一种密钥管理方法及装置与流程

技术特征：
1.一种密钥管理方法，其特征在于，包括：追踪机构获取认证节点发送的身份验证信息；所述身份验证信息包括用户节点的伪身份信息；所述伪身份信息是所述追踪机构根据所述用户节点的真实身份信息确定的；所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息；所述第一区块链用于记录有效伪身份信息；所述第二区块链用于记录无效伪身份信息；若是，则生成所述伪身份信息的验证通过结果，并将所述验证通过结果发送至所述认证节点。2.如权利要求1所述的方法，其特征在于，所述追踪机构根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息，包括：所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，则确定所述伪身份信息为有效伪身份信息；所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息未记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息；所述第一计数布隆过滤器为所述第一区块链上最新区块的计数布隆过滤器；所述第二计数布隆过滤器为所述第二区块链上最新区块的计数布隆过滤器。3.如权利要求2所述的方法，其特征在于，所述方法还包括：所述追踪机构若根据所述第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二计数布隆过滤器确定所述伪身份信息记录在所述第二区块链上，则根据所述伪身份信息对应的区块高确定所述伪身份信息是否记录在所述第二区块链上；所述追踪机构若根据所述伪身份信息对应的区块高确定所述伪身份信息记录在所述第二区块链上，则确定所述伪身份信息为无效伪身份信息。4.如权利要求2所述的方法，其特征在于，所述追踪机构若根据所述第一区块链中的第一计数布隆过滤器确定所述伪身份信息记录在所述第一区块链上，且根据所述第二区块链中的第二计数布隆过滤器确定所述伪身份信息未记录在所述第二区块链上，包括：所述追踪机构根据各预设哈希函数，确定所述伪身份信息的各哈希值；所述追踪机构基于所述各哈希值确定所述各哈希值对应在所述第一计数布隆过滤器数组上的各槽位值和对应在所述第二计数布隆过滤器数组上的各槽位值；所述追踪机构若确定所述第一计数布隆过滤器数组上的各槽位值不为0，则确定所述伪身份信息存在于所述第一计数布隆过滤器；所述第一计数布隆过滤器用于表征所述伪身份信息是否记录在所述第一区块链上；所述追踪机构若确定所述第二计数布隆过滤器数组上的各槽位值中任一槽位值为0，则确定所述伪身份信息未存在于所述第二计数布隆过滤器；所述第二计数布隆过滤器用于表征所述伪身份信息是否记录在所述第二区块链上。5.如权利要求1至4任一项所述的方法，其特征在于，根据所述用户节点的真实身份信息确定所述伪身份信息，包括：
所述追踪机构获取用户节点发送的创建指示；所述创建指示包括所述用户节点的真实身份信息、第一信息和第一验证值；所述第一信息是所述用户节点基于所述真实身份信息和第一秘密值确定的；所述第一秘密值是所述用户节点选择的；所述第一验证值是所述用户节点根据所述第一秘密值和所述第一信息确定的；所述追踪机构根据所述第一验证值对所述第一信息验证通过后，基于所述真实身份信息，根据所述追踪机构的主秘钥确定第二信息；所述主秘钥是根据预设椭圆曲线确定的；所述追踪机构将所述第一信息和第二信息确定为所述伪身份信息。6.如权利要求1至4任一项所述的方法，其特征在于，所述追踪机构获取认证节点发送的身份验证信息之前，还包括：所述追踪机构基于所述用户节点发送的创建指示，生成所述用户节点的伪身份信息；所述追踪机构基于所述伪身份信息构建第一交易，并将包含所述第一交易的第一区块上链至所述第一区块链；所述第一区块的区块头中设置有第一计数布隆过滤器，所述第一区块的区块体中记录有所述第一交易；所述第一计数布隆过滤器中各槽位值是根据所述第一区块的前一区块中的第一计数布隆过滤器和所述伪身份信息在各预设哈希函数下的各哈希值确定的。7.如权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：所述追踪机构基于所述用户节点发送的具有伪身份信息的撤销指示，构建第二交易并将包含所述第二交易的第二区块上链至所述第二区块链；所述第二区块的区块头中设置有第二计数布隆过滤器，所述第二区块的区块体中记录有所述第二交易；所述第二计数布隆过滤器中各槽位值是根据所述第二区块的前一区块中的第二计数布隆过滤器和所述伪身份信息在各预设哈希函数下的各哈希值确定的。