本發(fā)明涉及分布式密鑰管理，具體涉及一種基于區(qū)塊鏈的分布式密碼管理系統(tǒng)及方法。

背景技術(shù)：

1、本部分的陳述僅僅是提供了與本發(fā)明相關(guān)的背景技術(shù)，并不必然構(gòu)成現(xiàn)有技術(shù)。

2、密鑰管理系統(tǒng)主要用于生成、分發(fā)、存儲和管理加密密鑰，以保障數(shù)據(jù)的安全性。傳統(tǒng)的密鑰管理系統(tǒng)通常采用集中式結(jié)構(gòu)，由一個中心節(jié)點負(fù)責(zé)密鑰的生成和分發(fā)。然而，這種方式存在單點故障和安全隱患的問題。一些先進(jìn)的密鑰管理系統(tǒng)則采用分布式架構(gòu)，利用多方計算和區(qū)塊鏈技術(shù)來提高安全性和可靠性。這些系統(tǒng)通常包含密鑰生成、密鑰分發(fā)、密鑰存儲、密鑰備份與恢復(fù)以及密鑰生命周期管理等功能，以確保加密密鑰在整個使用周期內(nèi)的安全和有效性。

3、現(xiàn)有密鑰管理系統(tǒng)主要存在以下缺點：（1）集中式系統(tǒng)容易成為單點故障和攻擊目標(biāo)，導(dǎo)致整個系統(tǒng)的脆弱性增加；（2）密鑰在生成和分發(fā)過程中存在被截獲或篡改的風(fēng)險，尤其是在傳輸過程中；（3）密鑰存儲的安全性不夠，容易被未授權(quán)人員訪問或通過各種手段泄露；密鑰備份和恢復(fù)過程復(fù)雜且繁瑣，增加了管理的難度和運營成本；（4）密鑰生命周期管理不完善，可能導(dǎo)致過期密鑰未能及時更換，從而使系統(tǒng)面臨潛在的安全威脅。

技術(shù)實現(xiàn)思路

1、為了解決現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種基于區(qū)塊鏈的分布式密碼管理系統(tǒng)及方法，利用區(qū)塊鏈技術(shù)實現(xiàn)去中心化密鑰管理，消除了單點故障和集中管理的風(fēng)險；使用區(qū)塊鏈記錄和驗證用戶身份和公鑰信息，確保了身份的唯一性和安全性；通過智能合約自動化處理密鑰的生成、分發(fā)、更新和吊銷等操作，確保密鑰管理的安全和高效；智能合約系統(tǒng)管理數(shù)據(jù)共享權(quán)限，動態(tài)調(diào)整訪問控制；結(jié)合對稱加密和非對稱加密，確保數(shù)據(jù)在傳輸過程中的安全性和加密效率，使用特定用戶的公鑰加密數(shù)據(jù)和對稱密鑰，保證數(shù)據(jù)只能被特定用戶解密和訪問；所有密鑰操作記錄在區(qū)塊鏈上，確保操作的透明性、可追溯性和不可篡改性，定期進(jìn)行安全審計，確保系統(tǒng)符合安全策略和合規(guī)要求。

2、為了實現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

3、第一方面，本發(fā)明提供了一種基于區(qū)塊鏈的分布式密碼管理系統(tǒng)。

4、一種基于區(qū)塊鏈的分布式密碼管理系統(tǒng)，包括用戶端和服務(wù)端；

5、服務(wù)端接收用戶端通過用戶端界面或api接口發(fā)送的密鑰申請請求，所述密鑰申請請求指定密鑰類型和用途；

6、服務(wù)端中的智能合約系統(tǒng)接收并驗證用戶端的申請請求，確認(rèn)用戶端身份和權(quán)限，在用戶端身份和權(quán)限得道確定后，智能合約系統(tǒng)調(diào)用密鑰管理模塊，使用安全隨機數(shù)生成器和強加密算法生成密鑰對，生成的密鑰對中的公鑰記錄在區(qū)塊鏈上，密鑰對中的私鑰加密傳輸給用戶端。

