一种基于区块链的级联认证系统的制作方法

本发明涉及服务器身份认证技术领域，尤其是一种基于区块链的级联认证系统。

背景技术：

现有中心化的身份认证服务架构在可靠性、负载能力上均不能满足未来人、物泛在接入的要求，基于级联认证存在证书管理复杂、认证路径过长的问题，且认证效率不高、实际应用困难。

技术实现要素：

本发明的目的是提供一种基于区块链的级联认证系统，对现有统一权限管理平台的身份认证服务架构进行去中心化，提高身份认证整体架构的承载能力和容灾能力。

为实现上述目的，本发明采用下述技术方案：

本发明提供了一种基于区块链的级联认证系统，包括若干个独立的分布式网省域，和区块链网络；所述分布式网省域包括身份认证服务器、用户客户端和区块链网络节点，所述身份认证服务器分别与用户客户端、区块链网络节点连接，用户客户端与区块链网络节点连接，所述分布式网省域至少包括一个记账网络节点和服务节点；所述区块链网络包括若干个服务器和若干个设置于分布式网省域的区块链节点，服务器与区块链网络节点以点对点网络的组网方式连接。

进一步地，所述区块链网络还包括共识节点模块，用于实现历史数据同步以及新数据分发，所述共识节点模块包括kafka集群子模块、ca证书模块和order模块，所述order模块与kafka集群子模块连接，实现数据写入与同步，所述order模块与ca证书模块连接，获取证书与区块链网络节点数据交互。

进一步地，所述区块链网络节点包括peer模块、ca模块和api模块，所述peer模块利用gossip以可扩展的方式广播分类帐数据和channel数据，peer模块与ca模块连接，生成peer证书，api模块与ca模块连接获取证书，api模块与peer模块连接，获取证书后进行数据交互，完成数据模拟运行。

进一步地，所述peer模块包括主peer和若干个从peer，所述主peer与order模块连接，完成数据同步以及排序，所述从peer不断接收来自主peer的分类帐数据。

进一步地，所述api模块与order模块连接，获取证书后进行数据交互；完成数据模拟运行；api模块与统一认证服务模块连接，获取登录用户信息；api模块与权限服务模块连接，获取用户登录变更信息。

进一步地，所述区块链网络采用1+n多链结构，包括1主链+n子链结构，主链和子链进行业务逻辑和数据分区处理，主链有且只有一条，联结总部和各个网省公司；子链建立在网省公司内，针对网省公司内部提供身份认证能力，支持多个认证请求的并行处理，认证完成后异步写入主链交易账本。

进一步地，所述主链与子链分别将身份认证账本、身份信息账本、证书信息账本、认证日志账本结合存储，认证日志账本为不可篡改的数据，身份信息账本、证书信息账本根据共识机制完成更新、升级。

进一步地，所述区块链网络采用数据副本分配策略，将一条完整的区块链副本进行分片处理，并将分片数据保存在一定比例的节点中，对区块链中存储的数据进行压缩，根据压缩交易请求将相应区块压缩为数据块，计算数据块哈希值并生成压缩交易，建立被压缩区块标识、数据块标识及压缩交易标识的映射关系。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

本发明的基于区块链的级联认证系统，基于不易篡改且分布式存储的区块链作为底层数据存储架构，存储跨域级联的身份认证信息，实现用户本地认证、本地跨域认证、异地跨域认证等多种认证方式。

本发明建立分布式账本节点，实现身份认证数据的分布式存储，并承载数据准实时分发、数据一致性保障、数据安全加密等存储职能。

本发明面向大量用户身份认证对区块链底层技术的存储管理需求，采用数据副本分配策略，在不损失可追溯性、不可篡改性的前提下，有效利用区块链存储空间。

本发明采用1+n多链结构、静态账本和动态存储结合、多态节点和多元化共识机制实现基于区块链的高性能并发认证。对于并行交易，采用共识算法快速达成认证请求提交，子链中的每一个共识节点都可能随机被选中，作为认证服务单元完成认证过程。随着共识节点的增多和权重的不断增加，系统运行会越来越快、越来越安全。

附图说明

图1是本发明基于区块链的级联认证系统示意图；

图2是本发明身份认证区块链技术架构原理图；

图3是统一权限平台身份认证区块链总体架构示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，一种基于区块链的级联认证系统，包括若干个独立的分布式网省域，和区块链网络；分布式网省域包括身份认证服务器、用户客户端和区块链网络节点，身份认证服务器分别与用户客户端、区块链网络节点连接，用户客户端与区块链网络节点连接，分布式网省域至少包括一个记账网络节点和服务节点。底层采用p2p网络、grpc、gossip协议。

