(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210484499.2 (22)申请日 2022.05.06 (71)申请人 珠海复旦创新研究院 地址 519000 广东省珠海市横琴新区创意 谷21栋北区 (72)发明人 阚海斌　袁和昕　刘百祥　 (74)专利代理 机构 上海正旦专利代理有限公司 31200 专利代理师 张磊 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种证书分发与访问控制一体化系统 (57)摘要 本发明属于密码的技术领域， 具体为一种证 书分发与访问控制一体化系统。 该发明包括4个 层级和1个SDK， 具体包括： 应用层、 业务层、 合约 层、 存储层和访问控制SDK， 各层之间通过 公开的 API进行交互。 该 发明基于ABS ‑DPKI方案， 期望为 用户提供一个能利用不同身份属性 以达到细粒 度身份背书的数字证书， 该证书同时满足一定的 容错性， 又能够保证身份信息的不可否认性、 不 可伪造性等安全性问题。 该发明还能为企业、 高 校等用户提供用以访问控制的身份识别系统的 相关功能与接口， 方便这类用户利用ABS ‑DPKI方 案， 进行快速的身份识别应用落 地。 权利要求书1页 说明书6页 附图3页 CN 114826618 A 2022.07.29 CN 114826618 A 1.一种证书分发与访问控制一体化系统， 所述系统是基于密码学算法， 分为4个层级以 及 1 个 SDK， 具体包括： 应用层、 业务层、 合约层、 存储层和访问控制  SDK， 其特征在于具体 如下： （1） 应用层： 应用层 是系统的前端， 用于提供  Web 界面给用户的部分， 包括用户登录注 册页面、 用户属性管理页面、 证书管理页面和信息查看页面， 用户在  Web 页面交互可以进 行用户注册、 属性申请， 同时前端会将对应请求 发送给后端业务层的网络模块， 得到后端网 络模块的响应并显示在页面上； 前端部分采用  JavaScript  + HTML + CSS 的 Web 编程语 言开发， 并使用  Vue.js 作为 JavaScript 框架， 该框架提供的响应式数据绑定机制可以 轻易地对页面数据进行同步， 同时  Vue.js 也具有丰富的脚手架供开发者上手开发； （2） 业务层： 业务层是系统的后端， 后端向上对接前端应用层， 向下对接合约层， 业务层 包括若干个业务模块， 分别是用户管理模块、 用户属性管理模块、 证书管理模块、 属 性权威 机构管理模块、 注册机构管理模块、 零知识证明管理模块、 网络模块、 区块链对接模块和 Redis数据库， 业务层内的网络管理模块接收前端应用层发来的相关请求， 并通过路由发送 到相应的业务模块进行处理， 如果需要与  合约层ABS ‑DPKI 交互， 则需要通过区块链对接 模块构筑发起区块链事务以调用合约层的智能合约， 最终将处理结果返回给前端应用层； 业务层使用  Golang 语言来完成业务层的实现， 其中业务层的网络管理模块使用  net/ http 库， 业务层连接的Redis数据库主要存储用户数据， 使用  Redis 进行存储， Redis  是 高性能的  Key‑Value 内存数据库， 提供了方便开发的接口， 但是数据完全存储于内存有一 定的局限性， 如果是正式的生产环境， Redis数据库部分也可以使用  MySQL 一类的磁盘数 据库； 与合约层智能合约交互部 分与区块链相关， 大多区块链 提供了相关的  SDK 供开发者 开发， 以 Hyperledger  Fabric 为例， 通过  Fabric‑Go‑SDK 来实现相关逻辑与区块链上的 智能合约交 互； （3） 合约层： 合约层在本系统中指的是区块链智能合约部分， 也是  ABS‑DPKI 的主体， ABS‑DPKI设置有属性权威机构CA相关智能合约、 注册机构RA相关智能合约和零知识证明节 点负责进行零知 识证明； Hyperledger  Fabric 智能合约支持  Golang 语言开发， 故能够支 持复杂的业务逻辑开发， 密码学运算部分使用  Golang 的 crypto 库进行开发， 零知识证 明部分使用  ZoKrates 进行开发； （4） 存储层： 存储层在本系统中指的是智能合约对数据进行存储的部分， 即区块链   Hyperledger  Fabric， 需要存储的数据主要是用户的属性公钥、 属性签名初始参数、 证书、 CRL、 零知 识证明初始参数、 证明和所有相关的区块链事务； 在  Hyperledger  