券股份有限公司 一种基于区块链的去中心化数字身份管理方法及装置
CN114785515B (zh) * 2022-03-29 2024-04-23 中国科学院信息工程研究所 基于区块链的边缘计算身份认证方法及***
CN114697114B (zh) * 2022-03-30 2024-05-03 中国建设银行股份有限公司 数据处理方法、装置、电子设备和介质
CN114944937B (zh) * 2022-04-19 2024-04-09 网易(杭州)网络有限公司 分布式数字身份验证方法、***、电子设备及存储介质
CN114780968A (zh) * 2022-06-23 2022-07-22 国网区块链科技(北京)有限公司 一种智能合约升级方法及装置
CN115330421B (zh) * 2022-10-14 2022-12-09 中国信息通信研究院 基于区块链的可信数据资产传输方法和装置、设备、介质
CN115733688B (zh) * 2022-11-18 2024-03-26 四川启睿克科技有限公司 基于分布式数字身份的物联网设备离线认证方法
CN117176361B (zh) * 2023-09-26 2024-05-07 云南财经大学 一种区块链数字身份认证控制***及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956923A (zh) * 2016-04-20 2016-09-21 上海如鸽投资有限公司 资产交易平台以及资产的数字化认证和交易方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11288280B2 (en) * 2018-10-31 2022-03-29 Salesforce.Com, Inc. Systems, methods, and apparatuses for implementing consumer data validation, matching, and merging across tenants with optional verification prompts utilizing blockchain
CN111669271B (zh) * 2020-05-26 2022-10-11 中国工商银行股份有限公司 用于区块链的凭证管理方法、凭证验证方法以及相关装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956923A (zh) * 2016-04-20 2016-09-21 上海如鸽投资有限公司 资产交易平台以及资产的数字化认证和交易方法

Also Published As

Publication number Publication date
CN112311530A (zh) 2021-02-02

Similar Documents

Publication Publication Date Title
CN112311530B (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
CN112199726A (zh) 一种基于区块链的联盟信任分布式身份认证方法及***
US10284379B1 (en) Public key infrastructure based on the public certificates ledger
CN114172735B (zh) 基于智能合约的双链混合式区块链数据共享方法及***
CN109327481B (zh) 一种基于区块链的全网统一在线认证方法及***
CN109902074A (zh) 基于数据中心的日志存储方法和***
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
CN113824563B (zh) 一种基于区块链证书的跨域身份认证方法
CN112039870A (zh) 基于区块链的面向隐私保护的车载网认证方法及***
US20230020504A1 (en) Localized machine learning of user behaviors in network operating system for enhanced secure services in secure data network
US20230059173A1 (en) Password concatenation for secure command execution in a secure network device
CN110086790A (zh) 基于数据中心的日志存储方法和***
CN112688927A (zh) 一种基于区块链的分布式访问控制方法
US11582241B1 (en) Community server for secure hosting of community forums via network operating system in secure data network
CN109218981A (zh) 基于位置信号特征共识的Wi-Fi接入认证方法
CN112351019B (zh) 一种身份认证***及方法
US20070186097A1 (en) Sending of public keys by mobile terminals
US11784813B2 (en) Crypto tunnelling between two-way trusted network devices in a secure peer-to-peer data network
US20230012373A1 (en) Directory server providing tag enforcement and network entity attraction in a secure peer-to-peer data network
Yang et al. Blockchain-based decentralized public key management for named data networking
US11582201B1 (en) Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers
US20220399995A1 (en) Identity management system establishing two-way trusted relationships in a secure peer-to-peer data network
WO2017210914A1 (zh) 传输信息的方法和装置
US20240056428A1 (en) Crypto-signed switching between two-way trusted network devices in a secure peer-to-peer data network
CN114930770A (zh) 基于分布式分类账的凭证鉴别方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220510