(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202110188626.X
(22)申请日 2021.02.19
(71)申请人 支付宝(杭州)信息技术有限公司
地址 310000 浙江省杭州市西湖区西溪路
556号8层B段801-11
(72)发明人 吴莹强
(74)专利代理机构 北京亿腾知识产权代理事务
所(普通合伙) 11309
代理人 陈霁 周良玉
(51)Int.Cl.
G06F 21/60(2013.01)
G06F 21/64(2013.01)
(54)发明名称
(57)摘要
本说明书实施例提供一种验证数据来源可
钥,并将私钥保存在数据设备的可信模块中,一
方面,避免了大量密钥基础设施造成的额外资源
使用,导致的成本增加,另一方面,通过可信执行
环境是生成私钥并存储在数据设备的可信模块,
可以有效保证私钥的安全性。通过这种巧妙的公
钥私钥设置构思,可以有效验证数据源头,并无
需PKI的复杂流程,适应数据爆炸式增长的需求,
又能安全保管私钥,
充分维护密钥安全。权利要求书6页 说明书17页 附图4页CN 112560073 A 2021.03.26
C N 112560073
A
1.一种验证数据来源可靠性的方法,用于验证上传至区块链网络的数据是否来源于第一设备;所述方法包括: 在可信执行环境中,将与所述第一设备对应的唯一性标识作为第一公钥,通过预定方式按照预设的根密钥推导与所述第一公钥对应的第一私钥,所述第一设备用于获取待上传区块链网络的数据;
将所述第一私钥由所述可信执行环境反馈至第一设备对应的第一可信模块;
所述第一设备将所采集的第一数据经由所述第一可信模块利用所述第一私钥进行签名,得到第一签名;
所述第一设备基于所述第一数据、所述第一签名以及所述唯一性标识,向区块链网络中的第一节点发出数据上传请求;
所述第一节点基于所述数据上传请求,生成调用第一智能合约的第一交易,并将所述第一交易在区块链网络中广播,其中,所述第一智能合约预先部署在区块链网络,所述第一交易包括所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数;
区块链网络中的各个节点执行所述第一调用请求,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于所述第一设备的可信数据。
2.根据权利要求1所述的方法,所述唯一性标识预先在所述区块链网络注册为用户标识,所述方法还包括:
区块链网络中的各个节点在验证通过确定所述第一数据为来源于第一设备的可信数据的情况下,将所述第一数据在区块链网络中与所述用户标识对应存储。
3.根据权利要求1所述的方法,所述第一设备为数据采集设备,或者关联若干个数据采集设备的控制中
心设备或数据中心设备,所述数据由数据采集设备对预定实体进行监测产生。
4.根据权利要求1所述的方法,其中,所述可信模块为SIM卡,所述唯一性标识为所述SIM卡的国际移动设备身份码。
5.根据权利要求1所述的方法,其中,所述预定方式为以下中的一种:SM9算法、SM2算法。
6.一种验证数据来源可靠性的方法,用于验证上传至区块链网络中的数据是否来源于第一设备,所述方法包括:
在可信执行环境中,将与所述第一设备对应的唯一性标识作为第一公钥,通过预定方式按照预设的根密钥推导与所述第一公钥对应的第一私钥,所述第一设备用于获取待上传区块链网络的数据;
将所述第一私钥由所述可信执行环境反馈至第一设备对应的第一可信模块;
所述第一设备将所采集的第一数据经由所述第一可信模块利用所述第一私钥进行签名,得到第一签名;
所述第一设备生成调用第一智能合约的第一交易,所述第一交易包括所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数,所述第一智能合约预先部署在区块链网络;
经由在区块链网络中广播所述第一交易,区块链网络中的各个节点执行所述第一智能合约,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于第一设备的可信数据。
7.根据权利要求6所述的方法,其中:
在第一设备是区块链网络中的节点的情况下,所述经由在区块链网络中广播所述第一交易包括,经由第一设备在区块链网络中广播所述第一交易;
