CN114051031B - 基于分布式身份的加密通讯方法、***、设备及存储介质 - Google Patents
基于分布式身份的加密通讯方法、***、设备及存储介质 Download PDFInfo
- Publication number
- CN114051031B CN114051031B CN202111354506.9A CN202111354506A CN114051031B CN 114051031 B CN114051031 B CN 114051031B CN 202111354506 A CN202111354506 A CN 202111354506A CN 114051031 B CN114051031 B CN 114051031B
- Authority
- CN
- China
- Prior art keywords
- user
- round
- identity
- key
- distributed identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 91
- 238000004891 communication Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 16
- 230000007175 bidirectional communication Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了基于分布式身份的加密通讯方法、***、设备及存储介质,其中,方法包括:第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道;每轮通信时,第一用户和第二用户各自为对方创建密码对,密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证;第一用户和第二用户通过每轮交换分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥;通过会话密钥加密用户面信息后,进行双向通讯。本发明能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
Description
技术领域
本发明涉及网络安全领域,具体地说,涉及基于分布式身份的加密通讯方法、***、设备及存储介质。
背景技术
传统的密钥轮转算法的基础设施有两种实现。第一种是向第三方权威机构获取轮转的密钥,第一种方式属于中心化存储,容易受到单点失败的侵扰。而使用分布式账本时,大量或频繁的远程查询会导致算法效率低下,反而影响业务的进行。
第二种则根植于分布式账本,通过共识机制保证轮转后密钥的可信度和不可抵赖性。
因此,本发明提供了一种利用分布式账本(第二种)的基于分布式身份的加密通讯方法、***、设备及存储介质。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于分布式身份的加密通讯方法、***、设备及存储介质,克服了现有技术的困难,能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性。
本发明的实施例提供一种基于分布式身份的加密通讯方法,包括以下步骤:
第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道;
每轮通信时,所述第一用户和第二用户各自为对方创建密码对,所述密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证;
所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥;以及
通过所述会话密钥加密用户面信息后,进行双向通讯。
优选地,所述第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道,还包括:
将一主体密钥轮转表择一储存于所述第一用户或第二用户对应的分布式身份标识的钱包中,所述主体密钥轮转表储存每轮会话记录。
优选地,所述主体密钥轮转表储存每轮会话记录,包括:
所述主体密钥轮转表基于时间序列依次记录每一轮会话记录的会话密钥信息、摘要信息以及签名信息。
优选地,所述生成相应的分布式身份标识和对应的身份凭证,包括:
所述第一用户和第二用户根据所述每轮的密码生成相应的分布式身份标识和对应的身份凭证,所述身份凭证为对应所述分布式身份标识的可验证声明。
优选地,所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥,还包括:
所述第一用户和第二用户通过交换所述分布式身份标识来获得对方的身份和本轮公钥,并共享同一主体密钥轮转表;
每轮所述会话记录的摘要信息为使用本轮所述会话记录的私钥对上一轮会话记录做的摘要;
每轮所述会话记录的所述签名信息为采用上一轮所述会话记录的私钥对本轮记录做的签名;
所述第一用户和第二用户各自至少根据本轮的私钥获得下一轮公钥的摘要。
优选地,还包括:将所述第一用户或第二用户中的一方作为轮转者,所述轮转者的分布式身份标识的钱包中设置所述主体密钥轮转表;
提供至少一监督用户,所述监督用户的分布式身份标识的钱包中设有与所述主体密钥轮转表同步的监督密钥轮转表,每个所述监督用户使用各自的当前私钥对所述会话记录做签名形成影子记录;
通过所述监督密钥轮转表的每轮影子记录与所述主体密钥轮转表的每轮会话记录的进行比对,当不匹配,则所述会话密钥被冒用,终止通信。
优选地,还包括当所述轮转者的主体密钥轮转表发生更新,则将所述轮转者的主体密钥轮转表向所述监督用户的监督密钥轮转表进行实时同步。
本发明的实施例还提供一种基于分布式身份的加密通讯***,用于实现上述的基于分布式身份的加密通讯方法,所述基于分布式身份的加密通讯***包括:
