CN114900310A - 一种将终端设备的id与区块链链账户对应的方法 - Google Patents

Abstract

本公开揭示了一种将终端设备的ID与区块链链账户对应的方法，主要包括以下步骤：(1)终端设备进行哈希计算以得到中间哈希值；(2)生成第一数字签名；(3)注册管理服务器进行验签；(4)转发CA服务器再次验签；(5)CA服务器为该终端设备生成证书；(6)终端设备验证证书，若通过则保存证书；通过上述方法，本公开显著提高了广泛意义上的终端设备在使用过程中的安全性和可信性，且可用于各种IT或DT领域中。

Description

一种将终端设备的ID与区块链链账户对应的方法

技术领域

本公开属于信息安全领域，特别涉及一种将终端设备的ID与区块链链账户对应的方法。

背景技术

随着信息技术的不断发展，当前信息安全方面暴露的问题也随之增加。虽然在证券和银行等金融领域，已经广泛使用U盾等产品来提高安全性，但是，在更加广泛的终端设备领域中如何改善安全性，始终是亟待解决的问题。

发明内容

鉴于此，本公开揭示了一种将终端设备的ID与区块链链账户对应的方法，包括以下步骤：

S100、当终端设备判断终端设备的存储器中不存在证书时，终端设备通过一生成公私钥算法生成该设备的公钥和私钥，并根据所述公钥和终端设备的ID，终端设备进行哈希计算并得到中间哈希值；

S200、终端设备利用所述私钥将所述中间哈希值进行签名以得到第一数字签名；

S300、终端设备将公钥、终端设备ID和第一数字签名，发送至注册管理服务器进行验签：

注册管理服务器使用终端设备的公钥解密第一数字签名得到第第一哈希值；

注册管理服务器根据所述公钥和终端设备的ID，进行哈希计算并得到第二哈希值；

如果第一哈希值等于第二哈希值，则注册管理服务器验签通过；

S400、通过注册管理服务器的验签后，注册管理服务器转发终端设备的公钥、终端设备ID和第一数字签名至CA服务器以供CA服务器再次验证签名的有效性：

CA服务器使用终端设备的公钥对第一数字签名解密得到第三哈希值；

CA服务器根据所述公钥和终端设备的ID，进行哈希计算并得到第四哈希值；

若第三哈希值等于第四哈希值则CA服务器验签通过；

S500、CA服务器为该终端设备生成证书，其中，证书中包括第二数字签名；

计算证书的哈希值，然后用CA服务器的私钥对证书的哈希值进行签名以生成所述第二数字签名；

并且，CA服务器返回证书；

S600：终端设备验证证书的有效性：

所述终端设备利用CA服务器的公钥解密第二数字签名得到第五哈希值；

所述终端设备对所述证书进行哈希计算，得到第六哈希值；

若第五哈希值等于第六哈希值，则验证通过，所述终端设备将证书保存在终端设备的存储器中。

优选的，

步骤S600中，所述存储器包括：终端设备本地的存储器，或者与终端设备耦接的U盾。

优选的，

所述U盾的ID，作为所述终端设备的ID；或者，

所述本地的存储器的唯一编码作为所述终端设备的ID。

优选的，

利用所述私钥，终端设备通过调用所述U盾中的服务，将所述中间哈希值进行签名以得到第一数字签名。

优选的，

步骤S200中，所述U盾中的服务调用U盾中的生成密钥接口，以使得所述U盾通过生成公私钥算法生成公钥、私钥。

通过上述方法，本公开显著提高了广泛意义上的终端设备在使用过程中的安全性和可信性，且可用于各种IT或DT领域中。

附图说明

图1是本公开一个实施例的流程示意图；

图2是本公开一个实施例中的盾的结构示意图。

具体实施方式

为了使本领域技术人员理解本公开所披露的技术方案，下面将结合实施例及有关附图图1至图2，对各个实施例的技术方案进行描述，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。本公开所采用的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，“包括”和“具有”以及它们的任何变形，意图在于覆盖且不排他的包含。例如包含了一系列步骤或单元的过程、或方法、或***、或产品或设备没有限定于已列出的步骤或单元，而是可选的还包括没有列出的步骤或单元，或可选的还包括对于这些过程、方法、***、产品或设备固有的其他步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其他实施例互斥的独立的或备选的实施例。本领域技术人员可以理解的是，本文所描述的实施例可以与其他实施例相结合。