在第一设备不是区块链网络中的节点的情况下,所述经由在区块链网络中广播所述第一交易包括:经由第一设备将所述第一交易发送至区块链网络中的第一节点;由第一节点在区块链网络中广播所述第一交易。
8.一种验证数据来源可靠性的方法,用于验证上传至区块链网络的数据是否来源于第一设备;所述方法包括:
在可信执行环境中,将与所述第一设备对应的唯一性标识作为第一公钥,通过预定方式按照预设的根密钥推导与所述第一公钥对应的第一私钥,所述第一设备用于获取待上传区块链网络的数据;
将所述第一私钥由所述可信执行环境反馈至所述第一设备对应的第一可信模块;
所述第一设备将所采集的第一数据经由所述第一可信模块利用所述第一私钥进行签名,得到第一签名;
所述第一设备向数据验证服务器发送向区块链网络上传数据的数据上传请求,其中,所述数据上传请求包括所述第一数据、所述第一签名以及所述唯一性标识;
所述数据验证服务器通过所述唯一性标识,对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于所述第一设备的可信数据,从而向区块链网络上传所述第一数据。
9.一种针对用于数据快速上链的可信模块的预处理方法,所述方法包括:
通过可信执行环境将与多个可信模块各自对应的唯一性标识分别作为相应公钥,通过预定方式按照预设的根密钥推导与各个公钥分别对应的各个私钥,并将各个私钥反馈至相应可信模块;
利用各个唯一性标识分别作为各个用户标识在区块链网络注册;
从而,在所述多个可信模块中的第一可信模块安装在第一设备的情况下,利用所述第一可信模块对应的第一私钥对所述第一设备中待上传区块链网络的数据进行签名,以供区块链网络中的节点通过所述第一可信模块的唯一性标识对相应的签名进行验证。
10.一种数据快速上链的方法,由用于获取待上传区块链网络的数据的第一设备执行,包括:
与第一可信模块建立连接,其中,所述第一可信模块为SIM卡,所述SIM卡具有的国际移动设备身份码作为相应唯一性标识,并经由可信执行环境将所述唯一性标识作为相应的第一公钥,通过预定方式按照预设的根密钥推导有对应的第一私钥,同时,所述唯一性标识还在区块链网络中作为用户标识进行注册;
将待上传的第一数据经过所述第一可信模块利用所述第一私钥进行签名后上传区块链网络,以供区块链网络利用所述唯一性标识对所述第一数据的签名进行验证。
11.一种向区块链网络上传数据的方法,由第一设备执行;所述方法包括:
获取待上传至区块链网络的第一数据;
将所述第一数据经由所述第一设备对应的第一可信模块利用第一私钥进行签名,得到第一签名,其中,所述第一私钥通过可信执行环境将与所述第一设备对应的唯一性标识作为第一公钥,在预定方式下按照预设的根密钥推导而来;
基于所述第一签名、所述第一数据,以及所述唯一性标识,向区块链网络中的第一节点发出数据上传请求,所述第一节点基于所述数据上传请求,生成调用第一智能合约的第一交易,并将所述第一交易在区块链网络中广播,使得区块链网络中的各个节点执行所述第一智能合约,从而利用所述第一公钥
对所述签名进行验证,并在验证通过的情况下,确定所述数据为来源于第一设备的可信数据,其中,所述第一智能合约预先部署在区块链网络。
12.根据权利要求11所述的方法,其中,所述第一设备为数据采集设备,或者关联若干个数据采集设备的控制中心设备或数据中心设备,所述数据由数据采集设备对预定实体进行监测产生。
13.根据权利要求11所述的方法,其中,所述可信模块为SIM卡,所述唯一性标识为所述SIM卡的国际移动设备身份码。
14.根据权利要求11所述的方法,其中,所述预定方式为以下中的一种:SM2算法、SM9算法。
15.一种向区块链网络上传数据的方法,用于作为区块链网络的一个节点的第一设备向区块链网络上传数据,所述方法包括:
获取待上传至区块链网络的第一数据;
将所述第一数据经由所述第一设备对应的第一可信模块利用第一私钥进行签名,得到第一签名,其中,所述第一私钥通过可信执行环境将与所述第一设备对应的唯一性标识作为第一公钥,在预定方式下按照预设的根密钥推导而来;
