技术领域
[0001] 本
发明涉及区块链技术领域,特别是涉及一种基于国产密码算法实现区块链密码安全服务的方法。
背景技术
[0002] 信息系统安全有三要素,机密性、完整性和可用性。区块链系统大量应用了
密码学技术,来确保三要素。以完整性为例,在区块链
节点发布信息过程中,节点通过签名技术来保证数据的不可抵赖性。
[0003] 签名过程是区块链系统实现账本数据完整性和不可抵赖性的保证,而密码算法又是签名过程的技术保证。区块链系统的安全核心在于密码算法及其实现,所采用的密码算法主要包括非对称加密算法、Hash算法、对称加密算法。
[0004] 如果采用的密码算法自身已存在安全隐患或者在实现上已存在
缺陷,即所采用的签名算法无法保证数据的完整性或者不可抵赖性,那么整个区块链的安全
基础就被彻底破坏。而目前已知RSA算法、MD5算法、SHA-1算法均存在安全
风险。
[0005] 同时,由于密码算法的相对专业性,对于区块链系统而言,没有足够的专业能
力去安全、合理的实现所需的密码运算。
[0006] RSA加密算法:一种基于大整数因子分解问题的公钥密码算法,该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。RSA算法既能用于数据加密也能用于数字签名的算法。
[0007]
摘要算法:是一种输入任意长度的数据,输出固定长度的数据的算法。算法具有其不可逆性,即通过散列结果,无法推出任何部分的原始信息,任何输入信息的变化,都将导致散列结果的明显变化。摘要算法也被称为哈希(Hash)算法、散列算法。
[0008] 数字签名(digital signature):是非对称密钥加密技术与数字摘要技术的应用,将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被
修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
[0009] SSL协议:一种传输层安全协议,用于构建客户端和服务端之间的安全通道。
[0010] IPSec协议:一种网络层安全协议,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的
访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
[0011] SM2算法:一种国产的椭圆曲线公钥密码算法,其密钥长度为256比特。
[0012] SM3算法:一种国产的密码杂凑算法,其输出为256比特。
[0013] SM4算法:一种国产的分组密码算法,分组长度为128比特,密钥长度为128比特。
[0014] 国密算法:由国家密码管理局颁发的国产密码算法,包括SM2、SM3、SM4等算法。
发明内容
[0015] 针对上述问题,本发明旨在提供一种基于国产密码算法实现区块链密码安全服务的方法。
[0016] 本发明的目的采用以下技术方案来实现:
[0017] 提供了本发明技术解决问题:克服上述
现有技术的不足,提供一种基于国产密码算法实现区块链密码安全服务的方法,采用以下方式进行:
[0018] 步骤一、由区块链安全基线平台向区块链提供基于国密的基础的密码服务;
[0019] 步骤二、由区块链安全组网平台对区块链节点进行安全组网;
[0020] 步骤三、由访问控制与隐私保护平台对区块链进行访问控制和隐私保护;
[0021] 步骤四、由区块链安全存储平台对区块链数据进行存储。
[0022] 可选的,所述由区块链安全基线平台向区块链提供基于国密的基础的密码服务具体包括向区块链提供签名服务和对签名的有效性进行验证。
[0023] 可选的,所述向区块链提供签名服务,采用以下方式进行:
[0024] 步骤一、读取待签名数据;
[0025] 步骤二、对待签名数据采用SM3算法进行哈希;
[0026] 步骤三、采用SM2算法对签名数据的哈希值调用私钥加密;
[0027] 步骤四、对加密结果进行封装,返回签名结果,签名结束。
[0028] 可选的,所述对签名的有效性进行验证,采用以下方式进行:
[0029] 步骤一、对验证签名证书的有效性进行验证,若证书无效,则结束,若证书有效,则采用SM3算法对待签名数据进行哈希运算,调用证书公钥使用SM2算法解密签名结果,得到摘要值;
[0030] 步骤二、把原文摘要值和解密得到的摘要值进行比较,若匹配,则签名有效,若不匹配,则签名无效。
[0031] 可选的,所述由区块链安全组网平台对区块链节点进行安全组网,采用以下方式进行:
[0032] 步骤一、基于区块链安全基线平台对组网的每个节点实现身份标识;
[0033] 步骤二、节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道;
[0034] 步骤三、每个节点通过前述建立的安全组网通道,与其他节点进行数据传播;
[0035] 步骤四、每个节点通过各自的安全服务总线,对产生的交易数据进行签名,对接收的数据进行解密,验证签名。
[0036] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密IPSec VPN方式实现各节点的安全组网。
[0037] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密SSL方式实现各节点的安全组网。
[0038] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密P2P方式实现各节点的安全组网。
[0039] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密隧道等方式实现各节点的安全组网。
[0040] 可选的,所述每个节点通过前述建立的安全组网通道,与其他节点进行数据传播,采用以下方式进行:所有节点间的通讯,全部依赖于安全组网通道,非可信节点无法加入网络,外界网络无法对该组网发起窃听、数据篡改的安全攻击。