在一个实施例中，本公开揭示了一种将终端设备的ID与区块链链账户对应的方法，包括以下步骤：

S100、当终端设备判断终端设备的存储器中不存在证书时，终端设备通过一生成公私钥算法生成该设备的公钥和私钥，并根据所述公钥和终端设备的ID，终端设备进行哈希计算并得到中间哈希值；

S200、终端设备利用所述私钥将所述中间哈希值进行签名以得到第一数字签名；

S300、终端设备将公钥、终端设备ID和第一数字签名，发送至注册管理服务器进行验签：

注册管理服务器使用终端设备的公钥解密第一数字签名得到第第一哈希值；

注册管理服务器根据所述公钥和终端设备的ID，进行哈希计算并得到第二哈希值；

如果第一哈希值等于第二哈希值，则注册管理服务器验签通过；

S400、通过注册管理服务器的验签后，注册管理服务器转发终端设备的公钥、终端设备ID和第一数字签名至CA服务器以供CA服务器再次验证签名的有效性：

CA服务器使用终端设备的公钥对第一数字签名解密得到第三哈希值；

CA服务器根据所述公钥和终端设备的ID，进行哈希计算并得到第四哈希值；

若第三哈希值等于第四哈希值则CA服务器验签通过；

S500、CA服务器为该终端设备生成证书，其中，证书中包括第二数字签名；

计算证书的哈希值，然后用CA服务器的私钥对证书的哈希值进行签名以生成所述第二数字签名；

并且，CA服务器返回证书；

S600：终端设备验证证书的有效性：

所述终端设备利用CA服务器的公钥解密第二数字签名得到第五哈希值；

所述终端设备对所述证书进行哈希计算，得到第六哈希值；

若第五哈希值等于第六哈希值，则验证通过，所述终端设备将证书保存在终端设备的存储器中。

由此，通过上述实施例，本公开实现了一种将终端设备的ID与区块链链账户对应的方法，从而经由区块链技术提高了相关设备的安全程度和可信程度。这意味着，该设备的任何操作和使用痕迹，后续可以经由区块链进一步核实其使用状况。此外，由于存储了证书，因此使得该方法够被用于多种安全交互的场合。考虑到所述终端设备是与链关联的，因此，本实施例实现了一种安全、可靠的基于区块链的终端设备的处理方法。

进一步的，如果将证书等敏感信息通过所述终端设备的存储器，特别是自身安全程度已经达到一定级别的存储设备，例如保存到U盾获得一种区块链U盾，那么，当所述终端设备能够被任何外部***或外部接口所调用时，例如当所述外部接口为各种Web Service的对应接口时，该终端设备可以经由所述存储器的可信和安全操作，用于各种WebService，从而大幅度提高终端设备的安全性，并有效管控其ID。

优选的，

步骤S600中，所述存储器包括：终端设备本地的存储器，或者与终端设备耦接的U盾。

优选的，

所述U盾的ID，作为所述终端设备的ID；或者，

所述本地的存储器的唯一编码作为所述终端设备的ID。

需要说明的是，除了本地的存储器的唯一编码可以作为所述终端设备的ID之外，所述终端设备的其他部件的唯一编码同样可以作为终端设备的ID，例如网卡的MAC地址。

优选的，

利用所述私钥，终端设备通过调用所述U盾中的服务，将所述中间哈希值进行签名以得到第一数字签名。

优选的，

步骤S200中，所述U盾中的服务调用U盾中的生成密钥接口，以使得所述U盾通过生成公私钥算法(例如SM2算法，能够理解，所述SM2算法还可以根据需要替换为SM3、SM4或其他算法)生成公钥、私钥。