7、作為本發(fā)明第一方面進(jìn)一步的限定，在接收用戶端通過用戶端界面或api接口發(fā)送的密鑰申請請求之前，進(jìn)行用戶端注冊，包括：

8、接收用戶端的身份信息，所述身份信息包括用戶端名和公鑰；

9、通過公鑰基礎(chǔ)設(shè)施驗證用戶端的身份信息，生成用戶端身份證書，記錄在區(qū)塊鏈上。

10、作為本發(fā)明第一方面進(jìn)一步的限定，用戶端通過用戶端界面或api接口查看自己的密鑰狀態(tài)和使用記錄，所有使用記錄都存儲在區(qū)塊鏈上；

11、如果密鑰泄露或不再需要，用戶端通過智能合約系統(tǒng)提交密鑰吊銷請求，智能合約系統(tǒng)驗證后吊銷密鑰，更新區(qū)塊鏈上的使用記錄；

12、用戶端在分布式存儲系統(tǒng)中加密備份密鑰，當(dāng)需要恢復(fù)時，使用對應(yīng)的解密密鑰恢復(fù)密鑰。

13、作為本發(fā)明第一方面進(jìn)一步的限定，用戶端收到的私鑰存儲在用戶端本地安全環(huán)境中；

14、用戶端使用私鑰對數(shù)據(jù)進(jìn)行加密和解密操作，對于需要共享的加密數(shù)據(jù)，用戶端使用其他用戶端的公鑰進(jìn)行加密以使得只有目標(biāo)用戶端能解密數(shù)據(jù)；

15、用戶端在訪問系統(tǒng)資源或進(jìn)行交易時，使用數(shù)字簽名和公鑰進(jìn)行身份認(rèn)證以確保操作的合法性和安全性；

16、密鑰生命周期管理模塊定期檢查密鑰狀態(tài)，智能合約系統(tǒng)自動通知用戶端更新密鑰，用戶端提交更新請求，系統(tǒng)生成并分發(fā)新的密鑰。

17、作為本發(fā)明第一方面更進(jìn)一步的限定，用戶端之間公鑰的共享，包括：

18、用戶的公鑰在注冊時已經(jīng)被記錄在區(qū)塊鏈上，任何需要與用戶端共享數(shù)據(jù)的用戶通過查詢區(qū)塊鏈獲取用戶端的公鑰。

19、作為本發(fā)明第一方面更進(jìn)一步的限定，用戶端之間進(jìn)行數(shù)據(jù)共享，包括：

20、用戶端a使用用戶端b的公鑰加密需要共享的數(shù)據(jù)，以確保只有用戶端b能夠解密和訪問該數(shù)據(jù)，具體的，包括：使用對稱加密sm4-gcm對數(shù)據(jù)進(jìn)行機密性和完整性保護(hù)，然后使用用戶端b的公鑰加密對稱密鑰，以進(jìn)行混合加密方案，提高加密效率和安全性；

21、用戶端a將加密后的數(shù)據(jù)和加密的對稱密鑰發(fā)送給用戶端b。

22、作為本發(fā)明第一方面更進(jìn)一步的限定，用戶端b收到加密數(shù)據(jù)后，使用用戶端b自己的私鑰解密加密的對稱密鑰；

23、用戶端b使用解密后的對稱密鑰解密數(shù)據(jù)，獲取原始信息。

24、作為本發(fā)明第一方面進(jìn)一步的限定，使用智能合約系統(tǒng)定義和管理共享權(quán)限，用戶端通過智能合約系統(tǒng)設(shè)置哪些用戶能夠訪問其共享數(shù)據(jù)，智能合約系統(tǒng)支持動態(tài)更新共享權(quán)限，以使得用戶端能夠在任何時候添加或撤銷其他用戶端的訪問權(quán)限。

25、第二方面，本發(fā)明提供了一種基于區(qū)塊鏈的分布式密碼管理方法。

26、一種基于區(qū)塊鏈的分布式密碼管理方法，應(yīng)用于服務(wù)端，利用本發(fā)明第一方面所述的基于區(qū)塊鏈的分布式密碼管理系統(tǒng)，包括以下過程：