[0041] 可选的,所述交易数据包括:共识结果、发布的区块链数据。
[0042] 本发明的有益效果为:提供了一种基于国产密码算法实现区块链密码安全服务的方法,采用国产密码算法,为区块链提供统一的密码运算
支撑环境,可以实现区块链无需对底层密码运算进行深入开发,采用安全服务总线即可实现基于国产密码的安全运算,从而极大地降低区块链安全集成成本,提高区块链系统的安全强度。
附图说明
[0043] 利用附图对本发明作进一步说明,但附图中的
实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
[0045] 附图标记:
[0046] 由区块链安全基线平台向区块链提供基于国密的基础的密码服务1;由区块链安全组网平台对区块链节点进行安全组网2;由访问控制与隐私保护平台对区块链进行访问控制和隐私保护3;由区块链安全存储平台对区块链数据进行存储4。
具体实施方式
[0047] 结合以下实施例对本发明作进一步描述。
[0048] 参见图1,本实施例的下面将结合附图和实施例对本发明作进一步的详细说明。通过足够详细的描述这些实施示例,使得本领域技术人员能够理解和实践本发明。在不脱离本发明的主旨和范围的情况下,可以对实施做出逻辑的、实现的和其他的改变。因此,以下详细说明不应该被理解为限制意义,本发明的范围仅仅由
权利要求来限定。
[0049] 本发明提供一种基于国产密码算法实现区块链密码安全服务的方法,采用以下方式进行:
[0050] 步骤一、由区块链安全基线平台向区块链提供基于国密的基础的密码服务1;
[0051] 步骤二、由区块链安全组网平台对区块链节点进行安全组网2;
[0052] 步骤三、由访问控制与隐私保护平台对区块链进行访问控制和隐私保护3;
[0053] 步骤四、由区块链安全存储平台对区块链数据进行存储4。
[0054] 本实施例提供了一种基于国产密码算法实现区块链密码安全服务的方法,采用国产密码算法,为区块链提供统一的密码运算支撑环境,可以实现区块链无需对底层密码运算进行深入开发,采用安全服务总线即可实现基于国产密码的安全运算,从而极大地降低区块链安全集成成本,提高区块链系统的安全强度。
[0055] 优选的,所述由区块链安全基线平台向区块链提供基于国密的基础的密码服务1具体包括向区块链提供签名服务和对签名的有效性进行验证。
[0056] 优选的,所述向区块链提供签名服务,采用以下方式进行:
[0057] 步骤一、读取待签名数据;
[0058] 步骤二、对待签名数据采用SM3算法进行哈希;
[0059] 步骤三、采用SM2算法对签名数据的哈希值调用私钥加密;
[0060] 步骤四、对加密结果进行封装,返回签名结果,签名结束。
[0061] 优选的,所述对签名的有效性进行验证,采用以下方式进行:
[0062] 步骤一、对验证签名证书的有效性进行验证,若证书无效,则结束,若证书有效,则采用SM3算法对待签名数据进行哈希运算,调用证书公钥使用SM2算法解密签名结果,得到摘要值;
[0063] 步骤二、把原文摘要值和解密得到的摘要值进行比较,若匹配,则签名有效,若不匹配,则签名无效。
[0064] 优选的,所述由区块链安全组网平台对区块链节点进行安全组网2,采用以下方式进行:
[0065] 步骤一、基于区块链安全基线平台对组网的每个节点实现身份标识;
[0066] 步骤二、节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道;
[0067] 步骤三、每个节点通过前述建立的安全组网通道,与其他节点进行数据传播;
[0068] 步骤四、每个节点通过各自的安全服务总线,对产生的交易数据进行签名,对接收的数据进行解密,验证签名。
[0069] 优选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密IPSec VPN方式实现各节点的安全组网。
[0070] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密SSL方式实现各节点的安全组网。
[0071] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密P2P方式实现各节点的安全组网。
[0072] 可选的,所述节点通过各自的安全服务总线,与其他节点建立安全可信的网络通道,采用以下方式进行:通过国密隧道等方式实现各节点的安全组网。
[0073] 优选的,所述每个节点通过前述建立的安全组网通道,与其他节点进行数据传播,采用以下方式进行:所有节点间的通讯,全部依赖于安全组网通道,非可信节点无法加入网络,外界网络无法对该组网发起窃听、数据篡改的安全攻击。
[0074] 优选的,所述交易数据包括:共识结果、发布的区块链数据。
[0075] 通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解应当理解,可以以
硬件、
软件、
固件、
中间件、代码或其任何恰当组合来实现这里描述的实施例。对于
硬件实现,处理器可以在一个或多个下列单元中实现:专用集成
电路(ASIC)、数字
信号处理器(DSP)、
数字信号处理设备(DSPD)、
可编程逻辑器件(PLD)、现场可编程
门阵列(FPGA)、处理器、
控制器、
微控制器、
微处理器、设计用于实现这里所描述功能的其他
电子单元或其组合。对于软件实现,实施例的部分或全部流程可以通过
计算机程序来指令相关的硬件来完成。
实现时,可以将上述程序存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。计算机可读介质可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。
[0076] 提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
[0077] 最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
