本發(fā)明涉及互聯(lián)網(wǎng)上的物品安全防偽技術(shù)，特別地涉及物品身份標(biāo)識的構(gòu)建及驗證。

背景技術(shù)：

隨著網(wǎng)絡(luò)游戲、虛擬社區(qū)、電子支付等網(wǎng)上娛樂和服務(wù)越來越普及，互聯(lián)網(wǎng)物品也愈加體現(xiàn)出現(xiàn)實的財產(chǎn)價值。在現(xiàn)實生活中，每一個商品都有其唯一的商品二維碼以進(jìn)行驗證，防止偽造和假冒。同樣地，在互聯(lián)網(wǎng)上物品也需要進(jìn)行防偽的身份驗證，只不過驗證是通過各類的認(rèn)證機(jī)構(gòu)以網(wǎng)絡(luò)數(shù)據(jù)的形式展示的。由于虛擬物品更容易復(fù)制，互聯(lián)網(wǎng)上的物品對安全性的需求更高，目前的互聯(lián)網(wǎng)上的物品正偽身份驗證主要依賴認(rèn)證機(jī)構(gòu)，但存在如下幾個問題：

(1)由于不同認(rèn)證機(jī)構(gòu)相對獨立，物品往往需要在多個認(rèn)證機(jī)構(gòu)分別進(jìn)行注冊、登錄、驗證等操作，身份驗證效率低下，物品使用不便；

(2)如果認(rèn)證機(jī)構(gòu)被攻擊或者存在惡意欺詐，將會造成物品身份信息“失竊”甚至“被篡改”，直接威脅物品財產(chǎn)安全。

技術(shù)實現(xiàn)要素：

鑒于上述問題，本發(fā)明提出了一種身份標(biāo)識構(gòu)建和驗證的方法，以便提高互聯(lián)網(wǎng)物品驗證的安全性，從而至少部分地解決上述問題。

所述方法包括如下步驟：

認(rèn)證機(jī)構(gòu)根據(jù)提交的對物品的身份驗證請求，構(gòu)建物品身份標(biāo)識區(qū)塊鏈；

所述認(rèn)證機(jī)構(gòu)借助所述身份區(qū)塊鏈進(jìn)行物品身份驗證。

所述身份驗證請求包括物品信息、物品公鑰和申請認(rèn)證的有效期，所述物品信息包括物品姓名、單位、城市、國家及其他代表物品身份的信息。

進(jìn)一步地，構(gòu)建身份區(qū)塊鏈的過程包括如下步驟：

所述認(rèn)證機(jī)構(gòu)根據(jù)身份驗證請求中的物品信息生成全網(wǎng)唯一身份標(biāo)識，并判斷該物品是否為新物品；

如果該物品為新物品，則進(jìn)行物品身份確認(rèn)，確認(rèn)通過后創(chuàng)建新的物品身份數(shù)字證書；如果該物品為老物品，則查詢該物品已有的身份數(shù)字證書，并比較已有的物品身份數(shù)字證書信息與物品提交的身份驗證請求信息是否一致，如果一致則返回物品數(shù)字證書已經(jīng)存在的提示，如果不一致則對物品進(jìn)行身份確認(rèn)，確認(rèn)通過則創(chuàng)建新的物品身份數(shù)字證書；

進(jìn)一步地，所述認(rèn)證機(jī)構(gòu)向所有參與身份區(qū)塊鏈構(gòu)建過程的其他所有認(rèn)證機(jī)構(gòu)廣播物品的物品身份數(shù)字證書，并寫入身份區(qū)塊鏈；

進(jìn)一步地，如果接收廣播的認(rèn)證機(jī)構(gòu)與發(fā)送廣播的所述認(rèn)證機(jī)構(gòu)為相互信任關(guān)系，則接收廣播的認(rèn)證機(jī)構(gòu)將該物品身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播；如果接收廣播的認(rèn)證機(jī)構(gòu)與發(fā)送廣播的所述認(rèn)證機(jī)構(gòu)沒有相互信任關(guān)系，則接收廣播的認(rèn)證機(jī)構(gòu)對該物品進(jìn)行身份確認(rèn)，確認(rèn)通過后則將該物品的身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播，否則將拒絕將該物品的身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播。

進(jìn)一步地，所述生成全網(wǎng)唯一身份標(biāo)識的方法采用哈希算法（uuid），哈希算法的輸入為物品信息，輸出為全網(wǎng)唯一身份標(biāo)識。