区块链网络包括若干个服务器和若干个设置于分布式网省域的区块链节点，服务器与区块链网络节点以点对点网络的组网方式连接。区块链网络由众多服务器和主机节点以点对点网络的组网方式构成，这些节点位于各分布式独立的网省域内。在实际应用时节点可以建在认证服务器内，也可以建在认证服务器外。区块链记账节点记录区块链数据，服务节点提供区块链服务。每一个独立的网省域内至少有一个记账节点和服务节点，提供完整的区块链数据存储、查询与审计的功能。

如图2所示，区块链网络还包括共识节点模块，用于实现历史数据同步以及新数据分发，共识节点模块包括kafka集群子模块、ca证书模块和order模块，order模块与kafka集群子模块连接，实现数据写入与同步，order模块与ca证书模块连接，获取证书与区块链网络节点数据交互。

fabric的智能合约称为链码(chaincode)，分为系统链码和用户链码，系统链码用来实现系统层面的功能，用户链码实现用户的应用功能，为了实现完整的运行在区块链上的分布式应用，需要编写智能合约，调用智能合约的时候会自动执行智能合约的代码执行图灵完备的计算，智能合约直接与账本结构打交道，本质上是对上层业务逻辑进行支持。共识采用基于kafka集群的排序实现，支持cft容错，支持可持久化和可扩展性。

区块链网络节点包括peer模块、ca模块和api模块，peer模块利用gossip以可扩展的方式广播分类帐数据和channel数据，peer模块与ca模块连接，生成peer证书，api模块与ca模块连接获取证书，api模块与peer模块连接，获取证书后进行数据交互，完成数据模拟运行。

peer模块包括主peer和若干个从peer，主peer与order模块连接，完成数据同步以及排序，从peer不断接收来自主peer的分类帐数据。

peer利用gossip以可扩展的方式广播分类帐和channel数据。gossip消息是连续的，channel上的每个peer都在不断接收来自多个peer的当前和一致的分类帐数据。

api模块与order模块连接，获取证书后进行数据交互；完成数据模拟运行；api模块与统一认证服务模块连接，获取登录用户信息；api模块与权限服务模块连接，获取用户登录变更信息。

区块链网络采用1+n多链结构，包括1主链+n子链结构，主链和子链进行业务逻辑和数据分区处理，主链有且只有一条，联结总部和各个网省公司；子链建立在网省公司内，针对网省公司内部提供身份认证能力，支持多个认证请求的并行处理，认证完成后异步写入主链交易账本。

区块链网络采用静态账本和动态存储结合方式，主链与子链分别将身份认证账本、身份信息账本、证书信息账本、认证日志账本结合存储，认证日志账本为不可篡改的数据，身份信息账本、证书信息账本根据共识机制完成更新、升级。

区块链网络采用数据副本分配策略，将一条完整的区块链副本进行分片处理，并将分片数据保存在一定比例的节点中，对区块链中存储的数据进行压缩，根据压缩交易请求将相应区块压缩为数据块，计算数据块哈希值并生成压缩交易，建立被压缩区块标识、数据块标识及压缩交易标识的映射关系。

区块链网络采用多共识并行的机制，快速提高交易确认速度。账本存储采用下一代分布式存储和共享技术，在子链节点中构成分布式文件系统。对于并行交易，采用共识算法快速达成认证请求提交，子链中的每一个共识节点都可能随机被选中，作为认证服务单元完成认证过程。随着共识节点的增多和权重的不断增加，系统运行会越来越快、越来越安全。

如图3所示，统一权限平台，对统一权限平台身份管理、统一认证进行适应性盖章，使其能够适应人员身份、身份认证区块链底层结构，兼容满足老系统和支撑新建微应用的身份认证。

区块链身份认证平台，建立分布式账本节点，实现身份认证数据的分布式存储，并承载数据准实时分发、数据一致性保障、数据安全加密等存储职能。区块链身份认证平台对统一权限平台身份管理、统一认证等身份相关功能进行改造，适应区块链底层链式数据结构。

基于链式区块数据结构实现身份认证的智能合约，包含身份数据解析、数据验证、数据加密、区块数据操作等基础区块操作。为第三方应用提供区块链身份认证相关接口，包含区块链认证注册接口、区块链身份查询接口、区块链认证更新接口、区块链认证校验接口、区块链数据接口等身份认证业务相关接口。

统一权限平台区块链可视化配置维护，包含数据区域管理、服务器管理、容器管理、通道管理、智能合约部署、审计日志、集群配置、密码安全、自定义预警、区块监控配置等配置功能。

面向接入区块链的应用、用户提供准入权限管理，主要包含用户权限管理、区块链运维功能权限管理、区块链数据接口权限管理。

对分布式区块的运行情况进行监测，确保平台运行受控，主要包含服务器监控、容器监控、区块监控三个方面的实时监测和历史运行数据查询。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。