通道建立模块,第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道;
密码对创建模块,每轮通信时,所述第一用户和第二用户各自为对方创建密码对,所述密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证;
标识交换模块,所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥;以及
双向通讯模块,通过所述会话密钥加密用户面信息后,进行双向通讯。
本发明的实施例还提供一种基于分布式身份的加密通讯设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于分布式身份的加密通讯方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于分布式身份的加密通讯方法的步骤。
本发明的目的在于提供基于分布式身份的加密通讯方法、***、设备及存储介质,能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于分布式身份的加密通讯方法的一种实施例的流程图。
图2是本发明的基于分布式身份的加密通讯方法的另一种实施例的流程图。
图3是本发明的基于分布式身份的加密通讯方法中使用场景的示意图。
图4是本发明的基于分布式身份的加密通讯方法中密钥轮转表的示意图。
图5是本发明的基于分布式身份的加密通讯方法中密钥轮转表中密钥信息的示意图。
图6是本发明的基于分布式身份的加密通讯方法中主体密钥轮转表同步更新监督密钥轮转表的示意图。
图7是本发明的基于分布式身份的加密通讯***的一种实施例的模块示意图。
图8是本发明的基于分布式身份的加密通讯***的另一种实施例的模块示意图。
图9是本发明的基于分布式身份的加密通讯***运行的示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本申请所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用***,本申请中的各项细节也可以根据不同观点与应用***,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面以附图为参考,针对本申请的实施例进行详细说明,以便本申请所属技术领域的技术人员能够容易地实施。本申请可以以多种不同形态体现,并不限定于此处说明的实施例。
在本申请的表示中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的表示意指结合该实施例或示例表示的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,表示的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本申请中表示的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于表示目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的表示中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
为了明确说明本申请,省略与说明无关的器件,对于通篇说明书中相同或类似的构成要素,赋予了相同的参照符号。
在通篇说明书中,当说某器件与另一器件“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种器件“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素排除在外,而是意味着可以还包括其它构成要素。
当说某器件在另一器件“之上”时,这可以是直接在另一器件之上,但也可以在其之间伴随着其它器件。当对照地说某器件“直接”在另一器件“之上”时,其之间不伴随其它器件。
虽然在一些实例中术语第一、第二等在本文中用来表示各种元件,但是这些元件不应当被这些术语限制。这些术语仅用来将一个元件与另一个元件进行区分。例如,第一接口及第二接口等表示。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
此处使用的专业术语只用于言及特定实施例,并非意在限定本申请。此处使用的单数形态,只要语句未明确表示出与之相反的意义,那么还包括复数形态。在说明书中使用的“包括”的意义是把特定特性、区域、整数、步骤、作业、要素及/或成份具体化,并非排除其它特性、区域、整数、步骤、作业、要素及/或成份的存在或附加。
虽然未不同地定义,但包括此处使用的技术术语及科学术语,所有术语均具有与本申请所属技术领域的技术人员一般理解的意义相同的意义。普通使用的字典中定义的术语追加解释为具有与相关技术文献和当前提示的内容相符的意义,只要未进行定义,不得过度解释为理想的或非常公式性的意义。
图1是本发明的基于分布式身份的加密通讯方法的一种实施例的流程图。如图1所示,本发明的基于分布式身份的加密通讯方法,包括:
