【技术实现步骤摘要】
本专利技术涉及区块链安全,尤其涉及一种基于ca认证体系的安全访问控制方法。
技术介绍
1、近年来,由于大众对于加密货币的兴趣爆炸式增长,区块链技术越来越受到关注,有关区块链技术的讨论愈演愈烈,它已经在逐渐改变人们的生活方式,并且持续在某些领域造成影响。伴随而来的也有质疑以及对区块链安全问题的思考。现区块链网络框架并不具备高级的访问控制方法,具体地来说,区块链网络主要关注共识层以及网络通信,现有区块链网络中节点是匿名的,允许未经授权的节点参与共识过程或提交恶意交易,网络安全性无法得到保障。而且没有新普通节点加入的机制,无法满足现实应用需求。在区块链网络中加入基于ca认证体系的安全访问控制方法,可实现节点访问时的身份认证及授权,同时节点可以相互认证,有助于建立安全的节点间通信,且对于医疗、公安、交通、教育等多个领域的现实应用场景都具有重要安全意义。因此有必要设计一种基于ca认证体系的安全访问控制方法,以解决上述中区块链缺乏访问控制技术的问题。
2、专利cn201710265307提供了一种基于数字证书以及ca认证体系的联盟链权限控制方法,其中证书的生成等操作需要引入可信的第三方,而第三方生成的证书可能不被所有人都信任。如果第三方的声誉不佳或不为广泛接受,那么证书可能会被怀疑或拒绝;不诚实的第三方可能会生成伪造的证书,虽然看起来合法,但实际上并不符合真实情况。这可能导致欺骗和安全风险;如果第三方生成证书需要获取用户的敏感信息,如个人身份证明或财务信息,那么用户的隐私可能会受到威胁;使用第三方生成证书可能会使组织过于依赖该第
技术实现思路
1、本专利技术要解决的技术问题是针对上述现有技术的不足,提供一种基于ca认证体系的安全访问控制方法,实现区块链的安全访问控制。
2、为解决上述技术问题,本专利技术所采取的技术方案是:一种基于ca认证体系的安全访问控制方法,在现有区块链网络中的验证节点基础上加入ca节点,不需要第三方生成节点证书,验证节点在初始化时会向ca节点发出请求以获取节点证书;在验证节点建立通信连接时,验证节点核验证书是否合法以确认是否建立连接;验证节点将定时维护自己的地址簿确保已建立连接的节点证书的合法性;同时设置新节点加入机制,ca节点会向已有节点广播新节点信息;ca节点也可吊销恶意节点证书并广播通知其他验证节点,从而维护地址簿的完整性和验证者集合的可信性。具体包括以下步骤:
3、1)创建并初始化验证节点和ca节点;
4、在区块链网络中的验证节点基础上增加入ca节点,其中验证节点分为创世节点以及普通节点;
5、所述ca节点的创建以及初始化时会生成ca节点配置文件、根证书以及ca节点自己的证书,即ca证书;其中,根证书由自签生成,ca证书由根证书签发,ca证书签发其他普通证书;
6、验证节点的初始化分两种情况,若是创世节点,则需要生成创世文件并保存在数据库中,以供普通节点获取;若是普通节点,其创世文件从数据库中获取并保存在本地;
7、2)验证节点和ca节点启动;
8、在ca节点启动的时候会启动ca reactor,在ca reactor中启动各种ca服务,包括恶意节点的证书吊销服务,新普通节点的证书颁发服务和节点证书维护,并且开启两个协程;恶意节点的证书吊销服务指若某一普通节点有恶意操作则会由ca节点撤销其证书并且广播;新普通节点的证书颁发服务指在新节点启动的时候,ca节点会根据新普通节点的id颁发证书并且在新普通节点启动的时候广播新普通节点信息以供旧节点与新节点建立通信;节点证书维护指ca节点会定时广播节点信息,以供验证节点维护自己的地址簿和验证者集合,确保已建立连接的节点的证书合法性;
9、验证节点启动时会启动除ca reactor以外的reactor,并且会对地址簿中的验证节点进行拨号,建立安全通信;
10、3)节点间通信验证:
11、当一个验证节点和其他验证节点要连接通信的时候,会将验证节点自身的证书以及签名传给对方验证节点,让其验证证书的合法性,具体包括判断证书是否撤销或者过期、签发者是否为ca节点、以及签名的有效性;只有验证通过才可以建立连接通信,若证书合法性验证不通过则建立连接通信失败;
12、4)节点证书维护:
13、ca节点不负责其他节点证书的维护,只负责节点证书的颁发、延期和撤销,验证节点则只负责维护自己的证书;
14、延期证书:当验证节点的证书临近过期的时候或者已经过期的时候,验证节点会主动向ca节点申请证书延期;延期之后证书内容会发生改变,证书延期的验证节点需重新与其他节点建立连接,并更新地址簿内的证书信息;
