一种密钥管理方法及装置制造方法及图纸

本发明专利技术公开了一种密钥管理方法及装置，包括：追踪机构获取认证节点发送的身份验证信息；身份验证信息包括用户节点的伪身份信息；伪身份信息是追踪机构根据用户节点的真实身份信息确定的；追踪机构根据第一区块链和第二区块链确定伪身份信息是否为有效伪身份信息；第一区块链用于记录有效伪身份信息；第二区块链用于记录无效伪身份信息；若是，则生成伪身份信息的验证通过结果，并将验证通过结果发送至认证节点，以此防止攻击者通过无效公钥传播虚假消息，避免密钥生成中心和用户节点增加过大的计算负担，伪身份信息还提高了用户节点的安全性和隐私性，区块链还防止了伪身份信息被篡改，提升了伪身份信息的准确性。提升了伪身份信息的准确性。提升了伪身份信息的准确性。

【技术实现步骤摘要】
一种密钥管理方法及装置


[0001]本专利技术涉及金融科技(Fintech)领域，尤其涉及一种密钥管理方法及装置。

技术介绍

[0002]随着计算机技术的发展，越来越多的技术(例如：区块链、云计算或大数据)应用在金融领域，传统金融业正在逐步向金融科技转变，大数据技术也不例外，但由于金融、支付行业的安全性、实时性要求，也对大数据技术中用户节点的密钥管理提出了更高的要求。
[0003]目前的认证机制，主要包括基于身份加密和基于无证书公钥加密的机制。其中，基于无证书公钥加密的机制是由用户节点生成公钥和私钥，公钥是用户节点根据选取的秘密值确定的，私钥是用户节点根据该秘密值和密钥生成中心产生的部分私钥确定的，部分私钥是密钥生成中心是根据用户节点的身份信息确定的。
[0004]然后用户节点将要传播的消息进行签名，再由认证节点验证签名的安全性和有效性。在现有技术中，针对上述验证过程，存在攻击者通过用户节点撤销或过期后的公钥(即无效的公钥)来传播虚假消息，也就是说，无法确定出无效的公钥。
[0005]为了防止上述攻击，目前是在确定某用户节点撤销公钥时，通过密钥生成中心更新其他用户节点的部分私钥，使其他用户节点更新自己的私钥，以此来防止上述攻击，但此方法需要对全网中其他用户节点的部分私钥进行更新，导致极大的增加了密钥生成中心的计算负担。
[0006]因此，现在需要一种密钥管理方法，来确定出撤销或过期后的公钥，防止攻击者通过撤销或过期后的公钥传播虚假消息的同时，避免用户节点和密钥生成中心增加过大的计算负担。