在另一个实施例中，

所述U盾，还可以实现为除了USB接口之外的、基于区块链的盾，例如蓝牙或音频接口的盾。

在另一个实施例中，

所述基于区块链的盾还可以实现为硬件实体盾之外的、软件数字盾，

当其为软件数字盾时，所述数字盾至少包括一个或多个接口以便与数字盾之外的***或接口进行交互。

能够理解，典型的，硬件实体盾可以是各种具备硬件接口的产品，例如U盘形式的硬件实体盾，或者带USB接口的卡片类一证通，抑或者具有蓝牙接口或音频接口的硬件实体盾。然而，更加需要说明的是，软件数字盾可以是各种格式的数字文件，至于其接口则是采取读写文件的数字接口或其他合适的API技术来实现，从而通过对此类数字文件的访问，实现该软件数字盾与数字盾之外的***或接口的交互。显而易见的，硬件实体盾一般比软件数字盾具备更高的安全性，但是，这不妨碍本公开采用现有的数字加密技术或监控技术或其他数字安全技术以提高软件数字盾的安全性。

在一个实施例中，本公开揭示了一种基于区块链的盾，所述盾作为本公开的终端设备，其包括：

生成密钥接口，用于被盾之外的第一接口所调用，例如被外部应用***的某接口所调用，并根据盾的ID和第一算法生成相应的公钥和私钥并储存在盾的密钥存储单元；

更优选的，所述盾为U盾，所述第一接口为U盾服务接口，包括：银行的U盾服务、政务在线办公的U盾服务等各种服务所对应的Service提供的接口；而所述第一算法则可以是SM2算法或其他国密算法(例如SM3，SM4)或任何其他算法等等；

其中，当盾注册到区块链时，所述盾被视为一种终端设备，无论是数字盾被虚拟为一种终端设备，还是硬件实体盾被视为一种终端设备，均可以采用上述实施例将终端设备的ID与区块链链账户对应。

由此，通过上述实施例，本公开实现了一种基于区块链的盾，其作为一种终端设备类型的产品，便于使得该设备与区块链产生关联或对应。这意味着，该盾可以经由区块链进一步核实相关的终端设备在信息化应用***甚至任何数字世界中的使用状况。

更优选的，该盾自身的密钥存储单元，其还能够进一步存储那些操作该盾的用户的身份标识，因此，该盾还可以进一步存储根据用户名和某合适算法(包括但不限于第一算法)生成所述用户公钥和用户私钥。能够理解，这使得该盾进一步关联用户，且能够被用于多种对用户进行安全交互的场合；所述盾作为一种终端设备可以是与链关联的，甚至进一步关联相应的用户身份标识并使得用户身份标识也与链关联。

本实施例实现了一种安全、可靠的基于区块链的盾，且能够被外部所调用。能够理解，例如被外部的各种Web Service的对应接口作为第一接口而调用时，该盾可以用于各种Web Service，从而大幅度提高使用各种Web Service的安全性。

在另一个实施例中，

所述盾还包括中间哈希值计算单元和第一签名单元；

所述中间哈希值计算单元，用于根据所述终端设备的ID和所述终端设备的公钥计算中间哈希值；

所述第一签名单元，用于根据所述终端设备的私钥对中间哈希值生成第一数字签名。

对于上述实施例，其给出了如何进一步利用区块链的哈希技术在盾上实现第一数字签名的方式，从而使得该盾成为更具区块链特性的产品，并进一步使得耦接所述盾或包括了所述盾的所述终端设备成为具有区块链特性的终端设备。当终端设备耦接所述盾时，所述盾可以是硬件实体盾，并用作所述终端设备的存储器且可以被所述终端设备进行IO操作；当终端设备包括所述盾时，所述盾可以是软件数字盾，并用作所述终端设备的存储器，且可以按照对文件操作的方式进行IO操作。对于软件数字盾而言，其作为一种虚拟的终端设备，该终端设备的ID可以基于具体的文件、通过某种映射关系创建一个数字ID来实现，例如根据该文件的创建时间来生成数字ID以作为该虚拟的终端设备的ID。也就是说，即使是软件、数字形式的终端设备，其同样可以拥有终端设备的ID。

