[发明专利]一种基于身份标识密码的联盟区块链访问控制方法

说明书

本发明公开了一种基于身份标识密码的联盟区块链访问控制方法，在一个联盟区块链网络上，要求只有事先经过联盟成员许可的客户端才能向区块链网络发送交易，通过基于身份标识密码体系进行访问控制。客户端事先向联盟发出申请，待联盟同意后将发放一对公私钥对给客户端，公钥是能唯一标识客户端使用者身份的可读的字符串，例如工商登记号、身份证号码等或者上述内容的简单拼接。当向区块链节点发送交易时，使用私钥对交易签名并附带公钥即可，节点将会结合公钥验证签名的合法性，并从公钥得知发送者身份，不需要任何数字证书即可完成身份认证和访问控制。既保证了联盟区块链能够对客户端完成访问控制，同时又避免了数字证书的管理和维护。

技术领域

本发明涉及区块链的访问控制领域，尤其涉及联盟区块链对客户端、钱包等实体的访问控制的方法。

背景技术

区块链技术，区块链是一种新型去中心化协议，能安全地存储数字货币交易或其他数据，信息不可伪造和篡改，区块链上的交易确认由区块链上的所有节点共同完成，由共识算法保证其一致性，区块链上维护一个公共的账本，公共账本位于存储区块上任何节点可见，从而保证其不可伪造和篡改。

传统联盟区块链主要通过公钥基础设施(Public Key Infrastructure，PKI)PKI体系来进行访问控制，传统PKI体系需要维护大量X.509证书,并且在每次验证身份有效性时都需要向第三方可信任机构(Certificate Authority，CA)CA在线请求证书吊销列表，这就导致一来证书维护困难，二来验证时的多次网络请求降低了验证效率，就比如Hyperleger Fabric来说，需要一个中心化的CA服务器来负责身份的认证和证书的颁发与控制。近年来密码学领域已经出现了一批新成果，比如身份标识的密码学系统(Identity-Based Cryptography，IBC)能够很好解决PKI体系的上述痛点，如何将身份标识密码学技术应用到区块链领域是区块链更好用于实际生产所要面临的一项挑战。

发明内容

针对现有技术的不足，本发明提出一种基于身份标识密码的联盟区块链访问控制方法，既保证了高效的密码学安全的访问控制，同时又避免了PKI体系繁复的证书管理。

本发明的目的是通过以下技术方案来实现的：一种基于身份标识密码的联盟区块链访问控制方法，该方法不使用数字证书进行身份认证和访问控制，而使用基于身份标识的密码学算法进行替代；每个联盟区块链节点同时也是独立的秘钥生成中心，节点向客户端签发秘钥对；基于身份标识的密码算法是基于国家密码管理局发布的SM9标识密码算法实现。

一种使用身份标识密码的客户端和联盟区块链之间的交互过程，该交互过程通过如下步骤完成公私钥对的颁布和验证：

S1：客户端向秘钥生成中心即任一区块链节点发送秘钥请求，请求中需要附带用户的身份标识信息，以备身份识别和将来生成秘钥对所需；

S2：秘钥生成中心在线下核实申请者身份后批准申请，将申请者的身份信息拼接本节点的唯一标识信息，然后将拼接结果作为该申请者的公钥，并根据本秘钥生成中心的标识密码算法系统参数计算生成申请者的私钥，之后将申请者的公私钥以密码学安全的方式通知申请者；

S3：申请者利用私钥对交易签名，发送交易时需将交易信息、签名、公钥一并发送给区块链节点；

S4：区块链节点将会验证签名和身份标识，验证通过并判定身份信息有效后接受该笔交易。

一种区块链节点对公私钥对进行管理的方法，该方法中本节点颁发的公私钥对只能对本节点进行访问，签发节点对自己认证的客户端负责；节点可以通过白名单或者黑名单的方式将身份标记为无效。

本发明的有益效果如下：

本发明应用于联盟链背景下的区块链网络上，保证了高效的密码学安全的访问控制，同时又避免了PKI体系繁复的证书管理，扩展了联盟区块链的使用场景，是联盟区块链技术的一次突破。