基于区块链的跨异构域认证系统的制作方法

1.本发明属于认证系统中的跨异构域认证领域，特别设计一种基于区块链的跨域认证系统。


背景技术：

2.随着互联网技术的发展，组织或服务提供商拥有越来越多的应用和信息。安全是互联网平台健康发展的前提和保障，而建立可靠安全的网络通信环境是目前需要解决的重要问题。为了防止未经授权的用户访问自己域中的数据及应用，机构或服务商通常通过建立一个认证服务器来形成一个相对独立的信任域，进而管理自己的用户。公钥基础设施(pki)是最常用的保障网络空间安全的重要身份认证技术，企业、医院、认证域、政府部门等基于pki实现了大量的身份管理系统。然而，随着基于身份的加密(ibe)技术的发展，越来越多的中小企业使用ibe来部署内部认证系统。这主要是因为ibe系统在很大程度上解决了pki系统中的证书中心化问题，并且由于不需要管理大量的证书，使得运行成本降低。ibe具有较好的发展趋势，但是就目前国内的网络系统架构，我们无法将ibe系统架构应用于全国范围内，而只能是局部的，因此就会存在pki与ibe系统架构共存的现象。用户可能希望访问其他认证域中的应用程序以获得更优质的服务和更广泛的数据范围。然而这些基于pki和ibe系统的组织通常是集中的，并且pki和ibe域中的认证架构和基础设施不同。此外值得注意的是，信任域是相互隔离的。不同的域通常使用异构的信任系统来提供安全保证。综上所属现状，随着异构认证域协作需求的不断增加，安全有效地进行不同认证系统之间的信息传递是当前网络发展急需解决的问题。
3.作为第二代互联网内容的区块链技术正在全球金融领域引发颠覆性变革，并且这一变革也将深刻影响其他所有行业。区块链本质上讲是一个共享数据库，存储于其中的数据或信息具有“不可伪造”“全程留痕”“可以追溯”“公开透明”“集体维护”等特征。区块链的公共分类账中，每个交易都通过了系统中大多数参与者的共识和验证。并且，交易一旦完成信息就一直存在，即区块链中包含的每一条交易都确凿、可验证记录。目前，区块链的分布式特性已经应用到很多领域。


技术实现要素：

4.为了解决跨异构认证域时出现的问题，保证认证过程的安全性，本发明提出利用区块链技术设计可靠的跨域认证系统。利用区块链的分布式和不可篡改特性，设计了一种基于区块链的跨域认证系统，以保证异构认证过程的安全性。该系统不改变每个认证域的内部信任结构，具有很高的可扩展性。此外，在保证安全的前提下，提出了一种基于区块链的跨域认证协议。该协议对根证书签名的验证过程进行了改进，通过验证根证书的哈希值确保证书的正确性，从而提高了认证效率。
5.由于不同信任域之间对于传递身份信任的过程没有统一标准，在具体的跨认证域应用中，用户操作具有诸多不便。基于pki的解决方案使用了第三方服务器解决标识和密钥
的捆绑问题，但是带来了第三方的法律地位过高和认证过程通信量增大的问题。随着区块链技术的发展，许多机构已经开始利用其分布性和不可篡改的特性进行身份认证领域的研究，区块链技术推动了数字证书更多维度的开发和应用。
6.本发明提出了一种基于区块链技术的适用于跨pki和ibe的异构域认证方案。采用区块链技术的分布式存储特性来实现多域认证中信任的分布式存储。为了使得我们的发明具有更好的可用性，在沿用各认证域内部认证框架和逻辑前提下，各认证域之间利用区块链技术建立信任，达到合作目的的同时降低了系统部署的复杂性，保证了系统安全性、可追溯性，同时具有更好的灵活性。综上，本发明针对各异构认证域合作模式和现有跨异构域认证方案的缺陷，基于区块链技术的分布性和不可篡改特性提出了一种适用于跨pki和ibe异构认证域的认证方案，各认证域通过组织内的域间互联模块，利用区块链技术建立信任连接来构建跨异构域认证系统。在保留原认证域内部架构和认证逻辑的前提下，保证每个认证域的内部逻辑和层次结构清晰和安全性。
7.为了达到本发明的目的，本发明采用的技术方案为基于区块链的跨异构域认证系统，该系统是构建的一个原型系统。系统中包括pki信任域和ibe信任域两种信任域类型。每个信任域中都包括认证系统、数据和应用系统以及人员管理系统。pki信任域中包括认证系统、数据和应用系统以及人员管理系统。pki认证系统包括根ca模块和子ca模块；数据和应用系统包括应用服务模块；人员系统包括认证域内的普通用户u和管理员用户ad。认证系统分别为数据和应用系统以及人员系统颁发设备证书和用户证书。ibe认证系统包括标识管理服务模块、权限管理服务模块和域间互联服务模块；数据和应用系统包括应用服务模块；人员系统包括认证域内的普通用户u和管理员用户ad。区块链是本模型中建立信任的基础，由多个信任域共同维护。pki系统中的根ca服务模块和ibe系统中的认证服务模块用于完成域间认证服务，在之后的描述中我们统称为域间认证模块。
8.本模型跨异构域认证的思路是：域a与域b经过社会性协商后，假设约定域b对域a信任。域b的域间互联模块生成对域a信任的交易发送在区块链上，交易的关键数据为域b对域a所颁发区块链证书的哈希值。当域a用户请求访问域b上的服务时，用户需进行跨域身份认证。首先域a接收用户u的认证请求，然后u将用户证书发送给本域认证模块进行域内认证，若本域认证模块通过了用户的域内认证，将域a域间保存的域b互联模块对域a颁发的区块链证书bcert发送给域b服务模块进行认证，域b服务模块通过域间互联模块的区块链客户端查询区块链上存储的关于bcert的交易记录，查到后解析交易并对交易进行验证，如果验证通过则完成域b应用服务对域a用户的跨域认证，此时域a用户可以访问域b服务。
9.与现有技术相比较，本发明提出的一种基于区块链的跨异构域认证方案不仅达到了跨域认证的目的，而且可以降低跨异构域认证方案的复杂度，保证系统的安全性和可追溯性，同时提高了系统的灵活性。在延用每个信任域认证框架和内部逻辑的前提下，采用区块链技术在认证域之间建立信任，提高系统的可扩展性。
附图说明
10.图1是本发明的总体系统模型示意图。
11.图2是本发明区块链认证证书与x.509证书格式比较图。
12.图3是本发明跨域认证流程示意图。
13.图4是本发明节点拓扑结构示意图。
具体实施方式
14.以下将结合附图所示的具体实施方式对本发明进行详细描述。
15.图1是本发明基于区块链的跨异构域认证的整体系统架构图，如图1所示，系统模型包括智能合约、区块链账本、实体和域间互联模块。各部分具体说明如下：
16.1)智能合约：将每个域遵循的合约写入区块链，这些合约是透明的，并自动执行。智能合约由区块链成员共同监督和维护。
17.2)区块链账本：由各个认证域内的域间互联模块共同参与维护的分布式数据库，区块链记录信任域的证书信息，提供公开且不可篡改的证书记录。区块链系统建立在联盟链之上，联盟链只对特定授权的认证域开放，授权的域间互联模块作为联盟链网络的验证节点。区块链账本中的区块链证书代表了某个认证域对于其他认证域的认证授权，利用区块链不可篡改特性保证了区块链证书的安全性。