S110、第一用户和第二用户使用基于分布式身份标识(DID)的对等网络协议(Peer)建立匿名通信通道。本发明为了解决传统的中心化身份存在的问题,采用分布式身份标识(DecentralizedIdentifier,DID)技术。分布式身份标识是一种去中心化的可验证的数字标识符,它独立于中心化的权威机构,可自主完成注册、解析、更新或者撤销操作,无需中心化的登记和授权。分布式身份标识技术综合运用区块链(Blockchain)技术和拜占庭容错(Byzantine Fault Tolerance,BFT)算法,以去中心化的方式为用户建立可追溯、可验证、防篡改、自主可信的数字身份。分布式身份标识和可验证凭证(VerifiableCredential,VC)规范分别定义了代表实体的身份标识符及与之关联的属性声明,二者共同支撑了分布式身份标识的基础模型——可验证凭证流转模型的有效运转。由分布式身份标识可以找到相应的身份,由可验证凭证可确定该身份的属性,将二者结合,可为该身份分配相应的角色:通过分布式身份标识可在区块链上迅速检索到该身份及其对应的可验证凭证,可验证凭证包含了该身份的详细属性,例如该身份对应的用户在其组织中是何种地位或职务、对何种数据存在需求等,确定了这些信息后,数据所有者可以为该用户分配相应权限所对应的角色。用户对云上的数据发起服务请求后,数据所有者可根据该用户拥有的角色判断其是否能够访问相应的数据块。
使用分布式身份标识,可以让数据所有者为拥有特定角色的用户提供数据服务,但是数据的执行需要安全可信的环境,以免数据被窃取和篡改。更进一步地,数据所有者的数据具有特殊的价值,往往不愿意被用户直接获取,即允许用户使用数据而不允许用户获得数据的所有权。因此,可采用同态加密的方法,将数据在密文状态下进行执行,而后将执行结果进行解密,得到的结果与明文运算结果一致。数据不以明文状态呈现给用户,可以确保数据在执行过程中对用户不可见。
国际电子技术委员会将“身份”定义为“一组与实体关联的属性”。数字身份通常由身份标识符及与之关联的属性声明来表示,分布式数字身份包括:分布式数字身份标识符和数字身份凭证(声明集合)两部分。分布式数字身份标识符(DID)是由字符串组成的标识符,用来代表一个数字身份,不需要中央注册机构就可以实现全球唯一性。通常,一个实体可以拥有多个身份,每个身份被分配唯一的DID值,以及与之关联的非对称密钥。不同的身份之间没有关联信息,从而有效地避免了所有者身份信息的归集。分布式身份标识(Decentralized Identifiers,DID)是一种去中心化的可验证的数字标识符,具有分布式、自主可控、跨链复用等特点。实体可自主完成DID的注册、解析、更新或者撤销操作。DID具体解析为DID Document,DID Document包括DID的唯一标识码,公钥列表和公钥的详细信息(持有者、加密算法、密钥状态等),以及DID持有者的其他属性描述。并且,一个实体可对应多个DID。“声明(claims)”是指与身份关联的属性信息,这个术语起源于基于声明的数字身份,一种断言(assert)数字身份的方式,独立于任何需要依赖它的特定***。声明信息通常包括:诸如姓名,电子邮件地址、年龄、职业等。声明可以是一个身份所有者(如个人或组织)自己发出的,也可以是由其他声明发行人发出的,当声明由发行人签出时被称为可验证声明。用户将声明提交给相关的应用,应用程序对其进行检查,应用服务商可以像信任发行人般信任其签署的可验证声明。多项声明的集合称为凭证(credentials)。DID和一个DID文档(DID Document)关联。DID文档上记录的数据是由用户自己决定的,不必要的信息可以完全不记录在DID文档上。在DID***中,有身份颁布者,身份持有人和验证者三类角色。持有人向颁布者申请身份,验证者在需要时验证持有人的身份。DID数据存放在区块链上,链上不存储隐私数据。而他们三者直接的相互交互使用非对称加密算法、零知识证明等密码算法。
对等网络,即对等计算机网络,是一种在对等者(Peer)之间分配任务和工作负载的分布式应用架构,是对等计算模型在应用层形成的一种组网或网络形式。“Peer”在英语里有“对等者、伙伴、对端”的意义。因此,从字面上,P2P可以理解为对等计算或对等网络。国内一些媒体将P2P翻译成“点对点”或者“端对端”,学术界则统一称为对等网络(Peer-to-peer networking)或对等计算(Peer-to-peer computing),其可以定义为:网络的参与者共享他们所拥有的一部分硬件资源(处理能力、存储能力、网络连接能力、打印机等),这些共享资源通过网络提供服务和内容,能被其它对等节点(Peer)直接访问而无需经过中间实体。在此网络中的参与者既是资源、服务和内容的提供者(Server),又是资源、服务和内容的获取者(Client)。在P2P网络环境中,彼此连接的多台计算机之间都处于对等的地位,各台计算机有相同的功能,无主从之分,一台计算机既可作为服务器,设定共享资源供网络中其他计算机所使用,又可以作为工作站,整个网络一般来说不依赖专用的集中服务器,也没有专用的工作站。网络中的每一台计算机既能充当网络服务的请求者,又对其它计算机的请求做出响应,提供资源、服务和内容。通常这些资源和服务包括:信息的共享和交换、计算资源(如CPU计算能力共享)、存储共享(如缓存和磁盘空间的使用)、网络共享、打印机共享等。
S120、每轮通信时,第一用户和第二用户各自为对方创建密码对,密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证。密钥对(key pair)是计算机科学的技术名词,通常密钥对包括一个公钥和对应的私钥。
S130、第一用户和第二用户通过每轮交换分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥。以及
S140、通过会话密钥加密用户面信息后,进行双向通讯。
本发明提出的基于DID的密钥轮转方法通过DID Peer协议创建的私有链路来共享密钥轮转表,大大减少了在实际身份认证过程中查询密钥有效性的开销,并极大地提升了隐私性和安全性,防止轮转后的私钥被窃取或破坏。
图2是本发明的基于分布式身份的加密通讯方法的另一种实施例的流程图。如图2所示,该基于分布式身份的加密通讯方法,在图1实施例中步骤S110、S120、S130、S140的基础上,通过S111、S112替换了步骤S110,通过S121、S122替换了步骤S120,通过S131、S132、S133、S134替换了步骤S130,通过S141、S142、S143替换了步骤S140,以下针对每个步骤进行说明:
S111、第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道。
S112、将一主体密钥轮转表择一储存于第一用户或第二用户对应的分布式身份标识的钱包中,主体密钥轮转表储存每轮会话记录。
S121、每轮通信时,第一用户和第二用户各自为对方创建密码对,密码对包括公钥和私钥。
S122、第一用户和第二用户根据每轮的密码生成相应的分布式身份标识和对应的身份凭证,身份凭证为对应分布式身份标识的可验证声明。
S131、第一用户和第二用户通过交换分布式身份标识来获得对方的身份和本轮公钥,并共享同一主体密钥轮转表。
S132、每轮会话记录的摘要信息为使用本轮会话记录的私钥对上一轮会话记录做的摘要。
S133、每轮会话记录的签名信息为采用上一轮会话记录的私钥对本轮记录做的签名。
S134、第一用户和第二用户各自至少根据本轮的私钥获得下一轮公钥的摘要。
S141、提供至少一监督用户,监督用户的分布式身份标识的钱包中设有与主体密钥轮转表同步的监督密钥轮转表,每个监督用户使用各自的当前私钥对会话记录做签名形成影子记录。
S142、通过监督密钥轮转表的每轮影子记录与主体密钥轮转表的每轮会话记录的进行比对,当不匹配,则会话密钥被冒用,终止通信。
S143、当轮转者的主体密钥轮转表发生更新,则将轮转者的主体密钥轮转表向监督用户的监督密钥轮转表进行实时同步。
本发明通过建立端到端的DID通道保证了数据传输的机密性和隐私性。设计良好的密钥轮转表能够与前后轮密钥不同形式的绑定和证明,可以达到前后证明的效果。私钥即使被冒名顶替也无法通过检查,保证了数据的完整性。并且,使用监察者节点和监察者轮转表来对主体轮转表进行信任增强,即便是伪造的主体逃不过其他监察者的监督,提高了网络安全性。
以下通过图3至6来具体介绍本发明的基于分布式身份的加密通讯方法的实施过程:
现实中为了避免密钥被***或意外泄露,用于保证安全的非对称密钥常常需要更新轮转。本发明基于DID的密钥轮转的记录方法可用于需要共享密钥轮转记录的场景。图3是本发明的基于分布式身份的加密通讯方法中使用场景的示意图。如图3所示,首先,第一用户的移动终端1(手机)与和第二用户的移动终端2(电脑)构建DID匿名加密信道3来共享密钥轮转表,在通信双方之间通过DID:Peer协议握手后,搭建起匿名通信信道。双方为彼此的会话创建新的密钥对,并生成相应的DID和DID Document等信息。通过交换DID获得对方的身份,特别是公钥。通过公钥交换会话密钥,最终通过会话密钥加密用户面信息开始在信道上通信。
图4是本发明的基于分布式身份的加密通讯方法中密钥轮转表的示意图。如图4所示,接着在代理程序(Agent)上构建密钥轮转表,将密钥轮转表存储于DID钱包中保证了机密性和隐私性。在这种情况下就可以共享其中一方的密钥轮转信息。此时,双方可以构建密钥轮转记录表。表中的摘要是用新的私钥对上一条记录做的摘要。签名则是用上一条私钥对新的记录做的签名。这样就能保证前后记录互相背书。
图5是本发明的基于分布式身份的加密通讯方法中密钥轮转表中密钥信息的示意图。如图5所示,随后密钥轮转表为下轮密钥埋点,本发明中不仅为本条记录和上条记录相互背书,同时还为下一轮公钥埋点。用本轮私钥计算下一轮公钥的摘要,这样就能为下一轮公钥提供“预告”,进行了绑定。但又不暴露其真实值,避免被恶意破解。
图6是本发明的基于分布式身份的加密通讯方法中主体密钥轮转表同步更新监督密钥轮转表的示意图。如图6所示,并且可以利用监察者节点在整个过程中提供进一步的可靠性,在监察者节点上我们可以创建并注册监察者密钥轮转表。监察者与轮转者同样建立DID:Peer匿名加密信道。轮转者会即时与监察者同步轮转信息。监察者收到后用自己当前的私钥为记录签名。越多监察者,主体密钥轮转表的可信度就越高。
图7是本发明的基于分布式身份的加密通讯***的一种实施例的模块示意图。本发明的基于分布式身份的加密通讯***,如图7所示,包括但不限于:
通道建立模块51,第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道。
密码对创建模块52,每轮通信时,第一用户和第二用户各自为对方创建密码对,密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证。
标识交换模块53,第一用户和第二用户通过每轮交换分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥。
双向通讯模块54,通过会话密钥加密用户面信息后,进行双向通讯。
上述模块的实现原理参见基于分布式身份的加密通讯方法中的相关介绍,此处不再赘述。
本发明的基于分布式身份的加密通讯***能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
图8是本发明的基于分布式身份的加密通讯***的另一种实施例的模块示意图。如图8所示,在图7所示装置实施例的基础上,本发明的基于混合加密的登录认证***,通过匿名通信模块511、密钥轮转表模块512替换了通道建立模块51,通过创建密码模块521、身份标识模块522替换了密码对创建模块52,通过身份交换模块531、会话摘要模块532、记录签名模块533、公钥摘要模块534替换了标识交换模块53,通过影子记录模块541、监督判断模块542、同步更新模块543替换了双向通讯模块54,以下针对每个模块进行说明:
匿名通信模块511,第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道。
密钥轮转表模块512,将一主体密钥轮转表择一储存于第一用户或第二用户对应的分布式身份标识的钱包中,主体密钥轮转表储存每轮会话记录。
