[发明专利]在区块链PKI下支持瘦客户端的隐私保护身份认证方法

说明书

本发明公开了一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，属于信息安全技术领域。本发明所述方法包括以下步骤：系统初始化、生成认证请求、生成查询请求、查询阶段、检测阶段、确认阶段和会话建立。本发明所述方法利用PIR等技术，使得其支持区块链中存储能力和计算能力有限的瘦客户端在去中心化的PKI中完成用户身份认证，同时保护瘦客户端的查询隐私。本发明使用基于区块链的PKI技术，解决传统PKI单点故障和多CA互信难等问题；利用PIR技术，实现去中心化PKI下瘦客户端的身份认证功能；利用PIR技术，保护瘦客户端查询过程中的数据隐私；在认证过程中加入随机数，防止中间人攻击，确保认证过程中消息不被伪造篡改。

技术领域

本发明属于信息安全技术领域，具体涉及一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法。

背景技术

PKI(Public Key Infrastructure，公钥基础设施)是一种使用公钥密码技术支持加密、认证、完整性和不可否认服务的安全基础设施，在互联网电子认证服务业中得到广泛应用。传统PKI体系结构依赖于可信的第三方，即CA中心(Certificate Authority，证书认证机构)，只有信任某个CA，才信任该CA给用户签发的数字证书。但在实际应用中，PKI技术存在：(1)单点故障问题，核心CA一旦被攻击者控制，所有证书均不可信；(2)多CA互信难问题，用户证书只能由所属CA的根证书进行验证，不同CA之间不能相互验证。

区块链技术(Blockchain)使用分布式数据存储、共识机制等技术，提供了以去中心化方式建立信任关系的思路与方案，引起了众多行业的广泛关注。区块链是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构，并以密码学方式保证的不可篡改和不可伪造的去中心化共享总账，能够安全存储简单的、有先后关系的、能在系统内验证的数据。

目前已有Blockstack、CertCoin等基于区块链的PKI技术应用，可实现去中心化的认证方式，但大量的研究工作致力于设计基于区块链的PKI协议，而未考虑区块链中瘦客户端(例如智能手机用户)问题。此类用户的存储能力和计算能力有限，无法下载整个区块链，难以完成基于区块链的PKI身份认证服务。

发明内容

本发明的目的是克服上述现有技术的缺陷，提供一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法。

本发明所提出的技术问题是这样解决的：

一种在区块链PKI下支持瘦客户端的隐私保护身份认证方法，包括以下步骤：

步骤1.系统初始化：用户在本地生成公私密钥对，并将身份信息和公钥注册至区块链PKI中；

步骤2.生成认证请求：在用户双方建立会话前，需互相验证对方身份的合法性。待认证用户将其身份信息和公钥封装成认证请求发送给验证方用户；

步骤3.生成查询请求：验证方用户随机选择出k-1个用户身份信息，与待认证用户身份信息一同进行混淆，并利用PIR(Private Information Retrieval，隐私信息检索)技术生成m个不同的查询请求，将其分别发送给m个全节点用户；

步骤4.查询阶段：全节点用户根据查询请求遍历区块链获取相应的公钥，并将公钥异或的结果返回给验证方用户；

步骤5.检测阶段：验证方用户将全节点用户返回的数据进行异或后恢复出公钥，并鉴别待认证用户身份的合法性；

步骤6.确认阶段：待认证用户需检测验证方用户身份的合法性，通过上述步骤2-5后，即可检测验证方用户身份的合法性；

步骤7.会话建立：若用户双方的身份均合法，则用户双方可建立会话连接，进行数据交互。

本发明的有益效果是：