技术领域
背景技术
[0002] 目前,基于身份标识的IBC(Identity-Based Cryptograph)密码技术已得到广泛应用,该技术使用的是非对称密码体系,加密与解密使用两套不同的密钥,用户的公钥就是他的身份标识ID,比如姓名、email地址、手机号等,因此具有密钥管理简单的优点。
[0003] IBC密码技术体系中,由于用户的私钥是由中心化部署的密钥分发中心KDC(Key Distribution Center)生成并管理,因此KDC保存了用户私钥的备份,即IBC密钥托管问题。该问题导致了IBC密码技术无法满足《
电子签名法》的要求,不能应用于开放的网络环境中。
[0004] 该体系中,如果用户密钥需要更新,在KDC系统参数不变的情况下,用户公钥,如姓名、email等,则需额外添加或
修改诸如日期等相关参数,以实现私钥的更新。这将导致密钥更新后用户公钥自证性降低的问题。
发明内容
[0005] 本发明提供一种数字身份标识管理方法及系统,目的在于解决KDC作为中心化的密钥分发中心,如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。
[0006] 本发明解决上述技术问题的技术方案如下:一种数字身份标识管理方法,它是由以下过程实现:
[0007] S1、建立
区块链应用系统,部署多个
节点,每个节点对应一个公开、共享的账本,每个账本中均记录多个区块;
[0008] S2、建立身份标识管理模式,在每个账本中同步记录各用户身份标识ID的生成、注销和更新操作。
[0009] 进一步,所述S1的具体实现过程包括:
[0010] S11、建立P2P网络,部署多个节点;
[0011] S12、每个节点均维护一个公开、共享的账本,账本中记录多个区块,每个区块记录多条操作或交易数据;
[0012] S13、每个节点均由各用户或第三方自主进行维护。
[0013] 进一步,所述S2的具体实现过程包括:
[0014] S21、用户生成的身份标识ID及附加信息向区块链全部节点发布,经过区块链全部节点的共识处理,将新生成的用户标识ID及附加信息记录在区块链中,用户身份标识ID生成操作结束;
[0015] S22、用户身份标识ID注销
请求向区块链全部节点发布,经过区块链全部节点的共识处理,将密钥对注销请求记录在区块链中,用户身份标识ID注销操作结束;
[0016] S23、依次执行用户身份标识ID注销操作和用户身份标识ID生成操作实现用户密钥对的更新。
[0017] 进一步,所述S21的具体实现过程包括:
[0018] S211、用户建立KDC系统,选择身份标识ID,并通过KDC生成与所述ID相对应的私钥s,即公私钥对为(ID,s),私钥s由用户秘密保存;
[0019] S212、通过私钥s计算签名Sign(ID,t,m,Hash(r)),
[0020] 其中,
[0021] ID为身份标识;
[0022] t为当前操作时间;
[0023] m为特定信息,具体为随机数或用户自定义信息;
[0024] r为随机数,秘密保存,用于用户丢失私钥后,证明自身身份的证据;
[0025] Hash(r)为标准Hash函数;
[0026] S213、将ID,t,m,Hash(r),Sign(ID,t,m,Hash(r))及KDC公开参数params作为一笔操作记录向区块链全部节点发布;
[0027] S214、其他节点接收到操作记录,使用发布者的公钥ID及t、m、Hash(r)信息验证签名Sign(ID,t,m,Hash(r))是否正确,同时验证t是否与当前时间相一致;
[0028] S215、根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID生成成功。
[0029] 进一步,所述S22的具体实现过程包括:
[0030] S221、用户采用私钥s对该用户ID、当前操作时间t和注销原因w进行签名Sign(ID,t,w),并将ID,t,w及Sign(n,t,w)作为一条操作记录向全部节点发布;
[0031] S222、如果用户私钥s丢失,则用户将ID、秘密保存的随机数r及注销原因w作为一条记录向全部节点发布;
[0032] S223、根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID注销成功。
[0033] 本发明的有益效果是:本发明结合区块链技术,实现去中心化KDC、分布式的密钥分发系统,解决了如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。
[0034] 本发明还提出一种数字身份标识管理系统,该系统包括:
[0035] 区块链应用系统建立模块,用于部署多个节点,每个节点对应一个公开、共享的账本,每个账本中均记录多个区块;