创建密码模块521,每轮通信时,第一用户和第二用户各自为对方创建密码对,密码对包括公钥和私钥。
身份标识模块522,第一用户和第二用户根据每轮的密码生成相应的分布式身份标识和对应的身份凭证,身份凭证为对应分布式身份标识的可验证声明。
身份交换模块531,第一用户和第二用户通过交换分布式身份标识来获得对方的身份和本轮公钥,并共享同一主体密钥轮转表。
会话摘要模块532,每轮会话记录的摘要信息为使用本轮会话记录的私钥对上一轮会话记录做的摘要。
记录签名模块533,每轮会话记录的签名信息为采用上一轮会话记录的私钥对本轮记录做的签名。
公钥摘要模块534,第一用户和第二用户各自至少根据本轮的私钥获得下一轮公钥的摘要。
影子记录模块541,提供至少一监督用户,监督用户的分布式身份标识的钱包中设有与主体密钥轮转表同步的监督密钥轮转表,每个监督用户使用各自的当前私钥对会话记录做签名形成影子记录。
监督判断模块542,通过监督密钥轮转表的每轮影子记录与主体密钥轮转表的每轮会话记录的进行比对,当不匹配,则会话密钥被冒用,终止通信。
同步更新模块543,当轮转者的主体密钥轮转表发生更新,则将轮转者的主体密钥轮转表向监督用户的监督密钥轮转表进行实时同步。
上述模的实现原理参见基于分布式身份的加密通讯方法中的相关介绍,此处不再赘述。
本发明的基于分布式身份的加密通讯***能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
本发明实施例还提供一种基于分布式身份的加密通讯设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于分布式身份的加密通讯方法的步骤。
如上所示,该实施例本发明的基于分布式身份的加密通讯***能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为***、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图9是本发明的基于分布式身份的加密通讯设备的结构示意图。下面参照图9来描述根据本发明的这种实施方式的电子设备600。图9显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:处理***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于分布式身份的加密通讯方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例本发明的基于分布式身份的加密通讯***能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于分布式身份的加密通讯方法、***、设备及存储介质,能够通过建立端到端的分布式身份标识通道保证了数据传输的机密性和隐私性,适用于用于需要共享密钥轮转记录的场景,保证了数据传输的完整性。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (9)
1.一种基于分布式身份的加密通讯方法,其特征在于,包括:
第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道,将一主体密钥轮转表择一储存于所述第一用户或第二用户对应的分布式身份标识的钱包中,所述主体密钥轮转表储存每轮会话记录;
每轮通信时,所述第一用户和第二用户各自为对方创建密码对,所述密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证;
所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥;以及
通过所述会话密钥加密用户面信息后,进行双向通讯。
2.根据权利要求1所述的基于分布式身份的加密通讯方法,其特征在于,所述主体密钥轮转表储存每轮会话记录,包括:
所述主体密钥轮转表基于时间序列依次记录每一轮会话记录的会话密钥信息、摘要信息以及签名信息。
3.根据权利要求1所述的基于分布式身份的加密通讯方法,其特征在于,所述生成相应的分布式身份标识和对应的身份凭证,包括:
所述第一用户和第二用户根据所述每轮的密码生成相应的分布式身份标识和对应的身份凭证,所述身份凭证为对应所述分布式身份标识的可验证声明。
4.根据权利要求2所述的基于分布式身份的加密通讯方法,其特征在于,所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥,还包括:
所述第一用户和第二用户通过交换所述分布式身份标识来获得对方的身份和本轮公钥,并共享同一主体密钥轮转表;
每轮所述会话记录的摘要信息为使用本轮所述会话记录的私钥对上一轮会话记录做的摘要;
每轮所述会话记录的所述签名信息为采用上一轮所述会话记录的私钥对本轮记录做的签名;
所述第一用户和第二用户各自至少根据本轮的私钥获得下一轮公钥的摘要。
5.根据权利要求4所述的基于分布式身份的加密通讯方法,其特征在于,还包括:将所述第一用户或第二用户中的一方作为轮转者,所述轮转者的分布式身份标识的钱包中设置所述主体密钥轮转表;
提供至少一监督用户,所述监督用户的分布式身份标识的钱包中设有与所述主体密钥轮转表同步的监督密钥轮转表,每个所述监督用户使用各自的当前私钥对所述会话记录做签名形成影子记录;
通过所述监督密钥轮转表的每轮影子记录与所述主体密钥轮转表的每轮会话记录的进行比对,当不匹配,则所述会话密钥被冒用,终止通信。
6.根据权利要求5所述的基于分布式身份的加密通讯方法,其特征在于,还包括:
当所述轮转者的主体密钥轮转表发生更新,则将所述轮转者的主体密钥轮转表向所述监督用户的监督密钥轮转表进行实时同步。
7.一种基于分布式身份的加密通讯***,其特征在于,包括:
通道建立模块,第一用户和第二用户使用基于分布式身份标识的对等网络协议建立匿名通信通道,将一主体密钥轮转表择一储存于所述第一用户或第二用户对应的分布式身份标识的钱包中,所述主体密钥轮转表储存每轮会话记录;
密码对创建模块,每轮通信时,所述第一用户和第二用户各自为对方创建密码对,所述密码对包括公钥和私钥,生成相应的分布式身份标识和对应的身份凭证;
标识交换模块,所述第一用户和第二用户通过每轮交换所述分布式身份标识和对应的身份凭证,来获得对方的身份和本轮公钥,将交换后的公钥作为本轮的会话密钥;以及
双向通讯模块,通过所述会话密钥加密用户面信息后,进行双向通讯。
8.一种基于分布式身份的加密通讯设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至6任意一项所述基于分布式身份的加密通讯方法的步骤。
9.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至6任意一项所述基于分布式身份的加密通讯方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111354506.9A CN114051031B (zh) | 2021-11-16 | 2021-11-16 | 基于分布式身份的加密通讯方法、***、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111354506.9A CN114051031B (zh) | 2021-11-16 | 2021-11-16 | 基于分布式身份的加密通讯方法、***、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114051031A CN114051031A (zh) | 2022-02-15 |
| CN114051031B true CN114051031B (zh) | 2024-05-10 |
Family
ID=80209246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111354506.9A Active CN114051031B (zh) | 2021-11-16 | 2021-11-16 | 基于分布式身份的加密通讯方法、***、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114051031B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174146B (zh) * | 2022-06-02 | 2024-02-23 | 浙江毫微米科技有限公司 | 基于分布式身份的通信方法及装置 |
| CN117370459A (zh) * | 2023-10-08 | 2024-01-09 | 广州新赫信息科技有限公司 | 基于可信链的高性能存证数据存储方法 |
| CN117560229B (zh) * | 2024-01-11 | 2024-04-05 | 吉林大学 | 一种联邦非介入式负荷监测用户验证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN109983466A (zh) * | 2018-09-27 | 2019-07-05 | 区链通网络有限公司 | 一种基于区块链的账户管理***以及管理方法、存储介质 |
| CN110581854A (zh) * | 2019-09-12 | 2019-12-17 | 北京笔新互联网科技有限公司 | 基于区块链的智能终端安全通信方法 |
| CN113256290A (zh) * | 2021-05-14 | 2021-08-13 | 杭州链网科技有限公司 | 去中心化加密通讯与交易*** |
| CN113438088A (zh) * | 2021-06-28 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链分布式身份的社交网络信用监测方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9122865B2 (en) * | 2012-09-11 | 2015-09-01 | Authenticade Llc | System and method to establish and use credentials for a common lightweight identity through digital certificates |
| US11190344B2 (en) * | 2017-01-25 | 2021-11-30 | Salesforce.Com, Inc. | Secure user authentication based on multiple asymmetric cryptography key pairs |
| US11057366B2 (en) * | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
-
2021
- 2021-11-16 CN CN202111354506.9A patent/CN114051031B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018076365A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 密钥协商方法及装置 |
| CN109983466A (zh) * | 2018-09-27 | 2019-07-05 | 区链通网络有限公司 | 一种基于区块链的账户管理***以及管理方法、存储介质 |
