[发明专利]一种基于IPK的区块链上链数据安全认证方法与系统

权利要求书

1.一种基于IPK的区块链上链数据安全认证方法，其特征在于，

根据区块链应用的具体场景，对上链数据进行安全认证，

其包括对数据采集终端的认证、上链数据的签名验证与加密解密；

具体流程如下：

第一，数据采集终端B对上链数据data的处理流程如下：

S1，数据采集终端将上链数据data计算数字摘要，生成数据的数字摘要h，h = Hash(data)；

S2，数据采集终端使用自己的标识私钥isk_B对数字摘要h签名，得到数据采集终端对数据的数字签名sig = Sig_iskB(h) ；

S3，将数字签名sig按照ASN.1编码规范进行打包，形成基于IPK的签名数据包；

S4，数据采集终端生成随机数r，通过椭圆曲线算法计算生成会话密钥skey；

S5，数据采集终端使用会话密钥skey加密待上链数据data，得到数据密文C；

S6，数据采集终端根据区块链节点A的标识IDA和IPK体制的公钥矩阵M通过IPK密钥生成算法计算产生区块链节点A所对应的标识公钥IPK_A，区块链节点A在事先向IPK密钥中心申请自己的标识私钥isk_A，且满足IPK_A=isk_A·G；

其中：G为椭圆曲线的一个基点数；

S7，数据采集终端用区块链节点A的标识公钥IPK_A和前面生成会话密钥skey的随机数r计算生成数字信封D，D = r·IPK_A；

S8，数据采集终端将数据密文C、数字信封D及辅助信息矩阵标识、收方标识、加密算法标识、椭圆曲线对象标识数据按照ASN.1编码规范打包为IPK的加密数据包；

S9，数据采集终端将加密数据包cipherPackage和签名数据包signaturePackage发送给区块链节点A；

第二，区块链节点A对上链数据的处理流程如下：

步骤1：区块链节点A接收到数据采集终端发送的加密数据包cipherPackage和签名数据包signaturePackage；

步骤2：区块链节点A使用自己的标识私钥isk_A和加密数据包中的数字信封D计算得到会话密钥skey；

步骤3：区块链节点A使用会话密钥skey，解密数据密文C，得到明文数据data1，data1 =D_skey(C)，D为对称解密算法；

步骤4：区块链节点从签名数据包signaturePackage中得到签名标识，即数据采集终端标识IDB，和存储在区块链节点的公钥矩阵计算得到数据采集终 端的标识公钥IPK_B，再使用标识公钥验证签名的真实性；

步骤5：验证通过表示数据来源真实可靠，传输过程未被篡改，允许数据上链；否则数据可能为假冒或已被篡改，拒绝数据上链。

2.如权利要求1所述的一种基于IPK的区块链上链数据安全认证方法，其特征在于，

所述S3：

基于IPK的签名数据包，记为signaturePackage，其结构定义为：

Signature information:: = SEQUENCE {

version ASN1_INTEGER， //版本号

matrixId ASN1_UTF8STRING， //矩阵标识

signerId ASN1_UTF8STRING， //签名者标识

signTime ASN1_UCTIME， //签名时间戳

mdOid ASN1_OBJECT， //数字摘要算法对象标识

sigrS ASN1_OCTET_STRING //签名值(r， s)

R ASN1_OCTET_STRING //自定义公钥

}。