技术特征:
1.一种基于ca证书机制的可信区块链网络管理方法,其特征在于对于新建一个区块链网络,联盟需要为该区块链网络申请一个区块链ca证书作为整个区块链网络的根证书;对于每一个想要加入该区块链网络中新节点,区块链网络连接协议和处理方法如下:s1.每个新的节点,首先向区块链网络申请一个节点证书;s2.在核实了节点证书申请者的身份和权限后,区块链网络将利用根证书私钥签发出节点证书,并与根证书一起返回给该节点;s3. 节点所有者对节点进行配置,设置节点证书和区块链网络根证书这两个证书信息;s4. 启动节点程序,新加入的节点向指定的区块链节点发起建立连接;s5. 此时,连接并非已经建立成功,被指定连接的已存在区块链节点需根据新节点的节点证书,验证新节点通讯ip地址是否匹配新节点证书中所包含的ip地址,明确新节点的ip身份,如果不匹配,则断开连接,建立连接失败;否则,继续步骤s6;s6.被指定连接的已存在区块链节点需根据新节点的节点证书,验证本端ip是否在新节点证书指定的可连接的节点ip地址列表中,如果不在,则断开连接,建立连接失败;否则,继续步骤s7;s7. 被指定连接的已存在区块链节点需根据新节点的节点证书,验证节点证书中所包含的区块链网络id是否匹配当前节点所属的区块链网络id,如果不匹配,则断开连接,建立连接失败;否则,建立连接成功,此时节点加入区块链网络成功。2.如权利要求1所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述步骤s1中,在申请节点证书时,节点所有者需要提交至少该节点的对外ip地址,所要加入的区块链网络的id,验证其身份的公钥及算法,所支持的签名算法信息,以及一些节点本身的描述信息。3.如权利要求1所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述步骤s2中,节点证书中包含了节点连接到区块链网络的ip地址信息,用于明确节点可以拥有的ip身份,以及节点所加入的区块链网络id和指定的可连接的节点ip地址列表,节点证书用于新加入的节点向区块链网络中已存在节点证实其身份合法性,从而与已存在节点建立连接加入区块链网络,根证书用于新加入的节点验证其连接的已存在节点确实是区块链网络中有效的合法节点,而非欺诈节点,以解决中间人攻击。4.如权利要求1所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述步骤s3中,节点证书中包含节点公钥所对应的私钥信息,以及区块链网络中指定建立连接的已存在节点ip列表,根证书包含证书公钥信息及区块链网络信息。5.如权利要求1所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述步骤s4中,基于标准化的tls协议,具体如下:a.协商确定协议版本和所支持的加密算法;b.秘钥交换,确定后续所使用的通讯加密算法和秘钥;c.身份认证,双方交换区块链网络根证书,同时使用各自节点证书对应的私钥签名连接过程中产生的随机数,确定通讯双方身份的真实性;d.使用区块链网络根证书检验节点证书的有效性、证书有效期,若检验通过,则继续到
步骤s5;否则,断开连接,建立连接失败。6.如权利要求1-5任一所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述方法还包括黑名单方法:在网络层增加ip黑名单,隔离某些已被控制的非法节点,即便,通过修改ip绕开了该拦截,但由于在通讯ip上不匹配证书中的ip信息,最终也无法成功建立连接。7.如权利要求1-5任一所述的一种基于ca证书机制的可信区块链网络管理方法,其特征在于所述方法还包括黑名单方法:通过更新区块链网络根证书,可回收已经签发的节点证书,使其无效,从而拒绝那些拥有节点证书的恶意节点建立连接。
技术总结
本发明公开一种基于CA证书机制的可信区块链网络管理方法,对于新建一个区块链网络,需要为该区块链网络申请一个区块链CA证书作为整个区块链网络的根证书,对于每一个想要加入该区域链网络中新节点,区块链网络连接协议和处理方法包括:新的节点要向区块链网络申请一个节点证书、在核实后区块链网络将利用根证书私钥签发出节点证书并与根证书一起返回给该节点、启动节点程序并发起建立连接、根据新节点的IP身份、节点IP地址列表和区块链网络ID是否匹配等判断是否建立连接;本发明与现有技术对比,很大程度上减轻了维护的负担,增加了管理可控性,通过黑名单管理机制剔除被入侵控制的节点,从而加强了整个区块链网络从外到内的安全性。的安全性。的安全性。
技术研发人员:张清 刘雪峰 蔡楚煌 魏胜男 刘俊明 朱贤 张宇聪 姚嘉华 唐麟雁
受保护的技术使用者:上证所信息网络有限公司
技术研发日:2022.09.19
技术公布日:2022/12/6