【技术实现步骤摘要】
一种基于区块链的PKI保护CA隐私的方法
[0001]本专利技术属于区块链技术应用领域,主要涉及一种基于区块链的PKI保护CA隐私的方法。
技术介绍
[0002]如今,随着互联网的普及,人们越来越重视网络通信中的隐私和安全。作为网络通信中常用的加密协议,传输层安全协议(TLS)为网络通信提供安全性和数据完整性。特别是TLS中的身份认证和安全通信是建立在公钥基础设施(PKI)的基础上的。PKI使用公钥数字证书来验证网站的身份,它的核心组件是证书颁发机构(CA),CA负责颁发、管理和撤销证书。因此,PKI的安全性在很大程度上依赖于向网站颁发TLS证书的CA。
[0003]然而,近年来CA出现的诸多安全漏洞给现实中的安全通信带来了极大的挑战,例如CA单点故障、高价值域容易受针对性攻击、注册中心(RA)审核不严、CA权利过大可为网络中的任何域颁发证书等问题。
[0004]区块链的引入为解决传统PKI中所出现的问题或挑战提供了思路,区块链的去中心化、不可篡改、可追溯等特性与PKI体系很好地契合,同时兼顾了低成本信任和公共可审计性,为解决CA的单点故障和CA的不当行为提供了解决方案。
[0005]但是,已有的基于区块链的PKI方案仍存在单个CA的权利过大,签发CA存在隐私泄露等问题,以及区块链所带来的证书操作效率不高,证书响应缓慢问题。
技术实现思路
[0006]针对上述问题,本专利技术提出了一种基于区块链的PKI保护CA隐私的方法,使用可链接环签名与基于区块链的PKI相结合,解决签发CA ...
【技术保护点】
【技术特征摘要】
1.一种基于区块链的PKI保护CA隐私的方法,其特征在于,包括如下步骤:步骤1:生成用户的私钥和公钥,以及椭圆曲线相应的参数;步骤2:签发CA利用私钥sk
π
和同级证书颁发机构CA公钥列表L生成对消息m的可链接环签名;步骤3:域所有者的信息经注册中心RA审核通过后,环CA为域所有者执行证书注册操作;步骤4:域所有者在证书到期之前向环CA申请更新证书,环CA验证通过后为域所有者执行证书更新操作;步骤5:域所有者的个人信息发生变更、证书的私钥丢失或泄漏时向环CA申请撤销证书,环CA验证通过后为域所有者执行证书撤销操作;步骤6:当客户端向域发起传输层安全协议TLS连接请求时,客户端通过区块链和证书撤销列表CRL验证该证书的有效性与真实性,证书验证通过后,客户端与域建立TLS连接。2.根据权利要求1所述的基于区块链的PKI保护CA隐私的方法,其特征在于,步骤1具体过程如下:步骤1.1:选择一个大素数p,E(F
p
)是定义在有限域F
p
上的椭圆曲线;给定一个椭圆曲线上的点构成的加法群该群的阶为质数q,设G是群的生成元;步骤1.2:为两个安全的哈希函数;步骤1.3:随机选取用户的私钥为计算公钥为PK
i
=sk
i
·
G。3.根据权利要求2所述的基于区块链的PKI保护CA隐私的方法,其特征在于,步骤2具体过程如下:步骤2.1:签发CA随机选取n
‑
1个同级CA的公钥和签发CA自身的公钥,组成公钥列表L={PK1,PK2,...,PK
n
},签发CA为第π(1≤π≤n)个用户,签发CA利用私钥sk
π
和同级CA公钥列表L生成对消息m的可链接环签名;步骤2.2:计算链接标签Q
π
=sk
π
·
H
p
(PK
π
);步骤2.3:选择一个随机数计算c
π+1
=H1(L,Q
π
,m,k
π
·
G,k
π
·
H
p
(PK
π
));步骤2.4:选择一个随机数和标量c
i
,计算L
i
=s
i
·
G+c
i
·
PK
i
;R
i
=s
i
·
H
p
(PK
i
)+c
i
·
Q
π
;c
i+1
=H1(L,Q
π
,m,L
i
,R
i
);其中记c1=c
n+1
;步骤2.5:计算s
π
=(k
π
‑
c
π
·
sk
π
)mod q;步骤2.6:输出可链接环签名σ
L
(m)=(Q
π
,c1,s1,...,s
n...
【专利技术属性】
技术研发人员:游林,梁伟彪,林传旭,饶志远,陆逸,胡耿然,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。