進(jìn)一步地，所述判斷該物品是否為新物品的方法具體為：

所述認(rèn)證機(jī)構(gòu)保存當(dāng)前區(qū)塊鏈中所有物品的全網(wǎng)唯一身份標(biāo)識，將所述認(rèn)證機(jī)構(gòu)根據(jù)物品信息生成的全網(wǎng)唯一身份標(biāo)識與存儲的全網(wǎng)唯一身份標(biāo)識進(jìn)行對比，未找到已保存的全網(wǎng)唯一身份標(biāo)識則為新物品，否則為老物品。

進(jìn)一步地，所述認(rèn)證機(jī)構(gòu)對該物品進(jìn)行身份確認(rèn)的步驟包括：生成隨機(jī)數(shù)r，利用物品的公鑰對隨機(jī)數(shù)r進(jìn)行加密，并發(fā)送給物品；物品利用物品的私鑰進(jìn)行解密得到r，進(jìn)而利用認(rèn)證機(jī)構(gòu)的公鑰對r+1進(jìn)行加密，發(fā)送給認(rèn)證機(jī)構(gòu)；認(rèn)證機(jī)構(gòu)收到后，利用認(rèn)證機(jī)構(gòu)的私鑰解密得到r+1，從而確認(rèn)物品身份正確。

進(jìn)一步地，所述認(rèn)證機(jī)構(gòu)生成物品身份數(shù)字證書的步驟包括：利用認(rèn)證機(jī)構(gòu)的密鑰，將全網(wǎng)唯一身份標(biāo)識、物品信息、物品公鑰、有效期、認(rèn)證機(jī)構(gòu)名稱、認(rèn)證機(jī)構(gòu)標(biāo)識以及擴(kuò)展項進(jìn)行簽名，生成全網(wǎng)唯一的數(shù)字證書編號，該編號即為物品身份數(shù)字證書。

進(jìn)一步的，所述身份區(qū)塊鏈的構(gòu)建過程中，不同認(rèn)證機(jī)構(gòu)間需要達(dá)成共識，共識達(dá)成可以使用pow、或pos、或rpca方式，當(dāng)共識達(dá)成后，新的區(qū)塊才能納入?yún)^(qū)塊鏈，物品身份數(shù)字證書信息也才能納入?yún)^(qū)塊鏈；

所述身份區(qū)塊鏈由身份區(qū)塊組成，所述身份區(qū)塊為周期性生成，所述身份區(qū)塊包含區(qū)塊生成時間、當(dāng)前區(qū)塊根hash、前一區(qū)塊根hash以及物品身份數(shù)字證書信息。

進(jìn)一步的，所述認(rèn)證機(jī)構(gòu)借助身份區(qū)塊鏈進(jìn)行物品身份驗證包括下述三種情況：

第一種情況，如果所述認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則直接利用該物品的身份信息生成全網(wǎng)唯一身份標(biāo)識，并在區(qū)塊鏈中進(jìn)行遍歷查詢，如果找到該物品的身份數(shù)字證書，則判斷數(shù)字證書是否超過有效期，如果未超出有效期，則該物品數(shù)字證書有效，直接將數(shù)字證書發(fā)送給該物品即可完成身份驗證，否則未找到該物品的身份數(shù)字證書，則身份驗證失敗；

第二種情況，如果所述認(rèn)證機(jī)構(gòu)并未參與身份區(qū)塊鏈的構(gòu)建過程，則所述認(rèn)證機(jī)構(gòu)將向其信任的認(rèn)證機(jī)構(gòu)列表發(fā)送身份數(shù)字證書獲取請求，如果所述信任認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則由所述信任認(rèn)證機(jī)構(gòu)按照所述第一種情況獲取該物品的身份數(shù)字證書，完成身份驗證過程；

第三種情況，如果所述認(rèn)證機(jī)構(gòu)并未參與身份區(qū)塊鏈的構(gòu)建過程，且并未找到所述認(rèn)證機(jī)構(gòu)信任的認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則所述認(rèn)證機(jī)構(gòu)無法借助區(qū)塊鏈完成該物品身份驗證，需要使用傳統(tǒng)方式進(jìn)行單獨的物品身份驗證。

進(jìn)一步的，所述方法還包括當(dāng)物品發(fā)生更新時，所述認(rèn)證機(jī)構(gòu)對物品身份區(qū)塊鏈進(jìn)行更新的步驟：

所述認(rèn)證機(jī)構(gòu)接收到物品的更新請求后，首先根據(jù)該物品信息生成全網(wǎng)唯一的身份標(biāo)識，并通過身份標(biāo)識查詢該物品的已有身份數(shù)字證書，如果未找到，則更新失??；如果找到已有身份數(shù)字證書，則比較已有身份數(shù)字證書中的物品公鑰、頒發(fā)者信息、有效期信息是否與更新請求中的信息一致，如果一致則更新失敗，如果不一致，則首先進(jìn)行該物品的身份確認(rèn)，通過確認(rèn)后為該物品創(chuàng)建新的物品身份數(shù)字證書，并寫入身份區(qū)塊鏈。