| CN110581854A (zh) * | 2019-09-12 | 2019-12-17 | 北京笔新互联网科技有限公司 | 基于区块链的智能终端安全通信方法 |
| CN113256290A (zh) * | 2021-05-14 | 2021-08-13 | 杭州链网科技有限公司 | 去中心化加密通讯与交易*** |
| CN113438088A (zh) * | 2021-06-28 | 2021-09-24 | 湖南天河国云科技有限公司 | 基于区块链分布式身份的社交网络信用监测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114051031A (zh) | 2022-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3788523B1 (en) | System and method for blockchain-based cross-entity authentication | |
| US20220318907A1 (en) | Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
| US11196573B2 (en) | Secure de-centralized domain name system | |
| CN114051031B (zh) | 基于分布式身份的加密通讯方法、***、设备及存储介质 | |
| JP2020528224A (ja) | 信頼できる実行環境におけるスマート契約動作のセキュアな実行 | |
| Liu et al. | Research on information security technology based on blockchain | |
| JP2013524352A (ja) | 移動中のデータをセキュア化するためのシステムおよび方法 | |
| US20180212952A1 (en) | Managing exchanges of sensitive data | |
| CN114982196A (zh) | 利用区块链事务的通信协议 | |
| US10313123B1 (en) | Synchronizable hardware security module | |
| Rui et al. | Research on secure transmission and storage of energy IoT information based on Blockchain | |
| US11893577B2 (en) | Cryptographic key storage system and method | |
| Huang et al. | A medical data privacy protection scheme based on blockchain and cloud computing | |
| Sankar et al. | Security improvement in block chain technique enabled peer to peer network for beyond 5G and internet of things | |
| US12034868B2 (en) | Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| JP2024509666A (ja) | ブロックチェーンデータセグリゲーション | |
| US20230246817A1 (en) | Systems and methods for generating secure, encrypted communications across distributed computer networks for authorizing use of cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| US20230246822A1 (en) | Systems and methods for providing secure, encrypted communications across distributed computer networks by coordinating cryptography-based digital repositories in order to perform blockchain operations in decentralized applications | |
| US20090185685A1 (en) | Trust session management in host-based authentication | |
| Chen et al. | ToAM: a task-oriented authentication model for UAVs based on blockchain | |
| Liao | Design of the secure smart home system based on the blockchain and cloud service | |
| CN114982195A (zh) | 利用区块链事务的请求和响应协议 | |
| CN117675216A (zh) | 一种数据处理方法及相关设备 | |
| Bakhtina et al. | A decentralised public key infrastructure for X-Road |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |