基于分布式分类账的凭证鉴别方法及系统技术方案

本发明专利技术公开自分布式分类账用以发布新增及删除角色及凭证的交易的方法与系统，该方法与系统凭证鉴别两个相互连接的服务器。该角色界定哪个服务器针对那种角色及凭证发布何种交易。当角色被请求时，新增角色及核发者凭证的两个交易被发布至分布式分类账。当具有任何角色的服务器的凭证被请求时，仅仅发布新增凭证至分布式分类账的交易。所有的交易皆经由凭证请求服务器、凭证核发服务器、以及维护分布式分类账的分布式分类账网络的执行而发布。两个相互连接的服务器可借由自分布式分类账找回凭证的方式相互确认对方身份的真实性，其具有分布式分类账技术的凭证不可变性以及可用性等优势。性等优势。性等优势。

【技术实现步骤摘要】
【国外来华专利技术】基于分布式分类账的凭证鉴别方法及系统
[0001]交叉引用
[0002]本申请要求2019年10月18日提交的、名称为“基于区块链的相互认证连接管理”的62/923,472号临时申请的优先权，其全部内容通过引用包含在本申请中。


[0003]本专利技术涉及建立凭证鉴别的通信连接的方法及系统，尤其关于利用分布式分类账技术来建立凭证鉴别的通信连接的方法及系统。

技术介绍

[0004]为了确保网络连接的安全性，相互鉴别(mutual authentication)为各个实体在通信前相互认证的安全流程。在网络环境中，客户端及服务器两者必须提供凭证以证明身份。相互鉴别流程中，客户端及服务器必须先交换、确认、并信任对方的凭证后才能建立连接。而业界已发展出传送层保全(Transport Layer Security/TLS)协定以及先前的安全套接层(Secure Socket Layer/SSL)协定凭证交换及身份确认的方案。SSL/TLS协定采用广泛使用的X.509凭证，其为由X.509标准定义的公开秘钥凭证。TX.509凭证与密码秘钥对相关联，并具有网页、个体、或组织的身份。
[0005]然而，在凭证不可变性(immutability)、凭证可用性(availability)、以及凭证历史上，X.509凭证并非完善。骇客可攻击窜改X.509凭证。一旦根凭证或任何凭证权限(CA)遭受到破坏，系统安全也将遭受破坏。X.509凭证可用性的缺点在于服务器必须具有自己的凭证数据库，这将造成不同凭证数据库之间数据不一致的状况发生。关于凭证历史方面，X.509的缺点在于X.509凭证的数据库不包含所有新增及作废凭证的记录。

技术实现思路

[0006]本专利技术的目的在于提供发布核发者资格及核发者凭证的方法及系统，用以发布服务器凭证至分布式分类账以执行凭证鉴别。当确认分布式分类账中的凭证时，在分布式分类账中新增及删除服务器凭证，该自分布式分类账由分布式分类账网络维护以改善凭证不可变性及凭证可用性。
[0007]为了达到上述目的，本专利技术公开一种经由凭证核发节点(CI)及凭证请求服务器(CR)发布核发者资格以及核发者凭证至由包含于该CI的分布式分类账网络所维护的分布式分帐的方法，该CI及该CR可相互通信，该方法包括:
[0008](a)该CI自该CR接收资格相关数据；
[0009](b)该CI签署并提交核发者资格交易至该分布式分类账；
[0010](c)当该核发者凭证的签署者并非该CR时，该CR及该CI其中之一产生并签署一核发者凭证给该CR并寄送该核发者凭证至该CR；以及
[0011](d)该核发者资格交易在该分布式分类账中产生后，该CR及该CI的其中之一签署该核发者凭证的核发者凭证交易并提交该核发者凭证交易至该分布式分类账。
[0012]为了达到上述目的，本专利技术公开一种借由一凭证核发服务器(CI)及凭证请求服务器(CR)发布服务器凭证的方法，该CI及该CR可相互通信且可与包含该CI的分布式分类账网络维护的分布式分类账相互通信，该方法包括:
[0013](a)CI自CR接收凭证相关数据；
[0014](b)该CI针对该CR产生并签署一服务器凭证并寄送该服务器凭证至该CR；以及
[0015](c)该CI签署并提交一服务器凭证交易至该分布式分类账。
[0016]为了达到上述目的，本专利技术公开一种用于一连接服务器(connecting server/CS)及一接收服务器(receiving server/RS)的凭证鉴别方法，该CS及该RS可相互通信的地相互连接且可相互通信的地连接至分布式分类账网络，该分布式分类账网络维护一分布式分类账，该方法包括:
[0017](a)该RS与该CS交换一身份识别；
[0018](b)该RS根据CS身份识别自该分布式分类账找回CS的凭证及CS凭证核发者的公开秘钥；
[0019](c)该RS以该CS凭证核发者的公开秘钥确认该CS的凭证是否真实；
[0020](d)CS的凭证确认为真实后，该RS判定该CS已被认证，并自该RS接收秘密数据。
[0021]为了达到上述目的，用于发布核发者资格及核发者凭证的分布式分类账系统包含凭证请求服务器(CR)及一分布式分类账网络。
[0022]分布式分类账网络维护分布式分类账，其可相互通信的地连接至CR，并包含凭证核发节点(CI)。该CI自该CR接收资格相关数据，签署并提交核发者资格交易至该分布式分类账。当该核发者凭证的一签署者并非该CR时，该CR及该CI其中之一产生并签署一核发者凭证给该CR并寄送该核发者凭证至该CR。该核发者资格交易在该分布式分类账中产生后，该CR及该CI的其中之一签署该核发者凭证的一核发者凭证交易并提交该核发者凭证交易至该分布式分类账。
[0023]为了达到上述目的，用于发布服务器凭证至分布式分类账的分布式分类账系统包含凭证请求服务器(CR)及一分布式分类账网络。
[0024]该分布式分类账网络包有分布式分类账，且该分布式分类账网络可相互通信的地连接至CR，并包含一凭证核发服务器(CI)。该CI自该CR接收凭证相关数据，产生并签署该CR的服务器凭证，发送该服务器凭证至该CR，并签署及提交服务器凭证交易至该分布式分类账。
[0025]为了达到上述目的，本专利技术公开了一种分布式分类账的凭证鉴别系统，包括一分布式分类账网络，连接服务器(CS)及接收服务器(RS)。
[0026]该分布式分类账网络维护分布式分类账。
[0027]该CS可相互通信的地连接至该分布式分类账网络。
[0028]该RS可相互通信的地连接至该分布式分类账网络，与该CS交换一身份识别，基于一CS身份识别自该分布式分类账找回一CS的凭证及一CS凭证核发者的公开秘钥以确认该CS的凭证是否真实，当CS的凭证确认为真实后，该RS判定该CS已被认证，并自该RS接收秘密数据。
[0029]根据以上的描述，所有具有角色或不具有角色的服务器皆具有个别的凭证，该凭证由授权的服务器自分布式分类账新增或删除。分布式分类账中的角色定义何种角色的服
务器具有新增或删除何种角色及凭证的权力，藉此以防止未被授权的个体破坏分布式分类账中的凭证及角色。而分布式分类账具有分布的(decentralized)本质。由于不具有集中的个体(centralized entity)可成为恶意行为攻击的目标，因此本专利技术更富有安全性。另外，由于分布式分类账可以复制的模式全域地展开，以避免产生单点故障。因此，发布至分布式分类账的角色及凭证可受益于分布的分类账的不可变性。根据共识机制(consensus mechanism)，分布式分类账中的凭证及角色可随时快速更新，分布式分类账中凭证及角色的不一致性将不再发生。因此，以本专利技术的方法及系统新增凭证至分布式分类账使得服务器必须以凭证鉴别的手法相互辨识身份，其对提升服务器通信的安全性极为重要。再者，分布式分类账的透明性也被视为一项本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于鉴别连接服务器CS及接收服务器RS的凭证方法，该CS、该RS可相互通信的地相互连接且可相互通信的地连接至分布式分类账网络，该分布式分类账网络保存分布式分类账，该方法包括:(a)该RS与该CS交换身份识别；(b)该RS根据CS身份识别自该分布式分类账找回CS的凭证及CS凭证核发者的公开秘钥；(c)该RS以该CS凭证核发者的公开秘钥确认该CS的凭证是否真实；以及(d)在该CS的凭证确认为真实后，该RS判定该CS已被认证，并自该RS接收秘密数据。2.如权利要求1所述的方法，其中：(1)根据RS身份识别，该CS自该分布式分类账找回RS的凭证及RS凭证核发者的公开秘钥；(2)该CS以该RS凭证核发者的公开秘钥确认该RS的凭证是否为真实；以及(3)在该RS的凭证被确认后，该CS判定该RS已被认证，并自该CS接收秘密数据。3.如权利要求2所述的方法，其中在该步骤(a)，该RS进一步与该CS交换一凭证。4.如权利要求3所述的方法，其中在该步骤(c)及(2)，该RS进一步以该CS凭证核发者的公开秘钥确认该交换的CS的凭证及找回的该CS的凭证是否匹配，且该CS进一步以该RS凭证核发者的公开秘钥确认该交换的RS的凭证及找回的该RS的凭证是否匹配。5.如权利要求1所述的方法，其中该CS身份识别为该CS之一主题备用名称，而该RS身份识别为该RS的主题备用名称。6.如权利要求1所述的方法，其中，在该步骤(c)，该RS初始化该CS的凭证作为一目前凭证，并循环找回一下个凭证，其中该下个凭证以该下个凭证的一凭证核发者的一私密秘钥签署该目前凭证，利用该下个凭证中的该公开秘钥确认该目前凭证，以及当目前凭证已被确认，或者一确认条件已被满足时，判定该CS的凭证被确认为真实，否则的话，更新该当前凭证为该下个凭证；以及在该步骤(2)，该CS初始化该RS的凭证作为目前凭证，并循环找回下个凭证，该下个凭证以该下个凭证的凭证核发者的私密秘钥签署该目前凭证，利用该下个凭证中的该公开秘钥确认该目前凭证，以及当目前凭证已被确认，或者确认条件已被满足时，判定该RS的凭证被确认为真实，否则的话，更新该当前凭证至该下个凭证。7.一种经由凭证核发节点CI及凭证请求服务器CR发布核发者资格以及核发者凭证至分布式帐本的方法，该CI及该CR可相互通信，该分布式帐本为一分布式帐本网络所维持，且该分布式帐本网络包含该CI，该方法包括:(a)该CI自该CR接收资格相关数据；(b)该CI签署并提交一核发者资格交易至该分布式帐本；(c)当该核发者凭证的一签署者并非该CR时，该CR及该CI其中之一产生并签署用于该CR的一核发者凭证并传送该核发者凭证至该CR；以及(d)在该核发者资格交易在该分布式帐本中产生后，具有该核发者凭证的该CR及该CI的其中之一签署核发者凭证交易并提交该核发者凭证交易至该分布式帐本。8.如权利要求7所述的方法，其中与资格相关的数据包含一分布标识DID、一帐本公开秘钥及该CR的角色。
9.如权利要求7所述的方法，其中，该核发者资格交易包含新增至该分布式分类账的DID及该CR之一分类账公开秘钥，CI的DID，以及CR的角色。10.如权利要求7所述的方法，其中，该CI以CI的分类账私密秘钥签署该核发者资格交易。11.如权利要求9所述的方法，其中该核发者凭证交易包含提交者的DID，凭证识别，该核发者凭证，以及该提交者之一签名，其中该凭证识别为该核发者凭证之一哈希值，该核发者凭证包含身份识别及该CR的凭证公开秘钥，该CR的可选的角色，以及由该核发者凭证的该凭证签署者的凭证私密秘钥所签署的签名。12.如权利要求11所述的方法，其中该CR的身份识别为主题备用名称。13.如权利要求7所述的方法，其中核发者凭证交易提交者以其帐本私密秘钥签署该核发者凭证交易，当该核发者凭证交易由该CR提交时，该分布式帐本网络包含该CR，而当该核发者凭证交易由该CI提交时，该分布式帐本网络不包含该CR。14.如权利要求9所述的方法，其中欲新增至该分布式帐本的该CR的角色为受托人，而分布式帐本中该CI的角色为受托人群体，该受托人群体被定义为该分布式帐本中具有该受托人角色的至少一个服务器的绝对多数的核发角色，且该CI包含该至少一个服务器的该绝对多数。15.如权利要求14所述的方法，其中欲新增至该分布式帐本的该CR的角色为操作者，且该分布式帐本中该CI的角色为受托人或操作者。16.如权利要求14所述的方法，其中在该步骤(c)，该CR产生该核发者凭证并以该CR的一凭证私密秘钥签署该核发者凭证，该CR的该凭证私密秘钥可与该CR的该凭证公开秘钥配对。17.如权利要...

【专利技术属性】
技术研发人员：李家欣，符思宁，
申请(专利权)人：电信区块链联盟软件公司，
类型：发明
国别省市：