8.一种密钥管理方法，其特征在于，包括：第一认证节点获取用户节点的发送消息；所述发送消息包括伪身份信息；所述伪身份信息是追踪机构根据所述用户节点的真实身份信息确定的；所述第一认证节点将所述伪身份信息发送至所述追踪机构，并接收所述追踪机构对所述伪身份信息的验证结果；所述验证结果是所述追踪机构根据第一区块链和第二区块链确定的；所述第一区块链用于记录有效伪身份信息；所述第二区块链用于记录无效伪身份信息；所述第一认证节点在所述验证结果为验证通过后，发送所述发送消息。9.如权利要求8所述的方法，其特征在于，所述发送消息还包括所述用户节点的公钥和签名；所述第一认证节点在所述验证结果为验证通过后，发送所述发送消息，包括：所述第一认证节点根据所述用户节点的公钥验证所述签名；所述第一认证节点在所述验证结果为验证通过且所述签名验证通过后将所述发送消息进行发送；所述签名是所述用户节点根据所述用户节点的公钥和私钥确定的；所述用户节点的公钥是根据所述伪身份信息确定的；所述用户节点的私钥是根据部分私钥生成的；所述部分私钥是密钥生成中心根据所述伪身份信息生成的。10.如权利要求9所述的方法，其特征在于，所述第一认证节点根据所述用户节点的公钥验证所述签名，包括：
所述第一认证节点若收到至少一个用户节点的发送消息，则针对所述至少一个用户节点的签名，生成聚合签名；所述第一认证节点根据所述至少一个用户节点的公钥，对所述聚合签名进行验证。11.如权利要求8所述的方法，其特征在于，所述发送消息还包括伪身份信息的时间戳；发送所述发送消息之前，还包括：根据所述时间戳确定所述伪身份信息处于有效状态。12.如权利要求8所述的方法，其特征在于，所述方法还包括：所述第一认证节点向第二认证节点发送认证请求；所述认证请求用于指示对位于所述第一认证节点下的用户节点组进行认证节点切换认证；所述用户节点组是根据各用户节点的物理地址划分的；所述第一认证节点接收所述第二认证节点发送的认证确认消息；所述认证确认消息是所述第二认证节点验证通过所述认证请求后生成的；所述第一认证节点将所述认证确认消息中的验证结果广播至所述第一认证节点中各用户节点组。13.如权利要求12所述的方法，其特征在于，所述方法还包括：所述第一认证节点接收所述用户节点组中任一用户节点发送的节点切换指令；所述第一认证节点将所述用户节点组的状态标识修改为休眠；所述第一认证节点将所述用户节点组切换至所述第二认证节点中。14.一种密钥管理装置，其特征在于，包括：获取模块，用于获取认证节点发送的身份验证信息；所述身份验证信息包括用户节点的伪身份信息；所述伪身份信息是所述追踪机构根据所述用户节点的真实身份信息确定的；处理模块，用于根据第一区块链和第二区块链确定所述伪身份信息是否为有效伪身份信息；所述第一区块链用于记录有效伪身份信息；所述第二区块链用于记录无效伪身份信息；若是，则生成所述伪身份信息的验证通过结果，并将所述验证通过结果发送至所述认证节点。15.一种计算机设备，其特征在于，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行权利要求1至7或8至13任一项所述的方法。16.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行权利要求1至7或8至13任一项所述的方法。

技术总结
本发明公开了一种密钥管理方法及装置，包括：追踪机构获取认证节点发送的身份验证信息；身份验证信息包括用户节点的伪身份信息；伪身份信息是追踪机构根据用户节点的真实身份信息确定的；追踪机构根据第一区块链和第二区块链确定伪身份信息是否为有效伪身份信息；第一区块链用于记录有效伪身份信息；第二区块链用于记录无效伪身份信息；若是，则生成伪身份信息的验证通过结果，并将验证通过结果发送至认证节点，以此防止攻击者通过无效公钥传播虚假消息，避免密钥生成中心和用户节点增加过大的计算负担，伪身份信息还提高了用户节点的安全性和隐私性，区块链还防止了伪身份信息被篡改，提升了伪身份信息的准确性。提升了伪身份信息的准确性。提升了伪身份信息的准确性。


技术研发人员：姚苏 关建峰 徐恪 李雪涛 程玄 范瑞彬 张开翔 苏小康 李传庆 李成博
受保护的技术使用者：清华大学
技术研发日：2021.08.04
技术公布日：2021/11/23