一种区块链的认证服务装置及节点准入、用户认证方法制造方法及图纸

本发明专利技术提供一种区块链的认证服务装置及节点准入、用户认证方法。其中，装置包括一个根认证服务模块和多个子认证服务模块；所有子认证服务模块，用于共同维护用于保存第一区块链的节点和用户的注册信息的第二区块链。节点准入方法包括：生成节点的准入凭证及其数字签名，将准入凭证的数字签名写入第二区块链；根据第二区块链查证节点的身份和权限。用户认证方法包括：生成用户的数字身份证及其数字签名，将数字身份证的数字签名写入第二区块链；查证第一用户的身份，当第一用户的身份通过查证时，允许第一用户根据第二区块链查证第二用户的身份。本发明专利技术提供的一种认证服务装置及节点准入方法、用户认证方法，能有效地保护用户的隐私。

A Block Chain Authentication Service Device and Node Access and User Authentication Method

【技术实现步骤摘要】
一种区块链的认证服务装置及节点准入、用户认证方法
本专利技术涉及计算机应用
，更具体地，涉及一种区块链的认证服务装置及节点准入、用户认证方法。
技术介绍
区块链作为一种集成了分布式数据存储、点对点传输、共识机制、加密算法等技术的新型应用系统，具有去中心化、不可篡改、不可伪造等显著特性。在无中心信任机构存在的场景下，使用区块链可为彼此互不信任的实体建立信任联系，可打破传统互联网需要依赖中心信任模式的禁锢，降低信任成本，在一定程度上打破地域的局限。利用区块链解决企业管理、数字经济、互联网治理等领域的各类问题具有光明的前景。根据区块链参与者的权限，可将其分为以下两种：公有链，参与交易的用户身份是匿名的，交易记录仅暴露用户公钥信息，不存在记账节点的准入机制，任何节点都可参与共识、读写区块链；联盟链和私有链，用户需要身份注册后方可参与交易，同时存在记账节点的准入机制，节点的读取权限或者完全对外开放，或者被任意程度地进行了限制。目前，主流的联盟链平台HyperLedger对用户和节点采用同一算法实现注册和准入，存在以下缺点：缺乏匿名性，不能实现对用户身份的隐私保护；不可审计，注册机构的行为缺乏有效监管；缺少查证算法，第三方无法主动验证用户和节点身份是否有效。一些结合区块链的性质提供身份认证服务的系统，如ShoCard借助区块链存储实体身份证件的数据指纹，也无法实现匿名认证，无法保证用户身份信息的隐私性。而在联盟链和私有链的实际应用中，节点和用户需要保护的信息存在差异，分别设计节点准入机制和用户认证算法，保证特定用户信息的隐私性有十分重要的意义和应用场景。专利技术内容为克服现有区块链的用户认证技术存在的难以保护用户的隐私性的不足，本专利技术提供一种区块链的认证服务装置及节点准入、用户认证方法。根据本专利技术的第一方面，提供一种区块链的认证服务装置，包括一个根认证服务模块和多个子认证服务模块；每一所述子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务；每一所述子认证服务模块的管辖范围均不相同，且全部所述子认证服务模块的管辖范围构成所述认证服务装置的管辖范围；所述认证服务装置的管辖范围为第一区块链的全部节点和全部用户，及请求加入所述第一区块链的全部节点和全部用户；所有子认证服务模块，用于共同维护第二区块链；所述第二区块链用于存储所述第一区块链的全部节点和全部用户的注册信息；所述根认证服务模块用于为子认证服务模块进行授权，授权子认证服务模块提供节点准入服务和用户认证服务；其中，节点的注册信息至少包括节点的权限；用户的注册信息至少包括用户的身份信息。根据本专利技术的第二方面，提供一种基于上述区块链的认证服务装置的节点准入方法，包括：S11、接收节点加入第一区块链的请求，管辖所述节点的子认证服务模块对所述请求进行审核，生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名，将所述准入凭证的数字签名写入所述第二区块链，并将所述节点的准入凭证和所述准入凭证的数字签名发送给所述节点；S12、当第一节点生成区块，将所述区块和所述第一节点的准入凭证广播至其他节点后，任一子认证服务模块根据任一所述其他节点发送的所述第一节点的准入凭证，和所述第二区块链中的所述第一节点的准入凭证，查证所述第一节点的权限，当所述第一节点具有将区块写入所述第一区块链的权限时，允许将所述区块写入所述第一区块链；其中，所述请求由所述节点根据所述节点的归属信息和公钥生成；所述准入凭证，包含所述节点的公钥、归属信息和权限；所述节点的权限根据所述节点的归属信息确定。优选地，所述生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名，将所述准入凭证的数字签名写入所述第二区块链的具体步骤包括：当所述请求通过审核时，管辖所述节点的子认证服务模块从所述请求中获取所述节点的归属信息，根据所述节点的归属信息赋予所述节点相应的权限；管辖所述节点的子认证服务模块根据所述请求和所述节点的权限，生成所述节点的准入凭证，并使用管辖所述节点的子认证服务模块的私钥生成所述准入凭证的数字签名；管辖所述节点的子认证服务模块将所述准入凭证的数字签名写入所述第二区块链，使所述节点的准入凭证存储在所述第二区块链中，并获取所述第二区块链中所述节点的准入凭证的寻址地址，将所述寻址地址加入节点注册信息列表；其中，所述节点注册信息列表，用于保存节点的准入凭证在所述第二区块链中的寻址地址，所述节点的准入凭证在所述第二区块链中的寻址地址与所述节点的公钥对应。优选地，所述步骤S12具体包括：任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证，从所述第一节点的准入凭证中获取所述第一节点的公钥、归属信息和权限；所述任一子认证服务模块根据所述第一节点的公钥，获取所述节点注册信息列表中所述第二区块链中所述第一节点的寻址地址；根据所述第二区块链中所述第一节点的寻址地址，获取所述第二区块链中的所述第一节点的准入凭证，并根据所述第二区块链中的所述第一节点的准入凭证获取所述第一节点的归属信息和权限；所述任一子认证服务模块将根据所述其他节点发送的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限，与从根据所述第二区块链中的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限，进行对比，当所述第一节点具有将区块写入所述第一区块链的权限时，允许将所述区块写入所述第一区块链；其中，所述第一节点的准入凭证由所述其他节点根据所述区块的数字签名获取，当所述第二节点验证所述区块的数字签名为合法时，所述其他节点将所述第一节点的准入凭证发送给所述任一子认证服务模块；所述区块的数字签名为所述区块的最后一个字段，所述区块的数字签名为所述区块中除签名外的其他字段的内容的数字签名。优选地，所述任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证具体包括：当任一所述其他节点接收所述区块后，对所述区块的数字签名进行验证，若所述区块的数字签名合法，任一所述其他节点向所述任一子认证服务模块发送所述第一节点的准入凭证时，所述任一子认证服务模块获取所述第一节点的准入凭证。根据本专利技术的第三方面，提供一种基于上述区块链的认证服务装置的用户认证方法，包括：S21、接收用户的注册请求，管辖所述用户的子认证服务模块对所述请求进行审核，生成通过审核的所述用户的数字身份证及所述数字身份证的数字签名，将所述数字身份证的数字签名写入所述第二区块链，并将所述用户的数字身份证和所述数字身份证的数字签名发送给所述用户；S22、接收第一用户查证所述第二用户的身份的第一查证请求，任一子认证服务模块根据所述第一查证请求查证所述第一用户的身份；当所述第一用户的身份通过查证时，所述任一子认证服务模块根据第二查证请求包含的所述第二用户的数字身份证的数字签名，和所述第二区块链中的所述第二用户的数字身份证的数字签名，查证所述第二用户的身份，生成所述第二用户的查证结果；其中，所述请求由所述用户使用的节点，根据所述用户的身份信息和公钥生成；所述数字身份证，包含所述用户的公钥和身份信息；所述第一查证请求根据所述第一用户的公钥和第一时间戳生成；所述第二查证请求由所述第一用户使用的节点根据所述第一查证请求和第一查证响应生成；所述第一查证本文档来自技高网...

【技术保护点】
1.一种区块链的认证服务装置，其特征在于，包括一个根认证服务模块和多个子认证服务模块；每一所述子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务；每一所述子认证服务模块的管辖范围均不相同，且全部所述子认证服务模块的管辖范围构成所述认证服务装置的管辖范围；所述认证服务装置的管辖范围为第一区块链的全部节点和全部用户，及请求加入所述第一区块链的全部节点和全部用户；所有子认证服务模块，用于共同维护第二区块链；所述第二区块链用于存储所述第一区块链的全部节点和全部用户的注册信息；所述根认证服务模块用于为子认证服务模块进行授权，授权子认证服务模块提供节点准入服务和用户认证服务；其中，节点的注册信息至少包括节点的权限；用户的注册信息至少包括用户的身份信息。