15、5)新普通节点加入:
16、ca节点会将新普通节点的信息广播给其他验证节点以供网络中已有验证节点与新验证节点建立通信;新普通节点加入后也会向ca节点发出请求获取其他验证节点信息,主动向其他验证节点拨号建立连接;
17、6)恶意节点删除:
18、当验证节点变成作恶节点或者有非法行为,ca节点则吊销该验证节点证书并且在吊销之后进行广播,使得所有节点主动更新自己的地址簿和验证者集合,剔除恶意节点;
19、进一步地,所述ca节点初始化,就是初始化一个证书颁发机构(certificateauthority,ca)节点,用于管理数字证书的颁发和管理,进行设置根目录和加载配置,创建相关目录,配置p2p网络参数,创建ca节点的密钥,执行初始化任务,配置私有验证器,包括密钥文件和状态文件,若密钥文件存在则加载现有私有验证器,否则,生成新的私有验证器,私有验证器用于区块签名和共识过程中的验证,之后还有配置创世文件,用于初始化区块链,若创世文件存在,则记录已找到的创世文件,否则生成新的创世文件。进一步地,所述ca reactor启动了ca服务以及ca监听器,并且开启两个协程,分别负责验证节点信息广播和验证者信息广播,前者用于在tendermint区块链网络中同步验证节点信息,以确保网络中的所有验证节点都具有最新的信息,后者用于在tendermint区块链网络中同步验证器信息。
20、进一步地,当启动和运行ca节点时,首先进行配置初始化,确保ca节点具有正确的设置;初始化日志和数据库,以便有效地记录ca节点运行信息和管理数据;进行ca创世块hash的检查,以验证ca节点的初始状态;然后启动ca节点,配置网络连接,加载证书和密钥,以协同工作;记录ca节点的启动信息以进行监控和故障排除;ca节点进入运行循环,执行共识和证书管理任务,保持网络的正常运行;同时,ca节点监听操作或终止信号,根据接收到的信号执行相应操作。
21、ca节点调用x.509数字证书模块中的方法来实现对验证节点的证书进行管理验证操作。
22、进一步地,所述ca节点还能用于实现颁发证书功能、查询证书功能、延期证书功能、本文档来自技高网...
【技术保护点】
1.一种基于CA认证体系的安全访问控制方法,其特征在于:在现有区块链网络中的验证节点基础上加入CA节点,不需要第三方生成节点证书,验证节点在初始化时会向CA节点发出请求以获取节点证书;在验证节点建立通信连接时,验证节点核验证书是否合法以确认是否建立连接;验证节点将定时维护自己的地址簿确保已建立连接的节点证书的合法性;同时设置新节点加入机制,CA节点会向已有节点广播新节点信息;CA节点也可吊销恶意节点证书并广播通知其他验证节点,从而维护地址簿的完整性和验证者集合的可信性。
2.根据权利要求1所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述方法包括以下步骤:
3.根据权利要求2所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述CA节点初始化,就是初始化一个证书颁发机构节点,用于管理数字证书的颁发和管理,进行设置根目录和加载配置,创建相关目录,配置P2P网络参数,创建CA节点的密钥,执行初始化任务,配置私有验证器,包括密钥文件和状态文件,若密钥文件存在则加载现有私有验证器,否则,生成新的私有验证器,私有验证器用于区块签名和共识过程中的验
4.根据权利要求3所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述CA Reactor启动了CA服务以及CA监听器,并且开启两个协程,分别负责验证节点信息广播和验证者信息广播,前者用于在Tendermint区块链网络中同步验证节点信息,以确保网络中的所有验证节点都具有最新的信息,后者用于在Tendermint区块链网络中同步验证器信息。
5.根据权利要求4所述的一种基于CA认证体系的安全访问控制方法,其特征在于:当启动和运行CA节点时,首先进行配置初始化,确保CA节点具有正确的设置;初始化日志和数据库,以便有效地记录CA节点运行信息和管理数据;进行CA创世块Hash的检查,以验证CA节点的初始状态;然后启动CA节点,配置网络连接,加载证书和密钥,以协同工作;记录CA节点的启动信息以进行监控和故障排除;CA节点进入运行循环,执行共识和证书管理任务,保持网络的正常运行;同时,CA节点监听操作或终止信号,根据接收到的信号执行相应操作;