18.3)信任域：信任域内分为用户和服务提供者。用户通过终端与自身所在域的域间互联模块进行交互，实现对用户注册、身份管理、认证的一系列操作。如果用户希望获得跨域服务，需要在自身信任域内通过认证，然后通过域间互联模块向对方服务请求认证。
19.4)域间互联模块：每个信任域中的域间互联模块服务器是该认证域的可信源，发布该信任域的信任策略。域间互联模块为域内的用户和应用程序提供服务，管理和认证下级认证服务器以及用户。域间互联模块是本系统中区块链证书的实际所有者。信任域通过向联盟链发出交易来授权其他域对本域的认证。
20.图2是区块链认证证书bcert与x.509证书格式对比图，根据系统设计目标和具体功能设计并提出了bcert。bcert由添加到区块链网络中的域间互联模块生成。bcert记录作为系统中的信任凭证保存在分布式的区块链账本上。在传统x.509证书的基础上，设计了bcert证书，并根据系统的相关特点进行了改进。详细情况如下描述：
21.首先，bcert没有签名与签名算法。传统的数字证书主要是通过使用数字签名判断证书是否被篡改，保障数字证书的真实防伪性，保证数字证书持有者的身份和公钥的绑定是真实可信的。存储在区块上的数据由区块链平台保障，具有真实有效和不可篡改的特性。本模型中一个域对其他域区块链证书进行验证，仅需将得到的证书做哈希运算后与区块链上存储的该证书哈希值进行一致性比对。所以本模型提出的bcert不需要签名与签名算法模块。
22.其次，本模型提出的区块链证书的格式中没有url(uniform resource locator，统一资源定位符)模块，所以在pki信任域内可以不对bcert提供crl和ocsp管理服务。因为将不同类型的bcert组装成不同交易存储在具有时序性且永不可篡改的区块链上，通过区块链就可以对bcert进行全生命周期的记录。
23.图3是本发明跨域认证流程示意图，如图3所示，包括：
24.步骤1：建立信任。每个信任域通过该域的域间互联模块在区块链上为其他域发布区块链证书，来建立与其他域的信任关系。
25.步骤2：a认证域内用户与本域的认证模块之间交互，进行域内的身份合法性验证。
26.步骤3：如果步骤2的用户身份在本域中合法，域a的域间互联模块向域b的服务模
块发送b对a颁发的区块链证书bcert。
27.步骤4：域b的服务模块通过域间互联模块查询区块链中存储的关于bcert的交易。首先对域a发送的区块链证书验证证书的状态，以确保证书有效；然后进行哈希计算，将其与块中存储的区块链证书哈希值进行比较。
28.步骤5：域b服务模块返回验证结果给域a。
29.步骤6：域a接收验证结果。当验证结果为合法时，域a用户可以访问域b服务；当验证结果为非法时，域b服务模块拒绝域a用户的访问。
30.图4是节点拓扑结构示意图，根据hyperledger fabric的区块链平台的节点架构，结合本模型，设计出本模型网络节点的拓扑结构。下面对各节点类型及功能进行详细介绍，如图4所示，包括：
31.客户端(client)：由每个信任域的域间互联服务器/根ca服务器担任，向非验证节点提交和查询交易；
32.非验证节点(nonvalidating peer，nvp)：由每个信任域提供的服务器担任。nvp接收客户端发送的交易，验证客户端发送的交易中的签名，并按照时间戳顺序将交易排序，发送到验证节点进行下一步的处理。nvp会同步账本数据，为客户端提供快速查询的服务。
33.验证节点(validating peer，vp)：由每个信任域提供的服务器担任。vp参与共识算法的一致性过程。vp分为主节点和从节点，主节点将nvp广播传来的交易组装成区块，发起区块的提案，与其他vp一起通过共识算法对该区块达成共识，并将新的区块连接到区块链上。
34.关于本模型网络中的节点协作分为3步，具体介绍如下：
35.①
各信任域的域间互联服务器在加入网络后，发起关于bcert的带有信任授权的交易，发送到nvp；
36.②
nvp验证从客户端上接收到的交易的签名，并根据交易的时间戳顺序对交易进行排序，依次广播发送到vp；
37.③
vp依据共识算法对区块达成共识，并将区块连接成链；
38.应当理解，虽然本说明书根据实施方式加以描述，但是并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为了清楚起见，本领域的技术人员应当将说明书作为一个整体，各个实施方式中的技术方案也可以适当组合，按照本领域技术人员的理解来实施。
39.以上所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。