[发明专利]一种基于联盟链网络的密钥管理方法及系统

权利要求书

1.一种基于联盟链网络的密钥管理方法，其特征在于，所述方法包括：

响应于用户发送的密钥管理请求，通过秘密分享向联盟链网络中至少一个密钥管理部门发送根据所述用户自身需求生成的注册密钥；

申请恢复方在与各个密钥管理部门进行相互确权后，获取各个密钥管理部门所收到的秘密份额进行密钥恢复；在通信过程中，用户基于注册密钥生成临时会话密钥进行通信，并使用注册密钥签名以证明有效性；

确定各个密钥管理部门中的代表管理部门，所述代表管理部门通过密钥哈希对恢复的密钥实施有效期管理；

基于用户使用累加器证明所有权，代表管理部门通过阈值签名向用户提供资格证明。

2.根据权利要求1所述的方法，其特征在于，各个密钥管理部门在加入联盟链网络时生成一对公私钥作为身份证明。

3.根据权利要求1所述的方法，其特征在于，通过秘密分享向联盟链网络中至少一个密钥管理部门发送根据所述用户自身需求生成的注册密钥，包括：

确定注册密钥为s，阈值方案为t-of-n，随机生成t-1个数a_i；

构造t-1阶多项式f(x)＝s+a₁x¹+a₂x²+…+a_t-1x^t-1；

随机生成n个非零数x_i，并分别计算(x_i,f(x_i))作为秘密份额，分别发送给n个密钥管理部门。

4.根据权利要求3所述的方法，其特征在于，获取各个密钥管理部门所收到的秘密份额进行密钥恢复，包括：

根据至少t个密钥管理部门所获得的秘密份额通过构造多项式方程组进行求解获得密钥s。

5.根据权利要求1所述的方法，其特征在于，所述确定各个密钥管理部门中的代表管理部门，还包括：

各个密钥管理部门在收到秘密份额后向联盟链进行注册，其中：

各个密钥管理部门保存收到的秘密份额作为密钥备份；

各个密钥管理部门推举一方为代表管理部门，将密钥管理信息组织上链；所述密钥管理信息包括密钥哈希，密钥持有人公钥，有效时间以及其他管理信息；

其余密钥管理部门下载并验证管理信息是否正确。

6.根据权利要求1所述的方法，其特征在于，代表管理部门通过密钥哈希对恢复的密钥实施有效期管理，包括：

各个密钥管理部门定时检测链上密钥有效期状态，对失效密钥进行标记；

代表管理部门将失效密钥哈希、用户ID、无效状态等管理信息上链，剩余部门下载并验证；

代表管理部门将通知到密钥拥有者。

7.根据权利要求1所述的方法，其特征在于，所述申请恢复方在与各个密钥管理部门进行相互确权后，获取各个密钥管理部门所收到的秘密份额进行密钥恢复，包括：

申请恢复方发送自身信息给各个密钥管理部门；

持有密钥份额的密钥管理部门对申请恢复方的身份、资格进行验证，验证通过后对发送方进行阈值签名，并将签名作为认证有效信息发送给申请恢复方；

申请恢复方搜集到足够的阈值签名后，计算得到全局签名，并将其作为资格证明。

8.根据权利要求1所述的方法，其特征在于，响应于用户发送的密钥管理请求包括对用户权限进行验证，具体包括：

验证申请者的实际身份与申请节点是否一致；

验证申请节点所属组织资格与有效期；

验证申请节点资格与有效期。

9.根据权利要求1所述的方法，其特征在于，所述联盟链属于私有链，具有严格的准入机制与身份管理。

10.一种基于联盟链网络的密钥管理系统，其特征在于，所述系统包括：

发送模块，响应于用户发送的密钥管理请求，通过秘密分享向联盟链网络中至少一个密钥管理部门发送根据所述用户自身需求生成的注册密钥；

恢复模块，用于在申请恢复方在与各个密钥管理部门进行相互确权后，获取各个密钥管理部门所收到的秘密份额进行密钥恢复；其中，在通信过程中，用户基于注册密钥生成临时会话密钥进行通信，并使用注册密钥签名以证明有效性；

管理模块，用于确定各个密钥管理部门中的代表管理部门，所述代表管理部门通过密钥哈希对恢复的密钥实施有效期管理；

更新模块，用于基于用户使用累加器证明所有权，代表管理部门通过阈值签名向用户提供资格证明。