一种基于区块链与信任等级的跨域认证方法及系统

本发明涉及跨域认证，特别是一种基于区块链与信任等级的跨域认证方法及系统。

背景技术：

1、身份认证技术主要应用于网络通信中通信双方身份验证相关安全问题中，其目的主要防止第三方、非法用户移动端窃取通信者的身份从而获得双方的信息资源。信任评估技术常应用于评估服务器或者软件服务商的安全信任等级，对信任对象进行信任评估算法计算得出对应的信任等级，便可以根据评估对象的安全等级进行对应的权限操作。

2、跨域认证的身份识别技术指的是身份认证技术在不同信任域、管理域之间的互联互通，验证操作者在不同信任域中的身份信息是否符合真实信息，保证不同管理域的身份权限具有可靠性与安全性，能够进行资源交换、信息查询的功能。

3、现有的跨域认证技术未曾考虑到合法用户移动端的实时安全性，因为存在合法用户移动端被冒名使用或者异常行为导致安全性降低问题，缺乏应对跨域访问中来自内部攻击的防御措施。除此之外，常见跨域认证方法缺少对移动用户端不同时间端处于不同域的研究。

技术实现思路

1、鉴于现有的基于区块链与信任等级的跨域认证及系统中存在的问题，提出了本发明。

2、因此，本发明所要解决的问题在于对合法用户移动端的实时安全性无法检测。

3、为解决上述技术问题，本发明提供如下技术方案：

4、第一方面，本发明实施例提供了一种基于区块链与信任等级的跨域认证方法，其包括以下步骤，

5、用户移动端向认证服务器isa发送申请，请求访问认证服务器isb；

6、所述认证服务器isa对申请验证，验证成功后，生成身份证书ica与安全等级访问公钥tpk，并将身份证书ica与安全等级访问公钥tpk发生给所述用户移动端；

7、所述用户移动端生成安全证书sca，并将安全证书sca和身份证书ica发送给认证服务器isb；

8、所述认证服务器isb进行验证，验证成功后，与所述用户移动端建立资源访问。

9、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：所述认证服务器isa和所述认证服务器isb分别与区块链证书管理bm交互；

10、其中，所述认证服务器isa存储用户移动端的指纹信息哈希值h；

11、所述区块链证书管理bm存储有认证服务器isa的标识密钥ipk和用户移动端的指纹信息哈希值h的身份证书ica列表。

12、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：所述认证服务器isa对申请验证的方法包括：

13、对所述用户移动端进行第一次认证；

14、对所述用户移动端进行第二次认证；

15、其中，所述第一次认证的方法包括：

16、认证服务器isa查询本地指纹信息库，对所述用户移动端进行指纹身份匹配；当匹配失败时，拒绝所述用户移动端的请求；当匹配成功时，进行第二次认证；

17、所述第二次认证包括：

18、对所述用户移动端进行安全等级认证；当认证失败时，拒绝所述用户移动端的请求；当认证成功时，生成身份证书ica与安全等级访问公钥tpk；

19、所述身份证书ica包含认证服务器isa中使用认证服务器isb的密钥ipk、用户移动端的指纹信息哈希值h、申请当时的时间戳以及公共参数r；

20、所述安全等级访问公钥tpk的构建方式为：根据所述用户移动端进行信任评估算法，得出安全等级值的集合；

21、根据所述安全等级值的集合与系统参数生成相应安全等级访问公钥tpk；所述信任评估算法的计算方法包括：

22、

23、式中，ai表示为用户移动端第i个安全信息的安全等级值，(qij)表示为用户移动端的安全指标中第i行j列的qos指标数据，wij为指标权重矩阵ω中第i个属性的第j个指标权重值；

24、

25、式中，权重值由最新时间衰减函数得出w(s,sk)，设在某时间帧s内，s0表示为初始交易时刻，s表示为当前服务时刻，sk表示为用户第k次服务的时刻；

26、所述安全等级值的集合表示为：

27、u＝{u1,u2,u3…，ui}

28、对安全等级值进行安全等级判断，判断方法包括：

29、设置安全等级最小阀值p与安全等级最大阀值q，且p<q；

30、当u1<p时，则判断u1的安全等级为c级，属于低级安全等级；

31、当p<u1<q时，则判断u1的安全等级为b级，属于中级安全等级；

32、当u1>q时，则判断u1的安全等级为a级，属于高级安全等级；

33、对属于低级安全等级的所述用户移动端反馈提醒，并告诫所述用户移动端做出安全保护措施。

34、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：所述安全证书sca的构建方法包括：

35、根据安全等级访问公钥tpk将指纹信息哈希值h加密，生成安全证书sca。

36、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：所述认证服务器isb与所述用户移动端建立资源访问的步骤包括：

