一种区块链联盟链节点私钥的保护方法技术

本发明专利技术公开了一种区块链联盟链节点私钥的保护方法

【技术实现步骤摘要】
一种区块链联盟链节点私钥的保护方法、装置及存储介质


[0001]本专利技术涉及一种区块链联盟链节点私钥的保护方法
、
装置及存储介质，属于区块链联盟链

。

技术介绍

[0002]在联盟链中，每个区块链节点都有自己的公私钥对，私钥一般是存储在本地磁盘中，为了私钥安全，市场上一般采用以下三种技术对私钥进行保护
。
[0003]1.
私钥采用对称加密算法加密后存储在磁盘中，对称加密的密钥硬编码在代码程序中
。
基于此种模式，可以保护私钥安全，即使服务器被攻破，也无法轻易获取明文状态的私钥
。
[0004]2.
将私钥托管在
KMS
中，本地保存
KMS
访问所需的参数信息
。
此种方式下，私钥可以获得更好的保护，攻击者无法获取节点的私钥信息
。
[0005]3.
采用
HSM
硬件安全模块，将私钥存储在
HSM
中
。
相较于
KMS
模式，
HSM
模式会更安全，但限制和成本也更高
。
[0006]虽然基于区块链节点的私钥保护有多种方案，但各个方案依然有缺点和问题
。
[0007]1.
私钥加密存储在磁盘中，攻击者无法轻易获取明文私钥，但此种模式有个弊端，一般情况下加密密钥是硬编码于区块链节点代码中，攻击者通过对区块链节点进行反汇编，可以获取到加密密钥，最终解密获得明文私钥导致私钥泄露
。
[0008]2.
通过引入
KMS
，本地存储
KMS
相关信息，相较于第一种方案，此种方式能很好的防止私钥泄露，但无法防止
KMS
访问信息泄露，导致私钥被外部使用
。
间接导致私钥泄露
。
[0009]3.
基于本地化的
HSM
硬件加密模块，此种方式能很好的防止私钥泄露，但成本较高，需要部署节点的机构方购买硬件加密机，通过
USB
接口接入物理机
。
现在系统部署方式基本都是采用
k8s
容器化部署，物理机方式已经很少使用，导致通过
USB
的
HSM
现在很少被使用
。