【技术特征摘要】
1.一种区块链的认证服务装置，其特征在于，包括一个根认证服务模块和多个子认证服务模块；每一所述子认证服务模块用于对该子认证服务模块管辖范围内的节点提供节点准入服务和用户提供用户认证服务；每一所述子认证服务模块的管辖范围均不相同，且全部所述子认证服务模块的管辖范围构成所述认证服务装置的管辖范围；所述认证服务装置的管辖范围为第一区块链的全部节点和全部用户，及请求加入所述第一区块链的全部节点和全部用户；所有子认证服务模块，用于共同维护第二区块链；所述第二区块链用于存储所述第一区块链的全部节点和全部用户的注册信息；所述根认证服务模块用于为子认证服务模块进行授权，授权子认证服务模块提供节点准入服务和用户认证服务；其中，节点的注册信息至少包括节点的权限；用户的注册信息至少包括用户的身份信息。2.一种基于权利要求1所述的区块链的认证服务装置的节点准入方法，其特征在于，包括：S11、接收节点加入第一区块链的请求，管辖所述节点的子认证服务模块对所述请求进行审核，生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名，将所述准入凭证的数字签名写入所述第二区块链，并将所述节点的准入凭证和所述准入凭证的数字签名发送给所述节点；S12、当第一节点生成区块，将所述区块广播和所述第一节点的准入凭证至其他节点后，任一子认证服务模块根据任一所述其他节点发送的所述第一节点的准入凭证，和所述第二区块链中的所述第一节点的准入凭证，查证所述第一节点的权限，当所述第一节点具有将区块写入所述第一区块链的权限时，允许将所述区块写入所述第一区块链；其中，所述请求由所述节点根据所述节点的归属信息和公钥生成；所述准入凭证，包含所述节点的公钥、归属信息和权限；所述节点的权限根据所述节点的归属信息确定。3.根据权利要求2所述的节点准入方法，其特征在于，所述生成通过审核的所述节点的准入凭证及所述准入凭证的数字签名，将所述准入凭证的数字签名写入所述第二区块链的具体步骤包括：当所述请求通过审核时，管辖所述节点的子认证服务模块从所述请求中获取所述节点的归属信息，根据所述节点的归属信息赋予所述节点相应的权限；管辖所述节点的子认证服务模块根据所述请求和所述节点的权限，生成所述节点的准入凭证，并使用管辖所述节点的子认证服务模块的私钥生成所述准入凭证的数字签名；管辖所述节点的子认证服务模块将所述准入凭证的数字签名写入所述第二区块链，使所述节点的准入凭证存储在所述第二区块链中，并获取所述第二区块链中所述节点的准入凭证的寻址地址，将所述寻址地址加入节点注册信息列表；其中，所述节点注册信息列表，用于保存节点的准入凭证在所述第二区块链中的寻址地址，所述节点的准入凭证在所述第二区块链中的寻址地址与所述节点的公钥对应。4.根据权利要求3所述的节点准入方法，其特征在于，所述步骤S12具体包括：任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证，从所述第一节点的准入凭证中获取所述第一节点的公钥、归属信息和权限；所述任一子认证服务模块根据所述第一节点的公钥，获取所述节点注册信息列表中所述第二区块链中所述第一节点的寻址地址；根据所述第二区块链中所述第一节点的寻址地址，获取所述第二区块链中的所述第一节点的准入凭证，并根据所述第二区块链中的所述第一节点的准入凭证获取所述第一节点的归属信息和权限；所述任一子认证服务模块将根据所述其他节点发送的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限，与从根据所述第二区块链中的所述第一节点的准入凭证获得的所述第一节点的归属信息和权限，进行对比，当所述第一节点具有将区块写入所述第一区块链的权限时，允许将所述区块写入所述第一区块链；其中，所述第一节点的准入凭证由所述其他节点根据所述区块的数字签名获取，当所述第二节点验证所述区块的数字签名为合法时，所述其他节点将所述第一节点的准入凭证发送给所述任一子认证服务模块；所述区块的数字签名为所述区块的最后一个字段，所述区块的数字签名为所述区块中除签名外的其他字段的内容的数字签名。5.根据权利要求4所述的节点准入方法，其特征在于，所述任一子认证服务模块获取任一所述其他节点发送的所述第一节点的准入凭证具体包括：当任一所述其他节点接收所述区块后，...

【专利技术属性】
技术研发人员：张锐，王加贝，王提，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11