本發(fā)明通過將區(qū)塊鏈技術(shù)應(yīng)用于互聯(lián)網(wǎng)物品的安全防偽，將物品身份信息寫入?yún)^(qū)塊鏈，由多家認(rèn)證機(jī)構(gòu)通過共識機(jī)制共同完成身份信息的確認(rèn)、存儲，此后物品便可以方便地利用區(qū)塊鏈進(jìn)行身份驗證。該方法不僅可以提高物品身份驗證的效率，同時也不會因個別認(rèn)證機(jī)構(gòu)的問題影響物品身份信息的準(zhǔn)確性，大幅提升身份驗證過程的安全性。

附圖說明

圖1示出了本發(fā)明的身份標(biāo)識構(gòu)建和驗證的方法；

圖2示出了本發(fā)明構(gòu)建身份標(biāo)識區(qū)塊鏈的具體過程；

圖3示出了本發(fā)明的身份區(qū)塊鏈的結(jié)構(gòu)。

具體實施方式

下面結(jié)合附圖詳細(xì)說明本發(fā)明的實施方式。

圖1示出了本發(fā)明的身份標(biāo)識構(gòu)建和驗證的方法，包括如下步驟：

s1：認(rèn)證機(jī)構(gòu)根據(jù)提交的對物品的身份驗證請求，構(gòu)建物品身份標(biāo)識區(qū)塊鏈；

s2：所述認(rèn)證機(jī)構(gòu)借助所述身份標(biāo)識區(qū)塊鏈進(jìn)行物品身份驗證。

圖2示出了s1中構(gòu)建身份標(biāo)識區(qū)塊鏈的具體過程，包括如下步驟：

s11：所述認(rèn)證機(jī)構(gòu)根據(jù)身份驗證請求中的物品信息生成全網(wǎng)唯一身份標(biāo)識；所述身份驗證請求包括物品信息、物品公鑰和申請認(rèn)證的有效期，所述物品信息包括物品姓名、單位、城市、國家及其他代表物品身份的信息；

s12：判斷該物品是否為新物品；如果是，則進(jìn)入步驟s14；如果否，則進(jìn)入s13；

s13：查詢該物品已有的身份數(shù)字證書，并比較已有的物品身份數(shù)字證書信息與物品提交的身份驗證請求信息是否一致，如果一致則返回物品數(shù)字證書已經(jīng)存在的提示，如果不一致則進(jìn)入步驟s14；

s14：進(jìn)行物品身份確認(rèn)，確認(rèn)通過后生成新的物品數(shù)字身份證書，進(jìn)入步驟s15；

s15：認(rèn)證機(jī)構(gòu)向所有參與身份區(qū)塊鏈構(gòu)建過程的其他所有認(rèn)證機(jī)構(gòu)廣播物品的物品身份數(shù)字證書，并寫入身份區(qū)塊鏈；進(jìn)入步驟s16；

s16：判斷接收廣播的認(rèn)證機(jī)構(gòu)與發(fā)送廣播的所述認(rèn)證機(jī)構(gòu)是否為相互信任關(guān)系，如果是則進(jìn)入步驟s17，否則進(jìn)入步驟s18；

s17：接收廣播的認(rèn)證機(jī)構(gòu)將該物品身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播；進(jìn)入步驟s19；

s18：接收廣播的認(rèn)證機(jī)構(gòu)對該物品進(jìn)行身份確認(rèn)，確認(rèn)通過后則將該物品的身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播，進(jìn)入步驟s19；否則將拒絕將該物品的身份數(shù)字證書寫入?yún)^(qū)塊鏈，并向其他認(rèn)證機(jī)構(gòu)廣播；進(jìn)入步驟s20；

s19：身份標(biāo)識區(qū)塊鏈構(gòu)建完成；

s20：拒絕寫入的構(gòu)建流程完成。

s11中，所述生成全網(wǎng)唯一身份標(biāo)識的方法采用哈希算法（uuid），哈希算法的輸入為物品信息，輸出為全網(wǎng)唯一身份標(biāo)識。

s12中，判斷該物品是否為新物品的方法具體為：

所述認(rèn)證機(jī)構(gòu)保存當(dāng)前區(qū)塊鏈中所有物品的全網(wǎng)唯一身份標(biāo)識，將所述認(rèn)證機(jī)構(gòu)根據(jù)物品信息生成的全網(wǎng)唯一身份標(biāo)識與存儲的全網(wǎng)唯一身份標(biāo)識進(jìn)行對比，未找到已保存的全網(wǎng)唯一身份標(biāo)識則為新物品，否則為老物品。