27、服務(wù)端接收用戶端通過用戶端界面或api接口發(fā)送的密鑰申請請求，所述密鑰申請請求指定密鑰類型和用途；

28、服務(wù)端中的智能合約系統(tǒng)接收并驗證用戶端的申請請求，確認(rèn)用戶端身份和權(quán)限，在用戶端身份和權(quán)限得道確定后，智能合約系統(tǒng)調(diào)用密鑰管理模塊，使用安全隨機數(shù)生成器和強加密算法生成密鑰對，生成的密鑰對中的公鑰記錄在區(qū)塊鏈上，密鑰對中的私鑰加密傳輸給用戶端。

29、作為本發(fā)明第二方面進(jìn)一步的限定，在接收用戶端通過用戶端界面或api接口發(fā)送的密鑰申請請求之前，進(jìn)行用戶端注冊，包括：

30、接收用戶端的身份信息，所述身份信息包括用戶端名和公鑰；

31、通過公鑰基礎(chǔ)設(shè)施驗證用戶端的身份信息，生成用戶端身份證書，記錄在區(qū)塊鏈上。

32、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

33、1、本發(fā)明實現(xiàn)了去中心化與分布式存儲，由于區(qū)塊鏈的去中心化特性，每個節(jié)點都有完整的數(shù)據(jù)副本，系統(tǒng)不再依賴單一的中央服務(wù)器，消除了單點故障風(fēng)險；提高了系統(tǒng)可靠性和可用性，即使某些節(jié)點故障，系統(tǒng)仍能正常運行，確保高可用性。

34、2、區(qū)塊鏈記錄的數(shù)據(jù)不可篡改，每個操作都會生成唯一的哈希值，確保密鑰操作記錄的完整性和透明性；采用強大的加密算法（如sm2、sm4-gcm），確保密鑰傳輸和存儲的安全性，使用數(shù)字簽名和哈希函數(shù)來驗證操作的合法性。

35、3、本發(fā)明的智能合約系統(tǒng)自動化處理密鑰生成、分發(fā)、更新和吊銷等操作，減少人為錯誤，確保密鑰管理的高效性和安全性，通過智能合約定義和管理數(shù)據(jù)共享權(quán)限，能夠動態(tài)調(diào)整訪問控制，確保數(shù)據(jù)共享的安全性。

36、4、本發(fā)明利用公鑰基礎(chǔ)設(shè)施（pki）和區(qū)塊鏈結(jié)合的方式，確保用戶身份的唯一性和安全性、公鑰在區(qū)塊鏈上記錄和驗證，消除了信任中介的依賴；各客戶端可以在無需互相信任的情況下進(jìn)行密鑰管理，通過區(qū)塊鏈共識機制確保數(shù)據(jù)的完整性和一致性。

37、5、本發(fā)明的所有密鑰操作記錄在區(qū)塊鏈上，形成不可篡改的審計日志，確保操作的透明性和可追溯性，支持系統(tǒng)管理員或第三方機構(gòu)對日志進(jìn)行定期審計，確保系統(tǒng)操作符合安全策略和合規(guī)要求。

38、6、本發(fā)明通過混合加密技術(shù)，結(jié)合對稱加密和非對稱加密技術(shù)，提高數(shù)據(jù)加密和傳輸?shù)男逝c安全性，通過公鑰加密技術(shù)，確保只有授權(quán)用戶可以解密和訪問共享的數(shù)據(jù)。

39、7、本發(fā)明將密鑰分片存儲在多個節(jié)點上，結(jié)合分布式文件系統(tǒng)（如ipfs），即使部分節(jié)點失效，仍能恢復(fù)密鑰數(shù)據(jù)，在多個節(jié)點上進(jìn)行冗余備份，確保數(shù)據(jù)的高可用性和恢復(fù)能力。

40、本發(fā)明附加方面的優(yōu)點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發(fā)明的實踐了解到。