Box (Enterprise Digital Asset Safe) is een reeks digitale activabeveiligingsoplossingen op bedrijfsniveau op basis van bloktechnologie. Het is gebaseerd op axiomatische technologieën op het gebied van blockchain, cryptografie, communicatiebeveiliging, enz. Om een ​​naadloze verbinding tussen technologieën te bereiken, waardoor de pijn in de industrie van privésleutels fundamenteel wordt opgelost en instructies wordt geknoeid. In dit stadium bedient Box voornamelijk digitale activabeurzen, digitale investeringsinstellingen voor activa en aanverwante ondernemersteams.

Projectintroductie

Box (Enterprisetokensafebox) is een digitale activa-applicatie op digitale activa op bedrijfsniveau. Het maakt gebruik van axiomatische technologieën op het gebied van blockchain, cryptografie, communicatiebeveiliging, enz. Om de privésleutels en werkingstructies van verschillende digitale activa te beschermen, en lost in principe de problemen van privésleutels en instructies op.

Project Hoogtepunten

Ontwerp gedachten
Box is een digitaal activabankysteem dat eigendom is van ondernemingen. Via het boxsysteem worden de verschillende digitale activa -portefeuilles van de onderneming centraal beheerd en de privésleutels worden gecodeerd en worden nooit in het geheugen uitgevoerd. Via het private blockchain -netwerk dat eigendom is van de Enterprise, wordt de aangepaste bedrijfsstroom van de Enterprise op maat gemaakte activabeheer geconstrueerd via sequentiële particuliere sleutelhandtekeningen, en het communicatiekanaal is gegarandeerd absoluut veilig via SSL/TLS -codering. Box is in staat geweest om kwetsbaarheden te voorkomen die gebruikelijk zijn in persoonlijke portefeuilles zoals externe hackers, interne hackers en eenpersoonsbescherming. Tegelijkertijd heeft Box beveiligingsmechanismen zoals inbraakvergrendeling en het resetten van het systeem om de hoge zekerheid van digitale activa van bedrijven te waarborgen.

Private sleutelbeveiligingsmechanisme
De privésleutel wordt opgeslagen in het geheugen van de ondertekeningsmachine en zal niet blijven bestaan. Nadat de ondertekenmachine in extreme gevallen is binnengevallen, is het moeilijk voor de indringer om de privésleutel in een korte periode te vinden, waardoor het risico op blootstelling aan private sleutel aanzienlijk wordt verminderd.

Om te voorkomen dat het genereren van privésleutels wordt gesimuleerd, nemen we de vervormingsvorm aan van RFC6979 Protocol: K = SHA256 (D+SHA256 (M1)+SHA256 (M2)+SHA256 (M3)+...), D is het server willekeurig aantal en M is de belangrijkste zin in de privé -sleutel -app. Het genereren van een privésleutel wordt gegenereerd door respectievelijk belangrijke zinnen door drie private sleutelapps in te voeren. De belangrijkste zinnen zijn snaren samengesteld uit willekeurige brieven en cijfers. Nadat de drie of meer private sleutel -apps op zijn beurt de belangrijkste zinnen invoeren, wordt de privésleutel die wordt gegenereerd door de drie belangrijkste zinnen opgeslagen in het geheugen van de ondertekeningsmachine. Tegelijkertijd wordt het openbare sleuteladres gegenereerd door de particuliere sleutel geregistreerd in de publieke keten, dat wil zeggen dat er een hot wallet in de publieke keten wordt gegenereerd. De particuliere sleutel -app zal deze sleutelzin niet opslaan en de broncode van de particuliere sleutel -app zal ook synchroon open source zijn.

Zodra de handtekeningmachine wordt uitgeschakeld, zal de privésleutel in het geheugen onmiddellijk verdwijnen, wanneer de handtekeningmachine opnieuw moet worden gestart, moeten alle particuliere sleutelapps de juiste sleutelzin opnieuw invoeren. Als een particuliere sleutel -app -houder de juiste sleutelzin niet kan invoeren, moet u een koude back -up van de privé -sleutelzin inschakelen. Aangezien dit proces tot het daadwerkelijke enterprise managementproces behoort, geeft dit artikel alleen een suggestie voor koude back -up

privéketen

Privéketens spelen een bewijs van bewijsmateriaal en authenticiteit in het hele boxsysteem. Profiteer van de onveranderlijke kenmerken van blockchain, het goedkeuringsproces en het overdrachtsgoedkeuringsproces worden in de keten geplaatst om op te slaan, waardoor het programma een betrouwbare basis biedt om overdrachtsautomatisering te realiseren. De eerste release -versie van het Box -systeem gebruikt Ethereum om een ​​privéketen te bouwen en is van plan in de toekomst meer oplossingen voor de bouw van privéketens te ondersteunen.

Het begeleidende programma is Ethereum Dapp. Elk privé-ketenknooppunt is uitgerust met hetzelfde begeleidende programma, dat wordt gebruikt om traditionele CS (client-server) applicatieaanvragen te verwerken, procesgegevens te uploaden privéketens, slimme contracten uit te voeren, te luisteren naar slimme contractgebeurtenissen, statusmeldingen te verzenden, interacties te coördineren tussen applicaties op het hoogste niveau en geautoriseerde services, enz.