6.根据权利要求5所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述CA节点还能用于实现颁发证书功能、查询证书功能、延期证书功能、撤销证书功能、判断证书是否撤销或者过期功能、验证证书功能以及验证数字签名功能。
7.根据权利要求6所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述颁发证书功能为:验证节点向CA节点交互并且获取证书,获取请求中包含用户信息参数,之后向HTTP服务器发送POST请求,处理响应,生成证书逻辑由CA节点来执行。
8.根据权利要求7所述的一种基于CA认证体系的安全访问控制方法,其特征在于:
9.根据权利要求8所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述判断证书是否撤销或者过期的功能为:先调用查询证书的方法进行证书信息查询,查询不到则返回错误,查询到了便进行下一步操作,检查证书是否已经被吊销,若被吊销则返回吊销证书的错误,若没有被吊销则获取证书过期时间,获取当前时间,比较两个时间,若证书的过期时间在当前时间之前,则返回过期证书的错误,若该证书既没有被吊销又没有过期,则返回证书有效。
10.根据权利要求9所述的一种基于CA认证体系的安全访问控制方法,其特征在于:所述验证证书功能为:先调用查询证书的方法进行查询证书信息,查询不到则返回错误,查询到了便进行下一步操作,检验证书是否被吊销,若被吊销,则将尝试延迟证书,并将延迟的证书内容用于后续的验证,之后将传入的证书内容进行解码,并将其转换为X.509证书对象;创建一个证书池,将证书添加到证书池中,证书池是建立数字证书验证和信任的核心组件,存储了受信任的证书,用于验证其他证书的有效性和签发证书机构的信任,之后使用X.509标准库中的函数验证传入的证书是否有效,若验证失败则返回错误。
...【技术特征摘要】
1.一种基于ca认证体系的安全访问控制方法,其特征在于:在现有区块链网络中的验证节点基础上加入ca节点,不需要第三方生成节点证书,验证节点在初始化时会向ca节点发出请求以获取节点证书;在验证节点建立通信连接时,验证节点核验证书是否合法以确认是否建立连接;验证节点将定时维护自己的地址簿确保已建立连接的节点证书的合法性;同时设置新节点加入机制,ca节点会向已有节点广播新节点信息;ca节点也可吊销恶意节点证书并广播通知其他验证节点,从而维护地址簿的完整性和验证者集合的可信性。
2.根据权利要求1所述的一种基于ca认证体系的安全访问控制方法,其特征在于:所述方法包括以下步骤:
3.根据权利要求2所述的一种基于ca认证体系的安全访问控制方法,其特征在于:所述ca节点初始化,就是初始化一个证书颁发机构节点,用于管理数字证书的颁发和管理,进行设置根目录和加载配置,创建相关目录,配置p2p网络参数,创建ca节点的密钥,执行初始化任务,配置私有验证器,包括密钥文件和状态文件,若密钥文件存在则加载现有私有验证器,否则,生成新的私有验证器,私有验证器用于区块签名和共识过程中的验证,之后还有配置创世文件,用于初始化区块链,若创世文件存在,则记录已找到的创世文件,否则生成新的创世文件。
4.根据权利要求3所述的一种基于ca认证体系的安全访问控制方法,其特征在于:所述ca reactor启动了ca服务以及ca监听器,并且开启两个协程,分别负责验证节点信息广播和验证者信息广播,前者用于在tendermint区块链网络中同步验证节点信息,以确保网络中的所有验证节点都具有最新的信息,后者用于在tendermint区块链网络中同步验证器信息。
5.根据权利要求4所述的一种基于ca认证体系的安全访问控制方法,其特征在于:当启动和运行ca节点时,首先进行配置初始化,确保ca节点具有正确的设置;初始化日志和数据库,以便有效地记录ca节点运行信息和管理数据;进行ca创世块hash的检查,以验证ca节点的初始状态;然后启动ca节点,配置网络连...
【专利技术属性】
技术研发人员:赵相国,周俊杰,郑重阳,要鑫,毕鑫,袁野,
申请(专利权)人:东北大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。