更进一步的，如前所述，除了根据所述终端设备的ID及其公钥，所述中间哈希值计算单元，还可以根据与终端设备或者与盾关联的用户及用户的公钥，计算：关于用户的中间哈希值；以及，

所述第一签名单元，还用于根据用户的私钥，对用户的中间哈希值,生成：关于用户的数字签名。

在另一个实施例中，

所述盾还包括第一发送单元；

所述第一发送单元，其经由第一接口至少发送终端设备的公钥和第一数字签名至注册管理服务器。

能够理解，该实施例通过第一发送单元和第一接口实现了向注册管理服务器发送相关签名，示例性的，所述第一接口为U盾服务接口。如此，该盾通过对接其的第一接口来对接注册管理服务器，而第一接口可以是面向各种Web Service甚至各种应用的接口，这意味着该盾可以广泛的用于各种服务和/或应用。需要说明的是，所述注册管理服务器可以是独立于区块链的服务器，也可以是区块链的注册管理服务器。

更进一步的，所述第一发送单元，还经由第一接口发送关于用户的公钥和及其数字签名至注册管理服务器。

在另一个实施例中，

所述盾还包括证书存储单元，

当所述第一接口利用CA服务器的公钥验签通过所述第一数字签名或关于用户的数字签名后，所述存储单元存储所述终端设备的证书、或关于用户的证书。其中，能够理解：关于用户的证书，其可以遵循前文所述终端设备的证书的生成过程，以类似的方式生成用户的证书。

对于该实施例，其揭示了前文所述的基于区块链的盾作为一种新的盾是如何生成并存储相关证书。

在另一个实施例中，

所述盾包括国密安全芯片模块，且所述国密安全芯片包括生成密钥功能、和/或加密功能、和/或签名功能。

能够理解，当利用国密安全芯片模块时，可以通过集成度更高的现有各种国密安全芯片模块，更快速的实现所述基于区块链的盾。

在另一个实施例中，

所述盾还包括第二发送单元；

当所述盾经由所述终端设备耦接该终端设备外部的某一数据处理***时，在某一时间或某一时间段，所述第二发送单元经由第一接口(例如前文所述的U盾服务接口作为所述第一接口)至少将所述盾存储的终端设备的ID、终端设备对该数据处理***的操作、甚至用户名、用户通过该终端设备对该数据处理***的操作、时间信息(例如时间戳)发给区块链以上链。

对于该实施例而言，其揭示了所述盾用于某一数据处理***的安全交互时，前文所述的终端设备如何通过第二发送单元与区块链交互，例如如何将有关终端设备ID及其对数据处理***的操作、甚至将用户的信息上链。

在另一个实施例中，

所述第二发送单元还将用户对该盾的操作发给区块链以上链。

能够理解，该实施例表明该盾能够将用户对盾的操作上链，例如：假设所述盾包括“ok”或“确认”按钮，当用户某一时刻按压一次ok按钮，将此种对盾自身的操作也发给区块链以上链。

在另一个实施例中，

所述盾还包括第二哈希值计算单元和第二签名单元；

所述第二哈希值计算单元，至少用于根据所述盾存储的用户名、用户对该数据处理***的操作、时间信息以及所述用户公钥计算：关于用户的第二哈希值；

所述第二签名单元，用于根据所述用户私钥对所述关于用户的第二哈希值进行处理以生成：关于用户的第二数字签名；

所述第二发送单元还将所述关于用户的第二数字签名发给区块链以上链。

对于上述实施例，其给出了如何进一步利用区块链的哈希技术在盾上实现关于用户的第二数字签名的方式，从而使得该盾与用户关联，并使得相关盾、终端设备成为更具区块链特性的产品并实现：关于用户的第二数字签名的上链。