技术实现思路

[0010]本专利技术的目的在于克服现有技术中的不足，提供一种区块链联盟链节点私钥的保护方法
、
装置及存储介质，整个环节中私钥均存储于内存中，攻击者无法从磁盘中获取节点公私钥信息
。
[0011]为达到上述目的，本专利技术是采用下述技术方案实现的：
[0012]第一方面，本专利技术提供了一种区块链联盟链节点私钥的保护方法，适用于
Bass
平台，所述方法包括：
[0013]接收添加节点的请求，生成
token
信息，发送
token
信息至区块链节点，其中
token
信息中具有
Baas
平台自持的签名；
[0014]接收区块链节点发送的证书签名请求文件
CSR、token
信息以及签名，检查
CSR、token
信息以及签名是否有效，并将
CSR
转发给
CA
服务器获取证书；
[0015]销毁
token
信息，并将证书作为信息返回至区块链节点使得节点加载证书后正常启动
。
[0016]进一步的，定时检测节点状态，如发现节点状态持续异常，则将相应的证书进行销毁，放入
CRL
证书吊销列表中，同时将
CRL
证书吊销列表同步到联盟链网络
。
[0017]进一步的，所述
token
信息中包含
token
用途
、
使用方式
、
机构信息以及过期时间
。
[0018]第二方面，本专利技术提供了一种区块链联盟链节点私钥的保护方法，适用于区块链节点，所述方法包括：
[0019]接收
Bass
平台发送的
token
信息，基于
SM2
算法生成公私钥对，并将私钥存储于内存中，其中
token
信息中具有
Baas
平台自持的签名；
[0020]基于公私钥对和
token
信息生成证书签名请求文件
CSR
，将
CSR、token
信息以及签名发送给
Baas
平台；
[0021]接收
Baas
平台返回的证书，加载证书，节点正常启动，验证节点身份，并加入联盟链网络，同步数据
。
[0022]进一步的，将所述私钥存储于内存中后，使用
memoryguard
对此部分内存进行内存保护
。
[0023]第三方面，本专利技术提供了一种区块链联盟链节点私钥的保护系统，包括：
Bass
平台和区块链节点，其中：
[0024]Bass
平台用于收到添加节点的请求，生成
token
信息，发送
token
信息至区块链节点，其中
token
信息中具有
Baas
平台自持的签名；
[0025]区块链节点用于接收
token
信息后，基于
SM2
算法生成公私钥对，并将私钥存储于内存中；
[0026]区块链节点用于基于公私钥对和
token
信息生成证书签名请求文件
CSR
，将
CSR、token
信息以及签名发送给
Baas
平台；
[0027]Baas
平台用于检查
CSR、token
信息以及签名是否有效，并将
CSR
转发给
CA
服务器获取证书；
[0028]Baas
平台用于销毁
token
信息，并将证书作为信息返回至区块链节点；
[0029]区块链节点用于加载证书，节点正常启动，验证节点身份，并加入联盟链网络，同步数据
。
[0030]第四方面，本专利技术提供了一种区块链联盟链节点私钥的保护装置，包括：
[0031]token
信息生成模块，用于接收添加节点的请求，生成
token
信息，发送
token
信息至区块链节点，其中
token
信息中具有
Baas
平台自持的签名；
[0032]证书获本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种区块链联盟链节点私钥的保护方法，其特征在于，适用于
Bass
平台，所述方法包括：接收添加节点的请求，生成
token
信息，发送
token
信息至区块链节点，其中
token
信息中具有
Baas
平台自持的签名；接收区块链节点发送的证书签名请求文件
CSR、token
信息以及签名，检查
CSR、token
信息以及签名是否有效，并将
CSR
转发给
CA
服务器获取证书；销毁
token
信息，并将证书作为信息返回至区块链节点使得节点加载证书后正常启动
。2.
根据权利要求1所述的区块链联盟链节点私钥的保护方法，其特征在于，定时检测节点状态，如发现节点状态持续异常，则将相应的证书进行销毁，放入
CRL
证书吊销列表中，同时将
CRL
证书吊销列表同步到联盟链网络
。3.
根据权利要求1所述的区块链联盟链节点私钥的保护方法，其特征在于，所述
token
信息中包含
token
用途
、
使用方式
、
机构信息以及过期时间
。4.
一种区块链联盟链节点私钥的保护方法，其特征在于，适用于区块链节点，所述方法包括：接收
Bass
平台发送的
token
信息，基于
SM2
算法生成公私钥对，并将私钥存储于内存中，其中
token
信息中具有
Baas
平台自持的签名；基于公私钥对和
token
信息生成证书签名请求文件
CSR
，将
CSR、token
信息以及签名发送给
Baas
平台；接收
Baas
平台返回的证书，加载证书，节点正常启动，验证节点身份，并加入联盟链网络，同步数据
。5.
根据权利要求1所述的区块链联盟链节点私钥的保护方法，其特征在于，将所述私钥存储于内存中后，使用
memoryguard
对此部分内存进行内存保护
。6.
一种区块链联盟链节点私钥的保护系统，其特征在于，包括：
Bass
平台和区块链节点，其中：
Bass
平台用于收到添加节点的请求，生成
token
信息，发送
token
信息至区块链节点，其中
token
信息中具有
Baas
平台自持的签名；区块链节点用于接收
token
信息后，基...

【专利技术属性】
技术研发人员：冯世伟，王可，王玲，
申请(专利权)人：华泰证券股份有限公司，
类型：发明
国别省市：