De gegevens die op de keten zijn opgeslagen, worden opgeslagen in het slimme contract. Slimme contracten gebruiken stemmen om een ​​gegevens over de keten van bewijsopslag te bevestigen. Elke gegevens moeten worden gestemd door 51% van de privé -ketenknooppunten, en de inhoud van elke stemming is consistent voordat wordt bevestigd dat het geldig bewijsopslag is. Elk knooppunt komt overeen met een account die hetzelfde contract beheert. Tenzij meer dan 50% van de knooppunten worden vastgelegd, kunnen de gegevens die op de keten zijn opgeslagen, gegarandeerd geldig zijn.

Access Layer

De toegangslaag hanteert een discrete machtsarchitectuur.

De kracht van het hele systeem is discreet in elke app -uiteinde. Hoewel de Access Layer Server de overdracht en fusie van verschillende services uitvoert, kunnen de uitgeoefende rechten op de informatie niet worden gewijzigd en uitgevoerd. De implementatie van Power Discrete is gebaseerd op het basisalgoritme ECDSA (Elliptic Curve Digital Signature Algoritm). In het algoritme gebruikt ECC (EllipticCurvecryptography) de Bitcoin Classic Curve Secp256K1.

Het overdrachtsproces is: de app -app en de management -app genereren de handtekening, waarna de overdracht wordt voltooid in de toegangslaag en de bevestiging wordt verkregen bij de privéketenlaag, en ten slotte wordt de handtekeningmachine geïmplementeerd in de publieke keten.

De Service Access Layer is verdeeld in twee delen: 1. Constructie en aanpassing van de goedkeuringsstroom. 2. Implementatie van goedkeuringsstroom.

Goedkeuringsstroombeveiligingsmechanisme
Er zijn twee belangrijke onderdelen van de beveiliging van geautomatiseerde transfers. De ene is de beveiliging van de particuliere sleutel zelf (al uitgelegd in het hoofdstuk over private sleutelbeveiliging), en de andere is de beveiliging van het gebruiksrecht (goedkeuringsstroom).

Communicatiebeveiligingsmechanisme
De ondertekenmachine is de server waar de service in de autorisatielaag zich bevindt. Communicatie tussen de ondertekenmachine en de privéketen is de communicatie tussen de diensten van de autorisatielaag en de diensten van de privéketenlaag. Communicatie tussen services wordt geverifieerd met behulp van GRPC+SSL/TLS Two-Way-certificaten. GRPC is een hoogwaardige RPC-framework dat is ontworpen op basis van de HTTP/2-protocolstandaard en ontwikkeld op basis van het serialisatieprotocol van ProtobUF (ProtocolBuffers). De HTTP/2 -protocolstandaard zelf vereist gecodeerde gegevensoverdracht (SSL/TLS). Het boxsysteem ontwikkelt geautoriseerde servicemodules voor alle openbare ketens. Vanwege het bestaan ​​van SSL/TLS tweerichtingsverificatiecertificaten, wordt informatiebeveiliging in grote mate gegarandeerd. Zodra er een abnormale verbinding tussen de servers is, wordt het verzoek onmiddellijk afgewezen, wat kan voorkomen dat het risico van man-in-the-middle-aanvallen.

Alle apps die communiceren met de toegangslaag https aan. De particuliere sleutel die wordt gebruikt voor handtekeningen van werknemers wordt uitgegeven via de management -app.

De toegangslaag en de private link zijn interne communicatie en zijn verbonden door TCP/IP -protocol. Op dit moment zijn de gegevens die naar de privé -link worden verzonden door de toegangslaag ondertekend en geautoriseerd en is een informatie -digest gegenereerd. De private link hoeft alleen maar het handtekeningverificatieprogramma te gebruiken om het te verifiëren. Als de verificatie mislukt, wordt de service geweigerd. De toegangslaag verzendt verzoeken naar alle privé -ketenknooppunten. Elk privé -ketenknooppunt komt overeen met een account. Elk account zal verzoekgegevens geverifieerd en bewijsmateriaal opslaan via een stemmechanisme. Nadat het slimme contract op de particuliere keten is bevestigd door meer dan 50% van de accounts, worden de gegevens succesvol geüpload. De toegangslaag biedt handtekeningen en digests voor privé -ketenbevestiging en de privéketen biedt stemresultaten voor de toegangslaag door te stemmen. Het bovenstaande proces kan worden samengevat in twee formules:

handtekening = teken (hash)
publickey == herstellen (hash, handtekening)

koude back -up van privésleutels

Om te voorkomen dat onverwachte situaties van een particuliere sleutel -app -houder de privésleutel resetten, wordt het aanbevolen om alle trefwoorden fysiek te back -ups. Nadat elke particuliere sleutel-app-houder bijvoorbeeld een trefwoord heeft ingevoerd, kan de mobiele telefoon die op de particuliere sleutel-app wordt uitgevoerd, worden aangesloten op een niet-netwerk mini-printer. Het trefwoord wordt automatisch afgedrukt op de notitie in een QR -code en twee exemplaren worden afgedrukt. Alle trefwoordnotities worden onderverdeeld in twee exemplaren en verzegeld in twee enveloppen. Het wordt aanbevolen dat het bedrijf deze mini -printer en twee trefwoordback -upkopieën in respectievelijk twee bankkluizen opslaat. Een van de sleutels in de kluis kan worden toevertrouwd aan de bedrijfsadvocaat om vast te houden, en er wordt overeengekomen dat deze back -up alleen kan worden geopend met de toestemming van de resolutie van de Raad van Bestuur.

gerelateerde links :
https://www.qukuaiwang.com.cn/news/12143.html