Fabric 中， 每 个 peer 节点 （基础节点） 会维护4个数据库， 分别是用以快速查询节点在哪个通道的   idStore， 存储区块文件索引的  blockIndex， 存储区块链状态数据的  stateDB， 存储   stateDB 中的键版本变化的  historyDB， 在本系统中， 4个数据库都使用  Key‑Value 的磁 盘数据库 LevelDB； （5） 访问控制  SDK： 本系统希望能够完成类似微信快捷登录一样的访问控制功能， 即第 三方能够通过本系统的身份进行登录操作， 所以本系统提供了  JavaScript  SDK 供第三方 开发者进行下载， 第三方开发者通过  SDK 在网站上添加一个本系统的登录图标， 用户点击 图标会自动跳转到本系统的用户登录， 登录成功后， 第三方开发者后台会获取本系统发送 的用户相关信息， 即身份认证成功。权　利　要　求　书 1/1 页 2 CN 114826618 A 2一种证书分发与访 问控制一体 化系统 技术领域 [0001]本发明属于密码学技 术领域， 具体涉及一种证书分发与访问控制一体化系统。 背景技术 [0002]文献[1]设计了一种基于区块链和去中心不可否认属性签名的分布式公钥基础设 施方案 （下称  ABS‑DPKI 方案， 意指  Distributed  Public Key Infrastructure  Based on  Attribute ‑Based Signature） 。 该方案对属性签名与零知识 证明等密码学领域进行了深入 研究， 并对不同技术与理论加以配合使用。 ABS ‑DPKI 方案的应用场景与目前的公钥基础设 施体系一 致， 即为互联网中不同实体提供通过证书相互认证身份的能力。 [0003]区块链是  ABS‑DPKI 方案的底层架构， 该方案中的用户亦是其所依赖的区块链中 的用户。 而目前主流的区块链大多都 需要命令行 （或者调用公开的  API， 命令行本质也是调 用 API） 来完成区块链中的操作， ， 仅仅在用户注册这一步骤就设置了较高的门槛， 对非专 业用户没有良好的体验。 尽管有一些第三方软件 （例如各种区块链钱包） 提供了图形化界面 来满足区块链用户注册、 发起交易的需求， 但是应用在  ABS‑DPKI 方案上却存在一些问题： 一方面引入第三方软件可能会引入安全性的问题， 这本身就与以身份认证为核心需求的   ABS‑DPKI 方案理念相悖； 一方面引入第三方软件增加了更多繁琐的流程， 破坏 了方案的整 体性； 另一方面是第三方软件没有  ABS‑DPKI 方案的很多独特的操作， 例如向属性权威机 构申请属性， 仍然需要命令行进 行相关操作， 这样又重回最开始所叙述的门槛问题。 故需要 一种设计来将相关命令行操作包 装， 使得普通用户也能有良好的交 互体验。 [0004]数字证书在互联网中是用以身份识别的凭证， 例如数字证书最广泛的使用场景   HTTPS （Hyper  Text Transfer Protocol  over SecureSocket  Layer） 就是在  HTTP （Hyper   Text Transfer  Protocol） 的基础上加了一次数字证书握手用以协商通信中加密的密钥， 数字证书对于用户而言就是用以更方便安全身份识别的。 而相比于普通用户之 间的身份识 别， 在互联网中对身份识别需求最大 的是企业、 高校、 政府等用户， 例如腾讯的微信快捷登 录、 复旦大学 的统一身份认证系统。 其中微信快捷登录是为第三方软件提供使用微信 登录 而代替软件本身用户登录的一种功能， 该功 能为用户提供了方便， 同时第三方软件也能快 速获取用户的用户名、 手机号等信息， 从而能够使用相关信息检索自身 软件中的用户。 中通 快递微信小程序获取了微信用户相关信息从而链接到中通快递中的用户信息， 方便用户查 询快递订单等等。 可以借鉴此， 设计一种方便企业用户利用  ABS‑DPKI 方案快速对用户进 行身份识别的系统。 [0005]故本发明要设计实现的是一个基于  ABS‑DPKI 方案的新型证书分发与访问控制 一体化系统。 该系统期 望为用户提供一个能利用不同身份属性以达到细粒度身份背书的数 字证书， 该证书同时满足一定的容错性， 又能够保证身份信息的不可否认性、 不可伪造性等 安全性问题。 该系统还能为企业、 高校等用户提供用以访问控制的身份识别系统的相关功 能与接口， 方便这类用户利用  ABS‑DPKI 方案， 进行 快速的身份识别应用落 地。 [0006]参考文献：说　明　书 1/6 页 3 CN 114826618 A 3