[发明专利]一种去中心化的跨信任域认证方法及系统

说明书

本发明公开了一种去中心化的跨信任域认证方法及系统，该方法包括如下步骤：步骤S1，在联盟链的基础上构建区块链网络，将各个信任域的根CA设为区块链的验证节点，联盟链中存储着所有根CA共识的数字证书的哈希值；步骤S2，所述区块链网络中的各用户向信任域内的根CA申请、更新或注销区块链证书；步骤S3，当用户进行跨信任域认证时，将区块链中存储的用户哈希值和认证时用户提供的证书哈希值相比较，如果两者相同说明该用户提供的证书合法，否则丢弃用户的跨域请求，通过本发明，可解决传统跨信任域认证模型的管理、去中心化和维护方面的问题。

技术领域

本发明涉及身份认证技术领域，特别是涉及一种去中心化的跨信任域认证方法及系统。

背景技术

身份认证是实现可信任网络的基础支撑技术，其基本思想是基于特定密码算法，为用户产生唯一的、防伪造、防篡改的数字标识信息，当用户需要表明身份时，向认证方出示该标识信息，由认证方对标识信息进行真实性和完整性判定，该过程即身份认证过程。

PKI身份认证技术是目前互联网环境下普遍使用的身份认证技术，用户通过数字证书来标识自己的身份。然而，在不同的互联网应用领域，需要建设各自独立的PKI体系，不同PKI体系的CA根证书各不相同，分别负责本信任域的用户身份认证。当不属于本信任域的用户需要访问本域资源时，需要重新申请新的身份，否则无法通过身份认证。这种认证管理模式严重阻碍了不同应用之间的跨域访问，现有解决方案主要包括：交叉认证和CA白名单的方式。

基于交叉认证的互信技术是通过CA之间互相签发交叉证书的方式来实现的，为交叉认证而签发的证书成为交叉证书。交叉认证的优点是适用于少数CA间的互信交互认，并且证书的不能太复杂。因此基于交叉认证的局限性是不适用于数量多的CA证书间的互信互人，如果通过交叉认证的方式实现交叉认证，则需要签发的证书的数量将会指数增长。CA白名单方式则是将能够互信任的CA加入彼此的白名单列表，只有被白名单包含的CA才能相互信任，这种方式对白名单缺乏保护机制，存在安全隐患。

此外，上述方式都是一种中心化认证方式，而在实际应用过程中，往往缺乏一个具有公信力的可信任第三方。因此，迫切需要一种去中心化的跨域认证方法。

发明内容

为克服上述现有技术存在的不足，本发明之目的在于提供一种去中心化的跨信任域认证方法及系统，以解决传统跨域认证模型在管理、去中心化、维护方面的问题。

为达上述目的，本发明基于区块链技术提出一种去中心化的跨信任域认证方法，包括如下步骤：

步骤S1，在联盟链的基础上构建区块链网络，将各个域的根CA设为区块链的验证节点，联盟链中存储着所有根CA共识的数字证书的哈希值；

步骤S2，所述区块链网络中的各用户向域内的根CA申请、更新或注销区块链证书；

步骤S3，当用户进行跨域认证时，将区块链中存储的用户哈希值和认证时用户提供的证书的哈希值相比较，如果两者相同说明该用户提供的证书合法，否则丢弃用户的跨域请求。

优选地，于步骤S1中，所述区块链网络中的每个区块包含区块头和区块体，所述区块头包括但不限于父区块哈希，时间戳，Merkle树根和其他信息，所述区块体存储的信息包括但不限于数字证书的证书哈希值、证书状态信息、证书所有者信息以及证书签名，所述证书所有者信息包括但不限于公钥信息、身份备注信息。

优选地，于步骤S2中，该区块链的证书申请步骤进一步包括：

步骤S200，用户在本地生成区块链证书，并向域内的根CA发送区块链证书申请消息，其中申请消息中包括但不限于消息类型，证书哈希，证书拥有者证明信息，证书拥有者对证书的私钥签名；

步骤S201，所述根CA于收到域内用户的区块链证书申请后，检测申请消息的真实性和完整性，于验证通过后对证书进行签发。