[发明专利]一种基于区块链的安全服务管理方法及系统

权利要求书

1.一种基于区块链的安全服务管理方法，其特征在于，包括以下步骤：

S1：参与者输入字符串密码生成AES密钥，并发送ID-区块链账户地址-密钥映射给密钥分发中心KDC；KDC用自身的AES密钥加密参与者的AES密钥，生成通过CP-ABE加密算法加密的AES密钥；所述的参与者包括用户C、密钥分发中心KDC、服务器V；

S2：KDC发送注册请求到区块链上，设置所有参与者信息映射并存储到区块链上，并将KDC的数据库托管到区块链上；

S3：用户C发送认证请求交易AS_REQ，智能合约对认证请求报文的身份标识ID和随机数Nonce进行检查；KDC认证服务器到区块链上获取认证请求报文，若解密成功且时间戳在一定的范围内，则认证请求通过；

S4：KDC认证服务器随机生成会话密钥Kc,tgs，构造认证票据许可证，发送认证响应报文AS_REP到区块链上；

S5：用户C发送票据请求交易TGS_REQ，智能合约对票据请求报文的身份标识ID和随机数Nonce进行检查；KDC票据服务器到区块链上获取TGS_REQ，若解密得到票据许可证有效且权限审核通过，则票据请求通过；

S6：KDC票据服务器随机生成用于用户C和服务器V之间通信的会话密钥Kc,v，并构造服务票据ST，发送票据响应报文TGS_REP到区块链上；

S7：用户C随机生成用于用户C和服务器V之间通信的会话密钥Ksession，发送应用请求交易，智能合约对应用请求报文的身份标识ID和随机数Nonce进行检查；服务器V到区块链上获取应用请求报文AP_REQ，若解密报文检查权限通过，则应用请求通过；

S8：服务器V发送服务响应报文AP_REP到区块链上，用户C获取服务响应报文AP_REP，解密得到Ksession后服务会话开启。

2.根据权利要求1所述的一种基于区块链的安全服务管理方法，其特征在于，所述的AES密钥使用PBKDF2算法生成；所述的PBKDF2算法表达式为：

DK＝PBKDF2(PRF,Password,Salt,c,dkLen)

式中，PRF为伪随机函数，所述的伪随机函数为HMAC-SHA256；Password是一组用户C定义的字符串密码；Salt盐是一组64bit的随机字符串，通过人为地将一组随机字符与用户原密码的组合形成一个新的字符，用于增加哈希破译的难度；c表示迭代次数，通过不断哈希迭代，增加哈希破译的难度；dkLen表示最后输出的密钥长度，为256bit；DK为最后生成的256bit AES密钥。

3.根据权利要求1所述的一种基于区块链的安全服务管理方法，其特征在于，所述的CP-ABE加密算法的计算步骤包括如下：

D1：初始化，生成公共参数、系统公钥PK和系统主密钥；

D2：加密，加密消息M，针对密文根据数据拥有者制定的访问策略，构造访问树，生成节点秘密值；只有满足一定数量节点秘密值组合的用户才能解密得到消息M；

D3：生成密钥，根据用户属性集合和主私钥生成用户对应的私钥；

D4：解密，用户提供私钥解密得到对应的消息M。

4.根据权利要求1所述的一种基于区块链的安全服务管理方法，其特征在于，S3中对随机数Nonce的验证和时间戳的验证用到问答响应机制；

所述的问答响应机制包括时间戳验证算法、随机数验证算法；

所述的时间戳验证算法如下：对所有报文进行上链操作时，取区块的时间戳作为报文的时间戳，当用户取到该报文后，与自己的本地时间进行比较；若时间相差在时间阈值以内，则认为报文有效，允许上链；若时间相差超过时间阈值，认为该报文无效；

所述的随机数验证算法如下：注册时，每个用户都设置一个随机数Nonce，该随机数Nonce由智能合约根据区块高度block.number和区块时间戳block.timestamp派生。

用户发送报文到区块链上之前执行智能合约的get_nonce函数获取随机数，并将随机数Nonce随带报文一起上链，上区块链过程中，智能合约执行随机数检查算法check_nonce：若该随机数Nonce与参与者的区块链账户地址对应存储的随机数Nonce相同，则该随机数Nonce自动+1，报文上区块链成功；若不同，则说明随机数Nonce错误，不允许上区块链。