s14和s18中，所述認(rèn)證機(jī)構(gòu)對該物品進(jìn)行身份確認(rèn)的步驟包括：生成隨機(jī)數(shù)r，利用物品的公鑰對隨機(jī)數(shù)r進(jìn)行加密，并發(fā)送給物品；物品利用物品的私鑰進(jìn)行解密得到r，進(jìn)而利用認(rèn)證機(jī)構(gòu)的公鑰對r+1進(jìn)行加密，發(fā)送給認(rèn)證機(jī)構(gòu)；認(rèn)證機(jī)構(gòu)收到后，利用認(rèn)證機(jī)構(gòu)的私鑰解密得到r+1，從而確認(rèn)物品身份正確。

物品身份數(shù)字證書包括：全網(wǎng)唯一身份標(biāo)識、物品信息、物品公鑰、有效期、認(rèn)證機(jī)構(gòu)名稱、認(rèn)證機(jī)構(gòu)標(biāo)識以及擴(kuò)展項。其生成方法為利用認(rèn)證機(jī)構(gòu)的密鑰，將上述信息進(jìn)行簽名生成全網(wǎng)唯一的數(shù)字證書編號，該編號即為物品身份數(shù)字證書。

圖3示出了所述身份區(qū)塊鏈的結(jié)構(gòu)，其由身份區(qū)塊組成，所述身份區(qū)塊為周期性生成，所述身份區(qū)塊包含區(qū)塊生成時間、當(dāng)前區(qū)塊根hash、前一區(qū)塊根hash以及物品身份數(shù)字證書信息。

此外，在上述方法執(zhí)行過程中，不同認(rèn)證機(jī)構(gòu)間需要達(dá)成共識（未示出），共識達(dá)成可以使用pow、或pos、或rpca方式，當(dāng)共識達(dá)成后，新的區(qū)塊才能納入?yún)^(qū)塊鏈，物品身份數(shù)字證書信息也才可以納入?yún)^(qū)塊鏈；

s2中，所述認(rèn)證機(jī)構(gòu)借助身份標(biāo)識區(qū)塊鏈進(jìn)行物品身份驗證包括下述三種情況：

第一種情況，如果所述認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則直接利用該物品的身份信息生成全網(wǎng)唯一身份標(biāo)識，并在區(qū)塊鏈中進(jìn)行遍歷查詢，如果找到該物品的身份數(shù)字證書，則判斷數(shù)字證書是否超過有效期，如果未超出有效期，則該物品數(shù)字證書有效，直接將數(shù)字證書發(fā)送給該物品即可完成身份驗證，否則未找到該物品的身份數(shù)字證書，則身份驗證失??；

第二種情況，如果所述認(rèn)證機(jī)構(gòu)并未參與身份區(qū)塊鏈的構(gòu)建過程，則所述認(rèn)證機(jī)構(gòu)將向其信任的認(rèn)證機(jī)構(gòu)列表發(fā)送身份數(shù)字證書獲取請求，如果所述信任認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則由所述信任認(rèn)證機(jī)構(gòu)按照所述第一種情況獲取該物品的身份數(shù)字證書，完成身份驗證過程；

第三種情況，如果所述認(rèn)證機(jī)構(gòu)并未參與身份區(qū)塊鏈的構(gòu)建過程，且并未找到所述認(rèn)證機(jī)構(gòu)信任的認(rèn)證機(jī)構(gòu)參與了身份區(qū)塊鏈的構(gòu)建過程，則所述認(rèn)證機(jī)構(gòu)無法借助區(qū)塊鏈完成該物品身份驗證，需要使用傳統(tǒng)方式進(jìn)行單獨的物品身份驗證。

進(jìn)一步的，所述方法還包括所述認(rèn)證機(jī)構(gòu)對物品身份區(qū)塊鏈進(jìn)行更新的步驟：

所述認(rèn)證機(jī)構(gòu)接收到物品的更新請求后，首先根據(jù)更新請求中的該物品信息生成全網(wǎng)唯一的身份標(biāo)識，并通過身份標(biāo)識查詢該物品的已有身份數(shù)字證書，如果未找到，則更新失敗；如果找到已有身份數(shù)字證書，則比較已有身份數(shù)字證書中的物品公鑰、頒發(fā)者信息、有效期信息是否與更新請求中的信息一致，如果一致則更新失敗，如果不一致，則首先進(jìn)行該物品的身份確認(rèn)，通過確認(rèn)后為該物品創(chuàng)建新的物品身份數(shù)字證書，并寫入身份區(qū)塊鏈。

最后應(yīng)說明的是，以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制，盡管參照較佳實施例對本發(fā)明進(jìn)行了詳細(xì)說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的精神和范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。