[发明专利]一种基于联盟链网络的密钥管理方法及系统

说明书

本申请公开了一种基于联盟链网络的密钥管理方法及系统，首先用户通过秘密分享向管理部门注册密钥；用户基于注册密钥生成临时会话密钥用于通信，并使用注册密钥签名以证明有效性；管理部门通过密钥哈希实施有效期管理；用户使用累加器证明所有权，管理部门通过阈值签名向申请更新方或申请恢复方提供资格证明，其中，向用户所提供资格证明用来更新注册密钥。本发明采用上述方式，可以实现联盟链中完整的密钥生命周期管理，降低联盟链用户之间加密通信的复杂度，并且具有较高的安全性。

技术领域

本发明涉及联盟链技术领域，特别涉及一种基于联盟链网络的密钥管理方法及系统。

背景技术

联盟链是一种具有不可伪造和去中心化的数据库，因此在需要合作交流的领域，联盟链具有良好的应用场景。联盟链上各节点之间进行加密相关操作具有复杂度高，密钥传递规范不统一，难以进行生命周期管理等缺点。因此需要有统一的密钥管理系统，并且该系统基于联盟链并只在链上进行信息传递。

现有的密钥管理方法主要包括有：阈值签名算法，是一种可以实现签名聚合的算法，算法各成员共同维护一个统一的私钥，并且可以通过各自对某一消息的签名合并组成统一私钥对该消息的签名。在签名聚合的过程中，只需要收集到达到阈值的签名数即可。

秘密分享技术，可以将某一信息分散存储与多个节点中，需要由达到阈值的多个节点合作，才能还原完整信息。

累加器技术，是一种证明手段，可以向其他人证明自己拥有某个信息而不泄露过多内容。

然而现有的密钥管理方法存在着安全性和可用性较低的问题。

发明内容

基于此，本申请实施例提供了一种基于联盟链网络的密钥管理方法及系统，能够管理联盟链节点的密钥生命周期，并保证密钥的安全性和可用性。

第一方面，提供了一种基于联盟链网络的密钥管理方法，该方法包括：

响应于用户发送的密钥管理请求，通过秘密分享向联盟链网络中至少一个密钥管理部门发送根据所述用户自身需求生成的注册密钥；

申请恢复方在与各个密钥管理部门进行相互确权后，获取各个密钥管理部门所收到的秘密份额进行密钥恢复；其中，在通信过程中，用户基于注册密钥生成临时会话密钥进行通信，并使用注册密钥签名以证明有效性；

确定各个密钥管理部门中的代表管理部门，所述代表管理部门通过密钥哈希对恢复的密钥实施有效期管理；

基于用户使用累加器证明所有权，代表管理部门通过阈值签名向用户提供资格证明。

可选地，各个密钥管理部门在加入联盟链网络时生成一对公私钥作为身份证明。

可选地，通过秘密分享向联盟链网络中至少一个密钥管理部门发送根据所述用户自身需求生成的注册密钥，包括：

确定注册密钥为s，阈值方案为t-of-n，随机生成t-1个数a_i；

构造t-1阶多项式f(x)＝s+a₁x¹+a₂x²+…+a_1-1x^t-1；

随机生成n个非零数x_i，并分别计算(x_i,f(x_i))作为秘密份额，分别发送给n个密钥管理部门。

可选地，获取各个密钥管理部门所收到的秘密份额进行密钥恢复，包括：

根据至少t个密钥管理部门所获得的秘密份额通过构造多项式方程组进行求解获得密钥s。

可选地，确定各个密钥管理部门中的代表管理部门，还包括：