[0036] 用户身份标识管理模式建立模块,用于在每个账本中同步记录各用户身份标识ID生成、注销和更新操作。
[0037] 进一步,所述区块链应用系统建立模块包括:
[0038] 节点部署模块,用于建立P2P网络,部署多个节点;
[0039] 数据记录模块,用于采用一对一的方式,令每个节点维护一个公开、共享的账本,账本中记录多个区块,每个区块记录多条操作或交易数据;
[0040] 自主维护模块,用于各用户或第三方自主对每个节点进行维护。
[0041] 进一步,所述用户身份标识管理模式建立模块包括:
[0042] 用户标识ID生成模块,用于用户生成的身份标识ID及附加信息向区块链全部节点发布,经过区块链全部节点的共识处理,将新生成的用户标识ID及附加信息记录在区块链中,用户标识ID生成操作结束;
[0043] 用户身份标识ID注销模块,用于用户身份标识ID注销请求向区块链全部节点发布,经过区块链全部节点的共识处理,将注销请求记录在区块链中,用户身份标识ID注销操作结束;
[0044] 用户身份标识ID更新模块,用于依次执行用户身份标识ID注销操作和用户身份标识ID生成操作实现用户身份标识ID的更新。
[0045] 进一步,所述用户身份标识ID生成模块包括:
[0046] 公私钥对生成模块,用于用户建立KDC系统,选择身份标识ID,并通过KDC生成与所述ID相对应的私钥s,即公私钥对为(ID,s);
[0047] 签名计算模块,用于通过私钥s计算签名Sign(ID,t,m,Hash(r)),[0048] 其中,
[0049] ID为身份标识;
[0050] t为当前操作时间;
[0051] m为特定信息,具体为随机数或用户自定义信息;
[0052] r为随机数,秘密保存,用于用户丢失私钥后,证明自身身份的证据;
[0053] Hash(r)为标准Hash函数;
[0054] 身份标识ID生成操作记录发布模块,用于将ID,t,m,Hash(r),Sign(ID,t,m,Hash(r))及KDC公开参数params作为一笔操作记录向区块链全部节点发布;
[0055] 验证模块,用于当其他节点接收到操作记录,使用发布者的公钥ID及t、m、Hash(r)信息验证签名Sign(ID,t,m,Hash(r))是否正确,同时验证t是否与当前时间相一致;
[0056] 用户身份标识ID生成处理模块,用于根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID生成成功。
[0057] 进一步,所述用户身份标识ID注销模块包括:
[0058] 用户身份标识ID注销操作记录发布模块,用于用户采用私钥s对该用户ID、当前操作时间t和注销原因w进行签名Sign(ID,t,w),并将ID,t,w及Sign(n,t,w)作为一条操作记录向全部节点发布;
[0059] 私钥丢失操作记录发布模块,用于当用户私钥s丢失,则用户将ID、秘密保存的随机数r及注销原因w作为一条记录向全部节点发布;
[0060] 用户身份标识ID注销处理模块,用于根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID注销成功。
[0061] 本发明的有益效果是:本发明结合区块链技术,实现去中心化KDC、分布式的密钥分发系统,解决了如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。
附图说明
[0062] 图1为本发明
实施例所述的数字身份标识管理方法的
流程图;
[0063] 图2为本发明实施例所述的建立区块链应用系统的流程图;
[0064] 图3为本发明实施例所述的建立身份标识管理模式的流程图;
[0065] 图4为本发明实施例所述的用户身份标识ID生成的流程图;
[0066] 图5为本发明实施例所述的用户身份标识ID注销的流程图;
[0067] 图6为本发明实施例所述的数字身份标识管理系统的原理示意图;
[0068] 图7为本发明实施例所述的区块链应用系统建立模块1的原理示意图;
[0069] 图8为本发明实施例所述的用户身份标识管理模式建立模块2的原理示意图;
[0070] 图9为本发明实施例所述的用户身份标识ID生成模块6的原理示意图;
[0071] 图10为本发明实施例所述的用户身份标识ID注销模块7的原理示意图。
[0072] 附图中,各标号所代表的部件列表如下:
[0073] 1、区块链应用系统建立模块,2、用户身份标识管理模式建立模块,3、节点部署模块,4、数据记录模块,5、自主维护模块,6、用户身份标识ID生成模块,7、用户身份标识ID注销模块,8、用户身份标识ID更新模块,9、公私钥对生成模块,10、签名计算模块,11、用户身份标识ID生成操作记录发布模块,12、验证模块,13、用户身份标识ID生成处理模块,14、用户身份标识ID注销操作记录发布模块,15、私钥丢失操作记录发布模块,16、用户身份标识ID注销处理模块。