37、对所述用户移动端发出的安全证书sca和身份证书ica验证失败时：拒绝所述用户移动端的请求，并将拒绝信息发送给所述用户移动端，当同一个所述用户移动端验证失败连续超过3次，将用户移动端锁定24小时；

38、对所述用户移动端发出的安全证书sca和身份证书ica验证成功时：同意所述用户移动端所申请的信息资源访问请求，区块链证书管理bm将判断身份证书ica是否记录，在未记录时，对身份证书ica进行记录；在已记录时，则比较两个身份证书ica的时间戳与安全证书sca，当两个身份证书ica的信息不同时，将新的身份证书ica对旧的身份证书ica进行替换存储；

39、认证服务器isb将对应的访问信息数据发送给所述用户移动端，结束认证。

40、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：安全等级值的集合的计算为动态进行，所述时间戳存在限制，对所述用户移动端的认证也是动态的；

41、当对所述用户移动端的认证超过时间戳的安全限制时，需要对此次认证进行重新信任评估以及安全证书sca和身份证书ica的认证；

42、当新的信任评估不合格、安全证书sca认证失败或者身份证书ica认证失败，切断认证服务器isb与所述用户移动端建立的资源访问。

43、作为本发明所述基于区块链与信任等级的跨域认证方法的一种优选方案，其中：所述用户移动端访问所述认证服务器isb时，想对认证服务器isc申请访问，区块链证书管理bm通过对用户移动端访问所述认证服务器isb保存的身份证书ica和新创建的身份证书ica比对，当对比结果相同时，所述用户移动端和所述认证服务器isc建立资源访问；

44、其中，所述认证服务器isb保存的身份证书ica和新创建的身份证书ica比对方法包括：

45、判断身份证书ica中的时间戳是否在有效期，如果不在有效期，则认证失败；如果在有效期，则判断身份证书ica中的指纹信息哈希值h是否保持一致，如果不一致，则验证失败，如果一致，则无需中断用户移动端与认证服务器isb的数据访问，建立新的资源访问方式，实现所述用户移动端与认证服务器isc的数据访问；

46、当其中一次验证出现异常，则中断所述用户移动端和所述认证服务器isb的信息访问，重新进行安全等级验证。

47、第二方面，本发明实施例提供了一种基于区块链与信任等级的跨域认证系统，其包括：传输模块、识别模块、反馈模块以及存储模块；

48、所述传输模块用于对数据的传输，并且在传输时，会对数据进行加密，防止数据在传输时发生泄密的情况；

49、所述识别模块用于对接受的数据进行判断，并根据判断结果的不同，生成不同的处理方式，能够形成紧密的系统交互方式；

50、所述反馈模块用于将判断的结果反馈给用户移动端，方便用户移动端对信息的收集，提高整体的使用效率；

51、所述存储模块用于对数据进行保存，并且与识别模块相配合，能够实现对数据的对比，减少对数据的判断次数。

52、第三方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其中：所述处理器执行所述计算机程序时实现上述的基于区块链与信任等级的跨域认证方法的任一步骤。

53、第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，其中：所述计算机程序被处理器执行时实现上述的基于区块链与信任等级的跨域认证方法的任一步骤。

54、本发明有益效果为：

55、1、采用认证服务器isa和认证服务器isb的双认证效果，能够实现对用户移动端的安全情况检测，对于一些合法的用户移动端被冒名顶替，也能够起到防御作用，避免信息的泄露，增加本系统的安全性。

56、2、在用户移动端想要访问认证服务器isc时，可以直接将新旧两个身份证书ica做对比，对比相同的情况下，便可直接访问，实现认证步骤的减少和签名次数的减少，从而快速且保持用户移动端与认证服务器isb的跨域资源交流，并且不需要断开认证服务器isb的连接。