基于所述第一签名、所述第一数据,以及所述唯一性标识,生成调用第一智能合约的第一交易,并在区块链网络中广播所述第一交易,以供区块链网络中的各个节点执行所述第一智能合约,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源可靠的可信数据,其中,所述第一智能合约预先部署在区块链网络,所述第一交易包括所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数。
16.一种验证数据来源可靠性的方法,所述方法由区块链网络中的第一节点执行,包括:
接收第一设备发送的数据上传请求,所述数据上传请求包括第一数据、所述第一数据的第一签名,以及所述第一设备对应的唯一性标识;所述第一签名由所述第一设备对应的第一可信模块利用预先确定的第一私钥对所述第一数据进行签名确定,所述第一私钥由可信执行环境将所述唯一性标识作为第一公钥,在预定方式下按照预设的根密钥推导而来,所述唯一性标识还作为在区块链网络注册的用户标识;
基于所述数据上传请求,生成调用第一智能合约的第一交易,并将所述第一交易在区块链网络中广播,以供区块链网络中的各个节点执行所述第一智能合约,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于所述第一设备的可信数据,所述第一智能合约预先部署在区块链网络,所述第一交易包括
所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数。
17.根据权利要求16所述的方法,所述方法还包括:
在验证通过确定所述数据为来源于所述第一设备的可信数据的情况下,将所述第一数据与所述用户标识对应存储。
18.一种验证数据来源可靠性的系统,包括第一设备、区块链网络、具有可信执行环境的第二设备,用于验证上传至区块链网络的数据是否来源于第一设备;其中:所述第二设备配置为,在可信执行环境中,将与所述第一设备对应的唯一性标识作为第一公钥,通过预定方式按照预设的根密钥推导与所述第一公钥对应的第一私钥,所述第一设备用于获取待上传区块链网络的数据;以及
将所述第一私钥由所述可信执行环境反馈至第一设备对应的第一可信模块;
所述第一设备配置为,将所采集的第一数据经由所述第一可信模块利用所述第一私钥进行签名,得到第一签名;以及,
基于所述第一数据、所述第一签名以及所述唯一性标识,向区块链网络中的第一节点发出数据上传请求;
区块链网络中的所述第一节点配置为,基于所述数据上传请求,生成调用第一智能合约的第一交易,并将所述第一交易在区块链网络中广播,其中,所述第一智能合约预先部署在区块链网络,所述第一交易包括所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数;
区块链网络中的各个节点配置为,执行所述第一调用请求,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于所述第一设备的可信数据。
19.一种验证数据来源可靠性的系统,包括第一设备、区块链网络、具有可信执行环境的第二设备,用于验证上传至区块链网络中的数据是否来源于第一设备,所述第一设备为区块链网络中的节点;其中:
所述第二设备配置为,在可信执行环境中,将与所述第一设备对应的唯一性标识作为第一公钥,通过预定方式按照预设的根密钥推导与所述第一公钥对应的第一私钥,所述第一设备用于获取待上传区块链网络的数据;以及
将所述第一私钥由所述可信执行环境反馈至第一设备对应的第一可信模块;
所述第一设备配置为,将所采集的第一数据经由所述第一可信模块利用所述第一私钥进行签名,得到第一签名;以及
生成调用第一智能合约的第一交易,并在区块链网络中广播所述第一交易,所述第一交易包括所述唯一性标识,所述第一数据和所述第一签名作为所述第一智能合约的传入参数,所述第一智能合约预先部署在区块链网络;
区块链网络中的各个节点配置为,执行所述第一智能合约,从而利用所述唯一性标识对所述第一签名进行验证,并在验证通过的情况下,确定所述第一数据为来源于第一设备的可信数据。
20.一种验证数据来源可靠性的系统,包括第一设备、区块链网络、具有可信执行环境的第二设备及数据验证服务器,用于验证上传至区块链网络的数据是否来源于第一设备;其中:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议