具体实施方式
[0074] 以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
[0075] 实施例1
[0076] 如图1所示,本实施例提出了一种数字身份标识管理方法,它是由以下过程实现:
[0077] S1、建立区块链应用系统,部署多个节点,每个节点对应一个公开、共享的账本,每个账本中均记录多个区块;
[0078] S2、建立身份标识管理模式,在每个账本中同步记录各用户身份标识ID的生成、注销和用更新操作。
[0079] 其中,如图2所示,区块链应用系统建立的过程为:
[0080] S11、建立P2P网络,部署多个节点;
[0081] S12、每个节点均维护一个公开、共享的账本,账本中记录多个区块,每个区块记录多条操作或交易数据;
[0082] S13、每个节点均由各用户或第三方自主进行维护。
[0083] 如图3所示,身份标识管理模式建立的过程为;
[0084] S21、用户生成的身份标识ID及附加信息向区块链全部节点发布,经过区块链全部节点的共识处理,将新生成的用户标识ID及附加信息记录在区块链中,用户身份标识ID生成操作结束;
[0085] S22、用户的身份标识ID注销请求向区块链全部节点发布,经过区块链全部节点的共识处理,将注销请求记录在区块链中,用户身份标识ID注销操作结束;
[0086] S23、依次执行用户身份标识ID注销操作和用户身份标识ID生成操作实现用户身份标识ID的更新。
[0087] 身份标识管理模式的建立包括了身份标识ID生成、注销和更新的操作过程,以下分别对身份标识ID生成和注销操作过程进行详细说明:
[0088] 如图4所示,所述用户身份标识ID生成过程为:
[0089] S211、用户建立KDC系统,并选择身份标识ID,通过KDC生成与所述ID相对应的私钥s,即公私钥对为(ID,s),私钥s由用户秘密保存;
[0090] S212、通过私钥s计算签名Sign(ID,t,m,Hash(r)),
[0091] 其中,
[0092] ID为身份标识;
[0093] t为当前操作时间;
[0094] m为特定信息,具体为随机数或用户自定义信息;
[0095] r为随机数,秘密保存,用于用户丢失私钥后,证明自身身份的证据;
[0096] Hash(r)为标准Hash函数;
[0097] S213、将ID,t,m,Hash(r),Sign(ID,t,m,Hash(r))及KDC公开参数params作为一笔操作记录向区块链全部节点发布;
[0098] S214、其他节点接收到操作记录,使用发布者的公钥ID及t、m、Hash(r)信息验证签名Sign(ID,t,m,Hash(r))是否正确,同时验证t是否与当前时间相一致;
[0099] S215、根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID生成成功。
[0100] 如图5所示,用户身份标识ID注销的过程为:
[0101] S221、用户采用私钥s对该用户ID、当前操作时间t和注销原因w进行签名Sign(ID,t,w),并将ID,t,w及Sign(n,t,w)作为一条操作记录向全部节点发布;
[0102] S222、如果用户私钥s丢失,则用户将ID、秘密保存的随机数r及注销原因w作为一条记录向全部节点发布;
[0103] S223、根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID注销成功。
[0104] 本实施例所述的数字身份标识管理方法结合区块链技术,实现去中心化KDC、分布式的密钥分发系统,解决了如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。
[0105] 没有中心KDC,每个用户独立管理自己的私有KDC并生成密钥对,保证了用户密钥对只有用户自己拥有,满足“电子签名法”的要求,解决了IBC密码技术体系存在的密钥托管问题。
[0106] 用户私钥需要更新时,在有中心化KDC的情况下,因为KDC密钥及参数一般不能更改,只能对用户ID添加诸如日期等附件参数,实现用户私钥的更新,这样势必降低了用户公钥标识ID的自证性。本发明由于KDC属于用户私有,用户只需重新生成私有KDC并重新对用户公钥ID计算私钥,由于私钥更新后用户ID依然不变,解决了密钥更新后标识自证性降低的问题。
[0107] 用户自己维护证书信任体系,即使半数以下用户合谋攻击,也无法攻击成功。同时由于没有中心化KDC系统,用户也无需向KDC缴纳任何
费用。
[0108] 区块链中所有操作记录均不可更改或删除,任何操作均可审计追溯,安全性、可靠性由全网节点共同维护。
[0109] 实施例2