技术实现思路

[0007]本专利技术实施例提供一种密钥管理方法及装置，用于防止攻击者通过无效的公钥传播虚假消息的同时，避免用户节点和密钥生成中心增加过大的计算负担。
[0008]第一方面，本专利技术实施例提供一种密钥管理方法，包括：
[0009]追踪机构获取认证节点发送的身份验证信息；所述身份验证信息包括用户节点的伪身份信息；所述伪身份信息是所述追踪机构根据所述用户节点的真实身份信息确定的；
[0010]所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息；所述第一区块链用于记录有效伪身份信息；所述第二区块链用于记录无效伪身份信息；
[0011]若是，则生成所述伪身份信息的验证通过结果，并将所述验证通过结果发送至所述认证节点。
[0012]上述技术方案中，在认证节点发送用户节点的消息之前，通过验证用户节点的伪身份信息来确定该用户节点是否为有效用户节点，以防止攻击者发送虚假消息，具体的，通过确定伪身份信息是否记录在第一区块链和/或第二区块链上，也就是说，通过第一区块链
和第二区块链可以确定出该伪身份信息是否为有效的，进而确定该伪身份信息对应的公钥是否为有效公钥，以此防止攻击者通过无效公钥传播虚假消息，且不需要更新用户节点的私钥和密钥生成中心的部分私钥就可以确定无效公钥，以此避免密钥生成中心和用户节点增加过大的计算负担，进一步地，使用伪身份信息来验证对应的用户节点可以提高用户节点的安全性和隐私性，通过第一区块链和第二区块链来确定伪身份信息是否有效，可以增加确定伪身份信息是否有效的准确性，防止伪身份信息被篡改，提升伪身份信息的准确性。
[0013]可选的，所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息，包括：
[0014]所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，则确定所述伪身份信息为有效伪身份信息；
[0015]所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息未记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息；
[0016]所述第一计数布隆过滤器为所述第一区块链上最新区块的计数布隆过滤器；所述第二计数布隆过滤器为所述第二区块链上最新区块的计数布隆过滤器。
[0017]上述技术方案中，根据第一计数布隆过滤器和第二计数布隆过滤器来确定伪身份信息是否记录在第一区块链和/第二区块链上，以提升确定伪身份信息有效性的效率，通过两个计数布隆过滤器还可以降低布隆过滤器假阳性的问题，提升确定伪身份信息有效性的准确率。
[0018]可选的，所述方法还包括：
[0019]所述追踪机构若根据所述第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则根据所述伪身份信息对应的区块高确定所述伪身份信息是否记录在所述第二区块链上；
[0020]所述追踪机构若根据所述伪身份信息对应的区块高确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息。
[0021]上述技术方案中，若根据第一计数布隆过滤器和第二计数布隆过滤器确定伪身份信息既记录在第一区块链上，又记录在第二区块链上，则第一计数布隆过滤器和第二计数布隆过滤器出现了假阳性问题，此时根据伪身份信息对应的区块高在第二区块链上查询伪身份信息对应的区块，根据该区块中记录的交易确定伪身份信息是否在第二区块链上，即确定伪身份信息是否为无效伪身份信息，以此提升确定伪身份信息有效性的准确率。
[0022]可选的，所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，包括：
[0023]所述追踪机构根据各预设哈希函数，确定所述伪身份信息的各哈希值；
[0024]所述追踪机构基于所述各哈希值确定所述各哈希值对应在所述第一计数布隆过滤器数组上的各槽位值和对应在所述第二计数布隆过滤器数组上的各槽位值；
[0025]所述追踪机构若确定所述第一计数布隆过滤器数组上的各槽位值不为0，则确定
所述伪身份信息存在于所述第一计数布隆过滤器；所述第一计数布隆过滤器用于表征所述伪身份信息是否记录在所述第一区块链上；
[0026]所述追踪机构若确定所述第二计数布隆过滤器数组上的各槽位值中任一槽位值为0，则确定所述伪身份信息未存在于所述第二计数布隆过滤器；所述第二计数布隆过滤器用于表征所述伪身份信息是否记录在所述第二区块链上。
[0027]上述技术方案中，根据伪身份信息的各哈希值和对应的槽位值来确定伪身份信息是否存在第一计数布隆过滤器和/或第二计数布隆过滤器，以此来提升确定伪身份信息有效性的效率。
[0028]可选的，根据所述用户节点的真实身份信息确定所述伪身份信息，包括：
[0029]所述追踪机构获取用户节点发送的创建指示；所述创建指示包括所述用户节点的真实身份信息、第一信息和第一验证值；所述第一信息是所述用户节点基于所述真实身份信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥管理方法，其特征在于，包括：追踪机构获取认证节点发送的身份验证信息；所述身份验证信息包括用户节点的伪身份信息；所述伪身份信息是所述追踪机构根据所述用户节点的真实身份信息确定的；所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息；所述第一区块链用于记录有效伪身份信息；所述第二区块链用于记录无效伪身份信息；若是，则生成所述伪身份信息的验证通过结果，并将所述验证通过结果发送至所述认证节点。2.如权利要求1所述的方法，其特征在于，所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息，包括：所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，则确定所述伪身份信息为有效伪身份信息；所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息未记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息；所述第一计数布隆过滤器为所述第一区块链上最新区块的计数布隆过滤器；所述第二计数布隆过滤器为所述第二区块链上最新区块的计数布隆过滤器。3.如权利要求2所述的方法，其特征在于，所述方法还包括：所述追踪机构若根据所述第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则根据所述伪身份信息对应的区块高确定所述伪身份信息是否记录在所述第二区块链上；所述追踪机构若根据所述伪身份信息对应的区块高确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息。4.如权利要求2所述的方法，其特征在于，所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，包括：所述追踪机构根据各预设哈希函数，确定所述伪身份信息的各哈希值；所述追踪机构基于所述各哈希值确定所述各哈希值对应在所述第一计数布隆过滤器数组上的各槽位值和对应在所述第二计数布隆过滤器数组上的各槽位值；所述追踪机构若确定所述第一计数布隆过滤器数组上的各槽位值不为0，则确定所述伪身份信息存在于所述第一计数布隆过滤器；所述第一计数布隆过滤器用于表征所述伪身份信息是否记录在所述第一区块链上；所述追踪机构若确定所述第二计数布隆过滤器数组上的各槽位值中任一槽位值为0，则确定所述伪身份信息未存在于所述第二计数布隆过滤器；所述第二计数布隆过滤器用于表征所述伪身份信息是否记录在所述第二区块链上。5.如权利要求1至4任一项所述的方法，其特征在于，根据所述用户节点的真实身份信息确定所述伪身份信息，包括：
所述追踪机构获取用户节点发送的创建指示；所述创建指示包括所述用户节点的真实身份信息、第一信息和第一验证值；所述第一信息是所述用户节点基于所述真实身份信息和第一秘密值确定的；所述第一秘密值是所述用户节点选择的；所述第一验证值是所述用户节点根据所述第一秘密值和所述第一信息确定的；所述追踪机构根据所述第一验证值对所述第一信息验证通过后，基于所述真实身份信息，根据所述追踪机构的主秘钥确定第二信息；所述主秘钥是根据预设椭圆曲线确定的；所述追踪机构将所述第一信息和第二信息确定为所述伪身份信息。6.如权利要求1至4任一项所述的方法，其特征在于，所述追踪机构获取认证节点发送的身份验证信息之前，还包括：所述追踪机构基于所述用户节点发送的创建指示，生成所述用户节点的伪身份信息；所述追踪机构基于所述伪身份信息构建第一交易，并将包含所述第一交易的第一区块上链至所述第一区块链；所述第一区块的区块头中设置有第一计数布隆过滤器，所述第一区块的区块体中记录有所述第一交易；所述第一计数布隆过滤器中各槽位值是根据...

【专利技术属性】
技术研发人员：姚苏，关建峰，徐恪，李雪涛，程玄，范瑞彬，张开翔，苏小康，李传庆，李成博，
申请(专利权)人：清华大学，
类型：发明
国别省市：