在另一个实施例中，参见图2，本公开所述的基于区块链的盾是一种基于国密算法的联盟链硬件U盾，包括：

MCU主控芯片模块、通用串行总线USB、国密安全芯片模块、蓝牙模块、屏幕显示模块、按键和电池模块；

所述MCU主控芯片模块作为主控制单元，用于将国密安全芯片模块、蓝牙模块、屏幕、按键、通用串行总线USB连接，且用于解析信道(例如通过通用串行总线USB、蓝牙等)发来的数据，并交由专门的模块处理；

国密安全芯片模块，其包括对应的处理单元和存储单元，至少用于实现数据存储功能、密钥生成和管理功能，以及加密功能；

通用串行总线USB或蓝牙模块，用于接收/发送所述盾的外部***或外部接口与所述U盾的交互数据；

屏幕显示模块，用于配合MCU主控芯片模块和国密安全芯片模块显示来自用户的操作信息(例如账户、交易金额等信息)；

按键，用于配合MCU主控芯片模块和国密安全芯片模块，实施用户交互功能(例如开关机、确认、取消、上下翻页、输入PIN码等功能)；

电池模块，用于对所述U盾进行供电。

能够理解，该实施例通过具体硬件U盾的示例，揭示了一种实现所述基于区块链的盾的方式。

进一步的，在另一个实施例中，

当本公开所述的基于区块链的盾实现为数字盾时，除了前文所述的有关数字盾的内容，数字盾的数据处理能力则可以利用数字盾所处的装置或设备或计算机或数据处理***或云服务器等自身的CPU或其他处理器的处理能力，也可以利用调用该数字盾的外部***自身的处理能力；而数字盾所需的存储能力则可以利用数字盾所处的装置或设备或计算机或数据处理***或云服务器等自身的存储能力，或者也可以利用调用该数字盾的外部***自身的存储能力；至于数字盾所需的交互接口，则可以利用访问数字文件的I/O读写来实现；如果需要显示此种交互过程，则可以利用任何能够接收数字盾与外部***(或外部接口)交互中产生的必要的信息流或数据流(例如，彼此的操作信息)的显示设备来实现，且当不需要显示时，还可以将交互中产生的信息流或数据流另存为一定格式的文件(例如，操作的日志文件)。

本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作、模块、单元并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本公开所提供的几个实施例中，应该理解到，所揭露的盾，可实现为对应的功能单元、处理器乃至***，其中所述***的各部分既可以位于一个地方，也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，各功能单元可以集成在一个处理单元中，也可以是各个单元单独存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为智能手机、个人数字助理、可穿戴设备、笔记本电脑、平板电脑)执行本公开的各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(R0M，Read-0nly Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质，且不限于USB、蓝牙或音频等不同的接口或传输方式。

以上所述，以上实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述实施例对本公开进行了详细的说明，本领域技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开的各实施例技术方案的范围。

Claims (4)

1.一种将终端设备的ID与区块链链账户对应的方法，包括以下步骤：

(1)终端设备进行哈希计算以得到中间哈希值；

(2)生成第一数字签名；

(3)注册管理服务器进行验签；

(4)转发CA服务器再次验签；

(5)CA服务器为该终端设备生成证书；

(6)终端设备验证证书，若通过则保存证书。

2.如权利要求1所述的方法，其中，优选的，

保存时，存储器包括：终端设备本地的存储器，或者与终端设备耦接的U盾。

3.如权利要求2所述的方法，其中，

所述U盾的ID，作为所述终端设备的ID；或者，

所述本地的存储器的唯一编码作为所述终端设备的ID。

4.如权利要求1所述的方法，其中，

利用所述私钥，终端设备通过调用所述U盾中的服务，将所述中间哈希值进行签名以得到第一数字签名。

Images