[0110] 如图6所示,本实施例提出了一种数字身份标识管理系统,该系统包括:
[0111] 区块链应用系统建立模块1,用于部署多个节点,每个节点对应一个公开、共享的账本,每个账本中均记录多个区块;
[0112] 用户身份标识管理模式建立模块2,用于在每个账本中同步记录各用户身份标识ID生成、注销和更新操作。
[0113] 其中,如图7所示,所述区块链应用系统建立模块1包括:
[0114] 节点部署模块3,用于建立P2P网络,部署多个节点;
[0115] 数据记录模块4,用于采用一对一的方式,令每个节点维护一个公开、共享的账本,账本中记录多个区块,每个区块记录多条操作或交易数据;
[0116] 自主维护模块5,用于各用户或第三方对每个节点进行维护。
[0117] 如图8所示,所述用户身份标识管理模式建立模块2包括:
[0118] 用户身份标识ID生成模块6,用于用户生成的身份标识ID及附加信息向区块链全部节点发布,经过区块链全部节点的共识处理,将新生成的用户标识ID及附加信息记录在区块链中,用户身份标识ID生成操作结束;
[0119] 用户身份标识ID注销模块7,用于用户身份标识ID注销请求向区块链全部节点发布,经过区块链全部节点的共识处理,将注销请求记录在区块链中,用户身份标识ID注销操作结束;
[0120] 用户身份标识ID更新模块8,用于依次执行用户身份标识ID注销操作和用户身份标识ID生成操作实现用户身份标识ID的更新。
[0121] 优选的,如图9所示,所述用户身份标识ID生成模块6包括:
[0122] 公私钥对生成模块9,用于用户选择身份标识ID,并通过用户KDC生成与所述ID相对应的私钥s,即公私钥对为(ID,s),私钥s由用户秘密保存;
[0123] 签名计算模块10,用于通过私钥s计算签名Sign(ID,t,m,Hash(r)),[0124] 其中,
[0125] ID为身份标识;
[0126] t为当前操作时间;
[0127] m为特定信息,具体为随机数或用户自定义信息;
[0128] r为随机数,秘密保存,用于用户丢失私钥后,证明自身身份的证据;
[0129] Hash(r)为标准Hash函数;
[0130] 身份标识ID生成操作记录发布模块11,用于将ID,t,m,Hash(r),Sign(ID,t,m,Hash(r))及KDC公开参数params作为一笔操作记录向区块链全部节点发布;
[0131] 验证模块12,用于当其他节点接收到操作记录,使用发布者的公钥ID及t、m、Hash(r)信息验证签名Sign(ID,t,m,Hash(r))是否正确,同时验证t是否与当前时间相一致;
[0132] 用户身份标识ID生成处理模块13,用于根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID生成成功。
[0133] 优选的,如图10所示,所述用户身份标识ID注销模块7包括:
[0134] 用户身份标识ID注销操作记录发布模块14,用于用户采用私钥s对该用户ID、当前操作时间t和注销原因w进行签名Sign(ID,t,w),并将ID,t,w及Sign(n,t,w)作为一条操作记录向全部节点发布;
[0135] 私钥丢失操作记录发布模块15,用于当用户私钥s丢失,则用户将ID、秘密保存的随机数r及注销原因w作为一条记录向全部节点发布;
[0136] 用户身份标识ID注销处理模块16,用于根据区块链共识处理机制,当半数以上节点验证通过,则将该操作记录记录到区块链中,用户身份标识ID注销成功。
[0137] 本实施例所述的数字身份标识管理系统结合区块链技术,实现去中心化KDC、分布式的密钥分发系统,解决了如被攻击将造成整个应用体系安全性降低、IBC密码技术体系的密钥托管及密钥更新后标识自证性降低的问题。
[0138] 没有中心KDC,每个用户独立管理自己的私有KDC并生成密钥对,保证了用户密钥对只有用户自己拥有,满足“电子签名法”的要求,解决了IBC密码技术体系存在的密钥托管问题。
[0139] 用户私钥需要更新时,在有中心化KDC的情况下,因为KDC密钥及参数一般不能更改,只能对用户ID添加日期等附件参数,实现用户私钥的更新,这样势必降低了用户公钥标识ID的自证性。本发明由于KDC属于用户私有,用户只需重新生成私有KDC并重新对用户公钥ID计算私钥,由于私钥更新后用户ID依然不变,解决了密钥更新后标识自证性降低的问题。
[0140] 用户自己维护证书信任体系,即使半数以下用户合谋攻击,也无法攻击成功。同时由于没有中心化KDC系统,用户也无需向KDC缴纳任何费用。
[0141] 区块链中所有操作记录均不可更改或删除,任何操作均可审计追溯,安全性、可靠性由全网节点共同维护。
[0142] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
